34 851 Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming)

C VOORLOPIG VERSLAG VAN DE VASTE COMMISSIE VOOR JUSTITIE EN VEILIGHEID1

Vastgesteld 10 april 2018

Het voorbereidend onderzoek heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen.

Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG). Naar aanleiding daarvan stellen zij graag een aantal vragen.

De leden van de fractie van de SP hebben met belangstelling kennisgenomen van de UAVG. Zij hebben nog enkele vragen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van dit in hun ogen belangrijke wetsvoorstel. Zij zijn van mening dat de Algemene verordening gegevensbescherming (hierna: AVG of verordening) en de UAVG een verbetering vormen ten opzichte van de huidige Wet bescherming persoonsgegevens (hierna: Wbp). Zij stellen graag enkele vragen met betrekking tot de uitvoerbaarheid en handhaafbaarheid van de UAVG.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van de UAVG. Dit voorstel regelt de instelling en inrichting van de Autoriteit Persoonsgegevens als nationale toezichthouder en de bevoegdheid van de Autoriteit om bestuurlijke boetes op te leggen. Daarnaast moeten organisaties die persoonsgegevens verwerken rekening houden met nieuwe, strengere regels. Organisaties moeten aantonen dat zij in overeenstemming met de verordening handelen en een register bijhouden van de verwerkingsactiviteiten die plaatsvinden. De fractieleden van de ChristenUnie stellen enkele vragen over de gevolgen van de UAVG voor kerkgenootschappen en de uitwerking van artikel 91 van de AVG in deze uitvoeringswet.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie constateren dat de regering er wegens «het overschrijfverbod» voor heeft gekozen om de regels van de verordening in beginsel niet te incorporeren in de UAVG en noodzakelijke nationaalrechtelijke regels te verwerken op basis van een beleidsneutrale overname van de geldende regels onder de Wbp. Zij verzoeken de regering om een nadere uitleg of deze opsplitsing van regels over twee instrumenten van wetgeving de uitvoering en toepassing van de verordening en de UAVG voor overheden en bedrijven niet bemoeilijkt. Welke bezwaren ziet de regering om ook de regels van de verordening op te nemen in de Nederlandse wet, met het resultaat dat er één doorlopende en geordende wettekst tot stand komt?

De VVD-fractieleden vragen of de regering een uitvoeringstoets heeft toegepast voor de beoordeling of de wetgeving (de AVG en de UAVG) voor overheden en bedrijfsleven leidt tot werkbare regelgeving. Indien geen uitvoeringstoets is uitgevoerd, verzoeken deze leden om een motivering.

De regering heeft gekozen voor een beleidsneutrale implementatie, onder meer gelet op de korte periode van circa twee jaar tot de inwerkingtreding van de verordening. De argumenten die de regering daarvoor opbrengt, zijn met name consistentie in nationaal beleid, beperking van kosten, en de snelle technologische ontwikkelingen op het terrein van dataverwerking. De VVD-fractieleden vragen hoe de regering de verdere invulling van normen en goede praktijken voor de gegevensbescherming van natuurlijke personen wil stimuleren. Zij vernemen graag of de regering onderzoek heeft gedaan of het overlaten van de verdere invulling van normen en goede praktijken door met name de toezichthouder op basis van «trial and error», mogelijk kan leiden tot slepende en kostbare procedures voor betrokkenen en het veld. Hoe wenst de regering voor de toekomst haar rol in te vullen bij de bescherming van persoonsgegevens van natuurlijke personen naast de toezichthouder, de rechter, de betrokkenen en het veld?

Artikel 33 van de AVG inzake de melding van een inbreuk in verband met persoonsgegevens bepaalt dat de verwerkingsverantwoordelijke (in lid 1) en de verwerker (in lid 2) bij een inbreuk de bevoegde toezichthoudende autoriteit, respectievelijk de verwerkingsverantwoordelijke, zonder onredelijke vertraging in kennis stellen van de inbreuk. Een verwerkingsverantwoordelijke dient, indien mogelijk, daarbij een termijn van uiterlijk 72 uur aan te houden. De VVD-fractieleden verzoeken de regering om voorbeelden te geven van redenen die aanleiding kunnen zijn voor een redelijke vertraging. Tevens vragen zij de regering welke termijn verwerkers, zoals een ICT-werker voor wie de termijn van 72 uur niet geldt, ten minste dienen aan te houden. Deze leden vragen voorts welke termijnen in dit verband gelden voor de toepassing van het vierde lid van artikel 33 van de AVG, dat gaat over de situatie dat het niet mogelijk is om alle informatie gelijktijdig te verstrekken maar wel in stappen, echter zonder onredelijke vertraging.

