Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 oktober 2015

Op verzoek van de vaste commissie voor Veiligheid en Justitie geef ik hieronder een reactie op de brief van de voorzitter van het College bescherming persoonsgegevens (Cbp) van 3 september 2015 aan de leden van deze commissie met betrekking tot de herziening van EU-regelgeving voor gegevensbescherming.

1. Doelbinding

De voorzitter van het Cbp stelt zich op het standpunt dat in artikel 6, vierde lid, van de verordening die door de Raad is aanvaard het principe van doelbinding wordt doorbroken wanneer het gerechtvaardigd belang van de verantwoordelijke als rechtsgrondslag wordt aanvaard voor het gebruik van persoonsgegevens voor een nieuw doeleinde dat onverenigbaaar is met het oorspronkelijke doeleinde van de verwerking. De voorzitter meent dat er dan sprake is van een verlaging van het beschermingsniveau.

Voor ik daar inhoudelijk op in ga, maak ik twee voorafgaande opmerkingen. Allereerst richten de bezwaren van de voorzitter zich tegen de algemene benadering die de Raad op 15 juni 2015 heeft vastgesteld. Met voorafgaande politieke instemming van uw Kamer is Nederland daarmee akkoord gegaan. Dat brengt politiek met zich dat hiervan in beginsel niet kan worden afgeweken. De algemene benadering is de politieke basis voor onderhandelingen met het Europees parlement. Daarnaast geldt dat weliswaar moet worden gewaakt tegen het verlagen van het beschermingsniveau maar dat ook niet te snel moet worden geoordeeld dat elke verandering die de verordening ten opzichte van het bestaande recht brengt een verlaging van het beschermingsniveau betekent. De verordening moet ook met zijn tijd meegroeien en voldoen aan huidige en toekomstige ontwikkelingen.

Artikel 6, vierde lid, van de verordening is een bepaling die niet op zichzelf staat. Deze moet worden bezien in samenhang met alle andere bepalingen uit de verordening die betrekking hebben op de rechtvaardigingsgronden voor het verwerken van persoonsgegevens. Uitgangspunt is dat persoonsgegevens krachtens artikel 5, eerste lid, onder b, van de verordening mogen worden verzameld voor specifieke, expliciete en legitieme doelen en niet verder mogen verwerkt voor met die doelen onverenigbare doelen. Dat uitgangspunt is nog altijd van wezenlijk belang. In de praktijk van de verwerking van persoonsgegevens is het echter dringend noodzakelijk gegevens te kunnen verwerken voor andere doeleinden dan waarvoor ze oorspronkelijk werden verzameld. Zou dat niet zo zijn dan zouden de voordelen die ICT aan de samenleving biedt niet kunnen worden benut. Het komt er daarbij op neer dat op overtuigende wijze kan worden vastgesteld wanneer er sprake is van verenigbaarheid of onverenigbaarheid van doeleinden. In Nederland is daarom in de Wet bescherming persoonsgegevens (Wbp) een regeling opgenomen die dit mogelijk maakt.

De Europese Commissie heeft in haar voorstel voor de verordening een dergelijk bepaling niet opgenomen. In plaats daarvan heeft zij in artikel 6, vierde lid, een regeling opgenomen voor de rechtsgevolgen van onverenigbaar gebruik. Onverenigbaar gebruik is in de visie van de Commissie toegestaan als aan de verwerking voor een doel dat onverenigbaar met het doel waarvoor de gegevens oorspronkelijk zijn verzameld een eigen rechtvaardigingsgrond ten grondslag kan worden gelegd. Er moet dan afzonderlijk toestemming van de betrokkene zijn verkregen of een wettelijke of contractuele verplichting worden aangewezen die de gegevensverwerking voor het nieuwe doel rechtvaardigt. De Commissie heeft in haar voorstel echter het zogeheten gerechtvaardigd belang van de verantwoordelijke als rechtvaardigingsgrond voor een dergelijke verandering van doeleinden uitgesloten. Deze rechtvaardigingsgrond wordt veel gebruikt in het bedrijfsleven. De Commissie stelt dat opname van deze rechtvaardigingsgrond in strijd is met artikel 8 van het Handvest voor de Grondrechten.

