33 169 EU-voorstel: Richtlijn bescherming persoonsgegevens bij gebruik door politiële en justitiële autoriteiten (COM(2012) 10) en EU-voorstel Verordening algemeen kader bescherming persoonsgegevens (COM(2012)11)

C VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 18 juli 2012

De vaste commissies voor Immigratie & Asiel / JBZ-raad1 en voor Veiligheid en Justitie2 hebben in hun vergadering van 8 mei 2012 opnieuw gesproken over de voorstellen van de Europese Commissie inzake de herziening van het Europese regelgevend kader voor de bescherming van persoonsgegevens.3 De commissies hebben eerder al met de regering over deze voorstellen gecorrespondeerd naar aanleiding van een reeks vragen van de Commissie Meijers. In aansluiting daarop hebben zij de minister van Veiligheid en Justitie een aantal vragen voorgelegd bij brief van 16 mei 2012.

De minister heeft op 13 juli 2012 gereageerd.

De commissies brengen bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier voor dit verslag, Kim van Dooren

BRIEF AAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Den Haag, 16 mei 2012

De commissies voor Immigratie & Asiel / JBZ-raad en voor Veiligheid en Justitie hebben in hun vergadering van 8 mei jl. opnieuw gesproken over de voorstellen van de Europese Commissie inzake de herziening van het Europese regelgevend kader voor de bescherming van persoonsgegevens.4 De commissies hebben eerder al met de regering over deze voorstellen gecorrespondeerd naar aanleiding van een reeks vragen van de Commissie Meijers. Thans wensen de commissies enige vragen aan u voor te leggen over de genoemde voorstellen.

Vragen en opmerkingen vanuit de VVD-fractie

De leden van de VVD-fractie hebben zowel over de voorgestelde verordening als over de voorgestelde richtlijn vragen en opmerkingen.

Vragen over de algemene privacyverordening

1. De leden van de VVD-fractie staan positief tegenover de introductie van de verplichting tot het uitvoeren van een privacyeffectbeoordeling voor die verwerkingen die genoemd staan in het voorgestelde artikel 33. Wel vinden zij het opmerkelijk dat overheidsinstanties- of organen in bepaalde gevallen uitgezonderd worden van deze verplichting. De leden van de VVD-fractie achten het juist wel gewenst dat ook zij vooraf een privacyeffectbeoordeling uitvoeren. Deze leden verzoeken daarom de regering zich in te spannen deze uitzondering te laten vervallen.

2. Bijzonder is dat in artikel 35 overheidsinstanties of -organen verplicht worden een functionaris voor gegevensbescherming (fg) aan te wijzen. De leden van de VVD-fractie kunnen zich dat voorstellen vanwege de voorbeeldfunctie die deze instanties hebben. Zij vragen zich wel af welke voorstelling de Europese Commissie heeft bij de concrete invulling van deze functie en zij verzoeken de regering daarop te reflecteren. In lid 6 van artikel 35 wordt bepaald dat de verantwoordelijke en de bewerker ervoor zorgen dat alle andere beroepswerkzaamheden van de fg verenigbaar zijn met zijn taken en verplichtingen als fg. Is dit geen verantwoordelijkheid van in eerste instantie de fg zelf? En hoe verhoudt zich dat tot het bepaalde in lid 3 van het voorgestelde artikel 36? Daarin wordt verondersteld dat de fg beschikt over personeel, kantoren, uitrusting en alle andere middelen die nodig zijn om zijn functie goed in te kunnen vullen. Daarmee wordt de indruk gewekt dat het dus om een meer dan fulltime functie gaat. Met andere woorden, hoe verhouden deze bepalingen zich tot elkaar? En welke criteria moeten worden gehanteerd om van een overheidsinstantie of -orgaan te spreken? Vallen volgens de regering private instellingen met een publieke taak, semipublieke organisaties, zelfstandige bestuursorganen ook onder deze begrippen?

3. De bestaande meldingsplicht wordt met dit voorstel afgeschaft, de informatieplicht wordt in het voorgestelde artikel 14 sterk uitgebreid alsook de verzoeken tot inzage, correctie en vernietiging. De verantwoordelijke moet behalve het doel van de verwerking en zijn identiteit de betrokkenen nu ook informeren over onder meer de vertegenwoordiger van de verantwoordelijke en van de functionaris voor gegevensbescherming, de bewaartermijn van de persoonsgegevens, het bestaan van zijn recht om inzage, correctie en vernietiging van de gegevens te verlangen of om bezwaar te maken, het recht om een klacht in te dienen bij het College Bescherming Persoonsgegevens (CBP), de ontvangers of categorieën ontvangers van zijn persoonsgegevens, in voorkomend geval het voornemen van de doorgifte van zijn persoonsgegevens naar een derde land of een internationale organisatie en het door dat derde land geboden beschermingsniveau onder verwijzing naar een besluit van de Commissie waarbij het beschermingsniveau passend wordt verklaard en alle verdere informatie die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. Nu lijkt het heel mooi dat de meldingsplicht wordt afgeschaft, want de indruk wordt gewekt dat daarmee een hoop administratieve rompslomp wordt afgeschaft. Met de uitbreiding van de informatieplicht en de rechten van betrokkenen zal de verantwoordelijke toch weer bijna precies dezelfde gegevens moeten vastleggen. Verschil is dat deze nu niet in een meldingsformulier worden vastgesteld dat naar de nationale toezichthouder moet worden gestuurd, maar dat deze in een uitgebreide brief aan de betrokkene rechtstreeks moet worden gemeld. Hoe kijkt de regering hiertegen aan? Brengen deze verplichtingen niet onnodig veel administratieve lasten met zich mee?

4. De documentatieplicht van artikel 28 is niet van toepassing op ondernemingen of organisaties met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerken. Het criterium van 250 personen lijkt nogal willekeurig. De grootte van de organisatie zou niet doorslaggevend moeten zijn, maar de doeleinden van de gegevensverwerkingen, de aard van de persoonsgegevens, de hoeveelheid persoonsgegevens en de ontvangers van persoonsgegevens. Bovendien is het voldoen aan de documentatieplicht geen grote moeite, gelet op de verplichtingen van de artikelen 11 tot en met 15. De leden van de VVD-fractie verzoeken de regering zich in te spannen de uitzondering van artikel 28 lid 4 sub b te laten vervallen.

5. In artikel 23 worden verantwoordelijken voor verwerkingen van gegevens verplicht de principes van «privacy by design» en «privacy by default» toe te passen. In het tweede lid van dit artikel wordt bepaald dat de verantwoordelijke mechanismen moet instellen om ervoor te zorgen dat alleen de persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van de verwerking nodig zijn en dat het verzamelen of het bewaren van die gegevens zich – zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan – beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen moeten er met name voor zorgen dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. Deze laatste zin ziet op het instellen van autorisatieschema’s en mechanismen die de vertrouwelijkheid moeten waarborgen. Deze mechanismen zorgen er dan nog niet voor dat de gegevensverwerking alleen plaatsvindt als dat voor de doeleinden nodig is en dat de gegevens niet langer worden bewaard dan voor die doeleinden strikt noodzakelijk is. Het is niet duidelijk of de Europese Commissie ook mechanismen verplicht wil maken om de doelbindings- en proportionaliteitsbeginselen systeemtechnisch af te kunnen laten dwingen. Hoe kijkt de regering hier tegenaan?

6. In artikel 24 van de voorgestelde privacyrichtlijn worden de lidstaten verplicht erop toe te zien dat een registratie wordt bijgehouden van ten minste de verzameling, wijziging, raadpleging, verstrekking, combinatie of wissing van gegevens. Bij de registratie van raadpleging en verstrekking dienen tenminste het doel, de datum en het tijdstip van die handeling te worden aangegeven en indien mogelijk de identiteit van de persoon die de persoonsgegevens heeft geraadpleegd of verstrekt. Wat is volgens de regering de reden dat deze bepaling wel in deze voorgestelde richtlijn staat, maar niet in de voorgestelde privacyverordening?

7. Artikel 51 lid 2 bepaalt dat de toezichthouder van de lidstaat waar de hoofdvestiging van de verantwoordelijke zich bevindt, bevoegd is om toezicht uit te oefenen op de verwerkingen van de verantwoordelijke in alle lidstaten. Nu is het in de praktijk niet altijd duidelijk welke vestiging de hoofdvestiging is. Dit betekent dat de criteria op basis waarvan vast komt te staan welke toezichthouder bevoegd is en hoe de onderlinge besluitvorming plaatsvindt, duidelijker moeten worden geformuleerd. Zo zou bepaald kunnen worden dat als niet kan worden vastgesteld waar de hoofdvestiging zich bevindt, de Europese toezichthouder – de European Data Protection Board – de bevoegdheid krijgt om te bepalen welke nationale toezichthouder de leiding neemt en hoe de onderlinge rolverdeling met andere nationale toezichthouders is. Hoe denkt de regering hierover?

8. De leden van de VVD-fractie staan positief tegenover de introductie van een meldplicht van inbreuken in verband met persoonsgegevens. Een verantwoordelijke moet zonder onnodige vertraging en binnen 24 uur nadat hij er kennis van heeft gekregen de melding doen. De bewerker moet de verantwoordelijke onmiddellijk waarschuwen en informeren nadat hij een inbreuk heeft vastgesteld. Is het juist dat deze meldplicht verder gaat dan de verplichting tot het melden van datalekken en dat elke doorbreking van technische en organisatorische maatregelen die een passend beveiligingsniveau moeten waarborgen, moet worden gemeld? En is het volgens de regering praktisch gezien haalbaar dat de bewerker conform artikel 31 lid 3 onmiddellijk bij de melding van de inbreuk mededeling doet van de in sub a tot en met e genoemde zaken? Zou het niet logischer zijn dat de bewerker de inbreuk wel onmiddellijk meldt, maar dat hij zo spoedig als mogelijk is de verantwoordelijke over de overige zaken informeert?

