32 761 Verwerking en bescherming persoonsgegevens

Nr. 57 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 december 2013

In het algemeen overleg van 7 maart 2012 (Kamerstuk 32 761, nr. 27) heb ik toegezegd u periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.

Bij brief van 7 november 2013 hebben de leden van de Vaste Commissie voor Veiligheid en Justitie mij verzocht nog voor het Kerstreces te informeren over de actuele stand van de onderhandelingen over het gegevens beschermingspakket en daarbij specifiek in te gaan op de besluitvorming in het Europees Parlement.

In deze brief doe ik allereerst verslag van de onderhandelingen in de maanden oktober en november 2013 en de daaropvolgende besluitvorming in de JBZ-Raad van 7 en 8 december 2013. Er is zowel over de ontwerpverordening als over de ontwerprichtlijn onderhandeld. Het Voorzitterschap legt de prioriteit duidelijk bij de verordening.

Over de onderhandelingen die nog in de maand december 2013 zullen plaatsvinden zal ik aan het einde van het eerste kwartaal van 2014 verslag doen.

Vervolgens zal ik inhoudelijk ingaan op de door de LIBE-Commissie uit het Europees Parlement op 21 oktober 2013 aanvaarde amendementen en schets geven van het meest waarschijnlijke tijdpad.

Rapportage onderhandelingen oktober en november 2013

Raadswerkgroep 2 oktober 2013

In deze raadswerkgroep is een begin gemaakt met de tweede behandeling van de tekst van de ontwerprichtlijn gegevensbescherming opsporing en vervolging, op basis van een door het voorzitterschap opgestelde nieuwe tekst. De behandeling betrof de artikelen 1 tot en met 7 van de ontwerprichtlijn.

Artikelen 1 en 2

Deze artikelen betreft het onderwerp en het toepassingsbereik van de ontwerprichtlijn. Nederland is niet gelukkig met de afbakening van de reikwijdte van de ontwerp richtlijn en de ontwerpverordening.

Het pakketvoorstel van de Commissie komt erop neer dat de gelding van de richtlijn – wat de politie betreft – beperkt blijft tot wat in Nederland de strafrechtelijke handhaving van de rechtsorde genoemd wordt (art. 12, eerste lid, Politiewet 2012). De overige taken van de politie, zoals de handhaving van de openbare orde, de hulpverleningstaken en de taken ten dienste van de justitie zouden, naar het voorkomt, onder de verordening komen te vallen. Hiervoor kan worden verwezen naar de verslag van de onderhandelingsronden die in april, mei en juni 2013 hebben plaatsgevonden (Kamerstukken I, 33 169, L, Raadswerkgroep 9, 10 en 11 april 2013) In de nieuwe tekst van het Voorzitterschap is de handhaving van de openbare orde als optie toegevoegd aan de tekst van artikel 1.

Nederland maakt een studievoorbehoud bij de voorgestelde bepaling en geeft aan dat de politie ook is belast met administratieve en hulpverleningstaken die nauw ver band houden met het opsporen en voorkomen van strafbare feiten. Een voorbeeld daarvan is de Wet wapens en munitie. Nederland zou graag zien dat deze taken ook onder de reikwijdte van de ontwerprichtlijn worden gebracht en steunt de voorstellen van andere delegaties terzake. In ieder geval dient ook de openbare orde onder de reikwijdte van de richtlijn te worden gebracht; Nederland steunt deze optie van het Voorzitterschap. Tevens zou Nederland graag zien dat in de ontwerprichtlijn een bepaling wordt opgenomen, naar het model van artikel 1, vijfde lid, van het kaderbesluit gegevensbescherming opsporing en vervolging, waarin de lidstaten de mogelijkheid wordt geboden op nationaal niveau hogere normen te handhaven dan die van de richtlijn.

Artikel 3

Dit artikel bevat de definities. Nederland is tevreden met de voorgestelde definities. Wel verzoekt Nederland om enige uitleg over het begrip genetische gegevens (onderdeel 10), vanwege de vraag of hieronder ook de gegevens over het geslacht van een persoon vallen. De Commissie zegt toe dit te zullen verhelderen.

Artikel 4

Dit artikel heeft betrekking op de beginselen van gegevensverwerking. Nederland steunt het voorstel van een andere delegatie om in de tekst van deze bepaling een nieuw lid op te nemen dat voorziet in de mogelijkheid van de verwerking van persoonsgegevens voor doelen die niet verenigbaar zijn met het doel van de oorspronkelijke verwerking. Verder bepleit Nederland om het woord «eerlijk» in onderdeel a, dat in de tekst van het Voorzitterschap is geschrapt, terug te plaatsen. Deze voorwaarde is ook terug te vinden in artikel 7 van de ontwerpverordening. Tenslotte verzoekt Nederland om schrapping van de woorden «wanneer noodzakelijk» in onderdeel d, omdat deze woorden suggereren dat persoonsgegevens niet altijd up to date behoeven te worden gehouden.

Artikelen 5 en 6

In de door het Voorzitterschap stelt voorgestelde tekst zijn deze artikelen, op verzoek van de delegaties, geschrapt. De inhoud van deze artikelen is opgenomen in een overweging. Het overgrote deel der lidstaten steunt de schrapping.

Artikel 7

Dit artikel betreft de rechtmatigheid van de verwerking. Nederland kan instemmen met de door het Voorzitterschap voorgestelde tekst.

Raadswerkgroep 17 oktober 2013 en Friends of the Presidency 18 oktober 2013

De JBZ-raad van 7 en 8 oktober 2013 heeft de Raadswerkgroep richtsnoeren meegegeven voor de verdere bespreking van het onestopshop-beginsel. Het onestopshop-beginsel houdt in dat bij alle dataprotectiezaken binnen de EU waaraan een grensoverschrijdend aspect verbonden is moet worden samengewerkt tussen de toezichthouders van de betrokken lidstaten, zodanig dat de lasten voor bedrijven zo gering mogelijk blijven en de eenvormige uitleg van de verordening zoveel mogelijk gewaarborgd blijft. Bij voorkeur moet een zaak, ook bij grensoverschrijdende aspecten, door één toezichthouder worden behandeld. Dat zou de toezichthouder van de lidstaat moeten zijn waar zich de hoofdvestiging van de verantwoordelijke van en onderneming zich bevindt.

Het beginsel is eenvoudig, maar blijkt in de praktijk bijzonder moeilijk vorm te geven. Het is alleen al gelet op de omvang en ingewikkeldheid van het gegevensbeschermingsrecht ondenkbaar dat dit kan worden opgelost door één centrale Europese toezichthouder in te stellen. Dat betekent dat 28 toezichthouders in de EU moeten samenwerken om de eenvormige uitleg van de verordening te verzekeren en dat eventuele geschillen tussen die toezichthouders moeten worden opgelost op een manier die geen afbreuk doet aan de spoedige afhandeling van een zaak. Veel lidstaten achten enkele implicaties van het onestopshop-beginsel onacceptabel. De gedachte dat een beslissing van de toezichthouder van het land van de hoofdvestiging ook bindend zou moeten zijn in andere landen ligt zeer gevoelig, zeker als dat inhoudt dat ook boeteoplegging tot de mogelijkheden behoort. Verder is de gedachte dat betrokkene die de bevoegde toezichthouder wil benaderen of zijn beslissing wil aanvechten is aangewezen op de toepassing van vreemd recht voor een aantal grote lidstaten onaanvaardbaar. Voor sommige betrokken lidstaten speelt op de achtergrond bij die stellingname mee dat werkwijze en financiering van hun toezichthouder moeten worden veranderd als de verordening wordt aangenomen en de bereidheid daartoe beperkt is.

Daarnaast is omstandigheid dat het bestuursrecht van de lidstaten niet is geharmoniseerd een bron van moeilijkheden. De discussie over de onestopshop kan niet los gezien worden van de bevoegdheden van de toezichthouder. Die bevoegdheden moeten deels op grond van de verordening, en deels op grond van bestaand nationaal recht worden uitgeoefend. Het nationale recht verschilt van staat tot staat. Zo zijn er lidstaten waar geen bestuursrechtelijke boetebevoegdheden bestaan en de introductie daarvan grondwettelijke bezwaren oproept. Het uiteenlopen van civiele procedures (tussen betrokkenen en verantwoordelijken voor de burgerlijke rechter) en bestuursrechtelijke procedures (door belanghebbenden tegen de besluiten van toezichthouders voor de bestuursrechter) lijkt onoplosbaar en kan in de toekomst mogelijk voor langdurige procedures zorgen waarbij het Hof van Justitie van de EU de knoop zal moeten doorhakken.

