Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Eerste Kamer der Staten-Generaal2011-201222112 nr. FI

22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

33 169 EU-voorstel Richtlijn bescherming persoonsgegevens bij gebruik door politiële en justitiële autoriteiten (COM(2012) 10) en EU-voorstel Verordening algemeen kader bescherming persoonsgegevens COM(2012)11

FI1 BRIEF VAN DE STAATSSECRETARIS VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 2 maart 2012

Overeenkomstig de bestaande afspraken heb ik de eer u hierbij drie fiches aan te bieden die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

Fiche 1: Richtlijn gegevensbescherming opsporing en vervolging

Fiche 2: Verordening gegevensbescherming

Fiche 3: Mededeling Handel, Groei en Ontwikkeling

De staatssecretaris van Buitenlandse Zaken, B. Knapen

Fiche 2: Verordening gegevensbescherming

1. Algemene gegevens

Titel voorstel: VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming)

Dit voorstel vormt onderdeel van een pakket dat strekt tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het pakket omvat twee voorstellen en een mededeling waarin die voorstellen worden opgevoerd.

In de eerste plaats het onderhavige voorstel voor een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (hierna: ontwerpverordening gegevensbescherming). In de tweede plaats een voorstel voor een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, onderzoek, ontdekking of vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens (hierna: ontwerprichtlijn gegevensbescherming opsporing en vervolging).

Over de ontwerpverordening en ontwerprichtlijn zijn BNC fiches opgesteld. Niet over de mededeling, nu deze niets meer of anders bevat dan de ontwerpverordening en ontwerprichtlijn.

Datum Commissiedocument: 25 januari 2012

Nr. Commissiedocument: OM (2012) 11

Prelex: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=nl&DosId=201286

Nr. Impact Assessment Commissie en Opinie Impact Assessment Board: SEC (2012) 73

Behandelingstraject Raad: Dit voorstel wordt behandeld in de JBZ Raad.

Eerstverantwoordelijk ministerie: Veiligheid en Justitie.

Rechtsbasis, besluitvormingsprocedure Raad, rol Europees Parlement, gedelegeerde en/of uitvoeringshandelingen:

  • a) Rechtsbasis

Artikel 16, tweede lid, Verdrag betreffende de werking van de Europese Unie (VWEU).

  • b) Besluitvormingsprocedure Raad en rol Europees Parlement

Gewone wetgevingsprocedure art. 294 VWEU. Raad: gekwalificeerde meerderheid. EP: medebeslissingsprocedure.

  • c) Gedelegeerde en/of uitvoeringshandelingen

Er is voorzien in de vaststelling van gedelegeerde handelingen (art. 290 VWEU) en in de vaststelling van uitvoeringshandelingen door de Commissie (art. 291 VWEU).

2. Samenvatting BNC-fiche

De ontwerpverordening stelt nieuwe regels vast met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens. Het begrippenkader wordt verruimd. De rechten van betrokkenen worden versterkt, met name met het recht om te worden vergeten en het recht op dataportabiliteit. De administratieve lasten van verantwoordelijken voor de gegevensverwerking worden verlicht, maar verplichtingen van die verantwoordelijken worden verzwaard. Het regime voor de doorgifte van persoonsgegevens aan derde landen is uitgebreid, maar lijkt nog niet sluitend. Het toezicht op de naleving en de handhaving van de regels over gegevensbescherming worden op EU-niveau vastgesteld. Er wordt voorzien in robuuste sanctionering, met name in de bevoegdheid tot het vaststellen van bestuurlijke boetes door toezichthouders.

Nederland kan zich vinden in de gekozen bevoegdheidsgrondslag, en beoordeelt de subsidiariteit positief en proportionaliteit deels positief, deels negatief. De keuze voor het instrument verordening kan worden onderschreven. Nederland vindt dat de regelgeving op onderdelen niet zo gedetailleerd moet worden uitgewerkt. Nederland betwijfelt de noodzaak tot het in zeer ruime mate vaststellen van gedelegeerde regelgeving door de Commissie. De benodigde middelen die worden voorgesteld acht het kabinet niet proportioneel.

Verduidelijking van de regels voor gegevensbescherming, versterking van het sanctieregime en de verplichting tot onderlinge samenwerking van toezichthouders in het nieuwe handhavingsmechanisme bevorderen het nalevingsniveau. De regeldruk voor het bedrijfsleven, en op onderdelen, ook voor de burger, neemt toe. Er wordt nog weinig rekening gehouden met de specifieke behoeften van het MKB. Er wordt onvoldoende aandacht gegeven aan de bijzondere rol en verantwoordelijkheid van de overheid, in elk geval ten aanzien van de openbaarheidsregelgeving, het recht op hergebruik van overheidsinformatie, open data en de verhouding van de rechten van betrokkenen en de verwerking van persoonsgegevens in openbare bij de wet ingestelde registers. Nederland is daarmee in zijn algemeenheid positief, maar zet op onderdelen vraagtekens bij de onderlinge verhouding van rechten en verplichtingen van burgers, bedrijven en de overheid.