Vragen over de specifieke privacyrichtlijn voor strafzaken

1. De voorgestelde privacyrichtlijn is van toepassing op alle verwerkingsactiviteiten die bevoegde autoriteiten voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen uitvoeren. Het begrip «voorkoming» van strafbare feiten is een ruim en rekbaar begrip. Kan de regering aangeven hoe dit begrip geïnterpreteerd moet worden?

2. Het begrip «bevoegde autoriteiten» staat in de voorgestelde privacyrichtlijn in artikel 3 sub 14 omschreven als «elke overheidsinstantie die bevoegd is ten aanzien van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen». Met name de overheidsinstanties die bevoegd zijn ten aanzien van de voorkoming van strafbare feiten kunnen een ruime categorie omvatten. Kan de regering tenminste voorbeelden geven van deze instanties? Aan bevoegde autoriteiten die belast zijn met de voorkoming van strafbare feiten worden doorgaans andere eisen gesteld ten aanzien van hun competenties en hun bevoegdheden kennen doorgaans geen wettelijke grondslag. Waarom is dit onderscheid niet vertaald naar de rechten en verplichtingen die bevoegde autoriteiten op grond van dit voorstel krijgen?

3. Hoe moet de samenhang tussen de voorgestelde specifieke privacyrichtlijn voor strafzaken en de voorgestelde algemene privacyverordening worden gezien? Als gegevens worden verwerkt door samenwerkingsverbanden die zijn opgericht om criminaliteit tegen te gaan, is dan de onderhavige voorgestelde richtlijn van toepassing of de algemene privacyverordening? Voor samenwerkingsverbanden geldt op dit moment dat op hun gegevensverwerkingen de algemene Wet bescherming persoonsgegevens geldt en niet de sectorspecifieke Wet politiegegevens. Dat komt omdat ook bijvoorbeeld gemeenten participeren in de samenwerkingsverbanden, die niet onder de Wet politiegegevens vallen. Hoe zit dat als de algemene privacyverordening van kracht is en de specifieke privacyrichtlijn voor strafzaken is geïmplementeerd in nationale wetgeving en van kracht is geworden?

4. Volgens artikel 4 sub a van de voorgestelde privacyrichtlijn moeten de lidstaten bepalen dat persoonsgegevens eerlijk en rechtmatig worden verwerkt. Wat wordt volgens de regering verstaan onder «eerlijk»?

5. Volgens artikel 4 sub f moeten de lidstaten bepalen dat persoonsgegevens moeten worden verwerkt onder de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke. Welke betekenis heeft «aansprakelijkheid» hier volgens de regering? De voor de verwerking verantwoordelijken zullen doorgaans politiële en justitiële autoriteiten zijn. Kennen juist zij geen immuniteit als het gaat om aansprakelijkheid? Hoe moet de term «aansprakelijkheid» in dit kader dan volgens de regering uitgelegd worden?

6. Artikel 19 heeft als kop «privacy by design» en «by default». Uit de tekst van artikel 19 blijkt niet duidelijk wat onder «privacy by default» moet worden verstaan. Betekent het dat de ICT-systemen waarmee persoonsgegevens worden verwerkt te allen tijde zodanig moeten zijn ontworpen en ingericht dat de bescherming van persoonsgegevens met de systemen kan worden afgedwongen? Hoe interpreteert de regering deze bepaling?

7. De leden van de VVD-fractie verzoeken de regering tot slot de samenhang tussen de algemene verordening en de specifieke richtlijn te verbeteren. Dat kan door algemene beginselen en definities in beide voorstellen op te nemen en gelijk te schakelen. Ook zou de samenhang worden verbeterd als de verplichtingen die van toepassing zijn op de verantwoordelijke en de bewerker gelijkgeschakeld worden, zoals de verplichting tot het uitvoeren van privacy impact assessments en het toepassen van «privacy by design».

Vragen en opmerkingen vanuit de PvdA-fractie

De leden van de PvdA-fractie hebben met instemming kennisgenomen van het EU-voorstel voor een algemene verordening bescherming persoonsgegevens en het EU-voorstel voor een richtlijn bescherming persoonsgegevens in de context van politie en justitie. Met dit initiatief wordt de grote waarde die de Europese Unie kan hebben voor de lidstaten weer eens aangetoond. Immers, in het digitale tijdperk met grensoverschrijdend digitaal verkeer is het absoluut noodzakelijk dat er een voor alle lidstaten geldende regeling komt voor de bescherming van persoonsgegevens. De aanscherping van het toestemmingsvereiste, de mogelijkheid om vergeten te worden, het verlichten van de administratieve lasten door het schrappen van de plicht gegevensverwerking aan de toezichthouder te melden, hogere boetes, de verplichting tot het verstrekken van informatie en de verplichting tot het melden van datalekken zijn een aantal elementen die de aan het woord zijnde leden zeer aanspreken.

De leden van de PvdA-fractie hebben kennisgenomen van de in beginsel positieve reactie van de regering en van verschillende organisaties op de EU-voorstellen en van de gedachtewisseling die zich in de Tweede Kamer heeft voltrokken. De aan het woord zijnde leden zouden graag antwoord krijgen op de volgende vragen, c.q. de regering het volgende willen meegeven:

  • Op welke inhoudelijke punten onderscheiden de voorgestelde verordening en richtlijn zich van de huidige regelgeving in Nederland op dit terrein en is de beoordeling van de regering dat in de verordening en richtlijn sprake is van een betere of juist minder goede bescherming van persoonsgegevens dan in de Nederlandse regelgeving? Anders gezegd: gaan Nederlandse burgers er op vóór- of achteruit als het om de bescherming van hun persoonsgegevens gaat?

  • Zo de Nederlandse wet- en regelgeving een betere bescherming bieden dan de richtlijn, mogen de leden van de PvdA-fractie er dan vanuit gaan dat de Nederlandse regelgeving kan en zal blijven bestaan ook als de richtlijn eenmaal vigeert?

  • Zo de Nederlandse wet- en regelgeving een betere bescherming bieden dan de verordening, mogen de leden van de PvdA-fractie er dan vanuit gaan dat de regering zich sterk zal maken om die elementen ook in de verordening te incorporeren?

  • Zo de verordening of de richtlijn een betere bescherming bieden dan de Nederlandse regelgeving, mogen de leden van de PvdA-fractie er dan vanuit gaan dat de regering zich vóór de verordening zal uitspreken en dat de richtlijn door Nederland zal worden geïmplementeerd?

  • Kan de regering aangeven of de wet- en regelgeving die in deze kabinetsperiode tot stand zijn gekomen en de wet- en regelgeving van deze regering die nog om besluitvorming vragen, vallen binnen de verordening en/of de richtlijn? Zo dit niet het geval is, welke conclusie verbindt de regering aan die constatering?

  • Kan de regering aangeven of naar haar oordeel de problemen die er in Nederland zijn geweest rond gegevensbescherming verleden tijd zullen zijn als de verordening en de richtlijn eenmaal in werking treden? Zo nee, welke onderdelen ontbreken er volgens de regering dan nog?

  • Aangezien de verordening voor alle lidstaten geldt, zou de situatie kunnen ontstaan dat lidstaten met een van huis uit lagere bescherming de verordening zouden willen afzwakken. Mag van de regering verwacht worden dat zij zich hiertegen te weer zal stellen?

  • De leden van de PvdA-fractie verzoeken de regering erop aan te dringen, zoals zij in haar beantwoording van de vragen van de Commissie Meijers reeds aangeeft, dat de «one-stop-shop» maatregel eenduidiger moet worden geformuleerd zodat duidelijk is wat er moet gebeuren wanneer niet helder is waar de hoofdvestiging van een bedrijf zich bevindt;

  • De leden van de PvdA-fractie volgen het College Bescherming Persoonsgegevens (CBP) in zijn redenering dat niet het aantal werknemers maar de mate van risico verbonden aan de verwerking bepalend moet zijn voor het al dan niet vrijgesteld worden van verplichtingen. De aan het woord zijnde leden verzoeken de regering, die eenzelfde opvatting is toegedaan, het hiertoe te leiden;

  • De leden van de PvdA-fractie hebben zorgen over de onduidelijkheid rond de verplichting voor bedrijven om gegevens te verstrekken aan niet-EU-landen. Zij verzoeken de regering erop aan te dringen dat alleen als sprake is van een (rechtshulp)overeenkomst tussen het betreffende derde land en de lidstaat of de Europese Unie een dergelijke gegevensverstrekking plaatsvindt;

  • Deelt de regering de opvatting van Bits of Freedom dat de verordening regels zou moeten bevatten over het verstrekken van persoonsgegevens door de private sector aan overheidsdiensten, bijvoorbeeld in het kader van de opsporing? Zo ja, is de regering bereid zich hier sterk voor te maken?

  • Deelt de regering de opvatting van Bits of Freedom dat gegevens waarmee een persoon van anderen kan worden onderscheiden ook moeten worden beschouwd als persoonsgegevens? Zo ja, is de regering bereid zich sterk te maken voor wijziging van de verordening op dit punt?