De discussie is op technisch niveau in de Raadswerkgroep voortgezet aan de hand van een nieuw document van het voorzitterschap met vier vragen. Daaraan gekoppeld zijn voorstellen met gewijzigde artikelen van de verordening. Het Voorzitterschap stelt allereerst voor om het beginsel van de onestopshop als leidend beginsel aan te merken te laten zijn en legt twee verschillende scenario’s voor, nl. (a) of de bevoegdheid van de «lead authority"(de toezichthouder van de lidstaat waar zich de hoofdvestiging van de verantwoordelijke bevindt) zich beperkt tot gevallen van grensoverschrijdende zaken waarbij vestigingen in andere lidstaten bestaan of (b) zich ook uitstrekt tot betrokkenen in andere lidstaten en meer in het algemeen betrekking moet hebben op het vrij gegevensverkeer in de Unie. Als tweede vraag wordt aan de lidstaten voorgelegd welke bevoegdheden zij de lead authority willen toevertrouwen.

Het is dus de vraag of dat alleen onderzoeks- en lichte handhavingsmaatregelen betreft, of dat in aanvulling daarop ook nog reparatoire sancties kunnen worden vastgesteld, of dat bovendien bestraffende sancties (administratieve boetes) kunnen worden vastgesteld. De derde vraag aan de lidstaten is hoe zij de tegen de relatie tussen de lead authority en de betrokken andere lokale toezichthouders aankijken, en waar het zwaartepunt van de zaaksbehandeling moet liggen. Lokaal of juist centraal. De vierde vraag is welke bevoegdheden de lidstaten aan de European Data Protection Board (EDPB) zouden willen toekennen om eventuele verschillen van opvatting tussen toezichthouders te willen oplossen.

Bij de beantwoording van de vragen blijkt dat de lidstaten zeer uiteenlopende opvattingen hebben. Nederland is altijd voorstander geweest van de onestopshop-beginsel omdat dit in het gezamenlijk belang is van het bedrijfsleven en dat van betrokkenen is. De eenvormige en gecoördineerde toepassing en handhaving van de verordening is essentieel. Het vereist aanvaarding van het optreden van toezichthouders dat buiten de grenzen effect heeft. Het nabijheidsbeginsel is vanuit burgerperspectief belangrijk, maar er zal gekozen moeten worden. Het onestopshop-beginsel en het nabijheidsbeginsel zijn niet gemakkelijk te verenigen, zo stelt Nederland. Een eenvormige uitleg van de verordening begint bij het toeleiden van een geschil aan één rechtsstelsel. Het heeft de voorkeur van Nederland dat dit het rechtsstelsel is van de lidstaat waar zich de hoofdvestiging van de verantwoordelijke bevindt. Daarmee is moeilijk verenigbaar dat een betrokkene of derde in elke andere lidstaat van de EU het recht heeft te klagen bij elke toezichthouder. Nederland is voor een robuust instrumentarium voor de lead authority en kiest daarom voor de zwaarste optie bij de toedeling van bevoegdheden. Maar Nederland wil zich soepel opstellen en kan de minder zware optie zonodig aanvaarden. Een optie met alleen lichte bevoegdheden is geen oplossing voor een werkbare en inhoudsvolle onestopshop. Voor welke optie ook gekozen wordt, Nederland is van mening dat de lead authority bindende besluiten moet kunnen nemen en dat de besluiten en de eventuele rechtszaken binnen één rechtssysteem dienen te passen. Nederland blijft overigens voorstander van een sterke rol voor de EDPB.

Raadswerkgroep 7 en 8 november 2013

Op deze raadswerkgroep wordt eerst gesproken over de verhouding tussen de onderhandelingen over de verordening en de onderhandelingen die in Straatsburg in het kader van de Raad van Europa plaatsvinden over de herziening van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van 28 januari 1981 (Trb. 1988, 7). Bij de onderhandelingen over het Dataprotectieverdrag moeten de lidstaten op grond van de bevoegdheidsverdelingen die voortvloeien uit het Verdrag inzake de Europese Unie met die van de EU coördineren. Dit vergt niet alleen inhoudelijke afstemming over het Uniestandpunt. Anders dan de verordening gegevensbescherming is het Dataprotectieverdrag van toepassing op het terrein van de nationale veiligheid. Dat betekent dat de lidstaten in het kader van de Raad van Europa hun bevoegdheden volledig kunnen uitoefenen. Dat spreekt te meer nu alleen de lidstaten en niet de Unie stemhebbend lid zijn van de Raad van Europa.

Aan de Commissie is in mei 2013 op grond van art. 218 van het Verdrag betreffende de werking van de Europese Unie een mandaat verleend voor het voeren van die onderhandelingen. Over het gebruik van dat mandaat moet de Commissie verslag doen aan de lidstaten en zij moet ook zorgen voor coördinatie van standpuntbepaling. Het stelt veel lidstaten, ook Nederland, teleur dat de Commissie ter voorbereiding van de eerste onderhandelingsronde slechts een minimale inspanning heeft geleverd.

Men heeft zich beperkt zich tot het aanduiden van de bekende inhoudelijke verschilpunten tussen verdrag en ontwerpverordening. Een visie op de functie van het Dataprotectieverdrag en een visie op de consequentie van bevoegdheidsverdeling ontbreekt. Het kost veel moeite de Commissie zover te krijgen dat ze haar verplichtingen daadwerkelijk nakomt.

De raadswerkgroep zet de discussie over het onestopshop-beginsel voort aan de hand van een vragenlijst die door het voorzitterschap is opgesteld.

De eerste vraag is welke beperkingen op de bevoegdheden van de «lead authority» de lidstaten bereid zijn te aanvaarden ten gunste van lokale autoriteiten, zodat minder belangrijke zaken zoveel mogelijk lokaal kunnen worden afgedaan. Nederland stelt zich zo soepel mogelijk op om de besluitvorming zoveel mogelijk te bevorderen. Nederland ziet niet veel in het maken van een inhoudelijk onderscheid tussen kleine en grote zaken. Wel is het redelijk om meer ruimte te geven aan zaken die op lokaal niveau naar voren komen en die ook op lokaal niveau kunnen worden afgedaan. Bij de bepaling welke zaken dat zijn kunnen de volgende uitgangspunten bepalend zijn, aldus Nederland. Zaken die een betekenisvol effect hebben op de interne markt zijn in elk geval niet geschikt om door de lokale autoriteit te worden afgedaan. Of daarvan sprake is, zal van geval tot geval moeten worden vastgesteld in het proces dat zich, beginnend op lokaal niveau, tussen betrokkene, verantwoordelijke en toezichthouder afspeelt. Elk van die partijen kan tot de conclusie komen dat de aard van de zaak het lokaal niveau ontstijgt. De toezichthouder kan ambtshalve besluiten het consistentiemehanisme of de EDPB in te schakelen. De betrokkene of de verantwoordelijke kunnen daarom zelf verzoeken, of dat vis de lead authority doen. Als daarvan geen sprake is, en de geografische herkomst van klachten ook niet tot een andere conclusie leidt, kan de lokale autoriteit de zaak tot zich nemen. De lokale autoriteit zou dat wel eigener beweging moeten melden aan de lead authority en de toepassing van formele bevoegdheden, geregeld in de verordening zou niet zonder voorafgaand overleg met de lead authority moeten plaatsvinden.

De tweede vraag is of de aard van de bevoegdheden van de toezichthouders aanleiding is om de uitoefening daarvan uitsluitend op lokaal niveau te laten plaatsvinden. Nederland vindt dat het accent moet liggen op samenwerking tussen de nationale toezichthouders en de wijze van samenwerking in plaats van het maken van verschil bij de uitoefening van de bevoegdheden.

Erkend moet wel worden dat bevoegdheden als het zich toegang moeten verschaffen tot bepaalde plaatsen een lokale toepassing de enige mogelijkheid is. Het optreden met dergelijke bevoegdheden op het grondgebied van een andere lidstaat is een brug te ver. Bij bevoegdheden als het geven van een voorafgaande instemming door de toezichthouder ligt het anders. Daar moeten beslissingen van de lead authority zonder meer EU-breed worden toegepast. Bij de toepassing van bestuurlijke sancties stelt Nederland dat de inning van boetes en het verbeuren van dwangsommen in andere lidstaten nog lastig is. Om praktische redenen ligt het dan voor de hand de uitoefening van die bevoegdheden door de lead authority te laten plaatsvinden. De boete of dwangsom wordt dan aan de hoofdvestiging opgelegd en de verantwoordelijke kan dan zelf beslissen hoe dit binnen de eigen organisatie wordt opgelost. Daarbij moet niet teveel afhangen van het ondernemingsrecht van de lidstaten. Bij de wijze van samenwerking is stilzwijgende instemming, zoals voorgesteld door een van de grote lidstaten zeker een goede oplossing om bureaucratie zoveel mogelijk te vermijden. Nederland is geen voorstander van het drastisch uitbreiden van het vragen van voorafgaande toestemming voor bepaalde groepen verwerkingen.

