In deze raadswerkgroep is een begin gemaakt met de tweede behandeling van de tekst van de hoofdstukken I tot en met IV van de verordening op basis van een door het voorzitterschap opgestelde nieuwe tekst.

Nederland blijft vragen houden bij artikel 1, derde lid. Het betreft een gebod om geen beperkingen of verboden op het vrij verkeer van persoonsgegevens binnen de Unie vast te stellen om redenen die verband houden met het beschermen ervan. Het is Nederland op zichzelf genomen duidelijk dat het beginsel van vrij verkeer van persoonsgegevens aan geen andere beperkingen mag worden onderworpen dan de beperkingen die de verordening zelf vaststelt. Maar onduidelijk blijft of deze norm eigenlijk gericht is tot lidstaten, zonder het met zoveel woorden te zeggen. Bepalingen gericht tot lidstaten horen niet in een verordening thuis. Bovendien is dit een potentieel verstrekkende beperking van de bevoegdheid van de nationale wetgever waarvan verondersteld mag worden dat het Hof van Justitie deze breed zal interpreteren. Het raakt bovendien de in de Grondwet geregelde positie van de wetgever.Het beginsel kan daarom beter in de overwegingen 9, 10 of 11 worden neergelegd.

Artikel 2 bevat de zeer belangrijke reikwijdtebepaling van de verordening.

Wat de gelding van de verordening voor de instellingen van de EU betreft, is Nederland is van oordeel dat het niet aangaat dat de EU en zijn instellingen zelf niet zijn onderworpen aan de gelding van de verordening. Op die gelding moet dus uitzicht worden geboden, hetzij door de verordening aan te passen, hetzij door verordening (EG) 45/2001 te herzien. Dit is voor Nederland overigens niet de belangrijkste kwestie.

Wat de uitzondering voor huishoudelijke en persoonlijke doeleinden betreft, is Nederland tevreden met de aanpassingen door het voorzitterschap. In de nieuwe tekst ontbreekt elke verwijzing naar «gainful interest».

Nederland is niet gelukkig met de afbakening van de reikwijdte van de verordening en de richtlijn gegevensbescherming politie en justitie. Het pakketvoorstel van de Commissie komt erop neer dat de gelding van de richtlijn – wat de politie betreft – beperkt blijft tot wat in Nederland de strafrechtelijke handhaving van de rechtsorde genoemd wordt (art. 12, eerste lid, Politiewet 2012). De overige taken van de politie, zoals de handhaving van de openbare orde, de hulpverleningstaken en de taken ten dienste van de justitie zouden, naar het voorkomt, onder de verordening komen te vallen. Nederland is van oordeel dat de afgrenzing tussen verordening en richtlijn niet berust op voldoende duidelijke criteria. De richtlijn is mede van toepassing op de verwerking van gegevens door de politie en het openbaar ministerie in het kader van de voorkoming van strafbare feiten. Nederland is van oordeel dat daaronder ook de handhaving van de openbare orde daar in alle opzichten onder wordt begrepen. Nederland is van oordeel dat dit gelet op verreikende consequenties van de bestaande onduidelijkheid moet worden geëxpliciteerd. Nederland ziet in een onvoldoende duidelijke verdeling bovendien een potentieel risico, omdat uit een ongewijzigde verdeling vrijwel onvermijdelijk ICT-aanpassingen voortvloeien, en omdat daaruit ook overigens lastenverzwaringen voor de politie voortvloeien. Nederland heeft zich daarom ingespannen om te bewerkstelligen dat alle politietaken onder één regime komen, dat van de richtlijn. Nederland ontving daarvoor de nodige steun. Met nieuwe voorstellen van het voorzitterschap terzake wordt daaraan tegemoet gekomen. Verdere verduidelijking van de tekst is denkbaar. De Commissie wijst echter alle voorstellen terzake zonder meer af.

