De regering dankt de leden van de fracties voor hun vragen en opmerkingen. De beantwoording van de vragen en opmerkingen vormt tevens aanleiding in te gaan op hetgeen op 2 juli 2007 door de toenmalige minister van Justitie is toegezegd1 bij de openbare behandeling van het wetsvoorstel Aanpassing van de Vreemdelingenwet 2000 aan richtlijn nr. 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PbEU L 261) (Kamerstukken 30 897).

De leden van de CDA-fractie merken op dat zij bij de totstandkoming van dit wetsvoorstel grotere voortvarendheid op prijs hadden gesteld en vragen de regering op dit onderwerp alert te blijven.

Inderdaad hebben voorbereiding en behandeling van dit wetsvoorstel door uiteenlopende oorzaken aanzienlijk meer tijd gevergd dan redelijkerwijs nodig was geweest. Wij betreuren dit.

Wij zijn van oordeel dat het wetsvoorstel zoals het op tafel ligt alleszins de moeite waard is. Dat geldt ook nadat op advies van de Raad van State een aantal oorspronkelijke voornemens zijn heroverwogen en nadat de Tweede Kamer een aantal amendementen heeft aanvaard die van invloed zijn op de keuzes die de regering had gemaakt. Dit wetsvoorstel heeft bovendien aan waarde gewonnen doordat bij nota van wijziging een aantal betekenisvolle wijzigingen in hoofdstuk 11 van de Wet bescherming persoonsgegevens (Wbp) zijn toegevoegd, die gezamenlijk met het bedrijfsleven zijn ontwikkeld en waarover het College bescherming persoonsgegevens (Cbp) advies heeft uitgebracht. Dat leidt naar verwachting tot een doelmatiger verkeer van persoonsgegevens met derde landen, binnen het kader van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) (hierna: EU-privacyrichtlijn).

Wat de administratieve lasten en nalevingskosten betreft, is het een gegeven dat zonder wijziging van de EU-privacyrichtlijn administratieve lasten blijven bestaan. Dat volgt uit het gebruik van de meldplicht van verwerkingen bij het Cbp, bij de verplichting tot het volgen van een voorafgaand onderzoek bij het Cbp en uit de noodzaak om bij doorgifte van gegevens naar derde landen een vergunning van de minister van Veiligheid en Justitie aan te vragen. Waar dat mogelijk is willen wij het gebruik van bestuursrechtelijke instrumenten terugbrengen tot het minimaal noodzakelijke. Wij spannen ons ook in om bij de herziening van de EU-privacyrichtlijn de administratieve lasten tot het minimum te beschermen.

Verder is het in algemene zin onvermijdelijk is dat de naleving van de Wbp tijd vergt en dus ook direct of indirect nalevingskosten veroorzaakt. Een samenleving die de bescherming van persoonsgegevens als belangrijk aanmerkt, behoort ook te aanvaarden dat daarmee investeringen door overheid en bedrijfsleven gemoeid zijn. Maar ook hier moet naar een goed evenwicht worden gestreefd tussen doeleinden en middelen.

Tenslotte trekken wij uit de ervaringen met het wetsvoorstel de les dat de algemeen-abstracte aard van de normering in de Wbp het kwantificeren van administratieve lasten en nalevingskosten tot een moeilijke exercitie maakt. Het gevolg van de moeilijkheidsgraad is dat de voorspellingen een grotere onzekerheidsmarge hebben dan bij andere wetgevingscomplexen het geval is.

De leden van de CDA-fractie vragen een nadere uitleg van hetgeen de regering voor ogen staat bij het onderscheid dat zij maakt tussen de algemene bevoegdheid tot het verwerken van bijzondere persoonsgegevens door de Nationale ombudsman, andere ombudsvoorzieningen en het Cbp enerzijds en toezichthouders en accountantsorganisaties anderzijds.

