34 851 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

Nr. 6 VERSLAG

Vastgesteld 31 januari 2018

De vaste commissie voor Justitie en Veiligheid, belast met het voorbereidend onderzoek van dit voorstel van wet, heeft de eer als volgt verslag uit te brengen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet genoegzaam voorbereid.

INHOUDSOPGAVE

Algemeen

2

       

1.

Inleiding

2

2.

De Europeesrechtelijke grondslag en de grondwettelijke aspecten

3

 

2.1.

Bevoegdheidsverdeling tussen lidstaten en EU

3

3.

De verordening

4

 

3.1.

Materiële toepassingsbereik van de verordening

4

4.

De oprichting en inrichting van de toezichthoudende autoriteit

7

5.

De invulling van de ruimte voor lidstatelijk recht onder de verordening in de Nederlandse wetgeving

10

 

5.1.

Voorwaarden voor de toestemming van kinderen

10

 

5.2.

Beginselen inzake verwerking van persoonsgegevens

11

 

5.3.

Bijzondere categorieën van persoonsgegevens

11

 

5.4.

Geautomatiseerde individuele besluitvorming, waaronder profilering

12

6.

Systematiek van de verordening

12

 

6.1.

Rechten van betrokkenen

12

 

6.2.

Belangrijkste materiële verplichtingen voor de verwerkingsverantwoordelijken onder de verordening

12

7.

Uitvoeringsgevolgen van de verordening voor de rijksoverheid en decentrale overheden, financiële gevolgen, regeldruk en uitvoeringslasten

13

8.

Consultatie van het wetsvoorstel

14

9.

Overig

15

       

Artikelsgewijs

16

Algemeen

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, hierna: AVG) (PbEU 2016, L 119) (hierna: het wetsvoorstel). Zij vinden het jammer dat het wetsvoorstel zo lang op zich heeft laten wachten, zeker omdat de AVG reeds op 25 mei 2018 in werking zal treden. De voornoemde leden begrijpen de wens van de regering om het wetsvoorstel zo snel mogelijk te behandelen maar willen niet dat de gewenste snelheid een zorgvuldige parlementaire behandeling in de weg staat. De aan het woord zijnde leden hebben diverse vragen over de AVG en het wetsvoorstel die zij graag voorleggen. Afhankelijk van de beantwoording overwegen deze leden amendementen in te dienen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig wetsvoorstel.

De leden van de D66-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Deze leden zien de implementatie van de AVG als een belangrijke stap in het verbeteren van de bescherming van privacy, een fundamenteel recht van mensen. Met name in de huidige digitale wereld is dat een grote uitdaging. De voornoemde leden zijn van mening dat mensen meer controle moeten hebben over hun persoonsgegevens en deze verordening is daarbij van groot belang. Toch hebben zij enkele vragen en opmerkingen.

De leden van de GroenLinks-fractie hebben met grote belangstelling kennisgenomen van het wetsvoorstel. Het belang van privacy raakt alle facetten van het bestaan en neemt door de voortschrijdende technologie verder aan belang toe. Deze leden onderschrijven het in de AVG omschreven beginsel dat bij de verwerking van persoonsgegevens rechtmatigheid, behoorlijkheid en transparantie leidend zijn.

De leden van de SP-fractie beseffen dat de belangen van overheden en ondernemingen vaak op gespannen voet staan met de privacy van burgers. Om al die belangen zo goed mogelijk te behartigen kent Nederland de Wet bescherming persoonsgegevens (hierna: Wbp). Per 25 mei 2018 treedt de AVG in werking en vervalt de Wbp. Over het voorliggende wetsvoorstel hebben deze leden in het licht van het bovenstaande dan ook nog enkele vragen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van het voorliggend wetsvoorstel, waarmee de AVG in de Nederlandse wetgeving wordt geïmplementeerd. Hoewel de AVG dwingend oplegt waar die wetgeving aan moet voldoen, kunnen er in de uitvoering daarvan in de Nederlandse wet nog wel keuzes voorliggen waar anders over gedacht kan worden. Aangezien de AVG voor waarschijnlijk een lange periode het niveau van de bescherming van de privacy in Nederland zal bepalen, achtten deze leden het van belang dat de implementatie daarvan zo zorgvuldig mogelijk plaatsvindt. Zij hebben daarom een aantal vragen en opmerkingen. Zij baseren zich daarbij mede op de recente opmerkingen die de Autoriteit Persoonsgegevens (hierna: AP), respectievelijk de FNV, op het voorliggend wetsvoorstel hebben gegeven.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Zij onderschrijven het belang van bescherming van persoonsgegevens en een zorgvuldige en transparante wijze van omgaan met deze gegevens. Voornoemde leden hebben in deze fase van behandeling op een aantal punten behoefte aan een nadere toelichting.

De leden van de 50PLUS-fractie spreken hun grote zorg uit over de AVG en stellen enkele vragen.

De leden van de SGP-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben de indruk dat de AVG vergaande bepalingen bevat inzake de bescherming van de privacy, waarvan de consequenties niet altijd goed te voorzien zijn. Zij zijn van mening dat het wetsvoorstel zo nadrukkelijk mogelijk oog dient te hebben voor andere wezenlijke te beschermen belangen. Deze leden vragen hierbij onder meer aandacht voor de bescherming van kleinere organisaties en kerkgenootschappen.

2. De Europeesrechtelijke grondslag en de grondwettelijke aspecten

2.1. Bevoegdheidsverdeling tussen lidstaten en de EU

De leden van de CDA-fractie vragen verder toe te lichten wat de rol is van artikel 3, derde lid, van de AVG in verhouding tot de eilanden Bonaire, Sint-Eustatius en Saba (hierna: BES-eilanden). Hoe verhoudt zich dit tot elkaar, nu de BES-eilanden aangemerkt zijn als landen en gebieden overzee in de zin van artikel 355 van het Verdrag betreffende de Werking van de EU (hierna: VWEU)? Daarnaast rijst de vraag wat de AVG en het wetsvoorstel betekenen voor Aruba, Sint-Maarten en Curaçao. Wat betekent de werking van artikel 3, derde lid, van de AVG voor deze laatst genoemde eilanden?

De leden van de ChristenUnie-fractie noemen dat de Afdeling advisering van de Raad van State (hierna: de Afdeling) terecht opmerkt dat er sprake is van een verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de EU. De bescherming van het grondrecht op bescherming van persoonsgegevens wordt hoofdzakelijk geregeld en bepaald op EU-niveau. De bewegingsruimte van de lidstaten wordt hierdoor geleidelijk beperkt. Het gegevensbeschermingsrecht is naar zijn aard nu al zeer internationaal georiënteerd en dit zal eerder meer dan minder worden, zo stelt de regering. De voornoemde leden onderschrijven dat, maar vragen nader toe te lichten waarom samenwerking niet volstaat en verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de EU noodzakelijk is. Deze leden vragen daarbij specifiek in te gaan op de verhouding met de verplichtingen die voortvloeien uit het grondwettelijke recht op de eerbiediging van de persoonlijke levenssfeer, de bepalingen die daar in de Grondwet verder aan verbonden zijn en de verhouding met het Unierecht.

De leden van de 50PLUS-fractie hechten eraan te melden dat de bescherming van persoonsgegevens een groot goed is, en dat juist daarom de manier waarop die bescherming wordt geboden, niet buiten het nationale parlement om moet worden bepaald. Met de komst van de AVG wordt het gegevensbeschermingsrecht bijna volledig ver-europeaniseerd. De datum van inwerkingtreding staat al zwart op wit: 25 mei 2018.

De directe werking van de AVG, waardoor de Wet bescherming persoonsgegevens automatisch komt te vervallen, geeft een beeld van een EU-trein die doordendert en alles op zijn weg platwalst. Ook de Afdeling staat bij dit vraagstuk stil. Zij noemt dat er sprake is van een verschuiving in de bevoegdheidsverdeling tussen lidstaten en de EU en dat de bewegingsvrijheid van de lidstaten geleidelijk is beperkt. De Afdeling merkt tevens op dat deze beperking in dit geval zelfs constitutionele implicaties heeft. De regering erkent dit, maar meent dat dit vraagstuk te breed is om bij dit wetsvoorstel aan de orde te stellen. De regering beschouwt het als een zelfstandig vraagstuk, waaraan, los van de AVG, aandacht moet worden besteed. De voornoemde leden zien hierin een bevestiging dat de EU-trein zelfs fundamentele vraagstukken platwalst. Deze leden menen dat de discussie andersom gevoerd moet worden.