Wat artikel 4 (begripsbepalingen) betreft, is er geen enkele steun voor het verder verfijnen van het begrip «persoonsgegevens» met categorieën als «singling out». De voorgestelde definitie lijkt Nederland en veel lidstaten al gecompliceerd genoeg. Er wordt een begripsbepaling van gepseudonimiseerde gegevens voorgesteld die aanvaardbaar is voor Nederland. Nederland heeft een technisch studievoorbehoud geplaatst bij de genetische, biometrische en gezondheidsgegevens. Goede begripsbepalingen zijn hier van groot praktisch belang om de beschermingsomvang van bijzondere persoonsgegevens zo nauwkeurig mogelijk te kunnen regelen. Verder is Nederland voorstander van het opnemen van de definitie van «profileren» uit Resolutie CM 2010/13 van de Raad van Europa. Het gaat niet aan om uitsluitend gedreven door beleidsconcurrentie met een afzonderlijke definitie van die term voor het EU-recht te gaan werken. Nederland maakt nog een aantekening bij het begrip «groep van ondernemingen». De definitie daarvan kan breder worden gemaakt met het oogmerk meer ruimte voor Binding Corporate Rules te claimen. Dat kan veel administratieve lasten besparen.

Bij artikel 5 (algemene beginselen) behoudt Nederland zijn voorbehoud ten aanzien van verwerkingen voor statistische, historische en wetenschappelijke doeleinden. Verdere wijzigingen van het voorzitterschap met betrekking tot explicitering van de beveiligingsplicht en de verantwoordelijkheid van degene die gegevens verweken zijn voor Nederland aanvaardbaar.

Bij artikel 6 (rechtvaardigingsgronden) valt te noteren dat een zeer brede meerderheid van de lidstaten vasthoudt aan het bestaande uitgangspunt dat bij toestemmingsverlening «ondubbelzinnige» toestemming het uitgangspunt is en dat «uitdrukkelijke» toestemming alleen wordt vereist in gevallen waarin een zwaarder beschermingsniveau wordt verlangd. Er is vrijwel volledige overeenstemming in de raadswerkgroep om de rechtvaardigingsgrond «gerechtvaardigd belang» niet nader inhoudelijk met wetgeving in te vullen.

Artikel 6, derde lid, bevat de nadere uitwerking van de rechtvaardigingsgronden voor het verwerken van persoonsgegevens ten behoeve van de doelen die de overheid nastreeft. Dit kan in die gevallen plaatsvinden waarin sprake is van een wettelijke verplichting, of ter uitvoering van een meer algemene taakopdracht aan publiekrechtelijk lichaam of bestuursorgaan. Het oorspronkelijk voorstel van de Commissie bevatte een aantal inhoudelijke eisen waaraan moest zijn voldaan voordat op die grond een beroep kan worden gedaan. Deze tekst was vanuit institutioneel opzicht (verhouding EU – lidstaten) onevenwichtig. Bovendien is in staatsrechtelijk opzicht de verhouding met de Grondwet in het geding. Hoewel erkend moet worden dat wanneer een EU-verordening een bepaalde materie regelt, de nationale wetgever moet terugtreden, leidt deze verordening tot een beperking van de bevoegdheid van de nationale wetgever die als fundamenteel moet worden aangemerkt. Nederland heeft gezamenlijk met enkele andere lidstaten, en in goede afstemming met de Commissie gewerkt aan een alternatief. Die tekst is niet beperkend, maar verklarend van aard. Nederland acht dit voorlopige resultaat een belangrijke stap. Er moet echter rekening worden gehouden met lidstaten die hiermee nog niet tevreden zijn.

In een nieuw artikel 6, lid 3a, is op Nederlands voorstel thans een regeling getroffen voor het zogeheten verenigbaar gebruik van persoonsgegevens. Dit artikellid regelt wanneer persoonsgegevens mogen worden verwerkt voor andere doeleinden dan waarvoor zij zijn verzameld. Het oorspronkelijke voorstel liet dit open. De Nederlandse oplossing leunt sterk aan tegen art. 9 Wet bescherming persoonsgegevens. Dit verplicht de verantwoordelijke een belangenafweging te verrichten voorafgaand aan het verwerken van persoonsgegevens voor andere doeleinden. Hoewel de discussie ook over deze bepaling nog niet is afgerond, is dit zeer voorlopige resultaat voor Nederland beslist positief te noemen, zeker in het licht van de door de Kamer op 5 juli 2012 aanvaarde motie-Elissen op dit onderwerp (Kamerstuk 32 761, nr. 38).

