32 761 Verwerking en bescherming persoonsgegevens

Nr. 91 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 januari 2016

Zoals Uw Kamer bekend werd in Brussel onderhandeld over een pakket dat strekt tot herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. Het pakket omvat twee voorstellen en een mededeling waarin die voorstellen worden opgevoerd en toegelicht.

De voorstellen van de Commissie betreffen het voorstel voor een verordening over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (hierna: ontwerpverordening gegevensbescherming) en het voorstel voor een richtlijn over de bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, het onderzoek, de opsporing, of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van dergelijke gegevens (hierna: ontwerprichtlijn gegevensbescherming opsporing en vervolging).

Over de voorstellen van de Commissie voor de ontwerpverordening en de ontwerprichtlijn zijn destijds BNC-fiches opgesteld (Kamerstuk 22 112, nr. 1371). Tussentijds is Uw Kamer van de stand van zaken in de onderhandelingen op de hoogte gehouden, door middel van de geannoteerde agenda’s en verslagen met betrekking tot de Raden Justitie en Binnenlandse Zaken (JBZ) daarnaast door middel van periodieke rapportages (Kamerstuk 32 761, laatstelijk nr. 90).

Inmiddels heeft het Luxemburgse Voorzitterschap met de onderhandelaars van het Europees parlement (de rapporteurs) een voorlopige overeenstemming bereikt over de ontwerpverordening en de ontwerprichtlijn. Het resultaat van de onderhandelingen (hierna ook te noemen: de compromistekst) is op 17 december 2015 in het LIBE comité in stemming gebracht voor instemming. Het LIBE comité heeft de beide compromisteksten met een grote meerderheid aangenomen, zodat deze op 18 december aan het Comité van Permanent Vertegenwoordigers bij de Europese Unie (Coreper) ter instemming kan worden voorgelegd. Daarna volgt nog de formele goedkeuring zowel van het Europees parlement in plenaire sessie als in een Raad van Ministers van de Europese Unie, mogelijk een Raad Justitie en Binnenlandse Zaken.

De compromisteksten bied ik u hiermee ter kennisneming aan1. Hieronder wordt een korte schets van de belangrijkste onderdelen van de ontwerpverordening en de ontwerprichtlijn gegeven, en een eerste, algemene waardering van het onderhandelingsresultaat.

– De ontwerpverordening gegevensbescherming

De compromistekst is zeer omvangrijk en bevat vele wijzigingen ten opzichte van zowel het oorspronkelijk ontwerp van de Commissie, als de algemene oriëntatie waarover de Raad in juni van dit jaar overeenstemming bereikte. Uw Kamer zal over de details worden geïnformeerd in de rapportage over de onderhandelingen in het laatste kwartaal van dit jaar. Ik beoordeel het onderhandelingsresultaat echter vooral aan de hand van de drie belangrijkste elementen waaraan Nederland de afgelopen vier jaar steeds nadrukkelijk aandacht heeft besteed. Daarnaast informeer ik u nog over een relevante wijziging van de bepaling over de bescherming van jeugdigen

Het eerste element is om voldoende flexibiliteit voor de publieke sector te garanderen voor wat betreft het verwerken van persoonsgegevens, gelet op de bijzondere taak van de overheid. Ik ben van oordeel dat de compromistekst deze ruimte in voldoende mate biedt. Allereerst wordt in artikel 6(2a) voorzien dat, indien een verwerking plaatsvindt op basis van de rechtsgrondslagen die specifiek voor de overheid gelden bij of krachtens de wet in een specifieke vereisten invulling aan de verordening kan worden gegeven. In artikel 6 (3) wordt, mede naar aanleiding van Nederlandse voorstellen de band tussen de rechtsgrondslagen voor verwerkingen in het publieke domein verduidelijkt. Het betreft artikel 6(1)(c) – gegevensverwerkingen voor het nakomen van een wettelijke verplichting – en artikel 6(1)(e) – gegevensverwerkingen noodzakelijk ter vervulling van een taak van algemeen belang of de uitoefening van openbaar gezag dat aan de voor de verwerking verantwoordelijke is verleend.

In artikel 6(3a) is in samenhang met overweging 40 voorts voorzien in de mogelijkheid voor de publieke sector om gegevens verder te verwerken voor een ander gespecificeerd doel dan waarvoor ze oorspronkelijk zijn verzameld indien dit bij wet wordt geregeld. Ook dit was een Nederlands voorstel. Tenslotte wordt in artikel 21 voorzien in de mogelijkheid om beperkingen op bepaalde artikelen van de verordening bij wet in te stellen, onder andere in bijvoorbeeld het belang van nationale veiligheid, de openbare veiligheid en andere belangrijke redenen in het algemene publieke belang. Met deze voorzieningen wordt het bestaande stelsel van de huidige richtlijn gecontinueerd, en tegelijk voorzien in uitbreiding van de waarborgen voor de bescherming van de persoonlijke levenssfeer.

