32 761 Verwerking en bescherming persoonsgegevens

Nr. 53 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 11 oktober 2013

De vaste commissie voor Veiligheid en Justitie heeft een aantal vragen voorgelegd aan de Staatssecretaris van Veiligheid en Justitie naar aanleiding van de brief van 21 juni 2013 over gegevensbescherming en administratieve lasten en het rapport «Toetsing Europese Dataprotectieverordening (Kamerstuk 32 761, nr. 50).

De Staatssecretaris heeft deze vragen beantwoord bij brief van 10 oktober 2013.

Vragen en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie, Jadnanansing

Adjunct-griffier van de commissie, Smulders

I. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen vanuit de VVD-fractie

De leden van de VVD-fractie hebben met een positieve grondhouding kennisgenomen van het bovengenoemde rapport. Zij zijn van mening dat de huidige Europese richtlijn inzake de bescherming van persoonsgegevens (95/46/EG), die stamt uit 1995, verouderd is geraakt door de snelle opkomst van de informatietechnologie. Deze leden constateren tevens dat de richtlijn 95/46/EG in verschillende lidstaten op verschillende wijze is geïmplementeerd, hetgeen lastig is gebleken voor ondernemingen die in meerdere Europese landen actief zijn. De voorspelde daling van de administratieve lasten stemde deze leden tevreden. Zij hebben zich wel van aanvang af zorgen gemaakt over de kosten die het bedrijfsleven en de samenleving moeten maken om de nieuwe regels na te leven. Deze leden hebben hun zorgen helaas bevestigd gekregen in het rapport dat na enig aandringen is opgesteld. De leden van de VVD-fractie zijn van oordeel dat de extreem hoge nalevingskosten als zodanig, maar zeker in het huidige economische klimaat niet op hun plaats zijn en roept de Staatssecretaris dan ook op alles te doen wat mogelijk is om de nalevingskosten te beperken.

Deze leden hebben voorts nog enkele vragen.

Hoe oordeelt de Staatssecretaris over de hoge kosten die de verordening blijkens het rapport met zich mee zou brengen? Op welke wijze zal de Staatssecretaris bewerkstelligen dat de nalevingskosten zullen afnemen tot een aanvaardbaar niveau? Het onderzoek maakt melding van onderzoeken naar de lasten voor het bedrijfsleven in andere landen. Hebben andere landen naar aanleiding van deze gevreesde lasten voor het bedrijfsleven hun standpunt ten aanzien van de voorgenomen verordening gewijzigd?

De Staatssecretaris wijst erop dat de verordening de Europese Unie als geheel 2,3 miljard euro per jaar zal opbrengen. Dit zou blijken uit een berekening van de Europese Commissie. De baten zijn te danken aan het einde aan de fragmentatie van regelgeving die onder de huidige richtlijn bestaat. De Staatssecretaris heeft niet de behoefte de berekening in twijfel te trekken. Toch vragen de leden van de VVD-fractie of dit bedrag wordt gestaafd door onderzoeken. Hebben andere lidstaten uit eigen beweging een onderzoek gedaan naar de baten van de verordening, zoals Nederland een eigen onderzoek heeft gedaan naar de kosten ervan? Zo ja, wat zijn de uitslagen van die onderzoeken? Zijn die in lijn met de berekeningen van de Europese Commissie? Hoe oordeelt de Staatssecretaris hierover? Zien de leden van de VVD-fractie het goed dat dit bedrag ziet op de lagere administratieve lasten, dat wil zeggen de lagere lasten die de overheden in de afzonderlijke lidstaten moeten dragen om de verordening op de juiste wijze te handhaven? Deze leden vinden lagere administratieve lasten uiteraard een goed uitgangspunt, maar deelt de Staatssecretaris het oordeel van deze leden dat het erop lijkt dat de rekening komt te liggen bij het Europese bedrijfsleven? Ziet de Staatssecretaris ook het risico dat er door mogelijke coulance bij de handhaving van de verordening in sommige lidstaten, verschillen in nalevingskosten kunnen optreden tussen bedrijven onderling en afhankelijk van hun vestigingsplaats? Is het dan nog steeds denkbaar dat «veilige privacy-havens» ontstaan zoals dat tot op heden bijvoorbeeld met Ierland het geval was?

De verordening maakt onderscheid tussen kleine en grote bedrijven. Een onderscheid waarvan de leden van de VVD-fractie hebben aangegeven dat dit in het huidige internettijdperk overwegend onzinnig is. Dit onderscheid wordt desondanks bijvoorbeeld in artikel 28 van de verordening opgevoerd. De verplichting om documenten inzake verwerkingen van persoonsgegevens te bewaren geldt op grond van artikel 28, lid 4, aanhef en sub b, van de voorgestelde verordening niet voor ondernemingen met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerken. Wanneer is er sprake van het verwerken van persoonsgegevens als nevenactiviteit? Is het verstandig om een onderscheid te maken tussen hoeveelheid werknemers? Het komt de leden van deze fractie voor dat kleine internetbedrijfjes met slechts enkele (tientallen) werknemers potentieel een grotere inbreuk op de privacy kunnen maken dan een industrieel bedrijf met honderden werknemers. Wat is de visie van de Staatssecretaris hierop, mede in het licht van het feit dat juist de werking van artikel 28 van de verordening tot onduidelijkheid leidt over de vraag hoe hoog de lasten voor bedrijven precies zullen zijn? De leden van de VVD-fractie hebben er in het gehele voortraject voor gepleit om de verordening niet op basis van aantallen werknemers maar op het risico in te richten. Waar zien deze leden het resultaat van hun inspanningen en de daarop gebaseerde onderhandelingen van de Staatssecretaris terug?

Vragen en opmerkingen vanuit de PvdA-fractie

De leden van de PvdA-fractie hebben kennisgenomen van onderhavige brief en rapport. Zij hechten veel belang aan een goede gegevensbescherming. Uiteraard moeten extra kosten van de maatregelen niet onevenredig zijn, maar deze leden zijn wel van mening dat een betere gegevensbescherming kosten met zich mee kan brengen. Zij danken de Staatssecretaris voor het onderzoek naar de meerkosten van de voorgestelde verordening gegevensbescherming. Hierover hebben zij nog wel een aantal vragen.

Allereerst valt het de leden van de PvdA-fractie op dat bij het onderzoek met name gebruik gemaakt is van gegevens die aangeleverd zijn door VNO-NCW. Het komt deze leden voor dat hier nauwelijks sprake kan zijn van een onafhankelijke bron, vanwege de specifieke belangen die deze organisatie heeft. Hoe is de informatie die door VNO-NCW is aangeleverd onafhankelijk gecontroleerd en geobjectiveerd?

Ten aanzien van de bewaarplicht voor documentatie inzake verwerkingen is er een zeer grote marge in de berekening van de kosten. Dit wordt veroorzaakt doordat het nog niet duidelijk is welke bedrijven gegevens als nevenactiviteit verwerken en wat de plicht tot bewaren van documentatie precies inhoudt. Graag horen deze leden welke ervaring in het buitenland bestaat met een vergelijkbare bewaarplicht, ten aanzien van de uitvoeringskosten en de afbakening.

