25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)

nr. 92b
VOORLOPIG VERSLAG VAN DE VASTE COMMISSIE VOOR JUSTITIE1

Het voorbereidend onderzoek gaf de commissie aanleiding tot het maken van de volgende opmerkingen en het stellen van de volgende vragen.

1. Algemeen

De leden van de CDA-fractie memoreerden dat het onderhavige wets- voorstel de implementatie vormt van de richtlijn nr. 95/46/EG van het Europese Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281). De implementatietermijn liep tot 23 oktober 1998.

Op 1 oktober 1996 heeft de toenmalige minister van Justitie bij de behandeling in de Eerste Kamer van het wetsvoorstel Wijziging van de in artikel 7 van de Wet persoonsregistraties opgenomen termijn voor het indienen van een voorstel van wet (24 516) op vragen van de woordvoerder van de CDA-fractie, Hirsch Ballin geantwoord dat het thans aan de orde zijnde wetsvoorstel in de eerste helft van 1997 kon worden ingediend bij de Tweede Kamer. Met grote stelligheid heeft de toenmalige minister beweerd het wetsvoorstel vóór 1 juni 1997 te zullen indienen. «Ik hoop dat wij niet straks moeten constateren dat wij in gebreke zijn met die datum van 23 oktober 1998. Ik doe er mijn best voor» (Handelingen I 1996–1997, 2, 1 oktober 1996, blz. 66–67). Het wetsvoorstel werd uiteindelijk op 14 februari 1998 aan de Tweede Kamer aangeboden. Al geruime tijd vóór 23 november 1995 moet het de toenmalige minister en haar ministerie duidelijk zijn geweest dat de genoemde Europese regelgeving tot nieuwe Nederlandse wetgeving moest leiden. Het voorstel voor de Europese richtlijn stamt uit 1990. Gelet op de Wet persoonsregistraties hadden aanvankelijk medio 1996 en later medio 1997 wetsvoorstellen ingediend moeten zijn. Op 1 oktober 1996 gaf de minister van Justitie aan dat uiterlijk 1 juni 1997 het thans aan de orde zijnde wetsvoorstel er zou zijn, zodat de implementatietermijn niet overschreden zou worden. De leden van de CDA-fractie vroegen een duidelijke verklaring voor de excessieve vertraging die bij de voorbereiding van het wetsvoorstel is opgetreden. Bij deze verklaring wilde deze fractie ook inzicht krijgen in het verloop van het planningsproces ten aanzien van het onderhavige wetsvoorstel sedert 1994.

Het wetsvoorstel is bij nota's van wijziging van 2 december 1998, 29 maart 1999 en 13 juli 1999 gewijzigd. Zeker de eerste, maar ook de laatste is als ingrijpende wijziging te kwalificeren. In het wetgevingsoverleg van 15 maart 1999 (Kamerstukken II, 25 892, nr. 8) is de vraag gesteld waarom het kabinet niet het advies van de Raad van State heeft gevraagd heeft over wijzigingen in het wetsvoorstel. Het door de minister van Justitie gegeven antwoord heeft de leden van de CDA-fractie niet kunnen overtuigen. Zij waren van mening dat bij een juiste prioriteitsstelling ten departemente er voldoende gelegenheid was geweest een «spoedadvies» aan de Raad van State te vragen.

Intussen is de Europese Commissie kort na de aanvang van het jaar 2000 een ingebrekestellingsprocedure tegen Nederland begonnen omdat de eerder genoemde Europese richtlijn niet tijdig is geïmplementeerd. De implementatiedatum is immers ruimschoots gepasseerd. De leden van de CDA-fractie gaven te kennen ingelicht te willen worden over de stand van zaken in die procedure. Ook wilden zij weten welke andere lidstaten ter zake van de implementatie van de genoemde richtlijn door de Europese Commissie in gebreke zijn gesteld. Hebben zij uit de bijlage bij de brief van de minister van Justitie van 7 december 1999 aan de Voorzitter van de Eerste Kamer (Kamerstukken 1999–2000, 25 892, Nr. 92a) mogen afleiden, dat Denemarken, Duitsland, Spanje, Ierland, Frankrijk, Luxemburg en het Verenigd Koninkrijk ook in gebreke zijn gesteld? Op dit punt zouden deze leden gaarne nadere specificaties ontvangen.

Sedert het verstrijken van de implementatietermijn per 23 oktober 1998 kan een ieder zich in en buiten rechte beroepen op de rechtstreekse werking van de Europese richtlijn. Waar het Nederlandse recht met de richtlijn strijdige bepalingen bevat, prevaleert de Europese richtlijn. Dat geldt ook ten aanzien van de Wet persoonsregistraties. De leden van de CDA-fractie stelden de vraag of er gevallen bekend zijn, in rechterlijke uitspraken, in de praktijk van de Registratiekamer of anderszins, waarin al dan niet met succes een beroep is gedaan op de rechtstreekse werking van de richtlijn. Indien deze vraag bevestigend beantwoord wordt, zo vroegen deze leden, valt daaruit dan lering te trekken voor de uitvoering en toepassing van het onderhavige wetsvoorstel?

De leden van de VVD-fractie zeiden kennis te hebben genomen van het gewijzigde voorstel van wet bescherming persoonsgegevens en de daaraan voorafgaande stukken. Zij toonden waardering voor het rechtsstatelijk verantwoorde evenwicht dat is gezocht en bereikt tussen de wenselijkheid van het functioneel gebruik van persoonsgegevens en het beschermen van persoonsgegevens. Zij hadden met instemming kennis genomen van de nadruk op zelfregulering in de verschillende branches van het bedrijfsleven.