Artikel 20, eerste lid, van de UAVG betreft de situatie dat de Autoriteit Persoonsgegevens gegronde redenen heeft om aan te nemen dat een zogenoemd «adequaatheidsbesluit» van de Europese Commissie onvoldoende waarborgen biedt voor de doorgifte van persoonsgegevens buiten de EU of aan een internationale organisatie. De Autoriteit kan in een voorkomend geval een verzoek indienen bij de Afdeling bestuursrechtspraak van de Raad van State om voor recht te verklaren dat het betreffende besluit geldig is. De leden van de VVD-fractie vragen de regering op welke gronden de keuze voor dit rechtscollege is gebaseerd.

De UAVG bepaalt in artikel 43 dat deze wet niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen. Het gebruik van het woord «uitsluitend» geeft de leden van de VVD-fractie aanleiding tot de vraag aan de regering of dergelijke nauw omlijnde doeleinden en uitdrukkingsvormen eigenlijk alleen kenbaar zijn op basis van publicatie. Zij vragen de regering dan ook op welke wijze journalistieke, academische, artistieke of literaire voorbereidingshandelingen voor een publicatie waarbij persoonsgegevens worden uitgewisseld, worden uitgezonderd van de toepassing van de verordening en de UAVG.

In artikel 2a van de UAVG wordt bepaald dat de Autoriteit Persoonsgegevens bij de toepassing van de verordening de specifieke behoeften van kleine, middelgrote en micro-ondernemingen in aanmerking moet nemen. De leden van de VVD-fractie realiseren zich dat deze bepaling via een amendement2 van de Tweede Kamer is toegevoegd. Wil de regering toelichten wat die specifieke behoeften inhouden? En waarin verschillen deze behoeften van genoemde ondernemingen ten aanzien van alle andere ondernemingen en organisaties die niet in de groep van de in artikel 2a van de UAVG bedoelde categorieën vallen? Welke consequenties heeft deze bepaling voor de reikwijdte van de verplichtingen die uit de verordening voortvloeien voor de in artikel 2a genoemde ondernemingen? Gelden alle verplichtingen onverkort en zal de Autoriteit Persoonsgegevens zich alleen coulanter opstellen bij de uitoefening van haar bevoegdheden? Of mogen genoemde ondernemingen op een andere wijze invulling geven aan de verplichtingen van de verordening? Zo ja, wat is dan die andere wijze? In het kader van de rechtszekerheid is het van belang dat de regering duidelijk aangeeft wat de reikwijdte is van deze bepaling en dat zij deze bepaling nader duidt.

Vragen en opmerkingen van de leden van de SP-fractie

Met enig fronsen hebben de fractieleden van de SP gekeken naar de totstandkoming van de verordening. Niet zozeer vanwege dit eindtraject, maar wel wat eraan vooraf is gegaan. Het is absoluut waar dat goede gegevensbescherming juist grensoverschrijdend geregeld moet worden, anders is de veiligheid die inwoners van Nederland geboden moet worden, net zo ver als dat de grens reikt en dat is in de digitale wereld echt te weinig. Tegelijkertijd is dit proces een merkwaardig proces geweest met verstrekkende gevolgen, niet alleen in Europa, maar ook erbuiten. De leden van de fractie van de SP vragen of de wetgeving met betrekking tot gegevensbescherming nu Europa gaat isoleren van de rest van de wereld, of dat dit de nieuwe standaard gaat worden. Zij zijn benieuwd naar de visie van de regering hierop.

Nederland is bij de totstandkoming van de verordening nauw betrokken geweest. De fractieleden van de SP hebben echter nog zorgen over de rol die een Europees Comité voor gegevensbescherming (hierna: EDPB) gaat spelen in de toekomst. Door middel van zogenaamde soft law zal een EDPB bevoegdheid hebben om adviezen en besluiten uit te brengen die voor de betrokkenen vergaand kunnen zijn. Opnieuw, het doel is nobel, maar de rol die een Europese organisatie gaat spelen, baart de voornoemde leden zorgen. Hoe ziet de regering deze ontwikkeling? Spreekt zij hierover met de Autoriteit Persoonsgegevens? De Autoriteit Persoonsgegevens gaat bijdragen in de vorming van een EDPB, omdat zij er zelf onderdeel van is. Op welke wijze gaat de controle door het parlement op deze besluitvorming plaatsvinden? Graag een reactie.