Deze leden constateren dat een andere zeer grote kostenpost ligt bij het uitvoeren van privacyeffectbeoordelingen. Zo’n beoordeling is in de ontwerptekst nodig als een dataverwerking bijzondere risico’s inhoudt voor de rechten en vrijheden van betrokkenen. Er wordt vanuit gegaan dat kleine bedrijven hier éénmaal per jaar mee te maken krijgen en grote bedrijven vijfmaal. Allereerst willen deze leden graag horen waar de aanname van het aantal effectbeoordelingen op gebaseerd is. Zou de omschrijving niet duiden op een iets minder regelmatige gebeurtenis? Verder vragen de leden van de PvdA-fractie welke ervaringen er in het buitenland bestaan met een privacyeffectbeoordeling. Deze leden zijn benieuwd naar de afbakening in die landen van de situaties waarin een dergelijke beoordeling nodig is. Daarnaast zijn deze leden benieuwd naar de kosten per beoordeling. Het viel hen op dat het kabinet in de visie op e-privacy aangeeft dat bedrijven juist privacy impact assessments moeten houden. Graag horen deze leden of een wettelijke plicht een goede manier kan zijn om de uitvoering van dergelijke beoordelingen af te dwingen.

Als laatste maatregel met hoge kosten zien deze leden de aanstelling van functionarissen gegevensbescherming. Bij de berekening van deze kosten vragen de leden van de PvdA-fractie of de taken van een dergelijke functionaris niet geheel of gedeeltelijk behoren tot de normale taken van een medewerker databeveiliging bij een gegevensintensief bedrijf. Daarom vragen zij zich af waarom de volledige kosten voor het aanstellen van een dergelijke functionaris als extra nalevingskosten gekwantificeerd worden.

Voorts lezen de leden van de PvdA-fractie in de brief van de Staatssecretaris dat er al ingrijpende wijzigingen zijn aangebracht in de tekst van de verordening die zorgen voor lagere uitvoeringskosten. Maar de Staatssecretaris zet ook in op verdere terugdringing van de uitvoeringskosten. Graag horen deze leden zo concreet mogelijk welke artikelen van de voorgenomen verordening de Staatssecretaris nog aangepast zou willen zien. Ten slotte horen deze leden graag welke nieuwe maatregelen de verordening bevat, die de goedkeuring van de Staatssecretaris wel hebben.

Vragen en opmerkingen vanuit de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van onderhavige brief en rapport. Het voorstel voor een algemene verordening gegevensbescherming gaat het Nederlands bedrijfsleven minimaal 1,1 miljard euro kosten, zo blijkt uit het rapport. De Staatssecretaris geeft aan dat het voorstel zoals het er nu voorligt niet op steun van Nederland kan rekenen. Kan de Staatssecretaris dan aangeven waarom hij de deur open laat staan voor dit voorstel van de Europese Commissie?

Daarnaast vragen deze leden of de Staatssecretaris naar aanleiding van de uitkomsten van het rapport gesprekken heeft gevoerd met het Nederlands bedrijfsleven. Zo ja, kan de Staatssecretaris dan aangeven wat de uitkomsten van deze gesprekken zijn geweest?

Vragen en opmerkingen vanuit de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van onderhavige brief en rapport. Er leven bij deze leden hierover enkele vragen. Allereerst vragen zij of nog eens helder kan worden aangegeven in hoeverre investeringen in een zorgvuldige omgang met persoonsgegevens door bijvoorbeeld bedrijven wel te beschouwen zijn als «nalevingskosten». Zo beschouwd brengt iedere wet «nalevingskosten» met zich mee. Deze leden stellen het op prijs dat nu onderzoek is gedaan naar de kosten die de dataprotectieverordening met zich meebrengt, maar benadrukken wel dat een zorgvuldige omgang met persoonsgegevens gevraagd mag worden van een ieder die persoonsgegevens verwerkt. Terecht benadrukt de Staatssecretaris in het slot van zijn brief dat de bescherming van persoonsgegevens een grondrecht is. Deze leden vragen de Staatssecretaris dat niet uit het oog te verliezen bij het voeren van de onderhandelingen, waarbij tevens (maar niet primair) naar de kosten gekeken kan worden.

De leden van de SP-fractie constateren dat, naast de lasten die de verordening met zich meebrengt, ook wordt gesproken over baten. Deze zouden voor de Europese Unie als geheel 2,3 miljard euro per jaar bedragen. Deze leden vragen de Staatssecretaris of hij kan aangegeven hoeveel van dit bedrag ten goede komt aan het Nederlandse bedrijfsleven, of hier een schatting van te maken.

De leden van de SP-fractie constateren dat uit het onderzoek blijkt dat de administratieve lasten licht zullen dalen en dat de nalevingskosten sterk zullen stijgen. Uit tabel 5 (nalevingskosten op grond van de Europese Dataprotectieverordening) uit het onderzoek blijkt waar de grootste kostenposten in zitten, zoals het uitvoeren van een privacyeffectbeoordeling, het aanwijzen van een functionaris voor gegevensbescherming en het bewaren van documentatie inzake verwerkingen. Ook andere verplichtingen brengen kosten met zich mee. Kan de Staatssecretaris op voorhand aangeven welke verplichtingen hij «te kostbaar» vindt en in hoeverre de Nederlandse onderhandelingsinzet daardoor bepaald wordt? Welke ideeën zal Nederland zelf aandragen om de kosten te drukken?

De leden van de SP-fractie vinden het op zichzelf prima dat bekeken wordt of, en zo ja op welke wijze, het midden- en kleinbedrijf en zelfstandigen zonder personeel ontzien kunnen worden. Echter, zou niet zo zeer de grootte van het bedrijf, maar de mate van het risico van de verwerking van de persoonsgegevens bepalend moeten zijn voor de vraag of uitzonderingen moeten worden gecreëerd? Deze leden ontvangen graag een reactie op dit punt.

Vragen en opmerkingen vanuit de CDA-fractie

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de inhoud van de brief. Zij delen het gevoel van de Staatssecretaris dat het kostenniveau van de administratieve lasten (een daling van 1,7 miljoen euro naar 1,4 miljoen euro) acceptabel is, maar dat het niveau van de nalevingskosten (een stijging van 72,5 miljoen euro naar 1,12 miljard tot 1,46 miljard euro) te hoog is. Zij vragen waar de grote stijging van de nalevingskosten uit voortvloeit.

Deze leden waarderen de intentie van de Staatssecretaris om inspanningen te verrichten om de nalevingskosten zoveel mogelijk terug te dringen. Zij vragen naar de stand van zaken van het beraad dat zou plaats hebben met het bedrijfsleven en het College bescherming persoonsgegevens over concrete voorstellen tot aanpassing van de verordening. Ook vragen zij naar de stand van zaken betreffende de dialoog tussen de Europese Unie en de Verenigde Staten over de mogelijke toegang van buitenlandse veiligheidsdiensten tot de door Nederlandse burgers en bedrijven verwekte gegevens.

