32 761 Verwerking en bescherming persoonsgegevens

Nr. 29 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 april 2012

Tijdens het Algemeen Overleg over het EU-voorstel van de Europese Commissie tot herziening van de EU-wetgeving over de bescherming van persoonsgegevens, gehouden op 7 maart 2012 (kamerstuk 32 761, nr. 27), heb ik toegezegd uw Kamer een schriftelijke reactie te zullen doen toekomen over de schriftelijke inbreng van het College bescherming persoonsgegevens en de Commissie Meijers. Deze reactie treft u hieronder aan:

A. De brief van de Commissie Meijers

Bij brief van 2 maart 2012, kenmerk CM1206, heeft de Voorzitter van de Commissie Meijers een notitie voorgelegd aan uw Kamer en voorgesteld de in de notitie gestelde vragen voor te leggen aan de regering. Deze vragen hebben betrekking op de volgende thema’s:

1. Verwerking van persoonsgegevens in de politiële en justitiële sector

  • Waarom is uit oogpunt van een uniform en zo hoog mogelijk niveau van gegevensbescherming niet gekozen voor één instrument, waarbij in een aparte paragraaf heldere en uniforme regels zijn uitgewerkt ten aanzien van de gegevensverwerking in de politiële en justitiële sector?

Op 4 november 2010 heeft de Europese Commissie een Mededeling uitgebracht over een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (Kamerstukken 2010/11, 22 112, nr. 1116). In de Mededeling is aangegeven dat het streven een alomvattend en coherent systeem in de Europese Unie (EU) op te zetten het noodzakelijk maakt een herziening te overwegen van de bestaande regels inzake gegevensbescherming in het kader van de politiële en justitiële samenwerking in strafzaken. Daarbij wijst de Europese Commissie erop dat een integrale gegevensbeschermingsregeling niet uitsluit dat er binnen dat algemene kader specifieke voorschriften gelden voor gegevensbescherming in de sector politie en justitie, die rekening houden met de specifieke aard van die werkterreinen. In de toelichting bij de ontwerprichtlijn zijn de problemen beschreven dit zich voordoen rond het huidige Kaderbesluit 2008/977/JBZ, over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken. De Europese Commissie acht een richtlijn het beste instrument om op dit gebied op EU-niveau tot harmonisatie te komen en tegelijkertijd de lidstaten de nodige flexibiliteit te geven bij de tenuitvoerlegging op nationaal niveau.

De regering kan zich in de keuze van de Europese Commissie vinden. Een richtlijn biedt de mogelijkheid om specifieke regels te stellen voor de bescherming van persoonsgegevens die worden verwerkt met het oog op de opsporing en vervolging van strafbare feiten waarbij de lidstaten de nodige flexibiliteit wordt geboden bij de tenuitvoerlegging. De flexibiliteit is mede van belang omdat in de EU geen gemeenschappelijke regels op het terrein van strafvordering zijn. Ook zijn er grote onderlinge verschillen tussen de lidstaten in de wetgeving met betrekking tot de organisatie en bevoegdheid van de politie.

  • Deelt de regering de mening van zowel het College bescherming persoonsgegevens, de artikel 29 Werkgroep voor Gegevensbescherming en de Europese Toezichthouder voor Gegevensbescherming dat het huidige richtlijnvoorstel een te laag niveau van gegevensbescherming biedt?

De regering deelt dit oordeel niet. Het oordeel over het niveau van gegevensbescherming kan een meer juridisch georienteerde grondslag hebben, waarbij het oordeel over de voorstellen wordt getoetst aan de Europese rechtsnormen en de jurisprudentie van het Europese Hof ter bescherming van de Rechten van de Mens. Dit oordeel kan echter ook een meer politiek georienteerde grondslag hebben, gebaseerd op opvattingen over de inrichting van de samenleving. De regering kan de precieze grondslag van de opvattingen van de door de Commissie Meijers aangehaalde instanties niet goed duiden, maar kan zich overigens niet goed voorstellen dat de Europese Commissie een voorstel zou presenteren dat, in ieder geval vanuit juridisch perspectief, een te laag niveau van gegevensbescherming zou bieden. Daarbij wijst de regering erop dat de ontwerprichtlijn verschillende rechten kent die de Nederlandse wetgeving op het gebied van de gegevensbescherming voor opsporing en vervolging tot nu toe niet kent. Dit betreft onder meer het algemene recht op informatie voor de betrokkene, de verplichting tot het melden van datalekken, de regeling voor de verstrekking van persoonsgegevens aan derde landen, de verplichting tot het aanwijzen van een functionaris gegevensbescherming en de positie en taken van de toezichthoudende autoriteiten.

  • Deelt de regering het oordeel van de EDPS, dat de voorgestelde richtlijn, politieautoriteiten in de EU nog teveel ruimte biedt voor toegang tot de gegevensverwerking in de private sector?

De Europees Toezichthouder voor Gegevensbescherming (European Data Protection Supervisor, of: EDPS) heeft op 7 maart 2012 een schriftelijk advies uitgebracht over de voorstellen van de Commissie (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_EN.pdf). In dat advies wordt gesteld dat de voorgestelde rechtsinstrumenten geen helder wettelijk kader bieden voor situaties waarin meerdere actoren en doelen door de verschillende rechtsinstrumenten worden bestreken. De ontwerprichtlijn biedt de politieautoriteiten echter geen toegang tot de gegevensverwerking in de private sector. De verwerking van persoonsgegevens door verantwoordelijke in de private sector is geregeld in de ontwerpverordening. De verordening bevat evenals de richtlijn waarborgen voor de bescherming van persoonsgegevens en evenmin bevoegdheden voor politie of justitie tot het opsporen van strafbare feiten. Wel is het zo dat de verordening de consequenties regelt van het voldoen aan verzoeken of bevelen tot verstrekking van gegevens die door nationale rechtshandhavingsautoriteiten op grond van nationale wetgeving worden gedaan. De verordening wijkt in dat opzicht niet betekenisvol af van richtlijn 95/46/EG.