Een tweede element is een risico-georiënteerde benadering met betrekking tot verplichtingen van verantwoordelijken. Nederland heeft sterk aangedrongen op meer maatwerk bij de vormgeving van deze verplichtingen. Dat is nodig om in het belang van het midden- en kleinbedrijf de administratieve lasten terug te dringen. Na lezing van de tekst kan geconcludeerd worden dat de ontwerpverordening voorziet in een georiënteerde benadering kent. Met name in de onderstaande artikelen komen de elementen van een risicobenadering goed tot uiting. Daarmee worden de administratieve lasten, met name voor het midden en klein bedrijf (MKB), naar verwachting tot aanvaardbare proporties beperkt blijven.

  • Artikel 28 – de documentatieplicht. De hoofdregel is dat verantwoordelijken en bewerkers de plicht hebben bepaalde documentatie bij te houden over de gegevensverwerkingen die ze uitvoeren. In artikel 28(2) wordt echter voorzien in een uitzondering voor het MKB (gedefinieerd als een organisatie met minder dan 250 werknemers), tenzij de desbetreffende verwerkingen leiden tot een hoog risico voor de rechten en vrijheden van de betrokkene en niet sporadisch is of als de verwerkingen speciale categorieën persoonsgegevens als in artikel 9 of strafrechtelijke gegevens als in artikel 9a betreffen.

  • Artikel 31 – meldplicht datalekken aan de toezichthouder. Datalekken hoeven niet gemeld te worden aan de toezichthouder als het onwaarschijnlijk is dat deze resulteren in een risico voor de rechten en vrijheden van individuen.

  • Artikel 32 – meldplicht datalekken aan de betrokkene. Alleen als een datalek waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkene moet deze worden gemeld aan de betrokkene.

  • Artikel 33 – uitvoeren van een «data protection impact assessment». Alleen als bepaalde type verwerkingen, daarbij rekening houdend met de aard, reikwijdte, context en doelen van de verwerking, waarschijnlijk tot een hoog risico zal leiden voor de rechten en vrijheden van individuen, dient de verantwoordelijke een DPIA uit te voeren.

  • Artikel 35 – verplicht aanstellen van een functionaris voor de gegevensbescherming; het aanstellen van een functionaris voor de gegevensbescherming is alleen verplicht voor de volgende drie categorieën van verantwoordelijken en verwerkers. In de eerste plaats publieke autoriteiten. In de tweede plaats verantwoordelijken en verwerkers die verwerkingen uitvoeren die monitoring van betrokkenen betreffen. En in de derde plaats verantwoordelijken en verwerkers die op grote schaal bijzondere persoonsgegevens verwerken.

Een groep van ondernemingen mag ook gezamenlijk één functionaris aanwijzen, mits deze goed bereikbaar is voor alle vestigingen. Als een verantwoordelijke of bewerker een publieke autoriteit is mag ook één functionaris worden aangewezen voor meer dan één organisatie. Gemeenten kunnen er dan voor kiezen gezamenlijk een functionaris aan te stellen.

Het derde element is om ervoor te zorgen dat de verordening in voldoende mate uitzonderingen biedt op de rechten van betrokkenen voor organisaties die persoonsgegevens verwerken voor het doen van grootschalige wetenschappelijke onderzoeken en voor statistische doeleinden, omdat het recht op bescherming van persoonsgegevens bij dergelijke verwerkingen slechts in relatief geringe mate in het geding is en in het licht daarvan anders een disproportionele uitvoeringslast voor de verantwoordelijke zou ontstaan. De compromistekst lijkt hier voldoende in te voorzien en dat komt vooral in artikel 83 tot uiting. Zo voorziet artikel 83(2) in de mogelijkheid om voor verwerkingen voor wetenschappelijke en historische onderzoeksdoeleinden en statistische doeleinden uitzonderingen te maken op de rechten van betrokken als neergelegd in artikel 15 (recht op inzage), artikel 16 (recht van rectificatie), artikel 17a (recht op restrictie van verwerkingen) en artikel 19 (recht van verzet). Artikel 83(3) biedt voorts de mogelijkheid om uitzonderingen te maken op dezelfde rechten van betrokkenen, aangevuld met het recht op melding van rectificatie (artikel 17b) en het recht op dataportabiliteit (artikel 18) voor verwerkingen van persoonsgegevens voor archiveringsdoeleinden in het publieke belang. Tenslotte voorzien artikelen 14a (informatie wanneer gegevens niet direct van de betrokken zijn ontvangen) en 17 (recht op verwijdering) zelf al in uitzonderingen voor verwerkingen voor wetenschappelijke, en historische onderzoeksdoeleinden, statistische doeleinden en voor archiveringsdoeleinden in het publieke belang. Het maken van deze uitzonderingen vereist tussenkomst van de nationale wetgever, die daarbij in waarborgen voor de gegevensbescherming moet voorzien.

