De leden van de vaste commissies voor Immigratie & Asiel / JBZ-Raad2, voor Veiligheid en Justitie3 en voor Economische Zaken4 hebben kennisgenomen van het voorstel van de Europese Commissie voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens5 en het BNC-fiche van de regering over dit voorstel.6 Naar aanleiding hiervan is op 14 maart 2017 een brief gestuurd aan de Staatssecretaris van Veiligheid en Justitie.

De Staatssecretaris heeft op 27 maart 2017 gereageerd.

De commissies brengen bijgaand verslag uit van het gevoerde schriftelijk overleg.

De griffier voor dit verslag, Van Dooren

BRIEF VAN DE VOORZITTERS VAN DE VASTE COMMISSIES VOOR IMMIGRATIE EN ASIEL/JBZ-RAAD, VOOR VEILIGHEID EN JUSTITIE EN VOOR ECONOMISCHE ZAKEN

Aan de Staatssecretaris van Veiligheid en Justitie

Den Haag, 14 maart 2017

De leden van de vaste commissies voor Immigratie & Asiel / JBZ-Raad, Veiligheid en Justitie en Economische Zaken hebben met belangstelling kennisgenomen van het voorstel van de Europese Commissie voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en het BNC-fiche van de regering over dit voorstel. De leden van de GroenLinks-fractie hebben naar aanleiding van het voorstel en het BNC-fiche de volgende vragen en opmerkingen.

In het BNC-fiche wordt ook ingegaan op de precieze reikwijdte van de voorgestelde verordening. Meent u dat moet worden voorzien in een afzonderlijke reikwijdtebepaling en zo nee, waarom niet? De leden van de GroenLinks-fractie zijn van mening dat een dusdanige bepaling het voorstel alleen maar met meer duidelijkheid verschaft. In het BNC-fiche wordt gesteld dat alle lidstaten die zich tot dusverre hebben uitgesproken over het voorstel daarover in grote lijnen positief zijn. De leden van de GroenLinks-fractie vraagt zich echter af of er ook lidstaten zijn die in de Europese overleggen zorgen hebben geuit over het voorstel, en zo ja, wat deze zorgen zijn? Wat is bijvoorbeeld het oordeel van de lidstaten over de in het voorstel besproken verhouding tussen Europees Toezichthouder Gegevensbescherming en het Europees Comité voor gegevensbescherming?

De leden van de vaste commissies voor Immigratie & Asiel / JBZ-Raad, Veiligheid en Justitie en Economische Zaken zien met belangstelling uit naar uw reactie en ontvangen deze graag binnen vier weken na dagtekening van deze brief.

De voorzitter van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, G. Markuszower

De voorzitter van de vaste commissie voor Veiligheid en Justitie, A.W. Duthler

De voorzitter van de vaste commissie voor Economische Zaken, A.M.V. Gerkens

BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 27 maart 2017

De leden van de GroenLinks-fractie merken naar aanleiding van het voorstel en het BNC-fiche op dat mogelijke afwijkingen in het voorstel van de Algemene verordening gegevensbescherming (AVG) voldoende moeten worden gemotiveerd. Het is deze leden echter niet duidelijk wanneer volgens de Nederlandse regering een afwijking van de AVG wel of niet noodzakelijk is. Zij vragen wat de Nederlandse inbreng ten aanzien van dit punt in de Europese besprekingen wordt.

Het door mij gehanteerde uitgangspunt in de onderhandelingen is dat afwijkingen van de AVG in het voorliggende voorstel in beginsel alleen aanvaardbaar zijn als de eigen aard van het recht dat geldt voor de EU-Instellingen en de context van de gegevensverwerkingen die op basis van dat recht plaatsvinden dat vergen. Het belangrijkste verschil tussen de AVG en het voorstel is dat de AVG in beginsel voor alle bedrijven, burgers en overheden geldt, en het voorstel eigenlijk alleen betrekking heeft op de EU-Instellingen die moeten worden aangemerkt als overheidsinstellingen met enkele bijzondere trekken. Daarbij geldt bovendien dat nationale overheden tal van contacten met burgers hebben die vergen dat hun gegevens worden verwerkt, terwijl dat voor de EU alleen op heel specifieke terreinen geldt. Die verschillen hebben consequenties voor het voorstel.