  • Kan de regering uitleggen hoe het mogelijk is dat het CBP en anderen menen dat het richtlijnvoorstel een te laag niveau van gegevensbescherming biedt en uit de beantwoording van de vragen van de Commissie Meijers blijkt dat de regering dat niet met hen eens is?

  • Is de regering bereid om, nu zij vindt dat er geen extra geld voor het CBP kan worden uitgetrokken, voorstellen te doen voor instrumenten om (private) organisaties tot een vorm van zelfbinding over te laten gaan?

Vragen en opmerkingen vanuit de CDA-fractie

De leden van de CDA-fractie staan positief tegenover het voorstel van de Europese Commissie om de bescherming van persoonsgegevens te herzien door:

  • 1. het tot stand brengen van een verordening, die Richtlijn 95/46/EG vervangt en een algemeen kader bevat voor de bescherming van persoonsgegevens,

  • 2. een richtlijn vast te stellen, die Kaderbesluit 2008/977/JBZ vervangt en regels bevat voor de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële activiteiten.

De leden van de CDA-fractie achten het niet opportuun om op dit moment van het wetgevingsproces gedetailleerde opmerkingen te maken over de afzonderlijke artikelen van de beide documenten. Zij stellen slechts vast, dat zij als uitgangspunten bij de beoordeling van de aangeboden voorstellen de volgende punten zullen aanhouden:

  • Het huidige niveau van gegevensbescherming dient te worden gehandhaafd;

  • Doelbinding is een uitermate belangrijk beginsel in het kader van de wetgeving met betrekking tot gegevensbescherming waaraan niet mag worden getornd;

  • Het begrip persoonsgegevens moet duidelijk worden omschreven;

  • De regeling van de meldplicht datalekken moet een centraal meldingenregister bevatten;

  • De beschermingsbepalingen dienen ook het «profileren» te omvatten;

  • De bevoegdheden van toezichthouders op nationaal en Europees niveau dienen duidelijk en eenvormig te worden omschreven. Hetzelfde geldt voor de voor de gegevensverwerking verantwoordelijke;

  • Ook gratis diensten moeten onder de nieuwe wetgeving worden opgenomen;

  • Een algemene uitzondering voor het gebruik van gegevens door overheden ligt niet in de rede;

  • Voor de doorgifte van persoonsgegevens aan derde landen moeten passende waarborgen aanwezig zijn;

  • Voor administratieve lasten is transparantie een absolute eis.

De aan het woord zijnde leden houden zich het recht voor in de diverse stadia van het Europese wetgevingsproces commentaren op de teksten te kunnen leveren.

Vragen en opmerkingen vanuit de SP-fractie

De leden van de SP-fractie verzoeken de regering de vragen vanuit de Tweede Kamerfractie van de SP zo spoedig en volledig mogelijk te beantwoorden. Het betreft de volgende vragen:

De leden van de SP-fractie hebben met belangstelling kennis genomen van het nieuwe pakket van de Europese Commissie met voorstellen voor de bescherming van persoonsgegevens. De leden benadrukken dat dit een omvangrijk pakket is, wat van groot belang zal zijn voor de toekomstige privacywetgeving in Nederland. De leden benadrukken bij de regering dit pakket met voorstellen van buitengewoon groot belang te vinden en vragen de regering hieraan veel aandacht te besteden en bij iedere gelegenheid het belang van een hoog beschermingsniveau te benadrukken. Tevens hechten zij aan de toezeggingen, gedaan in het Algemeen Overleg over het behandelvoorbehoud van deze voorstellen, over de informatievoorziening aan de Kamer.

Algemeen

De leden van de SP-fractie vragen de regering nog eens duidelijk aan te geven in hoeverre het na eventuele aanname van deze voorstellen (verordening en richtlijn) nog mogelijk is in Nederland af te wijken van de Europese regels. Beogen de Europese regels de gehele privacywetgeving in alle lidstaten te harmoniseren? Of beogen deze Europese regels minimumnormen neer te leggen, waarbij het is toegestaan naar boven af te wijken (méér bescherming te bieden)? Indien dat laatste niet het geval is, waarom niet?

De leden van de SP-fractie benadrukken dat het niet alleen gaat om het maken van goede regels voor bescherming van persoonsgegevens, maar dat de regels vooral ook toegepast moeten worden. In alle EU-lidstaten. Hoe kijkt de regering aan tegen het naleven van de huidige privacyregels in andere EU-lidstaten? Hoe wordt daar op toegezien?

De leden van de SP-fractie constateren dat met name op de richtlijn, waarin regels staan voor justitie en politie, veel kritiek is gekomen. De richtlijn zou een (te) laag niveau van gegevensbescherming bieden. Dat zeggen ook het CBP, de EDPS en de art.29-werkgroep.

Deelt de regering die mening? Zo ja, welke gevolgen heeft dat voor de onderhandelingsinzet? Zo niet, waarom niet?

De leden van de SP-fractie constateren dat er soms een conflict van plichten kan bestaan bij samenloop van toepasselijk recht. Een bedrijf bijvoorbeeld kan geconfronteerd worden met een vordering voor gegevens van autoriteiten uit andere landen, bijvoorbeeld de VS, terwijl deze overdracht op basis van de EU-wetgeving niet zou zijn toegestaan. Een eerdere versie van het voorstel bevatte de duidelijke bepaling dat géén gegevens mogen worden overgedragen, zo lang er geen goede waarborgen voor de persoonsgegevens zijn. Die bepaling leek meer duidelijkheid te bieden. Waarom is die formulering verdwenen? Gaat de regering zich er voor inzetten dat die bepaling weer terug komt?

Toezicht

De leden van de SP-fractie benadrukken het van groot belang te vinden dat er in alle landen een robuuste toezichthouder aanwezig is om privacyschendingen aan te pakken. Ook Europees toezicht is noodzakelijk. Hoe ziet het kabinet dit voor zich?

De leden van de SP-fractie plaatsen vraagtekens bij de capaciteit van het College Bescherming Persoonsgegevens. We hebben een (privacy-)waakhond met tanden nodig, die voldoende mankracht heeft om bepaalde signalen en meldingen uit de samenleving te onderzoeken. Daarover zijn de leden bezorgd. Vooral ook in het licht van de toekomstige meldplicht datalekken, waar de aan het woord zijnde leden groot voorstander van zijn, die naar alle waarschijnlijkheid veel werk op zal leveren voor het CBP. Graag een reactie.

De leden van de SP-fractie vragen wanneer het wetsvoorstel waarmee de boetebevoegdheid van het CBP wordt uitgebreid de Kamer naar verwachting zal bereiken.

Specifieke vragen, op onderdelen

Meldplicht datalekken

De leden van de SP-fractie zijn al langere tijd voorstander van een meldplicht datalekken, en vinden de huidige voorgestelde bepaling te beperkt: Niet de inbreuk op beveiligingsmaatregelen, maar de ongeautoriseerde toegang tot persoonsgegevens moet leidend zijn en bepalend zijn voor de vraag of het lek gemeld moet worden. Dus ook een meldplicht indien er per ongeluk een databestand met persoonsgegevens op internet wordt geplaatst. Ook dat zou moeten worden gemeld. Gaat de regering zich hiervoor inzetten?

Nalevingskosten

De leden van de SP-fractie vragen wat de regering nu precies wel beschouwt als «nalevingskosten» en wat daar niet onder valt. In hoeverre zijn verplichtingen van bedrijven om te investeren in een zorgvuldige omgang met persoonsgegevens nu te beschouwen als nalevingskosten?

Bedrijven met minder dan 250 fte

De leden van de SP-fractie vragen de regering wat de onderhandelingsinzet zal zijn op het punt dat bedrijven met minder dan 250 fte worden vrijgesteld van een aantal verplichtingen. Zou niet zo zeer de grootte van het bedrijf, maar de mate van risico bepalend moeten zijn voor de vraag of uitzonderingen moeten worden gecreëerd?

Uitwisseling met derde landen

De leden van de SP-fractie vragen naar de garanties die er zijn indien gegevens worden uitgewisseld met derde landen. Vindt de regering dat het voorstel op dit punt voldoende waarborgen bevat voor de gegevensbescherming?

Profilering

De leden van de SP-fractie vragen de regering te reageren op de zorgen die de commissie Meijers heeft geuit over het gebruik van profilering op basis van persoonsgegevens.

Rechten van betrokkenen

De leden van de SP-fractie vragen de regering of zij tevreden zijn over de uitwerking van de rechten van betrokkenen, zoals het «recht om vergeten te worden» en het «recht op informatie». Wat is de reactie op bijvoorbeeld de kritiek van het CBP dat de uitzonderingen op de informatieplicht te ruim geformuleerd zijn?

Vragen en opmerkingen vanuit de D66-fractie

De leden van de D66-fractie hebben met belangstelling kennisgenomen van de Europese voorstellen op het gebied van gegevensbescherming. Deze leden zijn ermee bekend dat de vaste Kamercommissie voor Veiligheid en Justitie van de Tweede Kamer op 29 maart 2012 een aantal vragen ter beantwoording heeft voorgelegd aan de Staatssecretaris van Veiligheid en Justitie inzake deze voorstellen, waaronder ook de leden van de D66-fractie. Om herhaling te voorkomen sluiten de leden van de D66-fractie in de Eerste Kamer zich aan bij deze vragen, die zij kortheidshalve hieronder overnemen:

De leden van de D66-fractie verwelkomen het feit dat de Europese Commissie een voorstel heeft gedaan om de EU-regels voor privacybescherming bij de tijd te brengen. Dit is hoognodig omdat er zich sinds het opstellen van de huidige regels veel veranderingen hebben voorgedaan. Deze leden zijn daarbij verheugd dat het overgrote deel van de nieuwe EU-regels voor de bescherming van persoonsgegevens in de vorm van het instrument verordening is gegoten. Op deze wijze zullen de regels in elk EU-land gelijkluidend zijn. Voornoemde leden juichen toe dat personen meer controle krijgen over hun eigen data met deze Verordening. Ook moeten bedrijven in het vervolg explicieter dan voorheen aan burgers toestemming vragen als zij hun persoonsgegevens willen gebruiken en gaat voor hen een meldplicht voor datalekken gelden. Daarnaast wordt een recht om vergeten te worden voorgesteld. Naar het oordeel van deze leden zijn dit stappen vooruit.

