Hierbij bied ik u, mede namens de Minister van Buitenlandse Zaken, de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie, de nota naar aanleiding van het verslag inzake het bovenvermelde voorstel aan.

De Staatssecretaris van Justitie en Veiligheid, K.T. van Bruggen

Met veel belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Digitalisering. Ik dank de leden van de verschillende fracties voor hun inbreng. In deze nota ga ik, mede namens de Minister van Buitenlandse Zaken, de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie in op de vragen en opmerkingen in het verslag (Kamerstukken I 2025/26, 36 455 (R2188), A). De gestelde vragen worden hierna genummerd weergegeven. Bij de beantwoording daarvan is de volgorde van het verslag aangehouden, met dien verstande dat ter wille van de leesbaarheid in enkele gevallen is verwezen naar reeds eerder in deze nota gegeven antwoorden. Bij vragen waar niet uit de formulering van de vraag niet blijkt welke leden die vraag hebben gesteld, is voorafgaand aan de vraag een aanduiding van de fractie opgenomen. De vragen zijn opgenomen in cursieve tekst, en de beantwoording daarvan in gewone typografie.

1. Inleiding

De leden van de GL-PvdA-fractie hebben kennisgenomen van het wetsvoorstel. Zij onderschrijven dat het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (hierna: Verdrag) wordt goedgekeurd voor Aruba, Curaçao en Sint Maarten en het op 10 oktober 2018 tot stand gekomen Protocol tot wijziging van het Verdrag (hierna: wijzigingsprotocol) wordt goedgekeurd voor het gehele Koninkrijk. Echter, hebben deze leden een aantal vragen te stellen aan de regering over de uitvoerbaarheid.

De leden van de PVV-fractie hebben kennisgenomen van het wetsvoorstel. Daarover hebben deze leden een aantal vragen te stellen aan de regering.

Het lid van de fractie-Van de Sanden heeft kennisgenomen het wetsvoorstel en wenst hierover enkele vragen te stellen. De vragen zijn ingegeven door de wens om de effectiviteit, uitvoerbaarheid en rechtsstatelijke waarborgen van het Verdrag en het wijzigingsprotocol zorgvuldig te beoordelen, mede in het licht van de liberale kernwaarden van vrijheid, verantwoordelijkheid en gelijke behandeling.

De leden van de fractie van de PvdD sluiten zich aan bij de vragen van de fracties van GL-PvdA en Van de Sanden.

2. Hoofdlijnen van het Verdrag en het wijzigingsprotocol

Op dit moment is er geen sprake van een geharmoniseerd niveau van gegevensbescherming binnen het Caribische deel van het Koninkrijk. Op grond van het Statuut dragen de landen van het Koninkrijk ieder voor zich zorg voor de verwezenlijking van de fundamentele rechten en vrijheden, waaronder het recht op bescherming van persoonsgegevens (artikel 43, eerste lid). Zowel de Grondwet als de Staatsregelingen van Aruba, Curaçao en Sint Maarten bevatten daartoe een opdracht aan de wetgever om regels te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.2

De Caribische landen en Caribisch Nederland kennen momenteel uiteenlopende wetgeving die ziet op de bescherming van persoonsgegevens. Deze wetgeving waarborgt een wisselend beschermingsniveau, dat ook niet in lijn is met het beschermingsniveau in Europees Nederland (waar het Europees gegevensbeschermingsrecht, waaronder de AVG, van toepassing is). Zo kent Aruba de Landsverordening Persoonsregistraties, die aansluit bij de voormalige Wet persoonsregistraties zoals deze tot 2001 in Europees Nederland gold.3 Sint Maarten en Curaçao kennen elk een eigen Landsverordening bescherming persoonsgegevens, die qua opzet en inhoud aansluit bij de Wet bescherming persoonsgegevens zoals deze tot 25 mei 2018 in Europees Nederland gold.4 Ook in het politie- en justitiedomein beschikken Aruba,5 Curaçao6 en Sint Maarten7 over landsverordeningen met betrekking tot met name justitiële en politiegegevens.8

De eilanden Bonaire, Saba en Sint Eustatius maken sinds 2010 (als bijzondere openbare lichamen) staatkundig onderdeel uit van het land Nederland. Anders dan Europees Nederland, behoren de eilanden niet tot het grondgebied van de Europese Unie, maar zijn zij geassocieerd met de Unie als Landen en Gebieden Overzee (artikel 355, tweede lid, VWEU). Als zodanig is het EU-gegevensbeschermingsrecht, waaronder de AVG, er niet van toepassing. In plaats daarvan geldt er sinds 2010 de Wet bescherming persoonsgegevens BES (Wbp BES). Deze wet is gebaseerd op de zojuist genoemde Wet bescherming persoonsgegevens. Het toezicht op de naleving van deze wet wordt sinds 2014 uitgeoefend door de onafhankelijke Commissie toezicht bescherming persoonsgegevens BES (CBP BES). Zoals in 2019 uit een evaluatie van de Wbp BES naar voren is gekomen, heeft de CBP BES zich vooralsnog toegelegd op het verhogen van kennis en bewustzijn van de Wbp-BES door middel van voorlichting en trainingen en dient zij haar handhavende taken nog op te pakken.9

Door het wijzigingsprotocol wordt Conventie 108 gemoderniseerd en in lijn gebracht met het Europees gegevensbeschermingsrecht, in het bijzonder de AVG (zie uitgebreid paragraaf 2.2 van de memorie van toelichting). In hoeverre aanvaarding van het wijzigingsprotocol daarmee tot een betere bescherming van persoonsgegevens leidt, verschilt per deel van het Koninkrijk.

