Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Eerste Kamer der Staten-Generaal2017-201834851 nr. D

34 851 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

D MEMORIE VAN ANTWOORD

Ontvangen 18 april 2018

Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG). Naar aanleiding daarvan stellen zij graag een aantal vragen.

De leden van de fractie van de SP hebben met belangstelling kennisgenomen van de UAVG. Zij hebben nog enkele vragen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van dit in hun ogen belangrijke wetsvoorstel. Zij zijn van mening dat de Algemene verordening gegevensbescherming (hierna: AVG of verordening) en de UAVG een verbetering vormen ten opzichte van de huidige Wet bescherming persoonsgegevens (hierna: Wbp). Zij stellen graag enkele vragen met betrekking tot de uitvoerbaarheid en handhaafbaarheid van de UAVG.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van de UAVG. Dit voorstel regelt de instelling en inrichting van de Autoriteit Persoonsgegevens als nationale toezichthouder en de bevoegdheid van de Autoriteit om bestuurlijke boetes op te leggen. Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere regels. Organisaties moeten aantonen dat zij in overeenstemming met de verordening handelen en een register bijhouden van de verwerkingsactiviteiten die plaatsvinden. De fractieleden van de ChristenUnie stellen enkele vragen over de gevolgen van de UAVG voor kerkgenootschappen en de uitwerking van artikel 91 van de AVG in deze uitvoeringswet.

Vragen en opmerkingen van de leden van de VVD-fractie

Vraag 1 (VVD)

De leden van de VVD-fractie constateren dat de regering er wegens «het overschrijfverbod» voor heeft gekozen om de regels van de verordening in beginsel niet te incorporeren in de UAVG en noodzakelijke nationaalrechtelijke regels te verwerken op basis van een beleidsneutrale overname van de geldende regels onder de Wbp. Zij verzoeken de regering om een nadere uitleg of deze opsplitsing van regels over twee instrumenten van wetgeving de uitvoering en toepassing van de verordening en de UAVG voor overheden en bedrijven niet bemoeilijkt. Welke bezwaren ziet de regering om ook de regels van de verordening op te nemen in de Nederlandse wet, met het resultaat dat er één doorlopende en geordende wettekst tot stand komt?

In het Verdrag betreffende de Werking van de Europese Unie (VWEU) is in artikel 288 opgenomen dat teneinde de bevoegdheden van de Unie te kunnen uitoefenen, de instellingen verordeningen, richtlijnen, besluiten, aanbevelingen en adviezen kunnen vaststellen. In hetzelfde artikel is opgenomen: «Een verordening heeft een algemene strekking. Zij is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.» Deze rechtstreekse werking is een van de belangrijkste kenmerken van een verordening, en onderscheidt dit instrument ten opzichte van richtlijnen, waarbij de lidstaten de bevoegdheid wordt gelaten om vorm en middelen te kiezen ten aanzien van het te bereiken resultaat.

Het Hof van Justitie van de Europese Unie leidt hieruit af dat ten aanzien van verordeningen een zogenaamd overschrijfverbod geldt.1 Dit betekent dat regels die in verordeningen zijn opgenomen niet mogen worden overgenomen in het nationale recht. Ze gelden immers al direct in de lidstaten op grond van de verordening. Dit neemt overigens niet weg dat er wel degelijk vaak uitvoeringsregelgeving noodzakelijk is (soms verplicht is) om technisch de werking in iedere lidstaat te garanderen.

De UAVG is een dergelijke uitvoeringsregeling. De AVG is echter ook een bijzondere verordening aangezien de AVG een groot aantal punten aanvullende nationale wetgeving vereist of mogelijk maakt. Dat is de reden dat overweging 8 bij de AVG is opgenomen luidende: «Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn.»2

Van deze beperkte ruimte die de AVG biedt om regels uit de verordening over te nemen in het nationale recht, is gebruik gemaakt, bijvoorbeeld in artikel 22 UAVG. Dit naar aanleiding van het advies van de Afdeling advisering van de Raad van State om van deze mogelijkheid gebruik te maken voor wat betreft de uitvoering van artikel 9 AVG over bijzondere categorieën persoonsgegevens, zulks omwille van de samenhang en de begrijpelijkheid van de bepalingen.3 Het in algemene zin overnemen van normen uit de AVG in het nationale recht blijft echter, voor het overige, in strijd met de Europese regels.

Het vorenstaande moet overigens worden onderscheiden van de keuze voor een beleidsneutrale implementatie. Om de voortgang van het wetgevingsproces niet te vertragen en de overgang van Wbp naar AVG voor de praktijk te vergemakkelijken, heeft regering ervoor gekozen om daar waar de AVG ruimte laat voor nationaalrechtelijke invulling of afwijking van de AVG, zoveel mogelijk aan te sluiten bij het materiële recht zoals dat thans geldt krachtens de Wbp. Inhoudelijke wijzigingen kunnen zo nodig in een volgende fase ter hand worden genomen.4

Vraag 2 (VVD)

De VVD-fractieleden vragen of de regering een uitvoeringstoets heeft toegepast voor de beoordeling of de wetgeving (de AVG en de UAVG) voor overheden en bedrijfsleven leidt tot werkbare regelgeving. Indien geen uitvoeringstoets is uitgevoerd, verzoeken deze leden om een motivering.

Op het ontwerp voor de AVG is door de Europese Commissie een aantal toetsen uitgevoerd die als bijlagen bij het ontwerp bekend zijn gemaakt. Zoals in paragraaf 6.3.2 van de memorie van toelichting al is uiteengezet, hebben deze toetsen (naast de substantiële bijdragen van de lidstaten, waaronder Nederland) geleid tot een aangepaste verordening waarin de verplichtingen van de verwerkingsverantwoordelijke meer toegespitst zijn op de risico’s van de verwerkingen om zo de kosten voor verwerkingsverantwoordelijken te differentiëren naarmate er gevoeligere gegevens worden verwerkt en/of meer risico’s te verwachten zijn.

Daarnaast is er door de regering veel aan gedaan om de verordening tegen zo laag mogelijke lasten uitvoerbaar te houden. Gedurende de vele jaren dat over de AVG is onderhandeld, is er permanent en nauw contact geweest met vertegenwoordigers van belanghebbende ministeries, het bedrijfsleven en de toezichthouder dat er mede op gericht was voorafgaand aan elke onderhandelingsronde de aandacht voor vraagstukken als regeldruk en het beheersen van administratieve lasten en nalevingskosten in de onderhandelingen in te brengen. De Nederlandse inbreng heeft er mede toe geleid dat er in de AVG sprake is van verschillende gelaagde verplichtingen die beogen de lasten voor het midden- en kleinbedrijf te verlagen. Dit komt tot uitdrukking in de artikelen 25, eerste lid, 30, vijfde lid, 32, eerste lid, 35, eerste lid en 36, eerste lid, AVG.

Vanwege de keuze om de ruimte die de AVG laat voor de nationale wetgever in de UAVG beleidsneutraal in te vullen ten opzicht van hetgeen al geldt op grond van de Wbp, brengt de UAVG zelf geen – of slechts verwaarloosbare – uitvoeringskosten en invoeringslaten met zich mee (zie ook paragraaf 6.3 van de memorie van toelichting).

Wat het wetsvoorstel betreft wordt in paragraaf 7.2 van de memorie van toelichting beschreven op welke wijze de toezichthouder de uitvoerbaarheid van het wetsvoorstel heeft beoordeeld en wordt uiteengezet tot welke aanpassingen het advies van de Autoriteit persoonsgegevens heeft geleid.

Het voorgaande neemt niet weg dat de verordening en het wetsvoorstel een zeer gecompliceerd geheel van regelgeving vormen. Het is daarom van belang de toegang tot deze regels zo goed mogelijk te ontsluiten en de regels zo begrijpelijk mogelijk te maken. Met het oog daarop is in januari van dit jaar door mijn ministerie onder meer een Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming opgesteld. Voor een overzicht van overige activiteiten in dit verband verwijs ik naar paragraaf 6.3.6 van de memorie van toelichting en tevens naar de beantwoording van vraag 14.

Vraag 3 (VVD)

De regering heeft gekozen voor een beleidsneutrale implementatie, onder meer gelet op de korte periode van circa twee jaar tot de inwerkingtreding van de verordening. De argumenten die de regering daarvoor opbrengt, zijn met name consistentie in nationaal beleid, beperking van kosten, en de snelle technologische ontwikkelingen op het terrein van dataverwerking. De VVD-fractieleden vragen hoe de regering de verdere invulling van normen en goede praktijken voor de gegevensbescherming van natuurlijke personen wil stimuleren. Zij vernemen graag of de regering onderzoek heeft gedaan of het overlaten van de verdere invulling van normen en goede praktijken door met name de toezichthouder op basis van «trial and error», mogelijk kan leiden tot slepende en kostbare procedures voor betrokkenen en het veld. Hoe wenst de regering voor de toekomst haar rol in te vullen bij de bescherming van persoonsgegevens van natuurlijke personen naast de toezichthouder, de rechter, de betrokkenen en het veld?

Waar het gaat om het nader uitwerken en verfijnen van normen van de AVG in de vorm van onder meer richtsnoeren aanbevelingen en «best practices» alsmede het eventueel aanpassen van deze invulling mochten maatschappelijke of technologische ontwikkelingen daartoe aanleiding geven, zijn de toezichthoudende autoriteiten verenigd in het Comité in eerste instantie aan zet.

Nu de normen immers directe werking hebben in alle lidstaten is het van belang dat deze normen op een zelfde wijze worden uitgelegd en nader ingevuld, dit om te voorkomen dat door verschillende nationale interpretaties het gegevensbeschermingsrecht weer tot een lappendeken verwordt. Het vaststellen van richtsnoeren, aanbevelingen en best practices door het Comité dient dan ook expliciet dit doel. Zoals in overwegingen 9 en 10 is aangeven, is een van de doelstellingen van de AVG immers om verschillen in de uitvoering en toepassing te voorkomen en zorg te dragen dat er in de gehele Unie coherente en homogene toepassing plaatsvindt van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

De reden dat er geen onderzoek is verricht naar de wijze waarop het Comité richtsnoeren en handreikingen zal gaan uitvaardigen is gelegen in het feit dat ook nu al door de Artikel 29-werkgroep dergelijke adviezen worden uitgebracht.5 Met het uitbrengen van adviezen, handreikingen, richtsnoeren en wat dies meer zij voorziet de Artikel 29-werkgroep in een duidelijke behoefte van zowel verwerkingsverantwoordelijken als toezichthoudende autoriteiten. De totstandkoming van de adviezen geschiedt overigens niet op basis van «trial and error» maar in onderlinge samenspraak en na een openbare consultatieprocedure en hiermee worden juist «langdurige en kostbare procedures» voorkomen. Zo zal er evenmin sprake kunnen zijn van handhaving door de Autoriteit persoonsgegevens op basis van «trial and error». De Autoriteit persoonsgegevens is immers als bestuursorgaan gehouden om de beginselen van de Algemene wet bestuursrecht in acht te nemen.

De behoefte aan nadere invulling van en praktische handvatten bij de toepassing van de open normen van de AVG zal naar verwachting de eerste periode dat de AVG van kracht is, groot zijn. Anticiperend op de inwerkingtreding van de AVG heeft de Artikel 29-werkgroep dan ook reeds enkele richtsnoeren uitgevaardigd over de uitleg van normen in de AVG, die mede door de Autoriteit persoonsgegevens onder de aandacht zijn gebracht bij het Nederlandse publiek, en hierover een open consultatie gevoerd.6

Het is van belang te constateren dat de adviezen die nu de Artikel 29-werkgroep uitbrengt en straks het Comité zal uitbrengen uitdrukkelijk geen juridisch bindend karakter hebben en louter dienen als handvat/richtsnoer voor de rechtspraktijk. Een verwerkingsverantwoordelijke zal dan ook altijd een eigen afweging moeten blijven maken of en in hoeverre hij in zijn eigen specifieke context dergelijke «soft law» zal toepassen. Ook de nationale toezichthouders zullen deze adviezen gebruiken als richtsnoer bij het toepassen van hun toezichthoudende bevoegdheden en daarmee dragen deze adviezen bij aan de voorspelbaarheid van het toezichthoudend optreden. Maar uiteindelijk zijn het nationale rechter in eerste instantie en het EU Hof in laatste instantie die oordelen over de juiste invulling en toepassing van open normen in een specifieke casus.

Het voorgaande wil echter niet zeggen dat er geen rol is weggelegd voor de nationale wetgever. Daar waar de AVG ruimte laat voor nationale regelgeving om bepaalde verwerkingen onder nader te stellen voorwaarden bijvoorbeeld toe te staan, kan de nationale wetgever immers vanzelfsprekend blijven bijdragen aan de wijze waarop het persoonsgegevensbeschermingsrecht in Nederland zich verder ontwikkelt. Ook kunnen in nationale wetgeving nieuwe wettelijke verplichtingen worden opgenomen of taken van algemeen belang worden opgedragen aan bepaalde organisaties die nopen tot het verwerken van bepaalde gegevens en waarmee dan meteen een grondslag om die gegevens ook daadwerkelijk te verwerken wordt gecreëerd voor zover noodzakelijk voor het voldoen aan een verplichting respectievelijk het uitvoeren van de taak van algemeen belang. Kortom het gegevensbeschermingsrecht is met de inwerkingtreding van de AVG en de UAVG nog niet «af». In het antwoord op vraag 16 ga ik nader in op de onderwerpen die ik in ieder geval op korte termijn nader zal bezien met het oog om een mogelijk wenselijke verdere modernisering van het gegevensbeschermingsrecht.