De leden van de CDA-fractie vragen waarom de Commissie niet heeft willen ingaan op het verzoek van Nederland en enkele andere lidstaten om cijfers te verstrekken op lidstaatniveau.

Gesteld wordt dat de Europese Commissie heeft berekend dat de verordening naast kosten ook baten oplevert, en wel 2,3 miljard euro per jaar voor de Europese Unie als geheel. Is aan te geven wat het Nederlandse aandeel in die baten is?

Gesteld wordt dat het recht (bescherming van persoonsgegevens) ook een bijdrage kan en moet leveren aan economisch groeipotentieel en dat het voorstel van de Commissie daaraan thans nog niet een voldoende bijdrage levert. In hoeverre delen andere landen deze opvatting met de Staatssecretaris? Steunen zij de Nederlandse inzet om zich er in de onderhandelingen, veel meer dan reeds is gebeurd, op te richten dat de oplegging van verplichtingen aan verantwoordelijken alleen dan gerechtvaardigd is, wanneer het risico gemoeid met een concrete verwerking dat rechtvaardigt? In hoeverre delen zij de opvatting van de Staatssecretaris dat in de verordening op veel grotere schaal moet worden voorzien in de mogelijkheden van gedeeltelijke of zelfs algehele vrijstelling van verplichtingen voor het midden- en kleinbedrijf en zelfstandigen zonder personeel?

Vragen en opmerkingen vanuit de D66-fractie

De leden van de D66-fractie hebben kennisgenomen van de brief en hebben de volgende vragen. Allereerst maken deze leden zich zorgen over de afweging die de Staatssecretaris in zijn brief lijkt te maken. De Staatssecretaris zet privacy tegenover de belangen van het bedrijfsleven en lijkt hiertussen een afweging te willen maken. Deze leden zijn van mening dat deze belangen juist op één lijn liggen. Het is hun mening dat juist het bedrijfsleven belang heeft bij goede privacybescherming, omdat hen er alles aan gelegen is dat het vertrouwen in het internet maximaal blijft. Immers, complete verdienmodellen zijn gebaseerd op het delen van informatie op het internet. Op het moment dat door veelvuldige incidenten het vertrouwen in het internet afneemt en mensen geen informatie meer willen delen, zal de schade voor het bedrijfsleven oneindig veel hoger zijn dan enige administratieve of nalevingslast volgend uit een verordening. Dat laatste betekent overigens niet dat administratie of nalevingslasten oneindig mogen stijgen, maar wel dat dit niet als een afweging gepresenteerd moet worden. Deze leden horen graag of de Staatssecretaris deze redenatie deelt en mee kan nemen in verdere gesprekken te voorbereiding van de genoemde verordening.

Voorts lezen de leden van de D66-fractie dat de Staatssecretaris overweegt om bepaalde groepen kleinere bedrijven vrijstellingen te geven wat betreft de verplichtingen in de verordening. Deze leden willen erop wijzen dat vooral relevant is of partijen zich bezig houden met dataverwerking en de eventueel aanverwante privacyrisico’s. Is het niet zo dat ook een kleine organisatie beschikking kan hebben over grote datasets en verwerking van persoonsgegevens als hoofdactiviteit kan hebben, terwijl een groter bedrijf misschien vrijwel niets doet met persoonsgegevens? Graag ontvangen deze leden een reactie op dit punt.

Concluderen de leden van de D66-fractie terecht dat de Staatssecretaris eigenlijk geen kritiek heeft op de verplichtingen die volgen uit de voorgenomen verordening, maar dat zijn zorgen vooral zitten in het aantal bedrijven dat het aangaat? Om dit te onderstrepen verwijzen deze leden naar het regeerakkoord van het kabinet-Rutte II waarin verschillende verplichtingen uit de verordening, zoals een Privacy Impact Assessment, immers ook genoemd worden.

II. Reactie van de Staatssecretaris van Veiligheid en Justitie

De Vaste Commissie voor Veiligheid en Justitie heeft een aantal vragen gesteld naar aanleiding van mijn brief inzake gegevensbescherming en administratieve lasten van 21 juni 2013 en het daarbij gezonden rapport «Toetsing Europese dataprotectieverordening» (Kamerstuk 32 761, nr. 50). In het onderstaande treft u mijn beantwoording van die vragen aan.

De leden van de VVD-fractie tonen zich tevreden met de daling van de administratieve lasten. Zij geven echter aan hun zorgen over de nalevingskosten bevestigd te zien. Deze leden zijn van oordeel dat extreem hoge nalevingskosten in het huidige economische klimaat niet op hun plaats zijn en roepen op alles te doen wat mogelijk is om de nalevingskosten te beperken.

In algemene zin kan ik dit oordeel van de leden van de VVD-fractie onderschrijven. Ook ik ben van oordeel dat het niveau van de nalevingskosten die aan de verordening zijn verbonden niet proportioneel is in verhouding tot de voordelen die aan de verordening zijn verbonden. Zoals ik al in mijn bovenbedoelde brief schreef, zal ik alles doen om te bereiken dat het kostenniveau daalt. Ik moet er tegelijk voor waarschuwen dat Nederland in de EU niet altijd alles kan bereiken wat het graag wil.

De leden van de VVD-fractie vragen hoe ik oordeel over de hoge kosten die de verordening blijkens het rapport met zich meebrengt. Deze leden vragen op welke wijze ik zal bewerkstelligen dat de nalevingskosten zullen afnemen tot een aanvaardbaar niveau. Zij wijzen erop dat het onderzoek melding maakt van onderzoeken door andere landen en zij vragen of deze landen naar aanleiding van deze lasten hun standpunten ten aanzien van de verordening hebben gewijzigd.

Zoals boven aangegeven deel ik het oordeel van deze leden dat het kostenniveau niet in een aanvaardbare verhouding staat tot de opbrengsten. Die onevenwichtigheid moet worden rechtgetrokken. De enige weg die ik daarvoor binnen de grenzen van het ontwerp van de verordening zie is een versterking van de zogeheten risico-georiënteerde benadering. Die komt erop neer dat nalevingskosten proportioneel moeten zijn aan het risico dat verbonden is aan de concrete verwerking door de verantwoordelijke. Niet iedere verplichting in de verordening dient in volle omvang op elke verantwoordelijke te rusten. Dat vergt veel inspanning, vooral omdat veel afzonderlijke artikelen daarvoor moeten worden aangepast. Het is bovendien nodig daarvoor steun te verwerven bij andere lidstaten. Het onderzoek maakt melding van een vergelijkbaar onderzoek dat in het Verenigd Koninkrijk is gehouden. Ik kan niet details treden over de standpuntbepalingen van andere lidstaten, maar het is bekend dat het Verenigd Koninkrijk grote reserves heeft ten aanzien van het gehele gegevensbeschermingspakket. Voor zover mij bekend hebben andere lidstaten dergelijke onderzoeken niet gehouden. Bij dit alles wijs ik er wel op dat in een economie die in sterk toenemende mate is gebaseerd op gegevensverwerking, aanvaard moet worden dat de kosten gemoeid met de bescherming van persoonsgegevens stijgen. Niet onvermeld mag blijven dat die bescherming ook een wezenlijk rechtsbelang dient.