In Europees Nederland geldt het Europees gegevensbeschermingsrecht, waaronder de AVG. Voor dit deel van het Koninkrijk noopt aanvaarding van het wijzigingsprotocol niet tot aanpassing van de huidige wet- en regelgeving. Het Nederlandse recht is immers al in overeenstemming met het Europees gegevensbeschermingsrecht. Wel is het zo dat het gemoderniseerde verdrag, anders dan de AVG, ook betrekking heeft op de verwerking van persoonsgegevens in het belang van de bescherming van de defensie en de nationale veiligheid. Voor dit deel van het wijzigingsprotocol is voor Europees Nederland echter evenmin uitvoeringswetgeving nodig. De Nederlandse wetgeving op het gebied van verwerking van persoonsgegevens voor defensiedoeleinden en de bescherming van de nationale veiligheid voldoet namelijk al aan de gemoderniseerde Conventie 108 (zie hierover uitgebreid paragraaf 3 en 4 van de memorie van toelichting).10 Kortom: voor Europees Nederland zal aanvaarding van het wijzigingsprotocol niet tot een verhoging van het niveau van gegevensbescherming leiden. Het wijzigingsprotocol is voor dit deel van het Koninkrijk echter wel om andere redenen van belang. Zo zorgt het wijzigingsprotocol ervoor dat Europees Nederland niet langer onderworpen is aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en het recht van de Raad van Europa.11

In Aruba, Curaçao en Sint Maarten en Caribisch Nederland zal aanvaarding van het wijzigingsprotocol wél tot een verhoging van het niveau van gegevensbescherming leiden. Zoals bij de beantwoording van de vorige vraag al aan bod is gekomen, bestaat in het Caribische deel van het Koninkrijk op dit moment een uiteenlopend niveau van gegevensbescherming, dat ook niet in lijn is met het beschermingsniveau in Europees Nederland. Aanvaarding van het wijzigingsprotocol vergt dat het beschermingsniveau in het Caribische deel van het Koninkrijk op het peil van het gemoderniseerde verdrag komt te liggen, en daarmee op vergelijkbare hoogte met dat van Europees Nederland. Dat laatste is niet alleen wenselijk uit een oogpunt van gelijkwaardige bescherming van grondrechten binnen het Koninkrijk, maar heeft ook belangrijke praktische voordelen. Een geharmoniseerd beschermingsniveau binnen het Koninkrijk vereenvoudigt namelijk de uitwisseling van persoonsgegevens tussen de vier landen. Dit geldt met name voor de uitwisseling van persoonsgegevens tussen Europees Nederland enerzijds en de Caribische landen hetzij Caribisch Nederland anderzijds. Deze uitwisseling wordt op dit moment namelijk bemoeilijkt door de strenge regels die op grond van het Europees gegevensbeschermingsrecht gelden voor de doorgifte van persoonsgegevens aan landen en gebieden buiten de Unie (waaronder het Caribische deel van het Koninkrijk) met een beschermingsniveau dat niet in grote lijnen overeenkomt met het binnen de Unie gewaarborgde beschermingsniveau.12 Zodra het wijzigingsprotocol aanvaard kan worden voor het Caribische deel van het Koninkrijk komt het beschermingsniveau in dit Koninkrijksdeel in lijn te liggen met het binnen de Europese Unie gewaarborgde beschermingsniveau. Daardoor zal het voor de Aruba, Curaçao en Sint Maarten en Caribisch Nederland mogelijk worden om zonder aanvullende juridische voorwaarden persoonsgegevens uit te wisselen met Europees Nederland.

Voor het Caribische deel van het Koninkrijk zullen het verdrag en het wijzigingsprotocol kunnen worden aanvaard als de daarvoor benodigde uitvoeringswetgeving gereed is (zie p. 32 van de memorie van toelichting, onder het kopje «Koninkrijkspositie»). In dit kader is van belang dat de vier landen van het Koninkrijk sinds 2021 gezamenlijk werken aan de totstandkoming van een rijkswet ex artikel 38, tweede lid, van het Statuut, met uniforme regels ter bescherming van persoonsgegevens. Deze rijkswet (hierna: rijkswet gegevensbescherming) beoogt het niveau van gegevensbescherming in het Caribische deel van het Koninkrijk te harmoniseren en in lijn te brengen met dat van Europees Nederland, mede met het oog op het vereenvoudigen van de uitwisseling van persoonsgegevens binnen het Koninkrijk. Een belangrijke doelstelling van deze rijkswet is daarnaast om te bewerkstelligen dat Conventie 108 en het wijzigingsprotocol voor het Caribische deel van het Koninkrijk kunnen worden aanvaard (zie uitgebreid paragraaf 3 van de memorie van toelichting).

Het wijzigingsprotocol bevat de waarborgen waarop het lid van de fractie-Van de Sanden doelt (zie artikel 9, eerste lid, onder a en c, van het gemoderniseerde verdrag). Deze waarborgen zijn in lijn met de door de AVG geboden waarborgen bij geautomatiseerde individuele besluitvorming, waaronder profilering.