Bij de voorwaarden voor toestemming plaatst Nederland een studievoorbehoud bij de wijze waarop toestemming moet worden verleend (artikel 7). Uit de bewijslastverdeling vloeien nalevingskosten voort. Verder leidt die bewijslastverdeling weer tot de verwerking van meer persoonsgegevens en dat is voor de betrokkene niet noodzakelijkerwijs positief.

Nederland is tevreden met het voorstel van het voorzitterschap de bepaling over de bescherming van jeugdigen (artikel 8) veel meer toe te snijden op de diensten van de informatiemaatschappij.

Ten aanzien van de behandeling van gevoelige gegevens (artikel 9) is Nederland van oordeel dat het aantal verwerkingsgronden, zeker in verhouding tot de evenwichtige regeling in de Wbp, te gering is. Het systeem oogt nog te rigide, met name wat de verwerking van gegevens betreffende de gezondheid en strafrechtelijke gegevens voor maatschappelijk algemeen aanvaarde doeleinden betreft.

De artikelen 14 en 14a bevatten de belangrijke verplichting van de verantwoordelijke om bekendheid te geven aan de verwerking. Nederland heeft een algemeen studievoorbehoud bij deze artikelen. Hoewel het beginselartikelen zijn, en als zodanig zeer belangrijk, is Nederland er nog niet van overtuigd dat de in vergelijking met het huidige recht nogal fors uitgebreide verplichtingen zonder onderscheid voor alle verantwoordelijken moeten gelden. De belasting voor het MKB is relatief zwaar.

De rechten van de betrokkene (artikelen 15 tot en met 19) en de bepaling over profileren (artikel 20) acht Nederland vooral in systematisch opzicht sterk verbeterd. Onderdelen van de bepaling over dataportabiliteit zijn overgeplaatst naar het recht op inzage. Van het recht om te worden vergeten is een zelfstandig recht om gegevens te laten wissen afgesplitst, en er wordt een afzonderlijk recht op afscherming van gegevens in het leven geroepen. Dat laatste gebeurt om de inhoudelijke band met de richtlijn gegevensbescherming politie en justitie te versterken. Tegelijk is er nog veel ruimte voor verbetering. De ook nu bestaande beperkingen voor het verwerken van gegevens voor doeleinden verband houdend met historisch, statistisch en wetenschappelijk onderzoek moeten nog goed worden geregeld. Nederland blijft voorstander van het beter toesnijden van het recht om te worden vergeten en het recht op dataportabiliteit op de informatiemaatschappij. Met betrekking tot het profileren is een brede meerderheid van de lidstaten van oordeel dat artikel 20 niet zozeer moet worden toegesneden op de operatie van het profileren, maar op het effect van het resultaat daarvan voor de betrokkene. Nederland wil dat niet weerspreken, maar blijft wel van oordeel dat de winst van de regeling voor het profileren vooral in de transparantieverplichtingen zit, en dat artikel 14 in dit verband nadere aandacht verdient.

Nederland is tevreden met de verruiming van de voorwaarden waaronder de nationale wetgever de bevoegdheid uitoefent om de rechten van de betrokkene in een zwaarwegend algemeen belang (artikel 21).

Op deze raadswerkgroep zijn eerst de slotartikelen van hoofdstuk IV over gedragscodes en certificering (artikelen 38, 38a, 39 en 39a) besproken. Nederland acht deze bepalingen van groot belang. Gedragscodes en certificering vormen een nuttig alternatief voor overheidsregulering – vooral in de vorm van gedelegeerde handelingen door de Commissie. Nederland meent dat waar dat mogelijk is rechtsgevolgen moeten worden verbonden aan het aangesloten zijn bij een goedgekeurde gedragscode of het hebben van een certificaat. De oorspronkelijke voorstellen zijn uitgebreid met bepalingen inzake vrijwillige handhaving van gedragscodes en een accreditatieprocedure voor instituten die privacycertificaten kunnen verlenen.