De leden van de D66-fractie zien echter ook een aantal uitdagingen en kansen voor verbetering. De Europese Commissie heeft gekozen voor meerdere instrumenten. In aanvulling op genoemde verordening wordt voor het politiële en justitiële domein een Richtlijn voorgesteld. Volgens deze leden moet het uitgangspunt hetzelfde blijven, namelijk één alomvattend rechtskader om het verzekeren van een hoog niveau van gegevensbescherming voor de Europese burger.

De aan het woord zijnde leden hebben geconstateerd dat op een aantal cruciale punten de Richtlijn en de Verordening tevens uit elkaar lopen. Is de staatssecretaris bereid om gedurende de onderhandelingen in te zetten op het bewerkstelligen van een nauwere samenhang tussen beide instrumenten? Het gaat hierbij voornamelijk om de algemene beginselen voor gegevensverwerking (zoals doelbinding en bewaartermijn), de verplichtingen die van toepassing zijn op de verantwoordelijke alsook bewerker en de bevoegdheden die worden toegekend aan de autoriteiten verantwoordelijk voor gegevensbescherming. Voornoemde leden benadrukken dat deze discrepanties hen zorgen baren. Voor de leden van de D66-fractie is het belangrijk dat het hoogste niveau van bescherming geldt wanneer bedrijven persoonsgegevens verzamelen, zoals telecomgegevens en passagiersgegevens, en deze gegevens vervolgens worden gebruikt en verwerkt door politie en justitie. Hoe kijkt de staatssecretaris hier tegenaan? Kan een nadere toelichting worden gegeven van de regeringsinzet bij de onderhandelingen op dit punt?

Deze leden lezen dat de staatssecretaris bij het ontwerp van de Richtlijn kanttekeningen heeft geplaatst ten aanzien van de uitvoerbaarheid en werklast. Dit betreft het maken van onderscheid tussen categorieën van gegevens door politie en justitie en de informatieverplichtingen jegens degenen die met de politie en justitie in aanraking komen. Dergelijke verplichtingen zijn niet goed te verenigen met de aard van het politiewerk. Voornoemde leden ontvangen graag een nadere toelichting en precisering bij deze stelling. Waar doelt de staatssecretaris precies op? De aan het woord zijnde leden achten het een gemiste kans dat er een apart, lager beschermingsniveau komt als de overheid persoonsgegevens gebruikt. De besluiten die de overheid neemt over burgers op basis van hun gegevens, kunnen minstens zo ingrijpend zijn als die van bedrijven. Is de staatssecretaris bereid zich bij de onderhandelingen in te zetten voor een gelijk beschermingsniveau voor alle partijen geldt die gegevens verwerken dat zo hoog mogelijke bescherming biedt? Dit zou ook moeten gelden voor de overheden en de Europese instellingen. Zo nee, waarom niet?

De voorgestelde regelgeving voorziet in nieuwe plichten voor bedrijven en nieuwe rechten voor burgers die bijdragen aan een betere bescherming van persoonsgegevens, hetgeen in beginsel positief is. Deze plichten en rechten moeten wel afdwingbaar zijn. Voornoemde leden beschouwen het als winst dat de nationale colleges bescherming persoonsgegevens boetes zullen kunnen gaan opleggen. Nu bestond op nationaal niveau in Nederland dit voornemen al langer. Deze leden vragen wanneer de Kamer dit wetsvoorstel tegemoet kan zien. Zij zijn benieuwd naar de samenloop tussen het Europese en de nationale trajecten.

Deze leden vragen hoe de staatssecretaris aankijkt tegen strafrechtelijke sancties voor gevallen van zware overtreding van deze regels. Ook vragen zij de staatssecretaris om zijn visie op het «minder dan 250 fte»-criterium toe te lichten. Graag zouden zij zien dat daarbij expliciet wordt ingegaan op de stelling van het CBP dat niet de grootte van het bedrijf, maar de mate van risico verbonden aan de verwerking bepalend dient te zijn voor het creëren van eventuele uitzonderingen.

Voor de leden van de D66-fractie is het een belangrijk punt dat Europese burgers beschermd worden door Europese regels, ook als derde landen gebruik maken van gegevens van Europese burgers. De regering stelt dat het probleem van conflicterende jurisdicties nog niet volledig sluitend lijkt te zijn geregeld. Deze leden hebben over dit onderwerp meerdere malen vragen gesteld. Kan de regering een nadere toelichting geven van de regeringsinzet op deze punten? Welke ondergrens wordt gehanteerd?

In een brief van het CBP over onderhavige materie aan de vaste Kamercommissie voor Veiligheid en Justitie d.d. 2 maart 2012 meldt het CBP dat een eerdere openbaar geworden conceptversie van de verordening een dergelijke bepaling bevatte in artikel 42: «No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any matter, without prejudice to an mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State». Kan de staatssecretaris inzicht verschaffen in de reden(en) dat deze formulering verdwenen is uit het voorstel? Kan de staatssecretaris tevens duidelijkheid verschaffen of zij voorstander zou zijn van het (her)introduceren van een dergelijke bepaling? Zo nee, waarom niet?

De leden van de D66-fractie benadrukken ten slotte dat de uitwerking en verdere onderhandelingen over onderhavige voorstellen hun buitengewone belangstelling heeft. Zij worden dan ook graag tijdig en frequent geïnformeerd over de voortgang hiervan.

De commissies zien met belangstelling uit naar uw reactie op hun vragen en opmerkingen. Zij ontvangen deze graag nog voor het zomerreces van de Eerste Kamer, en wel uiterlijk donderdag 5 juli 2012.

Voorzitter van de vaste commissie voor Immigratie en Asiel/JBZ-raad Prof. dr. P.L. Meurs

Voorzitter van de vaste commissie voor Veiligheid en Justitie Mr. A. Broekers-Knol

BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 13 juli 2012

Bij brief van 16 mei 2012 hebben de Commissies voor Immigratie en Asiel/JBZ-Raad en voor Veiligheid en Justitie mij enige vragen voorgelegd over de voorstellen van de Europese Commissie voor herziening van het regelgevend kader voor de bescherming van persoonsgegevens. In het onderstaande beantwoord ik deze vragen.

Vragen en opmerkingen vanuit de VVD-Fractie

Vragen over de algemene privacyverordening

1. De leden van de VVD-fractie verzoeken de regering zich in te spannen om de uitzondering in artikel 33, vijfde lid, van de ontwerpverordening op de verplichting een privacy impact assessment te houden voor de overheid te laten vervallen.

– Ik wil mij er allereerst op richten om meer duidelijkheid te verkrijgen over de bedoeling van artikel 33, vijfde lid, van de ontwerpverordening voordat ik een definitief standpunt inneem over de wenselijkheid van de bepaling. Artikel 33, vijfde lid, lijkt te bedoelen dat een privacyeffectbeoordeling niet hoeft te worden gemaakt door een overheidsorgaan wanneer de verwerking van persoonsgegevens plaatsvindt ter uitvoering van een wettelijke verplichting waaraan de verantwoordelijke is onderworpen. Het artikellid lijkt voor te schrijven dat de desbetreffende wettelijke verplichting zelf regels en procedures met betrekking tot de verwerking bevat. De tekst van het artikellid verwijst in dit verband naar regels van Unierecht. Dit is slecht te rijmen met de verwijzing naar artikel 6, eerste lid, onder c, van de ontwerpverordening, aangezien niet kan worden aangenomen dat de wettelijke verplichtingen die daar worden genoemd uitsluitend verplichtingen krachtens Unierecht kunnen zijn. Dit is te meer een vraag nu overweging 73 verwijst naar de mogelijkheid dat een wettelijke verplichting (ook) krachtens nationaal recht kan worden vastgesteld. Overweging 73 suggereert overigens dat van een privacyeffectbeoordeling slechts dan kan worden afgezien, indien deze reeds in het kader van een wetsvoorstel dat een nieuwe verwerking regelt is gemaakt. In zoverre zou artikel 33, vijfde lid, slechts willen voorkomen dat een beoordeling niet tweemaal hoeft te worden gemaakt, namelijk zowel bij het wetsvoorstel als voorafgaand aan de feitelijke uitvoering van de verwerking. Als het artikellid inderdaad zo moet worden uitgelegd, lijkt mij dat er geen reden is waarom Nederland zich daartegen moet verzetten. Ik zal daar echter navraag naar doen.