De AVG positioneert de AP onafhankelijker van Nederland. De toezichthouder wordt onderdeel van een Europese structuur van andere nationale toezichthouders, en valt onder het Europees Comité voor gegevensbescherming. Daar worden straks besluiten genomen. Die nieuwe positionering roept des te meer vragen op omdat de taken van de toezichthouder worden uitgebreid, bijvoorbeeld met het opleggen van boetes. Het is op dit moment absoluut niet te overzien welke implicaties dat allemaal heeft. Straks wordt elders bepaald hoe onder andere het beleid van toezichthouden op de bescherming van persoonsgegevens wordt vormgegeven, welke prioriteiten worden gesteld en bijvoorbeeld hoe mild of hoe streng er gehandhaafd wordt. De voornoemde leden hebben eigenlijk maar één vraag. Kan deze EU-trein worden afgeremd? Dat is wenselijk, in ieder geval tot het moment dat de fundamentele vragen over de positie van het nationale parlement ten opzichte van de EU (opnieuw) grondig met elkaar zijn besproken.

3. De verordening

3.1. Materiële toepassingsbereik van de verordening

De leden van de VVD-fractie constateren dat artikel 2 van de AVG het materiële toepassingsbereik aangeeft. Verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit valt buiten de toepassing van de AVG (en dus ook van het onderhavige wetsvoorstel). Het valt deze leden op dat in de AVG en het wetsvoorstel nauwelijks wordt ingegaan op de vraag wat precies onder zuiver persoonlijke of huishoudelijke activiteiten valt. In de memorie van toelichting bij het wetsvoorstel staat alleen dat het begrip door het Hof van Justitie van de Europese Unie (hierna: HvjEU) nader is ingevuld, met een verwijzing naar het Lindqvist-arrest uit 2003 (HvJEG 6 november 2003, C-101/01, ECLI:EU:C:2003:596). Dat arrest gaat over een Zweedse mevrouw die als vrijwilligster werkte voor een kerk in Zweden. Zij heeft een website gemaakt met informatie over haar kerkgemeente. Het HvJEU overweegt in het arrest als volgt (rechtsoverweging 13): «De bedoelde pagina’s bevatten informatie over Lindqvist en 18 van haar collega’s in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega’s en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega’s haar voet had bezeerd en met gedeeltelijk ziekteverlof was.» De rechtsvraag was of dit nu wel of niet onder de werkingssfeer van de destijds geldende privacyrichtlijn (95/46) valt. De voornoemde leden begrijpen dat het HvJEU destijds heeft bepaald dat deze gegevensverwerking wel onder het bereik van de richtlijn valt en dus niet onder de uitzondering van zuiver persoonlijke of huishoudelijke activiteiten.

Dit arrest is alweer vijftien jaar oud. Inmiddels hebben digitalisering en sociale media de wereld ingrijpend veranderd. Kan de regering aangeven of de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten in de afgelopen vijftien jaar nader is ingevuld? Zo ja, hoe? Zal bovenstaande situatie, van een vrijwilligster die op een website enkele collega’s in licht humoristische bewoordingen beschrijft, ook onder de AVG vallen? Welke situaties vallen niet onder de AVG? Waar ligt precies de grens, en welke criteria gelden bij de vaststelling daarvan?

De voornoemde leden geven graag enkele concrete voorbeelden. Een persoon staat in Amsterdam op de Dam en maakt een foto van het paleis op de Dam. Op de foto zijn ook andere personen herkenbaar afgebeeld. Vervolgens wordt de foto online gezet. Is dit een verwerking van persoonsgegevens in de zin van de AVG? Zo ja, is het nodig toestemming te krijgen van de personen die op de foto zijn afgebeeld om de foto te verwerken? Zo nee, waarom is dit geen verwerking van persoonsgegevens? Is dit anders als de foto niet buiten op straat is gemaakt, maar in een verenigingsgebouw? Of in het stadhuis? Of een stationshal van de Nationale Spoorwegen? Of als de betrokkene zonder toestemming in zijn eigen huis is gefotografeerd door een uitgenodigde buurman? Of door een huisgenoot? Kan de regering hierbij ook ingaan op het wettelijke vereiste in Zweden om toestemming te vragen voor het fotograferen of filmen van andere mensen? Hoe werkt deze wettelijke bepaling in Zweden uit in de praktijk, en wordt dit ook bestreken door de harmoniserende werking van de verordening en de (Zweedse) uitvoeringswet?

De leden van de VVD-fractie hebben vragen over de beperkingen die de AVG lijkt op te leggen aan werkgevers om voor het werk belangrijke gegevens van werknemers te verwerken. Gezondheidsgegevens zijn bijzondere persoonsgegevens. Betekent dit dat een werkgever niet mag bijhouden hoe vaak een werknemer ziek is? Is het mogelijk om bij te houden welke eventuele lichamelijke beperkingen een werknemer heeft, zodat de werkgever hier rekening mee kan houden op de werkplek? Is de AVG op dit punt strenger dan de huidige Wbp? Wat zijn de precieze verschillen? Hoe staat de regering tegenover de suggestie om verwerking van bijzondere persoonsgegevens van de werknemers door de werkgever te vergemakkelijken als dit op het verzoek van en/of in het belang van de werknemer is?

De leden van de GroenLinks-fractie constateren dat het wetsvoorstel de uitvoering van een EU-verordening betreft. Deze leden stellen het zeer op prijs dat ook op het niveau van de EU het belang van privacy op waarde wordt geschat. De keuze voor een verordening, waar vervolgens op vele plaatsen discretionaire ruimte wordt gegeven aan de EU-lidstaten, roept vragen op die de inhoud van het wetsvoorstel overstijgen, maar desalniettemin diezelfde inhoud raken. Uitgangspunt is dat de AVG erin voorziet dat voor de gehele EU coherente en homogene toepassing van regels is verzekerd inzake de bescherming van grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. De leden vragen, met de Afdeling, welke mogelijke gevolgen de in de AVG vastgelegde systematiek van samenwerking en coherentie kunnen hebben voor de rechtsontwikkeling en voor de bevoegdheidsverdeling tussen de EU en de lidstaten. Het enkele feit dat de regering dit als zelfstandig vraagstuk beschouwt waaraan los van de uitvoering van de AVG aandacht zal worden besteed, doet niet af aan het belang om ook in dit wetgevingsproces een dergelijke beschouwing te betrekken. De voornoemde leden verzoeken de regering daarom alsnog de door de Afdeling gevraagde toelichting hierop te geven. Deze leden vragen de regering of in de AVG een juiste balans is gevonden tussen unificering en discretionaire ruimte inzake de invulling van de open normen voor de afzonderlijke EU-lidstaten en welke praktische gevolgen dat kan hebben in de (grensoverschrijdende) handhaving. Daarnaast achten de aan het woord zijnde leden het gewenst een precies inzicht te krijgen hoe de overige EU-lidstaten gebruik maken van de toegekende discretionaire ruimte in de AVG. Dit manifesteert zich eens te meer in de invulling van de open normen. Deze leden vragen om een reactie op het standpunt van de AP dat de interpretatie van de in de AVG gehanteerde open normen in eerste instantie is voorbehouden aan de betrokken nationale toezichthouders en het Europees Comité voor gegevensbescherming.

