Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG). Naar aanleiding daarvan stellen zij graag een aantal vragen.

De leden van de fractie van de SP hebben met belangstelling kennisgenomen van de UAVG. Zij hebben nog enkele vragen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van dit in hun ogen belangrijke wetsvoorstel. Zij zijn van mening dat de Algemene verordening gegevensbescherming (hierna: AVG of verordening) en de UAVG een verbetering vormen ten opzichte van de huidige Wet bescherming persoonsgegevens (hierna: Wbp). Zij stellen graag enkele vragen met betrekking tot de uitvoerbaarheid en handhaafbaarheid van de UAVG.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van de UAVG. Dit voorstel regelt de instelling en inrichting van de Autoriteit Persoonsgegevens als nationale toezichthouder en de bevoegdheid van de Autoriteit om bestuurlijke boetes op te leggen. Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere regels. Organisaties moeten aantonen dat zij in overeenstemming met de verordening handelen en een register bijhouden van de verwerkingsactiviteiten die plaatsvinden. De fractieleden van de ChristenUnie stellen enkele vragen over de gevolgen van de UAVG voor kerkgenootschappen en de uitwerking van artikel 91 van de AVG in deze uitvoeringswet.

Vragen en opmerkingen van de leden van de VVD-fractie

In het Verdrag betreffende de Werking van de Europese Unie (VWEU) is in artikel 288 opgenomen dat teneinde de bevoegdheden van de Unie te kunnen uitoefenen, de instellingen verordeningen, richtlijnen, besluiten, aanbevelingen en adviezen kunnen vaststellen. In hetzelfde artikel is opgenomen: «Een verordening heeft een algemene strekking. Zij is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.» Deze rechtstreekse werking is een van de belangrijkste kenmerken van een verordening, en onderscheidt dit instrument ten opzichte van richtlijnen, waarbij de lidstaten de bevoegdheid wordt gelaten om vorm en middelen te kiezen ten aanzien van het te bereiken resultaat.

Het Hof van Justitie van de Europese Unie leidt hieruit af dat ten aanzien van verordeningen een zogenaamd overschrijfverbod geldt.1 Dit betekent dat regels die in verordeningen zijn opgenomen niet mogen worden overgenomen in het nationale recht. Ze gelden immers al direct in de lidstaten op grond van de verordening. Dit neemt overigens niet weg dat er wel degelijk vaak uitvoeringsregelgeving noodzakelijk is (soms verplicht is) om technisch de werking in iedere lidstaat te garanderen.

De UAVG is een dergelijke uitvoeringsregeling. De AVG is echter ook een bijzondere verordening aangezien de AVG een groot aantal punten aanvullende nationale wetgeving vereist of mogelijk maakt. Dat is de reden dat overweging 8 bij de AVG is opgenomen luidende: «Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn.»2

Van deze beperkte ruimte die de AVG biedt om regels uit de verordening over te nemen in het nationale recht, is gebruik gemaakt, bijvoorbeeld in artikel 22 UAVG. Dit naar aanleiding van het advies van de Afdeling advisering van de Raad van State om van deze mogelijkheid gebruik te maken voor wat betreft de uitvoering van artikel 9 AVG over bijzondere categorieën persoonsgegevens, zulks omwille van de samenhang en de begrijpelijkheid van de bepalingen.3 Het in algemene zin overnemen van normen uit de AVG in het nationale recht blijft echter, voor het overige, in strijd met de Europese regels.

Het vorenstaande moet overigens worden onderscheiden van de keuze voor een beleidsneutrale implementatie. Om de voortgang van het wetgevingsproces niet te vertragen en de overgang van Wbp naar AVG voor de praktijk te vergemakkelijken, heeft regering ervoor gekozen om daar waar de AVG ruimte laat voor nationaalrechtelijke invulling of afwijking van de AVG, zoveel mogelijk aan te sluiten bij het materiële recht zoals dat thans geldt krachtens de Wbp. Inhoudelijke wijzigingen kunnen zo nodig in een volgende fase ter hand worden genomen.4

Op het ontwerp voor de AVG is door de Europese Commissie een aantal toetsen uitgevoerd die als bijlagen bij het ontwerp bekend zijn gemaakt. Zoals in paragraaf 6.3.2 van de memorie van toelichting al is uiteengezet, hebben deze toetsen (naast de substantiële bijdragen van de lidstaten, waaronder Nederland) geleid tot een aangepaste verordening waarin de verplichtingen van de verwerkingsverantwoordelijke meer toegespitst zijn op de risico’s van de verwerkingen om zo de kosten voor verwerkingsverantwoordelijken te differentiëren naarmate er gevoeligere gegevens worden verwerkt en/of meer risico’s te verwachten zijn.

De reden dat er geen onderzoek is verricht naar de wijze waarop het Comité richtsnoeren en handreikingen zal gaan uitvaardigen is gelegen in het feit dat ook nu al door de Artikel 29-werkgroep dergelijke adviezen worden uitgebracht.5 Met het uitbrengen van adviezen, handreikingen, richtsnoeren en wat dies meer zij voorziet de Artikel 29-werkgroep in een duidelijke behoefte van zowel verwerkingsverantwoordelijken als toezichthoudende autoriteiten. De totstandkoming van de adviezen geschiedt overigens niet op basis van «trial and error» maar in onderlinge samenspraak en na een openbare consultatieprocedure en hiermee worden juist «langdurige en kostbare procedures» voorkomen. Zo zal er evenmin sprake kunnen zijn van handhaving door de Autoriteit persoonsgegevens op basis van «trial and error». De Autoriteit persoonsgegevens is immers als bestuursorgaan gehouden om de beginselen van de Algemene wet bestuursrecht in acht te nemen.

De behoefte aan nadere invulling van en praktische handvatten bij de toepassing van de open normen van de AVG zal naar verwachting de eerste periode dat de AVG van kracht is, groot zijn. Anticiperend op de inwerkingtreding van de AVG heeft de Artikel 29-werkgroep dan ook reeds enkele richtsnoeren uitgevaardigd over de uitleg van normen in de AVG, die mede door de Autoriteit persoonsgegevens onder de aandacht zijn gebracht bij het Nederlandse publiek, en hierover een open consultatie gevoerd.6

Het is van belang te constateren dat de adviezen die nu de Artikel 29-werkgroep uitbrengt en straks het Comité zal uitbrengen uitdrukkelijk geen juridisch bindend karakter hebben en louter dienen als handvat/richtsnoer voor de rechtspraktijk. Een verwerkingsverantwoordelijke zal dan ook altijd een eigen afweging moeten blijven maken of en in hoeverre hij in zijn eigen specifieke context dergelijke «soft law» zal toepassen. Ook de nationale toezichthouders zullen deze adviezen gebruiken als richtsnoer bij het toepassen van hun toezichthoudende bevoegdheden en daarmee dragen deze adviezen bij aan de voorspelbaarheid van het toezichthoudend optreden. Maar uiteindelijk zijn het nationale rechter in eerste instantie en het EU Hof in laatste instantie die oordelen over de juiste invulling en toepassing van open normen in een specifieke casus.

Het voorgaande wil echter niet zeggen dat er geen rol is weggelegd voor de nationale wetgever. Daar waar de AVG ruimte laat voor nationale regelgeving om bepaalde verwerkingen onder nader te stellen voorwaarden bijvoorbeeld toe te staan, kan de nationale wetgever immers vanzelfsprekend blijven bijdragen aan de wijze waarop het persoonsgegevensbeschermingsrecht in Nederland zich verder ontwikkelt. Ook kunnen in nationale wetgeving nieuwe wettelijke verplichtingen worden opgenomen of taken van algemeen belang worden opgedragen aan bepaalde organisaties die nopen tot het verwerken van bepaalde gegevens en waarmee dan meteen een grondslag om die gegevens ook daadwerkelijk te verwerken wordt gecreëerd voor zover noodzakelijk voor het voldoen aan een verplichting respectievelijk het uitvoeren van de taak van algemeen belang. Kortom het gegevensbeschermingsrecht is met de inwerkingtreding van de AVG en de UAVG nog niet «af». In het antwoord op vraag 16 ga ik nader in op de onderwerpen die ik in ieder geval op korte termijn nader zal bezien met het oog om een mogelijk wenselijke verdere modernisering van het gegevensbeschermingsrecht.

De onmiskenbare «snelle technologische ontwikkelingen op het terrein van dataverwerking» pleiten voor flexibele en techniek-neutrale normen zoals opgenomen in de AVG, maar deze ontwikkelingen hebben niet ten grondslag gelegen aan de keuze voor een beleidsneutrale implementatie. Voor nadere informatie over deze keuze, verwijs ik graag naar het antwoord op de vraag 16.