Artikel 9, eerste lid, onder a, van het gemoderniseerde verdrag geeft betrokkenen het recht om niet te worden onderworpen aan een besluit dat belangrijke gevolgen voor hen zal hebben en dat uitsluitend is gebaseerd op geautomatiseerde verwerking zonder dat hun standpunten in aanmerking werden genomen (vgl. artikel 22 AVG). Het vereiste om rekening te houden met de mening van betrokkene wanneer besluiten uitsluitend zijn gebaseerd op geautomatiseerde verwerking, houdt volgens punt 75 van de toelichtende nota van de Raad van Europa bij het wijzigingsprotocol (Explanatory Report) in dat de betrokkene het recht heeft om een dergelijk besluit aan te vechten en in staat moet zijn om elke onjuistheid in de persoonsgegevens die de verwerkingsverantwoordelijke gebruikt, te betwisten en de relevantie van het op hem toegepaste profiel in twijfel te trekken.13 Op grond van artikel 9, tweede lid, van het wijzigingsprotocol kan een betrokkene dit recht echter niet uitoefenen indien het geautomatiseerde besluit is toegestaan door een wet of landsverordening die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van diens rechten, vrijheden en gerechtvaardigde belangen. Het is aan de wetgever om de belangen af te wegen bij het ontwikkelen en tot stand brengen van een dergelijke regeling.

Daarnaast hebben betrokkenen op grond van artikel 9, eerste lid, onder c, het recht om op verzoek kennis te nemen van de onderliggende motivering van de gegevensverwerking (vgl. artikel 15, eerste lid, onderdeel h, AVG). Het Explanatory Report geeft in punt 77 het voorbeeld van de (geautomatiseerde) beoordeling van iemands kredietwaardigheid. Betrokkenen moeten het recht hebben om niet enkel de positieve of negatieve score over zichzelf te kennen, maar ook de redenering die werd gevolgd tijdens de verwerking van hun persoonsgegevens en tot het besluit heeft geleid. Een beter inzicht in deze redenering draagt volgens deze toelichting bij tot de daadwerkelijke uitoefening van andere fundamentele waarborgen, zoals het recht van bezwaar en het recht om een klacht in te dienen bij een bevoegde toezichthoudende autoriteit (zie de artikelen 9, eerste lid, onder d en 15 van het gemoderniseerde verdrag).

Artikel 3 van het gemoderniseerde verdrag verplicht de verdragspartijen ertoe om in hun wetgeving de nodige maatregelen te treffen om uitvoering te geven aan de bepalingen van het verdrag en de effectieve toepassing ervan te waarborgen. Daartoe moeten zij in de kern drie dingen doen. Geen daarvan leidt in de optiek van de regering tot een (noemenswaardige) beperking van de democratische controle door hetzij het Nederlandse parlement, hetzij de Staten van de Caribische landen.

Om te beginnen moeten de verdragspartijen in hun nationale recht de in hoofdstuk 2 van het verdrag vervatte «grondbeginselen voor de bescherming van persoonsgegevens» incorporeren. Van belang is dat de verdragspartijen daarbij de nodige speelruimte wordt gelaten. Bij het ontwerp van de gemoderniseerde conventie is bewust gekozen voor een technologieneutrale, op beginselen gebaseerde opzet. Zoals in het Explanatory Report wordt uitgelegd, beoogt de gemoderniseerde conventie te voorzien in een toekomstbestendig en uitgebalanceerd systeem van gegevensbescherming, dat een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen. Door de verdragspartijen is nadrukkelijk beoogd deze flexibiliteit ook onder het gewijzigde verdrag te handhaven. De in het verdrag opgenomen grondbeginselen voor de bescherming van persoonsgegevens hebben daarbij het karakter van minimumnormen. Artikel 13 van de gemoderniseerde conventie benadrukt dat deze beginselen slechts een basis vormen waarop partijen een geavanceerder beschermingssysteem kunnen opbouwen. Het voorgaande is met name relevant voor de Staten van de Caribische landen, aangezien het gemoderniseerde verdrag voor deze landen zoals gezegd pas kan worden aanvaard nadat de benodigde uitvoeringsregelgeving tot stand is gebracht.

Ten tweede moeten de verdragspartijen regelen dat een of meer onafhankelijke autoriteiten verantwoordelijk zijn voor het toezicht op de naleving van de bepalingen van het gemoderniseerde verdrag (artikel 15). In ieder geval voor het land Nederland is deze verplichting niet nieuw. Zij stamt namelijk uit het op 8 november 2001 te Straatsburg tot stand gekomen Aanvullend Protocol bij Conventie 108 (Trb. 2003, 122 en Trb. 2003, 165). In 2004 werd voor Europees Nederland (stilzwijgende) parlementaire goedkeuring van dit Aanvullend Protocol verkregen.14 Parlementaire goedkeuring van het Aanvullend Protocol voor Caribisch Nederland werd in 2010 verkregen via de Wet van 17 mei 2010, houdende goedkeuring van verdragen met het oog op het voornemen deze toe te passen op Bonaire, Sint Eustatius en Saba, en van het voornemen tot opzegging van verdragen voor Bonaire, Sint Eustatius en Saba (Stb. 2010, 348).

Tot slot verbinden de verdragspartijen zich ertoe het Verdragscomité in staat te stellen de doeltreffendheid te beoordelen van de maatregelen die zij in hun regelgeving hebben genomen om uitvoering te geven aan de bepalingen van het gemoderniseerde verdrag en actief bij te dragen aan dit evaluatieproces. Een dergelijk toezichts- en evaluatiemechanisme is niet ongebruikelijk bij verdragen die zijn gesloten in het kader van de Raad van Europa. Zo kent het Verdrag van de Raad van Europa inzake het witwassen, de opsporing, de inbeslagneming en de confiscatie van opbrengsten van misdrijven en de financiering van terrorisme (Trb. 2006, 104), waarbij het Koninkrijk eveneens partij is, een vergelijkbaar mechanisme.15 Verder wijst de regering erop dat het Verdragscomité alleen (niet-bindende) aanbevelingen kan doen (zie artikel 23, onderdeel h, van het gemoderniseerde verdrag).

