Aan de orde is de voortzetting van de behandeling van:

het wetsvoorstel Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens) (25892).

Minister Korthals:

Voorzitter! Ik ben verheugd dat uw Kamer de plenaire behandeling van het wetsvoorstel van de Wet bescherming persoonsgegevens nog voor het zomerreces heeft willen laten plaatsvinden. Het is een belangrijk wetsvoorstel waarover een diepgaande, maatschappelijke en politieke discussie is gevoerd. Het wetsvoorstel beoogt de EG-richtlijn inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens om te zetten in het Nederlands recht. Het doel van de privacyrichtlijn is een vrij verkeer van persoonsgegevens tussen de lidstaten te bewerkstelligen door het harmoniseren van de nu nog uiteenlopende nationale niveaus van bescherming van persoonsgegevens.

De richtlijn is in 1995 vastgesteld na jaren van moeizame onderhandelingen op Europees niveau. Zoals ik in de memorie van antwoord heb aangegeven, heeft de omzetting van de richtlijn in het nationale recht vertraging opgelopen. Ik heb ook aangegeven dat die vertraging te wijten is aan het feit dat ik voorrang heb gegeven aan overleg met de betrokken maatschappelijke sectoren boven een zo snel mogelijke voortgang van het wetgevingsproces. Dat neemt niet weg dat ik nog steeds streef naar een zo spoedig mogelijk verloop van het wetgevingstraject. Ik stel het mede daarom zeer op prijs dat de Kamer besloten heeft, dit wetsvoorstel dan ook vandaag te behandelen.

Nederland is overigens niet de enige lidstaat die de richtlijn nog niet in nationaal recht geïmplementeerd heeft. Naast Nederland zijn ook Duitsland, Frankrijk, Ierland en Luxemburg in gebreke. In andere landen is er al wel wetgeving, maar is de wet nog niet in werking getreden, zoals bijvoorbeeld in België.

De materie die in de privacyrichtlijn wordt geregeld, is niet nieuw. Zowel op Europees als op nationaal niveau bestonden reeds regels voor de bescherming van persoonsgegevens voordat de richtlijn tot stand kwam. In 1981 kwam in de Raad van Europa het verdrag inzake de bescherming van persoonsgegevens tot stand. En reeds begin jaren zeventig onderzocht een staatscommissie, die vandaag ook door onder anderen mevrouw De Wolff is genoemd, de mogelijkheden om in Nederland tot wetgeving ter bescherming van persoonsgegevens te komen. Vele jaren later leidde dat tot de Wet persoonsregistraties, de eerste algemene Nederlandse wet die de bescherming van persoonsgegevens ten doel had.

De totstandkoming van de Wet persoonsregistraties heeft de nodige voeten in de aarde gehad. In november 1981 werd een wetsvoorstel ingediend dat na een lange en moeizame parlementaire behandeling uiteindelijk in 1988 het Staatsblad haalde. In 1989 trad de Wet persoonsregistraties in werking. Tot op heden is deze wet van kracht. In 1983 is de Wet persoonsregistraties voorzien van een grondwettelijke basis. Sinds dat jaar geldt op grond van artikel 10 van de Grondwet dat de wetgever ter bescherming van de persoonlijke levenssfeer regels moet stellen in verband met het vastleggen en verstrekken van persoonsgegevens. Dit beknopte overzicht illustreert duidelijk dat aan een goede bescherming van persoonsgegevens grote waarde wordt gehecht, zowel door de nationale wetgever als ook op internationaal niveau, bijvoorbeeld in de Raad van Europa en binnen de Europese gemeenschap.

De commissie "Grondrechten in het digitale tijdperk", de commissie-Franken, heeft recentelijk geadviseerd om artikel 10 op een aantal punten te wijzigen. De voorgestelde wijzigingen zijn niet zozeer ingegeven door de ontwikkelingen in het digitale tijdperk, maar eerder door de wens om artikel 10 van de Grondwet aan te passen aan de EG-richtlijn. Later dit jaar zal het kabinet een standpunt innemen ten aanzien van de voorstellen die deze commissie heeft gedaan. Daarop wil ik niet vooruitlopen.

De privacyrichtlijn van 1995 bouwt voort op het eerdergenoemde verdrag van de Raad van Europa uit 1981. Daarnaast is de richtlijn sterk geïnspireerd door nationale wetgeving, niet in de laatste plaats de Nederlandse wetgeving. Ten tijde van de totstandkoming van de richtlijn beschikten nog niet alle lidstaten over wetgeving ter bescherming van persoonsgegevens. Nederland was een van de lidstaten die begin jaren negentig al wel over wetgeving op dit gebied beschikten.

Twee belangrijke uitgangspunten van de richtlijn zijn: toepassing op zowel de publieke als de private sector en toepassing op alle sectoren van de maatschappij. Dit verklaart waarom de richtlijn uitsluitend algemene principes bevat en geen gedetailleerde of sectorspecifieke regels. Het voorgaande verklaart tevens waarom het wetsvoorstel het karakter van een algemene basiswet heeft waarin algemene richtsnoeren zijn neergelegd. Het algemene karakter van het wetsvoorstel hangt dus samen met de Europese ambitie om op een algemeen niveau verbindende regels te geven. Het wetsvoorstel dat die ambitie op nationaal niveau moet vertalen, kan als kaderwet slechts algemene beginselen formuleren en geen specifieke en gedetailleerde gedragsvoorschriften.

De verdere uitwerking van deze algemene beginselen vindt plaats in sectorale wetgeving, door middel van zelfregulering en in de besluiten van het College bescherming persoonsgegevens. Daarnaast zal er jurisprudentie worden opgebouwd, niet alleen door middel van uitspraken van nationale rechters, maar ook door arresten van het Hof van Justitie van de Europese Gemeenschappen. Dit rechterlijk college heeft het laatste woord over de interpretatie van de beginselen die zijn neergelegd in de privacyrichtlijn en derhalve indirect ook over de interpretatie van de beginselen neergelegd in het wetsvoorstel. Omdat de bewoordingen van het wetsvoorstel waar mogelijk nauw aansluiten bij die van de richtlijn zal Nederland het voordeel hebben dat uitspraken van het Hof in Luxemburg eenvoudiger zijn te vertalen naar de nationale uitvoeringspraktijk. Daar waar er sprake is van sectorale wetgeving zal deze zich binnen de grenzen van de Wet bescherming persoonsgegevens dienen te bewegen.

Hoewel een andere wet juridisch-technisch wel kan derogeren aan de WBP wordt deze mogelijkheid beperkt door het bestaan van de richtlijn. De richtlijn bevat immers dezelfde beginselen als de WBP. Dit verbod van derogatie gaat uiteraard slechts op voorzover de nationale wet een materie regelt die zich binnen de werkingssfeer van de richtlijn bevindt. Voor zelfregulering geldt in versterkte mate dat niet kan worden afgeweken van de WBP.

Het is van cruciaal belang dat alle betrokkenen op de hoogte zijn van de rechten en plichten die voortvloeien uit de WBP. Daarbij gaat het enerzijds om de personen wier persoonsgegevens verwerkt worden en anderzijds om personen, bedrijven en overheidsinstellingen die persoonsgegevens verwerken. Naast de voorlichtingscampagne die ten doel heeft de burgers te informeren en waarover ik in de memorie van antwoord heb bericht, wordt er gewerkt aan een handleiding. Die handleiding is bedoeld voor hen die persoonsgegevens verwerken. Over de opzet van deze handleiding is recentelijk overleg gevoerd tussen mijn departement, het ministerie van Binnenlandse Zaken, de Registratiekamer en vertegenwoordigers van een aantal brancheorganisaties. In aanvulling op deze handleiding werken de brancheorganisaties aan handleidingen die meer branchespecifiek georiënteerd zullen zijn.

Naast de hiervoor genoemde punten van uitwerking, interpretatie en kenbaarheid van de WBP is er een ander punt van zorg dat reeds vele malen ter tafel is gebracht. Het gaat om de administratieve lasten die de WBP meebrengt. De werkgroep-Kortmann heeft zich beziggehouden met de kosten die de WBP veroorzaakt voor het bedrijfsleven. De werkgroep heeft zich echter niet beperkt tot administratieve lasten. Ook kosten die voortvloeien uit de naleving van verplichtingen ten opzichte van de betrokkene – dat wil zeggen de burger wiens persoonsgegevens worden verwerkt – worden meegerekend. Bovendien worden in het rapport van de werkgroep ook de kosten vermeld die het gevolg zijn van het aanstellen van een functionaris voor de gegevensbescherming. Het betreft hier echter geen verplichting die uit de WBP voortvloeit, maar een geheel vrijwillige keuze van de verantwoordelijken.

De overige kosten die door de werkgroep worden genoemd, zijn geen gevolg van een keuze van de nationale wetgever, maar vloeien rechtstreeks voort uit de verplichtingen die de privacyrichtlijn aan de lidstaten oplegt.

Ik benadruk nogmaals dat er behalve kosten of lasten ook baten aan het wetsvoorstel verbonden zijn. Eén van de belangrijkste is het vertrouwen van de consument, dat met name een rol speelt bij de e-commerce. Hierin staat Nederland overigens niet alleen. Ook in EU-verband speelt deze overweging een belangrijke rol. Dat blijkt duidelijk uit de initiatieven op het terrein van de elektronische handtekening en de e-commerce.

Om alle twijfel weg te nemen zal ik een onderzoek naar de administratieve kosten laten doen. Daartoe laat ik eerst de administratieve lasten van de huidige wetgeving – de WPR – onderzoeken. Dit onderzoek zal op zeer korte termijn plaatsvinden in de context van het onderzoek nulmeting administratieve lasten. Op een later tijdstip zullen dan de administratieve lasten verbonden aan de toekomstige wetgeving – de Wet bescherming persoonsgegevens – worden onderzocht.

Met het toezicht op de WBP wordt het College bescherming persoonsgegevens belast. Dit college treedt in de plaats van de Registratiekamer. Op grond van de privacyrichtlijn is de taak van de toezichthoudende autoriteit niet beperkt tot louter toezicht. Het college moet ook geraadpleegd worden bij het opstellen van regels die betrekking hebben op de verwerking van persoonsgegevens. Het wetsvoorstel voorziet tevens in de instelling van een raad van advies die het college adviseert over de algemene aspecten van de WBP. De leden van de raad van advies dienen een afspiegeling te vormen van de verschillende sectoren van de maatschappij. Op die manier wordt gezorgd voor een inbreng vanuit de maatschappij en de dagelijkse praktijk.

