32 761 Verwerking en bescherming persoonsgegevens

Nr. 94 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 29 februari 2016

In uw brief van 25 januari jl. verzoekt u mij om een reactie op het artikel uit het NRC Handelsblad van 30 december 2015, met de titel «Privacywaakhond CBP kampt met onderbezetting». Per 1 januari jl. is de naam van het College bescherming persoonsgegevens gewijzigd in Autoriteit persoonsgegevens. In het vervolg van deze brief wordt de nieuwe naam gebruikt.

Vooropgesteld moet worden dat de handhaving van regels altijd moet gebeuren binnen de kaders van de beschikbare middelen en capaciteit. Dat geldt ook voor de Autoriteit persoonsgegevens. De Autoriteit stelt met behulp van een risicogestuurde aanpak prioriteiten en pakt op die manier de belangrijkste zaken aan. Mijn departement heeft geregeld contact met de Autoriteit over de budgettaire en capacitaire kaders. In die gesprekken is van de zijde van de Autoriteit geen mededeling gedaan waaruit blijkt dat wordt gekampt met een ernstig capacitair tekort. Ook blijkt uit de begroting van de Autoriteit voor het jaar 2016 niet van een tekort dat er toe zou leiden dat de taken in onvoldoende mate kunnen worden uitgevoerd. Overigens is in 2013 naar aanleiding van de motie Schouw1 aan de Autoriteit een extra structureel budget van € 0,75 miljoen toegekend. Met dit bedrag werd de Autoriteit toegerust om adequaat uitvoering te geven aan de huidige en toekomstige taken, waaronder de meldplicht datalekken en uitbreiding boetebevoegdheid2.

Voorts moeten twee zaken van elkaar worden onderscheiden: de meldplicht datalekken en uitbreiding boetebevoegdheid die – vooruitlopend op de Europese verordening gegevensbescherming – per 1 januari van dit jaar in werking zijn getreden en de overige toekomstige taken die voortvloeien uit de verordening.

In de memorie van toelichting bij de wetswijziging van de Wet bescherming persoonsgegevens in verband met de invoering van een meldplicht datalekken en uitbreiding boetebevoegdheid is vermeld dat de meldplicht naar schatting zal leiden tot 66 duizend meldingen per jaar. Deze schatting is onder andere gebaseerd op de meldingen in het kader van de specifieke datalekmeldplicht in de Telecommunicatiewet die sinds medio 2012 bestaat. De veranderingen in de werklast voor de Autoriteit Persoonsgegevens die de meldplicht datalekken en de uitbreiding van de boetebevoegdheid met zich meebrengt zullen werkende weg worden vastgesteld. De Autoriteit heeft voor de meldplicht datalekken in overleg met mijn departement een monitoringsinstrument opgesteld. Met de Autoriteit is afgesproken dat ik regelmatig op de hoogte wordt gesteld van de aantallen meldingen en de gevolgen daarvan voor de werklast. Mocht sprake zijn van significante consequenties dan kan dat aanleiding zijn om daarover met de Autoriteit nadere gesprekken te voeren.

De gevolgen voor de werklast van de Autoriteit persoonsgegevens van de overige nieuwe taken uit de Europese verordening gegevensbescherming zijn op dit moment nog niet aan de orde. De verordening moet nog formeel worden vastgesteld. De verwachting is dat de Raad en het Europees Parlement komend half jaar tot een afronding zullen komen van het gegevensbeschermingspakket en dat, na ondertekening, de verordening in het EU Publicatieblad zal worden gepubliceerd (ik verwijs voor het voorlopige tijdschema naar mijn laatste kwartaalrapportage over 2015). Twintig dagen na publicatie treedt de verordening vervolgens in werking. Daarna hebben de lidstaten twee jaar om hun nationale wetgeving aan te passen. Dat betekent intrekking van de Wet bescherming persoonsgegevens en het tot stand brengen van een uitvoeringswet. Alsdan worden ook de eventuele werklastgevolgen van de nieuwe taken voor de Autoriteit persoonsgegevens in kaart gebracht.

De Minister van Veiligheid en Justitie, G.A. van der Steur


X Noot
1

Kamerstuk 33 400 VI, nr. 71

X Noot
2

Kamerstuk 33 400 VI, nr. 100

Naar boven