De Autoriteit persoonsgegevens gaf desgevraagd de volgende fictieve voorbeelden van omstandigheden waaronder enige vertraging niet onredelijk kan worden geacht:

• • de laptop van een medewerker wordt gestolen en de verwerkingsverantwoordelijke onderzoekt of daar persoonsgegevens op stonden en wat voor persoonsgegevens dat waren;

• • een klant meldt bij de klantenservice dat hij in een klantportaal de gegevens van een andere klant heeft gezien, en de verwerkingsverantwoordelijke belt de klant terug om na te gaan hoe e.e.a. zich heeft voorgedaan en wat de klant precies heeft gezien;

• • er is een hack geweest, en de verwerkingsverantwoordelijke doet een eerste onderzoek om vast te stellen of daarbij persoonsgegevens in het geding geweest kunnen zijn.

Er kan dus wel enig onderzoek aan de melding vooraf gaan, maar bijvoorbeeld niet een externe audit van een paar maanden. Als een eerste onderzoek geen uitsluitsel geeft, dan geldt de stelregel: «bij twijfel melden».

Een verwerker hoeft geen inschatting te maken van de risico's die een inbreuk met zich meebrengt voor de persoonlijke levenssfeer van de betrokkenen: hij hoeft alleen maar vast te stellen dat er een inbreuk is geweest, en hij moet de verwerkingsverantwoordelijke daar zonder onredelijke vertraging van in kennis stellen. «Zonder onredelijke vertraging» zal in de praktijk in veel gevallen betekenen: onmiddellijk, of maximaal binnen 24 uur. Verwerkingsverantwoordelijke en verwerker zullen hier afspraken over moeten maken. Ook overweging 87 AVG gaat ervan uit dat de verwerkingsverantwoordelijke alle passende technische en organisatorische maatregelen dient te nemen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit daarvan onverwijld in kennis te stellen. Dit geldt ook bij verwerking door een verwerker: de verwerkingsverantwoordelijke moet met de verwerker afspreken dat hij tijdig op de hoogte wordt gesteld van een eventuele inbreuk, zodat hij als verwerkingsverantwoordelijke in staat is om aan de verplichtingen op grond van artikel 33 AVG te voldoen.

Voor de Afdeling bestuursrechtspraak van de Raad van State is gekozen omdat de Autoriteit persoonsgegevens als bestuursorgaan is ingebed in het bestuursrecht. Tevens is met de keuze voor de Afdeling bestuursrechtspraak de wens van de Autoriteit persoonsgegevens gehonoreerd om in dit verband één en dezelfde rechter en niet verschillende rechtbanken de zaak te laten behandelen en beslissen.7 Het gaat erom dat de rechtsvraag zo snel mogelijk aan de hoogste Europese rechter kan worden voorgelegd zodat er snel uitsluitsel kan komen over de vraag of het adequaatheidsbesluit al dan niet stand kan houden.

Op grond van de zogenoemde journalistieke exceptie zijn de UAVG en de meeste materiële normen van de AVG niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor academische, artistieke of literaire uitdrukkingsvormen. Onder gegevensverwerkingen voor voornoemde doelen moeten niet alleen publicaties, maar ook voorbereidingshandelingen voor een publicatie worden begrepen. Zo kan het in voorbereiding op een publicatie nodig zijn om gegevens te vergaren, te registreren en te analyseren. Journalistieke, academische, artistieke of literaire voorbereidingshandelingen voor een publicatie waarbij persoonsgegevens worden verwerkt, vallen alle aldus binnen reikwijdte van de journalistieke exceptie. Afhankelijk van de feitelijke omstandigheden zal moeten worden beoordeeld of een verwerking uitsluitend voor een van de genoemde doeleinden plaatsvindt. De verwerkingsverantwoordelijke zal daarbij ook moeten afwegen of de betreffende verwerking voldoet aan de beginselen van proportionaliteit en noodzakelijkheid. De noodzakelijkheidseis strekt daarbij overigens niet zo ver dat verwerking van persoonsgegevens alleen is toegestaan indien vaststaat dat deze uitmondt in een publicatie. In de praktijk is immers vaak niet mogelijk om op voorhand vast te stellen of journalistieke, academische, artistieke of literaire werkzaamheden daadwerkelijk tot een publicatie leiden.

Met het opnemen van artikel 2a in de UAVG wordt de laatste passage van overweging 13 bij de AVG overgenomen in nationale wetgeving. Artikel 2a AVG wijkt in zoverre af van die passage dat het een verplichting inhoudt voor de Autoriteit persoonsgegevens om de specifieke behoeften van kleine, middelgrote en micro-ondernemingen (het midden- en kleinbedrijf) in aanmerking te nemen bij de toepassing van de AVG, terwijl overweging 13 bij de AVG de lidstaten en hun toezichthoudende autoriteiten niet verplicht om die specifieke behoeften in aanmerking te nemen, maar hen daartoe aanmoedigt. Op andere plekken in de AVG komen deze specifieke behoeften ook terug: zij worden ook genoemd in artikel 40, eerste lid, AVG (over het bevorderen van het opstellen van gedragscodes) en artikel 42 AVG (over het bevorderen van certificeringsmechanismen). In de AVG wordt dus rekening gehouden met de specifieke behoeften van het midden- en kleinbedrijf en nu in het verlengde daarvan ook in artikel 2a UAVG. Dit ziet er dan met name op dat door de Autoriteit persoonsgegevens bij de toepassing van de AVG rekening wordt gehouden met de omvang van de desbetreffende onderneming in die zin dat van grotere ondernemingen grosso modo mag worden verwacht dat zij beschikken over meer mogelijkheden en middelen dan kleinere ondernemingen. Deze verwachting is niet alleen ten aanzien van ondernemingen gerechtvaardigd, maar ook ten aanzien van andere organisaties. Overigens kan ook in het midden- en kleinbedrijf vanzelfsprekend sprake zijn van risicovolle verwerkingen. Het is van belang te benadrukken dat de risicogerichte benadering van de AVG in die gevallen altijd de doorslag geeft.

Er wordt meer verwacht van een verwerkingsverantwoordelijke naarmate de verwerkingen waarvoor hij verantwoordelijk is meer risico’s voor betrokkenen met zich mee brengen, ongeacht de grootte van de organisatie van de verwerkingsverantwoordelijke. Dat zowel omvang als aard van de verwerkingen belangrijke factoren zijn voor de wijze waarop de verwerkingsverantwoordelijke invulling moet geven aan de eisen op grond van de AVG, komt bijvoorbeeld tot uiting in de artikelen 25, eerste lid, 30, vijfde lid, 32, eerste lid, 35, eerste lid en 36, eerste lid, AVG.

In de voornoemde artikelen 40 en 42 AVG worden het midden- en kleinbedrijf en andere kleinere organisaties specifiek genoemd. In overweging 13 bij de AVG wordt aangegeven dat de uitzondering voor de specifieke regeling tot het bijhouden van een register van de verwerkingsactiviteiten voor ondernemingen of organisaties die minder dan 250 werknemers in dienst hebben (zie artikel 30, vijfde lid, AVG), is opgenomen om rekening te houden met de specifieke situatie van het midden- en kleinbedrijf en andere.9 Ook op andere plekken biedt de AVG ruimte om rekening te houden met de omvang van een organisatie. Zo zal bij het bepalen van de hoogte van een boete bij grotere organisaties doorgaans een hoger boetebedrag aan de orde zijn, wil de boete doeltreffend, evenredig en afschrikwekkend zijn, zoals artikel 83 AVG vereist. Als bestuursorgaan is de Autoriteit persoonsgegevens bij al haar optreden gehouden aan de beginselen van behoorlijk bestuur en zij dient bij het nemen van een besluit alle relevante belangen mee te wegen (zie onder meer artikelen 3:2 en 3:4 Algemene wet bestuursrecht (Awb)). Artikel 2a AVG benoemt nu een van die belangen specifiek, maar betekent niet dat andere belangen per definitie minder gewicht in de schaal leggen.

Vragen en opmerkingen van de leden van de SP-fractie

Mondiaal beschouwd zijn er twee onderscheiden stelsels van privacybescherming. In het Europese model wordt de bescherming van de persoonlijke levenssfeer en de daarmee nauw samenhangende bescherming van persoonsgegevens aangemerkt als een grondrecht dat niet alleen tegen de overheid kan worden ingeroepen, maar ook in belangrijke mate tussen burgers, consumenten en werknemers enerzijds en instellingen, bedrijven en werkgevers anderzijds doorwerkt (horizontale privacy). Dat komt tot uiting in normen als artikel 8 EVRM, de artikelen 7 en 8 Handvest van de Grondrechten van de EU en artikel 10 Grondwet. Belangrijkste kenmerken van dit stelsel zijn dat de realisatie van deze grondrechten moet worden uitgewerkt in wetgeving, en dat op de uitoefening van het grondrecht toezicht plaatsvindt door een toezichthouder die onafhankelijk is en over de nodige bevoegdheden beschikt.