De leden van de VVD-fractie wijzen erop dat de opbrengsten van de verordening de Europese Unie € 2,3 mld. bedragen als gevolg van de beëindiging van de versnipperde regelgeving. Zij vragen of dat bedrag wordt gestaafd door andere onderzoeken. Zij vragen ook of andere lidstaten eigener beweging een onderzoek hebben gedaan naar de baten van de verordening, en zo dit het geval is, wat de uitslag daarvan is, of die in lijn is met hetgeen de Europese Commissie stelt en wat mijn oordeel daarover is. Deze leden vragen of zij het goed zien of het bedrag dat ziet op de lagere administratieve lasten, ziet op de kosten die de overheden in de landen moeten maken om de verordening op de juiste wijze te handhaven. Deze leden vinden dit een goed uitgangspunt, maar vragen zich toch af of de rekening van het totaal niet bij het bedrijfsleven komt te liggen. Zij vragen of er door mogelijke coulance bij de handhaving van de verordening toch verschillen in nalevingskosten kunnen optreden tussen bedrijven onderling en of dit afhankelijk is van hun vestigingsplaats. Zij vragen of het nog steeds denkbaar is dat «veilige privacy havens» ontstaan, zoals in Ierland het geval was.

De Europese Commissie heeft in haar impact assessment die het ontwerp van de verordening vergezelde – en die in januari 2012 aan uw Kamer is gezonden – een naar mijn mening voldoende verantwoording gegeven van de opbrengsten van de verordening. De Europese Commissie kent procedures voor het vaststellen van een impact assessment die met voldoende interne waarborgen zijn omringd. Ik heb er voldoende vertrouwen in dat die berekeningen – die net als het Nederlandse onderzoek globaal van aard zijn – een redelijk beeld geven van de nagestreefde voordelen van de verordening. In het Verenigd Koninkrijk trekt men de berekeningen van Commissie in twijfel. Men meent dat wanneer bezien wordt wat de kosten voor iedere afzonderlijke onderneming zijn, het totaalbeeld verandert, doordat veel kleine en middelgrote ondernemingen geen grensoverschrijdende activiteiten verrichten, en daardoor niet profiteren van het verdwijnen van de versnipperde regelgeving. Of dat een kwestie van presentatie is of niet, vind ik minder relevant. Mijn keuze voor de uitgangspunten van het onderzoek zijn geweest dat ik met de Kamer net zoals bij Nederlandse wetgeving het geval is, communiceer over de administratieve lasten volgens het daarvoor in Nederland geldende standaardkostenmodel (SKM) en het berekenen van de nalevingskosten. Dat stelt de regering en parlement zo adequaat mogelijk in staat de nodige afwegingen te maken. Voor de opbrengsten ontbreekt een standaardmodel. Bijkomend aspect is dat een onderzoek naar de opbrengsten veel meer tijd en geld zou hebben gevergd. Zou dat zijn gedaan, dan zou ik niet in staat zijn geweest de eerste uitkomsten van het onderzoek met Vicevoorzitter Reding van de Commissie te bespreken ter gelegenheid van haar bezoek aan Nederland in mei van dit jaar. Voor zover mij bekend is, hebben andere lidstaten evenmin onderzoeken gedaan naar de opbrengsten.

De administratieve lasten zien primair op de lasten die het bedrijfsleven moet maken ter uitvoering van informatieverplichtingen van bedrijven aan de overheid. Nalevingskosten zien op alle andere kosten die gemaakt moeten worden om aan de verordening te voldoen. De kosten die de overheid moet maken om aan de verordening te voldoen is een afzonderlijk aspect, dat niet in de berekening is betrokken.

De verordening bevat verschillende voorzieningen om te voorkomen dat er door de toezichthouders in de lidstaten onderling afwijkende vormen van handhaving ontstaan die negatieve markteffecten veroorzaken. Toezichthouders krijgen dezelfde bevoegdheden, en het consistentiemechanisme en de Europese Gegevensbeschermingsraad moeten ervoor zorgen dat dit gebeurt. Als dit systeem goed werkt, zullen vrijhavens zich niet meer kunnen ontwikkelen.

De leden van de VVD-fractie wijzen op het onderscheid in de verordening tussen grote en kleine bedrijven. Zij geven aan dit onderscheid in het internettijdperk overwegend onzinnig te vinden en hebben desondanks moeten constateren dat het in artikel 28 van de verordening is opgevoerd. Zij wijzen daarbij op het gebruik van het onderscheid tussen ondernemingen met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerken en andere ondernemingen in artikel 28, vierde lid, onder b, van de verordening en vragen wanneer er sprake is van het verwerken van persoonsgegevens als nevenactiviteit. Zij vragen of het verstandig is een onderscheid te maken tussen aantallen werknemers, omdat het deze leden voorkomt dat kleine internetbedrijfjes met slechts enkele tientallen werknemers potentieel een grotere inbreuk kunnen maken op de privacy dan een industrieel bedrijf met honderden werknemers. Deze leden vragen een visie hierop, mede in het licht van het feit dat juist de werking van artikel 28 van de verordening tot onduidelijkheid leidt over de vraag hoe hoog de lasten voor bedrijven precies zullen zijn. De leden van de VVD-fractie stellen dat zij er in het gehele voortraject voor hebben gepleit om de verordening niet op basis van aantallen werknemers, maar op het risico in te richten. Deze leden vragen waar zij het resultaat van hun inspanningen en de daarop gebaseerde onderhandelingen terugzien.

Ik deel de opvatting van de leden van de VVD-fractie dat een verordening die beoogt regels te geven voor de verwerking van persoonsgegevens niet gebaseerd moet zijn op een model van «one size fits all», met enkele nuanceringen gebaseerd op de omvang van een bedrijf. Er moet, zo veel als dat kan, aansluiting worden gezocht bij de aard van de concrete gegevensverwerking, en het daarmee gepaard gaande risico. Hogere risico's rechtvaardigen zwaardere verplichtingen en hogere nalevingskosten. Of een klein internetbedrijf potentieel een grotere inbreuk kan maken op persoonsgegevens dan een industrieel bedrijf is afhankelijk van veel factoren, zoals de aard van de verwerking, het aantal personen van wie de gegevens worden verwerkt, de relaties met derde landen en het gekozen ICT-ontwerp en beveiligingsniveau.

Wat het verwerken van gegevens als nevenactiviteit betreft, zal van geval tot geval moeten worden vastgesteld of daarvan sprake is. Een industrieel productiebedrijf heeft als kernactiviteit het vervaardigen en verhandelen van producten. Gegevensverwerking van werknemers, klanten en leveranciers zal daarvan een afgeleide zijn. Een webwinkel daarentegen, heeft de verwerking van persoonsgegevens als voornaamste bedrijfsactiviteit.

