Advies Raad van State inzake het voorstel van rijkswet houdende goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7) en goedkeuring van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)

MEMORIE VAN TOELICHTING

A. Algemeen

1. Inleiding

Onder de auspiciën van de Raad van Europa is op 28 januari 1981 te Straatsburg het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens tot stand gekomen (Trb. 1988, 7, hierna: ‘Conventie 108’ of ‘het verdrag’).1 Conventie 108 is indertijd tot stand gekomen in reactie op de ontwikkelingen in de informatietechnologie, zoals het toegenomen gebruik van computers voor administratieve doeleinden. Het verdrag vormt een uitwerking van het door artikel 8 van het op 4 november 1950 te Straatsburg tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) beschermde recht op eerbiediging van de persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Conventie 108 is wereldwijd het enige verdrag inzake de bescherming van persoonsgegevens en staat ook open voor staten die geen lid zijn van de Raad van Europa. Momenteel is het verdrag van kracht voor 55 staten, waaronder alle lidstaten van de Europese Unie (hierna: de EU), het Verenigd Koninkrijk, Turkije, Marokko, Mexico, Uruguay en Argentinië. Voor wat betreft het Koninkrijk der Nederlanden, geldt het verdrag zowel voor het Europese als het Caribische deel van Nederland.

Op 15 juni 1999 heeft het Comité van Ministers van de Raad van Europa de Wijzigingen van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS Nr. 108), die de toetreding van de Europese Gemeenschappen mogelijk maken (Trb. 2000, 69) aangenomen. Deze Wijzigingen zijn op dit moment door 30 partijen geratificeerd, waaronder door het Koninkrijk der Nederlanden, voor zowel het Europese als het Caribische deel van Nederland. De Wijzigingen zijn echter nog niet in werking getreden, aangezien zij nog niet door alle partijen bij Conventie 108 zijn geratificeerd.

Op 8 november 2001 is vervolgens te Straatsburg het Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens tot stand gekomen (Trb. 2003, 122 en Trb. 2003, 165, hierna: het Aanvullend Protocol). Het Aanvullend Protocol bepaalt dat elke verdragspartij één of meer toezichthoudende autoriteiten dient in te stellen (artikel 1) en dat de verdragspartijen voorts in hun nationale recht dienen te bepalen dat de doorgifte van persoonsgegevens naar een ontvanger die niet onder de rechtsmacht van een verdragspartij valt uitsluitend mag plaatsvinden indien er sprake is van een passend niveau van bescherming (artikel 2). Het Aanvullend Protocol is voor 44 verdragspartijen, waaronder het Koninkrijk der Nederlanden, in werking getreden. Voor wat betreft het Koninkrijk der Nederlanden, geldt het Aanvullend Protocol zowel voor het Europese als het Caribische deel van Nederland.

Ten slotte is op 10 oktober 2018 te Straatsburg het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens tot stand gekomen (Trb. 2018, 201 en Trb. 2022, ..., hierna: het wijzigingsprotocol of het protocol). Het wijzigingsprotocol voorziet in een groot aantal inhoudelijke en institutionele wijzigingen van Conventie 108. De wijzigingen die door het protocol zullen worden aangebracht zijn dermate substantieel dat er materieel gezien een vrijwel geheel nieuw verdrag zal ontstaan. Van het huidige verdrag blijven slechts enkele bepalingen behouden, waaronder met name de slotbepalingen en enkele bepalingen die betrekking hebben op de door het verdrag ingestelde adviescommissie. De inhoudelijke wijzigingen brengen het niveau van de gegevensbescherming dat uit hoofde van Conventie 108 wordt geboden in lijn met het beschermingsniveau dat wordt geboden door het in de afgelopen jaren tot stand gekomen recht van de EU op dit gebied, waaronder in het bijzonder de Algemene verordening gegevensbescherming (hierna: de AVG).2 De institutionele wijzigingen versterken het toezicht op de naleving van het verdrag en maken de toetreding van de EU en van andere internationale organisaties tot het verdrag mogelijk. De strekking van de inhoudelijke bepalingen van zowel de Wijzigingen uit 1999 als van het Aanvullend Protocol uit 2001 worden door het wijzigingsprotocol uit 2018 geïntegreerd in het gemoderniseerde verdrag. Het Aanvullend Protocol zal ingevolge artikel 37, vierde lid, van het wijzigingsprotocol daarom van rechtswege komen te vervallen op de datum van inwerkingtreding van het wijzigingsprotocol. Door de inwerkingtreding van het wijzigingsprotocol zullen daarnaast de Wijzigingen uit 1999 hun doel verliezen.

Het verdrag uit 1981 is op dit moment niet van kracht voor Aruba, Curaçao en Sint Maarten, noch is dit verdrag voor deze delen van het Koninkrijk goedgekeurd. Teneinde de gelding van het gewijzigde verdrag voor het gehele Koninkrijk mogelijk te maken, zal daarom niet alleen voor het gehele Koninkrijk het wijzigingsprotocol uit 2018 moeten worden goedgekeurd, maar zal daarnaast voor Aruba, Curaçao en Sint Maarten ook het verdrag uit 1981 moeten worden goedgekeurd. Artikel 1 van het onderhavige voorstel van rijkswet strekt daarom tot goedkeuring van het verdrag uit 1981 voor Aruba, Curaçao en Sint Maarten en artikel 2 strekt tot goedkeuring van het wijzigingsprotocol uit 2018 voor het gehele Koninkrijk.

2. Hoofdlijnen van het wijzigingsprotocol

2.1 Aanleiding en totstandkoming van het wijzigingsprotocol

In verband met de nieuwe informatie- en communicatietechnologieën die sinds de totstandkoming van Conventie 108 zijn ontwikkeld, werd het verdrag uit 1981 al geruime tijd als verouderd beschouwd. De niet aflatende groei van de (grensoverschrijdende) gegevensstromen en de globalisering van de gegevensverwerking die door deze nieuwe informatie- en communicatietechnologieën mogelijk werden gemaakt, hebben binnen de Raad van Europa tot een brede consensus geleid dat Conventie 108 dient te worden gemoderniseerd, om ook in de toekomst het hoofd te kunnen (blijven) bieden aan de nieuwe uitdagingen waarvoor het recht op eerbiediging van de persoonlijke levenssfeer zich gesteld ziet. De noodzaak om Conventie 108 te moderniseren werd voor de lidstaten van de EU urgent door de in 2012 in gang gezette hervorming van het gegevensbeschermingsrecht van de EU. Voor deze verdragspartijen is de totstandkoming van de AVG en de Richtlijn (EU) 2016/680 inzake de bescherming van persoonsgegevens in het politie- en justitiedomein3 (hierna: Richtlijn 2016/680) een belangrijke impuls geweest om in het kader van de Raad van Europa te ijveren voor de totstandkoming van het wijzigingsprotocol, aangezien door deze hervormingen binnen de EU het risico ontstond dat zij zouden worden onderworpen aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en uit hoofde van het recht van de Raad van Europa. Ten slotte werd het door deze verdragspartijen als steeds problematischer ervaren dat Conventie 108 niet openstaat voor een toetreding door de EU, aangezien de in het verdrag geregelde materie in de termen van de bevoegdheidsverdeling tussen de EU en haar lidstaten grotendeels onder de exclusieve bevoegdheid van de EU valt.