De leden van de VVD-fractie onderkenden dat het voorstel van wet strekt tot implementatie van de Europese privacyrichtlijn 95/46/EG. Zij waren zich ook bewust van de ingewikkeldheid van de materie en van de snelle veranderingen waaraan deze onderhevig is. Dit neemt niet weg dat de leden van de VVD-fractie zich op al deze punten zorgen zeiden te maken.

Zoals in de memorie van toelichting (Kamerstukken II, 25 892, nr 3, blz. 5–6) wordt opgemerkt, biedt de Europese richtlijn 95/46/EG ruimte tussen een minimum en een maximum en zijn daarbij verschillende benaderingen mogelijk. Kan de minister, zeker ook na de vele wijzigingen die het oorspronkelijke voorstel van wet heeft ondergaan, nog eens precies duidelijk maken waar het wetsvoorstel boven de minimum-vereisten van de richtlijn uitkomt? En waarom?

De Wet bescherming persoonsgegevens moet vele functies in zich verenigen. Niet alleen gaat het om uitvoering van de EU-richtlijn van 24 oktober 1995 (deze richtlijn had al in ons nationale recht geïmplementeerd moeten zijn), ook vervangt de wet de Wet persoonsregistratie, levert de wet een uitwerking van de Grondwet, artikel 10, leden twee en drie, en moet dit het centrale document worden waarop sectorale privacywetgeving en zelfregulering worden afgestemd. De leden behorende tot de PvdA-fractie constateerden dat dit ambitieuze en meervoudige streven veel tijd gekost heeft en, ondanks de goede bedoelingen, in de juridische uitwerking tegenvalt.

De leden van de fractie van GroenLinks hadden na kennis te hebben genomen van het wetsvoorstel nog een aantal vragen.

Waarom is er betrekkelijk veel tijd verstreken tussen het moment van publicatie van de Europese Richtlijn en het moment van indiening van dit wetsvoorstel bij de Tweede Kamer? Hoe is de stand van zaken met betrekking tot de inbreukprocedure tegen Nederland?

De leden van de fractie van D66 hadden met enige verbazing kennis genomen van het even omvangrijke als ingewikkelde wetsvoorstel «Regels inzake de bescherming van persoonsgegevens». Want hoezeer deze leden er ook van overtuigd waren dat een effectieve bescherming van persoonsgegevens – ook in het kader van de EU – van eminent belang is voor het functioneren in – en vertrouwen op de democratische rechtsstaat van individuele burgers, de gekozen wetssystematiek en de mede daaruit voortvloeiende omvang van wet en toelichting deed hen verzuchten dat zij hoopten dat «eminent belang» en «omvang en ondoorzichtigheid» niet perse hand in hand hoefden te gaan. In dit stadium van de wetsgeschiedenis, waarbij tempo van invoering van het wetsvoorstel op grond van de Europese richtlijn een bepalende rol speelt, beperkten zij zich tot een aantal vragen en opmerkingen van bestuurlijke en procedurele aard.

Gaarne zagen deze leden een overzicht van voor deze bewindslieden relevante EU-richtlijnen op basis waarvan wetgeving in de maak is, alsmede de voortgang die bij de voorbereiding daarvan wordt gemaakt en het moment waarop zonder het risico van een Europese infractieprocedure de desbetreffende wetsvoorstellen bij de Staten Generaal aanhangig gemaakt dienden te worden.

2. Reikwijdte van het wetsvoorstel

In het wetsvoorstel gaat het eerst en vooral om de bescherming van het belang of de fundamentele rechten en vrijheden van degene op wie een persoonsgegeven betrekking heeft, in het bijzonder het recht op bescherming van de persoonlijk levenssfeer. Daarbij lijkt het uitgangspunt vooral te zijn: «Persoonsgegevens zijn geheim, tenzij...». De leden van de CDA-fractie stelden de vraag of in de huidige informatie-, communicatie- en netwerksamenleving met snel voortschrijdende ontwikkelingen op het terrein van de informatie- en communicatietechnologie dat uitgangspunt nog wel toereikend is. Of zoals Schreuders schreef in Ars Aequi 1999, blz. 35: «...onze maatschappij een weg is ingeslagen naar een kenbaarheidsmaatschappij. Hieronder moet worden verstaan een samenleving waarin identificeerbaarheid en kenbaarheid eerder regel dan uitzondering zijn. Kenbaarheid is het uitgangspunt (geworden). Oftewel: persoonsgegevens zijn openbaar, tenzij... In een dergelijke samenleving moet anonimiteit actief worden bewerkstelligd». Het actief bewerkstelligen van anonimiteit, betreft niet alleen de relatie tussen de overheid en haar instellingen enerzijds en burgers anderzijds, maar ook de relatie tussen burgers onderling en de relatie van burgers met allerlei particuliere organisaties en ondernemingen.