De leden van de PvdA-fractie zijn van mening dat er in de verhouding tussen werkgever en werknemer wat betreft de bescherming van bijzondere persoonsgegevens extra waarborgen dienen te zijn. In arbeidsverhoudingen is de werknemer immers al snel de zwakkere partij. Het geven van toestemming door een werknemer om zijn werkgever in staat te stellen gegevens te verwerken achten de aan het woord zijnde leden dan ook een onvoldoende waarborg. Bij het geven van toestemming in een ongelijkwaardige verhouding is immers al snel de vraag aan de orde of die toestemming wel echt vrijwillig is gegeven. De voornoemde leden wijzen daarom op de ruimte die artikel 88 van de AVG biedt om bij wet nadere regels vast te stellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Nederland heeft daar, zo blijkt uit de inhoud van het onderhavige wetsvoorstel, niet voor gekozen. Naar de mening van de aan het woord zijnde leden is dat onterecht. Zij pleitten voor een betere bescherming van werknemers. Zij willen voorkomen dat door het geven van toestemming een werknemer ongewild de werkgever in staat stelt gevoelige gegevens over hem te verwerken. Daarbij denken de voornoemde leden onder andere aan medische informatie die kan worden gevraagd, opgeslagen of gedeeld. Een werkgever mag in geval van ziekte van de werknemer nu geen medische gegevens registreren of een lijst laten invullen waarin medische informatie wordt gevraagd, zoals over de ziektegeschiedenis of medicijngebruik. Evenmin mag een werkgever – zo bepaalde de AP eerder – vragen welke handelingen een zieke medewerker wel of niet meer kan uitvoeren. Om te voorkomen dat enkel de toestemming van een werknemer er toe kan gaan leiden dat bijzondere persoonsgegevens (zoals gegevens over gezondheid, ras of etnische afkomst) wel gedeeld mogen worden, vragen de voornoemde leden om de ruimte voor extra bescherming die artikel 88 AVG biedt te benutten. Kan de regering hier nader op ingaan? Deelt de regering de mening van deze leden dat als artikel 88 AVG geïmplementeerd zou moeten worden in Nederlandse wetgeving, het voorliggende wetsvoorstel zich daar het beste voor leent? Zo nee, waarom niet en bij welke wetgeving zou deze implementatie dan wel kunnen plaatsvinden?

De leden van de ChristenUnie-fractie constateren dat de regering schrijft dat, hoewel er in materieel opzicht geen sprake is van substantiële wijzigingen, de verantwoordings- en transparantieverplichtingen voor een verwerkingsverantwoordelijke nopen tot aanpassing van werkprocessen in organisaties. Niet alle verwerkingsverantwoordelijken hebben goed zicht op de vereiste aanpassingen. In hoeverre is het reëel te verwachten dat bijvoorbeeld het midden- en kleinbedrijf tijdig op de hoogte is en voldoet aan de standaarden die met deze verordening gesteld worden en in staat is om aan te tonen dat ze in overeenstemming handelen met de AVG?

4. De oprichting en inrichting van de toezichthoudende autoriteit

De leden van de VVD-fractie lezen dat per 25 mei 2018 de AP de bevoegdheid heeft op grond van de AVG handhavend op te treden. De vrees is echter dat veel bedrijven, zeker kleinere ondernemingen, op het moment van inwerkingtreding nog niet geheel zullen voldoen aan alle vereisten van de nieuwe AVG. Kunnen de voornoemde leden ervan uitgaan dat de AP zich in eerste instantie vooral zal richten op ernstige en opzettelijke schendingen en in het begin niet zozeer op kleine schendingen die vooral het gevolg zijn van onbekendheid met de nieuwe regels? Treedt de AP anders op bij bewuste overtredingen in vergelijking met onbewuste overtredingen? Deze leden zouden graag zien dat de AP zich vooral richt op het adviseren van betrokkenen om tot conformiteit met de nieuwe wet- en regelgeving te komen. Hoe ziet de regering dit? Heeft zij hierover contact met de AP? Is de regering bereid de wettelijke mogelijkheid in het onderhavige wetsvoorstel te introduceren dat in relevante gevallen de AP eerst een waarschuwing oplegt voordat wordt overgegaan op handhaving met boetes?

Artikel 35 van de AVG bepaalt dat bij bepaalde soorten verwerking een gegevensbeschermingseffectbeoordeling (ook wel privacy impact assessment genoemd) verplicht is. Heeft de AP al lijsten opgesteld op grond van artikel 35, vierde en vijfde lid, van de AVG die meewegen bij de vaststelling voor welke soorten verwerkingen een gegevensbeschermingseffectbeoordeling wel of niet verplicht zijn? Zo nee, is de regering bereid de AP hiertoe op te roepen?

De leden van de CDA-fractie constateren dat de verordening verplicht onafhankelijke toezichthouders in het leven te roepen en deze samen te voegen in het Europees Comité voor gegevensbewerking (hierna: het Comité) als centrale autoriteit. Het Comité kan adviseren (artikel 64 AVG) en heeft de bevoegdheid tot het bindend beslechten van onderlinge geschillen tussen de betrokken toezichthoudende autoriteiten (artikel 65 AVG). De voornoemde leden zien dat op grond van artikel 70 AVG het Comité met betrekking tot de toepassing van de AVG richtsnoeren, aanbevelingen en best practices kan vaststellen. Deze leden verwachten dat hoewel dit niet tot direct juridisch bindende besluiten zal leiden, dit een belangrijke rol zal gaan spelen in de rechtsontwikkeling (in de zin van «soft law»). Hoe beoordeelt de regering het punt van de Afdeling dat deze taak nagenoeg onbegrensd is? Wordt hiermee niet veel macht uit handen genomen van de Nederlandse overheid en de nationale rechters? Kan het Comité op basis van deze bevoegdheid grote wijzigingen doen aan de AVG of de interpretatie van de AVG zonder enige tussenkomst van een democratisch orgaan? Hoe komt de Nederlandse inbreng in het Comité tot stand? Is dat een volkomen eigenstandige activiteit van de Nederlandse AP, of komt die inbreng tot stand in nauw overleg met en onder verantwoordelijkheid van de Minister voor Rechtsbescherming? In welke mate en op welke wijze wordt de Tweede Kamer betrokken bij deze standpuntbepaling en/of is er sprake van adequaat parlementair toezicht en controle door het Europees Parlement?

De leden van de CDA-fractie constateren dat bij gegevensverwerking, in het bijzonder gegevensverwerking bij grote bedrijven, er al gauw sprake is van grensoverschrijdende effecten. Deze grensoverschrijding leidt snel tot samenwerking tussen de leidende toezichthouder en de andere betrokken toezichthouders. De voornoemde leden zien dat in artikel 56 van de AVG geregeld wordt hoe er met klachten rondom gegevensverwerking dient te worden omgegaan. De klager heeft de keuze om de klacht rechtstreeks bij de leidende toezichthouder in te dienen, maar mag dit ook doen in de lidstaat waar hij woont of verblijft. In dat laatste geval dient de betrokken toezichthouder de klacht door te geleiden naar de leidende toezichthouder, waarna de leidende toezichthouder verplicht is de klacht te bezien. Indien de effecten volledig lokaal zijn kan de leidende toezichthouder aan wie de melding is doorgezonden de zaak weer verwijzen voor verdere behandeling en afdoening door de autoriteit die op basis van artikel 56, tweede lid, AVG bevoegd is. Indien de effecten niet lokaal zijn kan de leidende toezichthouder besluiten de zaak al dan niet inhoudelijk te behandelen. De voornoemde leden achten het van belang deze procedure volledig op te schrijven omdat het laat zien of het proces binnen de gestelde termijnen wordt afgerond. Ook wat betreft de informatie-uitwisseling rondom klachten vragen deze leden hoe ervoor wordt gezorgd dat bijvoorbeeld het bedrijfsleven niet de dupe wordt van trage toezichthouders in andere lidstaten. Hoe wordt de verplichting om al het nodige te ondernemen om tot consensus te komen, gehandhaafd? Ziet de regering dat voor economisch verkeer het van groot belang is dat men snel duidelijkheid heeft over de afhandeling van klachten?

De voornoemde leden lezen dat geschillenbeslechting tussen toezichthouders afgehandeld worden door het Comité op basis van artikel 65 AVG. Door activatie van het coherentiemechanisme wordt de zaak door het Comité behandeld en dient tweederdemeerderheid een bindend besluit te nemen. Nu vragen de voornoemde leden welke rol er nog is weggelegd voor de Nederlandse rechter inzake privacy-schendingen. Hoe verhouden de Europese en Nederlandse procedures zich ten opzichte van elkaar? Hoe is dat in andere landen geregeld? Kunnen een aantal andere landen als voorbeeld genomen worden?