De Autoriteit Persoonsgegevens is een toezichthouder en valt daarmee onder de Algemene wet bestuursrecht (hierna: Awb). Nu lijken er in de AVG zaken te staan die in strijd zijn met de Awb. Zo staat er in artikel 5:7 van de Awb dat er, wanneer er gevaar voor overtreding klaarblijkelijk dreigt, een herstelsanctie kan worden opgelegd. Ook in artikel 58 van de AVG staat de mogelijkheid van een herstelsanctie, maar zonder het vereiste van klaarblijkelijk gevaar. Kan de regering een vergelijking maken tussen de AVG en de Awb om dergelijke onduidelijkheden op te lossen?

In de UAVG wordt geen gebruikgemaakt van de journalistieke exceptie. De regering kiest ervoor de huidige wetgeving van de Wbp te gebruiken als basis voor de UAVG. Zij is van mening dat dit voldoende is. Journalisten echter vrezen een «chilling effect» hierdoor. In de behandeling in de Tweede Kamer heeft de regering aangegeven juist niet de gehele exceptie te willen gebruiken, omdat daarmee een bredere doelgroep dan de journalistiek onder de exceptie zou vallen.3

Deze exceptie is er om te voorkomen dat de vrijheid van meningsuiting beperkt wordt. Wanneer journalistiek relevant, kan men persoonsgegevens publiceren. Bovendien heeft men volgens artikel 7 van de Grondwet het recht zonder van te voren verlof te vragen vrijelijk gedachten en gevoelens te mogen openbaren. Eerdere rechtszaken over of iets wel of niet onder de oude exceptie viel, gingen uiteindelijk over of de publicatie het algemeen belang diende, veeleer dan of het hier een journalistieke uiting betrof. Het is niets voor niets dat de AVG toestaat deze exceptie op te nemen: bij de totstandkoming van de AVG was dit al een punt ter discussie.

De leden van de fractie van de SP zouden van de regering willen weten welke bezwaren zij ziet in het maximale gebruik van de exceptie voor de journalistiek. Voor welke partijen zou deze exceptie dan ongewenst gaan gelden? Op welke wijze zou dan de privacy in gevaar komen? Vreest de regering niet dat hiermee juist de vrijheid van meningsuiting beperkt wordt?

De regering kiest ervoor geen gebruik te maken van de mogelijkheid om de leeftijd voor verwerking zonder toestemming van ouders te verlagen. De grens is en blijft 16 jaar. Wat voor implicaties heeft dit nu? Wat gebeurt er als een kind zegt 16 jaar te zijn bij het aanmaken van een Facebook-profiel? Moet Facebook die profielen gaan screenen om te kijken of de kinderen jonger zijn? En welk signaal wordt hiermee eigenlijk aan de kinderen afgegeven? Dat je alleen een digitaal sociaal leven mag hebben als je ouder dan 16 jaar bent? Dit geldt evengoed voor de digitale wereld van scholen. Kinderen kunnen hun cijfer niet meer zelf vertellen, het systeem heeft het al voor hun gedaan. Het heeft het er voor de kinderen niet gemakkelijker op gemaakt. En alhoewel ouders natuurlijk moeten weten hoe het welzijn van het kind is op school, kan ook de vraag gesteld worden of een kind op weg naar volwassenheid wel ieder moment van de dag digitaal controleerbaar dient te zijn. Als kinderen 18 jaar worden, mogen scholen sowieso geen gegevens meer delen, maar door de UAVG kunnen kinderen dus al bij 16 jaar zeggen dat ze niet willen dat hun gegevens gedeeld worden met de ouders. Is dat correct?

Hoe staat deze leeftijdsgrens in verhouding tot het recht op privacy van kinderen? Wat is de prangende reden dat de regering niet voor een leeftijdsverlaging heeft gekozen?