Zowel de Europese richtlijn als het wetsvoorstel zijn in overwegende mate opgezet vanuit een bestuursrechtelijke invalshoek. De brief van 4 februari 2000 van de Commissie Privacy van de Raad van de Centrale Ondernemersorganisaties (RCO) aan de Commissie wijst daar ook nog eens op1. Daarbij lijkt voorbij gegaan te zijn aan mogelijkheden om het privacyrecht in te bedden in het civiele recht (waar het civielrechtelijke verhoudingen betreft) en duidelijk te integreren in het staatsen bestuursrecht (waar het de relatie met de overheid betreft). Het gevolg van een en ander is, dat consumenten, werknemers, patiënten etc. geen partij meer zijn in discussies over de bescherming van hun persoonlijke levenssfeer en dat bij belangenafwegingen privacybelangen een status aparte hebben en formeel prevaleren boven andere belangen. Indien het gaat om de bescherming van het belang of de fundamentele rechten en vrijheden van betrokkenen in de zin van het wetsvoorstel, zou het dan niet aangewezen zijn geweest dat weten regelgeving uitdrukkelijk zouden voorzien in directe gesprekken tussen onder meer bedrijven, werknemers en klanten en in direct overleg tussen overheidsinstellingen en burgers om tot de vaststelling van gedragscodes en best practices te komen (in plaats van indirecte gesprekken en indirect overleg via het College bescherming persoonsgegevens). Meer aandacht voor een directe materiële uitwerking van fair play normen dan voor meer procedureel getinte preciseringen van de in het wetsvoorstel neergelegde proportionaliteits- en subsidiariteitsbeginselen dus. Zo stelden de leden van de CDA-fractie de vraag of de implementatie van de Europese richtlijn op onderdelen ook bereikt had kunnen worden door een regeling bij algemene (leverings)voorwaarden van een bedrijf, een organisatie of een branche of een regeling in een collectieve arbeidsovereenkomst.

Het was de leden van de CDA-fractie overigens opgevallen dat de Europese richtlijn niet alleen betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens maar ook het vrije verkeer van die gegevens. Wat ongenuanceerd gesteld lijkt de Europese richtlijn georiënteerd op «het in goede banen leiden» van het een en het ander, terwijl de Nederlandse wetgeving er meer op uit lijkt te zijn «barrières op te werpen». Meer in het algemeen: naar het oordeel van de fractie mogen de kansrijke aspecten van ICT-ontwikkelingen niet gefrustreerd worden door de angst voor bedreigingen welke aan die ontwikkelingen ook inherent zijn.

Verwerking van een persoonsgegeven in de zin van het wetsvoorstel heeft volgens het voorstel in beginsel altijd een relatie met belangen van de betrokkene of diens persoonlijke levenssfeer. Kunnen de bewindslieden zich voorstellen dat er contexten en samenhangen zijn, waarin verwerking van een persoonsgegeven daaraan niet of slechts uiterst marginaal raakt? Indien dit laatste het geval is, hoe is hiermede dan rekening gehouden in het wetsvoorstel?

Bij bestudering van het wetsvoorstel en de er bij behorende stukken konden de leden van de CDA-fractie zich niet aan de indruk onttrekken dat de technologie en de voorziene (procedure)regels soms in een gespannen relatie tot elkaar komen te staan. Het wetsvoorstel is niet duidelijk als het gaat over de juridische status van berichten. Op dit punt werd verwezen naar de memorie van toelichting op de bladzijden 59 en 60. Zou het niet de voorkeur verdienen om transmissie geheel uit te sluiten van het verwerkingsbegrip (ook indien sprake is van tijdelijke opslag tijdens de transmissie)? Toepassing van een aantal regels ten aanzien van Internet leidt tot verrassingen. Zie bijvoorbeeld de bepalingen in hoofdstuk 11 van het wetsvoorstel en de memorie van toelichting, bladzijde 193 (onderaan). In het al eerder genoemde wetsvoorstel 26 410 is voorgesteld de strafbaarstellingen in het wetsvoorstel bescherming persoonsgegeven uit te breiden naar verwerkingen via telecommunicatie (Zie 24 610, hoofdstuk 2 inzake art. 441c WvStr). Deze min of meer geruisloze aanpassing van het wetsvoorstel zal grote gevolgen hebben voor gewone activiteiten als het gebruik van telefoons met callerID en caching of mirroring via Internet. Met betrekking tot dit laatste punt rees bij deze leden de vraag of in de wetgevingsvoorbereiding voldoende zicht bestaat op technische en technologische mogelijkheden in relatie tot hetgeen als strafbaar moet worden gekwalificeerd. Zou nader onderzoek ter zake niet moeten worden bevorderd en afgewacht? Meer in het algemeen: is de thans voorgestelde wetgeving voldoende toekomstbestendig, ook wanneer men bijvoorbeeld denkt aan de mogelijkheden van identificatie via biometrie?

De leden van de CDA-fractie zeiden positief te staan tegenover de ruimte in het wetsvoorstel voor de eigen verantwoordelijkheid, die via de voorbereiding van sectorwetgeving, via gedragscodes, via functionarissen voor de gegevensbescherming en naar zij aanneemt ook via de Raad van Advies bij het Cbp gestalte zal kunnen krijgen. In dit kader rezen bij deze leden nog enkele vragen. Gelet op de tekst van amendement op stuk nr. 20 bij het onderhavige wetsvoorstel en die van amendement op stuk nr. 5 bij wetsvoorstel 26 410 (Wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens) vroegen de leden hier aan het woord naar een duidelijke uiteenzetting van de rechtspositie van de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van het wetsvoorstel. Daarbij ging het niet uitsluitend, maar toch wel vooral ook om de arbeidsrechtelijke aspecten, met name van die situaties waarin er een spanningsveld groeit tussen de verantwoordelijke in de zin van het wetsvoorstel (of een organisatie van verantwoordelijken) en de genoemde functionaris, bijvoorbeeld ter zake van de uitleg en toepassing van privacywetgeving. Hoe moet men de eigen verantwoordelijkheid van de verantwoordelijke zien? Een tweede, maar kortere vraag is die naar een bij voorkeur limitatieve opsomming van de rechtsgevolgen van de totstandkoming van een gedragscode.