Van het Cbp, de Nationale ombudsman en de andere ombudsvoorzieningen op publiekrechtelijke grondslag is het evident dat zij bij de vervulling van hun taak veelvuldig geconfronteerd worden met de noodzaak om in concrete onderzoeken kennis te nemen van alle voorkomende typen bijzondere persoonsgegevens, zonder dat daar steeds een adequate grondslag in de Wbp tegenover staat. Er moet dan worden teruggevallen op de artikelen 5:20 van de Algemene wet bestuursrecht (Awb) voor het Cbp en op artikel 9:31 Awb voor de ombudsvoorzieningen. Van eerstgenoemde bepaling kan op grond van de parlementaire geschiedenis (Kamerstukken II 23 700, nr. 5, blz. 64–65) worden aangenomen dat die bepaling – zonder verdere verfijning – de bevoegdheid impliceert tot het verwerken van persoonsgegevens in algemene zin. Voor de ombudsvoorzieningen is dat minder duidelijk. Mede gelet op de omstandigheid dat het toezicht op de verwerking van persoonsgegevens en de publiekrechtelijke ombudsfuncties voorzieningen van algemeen belang zijn die zich over de volle breedte van de overheidstaak uitstrekken, is het gerechtvaardigd dat de Wbp een algemene rechtvaardigingsgrond bevat voor de verwerking van alle typen bijzondere persoonsgegevens door deze instellingen.

Voor de verwerking van deze gegevens door toezichthouders en accountants ligt dit anders. Toezichthouders in de zin van de Awb houden toezicht op de naleving van één of meer specifieke wetten. Voor zover zij bij dat toezicht gegevens verzamelen of verstrekken buiten het kader dat artikel 5:20 Awb biedt behoort een specifieke bevoegdheid daartoe in de desbetreffende wetten te zijn geregeld. Zonodig moeten die wetten worden aangepast. Dat beleid wordt sinds de brief van de minister van Justitie aan de voorzitter van de Tweede Kamer der Staten-Generaal van 29 oktober 2008 (Kamerstukken II 2008/09, 31 700 VI, nr. 70) gevoerd. Er bestaat een grote verscheidenheid aan toezichthouders. De veronderstelling dat alle toezichthouders onder alle omstandigheden alle typen persoonsgegevens verwerken is niet gerechtvaardigd. Een voorziening daarvoor in de Wbp is dan ook niet nodig.

De kerntaak van accountants ligt bij de controle van jaarrekeningen en het geven van adviezen op bedrijfseconomisch gebied. Dat betreft niet in de eerste plaats de verwerking van persoonsgegevens. Het is duidelijk dat accountantskantoren in het kader van hun adviserende taak regelmatig wordt gevraagd onderzoek te doen bij bedrijven en de overheid, en dat daarbij onder omstandigheden ook wel eens persoonsgegevens worden verwerkt, maar de Raad van State heeft met zijn advies de regering ervan overtuigd dat dit onvoldoende rechtvaardigt dat de Wbp een rechtvaardigingsgrond schept voor de verwerking van alle typen bijzondere persoonsgegevens. De werkzaamheden van een accountant zijn ook niet zodanig te kwalificeren dat zij gelijk kunnen worden gesteld aan voorzieningen als de Nationale ombudsman of het Cbp. Als de noodzaak tot het verwerken van bijzondere persoonsgegevens nader wordt onderbouwd, kan een wijziging van de accountantswetgeving worden overwogen.

Op 2 juli 2007 heeft de toenmalige minister van Justitie bij de openbare behandeling van het wetsvoorstel Aanpassing van de Vreemdelingenwet 2000 aan richtlijn nr. 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PbEU L 261) (Kamerstukken 30 897) toegezegd bij de beleidsevaluatie de vraag te betrekken of er een wettelijke verplichting moet komen om in standaardcontracten een alternatief aan te bieden dat erop neerkomt dat de betrokkene ervoor kan kiezen dat zijn gegevens niet voor andere doeleinden dan het doeleinde waarvoor de gegevens oorspronkelijk worden verzameld, verder mogen verwerkt (Handelingen I 2006/07, nr. 36, blz. 36–1100).

De regering heeft de vraag van deze leden betrokken bij de vormgeving van dit wetsvoorstel. De regering betreurt dat dit niet expliciet in de memorie van toelichting is gebeurd.

