22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 1371 BRIEF VAN DE STAATSSECRETARIS VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 maart 2012

Overeenkomstig de bestaande afspraken heb ik de eer u hierbij drie fiches aan te bieden die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

Fiche 1: Richtlijn gegevensbescherming opsporing en vervolging

Fiche 2: Verordening gegevensbescherming (Kamerstuk 22 112, nr. 1372)

Fiche 3: Mededeling Handel, Groei en Ontwikkeling (Kamerstuk 22 112, nr. 1373)

De staatssecretaris van Buitenlandse Zaken, H. P. M. Knapen

Fiche: Richtlijn gegevensbescherming opsporing en vervolging

1. Algemene gegevens

Titel voorstel: Richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens

Dit voorstel vormt onderdeel van een pakket dat strekt tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het pakket omvat twee voorstellen en een mededeling waarin die voorstellen worden opgevoerd.

In de eerste plaats een voorstel voor een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (hierna: ontwerpverordening gegevensbescherming). In de tweede plaats het onderhavige voorstel voor een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, onderzoek, ontdekking of vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens (hierna: ontwerprichtlijn gegevensbescherming opsporing en vervolging).

Over de ontwerpverordening en ontwerprichtlijn zijn BNC fiches opgesteld. Niet over de mededeling, nu deze niets meer of anders bevat dan de ontwerpverordening en ontwerprichtlijn.

Datum Commissiedocument: 25 januari 2012

Nr. Commissiedocument: COM (2012)10

Prelex: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=nl&DosId=201285

Nr. Impact Assessment Commissie en Opinie Impact Assessment Board: SEC (2012)72 en SEC(2011)73 (samenvatting)

Behandelingstraject Raad: Dit voorstel wordt in de JBZ-Raad behandeld.

Eerstverantwoordelijk ministerie: Ministerie van Veiligheid en Justitie.

Rechtsbasis, besluitvormingsprocedure Raad, rol Europees Parlement, gedelegeerde en/of uitvoeringshandelingen

a) Rechtsbasis

Artikel 16, tweede lid, Verdrag betreffende de werking van de Europese Unie (VWEU).

b) Besluitvormingsprocedure Raad en rol Europees Parlement

Gewone wetgevingsprocedure artikel 294 VWEU. (Raad: gekwalificeerde meerderheidsbesluitvorming. EP: medebeslissingsprocedure).

c) Gedelegeerde en/of uitvoeringshandelingen

Er is voorzien in de vaststelling van gedelegeerde handelingen (art. 290 VWEU) en in de vaststelling van uitvoeringshandelingen door de Commissie (art. 291 VWEU).

2. Samenvatting BNC-fiche

– Korte inhoud voorstel

Het voorstel voor een richtlijn dient ter vervanging van het huidige kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 (hierna: kaderbesluit gegevensbescherming), en bevat regels voor de bescherming van persoonsgegevens die worden verwerkt ten behoeve van de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens. Deze regels hebben betrekking op de doelbinding, de rechten van de betrokkene, de overdracht van persoonsgegevens aan derde landen en het toezicht op de gegevensverwerking. Vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken werd in een Verklaring1 erkend dat op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 VWEU nodig kunnen blijken.

Het kabinet staat in beginsel positief ten opzichte van de inhoud van de ontwerprichtlijn. Nederland beoordeelt de subsidiariteit positief. De proportionaliteit wordt deels positief, deels negatief beoordeeld; Nederland ziet voordelen in met name de eenvormigheid van de regels voor de gegevensverwerking in de lidstaten en de verstrekking van persoonsgegevens aan derde landen. Maar Nederland acht de benodigde financiële en personele (bij de Commissie en de Europese toezichthouder) middelen die worden voorgesteld niet proportioneel.

– Implicaties/risico’s/kansen

De ontwerprichtlijn biedt de nodige waarborgen voor een zorgvuldige verwerking van persoonsgegevens door politie en justitie binnen de Europese Unie en bevat verbeteringen ten opzichte van het huidige kaderbesluit. Daarnaast geeft de ontwerprichtlijn eenduidige regels voor de gegevensverstrekking aan derde landen. Dit kan bijdragen aan verbetering van de bescherming van de rechten van burgers en is tevens van belang voor de verdere intensivering van de samenwerking tussen de opsporingsdiensten, ook op het gebied van de gegevensuitwisseling. De uitvoerbaarheid van de voorgestelde verplichtingen op het gebied van het maken van onderscheid tussen verschillende categorieën van persoonsgegevens en de rechten van de betrokkene op informatie over de verwerking van, de toegang tot en de verwijdering van persoonsgegevens vormt echter een punt van aandacht. De meerwaarde daarvan is onduidelijk terwijl dit kan leiden tot aanzienlijke verzwaring van de uitvoeringslasten voor politie en justitie.

