22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 2310 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 februari 2017

Overeenkomstig de bestaande afspraken ontvangt u hierbij 6 fiches, die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

Fiche: Mededeling opbouwen van een Europese Data-Economie (Kamerstuk 22 112, nr. 2305);

Fiche: Verordening vervanging van de ePrivacyrichtlijn door een ePrivacyverordening (Kamerstuk 22 112, nr. 2306);

Fiche: Mededeling veiliger en gezonder werk voor iedereen (Kamerstuk 22 112, nr. 2307);

Fiche: Mededeling bescherming werknemers tegen carcinogene of mutagene agentia (Kamerstuk 22 112, nr. 2308);

Fiche: Verordening bescherming persoonsgegevens in een geglobaliseerde wereld (Kamerstuk 22 112, nr. 2309);

Fiche: Verordening gegevensbescherming EU-instellingen.

De Minister van Buitenlandse Zaken, A.G. Koenders

Fiche: EU-verordening gegevensbescherming EU-instellingen

1. Algemene gegevens

2. Essentie voorstel

a) Inhoud voorstel

Het voorstel strekt ertoe om de regels voor het gegevensbeschermingsrecht voor de instellingen en organen van de EU in overeenstemming te brengen met de regels van de Algemene verordening gegevensbescherming (AVG) die in 2016 is vastgesteld. De Europese regels voor gegevensbescherming van de AVG gaan ook gelden voor de EU-instellingen. Met het voorstel wordt daarom een verdere stap gezet naar een in de gehele EU volledig geharmoniseerd stelsel van regels op dit gebied. Nederland is daarvan voorstander en kan zich dan ook in beginsel achter het voorstel scharen.

Het voorstel bevat overigens geen volledig nieuwe materie, omdat het verordening (EG) 45/2001 vervangt waarin reeds een uitgebreid stelsel van regels voor de bescherming van persoonsgegevens voor de EU-instellingen is opgenomen.

Het voorstel bevat vier typen regels: a. bestaande regels uit verordening (EG) 45/2001 die in lijn moeten worden gebracht met de AVG; b. nieuwe regels uit de AVG die nu ook gaan gelden voor de EU-instellingen; c. bepalingen overgenomen uit verordening (EG) 45/2001 die vanwege hun specifieke aard en context behouden moeten blijven; d. de vereiste nadere invulling van regels uit de AVG op EU-niveau.

Bij deze typen regels kan aan de volgende voorbeelden worden gedacht:

  • a. De algemene grondslagen voor de verwerking van persoonsgegevens, zoals de beginselen van rechtmatigheid, eerlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid en volledigheid; opslagbeperking; integriteit en vertrouwelijkheid en verantwoordingsplicht van de verwerkingsverantwoordelijke. Deze beginselen blijven ongewijzigd. Dat geldt ook voor de rechtsgrondslagen van verwerking, het toestemmingsvereiste, de positie van jeugdigen en de verwerking van bijzondere persoonsgegevens.

  • b. De regels voor verwerkingsverantwoordelijken en de rechten van de betrokkene zijn in de AVG belangrijk uitgebreid. Dat wordt in het voorstel vrijwel volledig overgenomen. EU-instellingen moeten net als overheden en bedrijven betrokkenen uitgebreider informeren, betrokkenen houden hun rechten op inzage, verbetering afscherming, wissing en bezwaar. Zij krijgen onder de nieuwe verordening ook het recht om te worden vergeten en het recht op dataportabiliteit. De EU-instellingen zullen ook moeten voldoen aan verplichtingen tot het gebruik van privacy by design, het bijhouden van een registratie van verwerkingen, de meldplicht voor datalekken en het maken van een privacy impact assessment in zaken die zich daarvoor lenen. Daarbij wordt net als in de AVG een risico-georiënteerde benadering gevolgd.

  • c. De verordening kent voor de EU een eigen toezichthouder, de Europees Toezichthouder Gegevensbescherming. Die instantie blijft bestaan. De verordening kent enkele regels van ambtenarenrecht die ook blijven bestaan.