2. De leden van de VVD-fractie hebben een aantal vragen gesteld over de functionaris voor de gegevensbescherming.

– De verordening gaat ervan uit dat bij de verwerking van persoonsgegevens die een bepaalde schaalgrootte te boven gaat, of waarbij bepaalde gevoeligheden in het geding zijn, de verantwoordelijke zich moet laten bijstaan door een kracht die in het bijzonder belast is met de zorg voor de naleving en de handhaving van de verordening binnen de organisatie van de verantwoordelijke. De evaluatie van de Wet bescherming persoonsgegevens (Wbp) heeft geleerd dat een verantwoordelijke die een functionaris voor de gegevensbescherming (FG) aanstelt daarmee bevordert dat in zijn organisatie een veel beter bewustzijn van de privacyregels ontstaat en dat de naleving ervan beter verloopt. Wel is het de vraag of een FG altijd moet zijn uitgerust met formele bevoegdheden, zoals de verordening eist. Veel grote bedrijven voelen bijzonder weinig voor dit type overheidsinterventie en zijn van oordeel dat de aanstelling van een privacy officer zonder formele bevoegdheden beter bij hun organisatie past. Achtereenvolgende kabinetten, het huidige niet uitgezonderd, hebben altijd het standpunt ingenomen dat een al te nadrukkelijke bemoeienis van de overheid met de bedrijfshuishoudingen niet goed is. Voor de overheid kan daar misschien anders over worden gedacht. Feitelijk is het bij de rijksoverheid nu al zo dat vrijwel alle ministeries een FG hebben aangesteld. De vraag is of de verordening niet wat te rigide is bij de formulering van de verplichting een FG aan te stellen, en die ook uit te rusten met allerlei voorzieningen. Dit moet echter worden beoordeeld tegen de achtergrond van het totale pakket aan verplichtingen dat de verordening kent.

3. De leden van de VVD-fractie vragen, kort weergegeven, hoe de regering aankijkt tegen de afschaffing van de meldplicht voor verwerkingen van persoonsgegevens en de gelijktijdige toename van de verplichtingen voor verantwoordelijken. Zij vragen of deze verplichtingen niet onnodig veel administratieve lasten met zich brengen?

– Het is een winstpunt dat de verordening de meldplicht voor de verwerkingen van persoonsgegevens afschaft. Ik ben het met de Commissie eens dat de afschaffing van die verplichting leidt tot een substantiële vermindering van administratieve lasten. Het is inderdaad zo dat de afschaffing van de meldplicht vergezeld gaat van een uitbreiding van de informatieverplichting van de verantwoordelijke. Dat is op zichzelf genomen wel verklaarbaar. Aan de verordening ligt het accountabilitybeginsel ten grondslag. Dit beginsel vergt dat verantwoordelijken niet via de overheid, maar zelfstandig duidelijk maken aan betrokkenen welke persoonsgegevens voor welke doeleinden worden verwerkt, hoe lang ze worden bewaard en aan wie ze worden doorgegeven. Daarbij hoort dat ook enige basale informatie wordt verstrekt over de bereikbaarheid van de verantwoordelijke en de manier waarop hij de verordening uitvoert. Dat is in beginsel gerechtvaardigd. Het is echter de vraag of het totale pakket aan verplichtingen van de verantwoordelijke zonder meer voor elke verantwoordelijke, ongeacht de aard van de organisatie en de aard van de verwerking moet gelden. Het gaat daarbij niet alleen om de informatieplicht, maar ook om verplichtingen als het aanstellen van een FG, het houden van privacy impact assessments en het vooraf laten toetsen van verwerkingen door de toezichthouder. Ik kan mij voorstellen dat de daarmee gemoeide lasten niet in volle omvang op elke verantwoordelijke moeten rusten, maar afhankelijk moeten zijn van het met de verwerking gemoeide specifieke risico.

4. De leden van de VVD-fractie verzoeken de regering zich ervoor in te spannen dat de begrenzing van de documentatieplicht in artikel 28, vierde lid, onder b, van de verordening tot organisaties met meer dan 250 personeelsleden vervalt.

– Ik ben het met de leden van de VVD-fractie eens dat de differentiatie in het verplichtingenniveau in de verordening die gerelateerd is aan de grootte van een organisatie niet de best denkbare maatstaf is. Het specifieke risico van een of meer specifieke verwerkingen binnen overheidsinstelling of onderneming is een maatstaf die beter aansluit aan het uiteindelijke doel van de verordening: het bieden van een hoog niveau van privacybescherming tegen een beheerst niveau van kosten voor de verantwoordelijke. Ik heb terzake inmiddels de nodige vragen gesteld aan de Commissie. Die vragen kregen bijval van veel andere lidstaten.

5. De leden van de VVD-fractie hebben enkele vragen gesteld over de verplichting van de verantwoordelijke tot toepassing van de principes van privacy by design en privacy by default. Zij vragen met name of de mechanismes die ter uitvoering van die principes moeten worden ingebouwd inderdaad slechts beperkt zijn tot een regeling van de toegang tot persoonsgegevens, maar niet verzekeren dat niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is voor de geformuleerde doeleinden. Ook vragen zij of de Europese Commissie dergelijke mechanismen verplicht wil stellen om de doelbindings- en proportionaliteitsdoelstellingen systeemtechnisch te willen afdwingen.

– Artikel 23, tweede lid, laatste volzin, van de ontwerpverordening is naar mijn mening geen beperking van de tweede volzin, maar een verbijzondering. De hoofdverplichting bij privacy by default blijft dat de controlemechanismen gericht moeten zijn op de verwerking van niet meer dan het minimumaantal gegevens dat nodig is voor het beoogde doel en de bekorting van de bewaartermijn tot het minimum. Daarnaast moet de verantwoordelijke in het bijzonder toegangsbeperkende maatregelen treffen. Ik acht die verbijzondering niet verhelderend. Die wekt de indruk dat er sprake is van verschillend te waarderen belangen, terwijl dat moeilijk te verdedigen valt. Alle drie de elementen van artikel 23, tweede lid, lijken mij van belang.

Het is mij nog onduidelijk welke regels de Commissie in gedachte heeft. Ik vraag mij overigens wel af of het zinvol is dit artikel in nadere regelgeving uit te werken. De hele bepaling ziet op alle denkbare vormen van gegevensverwerking en geeft de verantwoordelijke bij de invulling veel vrijheid. Ik ben van oordeel dat overheid en bedrijfsleven de vrijheid moet worden gelaten bij het ontwikkelen van privacy by design. Nadere regelgeving verhoudt zich bovendien slecht tot de afweging die verantwoordelijk krachtens het eerste lid moet maken, rekening houdend met de stand van de techniek en kosten van uitvoering.

6. De leden van de VVD-fractie hebben gevraagd naar de reden dat de verplichting tot het bijhouden van een registratie van bepaalde gegevensverwerkingen wel in de voorgestelde richtlijn is opgenomen maar niet in de voorgestelde verordening.

– De ontwerprichtlijn verplicht de verantwoordelijke tot het bijhouden van een documentatie, waarin gegevens worden opgenomen over de doeleinden van de verwerking, de verstrekking van persoonsgegevens aan derden en de doorgifte aan derde landen (art. 23). Deze verplichting kan in verband worden gebracht met de verplichtingen van de verantwoordelijke op het gebied van de verstrekking van informatie aan de betrokkene. Daarnaast zijn de lidstaten gehouden erop toe te zien dat een registratie wordt bijgehouden van verschillende verwerkingsactiviteiten, zoals de verzameling, raadpleging en verstrekking van persoonsgegevens (art. 24). Deze verplichting houdt verband met de controle van de rechtmatigheid van de gegevensverwerking. Het is de regering niet bekend wat voor de Commissie de reden is om, aanvullend op de regeling van artikel 23, te komen tot de bovenbeschreven verplichting voor de lidstaten, noch waarom een dergelijke verplichting niet in de ontwerpverordening is opgenomen. Dit zal nog aan de orde komen in de behandeling van de ontwerprichtlijn in de werkgroep en dan zal hiernaar navraag gedaan worden.

7. De leden van de VVD-fractie vragen of er voor de European Data Protection Board een rol kan worden weggelegd voor de gevallen waarin twijfel bestaat over de vraag in welke lidstaat de hoofdvestiging van een verantwoordelijke is gelegen.

– Ik ben het mede deze leden eens dat de European Data Protection Board een nuttige aanvullende rol kan spelen om de gezamenlijke toezichthouders te ondersteunen bij de vraag naar de bepaling van het toepasselijke recht. Ik zal dat in Brussel graag naar voren brengen.

8. De leden van de VVD-fractie hebben enige vragen gesteld over de meldplicht voor datalekken op grond van de ontwerpverordening.

– Ik ben met deze leden van mening dat inderdaad de vraag nog moet worden beantwoord wat de exacte reikwijdte is van de meldplicht datalekken in de ontwerpverordening en of dat ook de meest wenselijke vormgeving van deze verplichting is. Een eerste lezing van de verordening lijkt erop te wijzen dat de verplichtingen van de artikelen 31 en 32 van de ontwerpverordening zijn gericht op het melden van doorbrekingen van getroffen beveiligingsmaatregelen. Ik leid dat af uit artikel 4, onder 9, en uit de systematiek van hoofdstuk IV, afdeling 2, van de ontwerpverordening. Ik ga er vooralsnog dan ook niet uit dat bredere uitleg is beoogd. De meldplicht is er niet op gericht de maatregelen, genoemd in artikel 31, derde lid, a tot en met e, van de ontwerpverordening aan de verantwoordelijke te melden, maar aan de toezichthouder. Op grond van artikel 32 van de ontwerpverordening krijgt de verantwoordelijke enige armslag om een melding aan de betrokkenen te doen. Die verplichting is minder omvattend dan de meldplicht aan de toezichthouder. Dat lijkt mij voldoende tegemoet te komen aan de vrees van deze leden dat te vroeg te veel moet worden gemeld aan de verkeerde geadresseerde.

