Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2011-201232761 nr. 34

32 761 Verwerking en bescherming persoonsgegevens

Nr. 34 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 29 juni 2012

Tijdens het Algemeen Overleg over de EU-wetgeving bescherming persoonsgegevens op 7 maart jl. (Kamerstuk 32 761, nr. 27) heb ik toegezegd om de Tweede Kamer voor het zomerreces te informeren over enige onderwerpen met betrekking tot het College bescherming persoonsgegevens (Cbp). Ook maak ik van de gelegenheid gebruik u te informeren over het verloop van het onderhandelingsproces over de verordening en de richtlijn in Brussel.

Financiering Cbp

De financiering van het Cbp is in de afgelopen periode bij meerdere gelegenheden aan de orde geweest, met name werd de vraag gesteld of het niet mogelijk was extra financiële ruimte te vinden voor het Cbp. Die ruimte is – gezien het huidige financiële klimaat en in het licht van het begrotingsakkoord en mogelijk nog op handen zijnde bezuinigingen – niet beschikbaar. Daarbij wil ik memoreren dat het budget voor het Cbp tot 2010, volledig is ontzien (het budget steeg van 2001 tot 2010 gemiddeld 12% per jaar). Vanaf 2010 is het budget voor het Cbp ondanks de financiële crisis bij de opgelegde taakstellingen zoveel mogelijk ontzien. Het budget wordt gemiddeld met 1% per jaar gekort, waar andere organisaties tot 10% of meer structureel hebben moeten inleveren.

Met het oog op de meldingsplicht datalekken is de afspraak gemaakt dat de effecten daarvan voor de werklast van het Cbp worden gemonitord en dat, indien daartoe aanleiding bestaat, daarover het gesprek gevoerd kan worden.

Financiering middels bestuurlijke boetebevoegdheid

Ik zegde uw Kamer, ten behoeve van aanvullende financiering van het Cbp, een standpuntbepaling toe over het alsnog doorzetten van nationale wetgeving om het Cbp uit te rusten met een bestuurlijke boetebevoegdheid.

Daarvoor is bij vier soortgelijke organisaties (NMa, OPTA, AFM en BFT) onderzocht aan wie de ontvangsten uit de bestuurlijke boeten toekomt. Uit dit onderzoek is gebleken dat de ontvangsten van de bestuurlijke boeten niet toekomen aan het bestuursorgaan dat ze oplegt (NMa, OPTA en AFM). Dit heeft te maken met het feit dat ontvangsten (uit een bestuurlijke boetebevoegdheid) niet (zomaar) kunnen worden ingezet om de uitgaven te dekken als gevolg van de inkomsten- en uitgavenscheiding die de overheid hanteert.

In het geval waar dit wel zo is (BFT) gaat het om een dermate gering bedrag dat daarmee (de schijn van) belangenverstrengeling wordt voorkomen.

Ook zou het inzetten van boetes ter financiering van het Cbp op principiële bezwaren stuiten. Het is gebleken dat het moeilijk te ramen is welk bedrag er aan boetes in een willekeurig jaar ontvangen gaat worden. Bij tegenvallende ontvangsten ontstaat wellicht de neiging – of de druk van buitenaf – hierop te sturen. Als ik het Cbp een ontvangstenkader zou opleggen voor de ontvangsten uit boetes kan dit een perverse prikkel aan het Cbp geven en/of een verkeerd beeld scheppen in de buitenwereld. Mijns inziens moet te allen tijde voorkomen worden dat de schijn gewekt wordt dat het Cbp een boete oplegt om de eigen exploitatie te bekostigen.

Financiering middels prejudiciële vragen

In het algemeen overleg van 7 maart 2012 is in het kader van de financiering van het Cbp door het lid Van Toorenburg de mogelijkheid geopperd dat belanghebbenden, gedacht werd met name aan het bedrijfsleven, tegen betaling bepaalde rechtsvragen door het Cbp zouden kunnen laten beantwoorden. Ik heb toegezegd die mogelijkheid nader te zullen bezien en daarop terug te komen.

Ik heb deze suggestie allereerst met het georganiseerd bedrijfsleven besproken. Het bedrijfsleven heeft mij meegegeven dat het veel meer ziet in het verder ontwikkelen van de bestaande relaties met het Cbp, dan in het tegen betaling laten beantwoorden van vragen. Ook vreest men een verdergaande juridisering van privacyvraagstukken wanneer dit voorstel zou worden uitgevoerd.