  • Wil de regering zich inzetten voor een minimalisering van uitzonderingsbepalingen in de voorgestelde richtlijn, om te voorkomen dat de (implementatie van) de richtlijn door het Hof van Justitie van de EU onverenigbaar zal worden verklaard met de fundamentele rechten zoals neergelegd in het EU Handvest?

De regering acht de vraagstelling te algemeen om deze adequaat te kunnen beantwoorden. De regering heeft in ieder geval geen baat bij een richtlijn die door het Hof van Justitie van de EU onverenigbaar kan worden verklaard met het EU-handvest en gaat er vooralsnog vanuit dat dit ook voor de Europese Commissie geldt. In het Handvest van de Grondrechten van de Europese Unie is het recht op de bescherming van persoonsgegevens neergelegd (artikel 8). Beperking op de uitoefening van de in het Handvest erkende rechten en vrijheden moeten bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen (artikel 52, eerste lid). In het licht van deze bepaling acht de regering het risico dat de door de Europese Commissie voorgestelde uitzonderingsbepalingen in de voorgestelde richtlijn door het Hof van Justitie van de EU onverenigbaar worden verklaard met het EU-Handvest, vooralsnog weinig waarschijnlijk.

  • Vindt de regering dat de voorgestelde regeling inzake de gegevensuitwisseling aan derde staten voldoende waarborgen biedt ter bescherming van de rechten en vrijheden van de zich in de Europese Unie bevindende personen?

De regering vindt dat de voorgestelde regeling inzake de gegevensuitwisseling aan derde staten voldoende waarborgen biedt. De regering wijst erop dat de voorgestelde regeling aanzienlijk verder strekt dan die van het huidige kaderbesluit dataprotectie. Daarbij wijst de regering erop dat het recht op bescherming van persoonsgegevens geen absoluut recht is, maar afgewogen moet worden tegen andere belangen. Een maximale bescherming van de rechten en vrijheden van de zich in de EU bevindende personen is slechts te realiseren doordat met derde landen in het geheel geen gegevens worden uitgewisseld. De realiteit is echter dat landen in andere werelddelen de bron zijn van ernstige vormen van criminaliteit (zoals drugs- of mensenhandel), die ernstige gevolgen hebben voor de veiligheid en het welbevinden van de burgers in de EU. Bij de beantwoording van vraag 7 van het College bescherming persoonsgegevens over de ontwerprichtlijn wordt hierop nader ingegaan. Zoals in het BNC-fiche is aangegeven, roept de toepassing van de regeling in de praktijk, specifiek de vaststelling van de toereikende waarborgen op grond van artikel 35, nog de nodige vragen op met de betrekking tot de uitvoerbaarheid en de mogelijke werklast voor politie en justitie.

2. Profilering

Verordening

  • Deelt de regering de mening van de Commissie Meijers dat de voorgestelde regeling inzake het gebruik van profilering in artikel 20 en 21 van de conceptverordening en in artikel 9 van de conceptrichtlijn, door de vele uitzonderingsbepalingen en de resterende discretionaire bevoegdheid voor uitvoerende instanties, nog onvoldoende waarborgen biedt ter bescherming van de bovengenoemde rechten en vrijheden van individuen en met name het non-discriminatiebeginsel?

In zijn algemeenheid steunt de regering het initiatief van de Europese Commissie om in de verordening een regeling op te nemen met betrekking tot het profileren. Aan de toepassing van dit instrument kunnen zodanig ingrijpende gevolgen voor de persoonlijke levenssfeer verbonden zijn dat een afzonderlijke plaats daarvan in de verordening gerechtvaardigd is. Bij het voorstel vallen echter een aantal vragen te stellen. Naar het voorkomt, ligt het voornaamste bezwaar tegen de wijze waarop persoonsgegevens bij wijze van profilering worden verwerkt in de weinig transparante wijze waarop dit gebeurt. Het is de vraag of met het huidige voorstel voldoende aan dat bezwaar tegemoet wordt gekomen. De regering zal daar in de onderhandelingen in Brussel gerichte aandacht naar laten uitgaan. De regering is niet van oordeel dat profilering, hetzij in de private, hetzij in de publieke sector geheel of gedeeltelijk principieel moet worden afgewezen, een stelling die impliciet ten grondslag ligt aan de stellingname door de Commissie Meijers. Het gaat niet aan om private en publieke partijen het gebruik van technische middelen te ontzeggen op de enkele grond dat daarmee persoonsgegevens worden verwerkt. Overigens wijst de regering erop dat de huidige Privacyrichtlijn (95/46/EG) in artikel 15 een soortgelijke bepaling bevat.

De Commissie Meijers lijkt in artikel 20, derde lid, van de conceptverordening een bevoegdheid of mogelijkheid te lezen om bijzondere persoonsgegevens te verwerken bij wijze van profilering. Dit is volgens de regering niet de kern van dit artikellid. Deze bepaling betreft geen bevoegdheid, maar een waarborg. Zij beoogt een aanvullende bescherming te bieden aan betrokkenen, juist doordat een profilering niet mag plaatsvinden door uitsluitend bijzondere persoonsgegevens te verwerken.

