De commissies merken op dat uit het Europees Parlement het geluid komt dat de voorgestelde richtlijn geen draagvlak lijkt te hebben in de Raad van ministers en dat het debat in de Raad zich daarom lijkt te richten op de verordening. Als de richtlijn niet tot stand zou komen, dan zou moeten worden teruggevallen op het bestaande kaderbesluit 2008/977/JBZ, welk besluit, aldus het Europees Parlement, nodig toe zou zijn aan vervanging. De commissies geven aan dit standpunt te steunen en vernemen graag de bevestiging dat Nederland zich deze tegenwind niet laat welgevallen en zich nauwgezet blijft inspannen om de richtlijn tot stand te brengen.

Inderdaad is het ook in mijn waarneming zo dat het draagvlak voor de richtlijn gegevensbescherming opsporing en vervolging in de Raad vooralsnog beperkt blijkt. Zoals ik laatstelijk op een aan de JBZ Raad van 7 en 8 maart 2013 gewijd algemeen overleg in de Tweede Kamer op 6 maart 2013 heb herhaald, blijf ik voorstander van voortzetting van de beraadslaging in de Raad over de richtlijn. Het voorzitterschap is mijn opvatting terzake genoegzaam bekend.

De commissies merken op dat Nederland in de Raadswerkgroepen van 14 en 15 november 2012 heeft herhaald voorstander te zijn van een verordening, maar daarbij wel te verwachten dat de verordening voor de publieke sector de nodige ruimte biedt voor regelgeving voor de lidstaten. De commissies vragen hoe die extra ruimte moet worden begrepen, waarom Nederland die extra ruimte nodig acht en op welke onderdelen die ruimte precies nodig is.

Ik zie hier op drie terreinen aandachtspunten.

In de eerste plaats heb ik mij al vanaf de indiening van het voorstel voor de verordening op het standpunt gesteld dat de verplichtingen die de verordening op verantwoordelijken voor de verwerking van persoonsgegevens legt, niet in alle opzichten evenwichtig drukken op grote, middelgrote en kleine bedrijven, op burgers die persoonsgegevens verwerken en op de overheid. Wat de overheid betreft geldt dat de rol die zij in de samenleving vervult afwijkt van andere partijen. De overheid is niet slechts gehouden het recht op bescherming van de persoonlijke levenssfeer en het recht op bescherming van persoonsgegevens te garanderen, maar ook gehouden andere grondrechten te garanderen. Daartoe kunnen worden gerekend het recht op bescherming van het leven en het recht op veiligheid. Om die rechten te kunnen garanderen moet de overheid persoonsgegevens verwerken. Deze verwerkingen behoeven een wettelijke grondslag, die, afhankelijk van de aard van de verwerking meer of minder specifiek zal zijn. In die wettelijke grondslag dienen ook waarborgen te worden verankerd voor de bescherming van de persoonlijke levenssfeer. Ook die waarborgen zullen naar gelang de aard van de verwerking meer of minder specifiek zijn. Ik verwacht dat in de komende jaren vaker maatwerk nodig zal zijn in de wetgeving waarin gegevensverwerking door de overheid wordt geregeld. Het is de vraag of de verordening wel voldoende ruimte voor dat maatwerk biedt, zeker wanneer de vraag zich aandient of verwerkingen in de overheidssfeer niet onder omstandigheden aan een striktere regulering moet worden gebonden dan de verordening voorschrijft. Ik ben van oordeel dat dit onder omstandigheden mogelijk moet zijn. In dit opzicht onderscheidt de publieke sector zich wezenlijk van de private sector, omdat een eventueel striktere regulering in de publieke sfeer geen invloed heeft op het vrij verkeer van gegevens binnen de EU. En het is de vraag – niet alleen van Nederland, maar van vele lidstaten – of artikel 21 van de verordening daartoe voldoende ruimte biedt. In dit opzicht is de keuze van de Commissie voor het instrument verordening – die niet alleen voordelen heeft – nog onvoldoende doordacht. Het blijft primair de taak van de Commissie dat goed aan de lidstaten uit te leggen. Daarin is de Commissie nog onvoldoende geslaagd.