3. Samenvatting voorstel

– Inhoud voorstel

Dit voorstel vormt onderdeel van een pakket dat strekt tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het pakket omvat twee voorstellen. In de eerste plaats een voorstel voor een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (hierna: ontwerpverordening gegevensbescherming). In de tweede plaats het onderhavige voorstel voor een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, onderzoek, ontdekking of vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens (hierna: ontwerprichtlijn gegevensbescherming opsporing en vervolging).

De ontwerprichtlijn gegevensbescherming opsporing en vervolging bevat regels voor de bescherming van persoonsgegevens die worden verwerkt ten behoeve van de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens. Dit omvat algemene regels met betrekking tot de verwerking van persoonsgegevens, de doelbinding (dat wil zeggen dat de persoonsgegevens niet verder worden verwerkt voor doelen die niet verenigbaar zijn met de doelen waarvoor de gegevens zijn verzameld), de rechten van de betrokkene, de verplichtingen van de verantwoordelijke voor de gegevensverwerking, de beveiliging van de persoonsgegevens, de overdracht van persoonsgegevens aan derde landen of internationale organisaties, onafhankelijke toezichthoudende instanties, rechtsmiddelen en sancties en de bevoegdheid van de Commissie voor gedelegeerde regelgeving.

– Impact assessment Commissie

In het impact assessment stelt de Commissie vast dat het kaderbesluit gegevensbescherming, dat is gebaseerd op de oude pijler-structuur van de EU, een beperkte reikwijdte heeft en verschillende andere hiaten vertoont. Dit leidt tot een gebrek aan rechtszekerheid bij de betrokkenen en de rechtshandhavingsautoriteiten en tot praktische problemen bij de implementatie. Daar komt bij dat het kaderbesluit veel ruimte laat voor regels op nationaal niveau, zodat er weinig wordt geharmoniseerd. Dit kan de gegevensbescherming negatief beïnvloeden en de uitwisseling van persoonsgegevens tussen de nationale autoriteiten hinderen. Er worden drie opties onderzocht: 1) softe actie, zoals het opstellen van Mededelingen over de interpretatie, technische ondersteuning en fondsen, 2) modernisering van het wettelijk kader en w3) gedetailleerde regels op EU-niveau op het gebied van de politiële en justitiële samenwerking in strafzaken. De Commissie stelt vast dat optie 1 een beperkt gevolg zal hebben met betrekking tot de geïdentificeerde problemen. Optie 2 zal leiden tot meer coherentie en consistentie in de gegevensbeschermingsregels op het terrein van de politiële en justitiële samenwerking in strafzaken. Optie 3 zal vergaande en positieve gevolgen hebben op het gebied van kostenbesparing en verbetering van de rechten van de betrokkenen. De gelijktijdige aanpassing van alle oude derde pijler-instrumenten zal echter zeer complex zijn en politiek controversieel. Het onderzoek van de gevolgen voert de Commissie tot de slotsom dat het de voorkeur verdient om het kaderbesluit gegevensbescherming te vervangen door een nieuw rechtsinstrument dat een ruimere reikwijdte heeft en dat tegemoet komt aan de belangrijkste hiaten en tekortkomingen.

4. Bevoegdheidsvaststelling en subsidiariteits- en proportionaliteitsoordeel

a) Bevoegdheid

Artikel 16, tweede lid, VWEU. Dit betreft een nieuwe, specifieke wettelijke grondslag, die met het Verdrag van Lissabon is ingevoerd, voor het aannemen van regels over de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede voorschriften betreffende het vrije verkeer van die gegevens. Dit is volgens Nederland de juiste rechtsgrondslag.

b) Subsidiariteits- en proportionaliteitsoordeel

Subsidiariteitsoordeel

Het kabinet beoordeelt de subsidiariteit positief.