Over het wijzigingsprotocol is ruim vijf jaar onderhandeld. Een eerste conceptversie van het protocol werd opgesteld door de op grond van het verdrag ingestelde Adviescommissie. Vervolgens werd door het Comité van Ministers van de Raad van Europa een ad hoc Committee on data protection (CAHDATA) ingesteld, dat de opdracht kreeg om het voorstel voor de modernisering en verbetering van Conventie 108 te finaliseren. Aangezien het wijzigingsprotocol zowel betrekking zou hebben op onderwerpen die tot de (exclusieve) bevoegdheid van de EU behoren, als op onderwerpen die tot de (exclusieve) bevoegdheid van de lidstaten behoren, werd aan de daaropvolgende onderhandelingen zowel deelgenomen door de EU, vertegenwoordigd door de Commissie, als door de lidstaten. Zoals hieronder nog nader zal worden toegelicht, heeft Conventie 108 – anders dan de AVG en Richtlijn 2016/680 – mede betrekking op de verwerking van persoonsgegevens ten behoeve van de nationale veiligheid en de defensie. In het aan de Commissie verleende onderhandelingsmandaat werd vanwege de (uitsluitende) verantwoordelijkheid van de lidstaten voor deze twee terreinen bepaald dat de lidstaten hun deelname aan de onderhandelingen over het wijzigingsprotocol dienden voort te zetten in verband met de toepassing daarvan op de verwerking van persoonsgegevens op deze terreinen. De respectieve standpunten van de Unie en haar lidstaten dienden daarbij te worden gecoördineerd. Tijdens de onderhandelingen vond daartoe regelmatig overleg en coördinatie plaats in de daarvoor bestemde raadswerkgroep.

Het CAHDATA is in totaal vier keer bijeengekomen. Tijdens de laatste bijeenkomst in juni 2016 is het ontwerp afgerond en toegezonden aan het Comité van Ministers. Het Comité van Ministers heeft het wijzigingsprotocol en de daarbij behorende toelichting (hierna: Explanatory Report)4 in mei 2018 aangenomen en ten slotte is het protocol op 10 oktober 2018 tijdens een officiële ceremonie opengesteld voor ondertekening. De machtiging van de EU om te ondertekenen, die voor de lidstaten van de EU vereist was in verband met de bepalingen van het wijzigingsprotocol die onder de exclusieve bevoegdheid van de EU vallen, werd in juni 2018 verkregen.5 De machtiging om het wijzigingsprotocol te ratificeren werd vervolgens in april 2019 verkregen.6 Begin 2022 was het wijzigingsprotocol door 44 verdragspartijen ondertekend, waaronder door het Koninkrijk der Nederlanden.

2.2 Inhoudelijke kern van het wijzigingsprotocol

De belangrijkste inhoudelijke en institutionele wijzigingen die door het wijzigingsprotocol worden aangebracht, kunnen als volgt worden samengevat.

Door het wijzigingsprotocol wordt allereerst de materiële werkingssfeer van het verdrag voor alle verdragspartijen gelijkgetrokken. Op basis van artikel 3 van het huidige verdrag beschikken de verdragspartijen nog over de mogelijkheid om bepaalde sectoren of activiteiten van de toepassing van het verdrag uit te sluiten. Deze mogelijkheid wordt door het wijzigingsprotocol geschrapt en het gemoderniseerde verdrag – dit wil zeggen Conventie 108, zoals gewijzigd door het onderhavige protocol – zal daarom voor alle partijen bij het verdrag dezelfde materiële werkingssfeer hebben. Het gemoderniseerde verdrag zal uiteindelijk betrekking hebben op alle vormen van gegevensverwerking die onder de jurisdictie van de partijen vallen, zowel in de publieke als in de private sector.

Verder verhoogt het wijzigingsprotocol het niveau van de gegevensbescherming ten opzichte van het huidige verdrag door de verdragspartijen te verplichten om hun nationale recht een bepaalde inhoud te geven of door aan datasubjecten rechtstreeks bepaalde rechten toe te kennen. Door het gemoderniseerde verdrag wordt allereerst het beginsel van de rechtmatige verwerking nader gespecificeerd, met name voor wat betreft de eisen die worden gesteld aan de toestemming die in voorkomende gevallen door de datasubjecten kan worden verleend. Verder worden de verschillende categorieën bijzondere persoonsgegevens uitgebreid tot de categorieën die in het Unierecht zijn erkend en wordt de bescherming van deze bijzondere persoonsgegevens versterkt. Daarnaast biedt het gemoderniseerde verdrag de datasubjecten aanvullende garanties bij de verwerking van hun persoonsgegevens. Het gaat daarbij enerzijds om de versterking van de rechten van de datasubjecten – met name op het gebied van de transparantie en de toegang tot bepaalde gegevens – en anderzijds om een aanscherping van de verplichtingen van de verwerkingsverantwoordelijken en/of de verwerkers. In het laatste geval gaat het onder andere om de verplichting om de waarschijnlijke impact van een voorgenomen gegevensverwerking op de rechten en fundamentele vrijheden van de betrokken datasubjecten te onderzoeken, de verplichting om de relevante technische en organisatorische maatregelen te treffen om met die impact rekening te houden en de verplichting om ernstige inbreuken op het gebied van de gegevensbescherming te melden. Ten opzichte van het huidige verdrag worden er vervolgens ook enkele nieuwe rechten ingevoerd, zoals het recht om niet te worden onderworpen aan een besluit dat louter is gebaseerd op een geautomatiseerde verwerking van persoonsgegevens en dat de betrokkene in aanmerkelijke mate treft, het recht om bezwaar te maken tegen de verwerking van persoonsgegevens en het recht op een voorziening in rechte in het geval van een schending van de rechten van een datasubject.

In verband met de gewijzigde rechten en verplichtingen in het gemoderniseerde verdrag, brengt het wijzigingsprotocol ook enkele wijzigingen aan in het systeem van uitzonderingen dat is toegestaan op deze rechten en verplichtingen (hierna: de beperkingensystematiek). In de artikelsgewijze toelichting bij artikel 14 van het wijzigingsprotocol wordt hier nader op ingegaan. De gewijzigde beperkingensystematiek voldoet aan de volgende drie essentiële voorwaarden: (1) het behoud van de brede materiële werkingssfeer van het gewijzigde verdrag (geen algemene uitzonderingsbepalingen), (2) flexibiliteit (waardoor hoge gegevensbeschermingsnormen in overeenstemming kunnen worden gebracht met andere belangrijke openbare belangen, zoals nationale veiligheid), en (3) algehele samenhang met de jurisprudentie van het Europees Hof voor de Rechten van de Mens (met name geen wezenlijke inperking van het fundamentele recht op gegevensbescherming). Met behulp van dit systeem van gegevensbescherming beoogt het gemoderniseerde verdrag enerzijds een hoog niveau van bescherming te bieden aan de datasubjecten, en anderzijds een zekere mate van flexibiliteit te bieden aan de verdragspartijen bij de omzetting van de verdragsbepalingen in hun nationale recht. Deze flexibiliteit is ook nodig vanwege het feit dat bij de verdragspartijen grote diversiteit bestaat waar het gaat om de verwerking van persoonsgegevens en (met name) het toezicht daarop door inlichtingen- en veiligheidsdiensten. Door de verdragspartijen is nadrukkelijk beoogd deze diversiteit ook onder het gewijzigde verdrag te handhaven.

De institutionele wijzigingen versterken het toezicht op de naleving van het verdrag en maken het de EU en andere internationale organisaties mogelijk om partij te worden bij het verdrag. Op het internationale vlak wordt het toezicht op de naleving van het verdrag versterkt door het takenpakket en de bevoegdheden van de Verdragscommissie uit te breiden. Zo wordt aan de Verdragscommissie onder andere de bevoegdheid toegekend om de doeltreffendheid te beoordelen van de maatregelen die in de nationale wetgeving zijn genomen ter uitvoering van de bepalingen van het verdrag. Binnen de Raad van Europa wordt momenteel gewerkt aan de uitwerking van dit evaluatiemechanisme. Het gezamenlijke doel is om te komen tot een evaluatiemechanisme dat is gebaseerd op objectieve criteria, strikt beperkt is tot de naleving van de verdragsbepalingen en zowel voor de Verdragscommissie als de verdragspartij geen bovenmatige uitvoeringslasten met zich meebrengt. Op het nationale vlak wordt het toezicht op de naleving van het verdrag versterkt door te bepalen dat elke verdragspartij één of meer toezichthoudende autoriteiten dient in te stellen en door te bepalen dat aan deze nationale autoriteiten bepaalde bevoegdheden dienen te worden toegekend, zoals de bevoegdheid om besluiten te nemen met betrekking tot schendingen van het verdrag en de bevoegdheid om bestuurlijke sancties op te leggen. In het Europese deel van Nederland wordt de rol van toezichthoudende autoriteit thans vervuld door de Autoriteit Persoonsgegevens (hierna: de AP).