Ook het Cbp heeft mij laten weten niet veel voor de suggestie te voelen. Ik moet dan ook concluderen dat een voldoende draagvlak voor uitvoering van de suggestie lijkt te ontbreken. Het lijkt mij dan ook niet verstandig deze weg verder te vervolgen.

Financiering vanuit Brussel

In het algemeen overleg van 7 maart 2012 is in het kader van de financiering van het Cbp door het lid van uw Kamer de heer Elissen de vraag aan de orde gesteld of uit Europese fondsen aanvullende financiering voor het Cbp kan worden verkregen.

Het voorstel voor een Algemene verordening gegevensbescherming bevat een bepaling die juist de lidstaten verplicht zorg te dragen voor een adequate financiering van het Cbp, waarbij de uiteindelijke bepaling wat als «adequaat» kan worden aangemerkt aan de Europese Commissie is. Los van de omstandigheid dat ik bezwaren heb tegen deze bepaling, acht ik de kans dat met een dergelijk voorstel in het kader van deze onderhandelingen aanvullende financiering uit Europese fondsen mogelijk is, nagenoeg nihil. Wellicht is het mogelijk om direct of indirect uit andere Europese bronnen financiering te verkrijgen. Als dat mogelijk is, zal ik uw Kamer daarover berichten.

Uitbreiding sanctiebevoegdheden Cbp los van financieringsvraagstukken

In het algemeen overleg van 7 maart 2012 is, ook los van de discussie over de financiering van het Cbp, door een aantal leden van uw Kamer gevraagd naar de mogelijkheid om in Nederland op korte termijn op nationaal niveau wetgeving tot stand te brengen waarmee het Cbp de materiële bepalingen van de Wbp met een bestuurlijke boete zou kunnen handhaven.

In zijn algemeenheid ben ik er voorstander van dat het Cbp met een bredere bestuurlijke boetebevoegdheid wordt uitgerust. Ik heb dat ook uiteengezet in de brief die ik samen met de Minister van Binnenlandse Zaken en Koninkrijksrelaties op 29 april 2011 (Kamerstukken II 2010/11, 32 761, nr. 1) aan uw Kamer heb gezonden en de daarbij behorende Notitie privacybeleid. In mijn brief van 20 februari 2012 aan de Voorzitter van de Eerste Kamer der Staten-Generaal – en waarvan afschrift is gezonden aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken I 2011/12, 33 000, R) ben ik reeds op dit vraagstuk ingegaan.

De omstandigheid dat de Europese Commissie in het voorstel voor een Algemene verordening gegevensbeschermingsrecht eveneens een voorstel heeft gedaan om dataprotectietoezichthouders met een bestuurlijke boetebevoegdheid uit te rusten, plaatst de uitvoering van dat voornemen in een ander licht.

Allereerst wil ik graag vermijden dat er nodeloos dubbel werk wordt verricht. Een wetsvoorstel voor de bestuurlijke boetebevoegdheid kost de nodige voorbereidingstijd. In de tussentijd gaan de onderhandelingen over de verordening gewoon door. Daarnaast geeft een nationaal wetsvoorstel onvermijdelijk aanleiding tot de vraag hoe dat wetsvoorstel zich verhoudt tot de ontwerpverordening. Het zal noodzakelijk zijn een dergelijk wetsvoorstel aan de Europese Commissie te notificeren, omdat het vermoedelijk valt binnen de reikwijdte van de notificatierichtlijnen (richtlijnen 98/34/EG en 98/48/EG) en de Dienstenrichtlijn. De Commissie kan na notificering eventueel een standstilltermijn opleggen indien zij van oordeel is dat het wetsvoorstel een verstoring van de interne markt oplevert. Die standstilltermijn kan onder omstandigheden oplopen tot 18 maanden.

Om dergelijke beslissingen zoveel mogelijk te voorkomen, zou het dan voor de hand liggen dat een wetsvoorstel vast zoveel mogelijk wordt toegesneden op de verordening. Dat is maar gedeeltelijk mogelijk, omdat de verordening aanzienlijk uitgebreider is dan richtlijn 95/46/EG waarop de Wbp berust. Bovendien liggen belangrijke onderdelen van de sanctiebepaling, waaronder de maximumbedragen, in de verordening nog niet voldoende vast.

En na vaststelling van de verordening is nationale wetgeving tot regeling van de bestuurlijke boete in het dataprotectierecht niet langer verenigbaar met het EU-recht. Die wetgeving zal dan weer moeten worden ingetrokken.