3. Uitvoerbaarheid en handhaafbaarheid

Voor het onderhavige voorstel van rijkswet zijn geen uitvoeringstoetsen beschikbaar. Dat komt omdat dit voorstel enkel strekt tot het verkrijgen van parlementaire goedkeuring van Conventie 108 (voor Aruba, Curaçao en Sint Maarten) en het wijzigingsprotocol (voor het gehele Koninkrijk). Bij een voorstel voor een goedkeuringswet zoals het onderhavige, dat niet tevens de benodigde uitvoeringsregelgeving voor het goed te keuren verdrag bevat, plegen geen uitvoeringstoetsen te worden opgesteld.

De landen van het Koninkrijk zijn autonoom in de beslissing hoe er uitvoering wordt gegeven aan het verdrag en het wijzigingsprotocol. In dat kader werken de landen samen aan een rijkswet als bedoeld in artikel 38, tweede lid, van het Statuut voor het Koninkrijk voor de gegevensbescherming in het Caribische deel van het Koninkrijk. Dat is de consensusrijkswet waaraan de leden van de GL-PvdA-fractie refereren. Dit wetsvoorstel is inderdaad stapsgewijs in voorbereiding, waaronder door het laten uitvoeren van een uitvoeringstoets per hoofdstuk.

Tot dusver zijn uitvoeringstoetsen uitgevoerd aan de hand van concepten van de eerste twee van de in totaal vier voorziene hoofdstukken van het voorstel voor de rijkswet gegevensbescherming. Een uitvoeringstoets over het derde (concept)hoofdstuk van het wetsvoorstel is op dit moment in voorbereiding. Als laatste stap in het proces zal een integrale rapportage over de uitvoeringsconsequenties van het wetsvoorstel worden opgesteld en aangeboden aan het Justitieel Vierpartijen Overleg (JVO). Indien het wetsvoorstel wordt ingediend bij de parlementen van de landen, zullen ook de uitvoeringstoetsen ter beschikking worden gesteld.

Nederland en de Caribische landen hebben al in een vroeg stadium gezamenlijk vastgesteld dat, alvorens Conventie 108 en het wijzigingsprotocol voor het Caribische deel van het Koninkrijk kunnen worden aanvaard, eerst uitvoeringsregelgeving tot stand moet worden gebracht. Zoals bij de beantwoording van vraag 1 van de leden van de PVV-fractie naar voren is gebracht, is er op dit moment geen sprake van een geharmoniseerd niveau van gegevensbescherming binnen het Caribische deel van het Koninkrijk. Daar komt bij dat de bestaande wetgeving op het gebied van de bescherming van persoonsgegevens in dit Koninkrijksdeel nog niet volledig aan het gemoderniseerde verdrag voldoet. Zo kent op dit moment alleen Caribisch Nederland een (volledig operationele) onafhankelijke toezichthoudende autoriteit. Curaçao verricht de nodige inspanningen om het College bescherming persoonsgegevens dit jaar te operationaliseren.

Nederland en de Caribische landen werken sinds 2021 gezamenlijk aan de totstandkoming van de beoogde rijkswet gegevensbescherming, die voor een belangrijk deel in de benodigde uitvoeringsregelgeving zal voorzien (zie uitgebreid paragraaf 3 van de memorie van toelichting). De uitvoerbaarheid van deze wet is een aspect dat Nederland en de Caribische landen bij het opstellen van het wetsvoorstel voor deze wet doorlopend goed in het oog houden. De rijkswet gegevensbescherming is zoals gezegd stapsgewijs in voorbereiding. Deze aanpak maakt het mogelijk om de Ministers van Aruba, Curaçao, Sint Maarten en van Nederland alsook betrokken overheidsorganisaties en stakeholders, actief mee te nemen in het proces. Daarnaast maakt deze werkwijze het mogelijk om uitvoeringstoetsen per hoofdstuk, en dus in een redelijk vroeg stadium, te laten plaatsvinden zodat bestuurders, betrokken overheidsinstanties en stakeholders sneller inzicht krijgen in de financiële en andere consequenties van de rijkswet en, met het oog daarop, voorbereidingen kunnen treffen. Zo ontstaat geleidelijk een volledig beeld van wat nodig is voor een succesvolle uitvoering van de beoogde rijkswet gegevensbescherming.

Zoals in het antwoord op de vorige vraag al is vermeld, hebben Nederland en de Caribische landen gezamenlijk vastgesteld dat, alvorens Conventie 108 en het wijzigingsprotocol voor het Caribische deel van het Koninkrijk kan worden aanvaard, eerst uitvoeringsregelgeving tot stand moet worden gebracht. Aangezien het onderwerp van het gemoderniseerde verdrag een landsaangelegenheid betreft (zie artikel 43, eerste lid, van het Statuut), behoort de totstandkoming van deze uitvoeringsregelgeving tot de verantwoordelijkheid van de landen. Op grond van het Statuut kunnen zij daarbij ook samenwerken (zie artikel 38 van het Statuut). Zoals bij de beantwoording van de vorige vraag al aan bod is gekomen, gebeurt dat in dit geval ook. Sinds 2021 werken Nederland en de Caribische landen gezamenlijk aan de totstandkoming van de eerder genoemde rijkswet gegevensbescherming. Deze rijkswet zal voor een belangrijk deel voorzien in de voor de Caribische delen van het Koninkrijk benodigde uitvoeringsregelgeving (zie uitgebreid paragraaf 3 van de memorie van toelichting).

