Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 februari 2012

Het lid van uw Kamer de heer Heijnen heeft bij de regeling van werkzaamheden van 29 november 2011 gevraagd naar een brief van het kabinet omtrent het «op straat liggen van persoonsgegevens uit grote databestanden». Naar aanleiding van dit verzoek geven wij in het onderstaande kort weer wat de verhouding is tussen de wetgeving met betrekking tot de beveiligingsplicht voor de verwerking van persoonsgegevens, de handhaving van die wetgeving en de uitvoering van die plicht in de praktijk.

Met betrekking tot de beveiliging van persoonsgegevens geldt dat de Wet bescherming persoonsgegevens (Wbp) sinds 2001 een verplichting bevat tot het beveiligen van persoonsgegevens tegen onrechtmatige verwerking of verlies. Die verplichting geldt voor alle verantwoordelijken, dat wil zeggen degenen die doelen en middelen van de gegevensverwerking vaststellen, zowel binnen als buiten de overheid. De verantwoordelijke krijgt bij de invulling van die verplichting de nodige vrijheid, maar op het eindresultaat is de verantwoordelijke altijd aanspreekbaar. De wetgeving is daarin duidelijk.

De Wbp voorziet in toezicht op de naleving van die verplichting. Het College bescherming persoonsgegevens (Cbp) is daarmee belast. Het Cbp oefent zijn handhavende taken in volstrekte onafhankelijkheid uit. Ondergetekenden hebben daarop geen invloed. Het staat het Cbp vrij zelf te bepalen welke accenten het legt in zijn handhavingsbeleid en of daarbij wel of geen accent legt op de handhaving van de beveiligingsplicht.

De Wbp legt de uitvoering van de beveiligingsplicht nadrukkelijk bij iedere afzonderlijke verantwoordelijke in de zin van de Wbp. Dat brengt met zich dat de overheid voor de naleving van die verplichting alleen verantwoordelijkheid draagt, voor zover zij zelf gegevens verwerkt.

Wat de uitvoering van de beveiligingsverplichting binnen de overheid betreft, wijzen wij erop dat in de brief van de eerste ondergetekende aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 27 oktober 2011 (Kamerstukken II 2011/12, 32 761 nr. 4) is ingegaan op de privacyaspecten van het overheids-ICT-beleid. In die brief is uiteengezet dat het kabinet een actief privacybeleid voert en dat het Cbp hierbij de belangrijke onafhankelijke toezichthoudende rol speelt. Allereerst geldt de Wbp die de algemene kaders aangeeft waarbinnen overheids-ICT moet worden ontwikkeld, onderhouden en beveiligd. Daarnaast is er in sectorspecifieke wetgeving vaak sprake van nadere, dan wel afwijkende regels met betrekking tot ICT-voorzieningen vanwege de vaak specifieke processen in deze sectoren. Dergelijke wetgeving op deze specifieke terreinen en de uitwerking daarvan op de ingezette overheids-ICT is onderwerp van de normale bedrijfsvoering van de overheid en de daarvoor ingerichte verantwoordingsprocessen. De desbetreffende verantwoordelijkheden voor ICT-inzet binnen deze sectoren liggen dan ook bij de betrokken bewindspersonen en andere bestuursorganen zelf. Staand beleid en beleidsvoornemens met betrekking tot de – in de woorden van de motie – proactie, preventie, preparatie, repressie en nazorg op het vlak van de privacy zijn beschreven in de brief van 29 april 2011 aan Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II 2010/11, 32 761, nr. 1) en de daarbij gevoegde Notitie privacybeleid. Dat beleid omvat naast het toezicht door het Cbp onder andere de inzet van privacy impact assessments en aanmoediging van het gebruik van privacy by design.

Wat de uitvoering van de beveiligingverplichting buiten de overheid betreft, wijzen wij erop dat dit de verantwoordelijkheid van de desbetreffende instellingen, bedrijven en burgers betreft, en niet die van de overheid. Instellingen, bedrijven en burgers behoren zelf de nodige maatregelen te nemen om hun verwerkingen te beveiligen tegen verlies en onrechtmatige verwerking. De overheid kan die verantwoordelijkheid niet overnemen. De wetgever is daarin duidelijk geweest. Doen de instellingen, bedrijven of burgers dat niet, dan lopen zij het risico getroffen te worden door handhavingsmaatregelen van het Cbp. Ook zullen zij de consequenties moeten aanvaarden van een verlies aan vertrouwen van het publiek wanneer aan licht komt dat getroffen beveiligingsmaatregelen niet toereikend zijn.

Tenslotte wijzen wij erop dat de eerste ondergetekende een wetsvoorstel in consultatie heeft gezonden waarin een meldplicht voor datalekken is neergelegd. Het nalaten aan die meldplicht te voldoen wordt gesanctioneerd met een bestuurlijke boete. Wanneer dat wetsvoorstel te zijner tijd wordt aangenomen, is voorzien in een aanzienlijke verscherping van de regelgeving.

De staatssecretaris van Veiligheid en Justitie, F. Teeven

De minister van Binnenlandse Zaken en Koninkrijksrelaties, J. W. E. Spies