Het vervolg van de werkgroep is besteed aan een eerste discussie over de zogeheten risico-gebaseerde benadering bij de catalogus van verplichtingen van de verantwoordelijke. Nederland acht een dergelijke benadering essentieel voor het verlenen van instemming met het eindresultaat. Het voorzitterschap heeft belangrijke stappen gezet door in een overweging een aantal belangen te expliciteren. Wanneer het verlies of de onrechtmatige verwerking van gegevens leidt tot aantasting van die belangen is het eerder gerechtvaardigd om tot oplegging van zwaardere verplichtingen te gaan om die belangen te beschermen. Het gaat dan – onder meer – om belangen als het voorkomen van discriminatie, identiteitsdiefstal, financieel nadeel en schending van een beroepsgeheim. Nederland heeft voorstellen gedaan deze belangen in de verordening in een algemene bepaling (artikel 22) onder te brengen in plaats van in een overweging. Die voorstellen zijn vooralsnog niet overgenomen. Dit houdt de aandacht van Nederland.

Deze raadswerkgroep wordt besteed aan het bespreken van de overige artikelen van hoofdstuk IV. Bij artikel 28 (documentatie- en verantwoordingsplicht) is Nederland uit oogpunt van beheersing van administratieve lasten en nalevingskosten voorstander van gedifferentieerd regimes. Niet iedere verwerking van persoonsgegevens rechtvaardigt een uitgebreide documentatie. Bezien zal moeten worden of voor het midden- en kleinbedrijf en voor zelfstandigen zonder personeel minder vergaande voorschriften kunnen worden vastgesteld. Mogelijk kan er worden gedacht aan vrijstelling van de documentatieplicht op een wijze die vergelijkbaar is met het bestaande Vrijstellingsbesluit Wbp.

Nederland is voorstander van enige verbeteringen die het voorzitterschap aanbracht in artikel 30 (beveiligingsplicht). Nederland ziet in de nieuwe redactie van de artikelen 31 en 32 (meldplicht datalekken) sterke verbeteringen. De aangepaste teksten voorzien niet langer in een algehele meldplicht voor elk datalek, en de termijn waarbinnen gemeld moet worden is aanzienlijk verruimd. Toch blijven er nog vragen over die beantwoording behoeven. De verhouding tussen de meldplicht van de verordening en elders in het EU-recht gereguleerde sectoren (zoals de financiële sector) moet nog nader worden bepaald. Verder zal de overheid in beginsel ook onder de werking van de meldplicht moeten worden gebracht, zij het dat voor bepaalde gevoelige sectoren bij de wet afzonderlijke regels zouden moeten worden vastgesteld.

De bijgestelde versies van de artikelen 33 en 34 (data protectie impact assessment en voorafgaande raadpleging toezichthouder) bieden een gevarieerd beeld. Nederland was voorstander van schrapping van artikel 34, maar uit besluitvorming in de JBZ Raad, zo geeft het voorzitterschap aan, volgt dat beide artikelen in stand blijven. Samen met enige andere lidstaten meent Nederland dat dit niet betekent dat wijzigingen uitgesloten zijn. Wat artikel 33 betreft zijn er verbeteringen zichtbaar in de nieuwe teksten. Nederland is echter niet onvoorwaardelijk voorstander van het opstellen van lijsten van gevallen waarin impact assessments moeten worden gehouden door de toezichthouders. Nederland houdt zijn bezwaren tegen de verzwarende voorwaarden voor cameratoezicht door de overheid staande. Wat artikel 34 betreft, blijft Nederland voorstander van een vergunningstelsel voor sommige doorgiften naar derde landen. Verder is het uit systematisch oogpunt beter de wetgevingsadviestaak van de toezichthouder in artikel 53 te regelen. De artikelen 35 tot en met 37 (functionaris gegevensbescherming) kan Nederland steunen. Nederland kan zich goed vinden in de keuze om aanstelling van een data protection officer facultatief te laten plaatsvinden, waarbij het potentiële risico doorslaggevend moet zijn voor de uitoefening van die keuze. Enkele grote lidstaten hebben hier echter problemen mee. Ook de bijgestelde versies van de artikelen 38 en 38a (gedragscodes) leveren voor Nederland geen problemen op.

De tweede behandeling van de hoofdstukken I tot en met IV is daarmee voltooid.