Daarnaast is de AVG een van de uitgangspunten in de lopende onderhandelingen over de herziening van het Verdrag van de Raad van Europa uit 1981. In die onderhandelingen onderhandelt de Europese Commissie namens de Unie – voor zover althans de Uniebevoegdheden strekken. Het is de taak van de Commissie erop toe te zien dat het nieuwe verdrag geen regels bevat die strijdig zijn met de AVG. Het potentieel van dit verdrag is in beginsel groot. Het zal gaan gelden voor alle staten die partij zijn bij de Raad van Europa, dus ook voor staten als Zwitserland, Turkije en de Russische Federatie. Daar komt bij dat dit verdrag ook open staat voor de toetreding van staten die geen lid zijn van de Raad van Europa. Er zijn inmiddels diverse landen uit Latijns-Amerika en Afrika toegetreden, en er is sprake van groeiende belangstelling van meer landen voor toetreding.

Er tekenen zich wel mogelijke veranderingen af in deze verhoudingen. Allereerst wordt dat veroorzaakt door de territoriale reikwijdte van de AVG. Het is een bewuste keuze van de Europese wetgever geweest de normen van de AVG ook buiten de Unie te laten gelden voor de gevallen waarin de verwerking verband houdt met het aanbieden van goederen en diensten van buiten de Unie aan betrokkenen in de Unie of bij de monitoring van het gedrag van betrokkenen in de Unie. Daarmee zijn de regels ook van toepassing in de rechtsverhoudingen tussen zeer grote verwerkingsverantwoordelijken uit de Verenigde Staten en tussen gebruikers in de Unie. Daarnaast zijn er naast de adequaatheidsbesluiten andere instrumenten voor de doorgifte van persoonsgegevens naar derde landen geregeld die tot effect hebben dat de Europese regels ook in afzonderlijke rechtsbetrekkingen tussen verwerkingsverantwoordelijken buiten de Unie en betrokkenen binnen de Unie kunnen doorwerken. Te denken valt aan bindende bedrijfsvoorschriften (Binding Corporate Rules), goedgekeurde standaardcontractsvoorwaarden en bilaterale verdragen tussen lidstaten en derde landen.

Ook moeten sinds enige tijd bij het onderhandelen over vrijhandelsverdragen tussen de Unie en derde landen clausules over gegevensbescherming worden opgenomen. Dat is noodzakelijk omdat grensoverschrijdende handel niet langer kan plaatsvinden zonder doorgifte van persoonsgegevens. De Commissie voert daarbij het beleid dat het grondrecht op gegevensbescherming een niet onderhandelbaar punt is, en dat jegens het desbetreffende derde land indien maar enigszins mogelijk een adequaatheidsbesluiten moet worden vastgesteld. De Commissie is recent begonnen met informele initiatieven als een voorbereiding op het verder tot elkaar brengen van de handelsbelangen en de rechtmatigheid van bijbehorende gegevensstromen. In welke richting het beleid zich verder ontwikkelt, is thans nog onzeker. Ook andere recente ontwikkelingen, zoals Brexit, zullen voor veranderingen zorgen. Op dit moment is het Verenigd Koninkrijk nog gebonden aan de huidige privacyrichtlijn en heeft het aangekondigd de AVG loyaal en volledig te zullen uitvoeren. De daarvoor noodzakelijke wetgeving is in een vergevorderd stadium van behandeling bij het parlement. Gegevensbescherming is een van de elementen die in het terugtredingsverdrag geregeld moeten worden. Uit de door de Commissie openbaar gemaakte versie van het ontwerpakkoord blijkt dat het nog onderwerp van gesprek is. Welke weg het Verenigd Koninkrijk zal inslaan na vertrek uit de Unie zal moeten worden afgewacht. Het ligt voor de hand dat de Unie en het Verenigd Koninkrijk de mogelijkheden voor een adequaatheidsbesluiten verkennen. Het is onvermijdelijk dat daarbij ook de doorgifte uit het Verenigd Koninkrijk naar andere derde landen nadrukkelijk aandacht krijgt.

De Europese wetgever heeft gekozen voor het instrument van een verordening en voor toezicht door nationale toezichthouders die in een Europees stelsel worden ingebed, onafhankelijk van hun nationale overheid. Het Europees Comité voor gegevensbescherming (Comité) bestaat uit een vertegenwoordiger van één toezichthoudende autoriteit per lidstaat. Ook het Comité treedt onafhankelijk op. Het Comité mag bij de uitvoering van zijn taken of bevoegdheden geen instructies vragen of aanvaarden van wie dan ook (artikelen 68 en 69 AVG). Deze verplichte onafhankelijkheid van toezichthouders is met de gelding van artikel 8, derde lid, van het Handvest belangrijker geworden. De onafhankelijke positie van het Comité en van de nationale toezichthoudende autoriteiten is noodzakelijk, omdat ook de nationale overheden verplicht zijn de regels na te leven en onder hetzelfde toezicht moeten worden gesteld als de private sector. Controle op de totstandkoming van concrete adviezen, richtsnoeren, aanbevelingen en best practices van het Comité door het Europese Parlement of door de nationale parlementen is dan ook niet aan de orde.

Wel zijn controlemechanismen opgenomen in de AVG ten aanzien van het functioneren van het Comité op Europees niveau. Zo bepaalt artikel 70, derde lid, AVG dat de adviezen, richtsnoeren, aanbevelingen en best practices bekendgemaakt moeten worden, en bepaalt het vierde lid dat, waar passend, vooraf belanghebbenden geraadpleegd moeten worden.10 Het is zodoende mogelijk als individu of belanghebbende organisatie te reageren, maar ook nationale regeringen of parlementen worden op deze manier in de gelegenheid gesteld hun visie kenbaar te maken over deze nadere invulling van rechtsnormen. Verder is het opstellen van een reglement van orde, dat openbaar gemaakt dient te worden op basis van artikel 72, tweede, AVG, verplicht. In artikel 71 AVG is expliciet opgenomen dat het Comité een jaarverslag dient op te stellen waarbij ook een evaluatie wordt opgenomen over de praktische toepassing van de richtsnoeren, aanbevelingen en best practices, bedoeld in artikel 70, eerste lid, onderdeel l, AVG. Het jaarverslag wordt ook openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie. Tevens is in artikel 97, tweede lid, onderdeel b, AVG, specifiek opgenomen dat de door de Europese Commissie uit te voeren evaluatie ook zal zien op de wijze waarop het hoofdstuk over samenwerking en coherentie in de praktijk functioneert. Zie over deze onderdelen tevens onderdeel 3b van het nader rapport naar aanleiding van het advies van de Raad van State.

Verder vindt er weliswaar regulier overleg plaats met de Autoriteit persoonsgegevens over een veelheid van onderwerpen en ontwikkelingen, maar daarbij kan vanwege de onafhankelijke positie van de Autoriteit, vanzelfsprekend geen sprake zijn van beïnvloeding of controle. Dat de Autoriteit persoonsgegevens volledig onafhankelijk optreedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden, wil overigens niet zeggen dat de Autoriteit geen intensief contact zal onderhouden bijvoorbeeld ook met consumentenorganisaties en brancheorganisaties, uit welke contacten vervolgens inspiratie kan worden geput die gebruikt kan worden bij de Nederlandse inbreng bij het opstellen van adviezen, richtsnoeren, aanbevelingen en best practices van het Comité. Tot slot is ook de Autoriteit persoonsgegevens verplicht om een jaarverslag te zenden aan mij en aan het parlement (artikel 18 Kaderwet zelfstandige bestuursorganen).

Het vaststellen van richtsnoeren, aanbevelingen en best practices door het Comité dient, zoals de fractieleden van de SP ook aangeven, een belangrijk doel. Een van de doelstellingen van de AVG is namelijk om verschillen in de uitvoering en toepassing te voorkomen en zorg te dragen dat er in de gehele Europese Unie coherente en homogene toepassing plaatsvindt van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Graag verwijs ik in dit verband tevens naar het antwoord op vraag 21 (CDA) uit de nota naar aanleiding van het verslag. De bevoegdheid voor het Comité is inderdaad ruim, nu het gaat om het invullen en concretiseren van open normen met gevolgen voor de rechtspraktijk. Daar staat tegenover dat er uitdrukkelijk geen sprake is van juridisch bindende normen en de uitleg van de normen uit de AVG uiteindelijk aan de Europese rechter is. Dat maakt ook dat de controle op de ontwikkeling van de richtsnoeren, aanbevelingen en best practices logischerwijze anders is vormgegeven dan als het wel zou gaan om juridische bindende besluitvorming.