3. Samenvatting voorstel

– Inhoud voorstel

De ontwerpverordening stelt nieuwe regels vast met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens. Het begrippenkader wordt verruimd. De rechten van betrokkenen worden versterkt, met name met het recht om te worden vergeten en het recht op dataportabiliteit. De administratieve lasten van verantwoordelijken voor de gegevensverwerking worden verlicht, maar verplichtingen van die verantwoordelijken worden verzwaard. Het regime voor de doorgifte van persoonsgegevens aan derde landen is uitgebreid. Het toezicht op de naleving en de handhaving van de regels over gegevensbescherming wordt op EU-niveau vastgesteld. Dat stelsel is gecompliceerd. Er wordt voorzien in sanctionering, waarbij de hoogte van bestuurlijke boetes op EU-niveau wordt vastgesteld. De boetes kunnen door de nationale toezichthouders worden opgelegd.

– Impact assessment Commissie

De diensten van de Commissie identificeren drie beleidsdoelstellingen: versterking van de internemarktdimensie, een vergroting van de effectiviteit van het grondrecht op gegevensbescherming en de vaststelling van een integraal kader voor het gegevensbeschermingsrecht, met inbegrip van het gebied van politie- en justitiesamenwerking. De diensten van de Commissie identificeren drie beleidsopties. Optie 1 bestaat uit een combinatie van niet-bindende instrumenten en een beperkte aanvulling van de bestaande richtlijn. Optie 2 bestaat uit wetgevende maatregelen om bestaande tekortkomingen in implementatie en het uiteenlopen van de wetgeving van de lidstaten tegen te gaan. Optie 3 bestaat uit gedetailleerde totaalharmonisatie van het gehele gegevensbeschermingsrecht. Gekozen wordt voor optie 2.

4. Bevoegdheidsvaststelling en subsidiariteits- en proportionaliteitsoordeel

a) Bevoegdheid

Het kabinet acht artikel 16, tweede lid, Verdrag betreffende de werking van de Europese Unie (VWEU), de juiste rechtsgrondslag voor het voorstel

b) Subsidiariteits- en proportionaliteitsoordeel

Subsidiariteitsoordeel

Nederland beoordeelt de subsidiariteit positief. Met dit voorstel wordt uiteenlopende regelgeving in de lidstaten voorkomen. Bovendien wordt een gelijke behandeling bij toezicht en handhaving binnen de Unie bevorderd.

Proportionaliteitsoordeel

Ten aanzien van de proportionaliteit is het oordeel deels positief, deels negatief. De keuze voor het instrument verordening roept als zodanig geen bezwaar op. Nederland vindt dat de regelgeving op onderdelen niet zo gedetailleerd moet worden uitgewerkt. Het voorstel voorziet bovendien in veel aanvullende regelgeving door de Commissie. Nederland let er op dat de regels praktisch kunnen worden toegepast en uitgevoerd en is kritisch ten aanzien van de met het voorstel gemoeide kosten voor naleving van de regels. Ook acht Nederland van belang dat een goed evenwicht bestaat tussen rechten en verplichtingen voor de verschillende categorieën belanghebbenden waarop de verordening het oog heeft.

De benodigde middelen die worden voorgesteld acht het kabinet niet proportioneel. In zoverre beoordeelt Nederland de proportionaliteit negatief.

c) Nederlands oordeel over de voorstellen op het gebied van gedelegeerde en/of uitvoeringshandelingen

Positief t.a.v. de bevoegdheid tot het vaststellen van uitvoeringshandelingen, maar negatief ten aanzien van de zeer ruime mate waarin wordt voorzien in gedelegeerde regelgeving door de Commissie. De noodzaak daartoe is nog niet voldoende aangetoond.