De leden hier aan het woord verwezen naar een brief van de Commissie Privacy van de RCO aan de Kamercommissie1. Bij deze brief is een afschrift gevoegd van een brief van 30 maart 1999 aan het ministerie van Justitie over het concept Vrijstellingsbesluit. Deze leden zouden graag op de hoogte worden gesteld van de beantwoording van de in die brief gestelde vragen, naar de actuele stand van zaken.

In het kader van de informatie- en communicatietechnologie wordt het nodige verwacht van Privacy Enhancing Technology. De aanvaarding van de motie-Nicolai (Kamerstukken II, 25 892, nr 31) roept bij de leden van de VVD-fractie de vraag op welke ontwikkelingen de bewindslieden bij de inzet van Privacy Enhancing Technology voorziet en of hij daarbij anticipeert op toekomstige vereenvoudigingen van de privacy-regelgeving.

De systematiek van het wetsvoorstel laat te wensen over. Dat komt naar het oordeel van de leden van de PvdA-fractie de begrijpelijkheid van het wetsvoorstel niet ten goede en leidt op een aantal punten zelfs tot inconsequenties en overbodige bepalingen.

Zo draagt artikel 15 de verantwoordelijke op tot zorg voor de naleving van de verplichtingen genoemd in paragraaf 1 van hoofdstuk 2. Een aantal bepalingen worden dan echter van die verplichting uitgezonderd, wellicht omdat in die bepalingen zelf al een nalevingsverplichting voor de verantwoordelijke is geformuleerd. Erg duidelijk is die aanpak voor de lezer niet. Onduidelijk is bijvoorbeeld waarom artikel 9, tweede lid niet in het rijtje van uitzonderingen voorkomt, hoewel dat lid naar de tekst genomen een verplichting oplegt aan de verantwoordelijke. Is naleving van die verplichting ineens niet van belang? Belangrijker nog is dat het gehele regime voor gevoelige gegevens van paragraaf 2 van hoofdstuk 1 lijkt te zijn vrijgesteld van de zorg van de verantwoordelijke. De artikelen 16 en verder worden immers niet genoemd.

De leden van de PvdA-fractie meenden dat het uit systematisch oogpunt aanbeveling zou verdienen om de verhouding tussen de verschillende soorten voorwaarden voor gerechtvaardigde gegevensverwerking – zoals de algemene voorwaarden (paragraaf 1, hoofdstuk 2), de voorwaarden voor verenigbare «verdere verwerking» (artikel 9) en de voorwaarden voor gevoelige gegevens (artikel 23) – duidelijk te maken en de verschillen te verklaren. Waarom staat bijvoorbeeld «de vaststelling, de uitoefening of de verdediging van een recht in rechte» wel genoemd als rechtvaardigingsgrond voor de verwerking van gevoelige gegevens, maar niet als recht- vaardigingsgrond voor de verwerking van «gewone» gegevens?

Uit een studie van het Rathenau Instituut is gebleken dat risicoselectie een van de belangrijkste problemen is die zich in de nabije toekomst met betrekking tot de verwerking van persoonsgegevens zullen voordoen. Data-mining technieken leiden nu al tot de opstelling van profielen van risicogroepen. Zo kan dan op grond van de postcode een aanvrager een verzekering of hypotheek geweigerd worden, vanwege het negatieve groepsprofiel dat in verband met die postcode is opgesteld. De leden van de PvdA-fractie moesten tot hun spijt constateren dat het huidige wetsvoorstel geen bescherming biedt aan deze groepsgerichte vormen van risicoselectie, aangezien groepsprofielen, blijkens de reactie van de minister op vragen uit de Tweede Kamer, niet kunnen worden beschouwd als persoonsgegevens in de zin van de wet (Kamerstukken II, 1998–1999, 25 892, nr. 13, blz. 8). Zij verzochten de minister om zich uit te spreken over de interpretatie van het begrip persoonsgegeven uit artikel 1, onderdeel a. Zelf zeiden zij onder «elk gegeven betreffende de (...) persoon» ook «elk gegeven dat wordt toegepast op de (...) persoon» te verstaan. Kunnen de bewindslieden deze zienswijze onderschrijven?

In artikel 1 onderdeel b is een niet-uitputtende opsomming gegeven van handelingen die vallen onder de «verwerking» van persoonsgegevens. In deze opsomming misten de leden van de PvdA-fractie de cruciale hande- ling van het anonimiseren van gegevens. Betekent deze omissie dat door gegevens op een of andere manier geheel of gedeeltelijk te anonimiseren de gehele wet kan worden omzeild?

Gecombineerde lezing van de artikelen 4, eerste lid en 76 roept de vraag op wat nu eigenlijk het regime is voor gegevensverwerking door een Nederlands bedrijf dat een deel van zijn gegevens op buitenlands grondgebied laat verwerken. Het was de leden van de PvdA-fractie niet duidelijk welk regime dan geldt, dat van de wet zelf of alleen de toets waarbij wordt nagegaan of het land dat de gegevens verwerkt een passend beschermingsniveau waarborgt.