Met enkele voorbeelden kunnen de verschillen worden verduidelijkt. Krachtens artikel 6, eerste lid, van de AVG is de verwerking van persoonsgegevens slechts rechtmatig indien en voorzover ten minste aan een van de volgende voorwaarden is voldaan: er is toestemming van de betrokkene; de verwerking dient ter uitvoering van een overeenkomst waarbij de betrokkene partij is; er is een wettelijke verplichting voor de verantwoordelijke of een vitaal belang van de betrokkene; de verwerking vindt plaats ter uitvoering van een taak van algemeen belang of in het kader van openbaar gezag, of er is sprake van een gerechtvaardigd belang. De regeling van de rechtsgrondslagen in het voorstel luidt anders. Daarbij is rekening gehouden met de publiekrechtelijke context van de gegevensverwerking door de Instellingen. Artikel 5 van het voorstel plaatst dan ook de verwerking in het kader van taken van algemeen belang of openbaar gezag, of ter uitvoering van een wettelijke voorschrift voorop. Het gerechtvaardigd belang van de verantwoordelijke is een rechtvaardigingsgrond die alleen in de private sector kan worden ingeroepen. Die komt in artikel 5 dan ook niet voor. In het BNC-fiche wees ik er al op dat rechtsfiguren als gedragscodes en certificering wel in de AVG, maar niet in het voorstel voorkomen. Dat valt te verklaren doordat deze rechtsfiguren in het leven zijn geroepen als mogelijkheden voor het bedrijfsleven om zelfregulering te benutten. Daarvoor is in een publiekrechtelijke context geen plaats. Met deze verschillen kan ik instemmen.

Er zijn echter andere verschillen tussen de AVG en het voorstel die tot discussie aanleiding geven. Artikel 25 introduceert de mogelijkheid om de beperking van de rechten van de betrokkenen vast te stellen in de vorm van een interne regeling, vast te stellen door een EU-Instelling. Artikel 23 van de AVG acht een dergelijke beperking, zakelijk weergegeven, alleen mogelijk indien het Unierecht of het recht van de lidstaat daartoe een grondslag biedt. In Nederland is dat dan ingevolge artikel 10 van de Grondwet slechts mogelijk indien een wet in formele zin die grondslag in het leven roept. Die expliciete waarborg is het EU-recht anders ingevuld. Uit artikel 52, eerste lid, van het Handvest van de Grondrechten vloeit voort dat de beperking van het recht op bescherming van persoonsgegevens slechts mogelijk is indien dit «bij wet» is geregeld. In de context van het EU-recht komt daarvoor dan een richtlijn, een verordening of een besluit in de zin van artikel 288 VWEU in aanmerking. Een interne regeling valt daaronder in beginsel niet. De bevoegdheid en de procedure tot vaststelling van dergelijke regelingen zijn niet in de verdragen geregeld. Omdat ook de instellingen een behoefte hebben aan een praktisch toepasbaar instrument om interne zaken te kunnen regelen hoeft dit instrument niet principieel te worden afgewezen. Als het echter gaat om de beperking van het grondrecht op bescherming van persoonsgegevens is gebruik van het instrument alleen aanvaardbaar indien de beperking van het grondrecht zoveel mogelijk in de verordening zelf wordt geregeld en de interne regeling zich, bijvoorbeeld, beperkt tot het aanwijzen van de functionaris in de instelling die de bevoegdheid uitoefent. Bovendien acht Nederland het noodzakelijk dat de verordening eisen stelt aan de verdere inhoud, aan de bevoegdheid en de procedure tot vaststelling en bekendmaking van de regeling en aan de rechtsbescherming tegen dergelijke regels. Nederland heeft dit punt, gesteund door enkele andere lidstaten, inmiddels naar voren gebracht.

Een ander punt waar het voorstel afwijkt van de AVG is de positie van de Europees Toezichthouder Gegevensbescherming (EDPS). De EDPS is weliswaar een toezichthouder met vergelijkbare bevoegdheden als de Autoriteit Persoonsgegevens (AP), maar de reikwijdte van zijn toezichthoudende opdracht is beperkter dan die van de AP. Bovendien moet hij zijn toezichthoudende taken op de grootschalige ICT-systemen in de EU (voor vreemdelingentoezicht, douane, Schengen en het interne markt informatiesysteem) gezamenlijk met de lidstaten die het aangaan uitoefenen, omdat er sprake is van gedeelde verantwoordelijkheden van de Unie en de lidstaten. Die verschillen moeten worden aanvaard. Wat echter nog niet voldoende helder is geregeld is de vraag of, en zo ja in welke gevallen, de EDPS ontwerpbeslissingen ter bespreking moet voorleggen in het Europees Comité voor Gegevensbescherming (EDPB). Toezichthouders uit de lidstaten moeten dit volgens hoofdstuk VII van de AVG doen, maar artikel 62 van het voorstel regelt wat Nederland en veel andere lidstaten betreft nog niet voldoende duidelijk in welke gevallen de EDPS dat moet of mag doen.

Tenslotte bevat het voorstel op tal van plaatsen kleine redactionele afwijkingen van de AVG. Het gaat daarbij niet om zaken van inhoudelijk belang. Nederland is echter geen voorstander van die verschillen om interpretatiekwesties in de toekomst zoveel mogelijk uit te sluiten. Vrijwel alle andere lidstaten denken er net zo over.

De leden van de GroenLinks-fractie vragen naar mijn verwachting ten aanzien van het oordeel van Europees Parlement over het voorstel.