Het voorzitterschap stelt een derde behandeling van de hoofdstukken I tot en met IV aan de orde. Het voorzitterschap licht toe dat er aangekoerst wordt op besluitvorming hierover op de JBZ Raad van 6 en 7 juni 2013. Vele lidstaten geven echter aan dat de stand van het dossier onvoldoende uitzicht biedt op besluitvorming. Ook Nederland is geen voorstander van gehele of gedeeltelijke besluitvorming. Er zijn nog teveel onopgeloste problemen.

Op de eerste twee dagen zijn de artikelen 1 tot en met 22 opnieuw besproken. Daarbij heeft Nederland grotendeels dezelfde opmerkingen en voorbehouden gemaakt die in april bij de eerdere behandeling ook reeds zijn gemaakt. Geconstateerd moest worden dat er ten opzichte van de eerdere behandeling weinig veranderingen in de werkteksten zijn aangebracht die voor Nederland leiden tot een wezenlijk andere standpuntbepaling. Dat gold in grote lijnen voor alle andere lidstaten. Op de derde dag zijn achtereenvolgens de artikelen 38 en 38a, 39 en 39a, 35 tot en met 37 en 33 en 34 behandeld. Ook voor deze artikelen geldt dat Nederland zich in min of meer dezelfde zin heeft uitgelaten als in de eerdere werkgroepen. Dat gold ook voor de andere lidstaten. De derde behandeling van de hoofdstukken I tot en met IV is niet voltooid.

Deze vergadering is gewijd aan voortzetting van de behandeling van de richtlijn.

Aan de orde is geweest de behandeling van de artikelen vanaf hoofdstuk V. Een groot aantal bepalingen van de hoofdstukken VI, VII en VIII is afgeleid van de ontwerpverordening. Zodra de onderhandelingen over de betreffende bepalingen van de ontwerprichtlijn zijn afgerond kan de tekst van de ontwerprichtlijn daarmee in overeenstemming worden gebracht.

Hoofdstuk V bevat bepalingen over de doorgifte van persoonsgegevens aan derde landen. Het Voorzitterschap stelt voor de artikelen 33 en 40 te schrappen, naar het model van de ontwerpverordening, evenals het vijfde en zesde lid van artikel 34. Veel lidstaten hebben opmerkingen over de voorgestelde procedure vanwege het risico van bureaucratie, dat de opsporing van vervolging van grensoverschrijdende criminaliteit ernstig kan belemmeren. Nederland geeft aan de schrapping van artikel 33 vooralsnog niet te kunnen steunen. In artikel 33 zou moeten worden toegevoegd dat de ontvanger in het derde land bevoegd is tot verwerking van de ontvangen gegevens. Dit naar het model van de regeling van het huidige kaderbesluit dataprotectie (artikel 13, eerste lid, onderdeel b). Bij artikel 34 is er teveel nadruk op de procedure tot vaststelling van het passend niveau van gegevensbescherming door de Commissie. Er moet meer balans komen in de procedure, omdat de uitzondering – te weten dat een derde land geen voldoende niveau van gegevensbescherming biedt – vermoedelijk eerder de hoofdregel zal worden. Ook op dit punt zou meer aansluiting kunnen worden gezocht bij de regeling van het kaderbesluit dataprotectie. Dit geldt ook voor de verstrekking van persoonsgegevens aan personen en instanties met een particuliere taak, de ontwerprichtlijn bevat daarvoor geen regeling maar het huidige kaderbesluit wel (artikel 14). Gevraagd wordt of er zicht is op het aantal landen in de wereld dat aan het criterium van het passend niveau van gegevensbescherming voldoet. En wordt daarbij het gehele stelsel voor gegevensbescherming in het betreffende derde land in de beoordeling betrokken of is de toetsing specifiek gericht op regels voor opsporing en vervolging van strafbare feiten. Het vijfde en zesde lid van artikel 34 kunnen worden geschrapt, omdat deze bepalingen materieel niets toevoegen. Het eerste lid van artikel 35, over de interpretatie van passende waarborgen, roept eveneens de nodige vragen op. Wordt daarbij ook rekening gehouden met de aard van de gegevens en de duur van de verwerking. En strekt deze bepaling tot de opstelling van een rapport over de situatie op het gebied van de gegevensbescherming in het betreffende derde land en welke eisen worden aan een dergelijke rapportage gesteld. Dit kan in de praktijk tot aanzienlijke werklast leiden voor politie en justitie. Daarbij is ook de vraag aan de orde van de mogelijkheid tot afstemming tussen de lidstaten onderling. In het licht van de uitzonderingsmogelijkheid van artikel 36, onderdeel d, kan de vraag worden opgeworpen of artikel 35, eerste lid, onderdeel b, niet beter geschrapt kan worden. In ieder geval is de verhouding tussen deze beide bepalingen niet erg helder.