De Commissie Meijers acht verder artikel 20, tweede lid, onder a, van de conceptverordening te vaag en bovendien te veel ruimte bieden om consumenten uit te sluiten van de levering van goederen en diensten op grond van irrelevante en discriminerende gronden. Waar het hier om gaat is dat wanneer ter uitvoering van een overeenkomst gegevens worden verwerkt bij wijze van profilering een betrokkene de mogelijkheid heeft bij het sluiten van een overeenkomst de mogelijkheid heeft om passende maatregelen voor de bescherming van de persoonlijke levenssfeer te eisen, in plaats van volledig afhankelijk te zijn van de verantwoordelijke. De betrokkene heeft derhalve het recht om menselijke tussenkomst te verlangen, waarbij hij uitleg kan krijgen over de wijze waarop zijn persoonsgegevens worden verwerkt en welk effect dat op zijn rechtspositie heeft. Verder strekt de rechtsbescherming van de verordening overigens niet. De bescherming van consumenten tegen een mogelijke discriminerende levering van goederen of diensten valt buiten de reikwijdte van de verordening. De regering deelt de mening van de Commissie Meijers niet dat het onwenselijk is uitzonderingen op de algemene beginselen inzake profilering aan te brengen op grond van artikel 20, tweede lid, onder b, van de conceptverordening. Het gaat hier niet om uitzonderingsregelingen, maar om het scheppen van een grondslag voor de vaststelling van regels door de Europese en nationale wetgevers. Die regels moeten, rekening houdend met alle omstandigheden van het concrete geval, juist concreter zijn dan artikel 20 en daaraan een nadere invulling geven. Zij dienen te regelen onder welke omstandigheden een profilering in het algemeen belang gerechtvaardigd is, welke gegevens daarbij worden verwerkt, welke waarborgen daarbij in acht moeten worden genomen en andere omstandigheden.

Tenslotte valt niet in zien waarom artikel 21 van de conceptverordening geen uitzondering zou kunnen maken op de rechten van de betrokkene en de verplichtingen van de verantwoordelijke als het gaat om een specifieke vorm van het verwerken van persoonsgegevens, het profileren. Het betreffende artikel voorziet immers in een algemene uitzondering op alle rechten en verplichtingen opgenomen in de artikelen 11 tot en met 20.

In artikel 9 van de ontwerprichtlijn worden regels gegeven over profilering en de geautomatiseerde verwerking van persoonsgegevensten behoeve van de opsporing en vervolging van strafbare feiten. De bepaling van het eerste lid is identiek aan die van het artikel 7 van Kaderbesluit 2008/977/JBZ. Aanvullend is in het tweede lid een verbod opgenomen op de geautomatiseerde verwerking van gevoelige persoonsgegevens.

De regering deelt de mening van de Commissie Meijers niet, dat de voorgestelde regeling door de vele uitzonderingsbepalingen en de resterende discretionaire bevoegdheid voor uitvoerende instanties, nog onvoldoende waarborgen biedt ter bescherming van de bovengenoemde rechten en vrijheden van individuen en met name het non-discriminatiebeginsel. Daarvoor kan worden gewezen op hetgeen hierboven, naar aanleiding van de ontwerpverordening, is opgemerkt.

3. Toezichthoudende autoriteiten

  • Op welke wijze wil de regering zich inzetten voor proportionele uitbreiding van de financiële en personele middelen van zowel nationale als Europese toezichthoudende instanties?

  • Wil de regering zich inzetten voor de toevoeging van bepalingen aan de huidige voorstellen waarbij de genoemde instanties de bevoegdheid krijgen bindende sancties op te leggen, zoals effectieve en afschrikwekkende boetes?

De regering is van oordeel dat in de huidige financieel-economische omstandigheden, waarin van Nederland de grootst mogelijke inspanning wordt verwacht om het begrotingstekort terug te dringen, de uitbreiding van het budget van het College bescherming persoonsgegevens niet de allerhoogste prioriteit heeft. De regering is tevens van oordeel dat er geen rechtvaardiging is voor de toename van het budget van de EDPS. Gelet op de financieel-economische situatie in Europa mag ook van de EU terughoudendheid op financieel-ecconomisch terrein worden verwacht.

Wat het sanctie-instrumentarium betreft, voorziet artikel 79 van de conceptverordening in een stelsel van bestuurlijke boetes waarvan het effectieve en afschrikwekkende karakter bezwaarlijk kan worden ontkend. De regering steunt deze voorstellen in beginsel, al zijn er vragen bij onderdelen van de uitwerking. Voor zover de Commissie Meijers de bevoegdheid tot het opleggen van een last onder bestuursdwang of dwangsom lijkt te missen, moet gewezen worden op artikel 53 van de ontwerpverordening, dat een groot aantal bevoegdheden toekent aan de toezichthouder om feitelijke maatregelen te treffen die onder de huidige wetgeving bij wijze van bestuursdwang kunnen worden getroffen. Bezien moet worden of deze bevoegdheden het gemis van een expliciete bestuursdwangbevoegdheid kunnen ondervangen, of dat moet worden aangedrongen op aanvullende regelingen.

B. De brief van het College bescherming persoonsgegevens

Bij brief van 2 maart 2012, kenmerk z2011–01054/z2012–00164, heeft de Voorzitter van het College bescherming persoonsgegevens (Cbp) met het oog op de onderhandelingen over het door de Commissie voorgestelde pakket in het bijzonder aandacht gevraagd voor een aantal punten. In het onderstaande wordt een korte reactie gegeven op de punten die het Cbp in de bijlage bij die brief naar voren heeft gebracht.

B1. De ontwerpverordening

1. Algemeen oordeel positief.

Het Cbp staat zeer positief tegen over de harmonisatie van de privacyregelgeving door middel van de ontwerpverordening. Ook overigens is het Cbp enthousiast over de inhoud van de verordening, maar meent dat op verschillende punten verbetering in de voorstellen kan en moet worden aangebracht.

Ook de regering heeft in zijn algemeenheid een positief oordeel gegeven in het BNC-fiche. De regering is verheugd dat het Cbp in dezelfde richting denkt. Op de verschillende opmerkingen van het Cbp ter verbetering zal hieronder nader worden ingegaan.