Door artikel 19 van het wijzigingsprotocol wordt expliciet duidelijk gemaakt dat met de bepalingen in het wijzigingsprotocol inzake de nationale toezichthoudende autoriteiten in feite artikel 1 van het Aanvullend Protocol uit 2001 wordt geïntegreerd in het gewijzigde verdrag. Door artikel 17, derde lid, van het wijzigingsprotocol wordt daarnaast duidelijk gemaakt dat ook artikel 2 van het Aanvullend Protocol in het gewijzigde verdrag wordt geïntegreerd. Daarmee worden de beide inhoudelijke bepalingen van het Aanvullend Protocol dus volledig geïntegreerd in het gewijzigde verdrag. Ingevolge artikel 37, vierde lid, van het wijzigingsprotocol zal het Aanvullend Protocol daarom buiten werking treden op het moment dat het wijzigingsprotocol in werking treedt.

De laatste institutionele wijziging betreft de mogelijkheid voor de EU en voor andere internationale organisaties om partij te worden bij het gemoderniseerde verdrag. Door de inwerkingtreding van het wijzigingsprotocol zullen de Wijzigingen uit 1999, die tot op heden nog niet in werking zijn getreden, hun doel verliezen. Voor de EU is het openstellen van het gewijzigde verdrag van groot belang in verband met de interne bevoegdheidsverdeling tussen de EU en haar lidstaten. De EU heeft haar lidstaten daarom reeds meerdere malen aangespoord om het wijzigingsprotocol zo spoedig mogelijk te ratificeren.

2.3 Belang van het wijzigingsprotocol

Het wijzigingsprotocol is om verschillende redenen van belang. Het protocol voorziet allereerst in een aan de huidige tijd aangepaste uitwerking van het door artikel 8 EVRM beschermde recht op eerbiediging van de persoonlijke levenssfeer met betrekking tot de verwerking van persoonsgegevens. Door het protocol wordt het systeem van gegevensbescherming dat als maatgevend wordt beschouwd in het kader van de Raad van Europa in lijn gebracht met het systeem van gegevensbescherming dat van kracht is binnen de EU. Hierdoor wordt voorkomen dat EU-lidstaten zoals Nederland worden onderworpen aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en het recht van de Raad van Europa. Door de EU de mogelijkheid te bieden om partij te worden bij het gewijzigde verdrag, wordt het in de toekomst zowel voor de EU als voor haar lidstaten ook gemakkelijker om zelfstandig en binnen de grenzen van hun eigen bevoegdheden op te treden in het kader van de Raad van Europa.

Door het wijzigingsprotocol zal het gemoderniseerde verdrag voorzien in een toekomstbestendig en uitgebalanceerd systeem van gegevensbescherming, dat een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen. Door dit uitgebalanceerde en breed gedragen systeem van gegevensbescherming wordt het voor al die landen, ook buiten Europa, die erover nadenken om een systeem voor gegevensbescherming op te zetten of een bestaand systeem te versterken aantrekkelijk om tot het gemoderniseerde verdrag toe te treden. Het wijzigingsprotocol kan daarom een belangrijke bijdrage leveren aan de wereldwijde versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Dit past in het staande Nederlandse beleid dat is gericht op het bevorderen en ondersteunen van internationaal aanvaarde normen en afspraken met betrekking tot de rechten van de mens en aanverwante terreinen.

Tegelijkertijd kan het wijzigingsprotocol ook een belangrijke bijdrage leveren aan de bevordering van het internationale handelsverkeer. In de huidige digitale economie gaat de levering van goederen en diensten in toenemende mate gepaard met de uitwisseling van persoonsgegevens. De grensoverschrijdende doorgifte van persoonsgegevens levert een potentieel risico op voor de bescherming van deze gegevens wanneer zij worden doorgegeven aan een land dat een minder hoog beschermingsniveau waarborgt dan het land van herkomst van de gegevens. In het stelsel van de AVG zijn internationale doorgiften door een gegevensexporteur – een verwerkingsverantwoordelijke of verwerker – daarom slechts mogelijk voor zover het voor natuurlijke personen op grond van de AVG gewaarborgde beschermingsniveau daarbij niet wordt ondermijnd (artikel 44 AVG).7 Op grond van overweging 105 van de AVG komt in dit verband betekenis toe aan het feit of het derde land waaraan de persoonsgegevens worden doorgegeven al dan niet partij is bij Conventie 108. Door de toetreding van landen van buiten Europa tot Conventie 108 aantrekkelijker te maken, kan het wijzigingsprotocol ervoor zorgen dat meer van deze landen een behoorlijk niveau van bescherming zullen waarborgen. De doorgifte van persoonsgegevens aan die landen zal vervolgens minder snel op bezwaren stuiten. Langs die weg levert het wijzigingsprotocol dus ook een potentiële bijdrage aan het voor de wereldhandel steeds belangrijker geworden ‘vrije verkeer van persoonsgegevens’.

3. Uitvoering van het wijzigingsprotocol

Het wijzigingsprotocol noopt voor het Europese deel van Nederland niet tot een aanpassing van de huidige wet- en regelgeving. De wijzigingen die door het Protocol in Conventie 108 worden aangebracht, zijn namelijk volledig in overeenstemming met zowel de AVG als met de reeds geïmplementeerde Richtlijn 2016/680.8 Het enige inhoudelijke verschil met de AVG is dat de gemoderniseerde Conventie 108 ook betrekking heeft op de verwerking van persoonsgegevens in het belang van de bescherming van de defensie en de nationale veiligheid. Ook voor dit deel van het wijzigingsprotocol is voor het Europese deel van Nederland echter geen uitvoeringswetgeving nodig. Door de schakelbepaling in artikel 3 van de Uitvoeringswet AVG (hierna: de UAVG), was defensie al binnen het toepassingsbereik van de AVG en de UAVG gebracht. Die schakelbepaling en het daarin besloten en daarop gebaseerde uitzonderingsregime voor de operationele inzet van de krijgsmacht zijn in lijn met het wijzigingsprotocol. Hierbij is van belang dat het nieuwe artikel 11 van Conventie 108 zal voorzien in een stelsel van uitzonderingen en beperkingen die onder andere in het belang van de nationale veiligheid en de defensie op de materiële bepalingen van het verdrag mogen worden gemaakt. De huidige Nederlandse wetgeving ten aanzien van nationale veiligheid en defensie, in het bijzonder de Wet op de inlichtingen- en veiligheidsdiensten 2017 (hierna: de Wiv 2017) respectievelijk artikel 3 UAVG en het daarop gebaseerde uitzonderingsregime voor de inzet van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken9, is in lijn met deze beperkingensystematiek. De verwerking van persoonsgegevens op grond van de Wiv 2017 wordt nader toegelicht in paragraaf 4.

Daarnaast is door een in 2018 ingestelde interlandelijke werkgroep de vraag onderzocht of de harmonisatie van het gegevensbeschermingsniveau van het Caribische deel van Nederland en van de Caribische landen mogelijk is, en zo ja, wat daarvoor nodig is. Ingevolge de conclusie van de werkgroep heeft het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 geconstateerd dat het aangewezen is om een geharmoniseerd niveau van gegevensbescherming binnen het Caribisch deel van het Koninkrijk te realiseren en besloten om een consensusrijkswet tot stand te brengen waarin de beschermingsregimes voor de verwerking van persoonsgegevens, waaronder begrepen de persoonsgegevens die in het politie- en justitiedomein worden verwerkt, binnen de Caribische delen van het Koninkrijk worden geharmoniseerd. Het is de bedoeling dat deze wet ter vervanging komt van de Wbp-BES, de Wjd-BES, paragraaf 5a van de Wpg18, de afzonderlijke Landsverordeningen die op dit moment in de Caribische landen gelden en de Onderlinge regeling tussen Nederland, Aruba, Curaçao en Sint Maarten betreffende de verwerking van politiegegevens. De consensusrijkswet is niet van toepassing op de verwerking van persoonsgegevens door de inlichtingen- en veiligheidsdiensten, het verwerken van persoonsgegevens in het kader van verkiezingen en ten behoeve van de basisadministratie persoonsgegevens. De wettelijke regelingen die op deze onderwerpen zien, zullen separaat beoordeeld moeten worden om vast te stellen of het daarin geboden beschermingsniveau passend is dan wel dat aanpassingen nodig zijn. Ten aanzien van de verwerking van persoonsgegevens door de krijgsmacht is het de bedoeling dat in de consensusrijkswet materieel eenzelfde regime wordt opgenomen als in artikel 3 van de UAVG.