Het Europees Parlement heeft zich over het voorstel nog niet uitgelaten. Ik ga er voorlopig van uit dat het voorstel door het Europees Parlement in ieder geval in grote lijnen in beginsel aanvaardbaar zal zijn. De noodzaak voor dit voorstel is immers onomstreden. Hetzelfde geldt voor de datum waarop de verordening in werking moet treden.

De leden van de GroenLinks-fractie vragen of ik de mening van de Europese Commissie deel dat voor dit voorstel geen aanvulling nodig is op de impact assessment die voor de AVG is opgesteld.

Ik deel dit oordeel. Effectbeoordelingen zijn wat mij betreft vooral van belang om vast te stellen wat de effecten van een voorstel zijn op burgers, bedrijven en decentrale overheden. Omdat deze effecten niet zijn te verwachten, heeft de Commissie mijns inziens terecht afgezien van een afzonderlijke of aanvullende effectbeoordeling.

De leden van de GroenLinks-fractie wijzen erop dat in het BNC-fiche wordt ingegaan op de rekwijdte van de voorgestelde verordening. Zij vragen of ik van oordeel ben dat moet worden voorzien in een afzonderlijke reikwijdtebepaling. Deze leden zijn van mening dat het voorstel met een dusdanige bepaling alleen maar meer duidelijkheid verschaft.

Ik deel het oordeel van de leden van de GroenLinks-fractie dat een duidelijke reikwijdtebepaling bijdraagt aan de duidelijkheid van de verordening. Artikel 2 van het voorstel bevat een dergelijke bepaling. In zoverre wordt aan de wens van deze leden tegemoetgekomen. Er wordt nog onderhandeld over de vraag of artikel 2 voldoende duidelijk is. Nederland is met vele andere lidstaten van oordeel dat duidelijker moet worden geregeld dat de verordening niet van toepassing moet zijn op de afzonderlijke gegevenschermingsregimes die zijn vastgesteld voor Europol en Eurojust en het regime dat wordt vastgesteld voor het Europees OM. Die verwerkingen kennen een strafrechtelijke context. Het ligt voor hand dat die regimes zoveel mogelijk aansluiten op die van richtlijn (EU) 2016/680, de richtlijn gegevensbescherming opsporing en vervolging. Verder is er nog onvoldoende duidelijkheid over de vraag of de verordening ook van toepassing is op de verwerkingen die door de EU-Instellingen plaatsvinden tijdens missies in derde landen in het kader van het Gemeenschappelijk Buitenlands en Veiligheidsbeleid. Ik verwacht overigens dat deze punten tot tevredenheid van Nederland kunnen worden opgelost.

De leden van de GroenLinks-fractie wijzen erop dat in het BNC-fiche wordt gesteld dat alle lidstaten die zich tot dusverre hebben uitgesproken over het voorstel daarover in grote lijnen positief zijn. Deze leden vragen of er lidstaten zijn die in de Europese overleggen zorgen hebben geuit over het voorstel, en zo ja, wat deze zorgen zijn. Deze leden vragen bij wijze van voorbeeld naar de verhouding tussen de EDPS en de EDPB.

Inmiddels is in de onderhandelingen duidelijk geworden dat geen van de lidstaten fundamentele zorgen heeft over het voorstel. Dat sluit echter niet uit dat gesproken wordt over de verhouding tussen EDPS en EDPB. Hierboven gaf ik al aan wat dat discussiepunt inhoudt. Nederland meent, met veel andere lidstaten, dat op dit punt meer duidelijkheid moet worden verschaft over de betekenis van de zinsnede «within the framework of the European Data Protection Board» in artikel 62, lid 3, van het voorstel. Nederland en de andere lidstaten menen dat de status van kwesties die de EDPS met de EDPB wil bespreken duidelijk moet zijn. De EDPB heeft tot taak adviezen in de zin van artikel 64 van de AVG of beslissingen in de zin van artikel 65 AVG vast te stellen. De EDPB moet zich tot deze taken beperken. Het is verwarrend om te lezen dat wanneer overleg moet plaatsvinden zonder dat dit tot een beslissing moet leiden dat toch in EDPB-verband moet gebeuren. Het organiseren van bijeenkomsten tussen de EDPS en de andere toezichthouders die geen formele beslissing als uitkomst beogen kan zonder bezwaar aan de gezamenlijke toezichthouders en de EDPB worden gelaten. Deze verordening hoeft daaromtrent niets te regelen. Verder heeft een grote lidstaat voorstellen ingediend om het verplichte advies van de EDPS op Europese wetgevingsvoorstellen facultatief te maken en in plaats daarvan een behandeling van een dergelijk voornemen in de EDPB mogelijk te maken. Nederland is geen voorstander van deze gedachte. Niet alleen conflicteert dit zonder dwingende redenen met de AVG, maar een verplicht, deskundig advies op wetgevingsvoornemens is ook een belangrijke waarborg in het wetgevingsproces op Europees niveau.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff