25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)

MevrouwScheltema-de Nie(D66)

Voorzitter! Een algemene inleiding is natuurlijk toch wel even nuttig. Het gaat hier immers om een complex wetsvoorstel waarin nog geen rekening wordt gehouden met de ontwikkelingen op het terrein van de elektronische snelweg, e-mail, Internet, enz. Daar werkt een Europese werkgroep aan. Ik verwacht dat daaruit nieuwe aanvullende voorstellen voor de bescherming zullen komen.

Bij deze wet gaat het om het vinden van een verantwoord evenwicht tussen de rechten van de burgers op bescherming van hun fundamentele rechten, waaronder het recht op privacy, en het belang van het vrije verkeer van persoonsgegevens. De voorkeur van D66 gaat uit naar een kaderwet die zo sober mogelijk is, maar die tegelijkertijd ook een goede bescherming van de burger biedt.

Terecht wordt in het voorliggende voorstel uitgegaan van een kaderwet voor zowel de publieke als de private sector. Voor de burger doet het er niet toe of hij door de kat of door de hond wordt gebeten. Hij moet gewoon beschermd worden, en dat gebeurt in deze wet. Er wordt ook voorzien in een belangrijker rol voor het College bescherming persoonsgegevens, maar die belangrijke rol wordt wel gecontroleerd door de rechter. Dat is op zichzelf goed.

Voorzitter! De volgende belangrijke punten behoeven naar mijn mening toch echt een iets nadere bespreking. Dat zijn de vragen: is de omvang van de wet nu te groot, is er voldoende aan zelfregulering gedaan en hoe zit het met de handhaving? Het punt van de zelfregulering is door VNO/NCW en de Consumentenbond uitvoerig aangekaart. In de nota van wijziging worden al aanmerkelijke veranderingen aangebracht, waardoor naar mijn oordeel de wet nu voldoende ruimte biedt voor een meer decentrale, aan sectoren aangepaste aanpak. Dat gebeurt via gedragscodes, vertrouwensfunctionarissen en een eigen geschillenbeslechtingsregeling. De Registratiekamer wijst erop dat er bijvoorbeeld ook al 12 gedragscodes zijn goedgekeurd, dus dat geeft wel aan dat het werkt. Desondanks komen de genoemde organisaties toch weer met aanvullende voorstellen om nog meer zelfregulering mogelijk te maken. Zij doen met name het voorstel om gedragscodes, vertrouwensfunctionarissen en geschillenbeslechting in feite nevengeschikt te maken aan het College bescherming persoonsgegevens met die taken. In de wet, zoals die nu – ook na de nota van wijzing – voorligt, is nog steeds sprake van een bovenschikking en dus van een algemene paraplu, bestaande uit het College bescherming persoonsgegevens. Naar mijn oordeel moet dat zo blijven. Ik vind dat het voorstel van VNO/NCW en de Consumentenbond de systematiek van de wet aantast en eigenlijk bijna ondergraaft. Je kunt je zelfs afvragen of er, als je daartoe zou overgaan, nog wel sprake is van een nationale autoriteit die de richtlijn vergt en die uiteindelijk als overkoepeling moet functioneren. Ik zie met name problemen met de nationale afvaardiging in de reeds genoemde Europese working group, maar ik hoor daar graag het oordeel van de minister over. Die working group moet zich gaan beraden op nadere bescherming op grond van de communicatietechnische ontwikkeling. Zoals ik het nu zie – maar misschien kan ik daar bij de artikelsgewijze behandeling op terugkomen – heb ik een aantal bedenkingen tegen de gedragscodebepaling, zoals die er nu ligt.

Een tweede belangrijk punt is de toezichthandhaving. Voor het College bescherming persoonsgegevens wordt gekozen voor de constructie van een zelfstandig bestuursorgaan. Dat is een juiste aanpak en dat past ook in het regeringsbeleid. Ik zou echter willen dat de regering haar verantwoordelijkheid ten aanzien van dat college nog iets duidelijker neemt; de regering zou met name regels ten aanzien van de taakuitoefening moeten kunnen stellen. Tot nu toe wordt daar in de wettekst niet toe overgegaan, met name omdat men de aanwijzingen voor de wetgevingstechniek toereikend acht. Ik denk dat zij niet toereikend zijn: de minister kan alleen dat wat de wet bepaalt.

Dan kom ik op de handhaving. Op zich heeft de Rekenkamer een punt als zij zegt dat er een toereikende handhaving moet zijn en dat het strafrechtelijk systeem daartoe niet toereikend is; zij constateert dat het OM niet altijd prioriteit geeft aan de aantasting van de bescherming van persoonsgegevens. Ik kan mij voorstellen dat het OM soms andere prioriteiten heeft, maar dat neemt niet weg dat de bescherming van persoonsgegevens belangrijk is. Mijn fractie vindt het wederom opnemen van de handhaving via bestuurlijke boeten daarvoor een geëigende weg. Ik zie niet in waarom dat nu geschrapt zou moeten worden in afwachting van de Algemene wet bestuursrecht; het kan nog tijden duren voordat die wet er is, want daar is zelfs nog geen voorstel voor gedaan. Ik zie bovendien dat andere toezichthoudende organen, zoals de OPTA of de Mededingingsautoriteit, wel degelijk de bevoegdheid hebben om bestuurlijke boeten te introduceren; ik denk dat dat ook voor het College bescherming persoonsgegevens weer geïntroduceerd zou moeten worden. Ik vraag de minister of hij daartoe bereid is. In het verslag hebben wij wel kritische kanttekeningen geplaatst bij de hoogte van de boete en het gebruik maken van beleidsregels. Ik kan mijn inhoudelijke kanttekeningen op die punten echter niet artikelsgewijs naar voren brengen, omdat die punten geschrapt zijn.

MevrouwScheltema-de Nie(D66)

Oké. Dat zijn dus de twee belangrijke punten die ik in dit verhaal op hoofdlijnen wil aankaarten. Daarbij vraag ik de minister ook om iets duidelijker in te gaan op de aan- sprakelijkheid voor de overheid bij de toch wat latere implementatie, want dat punt blijft toch wat vaag.

MevrouwWagenaar(PvdA)

Voorzitter! Ik wil graag eerst van deze gelegenheid gebruik maken om de staf van het commissiebureau te bedanken voor het heldere wetge- vingsrapport dat op ons verzoek op zeer korte termijn is uitgebracht. Mijn complimenten daarvoor.

MevrouwWagenaar(PvdA)

Ja, dat weet ik.

Voorzitter! Het wetsvoorstel heeft nog veel haken en ogen. Wij hebben nog geen amendementen ingediend en zullen dat vandaag ook niet doen. Omdat er nog heel veel onduidelijkheid is, willen wij eerst het antwoord van de regering afwachten. De kwaliteit van het wetsvoorstel, in het bijzonder die van de memorie van toelichting, vinden wij beneden de maat. Het is een wetsvoorstel dat iedere burger in Nederland aangaat en het heeft ook al tot de nodige commotie geleid, enkel en alleen omdat het voorstel verwarring sticht. Dat leidt tot veel onduidelijkheid. Die onduidelijkheid kan weer problemen geven met de uitvoerbaarheid en de handhaafbaarheid. Het wetsvoorstel heeft bovendien een hoog abstractieniveau en een grote hoeveelheid open normen. De vraag is dan ook of het wetsvoorstel voldoende rechtszekerheid geeft, of dat iedereen die met de wet te maken krijgt, het uiteindelijk zal moeten hebben van jurisprudentie. Dat alles dan ook nog eens ondanks de dikte van de memorie van toelichting.

Ik kan mij heel goed voorstellen dat bedrijven die met deze wet moeten gaan werken, met de handen in het haar zitten. Onnodige administratieve lastendruk voor bedrijven door deze wet moet worden voorkomen, zo vindt de PvdA-fractie. Dat geldt trouwens niet alleen voor het bedrijfsleven. Denk bijvoorbeeld maar aan het commentaar dat wij hebben ontvangen van de Nederlandse Vereniging van Ziekenhuizen. Ook zij stelt – en ik onderschrijf dat – dat de wet zo ingewikkeld is dat het bijzonder lastig wordt om ermee te werken.

De oplossing van het bedrijfsleven is dan heel snel: dat doen wij zelf wel. Wij vinden dat heel begrijpelijk, want dat zou mijn eerste reactie ook zijn. Toch denk ik dat er voor de Kamer, als medewetgever, een taak ligt om vandaag en in het vervolg van vandaag zeer serieus ervoor te zorgen dat er toch een zo transparant mogelijke wet komt. Dit alles terwijl de richtlijn helder is. De PvdA-fractie heeft ook geen moeite met de richtlijn, maar wel met het wetsvoorstel. Als ik eerlijk ben, denk ik wel eens: het is vervelend dat dit wetsvoorstel er nu zo ligt, want als wij vanmiddag met elkaar zouden kunnen brainstormen met de richtlijn in de hand over de vraag hoe de wet eruit zou moeten zien, zouden wij daar waarschijnlijk veel gemakkelijker uitkomen.

Maar goed, er moet dus een heldere wet komen en wat ons betreft, moet in die wet zoveel mogelijk worden aangegeven hoe de praktijk eruit moet gaan zien. De uiteindelijke normering van de praktijk moeten wij niet overlaten aan de toezichthouder of de rechter. Ik meen dat die vandaag en in volgende debatten zoveel mogelijk duidelijk moet worden.

Wij zijn blij dat in de nota naar aanleiding van het verslag de regering de zorg van de PvdA-fractie onderschrijft waar het gaat om de informatieplicht van de houder. De regering geeft nog eens aan dat uit de evaluatie van artikel 28 van de Wet persoonsregistratie blijkt dat ongeveer 20% van de geregistreerden op dit moment door de houder wordt geïnformeerd over een eerste opname in de registratie. Vervolgens zegt de regering dat het aangescherpt regime van de WBP voor- delen biedt, namelijk (ik citeer blz. 13 van de memorie van toelichting) "ten behoeve van de transparantie voor de burger de informatieverplichting vooral wordt aangescherpt vanuit het beginsel, dat er geen onderzoeksplicht op de betrokkene rust, omdat er sprake is van een ongelijkwaardigheid van de partijen. Vanwege de informatiemacht van de verantwoordelijke rust op hem de plicht de maatschappelijk zwakkere partij te informeren over tenminste zijn identiteit en het doel van de gegevensverwerking, opdat de betrokkene desgewenst de hem toekomende rechten jegens de verantwoordelijke kan effectueren." Deze uitleg van de wet zal voor mijn fractie leidraad zijn bij de behandeling en de beoordeling van het wetsvoorstel.

Voor ons is daarbij een hoofdpunt de positie van de overheid en de positie van het bedrijfsleven. De burger heeft een dwangrelatie met de overheid, want hij kan bij inschrijving in een gemeente niet kiezen uit drie GBA's en kan ook niet kiezen uit drie verschillende regimes van socialezekerheidswetten als hij werkloos wordt. Als de burger echter boodschappen doet, kan hij wél kiezen naar welke supermarkt hij gaat en of hij daar wel of niet een bonuskaart neemt. Juist daar waar de overheid uitvoering van wetgeving, bijvoorbeeld in de sociale zekerheid, steeds meer uitbesteedt, moeten wij zeer helder omgaan met de persoonsgegevens die daarbij betrokken zijn. In de tweede plaats zullen wij bij de verdere behandeling van het wetsvoorstel de nadruk leggen op de handhaving van de wet en de vraag, hoe om te gaan met het instrument van de bestuurlijke boete.

De heerNicolaï(VVD)

Voorzitter! Ik ga binnenkort verhuizen. Dat wist u niet en dat weten nog weinig mensen, maar de verhuisbranche weet dat wel, merkte ik. Want ik krijg allemaal brieven thuis van verhuizers die voorstellen mijn verhuizing te doen. Ik had met moeite één offerte gevraagd. Nu kan ik dus op een heel gemakkelijke manier nog een paar concurrerende offertes vragen. Dus ik vind het een erg gunstige ontwikkeling, in ieder geval voor de burger. De branche moet het zelf maar uitmaken. Ik noem dit, omdat dit in een paar woorden de achter- grond is van waaruit de VVD het hele wetsvoorstel bekijkt. Wij maken ons niet zo vreselijk zorgen over het feit, dat Albert Heijn weet wie van goede wijn houdt en die aanbiedingen kan doen, zoals vroeger de melkboer als die aan de deur kwam, kon zeggen: ik doe er maar een vlaflip bij, want uw zoon is toch vandaag jarig?

Een tweede relativering. We hebben het over privacy, maar we hebben het maar over een beperkt aspect van de privacy. Laten we wel wezen, privacy wordt vooral aangetast en komt vooral in het gedrang door heel andere problemen, bijvoorbeeld buren. We hebben het hier vandaag over de bescherming van persoonsgegevens en dan vooral de verwer- king daarvan. In een paar woorden die 300 pagina's samenvattend, gaat het er vooral om dat gegevens alleen gebruikt moeten worden voor het doel waarvoor ze verzameld zijn, dus niet oneigenlijk, niet door andere partijen enz. De achtergrond waar- tegen wij deze discussie voeren, is de informatiesamenleving, die in alle opzichten aan alle kanten toeneemt. Die kunnen we niet tegenhouden en moeten we niet tegenhouden. Ook voor de burger neemt die toe. De burger kan ook achterhalen via Internet of Israël grondstoffen laat aanleveren voor gifgassen of niet. Ook tegen die achtergrond moeten we hierover praten. Dat heeft ook te maken met de Europese richtlijn die natuurlijk de basis vormt voor de discussie van nu, waarin afgezien van de verwerking van persoonsgegevens, expliciet in de titel wordt genoemd het vrije verkeer van die gegevens.

Ik wil in dit rondje graag een paar vragen van algemene aard stellen. In de eerste plaats: hoeveel tijd hebben we eigenlijk nog om hierover te praten? We zijn al laat. Wat zijn de gevolgen als we er nog langer over doorpraten? Hoeveel ruimte is er überhaupt om ingrijpender wijzigingen voor te stellen? Wat zijn of worden de gevolgen als het langer duurt in de praktijk? Daarmee hangt samen de vraag waarom de Raad van State niet is gekend in de laatste nota van wijziging, terwijl die toch relatief ingrijpende maatregelen betreft.

Het blijft heel lastig om dit wetsvoorstel goed te behandelen, in ieder geval voor de VVD-fractie pratend, al was het maar door de uitvoerige memorie van toelichting in combinatie met een wellicht ter compensatie daarvan superkorte nota van wijziging. In samenhang met elkaar is dat heel lastig lezen. Maar goed, wij doen ons best. De belangrijkste achterliggende vraag van de vragen die ik vervolgens meer in concreto zal stellen, is de volgende. We hebben een richtlijn. Die moet uitgevoerd worden. Die richtlijn heeft in sommige gevallen een één op één-vertaling nodig, maar in veel gevallen is er sprake van een bandbreedte: er moet iets minimaal en er mag iets niet meer dan zoveel. De vraag is of in alle gevallen binnen die bandbreedte is gebleven. Dat zal wel zo zijn. Voor de VVD is van groter belang het antwoord op de vraag of het boven de ondergrens zit. Daar kunnen redenen voor zijn, maar wat de VVD betreft, ligt dan de bewijslast bij de minister – dat geeft de houding aan waarmee wij naar het wetsvoorstel kijken –, ligt dan de bewijslast bij de minister om aan te geven waarom hij boven de ondergrens van de bandbreedte van de richtlijn is gaan zitten bij deze ontwerpwet.

Dan de vergelijking met andere lidstaten. Wij zijn erg benieuwd of er inzicht is in hoe andere lidstaten een aantal onderdelen hebben uitgewerkt binnen die bandbreedte.

Dan de vergelijking met de oude wet, de Wet bescherming persoons registratie. Het is mij alles bij elkaar genomen niet helemaal duidelijk. In de nota naar aanleiding van het verslag lees ik op pagina 3 dat de WBP niet noemenswaardig verder zal gaan dan de WPR. Elders staat dat we wel degelijk wat dingen aan het veranderen zijn, omdat Nederland een nogal erg liberale traditie had in deze materie. Ik ben benieuwd naar een reactie hierop. In hoeverre zal deze wijze van implementeren van de richtlijn de concurrentiepositie van het bedrijfsleven in negatieve zin beïnvloeden, zowel binnen Europa, als daarin verschillend wordt geïmplementeerd, als daarbuiten?

Een van de belangrijkste punten is de zelfregulering. Daarvoor wordt in het wetsvoorstel zoals het er nu ligt, de nodige ruimte gegeven. Voor de zekerheid wil ik wel de vraag stellen in hoeverre de zelfregulering voldoende zekerheid biedt voor het bereiken van een hoog niveau van bescherming zoals door het Europees Hof wordt verlangd, de implementatie van richtlijnen ex artikel 100A EG die rechten van particulieren in het leven roept. En dit dan mede bezien vanuit de expliciete opdracht die artikel 5 van de richtlijn geeft aan de lidstaten om de nadere voorwaarden te bepalen waaronder de verwerking van persoonsgegevens rechtmatig is. Niet, dat ik me daarover zorgen maak, maar ik krijg er wel graag een antwoord op.

Een tweede rode draad in de vragen van de VVD is, dat daar waar zelfregulering bevorderd kan worden, de VVD daar bijna altijd voor zal zijn, om het simpel te zeggen. Het is een goede Nederlandse traditie. We kennen er goede voorbeelden van. Ik noem de Reclamecodecommissie.

De administratieve lasten zijn al even genoemd. Het is echt ongelukkig dat de commissie-Slechte nu nog geen resultaat oplevert, terwijl wij hiermee wel doorgaan. Ziet de minister kans om toch nog gebruik te maken van de eerste inzichten van de commis- sie-Slechte die juist de administratieve lasten aan het bestuderen is?

Nog twee vragen. In dit wetsvoorstel is bewust geen onderscheid gemaakt tussen een meer privaatrechtelijke en een publiekrechtelijke benadering. Daarvoor kunnen goede redenen zijn. Ik zou die graag horen, omdat er op zichzelf een principieel andere situatie is als je als echt private partijen kunt kiezen of je naar de ene of de andere gaat of als je totaal afhankelijk bent. Er kunnen echter ook redenen zijn om het op een noemer te brengen juist vanwege het grote middengebied.

Tot slot: de ingewikkeldheid van het wetsvoorstel, van de memorie van toelichting en zeker van de opeenvolging van berichten daarover is ook een probleem, niet alleen voor de inzichtelijkheid, maar daarmee ook voor de handhaafbaarheid en de uitvoerbaarheid. Het juridische bouwwerk kan best perfect in elkaar zitten, maar dit is natuurlijk niet een wet voor privacyjuristen. Het probleem voor het bedrijfsleven, de burger, maar misschien zelfs wel voor de rechter is wel erg groot als het zo ingewikkeld is.

MevrouwHalsema(GroenLinks)

Voorzitter! Ik wil allereerst mevrouw Wagenaar volgen en de commissie danken voor het wetgevingsrapport. Door de drukte van de parlementaire agenda had ik pas vorige week het genoegen dit hele pakket voor het eerst onder ogen te krijgen. Terwijl Nelson Mandela de lente bracht in Amsterdam, heb ik uur na uur geprobeerd greep op de materie te krijgen. Dat is mij niet licht gevallen. De regering heeft een uitgebreide, zeer ingewikkelde en lastig te doorgronden wet geproduceerd die zich naar ons idee niet altijd even goed verhoudt tot de gekoesterde ambitie van transparantie.

Ik wil in dit algemene deel op twee punten ingaan. Allereerst op de gevolgde wetgevingsprocedure en als tweede op de kwaliteit, transparantie en handhaafbaarheid van de wet. De politieke beoordeling van de wet waaraan mijn collega's zich even waagden, bewaar ik voor de plenaire behandeling.

Voorafgaand aan deze twee punten wil ik een opmerking maken over de verhouding van de regering tot zijn adviseurs. Ik doel dan met name op pagina 7 van de nota van wijziging. Daar staat: "De precisering van het begrip 'verenigbaar gebruik' (...) heeft het VNO/NCW aanleiding gegeven tot twijfels of deze restrictief zouden kunnen uitwerken." Als ik het boud mag stellen dan is eigenlijk mijn eerste vraag: wie heeft de nota van wijziging geschreven, de minister of Hans Blankert? Als het Hans Blankert is, waarom staat zijn naam dan niet onder de nota van wijziging?

MinisterKorthals

Geen van beiden, maar ik ben verantwoordelijk voor de nota van wijziging.

MevrouwHalsema(GroenLinks)

GroenLinks is een groot voorstander van advisering door maatschappelijke organisaties, maar hier – en dan met name in de nota van wijziging – lijkt de balans enigszins zoek te raken. Op het laatste moment wordt de wet vrij ingrijpend veranderd en ook naar ons idee enigszins discutabel. Er wordt dan eigenlijk alleen verwezen naar het commentaar van het VNO/NCW. Eigen argumentatie ontbreekt geheel. Er vindt ook geen belangenafweging plaats bijvoorbeeld tussen eerder gehanteerde argumenten voor de bestuurlijke boete. In de memorie van toelichting werd dit nog het meest effectieve handhavingsinstrument genoemd; in de nota van wijziging wordt slechts opgemerkt dat deze na commentaar van VNO/NCW komt te vervallen. Dat vind ik summier en dit lijkt mij ook geen juiste belangenafweging. Daarmee komt ook het politieke primaat bij deze wet in het geding. Het lijkt – dat is althans de verkeerde suggestie die van de nota van wijziging uitgaat – alsof de wetgevers hier de wet dicteren. Ik zou hierop graag een uitgebreide reactie van de minister willen, al is het maar om bij mij dit verkeerde beeld te corrigeren.

Ik kom nu op de wetgevingsprocedure. De implementatietermijn van de Europese richtlijn is inmiddels verstreken. Dit zet de behandeling enigszins onder druk. Uit het memorandum van de Registratiekamer blijkt wat de consequenties kunnen zijn van late inwerkingtreding van de wet. Ik zou graag van de minister willen weten hoe hij denkt daarmee om te gaan. Ik verzet mij ertegen als de behandeling van de wet verder onder druk komt te staan, temeer omdat lang is gewacht met het toezenden van het nader verslag en de voorbereiding van de wet veel tijd in beslag heeft genomen.

Daar komt bij, dat hier geen sprake is van een marginale wijziging, via een nota van wijziging, maar van een zeer ingrijpende. Ik doel vooral op het eruit halen van de bestuurlijke boete. Mijn belangrijkste vraag over de gevolgde procedures is waarom de Raad van State niet hierover is geconsulteerd. Mijn fractie dringt daar sterk op aan, omdat het om een zeer ingrijpende wijziging gaat. Het behoort bij behoorlijk bestuur dat de Raad van State de mogelijkheid krijgt om te adviseren.

Ik kom op kwaliteit en handhaafbaarheid. De wet kent een groot aantal open normen. De regering geeft de voorkeur aan de ontwikkeling van jurisprudentie. Dat wordt meermalen gezegd. In het regeerakkoord worden verschillende pagina's gewijd aan het gevaar van juridisering. Het lijkt mij dat waar een zo belangrijke wet zoveel open normen bevat, de rechter wel sterk in beeld komt. Dat verhoudt zich, met andere woorden, slecht tot de wens tot dejuridisering.

Open normen kunnen naar het idee van mijn fractie de rechtsonzekerheid vergroten. In artikel 9 worden bijvoorbeeld criteria voor verenigbaar gebruik geschrapt. Ik wil niet flauw zijn, maar de argumentatie daarvoor is dat VNO/NCW zo zijn twijfels heeft. Daarmee wordt "verenigbaar gebruik" echter een open norm. Ik neem aan dat anderen daarop bij de bespreking van de artikelen nog uitgebreid zullen ingaan. Dit lijkt mij echter niet te verkiezen. Ik zou graag van de regering willen weten, waarom telkens vrij consequent wordt gekozen voor open normen en daarbij nog eens voor normen die in hoge mate abstract en vaag zijn. Er wordt bijvoorbeeld vaak gesproken van een zwaarwegend belang, van noodzakelijk of van onevenredig. Dat schept ontzettend veel onduidelijkheden en interpretatiemogelijkheden.

