Inleiding

Met veel belangstelling heb ik kennis genomen van de opmerkingen en vragen van de leden van de vaste commissie voor Justitie en Veiligheid van uw Kamer inzake het voorstel tot wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen (hierna ook: het wetsvoorstel). De leden van de fracties van het CDA en van de SP hebben enkele vragen gesteld met betrekking tot de uitvoerbaarheid en de uitvoeringspraktijk. Het kabinet is zich er terdege van bewust dat de implementatie van de richtlijn gegevensbescherming opsporing en vervolging (hierna: de richtlijn) niet is afgerond door alleen de aanpassing van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Het is van essentieel belang dat de regels in de praktijk daadwerkelijk worden nageleefd en toegepast. Dat vereist maatregelen op uiteenlopend gebied, zoals aanpassing van informatiesystemen, opleiding van professionals en voorlichting van het publiek. Met de beantwoording van de onderstaande vragen van de leden van deze fracties zal ik, mede namens de Minister van Defensie, hierop nader in gaan waarbij ik hoop dat die beantwoording deze leden ervan kan overtuigen dat de implementatie van de richtlijn in wetgeving en beleid een belangrijke bijdrage kan leveren aan de bescherming van de persoonlijke levenssfeer van burgers – daders, slachtoffers, getuigen of anderszins – die in aanraking komen met instanties die onderdeel zijn van het politie- en justitiedomein.

Uitvoerbaarheid/uitvoeringspraktijk

De leden van de fractie van het CDA hebben vastgesteld dat de Raad van State er in haar advies op heeft gewezen dat niet alles in regels is te vatten. Voor de uitvoeringspraktijk hangt veel af van de modernisering van ICT-systemen en van opleiding en training van de professionals. De leden van deze fractie hebben gevraagd of de regering kan aangeven hoe zij voornemens is hieraan inhoud te geven en of hiervoor voldoende financiële middelen voorhanden zijn.

De leden van de CDA-fractie wijzen terecht op factoren als de modernisering van ICT-systemen en van opleiding en training van de professionals voor een goede implementatie van de richtlijn. Daarbij moet voor ogen worden gehouden dat aanpassing of vervanging van ICT-systemen doorgaans plaatsvindt met het oog op het functioneren van organisaties op de lange termijn. De aanpassing of vervanging van dergelijke systemen teneinde een effectieve naleving van de richtlijn te faciliteren, vereist een zorgvuldige voorbereiding. Hier komt bij dat de situatie op dit punt bij de verschillende uitvoeringsinstanties niet identiek is. De maatregelen die genomen moeten worden ter implementatie van deze richtlijn in de uitvoeringspraktijk zullen per organisatie dan ook op onderdelen kunnen verschillen. Dit vereist maatwerk.

In reactie op een eerdere audit naar de naleving van de Wpg heeft de politie een meerjarig verbeterplan opgesteld (Kamerstukken 2015/2016, 33 842, nrs. 3 en 4). De maatregelen ter verbetering van de naleving van de Wpg hebben onder andere betrekking op het aanpassen van ICT systemen en de opleiding en scholing van de medewerkers. Ten behoeve van de implementatie van verschillende verplichtingen die voortvloeien uit de richtlijn is de scope van het verbeterplan uitgebreid en zijn aanvullende maatregelen in het plan opgenomen. Dit betreft onderwerpen als de ontwikkeling van een model voor het registreren van gegevens (artikel31d Wpg) en het inrichten van een proces rond de meldplicht datalekken (art. 33a Wpg) en de gegevensbeschermingseffectbeoordeling (art. 4c Wpg). Verder werkt de politie structureel aan de modernisering van ICT-systemen. Ik verwijs hierbij naar een recente brief van de Minister van Justitie en Veiligheid aan de Tweede Kamer over de ICT vernieuwing bij de politie1. In de modernisering van ICT systemen zal de implementatie van verschillende verplichtingen van de richtlijn moeten worden betrokken. Dit betreft verplichtingen als het vereiste van gegevensbescherming door beveiliging en ontwerp, gegevensbescherming door standaardinstellingen en het implementeren van de loggingsverplichting. In de eerdergenoemde brief is aangegeven welke capaciteit en financiële middelen beschikbaar zijn voor ICT-vernieuwing in het algemeen.