De leden van de CDA-fractie kijken bezorgd naar de veelheid aan taken die de AP in één organisatie verenigt. Een voorlichtende taak, een adviserende taak, het innemen van klachten, het doen van onderzoeken, zo nodig handhavend en beboetend optreden. Kent de regering enige ander Nederlands overheidsorgaan dat deze diversiteit van taken in zichzelf verenigd heeft, zeker waar het gaat om advisering en (harde) handhaving? De voornoemde leden lezen dat op basis van artikel 57, eerste lid, sub b en d van de AVG dat de AP adviserende taken krijgt en tevens op basis van artikel 57, eerste lid, sub f, artikel 58 en artikel 83 AVG een onderzoeks- en beboetingsrol. Deze leden vragen de regering waarom specifiek deze twee taken, dus advies enerzijds en onderzoek en beboeting anderzijds, bij dezelfde toezichthouder zijn belegd. Ziet de regering dat dit tot onwenselijke situaties kan leiden waarbij men geen advies meer durft te vragen uit angst voor een mogelijke boete? Is met dit scenario rekening gehouden bij het aanwijzen van een enkele toezichthouder? Hoe oordeelt de regering in dit licht over het standpunt van de AP om uit te gaan van het opleggen van boetes in het geval van misstanden? Ziet de regering geen mogelijke problemen ontstaan door een autoriteit al deze bevoegdheden te geven? Waarom is er geen gebruik gemaakt van het toewijzen van meerdere toezichthouders, daarmee een kans creërend om taken te splitsen, al dan niet door een nieuwe, extra toezichthouder in leven te roepen? In dit kader vragen de aan het woord zijnde leden uit hoeveel leden het College van de AP dient te bestaan? Thans zijn er twee leden, de voorzitter en de plaatsvervanger. Maar zou de veelheid aan taken en ook de diversiteit aan taken niet rechtvaardigen dat het College standaard uit minimaal drie leden bestaat, met specifieke aandachtsgebieden? Graag een reactie van de regering hierop.

In het verlengde hiervan vinden de voornoemde leden het vreemd om te constateren dat er in het onderhavige wetsvoorstel niet de voorafgaande bindende aanwijzing uit de huidige Wbp is overgenomen. Deze voorafgaande bindende aanwijzing dient thans verplicht te worden opgelegd aan de verantwoordelijke alvorens er een bestuurlijke boete kan worden opgelegd. Dit omdat de verantwoordelijken niet altijd zullen en hoeven te weten dat zij in overtreding zijn. Acht de regering dit bij de AVG niet meer nodig? Wat is de reden dat enige vorm van voorafgaande bindende aanwijzing niet is opgenomen in het onderhavige wetsvoorstel? Deelt de regering de mening van de aan het woord zijnde leden dat artikel 83 lid acht van de AVG ruimte biedt voor het opnemen van de voorafgaande bindende aanwijzing?

Kunnen de voornoemde leden concluderen dat door afwezigheid van een voorafgaande bindende aanwijzing de AP alleen rauwelijks bestuurlijke boetes kan opleggen? Zo nee, waarom niet? Zo ja, wat betekent dit voor het lex-certabeginsel dat punitief optreden in de weg staat als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet verwacht wordt? Is het opleggen van een boete dan nog toegestaan? Hoe staat de regering tegenover het toevoegen van een mogelijkheid van een «pleitbaar standpunt», zoals het fiscale recht kent? Kan dat niet bijdragen aan meer rechtszekerheid voor alle betrokkenen?

De leden van de CDA-fractie constateren dat op basis van artikel 77, tweede lid, van de AVG de toezichthoudende autoriteit de klager altijd in kennis dient te stellen van de voortgang van de klacht en het resultaat van de klacht. De voornoemde leden vragen hoe de AP deze verplichting gaat waarmaken. Ziet de regering dat bij een toename van het aantal klachten, die in alle redelijkheid verwacht mag worden, deze bindende verplichting tot veel extra werk zal leiden? Deze leden vragen de regering welk beoordelingskader de AP hanteert bij het nemen van beslissingen over klachten. Wordt hierbij ook rekening gehouden met het belang van innovatie? Daarnaast vragen de aan het woord zijnde leden over de toezichthoudende autoriteit hoe de samenwerking met andere autoriteiten wordt vormgegeven. De Autoriteit Financiële Markten, de Autoriteit Consument en Markt, de Nederlandse Bank, de Kanspelautoriteit en de Nederlandse zorgautoriteit zullen allen ook te maken krijgen met de inwerkingtreding van de AVG en het onderhavige wetsvoorstel. Kan de regering aangeven welke rol zij hebben wat betreft de gegevensverwerking? Bevat het onderhavige wetsvoorstel voldoende handvatten voor een effectieve samenwerking tussen deze toezichthouders? Verandert de AVG en het wetsvoorstel niets aan de nationale samenwerking?

De leden van de D66-fractie menen dat een sterke toezichthouder, die de middelen heeft om de wet streng te handhaven en tegelijkertijd mee kan denken met bedrijven om alle vereisten op een juiste manier in de praktijk te laten landen, noodzakelijk is. Kan de regering aangeven in hoeverre de huidige middelen van de AP hier toereikend voor zijn?

De leden van de SP-fractie constateren dat de AP in haar brief aan de commissie Justitie en Veiligheid op pagina vier schrijft dat het uit de AVG voortvloeit dat de voorgestane onafhankelijkheid van de AP een afzonderlijke, publieke jaarbegroting rechtvaardigt. Toch kiest de regering er voor om de begroting van de AP op basis van de inhoud van de Comptabiliteitswet deel uit te laten maken van de departementale begroting van het Ministerie van Justitie en Veiligheid. De voornoemde leden vragen waarom de regering hier voor kiest. Is de regering het met de AP eens dat dit op gespannen voet staat met de bepalingen hierover in de AVG? Zou het niet beter zijn voor de onafhankelijke positie van de AP wanneer zij beschikt over een eigen begroting? Zo nee, waarom niet? Hoe denkt de regering de (schijn van) invloed van het Ministerie van Justitie en Veiligheid op het beleid van de AP aan banden te leggen?

In het rapport van Andersson Elffers Felix zijn drie scenario’s uitgewerkt voor het verwachte extra budget dat de AP nodig zou hebben, te weten: scenario laag á 12 miljoen euro, scenario midden á 16 miljoen euro en scenario hoog á 22 miljoen euro. Toch wordt er nu door de regering voor gekozen om slechts 7 miljoen euro extra ter beschikking te stellen. Dit terwijl de AP in haar brief aangeeft op pagina zes dat het midden en hoog scenario de meest waarschijnlijke scenario’s zijn. De aan het woord zijnde leden verwachten dan ook dat de AP met de 7 miljoen euro extra haar (extra) taken niet voldoende zal kunnen uitvoeren en vrezen voor de bescherming van de privacy van Nederlandse burgers. De AP geeft feitelijk aan meer geld nodig te hebben. Is de regering bereid de AP hierin tegemoet te komen? Zo nee, waarom niet?

De voornoemde leden lezen in artikel 42 van het onderhavige wetsvoorstel dat de uitzondering voor financiële ondernemingen als bedoeld in de Wet op het financieel toezicht op het melden van een datalek aan betrokkenen gecontinueerd blijft onder het onderhavige wetsvoorstel. Deze leden vragen aan de regering waarom hier voor wordt gekozen. Zij zien hier de noodzaak namelijk niet van in. De AP is eveneens van oordeel dat klanten van een financiële onderneming op de hoogte moeten worden gebracht van een datalek indien dat waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Kan de regering ingaan op de uitspraken van de AP aangaande dit onderwerp op pagina’s 10 en 11 van genoemde brief?

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat wordt aangeven dat een ambtenaar in dienst van de AP de informatie die de ambtenaar in het kader van zijn toezichthoudende taken ontvangt, doorgaans onder de geheimhoudingsplicht vallen. De voornoemde leden verzoeken de regering toe te lichten welke uitzonderingen voorzien zijn, nu gesproken wordt over «doorgaans».

De aan het woord zijnde leden verzoeken de regering nader toe te lichten waarom, ondanks de opmerkingen van de Afdeling hierover, in het onderhavige wetsvoorstel de verplichting voor de AP ontbreekt om voorafgaand aan de oplegging van een sanctie de verantwoordelijke een bindende aanwijzing te geven. Een verplichting die de huidige Wbp wel kent. Zijn er, als de ruimte voor een verplichting ontbreekt, andere wegen om hetzelfde resultaat te bereiken?