De onmiskenbare «snelle technologische ontwikkelingen op het terrein van dataverwerking» pleiten voor flexibele en techniek-neutrale normen zoals opgenomen in de AVG, maar deze ontwikkelingen hebben niet ten grondslag gelegen aan de keuze voor een beleidsneutrale implementatie. Voor nadere informatie over deze keuze, verwijs ik graag naar het antwoord op de vraag 16.

Vraag 4 (VVD)

Artikel 33 van de AVG inzake de melding van een inbreuk in verband met persoonsgegevens bepaalt dat de verwerkingsverantwoordelijke (in lid 1) en de verwerker (in lid 2) bij een inbreuk de bevoegde toezichthoudende autoriteit, respectievelijk de verwerkingsverantwoordelijke, zonder onredelijke vertraging in kennis stellen van de inbreuk. Een verwerkingsverantwoordelijke dient, indien mogelijk, daarbij een termijn van uiterlijk 72 uur aan te houden. De VVD-fractieleden verzoeken de regering om voorbeelden te geven van redenen die aanleiding kunnen zijn voor een redelijke vertraging. Tevens vragen zij de regering welke termijn verwerkers, zoals een ICT-werker voor wie de termijn van 72 uur niet geldt, ten minste dienen aan te houden. Deze leden vragen voorts welke termijnen in dit verband gelden voor de toepassing van het vierde lid van artikel 33 van de AVG, dat gaat over de situatie dat het niet mogelijk is om alle informatie gelijktijdig te verstrekken maar wel in stappen, echter zonder onredelijke vertraging.

De vraag wanneer er precies sprake is van een onredelijke vertraging is een vraag naar de nadere invulling en concretisering van een open norm uit de AVG. Voor dergelijke vraagstukken is geen rol voor de nationale wetgever weggelegd (zie tevens de beantwoording van 9).

In de praktijk zullen er zich twee situaties kunnen voordoen waarin het stapsgewijs verstrekken van informatie aan de Autoriteit persoonsgegevens gerechtvaardigd is. Ten eerste kan het zijn dat de verwerkingsverantwoordelijke bij het doen van de initiële melding nog geen volledig zicht heeft op de persoonsgegevens die zijn gelekt, en nog moet beslissen of hij de betrokkenen gaat informeren. De tweede denkbare situatie is dat de verwerkingsverantwoordelijke nog bezig is met het onderzoeken van de oorzaak van de inbreuk en nog vast moet stellen welke maatregelen hij moet treffen om herhaling te voorkomen. In het eerste geval zou dit een kwestie van een paar dagen moeten zijn, in het tweede geval kan de doorlooptijd langer zijn, zeker als er een externe deskundige is aangezocht die onderzoek moet doen en rapport moet uitbrengen.

De Autoriteit persoonsgegevens gaf desgevraagd de volgende fictieve voorbeelden van omstandigheden waaronder enige vertraging niet onredelijk kan worden geacht:

  • de laptop van een medewerker wordt gestolen en de verwerkingsverantwoordelijke onderzoekt of daar persoonsgegevens op stonden en wat voor persoonsgegevens dat waren;

  • een klant meldt bij de klantenservice dat hij in een klantportaal de gegevens van een andere klant heeft gezien, en de verwerkingsverantwoordelijke belt de klant terug om na te gaan hoe e.e.a. zich heeft voorgedaan en wat de klant precies heeft gezien;

  • er is een hack geweest, en de verwerkingsverantwoordelijke doet een eerste onderzoek om vast te stellen of daarbij persoonsgegevens in het geding geweest kunnen zijn.

Er kan dus wel enig onderzoek aan de melding vooraf gaan, maar bijvoorbeeld niet een externe audit van een paar maanden. Als een eerste onderzoek geen uitsluitsel geeft, dan geldt de stelregel: «bij twijfel melden».

Een verwerker hoeft geen inschatting te maken van de risico's die een inbreuk met zich meebrengt voor de persoonlijke levenssfeer van de betrokkenen: hij hoeft alleen maar vast te stellen dat er een inbreuk is geweest, en hij moet de verwerkingsverantwoordelijke daar zonder onredelijke vertraging van in kennis stellen. «Zonder onredelijke vertraging» zal in de praktijk in veel gevallen betekenen: onmiddellijk, of maximaal binnen 24 uur. Verwerkingsverantwoordelijke en verwerker zullen hier afspraken over moeten maken. Ook overweging 87 AVG gaat ervan uit dat de verwerkingsverantwoordelijke alle passende technische en organisatorische maatregelen dient te nemen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit daarvan onverwijld in kennis te stellen. Dit geldt ook bij verwerking door een verwerker: de verwerkingsverantwoordelijke moet met de verwerker afspreken dat hij tijdig op de hoogte wordt gesteld van een eventuele inbreuk, zodat hij als verwerkingsverantwoordelijke in staat is om aan de verplichtingen op grond van artikel 33 AVG te voldoen.

Vraag 5 (VVD)

Artikel 20, eerste lid, van de UAVG betreft de situatie dat de Autoriteit Persoonsgegevens gegronde redenen heeft om aan te nemen dat een zogenoemd «adequaatheidsbesluit» van de Europese Commissie onvoldoende waarborgen biedt voor de doorgifte van persoonsgegevens buiten de EU of aan een internationale organisatie. De Autoriteit kan in een voorkomend geval een verzoek indienen bij de Afdeling bestuursrechtspraak van de Raad van State om voor recht te verklaren dat het betreffende besluit geldig is. De leden van de VVD-fractie vragen de regering op welke gronden de keuze voor dit rechtscollege is gebaseerd.

Voor de Afdeling bestuursrechtspraak van de Raad van State is gekozen omdat de Autoriteit persoonsgegevens als bestuursorgaan is ingebed in het bestuursrecht. Tevens is met de keuze voor de Afdeling bestuursrechtspraak de wens van de Autoriteit persoonsgegevens gehonoreerd om in dit verband één en dezelfde rechter en niet verschillende rechtbanken de zaak te laten behandelen en beslissen.7 Het gaat erom dat de rechtsvraag zo snel mogelijk aan de hoogste Europese rechter kan worden voorgelegd zodat er snel uitsluitsel kan komen over de vraag of het adequaatheidsbesluit al dan niet stand kan houden.

Vraag 6 (VVD)

De UAVG bepaalt in artikel 43 dat deze wet niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen. Het gebruik van het woord «uitsluitend» geeft de leden van de VVD-fractie aanleiding tot de vraag aan de regering of dergelijke nauw omlijnde doeleinden en uitdrukkingsvormen eigenlijk alleen kenbaar zijn op basis van publicatie. Zij vragen de regering dan ook op welke wijze journalistieke, academische, artistieke of literaire voorbereidingshandelingen voor een publicatie waarbij persoonsgegevens worden uitgewisseld, worden uitgezonderd van de toepassing van de verordening en de UAVG.

Op grond van de zogenoemde journalistieke exceptie zijn de UAVG en de meeste materiële normen van de AVG niet van toepassing op verwerkingen van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor academische, artistieke of literaire uitdrukkingsvormen. Onder gegevensverwerkingen voor voornoemde doelen moeten niet alleen publicaties, maar ook voorbereidingshandelingen voor een publicatie worden begrepen. Zo kan het in voorbereiding op een publicatie nodig zijn om gegevens te vergaren, te registreren en te analyseren. Journalistieke, academische, artistieke of literaire voorbereidingshandelingen voor een publicatie waarbij persoonsgegevens worden verwerkt, vallen alle aldus binnen reikwijdte van de journalistieke exceptie. Afhankelijk van de feitelijke omstandigheden zal moeten worden beoordeeld of een verwerking uitsluitend voor een van de genoemde doeleinden plaatsvindt. De verwerkingsverantwoordelijke zal daarbij ook moeten afwegen of de betreffende verwerking voldoet aan de beginselen van proportionaliteit en noodzakelijkheid. De noodzakelijkheidseis strekt daarbij overigens niet zo ver dat verwerking van persoonsgegevens alleen is toegestaan indien vaststaat dat deze uitmondt in een publicatie. In de praktijk is immers vaak niet mogelijk om op voorhand vast te stellen of journalistieke, academische, artistieke of literaire werkzaamheden daadwerkelijk tot een publicatie leiden.

Vraag 7 (VVD)

In artikel 2a van de UAVG wordt bepaald dat de Autoriteit Persoonsgegevens bij de toepassing van de verordening de specifieke behoeften van kleine, middelgrote en micro-ondernemingen in aanmerking moet nemen. De leden van de VVD-fractie realiseren zich dat deze bepaling via een amendement8 van de Tweede Kamer is toegevoegd. Wil de regering toelichten wat die specifieke behoeften inhouden? En waarin verschillen deze behoeften van genoemde ondernemingen ten aanzien van alle andere ondernemingen en organisaties die niet in de groep van de in artikel 2a van de UAVG bedoelde categorieën vallen? Welke consequenties heeft deze bepaling voor de reikwijdte van de verplichtingen die uit de verordening voortvloeien voor de in artikel 2a genoemde ondernemingen? Gelden alle verplichtingen onverkort en zal de Autoriteit Persoonsgegevens zich alleen coulanter opstellen bij de uitoefening van haar bevoegdheden? Of mogen genoemde ondernemingen op een andere wijze invulling geven aan de verplichtingen van de verordening? Zo ja, wat is dan die andere wijze? In het kader van de rechtszekerheid is het van belang dat de regering duidelijk aangeeft wat de reikwijdte is van deze bepaling en dat zij deze bepaling nader duidt.

Met het opnemen van artikel 2a in de UAVG wordt de laatste passage van overweging 13 bij de AVG overgenomen in nationale wetgeving. Artikel 2a AVG wijkt in zoverre af van die passage dat het een verplichting inhoudt voor de Autoriteit persoonsgegevens om de specifieke behoeften van kleine, middelgrote en micro-ondernemingen (het midden- en kleinbedrijf) in aanmerking te nemen bij de toepassing van de AVG, terwijl overweging 13 bij de AVG de lidstaten en hun toezichthoudende autoriteiten niet verplicht om die specifieke behoeften in aanmerking te nemen, maar hen daartoe aanmoedigt. Op andere plekken in de AVG komen deze specifieke behoeften ook terug: zij worden ook genoemd in artikel 40, eerste lid, AVG (over het bevorderen van het opstellen van gedragscodes) en artikel 42 AVG (over het bevorderen van certificeringsmechanismen). In de AVG wordt dus rekening gehouden met de specifieke behoeften van het midden- en kleinbedrijf en nu in het verlengde daarvan ook in artikel 2a UAVG. Dit ziet er dan met name op dat door de Autoriteit persoonsgegevens bij de toepassing van de AVG rekening wordt gehouden met de omvang van de desbetreffende onderneming in die zin dat van grotere ondernemingen grosso modo mag worden verwacht dat zij beschikken over meer mogelijkheden en middelen dan kleinere ondernemingen. Deze verwachting is niet alleen ten aanzien van ondernemingen gerechtvaardigd, maar ook ten aanzien van andere organisaties. Overigens kan ook in het midden- en kleinbedrijf vanzelfsprekend sprake zijn van risicovolle verwerkingen. Het is van belang te benadrukken dat de risicogerichte benadering van de AVG in die gevallen altijd de doorslag geeft.

Er wordt meer verwacht van een verwerkingsverantwoordelijke naarmate de verwerkingen waarvoor hij verantwoordelijk is meer risico’s voor betrokkenen met zich mee brengen, ongeacht de grootte van de organisatie van de verwerkingsverantwoordelijke. Dat zowel omvang als aard van de verwerkingen belangrijke factoren zijn voor de wijze waarop de verwerkingsverantwoordelijke invulling moet geven aan de eisen op grond van de AVG, komt bijvoorbeeld tot uiting in de artikelen 25, eerste lid, 30, vijfde lid, 32, eerste lid, 35, eerste lid en 36, eerste lid, AVG.

In de voornoemde artikelen 40 en 42 AVG worden het midden- en kleinbedrijf en andere kleinere organisaties specifiek genoemd. In overweging 13 bij de AVG wordt aangegeven dat de uitzondering voor de specifieke regeling tot het bijhouden van een register van de verwerkingsactiviteiten voor ondernemingen of organisaties die minder dan 250 werknemers in dienst hebben (zie artikel 30, vijfde lid, AVG), is opgenomen om rekening te houden met de specifieke situatie van het midden- en kleinbedrijf en andere.9 Ook op andere plekken biedt de AVG ruimte om rekening te houden met de omvang van een organisatie. Zo zal bij het bepalen van de hoogte van een boete bij grotere organisaties doorgaans een hoger boetebedrag aan de orde zijn, wil de boete doeltreffend, evenredig en afschrikwekkend zijn, zoals artikel 83 AVG vereist. Als bestuursorgaan is de Autoriteit persoonsgegevens bij al haar optreden gehouden aan de beginselen van behoorlijk bestuur en zij dient bij het nemen van een besluit alle relevante belangen mee te wegen (zie onder meer artikelen 3:2 en 3:4 Algemene wet bestuursrecht (Awb)). Artikel 2a AVG benoemt nu een van die belangen specifiek, maar betekent niet dat andere belangen per definitie minder gewicht in de schaal leggen.