Aangezien Conventie 108 en het wijzigingsprotocol voor het Caribische deel van het Koninkrijk pas kunnen worden aanvaard als de daarvoor benodigde uitvoeringswetgeving gereed is, zal het wijzigingsprotocol vooralsnog alleen voor het Europese deel van Nederland in werking kunnen treden (zie p. 32 van de memorie van toelichting). Wanneer een verdrag (nog) niet voor het gehele grondgebied geldt, kan het Koninkrijk daar in internationaal verband op worden aangesproken, bijvoorbeeld door andere staten of internationale organisaties.17 Zo is in dit geval niet uitgesloten dat als het van kracht worden van Conventie 108 en het wijzigingsprotocol in het Caribische deel van het Koninkrijk gedurende lange tijd uitblijft, dit op enig moment tot vragen zal leiden in het Verdragscomité.

In de Onderlinge regeling ex artikel 38, eerste lid, Statuut voor het Koninkrijk der Nederlanden, inzake de samenwerking tussen de landen bij de implementatie van verdragen (Stcrt. 2010, 19006) hebben de landen afgesproken elkaar informatie te verschaffen over de wijze waarop zij voornemens zijn een verdrag te implementeren en elkaar hierbij zo nodig bijstand te verlenen (artikel 5). In dit geval hebben de vier landen zoals gezegd besloten om samen te werken bij de implementatie van het verdrag en het wijzigingsprotocol in de Caribische landen en het Caribische deel van Nederland (zie het antwoord op vraag 6 en 7).

De invoering van de rijkswet gegevensbescherming brengt voor de Caribische landen naar verwachting kosten met zich mee op het terrein van wetgevingsvoorbereiding, beleidsontwikkeling, technische implementatie, capaciteitsopbouw en de gezamenlijke oprichting van de Gemeenschappelijke Autoriteit Gegevensbescherming. De financiële en technische consequenties van de uitvoering van de rijkswet gegevensbescherming worden door een extern bureau per hoofdstuk van de wet in kaart gebracht via een uitvoeringstoets, gevolgd door een integrale uitvoeringstoets. Deze werkwijze is in gezamenlijk overleg met de Caribische landen vastgesteld.

Deze bereidheid bestaat. De Caribische landen hebben gezamenlijk een verzoek om bijstand ingediend, waarin is verzocht om wetgevingstechnische ondersteuning, de inrichting van een train-de-trainer-traject ter bevordering van een effectieve implementatie alsmede om financiële ondersteuning voor een publieke voorlichtingscampagne. De Nederlandse regering heeft daarop de gevraagde steun toegezegd. De uitvoering van het bijstandsverzoek wordt momenteel voorbereid.

Zoals in de memorie van toelichting uiteen is gezet, zal het wijzigingsprotocol vooralsnog alleen voor het Europese deel van Nederland kunnen worden aanvaard, aangezien voor dit Koninkrijksdeel geen uitvoeringswetgeving nodig is. Indien uw Kamer instemt met het onderhavige voorstel van rijkswet, zal deze stap binnen afzienbare tijd kunnen worden gezet.

Voor het Caribische deel van het Koninkrijk zullen het verdrag en het wijzigingsprotocol zoals gezegd pas kunnen worden aanvaard als de benodigde uitvoeringswetgeving gereed is.

Momenteel is voorzien dat een eerste volledig concept van het voorstel voor de rijkswet gegevensbescherming, tezamen met een integrale rapportage over de uitvoeringsconsequenties van de wet, in de tweede helft van 2026 met het JVO gedeeld kan worden. Indien de regeringen van Aruba, Curaçao en Sint Maarten daarmee instemmen, zou het conceptvoorstel vervolgens in de eerste helft van 2027 in de rijksministerraad behandeld kunnen worden,18 met het oog op het starten van een openbare (internet)consultatie. Na verwerking van de consultatiereacties zou het voorstel dan in de tweede helft van 2027 voor advies kunnen worden voorgelegd aan de Afdeling advisering van de Raad van State van het Koninkrijk. Als alles goed gaat, zou het wetsontwerp vervolgens in de eerste helft van 2028 bij de Tweede Kamer kunnen worden ingediend en kunnen worden toegezonden aan de Staten van Aruba, Curaçao en Sint Maarten. Gelet op de omvang van de beoogde rijkswet, de complexiteit van de daarin te regelen materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk door de vier landen nog moeten worden gemaakt, is deze planning momenteel echter nog met veel onzekerheden omgeven.

Over het verloop van de daarop volgende parlementaire behandeling is het eveneens lastig om betrouwbare voorspellingen te doen. Uitgaande van een vlotte en voorspoedige behandeling, zou de rijkswet gegevensbescherming wellicht in de loop van 2030 het Staatsblad kunnen halen. Ervan uitgaande dat tegen die tijd ook de overige benodigde uitvoeringswetgeving tot stand is gebracht én de nieuw op te richten Gemeenschappelijke Autoriteit Gegevensbescherming gereed is om zijn toezichthoudende taak te gaan vervullen, zou het gemoderniseerde verdrag dan nog datzelfde jaar voor het gehele Koninkrijk kunnen worden aanvaard.