5. De invulling van de ruimte voor lidstatelijk recht onder de verordening in de Nederlandse wetgeving

De leden van de SGP-fractie vragen in het algemeen of er zo breed mogelijk gebruik gemaakt kan worden van de mogelijkheden die de AVG heeft om uitzonderingen toe te staan, omdat het naar hun mening ongewenst is wanneer de samenleving en het maatschappelijk middenveld onnodig gebureaucratiseerd wordt.

5.1. Voorwaarden voor de toestemming van kinderen

De leden van de VVD-fractie constateren dat de AVG en het onderhavige wetsvoorstel toestemming hanteren als primaire rechtvaardigingsgrond voor gegevensverwerking. Is eenmaal gegeven toestemming geldig voor altijd? Behoren hier in de wetgeving grenzen aan te worden gesteld? Behoren er in de wetgeving ondergrenzen gesteld te worden aan de mate waarin de toestemminggever bewust is van de toestemming (denk daarbij aan de vaak gedachteloze instemming met veel algemene voorwaarden in de huidige praktijk)? Kan het opnemen van toestemming in de algemene voorwaarden (de «kleine lettertjes») voldoende toestemming opleveren? Personen stemmen vaak toe met gegevensverwerking voor individuele diensten. Maar behoren er niet grenzen te zijn aan het combineren van gegevens door aanbieders van veel verschillende diensten, zoals veel internetgiganten en grote webwinkels? Hoe is of wordt dit geregeld?

Daarnaast stelt het onderhavige wetsvoorstel een leeftijdsgrens voor het geven van toestemming van 16 jaar. Gezien met name de online-activiteiten van kinderen onder die leeftijd, zijn er situaties denkbaar waarin er mogelijkheid is van afwijking hiervan? Is hier studie naar gedaan? Hoe is of wordt dit geregeld?

De leden van de D66-fractie hebben kennisgenomen van de bepaling die stelt dat jongeren onder de 16 jaar alleen met toestemming van hun ouders een online profiel mogen aanmaken. Deze leden verzoeken de regering te reflecteren op de haalbaarheid, handhaafbaarheid en wenselijkheid hiervan. Daarnaast vernemen zij graag waarom is gekozen voor de leeftijd van 16 jaar en hoe deze zich verhoudt tot andere Europese landen (o.a. Denemarken, Tsjechië en Finland) waar is gekozen voor een leeftijdsgrens van 13 jaar. De voornoemde leden zijn van mening dat deze abstracte leeftijdsgrens jongeren in een lastig pakket kan brengen indien zij online iets te weten willen komen wat bijvoorbeeld nog niet met de ouders, of andere betrokkenen, besproken kan worden. Een voorbeeld hiervan is bijvoorbeeld een LHBTI-jongere die nog in de kast zit, maar wel meer te weten wil komen over zichzelf. Ziet de regering ook dat deze jongeren onnodig voor obstakels worden geplaatst? Tot slot vernemen de aan het woord zijnde leden graag of deze leeftijdsgrens verenigbaar is met het Kinderrechtenverdrag. Zo ja, kan de regering dit toelichten?

5.2. Beginselen inzake verwerking van persoonsgegevens

De leden van de CDA-fractie lezen dat op basis van het beginsel van doelbinding persoonsgegevens alleen verzameld mogen worden voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel en dat zij vervolgens niet verder op een met dat doel onverenigbare wijze mogen worden verwerkt. Daarbij wordt echter wel omschreven dat het beginsel van doelbinding niet absoluut is, verdere verwerking van verzamelde gegevens moet mogelijk blijven mits er aan een van de voorwaarden zoals opgesomd op pagina 38 van de memorie van toelichting wordt voldaan. Deze structuur van het beginsel van doelbinding met niet hele concrete uitzonderingen zal in de praktijk leiden tot onduidelijkheid. Hoe gaat de regering waarborgen dat deze onduidelijkheid niet zal leiden tot handelingsangst bij organisaties die met persoonsgegevens werken? Kan de regering enkele concrete voorbeelden geven waarin het verder verwerken van verzamelde gegevens strijdig is met het beginsel van doelbinding en voorbeelden geven waarin het juist is toegestaan om verzamelde gegevens verder te verwerken? Ook vragen de voornoemde leden of het niet mogelijk was om het beginsel van doelbinding en de toegestane uitzonderingen helder uit te werken in het onderhavige wetsvoorstel.

5.3. Bijzondere categorieën van persoonsgegevens

De leden van de CDA-fractie vragen hoe de regering het standpunt beoordeelt van VNO-NCW uit hun advies naar aanleiding van de consultatie, namelijk dat door formele besluiten en/of beleidsregels van de AP werkgevers en ondersteunende partijen steeds minder gegevens mogen verwerken. Is de regering bereid aan te geven, wellicht middels algemene maatregel van bestuur (hierna: AMvB), welke gegevens ten minste mogen worden verwerkt ten behoeve van het uitvoeren van sociale zekerheidswetgeving, veiligheidsbeleid en gezondheidsbeleid?

In het kader van persoonsgegevens vragen de voornoemde leden of er bijzondere aandacht wordt besteed aan registratie van persoonsgegevens door organisaties die mensenhandel en prostitutie registeren. Vloeien er belemmeringen voort uit de AVG en/of het onderhavige wetsvoorstel met betrekking tot deze activiteiten, waar het gaat om gevoelige informatie?

5.4. Geautomatiseerde individuele besluitvorming, waaronder profilering

De leden van de D66-fractie constateren dat op grond van artikel 22 AVG niemand mag worden onderworpen aan een besluit, uitsluitend gebaseerd op geautomatiseerde besluitvorming, waaronder profilering, dat rechtsgevolgen voor hem heeft, of hem in aanmerkelijke mate treft. Zij vragen de regering nader toe te lichten hoe dit artikel zich verhoudt tot het gebruik van een profileringssysteem als SyRI. Voorts vragen zij de regering nader toe te lichten wat verstaan kan worden onder «menselijke tussenkomst» in deze context. Houdt dit in dat er menselijke handelingen verricht moeten worden of is simpelweg het goedkeuren van een op geautomatiseerde verwerking gebaseerd besluit voldoende?

6. Systematiek van de verordening

6.1. Rechten van betrokkenen

De leden van de VVD-fractie constateren dat het recht op vergetelheid, dat is ontwikkeld in de Europese jurisprudentie, is gecodificeerd in artikel 17 van de AVG. Het staat niet in het onderhavige wetsvoorstel. De werking ervan binnen de Nederlandse rechtsorde zal dus rechtstreeks via de AVG gaan, zonder nadere nationale invulling. De voornoemde leden vragen of andere lidstaten dit recht wel nader hebben ingevuld in nationale wetgeving. Zo ja, op welke wijze? Is de regering van mening dat dit in Nederland ook moet gebeuren? Zo ja, kan de regering daartoe voorstellen ontwikkelen?

Het intellectuele eigendomsrecht kent het zogenaamde ex parte-verbod. Dit houdt in dat een verzoeker de rechter kan vragen om een voorlopig bevel ter voorkoming van een inbreuk van het intellectuele eigendomsrecht van de betrokkene. De rechter kan dit verzoek honoreren zonder daarbij de wederpartij te horen. Dankzij deze spoedprocedure is het mogelijk om snel de gevolgen van een schending van intellectueel eigendom tegen te gaan. Deze regeling staat in artikel 1019e van het wetboek van Burgerlijke Rechtsvordering.

De aan het woord zijnde leden zien graag dat een vergelijkbaar middel wordt gecreëerd voor ernstige privacyinbreuken. Met andere woorden, als iemand slachtoffer is van een ernstige inbreuk op de hem toekomende rechten uit de AVG moet het voor hem of haar mogelijk zijn een ex parte-verbod te vragen, net zoals dat het geval is bij het intellectueel eigendomsrecht. Hiertoe zou mogelijk titel 15 van het derde boek van het wetboek van Burgerlijke Rechtsvordering geheel of gedeeltelijk van toepassing kunnen worden verklaard op de AVG. Wat zijn de overwegingen van de regering wat betreft het ex parte-verbod en de AVG? Is de regering bereid voorstellen te doen langs bovenstaande lijnen?