Alles afwegende moet ik concluderen dat een voorstel van wet tot regeling van de bevoegdheid van het Cbp om overtredingen van de materiële bepalingen van de Wbp bestuurlijk te beboeten zowel inhoudelijk als procedureel met veel onzekerheden is omgeven. De kans dat een zodanig wetsvoorstel het Staatsblad haalt op een moment dat de samenleving daar nog geruime tijd de vruchten van kan plukken voordat het wordt achterhaald door de verordening acht ik dan ook zodanig klein, dat ik afzie van het voornemen een dergelijk voorstel voor te bereiden.

Stand van zaken onderhandelingen Algemene verordening gegevensbescherming en richtlijn gegevensbescherming opsporing en vervolging

De Commissie heeft het voorstel voor een Algemene verordening gegevensbescherming en het voorstel voor een richtlijn voor de bescherming van persoonsgegevens bij de opsporing en vervolging op 25 januari 2012 gelijktijdig bij het Europees Parlement en de Raad ingediend.

In de Raad is het voorstel toebedeeld aan de permanente Raadswerkgroep Data Protection and Information Exchange.

Het voorzitterschap heeft tot op heden twee vergaderingen van de werkgroep belegd, op 23 en 24 februari 2012, en op 14 en 15 maart 2012. Een oorspronkelijk geplande vergadering op 16 en 17 april 2012 is bekort tot één dag en uitsluitend gewijd aan het voorstel voor de richtlijn voor de gegevensbescherming op het gebied van de opsporing en vervolging. Een oorspronkelijk geplande vergadering op 22 en 23 mei 2012 moest worden uitgesteld, omdat het vergadergebouw en de beschikbare vertolkingscapaciteit benodigd waren voor een ingelaste vergadering van de Europese Raad. Op 27 en 28 juni 2012 is een nieuwe vergadering belegd. Het Cyprische voorzitterschap heeft haar planning voor de tweede helft van dit jaar nog niet bekendgemaakt.

De Raadswerkgroep vergadert in breed verband. Naast de EU-lidstaten, zijn toetredend lid Kroatië, de EER-landen IJsland, Noorwegen en Liechtenstein en, vanwege de Schengen-aspecten, ook Zwitserland vertegenwoordigd. In totaal betreft het 34 landen.

De Commissie hoopt over beide voorstellen in de eerste helft van 2013 een politiek akkoord te bereiken. De Commissie hoopt dat het pakket voor de eerstvolgende verkiezing van het Europees Parlement in juni 2014 gereed is.

Een aantal parlementen van de lidstaten – of kamers daaruit – heeft op één of beide instrumenten een negatief subsidiariteitsoordeel uitgesproken, conform artikel 6 van Protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid, behorende bij het Verdrag van Lissabon. Voor zover thans bekend betreft het Portugal (Nationale Assemblee), Duitsland (Bondsraad), Zweden (Rijksdag), Spanje (Cortes) en Frankrijk (Senaat).

Raadswerkgroep 22 en 23 februari 2012

In de Raadswerkgroep van 22 en 23 februari 2012 is het voorstel eerst in algemene zin en vervolgens artikelsgewijs besproken op ambtelijk niveau.

De werkzaamheden zijn gestart met een presentatie door de Commissie van het totale pakket. De Commissie heeft daarbij aangegeven veel waarde toe te kennen aan stimulering van de groei van de digitale economie. Wanneer het vertrouwen van burgers in de bescherming van hun persoonsgegevens in de hele EU toeneemt, aldus de Commissie, zal juist de digitale economie daarvan profiteren. Dat geldt volgens de Commissie ook voor het terrein van politie en justitie, omdat de richtlijn ook regels geeft voor de binnenlandse verwerking van persoonsgegevens door politie en justitie. Ook geven de technologische ontwikkelingen de Commissie aanleiding het rechtskader te herzien. Tenslotte wordt met het pakket ook een belangrijke versterking van de rechten van de burger beoogd.