In de tweede plaats ben ik van oordeel dat de rechten van de betrokkenen weliswaar algemeen zijn geformuleerd, maar in een aantal gevallen in hun feitelijke uitwerking alleen betrekking kunnen hebben op verhoudingen in de private sector, meer in het bijzonder op de verhouding tussen aanbieders en gebruikers van diensten van de informatiemaatschappij. Met alle waardering voor de gedachten achter het recht om te worden vergeten en het recht op dataportabiliteit, kan ik mij deze rechten in de verhouding tussen overheid en burger niet goed indenken. In een sociale rechtsstaat kan een burger niet van de overheid verlangen dat hij wordt vergeten. Een burger kan niet een beroep op de overheid doen om zijn gegevens in een algemeen beschikbaar format te verkrijgen en deze vervolgens aan elke willekeurige andere verantwoordelijke aanbieden, omdat de aard van de verwerking van gegevens door de overheid verschilt van de aard van andere verwerkingen. Ik ben van mening dat deze rechten op het niveau van de verordening zelf hetzij alleen op de diensten voor de informatiemaatschappij worden toegesneden, hetzij moeten worden uitgezonderd van de publieke sector. Dat zou geen uitzonderlijke stap zijn. Het is algemeen aanvaard dat het recht op verzet ook niet worden uitgeoefend tegen verwerkingen van persoonsgegevens in openbare bij de wet ingestelde registers als het kadaster of het handelsregister.

In de derde plaats zijn er nog aandachtsgebieden bij verschillende afzonderlijke bepalingen, zoals de gegevensverwerking voor historische, wetenschappelijke en statistische doeleinden, die betekenis hebben voor het Nationaal Archief, het Centraal Bureau voor de Statistiek en andere onderzoeksinstituten. Het lijkt erop dat de verordening daarvoor strengere maatstaven vaststelt dan richtlijn 95/46/EG, zonder dat de toevoegde waarde daarvan blijkt. Verder ben ik van mening dat gezamenlijke verantwoordelijkheid (artikel 24 van de verordening) of de verhouding verantwoordelijke – bewerker (artikel 26 van de verordening) ook op publiekrechtelijke grondslag moet kunnen plaatsvinden. En tenslotte houd ik mijn fundamentele bezwaar tegen het verzwaren van de voorwaarden waaronder een algemeen ingeburgerde veiligheidsmaatregel als cameratoezicht moet plaatsvinden, omdat de Gemeentewet reeds voorziet in een deugdelijke regeling van dit verschijnsel, met inbegrip van waarborgen voor de bescherming van de persoonlijke levenssfeer.

De commissies merken op dat het een fictie is te veronderstellen dat betrokkenen op de hoogte zullen zijn van de inhoud van een wettelijke regeling. Als geen aanvullende maatregelen worden getroffen in de sfeer van bijvoorbeeld voorlichting en communicatie naar betrokkenen, dan zullen betrokkenen in werkelijkheid niet op de hoogte zijn. Tegelijkertijd hebben de commissies begrip voor de belasting die een actieve informatieplicht zoals voorgesteld in de ontwerprichtlijn (artikel 11) voor de verantwoordelijke met zich meebrengt en verzoeken mij tenminste te pleiten voor de mogelijkheid dat verantwoordelijken gemotiveerd compenserende waarborgen moeten treffen indien het voldoen aan de actieve informatieplicht voor een verantwoordelijke onevenredig belastend is.

Zoals ook in het BNC-fiche heb aangegeven, is de regering geen voorstander van een algemene verplichting tot het verstrekken van informatie aan de betrokkene. Dit standpunt is ook bij andere gelegenheden verwoord (Kamerstukken II 2010/11, 32 554, nr. 6, blz. 18/19). Daarbij wijs ik erop dat in de Nederlandse privacywetgeving, te weten de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg), evenmin is voorzien in een dergelijke verplichting. In het licht van de Nederlandse situatie acht ik dan ook het minder opportuun om in Brussel te pleiten voor compenserende waarborgen. Daarbij merk ik nog op dat ik geen precies beeld heb wat uw commissies daarbij voor ogen staat.