Algemene en bijzondere bepalingen lopen op verschillende momenten door elkaar. Het beste voorbeeld daarvan is de verhouding tussen artikel 16 t/m 22 en artikel 23. Daar zal later op ingegaan worden. Graag verneem ik wat de onderliggende systematiek is voor de volgorde van algemene en bijzondere bepalingen.

Onduidelijkheid en gebrek aan transparantie komen de handhaafbaarheid niet ten goede. Dit wordt nog eens versterkt doordat in de memorie van toelichting wordt gezegd, dat versterking van de bevoegdheden van het College bescherming persoonsgegevens, zoals de Registratiekamer nu gaat heten, van groot belang wordt geacht.

Vervolgens verdwijnt bij nota van wijziging zonder argumentatie de bestuurlijke boete. Gezegd wordt, dat in de vierde tranche van de Algemene wet bestuursrecht deze mogelijk zou terugkeren. Anderen hebben echter al opgemerkt, dat het voorontwerp nog niet eens gereed is. Dat maakt het invoeren van de bestuurlijke boete op een redelijke termijn illusoir. Wij hebben werkelijk bezwaar tegen het verdwijnen van de bestuurlijke boete, omdat hiermee de handhaafbaarheid van de wet in het geding komt. Wij vinden dat niet wenselijk.

De heerRietkerk(CDA)

Mijnheer de voorzitter! Allereerst spreek ik mijn dank uit voor het wetgevingsrapport.

De hoofdpunten van het regeringsbeleid geven weer, dat Justitie probeert overjuridisering tegen te gaan. Het CDA wil de minister en ook de regering daar graag mee helpen. Ik geef een citaat, voordat ik een paar hoofdpunten bespreek.

"De juridisering van het openbaar bestuur dient te worden bestreden en de wetgever zou veel meer draagkracht moeten creëren voordat de zaken per wet geregeld worden. Burgers die zich serieus genomen voelen zullen dan minder snel naar de rechter lopen. Juridisering is een probleem van de overheid.", aldus de rechtsgeleerde Witteveen. "Het is alleen jammer dat niemand zich dat aantrekt." Als voorbeelden volgen de Varkenswet en de situatie rondom Den Haag. Graag krijg ik met het oog op het wetsvoorstel een reactie van de minister op dit commentaar.

Het wetsvoorstel dat wij nu behan- delen is een uitvloeisel van een Europese richtlijn. Het is qua syste- matiek wel erg gecompliceerd gemaakt. Waarom kiest de minister voor zo'n ondoorzichtige wet? Wat wil de minister meer regelen dan dat Europa ons voorschrijft? Ik kom daar straks bij de definitiebepalingen nog wel op terug. Die zijn op zichzelf al vrij onduidelijk en roepen vragen op. Wetten moeten transparant zijn, gemakkelijk toepasbaar en consistent. De CDA-fractie stelt vragen bij de handhaafbaarheid en de uitvoer- baarheid. Denkt de minister dat deze wet in deze vorm, inclusief de nota van wijziging, goed uit te voeren en te handhaven is? Wij hebben hier zorgen over. Kan voor bijvoorbeeld de zorgsector worden aangegeven wat normstellend de gevolgen zijn voor hulpverleners of zorginstel- lingen en de relatie met andere wetten?

De voorliggende wet is moeilijk te lezen. De toelichting van 200 pagina's is nodig en dan nog kom ik er op vele onderdelen moeilijk uit. Waarom ontbreekt een goede toelichting op de nota van wijziging? Het gaat hierbij niet om peanuts. Genoemd worden de bestuurlijke boete, het College en de Nationale ombudsman. Waarom is de nota niet voor advies bij de Raad van State neergelegd?

Duitsland en Frankrijk zijn minder ver in de procedure. De minister had dus hiervoor nog wel tijd gehad. Vallen de mogelijke gevolgen mee – en ik wijs hierbij op de datum van 24 oktober – of gebeuren er ernstige dingen? De techniek gaat snel. Wat betekenen de ontwikkelingen op dit punt voor deze wet? Is steeds aanpassing bij nieuwe technieken nodig? Op dit moment verricht een commissie onderzoek naar bestaande grondrechten en de vaststelling van nieuwe. Daarbij is ook een relatie met ICT. Ook richt het onderzoek zich op artikel 10 van de Grondwet, het recht op privacy. Wat betekent dat voor deze wet?

De CDA-fractie heeft zelfregulering hoog in het vaandel. Binnen de Europese richtlijn lijkt de minister hiervoor niet maximaal te kiezen, maar misschien kan hij mij in dit overleg overtuigen. Het effect op administratieve lasten en kosten kan aanzienlijk zijn. Wij komen hierop terug bij de behandeling van de artikelen, maar kunt u hierover iets in kwantitatieve zin zeggen? Er is geen bedrijveneffectentoets gedaan en de commissie-Slechte is gestart met een onderzoek over de administratieve lastendruk. Mijn fractie wil eerst het rapport en daarna pas een oordeel geven over dit onderdeel.

De rol van het College bescherming persoonsgegevens, vroeger de Registratiekamer, is groot bij de totstandkoming en de uitvoering van de wet. Er ligt een toezichthoudende, adviserende en sanctionerende taak bij het College. Hoe ziet de minister de rol en de taak van dit College vanuit de trias politica? Horen de uitgangspunten van marktwerking, deregulering en wetgevingskwaliteit bij deze wet thuis? Ik wacht de reactie van de minister met spanning af.

MinisterKorthals

Voorzitter! Ik ben enigszins verrast door de gang van zaken. Volgens de laatste stand van zaken zou een uitgebreide vragenronde worden gehouden, waarna de regering zou antwoorden. Er wordt echter een algemene ronde gehouden, waarna verder artikelsgewijze wordt geopereerd. Ik ben blij, vandaag met de commissie over het voorstel van wet bescherming persoonsgegevens te kunnen overleggen.

De achtergronden van het wetsvoorstel zijn eenieder zo langzamerhand wel bekend. Het wetsvoorstel beoogt de EG-richtlijn bescherming persoonsgegevens om te zetten in Nederlands recht. Over die richtlijn is op Europees niveau jaren-, maar dan ook jarenlang onderhandeld. De Tweede Kamer is daarover geïnformeerd. In 1994 hebben verschillende besprekingen met de commissie over de toen voorliggende ontwerprichtlijn plaatsgevonden. Thans is het voorstel zelf aan de beurt.

Wat is de Europese verplichting? Het wetsvoorstel moest volgens de richtlijn uiterlijk 24 oktober 1998 uitgevoerd zijn. Nederland is dus te laat. Er zijn meer landen die de termijn hebben overschreden. In Duitsland en Frankrijk is zelfs nog geen wetgeving bij het parlement ingediend. Dat op zichzelf is natuurlijk nog geen excuus. Volgens het internationale recht zijn wij in gebreke. Dat is de Europese Commissie niet ontgaan. Ter voorbereiding van een mogelijke inbreukprocedure bij het Hof van Justitie heeft zij de Nederlandse regering gevraagd naar de stand van zaken. Ik ben blij dat ik de Commissie kan meedelen dat u besloten heeft, vandaag een overleg over dit wetsvoorstel te voeren. Met het oog op eventuele vervolgstappen bij het Hof in Luxemburg behoeft het geen betoog dat wij gezamenlijk moeten streven naar een zo spoedig mogelijke totstandkoming van de wet. Ik kom zo direct nog terug op de aansprakelijkheid, die met name door mevrouw Scheltema aan de orde is gesteld.

De afgelopen maanden kon worden geconstateerd dat de interesse voor het wetsvoorstel sterk is toegenomen. Naarmate een wetsvoorstel dichter bij de eindstreep komt en het van deze omvang is, is dat ook niet ongebruikelijk. Sterker nog, ik vind dat een goede zaak. Het is een belangrijk wetsvoorstel, waarbij grote belangen op het spel staan. Het is dan ook verheugend dat de maatschappelijke en politieke discussie nu goed is losgekomen. Voorzover het privacyrecht ooit in een maatschappelijk isolement heeft verkeerd, hetgeen soms wordt beweerd, lijkt daaraan nu een einde te zijn gekomen. Dat is ook uitdrukkelijk een van de doelstellingen van het wetsvoorstel. Ik hoop dat die lijn in de toekomst wordt doorgetrokken bij de verdere uitwerking en toepas- sing van de wet.

Uiteraard realiseer ik mij dat er bezwaren zijn tegen het wetsvoorstel. Om die reden ben ik kort nadat ik minister was geworden een gesprek aangegaan met VNO/NCW en de Consumentenbond om precies van hen te vernemen wat de bezwaren zijn. De uitkomsten van dat overleg zijn verwerkt in de nota van wijziging, die ik afgelopen najaar naar de Kamer heb gestuurd. Is sprake van een ontwerp-Blankert of een ontwerp-Korthals? Wij hebben een goed overleg gehad. Op bepaalde punten ben ik VNO/NCW tegemoet gekomen, maar ik weet heel goed dat er nog steeds grote verschillen van mening bestaan. Ik moet toegeven en daar ben ik eigenlijk ook best trots op, dat ik op sommige punten het bedrijfsleven tegemoet ben gekomen. Sommigen vinden dat ik daarin te ver ben gegaan. De FNV heeft mij enkele dagen geleden een afschrift gestuurd van een brief aan u. Hierin wordt er zorg over uitgesproken dat de nota van wijziging de balans tussen de belangen van werkgevers en die van werknemers dreigt te verstoren ten nadele van de werknemers. Men was wellicht bang dat wij vandaag nog verder zouden doorschieten, hetgeen niet mijn voornemen is.

MevrouwWagenaar(PvdA)

Misschien kwam het omdat de minister er nog maar net zat en het voor hem een beetje wennen was in zijn nieuwe positie, maar het alleen uitnodigen van VNO/NCW en die inbreng verwerken in de wet is natuurlijk wat onevenwichtig. Ik vraag de minister waarom andere groeperingen die in maart, april vorig jaar hun commentaar hebben geleverd, niet zijn uitgenodigd. Ik noem de FNV, de Vereniging van ziekenhuizen, het kwalitatief zeer inhoudelijke commentaar van de Nederlandse vereniging van banken. Waarom zijn die commentaren niet verwerkt? Het is nu een beetje onevenwichtig geworden.

MinisterKorthals

Toen ik als minister aantrad, had ik al enige moeite met het wetsvoorstel zoals dat voorlag. Ik herkende mij in sommige bezwaren die door VNO/NCW zelfs op onstuimige wijze naar voren waren gebracht. Het leek mij ter apaisering van de situatie goed om deze mensen uit te nodigen. Ik heb aan het slot van het gesprek gezegd dat ik een paar punten, die ik al in gedachten had en waarover ik het met hen eens was, in de nota van wijziging zou opnemen. Ik heb ook gezegd dat ik begreep dat er nog duidelijke verschillen van mening waren met VNO/NCW. Aangezien men ook de indruk had dat men onvoldoende gehoord was, leek het mij verstandig om in dat stadium met VNO/NCW van gedachten te wisselen.

MinisterKorthals

Voor alle duidelijkheid: ik heb ook gesproken met de Consumentenbond.

Ik had het over de brief van de FNV. Ik ben het niet eens met de stelling van de FNV, maar dit signaal geeft wel duidelijk aan dat de wetgeving en de toepassing daarvan op een evenwichtige manier gestalte moeten krijgen. Een behoorlijke omgang met persoonsgegevens is in onze samenleving namelijk essentieel. Het gaat om een invulling van het grondrecht op de bescherming van de persoonlijke levenssfeer, voor- zover het gaat om bescherming van persoonsgegevens. Door verschillende sprekers is daar ook op gewezen. Onze Grondwet schrijft aan de ene kant voor dat de wetgever ter bescherming van dat recht waarborgen moet scheppen. Daarnaast zijn er ook andere grondrechten in het geding, zoals het beginsel van non-discriminatie. Aan de andere kant moet de wetgeving ook werkbaar blijven. Zij mag niet leiden tot disproportionele administratieve lasten; op dit punt kom ik direct nog terug. Het is overigens verkeerd om in beide perspectieven tegengestelde belangen te zien. Privacybescherming wil ik nadrukkelijk plaatsen in de sleutel van klantvriendelijkheid. Burgers zullen eerder zaken willen doen als zij erop kunnen vertrouwen dat de wederpartij zorgvuldig met hun persoonsgegevens zal omgaan. Overheid en bedrijfsleven snijden zichzelf in de vingers indien zij de privacybescherming van de burgers verwaarlozen.

De heer Nicolaï vroeg in dit verband ook of ik voornemens ben om de resultaten van de commissie-Slechte mee te nemen. Mijn opvatting is dat de administratieve lasten op een toereikende wijze aan de orde zijn geweest. In de stukken is daar uitvoerig op ingegaan. Het is op dit moment aan de Kamer om te oordelen in hoeverre dit voldoende is. Wij nemen desondanks natuurlijk met belangstelling kennis van de resultaten van de commissie-Slechte. De wetgeving dient echter ook niet te ver door te schieten. Effectieve gegevensbescherming is niet gebaat bij te gedetailleerde en bureaucratische regels. Er moet worden gestreefd naar terugdringing van die administratieve lasten. Het wetsvoorstel draagt daar naar mijn opvatting aan bij. Ten opzichte van de huidige Wet persoonsregistraties zijn er belangrijke vereenvoudigingen: de reglementsplicht wordt opgeheven; er hoeft minder vaak te worden gemeld; in de gevallen waarin wel moet worden gemeld, behoeven minder gegevens te worden verstrekt. De uitzonderingen op de meldingsplicht zullen bij algemene maatregel van bestuur worden geregeld. Vorige week is de ontwerp-AMvB ter consultatie voorgelegd aan een groot aantal personen en instellingen. Hierin wordt voorgesteld de reeds bestaande uitzonderingen aanzienlijk uit te breiden. Voor wie van u hierin geïnteresseerd is, heb ik een exemplaar van het ontwerp reeds bij mij.

MinisterKorthals

Ik wilde kijken of ze allemaal geïnteresseerd waren.

MinisterKorthals

Voorzitter! Ik ben mij overigens ervan bewust dat ik wat lang ben in mijn beantwoording, maar ik denk dat ik zeker het algemene deel redelijk grondig moet doornemen.

Het wetsvoorstel beoogt vooral algemene beginselen neer te leggen, geen concrete gedragsvoorschriften. Dat zou ook niet werkbaar zijn. De wet heeft een zeer breed toepassingsbereik. Indien in deze wet heel precies zal worden vastgelegd wat wel en niet mag, kan de praktijk er niet mee uit de voeten. Die globale benadering is in de wetgeving niet ongebruikelijk. In het Burgerlijk Wetboek en in de Algemene wet bestuursrecht zijn eveneens algemeen geformuleerde beginselen terug te vinden, die in de praktijk hun nadere invulling moeten krijgen, mede afhankelijk van de specifieke context, waarin zij gestalte moeten krijgen. In beginsel bestaat daarvoor het instrument van de gedragscode. Daarmee ben ik in feite al een beetje ingegaan op de open normen, dit vanuit wetgevingsoogpunt. Maar die open normen liggen natuurlijk ook voor een belangrijk deel in de Europese richtlijn vast. Het is juist die richtlijn, die we implementeren.

Voorzitter! Op Europees niveau heeft bij de totstandkoming van de richtlijn dezelfde problematiek gespeeld. Mede naar aanleiding van het overleg met het Nederlands bedrijfs- leven zijn in vergelijking tot eerdere concepten van de richtlijn verschillende wijzigingen aangebracht om de regels open en werkbaar te maken. Dat is voor een groot deel gelukt. De lidstaten plukken daarvan nu de vruchten. In geen enkele lidstaat heeft het bedrijfsleven tot dusverre tegen de implementatie veel oppositie gevoerd. Wat dat betreft, was men in Nederland dus bepaald wat energieker dan in andere landen. In bijvoorbeeld het Verenigd Koninkrijk, dat aanvankelijk zeer kritisch stond tegenover de richtlijn, is het bedrijfsleven zonder slag of stoot met de wetgeving akkoord gegaan. In andere landen heeft het bedrijfsleven evenmin overwegende bezwaren.

Voorzitter! Van verschillende kanten is gevraagd, of het wetsvoorstel nauw aansluit bij de richtlijn. In dit licht bezien, is het logisch dat het wetsvoorstel meestal dichtbij de letterlijke tekst van de richtlijn aansluit. Dat is ook uitgangspunt voor de regering. Ik constateer, dat deze benadering op zichzelf door velen wordt gesteund. Overigens merk ik ook twijfels over de vraag, of dat daadwerkelijk is gebeurd. Ik heb begrepen dat er meer bezwaren bestaan tegen de memorie van toelichting. Voorzover hierdoor vragen zijn opgeroepen, heb ik in reactie op eerdere schriftelijke vragen van uw commissie in de nota naar aanleiding van het verslag afgelopen najaar geprobeerd, de zaken te verduidelijken. Op de nieuwe vragen die nu gerezen zijn, kom ik in de schriftelijke beantwoording nog terug. Ik ben de Kamerleden in ieder geval dankbaar dat ik de gelegenheid krijg, nader op enkele zaken in te gaan. Terzijde merk ik wel op dat de kritiek op de memorie van toelichting niet altijd consistent is. Hierin is juist op velerlei verzoek vanuit een Europeesrechtelijk perspectief de betekenis van bepaalde begrippen nader aangeduid, of zijn voor de concrete toepassing van artikelen mogelijke oplossingsrichtingen beschreven. Wat gedurende vijf jaar onderhandelen in Brussel aan de orde is geweest, wordt, zo is de hoop, via de Kamerstukken toegankelijk. Het in Nederlandse ogen gebrek aan openbaarheid van bestuur in Europa wordt langs deze weg een beetje gecompenseerd. Wij hebben hierbij een prachtig doel mede voor ogen gehad.

Voorzitter! Gaat het wetsvoorstel dan verder dan de richtlijn? Als het gaat om de wijze van implementatie, dus van uitvoering, is ook de vraag gesteld, in hoeverre het wetsvoorstel verder gaat dan de richtlijn. Dat is niet het geval. Wel is op enkele specifieke punten in het wetsvoorstel een nadere uitwerking gegeven aan de richtlijn. De oorzaak daarvan ligt voor een groot deel in de richtlijn zelf. Artikel 5 van de richtlijn verplicht de lidstaten, binnen de grenzen van de richtlijn nader aan te geven, wanneer de verwerking van gegevens rechtmatig is. De lidstaten zijn dus verplicht tot precisering. Verder schrijft de richtlijn soms voor, dat uitzonderingen op de algemene regels mogelijk zijn, mits passende waarborgen worden geschapen. Dit speelt een rol bij de regeling inzake gevoelige gegevens. Er is natuurlijk op nationaal niveau enige vrijheid in de manier, waarop de waarborgen worden ingevuld. Het is echter niet mogelijk om in dergelijke gevallen af te zien van enige waarborg. Dat zou strijd met de richtlijn opleveren. In het algemeen echter is het wetsvoorstel met het aanbrengen van preciseringen zeer terughoudend. Zoals gezegd, volgt het wetsvoorstel in veel gevallen de open normstelling van de richtlijn. Dat betekent dat er veel ruimte is voor zelfregulering. Om de wetgeving handen en voeten te geven, is zelfregulering essentieel. Het stelt belanghebbenden in staat zelf invulling te geven aan de wet, op een wijze die specifiek is toegesneden op hun situatie. De richtlijn gaat daar ook van uit. Op grond van artikel 27 van de richtlijn moeten lidstaten de opstelling van gedragscodes stimuleren. Deze zijn bestemd om naar gelang de specifieke kenmerken van de desbetreffende sector bij te dragen aan een goede toepassing van de nationale wettelijke bepalingen die ter uitvoering van de richtlijn zijn vastgesteld.

De heerNicolaï(VVD)

Voorzitter! Ik heb gevraagd hoe deze wet zich verhoudt tot de Europese richtlijn, maar niet of de wet verder gaat dan de richtlijn. De minister beantwoordt die vraag wel in die zin. Ik heb gevraagd of sprake is van een bandbreedte van wat minimaal moet en wat maximaal mag. Waar wordt gekozen voor de onderkant en waar voor de bovenkant als het om de bandbreedte gaat? Dit is misschien een beetje moeilijk te beantwoorden, want het kan ook per geval, maar ik wilde de vraag toch verduidelijken.

MinisterKorthals

Voorzitter! Waar wij passende normen moeten vaststellen, zullen wij ook moeten bepalen wat passende waarborgen zijn. Dat hebben wij zo goed mogelijk gedaan. Er is natuurlijk altijd sprake van een zekere keuzevrijheid voor de wetgever. Wij hebben geprobeerd om volledig in de geest van de Europese richtlijn te handelen.

MevrouwScheltema-de Nie(D66)

Voorzitter! Op één onderdeel had de Nederlandse regering een heel grote ruimte. Dat betrof de invulling van de nationale autoriteit. Zie ik dat goed? Hoe zit het wat dat betreft met de invulling? Is die maximaal of minimaal?

MinisterKorthals

Voorzitter! Ik was bezig met de toepassing van de nationale wettelijke bepaling die ter uitvoering van de richtlijn is vastgesteld. Deze bepaling is gebaseerd op de huidige Wet persoonsregistraties en is ook naar het Nederlands voorbeeld in de richtlijn gekomen. Zelfregulering dus binnen de algemene wettelijke kaders.

Het is verheugend om te constateren dat bepaalde maatschappelijke sectoren al druk bezig zijn om via zelfregulering verder te komen. Ik noem als voorbeeld de verzekeringsbranche. Vorig jaar is in overleg met de Registratiekamer door het Verbond van verzekeraars een gedragscode vastgesteld. Daarin is al vooruitgelopen op het wetsvoorstel Bescherming persoonsgegevens. Ik vind dat een goede ontwikkeling. Privacybescherming wordt in deze benadering beschouwd als een vorm van kwaliteitszorg die kan bijdragen tot een verbetering van de bedrijfsvoering. Overheid en bedrijfsleven krijgen kansen om dit op grond van het wetsvoorstel verder uit te bouwen.

Dan enkele specifieke vragen. Mevrouw Scheltema vroeg naar regels omtrent de taakstelling van het CBP. De taken en bevoegdheden van het CBP worden in de wet geregeld. Dat is de hoofdlijn. Het bestuursreglement van het CBP zal de procedures en de werkwijze regelen. Dit behoeft de goedkeuring van de minister. Mijn verantwoordelijkheid is langs deze weg gewaarborgd. Mevrouw Scheltema vroeg ook naar de Europese working group en de nieuwe voorstellen over Internet. De wet is mede van toepassing op Internet en electronic commerce. Dat heeft bepaalde gevolgen. Die moeten nader worden uitgewerkt. De working group van toezichthouders heeft hiervoor al voorstellen gedaan. Mevrouw Scheltema vroeg ook naar Europese regelingen over Internet en de bescherming van persoonsgegevens. Dat heb ik met het voorgaande voldoende beantwoord.

Van verschillende kanten is gevraagd naar de gevolgen van de overschrijding van de implementatietermijn, met name wat betreft de burgers. De nationale rechter moet bij de toepassing van nationaal recht dit recht al zoveel mogelijk toepassen, vooral in het licht van de tekst en de doelstellingen van de privacyrichtlijn. In grote lijnen kan gesteld worden dat de bescherming die de WPR nu biedt in het verlengde ligt van de privacyrichtlijn. De richtlijnconforme uitleg zal daarom naar verwachting niet leiden tot grote verschillen ten opzichte van het rechtsregime van de WPR. Aan een aantal bepalingen van de richtlijn kan daarnaast misschien een directe werking worden ontleend. Deze mogelijke directe werking heeft echter alleen effect in relatie tussen overheid en burgers en niet in relatie tussen burgers onderling.