Met het voorstel voor de verordening wil de Commissie vier hoofddoelstellingen realiseren. Eerste hoofddoelstelling is een betere bescherming van de burger. De burger moet in staat worden gesteld meer zeggenschap over de eigen gegevens uit te oefenen. Daarom wordt het recht om te worden vergeten voorgesteld. Het recht op dataportabiliteit en een betere bescherming van jeugdigen passen daar ook bij. Tweede hoofddoelstelling is een versterking van de handhaving. Toezichthoudende autoriteiten krijgen meer bevoegdheden om op te treden en stevige sanctiemogelijkheden. Handhaving is ook van belang in verband met de economische waarde van gegevens. Daarbij past ook dat de verplichtingen op het gebied van de informatiebeveiliging worden aangescherpt. Derde hoofddoelstelling is dat met de keuze voor een verordening een meer samenhangend en eenvormiger pakket aan regels kan worden vastgesteld, dat bovendien met uitvoeringsregels gemakkelijk zal kunnen worden aangepast aan nieuwe ontwikkelingen. Hierbij past ook een terugdringing van de bureaucratie, waarvan het bedrijfsleven zal kunnen profiteren. Bij een meer eenvormig stelsel van regels past ook een goed gecoördineerde handhaving, ook binnen de EU als geheel. Een nieuwe European Data Protection Board past daarbij. Vierde hoofddoelstelling zijn nieuwe regels en nieuwe mogelijkheden voor de grensoverschrijdende doorgifte van gegevens.

Nederland heeft in de algemene discussie volgend op de presentatie allereerst het door uw Kamer verlangde parlementair voorbehoud uitgesproken, gevolgd door een algemeen studievoorbehoud op het gehele pakket. Nederland heeft vervolgens zijn waardering uitgesproken voor de indrukwekkende hoeveelheid werk die de Commissie heeft verricht.

Het voorstel regelt volgens Nederland een groot aantal zaken die niet meer op nationaal niveau kunnen worden geregeld. Eenvormige regelgeving, verplichte onderlinge samenwerking van toezichthouders en een eenvormig sanctieregime zullen bijdragen aan verhoging van het niveau van gegevensbescherming in de Unie. De keuze voor een verordening is positief. Niettemin zijn er wel een groot aantal vragen over de algemene opzet van de verordening. Nederland mist ook een regeling ten aanzien van openbaarheid van documenten. De positie van de gewone burger die zelf persoonsgegevens verwerkt buiten de exceptie voor zuiver persoonlijke en huishoudelijke doeleinden wordt aan dezelfde verplichtingen onderworpen als een groot bedrijf. Dat geldt dus ook voor bijvoorbeeld een student die in het kader van een onderzoek persoonsgegevens verwerkt. Ten aanzien van de positie van de burger die op kleinschalige wijze, al dan niet via sociale netwerken gegevens verwerkt vraagt Nederland zich af of de verordening daarop wel goed is toegesneden. Bij de positie van bedrijven wordt wat het opleggen van verplichtingen betreft een onderscheid gemaakt naar grootte van de onderneming. Waar het gaat om gegevensbescherming lijkt het risico dat met de specifieke verwerking is gemoeid een beter criterium. Een klassiek industrieel productiebedrijf heeft – ongeacht de grootte – doorgaans niet meer dan een personeelsbestand. Een algemeen aanvaarde gegevensverwerking. Het is vraag of daarvoor Privacy Impact Assessments moeten worden gemaakt.

Belangrijk voor Nederland is dat de positie van de overheid in de samenleving zich onderscheidt van die van burgers en bedrijven. Overheden hebben gegevens nodig voor de verwerkelijking van andere grondrechten van burgers dan het recht op bescherming van persoonsgegevens. Overheden moeten die gegevens onderling kunnen delen. Overheden moeten zich daartegenover ook verantwoorden jegens parlementen, rechtstreeks naar burgers en naar de rechter. Gemist worden bepalingen over de posities van openbare registers, nationale identificatienummers en openbaarheid van documenten.

De voorwaarden voor het toepassen van cameratoezicht worden verzwaard. Dat acht Nederland problematisch. Het is goed te lezen dat administratieve lasten gemoeid met de meldplicht in de richtlijn verdwijnen. Daar staat tegenover dat de verplichtingen voor bedrijven en overheid toenemen met een onbekend bedrag. Omdat wij niet weten met welk bedrag is het de vraag of er voldoende evenwicht bestaat in het voorstel. Het is goed te zien dat het regime voor grensoverschrijdende verwerkingen is verbeterd.

Toch is het de vraag of alle problemen zijn opgelost, met name de vraag over de rechtvaardiging van gegevensoverdracht op grond van eenzijdige verplichtingen van buitenlands recht. Vragen bestaan ook over de voorstellen om op vele punten te voorzien in gedelegeerde handelingen door de Commissie. De noodzaak daartoe staat in lang niet in alle gevallen vast. Het toezicht wordt versterkt. Maar er zijn vragen van institutionele aard te stellen bij de voorgestelde samenstelling van de European Data Protection Board. De eisen die worden gesteld aan de financiering van de nationale toezichthouders in een tijd waarin alle overheden verplicht zijn te bezuinigen acht Nederland niet gerechtvaardigd.