Indien deze consensusrijkswet en de eventuele andere wettelijke aanpassingen op door de consensusrijkswet niet bestreken terreinen op alle punten voorzien in de uitvoeringswetgeving die voor deze delen van het Koninkrijk nodig is om het verdrag uit 1981 en het wijzigingsprotocol uit 2018 te kunnen laten gelden, dan zal het gemoderniseerde verdrag voor deze delen van het Koninkrijk in werking kunnen treden.

4. Verwerking van persoonsgegevens op grond van de Wiv 2017

Zoals hiervoor reeds is opgemerkt brengt het wijzigingsprotocol het beschermingsniveau in lijn met het in de afgelopen jaren tot stand gekomen recht van de EU, in het bijzonder de AVG. Vanwege de (uitsluitende) verantwoordelijkheid van de lidstaten voor nationale veiligheid geldt de AVG niet voor de verwerking van gegevens door de inlichtingen- en veiligheidsdiensten. De Wiv 2017 vormt hiervoor een eigenstandig wettelijk kader. Dit zal hieronder nader toegelicht worden.

Het gemoderniseerde verdrag verhoogt het niveau van bescherming van persoonsgegevens door de verdragspartijen te verplichten hun nationale recht een bepaalde inhoud te geven en door aan datasubjecten rechtstreeks bepaalde rechten toe te kennen. Op grond van artikel 14 van het wijzigingsprotocol (nieuw artikel 11) is in een beperkt aantal gevallen een uitzondering mogelijk op de materiële bepalingen van het verdrag. Nationale veiligheid is een van de doelen waarvoor een uitzondering mogelijk is. Dit is alleen mogelijk op de bepalingen die in het eerste en derde lid worden genoemd, de uitzondering moet bij wet zijn voorzien en de getroffen maatregelen moeten noodzakelijk en evenredig zijn in een democratische samenleving om een dergelijk doel te bereiken. De uitzonderingen mogen bovendien geen afbreuk doen aan het vereiste van onafhankelijk en effectief toezicht op grond van nationale wetgeving.

De Wiv 2017 vormt het kader voor de taakuitvoering van de inlichtingen- en veiligheidsdiensten (hierna: de diensten) en voorziet in alle aspecten van gegevensverwerking door de diensten. Behoudens de (toegestane) uitzonderingen die hierna worden toegelicht, voldoet de Wiv 2017 aan de eisen die de gewijzigde Conventie stelt aan de verwerking van persoonsgegevens en het toezicht daarop. Zo is in de Wiv 2017 een belangrijk uitgangspunt dat de verzameling van gegevens te allen tijde moet voldoen aan de eisen van noodzakelijkheid, proportionaliteit, subsidiariteit en gerichtheid. Tevens is meer in algemene zin bepaald dat iedere verwerking van gegevens slechts plaatsvindt voor een bepaald doel en voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2017 of de Wet veiligheidsonderzoeken (Wvo). Ook dient de verwerking van gegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze te geschieden en gelden aanvullende waarborgen voor bijzondere persoonsgegevens en de externe verstrekking van persoonsgegevens. Naast deze algemene waarborgen gelden specifieke (procedurele) voorwaarden voor de toepassing van bijzondere bevoegdheden waarbij in veel gevallen de toetsingscommissie inzet bevoegdheden (TIB) de rechtmatigheid van de door de minister verleende toestemming tot toepassing van bijzondere bevoegdheden op rechtmatigheid toetst voorafgaand aan de toepassing daarvan dan wel – waar het gaat om de uitoefening van bijzondere bevoegdheden jegens journalisten (bronbescherming) of advocaten (vertrouwelijke communicatie met cliënten) – in plaats van de minister, de rechtbank Den Haag toestemming verleent voor de uitoefening van een bevoegdheid. Ook voorziet de Wiv 2017 in rechten voor de betrokkene, zoals het recht op kennisneming van door of ten behoeve van de diensten verwerkte gegevens (inzage), het recht op een effectief rechtsmiddel, bestuursrechtelijke rechtsbescherming wanneer sprake is van een besluit als bedoeld in de Algemene Wet Bestuursrecht en staat de weg naar de burgerlijke rechter open, bijvoorbeeld in het kader van een actie uit onrechtmatige daad. Daarnaast houdt de afdeling toezicht van de Commissie van toezicht op de inlichtingen- en veiligheidsdiensten (CTIVD) toezicht op de rechtmatigheid van de activiteiten van de diensten, waaronder de verwerking van persoonsgegevens. De afdeling klachtbehandeling van de CTIVD, die onafhankelijk ten opzichte de afdeling toezicht is gepositioneerd, is belast met de behandeling van klachten en heeft in die hoedanigheid de bevoegdheid om bindende oordelen te geven over klachten over het optreden of het vermeende optreden van de diensten, de verantwoordelijke ministers en de coördinator. De CTIVD en de TIB zijn gespecialiseerde instanties en beschikken derhalve over de nodige expertise ten aanzien van de taken en de uitvoeringspraktijk van de diensten. Zij zijn bij uitstek in staat enerzijds het belang van de nationale veiligheid en anderzijds de bescherming van de persoonlijke levenssfeer tegen elkaar af te wegen. In de openbare rapporten van de afdeling toezicht van de CTIVD wordt daar stelselmatig uitwerking aan gegeven.

Op 1 april 2022 is het voorstel voor een Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma (hierna: de Tijdelijke wet) in (internet)consultatie gegaan. Dit wetsvoorstel beoogt een tijdelijke voorziening te treffen waarmee de AIVD en de MIVD meer mogelijkheden krijgen om enkele bijzondere bevoegdheden efficiënter te kunnen inzetten en zo sneller en wendbaarder te kunnen opereren in onderzoeken naar landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen, waarbij tegelijkertijd de waarborgen waarmee die inzet moet zijn omgeven op een hoog niveau blijven. In dit wetsvoorstel vervalt de toets die de Toetsingscommissie inzet bevoegdheden (TIB) voorafgaand aan de inzet van bijzondere bevoegdheden uitvoert op enkele onderdelen (zoals verkennen van geautomatiseerde werken en de uitvoering van geautomatiseerde data-analyse op in bulk geïntercepteerde metadata) omdat in de toepassingspraktijk van de Wiv 2017 is gebleken dat deze (statische) toets van de TIB minder goed past bij het dynamische verloop van cyberonderzoeken. Het wetsvoorstel bevat daarom in enkele specifieke gevallen een verschuiving van een bindende toets vooraf door de TIB naar bindend toezicht op de uitvoering van bijzondere bevoegdheden door de CTIVD. Dit betreft een tijdelijke voorziening en loopt daarmee niet vooruit op mogelijke aanpassingen van het stelsel van toetsing en toezicht mede naar aanleiding van de aanbevelingen van rapport van de Evaluatiecommissie Wiv 2017 en het daaromtrent nader in te nemen kabinetsstandpunt. Een definitieve regeling zal onderdeel uitmaken van het wetsvoorstel dat wordt voorbereid na het uitbrengen van de aan de Tweede Kamer toegezegde hoofdlijnennotitie ter zake van het door de ECW uitgebrachte rapport met betrekking tot de evaluatie van de Wiv 2017. Daarbij zal er uiteraard op worden toegezien dat ook die aanpassingen voldoen aan de vereisten van het gewijzigde verdrag.