Wat betreft de overheid het volgende. Het uitblijven binnen de daartoe vastgestelde termijn van elke maatregel van omzetting van richtlijnen wordt beschouwd als een gekwalificeerde schending van het gemeenschapsrecht. Deze schending doet bij particulieren een recht op schadevergoeding ontstaan. De kans dat een burger de Nederlandse staat met succes aansprakelijk stelt voor de niet nakoming van zijn verplichtingen om de richtlijn op tijd te implementeren, is echter klein. De schade die betrokkenen kunnen leiden als gevolg van de te late implementatie zal in de meeste gevallen niet op geld waardeerbaar zijn. De schade zal veelal liggen in de sfeer van het niet kunnen genieten van de verbeterde bescherming die de WBP biedt. Daarbij kan als voorbeeld gedacht worden aan de uitgebreide werkingssfeer van de WBP, het nieuwe recht van verzet, de aangescherpte bepalingen van de informatieplicht in de WBP of de versimpeling van bijvoorbeeld de aanmeldingsprocedure in de WBP. Richtlijnconforme uitleg van de WPR zal veelal uitkomst bieden.

Mevrouw Wagenaar vroeg of de WBP niet meer concrete normen had kunnen bevatten. De bepalingen in het wetsvoorstel zijn om meerdere redenen algemeen geformuleerd. Allereerst noodzaakte het object van regelgeving daartoe, de bescherming van persoonsgegevens, de opzet van het wetsvoorstel is deze bescherming zo veel mogelijk technologie onafhankelijk te laten zijn. Het begrip "gegevensverwerking" is technologieneutraler dan het begrip "persoonsregistratie". Dit uitgangspunt verhoogt het abstractieniveau van de regelgeving. Daarnaast heeft het wetsvoorstel een breed toepassingsbereik en zal het in zeer verschillende rechtsverhoudingen moeten worden toegepast. Concrete invulling van de normen van het wetsvoorstel acht ik om die redenen niet mogelijk. De WBP is een kaderwet waarvan de nadere invulling zal moeten geschieden middels zelfregulering en, waar nodig, sectorale wetgeving. In die zin stimuleert de WBP ook tot zelfregulering.

Wat is dan de rol van de zelfregulering in de WBP? Privacybescherming is een grondrecht dat in een samenleving waarin de informatietechnische ontwikkelingen over elkaar heen buitelen, in de wet slechts op hoofdlijnen vorm gegeven kan worden. De nadere concretisering zal sectorgewijs in de praktijk moeten plaatsvinden, primair via zelfregulering, onder begeleiding en controle van het CBP. Zelfregulering heeft daarom ook een eminente plaats gekregen in het wetsvoorstel. Verantwoordelijken kunnen voor de sector waarin ze werkzaam zijn, concrete regels opstellen, die kunnen worden beschouwd als een uitwerking van de algemene normen naar die sector toe. Zie de artikelen 25 en 26 van de WBP. Daarmee kan worden tegemoetgekomen aan een mogelijke behoefte door concretisering rechtszekerheid binnen een sector te verschaffen omtrent de betekenis van de algemene voorschriften van de WBP. Een dergelijke concretisering vindt overigens ook plaats door de in het wetsvoorstel aan de verantwoordelijke opgelegde meldingsverplichting. Ik verwijs hiervoor naar artikel 27. De verantwoordelijke wordt daardoor genoodzaakt om de verschillende aspecten rond de gegevensverwerking te omschrijven. Deze vormen van zelfreguleringen waren ook al aanwezig in de Wet persoonsregistraties. Gesteld kan worden dat in de WBP er sprake is van een groeiende rol van zelfregulering.

Veel mensen hebben zich eraan gestoord, maar een belangrijk punt is toch de omvang van de memorie van toelichting. Die is groot geweest. Ik heb in het algemene deel al gezegd waarom dat zo is. Toch wil ik er nog wat uitgebreider op ingaan. De WBP bevat evenals de richtlijn, algemeen geformuleerde normen. Om die reden – daar ben ik al op ingegaan – hebben wij in de memorie van toelichting geprobeerd, bepaalde zaken verder uit te diepen en meer voorbeelden te geven.

Mevrouw Wagenaar en de heer Rietkerk zeiden dat uit de wet duidelijk moet blijken hoe het in de praktijk moet gaan. De wet noemt slechts algemene beginselen. De concrete uitwerking zal verschillen per maatschappelijke sector. Daarvoor dient in eerste aanleg die zelfregulering. Lukt dat niet, dan kan voor de sector, bijvoorbeeld sectoren in het bedrijfsleven, de sociale zekerheid en groepen overheden, nadere regelgeving plaatsvinden.

De heerRietkerk(CDA)

Ik heb geprobeerd een vraag te stellen over de zorgsector. Ik heb niet gevraagd hoe het praktisch uitwerkt, maar wel wat het betekent, voor zorginstel- lingen bijvoorbeeld, in relatie met andere wetten.

MinisterKorthals

Wij hebben er juist voor gekozen, dat niet van bovenaf te regelen. Dat is in eerste instantie een zaak van de sector zelf. Die zal dat moeten invullen, maar hij zal zich moeten houden aan de kaders die gesteld zijn in deze wet. Het gaat mij wat te ver om van hieruit directieven te geven zodat wij weten hoe het in iedere sector uitgewerkt moet worden. In deze wet heeft de kaderstelling plaatsgevonden. Daar zal men zich aan moeten houden. De verdere uitwerking geschiedt per sector.

MevrouwWagenaar(PvdA)

Voorzitter! Voor de orde in dit overleg probeer ik het debat zoveel mogelijk te vermijden, maar nu wordt een vraag steeds prangender. Als ik de minister goed begrijp, wordt het voor de burger straks heel ingewikkeld omdat zijn privacy in iedere sector waarmee hij in aanraking komt, anders is geregeld. Als hij in een ziekenhuis komt is zijn privacy anders geregeld dan wanneer hij bijvoorbeeld een verzekering aangaat. Ik geef maar een voorbeeld. Dat lijkt mij rampzalig.

MinisterKorthals

In deze wet leggen wij algemene beginselen vast. Die zullen per sector enigszins verschillend worden uitgewerkt. Dat betekent niet dat het een lappendeken wordt van registraties en dergelijke. Overigens wijs ik erop dat dit een uitvloeisel is van een Europese richtlijn. Zo doet men het ook in andere landen. Het enige wat wij hiermee doen, is uitvoering geven aan de wensen die in de Europese richtlijn staan. Overigens was dat ook zo in de WPR geregeld. Ook daarbij werd het niet helemaal van bovenaf geregeld.

MevrouwScheltema-de Nie(D66)

Ik meen ook dat niet alles over een kam geschoren kan worden. De bedoeling is een zo sober en zo goed mogelijke bescherming van per- soonsgegevens. Stel dat een sector in die regulering buitengemeen ver gaat, wat is dan de sanctie? Kan daartegen opgetreden worden? En wie kan daartegen optreden?

MinisterKorthals

Bij algemene maatregel van bestuur kun je regels stellen. Op die manier kan daartegen opgetreden worden. In beginsel hebben wij natuurlijk vertrouwen in de sectoren. Die kunnen het ook het best beoordelen. Daar laten wij de zelfregulering aan over. Mocht dat om een of andere reden niet lukken, dan zal daar door middel van een algemene maatregel van bestuur handen en voeten aan gegeven worden. Er kan dus tegen opgetreden worden.

De heer Nicolaï vroeg nog waarom de Raad van State niet gehoord is bij de nota van wijziging. De implementatietermijn was in feite ver verstreken. Er was dus enorme spoed geboden. Bovendien kunnen de wijzigingen naar mijn oordeel over het algemeen niet als zeer ingrijpend van aard worden gekwalificeerd, maar daarover kunnen wij nog van mening verschillen.

Verder vroeg de heer Nicolaï of zelfregulering een voldoende waarborg is om op Europees niveau te blijven. De wet en de procedure via het College zijn voldoende waarborg om de gedragscode in overeenstemming te doen zijn met het Europees recht. Wanneer dat niet voldoende is, kan de rechter ingrijpen en hij zal dat ongetwijfeld doen.

Mevrouw Halsema heeft een vraag gesteld over de bestuurlijke boete. Daar zullen wij later nog over spreken. Ik denk dat dit ook geldt voor de vraag over de bedrijfseffectenrapportage. Voorts is gevraagd of de WBP van toepassing is op e-mail. De wet is van toepassing voorzover via e-mail persoons gegevens worden verwerkt. Dit is zowel wat de inhoud van de mail betreft, als wat betreft adresseringsgegevens, het tijdstip van verzending, etc.

De heer Rietkerk heeft een vraag gesteld over de bedrijfseffectentoets. Die vraag zal in het vervolg van het overleg nog aan de orde komen.

De heerNicolaï(VVD)

Voorzitter! De minister heeft twee belangrijke vragen niet beantwoord. Ik heb gevraagd waarom ervoor is gekozen om geen onderscheid tussen publiek en privaat te maken. Mijn tweede vraag heeft te maken met de nieuwsgierigheid naar andere landen. De minister maakte zelf een vergelijking met Groot-Brittannië. Hij zei dat het bedrijfsleven daar heel wat minder moeite had. Dat kan zijn omdat, zoals de minister zelf al zei, het bedrijfsleven daar minder energiek was. Het kan ook zijn, omdat wij in Nederland een liberale traditie hebben die wij nu moeten harmoniseren. Maar het kan ook zijn dat het daar minder streng wordt ingevuld.

MinisterKorthals

Er is, conform de richtlijn, geen onderscheid gemaakt tussen publiek en privaat. Ik denk verder dat het beter is om de tweede vraag schriftelijk af te doen.

MevrouwWagenaar(PvdA)

Voorzitter! Mijn vragen gaan over artikel 1. Allereerst wil ik iets vragen over het begrip "bestand" in artikel 1c. Een ongestructureerd handmatig gevoerd dossier omtrent enkele personen is volgens de nota naar aanleiding van het verslag geen bestand. De vraag is toch of die bepaalde criteria niet van toepassing zijn op handmatige dossiers. Sommige sociale diensten hebben gewoon nog handmatige dossiers. En soms zijn die nog niet eens bijster gestructureerd ook. Hebben deze dossiers dan, als de wet van toepassing wordt, geen enkele privacybescherming meer? Immers, in de praktijk van sommige overheden bestaan gewoon dat soort dossiers.

Artikel 1d gaat over het begrip "verantwoordelijke". Mijn vraag is dan tevens van toepassing op de artikelen 14 en 50. Daar komt het begrip immers weer terug. Ik zou dat begrip "verantwoordelijke" graag door de minister wat nader gespecificeerd zien. Mijn hoofdvraag daarbij is: is de verantwoordelijke ook altijd de aansprakelijke? Hoe moet de eventuele betrokkene, die met de gegevensverwerking wordt geconfronteerd, weten wie hij moet aanspreken? Dit probleem wordt groter naarmate situaties ontstaan waarin meerdere natuurlijke personen, rechtspersonen of bestuursorganen betrokken zijn bij een keten van gegevensverwerking. In ieder geval moet worden voorkomen dat de burger zijn mogelijke aanspraken gefrustreerd ziet doordat allerlei personen en organisaties zich achter elkaar verschuilen. Hoofdelijke aansprakelijkheid zou dit misschien kunnen voorkomen, want hierdoor kan een van de betrokkenen in een eventuele keten aansprakelijk zijn. Het zou dan niet langer een zaak van de burger, maar van de verschillende betrokkenen zijn wie de uiteindelijke verantwoordelijke is. Ik betrek hier in ieder geval artikel 50 bij, want daar is de aansprakelijkheid slecht geregeld; daarin is immers sprake van ofwel de verantwoordelijke ofwel de bewerker. Ik denk dat het voor de rechterlijke macht een hele toer zou zijn om uit te zoeken wie dan aansprakelijk is. Ik krijg op dit punt graag enige verheldering.

De heerNicolaï(VVD)

Voorzitter! Ten eerste heb ik een paar vragen over de persoonsgegevens. Gegevens zijn alleen persoonsgegevens als zij direct of indirect een identificeerbaar persoon betreffen. Wanneer mag echter worden aangenomen dat persoonsgegevens redelijkerwijs niet meer indirect te identificeren zijn? Anders gezegd: als je maar genoeg moeite doet, kun je natuurlijk altijd bepaalde bestanden bij elkaar brengen. Waar slaat dat "redelijkerwijs" dus op? Is daar inzicht in te geven?

Het is mij sowieso nog niet helemaal duidelijk wanneer iets een persoonsgegeven is. Ik begrijp dat telefoonnummers en kentekens in die categorie vallen, maar kadastrale gegevens niet. Kan de minister daar een nadere uitleg over geven?

In dezelfde sfeer vraag ik of unieke biometrische gegevens, zoals DNA-profielen, als persoonsgegevens moeten worden aangemerkt als daaraan aanvullende informatie is verbonden, zoals het gegeven dat de bij het DNA-profiel behorende persoon bij een misdrijf betrokken is geweest, ook als dat profiel redelijkerwijs nog niet herleidbaar is tot die persoon.

Hoe verhoudt het begrip "handeling" zich in dit wetsvoorstel tot het begrip "bewerking", zoals dat in de richtlijn wordt gehanteerd? Is dat hetzelfde of is dat ruimer? Als dat ruimer is, waarom is dat dan zo?

Mevrouw Wagenaar heeft al een vraag gesteld over de handmatig niet gestructureerde bestanden. Zijn de criteria aan de hand waarvan wordt gestructureerd maatgevend of gaat het ook om de omvang van een dergelijk bestand?

Ik heb ook een vraag over de rechtstreekse gezagsrelatie. Ziet die relatie alleen op intern beheer of zijn er ook andere gevallen waarin kan worden gesproken van een rechtstreekse gezagsrelatie? En wat is de relatie met het begrip "derde"? Concreter geformuleerd: als een bedrijf gegevens van zijn werknemers gebruikt, valt dat binnen de rechtstreekse gezagsrelatie, maar als het daarvan gebruik maakt via een derde, waar komt dan het omslagpunt?

Welke mogelijkheden zijn er om de lijst van uitzonderingen in artikel 2, lid 2, in voorkomende gevallen uit te breiden? Het is nu een limitatieve opsomming. Hoe sluit die aan bij de algemeen gestelde uitzondering van artikel 3, lid 2, van de richtlijn? Anders gezegd: moet het niet eigenlijk "onder andere" zijn en is het eigenlijk wel limitatief bedoeld?

Ik ben benieuwd hoe artikel 3, lid 1, gelezen moet worden. Gaat het in feite om het noodzakelijke evenwicht tussen de persoonlijke levenssfeer en de vrijheid van meningsuiting of artistieke expressie of moet ik dit anders zien?

Het begrip "noodzakelijk" komt op een aantal plaatsen in het wetsvoorstel voor, ook in artikel 3, lid 2. Moet bij zo'n begrip aansluiting worden gezocht bij de betekenis die het in het Europese recht heeft en bij de betekenis die door het Hof van Justitie van de EU wordt gehanteerd? Kan daarbij worden aangeknoopt aan artikel 3.4 van de Algemene wet bestuursrecht? Anders gezegd: in hoeverre moeten zulke begrippen meer bestuursrechtelijk of privaatrechtelijk worden geïnterpreteerd? Ook daarover is immers discussie.

De heerRietkerk(CDA)

Voorzitter! Aanvullend heb ik twee onderwerpen, ten eerste een definitiekwestie met betrekking tot artikel 1. Het begrip "onderzoek" komt daar overigens niet in voor, maar ik heb begrepen dat er een commissie-Kordes is geweest die daar in opdracht van OCW naar gekeken heeft en conclusies heeft getrokken over beleids- en marktonderzoek in relatie tot wetenschappelijk en statistisch onderzoek. Markt- en beleidsonderzoek wordt in dit wetsvoorstel naast wetenschappelijk en statistisch onderzoek geplaatst. Ik vraag me af of wij dat via een begripsbepaling of een definiëring van het begrip "onderzoek"...

MevrouwScheltema-de Nie(D66)

Dat betreft de artikelen 9 en 10.

De heerRietkerk(CDA)

Dan stel ik de volgende vraag: als wij daar bij de artikelen 9 en 10 aan toekomen, zullen wij dat in de definitie mee- nemen.

De heerRietkerk(CDA)

Ja. Mijn vraag over artikel 2 sluit aan bij mijn vraag over de zorginstellingen. Geven de wetten – ik kort ze toch maar even af – WGBO, BOPZ en de Kwaliteitswet al invulling aan de Europese richtlijn? Kan de meerwaarde voor die sector worden aangegeven? Is het niet beter om ook de definities die betrekking hebben op instellingen en ziekenhuizen, te verduidelijken?

MevrouwHalsema(GroenLinks)

Ik heb nog twee vragen over artikel 1. In onderdeel a wordt een context-criterium geïntroduceerd, waarbij "het maatschappelijk verkeer van de betrokken persoon" kennelijk medebepalend is voor de vraag in hoeverre de verwerking van gegevens mag. Ik krijg daar graag een toelichting op, want ik vind dat enigszins vaag.

Mijn tweede vraag betreft onderdeel d. Behalve het formeel-juridisch criterium wordt daar ook een functioneel criterium geïntroduceerd, namelijk de "in het maatschappelijk verkeer geldende opvattingen". Ook daar krijg ik graag een toelichting op. Betekent dit wellicht een uitbreiding van de werkingssfeer van de wet?

MevrouwScheltema-de Nie(D66)

Voorzitter! In de beantwoording zei de minister zojuist dat e-mail, Internet en dat soort vormen ook onder de wet vallen. In onderdeel b van artikel 1 wordt gesproken over "verwerking van persoonsgegevens" en daar kan het dus inderdaad onder gebracht worden. Het gaat hier echter wel om een zeer bijzondere manier van omgaan met persoonsgegevens. Is er dan niet het risico dat voor veel bepalingen in de rest van de wet op dit punt een uitzondering zal worden gemaakt, omdat het gewoonweg "niet te doen is"? Ik kom daar op omdat ik in de zojuist uitgereikte algemene maatregel van bestuur zie, dat e-mail, Internet en dergelijke nu al uitgezonderd worden van allerlei belangrijke meldingsbepalingen. Is dat niet een gevolg van de ruime interpretatie van artikel 1?

MinisterKorthals

Voorzitter! Mevrouw Wagenaar kan ik zeggen dat bij het begrip "bestand" is aangesloten bij de huidige WPR. Dossiers zijn niet zonder meer een bestand. Zij moeten met het oog op een doeltreffende raadpleging toegankelijk zijn gemaakt. Socialezekerheidswetgeving geeft nadere antwoorden omtrent de toepassing van de regels. De omvang van de dossiers is in beginsel niet relevant.

MevrouwHalsema(GroenLinks)

Ik ben er steeds van uitgegaan dat het hier gaat om een soort kwantitatief criterium, in die zin dat naarmate er meer verwerkt wordt, hetgeen het geval is bij geautomatiseerde systemen, de gegevens beter beschermd zouden moeten worden. Als het niet gaat om een kwantitatief criterium, waarom wordt dan het onderscheid gemaakt?

De heerPatijn

Bij het begrip "bestand" is precies aangesloten bij hetgeen onder de Wet persoonsregistraties geldt. Het beslissend criterium is, of maatregelen zijn genomen ter ontsluiting van de gegevens. Als het gaat om enorme hoeveelheden persoonsgegevens, is het des te moeilijker daar bepaalde gegevens in te vinden. Als het om dossiers in bepaalde sectoren gaat, bijvoorbeeld de socialezekerheidssector en de medische sector, dan is daar sectorale wetgeving voor. Maar de WBP is evenals de WPR niet van toepassing op gewone dossiers die niet zijn ontsloten.

MevrouwWagenaar(PvdA)

Voorzitter! De heer Patijn heeft gelijk dat er voor de medische sector sectorale wetgeving is. In de socialezekerheidssector is dat lang niet altijd het geval. Ik vind het antwoord te algemeen. Het is te algemeen te zeggen: als het niet al geregeld is in de socialezekerheidswetgeving, dan gaan we het daar wel regelen. Hier regelen we op dit moment de privacybescherming en heel veel persoonsgegevens vallen onder dat soort vormen van wetgeving.

Mijn vraag is dus: heeft dat hand- matig slordig bijgehouden dossier bij de sociale dienst met deze wet privacybescherming te maken of niet?

De heerPatijn

Op die handmatig volgens u slordig bijgehouden dossiers is de Wet bescherming persoonsgegevens niet van toepas- sing, wel het regime van de sociale- zekerheidswetgeving dat vrij strikt aangeeft aan wie gegevens mogen worden verstrekt en aan wie niet.

MinisterKorthals

Voorzitter! Ik begrijp dat de Kamer erop terugkomt.

Ik was aan het antwoorden op de vraag wat er bedoeld wordt met "verantwoordelijke". Ik kan mevrouw Wagenaar erop wijzen dat de verantwoordelijke altijd aansprakelijk is. Hoe weet de betrokkene dit, zo vroeg zij verder. Die moet daarover worden geïnformeerd. Wat de hoofdelijke aansprakelijkheid betreft, geldt dat iedereen die behoort tot die groep van hoofdelijk aansprakelijken, aansprakelijk is.

In artikel 50 is sprake van de verant- woordelijke en de bewerker. De verantwoordelijke is altijd aansprakelijk. Artikel 50 geeft aan dat daar- naast de bewerker ook aansprakelijk is.

MevrouwWagenaar(PvdA)

Voorzitter! De minister leest nu voor wat er in het artikel staat, maar mijn vraag gaat daar juist over. In artikel 50 staat, dat de verantwoordelijke of de bewerker aansprakelijk is. Ik vind dat bijdragen aan de onhelderheid van deze wet waarover wij in de algemene ronde al een opmerking hebben gemaakt. Mijn vraag aan de minister is, of het niet beter zou zijn om het "of"-criterium eruit te laten en te stellen, dat de verantwoordelijke aansprakelijk is. Immers, de verantwoordelijke besteedt het bewerken van de gegevens uit aan de bewerker die met allerlei technologische zaken iets doet moet die gegevens. Het lijkt mij veel helderder om in de wet vast te leggen, dat de verantwoordelijke aansprakelijk blijft.

MinisterKorthals

Ieder is aansprakelijk voor waar hij over gaat. De bewerker gaat niet over hetzelfde als de verantwoordelijke. Doet evenwel de bewerker iets verkeerd, dan is de verantwoordelijke ook aansprakelijk voor wat de bewerker verkeerd heeft gedaan.

MevrouwWagenaar(PvdA)

Dat vind ik een heldere uitleg.

MinisterKorthals

Dank u.

Voorzitter! De heer Nicolaï heeft een vraag gesteld over artikel 3 inzake de pers. Inderdaad wordt met dit artikel beoogd een evenwicht te bewerkstelligen tussen privacybescherming en andere grondrechten, zoals journa- listieke en artistieke vrijheden. Het artikel is gebaseerd op artikel 9 van de richtlijn.

De heer Rietkerk vroeg naar de commissie-Kordes, maar ik geloof dat hij op die vraag pas antwoord mag krijgen bij de behandeling van artikel 19. Dat antwoord leg ik nu dus apart.

De heer Rietkerk vroeg of de WGBO en de Kwaliteitswet specifieke regels kennen. Daarnaast zijn de regels van de WBP van toepassing, bijvoorbeeld de informatieplicht aan betrokkenen, die niet in de WGBO en de Kwaliteitswet als zodanig staan.

Mevrouw Scheltema kwam terug op e-mail en Internet. Die vallen onder de wet, zoals ik in eerste instantie al heb gezegd. Zij vraagt verder: is er geen risico dat veel bepalingen worden uitgezonderd, omdat het niet te doen is? De wet beschermt in beginsel elke verwerking van persoonsgegevens, e-mail is daarop gewoon geen uitzondering.