De rest van de vergadering is besteed aan een artikelsgewijze bespreking van de artikelen 1 tot en met 5, onderdeel a, van de verordening. Deze besprekingen kenmerken zich door een zeer grondige en gedetailleerde vraagstelling door alle lidstaten die het woord voeren. Het eerste gedeelte van de verordening bevat de definitie- en reikwijdtebepalingen. Het is juist bij deze bepalingen dat zich de meeste nieuwe vragen en interpretatiekwesties voordoen. Het is van groot belang dat op de gestelde vragen steeds een zo duidelijk mogelijk antwoord komt, dat te zijner bij de Raad op een zo breed mogelijk draagvlak kan rekenen. Wij zijn echter nog niet zo ver dat over alle besproken onderdelen al voldoende consensus bereikt kan worden.

Nederland heeft in de artikelsgewijze bespreking aandacht gevraagd voor een aantal bijzondere aspecten.

Nederland heeft met name aandacht gevraagd voor de reikwijdte van de uitzondering die de richtlijn maakt voor gegevensverwerking van persoonlijke en huishoudelijke aard. Nederland acht het van groot belang dat juist in een digitale economie de verordening rekening houdt met zeer kleinschalige verwerkingen van beroeps- en bedrijfsmatige aard, en dat juist deze verwerkingen op evenredige en passende wijze worden benaderd als het gaat om het opleggen van verplichtingen. Verder heeft Nederland nog aandacht gevraagd voor de omstandigheid dat de politie in Nederland soms ook taken verricht die buiten het strikt strafrechtelijke domein vallen. De vraag is of persoonsgegevens die in dat kader worden verwerkt door de verordening worden beheerst, of toch ook door de richtlijn.

Verder heeft Nederland aandacht gevraagd voor het schrappen van de activiteit «blokkeren» als bestanddeel van het verwerken van persoonsgegevens. Nederland heeft ook aandacht gevraagd voor de consequenties voor de nalevingskosten die voortvloeien uit het vernieuwde begrip toestemming en de wijze waarop dat in de verordening is uitgewerkt. Nederland heeft tegen de achtergrond van de eigen ervaring bij het opstellen van het wetsvoorstel meldplicht datalekken gewaarschuwd voor de consequenties van het verplicht melden van elk denkbaar datalek. Nederland heeft daarnaast aandacht gevraagd voor de leeftijdsgrens van 18 jaar. Hoewel er nog afzonderlijk wordt gesproken over de leeftijdsgrens van 13 jaar voor de verwerking van gegevens van en door jeugdigen op internet, vraagt Nederland zich af of de leeftijdsgrens van 18 jaar voor alle overige gevallen wel voldoende aansluit bij de realiteit van alle dag.

Raadswerkgroep 15 en 16 maart 2012

In de Raadswerkgroep van 15 en 16 maart 2012 is een presentatie gehouden door de Europees Toezichthouder voor Gegevensbescherming (EDPS), de heer Hustinx, van het omvangrijke en grondige advies dat hij op 7 maart 2012 over het hele pakket heeft uitgebracht. De presentatie is gevolgd door een discussie over enkele hoofdlijnen van het advies, zoals de regeling voor het verenigbaar gebruik van persoonsgegevens voor verschillende doeleinden en de mogelijkheid voor het maken van een onderscheid tussen de private en de publieke sector.

Vervolgens is een presentatie gehouden door de voorzitter van Artikel 29 Werkgroep, het onafhankelijk verband van EU-dataprotectietoezichthouders, de heer Kohnstamm. De Artikel 29 Werkgroep heeft op 23 maart 2012 een advies vastgesteld waarvan de hoofdlijnen door de heer Kohnstamm werden onthuld. Ook zijn presentatie gaf aanleiding tot discussie, onder meer over de vraag onder welke voorwaarden persoonsgegevens aan de overheden van derde landen mogen worden doorgegeven en de vraag naar de mogelijkheden om de vaststelling van adviezen van de European Data Protection Board vooraf te laten gaan door het horen van belanghebbenden.

De rest van de vergadering is besteed aan een bespreking van de artikelen 5, onder b, tot en met 9, eerste lid. Ook deze artikelen horen tot de basisbeginselen van de verordening, en zijn daarom eveneens grondig en gedetailleerd besproken.