Artikel 28 van de verordening – in de versie van het ontwerp van de Commissie – acht ik te weinig in overeenstemming met het hierboven geformuleerde uitgangspunt. Inmiddels is op basis van de onderhandelingen in de raadswerkgroep een alternatief model ontstaan van artikel 28 omdat meer rekening houdt met de risico's, gemoeid met de verwerking. Ik richt mijn inspanningen ook op het amenderen van andere bepalingen die verplichtingen bevatten. In hoeverre de inspanning van de leden van de VVD-fractie hebben geleid tot de door hen gewenste resultaten kunnen zij beoordelen aan de hand van de inmiddels vele rapportages die ik de Kamer over de onderhandelingen zond.

Het is de leden van de PvdA-fractie opgevallen dat bij het onderzoek met name gebruik is gemaakt van gegevens die zijn aangeleverd door VNO/NCW. Het komt deze leden voor dat hier nauwelijks sprake kan zijn van een onafhankelijke bron, vanwege de specifieke belangen die deze organisatie heeft. Zij vragen hoe de informatie die door VNO/NCW is aangeleverd onafhankelijk gecontroleerd en geobjectiveerd is.

De gang van zaken die tot het rapport heeft geleid is als volgt geweest. Om een globale inschatting van de administratieve lasten en nalevingskosten te maken heb ik mij eerst tot VNO/NCW-MKB Nederland gewend met de vraag of het bedrijfsleven – dat zich immers kritisch had betoond over het niveau van de nalevingskosten – zelf cijfers had of die misschien kon leveren. Dat heeft geleid tot een eerste globale berekening van administratieve lasten en nalevingskosten van VNO/NCW-MKB Nederland zelf, na consultatie van haar achterban. De uitkomsten daarvan waren, zeker in vergelijking met de toen reeds beschikbare uitkomsten van de berekeningen van het Verenigd Koninkrijk, zodanig dat ik het nodig achtte een nieuwe berekening uit te voeren, ditmaal onder mijn eigen verantwoordelijkheid. Ik heb daarvoor in samenwerking met het Ministerie van Economische Zaken een beroep gedaan op Sira Consulting. Dit bedrijf heeft ruime ervaring in het berekenen van lasten en kosten. Uw Kamer ontving in het verleden veelvuldig lastenberekeningen gebaseerd op rapporten van Sira Consulting. Dat Sira zich bij het maken van berekeningen mede heeft gebaseerd op enkele basisgegevens die ook door VNO/NCW-MKB Nederland zijn gebruikt, zoals het aantal in Nederland aanwezige bedrijven, acht ik niet bezwaarlijk. Die gegevens zijn zelf weer afkomstig uit openbare bronnen, zoals het CBS. Ik trek mede naar aanleiding van deze vragen van de PvdA-fractie de conclusie dat ik in eventuele volgende gevallen de onderzoekers zal vragen hun onderzoeksmethode volledig in het rapport op te nemen. Dat zal ik bij de evaluatie van het rapport betrekken.

De leden van de PvdA-fractie wijzen op de zeer grote onzekerheidsmarge bij de berekening van de kosten van de bewaarplicht. Dit wordt volgens deze leden veroorzaakt doordat nog niet duidelijk is welke bedrijven gegevens als nevenactiviteit verwerken en wat de plicht tot het bewaren van de documentatie precies inhoudt. Deze leden horen graag welke ervaring in het buitenland bestaat met een vergelijkbare bewaarplicht ten aanzien van de uitvoeringskosten en de afbakening daarvan.

De leden van de PvdA-fractie constateren dat een zeer grote kostenpost ligt bij het uitvoeren van privacyeffectbeoordelingen. Zij wijzen erop dat er in het onderzoek van uitgegaan wordt dat kleine bedrijven hier eenmaal per jaar mee te maken krijgen en grote bedrijven vijf maal per jaar. Zij vragen zich af waarop deze aanname is gebaseerd en of de omschrijving van een privacyeffectbeoordeling juist niet duidt op een iets minder regelmatige gebeurtenis. Verder vragen deze leden welke ervaringen er in het buitenland bestaan met deze beoordelingen en de afbakening van de gevallen waarin dit nodig is. Daarnaast zijn deze leden benieuwd naar de kosten per beoordeling. Het viel hen op dat het kabinet in de visie op de e-privacy aangeeft dat bedrijven juist privacy impact assessments moeten houden. Deze leden horen graag of een wettelijke plicht een goede manier kan zijn om de uitvoering van dergelijke beoordelingen af te dwingen.

De leden van de PvdA-fractie wijzen op de hoge kosten gemoeid met de aanstelling van een functionaris voor de gegevensbescherming. Zij vragen zich af of de taken van een dergelijke functionaris niet geheel of gedeeltelijk behoren tot de normale taken van een medewerker databeveiliging van een gegevensintensief bedrijf. Deze leden vragen zich af waarom de kosten voor het aanstellen van een dergelijke functionaris als extra nalevingskosten gekwantificeerd worden.

De leden van de PvdA-fractie lezen in mijn eerdergenoemde brief dat er al ingrijpende wijzigingen in de tekst van de verordening zijn aangebracht die zorgen voor lagere uitvoeringskosten. Graag horen deze leden zo concreet mogelijk welke artikelen ik aangepast zou willen zien en welke nieuwe maatregelen wel mijn goedkeuring hebben.

Wat de documentatie- en bewaarplicht betreft, bestaat er bij mijn weten geen voorbeeld in het buitenland dat zich goed vergelijken laat met het ontwerp van de verordening op dit punt. Het is dan ook niet mogelijk op dit punt cijfers te leveren.

Het aantal privacyeffectbeoordelingen dat jaarlijks door verschillende typen bedrijven moet worden verricht is een aanname, ingegeven door twee factoren. De eerste is dat het hoe dan ook nodig is eenmaal per jaar het privacyeffect van alle verwerkingen in een onderneming te beoordelen. De tweede is dat het bij ondernemingen met een groter aantal verwerkingen vaker zal voorkomen dat nieuwe verwerkingen moeten worden gestart of gewijzigd, en oude moeten worden afgesloten. Het is moeilijk tevoren in te schatten wat hier de juiste maatvoering is. Zoals altijd in de berekening van administratieve lasten bij komende wetgeving blijft de verantwoording ervan gebaseerd op aannames. In het buitenland, vooral in de grote Engelstalige landen bestaat veel meer ervaring met privacyeffectbeoordelingen dan in Nederland. Met name bij de voorbereiding van wetgeving is het in de Verenigde Staten, het Verenigd Koninkrijk en Canada niet ongebruikelijk een privacyeffectbeoordeling op te stellen. Het is mij niet bekend of er wettelijke verplichtingen voor ondernemingen bestaan om privacyeffecteoordeling te houden, in welke gevallen dat verplicht is en wat de daarmee gemoeide kosten zijn. Dat zou nader onderzoek vergen. Ik kan bevestigen dat ik voorstander ben van een ruimere toepassing van dat instrument en de regeling ervan in de verordening toejuich. Voor de overheid geldt de verplichting om een privacyeffectbeoordeling te houden al, zulks ter uitvoering van de motie-Franken (Kamerstuk 31 051, D).