De heerRietkerk(CDA)

Nog een korte vraag over de WGBO/BOPZ en de kwaliteitswet. Mijn vraag was: wat voegt deze Wet op de bescherming persoonsgegevens – gelet op de Europese richtlijn – toe ten opzichte van de andere wetten. Met andere woorden: zijn die andere wetten al niet voldoende? De minister wijst dan op de informatieplicht. Is dat een eis of is dat iets wat wij uitwerken?

MinisterKorthals

Nee, dat is een eis die wordt gesteld. De WPB voegt dus wel degelijk iets toe aan de WGBO.

MinisterKorthals

Is er bezwaar tegen als deze vragen schriftelijk worden beantwoord?

De heerNicolaï(VVD)

Voorzitter! Ik begrijp dit artikel niet helemaal. Wat voegt de eis dat persoonsgegevens op behoorlijke en zorgvuldige wijze worden verwerkt toe aan de eis dat zij in overeenstemming moeten zijn met de wet? Daardoor zijn die zorgvuldigheid en behoorlijkheid toch al in beeld?

MevrouwHalsema(GroenLinks)

Ik maak graag een kanttekening bij de opmerking van de heer Schutte. Op het moment dat het woordje "en" vervalt, voegt het laatste deel van het artikel eigenlijk niets meer toe, want dan is het alleen een nadere uitleg. Ik zou graag willen dat de begrippen "zorgvuldig" en "behoorlijk" nader worden gedefinieerd, waardoor zij nog wel een toevoeging vormen.

MevrouwScheltema-de Nie(D66)

Voorzitter! Dit is toch gewoon een vertolking van de algemene beginselen van behoorlijk bestuur. Zou je niet kunnen zeggen dat het normaal is dat een wet gewoon behoorlijk en zorgvuldig wordt uitgewerkt?

MinisterKorthals

Er staat dat persoonsgegevens in overeenstemming worden gebracht met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Het eerste begrip: "behoorlijk" slaat dan op het publiekrecht. Dit is een algemeen beginsel dat in het publiekrecht geldt, maar het wordt nog eens nader geformuleerd. Het tweede begrip: "zorgvuldig" is het beginsel dat slaat op de onrechtmatige daad in het BW. Met deze formulering heb je dus die twee te pakken. Met andere woorden: omdat je beide moet hebben, kan het woordje "en" niet vervallen. Het is wel degelijk behoorlijk én zorgvuldig.

MevrouwWagenaar(PvdA)

Wij hebben in de schriftelijke behandeling bij artikel 7 gevraagd om een specificering van de in artikel 7 genoemde doeleinden. Nu vindt er in het oude artikel 9, lid 2, specificatie plaats, maar de regering heeft op aanraden van het VNO gemeend deze specificatie te schrappen, terwijl bijvoorbeeld juist de ziekenhuizen ons hebben gevraagd om dit er in vredesnaam weer in te zetten, zodat zij dan tenminste nog enig handvat hebben om met deze wet aan het werk te gaan. Zelf ben ik tegen het schrappen van die specificatie in artikel 9, lid 2, want daarmee wordt iedere willekeurige rechter alle ruimte gelaten om de zaak naar eigen goeddunken in te vullen. Voor de goede orde: ik heb het nu over de invulling van artikel 7.

MinisterKorthals

Voorzitter! De persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Mevrouw Wagenaar wees erop dat een en ander nader is uitgewerkt in artikel 9, lid 2. Hiermee heeft zij gelijk: wij hebben dit laten vervallen, mede op grond van besprekingen die wij met het VNO/NCW hebben gevoerd. Op deze manier wordt zo veel mogelijk aangesloten bij de Europese richtlijn. Ik geloof dat het aanvankelijke artikel 9, lid 2, iets verder ging.

MevrouwWagenaar(PvdA)

In artikel 7 staat: "uitdrukkelijk omschreven". Maar verder vinden wij niets meer terug. Dat is een beetje gek.

De heerPatijn

Artikel 7 stelt de eis om doeleinden te omschrijven per gehanteerde categorie van gegevensverwerking. Als er geen sprake is van vrijstelling, moet men een en ander melden bij het CBP. De precisering in artikel 9, lid 2, betrof het begrip "verenigbaar gebruik", ongeacht het doeleinde. Die precisering is bij nota van wijziging geschrapt om het surplus op de richtlijn te vermijden en zo nauw mogelijk bij de richtlijn aan te sluiten.

MevrouwWagenaar(PvdA)

Voorzitter! Artikel 8, sub e, is voor ons een van de hoofdpunten. Dit artikel brengt mij tot de vraag of verzamelde gegevens nog steeds alleen mogen worden benut voor een doel als bijvoorbeeld de uitvoering van de wet waarvoor zij zijn verzameld. Nu commerciële marktpartijen steeds meer overheidstaken verrichten, hecht ik er zeer aan om hierover duidelijkheid te verkrijgen. Ik denk hierbij in het bijzonder aan situaties waarin commerciële marktpartijen worden belast met de uitvoering van een socialezekerheidswet, de toekomstige UVI's. Hierbij kan een gegevensbestand immers een waarde vertegenwoordigen in een keten van commerciële activiteiten ten behoeve van een klant, bijvoorbeeld een werkgever. Het benutten van die gegevens zou het risico bij andere activiteiten weer kunnen beperken; zo is ziekte een risico en kunnen de gegevens worden ingezet voor schadebeperking. De vraag is of wij die kant op willen gaan. Ik zou hier graag een scherpe definiëring willen hebben. Het Rathenau Instituut heeft in zijn lijvige onderzoek naar privacywetgeving gewezen op het gevaar van risicoselectie bij de uitwisseling van gegevens. Zoals ik in mijn algemene inleiding al zei: aan dit artikel zit een heel principiële kant. De burger heeft namelijk een dwangrelatie met de overheid. Hij kan niet kiezen tussen uitvoerders van socialezekerheidswetgeving of tussen gemeentelijke bevolkingsadministraties. Dat is een verschil met de klantenkaart van een grootwinkelbedrijf, want daar heb je wel een keuze. Je hoeft niet naar die winkel te gaan en je hoeft de klantenkaart niet te nemen. Juist op dit punt wil ik heel graag weten, of de gegevens alleen mogen worden benut voor uitvoering van wetgeving op het punt waarvoor zij bestemd zijn.

Artikel 8, sub f, gaat over het begrip het gerechtvaardigde belang. Ondanks de uitvoerige toelichting hierop in de schriftelijke beantwoording, waarvoor ik de regering dankbaar ben, vinden wij dat er niet echt helderheid is. Wat is de reik- wijdte van dit begrip, als er ook het bedrijfsbelang onder wordt verstaan? Stel dat een bedrijf op het punt staat om failliet te gaan en een faillissementsverklaring kan voorkomen door gegevensbestanden te verwerken, ook al hebben de betrokkenen daar bezwaar tegen. Mag dat dan? Is er dan sprake van een gerechtvaardigd belang? In hoeverre valt het bedrijfs- belang daaronder?

Overweging 30 van de richtlijn lijkt restrictiever te spreken over het begrip "gerechtvaardigd belang", maar ook daarbij is sprake van onduidelijkheid omdat het in deze overweging gaat over de vraag wat wordt verstaan onder het belang van het dagelijks beheer van ondernemingen. Gaat het in dezen om interne gegevensverwerking – ook binnen een groot concern kan het ongewenst zijn om gegevens te verwerken – of om externe gegevensverwerking?

MevrouwHalsema(GroenLinks)

De regering stelt in de diverse toelichtingen dat in artikel 8 de beginselen van proportionaliteit en subsidiariteit terugkeren. Waarom zijn ze dan niet in de wet opgenomen? Onderdeel d. luidt thans dat: de gegevensverwer- king noodzakelijk is ter vrijwaring van vitale belangen. De oude tekst luidde: ... ter bestrijding van ernstig gevaar voor de gezondheid van de betrokkene. Het lijkt mij dat op dit punt sprake is van een aanzienlijke uitbreiding van de wet die zelfs buiten de volksgezondheid gaat. Ik krijg hier graag een toelichting op. Volgens de nota naar aanleiding van het verslag valt het gerechtvaardigde belang samen met het bedrijfsbelang. Door de regering wordt dit op blz. 17 aan elkaar gelijk gesteld.

De heerRietkerk(CDA)

In de nota wordt niet ingegaan op onze vraag over de definitie "bestuursorgaan". Kan dit nu gebeuren?

MinisterKorthals

Mevrouw Wagenaar wil in verband met onderdeel e. horen dat het gebruik van de gegevens niet anders kan zijn dan voor de gestelde doeleinden. Als het onverenigbaar is met het oorspronkelijke doel mag er geen sprake van doorgifte zijn. Dit is expliciet de bedoeling van artikel 8, e.

MevrouwWagenaar(PvdA)

Enige weken geleden deelden ABN/AMRO en AEGON voor dat ze uitvoeringsorganen willen worden, mits ze gegevens krijgen waardoor ze ook andere bank- en verzekeringsdiensten kunnen vervullen. Mag ik naar aanleiding van de uitspraak van de minister concluderen dat dit voorstel door het kabinet wordt afgewezen?

MinisterKorthals

Deze verstrekkende vraag wil ik graag schriftelijk beantwoorden.

MinisterKorthals

Mevrouw Wagenaar heeft gevraagd naar het gerechtvaardigd belang. Het bedrijfsbelang is in beginsel een gerechtvaardigd belang. Een bedrijf moet gewoon zijn werk kunnen doen met betrekking tot zowel interne als externe gegevensverwerking.

MevrouwHalsema(GroenLinks)

Wat betekent dit bijvoorbeeld voor bedrijven die gespecialiseerd zijn in "direct marketing"?

MinisterKorthals

Deze bedrijven zijn niet helemaal vrijgesteld. In beginsel geldt dat ze hun gegevens mogen gebruiken voor "direct marketing".

Mevrouw Halsema vroeg naar het vitaal belang. De betekenis is niet anders dan die conform de eerste tekst.

MinisterKorthals

De reden daarvoor is gelegen in de wens om nauwer bij de richtlijn aan te sluiten.

MevrouwHalsema(GroenLinks)

Ik kan het mij voorstellen dat het goed is om hierop schriftelijk terug te komen. De redenering is dat beter wordt aangesloten op de EU-richtlijn en dat de formulering concreter zou zijn. Ik vind "vrijwaring van vitale belangen" echter minder concreet dan "bestrijding van ernstig gevaar voor de gezondheid". Ik verzoek de regering in ieder geval om een verduidelijking.

MinisterKorthals

Dat willen wij wel doen, maar de huidige tekst sluit beter aan bij de tekst van de richtlijn.

MinisterKorthals

Ook hierop zal schriftelijk geantwoord worden. Overigens wijs ik erop dat de richtlijn enige interpretatie mogelijk maakt. Wij proberen dat zoveel mogelijk te vermijden. Daar waar het mogelijk is, sluiten wij aan en geven wij in de memorie van toelichting of, zo nodig, in de nota van wijziging een nadere verklaring van wat precies bedoeld is. Die vijf jaar delibereren proberen wij zoveel mogelijk weer te geven in de memorie van toelichting en de nota van wijziging. De memorie van toelichting is te uitgebreid geweest, hetgeen heeft geleid tot verdere onduidelijkheid. Omdat die onduidelijkheid is weergegeven in het verslag van de Kamer, hebben wij haar zoveel mogelijk weggenomen bij de nota van wijziging.

Mevrouw Halsema heeft gevraagd waarom de proportionaliteit en subsidiariteit niet in de tekst zijn opgenomen. Dit ligt besloten in het woord "noodzakelijk".

De heer Rietkerk vroeg naar de inhoud van het begrip "bestuursorgaan". Met dit begrip wordt aangesloten bij het gebruik ervan in de AWB.

De heerRietkerk(CDA)

Dat staat al in de nota naar aanleiding van het verslag. Daarin wordt echter ook aangegeven dat u liever geen gedachtewisseling over dit begrip wil hebben. Ik vraag mij af waarom niet. Als wij ernaar vragen, dan kan dat toch?

MinisterKorthals

Deze zaak zal uitvoerig aan de orde komen bij de evaluatie van de AWB. Natuurlijk zijn wij bereid om daarop vooruitlopend u een nadere verklaring te geven over het begrip "bestuursorgaan", dat overigens in de AWB zeer gangbaar is.

De heerRietkerk(CDA)

In de toelichting wordt een bijzondere school ook een bestuursorgaan genoemd. Dat riep bij ons vragen op.

MinisterKorthals

Wat wij niet willen, is dat wij krachtens de privacywet een bepaalde invulling van het begrip "bestuursorgaan" krijgen. Wij willen dat wordt aangesloten bij de definiëring van het begrip in de AWB.

De heerRietkerk(CDA)

Valt daar een bijzondere school onder, ja of nee?

MinisterKorthals

Een bijzondere school is natuurlijk geen bestuursorgaan.

De heerRietkerk(CDA)

Daar was onze vraag op gericht. Kennelijk komen wij er hier mondeling wel uit, wat op papier niet lukte.

De heerPatijn

Onderdeel f van artikel 8 maakt inderdaad veel dingen mogelijk die onder a t/m e zijn uitgesloten. In het algemeen wordt de behartiging van een gerechtvaardigd belang daarmee toegestaan, tenzij het belang van betrokkene prevaleert. Dat is een redelijk open norm die heel flexibel kan worden ingevuld.

De heerPatijn

Formeel wel, materieel misschien niet.

MevrouwWagenaar(PvdA)

Voorzitter! Ik vind artikel 8e heel wezenlijk als het om de uitvoering van wetgeving gaat. Mag ik concluderen dat persoonsgegevens die voor een wettelijk opgedragen taak zijn verzameld, alleen voor dat doel mogen worden gebruikt, of dat nu binnen of buiten een concern is? Mijn tweede vraag was heel concreet. Ik begrijp best dat de minister deze vragen bij een wet met een tamelijk open normering wil proberen te mijden, maar om het helder te krijgen is het goed om er even op in te gaan. Die vraag ging over het begrip "bedrijfsbelang". Stel dat een bedrijf op het punt staat om failliet te gaan, maar dit kan voorkomen door de gegevensbestanden te verkopen, ook al hebben de betrokkenen daar bezwaar tegen. Mag dat bedrijf dan toch die gegevens doorverkopen?

MinisterKorthals

Het is aanlokkelijk om die eerste vraag direct met ja te beantwoorden, maar mij is verzekerd dat er erg veel aan vastzit en dat ik dus enige slagen om de arm moet houden. Met andere woorden: ook hierop zal ik schriftelijk antwoorden. Ik kan niet zonder meer met ja antwoorden.

De heerPatijn

Een dreigend faillissement is geen gerechtvaardigd belang om plotseling anders met persoonsgegevens om te gaan dan in een gewone bedrijfssituatie.

MevrouwScheltema-de Nie(D66)

Voorzitter! In artikel 9 is lid 2 geschrapt, waarin was aangegeven in welke gevallen een nadere verwerking van persoonsgegevens verenigbaar moest worden geacht met de doeleinden waarvoor zij zijn verkregen en in welke gevallen niet. Dit lid gaf daarvoor een aantal criteria, maar die zijn volgens de minister geschrapt na het overleg met VNO/NCW. Ik vind dat niet juist. De wet is immers bedoeld voor de bescherming van de persoonsgegevens van de burger. Moet je dan niet een aantal normeringen in de wet opnemen om dat te clausuleren? Ik denk dan ook dat het oorspronkelijke lid 2, waarin de verenigbaarheid met de doeleinden werd uitgewerkt, moet worden gehandhaafd om op dit terrein enige waarborgen te geven.

In artikel 9 wordt ook gesproken over verdere verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden. De Vereniging voor marktonderzoek heeft ons benaderd en gezegd dat het marktonderzoek net als het wetenschappelijk onderzoek zou moeten worden behandeld. In de nota naar aanleiding van het verslag zegt de minister dat het marktonderzoek naar zijn oordeel onder dit artikel valt. Ik vind dat een wat uitgerekt begrip "wetenschappelijk onderzoek". Maar als dat inderdaad de bedoeling is, kun je voor twee dingen kiezen. Als je het begrip toevoegt, moet dat gebeuren in alle artikelen waar over wetenschappelijk onderzoek wordt gesproken. Dat zou mijn voorkeur hebben.

De heerNicolaï(VVD)

Voorzitter! Ik sluit mij aan bij het laatste punt van mevrouw Scheltema. Het probleem met de wetenschappelijke doeleinden is dat je wel kunt zeggen dat je markt- en beleidsonderzoek daar- onder kunt rekenen, maar dat je door het woord "doeleinden" op het verkeerde been wordt gezet. Is niet de methodiek, en met name het anonieme karakter, belangrijker? Dat lijkt mij het "springende" punt. Dan wringt het wel, maar ik krijg graag een reactie van de minister op het idee, het onder wetenschappelijke doeleinden te vangen. Er moet dan misschien meer gebeuren.

Voorzitter! Op een ander punt lijkt de VVD het vooralsnog niet eens te zijn met D66, maar dat zien wij dan later wel. Ik denk dat het een erg goed idee is dat de verenigbaarheid zoals het er stond, is verdwenen. De graad van verwantschap staat niet in de wet. Mijn vraag aan de minister is juist of het niet goed is, bovenop de memorie van toelichting uit te spreken dat dit punt niet meer aan de orde is.

MevrouwWagenaar(PvdA)

Voorzitter! Bij de behandeling van artikel 7 heb ik al aangegeven dat ik het schrappen van het tweede lid betreur. Ik denk namelijk wél dat het goed is om dat in de wet te zetten. Ik sluit mij aan bij de vragen die collega Scheltema daarover heeft gesteld.

Voorzitter! Bij heel veel bedrijven wordt marktonderzoek verricht, vaak op uiterst wetenschappelijke wijze. Als wetenschapper weet ik als geen ander dat het heel lastig is, aan te geven wanneer een onderzoek wetenschappelijk is en welke criteria daarbij moeten worden aangelegd. Ik denk niet, dat wij daaraan moeten beginnen. Wel wil ik graag weten, of marktonderzoek valt onder de uitzonderingen, die in artikel 9, lid 3, van de wet worden genoemd. Wij zouden daarvan in ieder geval geen voorstander zijn.

De heerRietkerk(VVD)

Bij de definitiebepaling over onderzoek heb ik al iets gezegd over het rapport-Cohen, maar ook bij de Telecommunicatiewet is gesproken over het begrip "onderzoek", waarbij ook de definiëring daarvan aan de orde kwam. Als dezelfde methoden en technieken voor markt- en beleidsonderzoek worden gehanteerd en commerciële elementen worden uitgesloten, lijken de definities heel erg op elkaar. Hoe denkt de minister daarover?

MevrouwHalsema(GroenLinks)

Voorzitter! Ik wil benadrukken dat mijn fractie er erg aan hecht, dat de criteria in de wet blijven bestaan. In de nota naar aanleiding van het verslag wordt over verwantschapsrelaties door de regering zelf opgemerkt, hoe belangrijk dit criterium is. Wat heeft de regering bewogen om dat te veranderen, en dan zonder toelichting?

MinisterKorthals

Voorzitter! Bijna iedereen heeft gevraagd, waarom het oorspronkelijke tweede lid is geschrapt. De gedachte daarachter was om hierbij nu juist nauwer aan te sluiten bij de richtlijn. Dit is artikel 9, lid 2, oud, wat een duidelijk surplus boven de richtlijn is. Wij hebben ervoor gekozen, zoveel mogelijk aan te sluiten bij de richtlijn. Het marktonderzoek valt wel degelijk onder de statistische doeleinden. Ik moet mevrouw Wagenaar wat dat betreft dus teleurstellen. Het is een precisering van het begrip "verenigbaar gebruik".

MevrouwHalsema(GroenLinks)

Voorzitter! Als marktonderzoek er wel onder valt, wordt dan onderscheid gemaakt tussen onderzoek, gedaan met een commercieel oogmerk, en ander onderzoek?

MinisterKorthals

Neen, er wordt geen onderscheid gemaakt. Het gaat er alleen om of het resultaat al of niet persoonsgegevens bevat.

De heer Nicolaï vroeg naar de graad van verwantschap. Die komt niet meer voor in artikel 9. Niettemin zal deze kwestie bij het bepalen van wat "verenigbaar gebruik" is wel een rol spelen. Relevant is immers of er samenhang is tussen het oorspronkelijke doel, waarvoor de gegevens zijn verzameld, en het doel, waarvoor die worden gebruikt. Als er geen samenhang is, dan zal het gebruik onrechtmatig zijn. Mevrouw Halsema vroeg waarom dit het geval is. Ik herhaal wat ik zojuist in de richting van mevrouw Wagenaar zei. Dit sluit meer aan bij de richtlijn. De Kamer heeft overigens een zekere mate van vrijheid op dit punt. Mevrouw Halsema kijkt nu gelukzalig, met amendementtekentjes in haar ogen, maar wij hebben er heel bewust voor gekozen, zeker wat betreft de nota van wijziging, om zoveel mogelijk aan te sluiten bij de richtlijn en om niet verder te gaan.

MevrouwHalsema(GroenLinks)

Ik heb deze wijziging in de eerste ronde afgezet tegen de ambitie uit het regeerakkoord om juridisering tegen te gaan. Ik kan mij voorstellen dat de minister wil aansluiten bij de EU-richtlijn, maar er is sprake van een bandbreedte. Er kan dus ook voor worden gekozen om daar enigszins van af te wijken. Vindt de minister ook niet dat nu een grote claim op de rechter wordt gelegd door het stellen van een open norm, zonder dat verdere criteria worden geformuleerd? Is dat wel wenselijk, gelet op de toon in het regeerakkoord?

MinisterKorthals

Dan krijgen wij een algemene discussie over de vraag in hoeverre wij bij internationale verdragen en richtlijnen moeten werken met open normen. Er komt over niet al te lange termijn een notitie van Justitie, waarin staat dat daar inderdaad mee moet worden opgepast, om de doodeenvoudige reden dat die open normen een verdergaande werking krijgen. Dat is de zogenaamde dynamiserende werking. Bij het aangaan van open normen krijgen die na verloop van tijd in feite een andere betekenis. Dat hebben wij in het strafrecht ook gezien bij een formulering als "redelijke termijn". Het is dus kiezen. Op het ogenblik hebben wij er heel duidelijk voor gekozen om zo stringent mogelijk aan te sluiten bij de richtlijn. Dat neemt niet weg dat mevrouw Halsema een punt heeft, in die zin dat wij voorzichtig moeten zijn met het in richtlijnen en verdragen opnemen van open normen. Ik vind dat ook heel belangrijk. Ik kom er in een later stadium op terug, niet in het kader van deze wet overigens, want ik vind dit ook een zorglijk punt.

MevrouwWagenaar(PvdA)

Voorzitter! Ik kom nog even terug op artikel 9, lid 3. De minister stelde dat marktonderzoek wordt begrepen onder historisch, statistisch of wetenschappelijk onderzoek. Mag ik dit zo interpreteren dat het altijd anonieme gegevens betreft en dat dit soort onderzoek dus nooit kan leiden tot het doen van persoonlijk gerichte commerciële aanbiedingen aan mensen? Daar ligt voor mij de grens.

MinisterKorthals

Voorzitter! Het antwoord is bevestigend. Het eindresultaat mag nooit herleidbaar zijn tot individuele personen.

De heerPatijn

De heer Schutte vroeg wie het begrip "onverenigbaar" interpreteert. De "verantwoordelijke" is degene die in eerste aanleg verantwoordelijk is voor de interpretatie daarvan. Het is echter een objectief begrip dat vervolgens door de rechter kan worden getoetst wanneer het wordt aangevochten. Het is een objectief begrip en kan niet gebruikt worden om te zeggen: wanneer het onverenigbaar is, mag je het doen. Er moet worden bekeken of er voldoende samenhang is om de verwerking van persoonsgegevens voor het andere verenigbare doel te rechtvaardigen.