Nederland heeft bij de behandeling van de algemene beginselen aandacht gevraagd voor de noodzaak de rechtvaardigingsgronden voor het verwerken van persoonsgegevens zorgvuldiger te verantwoorden, de noodzaak om duidelijker te omschrijven onder welke voorwaarden nevengebruik van persoonsgegevens gerechtvaardigd is en de regeling van de bewaartermijn.

Bij de behandeling van de rechtvaardigingsgronden is langdurig stilgestaan bij de vraag hoe het criterium gegevensverwerking ten behoeve van de uitoefening van publieke taken moet worden afgegrensd, de vraag hoe de eisen die gesteld worden aan de nationale wetgeving die rechtvaardigt dat voor bij die wetgeving te bepalen doelen persoonsgegevens mogen worden verwerkt zich verhouden tot de eisen die gelden op grond van het nationale recht. Bij de regeling voor het verenigbaar gebruik is door Nederland aandacht gevraagd voor de noodzaak de verantwoordelijke de bevoegdheid te geven primair te bepalen welk gebruik als verenigbaar gebruik, of bij onverenigbaar gebruik, te bepalen welke rechtvaardigingsgrond daarvoor moet worden ingeroepen. Ook is gevraagd naar de mogelijkheden om gegevens door een verantwoordelijke ten behoeve van derden te mogen verwerken.

Het toestemmingsvereiste gaf aanleiding tot veel vragen over de consequenties van het toestemmingsvereiste voor de nalevingskosten, en vooral over de rechtsgevolgen van het intrekken van een toestemming. De algemene beperkingsclausule dat toestemming geen rechtvaardigingsgrond kan vormen bij een substantiële onevenwichtigheid in de verhouding tussen verantwoordelijke en betrokkene vond vanwege het potentieel zeer conflictopwekkende karakter daarvan weinig bijval.

De verwerking van persoonsgegevens van jeugdigen geeft aanleiding tot een onderscheid in verschillende groepen jeugdigen, omdat verschillende leeftijdsgrenzen worden voorgesteld voor de diensten van de informatiemaatschappij (13 jaar), en alle overige verwerkingen (18 jaar). Laatstgenoemde laatste grens acht Nederland te eenzijdig georiënteerd op het formele criterium van de VN-Verdrag voor de rechten van het kind. Met de eerstgenoemde grens wordt aansluiting gezocht aan het Amerikaanse recht. Nederland heeft begrip voor dit argument getoond, uit oogpunt van de wenselijkheid van toenadering tot de VS. Niettemin is ook de vraag opgeworpen of een iets hogere leeftijd (15 of 16 jaar) niet beter is uit beschermingsoogpunt. De uitvoerbaarheid en handhaafbaarheid van de leeftijdgrenzen geeft nog veel aanleiding tot aarzelingen, omdat algemeen aanvaarde effectieve middelen om leeftijdsgrenzen en ouderlijke toestemming online betrouwbaar vast te stellen nog ontbreken.

Het verbod van de verwerking van bijzondere persoonsgegevens heeft aanleiding gegeven tot de vraag of een contextafhankelijke vaststelling van hetgeen als bijzonder gegeven moet worden aangemerkt niet de voorkeur verdient boven een strikt gereguleerd limitatief stelsel van verboden. Nederland heeft zijn grote verontrusting uitgesproken over de consequentie van het niet langer regelen van de categorie verdenking als bijzonder persoonsgegeven en het verminderen van mogelijkheden voor de private sector om door middel van het verwerken van dit gegeven de eigen rechtmatige belangen te beschermen. Duidelijkheid is gevraagd en verkregen over de status van de verwerking van persoonsidentificerende nummers door de overheid. Deze nummers behoeven onder de werking van de verordening geen expliciete positie meer. De artikelen 5 en 6 van de verordening bieden voldoende waarborgen voor een verantwoorde toepassing van dit instrument.

Comité Artikel 36 3 april 2012

Op 3 april 2012 is in het Comité Artikel 36 gesproken over enkele deelvragen van meer algemene strategische aard rond de ontwerprichtlijn bescherming persoonsgegevens opsporing en vervolging. In de eerste plaats nodigde het Voorzitterschap de delegaties uit om zich uit te laten over de voorgestelde reikwijdte van de ontwerprichtlijn. Dit in het licht van het voorstel van de Commissie om de regels van de ontwerprichtlijn – anders dan die van het kaderbesluit dataprotectie – ook van toepassing te doen zijn op de verwerking van persoonsgegevens in een strikt nationale context. In de bijeenkomst van 3 april 2012 heeft de Nederlandse delegatie aangegeven van mening te zijn dat het nuttig en praktisch is om één regime te hebben voor zowel de nationale gegevensverwerking als de verstrekking van persoonsgegevens aan andere lidstaten.