Nederland heeft geen opmerkingen ingebracht over de hoofdstukken VI (Onafhankelijke toezichthoudende autoriteiten), VII (Samenwerking) en VIII (Beroep, aansprakelijkheid en sancties), vanwege de lopende discussie over de ontwerpverordening.

Het Voorzitterschap geeft aan dat op artikel 56 (Uitoefening van de bevoegdheidsdelegatie) wordt teruggekomen zodra artikel 26 is behandeld. Artikel 57 betreft de comitologieprocedure en artikel 59 heeft betrekking op eerder vastgestelde besluiten van de Unie inzake justitiële samenwerking in strafzaken en politiële samenwerking. Artikel 60 (verhouding met reeds gesloten internationale samenwerking inzake justitiële samenwerking in strafzaken en politiële samenwerking) is reeds in het Comité Artikel 36 aan de orde gekomen.

Het Voorzitterschap geeft aan op grond van de eerste artikelsgewijze behandeling een aangepaste tekst voor de ontwerprichtlijn te zullen opstellen.

De vergadering van 13 juni 2013 wordt afgelast vanwege een stakingsactie van EU-ambtenaren. Op 14 juni 2013 is gesproken over een herziene versie van Hoofdstuk V, Doorgifte van gegevens naar derde landen en internationale organisaties. Als gevolg van de bekorting van de vergadering kon die behandeling niet worden voltooid. Artikel 44, waarin onder meer de regeling is neergelegd voor de doorgifte van gegevens uit de EU naar derde landen als gevolg van verplichtingen voortvloeiend uit wetgeving van die landen of rechterlijke beslissingen is niet meer behandeld. Waarschijnlijk komt dit artikel onder het opvolgend voorzitterschap aan de orde.

Nederland kan instemmen met de schrapping van artikel 40. Dit artikel bevatte geen bindende rechtsnorm, maar was in feite een opsomming van elders in hoofdstuk V meer in detail geregelde onderwerpen. In artikel 41 is de regeling over toereikendheidsbesissingen geregeld. Indien de Commissie heeft geoordeeld dat een land een toereikend niveau van gegevensbescherming heeft, kunnen gegevens naar dat land worden doorgegeven zonder dat nadere garanties hoeven te worden verleend. Nederland meent dat de hele opzet van hoofdstuk V de sfeer ademt van een hiërarchie van rechtvaardigingsgronden. De Commissie beschouwt een toereikendheidsbeslissing als een soort ultieme status die een land kan verwerven. Wanneer die er niet is, kan worden teruggevallen op andere instrumenten die hun basis in het Unierecht kunnen vinden, zoals bindende standaardcontractsvoorwaarden die zijn goedgekeurd, of bindende bedrijfsvoorschriften. Pas wanneer deze instrumenten tekortschieten kan een beroep worden gedaan op rechtvaardigingsgronden die door de betrokkene of de verantwoordelijke kunnen worden ingeroepen, of eventueel door de nationale wetgever kunnen worden geformuleerd. Nederland is voorstander van een minder hiërarchische en meer horizontale benadering. Nederland kan zich voorstellen dat ook op Europees niveau de primaire verantwoordelijkheid van de verantwoordelijke bij doorgiften wordt erkend, en dat pas daarna of daarnaast een rol voor overheidsoptreden wordt aanvaard. Hiervoor lijkt echter niet veel steun te bestaan bij de andere lidstaten.