De Autoriteit persoonsgegevens besteedt in het kader van haar voorlichtende taken op grond van artikel 57 AVG nadrukkelijk aandacht aan vragen die leven bij het midden- en kleinbedrijf. Het belangrijkste verschil tussen grotere en kleinere organisaties is dat naarmate de organisatie kleiner is de behoefte aan eenvoudige, toegankelijke en op de specifieke situatie toegespitste informatie, gemiddeld genomen, navenant toeneemt. Dat is ook de reden dat ik in overleg met de Autoriteit persoonsgegevens en VNO/NCW zeer binnenkort een brochure zal uitbrengen speciaal voor het kleinbedrijf om hen snel wegwijs te maken in de hoofdbeginselen van de (U)AVG.

Dat de AVG op een aantal punten ruimte biedt om rekening te houden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen doet er tot slot natuurlijk niet aan af dat alle verwerkingsverantwoordelijken gehouden zijn om op 25 mei 2018 de eisen van de AVG na te leven. Soms vloeit uit de aard van de bepalingen van de AVG voort dat bij de toepassing daarvan geen enkele ruimte bestaat om een onderscheid te maken tussen kleinere en grotere verwerkingsverantwoordelijken. Dit is bijvoorbeeld het geval bij de grondslagen waarop verwerking van persoonsgegevens dient te zijn gebaseerd (artikel 6, eerste lid, AVG) of bij de voorwaarden die worden gesteld aan toestemming (artikel 7 AVG).

Vragen en opmerkingen van de leden van de SP-fractie

Vraag 8 (SP)

Met enig fronsen hebben de fractieleden van de SP gekeken naar de totstandkoming van de verordening. Niet zozeer vanwege dit eindtraject, maar wel wat eraan vooraf is gegaan. Het is absoluut waar dat goede gegevensbescherming juist grensoverschrijdend geregeld moet worden, anders is de veiligheid die inwoners van Nederland geboden moet worden, net zo ver als dat de grens reikt en dat is in de digitale wereld echt te weinig. Tegelijkertijd is dit proces een merkwaardig proces geweest met verstrekkende gevolgen, niet alleen in Europa, maar ook erbuiten. De leden van de fractie van de SP vragen of de wetgeving met betrekking tot gegevensbescherming nu Europa gaat isoleren van de rest van de wereld, of dat dit de nieuwe standaard gaat worden. Zij zijn benieuwd naar de visie van de regering hierop.

Mondiaal beschouwd zijn er twee onderscheiden stelsels van privacybescherming. In het Europese model wordt de bescherming van de persoonlijke levenssfeer en de daarmee nauw samenhangende bescherming van persoonsgegevens aangemerkt als een grondrecht dat niet alleen tegen de overheid kan worden ingeroepen, maar ook in belangrijke mate tussen burgers, consumenten en werknemers enerzijds en instellingen, bedrijven en werkgevers anderzijds doorwerkt (horizontale privacy). Dat komt tot uiting in normen als artikel 8 EVRM, de artikelen 7 en 8 Handvest van de Grondrechten van de EU en artikel 10 Grondwet. Belangrijkste kenmerken van dit stelsel zijn dat de realisatie van deze grondrechten moet worden uitgewerkt in wetgeving, en dat op de uitoefening van het grondrecht toezicht plaatsvindt door een toezichthouder die onafhankelijk is en over de nodige bevoegdheden beschikt.

In het Noord-Amerikaanse model staat de bescherming van persoonsgegevens in beginsel los van de bescherming van de persoonlijke levenssfeer en wordt dit recht, in ieder geval in de Verenigde Staten, niet als grondrecht gezien, althans niet als zodanig erkend in de wetgeving en de rechtspraak van het Hooggerechtshof. In de Verenigde Staten en Canada is, mede als gevolg van de federale staatsvorm in die landen, geen sprake van een samenhangende gegevensbeschermingswetgeving, maar verschilt deze van sector tot sector. Er zijn daarnaast ook veel onderlinge verschillen tussen het Amerikaanse en het Canadese privacyrecht. Als gemeenschappelijk element valt wel te benoemen dat in de sectorale wetgeving gegevensbescherming doorgaans niet meer dan een aspect is dat geregeld wordt naast vele andere aspecten. Het wordt doorgaans gezien als een verplichting tot schadevoorkoming en -beperking van de wederpartij in een contractuele verhouding. Een algemeen bevoegde toezichthouder naar Europees model ontbreekt. Voor de overheid is er in de Verenigde Staten intern georganiseerd toezicht en voor het bedrijfsleven vervult de Federal Trade Commission een belangrijke toezichthoudende rol. In Canada is er op federaal niveau wel een toezichthouder, de Office of the Privacy Commissioner of Canada. Diens positie en bevoegdheden verschillen aanzienlijk van die van de Europese toezichthouders.

Het Europese model is, uiteraard, geldend in de Europese Unie, maar heeft ook overigens in de rest van Europa een sterke invloed. Zo is het bedoeling dat de AVG ook in de landen van de Europese Economische Ruimte (Noorwegen, IJsland en Liechtenstein) gaat gelden, net zoals dat nu het geval is voor de huidige richtlijn. Een besluit daartoe moet overigens nog worden genomen door het daartoe bevoegde Comité.

Daarnaast is de AVG een van de uitgangspunten in de lopende onderhandelingen over de herziening van het Verdrag van de Raad van Europa uit 1981. In die onderhandelingen onderhandelt de Europese Commissie namens de Unie – voor zover althans de Uniebevoegdheden strekken. Het is de taak van de Commissie erop toe te zien dat het nieuwe verdrag geen regels bevat die strijdig zijn met de AVG. Het potentieel van dit verdrag is in beginsel groot. Het zal gaan gelden voor alle staten die partij zijn bij de Raad van Europa, dus ook voor staten als Zwitserland, Turkije en de Russische Federatie. Daar komt bij dat dit verdrag ook open staat voor de toetreding van staten die geen lid zijn van de Raad van Europa. Er zijn inmiddels diverse landen uit Latijns-Amerika en Afrika toegetreden, en er is sprake van groeiende belangstelling van meer landen voor toetreding.

Het Europese model heeft ook een extern effect door de vaststelling van toereikendheidsoordelen (in de terminologie van de AVG: adequaatheidsbesluiten) door de Commissie. Daarvan bestaan er thans elf. Het beleid bij de vaststelling van deze uitvoeringsverordeningen is echter tot dusverre niet buitengewoon succesvol geweest. De oordelen die gelden voor Canada en de Verenigde Staten (Safe Harbour en Privacy Shield) bieden een bescherming die tot bepaalde sectoren van het bedrijfsleven is beperkt en die bovendien geen betrekking hebben op de verhouding met het recht van de staten van de VS en de provincies van Canada. Deze staten en provincies hebben relevante bevoegdheden op het gebied van gegevensbescherming. Adequaatheidsbesluiten hebben echter eigenlijk een andere bedoeling. Zij zijn in wezen gebaseerd op de gedachte dat er tussen de Unie en het desbetreffende land een ruimte wordt gevormd waarbinnen gegevens vrijelijk kunnen worden verwerkt, omdat het beschermingsniveau van het gehele recht van het desbetreffende land in essentie gelijkwaardig is. In de visie van de Commissie houdt dit in dat de normen van de AVG eigenlijk min of meer volledig in het recht van het derde land kunnen worden herkend.

Het Noord-Amerikaanse model is oriëntatiepunt voor veel landen rondom de Grote Oceaan. In de APEC (Asia-Pacific Economic Cooperation) heeft men althans een zekere voorkeur voor dit model.

Daarnaast zijn er individuele staten die zich niet of niet volledig willen binden aan een van deze beide modellen en die eigen varianten ontwikkelen. Landen als Brazilië en Zuid-Afrika zijn daarvan voorbeelden.

Er tekenen zich wel mogelijke veranderingen af in deze verhoudingen. Allereerst wordt dat veroorzaakt door de territoriale reikwijdte van de AVG. Het is een bewuste keuze van de Europese wetgever geweest de normen van de AVG ook buiten de Unie te laten gelden voor de gevallen waarin de verwerking verband houdt met het aanbieden van goederen en diensten van buiten de Unie aan betrokkenen in de Unie of bij de monitoring van het gedrag van betrokkenen in de Unie. Daarmee zijn de regels ook van toepassing in de rechtsverhoudingen tussen zeer grote verwerkingsverantwoordelijken uit de Verenigde Staten en tussen gebruikers in de Unie. Daarnaast zijn er naast de adequaatheidsbesluiten andere instrumenten voor de doorgifte van persoonsgegevens naar derde landen geregeld die tot effect hebben dat de Europese regels ook in afzonderlijke rechtsbetrekkingen tussen verwerkingsverantwoordelijken buiten de Unie en betrokkenen binnen de Unie kunnen doorwerken. Te denken valt aan bindende bedrijfsvoorschriften (Binding Corporate Rules), goedgekeurde standaardcontractsvoorwaarden en bilaterale verdragen tussen lidstaten en derde landen.

Ook moeten sinds enige tijd bij het onderhandelen over vrijhandelsverdragen tussen de Unie en derde landen clausules over gegevensbescherming worden opgenomen. Dat is noodzakelijk omdat grensoverschrijdende handel niet langer kan plaatsvinden zonder doorgifte van persoonsgegevens. De Commissie voert daarbij het beleid dat het grondrecht op gegevensbescherming een niet onderhandelbaar punt is, en dat jegens het desbetreffende derde land indien maar enigszins mogelijk een adequaatheidsbesluiten moet worden vastgesteld. De Commissie is recent begonnen met informele initiatieven als een voorbereiding op het verder tot elkaar brengen van de handelsbelangen en de rechtmatigheid van bijbehorende gegevensstromen. In welke richting het beleid zich verder ontwikkelt, is thans nog onzeker. Ook andere recente ontwikkelingen, zoals Brexit, zullen voor veranderingen zorgen. Op dit moment is het Verenigd Koninkrijk nog gebonden aan de huidige privacyrichtlijn en heeft het aangekondigd de AVG loyaal en volledig te zullen uitvoeren. De daarvoor noodzakelijke wetgeving is in een vergevorderd stadium van behandeling bij het parlement. Gegevensbescherming is een van de elementen die in het terugtredingsverdrag geregeld moeten worden. Uit de door de Commissie openbaar gemaakte versie van het ontwerpakkoord blijkt dat het nog onderwerp van gesprek is. Welke weg het Verenigd Koninkrijk zal inslaan na vertrek uit de Unie zal moeten worden afgewacht. Het ligt voor de hand dat de Unie en het Verenigd Koninkrijk de mogelijkheden voor een adequaatheidsbesluiten verkennen. Het is onvermijdelijk dat daarbij ook de doorgifte uit het Verenigd Koninkrijk naar andere derde landen nadrukkelijk aandacht krijgt.

Ten slotte zal moeten worden afgewacht welke gevolgen de recente onthullingen over het verlies van massale hoeveelheden persoonsgegevens door Facebook en daarbij aan het licht gekomen ontbreken van effectief toezicht op verwerking van gegevens binnen dat bedrijf zal hebben. Het is niet uitgesloten dat dit leidt tot meer regulering, mogelijk ook in de Verenigde Staten, en dat dit uiteindelijk leidt tot enige convergerende werking van de verschillende modellen.

Samenvattend meent de regering dat er met het vaststellen van de AVG geen sprake is van een nieuwe wereldomvattende standaard, maar zeker ook niet van een isolatie van de Unie. Veeleer is de AVG een stap in een sterk in beweging zijnde wereld waarin nog geen zicht is op een eindbeeld, maar het belang van bescherming van persoonsgegevens wel steeds groter wordt.

Vraag 9 (SP)

Nederland is bij de totstandkoming van de verordening nauw betrokken geweest. De fractieleden van de SP hebben echter nog zorgen over de rol die een Europees Comité voor gegevensbescherming (hierna: EDPB) gaat spelen in de toekomst. Door middel van zogenaamde soft law zal een EDPB bevoegdheid hebben om adviezen en besluiten uit te brengen die voor de betrokkenen vergaand kunnen zijn. Opnieuw, het doel is nobel, maar de rol die een Europese organisatie gaat spelen, baart de voornoemde leden zorgen. Hoe ziet de regering deze ontwikkeling? Spreekt zij hierover met de Autoriteit Persoonsgegevens? De Autoriteit Persoonsgegevens gaat bijdragen in de vorming van een EDPB, omdat zij er zelf onderdeel van is. Op welke wijze gaat de controle door het parlement op deze besluitvorming plaatsvinden? Graag een reactie.

De Europese wetgever heeft gekozen voor het instrument van een verordening en voor toezicht door nationale toezichthouders die in een Europees stelsel worden ingebed, onafhankelijk van hun nationale overheid. Het Europees Comité voor gegevensbescherming (Comité) bestaat uit een vertegenwoordiger van één toezichthoudende autoriteit per lidstaat. Ook het Comité treedt onafhankelijk op. Het Comité mag bij de uitvoering van zijn taken of bevoegdheden geen instructies vragen of aanvaarden van wie dan ook (artikelen 68 en 69 AVG). Deze verplichte onafhankelijkheid van toezichthouders is met de gelding van artikel 8, derde lid, van het Handvest belangrijker geworden. De onafhankelijke positie van het Comité en van de nationale toezichthoudende autoriteiten is noodzakelijk, omdat ook de nationale overheden verplicht zijn de regels na te leven en onder hetzelfde toezicht moeten worden gesteld als de private sector. Controle op de totstandkoming van concrete adviezen, richtsnoeren, aanbevelingen en best practices van het Comité door het Europese Parlement of door de nationale parlementen is dan ook niet aan de orde.