Tot slot van mijn algemene inleiding nog een paar woorden over een specifiek aspect van de WBP en de richtlijn: de doorgifte van persoonsgegevens naar derde landen, dat wil zeggen landen die geen lid van de EU zijn. Een dergelijke doorgifte is in beginsel uitsluitend toegestaan indien het derde land in kwestie een passend niveau van bescherming kent. Of dat het geval is, is in eerste instantie ter beoordeling van de verantwoordelijke. Die beoordeling zal in beginsel positief uitvallen indien door de Commissie op grond van de richtlijn is vastgesteld, dat het derde land in kwestie een passend beschermingsniveau kent. Is dat niet het geval, dan zal de verantwoordelijke er in beginsel van uit moeten gaan dat er geen passend niveau van bescherming is. Dat wil overigens niet zeggen dat de doorgifte van gegevens dan absoluut verboden is. Indien één van de uitzonderingen voorzien in artikel 77, eerste lid, toepassing vindt, kunnen persoonsgegevens toch worden doorgegeven naar een derde land. Met name de in de eerste drie onderdelen van dit lid voorziene uitzonderingen zullen een deel van de doorgiften mogelijk maken, ondanks het ontbreken van een passend niveau van bescherming. Indien deze uitzonderingen geen uitkomst bieden, voorziet artikel 77, tweede lid, in de aanvraag van een vergunning bij de minister van Justitie. Een dergelijke vergunning kan worden afgegeven indien op een andere manier een passende bescherming wordt gewaarborgd, bijvoorbeeld door middel van contractuele bepalingen. In overleg met de Registratiekamer wordt nader bezien, op welke wijze deze bevoegdheid het beste kan worden uitgeoefend. Op dit moment werkt de Commissie in samenspraak met de lidstaten aan het vaststellen van model-contractbepalingen. Dergelijke bepalingen zijn van groot belang zolang de Commissie nog niet heeft vastgesteld dat een derde land over een passend beschermingsniveau beschikt.

Ik heb overigens goed nieuws wat het vaststellen door de Commissie van het beschermingsniveau in derde landen betreft. Zeer recent hebben de lidstaten unaniem ingestemd met de voorstellen van de Commissie waarin wordt bepaald dat Zwitserland en Hongarije een passend niveau van bescherming kennen en dat de bescherming van persoonsgegevens in de Verenigde Staten van een passend niveau wordt geacht indien de betreffende verantwoordelijke een aantal voorwaarden naleeft. Deze voorwaarden zijn beter bekend onder de naam "veilige haven-beginselen". Verwacht wordt dat de Commissie op korte termijn de voorgestelde besluiten zal vaststellen.

In aanvulling op het voorgaande zal ik nu meer specifiek ingaan op de vragen van de leden van uw Kamer die ik nog niet in mijn inleiding heb kunnen beantwoorden.

De heren Schuyer en De Jong vroegen naar de commissie Grondrechten in het digitale tijdperk. Zoals ik in mijn inleiding al heb aangegeven formuleert het kabinet op dit moment zijn standpunt over de door de commissie-Franken gedane aanbevelingen. Ik kan daar nu niet op vooruitlopen. De commissie geeft aan dat de ontwikkelingen die in de Europese privacyrichtlijn hun neerslag hebben gevonden ook in de Grondwet tot uitdrukking dienen te worden gebracht. Zij stelt daartoe een wijziging van artikel 10 Grondwet voor. Zij wil dus eerder de ontwikkelingen die op dit moment plaatsvinden laten doorklinken en vertalen in de Grondwet, dan de Grondwet gebruiken om nieuwe ontwikkelingen af te dwingen of in gang te zetten.

De heer De Jong vroeg naar de mogelijke strijd van het zogenoemde misbruikmodel met het door de commissie voorgestelde nieuwe artikel 10 Grondwet. Hij stelde dat richtlijn 95/46 in essentie volgens het gebruiksmodel is opgezet. De richtlijn gaat boven de Nederlandse Grondwet en een wijziging van artikel 10 mag daar dus niet mee in strijd zijn. Het is dus uiteindelijk de richtlijn die bepaalt welk model wel of niet toelaatbaar is.

De heer Holdijk vroeg in hoeverre de Wet bescherming persoonsgegevens nog wel een privacywet kan worden genoemd. Het is inderdaad geen toeval dat het woord privacy of persoonlijke levenssfeer niet in de titel van de wet voorkomt. In de memorie van toelichting hebben wij uiteengezet dat het verband slechts indirect is. Enerzijds zijn er allerlei aspecten van privacy die niets met persoonsgegevens te maken hebben, zoals het huisrecht, de onaantastbaarheid van het lichaam en het briefgeheim. Anderzijds dient de zorgvuldige omgang met persoonsgegevens ook de bescherming tegen discriminatie en de vrijheid van meningsuiting. Zo verbiedt artikel 18 de opslag van gegevens omtrent ras tenzij dat binnen bepaalde grenzen noodzakelijk is voor integratie van minderheden in het arbeidsproces, de zogenaamde positieve discriminatie. De vrijheid van meningsuiting wordt gediend door het voorschrift van artikel 13 dat onnodige verzameling van persoonsgegevens verbiedt. Personen kunnen zich desgewenst via internet anoniem of met pseudoniem uiten. Zij behoeven niet bevreesd te zijn voor repercussies omdat niet voor eenieder duidelijk is van wie bepaalde berichten afkomstig zijn. De vraag of voor de opsporing van strafbare feiten bepaalde vormen van anonimiteit soms teniet moeten worden gedaan, moet worden beantwoord in het kader van een afzonderlijke hiertoe strekkende wetgeving. Samenvattend, voorzitter, er is dus meer privacy dan de WBP en de WBP geeft invulling aan meer grondrechten dan alleen het recht op persoonlijke levenssfeer.

De heer Witteveen vroeg of de WBP als uitgangspunt heeft "persoonsgegevens zijn geheim, tenzij". Het zou volgens hem interessant zijn geweest om de mogelijkheid te onderzoeken van een wetsvoorstel dat gebaseerd zou zijn op het beginsel "persoonsgegevens zijn niet geheim, tenzij". Daarmee wordt gesuggereerd dat het wetsvoorstel gebaseerd zou zijn op het beginsel persoonsgegevens zijn geheim, tenzij. Ik herhaal nogmaals dat dit niet het uitgangspunt van het wetsvoorstel is. Het uitgangspunt is wel dat persoonsgegevens kunnen worden gebruikt voor doeleinden waarvoor zij oorspronkelijk zijn verzameld. Bovendien kunnen die gegevens ook voor andere doeleinden worden gebruikt wanneer die verenigbaar zijn met het oorspronkelijke doel. Een voorbeeld van zo'n verenigbaar doel is de archivering van persoonsgegevens of het gebruik voor statistische doeleinden met het oog op planning of beleidsvoering.

Mevrouw De Wolff merkte nog op dat in tegenstelling tot hetgeen in de toelichting is opgemerkt het acquis van de WPR op een aantal punten terzijde wordt geschoven in plaats van als uitgangspunt wordt genomen. Zij wijst in dat kader op de risicoaansprakelijkheid die in de WBP als een schuldaansprakelijkheid is geformuleerd en de uitbreiding van het aantal vrijstellingen op de aanmeldingsplicht die in het kader van de WBP wordt voorzien.

Ik moet haar op het eerste punt gelijk geven. Het is inderdaad zo dat de aansprakelijkheidsregeling in artikel 49 WBP een afzwakking vormt van het regime neergelegd in artikel 9 WPR. Hiertoe zijn wij echter gedwongen door de tekst van de richtlijn die het resultaat is van internationale onderhandelingen. In de toelichting bij artikel 49 merkte ik echter al op dat uit de evaluatieonderzoeken die naar de WPR zijn gedaan, is gebleken dat de risicoaansprakelijkheid van artikel 9 WPR in de praktijk nauwelijks een rol heeft gespeeld.

Wat het tweede punt betreft kan ik het niet eens zijn met haar. Een vrijstelling van de aanmeldingsplicht betekent niet een vermindering van de bescherming van de privacybelangen van betrokkenen of het aantasten van het acquis van de WPR. Het normatieve karakter van de WPB blijft gewoon gelden; het wordt zelfs nader genormeerd door middel van de voorschriften van het voorgenomen vrijstellingsbesluit. In die voorschriften zijn immers nadere regels opgenomen voor bijvoorbeeld het gebruik van de verstrekking van gegevens.

Voorzitter! De heer De Jong heeft een aantal opmerkingen gemaakt over de vraag of een meer publiekrechtelijk of een meer privaatrechtelijk model de voorkeur zou verdienen. Met het eerste doelt hij op een gebruiksmodel, dat wil zeggen: "geen verwerking van persoonsgegevens tenzij". Met het tweede model doelt hij op een misbruikmodel waarbij het uitgangspunt is: "verwerking is toegestaan tenzij". Zijn voorkeur gaat uit naar het laatste model.

Waar over modellen wordt gesproken, moeten wij onderscheid maken tussen de inhoudelijke normen en de handhaving. De inhoudelijke normen zijn gesteld in termen als: de gegevensverwerking moet noodzakelijk zijn voor, etc. Deze terminologie doet denken aan het Europees verdrag tot bescherming van de rechten van de mens. Zij is daaraan ook ontleend. De regeling heeft in die zin inderdaad een publiekrechtelijke herkomst.

Voor de handhaving door de burger ligt dit anders. Slechts voorzover het gaat om de gegevensverwerking in de publieke sector is er de rechtsgang via de administratieve rechter. Gaat het om gegevensverwerking in de particuliere sector dan is er de rechtsgang via de civiele rechter. Ook de handhaving is dan civielrechtelijk, namelijk de sancties van het Wetboek van burgerlijke rechtsvordering.

Voorzover handhaving plaatsvindt door het College bescherming persoonsgegevens is zowel in de publieke als in de particuliere sector sprake van een administratief dwangmiddel, namelijk de bestuursdwang met daaraan gekoppeld de mogelijkheid om een dwangsom op te leggen. Alleen in geval van niet-nakoming van het administratieve voorschrift dat melding dient plaats te vinden bij het College bescherming persoonsgegevens is er een strafrechtelijke handhaving met als alternatief de administratieve boete.