De Commissie motiveert de subsidiariteit met een aantal overwegingen. In de eerste plaats vereist het recht op de bescherming van persoonsgegevens, zoals dat is vervat in artikel 8 van het Europees Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden en in artikel 16, eerste lid, van het VWEU, hetzelfde niveau van gegevensbescherming binnen de Unie. Dit impliceert eenzelfde niveau van gegevensbescherming voor persoonsgegevens die worden uitgewisseld als voor persoonsgegevens die ten behoeve van binnenlands gebruik worden verwerkt. In de tweede plaats is er een toenemende behoefte bij de rechtshandhavingsautoriteiten van de lidstaten om persoonsgegevens te verwerken en uit te wisselen ten behoeve van de bestrijding van grensoverschrijdende criminaliteit en terrorisme. Duidelijke en consistente regels over gegevensverwerking kunnen de samenwerking tussen de autoriteiten bevorderen. Verder zijn er praktische uitdagingen om de naleving van de wetgeving op het gebied van gegevensbescherming te waarborgen. Dit dient op het niveau van de Unie te worden georganiseerd om de eenheid in de toepassing van het recht van de Unie te verzekeren. In sommige gevallen is de EU het best in staat om eenzelfde niveau van gegevensbescherming voor individuen te garanderen als hun persoonsgegevens aan derde landen worden overgedragen. Tenslotte kunnen de lidstaten zelf de gesignaleerde problemen niet oplossen, in het bijzonder niet die welke voortvloeien uit het uiteenlopen van de nationale wetgeving. Daarom bestaat er een specifieke behoefte om een geharmoniseerd en coherent kader op te stellen dat de mogelijkheid biedt van een soepele overdracht van persoonsgegevens over de binnengrenzen van de Unie terwijl een effectieve bescherming van de rechten van alle individuen binnen de Unie is verzekerd. Het kabinet kan zich in de motivering van de Commissie vinden.

Proportionaliteitsoordeel

Het kabinet beoordeelt de proportionaliteit deels positief, deels negatief.

Het beginsel van de proportionaliteit vereist dat iedere interventie doelgericht is en niet verder gaat dan noodzakelijk voor de vervulling van die doeleinden. Volgens de Commissie is een richtlijn het beste instrument om harmonisatie op het niveau van de Unie te verzekeren terwijl de lidstaten de nodige flexibiliteit wordt gelaten voor de implementatie van de beginselen, regels en de uitzonderingen op nationaal niveau.

Het kabinet kan zich in deze motivering vinden. Daarbij tekent het kabinet aan dat dit voorstel erg snel volgt op de goedkeuring van het kaderbesluit gegevensbescherming, dat binnenkort in de Nederlandse wetgeving zal zijn geïmplementeerd. Dit betekent dat zowel de burgers als de rechtshandhavingsdiensten worden geconfronteerd met veranderende regels. De voordelen die uit de ontwerprichtlijn voortvloeien, op het gebied van de eenvormigheid van de regels voor de gegevensverwerking in de lidstaten en de verstrekking van persoonsgegevens aan derde landen, wegen naar het oordeel van de regering op tegen dit bezwaar.

De benodigde middelen die worden voorgesteld acht het kabinet echter niet proportioneel.

c) Nederlands oordeel over de voorstellen op het gebied van gedelegeerde en/of uitvoeringshandelingen

Het voorstel bevat enkele voorstellen voor gedelegeerde en/of uitvoeringshandelingen:

  • 1. De Commissie kan uitvoeringshandelingen vaststellen om de vereisten te specificeren voor de beveiliging van persoonsgegevens, die worden vastgesteld overeenkomstig de onderzoeksprocedure van artikel 57, tweede lid (artikel 27, derde lid).

  • 2. De Commissie zal bevoegd zijn tot gedelegeerde handelingen om de criteria en vereisten te specificeren voor de vaststelling van datalekken en voor de specifieke omstandigheden waarin een verantwoordelijke en een verwerker gehouden zijn melding te maken van een datalek (artikel 28, vijfde lid).

  • 3. De Commissie kan het standaardformat voor de notificatie van een datalek aan het toezichthoudend orgaan, de toepasselijke procedures en de documentatie in uitvoeringshandelingen vaststellen, overeenkomstig de onderzoeksprocedure van artikel 57, tweede lid (artikel 28, zesde lid).

  • 4. De Commissie kan besluiten dat een derde land een voldoende niveau van gegevensbescherming waarborgt. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de onderzoeksprocedure van artikel 57, tweede lid (artikel 34, derde lid).