Dit leidt tot een te zware belasting van de nationale toezichthouders en gaat ten kosten van de handhavingscapaciteit van de toezichthouders. Het vergroot de administratieve lasten en nalevingskosten bij het bedrijfsleven.

De derde vraag is hoe geschillen tussen toezichthouders onderling over relatieve competentie en de keuze voor de toepassing van bevoegdheden het beste kunnen worden opgelost. Nederland is van mening dat de rechtszekerheid het meest is gebaat bij de toeleiding van een geschil aan één rechtsstelsel. Het zoeken naar consensus tussen de betrokken toezichthouders is het beste model. Volgens Nederland werkt dat nu ook al redelijk bij de goedkeuring van bindende bedrijfsvoorschriften. Nederland wil liever uitgaan van samenwerking tussen de toezichthouders en niet van een conflictmodel. Nederland is voor een sterke lead authority die besluiten kan nemen die ook gelden in andere lidstaten. Het is dan wel belangrijk dat de lead authority de andere toezichthouders tijdig betrekt in de voorbereiding van de besluiten. Nederland denkt verder in dit kader aan stilzwijgende toestemming. Bij sanctietoepassing is onderlinge samenwerking ook het belangrijkste uitgangspunt. Nederland kan ook instemmen met een rol voor de lokale toezichthouder waarbij de laatste voorstellen doet voor besluiten in zaken. Nederland merkt daarbij op dat de handhaving niet altijd naar aanleiding van een klacht plaatsvindt, maar dat de toezichthouder ook ambtshalve kan handhaven. Met betrekking tot de EDPB vindt Nederland dat de EDPB bindende besluiten moet kunnen nemen. Daar blijkt echter weinig steun voor te vinden. Als alternatief moet er dan maar voor een overlegstructuur in de EDPB worden gekozen met een beslissingsprocedure bij gewone meerderheid. De vraag is nog of alleen competentie- of ook inhoudsvraagstukken ook onderdeel van deze procedure binnen de EDPB moeten zijn. Nederland voelt weinig van de opt-out optie van een van de grote lidstaten. Wanneer toezichthouders zich kunnen onttrekken aan een gezamenlijk stelsel van besluitvorming leidt dit tot rechtsonzekerheid en ondermijnt dit de noodzaak tot nadere harmonisatie binnen de EU.

De vierde vraag betreft de bevoegdheid van de rechter in de EU. Het gaat daarbij in het bijzonder om de vraag of een rechterlijke uitspraak naar aanleiding van een besluit van een toezichthouder ook gelding in een andere lidstaat moet hebben of dat er hulpconstructies moeten komen om mogelijk te maken dat elke betrokkene altijd in zijn eigen lidstaat terecht kan bij de rechter van zijn keuze. Nederland is van mening dat er geen competentie is voor een rechter om besluiten van toezichthouders uit andere lidstaten te beoordelen. Nederland is geen voorstander van doorverwijzing door een rechter of van een vorm van adoptie van een besluit van een toezichthouder uit een andere lidstaat. Nederland is van oordeel dat een geschil aan één rechtsstelsel moet worden toebedeeld. Alle afwijkingen hiervan brengen de harmonisatie binnen de EU in gevaar. De lidstaten moeten volgens Nederland aanvaarden dat het «nabijheidbeginsel» begrenzingen kent. Het is niet mogelijk om enerzijds een geschil aan één rechtsstelsel toe te leiden en daardoor de harmonisatie te bevorderen en tegelijkertijd te aanvaarden dat belanghebbenden omwille van de nabijheid een beslissing voor elke rechter in de EU moet kunnen aanvechten. En zelfs wanneer die keuzes worden gemaakt is het al ingewikkeld genoeg. Parallelle civiele en administratieve procedures kunnen niet worden voorkomen. En het kan evenmin worden uitgesloten dat een buitenlandse toezichthouder Nederland gaat procederen tegen besluiten van Nederlandse toezichthouders.

Na de behandeling van deze vier vraagpunten wordt de beraadslaging over de coördinatie van de onderhandelingen over Verdrag nr. 108 hervat aan de hand van een door de Commissie opgesteld document.

De Commissie zal voorbehouden plaatsen bij de bepalingen uit het conceptverdrag die inhoudelijk afwijken van de verordening. Enkele lidstaten, waaronder Nederland, maken nog een aanvullend voorbehoud met het oog op de nationale veiligheid. De onderhandelingen in Straatsburg zijn daarmee voldoende voorbereid. Wel wordt afgesproken in de Raadswerkgroep ruim voordat de volgende onderhandelingsronde in Straatsburg plaatsheeft, opnieuw met de Commissie af te stemmen.

Raadswerkgroep 20 november 2013

In deze raadswerkgroep wordt aan de hand van een nieuw document van het voorzitterschap de discussie over het onestopshop-beginsel voortgezet. Nederland kijkt met een positieve blik naar het document, omdat het daarin een aantal elementen herkent die Nederland als zeer wezenlijk beschouwt voor het welslagen van de onestopshop. Nederland ziet dat als vooruitgang.

Voorgesteld wordt om de bevoegdheid van de toezichthouder bij grensoverschrijdende zaken te creëren voor gevallen wanneer er hetzij een vestiging van de verantwoordelijke op het grondgebied van de desbetreffende lidstaat is, hetzij sprake is van de verwerking van gegevens die vanuit een andere lidstaat plaatsvindt en waarbij sprake is van het in aanmerkelijk mate geraakt worden van betrokkenen dat zich op het grondgebied van de lidstaat bevindt. Daarnaast blijft de uitsluitende competentie van de toezichthouder van de desbetreffende lidstaat gehandhaafd voor verwerkingen binnen de publieke sector.

Nederland heeft vragen bij het voorgestelde criterium «in aanmerkelijke mate geraakt worden». Nederland kan zich dit criterium voorstellen bij zaken waarvan de verwerking buiten de EU plaatsvindt, maar de vraag is hoe dat moet worden ingevuld in zaken binnen de EU. Nederland vraagt of er kwantitatieve of kwalitatieve criteria kunnen worden gegeven om vast te stellen wanneer er sprake is van in aanmerkelijk mate geraakt worden. Mogelijk valt te denken aan een aanmerkelijk aantal betrokkenen. Verder moet worden nagedacht over de vraag hoe wordt vastgesteld of aan het criterium wordt voldaan. Misschien moet gedacht worden aan de aard van de binnengekomen klachten, misschien kan de verantwoordelijke een rol spelen, of misschien kan de toezichthouder dit ambtshalve onderzoeken. Nederland vindt dit nader moet worden ingevuld en doet daarom deze suggesties. Het is noodzakelijk verder te werken en heldere criteria in wetgeving neer te leggen om te voorkomen dat toezichthouders onevenredig veel tijd kwijt zijn aan competentiekwesties.

Nederland is verontrust over het voorstel om de toezichthouder van de hoofdvestiging alleen gecoördineerd bevoegdheden uit laten oefenen wanneer het sanctionerende bevoegdheden betreft. Dat acht Nederland niet in overeenstemming met een goede uitoefening van het onestopshop-beginsel. Zaken die lokaal kunnen worden afgedaan moeten ook lokaal worden afgedaan, maar wanneer een zaak eenmaal door de toezichthouder van de hoofdvestiging moet worden afgedaan, moet deze een volledig arsenaal aan sancties ter beschikking hebben. Omgekeerd ligt het ook voor de hand dat wanneer een zaak lokaal wordt afgedaan de lokale toezichthouder de toezichthouder van de hoofdvestiging informeert over de ondernomen actie.

Verder staat Nederland niet positief ten opzichte van door andere lidstaten naar voren gebrachte gedachten om de toezichthouders veel vaker in staat te stellen voorafgaand goedkeurende verklaringen te laten afleggen over concrete verwerkingen. Voorafgaande goedkeuringen verschaffen een bepaalde mate van rechtszekerheid, maar zijn momentopnamen en verhogen ook de administratieve lasten. Verder kunnen deze goedkeuringen het latere nalevingstoezicht compliceren.

Rechtsbescherming tegen besluiten van toezichthouders moet – uiteraard – worden toebedeeld aan de rechter van de lidstaat waar de toezichthouder is gevestigd. In het stelsel dat het voorzitterschap voor ogen staat is het mogelijk dat verschillende besluiten door verschillende toezichthouders genomen worden, juist in zaken waarin een centrale afdoening door middel van een toezichthouder in de lidstaat waar de hoofdvestiging van de verantwoordelijke zich bevindt volgens de regels van de verordening is aangewezen. Immers, de toezichthouder van de lokale vestiging kan de verantwoordelijke een last onder dwangsom opleggen om een verwerking in strijd met de verordening te staken, terwijl achteraf een boete zou kunnen worden opgelegd in dezelfde zaak door een andere toezichthouder. Als deze lijn wordt gevolgd blijft er van onestopshop-beginsel niet veel meer over. Hierbij moet bedacht worden dat er bij gebreke aan voldoende steun in de Raad voor de gedachte dat de European Data Protection Board voor de leden bindende besluiten kan nemen over de competentie, hoe dan ook aanvaard moet worden dat bij eventuele fundamentele meningsverschillen tussen toezichthouders die onoverbrugbaar blijken ook toezichthouders het recht hebben elkaars besluiten aan te vechten voor de toezichthouder van de lidstaat die het betreft. Dat kan niet worden uitgesloten. Ook het Nederlands bestuursrecht sluit dit niet uit.