Het punt dat de politie van die gegevens gebruik maakt, valt inderdaad onder artikel 23, waarin staat dat dat mogelijk is wanneer het noodzakelijk is voor politiedoel- einden. Het beginsel is dat dat alleen in dringende en gewichtige gevallen mag. In beginsel behoort het volgens de bevoegdheden die in het Wetboek van Strafvordering liggen, te gebeuren. Alleen in uitzonderlijke gevallen mogen buiten strafvordering om gegevens voor een onver- enigbaar doel, het politiedoel, worden gebruikt.

MevrouwWagenaar(PvdA)

Voorzitter! In artikel 11 staat dat de verzameling en verwerking van de persoonsgegevens terzake dienend moeten zijn – dat lijkt mij prima – en vooral ook niet bovenmatig. Nu kennen wij uit de tamelijk recente praktijk het voorbeeld van de mobieletelefoonaanbieders die terecht, want ze geven in feite een voorschot, aangezien mensen gaan bellen, maar de rekening nog niet hebben betaald, naar de kredietwaardigheid van klanten vragen. Sommige mobieletelefoonaanbieders vragen echter ook of mensen al dan niet een partner hebben, terwijl dat nadat de handelingsonbekwaamheid van de gehuwde vrouw in 1956 is opgeheven, niets meer met krediet- waardigheid te maken heeft. Ik vraag mij dan ook af hoe de minister dit soort dingen in de praktijk denkt te controleren. Op dit moment wordt daar in de praktijk namelijk al ontzettend de hand mee gelicht.

MinisterKorthals

Daar is het CBP mee belast. Ik geef toe dat het een zware taak is, maar er komen natuurlijk ook al klachten over dit soort zaken binnen bij de Registratiekamer. Aan de hand van die klachten kan men een onderzoek instellen en tot handhaving overgaan. Het loopt dus via de Registratiekamer. Die zal op signalen uit de samenleving moeten reageren, hetzij naar aanleiding van klachten, hetzij naar aanleiding van eigen waarneming en dergelijke. Ik denk dat dat gaat werken, maar dat zal de praktijk moeten uitwijzen.

De heerRietkerk(CDA)

Ik heb een vraag over de beveiliging. Is die voldoende gewaarborgd en hand- haafbaar?

MevrouwScheltema-de Nie(D66)

Voorzitter! Ik heb ook een vraag over die beveiliging. De Registratiekamer komt zelf met een voorstel om de privacy enhancing technology in de wet te verwoorden. Men doet het concrete voorstel om toe te voegen: de maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Dat lijkt mij een buitengemeen zinnige toevoeging. Waarom zouden wij die niet overnemen? Ik begrijp dat er uitvoerig onderzoek is ingesteld naar die technology, dat er rapporten over zijn en dat er wel degelijk reden is om die bescherming een hoge prioriteit te geven. Ik denk alleen al aan Microsoft, die afgelopen week in opspraak kwam.

De heerNicolaï(VVD)

Ik heb een specifieke vraag. Als ik het goed begrijp is de suggestie van de Registratiekamer om ook het verzamelen van gegevens hierbij te betrekken. Daar gaat die wet, dacht ik, niet over. Dat zou dan ook een stap verder gaan. Ik hoor hierop graag de reactie van de minister.

MinisterKorthals

De technologische ontwikkelingen vormen niet alleen een bedreiging voor de persoonlijke levenssfeer. Uit onderzoek is gebleken dat technologische innovaties ook belangrijke kansen bieden voor meer effectieve waarborgen voor een praktijk van het omgaan met persoonsgegevens welke meer overeenstemt met daarvoor geldende normen. Geavanceerde vormen van invoercontrole, integrity checking, audit ability en toegangscontrole bieden steeds betere mogelijkheden om bestaande knelpunten rondom de naleving van de privacywetgeving te verminderen. Door middel van dergelijke technologische ontwikkelingen kunnen de verzameling, de opslag, de verspreiding en de verwerking van persoonsgegevens duidelijker in beeld worden gebracht en worden beheerst. Hiermee kunnen de transparantie van en controle over het gebruik van persoonsgegevens zijn gediend. In de nieuwe technologie is het steeds beter mogelijk om de juridische normen die aan de privacybescherming ten grondslag liggen, om te zetten in harde technische specificaties. Daarmee wordt privacybescherming als het ware ingebakken in het informatiesysteem van de toekomst. Deze techniek wordt ook wel aangeduid als privacy enhancing technologies, de zogenaamde PET. Het doel van deze technologie is onder meer het inzetten van middelen om het vastleggen van persoonsgegevens tegen te gaan. In dit licht pleit het CPB voor het uitbreiden van het beveiligingsvoorschrift in de WBP, artikel 13, met de zinsnede "dat de maatregelen, etc., er mede op zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen".

Dit voorstel wil ik niet ondersteunen. Het leidt tot een onnodige verfijning van de regelgeving die de transparantie naar mijn oordeel niet ten goede komt. Zij is onnodig omdat reeds uit artikel 11 volgt dat persoonsgegevens die, voor het doel waarvoor zij verzameld zijn of vervolgens worden verwerkt, bovenmatig zijn of niet terzake dienend zijn, niet mogen worden verwerkt. Met andere woorden: dat is de reden. Bovendien is het meer dan waar de richtlijn om vraagt.

De heerNicolaï(VVD)

Mijn speci- fieke vraag is volgens mij niet beantwoord. Wordt hier het verzame- len van gegevens geïntroduceerd en is dat een toevoeging die niet helemaal logischerwijs onder de systematiek van het verwerken van gegevens, waar deze wet op gericht is, valt?

De heerPatijn

Dat is onjuist. In artikel 1, onder b, is het begrip "verwerking van persoonsgegevens" gedefinieerd als "mede omvattende het verzamelen". Dus de technische maatregelen die ingevolge artikel 13 moeten worden genomen voor een rechtmatige verwerking, dienen mede te omvatten het met technische maatregelen voorkomen van het onnodig verzamelen van gegevens.

MevrouwScheltema-de Nie(D66)

Ik ben toch niet geheel overtuigd door de beantwoording van de minister. Ik vraag mij het volgende af. Je moet de technologische ontwikkelingen in zekere zin hun gang laten gaan. Maar zit de rem niet in het woordje "onnodig"?

Artikel 13 gaat erover dat de verant- woordelijke passende technische maatregelen neemt voor bepaalde doeleinden. De Registratiekamer zegt duidelijk dat je deze doeleinden nodig hebt. Ik gaf Microsoft niet voor niets als voorbeeld. Je ziet dat grote maatschappijen wel degelijk bescher- mingsmaatregelen kunnen introduceren met nieuwe technologieën, maar zij kunnen ook een duidelijke bedreiging voor de privacy inhouden. Daarbij zul je beschermende maatregelen moeten nastreven. Daarop dringt de Registratiekamer ook aan. Ik denk dat het heel zinnig kan zijn.

MinisterKorthals

Voorzitter! Ik ben bereid om dat schriftelijk te doen. Dan zal het antwoord nog iets uitvoeriger zijn. De stelling is dat hetgeen u en mevrouw Scheltema naar voren brengen, impliciet al in de wet zit. Dat zit namelijk in artikel 11. Maar u heeft daar kennelijk twijfels over. Dan lijkt het mij het beste om dat dan toch duidelijk schriftelijk in een brief vast te leggen.

MevrouwScheltema-de Nie(D66)

In de schriftelijke behandeling heeft mijn fractie al gesteld dat uit wetsystematisch oogpunt de hele paragraaf 2 wat merkwaardig in elkaar zit. Artikel 16 begint met een algemene regel. Vervolgens krijgen wij de uitzonderingen in de artikelen 17 t/m 22 en daarna volgt er in artikel 23 nog eens een algemene regel. Wat ons betreft, gaat de voorkeur er naar uit om na artikel 16 een artikel 16a op te nemen. Dat artikel 16a moet de inhoud hebben van artikel 23. De verwijzingen naar de artikelen 17 t/m 22 moeten dan wel aangepast worden. Ik vind dat uit wetsystematisch oogpunt beter en je voorkomt daarmee ook het een en ander. Zo wordt er in het derde lid van artikel 21 zowel van artikel 16 als van artikel 23 afgeweken. Dat is heel erg lelijk. Ik acht dat ook niet juist vanuit een oogpunt van algemene wetgevingstechniek.

Ik wil nog een inhoudelijke opmerking maken over artikel 21. Dat betreft een concrete vraag over artikel 21.1.a. Dat houdt toch in dat de verwerking van gezondheidsgegevens in het kader van de geestelijke zorg wel kan plaatsvinden. Dat is een vraag van het Interkerkelijk contact overheidszaken. Ik denk dat het goed is dat er helderheid op dit punt komt. Dat moet wel kunnen.

Ik heb verder nog een vraag over artikel 21.1.b. Het woord "verzekeringsinstellingen" lijkt me wat ruim. Daardoor worden allerlei uitwerkingen mogelijk die waarschijnlijk niet bedoeld zijn. De Patiënten- en consumentenfederatie stelt voor om het woord "verzekeringsinstellingen" te vervangen door "verzekeraars". Ik denk dat dit een goede suggestie is en hoor daar graag een reactie op. Zo op het eerste gezicht zou ik daar wel wat voor voelen.

In artikel 23.1.b staat dat gegevens door de betrokkene duidelijk openbaar moeten zijn gemaakt. Wat is "duidelijk openbaar"? Juist in de gezondheidswereld wordt gezegd: ook als je je naam als MS-patiënt aan een instelling hebt verbonden, wil dat nog niet zeggen dat je overal in die hoedanigheid naar voren moet kunnen worden gehaald. De vraag is dus of de term "duidelijk openbaar" niet te ruim is en of je niet de bewustheid en de positieve instelling van de betrokkenen zou moeten inbrengen, bijvoorbeeld door de term te wijzigen in "bewust openbaar".

MevrouwWagenaar(PvdA)

Voorzitter! Ik begin met artikel 16 en ik betrek daarbij ook artikel 22. Artikel 16 verbiedt de verwerking van gevoelige en strafrechtelijke persoonsgegevens. Dat laatste wordt verder uitgewerkt in artikel 22. De Nederlandse vereniging van banken heeft in haar commentaar een interessant dilemma naar voren gebracht. Wij onderschrijven het in artikel 16 opgenomen principe: het moet niet zo zijn dat iedereen registers met strafrechtelijke persoonsgegevens kan aanleggen. Daar staat het commentaar van de Nederlandse vereniging van banken echter tegenover: zij meent dat artikel 22 de banken onvoldoende in staat stelt om de instandhouding van de integriteit van het financiële stelsel te handhaven en zij bepleit daarom een uitzondering voor de financiële sector. Aan de ene kant is het zo dat je, als je één sector uitzondert, dat ook met andere moet doen; aan de andere kant heeft die vereniging wel de verantwoording voor de integriteit van haar sector. Ik ben er zelf nog niet uit, maar dit is wel een punt waarover wij goed moeten doorpraten. In principe mag een private instantie nooit strafrechtelijke gegevens verzamelen, maar misschien moet je toch iets doen met registers van wanbetalers in bepaalde sectoren. Ik krijg hierop graag een reactie en ik ben benieuwd hoe de minister hiertegen aankijkt.

Met betrekking tot artikel 21, lid 1, sub b, heeft mijn collega Scheltema al iets gezegd over het begrip "verzekeringsinstellingen": zijn dat nou conglomeraten van verzekeringsinstellingen waar de directe verzekering in zit, maar soms ook andere producten, zoals hypotheken? Ik zou dat graag nader gedefinieerd zien.

Met betrekking tot artikel 23, lid 1, sub a, zijn wij blij met de uitleg in de nota naar aanleiding van het verslag, met name met het feit dat de regering uitdrukkelijke toestemming pas aanwezig acht als de persoon een actieve daad verricht, bijvoorbeeld door met een muis te klikken. Ik vraag toch nog even een bevestiging daarvan: mogen we ervan uitgaan dat onder dat begrip "uitdrukkelijk" onder lid 1, sub a, "daadwerkelijk actief" wordt verstaan? Een persoon moet dan dus echt een activiteit verrichten en moet echt iets doen om toestemming te geven; er kan dus nooit sprake zijn van passieve toestemming.

De heerNicolaï(VVD)

Voorzitter! Ik begin met artikel 16. Als ik mij niet vergis, zijn de daarin opgenomen begrippen niet precies dezelfde als in de richtlijn. Als dat zo is, waarom is dat dan zo? Hoe wordt dit in andere lidstaten uitgewerkt?

Mijn tweede vraag betreft artikel 16 in samenhang met artikel 21. De medische gegevens vallen in principe onder die uitzondering en slechts in bepaalde gevallen niet. Als het gaat om de bedrijfsvoering en het bedrijfsbelang, noem ik op het zo langzamerhand beruchte voorbeeld van een opticien die een nieuwe lensvloeistof heeft en die dat graag wil melden aan klanten van wie hij weet dat zij daarin geïnteresseerd zijn. Het is mij nog steeds niet duidelijk of dat wel of niet mag. Graag krijg ik aan de hand van dit voorbeeld een reactie.

Ook het derde punt heeft in feite met artikel 16 te maken – dat is logisch, want dat is bij deze paragraaf eigenlijk het parapluartikel – maar dan in samenhang met artikel 22. Daar heeft mevrouw Wagenaar naar aanleiding van de "bankendiscussie" al het een en ander over gezegd, maar ik zou dit even in het algemeen willen trekken, omdat het beeld op dit punt onvoldoende concreet is. In welke mate kunnen niet alleen de banken, maar ook andere branches – bijvoorbeeld de horeca en de autoverhuurbedrijven – gebruik maken van gegevens die zij van klanten hebben en die voor het bedrijfsbelang relevant zijn? Als iemand zich bijvoorbeeld steeds misdraagt bij het gebruik van verhuurde auto's, mag dat gegeven dan binnen het bedrijf en binnen de branche uitgewisseld worden? Hoever kan daarmee op basis van dit wetsvoorstel worden gegaan?

MevrouwHalsema(GroenLinks)

Voorzitter! In de formulering van artikel 16 is aansluiting gezocht bij de Algemene wet gelijke behandeling. Mijn vraag daarbij is dan: waarom is sekse niet opgenomen, dus bijvoorbeeld een verbod om persoonsgegevens betreffende iemands sekse te verwerken? Dit wordt wel genoemd in de Algemene wet gelijke behandeling.

MevrouwScheltema-de Nie(D66)

Seksuele leven is wel genoemd.

MevrouwHalsema(GroenLinks)

Daarbij heb ik nog de aanvullende vraag, wat daar precies mee wordt bedoeld.

Ik heb nog een vraag over artikel 21, vierde lid: persoonsgegevens betreffende erfelijke eigenschappen. Het is voor mij onduidelijk of het hier gaat om een subcategorie van het eerste lid. Is dat niet zo, dan denk ik dat de reikwijdte van het vierde lid veel verder gaat dan alleen de gezondheid. Gaat het dan bijvoorbeeld ook om DNA-onderzoek in het kader van het Wetboek van Straf- vordering? Zo ja, is het dan niet beter om het vierde lid in een apart artikel op te nemen?

De heerRietkerk(CDA)

Voorzitter! Heb ik het goed begrepen dat dit artikel bepaalde algemene systemen met gevoelige gegevens, zoals het leerlingvolgsysteem, niet toestaat? Betekent dit ook dat, bijvoorbeeld bij zorg- en veiligheidssystemen in de buurt, mensen de gegevens niet aan elkaar kunnen uitwisselen? Met name bij de zorg voor jongeren wordt dat nogal eens als een belemmering ervaren.

Daarnaast zal ik graag bevestigd krijgen dat kerkgenootschappen in het kader van de geestelijke zorg gewoon door kunnen werken met persoonsgegevens, ook als het gaat om gezondheidsgegevens.

MinisterKorthals

Voorzitter! Mevrouw Scheltema vroeg in de eerste plaats waarom het gestelde in artikel 23 niet direct na artikel 16 kwam. Dat is een gevolg van de algemene structuur waarvoor is gekozen. In artikel 8 van de ontwerp- wet bijvoorbeeld, is ervoor gekozen eerst de precieze regeling aan te geven en daarna een open einde met globale normering. Mevrouw Scheltema en anderen hebben gevraagd of het begrip verzekeringsinstelling kan worden vervangen door bijvoorbeeld: verzekeraar. Ik wil dit nagaan. Ik denk dat het nuttig is om overleg te voeren met Financiën over de vraag wat daarvan precies de consequenties zullen zijn. Op deze vraag zal dan ook een schriftelijke reactie komen, met uw goedvinden.

Mevrouw Wagenaar vroeg of banken gegevens over verdachten kunnen opslaan. Dat kan wel, zie artikel 22, vierde lid, onder c. Het CPB is dan de instantie die daarvoor toestemming kan geven.

De heer Rietkerk vroeg naar de geestelijke gezondheidszorg in het kader van de pastorale zorg. Verwerking van gezondheidsgegevens in het kader van de pastorale zorg is niet mogelijk op grond van artikel 21. Dit betekent dat je moet terugvallen op artikel 23. Verwerking is alleen mogelijk met uitdrukkelijke toestemming.

Mevrouw Wagenaar vroeg naar het gebruik van medische gegevens door de hypotheekverzekeraar. Naast artikel 21 blijft de norm van verenig- baar gebruik gelden. Dat wil zeggen, dat uitwisseling van medische gegevens binnen een groot verzekeringsconcern alleen kan als het doel van de hypotheekverzekering verenigbaar is met de doeleinden waarvoor de betreffende gegevens oorspronkelijk zijn verzameld.

MevrouwWagenaar(PvdA)

En als uitdrukkelijk toestemming is gegeven?

MinisterKorthals

Dan kan het ook.

MevrouwWagenaar(PvdA)

Mijn vraag is of dat daarvoor een voorwaarde is.

Ik zal het uitleggen. Tegenwoordig heb je van die heel grote conglomeraten van banken, verzekeraars en wat dies meer zij. De verzekeraar heeft bepaalde gegevens van iemand die bij dezelfde instelling een hypotheek aanvraagt. Mag de hypotheekverzekeraar dan automatisch de medische gegevens van betrokkene die bij een andere poot van het bedrijf bekend zijn, opvragen?

MinisterKorthals

Nee, dat is onverenigbaar.

Mevrouw Wagenaar vroeg naar de uitdrukkelijke toestemming met die muisklik. Dat is goed, maar het moet wel actieve instemming zijn.

MevrouwWagenaar(PvdA)

Geen passieve?

MinisterKorthals

Actief betekent niet passief.

MevrouwWagenaar(PvdA)

Dat is eindelijk een heldere normering.

MinisterKorthals

Waarom wijkt artikel 16 WBP af van de richtlijntekst, zo vraagt de heer Nicolaï. Artikel 16 sluit zoveel mogelijk aan bij de richtlijn. Op een aantal punten is een uitzondering gemaakt, teneinde aan te sluiten bij het huidige Besluit gevoelige gegevens. Om die reden zijn bijvoorbeeld ook de strafrechtelijke gegevens opgenomen in artikel 16, opdat het beschermingsniveau niet wordt afgezwakt tot dat voor de reguliere persoonsgegevens als bedoeld in paragraaf 1 van hoofdstuk 2.

De heerNicolaï(VVD)

Doen andere lidstaten dat ook?

MinisterKorthals

Strafrechtelijke gegevens staan ook in de richtlijn. Ik neem aan dat andere landen het- zelfde doen.

De heerNicolaï(VVD)

Zodat u het alleen hier doet.

MinisterKorthals

Ja. De heer Nicolaï heeft nog gevraagd of de opticien reclame mag maken voor contactlenzen.

De heerNicolaï(VVD)

De vraag had betrekking op het direct benaderen van de klanten.

MinisterKorthals

Dit is toegestaan met uitdrukkelijke toestemming van betrokkenen. Beslissend criterium is of het een medisch gegeven betreft.

De heerNicolaï(VVD)

Het hebben van oogklachten is op zichzelf een medisch gegeven. Mijn vraag is of een opticien naar klanten waarvan hij weet dat zij oogklachten hebben, een folder over nieuwe lenzenvloeistof mag sturen.

De heerPatijn

Met de constatering dat het om een medisch gegeven gaat, betekent dit dat hij dat niet zonder uitdrukkelijke toestemming van die klanten kan doen.

De heerNicolaï(VVD)

Ik vind dit raar.

MinisterKorthals

Mevrouw Halsema heeft gevraagd waarom in artikel 16 sekse niet als bijzonder gegeven is opgenomen. In de eerste plaats wordt in dit opzicht bij de richtlijn aangesloten. Voorts ben ik van mening dat sekse geen gevoelig gegeven is. In het thans geldende besluit gevoelige gegevens is deze grond ook niet opgenomen. Het feit dat op grond van dit gegeven ongelijke behandeling niet is toe- gestaan, maakt het uiteraard niet tot een gevoelig gegeven.

MevrouwHalsema(GroenLinks)

De minister zegt heel stellig dat het hier niet om een gevoelig gegeven gaat. Dertig jaar emancipatiestrijd zou wel eens tot een andere uitkomst kunnen leiden. Kan de minister zijn stand- punt toelichten?

MinisterKorthals

Sekse is over het algemeen geen gevoelig gegeven. Seksuele geaardheid is een andere zaak. Die is wel opgenomen als een gevoelig gegeven. Het feit dat iemand een bepaalde sekse heeft, is toch op zichzelf geen gevoelig gegeven?

MevrouwHalsema(GroenLinks)

Ik kom hierop later nog wel terug.

MevrouwScheltema-de Nie(D66)

Er zijn nog twee vragen die ik heb gesteld, niet beantwoord. De eerste had betrekking op artikel 21, sub a, waarin de verwerking van gezond- heidsgegevens onmogelijk wordt geacht, maar dit mag wel als het nodig is voor de verzorging. Mijn vraag is of de geestelijke verzorging ook hieronder valt. Dit is een andere vertaling van de vraag van het Interkerkelijk contact overheidszaken. Mijn tweede vraag had betrekking op artikel 23, lid 1, sub b, over het duidelijk openbaar. Mijn vraag is of dit niet te veel ruimte laat. Zou de bedoeling van betrokkene daarin niet meer moeten worden vastgelegd?

De heerPatijn

Het antwoord op de vraag of ook geestelijke verzorging is bedoeld in artikel 21 is positief, dat wil zeggen dat dit mede daaronder is begrepen. Wat betreft de vraag over de openbaarheid wijs ik erop dat er wel staat: door de betrokkenen openbaar zijn gemaakt. De betrokkene moet het dus openbaar hebben gemaakt. Als hij het openbaar heeft gemaakt, is daarmee het verbod van artikel 16 opgeheven. Dit laat onverlet dat hij er op grond van artikel 8 bijvoorbeeld onder f een gerechtvaardigd belang bij moet hebben om die gegevens te verwerken. Het is een gelaagd systeem dat artikel 16 een verbod geeft; de daarop volgende artikelen inclusief artikel 23 maken een uitzondering. Wanneer die uitzonderingen van toepassing zijn, valt men terug op de algemene regeling van artikel 8 en volgende die allemaal eisen stellen, bijvoorbeeld dat je een gerechtvaardigd belang moet hebben om gegevens te verwerken. Het is niet een onbeperkte opheffing van welke regel dan ook.

De heerRietkerk(CDA)

Ik heb nog een vraag gesteld over het leerlingvolgsysteem in relatie tot zorg- en veiligheidsprojecten in de buurt.

Het leerlingvolgsysteem betreft gevoelige gegevens. De richtlijn eist, dat wanneer er een zwaarwichtig belang is het bij formele wet gebeurt. De onderwijswetgeving is daarvoor een goede plaats. Zoiets moet in sectorale wetgeving gebeuren. Zonder een dergelijke wettelijke basis is een verwerking van gevoelige gegevens niet toegestaan.