Met betrekking tot Caribisch Nederland wordt aandacht besteed aan de implementatie van het wijzigingsprotocol binnen de lokale context. Daartoe vinden overleggen plaats met de betrokken uitvoeringsorganisaties en de openbare lichamen, binnen bestaande interbestuurlijke overlegstructuren en, waar mogelijk, ook ter plaatse. In deze gesprekken worden zowel publieke als private partijen en andere relevante stakeholders betrokken. Daarbij wordt bezien in hoeverre de implementatie in Caribisch Nederland uitvoerbaar is, mede in het licht van de schaalgrootte en de beschikbare uitvoeringscapaciteit.

Uit de gevoerde gesprekken komt het beeld naar voren dat de uitvoeringscapaciteit van de openbare lichamen beperkt is. Dit is een bekend aandachtspunt binnen Caribisch Nederland, waar rekening mee zal worden gehouden gedurende het implementatietraject. In de gesprekken met de openbare lichamen is, waar dat aan de orde was, aandacht besteed aan de mogelijke gevolgen van de implementatie en de aansluiting bij hun bestaande prioriteiten. Daarnaast vindt er afstemming plaats met de betrokken ministeries en uitvoeringsorganisaties. Daarbij wordt rekening gehouden met de beperkte uitvoeringscapaciteit in Caribisch Nederland en met andere lopende beleidsopgaven.

Er bestaat geen afzonderlijke, publiek beschikbare kabinetsbrede prioriteitenlijst voor alle beleidsterreinen in Caribisch Nederland. Overbelasting wordt voorkomen door interdepartementale afstemming via de reguliere kanalen zoals bestuurlijke en ambtelijk overleggen en er zijn beleidsagenda’s die aandacht besteden aan prioritering en uitvoeringscapaciteit.

Voor Caribisch Nederland geldt dat de implementatie van de rijkswet gegevensbescherming valt onder de huidige bedrijfsvoering zoals voor alle wetgeving geldt. Een garantie of accurate inschatting dat benodigde middelen voor elk scenario beschikbaar kunnen zijn, kan alleen gegeven worden na afronding van de integrale uitvoeringstoets. Deze toets zal inzicht bieden in waar Caribisch Nederland momenteel staat en wat de eilanden nodig hebben als het gaat om de implementatie van de beoogde rijkswet gegevensbescherming.

De regering verwijst naar de beantwoording van de vragen 5, 6 en 11 van de leden van de GL-PvdA-fractie.

4. Toezicht en (rechts)bescherming

Het wijzigingsprotocol voorziet in twee mechanismen voor de handhaving van het gemoderniseerde verdrag. Beide mechanismen bestaan al onder het huidige verdrag, maar worden door het wijzigingsprotocol versterkt.

Het eerste mechanisme betreft de door het huidige verdrag in het leven geroepen Adviescommissie. De Adviescommissie bestaat uit vertegenwoordigers van de verdragspartijen en heeft onder andere de taak om, op verzoek van een verdragspartij, te adviseren over vraagstukken betreffende de toepassing van het verdrag. Zoals de naam al doet vermoeden, heeft de Adviescommissie vooral een adviserende rol. Het wijzigingsprotocol vervangt de Adviescommissie door een nieuw op te richten Verdragscomité, dat naast een adviserende, ook een toezichthoudende rol vervult. Het wijzigingsprotocol kent het Verdragscomité daartoe enkele nieuwe taken toe, waaronder het evalueren van de uitvoering van het verdrag door de verdragspartijen en het aanbevelen van maatregelen die moeten worden genomen wanneer een verdragspartij het verdrag niet naleeft (artikel 23,onder h, van het gemoderniseerde verdrag). Iedere verdragspartij verbindt zich ertoe het Verdragscomité in staat te stellen de doeltreffendheid te beoordelen van de maatregelen die zij in haar regelgeving heeft genomen om uitvoering te geven aan de bepalingen van het verdrag en om actief bij te dragen aan dit evaluatieproces (artikel 4, derde lid, van het gemoderniseerde verdrag). De Adviescommissie werkt momenteel aan de uitwerking van het evaluatiemechanisme. Er is inmiddels een deskundigenverslag en een vragenlijst goedgekeurd over hoe dit mechanisme zou kunnen werken. Zodra het gemoderniseerde verdrag in werking treedt, is het aan het nieuw te vormen Verdragscomité om een nieuw reglement van orde en een toetsings- en evaluatiemechanisme aan te nemen, aangezien de huidige Adviescommissie niet voor het nieuw te vormen Verdragscomité kan beslissen. Het Verdragscomité zal, net als de huidige Adviescommissie, uit de middelen van de Raad van Europa worden gefinancierd.

Het tweede mechanisme betreft de verplichting voor verdragspartijen om een of meer onafhankelijke autoriteiten aan te wijzen die verantwoordelijk zijn voor het toezicht op de naleving van de bepalingen van Conventie 108. Deze verplichting geldt op dit moment alleen voor de 44 verdragspartijen die partij zijn bij het Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens (Trb. 2003, 122 en Trb. 2003, 165, hierna: het Aanvullend Protocol). Voor wat betreft het Koninkrijk der Nederlanden geldt dit Aanvullend Protocol alleen voor Europees en Caribisch Nederland. Het wijzigingsprotocol incorporeert deze verplichting in het gemoderniseerde verdrag en breidt de taken en bevoegdheden waarover deze toezichthoudende autoriteiten dienen te beschikken uit. Onder het huidige verdrag dienen deze autoriteiten reeds te beschikken over onderzoeks- en interventiebevoegdheden en de bevoegdheid om in rechte op te treden tegen schendingen van nationaal recht waarmee het verdrag wordt geïmplementeerd dan wel om de bevoegde gerechtelijke autoriteiten op dergelijke schendingen te attenderen. Daarnaast dienen zij klachten, ingediend door personen over de verwerking van hun persoonsgegevens, te behandelen. Het wijzigingsprotocol breidt dit taken- en bevoegdhedenpakket uit en brengt het in lijn met het door de AVG voorgeschreven taken- en bevoegdhedenpakket van nationale toezichthoudende autoriteiten. Zo dienen de toezichthoudende autoriteiten op grond van het gemoderniseerde verdrag te beschikken over de bevoegdheid om besluiten te nemen over schendingen van de bepalingen van het verdrag en met name om bestuurlijke sancties op te leggen (vgl. artikel 58 en 83 AVG). Op grond van artikel 11, derde lid, van het gemoderniseerde verdrag zijn hierop beperkte uitzonderingen mogelijk voor zover het verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden betreft. Het is de verantwoordelijkheid van de verdragspartijen om ervoor te zorgen dat de toezichthoudende autoriteiten over voldoende middelen beschikken om hun taken en bevoegdheden effectief uit te kunnen oefenen.