Inhoudelijk komt de vraag van de leden van de SP-fractie erop neer of de uitoefening van het zogeheten recht van verzet van de betrokkene verder zou moeten worden ondersteund dan nu al het geval is, en wel door een specifieke vorm van de uitoefening van dat recht in de wet vast te leggen. Het recht van verzet is op grondslag van artikel 14 van de EU-privacyrichtlijn geregeld in de artikelen 40 en 41 van de Wbp. Uit artikel 41 van de Wbp vloeit voort dat dit recht absoluut van aard is, wanneer de verwerking van persoonsgegevens plaatsvindt ten behoeve van commerciële of charitatieve doeleinden. Dat betekent dus dat voor alle gevallen waarin de verwerking van persoonsgegevens plaatsvindt voor de doeleinden waarop de leden van de SP-fractie destijds het oog hadden, deze verwerking gestaakt dient te worden wanneer de betrokkene de wens daartoe kenbaar maakt. Artikel 41 van de Wbp verplicht de verantwoordelijke bovendien de nodige inspanning te verrichten om de betrokkene op de hoogte stellen van het recht van verzet. De wijze waarop dit moet gebeuren is één van de onderdelen van dit wetsvoorstel. Daarbij moet een behoorlijk evenwicht zijn verzekerd tussen enerzijds het belang dat het recht van verzet volledig wordt vormgegeven overeenkomstig hetgeen de EU-privacyrichtlijn beoogt en anderzijds het belang van het verminderen van de met de uitvoering van de Wbp gemoeide administratieve lasten en nalevingskosten. De regering heeft bij dit wetsvoorstel als uitgangspunt gekozen dat het de verantwoordelijke zoveel mogelijk vrijstaat om te kiezen op welke wijze en met welke frequentie hij bekendheid geeft aan het recht van verzet. De huidige regeling in de Wbp verlangt in dit opzicht meer dan de EU-privacyrichtlijn vraagt. Dat impliceert ook dat de verplichting om in standaardcontracten een «opt out» regeling op te nemen niet uit de richtlijn voortvloeit, maar een nationale toevoeging in de Wbp zou betekenen. Dat is in strijd met het beleid dat bij de implementatie van richtlijnen al jarenlang wordt gevoerd.

Toch betekent dit niet dat verdere reflectie over het recht van verzet en de notificatieplicht niet mogelijk is. Bij de openbare behandeling van het wetsvoorstel in de Tweede Kamer is de reikwijdte van de notificatieplicht uitgebreid aan de orde gekomen. De waarschijnlijke aanvaarding van het amendement-Schouten c.s. (Kamerstukken II 2010/11, 31 841, nr. 17) dat strekte tot het behoud van het huidige artikel 41, vierde lid, van de Wbp gaf de eerste ondergetekende aanleiding het Cbp om advies te vragen over de toekomstbestendigheid van deze regeling. Daarbij speelde een belangrijke rol dat in de Tweede Kamer een lans werd gebroken voor het openstellen van de mogelijkheid van elektronische notificatie. Het betrof hier het aanklikken van een vinkje op een website of losse boodschap waarmee het recht van verzet zou kunnen worden uitgeoefend. In wezen betreft het hier een elektronische variant van hetgeen de leden van de SP-fractie in 2007 voor ogen stond. Eerste ondergetekende heeft het Cbp dan ook uitdrukkelijk verzocht daarop in te gaan.

Bij brief van 25 oktober 2011, nr. z2011–00618, heeft het Cbp zijn advies gegeven. Dit advies voegen wij als bijlage toe aan deze memorie. Het Cbp concludeert dat de tekst van artikel 41 van de Wbp, zoals die komt te luiden wanneer dit wetsvoorstel tot wet wordt verheven, door zijn techniekneutrale formulering voldoende is toegesneden op de noodzaak de betrokkene in staat te stellen het recht van verzet uit te oefenen en dat er – op dit moment – geen noodzaak is de elektronische weg verplichtend op te leggen. Wij zien in dit advies aanleiding thans geen verdere voorstellen tot wijziging van artikel 41 van de Wbp in overweging te nemen. Mogelijk geeft de voorgenomen herziening van de EU-privacyrichtlijn aanleiding het recht van verzet en de notificatieplicht opnieuw te bezien.