5. Financiële implicaties, gevolgen voor regeldruk en administratieve lasten

De financiële verklaring bij het voorstel voor de verordening gegevensbescherming bestrijkt de financiële gevolgen van zowel de onderhavige ontwerpverordening als de ontwerprichtlijn gegevensbescherming opsporing en vervolging.

a) Consequenties EU-begroting

Vanwege de taakverdeling zijn volgens de Commissie extra middelen vereist voor de Commissie en voor de European Data Protection Supervisor (EDPS). In het volgend meerjarig financieel kader (2014–2020) wordt een bedrag van 3.5 miljoen euro per jaar extra voorgesteld (over de hele periode een bedrag van 24 miljoen euro). Gegevensbescherming is één van de doelen van het programma Rechten en Burgerschap. De administratieve uitgaven vallen binnen de begroting van DG JUST. Op grond van de inhoud van de voorgestelde regels zal het zwaartepunt van de consequenties voor de EU begroting bij de verordening gegevensbescherming liggen.

De herziening van de regels voor de bescherming van persoonsgegevens geeft tot gevolg dat de taken van de Commissie worden uitgebreid. Dit vloeit voort uit de implementatie van een nieuw consistentiemechanisme voor de verordening gegevensbescherming, het onderzoek naar het niveau van gegevensbescherming in andere landen voor de verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging en de voorbereiding van gedelegeerde regelgeving voor de verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging. In totaal gaat het om 24 FTE.

De formatie van de EDPS dient te worden uitgebreid, onder meer ten behoeve van het secretariaat van de European Data Protection Board. De extra operationele financiële middelen die in totaal benodigd zijn om de extra taken te vervullen worden geschat op 10,25 miljoen euro. Daarvan is 3,2 miljoen euro bestemd voor het secretariaat van de European Data Protection Board, 2,9 miljoen euro is gereserveerd voor het toezicht op het consistentiemechanisme, dat uitsluitend verband houdt met de verordening gegevensbescherming, en 4,1 miljoen euro is gereserveerd voor een gemeenschappelijke IT-voorziening bij de EDPS ten behoeve van de communicatie met de nationale toezichthoudende autoriteiten.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/ of decentrale overheden

In art. 47 van de ontwerpverordening wordt voorzien in een verplichting tot adequate financiering en bestaffing van de nationale toezichthouder. Of aan die verplichting wordt voldaan staat uiteindelijk ter beoordeling aan de Europese Commissie. Dit roept uit oogpunt van het budgetrecht een probleem op. Op dit moment zijn de financiële consequenties van het voorstel voor de rijksoverheid nog niet geheel te overzien, bijvoorbeeld waar het gaat om de inrichting van de overheidsinformatiesystemen. Duidelijk is dat het voorstel gevolgen heeft voor de (apparaats)begroting van het College bescherming persoonsgegevens.

De kosten worden conform de Regels Budgetdiscipline gedragen binnen de begrotingen van de beleidsverantwoordelijke ministeries.

c) Financiële consequenties (incl. personele) voor bedrijfsleven en burger

Geen rechtstreekse financiële consequenties voor bedrijfsleven en burgers.

d) Gevolgen voor regeldruk/administratieve lasten voor rijksoverheid, decentrale overheden, bedrijfsleven en burger

Door de Commissie wordt een reductie aan administratieve lasten geraamd. Administratieve lasten voor burgers en bedrijven nemen af door het schrappen van de meldplicht voor verwerking van persoonsgegevens. Daar staat tegenover dat de nalevingskosten toenemen, met een vooralsnog onbekend bedrag. De rijksoverheid en de zelfstandige bestuursorganen moeten rekening houden met een substantiële toename van de bestuurlijke lasten, doordat maatregelen die een effect hebben op de bescherming van persoonsgegevens vaker een expliciete wettelijke grondslag behoeven. Bovendien moet rekening worden gehouden met aanvullende bestuurlijke lasten voortvloeiend uit de transparantieverplichtingen van de verordening. Decentrale overheden moeten daarnaast nog rekening houden met de verplichting een functionaris voor de gegevensbescherming aan te stellen.

De compenserende maatregelen voor kleinere bedrijven bieden nog te weinig ruimte voor maatwerk, en zijn nog teveel toegesneden op bedrijfsomvang in plaats van op specifieke risico's voor de bescherming van persoonsgegevens. In grote lijnen geldt hetzelfde voor de positie van individuele burgers die gegevens verwerken.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

De Wet bescherming persoonsgegevens moet worden ingetrokken. Er moet een uitvoeringswet van beperkte omvang opgesteld worden. Een omvangrijke wetgevingsoperatie is nodig om het met de verordening strijdige recht in bijzondere wetten in te trekken. Er zijn geen gevolgen voor de decentrale regelgeving.

b) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en beschikkingen) met commentaar t.a.v. haalbaarheid

Twee jaar na de datum van inwerkingtreding. Dat moet onder normale omstandigheden haalbaar zijn.

c) Wenselijkheid evaluatie-/horizonbepaling

Art. 90 van de ontwerpverordening bevat een evaluatiebepaling.