Voor wat betreft de andere onderdelen van de strafrechtsketen wijs ik op de ambitieuze voornemens van het kabinet voor de digitalisering van de strafrechtsketen als geheel. In het Regeerakkoord is voor dat doel een substantieel bedrag vrijgemaakt. Mijn ambtgenoot van Justitie en Veiligheid en ik hebben de plannen nader toegelicht in onze brief van 29 juni 2018 (Kamerstukken II, 29 279, nr. 449). Kortheidshalve verwijs ik daarnaar.

De kosten voor de organisaties die worden geraakt door dit wetsvoorstel, dienen te worden gedekt vanuit de bedrijfsvoeringsbudgetten van de betreffende organisaties. Een groot deel van de kosten vloeit voort uit de implementatie van de loggingsverplichting. De richtlijn kent voor deze verplichting een langere implementatietermijn tot 2023, en in uitzonderlijke gevallen tot 2026. Van deze termijn wordt gemaakt om bij de reguliere ICT-vervanging aan te sluiten.

In het licht van de balans tussen privacy en rechtshandhaving vinden de leden van de fractie van de SP de waarborgen waarmee dit wetsvoorstel is omkleed, die er voor moeten zorgen dat de rechten van degene die te maken krijgt met de justitiële keten gewaarborgd worden, een verbetering op de bestaande situatie. De zorgen van deze fractie liggen echter bij de uitvoering van de regels. Net als de AVG is de richtlijn al langer van kracht en hebben politie en justitie al veel kunnen voorbereiden. De leden van deze fractie hebben gevraagd of ik kan aangeven hoe het nu staat met de implementatie van de wet. Deze leden hebben tevens opgemerkt dat de Autoriteit Persoonsgegevens de politie in het verleden meermaals op de vingers heeft moeten tikken en hebben gevraagd of er nu een duidelijk verbetering is te zien, en zo nee, hoe ik dan denk de keten op dat punt te gaan versterken.

Zoals hierboven, naar aanleiding van een vraag van de leden van de CDA-fractie, is aangegeven, heeft de politie naar aanleiding van een eerdere audit door de Auditdienst Rijk (ADR) naar de naleving van de Wpg een meerjarig verbeterplan opgesteld. De implementatie van deze richtlijn heeft voor de politie aanleiding gegeven om de scope van het verbeterplan uit te breiden. Het openbaar ministerie heeft een afzonderlijk programma ingericht ter voorbereiding op de uitvoering van de AVG en de richtlijn. Vanuit dit programma worden de medewerkers van het openbaar ministerie geïnformeerd over de nieuwe wetgeving en gaat de nodige aandacht uit naar het vergroten van bewustzijn hoe om te gaan met persoonsgegevens en eventuele datalekken. Bij de voorbereiding op de inwerkingtreding van de richtlijn en de verordening werkt het openbaar ministerie samen met ketenpartners en het zogenoemde AVG-team van het Ministerie van Justitie en Veiligheid. Alle organisaties in het politie- en justitiedomein hebben een functionaris voor gegevensbescherming aangesteld. De functionaris voor gegevensbescherming is onder meer belast met het adviseren van de verwerkingsverantwoordelijke over de naleving van de wettelijke verplichtingen op basis van de richtlijn, het toezicht op de naleving van die verplichtingen en het fungeren als contactpunt voor de Autoriteit persoonsgegevens. De aanstelling van een dergelijke functionaris zal een belangrijke stimulans kunnen bieden aan de naleving van de wettelijke verplichtingen op het gebied van de bescherming van persoonsgegevens door de instanties in het politie- en justitiedomein.