Ik kom terug op de inhoudelijke normen. Moet het zijn: "nee tenzij" of "ja tenzij"? Ik wijs erop dat het "nee, tenzij" alleen in de gevallen van bijzondere gegevens is voorzien. Artikel 16 bevat een verbod en de artikelen 17 tot en met 23 bevatten vervolgens weer uitzonderingen. In de schriftelijke antwoorden heb ik erop gewezen dat deze structuur beantwoordt aan het EVRM. De wet gaat ervan uit dat de verwerking van bijzondere gegevens naar hun aard al gauw een inbreuk zal maken op de persoonlijke levenssfeer. Dus geldt een verbod om deze gegevens te verwerken tenzij de wet in nauwkeurig omschreven gevallen een verwerking en dus een inbreuk toelaat. In al die gevallen waar de verwerking van gegevens gewoon is toegelaten, geldt het regime van de artikelen 6 en volgende. Die bepalingen schrijven voor dat de gegevensverwerking gebonden moet zijn aan bepaalde gerechtvaardigde doeleinden. Dit wordt tot uitdrukking gebracht door het woord noodzakelijk. Verder is er een aantal eisen gericht op transparantie van de gegevensverwerking. Is daaraan voldaan, dan zal er in de regel geen inbreuk zijn op de persoonlijke levenssfeer tenzij in bijzondere omstandigheden. De regelgeving is op dit terrein een stuk abstracter, omdat niet hoeft te zijn voldaan aan het voorzienbaarheidscriterium in gevallen van inbreuk. Er kan meer worden overgelaten aan de partijen. Daarom meen ik dat de kwalificatie gebruiksmodel hier niet op zijn plaats is. Een misbruikmodel voor de gewone verwerking van persoonsgegevens met daarenboven een gebruiksmodel voor gevoelige gegevens, ook in de particuliere sector, lijkt mij een adequate behartiging van de verschillende belangen die in het geding zijn. Hoewel het begrip "noodzakelijk" dus inderdaad uit de publiekrechtelijke regelgeving van het EVRM afkomstig is, heeft het niet de betekenis van "geen gegevensverwerking tenzij dit noodzakelijk is voor_". Het is daarom niet oneigenlijk om dit begrip ook toe te passen in de particuliere sector, temeer omdat in het Nederlandse recht de horizontale werking van grondrechten wordt erkend. De heer De Jong wees hier terecht op.

Voorzitter! Samenvattend kan ik zeggen dat de scheidslijn niet loopt tussen de publieke en de private sector waarbij voor de eerste het gebruiksmodel en het tweede het misbruikmodel adequaat zou zijn, maar veeleer tussen de verwerking van gevoelige gegevens enerzijds en de verwerking van persoonsgegevens in het algemeen anderzijds. Ongeacht of het de publieke of de private sector betreft, is in het eerste geval het gebruiksmodel adequaat en in het tweede geval het misbruikmodel. Voorwaarde hierbij is wel dat aan de transparantie-eisen moet zijn voldaan. Het is daarom onjuist om in het algemeen uit het gebruik van het woord "noodzakelijk" te concluderen dat er sprake zou zijn van het gebruiksmodel bij de gegevensverwerking.

De heer Witteveen vroeg of de WBP straks op een andere manier wordt toegepast op de privaat- dan op de publiekrechtelijke sector. Verder heeft hij ook een vraag gesteld over de inkleuring van de WBP en wel of de uniforme regels niet zodanig zullen worden toegepast en uitgelegd dat er een verschil ontstaat tussen de private en de publieke sector. Door verschil in rechtsgang zullen de regels voor de private sector naar alle waarschijnlijkheid een privaatrechtelijke inkleuring krijgen, terwijl die voor de publieke sector zullen worden geïnterpreteerd in een publiekrechtelijke context.

De heer Witteveen wees erop dat het de voorkeur verdient om binnen de rechtspraak de meer procedurele of formele bepalingen in de WBP een meer uniforme interpretatie te geven. Voorbeelden van dergelijke bepalingen zijn de meldingsplicht en de rechtspositie van de betrokkene. Het is aan de rechter, te bepalen op welke wijze de voorschriften van de WBP in een concrete situatie dienen te worden geïnterpreteerd. Afgezien daarvan meen ik dat de procedurele bepalingen minder ruimte laten voor de op de context van de gegevensverwerking toegesneden verschillen in interpretatie dan de meer materiële normen van de WBP. Ik verwacht op dit vlak dan ook geen grote verschillen in interpretatie, al naar gelang het de publieke of de private sector betreft.

Voorzitter! De heren Witteveen en Rosenthal spraken over de privacy in de informatiemaatschappij. De heer Witteveen vroeg hoe de betrokkenen hun privacy in de informatiemaatschappij kunnen waarborgen. Voorop staat dat dezelfde regels van toepassing zijn op "off-line" en "on-line" activiteiten. Dat wil zeggen dat de informatieverplichtingen uit de artikelen 33 en 34 van de WBP in alle gevallen gelden. Hierdoor zal een betrokkene in beginsel altijd op de hoogte zijn van het feit dat zijn gegevens worden verwerkt, door wie zijn gegevens worden verwerkt en voor welke doeleinden zijn gegevens worden verwerkt.

De betrokkene kan zich voor de uitoefening van zijn rechten altijd wenden tot de verantwoordelijke. Indien hij de behoefte aan verdere ondersteuning voelt, kan hij zich wenden tot het College bescherming persoonsgegevens. In aansluiting hierop wil ik de aandacht vestigen op het vorige week gepresenteerde rapport Klant in het Web van de Registratiekamer. In dit rapport worden de bevindingen weergegeven van een onderzoek bij 60 internetproviders. Dit onderzoek is mede op verzoek van de Consumentenbond uitgevoerd.

Uit dit onderzoek blijkt dat de bescherming van persoonsgegevens door internetproviders tekortschiet. De oorzaak hiervan is niet dat er geen adequate regelgeving op dit terrein is, maar dat de providers zich niet in alle gevallen aan deze regelgeving houden. Bovendien blijkt de consument/internetgebruiker in veel gevallen niet op de hoogte te zijn van het feit dat zijn gegevens worden gebruikt of dat hij wordt geacht daartoe toestemming te hebben gegeven. Burgers zijn zich blijkbaar nog niet ten volle bewust van hun "privacysituatie". Een onderzoek zoals Klant in het web draagt in hoge mate bij aan het noodzakelijke bewustwordingsproces van de burger. Het onderzoek heeft veel aandacht gekregen in de media en er is ook op gereageerd door internetproviders, zelfs in de vorm van advertenties in landelijke dagbladen. In het rapport Klant in het web stelt de Registratiekamer een aantal spelregels voor. Die regels zijn mede op basis van de Wet bescherming persoonsgegevens ontwikkeld en vertalen de wettelijke regels in concrete regels voor de dagelijkse praktijk. Tussen de Registratiekamer en de Nederlandse Vereniging van internetproviders vindt overleg plaats. De internetproviders wordt enige tijd gegund hun privacybeleid aan te passen. Vanaf de inwerkingtreding van de WBP zal de Registratiekamer audits doorvoeren onder internetproviders. De Consumentenbond heeft plaatsing op een zwarte lijst in het vooruitzicht gesteld voor providers die de regels niet in acht nemen.

Voorzitter! De heer Rosenthal vraagt nog eens in te gaan op het gebruik van de zogenoemde privacy enhancing technologies, ofwel PETS. Zoals ik reeds eerder heb vermeld, voorziet het wetsvoorstel in artikel 13 in het gebruik van PETS. Het is duidelijk dat, hoe verder de informatiemaatschappij voortschrijdt, des te groter de rol van PETS zal worden. Dit blijkt ook uit het onderzoek van de Registratiekamer dat ik zojuist aanhaalde. Het gebruik van PETS heeft de volle aandacht van de Registratiekamer. In haar rapporten gaat de Registratiekamer meer in detail op deze materie in. Op die manier wordt reeds voor een deel voldaan aan de noodzaak om meer praktische regels uit te werken. Daarnaast is het aan het bedrijfsleven om zelf initiatieven op dit terrein te ondernemen.

Voorzitter! Mevrouw De Wolff vroeg aandacht voor een aantal reeds indertijd door de commissie-Koopmans genoemde risicogebieden. Zo vroeg zij naar het zelfbeschikkingsrecht van de burger inzake de omtrent hem door anderen verwerkte gegevens. In het Duitse recht wordt een dergelijk recht erkend. In de toelichting op het wetsvoorstel heeft de regering afstand genomen van een dergelijk zelfbeschikkingsrecht in Nederland. Het wetsvoorstel kent enerzijds rechten toe aan de betrokkene, bijvoorbeeld het recht op kennisneming en op verzet, en anderzijds aan de verantwoordelijke, bijvoorbeeld het recht persoonsgegevens te verwerken indien hij daarbij een rechtvaardig belang heeft en het belang van de betrokkene niet zwaarder dient te wegen. Uitdrukkelijk is niet het belang van de ene als principieel zwaarder aangemerkt dan het belang van de ander. Beide partijen hebben ieder eigen rechten. Geen der partijen kan in beginsel een eigendomsrecht doen gelden op persoonsgegevens waar het recht van de ander slechts een uitzondering op zou zijn.

Voorzitter! De heer Holdijk vraagt aandacht voor de studie van het Rathenau-instituut in verband met twee vermeende tekortkomingen in het wetsvoorstel. Het eerste betreft de zogenoemde informatiestalking, het ongevraagd lastigvallen van mensen met informatie. Ik begrijp dit niet goed, omdat artikel 41 van het wetsvoorstel een gedetailleerde regeling bevat inzake direct marketing, hetzij voor commerciële hetzij voor charitatieve doeleinden. Indien iemand laat weten dat hij niet gediend is van dergelijke informatie moet de verantwoordelijke de gegevensverwerking met dit doel achterwege laten. Neemt de betrokkene geen initiatief dan kunnen bedrijven en charitatieve instellingen binnen de randvoorwaarden van de wet ongevraagd informatie toesturen of betrokkene opbellen. De betrokkene dient wel telkens op eenvoudige wijze in de gelegenheid te worden gesteld om bezwaar te maken. Worden oproepapparaten gebruikt om iemand langs geautomatiseerde weg op te bellen dan dient de betrokkene vooraf daarvoor ondubbelzinnig toestemming te geven. Dit is geregeld in de Telecommunicatiewet. Deze toestemming mag niet zonder meer worden voorondersteld, indien dit recht in algemene voorwaarden is bedongen.