Artikel 41 regelt het verzet tegen gegevensverwerking ten behoeve van direct marketing. Daar wordt echter gesproken over «de totstandbrenging van een directe relatie», hetgeen de vraag oproept of gegevens die niet voor zo'n directe relatie gebruikt worden buiten het recht van verzet vallen. Mag, met andere woorden, de verantwoordelijke de gegevens van betrokkenen na verzet nog steeds blijven gebruiken voor bijvoorbeeld statistische doeleinden in het kader van direct marketing?

Is, zo vroegen de leden van de fractie van GroenLinks, de verkrijging van gegevens door middel van een detectivebureau volgens het kabinet te allen tijde in strijd met artikel 6 van het wetsvoorstel, zo neen onder welke omstandigheden zou een dergelijke vorm van gegevensverkrijging als behoorlijk en zorgvuldig kunnen worden aangemerkt?

Kunnen de bewindslieden nader ingaan op artikel 13, dat tot dusverre in de parlementaire behandeling nog vrij weinig aandacht heeft gekregen. Wat zijn bij de huidige stand der techniek passende beveiligingsmaatregelen voor bijvoorbeeld een streekziekenhuis, een bank, een middelgrote sociale dienst of een politieke partij? Wat zijn de sanctiemogelijkheden als een verantwoordelijke kennelijk in strijd handelt met de verplichting van artikel 13?

De leden van de fractie van D66 vroegen hoe de berichten in de media (over de bereidheid van het Openbaar Ministerie om «informatie over fraudezaken ter beschikking te stellen aan verzekeraars, maar wil daarover nog een oordeel van de Registratiekamer afwachten ... Mocht de registratiekamer niet akkoord gaan, dan zou privacywetgeving moeten worden aangepast, zo menen partijen.») zich verhouden tot het voorliggende wetsvoorstel.

3. Algemene normen en sectorale invulling, overzichtelijkheid en complexiteit

De leden van de CDA-fractie constateerden, dat er op het terrein van informatie- en communicatietechnieken en de hieraan ten grondslag liggende technologische ontwikkelingen veel wet- en regelgeving tot stand is gekomen, respectievelijk in voorbereiding is ter bescherming van fundamentele rechten en vrijheden, waaronder het recht op bescherming van de persoonlijke levenssfeer van natuurlijke personen. Behalve dat deze constatering vragen oproept met betrekking tot rechtspersonen, rijzen in dat kader ook vragen rond de samenhang in en het overzicht van de wet- en regelgeving. Uit de op handen zijnde wet- en regelgeving zijn onder meer te vermelden:

– De Wet bijzondere politieregisters van 27 mei 1999, Stb. 1999, 244;

– 26 228 Wetsvoorstel tot wijziging van de Wet gemeentelijke basisadministratie persoonsgegevens;

– 26 410 Wetsvoorstel tot wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens;

– 26 671 Wetsvoorstel tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Telecommunicatiewet in verband met nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II);

– 26 943 Wetsvoorstel tot wijziging van enige wetten teneinde de aanspraak jegens bestuursorganen op verstrekkingen, voorzieningen en uitkeringen afhankelijk te maken van het in de gemeentelijke basisadministratie persoonsgegevens opgenomen gegeven omtrent het adres van een ingezetene;

– Het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Gemeenschap en betreffende het vrije verkeer van die gegevens (COM (99) 337 def.), dat op 7 december 1999 op de agenda stond van de Interne Marktraad;

– Naar aanleiding van 26 887 Omgaan met vertrouwelijke gegevens bij de Belastingdienst (onderzoeksrapport van de Algemene Rekenkamer van 11 november 1999) volgt er wellicht een nieuwe wettelijke regeling voor het verstrekken van persoonsgegevens door de fiscus (zie in dit verband ook de opvattingen van de Registratiekamer, zoals vermeld in de Staatscourant van 12 januari 2000, blz. 1: «Fiscus behoeft nieuwe wet voor omgang privacy»).

Hoe krijgt een burger nog voldoende houvast met betrekking tot de bescherming van zijn of haar belangen, zijn of haar rechten en vrijheden, speciaal waar het om de bescherming van de persoonlijke levenssfeer gaat, hoe verkrijgt hij of zij voldoende zekerheid rond zijn of haar verplichtingen die in verband met identificatie en het verstrekken van persoonsgegevens op hem of haar rusten? Kan hij of zij, ook in rechtsverhoudingen met bijvoorbeeld werkgevers en leveranciers, op adequate wijze zijn of haar (rechts)positie bepalen, zowel naar inhoud als naar tijd gemeten? De leden van de CDA-fractie vroegen, gezien het geheel van wet- en regelgeving zoals zojuist aangeduid, de bewindslieden nog eens een bondig overzicht te verstrekken van de positie van de natuurlijke persoon om wiens/wier bescherming het uiteindelijk gaat.