  • d. De AVG moet op lidstaatniveau door de wetgever worden ingevuld. Dat geldt mutatis mutandis ook voor de EU-instellingen. Zo moet bijvoorbeeld de toezichthouder opnieuw worden ingesteld en diens rechtspositie opnieuw worden geregeld.

b) Impact assessment Commissie

Er is geen impact assessment uitgevoerd door de Commissie omdat dit al eerder is gedaan in het kader van de voorbereiding van de Algemene Verordening gegevensbescherming (Verordening 2016/209) en een aanvulling daarop niet noodzakelijk werd geacht.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

Het Nederlandse beleid op dit gebied is in het algemeen er op gericht om de juiste balans te vinden tussen de bescherming van de grondrechten van het individu enerzijds en anderzijds de veiligheid. Nederland is altijd voorstander geweest van de totstandkoming van eenvormige regels op het gebied van de gegevensbescherming binnen de EU, geldend ook voor de instellingen. Nederland steunt dan ook al veel jaren het idee dat ook de EU-instellingen aan dezelfde regels worden onderworpen als de lidstaten, de nationale overheden, bedrijven en burgers.

b) Beoordeling + inzet ten aanzien van dit voorstel

In algemene zin kan Nederland goed uit de weg met deze regels. Niettemin heeft Nederland wel enige aandachtspunten voor het wetgevingsproces.

  • De verordening wijkt op onderdelen af van de AVG. Dat is voor Nederland alleen aanvaardbaar als die afwijking noodzakelijk is vanwege de eigen aard van het interne EU-recht. Zo is het bijvoorbeeld aanvaardbaar dat instrumenten uit de AVG die specifiek voor bedrijven in het leven zijn geroepen niet voor de Europese instellingen hoeven te gaan gelden. Instrumenten als privacygedragscodes en privacykeurmerken blijven in het voorstel daarom achterwege.

  • Waar de EU in de richting van de lidstaten nadrukkelijk wijst op de noodzaak om bij gegevensbescherming het Handvest van de Grondrechten volledig in acht te nemen, mag van de EU dezelfde houding verwacht worden. Nederland heeft dan ook vragen bij het gebruik van interne regelingen als wettelijke grondslagen voor de verwerking van persoonsgegevens. Interne regelingen kennen weinig of geen algemene waarborgen voor hun totstandkoming en lijken daarom niet zonder meer geschikt voor het vaststellen van regels die bindend van aard zijn voor burgers. Nagegaan moet worden of die grondslag in overeenstemming is met het Handvest en de AVG.

  • Nederland constateert als positief punt dat de verordening niet beoogt om bestaande specifieke toezichtsarrangementen, zoals die bestaan bij instanties als Europol en Eurojust en die goed functioneren, te veranderen. In die arrangementen werken verschillende nationale toezichthouders ofwel samen in «Joint Supervisory Boards», ofwel direct met de Europees Toezichthouder voor Gegevensbescherming. De Commissie ziet bedoelde arrangementen als legesspecialis ten opzichte van de voorgestelde verordening. Echter, in artikel 62 stelt de Commissie een modelbepaling voor de laatste samenwerkingsvorm voor, met in overweging 10 de mogelijkheid om niettemin aanpassingen van de bijzondere arrangementen voor te stellen. Nederland beziet dit kritisch. Nederland zal in de eerste plaats nagaan of en in hoeverre die modelbepaling afwijkt van de bestaande regelingen en de regelingen die nog in onderhandeling zijn met betrekking tot het EOM, Europol en Eurojust. Daarbij zal ook worden gekeken of de bevoegdheden van de Europees Toezichthouder in het voorstel verschillen ten opzichte van de genoemde toezichtsarrangementen. In de tweede plaats zal Nederland nader navraag doen naar de bedoeling van de Commissie om de bijzondere arrangementen te wijzigen.

  • Nederland zal verder nagaan in hoeverre op het niveau van EU dezelfde bijzondere regels gelden waar het betreft verwerkingen voor statistische doeleinden, archivering in het publiek belang en historische en wetenschappelijke onderzoeksdoeleinden.

  • Er zijn nog vragen over de verhouding van de Europees Toezichthouder Gegevensbescherming tot het Europees Comité voor Gegevensbescherming. Het is nog onvoldoende duidelijk in welke gevallen de toezichthouder het comité moet horen voordat hij een beslissing kan nemen.

  • Er zijn nog vragen over de precieze reikwijdte van de voorgestelde verordening. Weliswaar bevat die geen voorstellen tot wijziging van de AVG of bestaande toezichtsarrangementen, zoals Europol, maar de vraag blijft nog of niet moet worden voorzien in een afzonderlijke reikwijdtebepaling. Een dergelijke bepaling zal ook duidelijkheid kunnen geven over de gelding van regels in gevallen waarin zowel de AVG als de voorgestelde verordening beide van toepassing zijn. Dat kan zich voordoen in gevallen waarin de Commissie bijvoorbeeld bij wijze van cloudcomputing de verwerking van persoonsgegevens, zoals personeelsgegevens opdraagt aan een verwerker die zelf onder de reikwijdte van de AVG valt.