  • 5. De Commissie kan besluiten dat een derde land niet een voldoende niveau van gegevensbescherming waarborgt. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de onderzoeksprocedure van artikel 57, tweede lid, of, in bijzonder spoedeisende situaties voor personen met betrekking tot hun recht op gegevensbescherming, in overeenstemming met de procedure van artikel 57, derde lid (artikel 34, vijfde lid).

Met de voorgestelde bevoegdheid voor de Commissie om uitvoeringshandelingen vast te stellen op het gebied van de beveiliging van persoonsgegevens (punt 1) en het niveau van gegevensbescherming in derde landen (punt 4) kan worden ingestemd. Het kabinet staat gereserveerd ten opzichte van de voorgestelde bevoegdheden voor de Commissie op het terrein van de datalekken (punten 2 en 3) omdat de regering nog niet overtuigd is van de wenselijkheid van aanvullende Europese regels op dat terrein. Het kabinet staat in beginsel positief ten aanzien van de wenselijkheid van de procedure van artikel 57, derde lid, voor bijzonder spoedeisende situaties, maar acht een dergelijke procedure ook wenselijk in situaties waarin de Commissie besluit dat een derde land wel een voldoende niveau van gegevensbescherming waarborgt.

5. Financiële implicaties, gevolgen voor regeldruk en administratieve lasten

De financiële verklaring bij het voorstel voor de verordening gegevensbescherming bestrijkt de financiële gevolgen van zowel de ontwerpverordening als de onderhavige ontwerprichtlijn.

a) Consequenties EU-begroting

Vanwege de taakverdeling zijn volgens de Commissie extra middelen vereist voor de Commissie en voor de European Data Protection Supervisor (EDPS). In het volgend meerjarig financieel kader (2014 – 2020) wordt een bedrag van 3.5 miljoen euro per jaar extra voorgesteld (over de hele periode een bedrag van 24 miljoen euro). Gegevensbescherming is één van de doelen van het programma Rechten en Burgerschap. De administratieve uitgaven vallen binnen de begroting van DG JUST. Op grond van de inhoud van de voorgestelde regels zal het zwaartepunt van de consequenties voor de EU begroting bij de verordening gegevensbescherming liggen.

De herziening van de regels voor de bescherming van persoonsgegevens heeft tot gevolg dat de taken van de Commissie worden uitgebreid. Dit vloeit voort uit de implementatie van een nieuw consistentiemechanisme voor de verordening gegevensbescherming, het onderzoek naar het niveau van gegevensbescherming in andere landen voor de verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging en de voorbereiding van gedelegeerde regelgeving voor de verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging. In totaal gaat het om 24 FTE.

De formatie van de EDPS dient te worden uitgebreid, onder meer ten behoeve van het secretariaat van de European Data Protection Board. De extra operationele financiële middelen die in totaal benodigd zijn om de extra taken te vervullen worden geschat op 10,25 miljoen euro. Daarvan is 3,2 miljoen euro bestemd voor het secretariaat van de European Data Protection Board, 2,9 miljoen euro is gereserveerd voor het toezicht op het consistentiemechanisme, dat uitsluitend verband houdt met de verordening gegevensbescherming, en 4,1 miljoen euro is gereserveerd voor een gemeenschappelijke IT-voorziening bij de EDPS ten behoeve van de communicatie met de nationale toezichthoudende autoriteiten.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/ of decentrale overheden

Het voorstel zal gevolgen kunnen hebben voor de begrotingen van de politiekorpsen, het College bescherming persoonsgegevens en de RDW. Voor wat betreft de politiekorpsen zullen extra lasten (kunnen) zijn verbonden aan:

  • het maken van onderscheid tussen de verschillende categorieën van personen en de betrouwbaarheid van persoonsgegevens (art. 5 en 6);

  • het informeren van de betrokkene over de gegevensverwerking (art. 11);

  • het verstrekken van kopieën van de persoonsgegevens die worden verwerkt aan de betrokkene (art. 12, tweede lid);

  • de notificatie van datalekken aan het College bescherming persoonsgegevens (art. 28);

  • de aanwijzing van een (gemeenschappelijke) gegevensbeschermingsfunctionaris (art. 30);

Voor wat betreft het College bescherming persoonsgegevens zullen extra lasten (kunnen) zijn verbonden aan het toezicht op de naleving van de regels die voortvloeien uit de implementatie van de richtlijn.