Behalve door – thans – de Wet persoonsregistraties en – straks wellicht in plaats daarvan – de Wet bescherming persoonsgegevens wordt de positie van overheids- en andere instellingen, bedrijven en ondernemingen terzake van de verwerking en verstrekking van gegevens van natuurlijke personen ook bepaald door bijzondere wetgeving, zoals bijvoorbeeld de fiscale en sociale zekerheidswetgeving. Zo kan onder meer gedacht worden aan de Organisatiewet sociale verzekeringen 1997 en het fiscale Voorschrift Informatieverstrekking 1993, maar er zijn vele andere te noemen. Voor de leden hier aan het woord kwam aldus de vraag naar voren hoe al die regels zich tot elkaar verhouden: gaan jongere voor oudere regels, bijzondere voor algemene; wat is in dit kader bijzonder en algemeen? Hoe is de verhouding tussen de geheimhoudingsvoorschriften van de Organisatiewet sociale verzekeringen 1997 (artikel 98) en die van het onderhavige wetsvoorstel (artikel 12, tweede lid, en artikel 21, tweede lid), zowel in hun externe als in hun interne dimensie? Juist als voor burgers, is het ook voor organisaties van belang dat hun positie duidelijk is bepaald.

Het hier aan de orde zijnde vraagstuk van samenhang en overzicht zal nog indringender aan de orde komen, wanneer het totaalbeeld is uitgebreid met sectorale wetgeving en de vruchten van zelfregulering zoals gedragscodes. Hoe kan bij mensen en organisaties een op goede gronden berustend vertrouwen gewekt worden, dat het ook in het onderhavige totaalverband om adequate, goed toepasbare en goed handhaafbare wet- en regelgeving gaat? In dit verband vroegen de leden van de CDA-fractie de aandacht voor en het oordeel van de bewindslieden over de waarschuwing van prof. mr. H. Franken in Rechtsgeleerd Magazijn Themis van november 1999.

Hoewel de leden van de fractie van D66 begrip konden opbrengen voor het feit dat ten deze met een kaderwet gewerkt moest worden, waardoor een aantal open normen via sectorwetgeving tot nadere invulling moet leiden, zagen zij problemen met de uiteindelijke kenbaarheid van de te ontwikkelen normen voor alle betrokkenen. Ook tegen de achtergrond van het feit dat op relevante onderdelen gekozen is voor de mogelijkheid van vormen van zelfregulering door middel van de figuur van de functionaris, zal die kenbaarheid door versnipperde rechtsvinding versterkt kunnen worden. Zou het in dat kader niet tenminste redelijk zijn indien de bewindslieden ook zelf de verantwoordelijkheid op zich zouden nemen om ervoor te zorgen dat – gegeven de trits Kaderwet/Sectorale wetgeving/versnipperde jurisprudentie – de burger het recht, zoals zich dit zou ontwikkelen, zou kunnen kennen. Anders gezegd: welke inspanning gaan de bewindslieden zich getroosten om ook nadat de voorlichtingscampagnes rond de invoering van de wet zijn beëindigd, jurisprudentie in de verschillende sectoren bij te houden, opdat zij alle betrokkenen steeds accuraat kunnen voorlichten omtrent de actuele ontwikkelingen met betrekking tot de invulling van de normen, nu deze noodgedwongen niet in overzichtelijke vorm in de wet te vinden is.

4. Grondwettelijke aspecten

De leden van de CDA-fractie wilden uitdrukkelijk stilstaan bij artikel 3 van het wetsvoorstel, waarbij met een beroep op de drukpersvrijheid (in haar ruime zin verstaan) onder meer journalisten en schrijvers ten opzichte van de Wet bescherming persoonsgegevens in een uitzonderingssituatie blijven zoals ook onder de Wet persoonsregistraties het geval is. Moet daaruit worden afgeleid, dat de bescherming van de persoonlijke levenssfeer ondergeschikt is aan de vrijheid van drukpers? Is dat dan redelijk gelet op het feit dat criminaliteitsbestrijding en volksgezondheid veelal prevaleren boven bescherming van de persoonlijke levenssfeer? Inbreuken op de privacy bijvoorbeeld via de roddel- en schandaalpers zijn toch bijna steeds het ernstigst vergeleken met alle andere inbreuken op de persoonlijke levenssfeer?

5. De verhouding tussen Wbp en Wpr

In het licht van de commentaren die op het wetsvoorstel geleverd zijn, stelden de leden van de CDA-fractie de vraag waarom, gegeven de Europese richtlijn, in het wetsvoorstel zo nauw mogelijk is aangesloten bij de regels van de Wet persoonsregistraties. In het wetsvoorstel is waar dat vereist was de Europese richtlijn overgenomen en is de «vrije ruimte» conform de Wet persoonsregistraties ingevuld. Op welke punten had een eenvoudiger invulling, dus een afwijking van de Wet persoonsregistraties niet meer voor de hand gelegen, zonder overigens in strijd te komen met de Europese richtlijn, bijvoorbeeld met het oog op de beperking van administratieve lasten. In dit verband is verwezen naar de rapportage van de projectgroep Wet bescherming persoonsgegevens, onder leiding van prof. mr. C. A. J. M. Kortmann, Lasten van de Wbp, aan de Commissie Administratieve Lasten (Commissie Slechte), van april 1999. De leden hier aan het woord achtten het opmerkelijk dat in de discussie over die rapportage weinig aandacht is besteed aan de punten waarin is aangegeven op welke plaatsen het wetsvoorstel verder gaat dan hetgeen de Europese richtlijn vordert. Die discussie heeft zich vrijwel beperkt tot de vraag of kosten voor intern toezicht zoals de functionaris voor de gegevensbescherming, wel als kosten mochten worden opgevoerd gezien de omstandigheid dat deze toezichthouder een facultatieve figuur is. Uitdrukkelijke aandacht voor elk punt is echter geboden. Deze leden verbonden hieraan de vraag welke overwegingen, in het licht van de praktische ervaring met de Wet persoonsregistraties, gegeven de Europese richtlijn en de uitdrukkelijke wens administratieve lasten zo veel als mogelijk te beperken, de opstellers van het wetsvoorstel hebben bewogen zo dicht mogelijk aan te blijven sluiten bij de Wet persoonsregistraties. Kan per punt aangegeven worden of die overwegingen ontleend waren aan art. 100A, eerste jo derde lid, van het EG-Verdrag en de pre-ambule bij de richtlijn. Immers, ter zake van consumentenbescherming gaat het in communautair verband om een hoog beschermingsniveau, waarbij geen afbreuk wordt gedaan aan het reeds binnen de lidstaten bereikte niveau.