De commissies menen dat het principe van informatieverstrekking moet blijven bestaan en dat alle uitzonderingen die daar door de lidstaten op worden gemaakt, per geval goed zullen moeten worden getoetst. De functionarissen voor gegevensbescherming zouden hierin een rol kunnen spelen en zouden met een goed systeem kunnen komen om de informatieverstrekking in elke zaak zo volledig mogelijk van toepassing te laten zijn. De commissies verzoeken mij te bevestigen dat ik deze gedachtegang steun en in de Raad van ministers zal willen bepleiten.

Vanwege de positie van de regering ten aanzien van een algemene verplichting tot informatievertrekking kan ik de zienswijze van de commissies, dat de uitzonderingsgronden van artikel 11, vierde lid, van de ontwerprichtlijn per geval afzonderlijk toegepast moeten worden, niet delen.

De commissies zien geen probleem in een verplichting tot verstrekking van een kopie van de verwerkte gegevens aan de betrokkene, nu de stand van de techniek juist zodanig ver is gevorderd dat gemakkelijk kopieën van opgenomen telefoongesprekken of video-opnamen kunnen worden gemaakt. Mocht dat toch op onoverkomelijke bezwaren stuiten, dan moet altijd nog de mogelijkheid bestaan voor de betrokkene om deze banden bij de verantwoordelijke zelf af te luisteren of af te draaien. Graag ontvangen de commissies daarop een reactie.

In reactie op de inbreng van de commissies merk ik op dat de Nederlandse wetgeving op het gebied van de verwerking van persoonsgegevens met het oog op opsporing en vervolging in een verplichting voor de verantwoordelijke om een ieder op diens schriftelijke verzoek mee te delen of, en zo ja welke, deze persoon betreffende politiegegevens verwerking ondergaan (art. 25, eerste lid, Wpg, art. 18, tweede lid, en 39i, eerste lid, Wjsg). Daarbij is niet voorzien in een verplichting tot verstrekking van een kopie van de verwerkte gegevens. Voor justitiële gegevens geldt dat er geen mededeling in schriftelijke vorm worden gedaan (art. 18, tweede lid, Wjsg). Hiermee wordt voorkomen dat de regeling van de Verklaring omtrent het gedrag (VOG) wordt omzeild doordat de betrokkene wordt verzocht om overlegging van justitiële gegevens (Kamerstukken II, 32 554, nr. 7). Ik ben niet bij voorbaat gekant tegen verstrekking van een kopie van de verwerkte politiegegevens aan de betrokkene maar ben mij ervan bewust dat een dergelijke verplichting consequenties kan hebben op het gebied van de uitvoerbaarheid en de kosten, zeker als het gaat om gegevensbestanden die gegevens bevatten die niet verstrekt kunnen worden vanuit het oogpunt van het belang van de opsporing. Enige flexibiliteit kan wenselijk zijn, waarbij niet uitgesloten is dat in voorkomende gevallen kan worden volstaan met de mogelijkheid van inzage door de betrokkene.

De commissies hebben een aantal vragen gesteld over hetgeen in mijn brief van 11 februari 2013 naar voren is gebracht over hoofdstuk V van de ontwerpverordening waarin het grensoverschrijdend gegevensverkeer is geregeld. Alvorens op die vragen in de te gaan, moet ik de commissies erop wijzen dat in de periode waarop de brief betrekking heeft niet het volledige hoofdstuk is behandeld, en dat het voor een goed begrip van hoofdstuk V belangrijk de verschillende grondslagen voor doorgiften naar derde landen goed van elkaar te onderscheiden. Ik neem mij voor in de loop van april van dit jaar verslag doen over de periode waarin de artikelen 42 tot en met 45 van de verordening zijn behandeld.