De RDW verwacht vergelijkbare consequenties in ieder geval voor zover het de activiteiten betreft rondom de registercontrole van APK en WAM en de (strafrechtelijke) activiteiten van het landelijke Informatiecentrum Voertuigcriminaliteit (opsporingsdiensten, onderdeel RDW).

Op dit moment zijn de financiële consequenties voor de rijksoverheid nog niet geheel te overzien. Duidelijk is dat het voorstel gevolgen heeft voor de (apparaats)begroting van de politie en het College bescherming persoonsgegevens.

De kosten worden conform de Regels Budgetdiscipline gedragen binnen de begrotingen van de beleidsverantwoordelijke ministeries.

c) Financiële consequenties (incl. personele) voor bedrijfsleven en burger

Het voorstel heeft geen financiële gevolgen voor het bedrijfsleven. Het voorstel heeft geen financiële gevolgen voor de burgers.

d) Gevolgen voor regeldruk/administratieve lasten voor rijksoverheid, decentrale overheden, bedrijfsleven en burger

Het voorstel heeft gevolgen voor de administratieve lasten van de politie, andere opsporingsdiensten en instanties die gegevens beheren. Deze lasten vloeien voort uit de verplichtingen tot het maken van onderscheid tussen de categorieën van personen en de betrouwbaarheid van persoonsgegevens, het informeren van de betrokkenen over de gegevensverwerking, de notificatie van datalekken en de aanwijzing van een gegevensbeschermingsfunctionaris (zie punt b).

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

In de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) zijn regels opgenomen over de verwerking van politiegegevens en van justitiële en strafvorderlijke gegevens. De goedkeuring van de ontwerprichtlijn noodzaakt tot aanpassing van de Wpg en de Wjsg met betrekking tot een aantal onderwerpen. De belangrijkste onderwerpen betreffen het volgende:

  • a. de rechtmatigheid van de verwerking en de doelbinding (artikel 7);

  • b. de verstrekking van informatie aan de betrokkene (artikel 11);

  • c. het recht van toegang voor de betrokkene (artikel 12);

  • d. het recht op verwijdering (artikel 16);

  • e. de kennisgeving van datalekken (artikel 28);

  • f. de verstrekking van persoonsgegevens aan derde landen (hoofdstuk V);

  • g. de taken en bevoegdheden van het toezichthoudend orgaan.

Verder gaat de Commissie ervan uit dat de ontwerprichtlijn gegevensbescherming opsporing en vervolging ook van toepassing is op de gegevensverwerking in strafzaken door de zittende magistratuur (Overweging 55 en artikel 44, tweede lid). In Nederland valt de verwerking van persoonsgegevens in strafzaken door de zittende magistratuur thans onder de reikwijdte van de Wet bescherming persoonsgegevens (Wbp). Nagegaan zal worden wat op dit punt de exacte reikwijdte is van de ontwerprichtlijn en in hoeverre de ontwerprichtlijn strekt tot aanpassing van de wetgeving op dit punt.

b) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en beschikkingen) met commentaar t.a.v. haalbaarheid

Het voorstel bevat een implementatietermijn voor de lidstaten van twee jaar. Mede gelet op het feit dat het kaderbesluit gegevensbescherming, dat deels dezelfde bepalingen bevat als de ontwerprichtlijn, binnen afzienbare termijn zal zijn geïmplementeerd lijkt deze termijn naar het oordeel van het kabinet voldoende voor de implementatie van de richtlijn.

c) Wenselijkheid evaluatie-/horizonbepaling

In het voorstel is een evaluatiebepaling opgenomen (artikel 61). De Commissie zal de toepassing van de richtlijn evalueren. Daarnaast zal de Commissie binnen drie jaar nadat de onderhavige richtlijn in werking is getreden andere rechtsinstrumenten van de Europese Unie die betrekking hebben op de verwerking van persoonsgegevens ten behoeve van de voorkoming, onderzoek, ontdekking of vervolging van strafbare feiten of de tenuitvoerlegging van straffen, in het bijzonder de rechtsinstrumenten ten behoeve van de justitiële samenwerking in strafzaken en de politiesamenwerking, bekijken teneinde deze meer in lijn te brengen met de onderhavige richtlijn. Waarnodig zullen de nodige voorstellen worden gedaan tot aanpassing van deze rechtsinstrumenten teneinde een consistente benadering van de bescherming van persoonsgegevens binnen de Unie te verzekeren.