6. Toezicht

Met de intrekking van de Wet persoonsregistratie zal de Registratiekamer verdwijnen; met de invoering van de Wet bescherming persoonsgegevens zal het College bescherming persoonsgegevens zijn intrede doen. De leden van de CDA-fractie stelden de vraag hoe deze vernieuwing gestalte krijgt zowel in de procedure die moet leiden tot de benoeming van de voorzitter en de leden van het College als in de werkwijze van het College gelet op zijn onderscheidene taken. Naar aanleiding van artikel 53, eerste en vierde lid, van het wetsvoorstel vroegen deze leden hoe de spreiding over de onderscheidene sectoren van de maatschappij gestalte zal krijgen bij de benoeming van buitengewone leden van het College bescherming persoonsgegevens en van de leden van de Raad van Advies bij dit College. Die spreiding zal toch stellig de kring van personen met een achtergrond als EDP-auditor te buiten moeten gaan? De leden hier aan het woord dachten in dit verband zeer uitdrukkelijk ook aan organisaties van relevante marktpartijen, van werknemers, van consumenten, van klanten, van patiënten.

De leden van de VVD-fractie constateerden dat het College bescherming persoonsgegevens zijn taken in onafhankelijkheid vervult (artikel 52, tweede lid). De minister refereert met betrekking tot de ministeriele verantwoordelijkheid voor het functioneren van het College aan de gebruikelijke verhoudingen tussen minister en zelfstandig bestuursorgaan. Is aan te nemen dat de in het verschiet liggende kaderwetgeving voor de zelfstandige bestuursorganen daarin wat betreft het College geen verandering zal opleveren? Is al meer zicht te geven op de samenstelling van de in te stellen raad van advies van het College? Aan welke representatieve maatschappelijke organisaties wordt daarbij gedacht?

Volgens artikel 28 van de Europese richtlijn 95/46/EG krijgt het College bescherming persoonsgegevens zowel een toezichthoudende als een adviserende taak. Bovendien krijgt het College met de invoering van de bestuurlijke boete vergaande sanctionerende bevoegdheden. Het College moet adviseren over wetgeving, waarop het later toezicht moet houden. Deze dubbelrol riep vragen op bij de leden van de VVD-fractie, zeker nu het College de waarborgen tegen vermenging van zijn bevoegdheden zelf in zijn bestuursreglement moet formuleren en vastleggen.

Het College, aldus de leden van de fractie van GroenLinks, is belast met de handhaving van de bij dit wetsvoorstel gestelde verplichtingen en is bevoegd tot toepassing van bestuursdwang. In hoeverre zal het College zelf een actief beleid voeren ter voorkoming van wetsovertreding en gebruik maken van zijn bevoegdheid ambtshalve onderzoek in te stellen naar de naleving van de wet? In hoeverre zal het College worden toegerust om meer te doen dan alleen te reageren op klachten over de niet-naleving van de wet?

7. Handhaving en handhaafbaarheid

De leden van de CDA-fractie merkten op dat het wetsvoorstel met het oog op de handhaving voorziet in bestuursdwang, bestuurlijke boeten en strafrechtelijke sancties. In het licht van de omstandigheid dat het wetsvoorstel onmiskenbaar de zogeheten horizontale werking van grondrechten raakt van de artikelen 7, 10 en 13 van de Grondwet, vroegen deze leden nog naar een bondig overzicht van civielrechtelijke sancties, die straks bij de uitvoering en toepassing van het onderhavige wetsvoorstel van belang zijn voor de verschillende betrokken partijen (overheid, bedrijfsleven, werknemers, consumenten, patiënten etc.). De leden hier aan het woord veronderstelden dat het kabinet nauwkeurig en met regelmaat volgt of eenmaal ingevoerde wetgeving aan eisen van effectiviteit en efficiency, van rechtmatigheid en rechtvaardigheid voldoet. Juist nu de hier aan de orde zijnde wetgeving vooral bepaald wordt door de voortdurende en snelle ontwikkelingen op ICT-gebied, is de zojuist bedoelde monitoring van het grootste belang. De leden van deze fractie zagen gaarne aangegeven hoe de bewindslieden aan die monitoring uitwerking denken te geven. Daarbij dient huns inziens betrokken te worden beleidsinformatie over de opsporing van feiten en omstandigheden waaraan bestuursdwang, bestuurlijke boeten en strafrechtelijke sancties verbonden zullen kunnen worden.

Ook de leden van de fractie van D66 vroegen op welke wijze en op welke termijn de bewindslieden de werking van de wet zullen evalueren en monitoren.