In de tweede plaats nodigde het Voorzitterschap de delegaties uit om zich uit te laten over de voorgestelde regeling rond de verhouding tussen de richtlijn en de bestaande overeenkomsten van lidstaten met derde landen, in artikel 60 van de ontwerprichtlijn. De regeling verplicht de lidstaten tot heronderhandeling van bestaande overeenkomsten met derde landen, indien niet wordt voldaan aan het niveau van gegevensbescherming van de richtlijn. De Nederlandse delegatie heeft aangegeven geen meerwaarde te zien in een verplichting tot heronderhandeling van bestaande bilaterale overeenkomsten met derde landen. Op dit punt staat de regeling van artikel 60 van de ontwerprichtlijn haaks op die van artikel 26 van het kaderbesluit dataprotectie, waarin is bepaald dat verplichtingen en verbintenissen op grond van bestaande bilaterale of multilaterale overeenkomsten met derde landen blijven bestaan.

Het Voorzitterschap heeft geconcludeerd dat een meerderheid der lidstaten positief staat ten opzichte van de voorgestelde uitbreiding van de reikwijdte van de richtlijn. Daarnaast is geconcludeerd dat alle lidstaten voorstander zijn van een regeling waarbij de bestaande akkoorden kunnen blijven bestaan, en dat er geen steun is voor de voorgestelde regeling van artikel 60 van de ontwerprichtlijn.

Raadswerkgroep 16 april 2012

In de Raadswerkgroep van 16 april 2012 is het voorstel voor de richtlijn artikelsgewijs besproken. Daarbij zijn de artikelen 1 tot en met 4 aan de orde gekomen. De Nederlandse delegatie heeft herinnerd aan het parlementair voorbehoud bij de ontwerprichtlijn. Verder heeft de Nederlandse delegatie voorgesteld om artikel 1, vijfde lid, van het huidige kaderbesluit dataprotectie (kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken) op te nemen in artikel 1 van de ontwerprichtlijn, omdat deze bepaling in heldere bewoordingen voorziet in de mogelijkheid om op nationaal niveau strengere regels toe te passen dan die welke zijn vereist op basis van de ontwerprichtlijn. Daarnaast heeft de Nederlandse delegatie erop gewezen dat de ontwerprichtlijn, anders dan het huidige kaderbesluit dataprotectie, niet voorziet in specifieke regels over de doelbinding bij de verstrekking van persoonsgegevens aan andere lidstaten. Deze verruimde doelbinding is omgezet in de Nederlandse wet- en regelgeving die onlangs, op 1 april 2012, in werking is getreden (Stb. 2011, 490). De Nederlandse delegatie heeft het voorzitterschap verzocht de desbetreffende regeling van artikel 11 van het kaderbesluit dataprotectie op te nemen in de ontwerprichtlijn.

Het Voorzitterschap heeft aangegeven dat het verder aan het Cypriotische voorzitterschap is om de verdere behandeling van de ontwerprichtlijn te bepalen.

Informele lunchbijeenkomst JBZ Raad 7 en 8 juni 2012

Op een lunchbijeenkomst van de JBZ Raad van 7 en 8 juni 2012 is informeel van gedachten gewisseld over enkele aspecten van verordening en richtlijn, zonder dat besluitvorming werd beoogd.

Wat de verordening betreft heeft Nederland aangegeven geen bezwaar te zien in toepassing van dezelfde regels van gegevensbeschermingsrecht op publieke en private sector, maar dat er zeker reden is om aandacht te vragen voor de eigen plaats van de overheid in de samenleving. Die plaats vergt dat voor de overheid op onderdelen afwijkende bepalingen moeten blijven gelden. Daartegenover staat dat de overheid op veel meer manieren verantwoording aflegt dan de private sector. Ook blijft het nodig verder na te denken over de verhouding tussen de verordening en het geldend en toekomstig nationaal recht. In lijn met het BNC-fiche dat aan uw Kamer is gezonden is aandacht gevestigd op het gebrek aan evenwicht in rechten en verplichtingen bij de behandeling van de positie van de overheid, het bedrijfsleven en de burger die voor doeleinden buiten de strikt persoonlijke en huishoudelijke sfeer gegevens verwerkt.