6.2. Belangrijkste materiële verplichtingen voor de verwerkingsverantwoordelijken onder de verordening

De leden van de CDA-fractie merken op dat, nu in de praktijk op grote schaal wordt gewerkt met verwerkers en dus verwerkingscontracten, alle nog actieve verwerkingscontracten (gedeeltelijk) niet meer geldig zullen zijn op het moment van inwerkingtreding van de AVG. De Europese Commissie of de toezichthoudende autoriteit kunnen echter modelcontractbepalingen opstellen. Zijn deze modelcontractbepalingen al door AP opgesteld en raadpleegbaar? Kan men er in de praktijk vanuit gaan dat deze contracten voldoen aan de eisen zoals gesteld in de AVG en het onderhavige wetsvoorstel?

De leden van de CDA-fractie lezen dat op basis van artikel 45 AVG geregeld is dat de Europese Commissie kan besluiten dat een derde land, een gebied of een sector in een derde land of een internationale organisatie een passend niveau van gegevensbescherming biedt. Bij een adequaatheidsbesluit van de Europese Commissie mogen persoonsgegevens worden doorgegeven zonder dat verdere toestemming noodzakelijk is. Wie gaat daar in Nederland over adviseren? Is dat aan de AP of ligt dat eerder bij het Ministerie van Buitenlandse Zaken, als een vorm van buitenlands beleid? Hoe wordt dat op Europees niveau geregeld?

De leden van de SGP-fractie vragen in hoeverre het noodzakelijk is dat elke organisatie, hoe klein van omvang ook, een functionaris voor gegevensbescherming moet aanwijzen. Zij noemen een concreet voorbeeld van basisscholen die slechts een beperkt aantal leerlingen hebben. Kan worden geconstateerd dat scholen niet hoofdzakelijk belast zijn met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen? Kan worden gesteld dat zij niet hoofdzakelijk hiermee belast zijn en dat het ook niet gaat om grote schaal? Wordt er mede door de regering voor gewaakt dat er niet zodanig gebureaucratiseerd wordt dat zowel kleine als wat grotere organisaties met een enorme administratieve belasting opgezadeld worden? Worden de uitzonderingen door de regering wel zoveel mogelijk benut? Wordt ook zoveel mogelijk benut dat koepels of bestuurlijke eenheden waaronder verschillende kleinere eenheden vallen, zoveel mogelijk op gemeenschappelijk niveau een functionaris aanwijzen? In hoeverre biedt de AVG hiervoor mogelijkheden?

7. Uitvoeringsgevolgen van de verordening voor de rijksoverheid en decentrale overheden, financiële gevolgen, regeldruk en uitvoeringslasten

De leden van de CDA-fractie achten het van belang dat er een goed beeld is van de kosten die gemaakt gaan worden door organisaties naar aanleiding van de invoering van de AVG. Hiervoor is onder meer een impactanalyse gemaakt door de Europese Commissie, maar daarin worden geen uitspraken gedaan op lidstaat-niveau. Kan de regering aangeven wat voor gevolgen de AVG heeft voor kleine organisaties en dan in het bijzonder vrijwilligersorganisaties die niet beschikken over gespecialiseerd personeel die de organisatie kunnen voorbereiden op een dergelijke transitie? Wordt hier voldoende aandacht aan besteed door de regering en de AP? Heeft de regering of de AP klachten en/of zorgen ontvangen van vrijwilligersorganisaties?

In het rapport «De bescherming van de persoonsgegevens, acht Europese landen vergeleken» wordt een vijftal punten genoemd waar de privacybescherming in Nederland op kan worden verbeterd. Kan de regering aangeven of de AVG en/of het onderhavige wetsvoorstel bijdraagt aan het verbeteren van een van deze vijf punten? Hoe gaat de regering ervoor zorgen dat er meer privacyfunctionarissen komen nu Nederland daar in achterblijft? In het rapport komt naar voren dat de AP geen certificering en keurmerken biedt voor beveiliging. Komt daar verandering in? Waar dienen deze certificaten dan aan te voldoen? Hoe wordt dat vormgegeven?

Met betrekking tot certificering vragen de voornoemde leden of er nu sprake is van een wildgroei aan certificaten die allemaal privacy-veiligheid beloven. Hoe kunnen bedrijven zich ervan vergewissen dat ze voldoen aan de juiste gegevensverwerkingsstandaard? Hoe kunnen zij dat weten van hun gegevensverwerkers?

8. Consultatie van het wetsvoorstel

De leden van GroenLinks-fractie hebben kennisgenomen van de standpunten van VNO-NCW en MKB-Nederland. Kan de regering ingaan op de door deze werkgeversverenigingen geuite zorgen over de gevolgen van de AVG voor de aanpak van fraude met creditcards, verzekeringen en spooknota’s? Wat is er waar van de bewering dat een effectieve aanpak en de (cross-sectorale) informatie-uitwisseling over fraudeurs geraakt wordt door de nieuwe privacyregels?

De leden van de SP-fractie lezen dat de regering noemt dat de uitvoering van de AVG geen substantiële materiële wijzigingen tot gevolg zal hebben en dat met name verwerkingsverantwoordelijken aanpassingen zullen moeten maken in hun werkproces die samenhangen met de verantwoordings- en transparantieverplichtingen. Denkt de regering dat op 25 mei 2018 alle ondernemers en overheidsinstanties klaar zullen zijn voor deze andere werkwijze? VNO-NCW en MKB-Nederland hebben aangegeven dat veel kleine bedrijven nog onvoldoende op de hoogte zijn en er nog te veel onduidelijkheid is over de concrete toepassing van de AVG. Herkent de regering dit signaal? Wat gaat zij concreet doen om ook de kleine ondernemers voldoende duidelijk te maken wat er van hen verwacht wordt onder het nieuwe Europese wettelijke kader?

De leden van de PvdA-fractie achten het van groot belang dat de handhaving van de privacyregels door een zo onafhankelijk als mogelijke toezichthouder wordt gedaan. De AP heeft daar echter op een aantal punten kanttekeningen bij geplaatst De aan het woord zijnde leden zou daarom graag op het volgende een reactie willen hebben. Zo stelt de AP dat vanwege het feit dat zij niet over een eigen begroting beschikt, ertoe leidt dat de bedrijfsvoering deel uitmaakt van de departementale begroting van Justitie en Veiligheid en dat de respectievelijke Minister ten aanzien van beheeraangelegenheden mandaat verleent aan de voorzitter van de AP en dat daarmee de onafhankelijke positie van de toezichthouder in het geding zou zijn. Kan de regering hier nader op ingaan? Acht de regering het mogelijk dat vanwege de beheersrelatie tussen de genoemde Minister en de AP er sprake kan zijn van beïnvloeding van de AP of dat er een schijn van beïnvloeding zou kunnen bestaan? Wat verzet zich er tegen dat de AP wel over een eigen niet-departementale begroting zou beschikken? Waarom zou de AP niet een college kunnen worden in de zin van Comptabiliteitswet 2016? Waarin verschilt de AP als het om de gewenste onafhankelijkheid gaat van bijvoorbeeld de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de Kiesraad of Nationale ombudsman?

In navolging van de AP vragen de voornoemde leden of er niet ook voorzien zou moeten worden in de bescherming van gegevens van overleden personen. Zo zijn deze leden van mening dat er niet zomaar foto’s van overleden personen in de media gepubliceerd zouden mogen worden. De AVG laat het aan de lidstaten over om zelf te voorzien in regelgeving met betrekking tot overleden personen. Overweegt de regering dergelijke regelgeving? Zo ja, hoe gaat de regering dit bewerkstelligen? Zo nee, is dat alleen vanwege het feit dat dergelijke regelgeving niet past in het uitgangspunt van de regering van beleidsneutrale omzetting van de AVG in Nederlandse wetgeving? Zijn er nog andere overwegingen om dit niet te doen?

De leden van de SGP-fractie constateren dat notarissen melden dat het onderhavige wetsvoorstel problemen kan veroorzaken rond de taak van notarissen en de wettelijke geheimhoudingsplicht. De voornoemde leden vragen of het inderdaad niet altijd mogelijk is om te melden dat de gegevens van derden vermeld zijn, omdat het hierbij gaat om zaken die onder geheimhouding vallen. Deelt de regering de opvatting van de Koninklijke Notariële Beroepenorganisatie (hierna: KNB) dat er een uitzondering moet komen voor (bepaalde) notariële aktes?

Verder vragen deze leden of het juist is wat VNO-MKB stellen dat werkgevers als gevolg van regels van de AP niet meer mogen noteren hoeveel iemand kan werken en of iemand nog kan zitten of tillen. Zo ja, is dat niet een veel te ver doorgevoerde benadering van de privacy die ook niet in het belang van de werknemer is?