Nederland is altijd van oordeel geweest dat de voorgestelde regeling innerlijk tegenstrijdig is. Indien er sprake is van een onverenigbare verwerking moet deze worden gestaakt of achterwege blijven. Dat hoeft niet geëxpliciteerd te worden in de verordening omdat dit evident is. Uiteraard kan na verandering van een doeleinde altijd een nieuwe verwerking worden gestart als aan de voorwaarden van de verordening wordt voldaan. Niettemin bestond er in de Raad een voldoende meerderheid die bepaling toch te handhaven. Nederland is bovendien altijd van oordeel geweest dat in artikel 6, vierde lid, ten onrechte het gerechtvaardigd belang als rechtvaardigingsgrond is uitgesloten. Dat opname van die rechtvaardigingsgrond in strijd met het Handvest voor de Grondrechten is ontbeert overtuigingskracht. Niets in de tekst van het Handvest wijst daarop. Er is ook geen jurisprudentie van het Hof van Justitie van de EU die voor die stelling een aanknopingspunt biedt. Wel leidt het uitsluiten van het gerechtvaardigd belang tot een discriminatoir effect voor het bedrijfsleven. Het is om die redenen geweest dat de Raad het Commissievoorstel heeft geamendeerd. De Raad is van oordeel dat het gerechtvaardigd belang wel een rechtvaardigingsgrond is die het gebruik van gegevens voor een ander doel kan ondervangen.

Bij de beoordeling is nog een aspect van belang dat de voorzitter in zijn brief niet heeft belicht. Nederland heeft al in 2012 een voorstel ingediend dat gebaseerd is op de eerdergenoemde regeling uit de Wbp om daarmee rechtszekerheid te verschaffen over de toelaatbaarheid van het verenigbaar gebruik. Het betreft artikel 6, lid 3a. Die regeling kon wat Nederland betrof in de plaats komen van artikel 6, vierde lid, dat dan in zijn geheel geschrapt zou kunnen worden. Het heeft Nederland veel energie gekost om de voordelen daarvan voor het voetlicht te brengen en die regeling in de verordening te krijgen. Een aanmerkelijk aantal lidstaten voelde daar eigenlijk niets voor. Een zeer grote lidstaat kon er slechts mee akkoord gaan als artikel 6, vierde lid, in de tekst gehandhaafd bleef. Met dit compromis moest Nederland wel akkoord gaan, omdat anders een minder goede uitkomst – uitsluitend het Commissievoorstel – waarschijnlijk zou zijn geweest.

Over het onderwerp wordt nu in de triloog onderhandeld. Raad, Europees parlement en Commissie hebben elk hun eigen positie daarin. Dit punt is nog niet tot overeenstemming gebracht.

2. Risk based approach

In zijn algemeenheid kan ik het standpunt van de voorzitter van het Cbp ten aanzien van de risico-georiënteerde benadering («risk based approach») goed volgen. Nederland is altijd van oordeel geweest dat de zwaarte van de verplichtingen die bedrijven krijgen opgelegd gelijke tred moet houden met het risico dat gemoeid is met de gegevensverwerkingen waarvoor zij verantwoordelijk zijn. Ik ben het ermee eens dat kleine en middelgrote ondernemingen moeten worden ontzien bij het opleggen van verplichtingen door middel van formuleringen die niet dwingend zijn gebaseerd op rechtsvorm of bedrijfsgrootte. Ook daarvoor heeft Nederland altijd gepleit.

3. Doorgifte

Ik heb kennis genomen van het standpunt van de voorzitter van het Cbp waar hij schrijft dat doorgifte van gegevens uit de Europese Unie naar een derde land bij gebreke aan een toereikendheidsoordeel van de Commissie slechts mogelijk is indien er een bindende wettelijke grondslag voor is. De artikelen 25 en 26 van richtlijn 95/46/EG en de artikelen 76 en 77 van de Wbp bieden een reeks van grondslagen voor deze doorgiften. Het gaat daarbij niet alleen om een bindende wettelijke grondslag maar ook om toestemming van de betrokkene of de uitvoering van een contract. Al die grondslagen keren in de verordening terug.