De regering betreurt het dat de leden van de CDA-fractie de indruk hebben gekregen dat zij zich ten aanzien van BCR's verschuilt achter het ontbreken van een regeling in de richtlijn. Het tegendeel is het geval. In het ontwerpbesluit tot wijziging van het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp in verband met vermindering van administratieve lasten – dat samen met dit wetsvoorstel het lastenreductiepakket op het gebied van gegevensbescherming vormt – wordt voorzien in een vrijstelling van meldplicht voor verwerkingen van persoonsgegevens krachtens een BCR, waarvoor een vergunning is verleend op grond van artikel 77, tweede lid, van de Wbp. Wel blijft de regering bij de vaststelling dat de positie van BCR's onder het huidige recht problemen oproept die voortkomen uit de structuur van de EU-privacyrichtlijn. De richtlijn laat de lidstaten een ruime mate van beleidsvrijheid bij de vaststelling van intern recht ter implementatie van de richtlijn. Dat geldt niet alleen voor onderdelen van materiële normstelling, maar ook voor de reikwijdte van de bestuursrechtelijke instrumenten en de bestuursrechtelijke en strafrechtelijke handhaving. Het gevolg daarvan is dat wanneer een concern vanuit meer dan één lidstaat gegevens doorgeeft aan een derde land, vergunningen of andere bestuursrechtelijke besluiten van verschillende lidstaten nodig zijn om die gegevens rechtmatig door te kunnen geven. Onder het huidige recht moet de winst worden gezocht in betere onderlinge afstemming van de meest betrokken lidstaten en wederzijdse erkenning van vergunningen van die lidstaten door de andere lidstaten. Het Cbp heeft terzake de nodige inspanningen verricht. De regering heeft daarvoor grote waardering. Maar het probleem van die onderlinge afstemming kan uiteindelijk niet op nationaal niveau worden opgelost.

Het proefschrift van mw. mr. E.M.L. Moerel, «Binding Corporate Rules, Fixing the regulatory patchwork of dataprotection», Amsterdam, 2011, is zo omvangrijk en diepgravend dat het de redelijke begrenzing van de omvang van een memorie van antwoord te buiten gaat, wanneer op alle aanbevelingen wordt gereageerd. Wij volstaan daarom met een algemene reactie.

Wanneer wordt uitgegaan van de vormgeving van het komende Europese gegevensbeschermingsrecht in een of meer richtlijnen, lijkt de meest optimale regeling voor de BCR dat deze wordt vastgesteld onder de verantwoordelijkheid van de toezichthouder van één lidstaat. Bij voorkeur is dat de lidstaat waar de verantwoordelijke zijn hoofdvestiging heeft, of wellicht de lidstaat waar de rechtspersoon is gevestigd die in concernverband de feitelijke uitvoering verzorgt van het compliancebeleid van de groep, en de verantwoordelijke aldus vertegenwoordigt. De verantwoordelijkheid van de toezichthouder kan tot uitdrukking komen in een vergunningverlening, of een goedkeuring, maar van dit vereiste kan worden afgezien, wanneer de BCR geheel volgens een op het niveau van de Europese Unie vastgesteld model is vormgegeven. Dat model behoort te worden vastgesteld na het volgen van een procedure die meer transparantie en betrokkenheid van belanghebbenden en deskundigen verzekert dan de bestaande procedures van de artikel 29 Werkgroep. Het ligt voor de hand dat het besluit van één toezichthouder – zonder nadere besluitvorming – wordt erkend door alle andere toezichthouders van de lidstaten, en daarmee dus uitvoerbaar en handhaafbaar is in alle lidstaten.

Wij delen niet zonder meer de aanbeveling uit het proefschrift dat een BCR in de plaats kan treden van wettelijke voorschriften op het gebied van gegevensbescherming van de lidstaten. Wettelijke voorschriften zijn in onze rechtsorde van dwingende aard. In het privaatrecht heeft het aanvullend recht natuurlijk een belangrijke plaats, maar ook aanvullend recht kan niet in strijd of in afwijking van wettelijke voorschriften worden vastgesteld. Dit geldt in het bijzonder voor het toezicht op de naleving en de handhaving. Die zijn van bestuursrechtelijke aard en daarmee niet vrijblijvend. Toezicht en handhaving zullen naar onze verwachting in het komende gegevensbeschermingrecht eerder worden versterkt dan gerelativeerd. Zelfregulering behoort ook te zijn begrensd, maar de algemeen-abstracte aard van het gegevensbeschermingsrecht biedt hier het grote voordeel van flexibiliteit.