Het tweede punt betreft de risicoanalyse. De toepassing van groepsprofielen op een individuele persoon betreft het gebruik van een persoonsgegeven en valt derhalve onder de werking van de wet. Het gebruik van persoonsgegevens voor de vervaardiging van groepsprofielen is een vorm van in het algemeen toelaatbaar geacht statistisch gebruik. Het groepsprofiel als zodanig valt evenwel buiten de werking van de wet.

Naar aanleiding van de vraag van de heer Witteveen wil ik nog even ingaan op het begrip persoonsgegevens. Inderdaad valt het gebruik van groepsprofielen niet rechtstreeks onder de wet. Denk bijvoorbeeld aan de constatering dat alle jongeren onder de 21 jaar een grotere kans op ongelukken maken. Een ander voorbeeld is de verbinding van bepaalde postcodegroepen met bepaalde kenmerken. Voor het opstellen van groepsprofielen zijn vaak wel persoonsgegevens nodig. Artikel 9, derde lid, duidt dit als een vorm van toelaatbaar verder gebruik van persoonsgegevens voor statistische doeleinden, mits toereikend is verzekerd dat de gegevens niet tevens voor andere doeleinden kunnen worden gebruikt. Wanneer het groepsprofiel evenwel wordt toegepast op een individuele persoon, gaat het wel weer om een persoonsgegeven. De betrokkene wordt daardoor immers op een andere manier in de samenleving bejegend. Wanneer het groepsprofiel langs geautomatiseerde weg tot stand is gekomen, zal de betrokkene daarover mededelingen kunnen vragen aan de verantwoordelijke op grond van artikel 42, vierde lid, indien hij daardoor niet in aanmerking komt voor een contract onder de gebruikelijke voorwaarden. Artikel 42 van het wetsvoorstel bepaalt dat niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens, bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.

In antwoord op de vraag van de heer Schuyer wijs ik erop dat de ratio van deze bepaling is, dat dergelijke besluiten niet worden genomen, zodat er dan ook geen sprake is van rechtsgevolgen. De artikelen 4:7 en verder van de Algemene wet bestuursrecht voorzien in waarborgen om te voorkomen dat dergelijke besluiten worden genomen. Het gaat hier met name om het horen van aanvragers van een beschikking of het horen van belanghebbenden of derden-belanghebbenden. Wordt een dergelijk besluit desondanks genomen, dan staan de normale mogelijkheden van bezwaar en beroep open om het besluit te laten vernietigen.

Voorzitter! De heer Witteveen wijst erop dat in het kader van de voorlichting over dit wetsvoorstel het noodzakelijk is een brede maatschappelijke discussie te bevorderen binnen instellingen, organisaties en maatschappelijke velden waar men op een of andere manier privacygevoelig opereert. Men ziet hier een duidelijke taak weggelegd voor het College bescherming persoonsgegevens. Ik onderken het belang om door middel van discussie te bevorderen dat het privacybewustzijn en de deskundigheid op dit terrein maatschappelijk zo breed mogelijk worden gedeeld. Ik meen dat de functionaris voor de gegevensbescherming hier ook een belangrijke rol in kan vervullen. Hij kan een discussie stimuleren over de concrete invulling van de privacynormen in zijn specifieke sector. Deze discussie zou vervolgens zijn neerslag kunnen vinden in een gedragscode. Kortom, in de WBP zelf zitten al verschillende elementen om de door de leden gewenste discussie op gang te brengen. Afgezien daarvan zal ook ik het College bescherming persoonsgegevens door middel van symposia en dergelijke zijn bijdrage laten leveren aan een dergelijke discussie.

Voorzitter! Vrijwel alle sprekers gingen in op de wenselijkheid van een bruikbaar en toegankelijk wetsvoorstel. Zij vroegen naar de stand van zaken met betrekking tot de voorlichting en hoe het staat met de handleiding. In mijn inleiding sprak ik reeds over het belang van kenbaarheid van de wet en over de noodzaak de algemene beginselen van de wet verder uit te werken. Enkele leden vroegen om meer gedetailleerde informatie en om de stand van zaken bij de voorlichting en de opstelling van de handleiding. Daarover kan ik het volgende melden. In januari 1998 is een projectgroep voorlichting WBP gestart met de voorbereiding van een voorlichtingscampagne. In deze projectgroep zitten ambtenaren van de ministeries van Justitie en van BZK en medewerkers van de Registratiekamer. Gekozen is voor een tweesporenbeleid. Dat wil zeggen, aan de ene kant een campagne, gericht op de burger als bij de verwerking van persoonsgegevens betrokkene, en aan de andere kant een campagne, gericht op de verantwoordelijke verwerkers van persoonsgegevens. In de voorlichtingscampagne, gericht op de burger, ligt de nadruk op het informeren van de burger over de invoering van het nieuwe wetsvoorstel. Daarbij zal hij worden gewezen op de rechten die hij naar aanleiding van dit wetsvoorstel zal hebben, zoals het recht op verzet en het recht, geïnformeerd te worden door verantwoordelijke over het doel van de verwerking van zijn persoonsgegevens en de identiteit van de verantwoordelijke. Hiermee wordt de burger in staat gesteld, zelf te bepalen of hij van die rechten gebruik wil maken in verband met de bescherming van zijn persoonlijke levenssfeer. De burger wordt door radio- en televisiespots geattendeerd op de nieuwe wet en er zijn brochures bij postkantoren en bibliotheken verkrijgbaar, waarin wordt ingegaan op de WBP. Met vragen kan de burger terecht bij de informatielijn van Postbus 51 en de internetsites van de Registratiekamer en het ministerie van Justitie. De concepten van de brochure en de radiospots zijn inmiddels gereed. De campagne zal starten op de datum van inwerkingtreding van de WBP.

De voorlichtingscampagne voor de verantwoordelijke verwerkers van persoonsgegevens heeft tot doel, de personen en organisaties die persoonsgegevens verwerken, te informeren en hen bewust te maken van de veranderingen en de vereisten waaraan zij na inwerkingtreding van dit wetsvoorstel moeten voldoen. In deze voorlichting wordt direct aangesloten bij informatiebehoeften en initiatieven van de brancheorganisaties. De voorlichting loopt deels via de koepelorganisaties in de verschillende branches en deels rechtstreeks vanuit de Registratiekamer. Het is van belang dat de gegevensverwerkers tijdig worden geïnformeerd, aangezien de wetswijzigingen gevolgen kunnen hebben voor de organisatie, bijvoorbeeld omdat de automatiseringsystemen moeten worden aangepast. Op 28 april jongstleden heeft de Registratiekamer met het oog hierop een brief gestuurd naar de diverse koepelorganisaties, met een aankondiging dat de WBP door de Tweede Kamer aanvaard was. In deze brief is kort aangegeven waarom tijdige voorlichting belangrijk is en welke voorlichtingsmiddelen met het oog daarop zullen worden ontwikkeld. De Registratiekamer zal de verschillende organisaties ondersteunen in hun voorlichtende activiteiten aan de achterban. Waar nodig zal zij organisaties actief benaderen en informeren over de inhoud en consequenties van dit wetsvoorstel voor hun organisatie. De Registratiekamer zal ook sectorale informatie over de WBP via haar internetsite aanbieden.

Ten slotte wordt er op dit moment gewerkt aan een WBP-handleiding. Deze handleiding moet tot stand komen met betrokkenheid van de diverse brancheorganisaties. Het ligt in het voornemen, in september een eerste concepthandleiding gereed te hebben. De definitieve handleiding zal op de internetsite van het ministerie van Justitie worden gezet.

De heer Rosenthal (VVD):

Mij spreekt deze inventarisatie van voornemens om tot heldere en eenvoudige voorlichting aan de burger te komen bijzonder aan. Maar hoe zit het met datgene wat daaraan voorafging, namelijk de mededeling dat de minister wel voelt voor een brede maatschappelijke discussie over deze materie? Aan de ene kant wil de minister naar mijn oordeel terecht duidelijkheid creëren. Hij wil meedelen wat er gaat gebeuren. Aan de andere kant liggen de zaken nog vrij open en kan het nog alle kanten op, want de minister spreekt over een brede maatschappelijke discussie.

Minister Korthals:

Ik meen dat ik in een eerder stadium al gezegd heb dat wij zullen meewerken aan symposia en conferenties over dit onderwerp, juist om een maatschappelijke discussie tot stand te brengen. Als ik dat nog niet gezegd heb, heb ik het bij dezen gezegd.

De heer Rosenthal (VVD):

Het gaat er juist om dat die toezegging mij wat diffuus voortkomt in relatie tot de stringente lijn die de minister naar mijn oordeel terecht wil volgen bij de voorlichting aan en de communicatie met de bevolking. Ik vraag mij af, hoe je die twee zaken met elkaar moet rijmen. Ik had verwacht dat die brede maatschappelijke discussie eerder zou hebben behoord bij het voortraject van de wetgeving dan bij het moment waarop de wet er ligt. Nu gaat het erom aan de bevolking duidelijk te maken wat de wet voorstelt.

Minister Korthals:

Laat ik vooropstellen dat er natuurlijk enorm gediscussieerd is over de richtlijn en over het voorliggende wetsvoorstel. Dat heeft zelfs geleid tot een nota van wijziging in de Tweede Kamer die weer voor een deel door de Tweede Kamer tenietgedaan is. Bij de voorbereiding van dit wetsvoorstel hebben wij geprobeerd zoveel mogelijk maatschappelijke groeperingen daarbij te betrekken, waaronder de Consumentenbond, in feite de vertegenwoordiging van de gewone burger. Die is zeer nauw erbij betrokken geweest. Wij gaan op de ingeslagen weg door. Ik heb reeds aangegeven wat wij allemaal nog in petto hebben aan voorlichting en aan discussies die moeten plaatsvinden. Maar ergens is er natuurlijk een grens aan hetgeen de overheid kan doen. Wij moeten zoveel en zo goed mogelijk voorlichten. Wij moeten duidelijk maken aan de burgerlijke bevolking waarmee zij geconfronteerd zal worden. Velen weten dat overigens al, omdat de Wet op de persoonsregistratie al bestaat. Er zal nadrukkelijk worden gewezen op de veranderingen in de nieuwe wet ten opzichte van de oude wet.