Vragen over de specifieke privacyrichtlijn voor strafzaken

1. De leden van de VVD-fractie stellen vast dat het begrip «voorkoming» van strafbare feiten een ruim en rekbaar begrip is en hebben gevraagd of de regering kan aangeven hoe dit begrip geïnterpreteerd moet worden.

– Het begrip «voorkoming van strafbare feiten» is eveneens terug te vinden in het huidige kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008, over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, ook bekend als het kaderbesluit dataprotectie (Pb EU L 350, artikel 1, tweede lid). Dit begrip houdt verband met de bevoegdheid van de Unie op basis van het Verdrag betreffende de Werking van de Europese Unie (VWEU), dat in artikel 87 voorziet in de bevoegdheid van de Unie om een vorm van politiële samenwerking te ontwikkelen waarbij alle bevoegde autoriteiten van de lidstaten betrokken zijn, met inbegrip van de politie, de douane en andere gespecialiseerde wetshandhavingsdiensten die belast zijn met het voorkomen, opsporen en onderzoeken van strafbare feiten. Met dit begrip wordt voor de Nederlandse context gedoeld op de voorkoming van strafbare feiten, als onderdeel van de politietaak of de taak van het openbaar ministerie op het gebied van de vervolging van strafbare feiten en de tenuitvoerlegging van straffen.

2. De leden van de VVD-fractie stellen dat met name de overheidsinstanties die bevoegd zijn ten aanzien van de voorkoming van strafbare feiten een ruime categorie kunnen omvatten en hebben gevraagd naar voorbeelden van deze instanties. Ook hebben zij gevraagd waarom het onderscheid tussen de voorkoming en opsporing van strafbare feiten niet is vertaald naar de rechten en verplichtingen die de bevoegde autoriteiten op grond van dit voorstel krijgen.

– De ontwerprichtlijn is niet van toepassing op de gegevensverwerking door maatschappelijke instanties die zich bezig houden met de preventie van criminaliteit, zoals de bureaus jeugdzorg of welzijnsinstellingen. In de Verklaring nummer 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de Slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 van het Verdrag betreffende de werking van de Europese Unie nodig zouden kunnen blijken. Met de voorliggende ontwerprichtlijn wordt hieraan uitvoering gegeven. Het door de Commissie voorgestelde pakket voor de bescherming van persoonsgegevens beoogt geen verandering te brengen in de huidige situatie op het gebied van de bescherming van persoonsgegevens. Deze is dat er op Europees niveau algemene regels van toepassing zijn op de verwerking van persoonsgegevens. Ook de activiteiten op het gebied van de preventie vallen daar onder, voor zover zij niet worden verricht in het kader van de uitoefening van de politietaak of de taak van het openbaar ministerie op het gebied van de vervolging van strafbare feiten en de tenuitvoerlegging van straffen. Voor de persoonsgegevens die worden verwerkt in het kader van opsporing en vervolging van strafbare feiten worden afzonderlijke regels gesteld. Daarbij moet worden opgemerkt dat de huidige regels van het eerdergenoemde kaderbesluit dataprotectie uitsluitend van toepassing zijn op gegevens die tussen de lidstaten worden uitgewisseld in het kader van de preventie, het onderzoek, de opsporing en de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen. Op dit punt heeft de ontwerprichtlijn een ruimer toepassingsbereik.

3. De leden van de VVD-fractie hebben gevraagd hoe de samenhang tussen de voorgestelde privacyrichtlijn voor strafzaken en de voorgestelde privacyverordening moet worden gezien. Zij hebben gevraagd welke regels van toepassing zijn op samenwerkingsverbanden die zijn opgericht om criminaliteit tegen te gaan. Verder hebben zij gevraagd naar de toepasselijkheid van de Wet bescherming persoonsgegevens op dergelijke samenwerkingsverbanden.

– De ontwerpverordening is van toepassing op de verwerking van persoonsgegevens door een verwerker in de Unie (artikel 3, eerste lid). De verordening komt in de plaats van de huidige privacyrichtlijn (richtlijn 95/46/EG). De regels van de richtlijn zijn omgezet in de Wet bescherming persoonsgegevens. De ontwerprichtlijn geeft specifieke regels voor de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen (artikel 1, eerste lid). In de Nederlandse context is de ontwerprichtlijn van toepassing op de verwerking van persoonsgegevens door de politie en de Koninklijke marechaussee bij de uitoefening van de politietaak, de bijzondere opsporingsdiensten bij de opsporing van strafbare feiten en het openbaar ministerie bij de vervolging van strafbare feiten en de tenuitvoerlegging van straffen. De ontwerprichtlijn komt in de plaats van het huidige kaderbesluit dataprotectie. De regels van het kaderbesluit zijn omgezet in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens.

De vraag naar het toepasselijke regime voor gegevensbescherming hangt nauw samen met de vraag of er sprake is van een gemeenschappelijk gegevensbestand. Doorgaans worden in het kader van de samenwerkingsverbanden uitsluitend persoonsgegevens uitgewisseld tussen de deelnemende instanties. Op die uitwisseling zijn de regels van toepassing die gelden voor de instantie die de gegevens verstrekt. Voor de politie is dit de Wet politiegegevens, voor een gemeentelijke hulpverleningsinstelling is dit Wet bescherming persoonsgegevens. Dit betekent dat voor de gegevensverstrekking door de politie de regels van de ontwerprichtlijn relevant zijn, terwijl voor de gegevensverstrekking door een gemeentelijke instelling de regels van de ontwerpverordening relevant zijn. De verdere verwerking van de uitgewisselde persoonsgegevens vindt plaats onder het regime voor de gegevensverwerking van de ontvangende instantie. Indien er sprake zou zijn van een eigenstandige gegevensverwerking door een daartoe aangewezen verantwoordelijke, ten behoeve van de doelen van het samenwerkingsverband, dan zijn de regels van de ontwerpverordening daarop van toepassing.

4. De leden van de VVD-fractie hebben gevraagd wat onder «eerlijk» moet worden verstaan.

– De bepaling dat persoonsgegevens eerlijk worden verwerkt is reeds terug te vinden in de huidige privacyrichtlijn (artikel 6, eerste lid, onderdeel a). Dit betreft de vertaling van het Engelse woord «fair». Voor de Nederlandse taal verdient het de voorkeur het begrip »fair» op te vatten als: behoorlijk en zorgvuldig. Deze omschrijving is ook terug te vinden in artikel 6 van de Wet bescherming persoonsgegevens.

5. De leden van de VVD-fractie hebben gevraagd welke betekenis het begrip «aansprakelijkheid» in artikel 4, onderdeel f, van de ontwerprichtlijn heeft en hoe deze term in het kader van de immuniteit van politiële en justitiële autoriteiten uitgelegd moet worden.

– Het begrip aansprakelijkheid moet worden uitgelegd als verantwoordelijk voor de gevolgen van niet-naleving van de krachtens de richtlijn vastgestelde bepalingen. Dit wil zeggen dat de verantwoordelijke kan worden aangesproken voor schadevergoeding, dit is nader geregeld in artikel 54 van de ontwerprichtlijn. De lidstaten zijn gehouden te bepalen dat eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een daad die onverenigbaar is met de krachtens de richtlijn vastgestelde bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

6. De leden van de VVD-fractie hebben gevraagd naar de interpretatie van de regels over «privacy by default» in artikel 19 van de ontwerprichtlijn.

– Met het begrip «privacy by default» wordt gedoeld op het op zodanige incorporeren van privacy in het dagelijkse gebruik van informatie en informatiesystemen, dat de persoonsgegevens worden beschermd zonder dat de gebruiker daarvoor aanvullende handelingen behoeft te verrichten. Die handelingen kan juist nodig zijn zodra een gegevensverwerking aan de orde is, bijvoorbeeld doordat toestemming voor de betreffende verwerking vereist is. Het komt de regering voor dat de interpretatie van de leden van de VVD-fractie, dat dit begrip betekent dat de ICT-systemen waarmee persoonsgegevens worden verwerkt te allen tijde zodanig moeten zijn ontworpen en ingericht dat de bescherming van persoonsgegevens kan worden afgedwongen, juist is.

7. De leden van de VVD-fractie hebben verzocht de samenhang tussen de algemene verordening en de specifieke richtlijn te verbeteren, door de definities en de verplichtingen van de verantwoordelijke en de bewerker in beide voorstellen gelijk te schakelen.

– Zoals de regering eerder in brieven aan de Tweede Kamer heeft aangegeven, staat de regering hier in beginsel positief tegenover, met dien verstande dat rekening moet worden gehouden met het verschil in toepassingsbereik van de beide rechtsinstrumenten (Kamerstukken II 2011/12, 32 761, nr. 29, blz. 11 en 2011/12, 32 761, blz. 24/25). Bepaalde beginselen inzake gegevensverwerking, zoals de rechtmatigheid van de verwerking, de doelbinding, de accuratesse en de noodzaak tot het stellen van heldere bewaartermijnen, zijn in beide rechtsinstrumenten opgenomen. Vooralsnog staat de regering echter tamelijk gereserveerd tegenover het volledig gelijkschakelen van de verplichtingen die van toepassing zijn op de verantwoordelijke en de bewerker omdat de ontwerprichtlijn – anders dan de verordening – geen verplichting voor de verantwoordelijke of de bewerker kent tot het verrichten van privacy impact assessments. Vooralsnog staat de regering tamelijk gereserveerd ten opzichte van een dergelijke verplichting voor politie en justitie. Minder gereserveerd staat de regering ten opzichte van de toepassing van de regels op het gebied van privacy by design. De regels die hierover zijn opgenomen in de ontwerpverordening en de ontwerprichtlijn zijn opgenomen vertonen een hoge mate van overeenstemming. Voor een nadere toelichting kan worden verwezen naar de eerdergenoemde brieven aan de Tweede Kamer.