In de onderhandelingen is op basis van ervaringen en voorbeelden de conclusie getrokken dat het noodzakelijk is dit stelsel uit te breiden met een nieuwe grondslag omdat het stelsel ontoereikend bleek en er dringend behoefte bestond aan een reservegrondslag die ingeroepen kan worden wanneer alle andere grondslagen falen. In artikel 44, eerste lid, onder h, van de verordening is dat gebeurd. Toepassing van die bepaling is gebonden aan nadere waarborgen, zoals een uitgebreide belangenafweging tussen de gerechtvaardigde belangen van de verantwoordelijke en de rechten en vrijheden van de betrokkene. In het nieuwe stelsel zal de verantwoordelijke bovendien moeten zorgdragen voor explicitering van die afweging en heeft hij een verantwoordingsplicht jegens de toezichthouder. Ik deel niet het oordeel dat dit een verlaging van het beschermingsniveau is. De verordening moet meebewegen met de praktijk. Over de nieuwe bepaling is inmiddels beginselovereenstemming bereikt met het Europees parlement. In het eerstvolgende voortgangsbericht over de onderhandelingen zal ik u daarover nader informeren.

Een geheel andere kwestie is of de doorgifte van gegevens tussen overheden in de context van de toepassing van het strafrecht al dan niet op rechtshulpverdragen gebaseerd moet zijn. Ik ben het met de voorzitter van het Cbp eens dat een rechtshulpverdrag de koninklijke weg is. Waar buiten de strikt strafrechtelijke context gegevensdoorgifte van overheid tot overheid plaatsvindt behoort in beginsel ook een verdragsrechtelijke grondslag te bestaan. Ik ben optimistisch gestemd over de mogelijkheden deze beginselen in de verordening te verankeren.

4. Relatie verordening en richtlijn

Ik heb kennis genomen van de opvatting van de voorzitter van het Cbp dat de afbakening van de reikwijdte tussen verordening en richtlijn op het gebied van het voorkomen van en beschermen tegen bedreigingen voor de openbare veiligheid («public security») zou leiden tot een verlaging van het beschermingsniveau. Ik herinner uw Kamer aan het steeds door Nederland ingenomen standpunt dat het wenselijk is dat gegevensverwerking door de politie en de Koninklijke Marechaussee ter uitvoering van de hen door de wetgever opgedragen taken zoveel mogelijk door één instrument wordt beheerst. Die taken zijn immers niet gescheiden door waterdichte schotten. Nu de richtlijn nu eenmaal specifiek voor de politie is bedoeld, zij het beperkt tot de opsporingstaak, lag het voor de hand dat de richtlijn ook de gegevensverwerking in het kader van de handhaving van de openbare orde zou gaan beheersen. Andere keuzes door de Commissie waren denkbaar geweest, maar die zijn nu eenmaal niet gemaakt. Dit vraagstuk speelt niet alleen in Nederland, maar ook in andere lidstaten, zij het telkens op een iets andere manier. Er moet dan een compromisoplossing worden gezocht. In dit compromis kan Nederland zich vinden. Over de precieze consequenties voor de verwerkingen van politie en Koninklijke Marechaussee kan nu nog geen definitief uitsluitsel worden gegeven, omdat die mede afhankelijk zijn van uitkomst van de onderhandelingen met het Europees parlement. Duidelijk lijkt wel dat de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens, die een hoog beschermingsniveau bieden, zullen moeten worden aangepast. Omdat het beschermingsniveau voor gegevensverwerking in de context van de taakuitoefening door de politie en de Koninklijke marechaussee nog altijd nationaal is geregeld, is voorzichtigheid met doen van stellige uitspraken over verlaging van het beschermingsniveau op zijn plaats.

De Minister van Veiligheid en Justitie, G.A. van der Steur