De heer Rosenthal (VVD):

Nog één keer, voorzitter! Is de minister het niet met mij eens dat, ondanks hetgeen door de heer Witteveen naar voren is gebracht, er op dit moment eigenlijk geen behoefte zou moeten zijn aan een brede maatschappelijke discussie over wat dit wetsvoorstel impliceert?

Minister Korthals:

Wij hebben in het verleden al vaker brede maatschappelijke discussies gehad. Het is altijd de vraag, in hoeverre die succesvol en noodzakelijk zijn. Ik heb de opmerking van de heer Witteveen zo begrepen, dat hij vond dat de bevolking nauw betrokken zou moeten zijn bij wat er gebeurt: een hele expliciete voorlichting aan burgers en bedrijven. Ik heb aangegeven langs welke wegen wij dat zullen doen.

De heer Schuyer vroeg zich af, op welke manier de betrokkenen na beëindiging van de voorlichtingscampagnes op de hoogte gehouden worden. Wat voor andere wetten geldt, geldt ook voor de WBP. Een wet is geen statisch instrument maar ontwikkelt zich onder invloed van gebruik en jurisprudentie. Omdat de WBP zo algemeen van aard is, zullen de in het wetsvoorstel neergelegde beginselen op zich niet veranderen. Hierop zal ook het voorlichtingsmateriaal worden afgestemd. Het is dus niet zo dat dit materiaal binnen de kortste keren verouderd is en dus niet meer bruikbaar. Ter vergelijking wijs ik op het boekje "De WPR: vragen en antwoorden", dat door de Registratiekamer in 1992 is uitgegeven en dat op dit moment nog steeds bruikbaar is.

De heer Rosenthal wijst op de veelheid van bevoegdheden die aan het CBP zijn toevertrouwd: toezichthouden, normstellen, goedkeuren gedragscodes, adviseren en handhaven. Hij is bang voor een belangenverstrengeling. Ik denk dat hij ergens in zijn achterhoofd denkt aan het Copola-arrest dat in feite hiervoor wel enige betekenis heeft. Deze belangenverstrengeling is ook een punt van zorg geweest voor VNO/NCW. Dit is onder meer tot uiting gekomen in de kritiek op de uitbreiding van de bevoegdheden van de Registratiekamer met de bestuurlijke boete. Die kritiek is voor mij aanleiding geweest om bij nota van wijziging de bestuurlijke boete te schrappen. U weet hoe die discussie is afgelopen. De meerderheid van de Tweede Kamer heeft bij amendement de regeling van de bestuurlijke boete weer in het wetsvoorstel doen opnemen. Ik heb het oordeel daarover aan de Tweede Kamer overgelaten. Het is van belang dat het CBP in het door hem op te stellen bestuursreglement extra aandacht besteedt aan deze problematiek. Zo heb ik het vervolgens ook verwoord in de Tweede Kamer. Het bestuursreglement behoeft mijn goedkeuring. Ik heb mij voorgenomen het conceptreglement op dit punt zorgvuldig te bestuderen en te toetsen. Kort gezegd, ik heb dus wel gevoel voor het argument van de heer Rosenthal, maar wij kunnen het probleem ondervangen door een heel goede en nauwkeurige toetsing van het bestuursreglement.

De heer Schuyer wijst erop dat de benoeming van een functionaris voor de gegevensbescherming niet verplicht is. Dat klopt. Hij gaat ervan uit dat het met de benoeming van dergelijke functionarissen niet storm zal lopen. Het is moeilijk daarover nu reeds een oordeel te geven, maar ik wijs er nogmaals op dat de benoeming van zo'n functionaris als voordeel heeft dat er niet aan het CBP behoeft te worden gemeld. Daarnaast wijs ik op het feit dat de gegevensfunctionaris niet in de plaats van het CBP treedt. Het is duidelijk dat in een aantal sectoren driftig aan zelfregulering wordt gewerkt teneinde de uitvoering van de Wet bescherming persoonsgegevens soepel te laten verlopen. Daarbij komt dat het CBP in essentie dezelfde taak krijgt als de Registratiekamer nu reeds heeft. Al deze factoren bij elkaar wijzen erop dat de Registratiekamer naar mijn idee voldoende is uitgerust om binnenkort de taken van het CBP te gaan vervullen.

De heer De Jong vraagt wie verantwoordelijk is voor de elektronische versie van het aanmeldingsformulier dat door de Registratiekamer wordt ontwikkeld. De artikelen 27 en 28 van de WBP laten de mogelijkheid open zowel schriftelijke als elektronische gegevensverwerkingen te melden bij het College bescherming persoonsgegevens. Op grond van artikel 28, vijfde lid, kan de minister van Justitie bij of krachtens AMvB nadere regels stellen over de wijze waarop de melding dient te geschieden. Ik ben voornemens de wijze van melding te regelen in een nog tot stand te brengen meldingsbesluit. Ten aanzien van het op elektronische wijze aanmelden van gegevensverwerkingen zullen wellicht nog nadere regels nodig zijn. De randvoorwaarden, waaraan de melding dient te voldoen, liggen daarmee vast. Het systeem dat de Registratiekamer ontwikkelt ten behoeve van het elektronisch aanmelden, dient te voldoen aan deze vereisten. De wijze waarop aan deze vereisten invulling wordt gegeven, is echter de verantwoordelijkheid van de Registratiekamer. Het systeem van elektronisch aanmelden wordt in directe afstemming met daarbij betrokken personen en instellingen ontwikkeld. Een gebruikerspanel, waarin zowel grote als kleine organisaties zitting hebben, test het systeem op diverse locaties.

De heer Schuyer stelde een vraag over de positie van de functionaris voor de gegevensbescherming. Ik ben voornemens bij nota van wijziging bij het wetsvoorstel Wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens te komen met een tekstvoorstel om artikel 63 WBP beter af te stemmen op artikel 21 van de Wet op de ondernemingsraden. Op die manier wordt toegekomen aan de bezwaren tegen de formulering van het huidige artikel 63.

De heer De Jong vroeg naar een vergelijkend onderzoek binnen de Europese Unie naar de regelgeving over wat wij in ons land bijzondere politieregisters noemen. In de meeste landen van de EU valt de politie gewoon onder de algemene privacywetgeving, met hier en daar een enkele op de politie toegespitste uitzondering Verder kennen verschillende landen bijzondere regels voor de bescherming van gegevens in het Wetboek van strafvordering. Nederland is één van de weinige landen die voor de politie sectorale wetgeving kent. Toch is er een tendens tot harmonisatie binnen de EU. Ik wijs op het aparte artikel over de bescherming van persoonsgegevens in de recent tot stand gekomen EU-overeenkomst inzake wederzijdse rechtshulp in strafzaken. Het is verder de bedoeling om de Wet politieregisters te vervangen door een nieuwe wet, waarbij net als in de WBP niet meer wordt uitgegaan van registraties of registers, maar van het ruimere begrip "gegevensverwerking" dat elke handeling met geautomatiseerd verwerkte persoonsgegevens omvat. Daarbij zullen ook de ervaringen van de politie met de bestaande wet worden bezien. De versterkte samenwerking van de politie met maatschappelijke partners noopt tot ruimere mogelijkheden om persoonsgegevens met deze partners te kunnen delen. Daarvoor is temeer aanleiding nu de gegevens van de politie in handen van deze maatschappelijke partners onder de aangepaste bescherming van de WBP zullen vallen.

De heer De Jong vroeg naar de harmonisatie van regelgeving inzake politieregisters in de verschillende lidstaten. Een EU-raadswerkgroep bestudeert de mogelijkheden om bij samenwerking in de politie- en justitiesector tot gemeenschappelijke regels inzake de bescherming van persoonsgegevens te komen. Ik kan zeggen dat Nederland hieraan een substantiële bijdrage levert.

Verder vroeg de heer De Jong naar een concrete casus, waarbij de politie een externe hulpverlener inschakelt om mishandeling in een gezin tegen te gaan. Aannemende dat de betrokkene geen toestemming geeft tot verwerking van zijn gegevens, is dit dan desondanks toegestaan? Het antwoord luidt: in beginsel niet. In de praktijk doen zich echter vaak aanvullende omstandigheden voor die verwerking van gevoelige gegevens toch mogelijk maken. De hulpverlener die medische gegevens verwerkt, mag op grond van artikel 21, derde lid, in aanvulling daarop ook strafrechtelijke gegevens verwerken, voorzover dat noodzakelijk is voor een goede behandeling of verzorging van de betrokkene. De toestemming van de betrokkene is daarbij niet relevant. Dit kan de reclassering zijn, maar ook een andere externe hulpverlener.

Overigens meen ik dat een hulpverlener in veel gevallen zijn taak kan verrichten zonder te beschikken over concrete gegevens over gepleegde strafbare feiten. Zonder samenhang met medische gegevens moet in voorkomende gevallen worden teruggevallen op een ontheffing door het College bescherming persoonsgegevens, zoals voorzien in artikel 23, eerste lid, onder e. Dit lijkt mij een juiste benadering, omdat in beginsel moet worden uitgegaan van de vrijheid van de burger om hulpverlening te vragen. Het repressieve apparaat van de overheid, waarbij de toestemming van de betrokkene per definitie ontbreekt, heeft zijn eigen wettelijke bevoegdheden. Er moet niet te snel worden aangenomen dat er tussen de vrijheid van de burger en het repressieve apparaat veel ruimte bestaat voor goedwillenden die tegen de zin van de burger zonder wettelijke bevoegdheden inbreuk maken op zijn grondrechten.

Van verschillende kanten is gevraagd naar het verband tussen de bepaling over de persoonsgegevens over erfelijke eigenschappen in artikel 21, vierde lid, en het strafrechtelijk onderzoek. Deze bepaling sluit uit dat erfelijke gegevens van de een worden gebruikt voor iemand anders uit dezelfde genetische lijn. Voor het strafrechtelijk onderzoek houdt dit in dat beschikbare DNA-gegevens van de vader niet kunnen worden gebruikt ingeval de zoon verdachte is van een strafbaar feit. Vergelijking van DNA-sporen bij een misdrijf kan slechts plaatsvinden met DNA-materiaal dat is verkregen van een verdachte. Daartoe strekken de bepalingen in het Wetboek van Strafvordering. De voorstellen tot aanpassing van deze bepalingen hebben alle betrekking op DNA-materiaal dat afkomstig is van de verdachte. De bedoeling is dat iemand in Nederland niet toevalligerwijs makkelijker is op te sporen, omdat iemand anders in zijn familie in de DNA-databank van het Nederlands forensisch instituut voorkomt.