De tweede uitzondering betreft de informatieplicht uit artikel 8 (nieuw). Deze informatieplicht geldt ingevolge het derde lid niet wanneer gegevens niet van de betrokkene zelf zijn verkregen. Hoewel de diensten doorgaans gegevens verzamelen en verwerken zonder toestemming of medeweten van de betrokkene (waarvoor de uitzondering van het derde lid geldt), is dit niet altijd het geval. Bijvoorbeeld wanneer de betrokkene ten behoeve van een veiligheidsonderzoek een Opgave persoonlijke gegevens moet invullen. Ingevolge de artikelen 17 en 18 van de Wiv 2017 is die wet ook van toepassing op de verwerking van gegevens in het kader van de uitvoering van veiligheidsonderzoeken door de diensten. Hierbij is eveneens geheimhouding geboden waarbij transparantie evenmin mogelijk is, bijvoorbeeld over de voorgenomen verwerkingen (eerste lid, onderdeel b) of de ontvangers van die gegevens (eerste lid, onderdeel d). Op dit punt vormen de Wiv 2017 en de Wvo derhalve een uitzondering zoals bedoeld in artikel 14 eerste lid (nieuw artikel 11, eerste lid).

Ook op het nieuwe artikel 9 bevat de Wiv 2017 enkele uitzonderingen in de vorm van weigeringsgronden en beperkingen op de rechten van de betrokkene. De diensten kunnen hun wettelijke taken immers uitsluitend binnen een zekere mate van geheimhouding uitvoeren. Daarom zullen bronnen, werkwijzen en het actueel kennisniveau van de diensten in beginsel altijd geheim worden gehouden.

De Wiv 2017 bevat ook uitzonderingen op grond van artikel 14, derde lid, van het wijzigingsprotocol (nieuw artikel 11, derde lid), te weten: de bevoegdheid van de toezichthouder tot interventie als bedoeld in artikel 15, tweede lid, onderdeel a (nieuw), de bevoegdheid om besluiten te nemen als bedoeld in artikel 15, tweede lid, onderdeel c (nieuw) en de bevoegdheid om rechtszaken te beginnen als bedoeld in artikel 15, tweede lid, onderdeel d (nieuw). Ten aanzien van de bevoegdheid tot interventie geldt dat deze bevoegdheid in de Wiv 2017 wel bestaat, maar geen bindend karakter heeft. De CTIVD kan gedurende de uitvoering van een bevoegdheid de verantwoordelijke minister immers gevraagd of ongevraagd adviseren over een eventuele onrechtmatige uitvoering van een bevoegdheid. De CTIVD kan de uitvoering weliswaar niet beëindigen, maar de minister kan de bevindingen van de CTIVD niet negeren. Omdat geen sprake is van interventie zoals bedoeld in artikel 15, tweede lid, onderdeel a (nieuw) is hier ten aanzien van de Wiv 2017 sprake van een uitzondering. Dit ligt anders voor het eerdergenoemde voorstel voor een tijdelijke wet. Zoals hiervoor is toegelicht bevat het wetvoorstel (op enkele onderdelen) een regeling voor bindend toezicht door de CTIVD waarbij de CTIVD ook kan bepalen dat een bevoegdheid moet worden beëindigd of bepaalde gegevens moeten worden verwijderd en vernietigd. Hiermee is niet alleen sprake van bindend toezicht maar ook van interventie zoals bedoeld in artikel 15, tweede lid, onderdeel a (nieuw).

De bevoegdheid om rechtszaken te beginnen past niet binnen de taken en bevoegdheden van de CTIVD op grond van de Wiv 2017. De CTIVD is bovendien geen bestuursorgaan en bezit geen eigen rechtspersoonlijkheid. De CTIVD kan aanbevelingen doen en gevraagd en ongevraagd adviezen geven. De bevoegdheid om een aanbeveling of advies rechtens af te dwingen strookt niet met deze rol. Deze bevoegdheid komt de CTIVD in de Wiv 2017 derhalve niet toe. Op grond van de Tijdelijke wet zijn de oordelen van de CTIVD in bepaalde gevallen bindend en dient de verantwoordelijke minister uitvoering te geven aan een dergelijk oordeel. De bevoegdheid om een aanbeveling of advies rechtens af te dwingen is in dit geval derhalve niet nodig.

Artikel 14, eerste en derde lid, van het wijzigingsprotocol (nieuw artikel 11, eerste en derde lid) vereist dat de beperkingen ‘bij de wet zijn voorzien’. Uit de jurisprudentie van het Europese Hof voor de Rechten van de Mens20 blijkt dat de beperking in de eerste plaats een grondslag moet hebben in het nationale recht. Met de term ‘wet’ wordt niet noodzakelijkerwijs gedoeld op een wet in formele zin. Aan de term wordt een materiële betekenis toegekend waarbij doorslaggevend is of de regel toegankelijk (accessible) en voorzienbaar (foreseeable) is. Aan het toegankelijkheidsvereiste is in ieder geval voldaan als de regel is gepubliceerd en daadwerkelijk is te raadplegen. De eis van voorzienbaarheid hangt hiermee nauw samen. Regels moeten voldoende duidelijk zijn, zodat burgers hun gedrag erop kunnen afstemmen. De Wiv 2017 is een wet in formele zin en voldoet derhalve aan deze vereisten. De beperkingen moeten voorts een legitiem doel dienen. De beperkingsclausules bevatten doelcriteria waarin wordt aangegeven in het kader van welke belangen het grondrecht mag worden beperkt. Ten aanzien van de Wiv 2017 is de bescherming van de nationale veiligheid het legitieme doel. Tot slot moet worden bezien of een redelijke verhouding bestaat tussen de beperking en het legitieme doel: de maatregel moet ‘noodzakelijk zijn in een democratische samenleving’. Met andere woorden, de maatregel dient noodzakelijk en proportioneel te zijn. De beoordeling van de noodzaak en proportionaliteit van een maatregel hangt sterk af van de concrete omstandigheden van het geval. De op grond van artikel 14, eerste lid, van het wijzigingsprotocol gemaakte uitzonderingen houden verband met de noodzakelijke geheimhouding van de taakuitvoering en gegevensverwerking van de diensten waar voldoende waarborgen tegenover staan. De uitzonderingen op grond van het derde lid van artikel 14 van het wijzigingsprotocol houden verband met het stelsel van toezicht. Deze uitzonderingen zijn zeer beperkt in omvang en doen geen afbreuk aan het bestaan van onafhankelijk en effectief toezicht. De CTIVD is op grond van de Wiv 2017 volledig onafhankelijk en rapporteert over de werkzaamheden van de diensten en kan daarbij aanbevelingen doen. De keuze om een aanbeveling al dan niet (volledig) over te nemen, ligt bij de verantwoordelijke minister. Daarbij zij benadrukt dat de minister te allen tijde verantwoordelijkheid draagt voor het handelen van de betrokken dienst. De minister legt over het opvolgen van aanbevelingen van de CTIVD verantwoording af aan het parlement, door een reactie op de rapportage van de CTIVD aan beide Kamers te sturen waarin wordt ingegaan op het al dan niet overnemen van aanbevelingen. In het enkele geval dat de minister besluit om een aanbeveling niet over te nemen, kan het parlement de minister daarover ter verantwoording roepen. Dit is een bewezen effectieve manier van toezicht. In paragraaf 5 zal nader worden ingegaan op de effectiviteit van het toezicht door de CTIVD op grond van de Wiv 2017.