Zoals in het antwoord op de vorige vraag uiteen is gezet, verplicht het gemoderniseerde verdrag de verdragspartijen om een of meer onafhankelijke autoriteiten aan te wijzen die verantwoordelijk zijn voor het toezicht op de naleving van de bepalingen van dit verdrag. Ter uitvoering van deze verplichting in het Caribische deel van het Koninkrijk, omvat het voorstel voor de rijkswet gegevensbescherming de oprichting van één gemeenschappelijk onafhankelijk toezichthoudend orgaan voor gegevensbescherming in zowel Aruba, Curaçao en Sint Maarten als Caribisch Nederland, te weten de Gemeenschappelijke Autoriteit Gegevensbescherming. Deze nieuw op te richten autoriteit is gemodelleerd naar de Nederlandse Autoriteit Persoonsgegevens en wordt in de rijkswet bekleed met alle door het gemoderniseerde verdrag vereiste toezichts- en handhavingsbevoegdheden, waaronder de bevoegdheid om bestuurlijke sancties op te leggen. Ook waarborgt het voorstel voor de rijkswet dat de Gemeenschappelijke Autoriteit Gegevensbescherming volledig onafhankelijk en onpartijdig handelt bij de uitvoering van zijn taken en bevoegdheden, zoals door het gemoderniseerde verdrag wordt vereist. Daartoe voorziet het wetsvoorstel onder meer in een limitatieve opsomming van gronden voor schorsing en ontslag van leden van de autoriteit.

De keuze voor één gezamenlijke autoriteit gegevensbescherming berust op verschillende overwegingen. Het draagt bij aan het creëren en bestendigen van een «level playing field» binnen het Caribische deel van het Koninkrijk. De gekozen oplossing zorgt ervoor dat de interpretatie van de regels uit de rijkswet in één hand is en dat aan deze regels op eenduidige wijze uitleg wordt gegeven. Dit is niet alleen bevorderlijk voor de rechtseenheid en rechtszekerheid binnen het Caribische deel van het Koninkrijk, maar vergemakkelijkt ook de uitwisseling van persoonsgegevens tussen de landen onderling en met Caribisch Nederland. Daarnaast leidt het hebben van één gemeenschappelijke autoriteit, in plaats van afzonderlijke toezichthouders voor de Caribische landen en voor Caribisch Nederland, tot een kostenbesparing bij de uitoefening van taken en de inzet van menskracht. Ook biedt het de mogelijkheid om de benodigde (schaarse) expertise op één plek te concentreren.

Zoals in antwoord op vraag 3 van het lid van de fractie-Van de Sanden al naar voren is gebracht, waarborgt artikel 9 van het gemoderniseerde verdrag het recht van betrokkene om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat hem of haar in aanmerkelijke mate treft. Dit recht zal worden uitgewerkt in de beoogde rijkswet gegevensbescherming. Deze rijkswet zal tevens voorzien in de oprichting van een onafhankelijke toezichthoudende autoriteit, de Gemeenschappelijke Autoriteit Gegevensbescherming. In het door het voorstel voor de rijkswet voorziene stelsel zullen de burgers van de Caribische landen in geval van onrechtmatige verwerking van hun persoonsgegevens (bijvoorbeeld bij een schending van hun recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat hem of haar in aanmerkelijke mate treft) daarover een klacht kunnen indienen bij deze autoriteit. De Gemeenschappelijke Autoriteit Gegevensbescherming zal deze klacht kunnen onderzoeken en zo nodig sancties kunnen opleggen aan de overtreder. Aldus zal de Gemeenschappelijke Autoriteit Gegevensbescherming een laagdrempelige vorm van rechtsbescherming kunnen bieden. Daarnaast houden burgers van in het Caribische deel van het Koninkrijk bij een gestelde onrechtmatige verwerking van persoonsgegevens uiteraard de mogelijkheid om een beroep te doen op de rechter.

Een van de pijlers van het verdrag is het geven van informatie door de autoriteit. De regering onderkent het belang van het juist en volledig informeren van de categorieën van personen die door het lid van deze fractie worden aangehaald. Digitalisering van de samenleving moet gepaard gaan met maatregelen om kwetsbare personen te beschermen. De informatie moet de betrokkenen dan ook bereiken en zodanig zijn, dat zij daadwerkelijk worden geïnformeerd over hun rechten en hoe zij die rechten kunnen inzetten ter bescherming van hun persoonsgegevens en dus van hun persoonlijke levenssfeer.