De heer Holdijk heeft ook vragen gesteld over erfelijke gegevens. Hij verwees daarbij naar de bijdrage die in 1988 bij de totstandkoming van de Wet persoonsregistraties is geleverd door een van de partijen die hij vertegenwoordigt. Het zal hem deugd doen, te vernemen dat artikel 21, vierde lid, van het wetsvoorstel het boven de individuele persoon uitreikende gebruik van erfelijkheidsgegevens in beginsel verbiedt, tenzij binnen zekere grenzen voor geneeskundig of wetenschappelijk onderzoek. Ik meen dat daarmee voor een groot deel is voldaan aan de bedoeling van zijn partijgenoten bij de voorbereiding van de Wet persoonsregistraties. De bepaling beoogt het gebruik van erfelijkheidsgegevens te individualiseren. Het gebruik is beperkt tot de persoon van wie de gegevens afkomstig zijn, zodat het gebruik van die gegevens met betrekking tot andere personen in dezelfde genetische lijn wordt verboden.

Dit is enerzijds een bijzondere regel over erfelijkheidsgegevens. Algemene bepalingen in ander wetten over de verstrekking van gegevens moeten wijken voor deze speciale regel. Anderzijds is het een algemene regel over erfelijkheidsgegevens. Zijn er bijzondere wetten die iets speciaal over erfelijkheidsgegevens regelen, dan zetten die bijzondere wetten deze algemene regel opzij. Ik noem als voorbeeld de Wet op de medische keuringen die bijzonder bepalingen over erfelijkheidsgegevens bevat.

De heer Rosenthal vroeg aandacht voor de bepaling over erfelijke gegevens. Ik moet erop wijzen dat artikel 21, vierde lid, over erfelijke gegevens slechts de regels bevat dat deze niet bovenpersoonlijk mogen worden gebruikt. Wat er verder met erfelijke gegevens mag worden gedaan, hoort thuis in de sectorale regelgeving. Het gebruik van DNA-gegevens vindt zijn regeling in het Wetboek van Strafvordering. Het gebruik van erfelijke gegevens door werkgevers en verzekeraars wordt geregeld in de Wet op de medische keuringen. Nadere regelgeving zal in nieuwe sectorale regels kunnen en moeten plaatsvinden. Wanneer echter niets bijzonders wordt geregeld over het bovenpersoonlijk gebruik geldt de regel van de WBP dat een dergelijk gebruik niet is toegestaan.

Het komt geregeld voor dat organisaties met publieke taken daarnaast ook commerciële activiteiten ondernemen. Dit zijn de zogenoemde hybride organisaties. Deze organisaties mogen voor de uitvoering van hun publieke taken, voorzover noodzakelijk, een beroep doen op gegevens uit de gemeentelijke basisadministratie persoonsgegevens (GBA). De voor de publieke taken verkregen persoonsgegevens mogen door een dergelijke organisatie echter niet worden gebruikt voor de commerciële taak. Dat betekent dat een hybride organisatie een scheiding tussen de publieke en private taken moet aanbrengen, bijvoorbeeld door het treffen van technische voorzieningen. De Registratiekamer kan hierop controle uitoefenen en straks onder de werking van de WBP zonodig ook sancties opleggen.

Desalniettemin moeten wij onderkennen dat verstrekking van gegevens aan dergelijke hybride organisaties een privacyrisico meebrengt. De Registratiekamer kan immers niet alle hybride organisaties aan een onderzoek onderwerpen. Om die reden heb ik de commissie modernisering GBA gevraagd, zich in haar advisering tevens over deze problematiek uit te laten. Indien daartoe aanleiding bestaat, kunnen nadere voorzieningen of maatregelen worden getroffen om eventueel ongeoorloofd gebruik door hybride organisaties van persoonsgegevens die afkomstig zijn uit de GBA tegen te gaan.

Ik wil de advisering van de onafhankelijke commissie modernisering GBA op dit punt wel afwachten. Ik zal uiteraard de Registratiekamer bij dit onderwerp blijven betrekken. Ten overvloede merk ik nog op dat de commissie ernaar streeft het advies uit te brengen rond 30 september met een mogelijke uitloop tot 30 november van dit jaar.

De heer Schuyer heeft mij gevraagd nog eens uit te leggen hoe de begrippen ondubbelzinnige en uitdrukkelijke toestemming in de richtlijn terecht zijn gekomen. Ondubbelzinnige toestemming is een van de gronden die de verwerking van persoonsgegevens rechtvaardigen. Ondubbelzinnig betekent dat er bij de verantwoordelijken geen twijfel bestaat over de vraag of de betrokkene zijn toestemming heeft gegeven. Indien er wel twijfel bestaat, dient de verantwoordelijke op eigen initiatief bij betrokkene te informeren of hij/zij inderdaad instemt met de verwerking. Als voorbeeld noem ik algemene voorwaarden die van toepassing zijn op het sluiten van een overeenkomst. Indien in dergelijke voorwaarden wordt bepaald welke gegevens er voor welk doel en door wie verwerkt worden, wil dat nog niet automatisch zeggen dat betrokkene daartoe ondubbelzinnig zijn toestemming heeft gegeven, enkel omdat hij de betreffende overeenkomst heeft ondertekend. In zo'n geval is meer vereist. De verantwoordelijke zal de betrokkene duidelijk moeten wijzen op de betreffende bepalingen in de algemene voorwaarden. Dit geldt overigens ook ten aanzien van het verwerken van persoonsgegevens door internetproviders en dienstverleners. Uitdrukkelijke toestemming is vereist om het verbod op het verwerken van gevoelige gegevens te kunnen doorbreken. In dat geval zal de betrokkene expliciet zijn wil kenbaar moeten maken. Dit gaat dus verder dan ondubbelzinnige toestemming. Impliciete toestemming zal in dit geval dus onvoldoende zijn.

Aan de tweede soort toestemming worden dus zwaardere eisen gesteld. De reden hiervoor is dat het om gevoelige gegevens gaat. Blijkens de overwegingen bij de richtlijn zijn dit gegevens die wegens hun aard, een inbreuk op de fundamentele vrijheden kunnen maken. Het betreft gegevens waarbij het gevaar loert van gebruik op een discriminerende wijze, dat wil zeggen een gebruik ten nadele van de betrokkene op grond van bepaalde eigenschappen van die betrokkene. Dit gevaar rechtvaardigt dat er strengere eisen aan die toestemming worden gesteld.

Voorzitter! De heer Witteveen heeft een vraag gesteld over de toestemming van minderjarigen. Toestemming is uitsluitend relevant indien niet een van de andere gronden uit artikel 8 van toepassing is. In beginsel zal een verantwoordelijke zich ervan moeten vergewissen dat de betrokkene meerderjarig is om te weten of toestemming van zijn wettelijke vertegenwoordiger vereist is. Ik geef toe dat dit soms moeilijk zal zijn, bijvoorbeeld bij het gebruik van het internet. In dat geval zijn er echter andere mogelijkheden. De ouders kunnen bijvoorbeeld op een eenvoudige manier ongewenste praktijken voorkomen door een juiste beveiliging van hun computer. Verder wijs ik erop dat dit niet een specifiek WBP-probleem is, maar meer een algemeen probleem dat voortvloeit uit de regeling van het Burgerlijk Wetboek.

Voorzitter! Verschillende sprekers hebben erop gewezen dat in het wetsvoorstel een onderscheid wordt gemaakt tussen informatieverstrekking aan betrokkene in geval de verantwoordelijke de persoonsgegevens heeft verkregen bij betrokkene en informatieverstrekking in geval de gegevens op een andere wijze zijn verkregen. Dit onderscheid vloeit voort uit de richtlijn en bestaat er voornamelijk uit, dat de betrokkene op een ander tijdstip wordt geïnformeerd. Artikel 34 volgt in de tijd op artikel 33 en is van toepassing op die gevallen waarop artikel 33 niet van toepassing is. Men dient te bedenken dat in het tweede geval de betrokkene reeds eerder geïnformeerd werd, namelijk ten tijde van de verkrijging van gegevens door de verantwoordelijke bij de betrokkene. Iedere verdere verwerking van gegevens door een ander dan de verantwoordelijke aan wie de betrokkene zijn gegevens heeft meegedeeld, is bovendien slechts toegelaten indien dat voor hetzelfde of een verenigbaar doel gebeurt. Dat wil zeggen dat verdere informatie met name relevant is om op de hoogte gesteld te worden van de identiteit van de nieuwe verantwoordelijke.

Voorzitter! Mevrouw De Wolff vroeg verder naar de overzichtelijkheid van de gegevensverwerking voor de betrokkene. Hoe kan hij weten waar gegevens over hem worden verwerkt? Dit is nu een van de punten waar de WBP duidelijk verdergaat dan de WPR. De informatieverstrekking aan de betrokkene is aangescherpt. De oude regel dat van informatieverstrekking kan worden afgezien indien de betrokkene redelijkerwijs kan weten dat zijn gegevens worden verwerkt, zal niet langer gelden. Nieuw is dat de betrokkene steeds zal moeten worden geïnformeerd tenzij hij feitelijk reeds op de hoogte is. Daarnaast zal van informatieverstrekking verder kunnen worden afgezien als de gegevens van derden zijn verkregen en de mededeling aan de betrokkene een onevenredige inspanning zou vergen. Bij de vraag naar de evenredigheid dient mede acht te worden geslagen op de inspanningen van de verantwoordelijke om de gegevensverwerking transparant te doen zijn.

Mevrouw De Wolff vroeg naar de aspecten waar de WBP meer waarborgen bevat dan de WPR. De informatieverstrekking aan de betrokkenen is een van de belangrijke aanscherpingen. Verder gaat de regeling van gevoelige en strafrechtelijke gegevens in het voetspoor van de richtlijn veel verder in detail dan het geval was onder de WPR. Tot slot wijs ik op de aanscherping van de protocolleringsplicht in het geval van een verstrekking die niet was aangemeld bij het College bescherming persoonsgegevens. De WPR was op dit punt minder duidelijk.