Binnen het Ministerie van JenV is het projectteam AVG@JenV ingericht, dat actieve ondersteuning biedt en adviseert bij de implementatie van de AVG. Doordat de verplichtingen van de richtlijn voor een belangrijk deel overeenkomen met die van de AVG is inmiddels ook de implementatie van de richtlijn toegevoegd aan de scope van dit team. De organisaties binnen het politie- en justitiedomein kunnen gebruik maken van de faciliteiten op het gebied van opleiding en training. Binnen alle organisaties zijn tal van activiteiten ontwikkeld om de medewerkers meer bewust te maken van en te scholen in het gegevensbeschermingsrecht. In dat kader zijn impactanalyses gemaakt, bewustwordingstrajecten gestart en plannen van aanpak opgesteld. De bescherming van persoonsgegevens is overigens een punt dat permanente aandacht krijgt.

De eerder genoemde externe audit door de ADR heeft destijds uitgewezen dat de naleving van de Wpg door de politie niet op orde was. Er wordt gestaag gewerkt aan de implementatie van de maatregelen die de politie in reactie op de audit heeft ingesteld. Deze maatregelen hebben betrekking op de beveiliging van gegevens, de toegang tot gegevens, de rechten van de betrokkene, de verstrekking van gegevens, de protocolplicht, de kwaliteit van gegevens, gevoelige gegevens en audits. Het verbetertraject is inmiddels ingezet en de eerste verbeteringen als gevolg van het verbeterplan zijn zichtbaar. Mede vanwege het feit dat de richtlijn nieuwe verplichtingen met zich mee brengt zal er evenwel meer tijd nodig zijn om alle maatregelen zodanig uit te voeren dat de politie volledig «Wpg-compliant» is. Dit is een traject dat niet op korte termijn met succes kan worden afgesloten maar dat gedurende een langere termijn de nodige inspanningen vergt. Ik heb er nochtans vertrouwen in dat dit zal leiden tot een duidelijke verbetering van de situatie op het gebied van de bescherming van persoonsgegevens in de dagelijkse praktijk.

De leden van de fractie van de SP hebben bij de invoering van de AVG gezien dat veel bedrijven en organisaties de bescherming van de persoonsgegevens niet op orde hebben. De grootste oorzaak is dat zij niet doorhebben dat ze onder deze wetgeving vallen. De leden van deze fractie hebben gevraagd in hoeverre dit bewustzijn er wel is bij de politie en de rest van de justitiële keten. Dit betreft niet alleen de mensen die belast zijn met de uitvoering van de wet maar ook het bewust handelen van andere ambtenaren. Tenslotte hebben de leden van deze fractie gevraagd hoe de ontwikkeling van dit bewustzijn en de uitvoering van de wet gemonitord zal worden.

Zoals in de beantwoording van de vorige vraag van de leden van de SP-fractie naar voren is gekomen is het bewustzijn bij de politie dat zij onder deze wetgeving valt absoluut aanwezig. Voor de andere partijen in de justitiële keten geldt hetzelfde. Deze partijen zijn betrokken geweest bij de onderhandelingen over de richtlijn en de implementatie daarvan in de Wpg en Wjsg. Zij hebben zich kunnen voorbereiden op de aanpassing van de regelgeving ter implementatie van de richtlijn. De Wpg en de Wjsg zijn van toepassing op de gegevensverwerking ten behoeve van de taakuitvoering van de instanties in het politie- en justitiedomein. Bovendien schrijven deze wetten voor dat de betreffende organisaties beheersmatige maatregelen moet treffen die de naleving van de wet moeten bevorderen. Daardoor zijn vele ambtenaren uit het politie- en justitiedomein betrokken bij de uitvoering van (onderdelen van) de wetgeving. Bovengenoemde ontwikkelingen hebben ertoe geleid dat de aandacht voor de naleving van de Wpg binnen de politie de afgelopen jaren is toegenomen. Ditzelfde geldt voor de rest van de justitiële keten. Zoals hierboven vermeld, worden de medewerkers van het openbaar ministerie vanuit het afzonderlijke OM-programma geïnformeerd over de nieuwe wetgeving en gaat vanuit dit programma de nodige aandacht uit naar het vergroten van bewustzijn hoe om te gaan met persoonsgegevens. In het kader van de implementatie van de richtlijn worden door de organisaties binnen de strafrechtsketen de nodige inspanningen geleverd om te voldoen aan de soms tamelijk complexe normen van de richtlijn, zodat verwacht mag worden dat de betrokken professionals bij hun dagelijks handelen rekening zullen houden met de privacywetgeving.