Aanzienlijk meer steun bestaat er voor de kritiek op het bestaande stelsel van toereikendheidsbeslissingen. De resultaten daarvan zijn na meer dan vijftien jaar in kwantitatief opzicht weinig indrukwekkend. De landen die over een dergelijk besluit beschikken, zijn bovendien niet steeds bijzonder belangrijk uit een oogpunt van intensief zakelijk verkeer. Daarnaast duurt de totstandkoming van dergelijke beslissingen niet zelden vele jaren, terwijl de beslissingen als gevolg van allerlei feitelijke omstandigheden of als gevolg van het rechtsstelsel van het desbetreffende land aan uitzonderingen zijn gebonden. Het is daarom de vraag of de Europese Unie niet het gevaar loopt bij ongewijzigd beleid zichzelf uit te markt te prijzen. Het is dan ook daarom dat veel lidstaten zich kunnen scharen achter het voorstel om de mogelijkheid om negatieve toereikendheidsbeslissingen niet langer in de verordening op te nemen en deze te vervangen door een regeling waarmee bestaande positieve toereikendheidsbeslissingen kunnen worden ingetrokken, geschorst of gewijzigd. Nederland vraagt met andere lidstaten naar de werking van het overgangsrecht voor bestaande beslissingen. Nederland is, met andere lidstaten, van oordeel dat de Safe Harbor beschikking, die voorwaarden stelt aan de doorgifte van gegevens van bedrijven in de EU naar bedrijven in de Verenigde Staten, behouden moet blijven. Formulering van het overgangsrecht luistert nauw, omdat het niet boven alle twijfel verheven is of de restrictieve uitleg die de Commissie nu geeft aan artikel 41, nog wel ruimte zou laten aan een belangrijk en geheel op zichzelf staand instrument als de Safe Harbor beschikking.

Er is veel discussie geweest over de rol die de European Data Protection Board moet spelen bij de totstandkoming van toereikendheidsbeslissingen. De Juridische Dienst van de Raad verduidelijkt dat het Unierecht geen ruimte laat voor medebeslissing. Wel kan voorafgaand informeel advies worden gevraagd door de Commissie. Nederland onderschrijft dit advies.

Artikel 42 bevat de regeling voor doorgiften naar derde landen op grond van zogeheten passende waarborgen. Het betreft hier standaardcontractsvoorwaarden die zijn goedgekeurd door de Commissie of door de toezichthouders. Nederland steunt het voorstel om de regeling uit te breiden met een regeling voor doorgiftes krachtens goedgekeurde gedragscodes en certificeringen. De rechtsgevolgen daarvan moeten nog nader worden uitgewerkt. Artikel 43 bevat een regeling over bindende bedrijfsvoorschriften (BCR). Nederland heeft bepleit deze regeling uit te breiden tot allianties van bedrijven. Vooral in de luchtvaartsector kan toepassing van dit instrument tot belangrijke besparingen leiden. Het voorzitterschap heeft daaraan inhoud gegeven door de regeling te verbreden. Nederland staat daar positief tegenover. Nederland dient nog enige voorstellen in voor technische wijzigingen van de artikelen 42 en 43.

Nederland en enige andere lidstaten hebben de vraag gesteld wat de verhouding van het bestaande en in ontwikkeling zijnde gegevensbeschermingsrecht is tot het PRISM-programma dat de Verenigde Staten volgens mediaberichtgeving zouden ontplooien. Daarbij gaat het om de vraag of het gegevensbeschermingsrecht wel of niet geschikt en bestemd is de burgers van de EU te beschermen tegen de het verwerken van de hen betreffende gegevens om redenen van nationale veiligheid door derde landen, ook als die activiteiten door de desbetreffende landen rechtmatig worden uitgeoefend en die landen uit oogpunt van rechtsstatelijkheid niet onderdoen voor de lidstaten van de EU.

De Commissie heeft aangegeven begrip te hebben voor die vraag. Zij verwijst naar een initiatief van de Amerikaanse regering een gezamenlijke Amerikaans-Europese commissie in het leven te roepen, bestaande uit inlichtingen- en dataprotectie-experts uit beide rechtsstelsels die terzake feiten moet vaststellen en die rapporteert aan de regeringen, de Commissie en de Raad.