Mevrouw De Wolff vroeg verder aandacht voor de verwerking van persoonsgegevens in de verhouding tussen werkgever en werknemer. Ik wijs erop dat sinds een aantal jaren een belangrijke procedurele regel is opgenomen in de Wet op de ondernemingsraden. De ondernemingsraad heeft een instemmingsrecht inzake alle vormen van gegevensverwerking door de werkgever van gegevens over de werknemers. De werkgever kan dus geen gegevens verwerken over werknemers zolang de ondernemingsraad daar niet mee heeft ingestemd. Het ligt op de weg van de ondernemingsraden, een toereikende mate van detaillering van de regels te vragen indien hij ongerechtvaardigde vormen van gegevensverwerking vreest. Daarnaast ligt het op de weg van de sociale partners om aan dit onderwerp aandacht te geven. Pas wanneer zou blijken dat zij er samen niet uitkomen, is er reden om van overheidswege met nadere precisering van wetgeving te komen.

Zowel de heer De Jong als de heer Witteveen heeft gesproken over het gegevensverkeer met derde landen. Ik ben in mijn inleiding reeds uitgebreid ingegaan op de doorgifte van persoonsgegevens naar derde landen. Ik heb toen ook gezegd dat in een deel van de gevallen de verantwoordelijke een vergunning zal moeten aanvragen. In overleg met de Registratiekamer bezie ik momenteel hoe wij dergelijke aanvragen zo efficiënt mogelijk kunnen behandelen. De vraag van de heer Witteveen wanneer eigenlijk sprake is van doorgeven naar een land buiten de EU wil ik als volgt beantwoorden. Zijn vraag was eigenlijk als volgt. Is de vestiging van de verantwoordelijke of de locatie van de gegevensverwerking bepalend voor het antwoord op de vraag of er sprake is van een land buiten de EU? Bepalend is of de persoonsgegevens daadwerkelijk de EU verlaten en vervolgens in een derde land worden verwerkt, bijvoorbeeld omdat ze in een archief in de Verenigde Staten of op een harde schijf van een computer in Canada worden opgeslagen. Of de ontvanger van de gegevens een verantwoordelijke of een bewerker in de zin van de WBP is, doet er niet toe. In beide gevallen is er sprake van doorgifte en is hoofdstuk 11 van de WBP van toepassing. Daarnaast blijft iedere verwerking door een in Nederland gevestigd bedrijf onderworpen aan de andere bepalingen van de WBP.

De heer De Jong (CDA):

Voorzitter! In de eerste plaats dank ik de minister voor de uitgebreide beantwoording van de vragen die vanmiddag en vanavond, ook vanuit de CDA-fractie, zijn gesteld. Ik ben blij te horen dat er in Europees verband gezien enige voortgang is geboekt ten opzichte van de brief die de minister vorig jaar december heeft geschreven, doordat er nu een groot aantal landen heeft voldaan aan de verplichtingen die de richtlijn met zich brengt.

Over de vertraging zouden wij nog lang kunnen bespiegelen, maar daar veranderen wij de zaak niet meer mee. Ik wil nog wel op een bepaald punt wijzen. Wij hebben van de minister van Binnenlandse Zaken een brief gekregen op 25 mei jongstleden, waarin hij schreef dat de reactie op het rapport van de commissie-Franken ons bij gelegenheid van de begroting van Binnenlandse Zaken en Koninkrijksrelaties voor het jaar 2001 bekend zou worden gemaakt. Vorige week deelde de minister van Binnenlandse Zaken mee dat hij dat standpunt voor de mondelinge behandeling van de begroting in de Tweede Kamer aan ons bekend zal maken. Nu zegt de minister vanavond: nog dit jaar. Daar zit enige rek in en ik vraag de minister om precisering. Hij zal begrijpen dat onze fractie hecht aan het uiterlijke tijdstip dat de minister van BZK in zijn brief van vorige week heeft gemeld.

Mijn tweede punt voor deze tweede termijn betreft de systematiek. Ik heb de minister goed begrepen over de verhouding tussen misbruik en gebruik, maar heb er nog wel een vraag over. De Raad voor het openbaar bestuur heeft dit voorjaar in zijn rapport "ICT en het recht om anoniem te zijn" gepleit voor meer privaatrechtelijke sancties in het privacyrecht, in de vorm van schadevergoedingen. Ik vraag de minister hoe het kabinet daar tegenaan kijkt, gelet op het feit dat op het moment dat de Raad voor het openbaar bestuur hierover adviseerde, de inhoud van het wetsvoorstel dat wij vanavond bespreken, volledig bekend was en de raad dus kennelijk vond dat de wet in relatie met het Wetboek van burgerlijke rechtsvordering en het BW niet toereikend zou zijn.

De CDA-fractie heeft met veel instemming kennis genomen van hetgeen de minister, mede in aanvulling op de memorie van antwoord, heeft gezegd over de aspecten van het wetsvoorstel die betrekking hebben op voorlichting en communicatie, de opzet en de verwerking van de formulieren en het onderzoek naar de administratieve lasten. Wij begroeten dat onderzoek met grote instemming en zijn benieuwd naar de resultaten ervan. Wij gaan er uiteraard van uit dat de minister bereid zal zijn om deze resultaten ook aan deze Kamer over te leggen.

Met belangstelling hebben wij kennis genomen van de antwoorden van de minister op onze vragen over "de politieregisters en het huiselijk geweld", om het zo samen te vatten. Wij zien de initiatieven van de minister inzake met name de politieregisters met grote belangstelling tegemoet.

Een belangrijk punt voor ons is nog wel de vraag, hoe het precies zit met de exportlicenties. Ik besef overigens dat ik het de minister hier niet gemakkelijk mee maak. In de toelichting op de nota van wijzigingen op wetsvoorstel 26410 zegt de minister over de gemeenten: "Mocht een rechtstreekse gegevensverstrekking met een buitenlandse instantie of persoon gewenst of noodzakelijk zijn, dan zal inderdaad daaraan voorafgaand een zelfstandig onderzoek dienen te worden verricht naar de bescherming van de persoonlijke levenssfeer in het land waaraan de gegevens verstrekt zullen worden. Daartoe kunnen de regelgeving van het land en de relevante handboeken worden geraadpleegd. Ook is het mogelijk nadere informatie in te winnen bij Nederlandse overheidsinstanties en in het bijzonder bij het College bescherming persoonsgegevens. Dergelijke activiteiten zijn voor gemeenten niet ongewoon." Het lijkt er dus op dat volgens de minister gemeenten zelfstandig onderzoek verrichten naar het niveau van de bescherming van de persoonlijke levenssfeer in het derde land. In de stukken bij het voorliggende wetsvoorstel zegt de minister dat geen onderscheid wordt gemaakt in degene tot wie de norm is gericht. Of het nu een publieke of een private onderneming is, ze valt onder dezelfde normering. De conclusie zou dan moeten zijn dat een particuliere onderneming die gegevens wil exporteren, lang niet altijd een exportvergunning nodig heeft, ook als het land niet staat op de lijst die de Europese Commissie maakt en ook als artikel 77 niet van toepassing is. De onderneming zou dan alleen hoeven te zeggen dat er een adequaat niveau van bescherming is; dan zou die onderneming kunnen exporteren, ongeacht de vraag of ze een vergunning heeft. Ik zal dus graag de opmerkingen die in de stukken bij wetsvoorstel 26410 zijn gemaakt, in relatie gebracht zien met hetgeen de minister vanavond heeft gezegd over de exportlicenties.

Mijn laatste opmerking in tweede termijn betreft het College bescherming persoonsgegevens. Wij hebben van de minister begrepen dat het statuut van het college – waarmee ik het hele reglement van het college samenvat – in de richtlijn zelf vastligt. Toch zou mijn fractie eraan hechten wanneer bij de evaluatie van de wet op nationaal niveau en van de richtlijn op Europees niveau ook gekeken werd naar het functioneren van een college zoals dat in de richtlijn is voorzien en dus van ons College bescherming persoonsgegevens en wanneer daarbij heel specifiek die onderscheiden functies werden betrokken, ook in relatie tot elkaar. Als mocht blijken dat het functioneren van het college, zoals vastgelegd in de wetgeving en in de richtlijn, toch niet voldoet aan hetgeen wij ervan verwachten, dan nemen wij aan dat de minister bereid zal zijn om ook dat aspect in Brussel ter discussie te stellen.

De heer Witteveen (PvdA):

Voorzitter! Ik dank de minister voor zijn antwoorden die niet alleen voor ons, maar ook voor de lezers van deze Handelingen verhelderend zullen zijn geweest.

Ik kan mij voorstellen dat de minister op dit moment geen behoefte heeft aan heel andere uitgangspunten voor de privacywetgeving omdat hij ook gebonden is aan hetgeen er nu ligt en van daaruit verder moet worden gewerkt. Ik constateer wel dat de opzet die wij nu hebben tot gevolg heeft dat het voor betrokkenen extra moeilijk is om op momenten dat activiteiten van verstrekkers hun (privacy)belangen schaden op te kunnen treden. Dat blijkt wel als je uitgaat van een systeem waarbij eerst doeleinden aanwezig zijn waarvoor mag worden verzameld, die in de loop van de tijd mogen veranderen. Naarmate je daar meer stappen van af raakt, wordt het minder transparant en dat geldt zeker bij die hybride organisaties. Ik stel daarom met de minister vast dat het belangrijk is dat betrokkenen worden geactiveerd om zich te verdiepen in hun privacysituatie en om indien nodig actie te ondernemen. Ik was dan ook blij met de opmerkingen van de minister over het belang van voortgaande discussie over privacy, het bewustwordingsproces dat op gang moet komen en de activiteiten voor het college, de privacyfunctionarissen, enz. die aan de orde kwamen in zijn betoog.

De heer Rosenthal kwam toen met een zeer interessante vraag, namelijk of al die discussie eigenlijk niet haaks stond op de behoefte aan duidelijkheid die in de voorlichting wordt nagestreefd. Ik denk dat hij gelijk heeft dat er een spanning tussen bestaat. Misschien zou die duidelijke voorlichting veel minder het karakter moeten hebben van een verhaal – nu vatten wij de wet even voor u samen – en meer de strekking moeten hebben van: bij privacy kunnen zich die en die problemen voordoen, als u die hebt, hebt u bepaalde rechten en kunt u zich wenden tot het college, tot de Consumentenbond en nog wat andere instellingen. Op die manier is het wellicht wel weer met elkaar te rijmen.