De ontwikkeling van dit bewustzijn en de uitvoering van de wet worden langs verschillende kanalen gemonitord. De functionaris voor gegevensbescherming staat de verwerkingsverantwoordelijke bij bij het interne toezicht op de naleving van het bij of krachtens de Wpg en de Wjsg bepaalde. De functionaris voor gegevensbescherming heeft ook taken op het gebied van de advisering van de verantwoordelijke en de werknemers die persoonsgegevens verwerken over de nakoming van hun verplichtingen inzake gegevensbescherming. De functionaris voor gegevensbescherming stelt jaarlijks een verslag op van zijn bevindingen. Daarnaast is de Autoriteit persoonsgegevens belast met het toezicht op de naleving van de wet. Daartoe beschikt de AP als toezichthouder in de zin van de Algemene wet bestuursrecht over de bevoegdheden met betrekking tot het toezicht op de naleving, bedoeld in Titel 5.2 van die wet. Met dit wetsvoorstel worden die bevoegdheden uitgebreid met de bevoegdheid tot het opleggen van bestuurlijke boetes. Zo kan op grond van de Wjsg aan de verwerkingsverantwoordelijke een bestuurlijke boete van ten hoogste de vijfde categorie (€ 83.000,–) worden opgelegd voor de overtreding van de artikelen 7 (gegevensbescherming door beveiliging en ontwerp), 7a (gegevensbescherming door standaardinstellingen), 7b (gegevensbeschermingseffectbeoordeling), 7d (verwerker), 26c (register van de verwerkingsactiviteiten), 26g (melding van een inbreuk in verband met persoonsgegevens aan toezichthoudende autoriteit en de betrokkene), 26h (voorafgaande raadpleging) en 26f (aanwijzing van een functionaris voor gegevensbescherming; niet van toepassing op de Raad voor de rechtspraak als verwerkingsverantwoordelijke voor de verwerking van gerechtelijke strafgegevens) van de Wjsg. Aan de verwerkingsverantwoordelijke kan een bestuurlijke boete van ten hoogste de zesde categorie (€ 830.000,–) worden opgelegd voor de overtreding van de artikelen 24a, eerste lid, (kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens), 7e (geautomatiseerde besluitvorming), 17a en 17b (transparante informatie en te verstrekken informatie aan betrokkene), 18 (recht van inzage) en 22 (recht van rectificatie) van de Wjsg. Daarbij worden de huidige maximale boetebedragen verhoogd, zodat de regeling meer in balans is met die van de AVG.

Tenslotte rust op grond van dit wetsvoorstel de verplichting op de Minister van Justitie en Veiligheid om periodiek een verslag over de doeltreffendheid en effecten van de wet in de praktijk aan de Staten-Generaal (artikel VII) aan te bieden.

Overigens heeft de AP erop gewezen dat het wetsvoorstel enkele onjuiste verwijzingen bevat. Dit betreft de verwijzing naar de artikelen in de Wpg en de Wjsg, waarvan de niet-naleving door de verwerkingsverantwoordelijke aanleiding kan geven tot een bestuurlijke boete. Zo ontbreekt in het voorgestelde artikel 39r Wjsg een verwijzing naar de verplichting tot het aanwijzen van de functionaris voor gegevensbescherming en wordt verwezen naar de artikelen 17a, 17b, 18, 22 en 24 Wjsg, in plaats van respectievelijk de artikelen 39ha, eerste en tweede lid, 39i, 39m en 39o Wjsg. Voorts wordt in artikel 51, derde lid, onderdeel c, ten onrechte verwezen naar artikel 40a Wjsg (in plaats van artikel 40 Wjsg), en in artikel 51h, derde lid, onderdeel c, naar artikel 51d Wjsg (in plaats van artikel 51h Wjsg). Deze onjuistheden zullen zo snel mogelijk middels een afzonderlijk wetsvoorstel worden gecorrigeerd.

De Minister voor Rechtsbescherming, S. Dekker