Het is primair de taak van de lidstaten om zorg te dragen voor een effectieve handhaving van het Unierecht. Lidstaten gebruiken daarbij in beginsel hun eigen regels, zoals die zijn neergelegd in de toepasselijke wetgeving. De vrijheid om de eigen regels te gebruiken, vindt haar grens in de voorschriften uit de AVG. Artikel 58 AVG bevat de bevoegdheden van de toezichthoudende autoriteit. Hoewel zij qua formulering verschillen, komen ze materieel in hoge mate overeen met de bestaande bevoegdheden uit hoofdstuk 5 van de Awb. Het zesde lid van artikel 58 AVG bepaalt dat iedere lidstaat bij lidstatelijk recht aanvullende bevoegdheden kan toekennen, mits deze geen afbreuk doen aan de doeltreffende werking van de samenwerking en coherentie tussen Europese toezichthouders. Dit is een facultatieve bepaling, waar Nederland gebruik van heeft gemaakt door de Autoriteit Persoonsgegevens toe te rusten met de bevoegdheid om in voorkomende gevallen een last onder bestuursdwang op te leggen of bestuursdwang toe te passen. Deze bestuurlijke herstelsancties worden genormeerd door de Awb. Er is kortom geen sprake van strijdigheid met de AVG maar van het toekennen van een additionele bevoegdheid.

Een van de redenen om de Autoriteit persoonsgegevens deze additionele bevoegdheden te geven, is gelegen in het feit dat in Nederland zowel de Autoriteit persoonsgegevens als verwerkingsverantwoordelijken al vertrouwd zijn met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Beide handhavingsinstrumenten zijn in de praktijk effectieve middelen gebleken om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen. Daarnaast kunnen zij ook zeer effectief zijn indien klaarblijkelijk gevaar voor een overtreding dreigt (artikel 5:7 Awb), ter voorkoming van herhaling van een overtreding (artikel 5:2, eerste lid, onderdeel b, Awb) of om verdere overtreding te voorkomen (artikel 5:32a, tweede lid, Awb). Op grond van artikel 5:7 Awb kán er niet alleen bij een geconstateerde overtreding een last onder dwangsom worden opgelegd, maar ook als er sprake is van klaarblijkelijk gevaar voor een overtreding. Voor het opleggen van een dergelijke last is het, omgekeerd, echter geenszins een vereíste dat er sprake is van dergelijk gevaar.

Naast het feit dat het opleggen van een last onder dwangsom juridisch echt een andere figuur is dan bijvoorbeeld het opleggen van een last op grond van artikel 58, tweede lid, onderdeel d, AVG om vervolgens, als deze last niet wordt nagekomen, een boete op te leggen op grond van artikel 83, zesde lid, AVG, heeft het toekennen van deze bevoegdheid aan de Autoriteit persoonsgegevens kortom ook materieel meerwaarde. Er wordt hiermee geen extra voorwaarde gesteld aan het kunnen toepassen van een herstelsanctie, maar er is sprake van een uitbreiding van de mogelijkheden van de Autoriteit persoonsgegevens ten opzichte van de reeds ter beschikking staande bevoegdheden op grond van artikel 58 AVG, omdat de last onder dwangsom in meer situaties toegepast kan worden.

In de UAVG wordt de journalistieke exceptie geregeld. In Europees verband moet het begrip journalistiek ruim worden opgevat. De Europese wetgever wijst er in overweging 153 van de AVG expliciet op dat, gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim dienen te worden uitgelegd. Om die reden biedt artikel 85 van de AVG de nationale wetgever de mogelijkheid om ook voor verwerkingen voor academische, literaire en artistieke doeleinden uitzonderingen of afwijkingen vast te stellen. Daarbij moet onder meer worden gedacht aan gegevensverwerkingen die plaatsvinden bij universiteiten, bibliotheken en musea. Op grond van artikel 85 AVG, is in artikel 43 UAVG geregeld dat de UAVG en het grootste deel van de AVG zijn uitgezonderd voor gegevensverwerkingen voor uitsluitend journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Dat betekent feitelijk dat enkel een aantal algemene beginselen en basale verplichtingen voor de verwerkingsverantwoordelijke van toepassingen zijn op gegevensverwerkingen in het kader van de genoemde doelen, zoals het beginsel van proportionaliteit en de verplichting om gegevens op passende wijze te beveiligen. Nederland geeft zodoende reeds een zeer ruime invulling aan de mogelijkheid om in nationale wetgeving uitzonderingen te regelen voor de journalistieke praktijk. Een verdere verruiming van de journalistieke exceptie zou op gespannen voet staan met de AVG, omdat de AVG vereist dat het recht van uitingsvrijheid en het recht op privacy met elkaar «in evenwicht» worden gebracht. Daarbij geldt het principe dat tussen deze rechten in beginsel geen rangorde bestaat en dat geen van beide rechten voorrang heeft op de ander. In de AVG heeft de Europese wetgever bepaald dat afwijkingen of uitzonderingen kunnen worden vastgesteld van bepaalde bepalingen van de AVG, voor zover dat noodzakelijk is voor journalistieke doeleinden. Het is dan ook niet aannemelijk dat deze een totaaluitsluiting van de materiële normen voor persoonsgegevensbescherming heeft willen toestaan. Een verdere uitbreiding van de journalistieke exceptie, waarbij ook de meest basale beginselen en normen van de AVG worden uitgesloten, zorgt voor een disbalans tussen beide rechten. Het recht op privacy wordt dan immers in het geheel niet meer gewaarborgd, terwijl een inbreuk op de privacy altijd in een redelijke verhouding dient te staan tot het daarmee gediende doel van de gegevensverwerking. Overigens is van belang te constateren dat er voor is gekozen om het huidige regime voor journalistieke gegevensverwerkingen zoveel mogelijk te handhaven (zie tevens de beantwoording van vraag 19).

In de AVG is de leeftijdsgrens waaronder kinderen toestemming van hun ouders moeten hebben in verband met «een rechtstreeks aanbod van diensten van de informatiemaatschappij» gesteld op 16 jaar. Lidstaten hebben op grond van artikel 8 AVG de mogelijkheid daarvan af te wijken (met als ondergrens 13 jaar). Gelet op het uitgangspunt van beleidsneutrale implementatie heeft de regering ervoor gekozen om aan te sluiten bij de hoofdregel.

Dit laat onverlet dat kinderen ook recht hebben op privacy. Dit volgt onder meer uit artikel 16 Kinderrechtenverdrag (IVRK). De Staat heeft tegelijkertijd de plicht op grond van artikel 16, tweede lid, IVRK om kinderen te beschermen tegen laster. Verder staat in artikel 17 IVRK dat de Staten waarborgen dat het kind toegang heeft tot informatie uit een verscheidenheid van nationale en internationale bronnen, in het bijzonder informatie en materiaal gericht op het bevorderen van zijn of haar sociale, psychische en morele welzijn en zijn of haar lichamelijke en geestelijke gezondheid. De Staat heeft op grond van artikel 17, onder e, IVRK echter ook de plicht om de ontwikkeling van passende richtlijnen aan te moedigen om het kind te beschermen tegen informatie en materiaal die schadelijk is voor zijn of haar welzijn.