2. Lastenverlichtingen en nalevingskosten

Het Cbp merkt op dat de administratieve plichten die voortvloeien uit de huidige richtlijn gegevensbescherming geheel zijn geschrapt. De één-loketfunctie voorkomt fragmentatie, en draagt bij aan kostenbesparing. Het Cbp is hierover verheugd. De tegenpool van minder administratieve plichten is dat de verantwoordelijkheid van de verantwoordelijke dient te worden versterkt. Bedrijven dienen te investeren in een zorgvuldige omgang met persoonsgegevens, dit vertaalt zich in moderne plichten als het zorgdragen voor privacy by design, het doen van privacy impact assessments en garanderen van adequate beveiliging. Dergelijke moderne verplichtingen kunnen niet worden gezien als nalevingskosten die de lasten voor de verantwoordelijke verzwaren.

De regering heeft in het BNC-fiche aangegeven dat het verheugend is dat de als achterhaald aan te merken administratieve verplichtingen uit richtlijn 95/46/EG worden geschrapt. De lastenverlichtingen die daaruit voortvloeien zijn stellig een winstpunt. De regering heeft echter zorgen over de fors toegenomen nalevingskosten voor verantwoordelijken. Tot op zekere hoogte volgt uit het accountabilitybeginsel, dat aan de verordening ten grondslag ligt, dat een zekere toename van die lasten in de rede ligt. Maar het valt te betreuren dat een kwantificering van die toename achterwege is gebleven, zodat de verhouding tussen lastenverlichtingen en -verzwaringen feitelijk niet valt op te maken. De regering is van mening dat het al te eenvoudig is de toename van deze lasten zonder meer te aanvaarden als iets dat er nu eenmaal bijhoort, zoals het Cbp voorstelt. Het beleid inzake administratieve lasten en nalevingskosten zoals dat in Nederland al een decennium wordt gevoerd is er nu juist op gericht deze lasten wel inzichtelijk te maken.

3. Toestemmingsvereiste

Het Cbp stelt vast dat het toestemmingsvereiste is versterkt, onder meer doordat de toestemming «expliciet» dient te zijn. Het Cbp acht het van groot belang voor het versterken van de rechten van de burger dat de door de ontwerpverordening gegarandeerde versterking van het toestemmingsvereiste blijft behouden.

De regering kan zich in algemene zin wel vinden in de voorstellen voor vereenvoudiging van het toestemmingsvereiste. Dat neemt overigens niet weg dat er bij artikel 7 van de ontwerpverordening nog heel wat detailvragen zijn te stellen. Tegelijkertijd moet worden gewaakt tegen verabsolutering van de toestemmingseis. De verordening kent, net als de huidige richtlijn, meer grondslagen voor de rechtvaardiging van de verwerking van persoonsgegevens.

4. Definitie persoonsgegevens

Het Cbp bepleit verbreding van de definitie van persoonsgegevens, om ook gegevens die het mogelijk te maken een persoon van anderen te onderscheiden, onder het bereik van de verordening te brengen. In de toelichting zou opgenomen moeten worden dat dergelijke gegevens persoonsgegevens zijn, als de persoon op basis daarvan in het maatschappelijk verkeer anders kan worden behandeld of beoordeeld.

De regering is op dit punt terughoudend. In de conceptverordening is het begrip persoonsgegevens al aanmerkelijk verruimd door de expliciete toevoeging van online-identificatiemiddelen, waarvan de reikwijdte overigens nog onvoldoende bepaald is. Bedacht moet worden dat een uitbreiding van de beschermingsomvang van de richtlijn zich ook vertaalt in uitbreiding van de verplichtingen van verantwoordelijken.

5. Doelbinding

Het Cbp heeft ernstige bedenkingen tegen het onderuit halen van het doelbindingsbeginsel zoals dat uit de verruiming van de regeling voor het nevengebruik van persoonsgegevens, neergelegd in artikel 6, vierde lid, van de verordening, voortvloeit.

De regering schaart de voorstellen voor artikel 5, onder b, en artikel 6, vierde lid, van de ontwerpverordening onder de belangrijkste vernieuwingen die de ontwerpverordening biedt. Met het Cbp is de regering van oordeel dat het doelbindingsbeginsel één van de hoekstenen van het privacyrecht vormt, en dat dit ook zo moet blijven. De regering is echter van oordeel dat het zinvol is goed na te denken over de huidige plaats en betekenis van dit beginsel, in een ander tijdsgewricht dan ten tijde van de totstandkoming van de huidige richtlijn. Dit beginsel moet niet worden verabsoluteerd maar dynamisch worden toegepast, op een wijze die recht doet aan bestaande behoeften.

Bedacht moet worden dat de verspreiding van informatie, en dus ook van persoonsgegevens thans veel sneller, gemakkelijker en goedkoper plaatsvindt dan in 1995. De behoefte aan informatieuitwisseling neemt ook toe. In het bijzonder in de sfeer van de overheid dienen beschikbare gegevens beter te worden benut, en vaker te worden gedeeld.

Hetgeen de verordening op dit gebied voorstelt, kan dan ook in beginsel op de instemming van de regering rekenen. Dat neemt overigens niet weg dat ook bij dit voorstel vragen worden gesteld. Zo is een zekere relativering van het doelbindingsvereiste alleen verantwoord wanneer gelijktijdig meer nadruk wordt gelegd op andere beginselen, zoals dataminimalisatie en beveiliging. Ook is in deze voorstellen nog onvoldoende verduidelijkt dat het de verantwoordelijke moet zijn op wie de taak rust primair te beoordelen of nevengebruik toelaatbaar is of niet, en onder welke voorwaarden dat kan geschieden. Een regeling, zoals thans neergelegd in artikel 9 Wbp, lijkt de regering ook thans zeker nog een goed perspectief. Voor nadere regelgeving door de Europese Commissie daaromtrent ziet de regering hier beslist geen plaats. Voor deze vragen is inmiddels de aandacht gevraagd in het onderhandelingsproces.