Vragen en opmerkingen van de leden van de PvdA-fractie

Wat is de reden dat de regering pas op 12 december 2017 het wetsvoorstel heeft aangeboden aan de Tweede Kamer, terwijl al in mei 2016 de verordening door het Europees Parlement is aangenomen? De leden van de PvdA-fractie hebben de indruk dat, ondanks de overgangsperiode van twee jaar, de inhoud van het wetsvoorstel onvoldoende bekend is bij zowel burgers als gegevensverantwoordelijken. Zo wijzen VNO-NCW en MKB-Nederland erop dat veel (mkb-)bedrijven nog lang niet klaar zijn om aan hun nieuwe verantwoordelijkheden te voldoen. Zorginstellingen, scholen, maar ook sportverenigingen, vrijwilligersorganisaties enzovoorts verwachten problemen bij de implementatie. Uit een enquête onder ambtenaren blijkt dat ook gemeenten – twee maanden voor de invoering van de wet – nog onvoldoende zijn voorbereid.4 Kan de regering aangeven of en in welke mate overheden, publieke instellingen en bedrijven zijn voorbereid op hun nieuwe verantwoordelijkheden? Deelt de regering de zorgen van de leden van de PvdA-fractie dat een goede implementatie van de AVG op 25 mei 2018 onwaarschijnlijk is? Kan de regering aangeven tot welke problemen dit kan leiden voor gegevensverantwoordelijken? Hoe heeft de regering in de afgelopen jaren burgers en gegevensverantwoordelijken geïnformeerd over de AVG? Op welke wijze gaat zij dit in de komende maanden doen? Welke rol speelt de Autoriteit Persoonsgegevens daarin en is deze daartoe voldoende gefaciliteerd? Op welk moment dienen de gegevensverantwoordelijken in de ogen van de regering «AVG-proof» te zijn? Is de regering voornemens voorlopig terughoudend te zijn met betrekking tot de handhaving?

Invoering van de wet gebeurt zoveel als mogelijk beleidsneutraal. Kan de regering aangeven wat de verschillen zijn tussen de AVG en de UAVG? De in de AVG geboden ruimte voor nationaal beleid wordt (voorlopig) niet ingevuld. De regering geeft aan dat zij hier om zowel pragmatische als inhoudelijke redenen voor heeft gekozen en dat zij na invoering aan de slag gaat met de verdere modernisering en verbetering van de wet. De leden van de PvdA-fractie ontvangen graag een toelichting op het vervolgtraject. Welke onderwerpen en artikelen worden nader uitgewerkt? Welk tijdpad heeft de regering daarbij voor ogen? Op dit moment zijn bedrijven, overheden en instellingen bezig met de implementatie van de verordening. Hoe wordt voorkomen dat zij op een later moment worden geconfronteerd met weer nieuwe eisen? En wat als op 25 mei 2018 wel de verordening in werking treedt, maar de UAVG nog niet is aangenomen?

Door de invoering van het wetsvoorstel wordt het takenpakket van de Autoriteit Persoonsgegevens fors uitgebreid. Voorlichting, toezicht, klachtenbemiddeling en -afhandeling en handhaving behoren tot de verantwoordelijkheden van de Autoriteit. Uit onderzoek van het adviesbureau Andersson Elffers Felix (AEF) is gebleken dat met de huidige capaciteit de Autoriteit Persoonsgegevens onvoldoende in staat is deze taken op een verantwoorde wijze uit te voeren. Het adviesbureau geeft aan dat 16 tot 22 miljoen euro extra nodig is.5 Door de regering wordt 7 miljoen euro extra beschikbaar gesteld. Daarnaast wordt door het aannemen van een amendement6 in de Tweede Kamer de Autoriteit Persoonsgegevens uitgebreid tot drie leden. Kan de regering aangeven of en op welke wijze de Autoriteit met dit (geringe) extra bedrag haar nieuwe taken op een verantwoorde wijze kan uitvoeren? Welke risico’s ziet de regering daarbij? Is de regering bereid de Autoriteit Persoonsgegevens verder te faciliteren als blijkt dat de implementatie van de wet onvoldoende voortgang boekt?

Door NDP Nieuwsmedia en de Nederlandse Vereniging van Journalisten is gewezen op de balans tussen enerzijds het recht op privacy en anderzijds het recht op vrije meningsuiting.7 In de ogen van beide organisaties leidt het wetsvoorstel tot een disbalans tussen beide en worden de mogelijkheden om meer bepalingen uit te zonderen voor journalistieke doeleinden (terwijl dit op basis van de AVG wel mogelijk is) door de regering niet benut. Deelt de regering de zorg van beide organisaties dat het wetsvoorstel belemmerend werkt voor de journalistieke praktijk? Zo nee, waarom niet? Zo ja, is de regering bereid dit punt mee te nemen bij de voorgenomen modernisering/verbetering van de wet?