Het IVRK schrijft geen eenduidige leeftijdsgrens voor. Met inachtneming van de beginselen in het IVRK is het aan Staten om een goede balans te vinden bij de beoordeling wat een geschikte leeftijd is voor het toestemmingsvereiste. Naar het oordeel van de regering is de bepaling dat jongeren onder de zestien jaar alleen met toestemming van hun ouders bijvoorbeeld een online profiel mogen aanmaken niet in strijd met het recht op privacy. Op dit moment is de leeftijdsgrens in artikel 5 Wbp ook op 16 jaar gesteld. Wel is dit uitdrukkelijk een van de onderwerpen die ik zal meenemen in de verkenning, die ik zal doen direct aansluitend aan het onderhavige implementatietraject, met het oog op de mogelijke verbetering en modernisering van het gegevensbeschermingsrecht. Graag verwijs ik naar vraag 16 voor meer informatie over dit vervolgtraject. Een beslissing over het al dan niet verlagen van de leeftijdsgrens wil ik zorgvuldig nemen. Ook zal ik, conform de aangenomen motie van de leden Verhoeven en Van Toorenburg, de uitkomsten van een onderzoek naar de willekeurigheid van leeftijdsgrenzen door de Raad voor Volksgezondheid en Samenleving zodra deze beschikbaar zijn, in de afweging betrekken.12 Verder wil ik alle betrokken belangenorganisaties hierover horen. Er spelen namelijk niet alleen vragen rond de privacyrechten van kinderen, maar ook rond de cyberveiligheid van kinderen. Met het hanteren van een leeftijdsgrens is geenszins gezegd dat daarmee het signaal wordt afgegeven dat onder die leeftijd kinderen geen digitaal leven zouden mogen of kunnen hebben, wel dat daar dan ook een rol van de ouders is weggelegd. Het gaat immers om commerciële diensten en belangen. De vraag is tot welke leeftijd een kind voorafgaand aan het aanmaken van bijvoorbeeld een facebookprofiel (eenmalig) toestemming/machtiging van zijn ouders nodig heeft. De vraag vervolgens of facebook zich als verwerkingsverantwoordelijke voldoende redelijke inspanningen heeft getroost om te controleren of er sprake is van dergelijke ouderlijke toestemming of machtiging (artikel 8, tweede lid, AVG), is een vraag naar de concretisering van een open norm en daarover zal de Autoriteit persoonsgegevens zich een oordeel moeten gaan vellen.

Scholen vallen tot slot niet onder de reikwijdte van artikel 8 AVG. Scholen hebben als (wettelijke) taak om gegevens van leerlingen bij te houden, zoals ziekteverzuim en gegevens over hun vorderingen op school.13 Scholen hebben daarbij een (wettelijke) informatieplicht ten opzichte van ouders (of wettelijk vertegenwoordigers) zolang de leerling minderjarig is. Voor leerlingen tot 18 jaar geldt dus dat scholen ouders op de hoogte dienen te houden van de vorderingen van de leerling op school. De verplichting de ouders te informeren vervalt zodra de leerling meerderjarig wordt. Vanaf dat moment mogen de ouders alleen nog maar door de school worden geïnformeerd als de leerling daar toestemming voor heeft gegeven. Dat een kind voor een bepaalde leeftijd toestemming nodig heeft van zijn ouders voor een bepaalde handeling brengt niet met zich mee dat, omgekeerd, na het bereiken van die leeftijd een recht aan de ouders zou kunnen worden ontzegd. De school moet wel steeds een bewuste afweging maken of bepaalde gegevens in het kader van hun informatieplicht echt noodzakelijk zijn om met de ouders te delen en is daarover als verwerkingsverantwoordelijke verantwoording schuldig. Om te voldoen aan de informatieplicht is het in mijn ogen niet nodig dat kinderen «op ieder moment digitaal controleerbaar» zijn.

Vragen en opmerkingen van de leden van de PvdA-fractie

Op 15 juni 2017 is het wetsvoorstel ter advisering aangeboden aan de Afdeling advisering van de Raad van State die op 10 oktober 2017 haar advies uitbracht. Dit was een omvangrijk advies op grond waarvan, onder meer, de memorie van toelichting aanzienlijk is uitgebreid. Op 12 december 2017 is het aangepaste wetsvoorstel ingediend bij de Tweede Kamer.

Het is allereerst van belang om te constateren dat de AVG weliswaar nieuwe elementen bevat en hier en daar accenten verschuift, maar dat de basisbeginselen voor rechtmatige verwerking van persoonsgegevens zoals nu verankerd in de Wet bescherming persoonsgegevens eigenlijk stevig overeind blijven. Voor bedrijven en organisaties die al voldoen aan de eisen die op grond van de Wbp gelden en die een goed inzicht hebben in de eigen informatiestromen, is het nieuwe AVG-regime zeker geen aardverschuiving. Omdat het echter bij de totstandkoming van de AVG op 27 april 2016, geen geheim was dat het nalevingsniveau van de Richtlijn 45/96/EG en de daarop gebaseerde implementatiewetgeving in de lidstaten veelal te wensen over liet, is er gekozen voor een overgangsperiode van twee jaar. Dit had dus ook tot doel om die verwerkingsverantwoordelijken die nog achterstallig onderhoud weg moesten werken wat hun gegevenshuishouding betreft, voldoende tijd daarvoor te gunnen.

Vervolgens is er ook veel moeite gedaan om alle verwerkingsverantwoordelijken te informeren over de aankomende veranderingen. Een belangrijke taak van de Autoriteit persoonsgegevens op grond van de AVG is het geven van voorlichting en advies (zie bijvoorbeeld artikel 57, eerste lid, onderdelen b, d en e AVG). De Autoriteit persoonsgegevens heeft dan ook een leidende rol bij de communicatie en voorlichting over de AVG. Het budget van de Autoriteit persoonsgegevens is vanwege de uitbreiding van haar takenpakket op grond van de AVG verdubbeld. Of de Autoriteit persoonsgegevens daarmee voldoende is gefaciliteerd voor alle op haar rustende taken, wordt in overleg met de Autoriteit persoonsgegevens gemonitord, zodat extra budget beschikbaar kan worden gesteld, mocht dat nodig blijken.

Ook het Ministerie van JenV heeft zijn verantwoordelijkheid genomen door voorlichting en informatie over de nieuwe wetgeving te verschaffen. Hieronder wordt een aantal projecten genoemd, zowel van het ministerie als van de Autoriteit persoonsgegevens. Voor meer informatie over de concrete acties die zijn en worden ondernomen, wordt tevens verwezen naar de opsomming die is opgenomen in paragraaf 6.3.6 van de memorie van toelichting.

• • In 2017 zijn onder meer het nieuwe «Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) « en de flyer «Anticiperen op de AVG» op www.rijksoverheid.nl geplaatst. Dit digitale dossier is aangemaakt voor het algemene publiek en het bedrijfsleven.

• • JenV voert gesprekken met VNO-NCW, MKB-Nederland en de Autoriteit persoonsgegevens om te bezien in welke vorm de voorlichting voor het MKB het beste kan worden gegoten. In dit kader is ook besproken dat ondernemers zich in een latere fase van de implementatie met vragen over bijvoorbeeld de gekozen aanpak kunnen wenden tot de Autoriteit persoonsgegevens.

• • JenV heeft begin van dit jaar een toegankelijke Handleiding AVG en UAVG gepubliceerd. De handleiding is bedoeld voor iedereen die meer wil weten over de AVG en de UAVG, maar is primair bedoeld voor verwerkingsverantwoordelijken die hun organisatie op de AVG willen voorbereiden.

• • Speciaal voor het MKB is een praktische compacte brochure in voorbereiding die binnenkort wordt gepubliceerd. In samenwerking met VNO-NCW, MKB-Nederland en met medewerking van enkele brancheorganisaties, zijn daartoe de actuele vragen van kleine bedrijven over de AVG in kaart gebracht. Het gaat om vragen als wanneer is een FG verplicht, hoe lang mag ik gegevens bewaren, is de AVG van toepassing op mijn verwerking en wanneer ben ik verwerkingsverantwoordelijke? Uit de inventarisatie komt ook voren dat diverse branches reeds de nodige activiteiten hebben opgepakt om de achterban te mobiliseren en te ondersteunen om de omgang met persoonsgegevens binnen de organisatie in lijn te brengen met de AVG.15

• • De Autoriteit persoonsgegevens heeft de afgelopen periode veel informatie verschaft in het Dossier AVG op haar website en voorlichtingsactiviteiten uitgevoerd door bijvoorbeeld het geven van 70 presentaties op bijeenkomsten voor uiteenlopende branches, onder meer voor de financiële sector, de rijksoverheid, lokale overheden, het onderwijs, de zorg en de advertentiesector. Ook organiseerde de Autoriteit persoonsgegevens in samenwerking met het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) zelf een bijeenkomst voor FG’s.

• • De Autoriteit persoonsgegevens is op 29 januari jl. gestart met een voorlichtingscampagne om organisaties praktische hulp te bieden om te voldoen aan hun nieuwe plichten. Op hulpbijprivacy.nl, de campagnewebsite van de Autoriteit persoonsgegevens, worden hulpmiddelen aangeboden (voor het brede publiek, maar ook voor speciale doelgroepen zoals onderwijs, zorgverleners en webshops) en staat veel informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij.

• • Vanuit de gezamenlijke toezichthouders verenigd in het Europees Comité voor gegevensbescherming (de huidige Artikel 29-werkgroep) worden richtsnoeren opgesteld die de toepassing van de AVG ondersteunen.