Voor wat betreft de ontwerprichtlijn heeft Nederland, in lijn met het BNC-fiche, aangegeven voorstander te zijn van een ruime reikwijdte van de onderwerprichtlijn. De keuze voor een onderscheid tussen geen Europese regels voor persoonsgegevens die uitsluitend op nationaal niveau worden verwerkt en Europese regels voor gegevens die tussen de lidstaten worden uitgewisseld is tamelijk theoretisch, omdat het tevoren niet duidelijk is of in de loop van een onderzoek persoonsgegevens met andere lidstaten uitgewisseld zullen gaan worden. In de loop van het opsporingsonderzoek kan de behoefte blijken om gegevens uit te wisselen met de opsporingsdiensten van de andere lidstaten. Dan kan beter één en hetzelfde regime worden toegepast voor alle persoonsgegevens die door politie en justitie worden verwerkt. Bij de implementatie heeft Nederland er dan ook voor gekozen de regels van het kaderbesluit toe te passen op alle persoonsgegevens die worden verwerkt ten behoeve van de opsporing en vervolging van strafbare feiten, dus zowel op de persoonsgegevens die uitsluitend op nationaal niveau worden verwerkt als de persoonsgegevens die aan een andere lidstaat worden verstrekt. Dit biedt duidelijkheid voor de opsporingsdiensten en versterkt de rechten van burgers.

Overige punten

In het algemeen overleg van 7 maart 2012 is door uw Kamer verzocht afzonderlijk aandacht te schenken aan het verloop van de onderhandelingen over de artikelen 23 (collectiefactierecht), 40 tot en met 45 (grensoverschrijdende gegevensverstrekking), 53 (bevoegdheden toezichthouders), 79 (bestuurlijke boetes) en 86 (delegatie bevoegdheden aan de Europese Commissie.

Geen van deze artikelen is tot dusverre al geagendeerd. De artikelen zijn daarom ook nog niet besproken. Wel is bij de behandeling van de artikelen 6 en 8 de daarin opgenomen delegatiegrondslag aan de orde gesteld. Nederland heeft zich op het standpunt gesteld dat artikel 6, eerste lid, onder f, van de verordening nu juist bij uitstek zal moeten ingevuld door de verantwoordelijke, en niet door de wetgever. De rechtvaardigingsgrond «gerechtvaardigd belang van de verantwoordelijke» (of een derde) zal immers met het oog op de doelstellingen in een concreet geval moeten worden vastgesteld. Rekening houdend met het in beginsel onbegrensde aantal verwerkingen dat denkbaar is, acht ik het moeilijk voorstelbaar dat die rechtvaardigingsgrond in een gedelegeerde handeling bevredigend kan worden ingevuld. Ten aanzien van de delegatiegrond in artikel 8 is Nederland van mening dat eerst moet worden nagegaan of er voldoende betrouwbare methoden bestaan om op internet op betrouwbare wijze leeftijdsgrenzen en ouderlijke toestemming te verifiëren, voordat er voldoende reden is een en ander nader te reguleren. Als die methoden beschikbaar zijn, verdient regeling in de verordening de voorkeur. Nederland is verder van oordeel dat wanneer het al tot een gedelegeerde handeling moet komen, niet de omvang van het bedrijf of de instelling, maar het concrete risico maatstaf moet zijn bij het opleggen van rechten en verplichtingen.

Ik ben in de bijlage bij mijn brief van 14 juni 2012, nr. 272863, overigens uitgereid ingegaan op de vragen van uw Kamer op het collectiefactierecht en de grensoverschrijdende aspecten van gegevensverwerking.

In het algemeen overleg van 7 maart 2012 is door uw Kamer nadere informatie gevraagd over de consequenties van de verordening in termen van administratieve lasten en nalevingskosten met bijzondere aandacht voor de consequenties van de verplichting tot het opstellen van Privacy Impact Assessments en de implementatie van Privacy by Design.

Ik heb in Brussel op verschillende niveaus nadrukkelijk aandacht gevraagd voor de noodzaak een beter en meer gedetailleerde onderbouwing te ontvangen van de Commissie waar het betreft de maatschappelijke kosten van de verordening. Met uw Kamer acht ik die onderbouwing nodig met het oog op de maatschappelijke overtuigingskracht van de verordening. Ik blijf van oordeel dat het primair op de weg ligt van de Commissie die onderbouwing te verstrekken.

De staatssecretaris van Veiligheid en Justitie, F. Teeven