5. Advies en consultatie

Advies van de Autoriteit persoonsgegevens

Bij brief van 16 juli 2020 is de AP om advies verzocht over dit wetsvoorstel en de onderhavige Memorie van Toelichting. Het wetsvoorstel dat ter advisering aan de AP is voorgelegd strekte uitsluitend tot goedkeuring van het wijzigingsprotocol uit 2018 voor het Europese deel van Nederland. In de toelichting die aan de AP is voorgelegd, werd daarnaast gemotiveerd waarom er in eerste instantie werd voorgesteld om pas in een later stadium met behulp van een separaat wetsvoorstel de goedkeuring voor de Caribische delen van het Koninkrijk te vragen. De AP heeft bij brief van 4 februari 2021 haar advies uitgebracht.21

De AP heeft erop gewezen dat het ter advisering voorgelegde wetsvoorstel uitsluitend strekte tot goedkeuring voor het Europese deel van Nederland van het wijzigingsprotocol uit 2018. In reactie daarop heeft de AP aangegeven dat de bescherming van persoonsgegevens een mensenrecht is dat binnen het gehele Koninkrijk een gelijkwaardige bescherming verdient. Daarbij heeft de AP eveneens verwezen naar het standpunt van de rijksministerraad dat het uitgangspunt is dat mensenrechtenverdragen voor het gehele Koninkrijk dienen te gelden en dat het bovendien niet te verenigen valt met artikel 132a, vierde lid, van de Grondwet dat een mensenrechtenverdrag wel voor het Europese deel van Nederland geldt, maar niet voor het Caribische deel van Nederland.22 De goedkeuring voor het gehele Koninkrijk van zowel het verdrag uit 1981 als het wijzigingsprotocol uit 2018 is volgens de AP daarom een voor de hand liggende mogelijkheid om tot meer gelijkwaardigheid te komen. Daarnaast heeft de AP gewezen op de beslissing van het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 om een consensusrijkswet tot stand te brengen waarin een geharmoniseerd niveau van bescherming van persoonsgegevens, politiële, justitiële en strafvorderlijke gegevens binnen het Koninkrijk wordt geregeld. Indien deze consensusrijkswet op alle punten voorziet in de uitvoeringswetgeving die voor de Caribische delen van het Koninkrijk nodig is, kunnen het verdrag uit 1981 en het wijzigingsprotocol uit 2018 voor deze delen van het Koninkrijk gaan gelden. De AP heeft daarom geadviseerd om de Memorie van Toelichting ten aanzien van de goedkeuring voor de Caribische delen van het Koninkrijk te actualiseren en om daarbij in te gaan op het spoedig adresseren van een geharmoniseerd niveau van bescherming van persoonsgegevens binnen het Koninkrijk en de goedkeuring van het verdrag cq. het wijzigingsprotocol voor het gehele Koninkrijk.

Aan het advies van de AP is gevolg gegeven. Naar aanleiding van de recente ontwikkelingen in JVO-verband met betrekking tot de versterking en de harmonisatie van het beschermingsniveau in het Koninkrijk, is besloten om voor Aruba, Curaçao en Sint Maarten de goedkeuring voor het verdrag uit 1981 te vragen en om voor het gehele Koninkrijk de goedkeuring voor het wijzigingsprotocol uit 2018 te vragen. Het wetsvoorstel en de onderhavige toelichting zijn op deze punten aangepast en aangevuld.

Advies van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten

Op 14 juli 2020 is de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) om advies verzocht. Bij brief van 3 september 2020, no 2020/0114, heeft de CTIVD haar advies uitgebracht waarbij zij aandacht heeft gevraagd voor een aantal punten. Daarnaast hebben de TIB en de CTIVD op 17 februari 2021 een memo over het wijzigingsprotocol aan de voorzitter van de Tweede Kamer gezonden. In deze memo schetsen de TIB en de CTIVD de implicaties die de gewijzigde Conventie volgens de beide commissies heeft voor het toezicht op de verwerking van persoonsgegevens in kader van de nationale veiligheid. De memo bevat enkele aanvullende standpunten ten opzichte van het advies van de CTIVD. Op deze aanvullende standpunten zal hierna ook worden ingegaan.

De CTIVD meent ten eerste dat het verdrag op artikelniveau behoort te worden nagelopen om na te gaan of de Wiv 2017 wijziging of aanvulling behoeft. De motivering hiervoor vraagt eveneens een artikelsgewijze benadering. In algemene zin geldt dat reeds bij de voorbereiding van en de onderhandelingen over een verdrag aandacht wordt besteed aan de eventuele gevolgen voor de nationale wetgeving en ook bij de voorbereiding van de parlementaire goedkeuring wordt onderzocht in hoeverre de naleving door het Koninkrijk wettelijke voorschriften vereist. Dit resulteert in een goedkeurings- en eventueel een uitvoeringswet. Zoals in paragraaf 3 is aangegeven noopt het wijzigingsprotocol voor het Europese deel van Nederland niet tot uitvoeringswetgeving. Ook voor de Wiv 2017 geldt dat aanvullingen of wijzigingen voor de ratificatie niet nodig zijn. De Wiv 2017 is in lijn met het wijzigingsprotocol en de daarin voorziene mogelijkheden om ter bescherming van de nationale veiligheid op onderdelen af te wijken.

Voorts heeft de CTIVD de vraag opgeworpen of dataverwerking in de context van nationale veiligheid en defensie, die niet onder de Wiv 2017 valt maar onder het algemene gegevensbeschermingsrecht, ook binnen het kader van de Wiv 2017 zou moeten worden gebracht. In de memo van de TIB en de CTIVD is in dit kader ook aangegeven dat bij de aanwijzing van de toezichthouder het gehele domein van nationale veiligheid onder de verantwoordelijkheid van de aan te wijzen toezichthouder(s) zou moeten vallen. Hiertoe bestaat geen enkele noodzaak of aanleiding. De Wiv 2017 regelt uitsluitend de activiteiten van de inlichtingen- en veiligheidsdiensten en daarmee samenhangende aspecten in het kader van de nationale veiligheid.23 Het begrip nationale veiligheid uit de Wiv 2017 is ontleend aan het Europees Verdrag voor de Rechten van de Mens en volgt de uitleg daarvan door het Europees Hof voor de Rechten van de Mens. Het begrip nationale veiligheid is ruimer dan het werkterrein van de diensten. Er zijn ook andere organisaties die een taak hebben in het kader van de nationale veiligheid, zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid (hierna: de NCTV), maar anders dan de diensten hebben deze organisaties geen taken die exclusief op het terrein van nationale veiligheid liggen. Ook de taakstelling en het soort onderzoek is wezenlijk anders. De voorschriften en procedures uit de Wiv 2017, ook ten aanzien van het toezicht, zijn juist toegespitst op de veelal heimelijke taakuitvoering van de diensten in het kader van nationale veiligheid en de noodzakelijke beperkingen die daaruit voortvloeien. Dit is bij andere organisaties, ook al hebben zij (mede) een taak in het kader van de nationale veiligheid, in veel mindere mate aan de orde. Het algemene gegevensbeschermingsrecht, dat overigens ook ruimte biedt voor uitzonderingen ten behoeve van nationale veiligheid, volstaat in die gevallen. Het toezicht op de toepassing van het algemene gegevensbeschermingsrecht door die andere organisaties berust bij de AP en ook dat volstaat. Dit is uitdrukkelijk het geval voor de dataverwerking door de NCTV.

De NCTV heeft tot taak het verhogen van de weerbaarheid ten aanzien van terrorismebestrijding en de bescherming van de nationale veiligheid, door het versterken van de weerbaarheid van de samenleving, het voorkomen van maatschappelijke ontwrichting en het beschermen van vitale belangen van de samenleving. Bij het uitvoeren van deze taak kan het voorkomen dat persoonsgegevens worden verwerkt. Voorop staat dat het geen taak is van de NCTV om onderzoek te doen naar personen of organisaties die mogelijk een dreiging voor de nationale veiligheid kunnen vormen. Dergelijk onderzoek is voorbehouden aan de inlichtingen- en veiligheidsdiensten, die daartoe beschikken over wettelijk geregelde bevoegdheden, en aan de politie en het Openbaar Ministerie, die daartoe beschikken over opsporingsbevoegdheden.

De NCTV signaleert, analyseert en duidt trends en fenomenen. Bij dergelijke analyses kan informatie over personen die gekoppeld zijn aan fenomenen of die als actoren trends bepalen of beïnvloeden, onontbeerlijk zijn voor een gedegen analyse. De NCTV is verder genoodzaakt veel informatie, waaronder persoonsgegevens uit casuïstiek, te verwerken om invulling te geven aan zijn coördinerende rol op het terrein van de nationale veiligheid en terrorismebestrijding. De informatie voor deze coördinerende rol wordt niet door de NCTV verzameld, maar verkregen via een van de samenwerkingspartners.