Wel zijn controlemechanismen opgenomen in de AVG ten aanzien van het functioneren van het Comité op Europees niveau. Zo bepaalt artikel 70, derde lid, AVG dat de adviezen, richtsnoeren, aanbevelingen en best practices bekendgemaakt moeten worden, en bepaalt het vierde lid dat, waar passend, vooraf belanghebbenden geraadpleegd moeten worden.10 Het is zodoende mogelijk als individu of belanghebbende organisatie te reageren, maar ook nationale regeringen of parlementen worden op deze manier in de gelegenheid gesteld hun visie kenbaar te maken over deze nadere invulling van rechtsnormen. Verder is het opstellen van een reglement van orde, dat openbaar gemaakt dient te worden op basis van artikel 72, tweede, AVG, verplicht. In artikel 71 AVG is expliciet opgenomen dat het Comité een jaarverslag dient op te stellen waarbij ook een evaluatie wordt opgenomen over de praktische toepassing van de richtsnoeren, aanbevelingen en best practices, bedoeld in artikel 70, eerste lid, onderdeel l, AVG. Het jaarverslag wordt ook openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie. Tevens is in artikel 97, tweede lid, onderdeel b, AVG, specifiek opgenomen dat de door de Europese Commissie uit te voeren evaluatie ook zal zien op de wijze waarop het hoofdstuk over samenwerking en coherentie in de praktijk functioneert. Zie over deze onderdelen tevens onderdeel 3b van het nader rapport naar aanleiding van het advies van de Raad van State.

Verder vindt er weliswaar regulier overleg plaats met de Autoriteit persoonsgegevens over een veelheid van onderwerpen en ontwikkelingen, maar daarbij kan vanwege de onafhankelijke positie van de Autoriteit, vanzelfsprekend geen sprake zijn van beïnvloeding of controle. Dat de Autoriteit persoonsgegevens volledig onafhankelijk optreedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden, wil overigens niet zeggen dat de Autoriteit geen intensief contact zal onderhouden bijvoorbeeld ook met consumentenorganisaties en brancheorganisaties, uit welke contacten vervolgens inspiratie kan worden geput die gebruikt kan worden bij de Nederlandse inbreng bij het opstellen van adviezen, richtsnoeren, aanbevelingen en best practices van het Comité. Tot slot is ook de Autoriteit persoonsgegevens verplicht om een jaarverslag te zenden aan mij en aan het parlement (artikel 18 Kaderwet zelfstandige bestuursorganen).

Het vaststellen van richtsnoeren, aanbevelingen en best practices door het Comité dient, zoals de fractieleden van de SP ook aangeven, een belangrijk doel. Een van de doelstellingen van de AVG is namelijk om verschillen in de uitvoering en toepassing te voorkomen en zorg te dragen dat er in de gehele Europese Unie coherente en homogene toepassing plaatsvindt van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Graag verwijs ik in dit verband tevens naar het antwoord op vraag 21 (CDA) uit de nota naar aanleiding van het verslag. De bevoegdheid voor het Comité is inderdaad ruim, nu het gaat om het invullen en concretiseren van open normen met gevolgen voor de rechtspraktijk. Daar staat tegenover dat er uitdrukkelijk geen sprake is van juridisch bindende normen en de uitleg van de normen uit de AVG uiteindelijk aan de Europese rechter is. Dat maakt ook dat de controle op de ontwikkeling van de richtsnoeren, aanbevelingen en best practices logischerwijze anders is vormgegeven dan als het wel zou gaan om juridische bindende besluitvorming.

Ook is deze zogenoemde «soft law» van groot belang voor de praktijk, nu deze een bepaalde mate van zekerheid en voorspelbaarheid bieden over de toepassing van de AVG door de toezichthouders. De regering is dan ook van mening dat de bevoegdheid tot het vaststellen van richtsnoeren, aanbevelingen en best practices de praktijk de benodigde handvatten biedt en een uiteenlopende toepassing van de AVG in de verschillende lidstaten kan voorkomen.

Het is overigens ook niet de enige methode om te komen tot een eenvormige toepassing. Uiteraard spelen daarbij bijvoorbeeld het Hof van Justitie van de EU door middel van het ontwikkelen van jurisprudentie en de Europese Commissie als instelling die als taak heeft toe te zien op de toepassing van het recht van de Unie een belangrijke rol. Om echter de eenvormigheid niet alleen door correctie achteraf te bewerkstelligen, door middel van handhaving en gerechtelijke toetsing daarvan, maar ook vooraf te bevorderen, spelen deze richtsnoeren, aanbevelingen en best practices ook een belangrijke rol. Voor meer informatie over het doel van de bevoegdheid van het Comité om «soft law» uit te brengen en de rol die de uitgebrachte adviezen zullen spelen in de rechtspraktijk, verwijs ik deze leden naar de beantwoording van vraag 3.

Vraag 10 (SP)

De Autoriteit Persoonsgegevens is een toezichthouder en valt daarmee onder de Algemene wet bestuursrecht (hierna: Awb). Nu lijken er in de AVG zaken te staan die in strijd zijn met de Awb. Zo staat er in artikel 5:7 van de Awb dat er, wanneer er gevaar voor overtreding klaarblijkelijk dreigt, een herstelsanctie kan worden opgelegd. Ook in artikel 58 van de AVG staat de mogelijkheid van een herstelsanctie, maar zonder het vereiste van klaarblijkelijk gevaar. Kan de regering een vergelijking maken tussen de AVG en de Awb om dergelijke onduidelijkheden op te lossen?

Het is primair de taak van de lidstaten om zorg te dragen voor een effectieve handhaving van het Unierecht. Lidstaten gebruiken daarbij in beginsel hun eigen regels, zoals die zijn neergelegd in de toepasselijke wetgeving. De vrijheid om de eigen regels te gebruiken, vindt haar grens in de voorschriften uit de AVG. Artikel 58 AVG bevat de bevoegdheden van de toezichthoudende autoriteit. Hoewel zij qua formulering verschillen, komen ze materieel in hoge mate overeen met de bestaande bevoegdheden uit hoofdstuk 5 van de Awb. Het zesde lid van artikel 58 AVG bepaalt dat iedere lidstaat bij lidstatelijk recht aanvullende bevoegdheden kan toekennen, mits deze geen afbreuk doen aan de doeltreffende werking van de samenwerking en coherentie tussen Europese toezichthouders. Dit is een facultatieve bepaling, waar Nederland gebruik van heeft gemaakt door de Autoriteit Persoonsgegevens toe te rusten met de bevoegdheid om in voorkomende gevallen een last onder bestuursdwang op te leggen of bestuursdwang toe te passen. Deze bestuurlijke herstelsancties worden genormeerd door de Awb. Er is kortom geen sprake van strijdigheid met de AVG maar van het toekennen van een additionele bevoegdheid.

Een van de redenen om de Autoriteit persoonsgegevens deze additionele bevoegdheden te geven, is gelegen in het feit dat in Nederland zowel de Autoriteit persoonsgegevens als verwerkingsverantwoordelijken al vertrouwd zijn met de toepassing van de last onder dwangsom en de last onder bestuursdwang. Beide handhavingsinstrumenten zijn in de praktijk effectieve middelen gebleken om overtredingen van regels inzake de bescherming van persoonsgegevens snel te beëindigen. Daarnaast kunnen zij ook zeer effectief zijn indien klaarblijkelijk gevaar voor een overtreding dreigt (artikel 5:7 Awb), ter voorkoming van herhaling van een overtreding (artikel 5:2, eerste lid, onderdeel b, Awb) of om verdere overtreding te voorkomen (artikel 5:32a, tweede lid, Awb). Op grond van artikel 5:7 Awb kán er niet alleen bij een geconstateerde overtreding een last onder dwangsom worden opgelegd, maar ook als er sprake is van klaarblijkelijk gevaar voor een overtreding. Voor het opleggen van een dergelijke last is het, omgekeerd, echter geenszins een vereíste dat er sprake is van dergelijk gevaar.

Naast het feit dat het opleggen van een last onder dwangsom juridisch echt een andere figuur is dan bijvoorbeeld het opleggen van een last op grond van artikel 58, tweede lid, onderdeel d, AVG om vervolgens, als deze last niet wordt nagekomen, een boete op te leggen op grond van artikel 83, zesde lid, AVG, heeft het toekennen van deze bevoegdheid aan de Autoriteit persoonsgegevens kortom ook materieel meerwaarde. Er wordt hiermee geen extra voorwaarde gesteld aan het kunnen toepassen van een herstelsanctie, maar er is sprake van een uitbreiding van de mogelijkheden van de Autoriteit persoonsgegevens ten opzichte van de reeds ter beschikking staande bevoegdheden op grond van artikel 58 AVG, omdat de last onder dwangsom in meer situaties toegepast kan worden.

Vraag 11 (SP)

In de UAVG wordt geen gebruikgemaakt van de journalistieke exceptie. De regering kiest ervoor de huidige wetgeving van de Wbp te gebruiken als basis voor de UAVG. Zij is van mening dat dit voldoende is. Journalisten echter vrezen een «chilling effect» hierdoor. In de behandeling in de Tweede Kamer heeft de regering aangegeven juist niet de gehele exceptie te willen gebruiken, omdat daarmee een bredere doelgroep dan de journalistiek onder de exceptie zou vallen.11

Deze exceptie is er om te voorkomen dat de vrijheid van meningsuiting beperkt wordt. Wanneer journalistiek relevant, kan men persoonsgegevens publiceren. Bovendien heeft men volgens artikel 7 van de Grondwet het recht zonder van te voren verlof te vragen vrijelijk gedachten en gevoelens te mogen openbaren. Eerdere rechtszaken over of iets wel of niet onder de oude exceptie viel, gingen uiteindelijk over of de publicatie het algemeen belang diende, veeleer dan of het hier een journalistieke uiting betrof. Het is niets voor niets dat de AVG toestaat deze exceptie op te nemen: bij de totstandkoming van de AVG was dit al een punt ter discussie. De leden van de fractie van de SP zouden van de regering willen weten welke bezwaren zij ziet in het maximale gebruik van de exceptie voor de journalistiek. Voor welke partijen zou deze exceptie dan ongewenst gaan gelden? Op welke wijze zou dan de privacy in gevaar komen? Vreest de regering niet dat hiermee juist de vrijheid van meningsuiting beperkt wordt?

In de UAVG wordt de journalistieke exceptie geregeld. In Europees verband moet het begrip journalistiek ruim worden opgevat. De Europese wetgever wijst er in overweging 153 van de AVG expliciet op dat, gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim dienen te worden uitgelegd. Om die reden biedt artikel 85 van de AVG de nationale wetgever de mogelijkheid om ook voor verwerkingen voor academische, literaire en artistieke doeleinden uitzonderingen of afwijkingen vast te stellen. Daarbij moet onder meer worden gedacht aan gegevensverwerkingen die plaatsvinden bij universiteiten, bibliotheken en musea. Op grond van artikel 85 AVG, is in artikel 43 UAVG geregeld dat de UAVG en het grootste deel van de AVG zijn uitgezonderd voor gegevensverwerkingen voor uitsluitend journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen. Dat betekent feitelijk dat enkel een aantal algemene beginselen en basale verplichtingen voor de verwerkingsverantwoordelijke van toepassingen zijn op gegevensverwerkingen in het kader van de genoemde doelen, zoals het beginsel van proportionaliteit en de verplichting om gegevens op passende wijze te beveiligen. Nederland geeft zodoende reeds een zeer ruime invulling aan de mogelijkheid om in nationale wetgeving uitzonderingen te regelen voor de journalistieke praktijk. Een verdere verruiming van de journalistieke exceptie zou op gespannen voet staan met de AVG, omdat de AVG vereist dat het recht van uitingsvrijheid en het recht op privacy met elkaar «in evenwicht» worden gebracht. Daarbij geldt het principe dat tussen deze rechten in beginsel geen rangorde bestaat en dat geen van beide rechten voorrang heeft op de ander. In de AVG heeft de Europese wetgever bepaald dat afwijkingen of uitzonderingen kunnen worden vastgesteld van bepaalde bepalingen van de AVG, voor zover dat noodzakelijk is voor journalistieke doeleinden. Het is dan ook niet aannemelijk dat deze een totaaluitsluiting van de materiële normen voor persoonsgegevensbescherming heeft willen toestaan. Een verdere uitbreiding van de journalistieke exceptie, waarbij ook de meest basale beginselen en normen van de AVG worden uitgesloten, zorgt voor een disbalans tussen beide rechten. Het recht op privacy wordt dan immers in het geheel niet meer gewaarborgd, terwijl een inbreuk op de privacy altijd in een redelijke verhouding dient te staan tot het daarmee gediende doel van de gegevensverwerking. Overigens is van belang te constateren dat er voor is gekozen om het huidige regime voor journalistieke gegevensverwerkingen zoveel mogelijk te handhaven (zie tevens de beantwoording van vraag 19).