Vragen en opmerkingen vanuit PvdA-fractie

De leden van de PvdA-fractie vragen op welke inhoudelijke punten de voorgestelde verordening en de richtlijn zich van de huidige regelgeving in Nederland onderscheiden en vragen of de regering deze verschillen als een betere of juist een minder goede bescherming van persoonsgegevens in Nederland beoordeelt.

– Wat de verordening betreft, moet bedacht worden dat de huidige Nederlandse wetgeving gebaseerd is op richtlijn 95/46/EG. Daarmee is het verschil in beschermingsniveau dus niet zozeer een zaak van het vergelijken van Europees recht met Nederlands recht, maar een onderlinge vergelijking van Europeesrechtelijke instrumenten. De verordening voorziet buiten twijfel in een hoger beschermingsniveau voor Nederlandse burgers. De rechten voor burgers worden uitgebreid met het recht om te worden vergeten en het recht op dataportabiliteit. De toegang van burgers tot de toezichthoudende autoriteit en de rechter wordt verbeterd. Daarnaast krijgt de toezichthouder stevige handhavingsbevoegdheden en een goed sanctie-instrumentarium. Andere belangrijke verschillen zijn dat de meldplicht voor gegevensverwerkingen wordt opgeheven, maar dat daar tegenover staat dat verantwoordelijken meer verplichtingen krijgen om zich, in het belang van de bescherming van persoonsgegevens, te verantwoorden.

Wat de richtlijn betreft moet worden opgemerkt dat deze inhoudelijk voor een belangrijk deel overeenstemt met de Nederlandse wet- en regelgeving op het gebied van de bescherming van persoonsgegevens die worden verwerkt met het oog op de opsporing en vervolging van strafbare feiten en de tenuitvoerlegging van straffen. Op bepaalde onderdelen zijn er echter verschillen. Zo kent de Wet politiegegevens de verplichting voor de verantwoordelijke tot het onderhouden van een systeem van autorisaties, een dergelijke verplichting vormt geen onderdeel van de ontwerprichtlijn. Ook maakt de Wet politiegegevens voor de verwerking van politiegegevens onderscheid tussen bepaalde doelen binnen de politietaak, en gelden specifieke regels voor de verstrekking van politiegegevens aan derden. Daar staat tegenover dat de ontwerprichtlijn voorziet in een verplichting tot het melden van datalekken, het recht te worden vergeten en de verplichting tot het houden van privacy impact assessments. Dit zijn verplichtingen die tot nu toe in de Nederlandse privacywetgeving voor politie en justitie onbekend zijn. Zoals ook in de eerdergenoemde brief van 15 juni 2012 aan de Tweede Kamer is opgemerkt kunnen, in het licht van het totale pakket van nationale regels op het gebied van de bescherming van persoonsgegevens, die worden verwerkt ten behoeve van de opsporing en vervolging van strafbare feiten geen algemene uitspraken worden gedaan over het verschil in niveau van gegevensbescherming tussen de ontwerprichtlijn en de nationale regelgeving (Kamerstukken II 2011/12, 32 761, nr. 31, blz. 30).

De leden van de PvdA-fractie hebben gevraagd of, zo de Nederlandse wet- en regelgeving een betere bescherming biedt dan de richtlijn, zij ervan uit mogen gaan dat de Nederlandse regelgeving kan en zal blijven bestaan ook als de richtlijn eenmaal vigeert.

– Dit is inderdaad het geval. De ontwerprichtlijn beoogt minimumnormen te stellen voor de bescherming van persoonsgegevens en de lidstaten zijn vrij om strengere regels te handhaven. Op dit punt kan worden gewezen op artikel 1, vijfde lid, van het huidige kaderbesluit dataprotectie, dat de lidstaten expliciet de ruimte laat om uitgebreidere waarborgen te bieden dan die waarin het kaderbesluit voorziet. In de vergadering van de bevoegde raadswerkgroep in Brussel heeft de Nederlandse delegatie inmiddels voorgesteld een soortgelijke bepaling op te nemen in de ontwerprichtlijn.

De leden van de PvdA-fractie vragen of de regering zich inspant om die elementen van de Nederlandse wetgeving die een betere bescherming bieden dan de verordening in die verordening te doen incorporeren.

– De inspanningen van de regering zijn erop gericht om met de aanvaarding van de verordening door de Raad een aanmerkelijk beter niveau van gegevensbescherming te bereiken dan wij nu al hebben. Ik acht het niet productief om elk onderdeel van de Nederlandse wetgeving dat afwijkt van de verordening koste wat het kost te verdedigen. Het nuttig effect van Europese wetgeving zit hierin dat onderdelen van de rechtsstelsels van de lidstaten die zich daartoe lenen op de lange termijn naar elkaar toegroeien in het collectieve belang. Dat kan soms met zich brengen dat lidstaten niet onder alle omstandigheden even vasthoudend moeten zijn als het gaat om de verdediging van nationaal recht.

De leden van de PvdA-fractie vragen of Nederland zich voor de verordening zal uitspreken indien deze een betere bescherming biedt dan de nationale wetgeving, en of Nederland de richtlijn zal implementeren.

– Nederland heeft zich in algemene zin inmiddels positief uitgelaten over de verordening. Dat neemt niet weg dat er bij dit ingewikkelde en omvangrijke voorstel nog heel veel vragen voordoen. De eindbeoordeling in de Raad is mede afhankelijk van de beantwoording van die vragen. Een eenmaal door de Raad en Europees Parlement vastgestelde richtlijn wordt vanzelfsprekend geïmplementeerd binnen de daarvoor gestelde termijn.

De leden van de PvdA-fractie verzoeken de regering aan te geven of de wet- en regelgeving die in deze kabinetsperiode tot stand is gekomen, of die door deze regering is ingediend en waarover nog besluitvorming moet plaatsvinden, valt binnen de reikwijdte van de verordening en de richtlijn, en zo dit het geval is. welke conclusie daaraan wordt verbonden.

– In zijn algemeenheid geldt dat alle geldende wetgeving, en alle lopende wetsvoorstellen beoordeeld zullen moeten worden op verenigbaarheid met verordening en richtlijn wanneer laatstgenoemde besluiten eenmaal zijn vastgesteld. Voorschriften die niet verenigbaar zijn met verordening of richtlijn zullen moeten worden ingetrokken of gewijzigd. Zolang de verordening en de richtlijn nog niet zijn vastgesteld, is de Nederlandse wetgever in beginsel vrij om wettelijke voorschriften vast te stellen. Het is echter wel verstandig dat de wetgever zich rekenschap geeft van komend Europees recht. Wanneer wetsvoorstellen of voorstellen voor andere algemeen verbindende voorschriften vallen binnen de reikwijdte van een Europeesrechtelijke notificatieverplichting, zullen de desbetreffende ontwerpvoorschriften aan de Europese Commissie gemeld moeten worden. De Commissie zal dan zeker in haar beoordeling betrekken dat zij zelf wetsvoorstellen heeft ingediend bij Raad en Europees Parlement, en kan dan een standstillbepaling afkondigen.

De leden van de PvdA-fractie vragen of er naar het oordeel van de regering problemen met gegevensbescherming zijn geweest die verleden tijd zullen zijn als de verordening en de richtlijn eenmaal in werking zijn getreden. Als dat niet het geval is willen deze leden weten welke onderdelen er volgens de regering dan nog ontbreken.

– Er zullen ook na de inwerkingtreding van de verordening en de richtlijn vraagstukken rondom gegevensbescherming blijven bestaan. Dat zullen vooral vraagstukken van interpretatieve aard zijn. Zowel de verordening als de richtlijn zijn opgesteld in algemeen-abstracte termen. Dat is onvermijdelijk aangezien beide instrumenten een zeer breed toepassingsbereik hebben. De regels zullen moeten worden toegepast op nieuwe situaties. De huidige praktijk met de geldende richtlijn leert dat zich daarbij voortdurend nieuwe vragen aandienen.

De leden van de PvdA-fractie vragen of de regering zich teweer zal stellen tegen pogingen van lidstaten met een van huis uit lager beschermingsniveau tot verlaging van het beschermingsniveau dat de verordening wil garanderen.

– Er is in de Europese Unie geen sprake van verschillen in het beschermingsniveau voor persoonsgegevens tussen de lidstaten. Alle lidstaten bieden het beschermingsniveau van de bestaande richtlijn. Er is ook overigens geen sprake van pogingen van welke lidstaat dan ook het beschermingsniveau dat de verordening wil bieden te verlagen. Wel zijn er natuurlijk accentverschillen tussen lidstaten in de benadering van de verordening. Ook Nederland heeft zijn specifieke verlangens. Die hebben niets uit te staan met vermeende wensen het algemene beschermingsniveau te verlagen of te verhogen.

De leden van de PvdA-fractie vragen de regering erop aan te dringen dat de one stop shop maatregel eenduidiger moet worden geformuleerd zodat duidelijk is wat er moet gebeuren wanneer niet helder is waar de hoofdvestiging van een bedrijf zich bevindt.

– In mijn reactie op de bijdragen van het Cbp en de Commissie-Meijers heb ik al aangegeven dat ik het eens ben met de suggestie van het Cbp dat de European Data Protection Board daar een rol in kan spelen.

