Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 augustus 2018

Bij de nota naar aanleiding van het verslag1 bij bovenvermeld voorstel van wet heb ik uw Kamer gemeld dat dit wetsvoorstel ter advisering is voorgelegd aan de Autoriteit Persoonsgegevens en dat ik uw Kamer zo spoedig mogelijk zou informeren over de wijze waarop met dat advies zal worden omgegaan. Dat advies d.d. 1 juni jl. en mijn reactie daarop ontvangt uw Kamer hierbij2 en gaat in op de volgende onderwerpen uit het wetsvoorstel:

• 1. Informatie-uitwisseling door de Autoriteit Financiële Markten (AFM) met de Autoriteit Consument en Markt (ACM) en verstrekking van vertrouwelijke gegevens door de AFM en De Nederlandsche Bank (DNB) aan de Justitiële uitvoeringsdienst Toetsing, Integriteit en Screening (Dienst Justis); en

• 2. Gebruik informatiesysteem inzake beroepskwalificaties door de AFM.

1. Informatie-uitwisseling door de AFM met de ACM en verstrekking van gegevens door de AFM en DNB aan Dienst Justis

De Autoriteit Persoonsgegevens adviseert om de noodzaak van de verstrekking van persoonsgegevens van de AFM aan de ACM, respectievelijk van de AFM en DNB aan de Dienst Justis als onderdeel van het Ministerie van Justitie en Veiligheid nader te onderbouwen. De Autoriteit Persoonsgegevens adviseert daarnaast duidelijk te maken welke categorieën van persoonsgegevens worden verstrekt en om de verstrekkingen zo nodig te voorzien van passende waarborgen.

Zoals in de memorie van toelichting bij bovenvermeld wetsvoorstel (Kamerstuk 34 859, nr. 3) is beschreven, is de verstrekking van de AFM aan de ACM noodzakelijk voor het toezicht van de ACM. Omdat de AFM en de ACM toezicht houden op aanpalende gebieden komt het regelmatig voor dat zij de beschikking krijgen over gegevens die niet voor hen, maar juist voor de ander relevant zijn. Ook voeren zij in sectoren als de incassobranche gezamenlijk onderzoek uit, waarvoor de uitwisseling van informatie noodzakelijk is. In die gevallen kan de ACM, op grond van de Instellingswet Autoriteit Consument en Markt, informatie doorgeven aan de AFM die voor de AFM relevant is. Andersom is dat naar huidig recht niet mogelijk. Het wetsvoorstel is erop gericht dit mogelijk te maken.

Onder de informatie die de AFM op grond van dit wetsvoorstel aan de ACM zal verstrekken kunnen zich persoonsgegevens bevinden. Het gaat daarbij in het algemeen om namen van eigenaars, aandeelhouders, bestuurders en medewerkers van instellingen waar de AFM toezichtonderzoek heeft gedaan of waarover zij meldingen heeft gekregen, hun functies en zakelijke contactgegevens. Incidenteel zal een geboortedatum verstrekt worden ter identificatie of een privéadres van een betrokkene bij een onderneming die niet meer bestaat. Ook kan de AFM namen en contactgegevens doorgeven van personen die de AFM informatie hebben gegeven, bijvoorbeeld door misstanden te melden of een klacht in te dienen. Tot slot kan het voorkomen dat namen en adresgegevens van klanten van ondernemingen worden gedeeld. Deze persoonsgegevens kunnen nodig zijn om een goed beeld te krijgen van de feitelijke situatie en kunnen dienen als bewijs van overtredingen.

Het verstrekken van informatie aan Dienst Justis is nodig om Dienst Justis beter in staat te stellen om analyses uit te voeren op verzoek van de AFM en DNB. De AFM en DNB kunnen ten behoeve van hun toezichthoudende taken Dienst Justis verzoeken om een netwerktekening. De belangrijkste dienst die Dienst Justis met behulp van deze informatie verleent is het opstellen van zogenaamde netwerktekeningen waarin verbanden tussen verschillende ondernemingen zichtbaar worden gemaakt. De AFM en DNB gebruiken deze tekeningen in het kader van het toezicht op de integere en beheerste bedrijfsvoering en incidenteel in het kader van de toetsing op betrouwbaarheid of geschiktheid van personen. Op dit moment kunnen de AFM en DNB vanwege hun geheimhoudingsplicht Dienst Justis maar beperkt voorzien van informatie over de achtergrond van hun verzoek en de betrokkenen. Om gericht te kunnen voldoen aan de behoefte van de AFM en DNB is het noodzakelijk dat de AFM en DNB in het kader van hun verzoek toezichtvertrouwelijke informatie kunnen verstrekken, waaronder ook persoonsgegevens. De Wet controle op rechtspersonen voorziet Dienst Justis van de wettelijke basis om bepaalde persoonsgegevens ten behoeve van een netwerktekening of risicomelding op verzoek te mogen verwerken (artikel 3 Besluit controle op rechtspersonen). Het betreft onder andere namen, burgerservicenummers, geboortedata van eigenaars, bestuurders en aandeelhouders van ondernemingen en soms ook hun functies of woonadressen. Als een netwerktekening voor de AFM of DNB wordt gemaakt kan het nodig zijn om de genoemde gegevens te verwerken van eigenaars, bestuurders en aandeelhouders van instellingen waar de AFM en DNB onderzoek naar doen nodig en van personen die worden getoetst op hun geschiktheid dan wel betrouwbaarheid.