8. Kosten

De leden van de CDA-fractie verwezen wat betreft de kosten naar de opmerkingen die zij daarover hadden gemaakt in hoofdstuk 5.

De leden van de VVD-fractie hadden kennis genomen van de voorlopige berekeningen van de administratieve lasten die gemoeid zijn met de doorvoering van het wetsvoorstel. Zij waren benieuwd naar het door de minister in het overleg met de Tweede Kamer toegezegde «objectief overzicht van de te verwachten kosten». Hoe zien de bewindslieden het kostenbeslag in het perspectief van het inmiddels verschenen rapport van de Commissie Administratieve Lasten? Kan de minister bovendien ook hierbij preciseren welke kosten boven-minimaal ten opzichte van de richtlijn zijn? Is, al is het maar bij benadering, ook iets te zeggen over mogelijke baten die met de implementatie van het gewijzigde wetsvoorstel gemoeid zijn?

9. Evaluaties

De geldende wetgeving is onderwerp geweest van twee omvangrijke evaluatieonderzoeken (juridisch en sociaal-wetenschappelijk), zo merkten de leden van de PvdA-fractie op. De juridische evaluatie constateert dat de WPR niet goed is ingebed in het overige Nederlandse recht en slechts weinig jurisprudentie voort heeft gebracht. De wetgever kiest in de nieuwe wet voor open normen die door middel van afweging van belangen moeten worden ingevuld en hoopt hiermede ook de vorming van jurisprudentie te stimuleren (memorie van toelichting blz. 37–38). Deze leden achtten dit een juiste keuze, maar plaatsten daarnaast de bevinding van het sociaal-wetenschappelijke evaluatieonderzoek dat van de betrokkenen bij privacybelangen door gebrek aan informatie over hun situatie weinig kan worden verwacht om naleving van de regels af te dwingen. Hoe valt, in het licht van deze constatering, te oordelen over de kans dat het mechanisme van normstelling door middel van open normen en belangenafweging jurisprudentie zal genereren als het initiatief hiertoe waarschijnlijk in onvoldoende mate zal uitgaan van de betrokkenen?

Het sociaal-wetenschappelijke evaluatieonderzoek bepleit ook een wetgevingsstrategie met open normstelling en vooral een korte, bondige, voor betrokkenen toegankelijke wet. Het wetsvoorstel omvat 83 wetsartikelen, heeft een zeer ingewikkelde systematiek en lijkt zonder gespecialiseerde juridische kennis voor betrokkenen onbegrijpelijk. De leden van de PvdA-fractie wilden graag uitleg over de opmerking op blz. 40 van de memorie van toelichting dat «het wetsvoorstel op het punt van de materiële regelgeving bondig is.» Hoe had een niet-bondige wet eruit gezien?

10. Voorlichting

Het is hoe dan ook volstrekt duidelijk, dat de invoering van het wetsvoorstel om een intensieve voorlichtingscampagne vraagt. De leden van de CDA-fractie drongen er op aan toelichtingen en voorlichtingsacties uitermate praktijkgericht in te richten. Overheids- en andere instellingen, bedrijven en ondernemingen, werknemers, consumenten, klanten en patiënten dienen over goed hanteerbare informatie te beschikken over de wet, de uitvoeringsvoorschriften én de uitvoeringspraktijk. In dit kader waren zij zeer geïnteresseerd in de voor dat doel beschikbare capaciteit bij de overheid en het bedrijfsleven, zowel in termen van (deskundige) menskracht als in termen van financiële middelen. Hieraan koppelden deze leden nog de opmerking dat een invoeringstermijn van één jaar – een langere termijn is naar het oordeel van de bewindslieden niet nodig – om extra-capaciteit vraagt, met betrekking waartoe zij gaarne een duidelijke toezegging van de bewindslieden zouden verwachten.

De leden van de VVD-fractie merkten op dat de lengte van de memorie van toelichting kennelijk correleert met de ingewikkeldheid van de materie. Zij maakten uit de wetsgeschiedenis op dat het de bedoeling is tot vereenvoudiging te komen ten opzichte van de Wet persoonsregistratie. Nu blijkt echter dat de wet noopt tot een handleiding voor de burgers en actieve voorlichting. Wordt ervoor gezorgd dat in de communicatie naar de burgers echt duidelijk zal zijn hoe overheden, non-profit organisaties en bedrijven met persoonsgegevens behoren om te gaan? Krijgt de burger nog eens duidelijk te horen wat hij kan ondernemen tegen hinderlijke tele-marketing van persoonsgegevens? Hoe kan de betrokken burger ervan op de hoogte zijn dat gegevens over hem verzameld worden, indien hij ze niet zelf aan de verantwoordelijke heeft verschaft en de verantwoordelijke vanwege een onevenredige inspanning geen mededeling aan de betrokken burger hoeft te doen (artikel 34, vierde lid)? Wat is een onevenredige inspanning en wie bepaalt dat? Wordt in de handleiding en actieve voorlichting ook nog eens duidelijk gemaakt hoe positief de, uiteraard rechtmatige, verzameling en verwerking van persoonsgegevens voor samenleving en economie zijn?

De leden van de fractie van D66 vroegen in dit verband in hoeverre de voorbereidingen voor de te voeren voorlichtingscampagne zijn voltooid. Kunnen de meest bepalende producten daarvan reeds worden overgelegd?