Uit de Memorie van Toelichting van de UAVG volgt dat de AVG ‘van toepassing is op verwerkingen van persoonsgegevens door andere bestuursorganen (dan de inlichtingen- en veiligheidsdiensten) in het belang van (of mede in het belang van) de nationale veiligheid, zoals verwerkingen in het kader van de uitoefening van taken en bevoegdheden door de Minister van Justitie en Veiligheid in het belang van de nationale veiligheid (bijv. terrorismebestrijding)’.24 Verwerkingen van persoonsgegevens door de NCTV in de context van de nationale veiligheid vallen daarmee onder het algemene gegevensbeschermingsrecht met zoals gezegd de AP als toezichthouder.

De CTIVD signaleert ook dat de toepassing van artikel 14 van het wijzigingsprotocol (artikel 11 nieuw) meebrengt dat op het niveau van de specifieke uitzondering en beperking gemotiveerd moet worden aangegeven dat deze uitzondering constitutes a necessary and proportionate measure in a democratie society waarbij geen afbreuk mag worden gedaan aan de waarborgen van onafhankelijk en effectief toezicht. De voorwaarden voor toepassing van artikel 14 van het wijzigingsprotocol (artikel 11 nieuw) zijn in paragraaf 4 reeds toegelicht.

De CTIVD is tevens van mening dat de Wiv 2017 niet voldoet aan het vereiste uit artikel 14, derde lid, van het wijzigingsprotocol (nieuw artikel 11, derde lid) dat er bij toepassing van de uitzonderingen sprake moet zijn van effectief toezicht. Effectief toezicht impliceert volgens de CTIVD doorzettingsmacht (bindende oordelen) tenminste voor de nadere verwerking/analyse van gegevens(sets). Doorzettingsmacht impliceert volgens de CTIVD ook dat het toezicht de verwerking van gegevens kan beperken/beëindigen en kan besluiten dat gegevens vernietigd behoren te worden. De CTIVD wijst in dit verband ook op artikel 19, negende lid, van het wijzigingsprotocol (artikel 15, negende lid, nieuw) waaruit volgt dat tegen besluiten van een toezichthouder beroep bij een rechter mogelijk moet zijn. Anders dan de CTIVD stelt, zijn bindende oordelen geen voorwaarde of vereiste voor effectief toezicht en is het stelsel van toezicht op de diensten als geheel wel degelijk effectief.25 De CTIVD rapporteert over de werkzaamheden van de diensten en kan daarbij aanbevelingen doen. De keuze om een aanbeveling al dan niet (volledig) over te nemen, ligt bij de verantwoordelijke minister. Daarbij zij benadrukt dat de minister te allen tijde verantwoordelijkheid draagt voor het handelen van de betrokken dienst. De minister legt over het opvolgen van aanbevelingen van de CTIVD verantwoording af aan het parlement, door een reactie op de rapportage van de CTIVD aan beide Kamers te sturen waarin wordt ingegaan op het al dan niet overnemen van aanbevelingen. In het enkele geval dat de minister besluit om een aanbeveling niet over te nemen, kan het parlement de minister daarover ter verantwoording roepen.

De Evaluatiecommissie Wet op de inlichtingen- en veiligheidsdiensten 2017 heeft geconcludeerd dat deze vorm van toezicht door de CTIVD bijzonder effectief is en in haar huidige vorm kan blijven bestaan.26 Ook het Europese Hof voor de Rechten van de Mens merkt in haar recente uitspraak inzake de Big Brother Watch zaak tegen het VK inzake het toezicht door de IC commissioner op dat deze independent and effective supervision uitoefent; de IC commissioner beschikt niet over de bevoegdheid bindende oordelen te geven maar kan wel aanbevelingen doen (zoals de CTIVD).27 Daarom is niet voorzien in de algemene bevoegdheid tot interventie, evenmin in de algemene bevoegdheid tot het nemen van besluiten. Nu niet is voorzien in deze laatste bevoegdheid, is artikel 15, negende lid (nieuw) op grond waarvan beroep bij de rechter tegen een besluit van een toezichthouder mogelijk gemaakt zou kunnen worden (may be subject to appeal), ook niet aan de orde. Zoals hiervoor reeds is opgemerkt, wordt in de Tijdelijke wet een andere keuze gemaakt teneinde een oplossing te bieden voor enkele zeer specifieke operationele knelpunten waarbij de waarborgen op hetzelfde niveau blijven. Dit laat onverlet dat het huidige stelsel van toetsing en toezicht op grond van de Wiv 2017 als effectief kan worden aangemerkt.

Tot slot merkt de CTIVD op dat de bepalingen ten aanzien van internationale samenwerking tussen toezichthouders op inlichtingen- en veiligheidsdiensten in de Wiv 2017 moeten worden opgenomen. Zoals nu reeds het geval is, kan de CTIVD samenwerken met gespecialiseerde buitenlandse toezichthouders op het terrein van inlichtingen- en veiligheidsdiensten. Het uitwisselen van operationele en staatsgeheime gegevens is echter uitgesloten. Een buitenlandse toezichthouder is immers niet bevoegd om kennis te nemen van deze informatie. Informatie-uitwisseling tussen toezichthouders valt bovendien buiten de reikwijdte van de ministeriële verantwoordelijkheid die de minister van BZK en Defensie hebben voor de samenwerking van de AIVD respectievelijk de MIVD met buitenlandse diensten en de uitwisseling van staatsgeheime gegevens in dat kader.

In de memo wijzen de TIB en de CTIVD op het feit dat het gewijzigde verdrag op grond van artikel 17, tweede lid, onder 5, van het wijzigingsprotocol (nieuw artikel 14, vijfde lid) verplicht tot het verstrekken van alle relevante gegevens met betrekking tot de uitwisseling van persoonsgegevens als bedoeld in het derde lid, onderdeel b, en het vierde lid, onderdelen b en c van artikel 17 van het wijzigingsprotocol (nieuw artikel 14). Op grond van artikel 107 van de Wiv 2017 bestaat voor de diensten reeds de verplichting om de CTIVD alle inlichtingen te verstrekken en alle overige medewerking te verlenen die zij voor een goede uitoefening van haar taak noodzakelijk acht. Anders dan de CTIVD en de TIB stellen, bevat deze bepaling echter geen verplichting om de toezichthouder de bevoegdheid te geven internationale gegevensuitwisseling op te schorten, te verbieden of aan voorwaarden te onderwerpen. Het zesde lid van artikel 17 van het wijzigingsprotocol (nieuw artikel 14, zesde lid) bevat een ‘kan-bepaling’ (‘the supervisory authority may, in order to protect the rights and fundamental freedoms of data subjects, prohibit such transfers, suspend them or subject them to condition’). Nu de Wiv 2017 hierin niet voorziet, is sprake van een uitzondering zoals bedoeld in artikel 14, derde lid van het wijzigingsprotocol (artikel 11, derde lid, nieuw)

Tot slot verwijzen de TIB en de CTIVD in de memo specifiek naar artikel 22, derde lid, van het wijzigingsprotocol (artikel 17, derde lid, nieuw) op grond waarvan de toezichthouders een netwerk vormen voor onderlinge samenwerking ten behoeve van de uitvoering van hun taken. De CTIVD werkt al veelvuldig samen met andere Europese (gespecialiseerde) toezichthouders die bevoegd zijn voor inlichtingen- en veiligheidsdiensten en heeft daarbij een voortrekkersrol. De activiteiten die de CTIVD verricht ter bevordering van internationaal toezicht vinden plaats binnen de grenzen van de Wiv 2017. Er is geen aanleiding om de Wiv 2017 op dit punt aan te passen.

6. Een ieder verbindende bepalingen

Naar het oordeel van de regering bevat het wijzigingsprotocol enkele een ieder verbindende bepalingen in de zin van de artikelen 93 en 94 van de Grondwet, die aan rechtssubjecten rechtstreeks rechten toekennen of plichten opleggen.