• • De Europese Commissie heeft een budget beschikbaar gesteld voor voorlichting voor het MKB en is op 25 januari jongstleden zelf ook een voorlichtingscampagne gestart.

• • De VNG, VNO-NCW en MKB-Nederland organiseren voor de achterban op diverse plaatsen in Nederland bijeenkomsten rondom de AVG. Doelgroep zijn brancheverenigingen en individuele ondernemers. Doel is om bewustwording te genereren rondom de AVG en handvatten aan te reiken om in beweging te komen.

Onder de Wbp diende, zoals gezegd, de verwerkingsverantwoordelijke reeds zicht te hebben op informatiestromen. Bedrijven, overheden en publieke instellingen die op dit moment voldoen aan de Wbp kunnen zich daarom naar verwachting relatief eenvoudig voorbereiden en de inschatting bestaat dat vooral grote bedrijven voldoende op orde zullen zijn. Grote bedrijven zijn, gemiddeld genomen, zich meer bewust van het belang om op verantwoorde wijze om te gaan met persoonsgegevens alsmede van de financiële risico’s en de mogelijke reputatieschade in geval van niet-naleving.

Tussen de gemeenten onderling bestaan zeker verschillen in de mate waarin zij de gegevensverwerking op orde hebben. Op 6 juni 2017 organiseerden de Ministeries van JenV en BZK in samenwerking met het kenniscentrum «Europa decentraal», de VNG en de Unie van Waterschappen (UvW) een goedbezocht congres over de AVG voor decentrale overheden. De VNG biedt tevens een ondersteuningsprogramma om gemeenten, waar gewenst, te faciliteren met de voorbereiding op de AVG.

De indruk bestaat dat vooral kleine bedrijven en organisaties, ondanks deze voorlichting van de zijde van JenV, de Autoriteit persoonsgegevens, VNO-NCW en MKB-Nederland, nog niet altijd voldoende op de AVG zijn voorbereid. Om die reden geeft JenV in nauwe afstemming met VNO-NCW, MKB-Nederland en de Autoriteit persoonsgegevens binnenkort een extra publicatie voor het MKB uit. De Autoriteit persoonsgegevens besteedt voorts in het kader van haar voorlichtende taken op grond van artikel 57 van de AVG nadrukkelijk aandacht aan vragen die leven bij het midden- en kleinbedrijf. Hierbij is natuurlijk ook van belang dat er in de AVG sprake is van een risicogerichte aanpak waarbij de aard en de omvang de gegevensverwerking voor een belangrijk deel bepalen hoe verstrekkend de verplichtingen zijn die op de verwerkingsverantwoordelijke rusten. Tot slot kan worden gewezen op artikel 2a van de UAVG, waarin de Autoriteit persoonsgegevens wordt opgedragen bij de toepassing van de AVG de specifieke behoeften van het midden- en kleinbedrijf in aanmerking te nemen (zie tevens de beantwoording van vraag 7).

Het voorgaande neemt echter niet weg dat overheden, publieke instellingen en bedrijven vanaf 25 mei 2018 desgevraagd aan de Autoriteit persoonsgegevens verantwoording dienen af te kunnen leggen over de door hen uitgevoerde gegevensverwerking(en) en moeten kunnen aantonen dat die verwerkingen en de omgang met persoonsgegevens in lijn zijn met de AVG. Vanaf die datum dient de verwerkingsverantwoordelijke de uitoefening van rechten door de burger te faciliteren en een verzoek om bijvoorbeeld inzage in de persoonsgegevens die van betrokkenen worden verwerkt, tijdig en zorgvuldig af te handelen.

De Autoriteit persoonsgegevens is een onafhankelijke toezichthouder en de regering heeft dan ook geen zeggenschap over de wijze waarop de normen van de AVG zullen worden gehandhaafd. Uit de gesprekken die ik voer met maatschappelijke organisaties en ook uit het debat in de Tweede Kamer blijkt dat er zorgen bestaan over de taakopvatting van de Autoriteit persoonsgegevens en dan vooral over de wijze waarop de Autoriteit persoonsgegevens zich zal opstellen bij het handhaven.16 Ik heb toen aangegeven dat ik dit punt heb besproken met de voorzitter van de Autoriteit Persoonsgegevens, de heer Wolfsen, en dat deze mij verzekerde dat de Autoriteit persoonsgegevens, zeker in de eerste jaren dat de AVG van toepassing is, vooral zal inzetten op voorlichting en bijsturing en natuurlijk echt niet onmiddellijk op het beboeten van korfbalverenigingen of plaatselijke middenstanders, mits deze bereidwillig zijn om zich netjes aan de regels te houden. Vanzelfsprekend ligt dat anders als er sprake is van opzettelijke overtredingen of ernstige misstanden.17

Veel materiële normen die nu nog in de Wbp zijn opgenomen, gelden straks – al dan niet in aangepaste vorm – direct op grond van de AVG in alle lidstaten. Denk bijvoorbeeld aan de bepalingen over de verschillende rechten van betrokken maar ook aan de algemene beginselen inzake verwerking van persoonsgegevens, zoals de grondslagen voor verwerking. Daarnaast voorziet de AVG in nieuwe regels bijvoorbeeld over de taken van de toezichthoudende autoriteiten en de bevoegdheden die hen toekomen. Ook is nieuw dat de wijze waarop de verschillende toezichthoudende autoriteiten dienen samen te werken en detail is geregeld.

Wat dat betreft is de AVG een «klassieke» verordening die vanwege de directe werking in de nationale rechtsorde van de lidstaten geen implementatie vergt (of zelfs verdraagt, zie tevens de beantwoording van vraag 1 over het overschrijfverbod).

Met de inwerkingtreding van de AVG is sprake van een aanzienlijke uniformering van regels en daarmee van een vereenvoudiging van het gegevensbeschermingsrecht omdat deze normen in alle lidstaten straks gelijkluidend zullen zijn. Daarmee is een drempel geslecht ter bevordering van de free flow of data (een van de twee hoofddoelstellingen van de AVG), maar daarmee zijn ook betrokkenen gebaat omdat zij eenvoudiger hun rechten kunnen doen gelden (de andere hoofddoelstelling van de AVG), ook in situaties waarbij er sprake is van grensoverschrijdende verwerking van persoonsgegevens.

De AVG heeft echter ook deels het karakter van een richtlijn omdat in de AVG een aantal verplichtingen is opgenomen voor lidstaten tot het treffen van maatregelen. De belangrijkste daarvan is de verplichting om een toezichthoudende autoriteit aan te wijzen (artikel 5 van de AVG) en ervoor zorg te dragen dat deze autoriteit onafhankelijk is en kan beschikken over voldoende capaciteit en middelen (artikel 52, vierde lid van de AVG).

Verder is op grond van de AVG een aantal verwerkingen verboden. Dit geldt bijvoorbeeld voor het verwerken van bijzondere categorieën persoonsgegevens (artikel 9, eerste lid van de AVG) of geheel geautomatiseerde verwekingen op grond waarvan een besluit wordt genomen waaraan rechtsgevolgen zijn verbonden voor betrokkene of die de betrokken anderszins in aanmerkelijke mate treft (artikel 22 AVG). De AVG biedt echter vervolgens de mogelijkheid om de desbetreffende verwerking alsnog, onder het stellen van nadere voorwaarden, toe te staan op grond van lidstatelijk recht. De AVG hanteert bijvoorbeeld als uitgangspunt dat de verwerking van de bijzondere categorieën persoonsgegeven verboden is. De AVG bevat een aantal direct toepasselijke uitzonderingen op dit verbod, maar bevat tevens diverse grondslagen om bij nationaal recht andere uitzonderingen te regelen. Hier noopt de AVG dus wel tot implementatiewetgeving (UAVG) respectievelijk maakt de AVG het mogelijk om keuzes te maken in nationale wetgeving. Hiermee blijft het mogelijk om op een heel aantal terreinen nationaal in te blijven spelen op de specifieke maatschappelijke ontwikkelingen. Kortom de AVG en de UAVG vullen elkaar aan en er is geen sprake van een «verschil» tussen beide.

Beleidsneutrale implementatie wil vervolgens niets meer of minder zeggen dat, daar waar de AVG ruimte laat voor nationaalrechtelijke keuzes, de wetgever ervoor heeft gekozen om deze ruimte op dit moment niet in te vullen met nieuwe normen, maar de keuzes die in de Wbp ten aanzien van die onderwerpen reeds zijn gemaakt, over te nemen (de geboden ruimte in de AVG wordt, met ander woorden, wel degelijk ingevuld). Zo verbiedt de AVG – zoals gezegd- het verwerken van bijzondere categorieën persoonsgegevens, maar laat zij tevens ruimte om in nationaal recht uitzonderingen te formuleren op dit verbod. In de UAVG is vervolgens die ruimte ingevuld door waar mogelijk de bepalingen uit de Wbp over te nemen die zien op het verwerken van dit type gegevens.