De aanbeveling om in een BCR rechtskeuze en forumkeuze mogelijk te maken voor de oplossing van rechtsgeschillen voortvloeiend uit de toepassing van de BCR moet nader worden doordacht. Zolang het betreft rechts- en forumkeuze voor één van de lidstaten, is in ieder geval verzekerd dat de betrokkene zijn rechten op inzage, correctie, afscherming en verzet kan uitoefenen en dat daarop bestuursrechtelijk toezicht wordt uitgeoefend. Dat is niet per definitie het geval wanneer gekozen wordt voor het recht van een derde land.

Wanneer wordt uitgegaan van de vormgeving van het komende gegevensbeschermingsrecht in de vorm van een verordening is het stellig veel eenvoudiger om de BCR tot instrument van Europees gegevensbeschermingrecht uit te bouwen. Maar die keuze heeft op veel andere terreinen dan de BCR vergaande consequenties. Het zou leiden tot een vermindering van de mogelijkheid van de lidstaten om hun nationale recht vast te stellen en daarbij optimaal rekening te houden met nationale eigenaardigheden. Te denken valt aan de verwerking van persoonsgegevens in relatie tot de organisatie van het belastingstelsel, en de stelsels van sociale zekerheid, gezondheidszorg en de arbeidsverhoudingen. Die verschillen sterk per lidstaat.

Tenslotte is het zeker de moeite waard om op mondiaal, en in elk geval op transatlantisch niveau, te streven naar een vorm van wederzijdse erkenning van gegevensbeschermingsrecht en BCR's. Er moet dan wel overeenstemming worden bereikt over een minimumniveau van normering, wellicht volgens International Standards on the Protection of Personal Data and Privacy (Madrid Resolution) uit 2009.

Naar aanleiding van de Mededeling van de Europese Commissie over herziening van het Europese kader voor gegevensbescherming van november 2010 heeft de regering in de Raadswerkgroepen – niet voor het eerst – bepleit de meldplicht en het voorafgaand onderzoek af te schaffen, wanneer een doelmatig en risicogeoriënteerd toezicht op de naleving daarvoor in de plaats komt. Gebleken is dat een vrij grote meerderheid van de lidstaten deze gedachte zonder meer afwijst. Dat ligt aan de omstandigheid dat veel lidstaten hun toezichthouder financieren met de leges die voor de meldingen worden geheven. Er zijn ook lidstaten die weinig of geen vrijstellingen van de meldplicht kennen en vrezen voor verlies aan werkgelegenheid bij de overheid als de meldplicht komt te vervallen. Het is onder deze omstandigheden weinig kansrijk afschaffing van de meldplicht en het onderzoek te blijven bepleiten. De gedachten van de Commissie gaan vermoedelijk uit naar vereenvoudiging van de meldplicht en meer vrijstellingen. Wij kunnen dergelijke voorstellen in beginsel steunen. Ten aanzien van het voorafgaand onderzoek heeft de Commissie nog geen richting aangegeven. In een wetsvoorstel tot wijziging van de Wbp waaraan thans wordt gewerkt, zal het vereiste van het voorafgaand onderzoek vervallen voor bepaalde verwerkingen van camerabeelden van strafbare feiten. Dit wetsvoorstel zal eind november 2011 in consultatie worden gegeven.

De regering blijft openstaan voor de verdere ontwikkeling van het vrijstellingenbeleid. Dit wordt periodiek onder de aandacht gebracht van de georganiseerd bedrijfsleven. Daar bestaat immers het beste zicht op de behoeften van de praktijk. Toch heeft dat niet tot respons geleid. Tekenend is ook dat de internetconsultatie van het ontwerpbesluit houdende wijziging van het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp in verband met vermindering van administratieve lasten tot geen enkele reactie heeft geleid. In de vraagstelling was expliciet verzocht om suggesties voor verdere vrijstelling. Dit ontwerpbesluit zal overigens in december 2011 aan de Afdeling advisering van de Raad van State worden gezonden.