Een functionaris voor de gegevensbescherming heeft een andere taak dan een medewerker van een ICT-afdeling die belast is met het beveiligingsbeleid. Gegevensbescherming is niet beperkt tot de beveiliging van ICT-systemen, maar omvat veel meer. Een functionaris voor de gegevensbescherming (FG) moet adviseren over de doeleinden van verwerking, moet toetsen of die doeleinden gerechtvaardigd zijn in het licht van de verordening en of de gegevens op de juiste manier worden verwerkt. Het ligt voor de hand dat de FG ook mede wordt belast met de behandeling van verzoeken van betrokkenen om uitoefening van de rechten van inzage, correctie en verzet namens de verantwoordelijke. Deze taken veronderstellen een ander soort vakkennis dat kennis van ICT-systemen. Bovendien beoogt de verordening de FG een zekere afzonderlijke positie te geven in het bedrijf of de instelling waar hij werkzaam is. Die verschillen veroorzaken dat er afzonderlijk kosten moeten worden gemaakt voor de aanstelling van een FG.

Een verdere vormgeving van de verordening volgens een meer risico-gerichte benadering zal volgens mij nog moeten leiden tot aanpassingen van de artikelen 14 en 14a (verplichtingen tot transparantie), 28 (documentatieplicht), 31 en 32 (meldplichten datalekken), 33 (privacyeffectbeoordeling) en 34 (voorafgaande raadpleging toezichthouder. Vooral de meldplicht datalekken verdient nog aandacht. De omvang ervan is nog te groot. Verder acht ik de verplichting tot voorafgaande raadpleging van de toezichthouder weinig zinvol, zolang er geen duidelijk rechtsgevolg verbonden wordt aan de uitkomst van een dergelijk beraad. De artikel 30 (beveiligingsplicht) en 35 tot en met 37 (functionaris gegevensbescherming) zijn al sterk verbeterd.

De leden van de PVV-fractie geven aan dat het voorstel het Nederlands bedrijfsleven minimaal € 1,1 mld. gaat kosten en dat het voorstel zoals het er nu ligt niet op steun van Nederland kan rekenen. Deze leden vragen waarom de deur dan blijft openstaan voor het voorstel van de Europese Commissie.

Daarnaast vragen deze leden of ik naar aanleiding van de uitkomsten van het rapport gesprekken heb gevoerd met het Nederlands bedrijfsleven, en indien dat het geval was, wat de uitkomsten daarvan zijn geweest.

Het is niet zo dat het voorstel van de verordening als zodanig vanwege deze kosten in het geheel geen steun van Nederland zou kunnen krijgen. Ik richt mij erop veranderingen aan te brengen in het voorstel die minder belastend zijn voor het bedrijfsleven. De onderhandelingen daarover zijn nog in volle gang. Pas aan het eind van het traject ben ik in staat de definitieve positie te bepalen en daarover met de Kamer te spreken. Niet uit het oog moet worden verloren dat de verordening ook beoogt de rechten van Nederlandse burgers te versterken op een wijze die met Nederlandse wetgeving waarschijnlijk in minder vergaande mate kan worden gerealiseerd, en dat een verordening ook een bijdrage kan leveren aan het beëindigen van de versnippering van regelgeving in Europa waar het bedrijfsleven last van ondervindt.

Ik heb naar aanleiding van het rapport een gesprek gevoerd met de voorzitter van VNO/NCW-MKB Nederland. In dat gesprek is van beide zijden bevestigd dat de keuze voor de verordening nog altijd kan worden onderschreven, maar dat er nog veel aan de verordening moet worden veranderd om de kosten daarvan beheersbaar te maken. Voor zoveel nodig verwijs ik u ook naar de brief van de voorzitter van VNO/NCW-MKB Nederland van 14 augustus 2013 aan de leden van de Vaste Commissie voor Veiligheid en Justitie.

De leden van de SP-fractie vragen of nog eens helder kan worden aangegeven in hoeverre investeringen in een zorgvuldige omgang met persoonsgegevens door bedrijven wel kunnen worden aangemerkt als nalevingskosten. Deze leden wijzen erop dat iedere wet eigenlijk wel nalevingskosten met zich meebrengt. Zij benadrukken dat een zorgvuldige omgang met persoonsgegevens gevraagd mag worden van eenieder die persoonsgegevens verwerkt. Deze leden onderschrijven de benadering van de bescherming van persoonsgegevens als grondrecht en zij verzoeken daarom dat niet uit het oog te verliezen bij het voeren van de onderhandelingen, waarbij tevens, maar niet primair naar de kosten kan worden gekeken.

In de systematiek die ten grondslag ligt aan het berekenen van nalevingskosten ligt ten grondslag dat onder die kosten wordt verstaan: alle kosten die ondernemingen moeten maken om informatieverplichtingen aan anderen dan de overheid te kunnen nakomen.

Ik ben het met de leden van de SP-fractie eens dat vrijwel iedere wet nalevingskosten oplevert. De vraag is echter hoe zwaar het belang van de vooronderstelde nalevingskosten moet meewegen bij de beslissing om al dan niet een wettelijke verplichting op te leggen. Dit belang moet op redelijke en evenwichtige wijze worden afgewogen tegen de andere betrokken belangen. Tot die andere belangen hoort zeker ook dat een door het Handvest voor de Grondrechten en het Verdrag inzake de werking van de Europese Unie gegarandeerd grondrecht moet worden uitgewerkt teneinde de belangen van burgers te beschermen.

De leden van de SP-fractie constateren dat de verordening ook baten oplevert. Deze zouden volgens deze leden € 2,3 mld. per jaar bedragen. Deze leden vragen of kan worden aangewezen hoeveel van dat bedrag ten goede komt aan het Nederlandse bedrijfsleven, of hier een schatting van te maken.

Ik ben helaas niet in staat aan te geven welk deel van de door de Commissie berekende baten aan Nederland toevloeien. Ik betreur het dat de Commissie geen uitsplitsing van dat bedrag naar de lidstaten heeft kunnen geven. Er zou economisch onderzoek voor nodig zijn om dat te berekenen. Een zuiver kwantitatieve benadering (per hoofd van de bevolking of percentage van het BNP van de EU) lijkt mij een te simpele oplossing, omdat de economieën van de EU onderling niet eenvoudig vergelijkbaar zijn. De baten zouden, in elk geval in theorie, vooral moeten vallen bij de digitale economie. Die is niet in alle lidstaten van de EU even gelijkmatig ontwikkeld.

De leden van de SP-fractie constateren dat uit het onderzoek blijkt dat de administratieve lasten licht zullen dalen en dat de nalevingskosten sterk zullen stijgen. Deze leden wijzen op tabel 5 van van het onderzoek. Daaruit blijkt volgens deze leden waar de grootste kostenposten zitten, zoals het uitvoeren van een privacyeffectbeoordeling, het aanwijzen van een functionaris voor de gegevensbescherming en het bewaren van documentatie inzake verwerkingen. Deze leden vragen of op voorhand kan worden aangegeven welke verplichtingen als te kostbaar worden beoordeeld en in hoeverre de Nederlandse onderhandelingsinzet daardoor bepaald wordt. Zij vragen welke ideeën Nederland zelf zal aandragen om de kosten te drukken.