Een van de belangrijke overwegingen om te kiezen voor beleidsneutrale implementatie op die punten waar de AVG ruimte laat voor nationaalrechtelijke keuzes, is de wens om verwerkingsverantwoordelijken bij de overgang naar het nieuwe gegevensbeschermingsrecht niet te belasten met onnodige veranderingen. Concreet betekent dat dat de UAVG materieel zo veel mogelijk dezelfde regels bevat als de huidige Wet bescherming persoonsgegevens daar waar de AVG keuzeruimte biedt voor de nationale wetgever. De nieuwe eisen die aan verwerkingsverantwoordelijken worden gesteld, vloeien zodoende alleen voort uit de AVG zelf.

Dat wil echter natuurlijk geenszins zeggen dat er geen verbeteringen mogelijk zouden zijn ten opzichte van de huidige Wbp. Dat is ook de reden dat de regering de motie van de leden Koopmans c.s. heeft overgenomen. In deze motie wordt de regering wordt verzocht de Kamer binnen een half jaar na inwerkingtreding van de AVG en de UAVG te berichten over de ervaringen met, en haar voornemens inzake, de aanpak, zo nodig door middel van nieuwe wetgeving, van in ieder geval de volgende aspecten:

• • de verwerking van gezondheidsgegevens in het kader van sportbeoefening, zoals van belang voor gehandicaptensport en (overige) topsport;

• • de verwerking van gegevens door kleinere organisaties als vrijwilligersverenigingen, sportverenigingen, kerkgenootschappen en andere;

• • de verwerking van gezondheidsgegevens van werknemers in geval van ziekte;

• • de privacyaspecten rondom het branchebreed aanleggen van zwarte lijsten van fraudeurs;

• • het toepassingsgebied van de verordening, met name gezien de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten;

• • de eerste ervaringen met de behandeling door de Autoriteit Persoonsgegevens van individuele verzoeken en klachten;

• • de leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven voor het gebruik van zijn/haar persoonsgegevens;

• • de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken;

• • de ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden;

• • de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming;

• • de mogelijkheid om een ex parte verbod analoog aan artikel 1019e van het Wetboek van Burgerlijke Rechtsvordering van toepassing te verklaren op ernstige schendingen van de Algemene verordening gegevensbescherming.18

Overigens sluit ik niet uit dat er zich, bij de eerste verkenning naar de mogelijkheden voor een eventuele modernisering van het gegevensbeschermingsrecht of naar aanleiding van de eerste ervaringen, ook nog andere onderwerpen of knelpunten zullen aandienen die van belang zijn om nader te onderzoeken. Per onderwerp zullen in ieder geval de precieze juridische mogelijkheden in kaart worden gebracht alsmede de verschillende implicaties van eventuele wijzigingen. Ook wil ik spreken met de betrokken belangenorganisaties en met de Autoriteit persoonsgegevens om een goed beeld te krijgen van de voor- en nadelen van eventuele wijzigingen. Een van de factoren die zeker zwaar zal meewegen bij de uiteindelijke beslissing over de vraag of wetswijzing aangewezen is, is uiteraard de wens om bedrijven, overheden en instellingen niet op korte termijn te confronteren met ingrijpende nieuwe eisen als dat niet noodzakelijk is.

Mocht er inderdaad aanleiding zijn om de UAVG op bepaalde punten aan te passen (vanzelfsprekend voor zover de AVG daartoe ruimte biedt) en mocht daarvoor ook draagvlak zijn, dan zou een daartoe strekkend wetsvoorstel nog in 2019 in consultatie kunnen worden gebracht.

Als de UAVG niet op 25 mei 2018 in werking treedt, dreigt er grote rechtsonzekerheid te ontstaan voor bedrijven, overheidsinstanties en burgers. Zo zal de Wbp zal in dat geval formeel van kracht blijven, maar niet meer volledig van toepassing zijn. Onderdelen die in strijd zijn met de AVG of onderwerpen regelen waarin de AVG voorziet, zullen met ingang van 25 mei 2018 van rechtswege buiten werking zijn gesteld. De onderdelen van de Wbp die nog wel van toepassing blijven, zullen dan zoveel mogelijk AVG-conform moeten worden uitgelegd. Het zal echter niet altijd op voorhand duidelijk zijn welke onderdelen niet langer van toepassing zijn en welke onderdelen AVG-conform uitgelegd kunnen worden.

Er zijn meer onwenselijke gevolgen. Er zal bijvoorbeeld geen grondslag meer zijn om een last onder bestuursdwang op te leggen (artikel 16 UAVG), om een bestuurlijke boete op te leggen bij onrechtmatige verwerking van strafrechtelijke gegevens (artikel 17 UAVG) en om een bestuurlijke boete op te leggen aan overheidsinstanties (artikel 18 UAVG).

Nog problematischer is dat er lacunes in de regelgeving ontstaan. De AVG vergt op belangrijke onderdelen nationale uitvoeringsregelgeving en de UAVG voorziet daarin. Een voorbeeld daarvan is artikel 40 UAVG, dat voorziet in een uitzondering op het in artikel 22 AVG verankerde recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Als de UAVG niet op 25 mei 2018 in werking treedt, zal geautomatiseerde besluitvorming zonder menselijke tussenkomst vanaf die datum in beginsel niet meer zijn toegestaan. Dit zou ertoe kunnen leiden dat bij de Belastingdienst geen geautomatiseerde besluitvorming meer kan plaatsvinden en dat uitkeringsinstanties geen uitkeringen meer kunnen verstrekken.

AEF heeft, in opdracht van de Autoriteit persoonsgegevens, de consequenties van de AVG voor het benodigde budget en de capaciteit van de Autoriteit persoonsgegevens uitgewerkt in drie scenario’s. De daadwerkelijke toekomstige ontwikkeling van volumes en de gevolgen voor de werklast, zoals het aantal verwachte klachten, bezwaar- en beroepsprocedures, zijn echter lastig in te schatten door het ontbreken van historische gegevens.

De scenario’s uit het AEF-rapport hebben om die reden een onzeker karakter. Ik heb er daarom voor gekozen vanaf 2019 € 7 miljoen structureel aan het budget van de Autoriteit persoonsgegevens toe te voegen. Dit is nagenoeg een verdubbeling van het budget. Aan de hand van de realisatiecijfers van de Autoriteit persoonsgegevens zal worden gemonitord of het benodigde bedrag lager of hoger uitvalt dan € 7 miljoen. Mocht er op basis van deze monitoring verdere uitbreiding noodzakelijk blijken dan ga ik uiteraard met de Autoriteit persoonsgegevens om tafel.

Bij een aantal partijen in het veld is de zorg ontstaan dat de AVG een beperking van de journalistieke ruimte met zich meebrengt, omdat de AVG ten aanzien van een aantal onderwerpen strengere regels stelt ten opzichte van de Wbp. De regering deelt deze zorg niet, omdat de belangrijkste wijzigingen die de AVG met zich meebrengt niet van toepassing zijn op de journalistieke praktijk. De betreffende bepalingen zijn namelijk uitgezonderd voor gegevensverwerkingen in het kader van journalistieke doeleinden. Het gaat daarbij met name om de versterking van de rechten van betrokkenen en de versteviging van de bevoegdheden voor de toezichthouder, waaronder de bevoegdheid om boetes op te leggen. Op grond van de journalistieke exceptie in artikel 43 UAVG zijn de rechten van betrokkenen echter categoraal uitgezonderd voor de journalistiek en is de toezichthouder niet bevoegd handhavend op te treden. Vanuit het oogpunt van beleidsneutrale implementatie is ervoor gekozen om het huidige regime voor journalistieke gegevensverwerkingen zoveel mogelijk te handhaven. Dat betekent dat de journalistieke exceptie bijna geheel overeenkomt met de bestaande ruimte onder de Wbp. Uitsluitend daar waar de ontwikkelingen in de jurisprudentie of de huidige praktijk daartoe noodzaak geven, is de ruimte voor de journalistiek verbreed. Zo kan een eenmaal verkregen toestemming door een betrokkene voor gegevensverwerking, bijvoorbeeld voor het publiceren of uitzenden van een gegeven interview, in beginsel niet worden ingetrokken. Voor nadere informatie over de journalistieke exceptie verwijs ik ook naar het antwoord op vraag 11. In het debat in de Tweede Kamer heb ik aangegeven dat ik dit onderwerp serieus neem, ervan overtuigd ben dat het nu goed is geregeld, maar dat ik dit onderwerp mee zal nemen in de brief die ik na de zomer zal sturen aan de Tweede Kamer en aan Uw kamer over wat we meer of anders kunnen doen als het gaat om de beleidsruimte die we nog hebben binnen de Europese wet- en regelgeving.22

De uitzondering voor meldplicht bij datalekken bij financiële ondernemingen is bij de invoering van de meldplicht datalekken welbewust opgenomen. Dit is in lijn met de reeds lang onder de Wet op het financieel toezicht bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkenen (klanten). Daarbij speelde de overweging dat dergelijke openbare kennisgevingen aan betrokkenen in de financiële sector te risicovol zijn om in zijn algemeenheid dwingend voor te schijven.23 Onvoorspelbaar is immers of een dergelijke openbare kennisgeving zal leiden tot het ontstaan van geruchten die niet meer op een zakelijke wijze kunnen worden ontzenuwd en die daardoor nodeloos aanleiding zouden kunnen geven tot verminderd vertrouwen van het publiek in de financiële sector of zelfs tot een bankrun.