Veel meer consensus bestaat er over de mogelijkheid van het aanvaarden van competentie van de burgerlijke rechter (en waar relevant, de bestuursrechter) in zaken waarin de betrokkene de verantwoordelijke of bewerker rechtstreeks in rechte aanspreekt. Voor zover deze geschillen civielrechtelijk van aard zijn bestaat er consensus over de toepasselijkheid van verordening (EG) nr. 44/2001 (Brussel I) op deze geschillen. De verordening geeft de betrokkene dan het keuzerecht het geschil voor te leggen aan de rechter van de plaats van hoofdverblijf of de rechter van de plaats van vestiging van de verantwoordelijke. Evenzo legt men zich neer bij de mogelijkheid dat er parallelle procedures of zelfs uiteenlopende uitspraken van verschillende rechters in de EU kunnen ontstaan. Er zal op moeten worden vertrouwd dat de rechter dan het geschil naar het Hof van Justitie van de EU doorverwijst.

Na deze raadswerkgroep is gebleken dat de inzichten van de lidstaten over reikwijdte en inrichting van de onestopshop-regel zeer uiteenlopen. Een aantal grote lidstaten wil de onestopshop-regel zo beperkt mogelijk houden, omdat zij van oordeel zijn dat de belangen van het bedrijfsleven bij de eenvormige uitleg en toepassing van de verordening met zo min mogelijk administratieve lasten niet opwegen tegen het belang om de burger de mogelijkheid te bieden altijd de toezichthouder en de rechter van de thuisstaat competent te verklaren. Daar tegenover staan lidstaten die de onestopshop-regel een essentieel onderdeel van de verordening achten, zonder welke het hele idee van een verordening met eenvormige regels sterk aan betekenis verliest. Er moet dan zonodig grensoverschrijdend kunnen worden besloten. Die gedachte ondervindt weer principiële weerstand van lidstaten die het met hun grondwet onverenigbaar achten dat toezichthouders uit een andere lidstaat besluiten kunnen nemen die hun burgers raken. Er is op deze werkgroep dan ook geen overeenstemming bereikt.

De Commissie verzorgt tot slot een terugkoppeling over de onderhandelingen over Verdrag nr. 108.

Vervolgbijeenkomsten

Op 25 november 2013 en op 2 december 2013 is in kleiner verband (vertegenwoordigers van de permanente vertegenwoordiging van alle lidstaten) aan de hand van nieuwe voorstellen van het Voorzitterschap bezien of een compromis binnen bereik lag. Een compromis is in elk geval niet bereikbaar gebleken op een omvangrijk pakket artikelen waarin een van de voorstellen van het Voorzitterschap was uitgewerkt. Dit betrof een voorstel dat Nederland, net zoals alle andere lidstaten op twee na, en zelfs de Commissie, niet meer voor bespreking geschikt achtte. In dat voorstel was de onestopshop-regel zodanig verwaterd is ten gunste van het nabijheidsbeginsel, dat een eenvormige uitleg van de verordening door de samenwerkende toezichthouders niet meer gegarandeerd was. Er moet een redelijk garantie zijn voor een dergelijk uitleg. Komt deze er niet, dan is de vraag gerechtvaardigd hoeveel toegevoegde waarde een verordening nog heeft. In het licht van deze krachtsverhoudingen probeert het Voorzitterschap om overeenstemming te bereiken op enkele zeer algemeen geformuleerde uitgangspunten voor de onderlinge samenwerking tussen de toezichthouders.

Analyse Juridische Dienst van de Raad

In het algemeen overleg over de JBZ Raad op 4 december 2013 heb ik de Kamer meegedeeld dat in avond van 3 december 2013 de Juridische Dienst van de Raad een juridische analyse van de voorstellen van het Voorzitterschap en de Commissie tot uitwerking van het onestopshop mechanisme aan het Coreper is overgelegd. Dit document treft u bijgaand ter vertrouwelijke kennisneming aan1.

De analyse komt erop neer dat alle tot dusverre gepresenteerde varianten van het onestopshop beginsel zodanig gecompliceerd zijn dat een effectieve rechtsbescherming van de burger in het licht van de eisen die het Hof van Justitie van de EU en het Europese Hof voor de Rechten van de Mens stellen, onvoldoende is verzekerd. De Juridische Dienst is van oordeel dat nu de verordening beoogt om via de weg van artikel 16 VWEU uitwerking te geven aan het in artikel 8 van het Handvest voor de Grondrechten geregelde recht op bescherming van persoonsgegevens de rechten van het individu moeten prevaleren boven de belangen van bedrijven bij een eenvormige uitleg en het hebben van een vast contactpunt bij één handhavingsinstantie in grensoverschrijdende zaken. De verordening heeft volgens de Juridische Dienst geen internemarktdoelstelling. In dat kader betoogt de Juridische Dienst dat het grondrecht op bescherming van persoonsgegevens onvoldoende wordt gewaarborgd, omdat uit de artikelen 47 en 52, derde lid, van het Handvest en de artikelen 8 en 13 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (EVRM) een recht op een doeltreffende voorziening in rechte om de naleving van grondrechten te kunnen verzekeren en aan dat vereiste niet is voldaan. Alle voorstellen voor de onestopshop-regels voorzagen in de mogelijkheid dat een toezichthouder van een andere lidstaat dan die van de betrokkene besluiten zou kunnen nemen. Die besluiten zijn alleen vatbaar voor een rechterlijke voorziening in de desbetreffende lidstaat. Het zou dus kunnen voorkomen dat een burger zich tot de rechter van een andere lidstaat zou moeten wenden.

Ook voorzien de oplossingen alle in de mogelijkheid van parallelle procedures over dezelfde zaak, niet alleen in verschillende lidstaten, maar ook binnen één lidstaat voor, respectievelijk, de burgerlijke rechter in geschillen tussen betrokkenen en verantwoordelijken, en de bestuursrechter in geschillen tussen belanghebbenden en toezichthouders. De Juridische Dienst merkt dit alles aan als strijdig met het Handvest voor de Grondrechten en het EVRM, omdat de complicaties van dit stelsel van rechtsbescherming evident niet als doeltreffend kunnen worden aangemerkt. Om aan de bezwaren tegemoet te komen suggereert de Juridische Dienst dat het nalevingstoezicht en de handhaving in alle grensoverschrijdende zaken zou moeten worden opgedragen aan de European Data Protection Board. Uit artikel 263 VWEU volgt immers dat tegen bindende besluiten van de EDPB beroep op het Gerecht en hoger beroep op het Hof van Justitie van de Europese Unie openstaat. Daarbij maakt de Juridische Dienst bovendien nog de kanttekening dat een dergelijke toezichthouder zal moeten voldoen aan een aantal criteria van institutionele aard die beperkingen leggen aan de mogelijkheid tot het instellen van agentschappen. Zo kan dit alleen wanneer de EDPB met een beperkte, nauw omschreven taak wordt uitgerust. Ook moet er dan volgens de interne EU-regels een regeling voor de financiering worden getroffen.

Dit is een analyse met vérstrekkende consequenties voor de oplossingsrichting. Zou de analyse worden onderschreven dan zijn er in de visie van de Juridische Dienst eigenlijk twee mogelijkheden open voor de handhaving van de verordening. De eerste is dat de bestaande situatie in stand blijft. Er zijn dan 27 toezichthouders in de alle lidstaten, met uitzondering van Duitsland, en in Duitsland nog eens 17 toezichthouders. Die moeten dan op basis van de nationaal geregelde bevoegdheden samenwerken om de materiële bepalingen van de verordening gezamenlijk eenvormig uit te leggen. Daarbij moet ervan worden uitgegaan dat de regeling van de territoriale reikwijdte van de verordening integraal wordt herzien. De tweede is één Europese toezichthouder voor alle dataprotectiezaken met een grensoverschrijdend effect. Om hoeveel zaken het zou gaan is onbekend, dit valt helaas niet te overzien. Het komt er wel op neer dat er dan één toezichthouder komt voor de belangen van 500 miljoen burgers. Nog los van de institutionele bezwaren – die naar mijn mening kunnen worden opgelost als de wil daartoe aanwezig is – acht ik dit een evident onuitvoerbaar idee. De afstand van de burger tot een dergelijke toezichthouder is te groot. De eerste oplossingsrichting komt er eigenlijk op neer dat de verordening niet op een overtuigende manier eenvormig kan worden toegepast, uitgelegd en gehandhaafd. De tweede oplossingsrichting roept uitvoerbaarheidsproblemen op. Daarmee stelt de Juridische Dienst, zonder het expliciet te zeggen, de instrumentkeuze fundamenteel ter discussie.