Vraag 12 (SP)

De regering kiest ervoor geen gebruik te maken van de mogelijkheid om de leeftijd voor verwerking zonder toestemming van ouders te verlagen. De grens is en blijft 16 jaar. Wat voor implicaties heeft dit nu? Wat gebeurt er als een kind zegt 16 jaar te zijn bij het aanmaken van een Facebook-profiel? Moet Facebook die profielen gaan screenen om te kijken of de kinderen jonger zijn? En welk signaal wordt hiermee eigenlijk aan de kinderen afgegeven? Dat je alleen een digitaal sociaal leven mag hebben als je ouder dan 16 jaar bent? Dit geldt evengoed voor de digitale wereld van scholen. Kinderen kunnen hun cijfer niet meer zelf vertellen, het systeem heeft het al voor hun gedaan. Het heeft het er voor de kinderen niet gemakkelijker op gemaakt. En alhoewel ouders natuurlijk moeten weten hoe het welzijn van het kind is op school, kan ook de vraag gesteld worden of een kind op weg naar volwassenheid wel ieder moment van de dag digitaal controleerbaar dient te zijn. Als kinderen 18 jaar worden, mogen scholen sowieso geen gegevens meer delen, maar door de UAVG kunnen kinderen dus al bij 16 jaar zeggen dat ze niet willen dat hun gegevens gedeeld worden met de ouders. Is dat correct? Hoe staat deze leeftijdsgrens in verhouding tot het recht op privacy van kinderen? Wat is de prangende reden dat de regering niet voor een leeftijdsverlaging heeft gekozen?

In de AVG is de leeftijdsgrens waaronder kinderen toestemming van hun ouders moeten hebben in verband met «een rechtstreeks aanbod van diensten van de informatiemaatschappij» gesteld op 16 jaar. Lidstaten hebben op grond van artikel 8 AVG de mogelijkheid daarvan af te wijken (met als ondergrens 13 jaar). Gelet op het uitgangspunt van beleidsneutrale implementatie heeft de regering ervoor gekozen om aan te sluiten bij de hoofdregel.

Dit laat onverlet dat kinderen ook recht hebben op privacy. Dit volgt onder meer uit artikel 16 Kinderrechtenverdrag (IVRK). De Staat heeft tegelijkertijd de plicht op grond van artikel 16, tweede lid, IVRK om kinderen te beschermen tegen laster. Verder staat in artikel 17 IVRK dat de Staten waarborgen dat het kind toegang heeft tot informatie uit een verscheidenheid van nationale en internationale bronnen, in het bijzonder informatie en materiaal gericht op het bevorderen van zijn of haar sociale, psychische en morele welzijn en zijn of haar lichamelijke en geestelijke gezondheid. De Staat heeft op grond van artikel 17, onder e, IVRK echter ook de plicht om de ontwikkeling van passende richtlijnen aan te moedigen om het kind te beschermen tegen informatie en materiaal die schadelijk is voor zijn of haar welzijn.

Het IVRK schrijft geen eenduidige leeftijdsgrens voor. Met inachtneming van de beginselen in het IVRK is het aan Staten om een goede balans te vinden bij de beoordeling wat een geschikte leeftijd is voor het toestemmingsvereiste. Naar het oordeel van de regering is de bepaling dat jongeren onder de zestien jaar alleen met toestemming van hun ouders bijvoorbeeld een online profiel mogen aanmaken niet in strijd met het recht op privacy. Op dit moment is de leeftijdsgrens in artikel 5 Wbp ook op 16 jaar gesteld. Wel is dit uitdrukkelijk een van de onderwerpen die ik zal meenemen in de verkenning, die ik zal doen direct aansluitend aan het onderhavige implementatietraject, met het oog op de mogelijke verbetering en modernisering van het gegevensbeschermingsrecht. Graag verwijs ik naar vraag 16 voor meer informatie over dit vervolgtraject. Een beslissing over het al dan niet verlagen van de leeftijdsgrens wil ik zorgvuldig nemen. Ook zal ik, conform de aangenomen motie van de leden Verhoeven en Van Toorenburg, de uitkomsten van een onderzoek naar de willekeurigheid van leeftijdsgrenzen door de Raad voor Volksgezondheid en Samenleving zodra deze beschikbaar zijn, in de afweging betrekken.12 Verder wil ik alle betrokken belangenorganisaties hierover horen. Er spelen namelijk niet alleen vragen rond de privacyrechten van kinderen, maar ook rond de cyberveiligheid van kinderen. Met het hanteren van een leeftijdsgrens is geenszins gezegd dat daarmee het signaal wordt afgegeven dat onder die leeftijd kinderen geen digitaal leven zouden mogen of kunnen hebben, wel dat daar dan ook een rol van de ouders is weggelegd. Het gaat immers om commerciële diensten en belangen. De vraag is tot welke leeftijd een kind voorafgaand aan het aanmaken van bijvoorbeeld een facebookprofiel (eenmalig) toestemming/machtiging van zijn ouders nodig heeft. De vraag vervolgens of facebook zich als verwerkingsverantwoordelijke voldoende redelijke inspanningen heeft getroost om te controleren of er sprake is van dergelijke ouderlijke toestemming of machtiging (artikel 8, tweede lid, AVG), is een vraag naar de concretisering van een open norm en daarover zal de Autoriteit persoonsgegevens zich een oordeel moeten gaan vellen.

Scholen vallen tot slot niet onder de reikwijdte van artikel 8 AVG. Scholen hebben als (wettelijke) taak om gegevens van leerlingen bij te houden, zoals ziekteverzuim en gegevens over hun vorderingen op school.13 Scholen hebben daarbij een (wettelijke) informatieplicht ten opzichte van ouders (of wettelijk vertegenwoordigers) zolang de leerling minderjarig is. Voor leerlingen tot 18 jaar geldt dus dat scholen ouders op de hoogte dienen te houden van de vorderingen van de leerling op school. De verplichting de ouders te informeren vervalt zodra de leerling meerderjarig wordt. Vanaf dat moment mogen de ouders alleen nog maar door de school worden geïnformeerd als de leerling daar toestemming voor heeft gegeven. Dat een kind voor een bepaalde leeftijd toestemming nodig heeft van zijn ouders voor een bepaalde handeling brengt niet met zich mee dat, omgekeerd, na het bereiken van die leeftijd een recht aan de ouders zou kunnen worden ontzegd. De school moet wel steeds een bewuste afweging maken of bepaalde gegevens in het kader van hun informatieplicht echt noodzakelijk zijn om met de ouders te delen en is daarover als verwerkingsverantwoordelijke verantwoording schuldig. Om te voldoen aan de informatieplicht is het in mijn ogen niet nodig dat kinderen «op ieder moment digitaal controleerbaar» zijn.

Vragen en opmerkingen van de leden van de PvdA-fractie

Vraag 13 (PvdA)

Wat is de reden dat de regering pas op 12 december 2017 het wetsvoorstel heeft aangeboden aan de Tweede Kamer, terwijl al in mei 2016 de verordening door het Europees Parlement is aangenomen?

De zorgvuldige voorbereiding van de uitvoering van een verordening met grote maatschappelijke impact vraagt tijd en brede betrokkenheid van maatschappelijke partijen. Begin 2016, nog tijdens de onderhandelingen over de AVG, is begonnen met de eerste voorbereidingen voor de UAVG. Van mei tot november 2016 vond de interdepartementale voorbereiding van de UAVG plaats. Daarbij is nauw samengewerkt tussen alle departementen die substantieel door de AVG geraakt worden. Ook is er in het voorbereidingstraject intensief overleg geweest met de Autoriteit persoonsgegevens en is er uitgebreid met vele verschillende belanghebbende organisaties gesproken uit vele verschillende geledingen van de maatschappij. Tijdens deze periode vond er ook periodiek overleg plaats met de Europese Commissie en de andere lidstaten in een zogenaamde «expert group» om ervoor te zorgen dat de uitvoeringswetgeving in de verschillende lidstaten zo veel mogelijk van dezelfde uitgangspunten uit zou gaan. Vanaf september 2016 hebben inmiddels 14 expert group meetings plaatsgevonden. De lidstaten en de Commissie bespreken hierin de vragen die rijzen rond de implementatie van de AVG.

Tijdens de ambtelijke voorbereiding is, ondanks het feit dat het een implementatietraject betreft, toch besloten om over het toen voorliggende concept breed te consulteren met het oog op de maatschappelijke impact van de AVG en de vele vragen die over de uitvoering hiervan leefden. Het beleidsneutrale karakter was immers niet op voorhand bij alle partijen bekend en onnodige onrust bij verwerkingsverantwoordelijken zou deels weggenomen kunnen worden door een wetsvoorstel in consultatie te brengen. De internetconsultatie vond plaats van december 2016–januari 2017. Op deze consultatie is veel respons ontvangen (ruim 100 reacties) die betrekking had op een breed scala aan onderwerpen en evenzovele verschillende beleidsterreinen besloeg. Het wetsvoorstel is als gevolg daarvan op bepaalde punten herzien. De internetconsultatie heeft naar mijn oordeel bijgedragen aan een beter begrip van de gevolgen van de AVG. Van januari–april 2017 vond de verplichte consultatie van de Autoriteit persoonsgegevens plaats. De Autoriteit persoonsgegevens heeft op 6 april 2017 geadviseerd hetgeen eveneens tot aanpassingen van het voorstel heeft geleid.

Op 15 juni 2017 is het wetsvoorstel ter advisering aangeboden aan de Afdeling advisering van de Raad van State die op 10 oktober 2017 haar advies uitbracht. Dit was een omvangrijk advies op grond waarvan, onder meer, de memorie van toelichting aanzienlijk is uitgebreid. Op 12 december 2017 is het aangepaste wetsvoorstel ingediend bij de Tweede Kamer.

Vraag 14 (PvdA)

De leden van de PvdA-fractie hebben de indruk dat, ondanks de overgangsperiode van twee jaar, de inhoud van het wetsvoorstel onvoldoende bekend is bij zowel burgers als gegevensverantwoordelijken. Zo wijzen VNO-NCW en MKB-Nederland erop dat veel (mkb-)bedrijven nog lang niet klaar zijn om aan hun nieuwe verantwoordelijkheden te voldoen. Zorginstellingen, scholen, maar ook sportverenigingen, vrijwilligersorganisaties enzovoorts verwachten problemen bij de implementatie. Uit een enquête onder ambtenaren blijkt dat ook gemeenten – twee maanden voor de invoering van de wet – nog onvoldoende zijn voorbereid.14 Kan de regering aangeven of en in welke mate overheden, publieke instellingen en bedrijven zijn voorbereid op hun nieuwe verantwoordelijkheden? Deelt de regering de zorgen van de leden van de PvdA-fractie dat een goede implementatie van de AVG op 25 mei 2018 onwaarschijnlijk is? Kan de regering aangeven tot welke problemen dit kan leiden voor gegevensverantwoordelijken? Hoe heeft de regering in de afgelopen jaren burgers en gegevensverantwoordelijken geïnformeerd over de AVG? Op welke wijze gaat zij dit in de komende maanden doen? Welke rol speelt de Autoriteit Persoonsgegevens daarin en is deze daartoe voldoende gefaciliteerd? Op welk moment dienen de gegevensverantwoordelijken in de ogen van de regering «AVG-proof» te zijn? Is de regering voornemens voorlopig terughoudend te zijn met betrekking tot de handhaving?

Het is allereerst van belang om te constateren dat de AVG weliswaar nieuwe elementen bevat en hier en daar accenten verschuift, maar dat de basisbeginselen voor rechtmatige verwerking van persoonsgegevens zoals nu verankerd in de Wet bescherming persoonsgegevens eigenlijk stevig overeind blijven. Voor bedrijven en organisaties die al voldoen aan de eisen die op grond van de Wbp gelden en die een goed inzicht hebben in de eigen informatiestromen, is het nieuwe AVG-regime zeker geen aardverschuiving. Omdat het echter bij de totstandkoming van de AVG op 27 april 2016, geen geheim was dat het nalevingsniveau van de Richtlijn 45/96/EG en de daarop gebaseerde implementatiewetgeving in de lidstaten veelal te wensen over liet, is er gekozen voor een overgangsperiode van twee jaar. Dit had dus ook tot doel om die verwerkingsverantwoordelijken die nog achterstallig onderhoud weg moesten werken wat hun gegevenshuishouding betreft, voldoende tijd daarvoor te gunnen.

Vervolgens is er ook veel moeite gedaan om alle verwerkingsverantwoordelijken te informeren over de aankomende veranderingen. Een belangrijke taak van de Autoriteit persoonsgegevens op grond van de AVG is het geven van voorlichting en advies (zie bijvoorbeeld artikel 57, eerste lid, onderdelen b, d en e AVG). De Autoriteit persoonsgegevens heeft dan ook een leidende rol bij de communicatie en voorlichting over de AVG. Het budget van de Autoriteit persoonsgegevens is vanwege de uitbreiding van haar takenpakket op grond van de AVG verdubbeld. Of de Autoriteit persoonsgegevens daarmee voldoende is gefaciliteerd voor alle op haar rustende taken, wordt in overleg met de Autoriteit persoonsgegevens gemonitord, zodat extra budget beschikbaar kan worden gesteld, mocht dat nodig blijken.