De leden van de commissies vragen zich af of de waarborgen waarin artikel 41, lid 2, onder a, van de ontwerpverordening (dan wel artikel 34, lid 1, onder a, van de ontwerprichtlijn) voorziet, en dan met name de mogelijkheid om administratief beroep of beroep in rechte in te stellen – wel kunnen worden geboden als het de Verenigde Staten betreft. Artikel 41 bevat de regeling voor doorgiften op grond van een zogeheten «adequacy finding» door de Commissie. Als een dergelijk oordeel is geveld, kunnen persoonsgegevens zonder aanvullende grondslag aan het desbetreffende land, de sector of organisatie worden doorgegeven. Er bestaan zeer weinig van deze beslissingen. Ten aanzien van de Verenigde Staten is een dergelijk besluit in zijn algemeenheid moeilijk denkbaar vanwege de grote verschillen tussen het Europese en Amerikaanse recht. Een dergelijk algemeen besluit ontbreekt dan ook en ik acht het ook niet waarschijnlijk dat dit spoedig totstandkomt. Wel is bij beschikking van de Commissie van 26 juli 2000, nr. 2000/520/EG (PbEG L 215) een partiële beslissing vastgesteld, waarin onder de benaming «Safe Harbor Principles» voor de private sector op basis van zelfregulering gegevens kunnen worden doorgegeven aan bedrijven – niet de overheid – in de Verenigde Staten. Het daarvan deel uitmakende Safe Harbor Principle «Enforcement» verwijst naar de mogelijkheden om bij vermeende schendingen van de privacy een klacht in te dienen bij de Federal Trade Commission of een geschil bij de rechter aanhangig te maken.

Voor zover het betreft doorgiften van persoonsgegevens aan derde landen op grond van in die landen eenzijdig vastgestelde wettelijke voorschriften of rechterlijke bevelen, waarop de commissies mogelijk doelen, is het lang niet altijd een kwestie van reciprociteit van bevoegdheden tussen het derde land en de EU of een lidstaat. Dat is aan de orde voor zover het betreft rechtshulpverdragen of andere verdragen die een passende basis kunnen vormen voor structurele gegevensdoorgiften. Voor incidentele doorgiften, naar aanleiding van een rechterlijk bevel in een concrete zaak, ligt dit veel minder eenvoudig. Deze kwesties zijn in januari 2013 in de raadswerkgroep behandeld. Ik zal daarop graag terugkomen in mijn volgende rapportage.

De commissies waarschuwen tegen de risico's van het onvoldoende doordacht plaatsen van gegevens op servers die zich buiten de Nederlandse jurisdictie bevinden. De commissies geven aan dat dergelijke doorgiften kunnen leiden tot zeggenschap van de autoriteiten van derde landen over de gegevens. Zij waarschuwen gebruikers en roepen op om voor die plaatsing toestemming te vragen aan de gebruikers voordat de gegevens op dergelijke servers worden geplaatst.

Ik ben het eens met de commissies dat gebruikers er goed aan doen zich dit risico te realiseren voordat zij instemmen met plaatsing van gegevens op servers buiten Nederlands grondgebied. Ik moet daarbij wel opmerken dat dat de rechtvaardigingsgrond voor die doorgifte veelal een contract is tussen verantwoordelijke en cloudprovider. Het vragen van toestemming hoeft dan niet meer plaats te vinden.

De commissies vernemen tenslotte graag op welke wijze Nederland vervolg gaat geven aan de gedachtegang om zoveel mogelijk grondslagen voor gedelegeerde regelgeving te vervangen door meer vrijheid voor de samenleving en meer invulling door de European Data Protection Board (EDPB).

Ik ben verheugd met de steun van de commissies voor mijn standpuntbepaling. Dit standpunt vindt brede steun in de Raad en in het Europees Parlement. De Commissie heeft hieruit inmiddels de conclusie getrokken dat de ontwerpverordening op dit punt onvoldoende draagvlak heeft en zij heeft wijzigingen in het vooruitzicht gesteld. Ik zal een gewijzigd voorstel na afronding van de eerste lezing kritisch bezien en in samenspraak met de andere lidstaten zonodig verdere wijzigingen voorstellen in de Raad. Ik ben er van overtuigd dat het Europees Parlement dit onderwerp ook nauwlettend zal beoordelen.