Ik ben van oordeel dat deze analyse te laat is uitgebracht. De analyse is beslist relevant om besproken te worden, maar dat had aan het begin van het onderhandelingsproces moeten gebeuren. Daar komt nog bij dat de Juridische Dienst deze analyse niet op verzoek van de Raad, maar eigener beweging heeft opgesteld op een moeilijk moment in de onderhandelingen. Het onderhandelingsproces wordt daardoor niet bevorderd. Inhoudelijk vallen er bij het advies kanttekeningen te plaatsen. Zo is het de vraag of eventuele uitbreiding van de rechtsgrondslag van de verordening met artikel 114 VWEU (harmonisatie van de wetgeving van de lidstaten ter vervolmaking van de interne markt) wellicht tot andere gezichtspunten leidt. Ook is het de vraag of de analyse nu werkelijk dwingt tot de twee oplossingsmogelijkheden, of dat er andere wegen te bedenken zijn.

JBZ Raad 5 en 6 december 2013

De analyse van de Juridische Dienst van de Raad is op de Raadsvergadering van 6 december 2013 besproken. De Commissie heeft het «politieke» advies van de Juridische Dienst bestudeerd en kan niet instemmen met de strekking.

Daarbij heeft de Juridische Dienst van de Commissie de gelegenheid gehad voor een weerwoord. Deze dienst plaatst de voorstellen van Commissie en Voorzitterschap in een andere context. Bij geschillen tussen verantwoordelijken en betrokkenen kan de betrokken hoe dan ook naar de rechter in eigen land. Alleen bij geschillen tussen belanghebbende en toezichthouder kan er soms een noodzaak zijn de rechter in een andere lidstaat aan te spreken. Er wordt op gewezen dat dit geen uitzondering is in het EU-recht. Vetrekpunt van redeneren is dat alle rechters in de EU in staat zijn om een «effective judicial redress» in de zin van art. 47 van het Handvest te bieden en er geen hiërarchie tussen de gerechten en lidstaten is. De Juridische Dienst van de Commissie wijst op de mogelijkheden van digitaal procederen die de kunnen helpen de afstand te overbruggen en op de noodzaak van deskundige juridische bijstand. En de afstand speelt ook bij oplossing van de Juridische Dienst van de Raad, omdat de burgers van Europa dan naar Luxemburg moeten. De Juridische Dienst van de Commissie meent dan ook dat de rechtsgrondslag van art. 16 VWEU ook in het licht van het Handvest voor de Grondrechten de juiste keuze is geweest.

Niettemin heeft de analyse van de Juridische Dienst van de Raad de discussie diepgaand beïnvloed. Er bestaan diepgaande verschillen van mening tussen groepen van lidstaten over de inrichting van het onestopshop-systeem. Door de analyse op een laat ogenblik en op een hoog niveau uit te brengen zijn die verschillen van inzicht eerder bevestigd en verstrekt dan overbrugd. Het Voorzitterschap is er dan ook zelfs niet in geslaagd de Raad een richtinggevende uitspraak te laten doen op de vragen of de toezichthouder van de lidstaat van de hoofdvestiging van een onderneming exclusieve sanctionerende bevoegdheden moet krijgen, en of de EDPB onder bepaalde omstandigheden bindende beslissingen moet kunnen nemen. Nederland heeft op beide vragen bevestigend geantwoord. Een geheel of gedeeltelijk akkoord op hoofdlijnen dat de Raad in staat zou stellen met het Europees Parlement de triloog aan te gaan ligt voorlopig niet binnen bereik. De Kamer ontvangt overigens de normale verslaggeving van de JBZ Raad zodra deze gereed is.

Europees Parlement

Na indiening van de voorstellen voor de ontwerpverordening en de ontwerprichtlijn hebben de leden van het Europees Parlement amendementen voorgesteld op beide instrumenten. Op de ontwerpverordening zijn 3133 amendementen ingediend. Op de ontwerprichtlijn ruim 2000. Een absoluut record in de Europese wetgevingsgeschiedenis. Deze amendementen zijn in de LIBE Commissie van het Parlement samengebracht tot een aantal compromisamendementen dat correspondeert met het aantal artikelen van elk instrument. Op 21 oktober 2013 heeft de LIBE Commissie over deze amendementen gestemd. Alle compromisamendementen zijn aangenomen. Hieronder treft u groepsgewijs de belangrijkste amendementen benoemd en een eerste beoordeling daarvan van mijn kant. Ik wijs erop dat het Europees Parlement in plenaire zitting nog niet heeft gestemd over de geamendeerde voorstellen.

Amendementen op de ontwerpverordening

Een algemene indruk is dat het gehele pakket als een duidelijk compromis moet worden gezien. Door de rapporteur – de heer Albrecht – en de leden zijn tal van oplossingen voorgesteld die, soms tamelijk radicaal, vooral partij kozen voor het datasubject. Andere leden hebben oplossingen voorgesteld waarbij de belangen van bedrijven meer in ogenschouw zijn genomen. Wat hoofdstuk V betreft, het hoofdstuk dat de grensoverschrijdende doorgiften betreft, is onder invloed van de NSA-affaire, verscherpt. De LIBE Commissie stelt zich op het standpunt dat directe doorgifte van gegevens uit de private sector naar de overheid van een derde land in beginsel verboden wordt, behoudens een verdrag, een wettelijke regeling of toestemming van de toezichthouder.

Afzonderlijke bepalingen

Uitzondering voor persoonlijke en huishoudelijke doeleinden (artikel 2)

Evenals de huidige richtlijn is de verordening niet van toepassing op gegevensverwerkingen voor persoonlijke en huishoudelijk doeleinden. Deze uitzondering wordt uitgebreid met publicaties waarvan het de redelijke verwachting is dat deze slechts bij een beperkt publiek onder ogen komen. Voor de praktijk van de sociale media is dit een belangrijke tegemoetkoming. Ik sta hier in beginsel positief tegenover.

Uitzondering voor opsporing en vervolging (artikel 2)

De verordening is ook in de visie van de LIBE Commissie niet van toepassing op gegevensverwerking voor strafrechtelijke doeleinden. Voor de politie betekent dit dat de richtlijn uitsluitend van toepassing is op de strafrechtelijke handhaving van de rechtsorde, maar dat de openbare ordetaken en de hulpverleningstaken van de politie onder de verordening vallen. Dat geldt ook voor een deel van de «taken ten dienste van de justitie» en de handhaving van bestuursrechtelijke wetgeving waarmee de politie is belast, zoals Vreemdelingenwet 2000 en de Wet wapens en munitie. De politie wordt dus met twee regimes voor gegevensbescherming geconfronteerd. Nederland heeft dat altijd als een potentieel risico aangemerkt. Twee verschillende gegevensbeschermingsregimes verhoogt de bestuurlijke lasten en compliceert de ICT van de politie potentieel.

Territoriale reikwijdte (artikel 3)

De verordening gaat in de visie van de LIBE Commissie ook gelden wanneer de feitelijke gegevensverwerking buiten de EU plaatsvindt door verantwoordelijken die overigens in de EU zijn gevestigd. Hier wordt extraterritoriale rechtsmacht gevestigd. Dit amendement moet vooral worden gezien tegen de achtergrond van de NSA-affaire. De LIBE Commissie beoogt het EU-recht ook integraal te laten gelden voor buiten de EU verrichte gegevensverwerkingen die een aanknopingspunt hebben met burgers in de EU. Hoewel ik dit amendement verklaarbaar acht, vraag ik mij wel af of het verstandig is. Noch de EU, noch de lidstaten hebben rechtsmacht buiten hun territoir voor zover het internationaal recht daarvoor geen voorziening biedt. De handhaving van dergelijke regels buiten het territoir van de EU is dan ook een principieel probleem. Aan symboolwetgeving heb ik geen behoefte.

Begrippen (artikel 4)

Het begrip «persoonsgegeven» wordt door de LIBE Commissie uitgebreid met enkele elementen als locatiedata en genetische gegevens. Daardoor vallen er meer gegevens binnen de reikwijdte van de verordening. Ik sta daar positief tegenover.