Nederland, Aruba, Curaçao en Sint Maarten hebben het gezamenlijk streven om ervoor te zorgen dat het verdrag en het wijzigingsprotocol in het gehele Koninkrijk van kracht wordt. Daarnaast werken zij samen aan de totstandkoming van het voorstel voor de rijkswet gegevensbescherming. Implementatie van het verdrag en het wijzigingsprotocol in het Caribische deel van het Koninkrijk zorgt niet alleen voor een gelijkwaardige bescherming van het recht op bescherming van persoonsgegevens binnen het Koninkrijk, maar heeft ook belangrijke praktische voordelen. Zo kan de realisatie van een geharmoniseerd beschermingsniveau binnen het Koninkrijk de onderlinge uitwisseling van persoonsgegevens eenvoudiger en effectiever maken, met alle economische en andere voordelen van dien. De regering verwijst hiervoor naar het antwoord op vraag 2.

Artikel 8 van het verdrag verplicht verwerkingsverantwoordelijken om de transparantie van de gegevensverwerking te waarborgen. Zij zullen de betrokkene daartoe bepaalde informatie moeten verstrekken, met name met betrekking tot hun identiteit en gebruikelijke verblijfplaats of vestigingsplaats, de rechtsgrondslag en de doeleinden van de verwerking, de ontvangers van de gegevens en de categorieën van verwerkte persoonsgegevens. Zij zullen bovendien alle aanvullende informatie moeten verstrekken die nodig is om een eerlijke en transparante verwerking te waarborgen. De verwerkingsverantwoordelijke is vrijgesteld van het verstrekken van dergelijke informatie wanneer de verwerking uitdrukkelijk bij wet is voorgeschreven of wanneer dit onmogelijk blijkt of onevenredig veel moeite kost.

5. Overig

De leden van de PVV-fractie merken op dat er in de afgelopen weken berichten in de media zijn verschenen over een corruptieschandaal bij de belastingdienst op Curaçao (Landsontvanger).19 Dit schandaal raakt ook aspecten van privacy en gegevensbescherming. Zo zouden er bijvoorbeeld persoonlijke regelingen getroffen zijn middels Whatsapp-berichten.20 Ook in het parlement van Curaçao zijn zorgen gerezen over privacy en integriteit, zo blijkt wel uit de volgende mediaberichten:

«De kwestie volgt volgens PAR op een reeks berichten over vermeende onregelmatigheden binnen de Belastingdienst, gebaseerd op verklaringen van ambtenaren, rapporten van de SOAB en uitspraken van betrokken Ministers. Daarbij zouden ook vertrouwelijke belastinggegevens van burgers in de openbaarheid zijn gekomen, wat tot grote zorgen over privacy en integriteit heeft geleid».21

«Girigorie reageert verrast op Minister Coopers weigering om de ontvanger naar het parlement te laten komen. De laatste weken ontstond veel verwarring rond de belastingdienst door tegenstrijdige informatie uit verschillende bronnen. Ook kwam er volgens hem geheime informatie van belastingbetalers naar buiten, wat hij een ernstige privacyschending noemt.»22

Er is kennisgenomen van deze berichten. De gegevensbescherming is een autonome aangelegenheid van Curaçao. Op basis van de Landsverordening bescherming persoonsgegevens kunnen personen een beroep doen op voorzieningen ter bescherming van hun persoonsgegevens. Curaçao is in een vergevorderd stadium om het College bescherming persoonsgegevens opnieuw te bemensen. In de tussentijd biedt de bestuursrechter algemene rechtsbescherming.

De aan het woord zijnde leden merken op dat er ook in juli jl. een bericht verscheen over de digitale kwetsbaarheid van de belastingdienst en andere belangrijke instanties op Curaçao:

«De Curaçaose Belastingdienst is vorig jaar al gewaarschuwd voor ernstige digitale kwetsbaarheid. Dat zegt cybersecurity bedrijf Tozetta na de recente ransomware-aanval bij de Belastingdienst. Volgens het bedrijf zijn ook andere belangrijke instanties op het eiland kwetsbaar. Tozetta vindt dat meldingen vaak te traag worden opgepakt.»23

De hedendaagse realiteit is dat de samenleving constant paraat dient te zijn op mogelijke inbreuken in geautomatiseerde systemen. Deze alertheid wordt verwacht van individuele burgers, bedrijven en zeker ook overheden. De overheden in het Koninkrijk werken nauw samen om criminele inbreuken op de samenleving te voorkomen en op te sporen. Het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18 en Trb. 2004, 290) geldt sinds 1 oktober 2024 ook voor Curaçao. In artikel 2:69 van het Wetboek van Strafrecht zijn inbreuken op geautomatiseerde systemen en hacking strafbaar gesteld.

De implementatie van het gemoderniseerde verdrag wordt in goede samenwerking door de vier landen van het Koninkrijk voorbereid.

De goedkeuring van het verdrag geeft juist handvatten aan de landen om een systeem van bescherming te bouwen dat voldoet aan internationale standaarden, waardoor grensoverschrijdend dataverkeer kan worden gewaarborgd en kan blijven bijdragen aan de economische ontwikkeling van het Koninkrijk in het geheel en in het bijzonder van het Caribische deel van het Koninkrijk. Het bieden van een passend en modern beschermingsniveau in het Caribische deel van het Koninkrijk biedt bovendien een platform voor best practices in de regio voor de implementatie door kleine eilandstaten van de internationale standaard geboden door het gemoderniseerde verdrag.

De Staatssecretaris van Justitie en Veiligheid, K.T. van Bruggen