Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 januari 2024

Met de Wet van 17 oktober 2018 tot wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen zijn er – vergelijkbaar met de Algemene verordening gegevensbescherming – verplichtingen gekomen die moeten zorgen voor een verbeterd beschermingsniveau bij de organisaties in het politie- en justitiedomein bij de verwerking van persoonsgegevens. Deze gegevensverwerkingen vinden alleen plaats, voor zover deze noodzakelijk zijn voor de wettelijk vastgestelde doeleinden zoals onder meer een goede strafrechtstoepassing.

Met ingang van 1 november 2023 moeten de organisaties in het politie- en justitiedomein de (relevante) systemen zo aangepast hebben dat de (geautomatiseerde) logging bijhoudt welke specifieke gegevensverwerkingen er hebben plaats gevonden. Deze zogenaamde loggingsverplichting maakt het mogelijk om achteraf de rechtmatigheid van de gegevensverwerking te controleren, of interne controles (naar de beveiliging) uit te voeren. Daarmee verandert er niets aan de huidige verwerkingen van persoonsgegevens van strafrechtelijke aard zelf. De organisaties blijven die verwerkingen op basis van de bestaande wettelijke grondslag, voor dezelfde noodzakelijke verwerkingsdoeleinden doen.

Op dit moment hebben de meeste organisaties de voor de loggingsverplichting benodigde systeemaanpassingen doorgevoerd. Enkele organisaties hebben aangegeven dat zij de meeste systeemaanpassingen in de loop van 2024 zullen afronden en enkele systemen in 2025. Dit heeft met name te maken met plannings- en capaciteitsproblemen bij het invoeren van nieuwe ICT-systemen of bij het verbeteren van oudere systemen. In de praktijk betekent dit dat er op dit moment gegevensverwerkingen zijn, waarbij de verwerking van persoonsgegevens geautomatiseerd conform de wettelijke grondslag wordt vastgelegd, maar waar mogelijk bij een deel van die gegevensverwerkingen (door non-conforme systemen) er nu nog geen vastlegging van die gegevensverwerking plaatsvindt. Dat kan de controle achteraf van een gegevensverwerking bij een niet-conform systeem organisaties bemoeilijken. Uiteraard wordt alles op alles gezet om deze situatie zo snel mogelijk te verhelpen.

Hoewel de logginsverplichting bijdraagt aan een verbeterd beschermingsniveau, wil ik hier ook benadrukken dat de verwerkingen van persoonsgegevens ook nu zorgvuldig, en met de nodige (wettelijke) waarborgen omkleed, plaatsvinden. Te denken valt bijvoorbeeld aan een gegevensbeschermingseffectbeoordeling voorafgaand aan (nieuwe) verwerkingen van gegevens of aan andere aanwezige (interne) controlemechanismen. Uiteraard blijf ik de voortgang van die benodigde systeemaanpassingen op de voet volgen en blijft de inzet van mijn departement onverminderd gericht op de volledige conformiteit van alle desbetreffende organisaties aan de loggingsverplichting. Ik zal uw Kamer daarover actief informeren.

De Minister voor Rechtsbescherming, F.M. Weerwind