  • De positie van Plaatsvervangend Europees Toezichthouder voor Gegevensbescherming wordt geschrapt. Hoewel Nederland niet op voorhand tegen dit voorstel is, ontbreekt een motivering voor dit voorstel, en is Nederland van mening dat die schrapping niet moet leiden tot een verminderde effectiviteit van het toezicht.

c) Eerste inschatting van krachtenveld

Alle lidstaten die zich tot dusverre hebben uitgesproken over het voorstel zijn daarover in grote lijnen positief. Vrijwel alle lidstaten (die zich hebben uitgesproken) delen de opvatting van Nederland dat zorgvuldig moet worden nagegaan dat waar in dit voorstel wordt afgeweken van de AVG die afwijking moet worden gemotiveerd en alleen kan worden aanvaard als de specifieke context van interne verhoudingen tussen de instellingen van EU dit rechtvaardigt.

Het Europees parlement heeft zich nog niet uitgesproken over de verordening.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

a) Bevoegdheid

Het kabinet is akkoord met de bevoegdheid en rechtsbasis vastgelegd in artikel 16 VWE, tweede lid, voor een regeling m.b.t. ook de instellingen van de EU.

b) Subsidiariteit

Positief. Alleen de EU-wetgever kan regelingen treffen die de EU-instellingen en -organen betreffen.

c) Proportionaliteit

Positief. Aangezien alleen de EU-wetgever regelingen kan treffen die de EU-instellingen en -organen betreffen en richtlijnen of besluiten niet voor dat doel kunnen worden gebruikt, is een verordening het enig toepasbare instrument. Bovendien is ook voor de invulling van de regelingen in artikelen 2, derde lid, en 98 van de AVG een verplichting neergelegd tot het indienen van dit voorstel.

5. Financiële implicaties, gevolgen voor regeldruk en administratieve lasten

a) Consequenties EU-begroting

De Commissie voorziet geen substantiële aanvullende kosten in verband met dit voorstel. Nederland tekent daarbij aan dat de oplegging van boetes door de Europees Toezichthouder voor de Gegevensbescherming bij overtreding van de regels kan leiden tot enige effecten op de uitgaven van specifieke instellingen of fondsen die indirect effect kunnen hebben op uitgaven die ook aan Nederland ten goede komen. Omdat het in vergelijking met de AVG gaat om relatief bescheiden bedragen (maximaal € 500.000,–) kan hierin worden berust. Uit oogpunt van gelijke behandeling van Unie en lidstaten kan Nederland in beginsel instemmen met de hoofdlijn van de voorgestelde boetebevoegdheid. Wat de hoogte van het boetemaximum betreft, wijkt de context van de mogelijke boete-oplegging af van die van de AVG, zodat met een aanmerkelijk lager boetebedrag moet worden volstaan. Omdat de boeteopbrengsten worden toegevoegd aan de algemene middelen van de EU, maar ten laste zullen kunnen komen van bijvoorbeeld cohesiefondsen, moeten boetes geen substantiële effecten hebben op individuele ontvangers van gelden uit die fondsen.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/of decentrale overheden

Het voorstel betreft de instellingen en organen van de EU. Er worden daarom geen financiële consequenties voor de rijksoverheid en/of de decentrale overheden voorzien.

c) Financiële consequenties (incl. personele) voor bedrijfsleven en burger

Het voorstel betreft de instellingen en organen van de EU. Er worden daarom geen financiële of personele consequenties voor bedrijven en burgers voorzien.

d) Gevolgen voor regeldruk/administratieve lasten voor rijksoverheid, decentrale overheden, bedrijfsleven en burger

Het voorstel betreft de instellingen en organen van de EU. Er worden daarom geen consequenties voor de regeldruk van rijksoverheid, decentrale overheden, of burgers voorzien. Indien bedrijven onder werking van het voorstel als bewerkers van persoonsgegevens optreden (bijvoorbeeld indien zij persoonsgegevens in opdracht van een EU-instelling verwerken) vallen zij onder dezelfde verplichtingen als de AVG. Het valt lastig te kwantificeren tot welke gevolgen dit kan leiden, omdat niet bekend is hoeveel bedrijven in Nederland hiermee in aanraking zouden kunnen komen.

e) Gevolgen voor de concurrentiekracht

Het voorstel heeft geen specifieke effecten op de concurrentiekracht van de Nederlandse ICT-sector.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