De algemene zorgplicht die op financiële ondernemingen rust, brengt echter mee dat zij, als dat mogelijk is, hun klanten informeren.24 Tegelijkertijd geldt dat ingevolge PSD II de financieel toezichthouder in kennis moet worden gesteld van elk groot operationeel of beveiligingsincident (dit hoeft overigens niet tevens een datalek te zijn).25 Indien dit incident gevolgen kan hebben voor de financiële belangen van de betaaldienstgebruikers moeten ook de betaaldienstgebruikers onverwijld in kennis worden gesteld van het incident en moet aan hen worden meegedeeld hoe zij de mogelijk schadelijke gevolgen van het incident kunnen beperken.

Artikel 42 van het wetsvoorstel is identiek aan het elfde lid van artikel 34a Wbp. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is ervoor gekozen om deze bepaling ook in het wetsvoorstel weer op te nemen. Ik zie echter op dit moment ook geen aanleiding om deze regel te heroverwegen.

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

Artikel 91 AVG kan worden beschouwd als een overgangsbepaling met betrekking tot bestaande, interne gegevensbeschermingsregels van kerken en religieuze verenigingen. Indien kerken en religieuze verenigingen of gemeenschappen op 25 mei 2018 (het tijdstip waarop de AVG van kracht wordt) uitgebreide regels inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens toepassen, kunnen die regels van toepassing blijven. Voorwaarde daarvoor is wel dat die regels in overeenstemming zijn gebracht met de AVG. De reikwijdte is aldus nadrukkelijk beperkt tot kerken en religieuze verenigingen die op 25 mei 2018 beschikken over en toepassing geven aan uitgebreide regels als bedoeld in artikel 91, eerste lid, AVG. Of en in hoeverre deze regels voldoen aan de voorwaarden van artikel 91, eerste lid, AVG, is ter beoordeling aan de Autoriteit persoonsgegevens.

Verwerkingen van persoonsgegevens door kerkgenootschappen zullen moeten voldoen aan de AVG. Het is de verantwoordelijkheid van organisaties zelf om te zorgen dat zij hun gegevensverwerking zodanig inrichten, dat deze in overeenstemming is met de AVG. Dit geldt voor alle organisaties die persoonsgegevens verwerken, ook voor kerken. De Autoriteit persoonsgegevens heeft regelmatig contact met verschillende brancheorganisaties, teneinde eventuele vragen over de AVG te beantwoorden of om bijvoorbeeld gedragscodes te bespreken. De Autoriteit persoonsgegevens heeft ook overleg gehad met het CIO (Interkerkelijk Contact in Overheidszaken), onder andere over de betekenis en reikwijdte van artikel 91 AVG. In dit overleg zijn geen afspraken gemaakt over aanpassingen in de kerkelijke administraties. Zoals het er nu naar uitziet, zal er nader overleg plaatsvinden tussen de Autoriteit persoonsgegevens en het CIO, waarbij overigens het uitgangspunt blijft dat de kerkgenootschappen en het CIO er zelf verantwoordelijk voor zijn dat hun gegevensverwerkingen voldoen aan de eisen die de AVG daaraan stelt. Wel kan de Autoriteit persoonsgegevens vragen van het CIO beantwoorden of samen met het CIO de mogelijkheden bekijken om binnen de kaders van de AVG nadere invulling te geven aan de verwerking van persoonsgegevens door kerken en religieuze verenigingen of gemeenschappen.

In dit kader is verder nog van belang de door de Tweede Kamer aanvaarde motie-Koopmans c.s. over de hulpvaardige handhaving.26 In deze motie overweegt de Tweede Kamer dat bedrijven en maatschappelijke organisaties, waarbij kerkgenootschappen expliciet worden genoemd, nog veel vragen hebben over de inhoud en reikwijdte van de regels inzake gegevensverwerking. De Tweede Kamer stelt zich op het standpunt dat in deze fase de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair behoort te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving, onverlet haar handhavingstaak inzake bewuste schendingen. De motie roept tot slot de regering op dit standpunt uitdrukkelijk onder de aandacht van de Autoriteit persoonsgegevens te brengen. Gelet op deze motie zal ik bij Autoriteit persoonsgegevens nogmaals aandacht vragen voor de positie van kerkgenootschappen.

Artikel 91, tweede lid, AVG biedt lidstaten de mogelijkheid om een onafhankelijke toezichthoudende autoriteit op te richten, specifiek voor kerken en religieuze verenigingen die overeenkomstig het eerste lid uitgebreide regels hanteren, mits deze toezichthoudende autoriteit voldoet aan de voorwaarden die zijn vastgesteld in hoofdstuk VI van de AVG, waaronder volledige onafhankelijkheid. Aan een dergelijke specifieke autoriteit voor kerken en religieuze verenigingen waarop artikel 91, eerste lid, AVG van toepassing is, was en is geen behoefte. Kerken en religieuze verenigingen vallen aldus ten volle onder de reikwijdte van het toezicht van de Autoriteit persoonsgegevens. Artikel 91, tweede lid, AVG heeft voor Nederland geen inhoudelijke betekenis.

Overigens houdt de AVG ook in andere opzichten rekening met de bijzondere positie van kerkgenootschappen. Zo vloeit uit artikel 9, tweede lid, aanhef en onderdeel d, AVG voort dat bijzondere categorieën van persoonsgegevens, waaronder persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, mogen worden verwerkt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen. Voorwaarde daarbij is dat de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en dat de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt. Deze bepaling is ook op kerkgenootschappen van toepassing.

De Autoriteit persoonsgegevens spant zich in om door voorlichting (onder meer op haar website, telefonische uitleg) alle partijen die met de AVG te maken krijgen te helpen om te voldoen aan de verplichtingen die voortvloeien uit de AVG. Daarnaast vinden vele particuliere initiatieven op dat vlak plaats, ook specifiek gericht op sportclubs. Wat betreft de vraag wanneer sprake zal zijn van handhaving is van belang dat volgens vaste rechtspraak een bestuursorgaan, in beginsel, gehouden is om in te gaan op een concreet verzoek om te gaan handhaven door gebruik te maken van de ter beschikking staande bevoegdheden.27 Hoewel de inspanningen van de Autoriteit persoonsgegevens in eerste instantie erop zijn gericht dat organisaties handelen in overeenstemming met de AVG, staat het de Autoriteit persoonsgegevens daarom niet vrij om af te zien van handhavend optreden wanneer een belanghebbende nadat de AVG van toepassing is geworden verzoekt om op te treden tegen een overtreding van de AVG, alleen omdat de AVG nog maar kort van toepassing is. Wel heeft de Autoriteit persoonsgegevens aangegeven dat, zolang er geen sprake is van misstanden of opzettelijke schendingen, haar inspanningen erop zullen zijn gericht om het nalevingsniveau te bevorderen. Naast de bevoegdheid om een bestuurlijke boete op te leggen geeft de Autoriteit persoonsgegevens ook daartoe geëigende handhavingsinstrumenten ter beschikking. Op grond van artikel 16 UAVG kan de Autoriteit persoonsgegevens bijvoorbeeld een last onder dwangsom opleggen waarbij een verwerkingsverantwoordelijke voordat de dwangsom verbeurt een termijn wordt gegund om een geconstateerde overtreding te herstellen.

Deze memorie van antwoord wordt uitgebracht mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.

De Minister voor Rechtsbescherming, S. Dekker