Ik wil nog een opmerking maken over die procedurele bepalingen. De minister zei terecht dat het aan de rechter is. Het is misschien ook wel te verwachten dat rechters geen grote verschillen in interpretatie zullen nastreven omdat die procedurele bepalingen minder ruimte laten voor interpretatie. Misschien ook wel omdat de achterliggende beginselen wat eenduidiger zijn. Maar ook daarvoor zou een discussie over wat privacy nu betekent de rechters kunnen helpen.

Een ander punt dat ik nog aan de orde wil stellen is dat van de minderjarigen. Zeker, ouders kunnen extra maatregelen nemen om te voorkomen dat hun kinderen onverstandige aanschaffingen doen en ze kunnen computers beveiligen. Ik heb gehoord dat de problemen gelegen zijn in het Burgerlijk Wetboek. Dat is natuurlijk wel vaker het geval en de vraag zou dan ook zijn of de systematiek van dat BW – dat toch als een van de functies heeft om minderjarigen te beschermen – nog wel toereikend is voor deze problemen. Het lijkt mij dat het uitgangspunt van de wet zelf is dat de burgers buitengewoon mondig moeten zijn om als betrokkene te kunnen optreden wanneer hun privacy in het geding is. Nu is minderjarigheid niet het moment waarop die mondigheid zich per se manifesteert. Integendeel, dat doet zich al vanaf een jaar of acht voor kan ik uit eigen ervaring verklaren. Toch is het bij minderjarigen moeilijker om zich als mondige burger op te stellen.

Ten slotte ben ik blij met de verheldering over het doorgeven van gegevens naar landen buiten de Europese Unie. De minister zegt dat het dan gaat om het daadwerkelijk verlaten van de persoonsgegevens naar gebieden buiten de Europese Unie. Het probleem is alleen dat ik uit de literatuur over ICT begrijp dat die plaats er niet meer toe doet. Ik vraag mij af wat er gebeurt als die gegevens op virtuele wijze de Europese Unie verlaten, ten dele elders worden bewerkt of in kopie elders worden bewerkt en tegelijkertijd toch nooit het territorium hier hebben verlaten. Dit soort raadsels kunnen zich tegenwoordig voordoen en ik denk dat de wetgever daarop weinig greep kan hebben.

De heer Rosenthal (VVD):

Mijnheer de voorzitter! De VVD-fractie is tevreden over de mededeling dat onderzoek wordt gedaan naar de administratieve lasten, alweer. In de afweging kosten/baten is het opvallend dat de minister zich bij de baten vooral richt op de e-commerce terwijl het naar ons oordeel bij de baten van de informatiesamenleving toch wel om zoveel meer gaat.

Er zijn twee punten waarvoor mijn fractie de aandacht van de minister wil vragen. In de eerste plaats betreft dit de voorlichting en communicatie. Bij interruptie is gesproken over de wenselijkheid van brede maatschappelijke discussies. Het was duidelijk dat de minister én heldere voorlichting én iets van een brede maatschappelijke discussie wel ziet zitten. Nu heb ik goed geluisterd naar alles wat de minister de revue heeft laten passeren: publiekrechtelijke partijen, privaatrechtelijke partijen waaronder bedrijven, individuele burgers en ook nog een nieuwe ster aan het firmament: hybride organisaties. Die moeten zich allemaal voegen in deze Wet bescherming persoonsgegevens. Naar ons oordeel is dan helderheid en strakke organisatie van de voorlichting prioriteit. Daar mag van alles omheen zitten en in een gezonde spanning met heldere en strakke voorlichting plaatshebben, maar heldere strakke voorlichting naar de bevolking en de verschil lende partijen daarbinnen moet toch prioriteit hebben.

Een laatste punt betreft het College bescherming persoonsgegevens. Wij vragen ons in gemoede af of wij – waar nu de Europese richtlijn artikel 28 ten tonele wordt gevoerd met betrekking tot de voeging van toezicht- en adviesfuncties in een orgaan – straks te maken krijgen met een kakofonie aan bepalingen uit het Europese, waarbij al dit soort functies naar elkaar worden toegebracht en op elkaar kunnen worden gestapeld. Dit roept de vraag op hoe dit zich verhoudt tot de meer in het algemeen in Nederland levende wens over zelfstandige bestuursorganen met betrekking tot duidelijkheid en scheiding van belangen en functies. Meer specifiek geldt dit voor de casus die wij nu hebben voorliggen van het College bescherming persoonsgegevens. Ik ben verheugd dat de minister zegt dat hij zorgvuldig zal kijken naar het bestuursreglement. Dat doet een minister natuurlijk bij elk bestuursreglement dat hij al dan niet goedkeurt. Wat gebeurt er echter als dat bestuursreglement is goedgekeurd? Op wat er in de praktijk gebeurt, heeft hij namelijk geen controle. De VVD-fractie steunt met het oog hierop de oproep van de heer De Jong om bij de evaluatie een en ander nogmaals te bezien. Wanneer mocht blijken dat het tot een cumulatie en een vermenging van bevoegdheden en verantwoordelijkheden binnen dat ene orgaan leidt, moet er metterdaad voor worden gezorgd dat er weer wat lucht en ruimte komt.

Voorzitter! Het viel ons op dat de minister in zijn beantwoording vooral diep inging op de bescherming van de persoonsgegevens. Dat is natuurlijk het onderwerp van vanavond, maar wij moeten daarbij niet uit het oog verliezen dat de informatiemaatschappij niet alleen schaduwzijden kent. De informatiemaatschappij biedt onze maatschappij namelijk ook grote voordelen.

Minister Korthals:

Voorzitter! Ik bedank de leden voor hun inbreng in tweede termijn.

De heer De Jong wees erop dat vertraging vanaf nu tot het verleden moet behoren. Ik wil hem er dan wel aan herinneren dat toen wij in 1998 aantraden er grote commotie was over het op dat moment voorliggende wetsvoorstel voor de bescherming van de persoonsgegevens. Ik heb er toen voor gekozen om met zoveel mogelijk partijen een zekere mate van consensus te bereiken. Zo heb ik het VNO en de Consumentenbond uitgenodigd voor een gesprek. Vervolgens ben ik met een nota van wijziging gekomen. Deze gang van zaken heeft uiteraard nogal wat tijd gekost. Het grote voordeel hiervan was dat bijvoorbeeld het VNO onlangs in een brief heeft aangeven dat men wel degelijk met dit wetsvoorstel kan leven. Er was hierdoor zeker sprake van enige vertraging, maar een en ander heeft wel geleid tot een breed draagvlak voor het wetsvoorstel. Het moet mij van het hart dat ik verheugd ben over die brede steun.

Ik ben verder blij dat de Kamer kan instemmen met de wijze waarop de voorlichting zal plaatsvinden. De heer Rosenthal heeft hierover met nadruk gesproken. Ik zeg dan ook vooral tegen hem dat ik natuurlijk van oordeel ben dat vanaf dit moment helder moet worden aangeven wat er met de Wet bescherming persoonsgegevens zal gebeuren. Een en ander neemt niet weg dat er over enige tijd een nadere discussie zal plaatsvinden. Hier ligt ook de verbinding met hetgeen de heer Witteveen over deze wet heeft gezegd.

Met name tegen de heer De Jong zeg ik dat de resultaten van de onderzoeken die zullen worden uitgevoerd naar de lasten, niet alleen aan de Tweede maar ook aan de Eerste Kamer zullen worden overlegd.

Men heeft gevraagd wanneer het kabinetsstandpunt komt over het rapport van de commissie-Franken. Ik heb hierop geantwoord dat dit aan het eind van dit jaar zal gebeuren. De hiervoor primair verantwoordelijke minister van Binnenlandse Zaken en Koninkrijksrelaties heeft echter aangegeven dat dit standpunt er voor de begrotingsbehandeling van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties zal zijn. Ik teken daarbij aan dat als de begrotingsbehandeling onverhoopt geen doorgang vindt in het jaar 2000, ik mijn toezegging gestand zal doen dat het regeringsstandpunt in 2000 bekend zal worden gemaakt.

Voorzitter! Ik kom tot de vraag inzake de exportlicenties. Kan een onderneming zelf oordelen over het adequate niveau van bescherming? Dat kan een onderneming in eerste aanleg zelf beoordelen. Dat oordeel kan vervolgens getoetst worden door de rechter, indien het wordt aangevochten. Ik denk dat het verstandig is contact op te nemen met het College bescherming persoonsgegevens dan wel met het ministerie van Justitie.

Ten aanzien van het punt dat de heren Witteveen en Rosenthal vanavond bijna zou doen scheiden, ben ik tot een compromis voor hen kunnen komen.

Ik kom tot de functies die het CBP heeft. Ik zeg toe dat dit bij de evaluatie heel nadrukkelijk wordt meegenomen. Wat dit college krijgt, is namelijk nogal wat. Daar is bewust voor gekozen, ook in de Tweede Kamer, overigens met mijn instemming. Het is belangrijk dat handhaving kan plaatsvinden en dat het niet allemaal richting de rechter gaat en het is dan misschien erg functioneel wanneer dat gebeurt door de mensen die ook het toezicht houden.

De heer Witteveen heeft gezegd: soms is het voor minderjarigen ingewikkeld zich mondiger op te stellen. Dit blijkt bij mijn kinderen overigens niet zozeer. In juridische zin heeft hij volledig gelijk, maar wij hebben er nu eenmaal in Nederland voor gekozen om kinderen tot hun achttiende jaar zich in veel gevallen te laten vertegenwoordigen door de ouders.

Voorzitter! Tot slot merk ik op dat wij er alles aan zullen doen om de voorlichting zo goed mogelijk te laten verlopen. Het is nog een heidens karwei. Ik ben de Eerste Kamer zeer veel dank verschuldigd dat zij dit wetsvoorstel nog voor het zomerreces heeft willen behandelen. Wij zijn er uiteraard te laat mee, maar in eerste termijn heb ik al aangegeven dat dit ook voor veel andere landen geldt. Ik denk dan ook dat de schade beperkt zal kunnen zijn en dat wij vrij spoedig aan de slag kunnen.