Algemene beginselen (artikel 5)

In dit artikel wordt door de LIBE Commissie helaas geen duidelijkheid geboden over de vraag wanneer er sprake is van «verenigbaar gebruik», dat is het gebruik van gegevens voor andere doeleinden dan waarvoor zij zijn verzameld. Die duidelijkheid is van groot belang voor de mogelijkheid van het delen van gegevens in de veiligheidssector, maar ook in de private sector. Bedrijfsleven en overheid moeten hier voor rechtsonzekerheid vrezen wanneer het verenigbaar gebruik niet nader wordt gereguleerd. In de Raad heeft Nederland daarvoor voorstellen gedaan. Het is een gemiste kans van de LIBE Commissie dit punt te laten liggen.

Rechtvaardigingsgronden (artikel 6)

Verwerking van persoonsgegevens op grond van het gerechtvaardigd belang van de verantwoordelijke is – anders dan in eerdere plannen van de rapporteur – nu wel mogelijk op dezelfde wijze als onder huidige richtlijn. Het bedrijfsleven zal hier, naar ik verwacht, mee uit de voeten kunnen.

Verwerking van gegevens in de publieke sector – op grond van wettelijk voorschriften of algemene taakopdracht – is in de visie van de LIBE Commissie alleen mogelijk op grond van allerlei inhoudelijke eisen gesteld aan de wetgever van de lidstaten. Ik acht het misplaatst dat de EU enerzijds vrijheid wil laten aan de wetgever van de lidstaten, maar anderzijds die vrijheid inhoudelijk beperkt. Er kan van worden uitgegaan dat die eisen beperkend worden uitgelegd door het Hof van Justitie van de EU. Dit zal grote invloed gaan hebben op de verwerking voor overheidsdoeleinden. Ik wijs dit standpunt dan ook af.

Toestemming betrokkene (artikel 7)

De LIBE Commissie stelt strenge eisen aan toestemming van de betrokkene. Er mag alleen expliciete toestemming worden gevraagd. Het bedrijfsleven vreest hier voor lasten. Ik onderken het grote belang van toestemming voor de praktijk van de gegevensbescherming, maar betwijfel of expliciete toestemming in alle gevallen gerechtvaardigd is in verband met de nalevingskosten.

Bescherming minderjarigen (artikel 8)

De LIBE Commissie legt de drempelleeftijd voor het uitoefenen van eigen rechten op 13 jaar. Dat is jonger dan de in Nederland gehanteerde leeftijd van 16 jaar. Met de keuze wil de LIBE Commissie aansluiting zoeken aan de leeftijdsgrens gehanteerd in de Children's Online Privacy Protection Act van de VS. Die wet is van toepassing op de sociale media die vanuit de VS worden geëxploiteerd. Ik acht die keuze van de LIBE Commissie verstandig. Een hogere leeftijdsgrens sluit niet meer aan op hetgeen onder jongeren inmiddels volstrekt gemeengoed is geworden. De handhaving van een hogere leeftijdsgrens acht ik illusoir, nog daargelaten dat werkelijk betrouwbare controles op leeftijd, identiteit en de aanwezigheid van ouderlijke toestemming online niet bestaan.

Bijzondere persoonsgegeven (artikel 9)

De verwerking van gezondheidsgegevens en strafrechtelijke gegevens wordt door de LIBE Commissie aan wettelijke grondslagen gebonden. Over de andere bijzondere persoonsgegevens zwijgt de Commissie. Het is dus de vraag in hoeverre de gestelde eisen toelaten dat alle huidige grondslagen in de Wet bescherming persoonsgegevens en in vele bijzondere wetten wel kunnen blijven bestaan. Het compromis biedt daarvoor aanknopingspunten, maar de onzekerheid over de reikwijdte daarvan is nog groot. Dit moet wat mij betreft worden verduidelijkt.

Administratieve lasten en nalevingskosten bedrijven (artikel 14 en 22- 39)

Alle verplichtingen voor verantwoordelijken gelden in beginsel voor alle verantwoordelijken. Van Google tot en met de bakker op de hoek bij wie online brood en banket kan worden besteld. Dit geldt in elk geval voor de verplichting informatie te verschaffen aan betrokkenen over de doeleinden van gegevensverwerking. Er is iets meer eigen verantwoordelijkheid mogelijk bij de invulling van de documentatieplicht en de beveiligingsplicht. De meldplicht datalekken kent geen enkele beperking. Een risicoanalyse moet eerst worden gemaakt, voordat (dus niet: nadat) een privacyeffectbeoordeling wordt gemaakt, en die beoordeling moet bovendien iedere twee jaar worden herhaald. De risicoanalyse is onder meer nodig bij een verwerking die meer dan 5000 betrokkenen telt. Die laatste grens is ook de grens waarboven bedrijven en overheidsinstellingen verplicht zijn een privacyfunctionaris aan te stellen.

Het pakket verplichtingen dat de LIBE Commissie heeft aanvaard staat nog erg ver af van hetgeen mij voor ogen staat bij een risico-georiënteerde benadering. Het bedrijfsleven is in elk geval zeer bezorgd over. Het acht de grens van 5000 betrokkenen grens onmogelijk uitvoerbaar. Ik deel dit standpunt. Ik verwijs u terzake naar mijn brief van 21 juni 2013 (Kamerstuk 32 761, nr. 50) en het daarop gevolgde schriftelijk overleg (Kamerstuk 32 761, nr. 53)

Rechten betrokkene (artikelen 15 – 20)

De LIBE Commissie heeft ingrijpende wijzigingen aangebracht in het voorstel. Dataportabiliteit wordt een onderdeel van het recht op inzage. De Commissie heeft het recht om te worden vergeten als zelfstandig recht geschrapt. In plaats daarvan wordt het recht om gegevens te wissen uitgebreid. Het recht op verzet wordt uitgebreid met aparte bepalingen tegen commerciële profilering. Het geheel biedt een evenwichtige aanblik. Dit biedt beslist perspectief voor de verdere onderhandelingen.

Beperkingen op rechten voor de overheid (artikel 21)

De lijst van toegelaten beperkingen op de rechten van de betrokkene op informatie en inzage ten behoeve van de strafvordering, het nalevingstoezicht en andere overheidsbelangen verschilt niet veel van de huidige lijst. Echter, die beperkingen moeten bij nationale wet worden vastgesteld. De LIBE Commissie stelt net als de Commissie, aan de nationale wetgever vervolgens allerlei inhoudelijk beperkingen en toetsingsvoorschriften. Die voorschriften zijn zo streng dat vermoedelijk niet meer kan worden volstaan met een algemeen geformuleerde uitzondering, zoals die nu nog in de Wet bescherming persoonsgegevens is opgenomen. Het is blijkbaar de bedoeling dat een toetsing plaatsvindt op het niveau van iedere afzonderlijke wet. Dit acht ik nauwelijks uitvoerbaar.

Het is bovendien de vraag of voor de vele verwerkingen in de overheidssfeer waarvoor nu geen expliciete wettelijke grondslag bestaat een meer algemeen geformuleerde beperking op de informatieplicht en het inzagerecht wel volstaat in het licht van die strenge eisen. Die verhoogt de druk op de wetgever aanzienlijk.

Doorgiften aan derde landen (artikelen 40 – 45a)

In het hoofdstuk over doorgiften aan derde landen wordt een verbod gelegd op doorgiften van gegevens aan derde landen, wanneer daartoe een verplichting krachtens eenzijdig buitenlands recht bestaat, in de vorm van een wettelijke verplichting of rechterlijk bevel. Uitzondering op dat verbod is alleen mogelijk wanneer daarvoor een verdragsrechtelijke grondslag bestaat, of wanneer de toezichthouder daarvoor expliciet toestemming verleent. Bedrijven die met een vordering uit het buitenland worden geconfronteerd, hebben een aangifteplicht.

Als toetsingscriteria bij toestemmingsverlening gelden «noodzaak» en een «zwaarwegend maatschappelijk belang». Dat laatste belang moet zijn erkend in het EU-recht of het nationale recht.

Het wordt buitenlandse overheden hiermee nagenoeg onmogelijk gemaakt om nog gegevens rechtstreeks te kunnen vorderen bij bedrijven op grond van eigen wetgeving of ter uitvoering van rechterlijke bevelen. De achtergrond van deze bepaling is in het licht van de NSA-affaire wel te verklaren. Maar de vraag moet gesteld worden of het middel dat de LIBE Commissie voorstelt wel uitvoerbaar is. Immers, een toezichthouder kan onmogelijk goed beoordelen of er een noodzaak tot doorgifte bestaat: die noodzaak wordt elders vastgesteld, en als het gaat om nationale veiligheid van een derde land, valt er doorgaans weinig af te wegen. Dat kan een toezichthouder bijna per definitie niet beoordelen.