Ook het Ministerie van JenV heeft zijn verantwoordelijkheid genomen door voorlichting en informatie over de nieuwe wetgeving te verschaffen. Hieronder wordt een aantal projecten genoemd, zowel van het ministerie als van de Autoriteit persoonsgegevens. Voor meer informatie over de concrete acties die zijn en worden ondernomen, wordt tevens verwezen naar de opsomming die is opgenomen in paragraaf 6.3.6 van de memorie van toelichting.

  • In 2017 zijn onder meer het nieuwe «Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) « en de flyer «Anticiperen op de AVG» op www.rijksoverheid.nl geplaatst. Dit digitale dossier is aangemaakt voor het algemene publiek en het bedrijfsleven.

  • JenV voert gesprekken met VNO-NCW, MKB-Nederland en de Autoriteit persoonsgegevens om te bezien in welke vorm de voorlichting voor het MKB het beste kan worden gegoten. In dit kader is ook besproken dat ondernemers zich in een latere fase van de implementatie met vragen over bijvoorbeeld de gekozen aanpak kunnen wenden tot de Autoriteit persoonsgegevens.

  • JenV heeft begin van dit jaar een toegankelijke Handleiding AVG en UAVG gepubliceerd. De handleiding is bedoeld voor iedereen die meer wil weten over de AVG en de UAVG, maar is primair bedoeld voor verwerkingsverantwoordelijken die hun organisatie op de AVG willen voorbereiden.

  • Speciaal voor het MKB is een praktische compacte brochure in voorbereiding die binnenkort wordt gepubliceerd. In samenwerking met VNO-NCW, MKB-Nederland en met medewerking van enkele brancheorganisaties, zijn daartoe de actuele vragen van kleine bedrijven over de AVG in kaart gebracht. Het gaat om vragen als wanneer is een FG verplicht, hoe lang mag ik gegevens bewaren, is de AVG van toepassing op mijn verwerking en wanneer ben ik verwerkingsverantwoordelijke? Uit de inventarisatie komt ook voren dat diverse branches reeds de nodige activiteiten hebben opgepakt om de achterban te mobiliseren en te ondersteunen om de omgang met persoonsgegevens binnen de organisatie in lijn te brengen met de AVG.15

  • De Autoriteit persoonsgegevens heeft de afgelopen periode veel informatie verschaft in het Dossier AVG op haar website en voorlichtingsactiviteiten uitgevoerd door bijvoorbeeld het geven van 70 presentaties op bijeenkomsten voor uiteenlopende branches, onder meer voor de financiële sector, de rijksoverheid, lokale overheden, het onderwijs, de zorg en de advertentiesector. Ook organiseerde de Autoriteit persoonsgegevens in samenwerking met het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) zelf een bijeenkomst voor FG’s.

  • De Autoriteit persoonsgegevens is op 29 januari jl. gestart met een voorlichtingscampagne om organisaties praktische hulp te bieden om te voldoen aan hun nieuwe plichten. Op hulpbijprivacy.nl, de campagnewebsite van de Autoriteit persoonsgegevens, worden hulpmiddelen aangeboden (voor het brede publiek, maar ook voor speciale doelgroepen zoals onderwijs, zorgverleners en webshops) en staat veel informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij.

  • Vanuit de gezamenlijke toezichthouders verenigd in het Europees Comité voor gegevensbescherming (de huidige Artikel 29-werkgroep) worden richtsnoeren opgesteld die de toepassing van de AVG ondersteunen.

  • De Europese Commissie heeft een budget beschikbaar gesteld voor voorlichting voor het MKB en is op 25 januari jongstleden zelf ook een voorlichtingscampagne gestart.

  • De VNG, VNO-NCW en MKB-Nederland organiseren voor de achterban op diverse plaatsen in Nederland bijeenkomsten rondom de AVG. Doelgroep zijn brancheverenigingen en individuele ondernemers. Doel is om bewustwording te genereren rondom de AVG en handvatten aan te reiken om in beweging te komen.

Onder de Wbp diende, zoals gezegd, de verwerkingsverantwoordelijke reeds zicht te hebben op informatiestromen. Bedrijven, overheden en publieke instellingen die op dit moment voldoen aan de Wbp kunnen zich daarom naar verwachting relatief eenvoudig voorbereiden en de inschatting bestaat dat vooral grote bedrijven voldoende op orde zullen zijn. Grote bedrijven zijn, gemiddeld genomen, zich meer bewust van het belang om op verantwoorde wijze om te gaan met persoonsgegevens alsmede van de financiële risico’s en de mogelijke reputatieschade in geval van niet-naleving.

Tussen de gemeenten onderling bestaan zeker verschillen in de mate waarin zij de gegevensverwerking op orde hebben. Op 6 juni 2017 organiseerden de Ministeries van JenV en BZK in samenwerking met het kenniscentrum «Europa decentraal», de VNG en de Unie van Waterschappen (UvW) een goedbezocht congres over de AVG voor decentrale overheden. De VNG biedt tevens een ondersteuningsprogramma om gemeenten, waar gewenst, te faciliteren met de voorbereiding op de AVG.

De indruk bestaat dat vooral kleine bedrijven en organisaties, ondanks deze voorlichting van de zijde van JenV, de Autoriteit persoonsgegevens, VNO-NCW en MKB-Nederland, nog niet altijd voldoende op de AVG zijn voorbereid. Om die reden geeft JenV in nauwe afstemming met VNO-NCW, MKB-Nederland en de Autoriteit persoonsgegevens binnenkort een extra publicatie voor het MKB uit. De Autoriteit persoonsgegevens besteedt voorts in het kader van haar voorlichtende taken op grond van artikel 57 van de AVG nadrukkelijk aandacht aan vragen die leven bij het midden- en kleinbedrijf. Hierbij is natuurlijk ook van belang dat er in de AVG sprake is van een risicogerichte aanpak waarbij de aard en de omvang de gegevensverwerking voor een belangrijk deel bepalen hoe verstrekkend de verplichtingen zijn die op de verwerkingsverantwoordelijke rusten. Tot slot kan worden gewezen op artikel 2a van de UAVG, waarin de Autoriteit persoonsgegevens wordt opgedragen bij de toepassing van de AVG de specifieke behoeften van het midden- en kleinbedrijf in aanmerking te nemen (zie tevens de beantwoording van vraag 7).

Het voorgaande neemt echter niet weg dat overheden, publieke instellingen en bedrijven vanaf 25 mei 2018 desgevraagd aan de Autoriteit persoonsgegevens verantwoording dienen af te kunnen leggen over de door hen uitgevoerde gegevensverwerking(en) en moeten kunnen aantonen dat die verwerkingen en de omgang met persoonsgegevens in lijn zijn met de AVG. Vanaf die datum dient de verwerkingsverantwoordelijke de uitoefening van rechten door de burger te faciliteren en een verzoek om bijvoorbeeld inzage in de persoonsgegevens die van betrokkenen worden verwerkt, tijdig en zorgvuldig af te handelen.

De Autoriteit persoonsgegevens is een onafhankelijke toezichthouder en de regering heeft dan ook geen zeggenschap over de wijze waarop de normen van de AVG zullen worden gehandhaafd. Uit de gesprekken die ik voer met maatschappelijke organisaties en ook uit het debat in de Tweede Kamer blijkt dat er zorgen bestaan over de taakopvatting van de Autoriteit persoonsgegevens en dan vooral over de wijze waarop de Autoriteit persoonsgegevens zich zal opstellen bij het handhaven.16 Ik heb toen aangegeven dat ik dit punt heb besproken met de voorzitter van de Autoriteit Persoonsgegevens, de heer Wolfsen, en dat deze mij verzekerde dat de Autoriteit persoonsgegevens, zeker in de eerste jaren dat de AVG van toepassing is, vooral zal inzetten op voorlichting en bijsturing en natuurlijk echt niet onmiddellijk op het beboeten van korfbalverenigingen of plaatselijke middenstanders, mits deze bereidwillig zijn om zich netjes aan de regels te houden. Vanzelfsprekend ligt dat anders als er sprake is van opzettelijke overtredingen of ernstige misstanden.17

Vraag 15 (PvdA)

Invoering van de wet gebeurt zoveel als mogelijk beleidsneutraal. Kan de regering aangeven wat de verschillen zijn tussen de AVG en de UAVG? De in de AVG geboden ruimte voor nationaal beleid wordt (voorlopig) niet ingevuld.

Veel materiële normen die nu nog in de Wbp zijn opgenomen, gelden straks – al dan niet in aangepaste vorm – direct op grond van de AVG in alle lidstaten. Denk bijvoorbeeld aan de bepalingen over de verschillende rechten van betrokken maar ook aan de algemene beginselen inzake verwerking van persoonsgegevens, zoals de grondslagen voor verwerking. Daarnaast voorziet de AVG in nieuwe regels bijvoorbeeld over de taken van de toezichthoudende autoriteiten en de bevoegdheden die hen toekomen. Ook is nieuw dat de wijze waarop de verschillende toezichthoudende autoriteiten dienen samen te werken en detail is geregeld.

Wat dat betreft is de AVG een «klassieke» verordening die vanwege de directe werking in de nationale rechtsorde van de lidstaten geen implementatie vergt (of zelfs verdraagt, zie tevens de beantwoording van vraag 1 over het overschrijfverbod).

Met de inwerkingtreding van de AVG is sprake van een aanzienlijke uniformering van regels en daarmee van een vereenvoudiging van het gegevensbeschermingsrecht omdat deze normen in alle lidstaten straks gelijkluidend zullen zijn. Daarmee is een drempel geslecht ter bevordering van de free flow of data (een van de twee hoofddoelstellingen van de AVG), maar daarmee zijn ook betrokkenen gebaat omdat zij eenvoudiger hun rechten kunnen doen gelden (de andere hoofddoelstelling van de AVG), ook in situaties waarbij er sprake is van grensoverschrijdende verwerking van persoonsgegevens.

De AVG heeft echter ook deels het karakter van een richtlijn omdat in de AVG een aantal verplichtingen is opgenomen voor lidstaten tot het treffen van maatregelen. De belangrijkste daarvan is de verplichting om een toezichthoudende autoriteit aan te wijzen (artikel 5 van de AVG) en ervoor zorg te dragen dat deze autoriteit onafhankelijk is en kan beschikken over voldoende capaciteit en middelen (artikel 52, vierde lid van de AVG).

Verder is op grond van de AVG een aantal verwerkingen verboden. Dit geldt bijvoorbeeld voor het verwerken van bijzondere categorieën persoonsgegevens (artikel 9, eerste lid van de AVG) of geheel geautomatiseerde verwekingen op grond waarvan een besluit wordt genomen waaraan rechtsgevolgen zijn verbonden voor betrokkene of die de betrokken anderszins in aanmerkelijke mate treft (artikel 22 AVG). De AVG biedt echter vervolgens de mogelijkheid om de desbetreffende verwerking alsnog, onder het stellen van nadere voorwaarden, toe te staan op grond van lidstatelijk recht. De AVG hanteert bijvoorbeeld als uitgangspunt dat de verwerking van de bijzondere categorieën persoonsgegeven verboden is. De AVG bevat een aantal direct toepasselijke uitzonderingen op dit verbod, maar bevat tevens diverse grondslagen om bij nationaal recht andere uitzonderingen te regelen. Hier noopt de AVG dus wel tot implementatiewetgeving (UAVG) respectievelijk maakt de AVG het mogelijk om keuzes te maken in nationale wetgeving. Hiermee blijft het mogelijk om op een heel aantal terreinen nationaal in te blijven spelen op de specifieke maatschappelijke ontwikkelingen. Kortom de AVG en de UAVG vullen elkaar aan en er is geen sprake van een «verschil» tussen beide.

Beleidsneutrale implementatie wil vervolgens niets meer of minder zeggen dat, daar waar de AVG ruimte laat voor nationaalrechtelijke keuzes, de wetgever ervoor heeft gekozen om deze ruimte op dit moment niet in te vullen met nieuwe normen, maar de keuzes die in de Wbp ten aanzien van die onderwerpen reeds zijn gemaakt, over te nemen (de geboden ruimte in de AVG wordt, met ander woorden, wel degelijk ingevuld). Zo verbiedt de AVG – zoals gezegd- het verwerken van bijzondere categorieën persoonsgegevens, maar laat zij tevens ruimte om in nationaal recht uitzonderingen te formuleren op dit verbod. In de UAVG is vervolgens die ruimte ingevuld door waar mogelijk de bepalingen uit de Wbp over te nemen die zien op het verwerken van dit type gegevens.

Vraag 16 (PvdA)

De regering geeft aan dat zij hier om zowel pragmatische als inhoudelijke redenen voor heeft gekozen en dat zij na invoering aan de slag gaat met de verdere modernisering en verbetering van de wet. De leden van de PvdA-fractie ontvangen graag een toelichting op het vervolgtraject. Welke onderwerpen en artikelen worden nader uitgewerkt? Welk tijdpad heeft de regering daarbij voor ogen? Op dit moment zijn bedrijven, overheden en instellingen bezig met de implementatie van de AVG. Hoe wordt voorkomen dat zij op een later moment worden geconfronteerd met weer nieuwe eisen?