De heerNicolaï(VVD)

Er is wel iets gezegd over hetgeen banken kunnen doen, maar ik heb geprobeerd de vraag algemener en preciezer te stellen. Stel dat het gaat om strafrechtelijke gedragingen of andere misdragingen. Ik noem het voorbeeld van een autoverhuurbedrijf. Hoever kan een bedrijf zelf gaan met het gebruiken van dergelijke gegevens, maar vooral: hoever kan een brancheorganisatie of überhaupt een branche gaan?

De heerPatijn

Artikel 22 staat het aan individuen toe om strafrechtelijke gegevens en misdragingen op te slaan ter bescherming van de eigen persoon. Bij brancheorganisaties is de meer procedurele bepaling van artikel 22, vierde lid, onder c, van toepassing. Dit betekent dat de Registratiekamer de gelegenheid heeft om de regeling daarvoor te toetsen. Er is dus een procedurele uitlaatklep: wanneer de materiële bepaling van de wet ergens niet in voorziet, dan kan via de procedure bij de Registratiekamer worden gevraagd of dit soort gegevens toch mag worden verwerkt.

De heerNicolaï(VVD)

Dit is weliswaar een technisch overleg en geen politiek overleg, maar ik stel de minister toch de volgende vraag: vindt hij het logisch dat men in dergelijke gevallen binnen een branche de ruimte krijgt om bepaalde gegevens te verspreiden, bijvoorbeeld over de gedragingen van een automobilist die zijn wagen steeds aan gort rijdt? Ik begrijp dat een en ander afhankelijk is van nadere jurisprudentie van het CBP, maar wat ligt hier voor de hand?

De heerPatijn

Er bestaat een rapport van de Registratiekamer over zwarte lijsten, waarin dit in beginsel wordt toegelaten. Dus de verwerking van strafrechtelijke gegevens is op brancheniveau toegestaan, maar binnen bepaalde randvoorwaarden.

MevrouwHalsema(GroenLinks)

Mijn vraag over artikel 21, vierde lid, is onbeantwoord gebleven. Ik vroeg in hoeverre de verwerking van persoonsgegevens betreffende erfelijke eigenschappen een sub- categorie vormt binnen de categorie persoonsgegevens betreffende iemands gezondheid. Als het hier niet om een subcategorie gaat, is waarschijnlijk sprake van een bredere werking: volgens mij kan het dan ook gaan om bijvoorbeeld DNA-onderzoek in het kader van strafvordering. Is het dan niet logisch om dit in een apart artikel op te nemen?

De heerPatijn

Ik denk dat beide mogelijkheden openstaan. DNA-onderzoek wordt hieronder inderdaad begrepen. Deze bepaling richt zich inderdaad op gevallen waarin DNA-onderzoek ten aanzien van een persoon gevolgen heeft voor andere personen die in dezelfde genetische lijn staan.

MevrouwHalsema(GroenLinks)

Gaat het om DNA-onderzoek in het kader van gezondheid of om DNA-onderzoek in het kader van strafvordering? Als dit laatste het geval is, dan is het niet logisch dat dit is ondergebracht als een lid binnen een artikel over gezondheid. Het zou dan logischer zijn om dit in een apart artikel onder te brengen, waardoor duidelijk wordt dat de werking van het artikel breder is.

MinisterKorthals

Voorzitter! Ik stel voor om deze vraag schriftelijk te beantwoorden.

MevrouwHalsema(GroenLinks)

De minister is niet ingegaan op mijn vraag naar de precieze bedoeling van "het seksuele leven". Gaat het hierbij alleen om seksuele geaardheid of om meer, bijvoorbeeld promiscuïteit?

MinisterKorthals

Promiscuïteit, of de vraag of mensen regelmatig naar de Wallen gaan, vallen onder het seksuele leven. Dit is dus niet hetzelfde als seksuele geaardheid.

De heerNicolaï(VVD)

Na de nota van wijziging kunnen organen zich per branche bezighouden met geschillenbeslechting. Dat lijkt ons een goed idee. Kan zo'n branche-instelling prejudiciële vragen stellen? Hoe wordt anderszins de rechtsgelijkheid gegarandeerd?

Kan het bij de mogelijkheid, gedrags- codes te beoordelen door het CBP gaan om goedkeuring of een verklaring dat het in overeenstemming is? Volgens mij is door de wijziging de goedkeuring in de wet verankerd. Daarvoor was er sprake van een verklaring dat het in overeenstemming is. Is dit een verzwaring? En zo ja, waarom? Als zo'n verklaring niet wordt gegeven, heeft dit dan andere gevolgen dan wanneer een goedkeuring niet wordt gegeven?

Het VNO heeft een voorstel gedaan om, naast de gedragscode, een mogelijkheid voor regelingen per branche te introduceren. Dit zou goedkeuring van de minister behoeven. Het is echter niet alleen een voorbeeld van zelfregulering maar ook van co-regulering. Past het voorstel van het VNO in de wet?

MevrouwScheltema-de Nie(D66)

Ook ik wil graag dat de minister op het voorstel van VNO/NCW ingaat. Is hier sprake van aantasting van het gehele systeem van de wet dat van een overkoepelende instanties, zoals het CBP, uitgaat? In verband met artikel 25 vraag ik of het om een facultatieve bevoegdheid van het College gaat. Het College kan verzocht worden – het hoeft niet – naar gedragscodes te kijken. Wat gebeurt als sectoren gedragscodes instellen en die niet aan het College melden?

Als een gedragscode is voorgelegd, dan wordt gekeken of naar het oordeel van het College een juiste uitwerking wordt gevormd van de wet of andere wettelijke bepalingen, enz. Dit is een buitengewoon subjectieve formulering. Als een rechter geroepen wordt, dit te toetsen, zal hij daarmee enigszins rekening moeten houden. Alleen al daarom is die merkwaardige bepaling in het zesde lid opgenomen: de verklaring bindt de rechter niet. Ik vind dit vreemd. De rechter kan een besluit vrijelijk toetsen. Deze is niet gebonden. Kan de bepaling betreffende de gedragscodes scherper en meer aansluitend op de rechtspraktijk worden geformuleerd? Het College bescherming persoonsgegevens kan de voorgelegde gedragscode beoordelen of toetsen en het kan al dan niet een verklaring afgeven. Zo'n verklaring is dan een besluit ingevolge de Algemene wet bestuursrecht. Tot slot kan de algemene rechter een oordeel geven.

De heerRietkerk(CDA)

Wordt via dit artikel zelfregulering krachtig gestimuleerd? Is er wellicht nog een extra stimulans nodig? Hoe ziet de minister de relatie tussen de toezichthouder, het College, en zelfreguleringsorganen?

MevrouwWagenaar(PvdA)

Voorzitter! Wat is nu precies de status van de gedragscode ten opzichte van de wet? Voorafgaand daaraan hoor ik graag een verduidelijking van artikel 25, lid 1. Daarin wordt gesproken van "organisatie of organisaties". Is dat precies hetzelfde als "een verantwoordelijke", zoals bedoeld in artikel 1, sub d? Verheldering is op zijn plaats.

In lid 6 staat dat de verklaring van de Registratiekamer de rechter niet bindt. In het kader van de trias lijkt mij dat logisch. Mogen wij ervan uitgaan dat de wet altijd prevaleert boven een gedragscode? Dat lijkt mij het meest logisch. Dan heb je een goede basis voor zelfregulering, die haar grens en kader vindt in de rechten en plichten die in de wet zijn vastgelegd. Het college bescherming persoonsgegevens toetst de gedrags- codes. Doet het dat ook op inzichtelijkheid van codes? De wet is niet bijster inzichtelijk, dus de gedragscode moet dat op zijn minst wel zijn.

Dezelfde vraag geldt het kenbaar maken van gedragscodes aan betrokken burgers c.q. consumenten. Als goed voorbeeld noem ik de gedragscode die de Koninklijke Nederlandse academie van wetenschappen voor het wetenschappelijk onderzoek heeft opgesteld. De minister heeft gezegd dat marktonderzoek wetenschappelijk onderzoek is. De gedragscode moet ook op die branche van toepassing zijn. Of ga ik daarmee een stapje te ver?

De gedragscode van de ILO is ook in andere landen in discussie geweest. Uiteindelijk is aldaar overeenstemming bereikt tussen werkgevers en werknemers. In de Stichting van de arbeid is ook gediscussieerd. Wat is de opvatting van de minister over de gedragscode van de ILO?

MinisterKorthals

Voorzitter! De heer Nicolaï heeft gevraagd of een branche-instelling prejudiciërend vragen kan stellen. Dat is inderdaad mogelijk. Moet de gedragscode goedgekeurd worden of moet een verklaring worden afgegeven dat hij in overeenstemming is met de wet? Wat ons betreft bestaat daar geen enkel verschil tussen.

VNO/NCW heeft een voorstel gedaan voor toezicht in de gedragscodes. Wat is daartegen? Het is een aantasting van het systeem van de wet. De richtlijn eist een publieke toezichthouder. Naar mijn oordeel is het beleidsmatig onjuist, omdat het versnippering geeft van de toezicht functie. De bevoegdheden om effectief in te grijpen horen thuis bij een overheidsorgaan. Ik ben dus tegenstander van het voorstel van VNO/NCW.

Mevrouw Scheltema vroeg of in artikel 25 sprake is van een facultatieve bevoegdheid. Het antwoord daarop luidt volmondig "ja". Wat gebeurt er als gedragscodes gewoon worden ingevoerd? Dit is inderdaad mogelijk. Het is mogelijk dat er desgevraagd vervolgens een advies komt van de CBP. Zoals mevrouw Wagenaar terecht opmerkt, is de rechter daar niet aan gebonden. De wet prevaleert boven de gedragscode. De gedragscode mag nooit met de wet in strijd zijn.

MevrouwScheltema-de Nie(D66)

Dat is dus ter beoordeling van de rechter.

MinisterKorthals

Ja. Het CBP toetst de voorgelegde gedragscode aan diezelfde wet en kan daarover advies geven.

De heer Rietkerk vraagt of in de gedragscode plaats is voor een aparte toezichthouder, naast het CBP. Het antwoord is "nee". De gedragscode kan materiële normen invullen en geschillencommissies instellen maar kan niet publieke toezichthouders opzij zetten.

De heerRietkerk(CDA)

Ik had gevraagd wat de relatie is tussen de toezichthouder en zelfregulerende organen. Die andere vraag heb ik niet gesteld.

MinisterKorthals

Het is ongeveer dezelfde verhouding als tussen de gemeentelijke ombudsman en de Nationale ombudsman. Zo moet u dat ongeveer zien.

Er werd ook gevraagd wat ik van de ILO-gedragscode vond. Ik heb die gedragscode lang bestudeerd. Na lange studie vind ik dat het CBP dat moet beoordelen.

MevrouwWagenaar(PvdA)

Ik zou graag willen dat de minister daar wat uitvoeriger op ingaat, bijvoorbeeld in zijn schriftelijke beantwoording. Hij gaat namelijk wel in op een aantal dingen die in het maatschappelijk veld leven en hij heeft sommige specifieke commentaren naar zich toe getrokken en andere niet, om het zo maar eens te zeggen. Ik zou het op prijs stellen als hij er in zijn schriftelijk commentaar op ingaat.

MinisterKorthals

Akkoord.

MevrouwScheltema-de Nie(D66)

Voorzitter! Ik vind de formulering van artikel 25 ondoorzichtig en juridisch gezien ook merkwaardig. In zijn beantwoording heeft de minister gezegd dat de verklaring, dat een gedragscode in overeenstemming is met de wet, is gelegen in de goed- keuring door het College bescherming persoonsgegevens. Zeg dat dan ook. Zeg gewoon dat het college een gedragscode al dan niet goed- keurt en dat beroep op de rechter mogelijk is. Dat is het dan. Dan heb je al dat moeilijke gedoe met subjectieve beoordelingen en verkla- ringen dat de rechter niet gebonden is, niet nodig. Dan volgen wij het juridisch taalgebruik dat wij in Nederland kennen. Waarom doen wij hier zo moeilijk?

De heerPatijn

Het algemene streven bij het opzetten van de wet is om het privacyrecht meer in te bedden in het algemene recht. Dat betekent dat wij een beroep op de rechter willen openlaten en de rechter niet willen binden aan uitspraken van privacyspecifieke organen die ook geschapen zijn. De Registratiekamer brengt haar expertise in en verklaart dat een gedragscode in overeenstemming is met de wet, maar het is uiteindelijk de algemene rechter die de toepas- sing van het recht beoordeelt en geen privacyspecifiek orgaan als het CBP.

MevrouwScheltema-de Nie(D66)

In de wet is bepaald dat het CBP de gedragscode toetst en al dan niet goedkeurt. Vervolgens is het oordeel aan de rechter. Die is daar natuurlijk vrij in. De rechter is niet aan besluiten van het CBP gebonden, zoals hij ook niet aan besluiten van gemeentebesturen of allerlei andere besluiten is gebonden. Waarom moet in deze wet ineens worden gezegd dat verklaringen de rechter niet binden? Natuurlijk binden zij de rechter niet.

MinisterKorthals

Op zichzelf vind ik dit geen onlogische benadering. Wij kijken er nog naar of dit aan- leiding geeft voor een aanpassing.

MinisterKorthals

Goed.

MevrouwWagenaar(PvdA)

Voorzitter! Mijn vraag over de toetsing van de gedragscodes door het College bescherming persoonsgegevens is nog niet beantwoord. Ik vroeg of die toetsing ook gebeurt op inzichtelijkheid en het kenbaar maken van de gedragscode aan betrokken burgers c.q. consumenten.

De heerPatijn

Dat zijn wenselijkheden die zeker aan de orde zullen komen. Het is geen juridische eis dat een gedragscode niet kan worden vastgesteld, wanneer daaraan niet is voldaan. Ik denk dat de Registratiekamer, en het CPB in de toekomst, in het overleg dat wordt gevoerd met een organisatie die een gedragscode vaststelt, dit soort zaken zeker aan de orde zullen stellen.

MevrouwScheltema-de Nie(D66)

In artikel 26 wordt gezegd, dat het College in zijn jaarverslag aan kan geven, in hoeverre het oordeelt dat een algemene maatregel van bestuur, zoals aangekondigd in het eerste lid, nodig is. Waarom deze uitdrukkelijke uitnodiging aan het college? Het kan dat natuurlijk altijd doen in zijn jaarverslag. Wat betekent het wanneer je dit zo uitdrukkelijk in de wet opneemt? Betekent dit dat, als het College geen aanbeveling heeft gedaan, zo'n AMvB er niet komt? Wat is de rechtskracht van zo'n opmerking? Of is zij gewoon vrijblijvend? Zo ja, moet dat dan worden gehandhaafd?

De heerPatijn

Deze bepaling is overgenomen uit de WPR. Wij hebben het acquis van de WPR gehandhaafd, voorzover de richtlijn dat openliet. Bij de evaluaties van de WPR is daarop geen kritiek uitgeoefend; dit punt is overgenomen. De regering heeft de bevoegdheid om een Amvb vast te stellen, zonder dat de Registratiekamer dat aanbeveelt. De afgelopen tien jaar is daarvoor geen aanleiding geweest. Het is alleen een uitnodiging aan de Registratiekamer om in de gaten te houden, of de zelfregulering toereikend verloopt. Zo nee, dan is er een stok achter de deur.

MevrouwWagenaar(PvdA)

Voorzitter! Ik begin met een vraag die slaat op de artikelen 27, 28 en 31. Mij is niet helemaal duidelijk, wat de sancties zijn bij het ten onrechte niet aanmelden van verwerkingen van gegevens, zoals bedoeld in deze artikelen.

Voorzitter! Ik vind artikel 27 heel onhelder; ik snap er eigenlijk niets van. Onder artikel 27, lid 3, staat: eerst aanmelden, dan verwerken. Dat komt overeen met artikel 18, lid 1, van de richtlijn. De vraag is dan: als je die volgorde hanteert, wat lid 1 van artikel 27 toevoegt. De vraag is ook, of de leden 1 en 3 niet zouden moeten worden samengevoegd. Voor mijn gevoel zou artikel 27 in ieder geval moeten beginnen met lid 3, want dan volg je de richtlijn. Het lijkt mij dat je het dan allemaal wat helderder neerzet.

Voorzitter! In lid 2 blijft toch wat onhelder, hoe het zit met de meldingsplicht voor handmatige bestanden. De wet geeft uitzonderingen, maar onduidelijk is, welke criteria daarvoor zijn aangelegd. Met artikel 29 kun je twee kanten op: aan de ene kant moeten wij niet te piet- luttig zijn door organisaties op te zadelen met onnodige administratieve lasten; ik ben daar echt niet voor. Maar aan de andere kant gebeurt dat ook niet, als de minister wat meer inzicht zou geven via het noemen van wat meer voorbeelden van wat hij zich precies bij vrijstellingen voorstelt. Ik krijg daarin graag wat meer inzicht, zodat de daadwerkelijke strekking van artikel 29 duidelijker wordt, met name als het gaat om de vraag, of er verschil is tussen gegevensuitwisseling op commerciële en op non-commerciële basis.

MevrouwScheltema-de Nie(D66)

Voorzitter! Toen ik dit pakket vandaag kreeg uitgereikt, las ik artikel 27 nog eens door. Ik kreeg daarin een boekwerk aan uitwerkingen van artikel 27 onder ogen, maar nergens staat dat een algemene maatregel van bestuur kan worden gemaakt. Waarop is deze Amvb gebaseerd? In het begin zei de minister heel algemeen dat deze wet van toepassing is op email, net- werken enz. Hier zie je dan dat bij de meldingsplicht alles gewoon catego- risch wordt uitgezonderd. Dat zal waarschijnlijk ook elders nog wel gebeuren, wat ik toch heel merkwaardig vind. Ik denk dat je daarvoor ergens in de wet iets meer aanleiding moet vinden.

MinisterKorthals

Voorzitter! Ik begin met de eerste vraag van mevrouw Wagenaar over de sancties in artikel 27. Op grond van artikel 75 is hier sprake van strafrechtelijke sancties.

Mevrouw Scheltema zegt dat nergens wordt gesproken over een AMvB. In artikel 29 staat echter dat bij AMvB kan worden bepaald dat daarbij aan te geven verwerkingen van gegevens, waarbij de inbreuk op de fundamentele rechten en vrij- heden van de betrokkene onwaarschijnlijk is, zijn vrijgesteld van de melding, bedoeld in artikel 27. Daar ligt de relatie met de AMvB.

De heerPatijn

Voorzitter! Lid 1 van artikel 27 regelt wat er moet worden gemeld. Het derde lid regelt op welk moment en bij wie er moet worden gemeld. Een andere structuur, zoals mevrouw Wagenaar voorstelde, is overigens denkbaar. Het gaat namelijk om de inhoud van de regeling. Die moet in overeenstemming zijn met de richtlijn. De vorm- geving is aan de nationale wetgever.

MevrouwWagenaar(PvdA)

In artikel 3 staat dat je de verwerking meldt alvorens je met de verwerking begint. Het lijkt mij dan logisch dat dit eerder komt.

De heerPatijn

Voorzitter! Ik zeg niet dat dit niet kan, maar de gekozen structuur heeft tot gevolg dat de inhoud in het eerste lid staat, terwijl de modaliteiten in het derde lid worden aangegeven. Het kan echter ook anders.

Wat betreft artikel 29 wordt ervan uitgegaan dat de administratieve last van de verantwoordelijken zoveel mogelijk wordt teruggedrongen. Alles wat standaard is, wordt dus zoveel mogelijk vrijgesteld. Er is veel kritiek op de toepasselijkheid van deze wet als het gaat om de verwerking van persoonsgegevens via Internet. Er wordt echter zoveel mogelijk met vrijstellingen gewerkt om electronic commerce en dat soort zaken niet onnodig te belemmeren. Dat laat onverlet, hoewel sprake is van een vrijstelling van de meldingsplicht, dat de zojuist besproken inhoudelijke regels onverkort van toepassing blijven. Daarom houdt de Registratiekamer toezicht.

MevrouwWagenaar(PvdA)

Voorzitter! Ik vroeg enige voorbeelden van die vrijstelling.

De heerPatijn

Zojuist is een uitput- tende lijst uitgereikt.

MevrouwHalsema(GroenLinks)

Wat betreft artikel 32, lid 5, is via de nota van wijziging sprake van dezelfde toevoeging als die welke in artikel 25 is opgenomen. Het gaat om de verklaring: "... bindt de rechter niet." Ik neem aan dat daar ook naar wordt gekeken.

De heerPatijn

Dat zal gebeuren.

De heerNicolaï(VVD)

Voorzitter! VNO/NCW heeft berekend dat de informatieplicht van de artikelen 33 en 34 het bedrijfsleven op zijn minst enige honderden miljoenen kost. Wat is de reactie van de minister daarop? Wat zijn de gevolgen van de niet- naleving van de verplichting om de betrokkene vooraf te informeren? Vormt niet-naleving op zichzelf een grond voor onrechtmatigheid van de gegevensverwerking, of blijft dit afhankelijk van de toestemming achteraf van betrokkene?

De heerRietkerk(CDA)

Voorzitter! Ik roep de commissie-Slechte in herinnering. Dit sluit aan bij de vragen van de fractie van de VVD. Kan de minister aangeven wanneer de commissie met het eindrapport komt? Daarin wordt namelijk expliciet ingegaan op de administra- tievelastendruk. Ik neem aan dat het kabinet daar niet voor niets naar heeft gevraagd.

MevrouwWagenaar(PvdA)

Voorzitter! Artikel 34 lijkt minder bescherming te geven dan artikel 33, terwijl het bij artikel 33 om een vrijwillige verstrekking gaat. Dat moet worden uitgelegd. Voorts vind ik dat artikel 34, lid 1, sub a en b, een moment in de tijd te ver gaat. Het gaat namelijk om het moment van vastlegging en het moment van eerste verstrekking. Het inlichten moet gebeuren, voordat de daadwerkelijke verwerking plaatsvindt. Wat betreft artikel 34, lid 1, is het beter om dan het regime van artikel 33 qua tijdsbepaling te handhaven.

Wij onderschrijven de suggestie van de CDA-fractie in het verslag dat dit wellicht het moment is dat de verantwoordelijke ook de betrokkene op zijn recht van verzet moet wijzen.

Ten slotte zijn wij niet erg gelukkig met de wijze waarop in de nota naar aanleiding van het verslag wordt ingegaan op de overgangssituatie. Als ik het goed begrijp zijn de artikelen 33 en 34 niet van toepassing op persoonsgegevens die nu al zijn opgenomen in een persoonsregistratie. Klopt dat?

MinisterKorthals

De heer Nicolaï vroeg naar de kostenberekening van enkele honderden miljoenen van het VNO/NCW. Daar is onzerzijds onderzoek naar gedaan. Die vraag berust op een verkeerde interpretatie. Wij zijn zelf in de memorie van toelichting ingegaan op de kosten.

De heer Rietkerk vroeg wanneer de commissie-Slechte, die een verzoek van de regering zou hebben gekregen om onderzoek te doen naar de administratieve lasten van deze wet, met een rapport komt. Dat rapport komt medio april. Ik wijs er echter op dat men dat onderzoek bepaald niet heeft gedaan op verzoek van deze regering. Dat is bepaald een eigen initiatief.

De heerPatijn

Wat betreft het samenvoegen van de onderdelen a en b van het eerste lid van artikel 34 en het op één lijn stellen met 33, het volgende. Wij hebben op dit punt zo nauw mogelijk de richtlijn gevolgd, omdat dit het punt is waarop de richtlijn en dus ook de wet een surplus geeft op de bestaande WPR.

Wat betreft het wijzen op het recht van verzet, geldt in het algemeen dat de verantwoordelijke de betrokkene moet wijzen op alle omstandigheden die nodig zijn om een behoorlijke en zorgvuldige verwerking te waarborgen. Wanneer dat kan, moet dus gewezen worden op het recht van verzet. Ik denk dat met name op Internet, wanneer een verantwoordelijke persoonsgegevens verzamelt en een icoon heeft waaronder hij een privacystatement heeft, die kan worden aangeklikt door betrokkene, er mededelingen over het recht van verzet kunnen worden gedaan. Dat kost geen extra moeite.