De leden van de PvdA-fractie geven aan het eens te zijn met de stelling van het Cbp en het kabinet dat niet het aantal werknemers, maar de mate van risico verbonden aan een verwerking bepalend moet zijn voor het al dan niet vrijgesteld worden van verplichtingen. Deze leden verzoeken de regering het daartoe te leiden.

– Inderdaad ben ook ik van oordeel dat aantal en zwaarte van de verplichtingen voor een verantwoordelijke beter gekoppeld kan worden aan het specifieke risico van de verwerking van persoonsgegevens dan aan de omvang van een onderneming of instelling. Ik heb dat standpunt duidelijk naar voren gebracht in Brussel.

De leden van de PvdA-fractie uiten zorgen over de onduidelijkheid rond de verplichting voor bedrijven om gegevens te verstrekken aan niet-EU-landen. Zij verzoeken de regering erop aan te dringen dat alleen als sprake is van een (rechtshulp)overeenkomst tussen het desbetreffende derde land en de lidstaat of de Europese Unie een dergelijke gegevensoverdracht plaatsvindt.

– De vraag onder welke omstandigheden burgers, bedrijven of instellingen op grond van verplichtingen van buitenlands recht persoonsgegevens naar derde landen mogen doorgeven heeft mijn nadrukkelijke aandacht. Ik constateer in ieder geval dat uit overweging 90 van de verordening duidelijk blijkt dat de Europese Commissie zich goed bewust is van dit vraagstuk. Hoe de bepalingen van verordening die voor dit vraagstuk een regeling treffen moeten worden gelezen is nog een vraag, maar ik ben van plan eerst naar de uitleg van de Commissie te luisteren. In zijn algemeenheid merk ik wel op dat het sluiten van verdragen over de overdracht van gegevens aan de overheden van derde landen zeker tot de mogelijkheden behoort, maar tegelijk geen sluitende oplossing is voor alle gevallen waarin gegevens moeten worden doorgegeven.

De leden van de PvdA-fractie vragen of de regering de opvatting van Bits of Freedom deelt dat de verordening regels zou moeten bevatten over het verstrekken van persoonsgegevens door de private sector aan overheidsdiensten, bijvoorbeeld in het kader van de opsporing, en of de regering bereid is daarvoor sterkt te maken.

– De verordening bevat een aantal adequate bepalingen met betrekking tot de verwerking van gegevens door verantwoordelijken voor de gevallen waarin daartoe een wettelijke verplichting bestaat. Artikel 6, eerste lid, onder c, van de verordening regelt desbetreffende rechtvaardigingsgrond («wettelijke verplichting») als zodanig. Artikel 6, derde lid, van de verordening bepaalt dat die wettelijke grondslag hetzij in het Unierecht, hetzij in het recht van de lidstaat waaraan de verantwoordelijke is onderworpen moet zijn aan te wijzen. Dat betekent dat er altijd moet worden voorzien in een democratische legitimatie voor het opleggen van verplichtingen tot het verstrekken van gegevens, hetzij in Nederland, hetzij in de EU. Dat betekent ook dat er maatwerk mogelijk is bij het opleggen van dergelijke verplichtingen. Ik acht dat van groot belang omdat maatwerk voorkomt dat nodeloos veel gegevens moeten worden verstrekt. Ik zie dan ook meer in maatwerk dan in een algemene regeling, zoals bepleit door Bits of Freedom.

De leden van de PvdA-fractie vragen of de regering de opvatting deelt van Bits of Freedom dat gegevens waarmee personen zich van andere personen onderscheiden ook als persoonsgegevens moeten worden beschouwd en als zodanig in de verordening zouden moeten worden opgenomen?

– Het begrip «persoonsgegeven» is in de praktijk van de bestaande richtlijn onder omstandigheden al een moeilijk te hanteren begrip. Ik denk dat het, vooral met het oog op de positie van de voor de verwerking van persoonsgegevens verantwoordelijken, niet verstandig is dat begrip verder uit te breiden met een categorie die zich bijzonder moeilijk laat afgrenzen. Het aantal interpretatieproblemen zou daardoor toenemen.

De leden van de PvdA-fractie vragen of de regering kan uitleggen hoe het mogelijk is dat het CBP en anderen menen dat het richtlijnvoorstel een te laag niveau van gegevensbescherming biedt en uit de beantwoording van de vragen van de Commissie Meijers blijkt dat de regering dat niet met het eens is.

– Het is de regering niet bekend waarom het Cbp en de Commissie-Meijers menen dat het richtlijnvoorstel een te laag niveau van gegevensbescherming heeft. Daarvoor moet naar de betreffende instanties worden verwezen. In de brief aan de Tweede Kamer van 27 april 2012 heeft de regering aangegeven zich niet goed te kunnen voorstellen dat de Europese Commissie een voorstel zou presenteren dat vanuit juridisch perspectief een te laag niveau van gegevensbescherming zou bieden (Kamerstukken II 2011/12, 32 761, nr. 29, blz. 2). Overigens is de regering van oordeel dat een algemeen begrip als het niveau van gegevensbescherming de discussie eenvoudig kan vertroebelen omdat een dergelijk begrip, omdat een dergelijk begrip onvoldoende recht doet aan de afzonderlijke waarborgen op het gebied van gegevensbescherming. Om dit te voorkomen zou de discussie wellicht beter kunnen worden gericht op concrete rechten en verplichtingen op het gebied van de bescherming van persoonsgegevens.

De leden van de PvdA-fractie vragen of de regering bereid is om voorstellen te doen voor instrumenten om private organisaties tot een vorm van zelfbinding over te laten gaan, wanneer zij niet bereid is extra geld voor het Cbp uit te trekken.

– De verordening bevat een aantal belangwekkende voorstellen die zelfregulering willen bevorderen. De aanstelling van gegevensbeschermingsfunctionarissen, bindende gedragscodes, certificeringsmechanismen en het gebruik van binding corporate rules zijn goede initiatieven die ik in beginsel graag zal ondersteunen. Als het lukt deze instrumenten ook daadwerkelijk te gaan toepassen, ben ik met de leden van de PvdA-fractie optimistisch over een verminderde belasting van de toezichthouder.

Vragen en opmerkingen vanuit de CDA-fractie

De leden van de CDA-fractie achten het op dit moment niet opportuun om op dit moment van het wetgevingsproces gedetailleerde opmerkingen te maken over de afzonderlijke artikelen van beide documenten. Zij wensen slechts een aantal uitgangspunten bij de beoordeling van de aangeboden voorstellen vast te stellen.

– Ik neem kennis van de uitgangspunten van de leden van de CDA-fractie. Deze uitgangspunten geven mij op dit moment geen aanleiding tot een nadere reactie.

Vragen en opmerkingen vanuit de SP-fractie en de D66-fractie

De leden van de fracties van SP en D66 scharen zich achter de vragen die de leden van de fracties van deze partijen uit de Tweede Kamer der Staten-Generaal hebben gesteld in een schriftelijk overleg met ondergetekende. Ik heb deze vragen inmiddels beantwoord in mijn brief van 14 juni 2012 aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II 2011/12, 32 671, nr. 31). Die beantwoording voeg ik bij.

Tenslotte voeg ik bij mijn brief van 29 juni 20125, nr. 274733, aan de Voorzitter van de Tweede Kamer der Staten-Generaal waarin ik inga op enige toezeggingen die ik de Tweede Kamer deed. In die brief treft u ook de stand van zaken aan met betrekking tot de onderhandelingen over de ontwerpverordening en de ontwerprichtlijn.

De minister van Veiligheid en Justitie, Mr. I.W. Opstelten


X Noot
1

Samenstelling Immigratie en Asiel/JBZ-Raad:

Holdijk (SGP), Broekers-Knol (VVD), Slagter-Roukema (SP), Franken (CDA), Nagel (50PLUS), Ruers (SP), Van Bijsterveld (CDA), Duthler (VVD), Koffeman (PvdD), Kuiper (CU), Meurs (PvdA) (voorzitter), Quik-Schuijt (SP), Strik (GL), Lokin-Sassen (CDA), Scholten (D66), Th. de Graaf (D66), De Boer (GL), De Lange (OSF), Ter Horst (PvdA), Beuving (PvdA), Schrijver (PvdA), M. de Graaf (PVV) (vice-voorzitter), Reynaers (PVV), Popken (PVV), Huijbregt-Schiedon (VVD), Schouwenaar (VVD), Swagerman (VVD)

X Noot
2

Samenstelling Veiligheid en Justitie:

Holdijk (SGP), Broekers-Knol (VVD) (voorzitter), Kneppers-Heynert (VVD), Kox (SP), Engels (D66), Franken (CDA), Thissen (GL), Nagel (50PLUS), Ruers (SP), Van Bijsterveld (CDA) (vice-voorzitter), Duthler (VVD), Koffeman (PvdD), Quik-Schuijt (SP), Strik (GL), K.G. de Vries (PvdA), Knip (VVD), Hoekstra (CDA), Lokin-Sassen (CDA), Scholten (D66), De Boer (GL), De Lange (OSF), Ter Horst (PvdA), Beuving (PvdA), Koole (PvdA), Schrijver (PvdA), Reynaers (PVV), Popken (PVV), Frijters-Klijnen (PVV), Ester (CU), Swagerman (VVD)

X Noot
3

COM(2012)10 en 11. Zie tevens dossiers E120003 en E120004 op www.europapoort.nl

X Noot
4

COM(2012)10 en 11. Zie tevens dossiers E120003 en E120004 op www.europapoort.nl

X Noot
5

Ter inzage gelegd op de afdeling Inhoudelijke ondersteuning onder griffie nr. 150156.04.

Naar boven