Een van de belangrijke overwegingen om te kiezen voor beleidsneutrale implementatie op die punten waar de AVG ruimte laat voor nationaalrechtelijke keuzes, is de wens om verwerkingsverantwoordelijken bij de overgang naar het nieuwe gegevensbeschermingsrecht niet te belasten met onnodige veranderingen. Concreet betekent dat dat de UAVG materieel zo veel mogelijk dezelfde regels bevat als de huidige Wet bescherming persoonsgegevens daar waar de AVG keuzeruimte biedt voor de nationale wetgever. De nieuwe eisen die aan verwerkingsverantwoordelijken worden gesteld, vloeien zodoende alleen voort uit de AVG zelf.

Dat wil echter natuurlijk geenszins zeggen dat er geen verbeteringen mogelijk zouden zijn ten opzichte van de huidige Wbp. Dat is ook de reden dat de regering de motie van de leden Koopmans c.s. heeft overgenomen. In deze motie wordt de regering wordt verzocht de Kamer binnen een half jaar na inwerkingtreding van de AVG en de UAVG te berichten over de ervaringen met, en haar voornemens inzake, de aanpak, zo nodig door middel van nieuwe wetgeving, van in ieder geval de volgende aspecten:

  • de verwerking van gezondheidsgegevens in het kader van sportbeoefening, zoals van belang voor gehandicaptensport en (overige) topsport;

  • de verwerking van gegevens door kleinere organisaties als vrijwilligersverenigingen, sportverenigingen, kerkgenootschappen en andere;

  • de verwerking van gezondheidsgegevens van werknemers in geval van ziekte;

  • de privacyaspecten rondom het branchebreed aanleggen van zwarte lijsten van fraudeurs;

  • het toepassingsgebied van de verordening, met name gezien de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten;

  • de eerste ervaringen met de behandeling door de Autoriteit Persoonsgegevens van individuele verzoeken en klachten;

  • de leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven voor het gebruik van zijn/haar persoonsgegevens;

  • de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken;

  • de ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden;

  • de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming;

  • de mogelijkheid om een ex parte verbod analoog aan artikel 1019e van het Wetboek van Burgerlijke Rechtsvordering van toepassing te verklaren op ernstige schendingen van de Algemene verordening gegevensbescherming.18

Overigens sluit ik niet uit dat er zich, bij de eerste verkenning naar de mogelijkheden voor een eventuele modernisering van het gegevensbeschermingsrecht of naar aanleiding van de eerste ervaringen, ook nog andere onderwerpen of knelpunten zullen aandienen die van belang zijn om nader te onderzoeken. Per onderwerp zullen in ieder geval de precieze juridische mogelijkheden in kaart worden gebracht alsmede de verschillende implicaties van eventuele wijzigingen. Ook wil ik spreken met de betrokken belangenorganisaties en met de Autoriteit persoonsgegevens om een goed beeld te krijgen van de voor- en nadelen van eventuele wijzigingen. Een van de factoren die zeker zwaar zal meewegen bij de uiteindelijke beslissing over de vraag of wetswijzing aangewezen is, is uiteraard de wens om bedrijven, overheden en instellingen niet op korte termijn te confronteren met ingrijpende nieuwe eisen als dat niet noodzakelijk is.

Mocht er inderdaad aanleiding zijn om de UAVG op bepaalde punten aan te passen (vanzelfsprekend voor zover de AVG daartoe ruimte biedt) en mocht daarvoor ook draagvlak zijn, dan zou een daartoe strekkend wetsvoorstel nog in 2019 in consultatie kunnen worden gebracht.

Vraag 17 (PvdA)

En wat als op 25 mei 2018 wel de verordening in werking treedt, maar de UAVG nog niet is aangenomen?

Als de UAVG niet op 25 mei 2018 in werking treedt, dreigt er grote rechtsonzekerheid te ontstaan voor bedrijven, overheidsinstanties en burgers. Zo zal de Wbp zal in dat geval formeel van kracht blijven, maar niet meer volledig van toepassing zijn. Onderdelen die in strijd zijn met de AVG of onderwerpen regelen waarin de AVG voorziet, zullen met ingang van 25 mei 2018 van rechtswege buiten werking zijn gesteld. De onderdelen van de Wbp die nog wel van toepassing blijven, zullen dan zoveel mogelijk AVG-conform moeten worden uitgelegd. Het zal echter niet altijd op voorhand duidelijk zijn welke onderdelen niet langer van toepassing zijn en welke onderdelen AVG-conform uitgelegd kunnen worden.

Er zijn meer onwenselijke gevolgen. Er zal bijvoorbeeld geen grondslag meer zijn om een last onder bestuursdwang op te leggen (artikel 16 UAVG), om een bestuurlijke boete op te leggen bij onrechtmatige verwerking van strafrechtelijke gegevens (artikel 17 UAVG) en om een bestuurlijke boete op te leggen aan overheidsinstanties (artikel 18 UAVG).

Nog problematischer is dat er lacunes in de regelgeving ontstaan. De AVG vergt op belangrijke onderdelen nationale uitvoeringsregelgeving en de UAVG voorziet daarin. Een voorbeeld daarvan is artikel 40 UAVG, dat voorziet in een uitzondering op het in artikel 22 AVG verankerde recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Als de UAVG niet op 25 mei 2018 in werking treedt, zal geautomatiseerde besluitvorming zonder menselijke tussenkomst vanaf die datum in beginsel niet meer zijn toegestaan. Dit zou ertoe kunnen leiden dat bij de Belastingdienst geen geautomatiseerde besluitvorming meer kan plaatsvinden en dat uitkeringsinstanties geen uitkeringen meer kunnen verstrekken.

Vraag 18 (PvdA)

Door de invoering van het wetsvoorstel wordt het takenpakket van de Autoriteit Persoonsgegevens fors uitgebreid. Voorlichting, toezicht, klachtenbemiddeling en -afhandeling en handhaving behoren tot de verantwoordelijkheden van de Autoriteit. Uit onderzoek van het adviesbureau Andersson Elffers Felix (AEF) is gebleken dat met de huidige capaciteit de Autoriteit Persoonsgegevens onvoldoende in staat is deze taken op een verantwoorde wijze uit te voeren. Het adviesbureau geeft aan dat 16 tot 22 miljoen euro extra nodig is.19 Door de regering wordt 7 miljoen euro extra beschikbaar gesteld. Daarnaast wordt door het aannemen van een amendement20 in de Tweede Kamer de Autoriteit Persoonsgegevens uitgebreid tot drie leden. Kan de regering aangeven of en op welke wijze de Autoriteit met dit (geringe) extra bedrag haar nieuwe taken op een verantwoorde wijze kan uitvoeren? Welke risico’s ziet de regering daarbij? Is de regering bereid de Autoriteit Persoonsgegevens verder te faciliteren als blijkt dat de implementatie van de wet onvoldoende voortgang boekt?

AEF heeft, in opdracht van de Autoriteit persoonsgegevens, de consequenties van de AVG voor het benodigde budget en de capaciteit van de Autoriteit persoonsgegevens uitgewerkt in drie scenario’s. De daadwerkelijke toekomstige ontwikkeling van volumes en de gevolgen voor de werklast, zoals het aantal verwachte klachten, bezwaar- en beroepsprocedures, zijn echter lastig in te schatten door het ontbreken van historische gegevens.

De scenario’s uit het AEF-rapport hebben om die reden een onzeker karakter. Ik heb er daarom voor gekozen vanaf 2019 € 7 miljoen structureel aan het budget van de Autoriteit persoonsgegevens toe te voegen. Dit is nagenoeg een verdubbeling van het budget. Aan de hand van de realisatiecijfers van de Autoriteit persoonsgegevens zal worden gemonitord of het benodigde bedrag lager of hoger uitvalt dan € 7 miljoen. Mocht er op basis van deze monitoring verdere uitbreiding noodzakelijk blijken dan ga ik uiteraard met de Autoriteit persoonsgegevens om tafel.

Vraag 19 (PvdA)

Door NDP Nieuwsmedia en de Nederlandse Vereniging van Journalisten is gewezen op de balans tussen enerzijds het recht op privacy en anderzijds het recht op vrije meningsuiting.21 In de ogen van beide organisaties leidt het wetsvoorstel tot een disbalans tussen beide en worden de mogelijkheden om meer bepalingen uit te zonderen voor journalistieke doeleinden (terwijl dit op basis van de AVG wel mogelijk is) door de regering niet benut. Deelt de regering de zorg van beide organisaties dat het wetsvoorstel belemmerend werkt voor de journalistieke praktijk? Zo nee, waarom niet? Zo ja, is de regering bereid dit punt mee te nemen bij de voorgenomen modernisering/verbetering van de wet?

Bij een aantal partijen in het veld is de zorg ontstaan dat de AVG een beperking van de journalistieke ruimte met zich meebrengt, omdat de AVG ten aanzien van een aantal onderwerpen strengere regels stelt ten opzichte van de Wbp. De regering deelt deze zorg niet, omdat de belangrijkste wijzigingen die de AVG met zich meebrengt niet van toepassing zijn op de journalistieke praktijk. De betreffende bepalingen zijn namelijk uitgezonderd voor gegevensverwerkingen in het kader van journalistieke doeleinden. Het gaat daarbij met name om de versterking van de rechten van betrokkenen en de versteviging van de bevoegdheden voor de toezichthouder, waaronder de bevoegdheid om boetes op te leggen. Op grond van de journalistieke exceptie in artikel 43 UAVG zijn de rechten van betrokkenen echter categoraal uitgezonderd voor de journalistiek en is de toezichthouder niet bevoegd handhavend op te treden. Vanuit het oogpunt van beleidsneutrale implementatie is ervoor gekozen om het huidige regime voor journalistieke gegevensverwerkingen zoveel mogelijk te handhaven. Dat betekent dat de journalistieke exceptie bijna geheel overeenkomt met de bestaande ruimte onder de Wbp. Uitsluitend daar waar de ontwikkelingen in de jurisprudentie of de huidige praktijk daartoe noodzaak geven, is de ruimte voor de journalistiek verbreed. Zo kan een eenmaal verkregen toestemming door een betrokkene voor gegevensverwerking, bijvoorbeeld voor het publiceren of uitzenden van een gegeven interview, in beginsel niet worden ingetrokken. Voor nadere informatie over de journalistieke exceptie verwijs ik ook naar het antwoord op vraag 11. In het debat in de Tweede Kamer heb ik aangegeven dat ik dit onderwerp serieus neem, ervan overtuigd ben dat het nu goed is geregeld, maar dat ik dit onderwerp mee zal nemen in de brief die ik na de zomer zal sturen aan de Tweede Kamer en aan Uw kamer over wat we meer of anders kunnen doen als het gaat om de beleidsruimte die we nog hebben binnen de Europese wet- en regelgeving.22

Vraag 20 (PvdA)

Het wetsvoorstel verplicht gegevensverantwoordelijken tot het melden van datalekken. Daarbij wordt door de regering een uitzondering gemaakt voor financiële instellingen, conform de huidige regelgeving. De leden van de PvdA-fractie ontvangen graag een toelichting op de redenen voor deze uitzondering. Tevens vragen zij de regering of zij bereid is dit punt opnieuw te bezien in het voorgenomen vervolgtraject, en zo nee, waarom niet?

De uitzondering voor meldplicht bij datalekken bij financiële ondernemingen is bij de invoering van de meldplicht datalekken welbewust opgenomen. Dit is in lijn met de reeds lang onder de Wet op het financieel toezicht bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkenen (klanten). Daarbij speelde de overweging dat dergelijke openbare kennisgevingen aan betrokkenen in de financiële sector te risicovol zijn om in zijn algemeenheid dwingend voor te schijven.23 Onvoorspelbaar is immers of een dergelijke openbare kennisgeving zal leiden tot het ontstaan van geruchten die niet meer op een zakelijke wijze kunnen worden ontzenuwd en die daardoor nodeloos aanleiding zouden kunnen geven tot verminderd vertrouwen van het publiek in de financiële sector of zelfs tot een bankrun.

De algemene zorgplicht die op financiële ondernemingen rust, brengt echter mee dat zij, als dat mogelijk is, hun klanten informeren.24 Tegelijkertijd geldt dat ingevolge PSD II de financieel toezichthouder in kennis moet worden gesteld van elk groot operationeel of beveiligingsincident (dit hoeft overigens niet tevens een datalek te zijn).25 Indien dit incident gevolgen kan hebben voor de financiële belangen van de betaaldienstgebruikers moeten ook de betaaldienstgebruikers onverwijld in kennis worden gesteld van het incident en moet aan hen worden meegedeeld hoe zij de mogelijk schadelijke gevolgen van het incident kunnen beperken.

Artikel 42 van het wetsvoorstel is identiek aan het elfde lid van artikel 34a Wbp. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is ervoor gekozen om deze bepaling ook in het wetsvoorstel weer op te nemen. Ik zie echter op dit moment ook geen aanleiding om deze regel te heroverwegen.