Nederland is weinig gelukkig met de verplichting tot voorafgaande raadpleging van de toezichthouder bij bepaalde verwerkingen (artikel 34 van de verordening). Het is onduidelijk welke toegevoegde waarde deze verplichting heeft, wanneer het contact tussen bedrijfsleven en toezichthouder niet afloopt in een beslissing met enig rechtsgevolg. Nederland heeft daarom afschaffing van die verplichting bepleit. Nederland is bijzonder ongelukkig met de zeer omvangrijke meldplicht voor datalekken. Het belang van deze verplichting wordt onderschreven. De regering heeft bij uw Kamer niet voor niets een voorstel van wet tot regeling van die verplichting ingediend. Maar indien die verplichting geldt voor elk denkbaar datalek, zoals in de voorstellen van de Commissie, leidt dit tot een sterk overdreven kostenniveau voor bedrijven, overheid en zelfs individuele burgers die gegevens verwerken. Nederland blijft streven naar beperking van die meldplicht. Ook moet opnieuw worden gekeken naar informatie- en documentatieplicht van bedrijven. Net als bij de meldplicht datalekken, moeten die verplichtingen niet in volle omvang op alle verantwoordelijken rusten, maar moet de verplichting veel meer ruimte bieden voor maatwerk. In samenwerking met enkele andere lidstaten heeft Nederland daarvoor schriftelijke voorstellen gedaan. Onduidelijk is echter of ook het zittende Voorzitterschap bereid is daarmee rekening te houden. Nederland zal die voorstellen verder doorzetten. De verplichting tot het aanstellen van een functionaris voor de gegevensbescherming acht Nederland een zeer zinvolle maatregel, maar ook hier moet wel rekening worden gehouden met de daaraan verbonden kosten en de risico's. Wat de verplichting tot het houden van een privacyeffectbeoordeling betreft, was Nederland van oordeel dat deze verplichting juist algemeen zou moeten gelden. Een effectbeoordeling kan immers inzicht verlenen in het met de verwerking gemoeide risico en dus ook de basis vormen voor een behoorlijk toedeling van rechten en verplichtingen bij een concrete verwerking. Het is helaas niet gelukt voldoende andere lidstaten te overtuigen van dit standpunt. Veel andere lidstaten waren van oordeel dat Nederland het belang van deze verplichting overschat.

De leden van de SP-fractie achten het prima dat bezien wordt op welke wijze het midden- en kleinbedrijf en zelfstandigen zonder personeel ontzien kunnen worden. Zij vragen zich af of niet zozeer de grootte van het bedrijf, maar de mate van het risico bepalend zou moeten zijn voor de vraag of uitzonderingen moeten worden gecreëerd en verzoeken om een reactie op dit punt.

De regering onderschrijft dit punt van de SP-fractie volledig en is de SP-fractie erkentelijk voor deze steun.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de inhoud van de brief. Zij delen het gevoel dat het kostenniveau van de administratieve lasten acceptabel is, maar dat het niveau van de nalevingskosten te hoog is. Deze leden vragen waar de grote stijging van dit kostenniveau uit voortvloeit.

De stijging van deze kosten heeft twee oorzaken. In de eerste plaats vloeit deze stijging voort uit nieuwe verplichtingen die onder het huidige regime niet bestaan. Dat zijn onder andere de plicht tot het uitvoeren van privacyeffectbeoordelingen, de meldplicht voor datalekken en de documentatieplicht. In de tweede plaats vloeit die stijging voort uit de omstandigheid dat veel bedrijven door deze verplichtingen worden bestreken. Onder het bestaande regime is in Nederland voorzien in een uitgebreid stelsel van vrijstellingen van de meldplicht voor verwerkingen. Die mogelijkheid kent de verordening niet.

De leden van de CDA-fractie vragen naar de stand van zaken van het beraad dat zou plaatshebben met het College bescherming persoonsgegevens en het bedrijfsleven. Ook vragen deze leden naar de stand van zaken betreffende de dialoog tussen de Europese Unie en de Verenigde Staten over de mogelijke toegang van buitenlandse veiligheidsdiensten tot de door Nederlandse burgers en bedrijven verwerkte gegevens.

Met het College bescherming persoonsgegevens en met VNO/NCW-MKB Nederland is in het gebruikelijke overleg voorafgaand aan elke onderhandelingsronde gesproken over het onderzoek en de daaraan te verbinden gevolgen voor de onderhandelingen. Met de voorzitter van VNO/NCW-MKB Nederland heb ik een afzonderlijk gesprek gevoerd. Over de uitkomst daarvan heb ik bij de beantwoording van de vragen van de leden van de PVV-fractie verslag gedaan. Voor de stand van zaken betreffende de dialoog tussen de Europese Unie en de Verenigde Staten over de toegang tot gegevens van burgers in de Europese Unie verwijs ik deze leden graag naar de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 13 september 2013 (Kamerstuk 30 977, nr. 61).

De leden van de CDA-fractie vragen waarom de Commissie niet heeft willen ingaan op het verzoek van Nederland en enkele andere lidstaten om cijfers te verstrekken op lidstaatniveau.

Het is mij niet bekend waarom de Commissie een redelijk verzoek om een uitsplitsing van de baten per lidstaat niet inwilligt. Ik kan op die houding alleen maar met teleurstelling reageren.

De leden van de CDA-fractie wijzen op de stelling dat het recht (de bescherming van persoonsgegevens) ook een bijdrage kan en moet leveren aan economisch groeipotentieel en dat het voorstel van de Commissie daaraan thans nog niet een voldoende bijdrage levert. Deze leden vragen in hoeverre andere landen deze opvatting delen. Zij vragen of die landen de Nederlandse inzet steunen om zich er in de onderhandelingen veel meer dan reeds is gebeurd op te richten dat de oplegging van verplichtingen aan verantwoordelijken alleen dan gerechtvaardigd is wanneer het risico gemoeid met een concrete verwerking daartoe aanleiding geeft. Zij vragen in hoeverre die landen de opvatting delen dat op veel grotere schaal moet worden voorzien in de mogelijkheden van gedeeltelijke of zelfs algehele vrijstelling van verplichtingen voor het midden- en kleinbedrijf.

Er bestaat in de Raad een redelijk mate van eensgezindheid over de noodzaak ook het gegevensbeschermingsrecht een bijdrage te laten leveren aan het economisch groeipotentieel. Over de manier waarop dat doel moet worden bereikt bestaat helaas minder eensgezindheid. De discussie die in de Raad wordt gevoerd over het risico-georiënteerde benadering is daarvan een illustratie. De gedachte van een risico-georiënteerde benadering wordt breed onderschreven. Over de manier waarop die moet worden vormgegeven wordt verschillend gedacht. Er zijn lidstaten, zoals Nederland, die de voorkeur geven aan een ruime mate van eigen verantwoordelijkheid van bedrijven bij het vaststellen en beperken van het risico van een verwerking. Andere lidstaten, waar de invloed van de overheid op het economisch leven traditioneel groter is dan in Nederland hebben een sterke voorkeur voor een sturend optreden van de overheid bij het bepalen van het risico. Algehele vrijstelling van verplichtingen is nog maar zeer terloops aan de orde gekomen. Het is nog niet duidelijk of voor die gedachte voldoende steun valt te verwerven.