Er is onduidelijkheid over de vraag of er nog eerst een bindende aanwijzing gegeven dient te worden, voordat de AP meteen een bestuurlijke boete oplegt. Is de regering van mening dat het inderdaad voor de hand ligt om organisaties die (per ongeluk) in overtreding zijn eerst een aanwijzing te geven? Laat de verordening dit toe? Is de regering bereid alsnog een dergelijke voorafgaande bindende aanwijzing in het wetsvoorstel op te nemen?

Vanuit de gezondheidszorg wordt de vraag voorgelegd of het vastleggen van toestemming in bijvoorbeeld een (medisch) dossier voldoende is om aan te kunnen tonen dat iemand toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. De aan het woord zijnde leden vragen of dit inderdaad voldoende is. Zo nee, is het bevorderlijk voor het maatschappelijk functioneren wanneer alles eerst uitdrukkelijk schriftelijk vastgelegd dient te worden? Wordt dat door veel mensen niet als een ongewenste en overbodige verplichting gezien?

9. Overig

De leden van de VVD-fractie vragen of de regering een overzicht kan geven van relevante overeenkomsten en verschillen in de implementatiewetgeving van de AVG in andere Europese lidstaten. Maken alle lidstaten een uitvoeringswet, zoals in Nederland het geval is met het onderhavige wetsvoorstel? Wordt het recht op vergetelheid uit artikel 17 van de AVG in andere landen in hun nationale wetgeving geïmplementeerd? Zijn alle lidstaten per 25 mei 2018 gereed voor de inwerkingtreding van de AVG? Welke verschillen zullen er na inwerkingtreding van de AVG bestaan tussen EU-lidstaten wat betreft gegevensbescherming? Kunnen de verschillen problemen opleveren voor bedrijven die grensoverschrijdend opereren? Stel dat een bedrijf zich in Nederland vestigt maar uitsluitend de gegevens van Duitse consumenten verwerkt, valt dit bedrijf dan onder het gezag van de Nederlandse AP of onder het gezag van de Duitse evenknie, of allebei?

De leden van de GroenLinks-fractie constateren dat uit onderzoek van de Universiteit Leiden («De bescherming van persoonsgegevens. Acht Europese landen vergeleken.», Universiteit Leiden, oktober 2017)blijkt dat Nederland het vaak bovengemiddeld goed doet als het gaat om de privacybescherming. De voornoemde leden vragen de regering om een appreciatie van dit rechtsvergelijkend onderzoek in verhouding tot het onderhavige wetsvoorstel en de eventuele best practices die Nederland van de andere landen kan overnemen.

De leden van de SGP-fractie constateren dat de AVG stelt dat ten aanzien van kerken deze verordening op geen enkele wijze inbreuk maakt op de status die kerken en religieuze verenigingen op grond van het constitutioneel recht in de lidstaten hebben. Is de regering met de voornoemde leden van mening dat er op grond van deze verordening geen of in ieder geval zo min mogelijk (extra) verplichtingen aan kerken opgelegd moeten worden? Is de regering met deze leden van mening dat ook kerken uitdrukkelijk vallen onder de uitzonderingsgronden op grond van artikel 9 AVG, juist omdat de verwerking van die persoonsgegevens gericht is op de bijzondere functie van kerken binnen de samenleving? Waarom is er dan in het onderhavig wetsvoorstel geen uitdrukkelijke bepaling opgenomen, vergelijkbaar met artikel 17 Wbp? De aan het woord zijnde leden hebben de indruk dat dit mede in het licht van overweging 165 en artikel 91 nog steeds noodzakelijk is. Wordt ook volledig de vrijheid van kerkgenootschappen gewaarborgd om de kerkelijke organisatie naar eigen keuzes in te richten, in lijn met artikel 2:2 Burgerlijk Wetboek?

Deze leden vragen in hoeverre het voorliggende wetsvoorstel nog belemmeringen bevat voor uitwisseling van (adres)gegevens in een organisatie ten behoeve van bijvoorbeeld onderlinge contacten bij verenigingen, kerken en voor ouders binnen scholen, zolang het gaat om daadwerkelijk intern gebruik.

Artikelsgewijs

Artikel 2

De leden van de SP-fractie constateren dat zuivere interne situaties buiten de werking van de AVG lijken te gaan vallen wegens artikel 2, tweede lid, sub a van de AVG. Voor deze situaties biedt de Wbp nu nog een oplossing, maar na de inwerkingtreding van de AVG wordt de Wbp ingetrokken. De voornoemde leden vragen of dit betekent dat na 25 mei 2018 er op zuivere interne situaties geen privacyrecht meer van toepassing is? Hoe denkt de regering dit probleem te ondervangen? In Rechnunghof/Österreichischer Rundfunk heeft het HvJEU bepaald dat er eigenlijk nauwelijks sprake kan zijn van een «zuiver interne situatie». Hoe interpreteert de regering deze uitspraak in het licht van de AVG? Het lijkt er op dat de regering artikel 2, tweede lid, AVG beperkt wil uitleggen. Klopt dit? Zo ja, welke gegevensverwerkingen zouden er dan concreet buiten de werking van het Europese recht gelaten worden? Klopt het dat de Nederlandse regering de AVG zelfstandig van toepassing mag verklaren op verwerkingen die normaliter buiten het toepassingsgebied van de verordening vallen? Zo ja, is de regering van plan dit te doen om het hiervoor geschetste rechtsvacuüm te voorkomen?

Artikel 4

De leden van de D66-fractie vragen de regering te bevestigen of, gezien de veranderingen in het territoriale toepassingsbereik, online emaildiensten (ook als de dienstverlener buiten de EU gevestigd is) vallen onder de reikwijdte van de AVG als zij worden afgenomen door een EU-ingezetene. Geldt ook het in Nederland geldende briefgeheim voor dergelijke diensten?

Artikel 5

De leden van de GroenLinks-fractie constateren dat het onderhavige wetsvoorstel voorziet in een toestemmingsvereiste voor minderjarigen tot 16 jaar. Zij vragen of deze leeftijdsgrens aansluit bij de hedendaagse opvattingen over de materiële handelingsbekwaamheid van minderjarigen, waarbij doorgaans aan jongeren van twaalf jaar en ouder in meer of mindere mate zeggenschap wordt gegeven, denk bijvoorbeeld aan medische behandelingen en de invulling van het omgangsrecht na echtscheiding van de ouders. Het COC wijst bijvoorbeeld op het belang van het delen van ervaringen rond seksualiteit in een veilige digitale omgeving, waarvoor dus na inwerkingtreding van het voorliggende wetsvoorstel de toestemming nodig is van ouders als wettelijk vertegenwoordigers. Voor veel LHBTI-jongeren zal dat een onneembare belemmering zijn en gevraagd kan worden of een leeftijdsgrens van 16 jaar wel handhaafbaar is. Deze leden vragen daarom of het wenselijk is om de minimumleeftijd van 16 jaar te verlagen naar 13 jaar.

Artikel 7

De leden van de SGP-fractie constateren dat artikel 7 bij de buitengewone leden en bij de Raad van advies spreekt over «onderscheidene sectoren van de maatschappij» en «verschillende sectoren van de maatschappij». Zij veronderstellen dat de keuze van deze twee woorden onbedoeld verschillend is uitgepakt. Maar meer inhoudelijk vragen zij aan wat voor concrete sectoren de regering precies denkt. Wordt hierbij ook uitdrukkelijk rekening gehouden met meer kleinschalige en informele sectoren, zodat de belangen van kleinere instellingen, organisaties en bedrijven ook steeds voor ogen staan?

Artikel 22

De leden van de GroenLinks-fractie zijn verbaasd dat gezien de gewijzigde maatschappelijke opvattingen over geslachtsregistratie dat geslacht noch in de AVG noch in het onderhavige wetsvoorstel wordt aangemerkt als bijzondere categorie persoonsgegevens waarvoor extra bescherming bestaat. Deze leden vragen de regering zich ervoor in te zetten dat geslacht in EU-verband wordt aangemerkt als bijzondere categorie persoonsgegevens.

De leden van de SGP-fractie veronderstellen dat tevens de kerkgenootschappen onder deze bepaling vallen. Waarom zijn zij niet uitdrukkelijk genoemd, mede in het licht van hun bijzondere positie op grond van artikel 2:2 BW?