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

Vraag 21 (CU)

Het gegevensbeschermingsrecht raakt op een bijzondere manier kerkgenootschappen. Kerkgenootschappen houden niet alleen een algemene ledenadministratie bij, maar registreren ook gegevens die verband houden met het ontvangen van sacramenten en de kerkelijke initiatie. Dit zijn per definitie zogenaamde bijzondere persoonsgegevens (artikel 91 van de AVG) daar zij de godsdienst van de betrokkene registreren. Artikel 91 van de AVG kan beschouwd worden als de nadere invulling op dit punt, dat recht doet aan de scheiding tussen kerk en staat. De fractieleden van de ChristenUnie vragen op welke wijze en wanneer overleg is gevoerd met de kerkgenootschappen in Nederland over de effecten van artikel 91 van de AVG. Zij vragen tot welke keuzes dit geleid heeft bij de voorliggende UAVG. Welke reikwijdte en betekenis heeft genoemd artikel nu, zo vragen zij. De leden van de fractie van de ChristenUnie vernemen graag of, en zo ja welke, afspraken zijn gemaakt om tijdig met de Autoriteit Persoonsgegevens af te stemmen welke aanpassingen in de kerkelijke administraties noodzakelijk zijn. Hoe verhoudt zich in dit licht het toezicht van de Autoriteit Persoonsgegevens tot het interne recht van de kerkgenootschappen en welke gevolgen heeft artikel 91, tweede lid, AVG nu voor Nederland?

Artikel 91 AVG kan worden beschouwd als een overgangsbepaling met betrekking tot bestaande, interne gegevensbeschermingsregels van kerken en religieuze verenigingen. Indien kerken en religieuze verenigingen of gemeenschappen op 25 mei 2018 (het tijdstip waarop de AVG van kracht wordt) uitgebreide regels inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens toepassen, kunnen die regels van toepassing blijven. Voorwaarde daarvoor is wel dat die regels in overeenstemming zijn gebracht met de AVG. De reikwijdte is aldus nadrukkelijk beperkt tot kerken en religieuze verenigingen die op 25 mei 2018 beschikken over en toepassing geven aan uitgebreide regels als bedoeld in artikel 91, eerste lid, AVG. Of en in hoeverre deze regels voldoen aan de voorwaarden van artikel 91, eerste lid, AVG, is ter beoordeling aan de Autoriteit persoonsgegevens.

Verwerkingen van persoonsgegevens door kerkgenootschappen zullen moeten voldoen aan de AVG. Het is de verantwoordelijkheid van organisaties zelf om te zorgen dat zij hun gegevensverwerking zodanig inrichten, dat deze in overeenstemming is met de AVG. Dit geldt voor alle organisaties die persoonsgegevens verwerken, ook voor kerken. De Autoriteit persoonsgegevens heeft regelmatig contact met verschillende brancheorganisaties, teneinde eventuele vragen over de AVG te beantwoorden of om bijvoorbeeld gedragscodes te bespreken. De Autoriteit persoonsgegevens heeft ook overleg gehad met het CIO (Interkerkelijk Contact in Overheidszaken), onder andere over de betekenis en reikwijdte van artikel 91 AVG. In dit overleg zijn geen afspraken gemaakt over aanpassingen in de kerkelijke administraties. Zoals het er nu naar uitziet, zal er nader overleg plaatsvinden tussen de Autoriteit persoonsgegevens en het CIO, waarbij overigens het uitgangspunt blijft dat de kerkgenootschappen en het CIO er zelf verantwoordelijk voor zijn dat hun gegevensverwerkingen voldoen aan de eisen die de AVG daaraan stelt. Wel kan de Autoriteit persoonsgegevens vragen van het CIO beantwoorden of samen met het CIO de mogelijkheden bekijken om binnen de kaders van de AVG nadere invulling te geven aan de verwerking van persoonsgegevens door kerken en religieuze verenigingen of gemeenschappen.

In dit kader is verder nog van belang de door de Tweede Kamer aanvaarde motie-Koopmans c.s. over de hulpvaardige handhaving.26 In deze motie overweegt de Tweede Kamer dat bedrijven en maatschappelijke organisaties, waarbij kerkgenootschappen expliciet worden genoemd, nog veel vragen hebben over de inhoud en reikwijdte van de regels inzake gegevensverwerking. De Tweede Kamer stelt zich op het standpunt dat in deze fase de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair behoort te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving, onverlet haar handhavingstaak inzake bewuste schendingen. De motie roept tot slot de regering op dit standpunt uitdrukkelijk onder de aandacht van de Autoriteit persoonsgegevens te brengen. Gelet op deze motie zal ik bij Autoriteit persoonsgegevens nogmaals aandacht vragen voor de positie van kerkgenootschappen.

Artikel 91, tweede lid, AVG biedt lidstaten de mogelijkheid om een onafhankelijke toezichthoudende autoriteit op te richten, specifiek voor kerken en religieuze verenigingen die overeenkomstig het eerste lid uitgebreide regels hanteren, mits deze toezichthoudende autoriteit voldoet aan de voorwaarden die zijn vastgesteld in hoofdstuk VI van de AVG, waaronder volledige onafhankelijkheid. Aan een dergelijke specifieke autoriteit voor kerken en religieuze verenigingen waarop artikel 91, eerste lid, AVG van toepassing is, was en is geen behoefte. Kerken en religieuze verenigingen vallen aldus ten volle onder de reikwijdte van het toezicht van de Autoriteit persoonsgegevens. Artikel 91, tweede lid, AVG heeft voor Nederland geen inhoudelijke betekenis.

Overigens houdt de AVG ook in andere opzichten rekening met de bijzondere positie van kerkgenootschappen. Zo vloeit uit artikel 9, tweede lid, aanhef en onderdeel d, AVG voort dat bijzondere categorieën van persoonsgegevens, waaronder persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, mogen worden verwerkt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen. Voorwaarde daarbij is dat de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en dat de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt. Deze bepaling is ook op kerkgenootschappen van toepassing.

Vraag 22 (CU)

De leden van de fractie van de ChristenUnie lezen dat duizenden sportclubs hun zaken nog niet op orde hebben. Zij vragen welke inschatting de regering maakt in hoeverre alle vrijwilligersorganisaties die aanpassingen moet doen, hier klaar voor zijn. Welke gevolgen heeft dit voor de handhaving? Op welk moment zal er volledige handhaving zijn?

De Autoriteit persoonsgegevens spant zich in om door voorlichting (onder meer op haar website, telefonische uitleg) alle partijen die met de AVG te maken krijgen te helpen om te voldoen aan de verplichtingen die voortvloeien uit de AVG. Daarnaast vinden vele particuliere initiatieven op dat vlak plaats, ook specifiek gericht op sportclubs. Wat betreft de vraag wanneer sprake zal zijn van handhaving is van belang dat volgens vaste rechtspraak een bestuursorgaan, in beginsel, gehouden is om in te gaan op een concreet verzoek om te gaan handhaven door gebruik te maken van de ter beschikking staande bevoegdheden.27 Hoewel de inspanningen van de Autoriteit persoonsgegevens in eerste instantie erop zijn gericht dat organisaties handelen in overeenstemming met de AVG, staat het de Autoriteit persoonsgegevens daarom niet vrij om af te zien van handhavend optreden wanneer een belanghebbende nadat de AVG van toepassing is geworden verzoekt om op te treden tegen een overtreding van de AVG, alleen omdat de AVG nog maar kort van toepassing is. Wel heeft de Autoriteit persoonsgegevens aangegeven dat, zolang er geen sprake is van misstanden of opzettelijke schendingen, haar inspanningen erop zullen zijn gericht om het nalevingsniveau te bevorderen. Naast de bevoegdheid om een bestuurlijke boete op te leggen geeft de Autoriteit persoonsgegevens ook daartoe geëigende handhavingsinstrumenten ter beschikking. Op grond van artikel 16 UAVG kan de Autoriteit persoonsgegevens bijvoorbeeld een last onder dwangsom opleggen waarbij een verwerkingsverantwoordelijke voordat de dwangsom verbeurt een termijn wordt gegund om een geconstateerde overtreding te herstellen.

Deze memorie van antwoord wordt uitgebracht mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.

De Minister voor Rechtsbescherming, S. Dekker


X Noot
1

Zie in dit kader bijvoorbeeld de zaken C-39/72 (Commissie t. Italië), ECLI:EU:C:1973:13 en C-34/73 (Variola t. Ammistrazione delle Finanze), ECLI:EU:C:1973:101.

X Noot
2

Deze overweging is ontleend aan de rechtspraak van het HvJEU, 28 maart 1985, Commissie/Italië 272/83, ECLI:EU:C:1985:147, punten 26 en 27.

X Noot
3

Kamerstukken II 2017/18, 34 851, nr. 4 onder onderdeel 7.c.

X Noot
4

Zie ook: motie-Koopmans c.s., Kamerstukken II 2017/18, 34 851, nr. 19.

X Noot
5

In de periode van 1997 tot 2017 zijn er ruim 250 officiële opinions, recommendations, guidelines, working documents, statements, models en checklists door Artikel 29-werkgroep gepubliceerd. Zie: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

X Noot
6

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk (last revised and adopted on 4 October 2017, WP248 rev. 01), Guidelines on Automated individual decision-making and Profiling (3 October 2017, WP 251) en Guidelines on the right to dataportability (last revised and adopted on 5 April 2017, WP 242 rev. 01).

X Noot
7

Zie meer uitgebreid de antwoorden 13 en 17 uit Kamerstukken II 2017/18, 34 809, nr. 6.

X Noot
8

Kamerstukken II 2017/18, 34 851, nr. 15.

X Noot
9

De verplichtingen tot het bijhouden van een register gelden, op grond van artikel 30, vijfde lid, AVG niet voor een onderneming of een orgaan met minder dan 250 werknemers, tenzij (1) de verwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkene of (2) indien er sprake is van een niet-incidentele verwerking of (3) indien er sprake is van verwerking van bijzondere categorieën persoonsgegevens of persoonsgegevens van, kort gezegd, strafrechtelijke aard. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.

X Noot
10

Op dit moment vermeldt de Artikel 29-werkgroep op haar website (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm) dat zij alle correspondentie die zij ontvangt, alsmede haar reactie daarop, volgens vast beleid publiceert.

X Noot
11

Handelingen II 2017/18, 59, item 4, p. 28.

X Noot
12

Kamerstukken II 2017/18, 34 851, nr. 22.

X Noot
13

Deze informatieplicht is geregeld in de sectorwetten. Artikel 23b Wet op het voortgezet onderwijs, luidt bijvoorbeeld: «Het bevoegd gezag rapporteert over de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers, dan wel aan de leerlingen zelf indien zij meerderjarig en handelingsbekwaam zijn.»

X Noot
14

«Nog veel onbekendheid rond nieuwe regels», SC Online, nummer 5, 2018, p. 7.

X Noot
15

Bij wijze van voorbeeld wordt de uitzendbranche genoemd, waarin relatief veel persoonsgegevens worden verwerkt. Brancheorganisatie NBBU heeft een handreiking privacy opgesteld waarin de uitzendondernemer wordt voorgelicht over de verwerkingen en hij krijgt een stappenplan aangereikt om de eigen organisatie te toetsen aan de AVG.

X Noot
16

Blijkens onder meer de aangenomen de motie waarin de regering wordt verzocht om de wens van de Tweede Kamer dat de Autoriteit persoonsgegevens «hulpvaardig» zou moeten handhaven uitdrukkelijk onder de aandacht van de Autoriteit persoonsgegevens te brengen (Kamerstukken II 2017/18, 34 851, nr. 18).

X Noot
17

Handelingen II 2017/18, nr. 59, item 4, p. 25.

X Noot
18

Kamerstukken II 2017/18, 34 851, nr. 19.

X Noot
19

Kamerstukken II 2017/18, 34 851, nr. 3, p. 63.

X Noot
20

Kamerstukken II 2017/18, 34 851, nr. 14.

X Noot
21

Brief van 8 maart 2018 aan de Tweede Kamer der Staten-Generaal.

X Noot
22

Handelingen II 2017/18, nr. 59, item 4, p. 28.

X Noot
23

Zie uitgebreid Kamerstukken II 2012/13, 33 662, nr. 3, p. 11.

X Noot
24

De maatschappelijke functie van banken en andere financiële instellingen brengt een (bijzondere) zorgplicht met zich waarvan de omvang afhankelijk is van de omstandigheden van het geval, zowel jegens haar cliënten uit hoofde van de met hen bestaande contractuele verhouding, als ten opzichte van derden met wier belangen zij rekening behoort te houden op grond van hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt (vergelijk HR 9 januari 1998, ECLI:NL:HR: 1998:ZC2536, NJ 1999, 285).

X Noot
25

Deze verplichting staat in artikel 96 eerste lid PSD II en zal worden geïmplementeerd in een nieuw artikel 26g Besluit Prudentiële regels Wft, als onderdeel van het Implementatiebesluit herziene richtlijn betaaldiensten, dat nog in procedure is.

X Noot
26

Kamerstukken II 2017/18, 34 851, nr. 18.

X Noot
27

In 2014 heeft de Afdeling bestuursrechtspraak van de Raad van State geoordeeld dat beleid inhoudende dat tegen bepaalde overtredingen nooit zal worden opgetreden, niet aanvaardbaar is. Een bestuursorgaan mag wel prioriteiten stellen in zijn handhavingsbeleid, maar zal, indien een verzoek tot handhavend optreden is gedaan, een afweging moeten maken, waarbij de belangen van de verzoeker worden betrokken. Bij deze afweging moet het bestuursorgaan bezien of het ondanks de lage prioritering toch moet optreden (ABRvS 4 juni 2014, 201308060/1/A4, meerpaal Zaandam).