6. Overheid

Het Cbp betoogt dat de afwijkingen die de verordening biedt voor de verwerking van persoonsgegevens door en voor de overheid afbreuk doet aan de gedachte dat er sprake moet zijn van een alomvattend privacykader: een normenstelsel dat én voor de publieke én voor de private sector geldt.

De regering is van oordeel dat de Europese Commissie er voldoende in geslaagd is een alomvattend kader te presenteren van onderling samenhangende regels die in beginsel gelden voor burgers, bedrijven en overheid. Dat er in sommige van die regels afwijkende voorschriften gelden voor de overheid is noodzakelijk. Dat is in het huidige recht ook al het geval. De overheid verwerkt persoonsgegevens met het oog op het algemeen belang en met het oog op de realisatie van andere grondrechten, zoals het recht op leven en het recht op veiligheid. Daartegenover staat dat de overheid, anders dan bedrijven en burgers, aan veel meer vormen van publieke verantwoording is onderworpen, ook als het gaat om de verwerking van persoonsgegevens. Er moet worden voorzien in een behoorlijke wettelijke grondslag. Die eis wordt in verschillende bepalingen van de verordening versterkt. Daarnaast is er parlementaire controle, toezicht door het Cbp, de werking van het bestuursrecht en toezicht door de ombudsman. Al met al is regering van oordeel dat de afwijkende positie van de overheid voldoende gerechtvaardigd en voldoende gewaarborgd is.

7. Direct marketing

Het Cbp wijst erop dat artikel 19, tweede lid, van de ontwerpverordening voorziet in een recht van verzet ten aanzien van de verwerking van gegevens voor direct marketing. Het Cbp echt eraan te onderstrepen dat de bepalingen uit de e-privacyregelgeving onverkort van toepassing blijven.

Met het Cbp ziet de regering geen dringende reden hierin verandering te brengen.

8. Extraterritoriale werking van buitenlandse regelgeving

Het Cbp bepleit een nagenoeg absoluut verbod op de uitvoerbaarheid van bindende beslissingen, genomen op grond van het recht van een derde land, dat een verantwoordelijke in de EU verplicht tot het doorgeven van gegevens aan dat derde land. Het Cbp acht dit alleen mogelijk op grond van internationale rechtshulp of een andere verdragsrechtelijke grondslag.

De regering meent dat uit overweging 90 van de ontwerpverordening voldoende blijkt dat de Europese Commissie zich terdege realiseert dat het probleem van de toepassing van vreemd recht in de verordening én in overleg met de desbetreffende derde landen moet worden opgelost. De regering is met dit signaal zeer ingenomen. Hoe dit verder in de artikelen van de verordening is uitgewerkt roept op dit moment nog vragen op, maar de regering heeft de behoefte eerst van de Europese Commissie te vernemen hoe de bepalingen van de verordening moeten worden uitgelegd. In de loop van de onderhandelingen zal dit aan de orde komen.

De oplossing die het Cbp voorstaat acht de regering niet op voorhand een gegeven. Het uitsluiten dat, buiten een expliciete verdragrechtelijke grondslag, persoonsgegevens aan overheden of de rechter in een land buiten de EU worden doorgegeven, lost het probleem van conflicterende jurisdicties voor verantwoordelijken en betrokkenen niet volledig op. Dit vergroot het probleem juist omdat dit geen oplossing biedt voor gevallen waarin, bijvoorbeeld in een geschil voor een buitenlandse rechter bij wijze van e-discovery, incidenteel gegevens moeten worden overgedragen. Daarvoor zal een oplossing moeten blijven bestaan. De regering geeft er de voorkeur aan meer meer de nadruk leggen op het voorkomen van de overdracht van gegevens in bulk op grond van verplichtingen van buitenlands recht.

9 en 10. Eénloketfunctie en rechtsgang voor burgers

Het Cbp bepleit een aantal verduidelijkingen in de werking van de éénloketfunctie (artikel 51) bij de handhaving en de mogelijkheid voor burgers om geschillen aanhangig te maken. Dit heeft onder meer betrekking op de criteria voor de vaststelling van de bevoegde toezichthouder en de hoe de onderlinge besluitvorming plaatsvindt. Voor wat betreft de rechtsgang voor burgers (artikelen 73–75) zullen burgers zich mogelijk tot 27 verschillende toezichthouders moeten wenden. Het is van belang dat de burger zijn zaak aanhangig kan maken bij een rechter in het land waar hij woont, conform de geldende regels van rechtsvordering.

De regering heeft begrip voor deze vragen van het Cbp. Deze vragen zullen in de onderhandelingen aan de orde worden gesteld.

11. Uitzonderingen voor verplichtingen voor bedrijven met minder dan 250 fte

Het Cbp wijst erop dat de maatstaf van 250 fte bij ondernemingen geen juiste is, waar het gaat om het opleggen van relatief zware verplichtingen. Het Cbp betoogt dat het risico van de verwerking, niet de omvang van de onderneming de juiste maatstaf is. In de informatiemaatschappij kunnen bedrijven met slechts enkele medewerkers juist vaak voor de bescherming van persoonsgegevens zeer risicovolle verwerkingen doen.

De regering is dit geheel met het Cbp eens. Dit punt is dan ook met nadruk naar voren gebracht in de onderhandelingen.

12. Verplichtingen voor niet in de EU gevestigde verantwoordelijken

Het Cbp wijst erop dat bedrijven die niet zijn gevestigd in de EU en die een omvang van minder dan 250 fte hebben, of die zijn gevestigd in een land met een passend beschermingsniveau, niet verplicht zijn tot het aanwijzen van een vertegenwoordiger in de EU.