Tot slot wil ik nog ingaan op toestemming als rechtsgrondslag voor het verwerken van persoonsgegevens en dan met name in relatie tot persoonsgegevens van kinderen. Artikel 8 van de conceptverordening bepaalt dat indien gegevensverwerkingen in het kader van het aanbieden van «information society services» toestemming als rechtsgrondslag vereisen en het betreft gegevens van kinderen onder de 16 jaar, dat de toestemming gegeven moet worden met degene die belast is met het ouderlijk gezag. Op dit moment voorziet de Wet bescherming persoonsgegevens ook in het vereiste van toestemming van degene die is belast met het ouderlijk gezag indien persoonsgegevens van kinderen onder de 16 jaar worden verwerkt. Lidstaten wordt in het compromis de mogelijkheid geboden per wet te regelen deze leeftijd te verlagen, mits deze niet lager dan 13 jaar is.

Over het geheel genomen is compromistekst voor de ontwerpverordening een gebalanceerde tekst om te zorgen voor een hoog niveau van gegevensbescherming aangepast aan de huidige tijd, waarin steeds meer zaken online gebeuren en de administratieve lasten voldoende beperkt blijven om geen onnodige drempels op te werpen, onder andere ten aanzien van innovatie en efficiëntie.

– De ontwerprichtlijn gegevensbescherming

Het eerste element is de werkingssfeer van de richtlijn. Anders dan het huidige kaderbesluit gegevensbescherming (kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008, Pb L 350/60) is de ontwerprichtlijn van toepassing op de verwerking van persoonsgegevens, ongeacht of de gegevens aan andere landen worden verstrekt. Eenvormige Europese regels voor gegevensbescherming zijn van belang voor de bescherming van de rechten van burgers en bieden de opsporings- en vervolgingsinstanties zekerheid bij de uitwisseling van gegevens met andere lidstaten. De ontwerprichtlijn is van toepassing op de verwerking van persoonsgegevens door de bevoegde autoriteiten ten behoeve van de voorkoming, het onderzoek, de opsporing, of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, inclusief de bescherming tegen en de voorkoming van bedreigingen van de openbare veiligheid (artikel 1, eerste lid). Met dit verruimde toepassingsgebied wordt tegemoet gekomen aan de wens van een aantal lidstaten, waaronder Nederland, zoveel mogelijk aan te sluiten bij de uitvoering van de politietaak. Nederland had graag had gezien dat voor het toepassingsgebied de tekst van de Algemene Oriëntatie was gehandhaafd, die, zonder overigens wezenlijk af te doen aan de in de richtlijn voorziene rechtswaarborgen, de lidstaten meer ruimte liet uit oogpunt van effectieve uitvoering van de politietaak. De mogelijke implicaties van deze uitkomst zullen nog nader in beeld worden gebracht. Ook tegen de achtergrond van de nieuwe tekst zal Nederland een maximale inspanning verrichten om de verwerking van gegevens ter uitvoering van de politietaak in de implementatiewetgeving onder één regime te blijven houden. De richtlijn staat overigens niet in de weg aan verdergaande waarborgen voor gegevensbescherming op nationaal niveau, dit is in de richtlijn expliciet vastgelegd (artikel 1, lid 1).