Daar komt bij dat het bedrijfsleven hier het slachtoffer blijft van de nu al bestaande jurisdictieconflicten: men blijft gevangen tussen een vordering uit het buitenland en een verbod uit de EU. Ik acht het een verplichting van wetgevers om deze jurisdictieconflicten op te lossen. Niet om ze in stand te laten. De inzet van de LIBE Commissie is de druk op het Amerikaanse bedrijfsleven te verhogen om zodoende indirect de Amerikaanse wetgever tot concessies te bewegen op het gebied van de inlichtingendiensten. Het is zeer de vraag of het aannemen van wetgeving dat doel dichterbij brengt. Dit vereist een oplossing op politiek niveau.

Toezicht, handhaving en samenwerking tussen toezichthouders (artikel 46–71)

Het is opvallend dat een onderwerp dat bij de Raad zoveel discussie oplevert, door de LIBE Commissie zonder veel omhaal wordt afgedaan. Opvallend in dit geheel is dat de LIBE Commissie bij onenigheden tussen toezichthouders onderling over de aanpak van een zaak de European Data Protection Board (EDPB) bindend over de competentie én de inzet van bevoegdheden in een concrete zaak wil laten beslissen. Een duidelijk uitgangspunt, dat ik graag ondersteun. Dat moet echter nog wel worden uitgewerkt om in overeenstemming met het EU-recht te worden gebracht. De EDPB moet dan rechtspersoonlijkheid krijgen en een eigen agentschap worden. Dit standpunt wordt niet gedeeld door de Commissie.

Rechtsmiddelen, schadevergoeding en sancties (artikel 72–79)

Er blijft in de amendementen van LIBE Commissie onduidelijkheid bestaan over de vraag of er naast de bestuurlijke boetes ook een verplichting bestaat om overtredingen van de verordening in het nationale recht strafbaar te stellen. Vraag is overigens of dat wel wenselijk is.

De bestuurlijke boetes kennen uitzonderlijk hoge maxima. Het maximum bedraagt € 100 mln., dan wel 5% van de wereldwijde jaaromzet op concernniveau, wanneer dit meer is. De boetemaxima kunnen bovendien door de Commissie naar boven worden bijgesteld om met de inflatie rekening te houden. Ik ben voorstander van robuuste sanctionering. Het is echter zaak ook bij de vaststelling van boetemaxima proportioneel te zijn. Aan die eis voldoet dit voorstel niet. Verder ontbreekt een regeling van de inhoudelijke en procedurele waarborgen bij de boeteoplegging vrijwel geheel. Ik acht dit een ernstige tekortkoming. Tenslotte is onduidelijk of er op nationaal niveau voldoende ruimte is voor de wetgever om reparatoire sancties als bestuursdwang en dwangsom op te leggen. Dit moet worden opgelost, omdat ik geen reden zie het College bescherming persoonsgegevens een nuttige sanctie te onthouden die het nu bezit.

Dit alles vergt nog de nodige onderhandelingen met het EP.

Bijzondere verwerkingen en slotbepalingen (artikel 80 – 91)

De verwerking van gegevens betreffende de gezondheid wordt, vooral voor onderzoeksdoeleinden, gebonden aan strenge eisen. Dat kan alleen met toestemming van de betrokkene. De onderzoekssector heeft mijn aandacht hiervoor gevraagd. Men toont zich hier bijzonder bezorgd over. Historische gegevens die in het verleden niet met uitdrukkelijke toestemming, maar op een andere grondslag zijn verzameld zullen niet meer bij actueel gezondheidsonderzoek kunnen worden betrokken. Dat is niet alleen het geval bij commercieel onderzoek of onderzoek van farmaceutische bedrijven naar de werking van geneesmiddelen, maar ook het geval bij onderzoek ten behoeve van de volksgezondheid ten behoeve van de hele samenleving. Het inwinnen van toestemming is ook voor het «echte» volksgezondheidsbelang nogal omslachtig. Dit vergt nadere onderhandelingen.

De LIBE Commissie heeft een geheel nieuwe, omvangrijke regeling opgezet voor verwerking van gegevens in de context van de arbeidsrelatie. Het komt erop neer dat oude wensen van de Europese vakbonden voor een afzonderlijke richtlijn voor gegevensverwerking in de arbeidsrelatie grotendeels worden gehonoreerd. Ik acht een amendement op de verordening niet de juiste weg om te dit te regelen. Dit vergt een zelfstandige regeling met een behoorlijke voorbereiding, consultatie van belanghebbenden en een beoordeling van de economische en privacyeffecten. Het amendement grijpt diep in in het nationale arbeidsrecht en in de bedrijfshuishoudingen. Ik heb inmiddels van het bedrijfsleven begrepen dat men hierover grote zorgen heeft. Nederland is altijd uitgegaan van de toepasselijkheid van de algemene regels op de sociale sector en het arbeidsrecht. De meerwaarde van het amendement acht ik onvoldoende aangetoond.

Amendementen op de ontwerprichtlijn

In zijn algemeenheid kiest de LIBE Commissie – in navolging van rapporteur Droutsas – voor aanscherping van de voorgestelde regels. Voor sommige onderwerpen wordt nauw aangesloten bij die van de voorgestelde ontwerpverordening, dit betreft bijvoorbeeld de verplichting tot het uitvoeren van een privacy impact assessment (PIA) voorafgaande aan bepaalde gegevensverwerkingen en de verplichting tot het voorafgaande consulteren van de toezichthoudende autoriteit. De belangrijkste amendementen betreffen het volgende:

De reikwijdte van de richtlijn (artikel 1)

De LIBE Commissie sluit aan bij de toepassing van de richtlijn op de opsporing en vervolging van strafbare feiten. De Raad koerst aan op uitbreiding van de reikwijdte met de openbare orde. Dit punt lijkt wel oplosbaar. Niettemin vallen de hulpverlening en de taken ten dienste van justitie dan onder de Verordening. Dit is overigens thans ook het geval.

De LIBE Commissie stelt voor expliciet vast te leggen dat de richtlijn de lidstaten niet weerhoudt van de vaststelling van een hoger niveau van gegevensbescherming. Ik sta hier positief tegenover; in de raadswerkgroep heeft de Nederlandse delegatie een soortgelijk voorstel gedaan.

Begrippen (artikel 3)

De LIBE Commissie stelt voor een omschrijving van het begrip «profileren» op te nemen. Ik sta hier in beginsel positief tegenover.

Beginselen van gegevensverwerking (artikel 4)

Er worden een aantal aanscherpingen voorgesteld van de beginselen voor gegevensverwerking. Dit betreft onder meer de proportionaliteit van de verwerking en de autorisatie van de personen die toegang hebben tot de gegevens. Ik sta hier in beginsel positief tegenover.

Toegang tot gegevens van derden (artikel 4a)

De LIBE Commissie stelt voor dat de toegang tot gegevens van derden wordt gebonden aan een specifieke autorisatie van de bevoegde autoriteit en de vereisten van noodzaak en proportionaliteit op grond van EU-wetgeving. Ik acht het van groot belang dat deze verenigbaar is met het Nederlandse systeem voor het vorderen van gegevens, zoals dat in het Wetboek van Strafvordering is vastgelegd (artikelen 126nc /ni Sv).

Verschillende categorieën van datasubjecten (artikel 5)

Onderscheid moet worden gemaakt in de aard van de subjecten (verdachten, veroordeelden, slachtoffers en derden), over wie gegevens kunnen worden verwerkt. Vereist is een redelijke grond voor verdenking. De woorden «voor zover mogelijk» worden geschrapt. Persoonsgegevens over anderen kunnen worden verwerkt voor de opsporing of vervolging van een specifiek strafbaar feit. Zoals ook in het BNC-fiche is aangegeven, acht ik een dergelijke regeling minder goed werkbaar. De voorgestelde regeling is minder goed toegesneden op de vervolging van strafbare feiten en kan de opsporing van strafbare feiten ronduit belemmeren. Ik ben hiervan dan ook geen voorstander.

Onderscheid in juistheid en betrouwbaarheid van persoonsgegevens (artikel 6)

Onderscheid moet worden gemaakt tussen feiten en persoonlijke waarnemingen, in overeenstemming met de mate van betrouwbaarheid. De woorden «voor zover mogelijk» worden geschrapt. Zoals ook in het BNC-fiche is aangegeven, zal een dergelijk onderscheid in de praktijk van opsporing en vervolging minder goed uitvoerbaar zijn. De juistheid van gegevens is niet altijd goed vast te stellen; het opsporingsonderzoek is er juist op gericht daar licht op te werpen.

De rechtmatigheid van de verwerking (artikel 7)

Er worden specifieke eisen gesteld aan de wetgeving op het gebied van de verwerking van persoonsgegevens. Deze eisen hebben betrekking op de doelen van de verwerking, de procedure voor de verwerking en het gebruik van de verkregen gegevens. Met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, die regels geven over de verwerking van persoonsgegevens met het oog op de opsporing en vervolging en tenuitvoerlegging van strafbare feiten, wordt aan deze eisen reeds voldaan.