7. Implicaties voor uitvoering en handhaving

a) Uitvoerbaarheid

De verantwoordelijkheid voor de uitvoering van de verordening ligt niet primair bij de overheid, maar bij elke verantwoordelijke voor de verwerking van persoonsgegevens. Burgers, bedrijven, instellingen en overheidsorganen worden in dit opzicht gelijk behandeld. De uitvoerbaarheid van de nieuwe verplichtingen is met name voor kleine en middelgrote en grote bedrijven maar ook voor instellingen en overheid nog een vraag. In grote lijnen geldt hetzelfde voor individuele burgers die gegevens verwerken.

b) Handhaafbaarheid

De meer gedetailleerde opzet van de verordening en de precisering van begrippenapparaat en reikwijdtebepalingen beogen een betere handhaafbaarheid te bieden dan de huidige richtlijn en de daarop gebaseerde Wet bescherming persoonsgegevens. Toezichts- en handhavingsbevoegdheden en de hoogte van bestuurlijke sancties worden op EU-niveau geregeld. Er is sprake van een degelijke voorziening tot onderlinge samenwerking en afstemming van de toezichthouders uit de lidstaten op EU-niveau.

8. Implicaties voor ontwikkelingslanden

Geen

9. Nederlandse positie

Nederland is in zijn algemeenheid positief. De huidige EU-privacyrichtlijn schiet op onderdelen tekort om een niveau van gegevensbescherming te garanderen dat voldoende aansluit bij de behoeften van burgers en bedrijven om grensoverschrijdend zaken te kunnen doen in de hedendaagse informatiemaatschappij. Het voorstel regelt zaken die op nationaal niveau niet meer op zinvolle wijze geregeld kunnen worden. Met de keuze voor een verordening wordt uiteenlopende regelgeving, toezicht op de naleving en handhaving voorkomen. Wel zet Nederland vraagtekens bij de voorstellen tot gedelegeerde regelgeving door de Commissie. Ook is Nederland kritisch of de onderlinge verhoudingen van rechten en verplichtingen van burgers, bedrijven en de overheid voldoende evenwichtig zijn. De bijzondere rol van de overheid in de samenleving bij het verwerken van persoonsgegevens verdient meer erkenning.

Administratieve lasten maken plaats voor verplichtingen die moeten worden nageleefd. Het kabinet is hier voorstander van, maar vindt wel dat de winst die wordt geboekt met het bereiken van een volkomen gelijkheid in rechten en verplichtingen binnen de EU voor alle burgers en bedrijven, moet worden afgewogen tegen de relatief zware last van die verplichtingen op kleine en middelgrote bedrijven en grote bedrijven die de verwerking van persoonsgegevens niet als primair proces kennen. Daarnaast vraagt Nederland zich af of voldoende rekening wordt gehouden met de behoeften om gegevens te verwerken voor statistische doeleinden en voor historisch en wetenschappelijk onderzoek.

De regels voor het grensoverschrijdend gegevensverkeer zijn verbeterd, maar de vraag is of alle problemen voldoende zijn opgelost. Met name bestaat nog de vraag of het probleem van conflicterende jurisdicties volledig sluitend is geregeld.

Voor de handhaving wordt voorzien in een stelsel van samenwerking en afstemming van alle dataprotectietoezichthouders van de lidstaten, de EDPS en de Commissie. Dat is positief. Wel roept de rol van de Commissie vragen op, zowel omdat zij op grond van de Verdragen al over de nodige bevoegdheden tot handhaving beschikt, als vanwege haar plek in de verhouding tot de dataprotectietoezichthouders die een onafhankelijke positie hebben.

Het kabinet kan zich niet zonder meer vinden in de sterke stijging met 10,25 mln euro per jaar. De onderhandelingen over dit voorstel maken voor wat betreft de financiële aspecten integraal onderdeel uit van de onderhandelingen over het Meerjarig Financieel Kader (MFK). In dit licht hecht het kabinet eraan dat besprekingen over dit voorstel niet vooruitlopen op de integrale besluitvorming betreffende het MFK. De beleidsmatige inzet van het kabinet ten aanzien van de «Richtlijn gegevensbescherming opsporing en vervolging» zal ondersteunend moeten zijn aan de Nederlandse inzet in de MFK-onderhandelingen, te weten een substantiële vermindering van de Nederlandse afdrachten aan de EU en een hervormde begroting die is toegespitst op de prioriteiten van dit decennium; onderzoek en innovatie en veiligheid en justitie.


X Noot
1

De letters FI hebben alleen betrekking op 22112.