Over de inwerkingtreding van deze wet en het informeren van de betrokkene het volgende. Artikel 28 WPR zegt nu al dat betrokkenen moeten worden geïnformeerd, tenzij de betrokkene redelijkerwijs kan weten dat hij is geregistreerd. Wanneer een nieuwe wet in werking treedt, geldt dat voorzover betrokkene niet op de hoogte is – dat is dus de nieuwe norm van deze wet – er toch aanvullende informatie moet worden verstrekt.

De heerNicolaï(VVD)

Ik probeer het te begrijpen, als het gaat om het niet naleven van de verplichting om betrokkene vooraf te informeren. Als ik het goed begrijp, is dat een grond voor de onrechtmatigheid van de gegevensverwerking. Kan dat dan wel hersteld worden door toestemming achteraf van de betrokkene?

MinisterKorthals

Omdat dit vrij nauw luistert, zullen wij deze vraag schriftelijk beantwoorden.

MevrouwWagenaar(PvdA)

Ik vind niet dat ik een helder antwoord heb gekregen op mijn vraag over de artikelen 33 en 34. Artikel 33 gaat over vrijwillige verstrekking, terwijl artikel 34 minder bescherming geeft. Mijn vraag is of het dan niet zinvol zou zijn om het regime van artikel 33 qua tijdsbepaling, namelijk het inlichten van de betrokkene, te handhaven en ook op artikel 34 van toepassing te verklaren.

De heerPatijn

Deze bepaling was inderdaad, omdat daar de meeste administratieve lasten van komen, in Brussel het voorwerp van de inten- siefste onderhandelingen. Het resultaat daarvan is een regelgeving, zoals die nu voorligt. Wij hebben zo nauw mogelijk aangesloten bij de richtlijn, omdat elke wijziging daarop het risico in zich draagt dat er extra administratieve lasten voor het bedrijfsleven uit voortkomen. Wij hebben geprobeerd dat tegen te gaan.

MevrouwWagenaar(PvdA)

Ik ben ook tegen extra administratieve lasten voor het bedrijfsleven. De rechten van de betrokkene zijn hier echter ook aan de orde. De rechten van de betrokkene zijn in dit gedeelte van de wet minder bij een niet vrijwillige verstrekking dan bij een vrijwillige verstrekking van gegevens. En daar maak ik bezwaar tegen.

De heerPatijn

Het verschil tussen artikel 33 en artikel 34 is niet de vrijwillige of onvrijwillige verstrekking. Artikel 33 betreft de verkrijging van de gegevens bij de betrokkene, hetzij vrijwillig, hetzij onvrijwillig. Ik denk bijvoorbeeld aan de fiscus die verzoekt om onvrijwillige gegevensverkrijging bij de betrokkene. Artikel 34 betreft de verkrijging van gegevens buiten de betrokkene om. Ik noem bijvoorbeeld het verkrijgen van een adressenlijst voor marketing. Dan komt artikel 34 in beeld met de verschillende momenten van infor- meren. Dat vloeit voort uit de richtlijn.

MevrouwWagenaar(PvdA)

Als je er zelf bij bent, in welke vorm dan ook, is de bescherming groter dan wanneer je er niet bij bent. Dat vind ik een beetje gek.

MevrouwWagenaar(PvdA)

Dit is een belangrijk hoofdstuk. Ik heb een heel simpele vraag over artikel 35, lid 1. Dit artikel verplicht de verantwoordelijke betrokkene schriftelijk binnen vier weken mededeling te doen. Mogen wij onder de term "schriftelijk" in de huidige wet ook elektronische post verstaan? Ik denk even aan de administratieve lasten; anders doen wij het elektronisch berichtenverkeer heel wat aan.

Dan kom ik op artikel 36, lid 2. Moet de verzoeker niet te allen tijde in een dergelijk bericht op de mogelijkheden van verzet of beroep worden gewezen? Ik denk daarbij aan de wijze die ook in de Algemene wet bestuursrecht wordt gehanteerd. Ik neem overigens aan dat een bestuursorgaan dat hiertoe het besluit neemt, daartoe al verplicht is. Hoe gaan wij daar overigens in deze wet mee om? Scheiden zich hier de wegen van publieke en private instellingen of niet?

Artikel 39. De nota naar aanleiding van het verslag heeft ons teleurgesteld. De minister zegt daarin dat de vergoeding van de kosten die de verantwoordelijke kan verlangen van betrokkene, minstens ƒ 10 mag bedragen. De maatschappelijke werkelijkheid van gegevenshandel – dat is toch een bloeiende industrie – is kennelijk toch een beetje aan de minister voorbijgegaan. Wat hier gebeurt, is toch een beetje de omgekeerde wereld. Er wordt geld verdiend met gegevens, maar als een betrokkene precies wil weten wat met zijn gegevens gebeurt, moet hij daar nog meer dan ƒ 10 voor betalen ook. Dat vind ik toch redelijk ver gaan. Ik vraag mij af of wij daar niet nog eens goed naar moeten kijken. Stel dat een consument zijn best doet om een foute registratie van zijn gegevens te verbeteren – dat is in het belang van de consument, maar dat is ook in het belang van de verwerker van die gegevens – dan moet de consument daar nog voor betalen ook.

Artikel 41, lid 4. Hier komt wat helderheid voor de praktijk aan de dag. Wij zijn dan ook tevreden over de wijzigingen. Wij vragen ons af of het eenvoudige regime dat hier wordt voorgesteld en dat wij hebben voorgesteld in de schriftelijke behandeling, niet op een veel breder vlak moet gaan gelden. Het is heel simpel: mensen geven hun gegevens op aan een bedrijf of aan een instantie en die kruisen drie hokjes aan. Hokje a: je wilt verder informatie ontvangen van de organisatie, hokje b: je wilt informatie ontvangen van derden – dat impliceert dat de gegevens ook aan die derde worden verstrekt – en hokje c: je wilt al dan niet telefonisch worden benaderd. Nu stelt artikel 41 dat dit regime alleen zal gelden voor werving. Ik neem aan dat werving hier in de zin van reclame wordt bedoeld. Kan het verschil tussen werving en verwerking nog eens goed uitgelegd worden?

MevrouwScheltema-de Nie(D66)

Ik wil even stilstaan bij de artikelen 39 en 40. Evenals mevrouw Wagenaar hik ik toch wat aan tegen de vergoeding van kosten bij een aanvrage om inzage in de gegevensverwerking. In wiens belang is die gegevensverwerking? Waarom jaag je degene die daar inzage in wil hebben of daartegen in beroep komt, op kosten? Ik vind dat echt heel merkwaardig. Ik wil graag dat daar nog eens naar wordt gekeken.

Mijn tweede punt heeft betrekking op artikel 41. Van de zijde van de Nederlandse associatie voor direct marketing, enz. is een buitengemeen leesbaar artikel ontworpen voor artikel 41. Daarin wordt hetzelfde gezegd, maar wordt het, naar mijn gevoel, op een paar punten net iets harder en scherper geformuleerd. Ik weet niet of de minister het in zijn bezit heeft. Anders kan hij het uiteraard van mij krijgen. Ik zou graag willen dat hij daar nog eens naar keek. Daarbij zou hij ook moeten kijken naar een aspect dat een verandering behelst. In het vierde lid staat: "De verantwoordelijke die persoonsgegevens verwerkt voor het in het eerste lid bedoelde doel, draagt zorg dat, indien daartoe rechtstreeks informatie aan de betrokkene wordt toegezonden, deze daarbij telkens wordt gewezen op de mogelijkheid van het doen van verzet." Naar mijn mening is het woord "informatie" wel erg ruim. Dat kan van alles inhouden. Zou daar niet gewoon "persoonsgegevens" moeten staan? Ik geef toe dat dit wel een beetje een beperking is, maar ik denk dat "informatie" wat erg ruim is in vergelijking met de bedoeling van het artikel.

Ik vraag mij met betrekking tot artikel 36, lid 3, af waarom bij het herstel van fouten in een registratie de verantwoordelijke de zorg draagt dat een beslissing tot verbetering, verwijdering, enz. zo spoedig mogelijk wordt uitgevoerd. Ik vind het gebruik van "zo spoedig mogelijk" in een wet altijd vervelend. Wat is spoedig? Waarom wordt daar geen termijn genoemd? Waarom staat er niet "ten minste binnen een maand" of iets dergelijks? Soms kan het natuurlijk veel sneller. Dat "zo spoedig mogelijk" mag niet uitgerekt worden.

De heerNicolaï(VVD)

Ik heb alleen een opmerking over artikel 41, lid 4. Ik heb ongeveer de tegenovergestelde vraag als mevrouw Wagenaar. Als ik het goed zie, dan is juist dat telkens wijzen op de mogelijkheid van verzet geïntroduceerd na de nota van wijziging. Dat wordt door de PvdA toegejuicht. Ik kan mij daar niet zo'n duidelijk beeld van vormen. Moet het dan op elk bankafschrift? Ik probeer een beetje concreet beeld te krijgen. Wat betekent het dus? Een tweede vraag luidt: moet dat eigenlijk wel? Het uitgangspunt van de regering was immers dat er niet meer zou worden gedaan dan de richtlijn. Moet dit dan conform de richtlijn?

MevrouwHalsema(GroenLinks)

Ik heb een vraag over artikel 42, lid 1. Daarin staat: "Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden." Dat vind ik een wat wonderlijke formulering. Naar mijn idee zijn er aan een besluit altijd rechtsgevolgen verbonden. Hoe kan iemand zich daaraan onttrekken? Wat betekent het dus als je daaraan onderworpen wordt?

MinisterKorthals

Voorzitter! Ik wil mevrouw Wagenaar allereerst bevestigen dat ook elektronisch verkeer onder het in artikel 35, lid 1, genoemde "schriftelijk" valt. Zij heeft voorts gesproken over artikel 36, lid 2, waarin staat dat de verzoeker wordt gewezen op verzet. Krachtens de Algemene wet bestuursrecht moet de overheid iemand wijzen op de mogelijkheid van verzet. Daar ligt dus een verschil tussen de publieke sector en de privaatrechtelijke sector. Nu is de vraag: moet je dat daar dan ook niet wettelijk verplicht stellen? Ik denk dat het de bedoeling was om dat nu primair aan de zelfregulering over te laten.

Met betrekking tot artikel 39 wordt gesproken over minstens ƒ 10. Over het algemeen kunnen wij vaststellen dat het veel geld met zich brengt. Het is ook zo dat de vergoeding wordt teruggegeven als de gegevens fout zijn.

MevrouwWagenaar(PvdA)

De minister zegt dat het om veel geld gaat; ik neem aan dat hij het daarbij heeft over het betrokken bedrijf. Juist als dat tientje zou worden verhoogd tot ƒ 30 of ƒ 40, is dat ook heel veel geld voor mensen met een minimuminkomen, die hun weg vaak door een oerwoud van regelingen en instellingen moeten vinden.

MinisterKorthals

Dat is waar, maar dit wordt verder geregeld bij alge- mene maatregel van bestuur. Deze zaak is dus niet helemaal vrij vast te stellen, maar er staat wel dat het minstens ƒ 10 is. Het kan meer zijn, maar dat wordt vastgesteld bij AMvB.

MevrouwWagenaar(PvdA)

We kunnen hier toch afspreken dat we het bij die ƒ 10 laten?

MinisterKorthals

Voor sommige sectoren – volgens mij met name de medische sector, maar dat weet de heer Patijn beter dan ik – gaat het om vele tientallen guldens.

MevrouwWagenaar(PvdA)

Patiëntenorganisaties hebben ons juist vandaag nog eens gezegd dat het mensen soms ƒ 53 kost om hun medisch dossier in te zien. Dat is heel veel geld.

MevrouwScheltema-de Nie(D66)

Eigenlijk te veel geld.

MinisterKorthals

Mag ik het woord geven aan de heer Patijn?

De heerPatijn

De bestaande WPR is op dit punt hetzelfde, want daarin staat dat het bij AMvB moet. Daarin stond altijd die ƒ 10, maar op een gegeven moment is er een brief gekomen van de Registratiekamer, waarin stond dat de bestaande WPR onredelijk uitwerkte voor de medische sector omdat soms echt disproportionele kosten moeten worden gemaakt. Op advies van de Registratiekamer hebben wij de AMvB daarom gedifferentieerd in die zin dat – binnen de randvoorwaarden van die AMvB – de kosten die in rekening kunnen worden gebracht, in bepaalde gevallen hoger zijn. Er is dus een balans tussen het nadeel voor de verantwoordelijke, die soms kosten moet maken, en het belang van de geregistreerde om zijn recht op kennisneming uit te oefenen.

MinisterKorthals

Voorzitter! De opmerking van mevrouw Wagenaar dat zij tevreden is over de wijziging van artikel 41, lid 4, incasseer ik met veel dank. De heer Patijn zal ingaan op de betekenis van "werving".

Met betrekking tot artikel 41, lid 4, heeft de Nederlandse associatie voor direct marketing een zeer leesbaar artikel aan de Kamer gestuurd. Ik krijg nu net iets binnen en ik denk dat dat het is; dat moeten we op een later tijdstip van een schriftelijke reactie voorzien.

MevrouwScheltema-de Nie(D66)

Ik heb daar één opmerking over. Is het begrip "informatie" ruimer dan het begrip "persoonsgegevens"? Het lijkt mij van wel. De concrete vraag was of dat bedoeld is of juist niet.

MinisterKorthals

Het gaat over de informatie zoals bedoeld in artikel 33, lid 1.

Mevrouw Scheltema heeft gevraagd naar "zo spoedig mogelijk" en heeft liever vaste termijnen. Dit verschilt echter van branche tot branche en dit laten we juist liever aan de zelf- regulering over.

De andere vragen zijn voor de heer Patijn.

De heerPatijn

Mevrouw Halsema heeft gevraagd of elk besluit niet een besluit met rechtsgevolg is. Dat is niet het geval. Als een bedrijf besluit om een bepaalde geselecteerde groep klanten te benaderen met reclame, is er sprake van verwerking van persoonsgegevens met het oog op het toezenden van reclame, zonder dat er sprake is van een besluit met rechtsgevolgen. Artikel 42 is dan dus niet van toepassing.

MevrouwHalsema(GroenLinks)

Ik heb daarbij nog een andere vraag gesteld. Als een besluit rechtsgevolgen heeft, is de betrokkene daar toch altijd aan onderworpen en dan kan hij zich daar toch niet van distantiëren?

De heerPatijn

Dat is juist, maar artikel 42 bepaalt dat een dergelijk besluit niet mag worden genomen uitsluitend op grond van geautomatiseerde verwerking van persoonsgegevens. Dat betekent dus dat er bij de voorbereiding van dergelijke besluiten altijd menselijke tussenkomst moet zijn.

De heerNicolaï(VVD)

Ik heb nog een concrete vraag over artikel 41, vierde lid, namelijk: wat moet ik mij voorstellen bij het telkens wijzen op de mogelijkheid tot verzet? Gaat dit verder dan nodig is volgens de richtlijn?

De heerPatijn

Als reclame wordt toegezonden, hetzij door middel van papier, dan wel door middel van e-mail, is dat een bericht van de verantwoordelijke richting betrokkene. In het kader van die communicatie moet dan de betrokkene worden gewezen op de mogelijkheid om bezwaar te maken. Dat geldt niet voor ieder bankafschrift, alleen voor iedere communicatie die het toezenden van reclame betreft.

De heerNicolaï(VVD)

Gaat dit verder dan vereist in de richtlijn?

De heerPatijn

De richtlijn eist passende waarborgen, of woorden van die strekking. Hier gaat het om de invulling van de eis in de richtlijn dat het passend geregeld moet worden.

Dan is er nog de vraag of werven en verwerking verschillende dingen zijn. Het gaat om de verwerking van persoonsgegevens voor een gerechtvaardigd doel, en dat doel is hier het toezenden van reclame. De wet noemt dit "werven voor een commercieel doel".

De heerNicolaï(VVD)

Bij artikel 43 heb ik de vraag, hoe getoetst wordt of rechtmatig gebruik is gemaakt van de hier genoemde uitzondering. De verantwoordelijke kan dat uitmaken, maar wordt dat nog getoetst of moet het gemeld worden?

MinisterKorthals

Nee, het hoeft niet gemeld te worden.

De heerPatijn

Het is een materiële norm die in eerste aanleg door de verantwoordelijke moet worden geïnterpreteerd en die vervolgens kan worden gecontroleerd door de Registratiekamer en uiteindelijk door de rechter. Deze vorm van gegevensverwerking hoeft niet gemeld te worden aan de Registratiekamer.

MevrouwWagenaar(PvdA)

Voorzitter! Bij nota van wijziging is artikel 48 geschrapt. Dat vind ik bijzonder jammer en wat kort door de bocht. Zeker de eerste vijf jaar – dan gaan wij de wet evalueren – moet er toch een instantie zijn die de expertise en de jurisprudentie bijhoudt en die overzicht houdt van de toepassing van de wet in ons land? Dan is het toch onontbeerlijk dat ergens uitspraken verzameld worden? Het verzamelen van die uitspraken zal echt niet zoveel belasting geven. Het lijkt mij niet verstandig om nu met deze nieuwe wet te beginnen en vervolgens nergens te verzamelen wat er in het land met deze wet gebeurt.

MevrouwScheltema-de Nie(D66)

Voorzitter! Ik wil even stilstaan bij artikel 47, waar de rechten van belanghebbenden op beroep worden geformuleerd. Dit is een wel zeer ingewikkeld geheel geworden. Een belanghebbende kan zich tot het college bescherming persoonsgegevens wenden met de vraag om te adviseren of te bemiddelen. Daarna is er in een later stadium de mogelijkheid van geschillenbeslechting, dan wel een gang naar de rechter. Verder kan tijdens de beroepsprocedure de instantie waar de belanghebbende zich toe heeft gewend, niet zijnde het college, bij dat college nog eens informatie of advies inwinnen. Dat kan inhouden dat belanghebbende eerst advies aan het college vraagt en vervolgens naar de geschilbeslechter gaat, waarna de geschilbeslechter weer advies bij het college inwint. Heb ik dat zo goed gelezen en is dat inderdaad de bedoeling, of zie ik dat verkeerd door de complexiteit van dit geheel?

MinisterKorthals

Voorzitter! Mevrouw Wagenaar heeft gevraagd waarom artikel 48 wordt geschrapt. De eerste reden is, dat de richtlijn dit artikel niet echt eist. Het brengt natuurlijk een geweldige werklast met zich voor griffies. De tweede reden is, dat wij erop vertrouwen dat de Registratiekamer, of laat ik liever zeggen het CBP, uit zichzelf de ontwikkelingen zal volgen, ook zonder dat dit artikel er is.

De heerPatijn

Mevrouw Scheltema heeft gelijk, dat de Registratiekamer in elke fase kan worden benaderd. Om tegemoet te komen aan het verlangen tot zelfregulering is bij nota van wijziging een aparte procedure opgenomen voor een bepaalde sector om zelf conflicten op te lossen in het kader van de gedragscode. De Registratiekamer komt daarna. Het geheel is wel gebonden aan bepaalde termijnen. De klok loopt altijd. De termijnen lopen op een goed moment af. Binnen die termijnen kan er inderdaad sprake zijn van een heen en weer gaan naar Registratiekamer, geschillencommissie ingevolge de gedragscode en dergelijke. Dat is een uitvloeisel van de keuze om veel ruimte te geven aan zelfregulering.

MevrouwScheltema-de Nie(D66)

Dat begrijp ik ook wel enigszins, maar ik vind het een beetje merkwaardig dat de belanghebbende advies krijgt van de Registratiekamer – of nu het CBP – maar als hij daarvan ongelijk krijgt naar de geschilbeslechter gaat, die dan weer eens aan het college bescherming persoonsgegevens gaat vragen of betrokkene ongelijk heeft of niet. Zou niet moeten worden geregeld dat het college dat advies aan de geschilbeslechter doorgeeft, zodat er niet twee keer sprake is van een te biecht gaan bij het college? Ik vind het een beetje merkwaardig. Kunt u daar nog eens over nadenken? Het is een ingewikkeld verhaal, maar ik vind het dubbelop.

De heerPatijn

Ik zou mij heel goed kunnen voorstellen dat dit een punt is waarvan wij in de praktijk bekijken hoe het loopt en dat de interactie tussen Registratiekamer en geschillenbeslechtingscommissies op grond van gedragscodes, bijzondere aandacht krijgt in de evaluatie die aan het slot van de wet is toegezegd. Het kan natuurlijk ook zijn dat dit soort aspecten in de gedragscode zelf nader worden geregeld in het kader van de advisering van het CBP over de gedragscode.

MevrouwWagenaar(PvdA)

Voorzitter! Ik heb er heel veel opmerkingen bij, maar zal mijn best doen mij te beperken.

In de nota van wijziging worden de leden 3 en 4 van artikel 56 aangepast. In de toelichting op de nota van wijziging wordt ingegaan op het functioneren van de huidige Registratiekamer. Ik vind dat wij het daar nu niet over moeten hebben, omdat het bij de plenaire behandeling hoort. Tegelijkertijd ligt natuurlijk – en daarom wil ik het wel even noemen – naar mijn gevoel het functioneren van de huidige Registratiekamer voor een deel ten grondslag aan de nota van wijziging. Ik zal er dus bij de plenaire behandeling wat meer op doorgaan, maar ik wil wel nu opmerken dat datgene wat wij hier vandaag en de komende weken vastleggen in een wet, los moet staan van een huidig functioneren. Ik wil ook opmerken dat toezicht een logisch sluitstuk vormt van zelfregulering, dat toezicht transparant moet zijn en ook vooral toegan- kelijk moet zijn.

Dan verwijs ik naar het commentaar van de Nederlandse Vereniging van Banken waarin over de Registratiekamer wordt opgemerkt: de Registratiekamer – in de toekomst dus dat college – adviseert, toetst of regels worden nageleefd, onderzoekt, vaardigt beschikkingen uit en legt boetes op, iets wat de minister er nu uit heeft gehaald. Ook wij vinden dat allemaal wat veel en vragen ons af of deze wet niet een mooie kapstok is om een scheiding van die verantwoordelijkheden aan op te hangen. Want die verantwoordelijkheden moeten er wel zijn in het kader van een wet als deze die iedere Nederlander aangaat. De Registratiekamer zelf heeft ook al te kennen gegeven wat minder als een eerstelijnsvoorziening te willen fungeren. Ik zou zelf bijvoorbeeld willen pleiten voor een eerstelijnsvoorziening in de vorm van een landelijk klachtenloket. Immers, het lijkt mij voor de burger ondoenlijk om voor iedere sector te onderzoeken of hij bij het college van toezicht moet zijn of bij de functionaris voor de gegevensbescherming, want niet iedere consument zal iedere functionaris voor de gegevensverwerking weten te vinden. In dat kader verwijs ik toch even naar de geschillencommissies. Wij kennen allemaal de Geschillencommissie Reizen, maar als iemand bij de drogist een product koopt dat hem je niet bevalt, weet hij de geschillencommissie voor de drogisterij echt niet onmiddellijk te vinden. Wat dat betreft zou het goed zijn om een soort loket te hebben dat fungeert als aanspreekpunt en doorgeefluik voor klachten. Daar zouden ook de aard en de omvang van die klachten kunnen worden geregistreerd. Wij kunnen bij de evaluatie van de wet dan daarnaar kijken.

Dan kom ik bij artikel 60, lid 1. De nota van wijziging voegt een nieuw lid 1a in. Ik ben daar erg blij mee, want dit is een nuttige toevoeging, analoog ook aan de werkwijze van bijvoorbeeld de Algemene Rekenkamer. Ik wil er wel op wijzen dat deze werkwijze nooit openbaarmaking van de vinding in de weg mag staan. Ik zou ook aan de minister willen vragen of hij het reëel vindt om als er op verzoek van belanghebbende een onderzoek wordt voorgesteld, zoals in artikel 1, lid 60, deze belanghebbende tegelijkertijd van de voorlopige bevindingen in kennis te stellen. Ik vind dat essentieel.