De regering is het met het Cbp eens dat nader gevraagd moet worden hoe ondernemingen, die onder deze uitzonderingen vallen, kunnen garanderen dat zij de rechten van betrokkenen respecteren of dat zij kunnen worden onderworpen aan handhavingsmaatregelen.

13. Advisering EDPB bij nieuwe regelgeving op het gebied van persoonsgegevens

Het Cbp zou graag zien dat de Europese Commissie verplicht wordt ook het advies van de European Data Protection Board (EDPB) in te winnen over gedelegeerde regelgeving of andere voorgenomen wet- en regelgeving voor de Unie.

De regering merkt op dat de taak om advies uit te brengen op voorstellen van de Commissie voor nieuwe wetgeving op het gebied van de bescherming van persoonsgegevens krachtens verordening (EG) 45/2001 primair is toebedeeld aan de Europees Toezichthouder voor de Gegevensbescherming. Naar het oordeel van de regering dient die positie in elk geval behouden te blijven. Waar de EDPB de plaats van de thans nog bestaande artikel 29 Werkgroep gaat vervangen, ligt het in de rede de daar beschikbare kennis en ervaring ook benut worden bij het ontwerp van nieuwe regels. Er kan voor de EDPB dus zeker een rol worden voorzien. De rol van de EDPB zou dan wel transparanter moet worden dan de rol die de artikel 29 Werkgroep thans vervult. In dat verband zou voorzien moeten worden in een verplichting de belanghebbenden, met name het bedrijfsleven, te horen.

14. Rol Europese Commissie bij besluiten in individuele casusposities

Het Cbp vraagt aandacht voor de rol die de Europese Commissie krijgt toebedeeld in individuele casusposities die in de EDPB worden behandeld. Het Cbp is van mening dat de EDPB een onafhankelijke raad is, bestaande uit onafhankelijke toezichthouders, en dat de Commissie daarin in beginsel geen rol speelt.

De regering kan deze gedachtegang van het Cbp onderschrijven. Ook de regering is van oordeel dat individuele handhavingszaken principieel door onafhankelijke toezichthouders – individueel of collectief – moeten worden behandeld. Een Europese instelling hoort daarin in beginsel niet thuis. De Europese Commissie heeft andere instrumenten om de handhaving van de verdragen en de verordening te bewerkstelligen. Het argument dat de Europese Commissie behoefte heeft aan input uit de handhaving ten behoeve van de opstelling van gedelegeerde regelgeving spreekt de regering niet aan. Daarin kan worden voorzien door een adviesrecht van de EDPB en bovendien staat de noodzaak voor het vaststellen van al die regels nog geenszins vast. De rol van de Europese Commissie wekt ook overigens bevreemding, omdat zij zelf – niet ten onrechte – dikwijls de absolute noodzaak van onafhankelijkheid van de dataprotectietoezichthouders benadrukt.

15. Ex ante activiteiten toezichthouders

Het Cbp constateert in de conceptverordening een verschuiving van ex post naar ex ante werkzaamheden van de toezichthouder. Het Cbp vreest dat de adviserende rol van de toezichthouder niet goed verenigbaar is met de eigenlijke toezicht- en handhavingsrol.

De regering herkent zich in het door het Cbp geschetste dilemma. Inderdaad moeten toezicht en handhaving bij voorkeur gescheiden worden van andere taken. Meer principieel is bovendien de vraag aan de orde naar de wenselijkheid van ex ante toezicht als zodanig. De rol van de verantwoordelijke moet ook werkelijk die van een verantwoordelijke zijn. De inhoudelijke verantwoordelijkheid voor de verwerking van persoonsgegevens dient niet te worden overgenomen door een toezichthouder.

16. Toename kosten toezicht en subsidiariteit

Het Cbp ziet in de conceptverordening een toename van de taken voor toezicht en handhaving. Het bepleit daarom een regeling die de financiering van deze taken afhankelijk maakt van factoren als het aantal inwoners, het bruto nationaal product en het aantal hoofdvestigingen van internationaal opererende ondernemingen.

De regering is van oordeel dat elke lidstaat de toezichthouder voor gegevensbescherming in staat behoort te stellen zijn taak op redelijke wijze uit te voeren. Dat doel kan ook worden bereikt zonder een koppeling van de financiering aan formele eisen die het Cbp voorstelt. De regering is van oordeel dat dit doel op verantwoorde wijze kan worden bereikt door een zorgvuldige afweging van de redelijke verlangens van het Cbp enerzijds tegen eisen van beheersing van de overheidsuitgaven anderzijds.

17. Discretionaire bevoegdheid voor nationale toezichthouders

Het Cbp bepleit in de verordening ruimte te creëren voor nationale toezichthouders om zelf te beslissen of zij bepaalde zaken al dan niet ter hand nemen, in plaats van een systeem waarbij sprake is van diverse verplichtingen om daartoe over te gaan.

De regering is niet op voorhand tegen een dergelijke gedachte. Het is niet onredelijk om de nationale toezichthouders, met het oog op een goede verdeling van de schaarse handhavingscapaciteit, zelf te laten beslissen of zij bepaalde zaken al dan niet aannemen.

B2. De ontwerprichtlijn

1. Samenhang tussen verordening en richtlijn

Het Cbp dringt erop aan de samenhang tussen de ontwerpverordening en de ontwerprichtlijn te waarborgen door begrippen als de rechtmatigheid van de verwerking, doelbinding, accuratesse van gegevens en de noodzaak tot het stellen van heldere bewaartermijnen in zowel de verordening als de richtlijn op te nemen.

De regering staat hier in beginsel positief tegenover, met dien verstande dat rekening moet worden gehouden met het verschil in het toepassingsbereik van de beide rechtsinstrumenten. Ditzelfde geldt voor de verplichtingen die van toepassing zijn op de verantwoordelijke en de bewerker. De verplichting tot het vragen van instemming aan de betrokkene is minder goed toepasbaar op de ontwerprichtlijn, omdat de betrokkene doorgaans geen instemming geeft voor de gegevensverwerking door politie en justitie. Tenslotte kan de regering zich ook vinden in de door het Cbp voorgestelde gelijktrekking van de bevoegdheden van de gegevensbeschermingsautoriteiten.