Het wetsvoorstel verplicht gegevensverantwoordelijken tot het melden van datalekken. Daarbij wordt door de regering een uitzondering gemaakt voor financiële instellingen, conform de huidige regelgeving. De leden van de PvdA-fractie ontvangen graag een toelichting op de redenen voor deze uitzondering. Tevens vragen zij de regering of zij bereid is dit punt opnieuw te bezien in het voorgenomen vervolgtraject, en zo nee, waarom niet?

De leden van de PvdA-fractie zien de antwoorden van de regering met belangstelling tegemoet.

Vragen en opmerkingen van de leden van de ChristenUnie-fractie

Het gegevensbeschermingsrecht raakt op een bijzondere manier kerkgenootschappen. Kerkgenootschappen houden niet alleen een algemene ledenadministratie bij, maar registreren ook gegevens die verband houden met het ontvangen van sacramenten en de kerkelijke initiatie. Dit zijn per definitie zogenaamde bijzondere persoonsgegevens (artikel 91 van de AVG) daar zij de godsdienst van de betrokkene registreren. Artikel 91 van de AVG kan beschouwd worden als de nadere invulling op dit punt, dat recht doet aan de scheiding tussen kerk en staat. De fractieleden van de ChristenUnie vragen op welke wijze en wanneer overleg is gevoerd met de kerkgenootschappen in Nederland over de effecten van artikel 91 van de AVG. Zij vragen tot welke keuzes dit geleid heeft bij de voorliggende UAVG. Welke reikwijdte en betekenis heeft genoemd artikel nu, zo vragen zij. De leden van de fractie van de ChristenUnie vernemen graag of, en zo ja welke, afspraken zijn gemaakt om tijdig met de Autoriteit Persoonsgegevens af te stemmen welke aanpassingen in de kerkelijke administraties noodzakelijk zijn. Hoe verhoudt zich in dit licht het toezicht van de Autoriteit Persoonsgegevens tot het interne recht van de kerkgenootschappen en welke gevolgen heeft artikel 91, tweede lid, van de AVG nu voor Nederland?

De leden van de fractie van de ChristenUnie lezen dat duizenden sportclubs hun zaken nog niet op orde hebben. Zij vragen welke inschatting de regering maakt in hoeverre alle vrijwilligersorganisaties die aanpassingen moet doen, hier klaar voor zijn. Welke gevolgen heeft dit voor de handhaving? Op welk moment zal er volledige handhaving zijn?

De leden van de vaste commissie voor Justitie en Veiligheid zien de reactie van de regering zo spoedig mogelijk met belangstelling tegemoet.

De voorzitter van de vaste commissie voor Justitie en Veiligheid, Duthler

De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren

X Noot
1

Samenstelling:

Engels (D66), Ruers (SP), Van Bijsterveld (CDA) (vice-voorzitter), Duthler (VVD) (voorzitter), Ten Hoeve (OSF), Koffeman (PvdD), Strik (GL), Knip (VVD), Backer (D66), vac. (PvdA), Schouwenaar (VVD), Van Strien (PVV), Kok (PVV), Gerkens (SP), Vlietstra (PvdA) Lokin-Sassen (CDA), Bredenoord (D66), Dercksen (PVV), D.J.H. van Dijk (SGP), Van Rij (CDA), Rombouts (CDA), Van de Ven (VVD), Wezel (SP), Bikker (CU), Baay-Timmerman (50PLUS) Van Zandbrink (PvdA), Aardema (PVV).

X Noot
2

Kamerstukken II 2017/18, 34 851, nr. 15.

X Noot
3

Handelingen II 2017/18, 59, item 4, p. 28.

X Noot
4

«Nog veel onbekendheid rond nieuwe regels», SC Online, nummer 5, 2018, p. 7.

X Noot
5

Kamerstukken II 2017/18, 34 851, nr. 3, p. 63.

X Noot
6

Kamerstukken II 2017/18, 34 851, nr. 14.

X Noot
7

Brief van 8 maart 2018 aan de Tweede Kamer der Staten-Generaal.

Naar boven