De leden van de fractie van D66 maken zich zorgen over de afweging tussen de privacy enerzijds, en de belangen van het bedrijfsleven anderzijds die zij in mijn eerdergenoemde brief waarnemen. Deze leden zijn van oordeel dat deze belangen op één lijn liggen. Zij wijzen erop dat het bedrijfsleven juist belang heeft bij een goede privacybescherming, omdat de bedrijven er alles aan gelegen is dat het vertrouwen in het internet maximaal blijft. Zij wijzen erop dat complete verdienmodellen zijn gebaseerd op het delen van informatie op het internet. Op het moment dat door veelvuldige incidenten het vertrouwen in het internet afneemt en mensen zal volgens deze leden de schade voor het bedrijfsleven oneindig veel hoger zijn dan enige administratieve of nalevingslast volgend uit de verordening. Volgens deze leden betekent dit niet dat de administratieve lasten en kosten oneindig mogen stijgen, maar wel dat dit niet als een afweging gepresenteerd moet worden. Zij horen dan ook graag of deze redenering wordt gedeeld en kan worden meegenomen in verdere gesprekken ter voorbereiding van de genoemde verordening.

Ik ben het met de leden van de D66-fractie eens dat het belang van de bescherming van persoonsgegevens en de belangen van het bedrijfsleven bij een zo vrij mogelijk verkeer van persoonsgegeven niet elkaars tegenstellingen zijn. Niettemin breng ik deze leden graag het volgende onder de aandacht. Het recht op bescherming van persoonsgegevens onderscheidt zich in zekere zin van andere door het internationale en Europese recht en door de Grondwet gegarandeerde grondrechten. Dat verschil zit hierin dat de gelding van dit grondrecht in de verhouding tussen burgers onderling in sterkere mate tot uitdrukking komt dan bij de meeste andere grondrechten het geval is. En die rechtsbetrekkingen worden nu eenmaal primair geheel of gedeeltelijk door het privaatrecht beheerst. Dat in deze context het grondrecht op de bescherming van persoonsgegevens niet dezelfde plaats kan hebben als in de rechtsbetrekking tussen burger en overheid is voor mij een gegeven. Een zekere afweging tussen ongelijksoortige belangen als een zo goed mogelijke bescherming van persoonsgegevens en de daaraan verbonden financiële consequenties acht ik in die verhouding niet misplaatst. Ik teken daarbij aan dat het recht op bescherming van de persoonlijke levenssfeer ook in de verhouding tussen burger en overheid niet absoluut is. Ik acht het niet principieel uitgesloten dat er, bijvoorbeeld in de context van overheidsinvesteringen in ICT, financiële beperkingen aanvaard moeten worden die tot keuzes dwingen over beveiligingsniveaus.

Dat neemt niet weg dat ik begrip heb voor de gedachte van de leden van de D66-fractie dat het bedrijfsleven er alle belang bij heeft het vertrouwen in de elektronische infrastructuur op een zo hoog mogelijk niveau te houden en dat goede regelgeving voor gegevensbescherming daar een belangrijk aspect van is. Die gedachte wordt door mij al van meet af aan meegenomen in de onderhandelingen. Ik zie de aansporing om dit niet uit het oog te verliezen als een steun in de rug bij de voortzetting van de onderhandelingen.

De leden van de D66-fractie lezen dat de gedachten ook uitgaan naar het verlenen van vrijstellingen aan bepaalde groepen kleinere bedrijven wat betreft de verplichtingen van de verordening. Deze leden wijzen erop dat vooral relevant is of partijen zich bezighouden met dataverwerking en de eventueel aanverwante privacyrisico's. Zij vragen of het niet zo is dat ook een kleine organisatie de beschikking kan hebben over grote datasets en verwerking van persoonsgegevens als hoofdactviteit kan hebben, terwijl een groter bedrijf misschien vrijwel niets doet met persoonsgegevens. Deze leden ontvangen op dit punt graag een reactie.

Onder het huidige recht is in het Vrijstellingsbesluit Wbp een regeling getroffen waarin voor meer dan 40 typen verwerkingen, waarbij het onwaarschijnlijk is dat die verwerkingen zullen leiden tot een inbreuk op de fundamentele rechten van betrokkenen, onder voorwaarden ter bescherming van de persoonlijke levenssfeer, vrijstelling is verleend van de verplichting tot aanmelding van die verwerking bij de toezichthouder. De indeling van typen verwerkingen volgt sectoren zoals onderwijs, overheid, personeelsadministraties, en vele andere. Het gaat daarbij om de in de samenleving meest gebruikelijke vormen van gegevensverwerking, ten aanzien waarvan burgers redelijkerwijs kunnen verwachten dat zij daarin voorkomen. De indeling is niet gebaseerd op bedrijfsgrootte. Het effect van de regeling is echter dat de besparingen op de administratieve lasten grotendeels ten goede komt aan het midden- en kleinbedrijf. Ik acht het zinvol om ten minste te proberen of er voldoende steun bestaat voor het inbouwen van een vergelijkbare regeling in de bepaling voor de documentatieplicht. De potentiële omvang van die plicht moet niet worden onderschat. Wie een smartphone van zijn werkgever ter beschikking krijgt en daarin persoonsgegevens van een collega opslaat, valt in beginsel onder de werking van de verordening en moet in beginsel die documentatieplicht naleven. Gegeven de omstandigheid dat miljoenen werknemers aldus door de verordening worden geraakt en gegeven de omstandigheid dat het evident is dat handhaving van die verplichting door de schaalgrootte van dit verschijnsel nagenoeg onmogelijk is, acht ik zo'n vrijstellingsregeling zeker een potentieel nuttige bijdrage.

De leden van de D66-fractie vragen of zij terecht concluderen dat er eigenlijk geen kritiek is op de verplichtingen uit de voorgenomen verordening, maar dat de zorgen vooral zitten in het aantal bedrijven dat het aangaat. Zij wijzen in dit verband naar het regeerakkoord van het kabinet-Rutte II waarin verschillende verplichtingen uit de verordening, zoals een privacyeffectbeoordeling ook worden genoemd.

De kritiek richt zich ook op de inhoud van de verplichtingen. Ik heb grote moeite met de vrijwel onbegrensde omvang van bijvoorbeeld de meldplicht datalekken. Ik zie evenmin veel toegevoegde waarde in een verplichting van verantwoordelijken tot het houden van voorafgaand overleg met de toezichthouder, zonder dat de uitkomst van dat overleg tot een besluit gericht op rechtsgevolg aanleiding geeft. Dat neemt overigens niet weg dat de meldplicht datalekken en de privacyeffectbeoordeling als zodanig goede maatregelen zijn, waarvan ik de regeling in de verordening blijf steunen.

Naar boven