2. Toepassselijkheid richtlijn / nationale verwerkingen

Het Cbp stelt vast dat de richtlijn wel van toepassing zal zijn op verwerkingen in een strikt nationale context. Het Cbp juicht deze keuze toe, en hecht eraan dat de brede toepasselijkheid van de richtlijn tijdens de onderhandelingen behouden blijft.

De regering deelt de zienswijze van het Cbp. De inzet van het kabinet tijdens de onderhandelingen zal dan ook zijn dat de brede toepassing van de richtlijn behouden blijft.

3. Beperkingen aan verwerking van gegevens / codering

Het Cbp stelt vast dat de Wet politiegegevens een systeem van autorisaties kent, dat ook in de Europese en internationale samenwerking gehandhaafd zou moeten worden. Daarom zou het Cbp graag zien dat beperkingen op grond van nationale wetgeving ook van toepassing blijven wanneer gegevens worden uitgewisseld met andere EU-lidstaten, zoals wel is geregeld voor doorgiften aan derde landen.

De regering staat in beginsel positief ten opzichte van de wens van het Cbp, maar merkt wel op dat een dergelijke, algemeen gestelde, clausule een ernstige wissel kan trekken op de werklast voor politie en justitie omdat dit met zich mee kan brengen dat de handhavingsdiensten in de praktijk rekening moeten gaan houden met de specifieke normen van 26 andere lidstaten. Dat zou niet goed werkbaar zijn.

4. Onderscheid in categorieën en op basis van juistheid gegevens

Het Cbp verwelkomt de keuze om bij de verwerking een onderscheid te maken op grond van de positie van de betrokkene en op grond van de kwaliteit van de gegevens. Tegelijkertijd betreurt het de beperking door de toevoeging van de woorden «voor zover mogelijk» in de betreffende artikelen van de ontwerprichtlijn. Het Cbp bepleit op dit punt een resultaatsverplichting te creeren.

De regering deelt de zienswijze van het Cbp niet. Zoals ook in het BNC-fiche is aangegeven, is de regering geen voorstander van de nadere categorisering van gegevens, als voorgesteld door de Europese Commissie. De aard van het politiewerk is er juist op gebaseerd te komen tot een inschatting van de betrouwbaarheid van gegevens, die doorgaans niet van de betrokkene zelf zijn verkregen. Dergelijke verplichtingen zijn niet goed verenigbaar met de wijze waarop de politie haar taak uitoefent en zullen tot aanzienlijke verhoging van de lasten van de rechtshandhavingsdiensten kunnen leiden, zonder dat dit wordt gerechtvaardigd door het belang van de verplichtingen voor de gegevensbescherming.

5. Verwerkingsverbod van gevoelige gegevens

Het Cbp heeft met instemming kennis genomen van het algemene verwerkingsverbod voor gevoelige gegevens maar meent dat de algemene uitzondering een stap te ver gaat omdat deze met zich mee kan brengen dat de verwerking van gevoelige gegevens door middel van een wettelijke bepaling kan worden geautoriseerd.

De regering deelt de zienswijze van het Cbp niet. Het begrip gevoelige gegevens is ruim gedefinieerd en kan in de praktijk een nog ruimere uitwerking hebben. Daarvoor kan worden gewezen op foto’s van bewakingscamera’s die ook ras en huidskleur vastleggen. Ook kan worden gedacht aan aangiften van ernstige strafbare feiten jegens homoseksuele personen. Een algeheel verwerkingsverbod voor dergelijke gegevens is weinig realistisch. Naar het oordeel van de regering kunnen met het vereiste van een wettelijke regeling goede waarborgen worden geboden voor een zorgvuldige gegevensverwerking, zonder dat de regering overigens bij voorbaat tegen aanvullende of andere waarborgen gekant is.

6. Recht op informatie

Het Cbp acht het recht op informatie voor betrokkenen een belangrijk kernbegrip in het dataprotectierecht maar meent dat en in de politie- en justitiesector een gerechtvaardigd belang kan zijn om dit recht onder voorwaarden te beperken. De voorgestelde mogelijkheid tot beperking van dit recht zijn naar de zin van het Cbp echter veel te ruim. Het Cbp hecht dan ook sterk aan een zaakspecifieke afweging door de verantwoordelijke of de bewerker. Een beperking zou alleen moeten zien op die informatie die lopende onderzoeken of operaties kan ondermijnen en niet op alle informatie over de betrokkene.

De regering deelt de zienswijze van het Cbp niet. Zoals ook in het BNC-fiche is aangegeven, is een algemene verplichting voor de rechtshandhavingsdiensten om de betrokkene te informeren dat over hem persoonsgegevens worden verwerkt niet goed verenigbaar met de aard van de politietaak. Een dergelijke algemene verplichting lijkt niet goed uitvoerbaar bij gebeurtenissen waarbij grote aantallen personen in aanraking komen met de politie, bijvoorbeeld bij grootschalige ordeverstoringen, en overigens niet goed verenigbaar met de aard van de politietaak, die voorziet in de heimelijke inzet van bijzondere opsporingsbevoegdheden. Tenslotte wordt een dergelijke algemene verplichting evenmin voorgeschreven door de Europese verdragen. Het in het Handvest van de Grondrechten van de Europese Unie vastgelegde recht op de bescherming van persoonsgegevens (artikel 8) en het in het Europees Verdrag voor de Rechten van de Mens vastgelegde recht op respect voor het privé-leven, het familie- en gezinsleven, de woning en de correspondentie (artikel 6) strekken niet tot een recht op informatie voor betrokkenen.