Het tweede element is de verstrekking van persoonsgegevens aan andere personen en instanties en aan derde landen. Er worden specifieke voorwaarden gesteld aan de verwerking van gegevens voor andere doelen, binnen de reikwijdte van de richtlijn (artikel 4, lid 2). Voor de verwerking van gegevens voor andere doelen, buiten de reikwijdte van de richtlijn, geldt het vereiste van een wettelijke grondslag. Overigens is de ontwerpverordening hierop van toepassing (artikel 7a, lid 1). Deze regeling biedt een duidelijk kader voor de verstrekking van persoonsgegevens aan andere personen en instanties, met het oog op doelen die nauw samenhangen met de opsporing en vervolging van strafbare feiten. Tevens is voorzien in een uitgebreide regeling voor de verstrekking van persoonsgegevens aan derde landen, deze vormt een duidelijk stap vooruit ten opzichte van de regeling van het huidige kaderbesluit dataprotectie. Uitgangspunt is een adequaat niveau van gegevensbescherming in het derde land (artikel 34). Als de Commissie daarover geen oordeel heeft gegeven zijn er andere gronden voor de verstrekking van persoonsgegevens (artikelen 35 en 36). In de Algemene Oriëntatie was een specifieke regeling opgenomen voor de verstrekking van persoonsgegevens aan ontvangers in derde landen. Nederland is hiervan een voorstander, vanwege de noodzaak om bepaalde persoonsgegevens aan bedrijven in andere landen te kunnen verstrekken die diensten aanbieden op het gebied van informatie- en communicatietechnologie, met het oog op de verstrekking van persoonsgegevens door die bedrijven ten behoeve van het opspringonderzoek. Deze regeling is in aangepaste vorm gehandhaafd, en biedt een goed compromis tussen de betrokken belangen (artikel 36aa).

Het derde element is de rechtsbescherming van de betrokkene en, daarmee verband houdend, de informatieplichten jegens die betrokkene. Er is een algemene verplichting tot het beschikbaar stellen van bepaalde gegevens aan de betrokkene (artikel 10a). Deze gegevens kunnen op een website van de verantwoordelijke worden gepubliceerd. Nederland heeft op een dergelijke algemene regeling aangedrongen in het belang van de uitvoerbaarheid en beperking van de administratieve belasting van opsporing en vervolging. Daarnaast heeft de betrokkene een uitgebreid recht op kennisneming (artikel 12), gekoppeld aan bepaalde weigeringsgronden (artikel 13). Verder is voorzien in het recht op correctie van gegevens (artikel 15) evenals de mogelijkheid van controle op een rechtmatige toepassing door de toezichthoudende autoriteit (artikel 15a).

Het vierde element betreft de verplichtingen van de verantwoordelijke, in het licht van de balans tussen zorgvuldige gegevensverwerking en de beheersing van de werklast voor politie en justitie. De verantwoordelijke is gehouden, waar van toepassing en zoveel mogelijk, onderscheid te maken tussen persoonsgegevens van verschillende categorieën van personen, zoals verdachten, veroordeelden, slachtoffers of getuigen (artikel 5). Ook moet, voor zover mogelijk, de verschillende categorieën van persoonsgegevens te worden onderscheiden, in overeenstemming met de mate van betrouwbaarheid van die gegevens. Deze regels zijn naar mijn oordeel minder goed verenigbaar te het politiewerk. De compromistekst biedt de lidstaten meer flexibiliteit en is als onderdeel van het compromis naar mijn oordeel aanvaardbaar. Verder is voorzien in een verplichting voor de verantwoordelijke tot het opstellen van «privacy impact assessments» (artikel 25a), de voorafgaande raadpleging van de toezichthoudende autoriteit (artikel 26), de beveiliging van de persoonsgegevens (artikel 27) en de melding van datalekken (artikelen 28 en 29). Het opstellen van «privacy impact assessments» en de melding van datalekken zijn nieuwe verplichtingen voor de rechtshandhavingsdiensten. Bij de melding van datalekken is overigens rekening gehouden met de Nederlandse zorg dat de politietaak in de weg kan staan aan melding van een datalek aan de betrokkene. Ten slotte is in dit verband van belang dat is voorzien in een verplichting tot aanstelling van een gegevensbeschermingsfunctionaris (artikel 30). Hiermee is eveneens tegemoet gekomen aan een Nederlandse wens.

Samenvattend is de compromistekst van de richtlijn een duidelijke stap vooruit in vergelijking met het eerdergenoemde huidige kaderbesluit gegevensbescheming. De compromistekst vormt naar mijn oordeel aan afgewogen balans tussen het belang van een zorgvuldige bescherming van persoonsgegevens en het belang van een adequate uitvoering van taken door de rechtshandhavingsdiensten.

Gelet op het bovenstaande ben ik voornemens positief te beslissen over het EU-pakket tot bescherming van persoonsgegevens.

U zult in de loop van januari 2016 nog een rapportage ontvangen over de onderhandelingen in het laatste kwartaal van dit jaar.

De Minister van Veiligheid en Justitie, G.A. van der Steur

X Noot
1

Raadpleegbaar via www.tweedekamer.nl

Naar boven