Zowel de uitwisseling van de AFM met de ACM als de verstrekking van de AFM en DNB aan Dienst Justis is met veel waarborgen omkleed. Zo geldt een strikte doelbinding en een geheimhoudingsverplichting. Voor zover onder de verstrekte gegevens persoonsgegevens zijn, gelden daarnaast ook waarborgen van de AVG en de Uitvoeringswet AVG (UAVG). Dit betekent dat alleen persoonsgegevens verstrekt kunnen worden als dat in het specifieke geval noodzakelijk is voor de uitvoering van de taken van de AFM, DNB of de ACM. Verder bevat die wetgeving voorschriften over informatieverstrekking aan betrokkenen, beveiliging van gegevens en maximale bewaartermijnen en biedt zij betrokken natuurlijke personen het recht om bezwaar te maken tegen de uitwisseling. Op het recht van betrokkene om geïnformeerd te worden zijn verschillende uitzonderingen mogelijk, bijvoorbeeld ten aanzien van informatie-uitwisseling in het kader van het uitvoeren van toezichtonderzoeken door de AFM, DNB of de ACM. Betrokkenen worden hierover niet voorafgaand geïnformeerd noch wordt hen toestemming gevraagd om een toezichtonderzoek te starten. Voor wat betreft het gebruik van het burgerservicenummer gelden aanvullend de waarborgen van de Wet algemene bepalingen burgerservicenummer.

2. Gebruik informatiesysteem inzake beroepskwalificaties door de AFM

De Autoriteit Persoonsgegevens gaat in haar advies van 1 juni jl. tevens in op het gebruik van het informatiesysteem inzake beroepskwalificaties door de AFM. Daarbij merkt de Autoriteit Persoonsgegevens op dat in de memorie van toelichting bij het wetsvoorstel niet wordt ingegaan op de resultaten van de uitgevoerde Privacy Impact Assessment (PIA). Daarnaast adviseert de Autoriteit Persoonsgegevens om de rol van de AFM in de verhouding tussen de Dienst Uitvoering Onderwijs (DUO) (verwerker), de Minister van Financiën (verwerkingsverantwoordelijke) en de AFM te verduidelijken.

Wat betreft het eerste punt gaat het, zoals in de memorie van toelichting in de consultatieparagraaf (paragraaf 8) is toegelicht, bij de voorgestelde wetswijziging om het gebruik van een bestaand ICT-systeem voor een nieuw doel (houden van toezicht op de naleving van de vakbekwaamheidseisen). Met betrekking tot dit informatiesysteem is in het kader van dit wetsvoorstel beoordeeld wat de privacy-impact is van de uitvraag van de AFM en of die uitvraag voldoet aan de eisen die privacywetgeving stelt aan gegevensbescherming, zoals doelbinding, kwaliteit van gegevens, beveiliging en bewaartermijnen. Daaruit is gebleken dat het gebruik van het informatiesysteem van DUO door de AFM met veel waarborgen is omkleed. Zo heeft de AFM voor het gebruik van het systeem de beschikking over een token waarmee zij via de e-mail informatie bij de DUO uit het informatiesysteem inzake beroepskwalificaties kan opvragen. De AFM heeft het proces zodanig ingericht dat de token alleen toegankelijk is voor medewerkers van de AFM waarvoor dit noodzakelijk is in de uitvoering van de werkzaamheden (het zogenoemde need to know – principe). Bij het verzenden van de informatie wordt daarnaast gebruik gemaakt van de beveiliging van Cryptshare waarmee de informatie wordt versleuteld.

Ten aanzien van het tweede punt kan worden opgemerkt dat de Minister als verwerkingsverantwoordelijke voor het register ook verwerkingsverantwoordelijke is voor de verstrekking van de gegevens aan de AFM. DUO treedt hierbij op als verwerker voor de Minister. De AFM is ontvanger. Voor het verdere gebruik van de gegevens in het kader van het toezicht is de AFM verwerkingsverantwoordelijke. De Minister en DUO hebben hierbij geen rol.

Naast bovenstaande inhoudelijke opmerkingen, bevat het advies van de Autoriteit Persoonsgegevens een redactionele opmerking. De Autoriteit Persoonsgegevens merkt op dat in de memorie van toelichting, die reeds voor de inwerkingtreding van de UAVG werd opgesteld, wordt verwezen naar de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens merkt terecht op dat in het verdere wetgevingstraject verwijzingen naar de Wbp moeten worden gelezen als verwijzingen naar daarmee corresponderende bepalingen uit de AVG.

Ik hoop uw Kamer hiermee voldoende te hebben geïnformeerd.

De Minister van Financiën, W.B. Hoekstra