MevrouwScheltema-de Nie(D66)

Voorzitter! In artikel 59, tweede lid, wordt bepaald dat het college de nakoming van de informatieverplichting aan de minister kan opschorten. Nu kunnen daarvoor best goede redenen bestaan, maar ik aarzel sterk bij een wettelijke bevoegdheid van het college. De minister is verantwoordelijk naar de Kamer toe, ook over zaken, die, zij het op afstand geplaatst, het college aangaan en in ieder geval ook terzake van de uitvoering van deze Wet bescherming persoonsgegevens. Ik vind het merkwaardig dat het college tegen de minister kan zeggen dat het de informatie die hij vraagt voorlopig niet zal geven, dat het daartoe wettelijk het recht heeft en dat de minister maar moet wachten tot het beter uitkomt. Natuurlijk kan het college zich daarop beroepen, maar dan zonder wettelijk recht. De minister is een redelijk man, zo ken ik hem. Het gaat mij echt te ver om dit hier wettelijk vast te leggen.

De heerRietkerk(CDA)

Ik heb twee vragen. Mijn eerste vraag betreft de klachtenregelingen. Heeft de minister zicht op de klachten van de afgelopen jaren, ook per sector? Kan hij daarover nu iets zeggen of wil hij hierop schriftelijk ingaan? Mijn tweede vraag heb ik ook al in de algemene ronde gesteld, maar hij is niet beantwoord. Ik heb gevraagd wat er gebeurt als je trias politica loslaat op de taken van het nieuwe college met wetgevende taken, toezichthoudende taken en eventueel sanctionerende taken.

De heerNicolaï(VVD)

Enerzijds is de minister verantwoordelijk voor een goede taakuitoefening van het CBP, maar anderzijds is er de onafhankelijke toezichthoudende functie van het CBP. Hoe verhouden die twee zich? Ik vraag dit, omdat een deel van het werk van het college zich juist weer op de overheid richt.

Als het gaat om die onafhankelijkheid, is ook de onafhankelijkheid aan de orde van de verschillende taken die door het college worden uitgeoefend. Je kunt hierover verschillend denken en verschillende redeneringen volgen, maar het minste is dat dit intern in het college scherp wordt gescheiden. Wat is daarover het oordeel van de minister? Welk inzicht heeft hij daarin?

Waarom is er eigenlijk voor gekozen de statuten van het college redelijk precies bij wet te regelen? Kan dat niet bij lagere wetgeving?

MevrouwHalsema(GroenLinks)

Ik heb nog een opmerking over artikel 54. In de nota van wijziging wordt hierin een forse verandering aan- gebracht: hij wordt ondergebracht bij de Wet Nationale ombudsman. Ik moet zeggen dat ik de toelichting op pagina 9 van de nota van wijziging nogal summier vind, omdat er alleen wordt verwezen naar de ontwikkeling in het denken over de Nationale ombudsman. Ik zou graag een wat meer inhoudelijke motivering van de minister krijgen.

MinisterKorthals

Voorzitter! Mevrouw Wagenaar stipte het belangrijk punt aan dat er geweldig veel in handen is van het CBP. Ook anderen hebben daarover gesproken. In de eerste plaats de advisering, het toezicht, de naleving, de handhaving en aanvankelijk zelfs het opleggen van boetes. Zij wil bij de plenaire behandeling terugkomen op het college, maar wijst erop dat eventuele ontevredenheid over het functioneren van het college, geen reden mag zijn om de inhoud van de wet te veranderen, om de doodeenvoudige reden dat men dat niet allemaal wil laten aan het college. Daar ben ik het volledig mee eens. Dat is trouwens nooit de bedoeling van deze nota van wijziging geweest. Ik vond het onjuist dat het college zoveel taken in handen had. Vandaar dat bij nota van wijziging de bevoegdheid tot het opleggen van bestuurlijke boetes bij het college is weggehaald. De onderliggende gedachte hierbij was dat in het kader van de Algemene wet bestuursrecht nog uitgebreid over de bestuurlijke boete van gedachten zal worden gewisseld. Bovendien zal na verloop van tijd de wet worden geëvalueerd. Dan kan worden bekeken in hoeverre behoefte is aan het opleggen van bestuurlijke boetes. Nu kan men natuurlijk altijd strafrechtelijke actie ondernemen.

Mevrouw Wagenaar had behoefte aan een eerstelijnsvoorziening, aan een landelijk klachtenloket. Zij wees erop dat veel mensen niet op de hoogte zijn van het bestaan van de verschillende geschillencommissies; kennelijk kent men die van het reiswezen wel, maar die van het drogisterijwezen niet. Ik wijs in dit verband op artikel 33, dat in het kader van informatievoorziening en -verstrekking mogelijkheden biedt.

Ik geloof dat mevrouw Scheltema vroeg waarom het college de wettelijke bevoegdheid krijgt om de informatieverstrekking aan de minister op te schorten. De reden hiervoor is dat de minister zelf het voorwerp van onderzoek kan zijn. In dergelijke gevallen is het natuurlijk een goede zaak dat de informatieverplichting wordt opgeschort.

MevrouwScheltema-de Nie(D66)

Ik denk dat er een misverstand is. Artikel 59 betreft het verschaffen van informatie aan de minister, die hij nodig heeft voor het uitoefenen van zijn taak. Het gaat over alle zaken het college betreffende. Het college kan het nakomen van die verplichting opschorten, vanwege een lopend onderzoek, niet een onderzoek betreffende de minister, maar welk lopend onderzoek dan ook. Ik vind dat eerlijk gezegd ver gaan. Als het zo beperkt is als de minister zegt, heb ik er geen probleem mee.

MinisterKorthals

In ieder geval is het bedoeld zoals ik het zojuist uiteenzette. Opschorting kan alleen plaatsvinden voorzover dat nodig is, alleen wanneer er een onderzoek zou zijn tegen de minister zelf.

MevrouwScheltema-de Nie(D66)

Dat moet er dan toch staan? Het staat er echt niet.

MinisterKorthals

Wij hebben thans geen inzicht in het aantal klachten per sector, maar het is wel mogelijk om daar achter te komen, wellicht uit de jaarverslagen van de Registratiekamer. Als wij dat overzicht kunnen krijgen, doen wij dat de Kamer schriftelijk toekomen.

De heer Nicolaï vroeg hoe de verhouding tussen de Registratiekamer en de minister is. In de concrete gevallen, en dit is in de richtlijn vastgelegd, moet de Registratiekamer of het CBP onafhankelijk zijn. Het eigen beleid moet in vrijheid kunnen worden vastgesteld. Beheersmatig blijft de minister verantwoordelijk voor alles wat gebeurt.

In het bestuursreglement gaat het mede om toezicht op de overheid. Zaken van dermate groot belang moeten bij wet geregeld worden.

De heerPatijn

Er is nog een vraag gesteld over artikel 60, eerste lid. Het is denkbaar dat zich gevallen voordoen waarbij de voorlopige bevindingen aan de klager of betrokkene kunnen worden mede- gedeeld. Ik kan echter niet uitsluiten dat zich situaties voordoen waarbij de voorlopige bevindingen nog niet aan de betrokkene worden medegedeeld maar aan de verantwoordelijke worden getoond opdat deze een reactie daarop kan geven, voordat die aan anderen wordt getoond. Op dit punt moeten wij het laten afhangen van de concrete omstandigheden van het geval.

MevrouwWagenaar(PvdA)

U schetst de situatie, maar hebt u ook argumenten?

De heerPatijn

Ik kan mij een situatie voorstellen waarin het unfair zou zijn tegenover een verantwoordelijke over wie wordt geklaagd dat voorlopige bevindingen, waarop hij nog niet heeft kunnen reageren, bij voorbaat aan de betrokkene worden gegeven.

Over artikel 54 merk ik op dat er een spanningsveld bestaat tussen ontwikkelingen in ons nationaal recht met parallellen tussen de Nationale ombudsman en het CBP. Wel moet het CBP in het internationale recht passen en in wat de richtlijn daarover voorschrijft. De richtlijn schrijft een aantal bevoegdheden toe aan de toezichthoudende instantie waaraan wij niet kunnen ontkomen. Dit punt zal in de evaluatie die in artikel 80 is toegezegd verder aan de orde moeten komen.

MevrouwWagenaar(PvdA)

Ik heb veel vragen over de functionaris. De richtlijn biedt de mogelijkheid voor een tweesporenbeleid. Dat is goed, omdat er ook mogelijkheden bestaan voor zelfregulering. Om wille van de rechten van de consument dient echter de positie van de functionaris met duidelijke waarborgen te worden omkleed. Op dit moment is de situatie voor mij nog lang niet doorzichtig genoeg.

Voor de betrokkene kan er grote onduidelijkheid ontstaan als hij niet weet tot wie hij zich moet wenden. Ik vraag mij af of er enige getraptheid in de wet moet worden aangebracht. De verantwoordelijke is namelijk volgens de wet niet verplicht om het advies van de functionaris op te volgen en de functionaris is op zijn beurt weer niet verplicht om onregelmatigheden te melden aan de opvolger van de Registratiekamer. Hoe zijn in deze constructie de belangen van de betrokkene gewaarborgd? Wanneer weet het CBP wanneer het moet ingrijpen als die functionaris niet verplicht is om onregelmatigheden te melden? Dit betekent dat een betrokkene eerst met zo'n functionaris in de slag moet. Hij krijgt van de functionaris, na een onderzoek, nul op het rekest en dan moet de betrokkene vervol- gens een nieuw klachtentraject bij de Registratiekamer afleggen.

Het is ook zinvol als de functionaris, die over bestanden beschikt, aan het CBP meldt welke bestanden dit zijn. Het College bescherming persoonsgegevens is openbaar. De werkzaamheden van de andere functionaris zijn echter geheim. Ik vind het heel gek dat een deel van de wet open- baar is, namelijk onder het CBP valt, maar dat men kan kiezen of men uitvoering van de wet wil als men aan zelfregulering doet door dingen aan de openbaarheid te onttrekken en niet aan te melden bij de Registratiekamer. De functionaris voor de gegevensbescherming functioneert in principe niet in het openbaar.

Het lijkt ons zinnig om de suggestie van de FNV te volgen. De onafhankelijkheid van de functionaris moet in de wet worden vastgelegd. Hij moet bijvoorbeeld dezelfde rechtsbescherming krijgen als een bedrijfsarts die in dienst is van de interne Arbodienst. Wij overwegen amendering op dit punt. De functionaris moet bijvoorbeeld dezelfde bescherming krijgen als in de Wet op de ondernemingsraden. De onafhankelijkheid moet gewaarborgd zijn.

Artikel 64, lid 3, leidt tot verwarring. Hoe kun je een private functionaris bevoegdheden toekennen analoog aan bestuursrechtelijke, dus openbare bepalingen?

MevrouwHalsema(GroenLinks)

Voorzitter! Ook ik hoor graag een reactie op het voorstel van de FNV. Ik heb zorgen over het laten vervallen van de rechtsbescherming. De regering geeft als enig argument dat rechtsbescherming zoals omschreven in de wet, onwenselijk is. Verdere argumentatie ontbreekt. Voor mij is de verhouding tussen de functionaris en het college nog onduidelijk. Het zou goed zijn als de minister daarop nog wat dieper zou ingaan.

MevrouwScheltema-de Nie(D66)

Voorzitter! Ik onderschrijf de eerste twee opmerkingen van mevrouw Wagenaar. Ook ik wens een versterking van de positie van de functionaris en ook ik heb mij verbaasd over de mate van geheim- houding die ten aanzien van de functionaris in het wetsvoorstel is opgenomen.

In artikel 64, vierde lid, komt een merkwaardige bepaling voor: "In gevallen van twijfel overlegt hij met de Registratiekamer." Het systeem is zodanig, dat functionarissen te allen tijde met het college in overleg kunnen treden. Ik vind het merkwaardig om dit te beperken tot gevallen van twijfel. Het lijkt net of het anders niet mag. Eigenlijk denk ik dat deze zin gewoon geschrapt moet worden. Het spreekt vanzelf.

MinisterKorthals

Voorzitter! Over de positie van de functionaris kun je in zijn algemeenheid het volgende zeggen: hoe meer bevoegdheden en waarborgen aan de functionaris worden gegeven, hoe minder een verantwoordelijke geneigd zal zijn, er één aan te stellen. Dat is het basis- punt.

Er is ook gevraagd of de bestanden bij de functionarissen geheim zijn. Het antwoord daarop is "nee". De functionaris moet worden gemeld bij het CBP. De bestanden die hij heeft – welke vormen van gegevensverwerking voert de verantwoordelijke – zijn openbaar. De functionaris moet desgevraagd die gegevens doorgeven. Met andere woorden: er wordt niets geheimzinnigs gedaan. Dat is een verkeerd beeld van de positie van de functionarissen. Dat laat onverlet dat belanghebbenden zich in elk geval ook rechtstreeks tot het CBP kunnen wenden. Het is niet noodzakelijk om je te wenden tot de functionaris.

Ik meende bij mevrouw Wagenaar te beluisteren dat zij overweegt een amendement in te dienen tot versterking van de rechtspositie van de functionarissen. Dat is een politieke vraag die bij de plenaire behandeling aan de orde zal komen. Ik kan in dit verband al zeggen dat ik uit allerlei overwegingen geen voorstander ben van zo'n amendement. Ik zal dat amendement – dat kondig ik bij dezen aan – dus niet toejuichen.

Mevrouw Scheltema begreep niet waarom in artikel 64, vierde lid, wordt gesteld dat de functionaris in gevallen van twijfel met het college overlegt. De functionaris mag dat inderdaad altijd doen, maar hier gaat het om een wettelijke verplichting. Wanneer de functionaris twijfelt, is hij verplicht met het college in overleg te treden. Zo moet dit worden gelezen.

De heerPatijn

De functionaris moet worden gemeld bij het CBP. Iedereen die wil weten of in een bepaalde branche of een bepaald bedrijf een functionaris werkt, kan dat bij het CBP navragen. De functionaris is op grond van artikel 30, derde lid, verplicht mededeling te doen over alle verwerkingen die een verantwoordelijke heeft. Er kunnen bij verantwoordelijken dus geen geheime registraties worden gevoerd.

De heerNicolaï(VVD)

Ik heb nog een vraag over de bestuursdwang. Hoe verhoudt zich dat tot de privaatrechtelijke verhouding? Stel dat een overeenkomst om persoonsgegevens te verwerken naar het oordeel van het college in strijd is met de WBP en dat bestuursdwang wordt uitgeoefend. Moet zo'n overeenkomst dan nog apart worden vernietigd, of is dat met de bestuursdwang al gebeurd? Dat is mij niet duidelijk.

MinisterKorthals

Aan onze peinzende gezichten ziet u dat wij de voorkeur geven aan een schriftelijk antwoord.

MevrouwHalsema(GroenLinks)

Voorzitter! De minister heeft al toegezegd schriftelijk te zullen ingaan op de keuze om de bestuurlijke boeten te schrappen.

MinisterKorthals

Ik heb dat al gedaan bij de nota van wijziging. Maar u zou dat graag nog wat uitvoeriger zien.

MevrouwHalsema(GroenLinks)

Ja. Mijn verzoek is om daarbij ook in te gaan op het commentaar van de Registratiekamer daarop.

MinisterKorthals

Goed.

De heerNicolaï(VVD)

Ik wil er nog kort op ingaan, zonder de principiële discussie nu te voeren. Een van de overwegingen voor het behoud van de bestuurlijke boeten bij het college is dat er strafrechtelijk zo weinig gebeurt. Dat kan naar mijn oordeel op zichzelf geen reden zijn, want dat moet je strafrechtelijk bekijken. Ik wil dan wel graag van de minister vernemen, wellicht schriftelijk, hoe ervoor wordt gezorgd dat politie en justitie daaraan voldoende ruimte en prioriteit toekennen.

MinisterKorthals

Dit is natuurlijk een heel terechte vraag, die eigenlijk ten grondslag ligt aan de hele wijziging in ons beleid om meer tot bestuurlijke boetes over te gaan. Mijn gedachte was altijd om eerst de bestuurlijke boete in het kader van de AWB te bespreken, en dan pas tot bestuurlijke boete over te gaan. Ik begrijp dat dat in ieder geval mevrouw Wagenaar te lang duurt. Dit bespreken wij dus plenair.

MevrouwWagenaar(PvdA)

Voorzitter! Ik heb een prangende vraag over artikel 76, lid 1. Het gaat hierbij om een passend beschermingsniveau. Als je kijkt naar de toename van het dataverkeer via Internet en andere computernetwerken, hoe denkt de minister dan zo'n passend beschermingsniveau te kunnen waarborgen? Soms is het zelfs niet meer duidelijk, naar welk land gegevens toegaan, of via welk land gegevens lopen als je het hebt over het verkeer via Internet. De privacybescherming op Internet kent een internationale dimensie. Heeft het ministerie al zicht op de vraag, of er zoekmachines voor Internet in ontwikkeling zijn, waarmee misbruik van gegevensverwerking op Internet makkelijker kan worden getraceerd? Ik kan mij voorstellen dat daarnaar op Europees niveau in Brussel ook eens wordt gekeken.

De heerNicolaï(VVD)

Voorzitter! Algemeen geformuleerd, en zich misschien lenend voor schriftelijke beantwoording: als de rechtsbescherming in Europa noemenswaard anders zou zijn dan in de Verenigde Staten, zou dat zeker bij Internet grote gevolgen kunnen hebben in allerlei opzichten, niet alleen in het verkeer, maar ook in concurrentieopzichten. Ik vind dat een heel belangrijk aspect.

MevrouwScheltema-de Nie(D66)

Voorzitter! Ik begreep dat er in Europees verband op dit punt wordt doorgedacht. Kan daarop, desnoods schriftelijk, iets dieper worden ingegaan?

De heerPatijn

In de landen waarin de richtlijn inmiddels is geïmplementeerd, is het punt van Internet en het gegevensverkeer met derde landen uitdrukkelijk aan de orde geweest. Het is inderdaad een prangend punt, dat in het lopend overleg tussen Europese Commissie en de staats- secretaris voor economische zaken van de Verenigde Staten uitdrukkelijk aan de orde is. Er zijn verschillende oplossingen in beeld, en de verwachting is dat in de komende maanden overeenstemming zal worden bereikt met de Verenigde Staten, dat de VS binnen bepaalde randvoorwaarden voldoet aan een passend niveau van gegevensbescherming, en dat in dat geval de elektronische handel via Internet met de Verenigde Staten kan doorlopen. Komt die algemene overeenstemming met de VS er niet, dan zal moeten worden teruggevallen op artikel 77, waarbij in individuele gevallen van gegevensverwerking aan bepaalde eisen moet worden voldaan.

Het is niet zozeer aan de Nederlandse overheid of de Europese Unie om technische machines te ontwikkelen die de privacy beschermen. Het is veeleer de verwachting, dat de markt in zal spelen op het door de geregistreerden zelf zoeken naar privacybeschermende technieken, zodat er bedrijven die software verkopen, zullen proberen geld te verdienen met privacybeschermende programma's en zoekprogramma's die zo min mogelijk persoonsgegevens eisen. De markt zal dus op dit punt in de behoefte aan privacy van burgers voorzien. Dit soort commerciële ontwikkelingen wordt natuurlijk wel van overheidswege gestimuleerd.

Internet is natuurlijk een voorwerp van primaire aandacht. In de OESO, waar de VS, Japan en Canada bij aanwezig zijn, wordt gesproken over de inhoud van de privacystatement: wanneer een website op Internet wordt getoond, komt er een icoontje met een privacystatement, en wat daarvan de inhoud moet zijn. Daarover is een vergaande mate van overeenstemming. Binnen de Raad van Europa zijn afgelopen januari door het comité van ministers richtlijnen voor gebruikers en internet-serviceproviders vastgesteld voor privacy op Internet, met aanbevelingen. De Nederlandse inbreng is voorbereid in overleg met de Vereniging van internet-serviceproviders in Nederland, die instemt met de richtlijnen van de Raad van Europa die er nu zijn. Op het niveau van de Europese Unie wijs ik op de werkgroep van nationale toezichthouders die op grond van de richtlijn bijeenkomt. De toepassing van de richtlijn op Internet is een aanbeveling die aan de orde komt in het gremium waar de overheden bij elkaar komen.

MevrouwWagenaar(PvdA)

Voorzitter! Het gaat over artikel 79. Ik zal proberen om die vraag niet juridisch te stellen. Ik hoop dat ik dan een helder antwoord krijg. In hoeverre is het overgangsrecht van toepassing op al die plekken waar sprake is van registratie? In hoeverre moet opnieuw aan mensen om toestemming worden gevraagd? Hoe gaat het met al die plekken waar mensen nu staan geregistreerd? Is het nodig om de overgangstermijn van een halfjaar naar een jaar op te rekken? Iedereen die met de wet te maken krijgt, weet dat de wet eraan komt!

De heerNicolaï(VVD)

Voorzitter! Een vraag over de evaluatie en de MDW-toets. Ik wijs ook op de eerste resultaten van de commissie-Slechte. Ik vraag daar in het verband van de evaluatie nu al aandacht voor. Is het mogelijk om daar tussentijds iets mee te doen? Kijkend naar die vijf jaar denkt de minister misschien aan een kortere termijn.

MinisterKorthals

Voorzitter! De verwerkingen die hebben plaatsgevonden, hoeven niet te worden meegedeeld, maar er is wel een informatieplicht volgens de nieuwe wet, in die zin dat men geregistreerd moet staan.

MevrouwWagenaar(PvdA)

Dat snap ik niet.

MinisterKorthals

De vraag was in hoeverre verwerkingen, die hebben plaatsgevonden, volgens de nieuwe wet opnieuw moeten worden gemeld. Dat hoeft niet.

MevrouwWagenaar(PvdA)

Niet aan de betrokkene en niet aan de Registratiekamer.

MinisterKorthals

Wel aan de Registratiekamer, maar niet aan de betrokkene.

Hoe gaat het met de aankondiging ten behoeve van de burger in Nederland? Er is een voorlichtingstraject opgezet. Daar is geld voor uitgetrokken.

De heer Nicolaï vraagt naar de resultaten van het MDW-traject en in hoeverre die kunnen worden meegenomen. Er is voorzien in een evaluatie binnen vijf jaar. Wanneer de resultaten in het MDW-traject daar aanleiding toe geven, zal dat sneller naar voren worden gehaald. Dit soort wetgeving moet echter tijd krijgen om in te bedden in de samenleving. De Wet persoonsregistraties gaf aanvankelijk ook geweldig veel weerstand. De eerste wet is zelfs helemaal teruggetrokken. De tweede wet is zeer uitvoerig in de Kamer besproken. Men dacht dat daar de meest verschrikkelijke dingen door zouden gebeuren. Over het algemeen is deze toch redelijk in de samenleving ingebed geraakt. Natuurlijk zijn er nog onvolkomenheden en kunnen zaken worden verbeterd. Dat zal ongetwijfeld blijken bij de plenaire behandeling. Op zichzelf hebben wij toch het vertrouwen dat hier goed mee gewerkt kan worden.

MevrouwWagenaar(PvdA)

De overgangstermijn van dat oprekken van een half jaar naar een jaar, kunt u daar nog iets over zeggen? Is dat wel echt nodig? Hierover stond maar een korte toelichting de nota van wijziging.

MinisterKorthals

Dit is wel een verzoek vanuit de praktijk. De praktijk moet ermee werken. Het is voor dit soort wetsvoorstellen ook van belang dat je daar een behoorlijk draagvlak voor krijgt. Een verdere motivering zullen wij u schriftelijk doen toekomen.

MinisterKorthals

Eind van deze week hopen wij daar al mee te komen. Wij moeten proberen om zo snel mogelijk voort te gaan met dit wetsvoorstel.