7. Doorgifte van gegevens naar landen buiten de EU of internationale organisaties

Het Cbp merkt op dat de richtlijn in de mogelijkheid voorziet om gegevens door te geven naar derde landen of internationale organisaties, zelfs wanneer er (door de Europese Commissie) geen oordeel is geveld over de adequaatheid van het beschermingsniveau aldaar. In een dergelijk geval zal de verantwoordelijke zelf moeten beoordelen in hoevere het beschermingsniveau naar Europese normen adequaat is. Het Cbp hecht eraan dat duidelijkheid wordt verstrekt over handvatten om het beschermingsniveau van het land of de organisatie in kwestie te beoordelen. Verder dringt het Cbp erop aan dat voor de afwijkingen die in artikel 36 zijn voorzien, nadere voorwaarden worden gesteld zodat zij alleen in echte uitzonderingssituaties kunnen worden toegepast en niet als standaardgrondslag voor doorgifte gebruikt kunnen worden.

De regering acht het eveneens van belang dat duidelijkheid wordt verstrekt over de handvatten ter beoordeling van het beschermingsniveau in derde landen. De praktijk is hierbij sterk gebaat, omdat nadere oriëntaties of richtsnoeren zeer nuttig kunnen zijn voor de afweging omtrent de verstrekking van gegevens. De regering is echter terughoudend ten aanzien van de gedachte om de afwijkingen in artikel 36, in het bijzonder onderdeel d, te beperken tot echte uitzonderingssituaties. De bronlanden van ernstige vormen van criminaliteit, waarmee de rechtshandhavingsdiensten in Nederland worden geconfronteerd, kunnen in werelddelen zijn gelegen waar andere normen gelden op het gebied van de bescherming van persoonsgegevens. In het belang van het welslagen van een opsporingsonderzoek of van de vervolging kan het noodzakelijk zijn met dergelijke landen gegevens uit te wisselen. Uiteraard kunnen daarbij extra waarborgen worden ingebouwd, zoals garanties over de gegevensverwerking door het ontvangende land of een beperking in omvang en aard van de te verstrekken gegevens (geen CIE-gegevens, geen gevoelige onderzoeksgegevens, geen gegevens van Nederlanders e.d.). In ieder geval is op dit punt enige flexibiliteit nodig, in het belang van een effectieve en geloofwaardige criminaliteitsbestrijding.

8. Eén toezichthouder

Het Cbp wijst erop dat de richtlijn de lidstaten de mogelijkheid biedt om te voorzien in eenzelfde toezichthouder voor de richtlijn en de verordening. Het Cbp hecht eraan dat dit ook daadwerkelijk het geval is, vanuit het oogpunt van consistentie.

De regering stelt vast dat in Nederland is gekozen voor één enkele toezichthouder en acht het wenselijk dat in de andere lidstaten eenzelfde keuze wordt gemaakt. Te dien aanzien verdient een verplichting de voorkeur.

9. European Data Protection Board

Het Cbp constateert met tevredenheid dat de samenwerking in het kader van de EDPB zich ook uitstrekt naar de richtlijn. De formele advisering op voorstellen in het kader van de Europese politie- en justitiesamenwerking wordt eveneens verwelkomd. Het Cbp zou graag zien dat ook het EP de mogelijkheid krijgt in voorkomende gevallen de EDPB om advies te vragen.

De regering staat bij voorbaat niet afwijzend ten opzichte van de zienswijze van het Cbp. De richtlijn lijkt hieraan echter niet in de weg te staan, zoals het Cbp zelf ook opmerkt.

10. Sanctiemogelijkheden

Het Cbp stelt vast dat in de verordening een uitgebreid sanctie-arsenaal voor de toezichthouder is voorzien in het geval een verantwoordelijke of bewerker handelt in strijd met het datraprotectierecht. De richtlijn blijft daarbij achter en het Cbp bepleit een verdergaande harmonisatie. Op zijn minst zou aan de toezichthouder de bevoegdheid moeten toekomen van het opleggen van boetes, ongeacht of deze bestuurlijk dan wel strafrechtelijk zijn.

De regering kan zich in ieder geval voor de bestuurlijke sanctionering in de zienswijze van het Cbp vinden. In de Wet politiegegevens is reeds voorzien in de mogelijkheid van een last onder dwangsom of een bestuurlijke boete in het geval van het niet naleven van de protocolplicht (artikel 35, tweede en derde lid, Wpg).

11. Daadwerkelijk alomvattend rechtskader

Het Cbp constateert dat ook na de inwerkingtreding van de nieuwe richtlijn nog geen daadwerkelijk alomvattend rechtskader voor gegevensbescherming zal zijn gerealiseerd. Op deelterreinen blijven afzonderlijke regelingen gelden. Het voornemen van de Commissie om binnen drie jaar met voorstellen tot aanpassing van de afzonderlijke regelingen, acht het Cbp dit niet voldoende. Het Cbp meent dat op termijn alle afzonderlijke regelingen onder de reikwijdte van de richtlijn dienen te worden gebracht. De enige te rechtvaardigen uitzondering is wanneer momenteel een hoger beschermingsniveau wordt geboden dan dat van de richtlijn.

De regering acht het evenmin wenselijk dat op deelterreinen afzonderlijke regeling blijven bestaan en meent dat deze bij voorkeur onder de werkingssfeer van de richtlijn zouden moeten worden gebracht. Zoals ook in het BNC-fiche is aangegeven, dient deze aanpassing naar het oordeel van de regering bij voorkeur te worden betrokken in de totstandkoming van de richtlijn.

Ik zou het op prijs stellen om binnen afzienbare termijn in een Algemeen Overleg te kunnen vaststellen of de inzet van de regering op voldoende steun kan rekenen in uw Kamer.

De minister van Veiligheid en Justitie, I. W. Opstelten

Naar boven