Verdere verwerking voor onverenigbare doelen (artikel 7a)

Verdere verwerking voor onverenigbare doelen is uitsluitend mogelijk wanneer dit strikt noodzakelijk en proportioneel is, op grond van een wettelijke regeling. Ik sta hier in beginsel positief tegenover.

Verwerking van genetische gegevens met het oog op een opsporingsonderzoek of een strafvorderlijke procedure (artikel 8a)

Er worden beperkingen gesteld aan de verwerking van genetische gegevens. Dit betreft de doelen van de verwerking en de verwerkingstermijnen. Ik sta hier in beginsel positief tegenover, maar acht nader onderzoek wenselijk naar de Nederlandse wet- en regelgeving ten aanzien van het gebruik van genetische gegevens.

De rechten van de betrokkene (artikelen 19a – 17)

De LIBE Commissie doet een aantal voorstellen gericht op de verbetering van de informatievoorziening aan de betrokkene. Dit betreft onder meer de verplichting tot het actief informeren van de betrokkene over onder meer de wettelijke grondslag voor de verwerking, de bewaartermijnen en zijn rechten. Als de gegevens niet van hemzelf afkomstig zijn dan wordt hij daarover geïnformeerd ten tijde van de vastlegging of binnen een redelijke termijn daarna. De door de Commissie voorgestelde algemene uitzondering i.v.m. de belangen van opsporing en vervolging wordt beperkt tot specifieke gevallen (artikel 11). Aanvullend heeft de betrokkene het recht tot kennisneming van de over hem verwerkte gegevens, in het bijzonder bij de geautomatiseerde verwerking van gegevens (artikel 12). Zoals in het BNC-fiche is vermeld acht de regering een algemene verplichting voor de rechtshandhavingsdiensten om een betrokkene actief te informeren dat over hem persoonsgegevens worden verwerkt niet goed uitvoerbaar en niet goed verenigbaar met de aard van de politietaak.

Impact assessments (artikel 25a)

De verantwoordelijke verricht een privacy impact assessment (PIA) wanneer de voorgenomen gegevensverwerkingen vanwege hun aard, reikwijdte of doeleinden specifieke risico’s vormen voor de rechten en vrijheden van de betrokkene. Dit is specifiek aan de orde bij omvangrijke gegevensbestanden, genetische gegevens e.d. Er gelden specifieke eisen voor de inhoud van de PIA, en de verwerker is gehouden het publiek over de voorgenomen gegevensverwerking te consulteren. Ik sta in beginsel positief ten opzichte van dit voorstel, dat aansluit bij het Regeerakkoord. Wel vereist de verhouding tussen het voorstel van de LIBE Commissie en het Nederlandse beleid rond de PIA’s nadere beschouwing.

Voorafgaande consultatie van de toezichthouder (artikel 26)

De toezichthouder wordt geconsulteerd met het oog op de toetsing van de voorgenomen gegevensverwerking aan de bepalingen van de richtlijn, als de PIA uitwijst dat de voorgenomen gegevensverwerking een hoge mate van risico vormt of als de toezichthoudende autoriteit een dergelijke consultatie noodzakelijk acht vanwege de aard, de reikwijdte of de doeleinden van de verwerking. Als de gegevensverwerking niet aan de regels van de richtlijn voldoet, dan wordt die verwerking verboden en worden voorstellen gedaan ter verbetering. Ik heb de nodige aarzelingen over dit voorstel omdat dit kan leiden tot interferentie met het strafproces en de positie van de onafhankelijk rechter bij de beoordeling van een strafzaak.

Verstrekking van persoonsgegevens aan derde landen (artikelen 33 – 38a)

De LIBE Commissie stelt voor de door de Commissie voorgestelde regeling te versterken. Uitgangspunt voor verstrekking is dat het niveau van gegevensbescherming van de richtlijn niet wordt ondermijnd (artikel 33, onderdeel ba). De uitzonderingen voor de verantwoordelijke om te verstrekken op basis van voldoende waarborgen wordt beperkt(artikel 35). De lidstaten leveren informatie over de verstrekkingen aan andere landen aan de Commissie, ten behoeve van periodieke rapportages aan het EP (artikel 38a). De door LIBE voorgestelde beperkingen acht ik niet goed verenigbaar met het belang van de criminaliteitsbestrijding, omdat deze weinig ruimte laten voor de uitwisseling van persoonsgegevens met derde landen.

Bevoegdheden toezichthouder (artikel 46)

De toezichthoudende autoriteit krijgt uitgebreide bevoegdheden, waaronder een tijdelijk of definitief verbod op de gegevensverwerking en de opschorting van de gegevensstroom naar een derde land. Ik sta hier in beginsel positief tegenover versterking van de bevoegdheden van de toezichthoudende autoriteiten maar merk op dat een verbod op de gegevensverwerking een vergaande maatregel betreft, die in beginsel rechterlijke tussenkomst vereist.

Verstrekking persoonsgegevens aan derden (artikel 55a)

De verstrekking van persoonsgegevens aan derden is mogelijk voor zover in een specifieke zaak noodzakelijk voor de vervulling van de wettelijke taak van de verstrekker, de voorkoming van een onmiddellijk en ernstig gevaar voor de openbare veiligheid of de voorkoming van ernstige aantasting van de rechten van personen. Dit lijkt een zinvolle aanvulling op de inhoud van de richtlijn.

Vooruitzichten

Het Europees Parlement heeft inmiddels van de rapporteurs een verslag ontvangen van de stemming in de LIBE Commissie en de rapporteurs hebben inmiddels de voorzitter van het Parlement formeel verzocht de door de LIBE Commissie aanvaarde amendementen op de plenaire plenaire zitting in stemming te brengen. Het Parlement moet dan ook stemmen over de door de LIBE Commissie niet aanvaarde amendementen. De verwachting is dat deze stemming in maart of april 2014 plaatsvindt, in elk geval voor de verkiezingen van mei 2014.

Indien de Raad erin zou slagen om het door hem geamendeerde voorstel te aanvaarden in een «general approach», kunnen de onderhandelingen in de triloog (Raad, Commissie en Parlement) beginnen. Zo ver is het nog niet. Wat de verordening betreft is naast de discussie over het onestopshop-mechanisme in de Raad sprake van veel meer meningsverschillen. Deels vloeien die voort uit onderlinge inhoudelijke meningsverschillen. Daarnaast zijn er ook interne nationale belangen van lidstaten. En er is ook een vrij grote minderheid van lidstaten die het instrument verordening om principiële redenen afwijst.

Inhoudelijke meningsverschillen zijn naar mijn inschatting oplosbaar. Dat vereist compromisbereidheid. Dat is lastiger met nationale belangen en principiële standpunten. Met de discussie over de samenwerking van de toezichthouders heb ik moeten ervaren hoe moeilijk dat is. Opvallend is dat het steeds verder verhogen van de druk op de onderhandelingen door Commissie en Parlement tot dusverre geen effect heeft gehad op de compromisbereidheid van enkele grote lidstaten. Dat geeft aan dat deze lidstaten vermoedelijk bereid zijn een langduriger uitstel van de afronding van het wetgevingspakket als gevolg van de Europese verkiezingen te aanvaarden. Met de onmogelijkheid om op de JBZ Raad een gedeeltelijke «general approach» te bereiken op samenwerking tussen de toezichthouders – zowel inhoudelijk als qua omvang een substantieel deel van de verordening – is aanvaarding door de Raad in elk geval niet dichterbij gekomen. Ik doe geen uitspraken over de verwachtingen voor het voorjaar. Dat zou speculatief zijn. Ik stel u daarom voor u weer te berichten na de informele Raad in januari 2014 in Athene.

Wat betreft de ontwerprichtlijn bestaat de indruk dat de frequentie van de vergaderingen van de raadswerkgroepen – en daarmee de intensiteit en voortgang van de onderhandelingen – nauw wordt afgestemd op de voortgang van de onderhandelingen over de ontwerpverordening, zodat de beide rechtsinstrumenten tegelijk kunnen worden vastgesteld. Bij een aantal lidstaten bestaan echter grote reserves ten opzichte van nut en noodzaak van de ontwerprichtlijn. Deze lidstaten achten het wenselijk eerst de evaluatie van het kaderbesluit dataprotectie, dat in sommige lidstaten nog niet volledig is geïmplementeerd, af te wachten voordat deze wordt vervangen door een richtlijn. Onder het Letse voorzitterschap is begonnen aan een tweede behandeling van de ontwerptekst. Mede in het licht van de stand van zaken rond de ontwerpverordening zijn thans geen betrouwbare voorspellingen te doen over het verdere verloop van de onderhandelingen gedurende 2014.

De Staatssecretaris van Veiligheid en Justitie, F. Teeven


X Noot
1

Ter vertrouwelijke inzage gelegd, alleen voor de leden, bij het Centraal Informatiepunt Tweede Kamer

Naar boven