In het voorstel is geen horizonbepaling opgenomen.

7. Implicaties voor uitvoering en handhaving

a) Uitvoerbaarheid

Het voorstel kan aanzienlijke gevolgen hebben voor de werklast van de rechtshandhavingsdiensten. Dit betreft de verplichtingen van de rechtshandhavingsdiensten inzake het maken van onderscheid tussen verschillende categorieën van personen en de betrouwbaarheid van persoonsgegevens, de toegang tot en de verwijdering van persoonsgegevens en de melding van datalekken.

b) Handhaafbaarheid

N.v.t.

8. Implicaties voor ontwikkelingslanden

Geen.

9. Nederlandse positie

Nederland staat in beginsel positief ten opzichte van het voorstel van de Commissie voor een richtlijn op het gebied van de voor de bescherming van persoonsgegevens die worden verwerkt ten behoeve van de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens.

Uitgangspunt van het kabinet is dat de regels op het niveau van de Unie een duidelijke meerwaarde moeten bieden voor de burgers en de rechtshandhavingsdiensten. Anders dan het huidige kaderbesluit gegevensbescherming is de ontwerprichtlijn van toepassing op de verwerking van persoonsgegevens, ongeacht of de gegevens aan andere landen worden verstrekt. De burgers en de rechtshandhavingsdiensten zijn hierbij gebaat omdat hiermee wordt voorkomen dat binnen de lidstaten verschillende regimes van gegevensbescherming ontstaan voor de verwerking van persoonsgegevens ten behoeve van de rechtshandhaving. Daarnaast bevat de ontwerprichtlijn een meer uitgewerkt systeem voor de verstrekking van persoonsgegevens aan derde landen. De vaststelling van eenvormige regels op Europees niveau voor dergelijke verstrekkingen is van groot belang voor de bescherming van persoonsgegevens. Op dit gebied bieden de Europese regels een duidelijke meerwaarde. De rechtshandhavingsdiensten zijn hierbij eveneens gebaat omdat de huidige regels weinig houvast bieden voor het maken van afwegingen in individuele gevallen. Naar het oordeel van het kabinet is een hoog niveau van gegevensbescherming binnen de EU van belang, niet alleen voor de bescherming van de rechten van burgers maar tevens in het brede perspectief van de verdere intensivering van de samenwerking tussen de opsporingsdiensten, ook op het gebied van de gegevensuitwisseling.

Het recht op bescherming van de persoonlijke levenssfeer is geen absoluut recht, maar moet worden afgewogen tegen andere belangen, zoals het belang van de opsporing en vervolging van strafbare feiten. De regels voor een zorgvuldige verwerking van persoonsgegevens mogen naar het oordeel van het kabinet geen onevenredig risico vormen voor een doelgerichte en effectieve opsporing en vervolging van strafbare feiten. Dit risico heeft betrekking op de uitvoerbaarheid en werkbaarheid van de voorgestelde regels voor de bevoegde autoriteiten. Ook het kostenaspect is hierbij aan de orde. De regels van de richtlijn gegevensbescherming opsporing en vervolging dienen een goed evenwicht te vormen tussen een zorgvuldige gegevensbescherming en een adequate criminaliteitsbestrijding.

Vanuit dit perspectief zijn er enkele aandachtspunten:

Het voorstel bevat de verplichting voor de rechtshandhavingdiensten om, voor zover mogelijk, een duidelijk onderscheid te maken tussen de persoonsgegevens van verschillende categorieën van personen, zoals verdachten, veroordeelden, slachtoffers, getuigen of anderen (artikel 5). Daarnaast dienen de lidstaten te verzekeren dat, voor zover mogelijk, de verschillende categorieën van persoonsgegevens worden onderscheiden in overeenstemming met de mate van betrouwbaarheid van de gegevens. Daarbij dienen persoonsgegevens die zijn gebaseerd op feiten te worden onderscheiden van persoonsgegevens die zijn gebaseerd op persoonlijke waarderingen (artikel 6). Aan deze verplichtingen is geen gevolg verbonden voor de verwerking van de betreffende persoonsgegevens. Met deze regels lijkt te worden voorbij gegaan aan de aard van het politiewerk, dat er op is gebaseerd te komen tot een inschatting van de betrouwbaarheid van gegevens, die doorgaans niet van de betrokkene zelf zijn verkregen. Dergelijke verplichtingen zijn niet goed verenigbaar met de wijze waarop de politie haar taak uitoefent en zullen tot aanzienlijke verhoging van de lasten van de rechtshandhavingsdiensten kunnen leiden, zonder dat dit wordt gerechtvaardigd door het belang van die verplichtingen voor de gegevensbescherming.