Er worden geen consequenties voor de nationale en decentrale regelgeving voorzien. Er worden ook geen gevolgen voorzien voor de sanctionering in Nederland. Een bijzonderheid is dat het voorstel voorziet in de mogelijkheid van oplegging van een bestuurlijke boete door de Europees Toezichthouder voor Gegevensbescherming aan EU-instellingen. Voor zover bekend is de mogelijkheid tot het opleggen van een bestuurlijke boetes door een EU-orgaan aan EU-instellingen en -organen nieuw.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

  • In artikel 14, achtste lid, van het voorstel bepaalt dat indien de Commissie gedelegeerde handelingen krachtens artikel 12, achtste lid, van de AVG heeft vastgesteld om te bepalen welke informatie iconen dienen weer te geven en via welke procedures gestandaardiseerde iconen tot stand dienen te komen, de EU-instellingen, in voorkomend geval, overeenkomstig art. 15 en 16 informatie dienen te verschaffen in combinatie met zulke standaardiseerde iconen. Krachtens artikel 29, zevende lid, van het voorstel kan de Commissie uitvoeringshandelingen vaststellen gericht op de vaststelling van standaardcontractsvoorwaarden voor bewerkersovereenkomsten.

  • Krachtens artikel 40, vierde lid, van het voorstel kan de Commissie uitvoeringshandelingen vaststellen gericht op de vaststelling van een lijst van gevallen waarin EU-instellingen handelend als verwerkingsverantwoordelijken een aan de verwerking van persoonsgegevens voorafgaand overleg moeten voeren met de Europees Toezichthouder voor Gegevensbescherming.

Het kabinet kan instemmen met het toekennen van bovengenoemde bevoegdheden aan de Commissie om uitvoeringshandelingen vast te stellen, omdat met de vaststellingen van standaardcontractsvoorwaarden voor bewerkersovereenkomsten, en de lijst van gevallen waarin EU-instellingen handelend als verwerkingsverantwoordelijkheden voorafgaand overleg moeten voeren, waarborgen dat de Verordening volgens eenvormige voorwaarden wordt uitgevoerd. Het gebruik van de onderzoeksprocedure voor de vaststelling van uitvoeringshandelingen t.a.v. de vaststelling van standaardcontractsvoorwaarden voor bewerkersovereenkomsten is volgens het Kabinet gepast, omdat het gaat om uitvoeringshandelingen van algemene strekking (zie art. 2, lid 2, onder a van de Verordening (EU) Nr. 182/2011 (Comitologie-Verordening)).

De keuze sluit bovendien aan bij de artikelen 92 en 93 van de Algemene verordening gegevensbescherming en bij het bestaande systeem van richtlijn 95/46/EG

c) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De AVG gaat gelden met ingang van 25 mei 2018. Het is van belang dat de voorgestelde verordening parallel met de AVG in werking zal treden, zodat op die datum zowel voor de lidstaten als de EU een geharmoniseerd stelsel van regels gaat gelden.

d) Wenselijkheid evaluatie-/horizonbepaling

Er is niet voorzien in een evaluatiebepaling. In de loop van de onderhandelingen kan worden bezien of het zinvol is daartoe een voorstel te doen. Een horizonbepaling is niet opgenomen. De regels strekken immers tot nadere uitvoering van grondrechtelijke bepalingen die uit hun aard een permanente gelding behoeven.

7. Implicaties voor uitvoering en/of handhaving

a) Uitvoerbaarheid

Er zijn geen implicaties voor de uitvoerbaarheid van de verordening voor Nederlandse overheden of agentschappen. Op EU-niveau zal het effect van het voorstel zijn dat op uitvoeringsniveau intensievere aandacht voor gegevensbescherming binnen de EU-instellingen plaatsvindt. Dit wordt met name bereikt door het al bestaande netwerk van functionarissen voor de gegevensbescherming beter te benutten.

b) Handhaafbaarheid

Er zijn geen betekenisvolle implicaties voor de uitvoerbaarheid van de verordening voor Nederland. Op EU-niveau zal de Europees Toezichthouder voor Gegevensbescherming intensief moeten samenwerken met de toezichthouders uit de lidstaten, waaronder de Autoriteit persoonsgegevens. Daartoe is in de AVG een Europees Comité voor Gegevensbescherming opgericht. De hoofdlijnen van de samenwerking in het Comité zijn reeds in de Algemene verordening geregeld. De rechtstreekse samenwerking van de Europees Toezichthouder met de nationale toezichthouders bij de onder punt 3 b) genoemde bijzondere arrangementen bestaat in de praktijk al in verschillende varianten. Uiteindelijk zal hiervoor een geharmoniseerd model worden geregeld.

8. Implicaties voor ontwikkelingslanden

Het voorstel heeft geen consequenties voor ontwikkelingslanden.

Naar boven