Artikel 25

De leden van de D66-fractie vragen de regering nader toe te lichten waarom zij gebruik wenst te maken van de ruimte om om redenen van zwaarwegend algemeen belang af te wijken van het verbod persoonsgegevens te verwerken waaruit iemands ras of etnische afkomst blijkt. Wat is hiervan de toegevoegde waarde? Kan de regering concrete voorbeelden noemen?

De leden van de SGP-fractie constateren dat in dit artikel alleen wordt gesproken over een etnische of culturele minderheidsgroep. Is registratie alleen toegestaan als er daadwerkelijk sprake is van een minderheidsgroep? Of geldt het ook in het algemeen, ongeachte de precieze (lokale) omvang van deze groep? Kan ook een nadere duiding gegeven worden van het verschil tussen ras en etnische afkomst? Kan tevens worden aangegeven wat het onderscheid is tussen een culturele en een etnische groep? Is een culturele groep altijd verbonden met een bepaald ras of etniciteit?

Artikel 29

De leden van de D66-fractie vragen de regering of er specifieke eisen gesteld worden aan de beveiliging van de opslag van biometrische gegevens. Zo ja, welke?

Artikel 30

De leden van de SGP-fractie constateren dat voor scholen een beperkte uitzondering geldt om gezondheidsgegevens te verwerken. Deze uitzondering is gericht op leerlingen die bijzondere voorzieningen nodig hebben. De voornoemde leden vragen of dit bijvoorbeeld ook betekent dat medicijngebruik van leerlingen niet mag worden genoteerd, terwijl het soms (bij jonge, maar mogelijk ook bij oudere leerlingen) noodzakelijk kan zijn om hen behulpzaam te zijn bij het denken aan medicijngebruik. Moeten ouders in dergelijke gevallen altijd schriftelijk toestemming geven?

Artikelen 31, 32 en 33

De leden van de VVD-fractie constateren dat de genoemde artikelen van het onderhavige wetsvoorstel gaan over de verwerking van persoonsgegevens van strafrechtelijke aard. Hiervoor gelden extra zware voorwaarden. De voornoemde leden betreuren het als fraudebestrijding wordt gehinderd door de strengere regels uit de nieuwe AVG. Voor een effectieve fraudebestrijding kan het nodig zijn zwarte lijsten op te stellen van fraudeurs. Een dergelijke zwarte lijst kan echter stuiten op de criteria van genoemde artikelen van het onderhavige wetsvoorstel. Hoe beoordeelt de regering dat? Kan de regering aangeven welke juridische belemmeringen uit de wet voortvloeien om een zwarte lijst van fraudeurs te maken? De aan het woord zijnde leden overwegen een amendement als blijkt dat deze belemmeringen te groot zijn.

Artikel 39

De leden van de VVD-fractie vragen de regering nader in te gaan op de vraag wanneer wel en wanneer geen functionaris voor gegevensbescherming moet worden aangewezen. In dat kader, wat wordt bedoeld met «grootschalige verwerking van bijzondere categorieën van gegevens» (artikel 37, eerste lid, sub c AVG)? Wanneer is sprake van grootschalige verwerking? Indien dit bijvoorbeeld geldt voor een ziekenhuis, geldt dit dan ook voor een kleinere polikliniek?

Artikel 40

De leden van de D66-fractie vragen de regering een aantal voorbeelden te noemen van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken. Kan de regering nader toelichten waarom bij dergelijke besluitvorming menselijke tussenkomst geen toegevoegde waarde heeft? Kan de regering een duidelijk onderscheid aangeven tussen geautomatiseerde besluitvorming op basis van individuele kenmerken en op basis van profilering?

De leden van de SP-fractie constateren dat in de AVG specifiek aandacht wordt besteed aan geautomatiseerde besluitvorming, al dan niet door middel van profilering. In steeds meer sectoren worden profilering en geautomatiseerde besluitvorming toegepast. Denk aan banken, gezondheidszorg, verzekeringsmaatschappijen, marketing en advertenties. Dankzij de technologische ontwikkelingen en de mogelijkheden van big data-analyse en kunstmatige intelligentie is het nog gemakkelijker geworden om profielen te maken en geautomatiseerde beslissingen te nemen.

Profilering en geautomatiseerde besluitvorming kunnen nuttig zijn voor betrokkenen en organisaties. Zij kunnen echter ook risico’s meebrengen voor de privacy van betrokkenen. Zo weten veel mensen vaak niet dat ze geprofileerd worden en begrijpen ze niet hoe het werkt. Daarnaast kan het ertoe leiden dat een persoon in een hokje wordt geplaatst en zelfs, indien data onjuist of onvolledig is, tot onjuiste voorspellingen en (onterechte) weigering van levering van bepaalde producten of diensten en zelfs discriminatie. De voornoemde leden denken dan ook dat het goed is dat geheel geautomatiseerde besluitvorming verboden wordt. Wel hebben zij hun twijfels bij de uitzonderingen die gecreëerd worden op dit verbod. Zo kan het verbod omzeild worden door ergens in het proces van gegevensverwerking een menselijke handeling toe te voegen. Deze menselijke handeling moet dan een wezenlijke bijdrage leveren aan het eindresultaat en hij moet uitgevoerd worden door iemand die bevoegd is een beslissing te wijzigen. De aan het woord zijnde leden vrezen dat ondernemingen de grenzen van deze uitzonderingen zullen opzoeken en er wellicht overheen zullen gaan. Zij vernemen graag van de regering hoe het toezicht op het verbod van geautomatiseerde besluitvorming vorm gegeven gaat worden en hoe gecontroleerd gaat worden of misbruik gemaakt wordt van de uitzonderingen op dit verbod. Het lijkt deze leden dat meer en meer bedrijven zullen willen gaan werken/experimenteren met geautomatiseerde besluitvorming en dat het algemene verbod hierop zal vragen om extra toezichtscapaciteit. Is de regering bereid hier specifiek extra geld beschikbaar voor te stellen? Zo nee, waarom niet?

Artikel 43

De leden van de GroenLinks-fractie constateren dat artikel 85 van de AVG voorziet in een journalistieke, wetenschappelijke, artistieke en literaire exceptie. Deze leden begrijpen dat het huidige regime voor journalistieke gegevensbeschermingen (gebaseerd op Richtlijn 95/46/EG) grotendeels wordt gehandhaafd. Daarmee kiest de regering ervoor niet de volledige ruimte te benutten die in de AVG voor de journalistieke praktijk beschikbaar is. De voornoemde leden vragen de regering om te reageren op de stelling van de brancheorganisatie voor nieuwsbedrijven (brief NDP Nieuwsmedia, 20 december 2017) dat de «beleidsneutrale implementatie» de facto een zwakkere bescherming voor de journalistiek betekent omdat de AVG de rechten van betrokkenen versterkt en uitbreidt, er meer verplichtingen worden opgelegd aan organisaties die persoonsgegevens verwerken en de boetes voor overtredingen aanzienlijk verhoogd worden in vergelijking met de inmiddels ruim 22 jaar oude Richtlijn 95/46/EG. Vanuit journalistieke zijde wordt daarom opgeroepen tot een hernieuwde afweging van de belangen van de uitingsvrijheid en de privacybescherming. De aan het woord zijnde leden vragen een reactie hierop van de regering.

Artikel 46

De leden van de PvdA-fractie merken op dat artikel 46, eerste lid, van het voorliggend wetsvoorstel voorziet in een waarborg dat het burgerservicenummer (hierna: BSN) bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van de wet of van doeleinden die bij de wet zijn bepaald. Het tweede lid van dat artikel bepaalt echter dat er bij AMvB in afwijking van het eerste lid gevallen kunnen worden aangewezen waar het BSN wel mag worden gebruikt. De aan het woord zijnde leden zijn van mening dat voorkomen moet worden dat het BSN gebruikt wordt voor identiteitsfraude. Zij zijn dan ook terughoudend om bij AMvB de mogelijkheden tot dat gebruik te verruimen. Waarom is een dergelijke AMvB nodig? Aan welke mogelijkheden denkt u om het gebruik van het BSN te gebruiken?

De voorzitter van de commissie, Van Meenen

De adjunct-griffier van de commissie, Verstraten

Naar boven