De verplichtingen voor politie en justitie op het gebied van het informeren van de betrokkene en de toegang tot de gegevens zijn tamelijk verstrekkend geformuleerd. Op dit moment kent de Nederlandse wetgeving geen algemene verplichting voor de rechtshandhavingsdiensten om een betrokkene te informeren dat over hem persoonsgegevens worden verwerkt, zoals in de richtlijn voorzien (artikel 11). Een dergelijke algemene verplichting lijkt niet goed uitvoerbaar bij gebeurtenissen waarbij grote aantallen personen in aanraking komen met de politie, bijvoorbeeld bij grootschalige ordeverstoringen, en lijkt een dergelijke verplichting niet goed verenigbaar met de aard van de politietaak, die voorziet in de heimelijke inzet van bijzondere opsporingsbevoegdheden. De verdachte dient dan juist onkundig te blijven van de inzet van dergelijke bevoegdheden. Bovendien is de regeling van het recht op toegang voor de betrokkene, uitgewerkt in de artikelen 12 en 13 van de ontwerprichtlijn, dan grotendeels overbodig. Naar het oordeel van de regering dient de informatieplicht te worden opgevat als een meer algemene informatieplicht, waaraan invulling kan worden gegeven door middel van het recht op kennisneming en voor een ieder toegankelijke wettelijke regels.

Tevens wordt voorzien in een recht van de betrokkene op de verwijdering van gegevens (artikel 16). In plaats van verwijdering moeten de gegevens worden gemarkeerd als de juistheid daarvan door de betrokkene wordt betwist (artikel 16, derde lid, onderdeel a). Vanwege het feit dat de politietaak bij uitstek strekt tot de verwerking van gegevens waarvan de juistheid niet vaststaat, mag het markeren haar het oordeel van het kabinet niet leiden tot belemmering van de gegevensverwerking ten behoeve van de opsporing en vervolging.

De ontwerprichtlijn voorziet in een verplichting voor de rechtshandhavingsdiensten om datalekken te melden aan het toezichthoudend orgaan (artikel 28) en aan de betrokkene (artikel 29). De politietaak staat in de weg aan melding van een datalek aan de betrokkene.

De ontwerprichtlijn bevat een regeling voor de verstrekking van persoonsgegevens aan derde landen (hoofdstuk V). De toepassing van de regeling in de praktijk, specifiek de vaststelling van de toereikende waarborgen op grond van artikel 35, roept nog vragen op met betrekking tot de uitvoerbaarheid en de mogelijke werklast voor politie en justitie.

Overigens bevat de ontwerprichtlijn geen specifieke regels voor de doelbinding bij de verstrekking van persoonsgegevens aan andere lidstaten. In het huidige kaderbesluit gegevensbescherming is daarvoor wel een regeling opgenomen. Het lijkt wenselijk om deze regeling te continueren.

Tenslotte meent het kabinet dat de regels op het gebied van gegevensbescherming in andere bestaande Europese rechtsinstrumenten zo snel mogelijk dienen te worden aangepast aan de richtlijn gegevensbescherming. Anders dan in de richtlijn voorzien (artikel 61, tweede lid), dient deze aanpassing bij voorkeur te worden betrokken in de totstandkoming van de richtlijn.

Het kabinet kan zich niet zonder meer vinden in de sterke stijging met 10,25 mln euro per jaar. De onderhandelingen over dit voorstel maken voor wat betreft de financiële aspecten integraal onderdeel uit van de onderhandelingen over het Meerjarig Financieel Kader (MFK). In dit licht hecht het kabinet eraan dat besprekingen over dit voorstel niet vooruitlopen op de integrale besluitvorming betreffende het MFK. De beleidsmatige inzet van het kabinet ten aanzien van de richtlijn gegevensbescherming opsporing en vervolging zal ondersteunend moeten zijn aan de Nederlandse inzet in de MFK-onderhandelingen, te weten een substantiële vermindering van de Nederlandse afdrachten aan de EU en een hervormde begroting die is toegespitst op de prioriteiten van dit decennium; onderzoek en innovatie en veiligheid en justitie.

X Noot
1

Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen (13 december 2007).

Naar boven