Het betreft allereerst artikel 7, tweede lid, onder 1, 2 en 4 (nieuw artikel 5, eerste, derde en vierde lid) over de rechtmatigheid van de gegevensverwerking en de kwaliteit van de gegevens. Wanneer aan de daarin vervatte beginselen van rechtmatigheid, behoorlijkheid, transparantie, doelbinding, opslagbeperking en juistheid niet wordt voldaan, kan het datasubject zich rechtstreeks tot de rechter wenden. Daarnaast betreft het de bepalingen in artikel 11, tweede lid (nieuw artikel 9) over de rechten van de betrokkene die onvoorwaardelijk aan een ieder worden toegekend en in het verlengde daarvan, de bepalingen in artikel 23, tweede lid (nieuw artikel 18) over de aan betrokkene te verlenen bijstand bij de uitoefening van zijn of haar rechten uit hoofde van artikel 9 (nieuw).

B. Artikelsgewijze toelichting

Het verdrag uit 1981

De wijzigingen die door het wijzigingsprotocol uit 2018 zullen worden aangebracht zijn dermate substantieel dat er materieel gezien in feite een vrijwel geheel nieuw verdrag zal ontstaan. Van het huidige verdrag blijven slechts enkele bepalingen behouden. Het gaat om artikel 11 (nieuw artikel 13), artikel 17 (nieuw artikel 21), tweede en derde lid, om enkele bepalingen die betrekking hebben op de door het verdrag ingestelde commissie – namelijk artikel 18 (nieuw artikel 22), eerste en tweede lid, en artikel 19 (nieuw artikel 23), onderdelen a tot en met c, en om een aantal slotbepalingen. Deze bepalingen zijn aan het eind van de jaren ’80 reeds toegelicht in het kader van de goedkeuring van het verdrag voor Nederland en behoeven in dit verband geen nieuwe of nadere toelichting.28

Het wijzigingsprotocol uit 2018

Het wijzigingsprotocol bestaat uit 40 artikelen en een Aanhangsel. De eerste 35 artikelen brengen wijzigingen aan in Conventie 108, de laatste 5 artikelen hebben betrekking op het wijzigingsprotocol zelf en op de Wijzigingen uit 1999 en het Aanvullend Protocol uit 2001. In het Aanhangsel zijn tot slot enkele elementen voor het reglement van orde van de Verdragscommissie neergelegd. Met betrekking tot de eerste 35 artikelen wordt in deze Memorie van Toelichting uitsluitend ingegaan op de inhoudelijke wijzigingen die in Conventie 108 worden aangebracht. De louter verdragstechnische wijzigingen, die bijvoorbeeld betrekking hebben op het vernummeren van de artikelen of op het aanpassen van de titels van de hoofdstukken, zijn niet afzonderlijk toegelicht.29

Artikel 1

Artikel 1 wijzigt de preambule van het verdrag. De nieuwe preambule benoemt expliciet de relatie tussen menselijke waardigheid, autonomie en het belang van gegevensbescherming. Ook wordt de maatschappelijke rol van het recht op gegevensbescherming benadrukt. De preambule benadrukt verder dat het recht op gegevensbescherming verzoend dient te worden met andere mensenrechten, in het bijzonder de vrijheid van meningsuiting (vgl. art. 85 AVG). Verder stelt de gewijzigde preambule buiten twijfel dat het verdrag de ruimte biedt om bij de implementatie van dit verdrag rekening te houden met het beginsel van openbaarheid van bestuur. De nieuwe preambule benadrukt tot slot het internationale karakter van het verdrag en de rol van dit verdrag in het wereldwijd bevorderen van een hoog niveau van gegevensbescherming, waardoor tegelijk ook een bijdrage wordt geleverd aan het vrije verkeer van informatie tussen volkeren.

Artikel 2

Artikel 2 wijzigt artikel 1 van het Verdrag, waarin het doel van het Verdrag tot uitdrukking wordt gebracht. Door de wijziging wordt benadrukt dat het verdrag tot doel heeft om bescherming te bieden aan elk individu, ongeacht zijn of haar nationaliteit of woonplaats, met betrekking tot de verwerking van zijn of haar persoonsgegevens en om aldus bij te dragen aan de eerbiediging van de mensenrechten en fundamentele vrijheden, waaronder in het bijzonder het recht op persoonlijke levenssfeer.

Artikel 3

Artikel 3 wijzigt de definities die zijn neergelegd in artikel 2 van het Verdrag en voegt daar tevens twee nieuwe definities aan toe. Door deze wijzigingen wordt Conventie 108 meer in lijn gebracht met het huidige gegevensbeschermingsrecht van de EU. Zo worden de termen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ – termen die ook in de AVG worden gebruikt – toegevoegd en wordt het begrip ‘gegevensverwerking’ uitgebreid naar elke handeling of set handelingen die op persoonsgegevens kan worden uitgevoerd, waar het oorspronkelijke verdrag uitsluitend van toepassing was op het geautomatiseerd verwerken van gegevens.

Artikel 4

Artikel 6

Artikel 6 wijzigt artikel 4 van het verdrag, dat betrekking heeft op de verplichting van de verdragspartijen om in hun nationale recht tijdig de noodzakelijke uitvoeringsmaatregelen te treffen. De implementatie van het verdrag kan ook geschieden door middel van bestaande wetgeving en internationale verdragen die toepasselijk zijn in de nationale rechtsorde. Onder dit laatste moet blijkens het Explanatory Report ook het relevante EU-recht worden begrepen (zoals de AVG en Richtlijn 2016/680). Nieuw is de bepaling in het derde lid, waarin de verdragspartijen zich niet alleen verbinden om het de Verdragscommissie mogelijk te maken om hun nationale uitvoeringsmaatregelen te evalueren, maar waarin zij zich ook verbinden om aan een dergelijk evaluatieproces een actieve bijdrage te leveren.

Artikel 7

Artikel 7 wijzigt artikel 5 van het verdrag en brengt de daarin vervatte beginselen van behoorlijke gegevensverwerking meer in lijn met het gegevensbeschermingsrecht van de EU. De verdragspartijen zijn verplicht de in artikel 5 vervatte beginselen te implementeren in hun nationale recht (zie hiervoor artikel 6). Zoals in het algemeen deel van de toelichting al aan bod is gekomen, biedt het verdrag de verdragspartijen daarbij een zekere mate van flexibiliteit.

Het eerste lid schrijft voor dat iedere gegevensverwerking in een proportionele verhouding dient te staan tot het daarmee te dienen legitieme doel, met inachtneming van de daarbij betrokken belangen, rechten en vrijheden van het datasubject of het algemeen belang. Volgens het Explanatory Report mag de gegevensverwerking niet leiden tot een disproportionele inbreuk op deze belangen, rechten en vrijheden. Het proportionaliteitsbeginsel moet verder gedurende alle stadia van de gegevensverwerking in acht worden genomen, met inbegrip van het beginstadium, waarin de keuze wordt gemaakt om al dan niet persoonsgegevens te verwerken.

Het tweede lid schuift de vrije en geïnformeerde toestemming van de betrokkene naar voren als de voornaamste grondslag voor de verwerking van persoonsgegevens. Net als in de AVG, dient de toestemming te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. De verwerking kan daarnaast ook op een andere legitieme, bij wet voorziene grondslag berusten. Het Explanatory Report verduidelijkt dat onder meer sprake is van een andere legitieme verwerkingsgrondslag als de verwerking noodzakelijk is voor de uitvoering van een contract, om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, om de vitale belangen van de betrokkene of een andere persoon te beschermen, voor de vervulling van een taak van algemeen belang of de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde (vgl. art. 6 AVG).

Het derde en vierde lid bevatten de overige beginselen waaraan de verwerking moet voldoen. Deze beginselen komen goeddeels overeen met de in artikel 5 AVG opgenomen beginselen van rechtmatigheid, behoorlijkheid en transparantie, doelbinding, opslagbeperking en juistheid. Een meer uitgebreide bespreking van de in het derde en vierde lid opgenomen beginselen is terug te vinden in de paragrafen 48 tot en met 54 van het Explanatory Report.

Artikel 8

Artikel 8 vervangt het huidige artikel 6 van het verdrag, dat ziet op de bescherming van bijzondere categorieën van persoonsgegevens. Het huidige artikel 6 verstaat hieronder gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken. Daarnaast kan het gaan om gezondheidsgegevens, gegevens over iemands seksuele oriëntatie en justitiële gegevens. Vanwege hun gevoelige karakter, mogen dit soort bijzondere persoonsgegevens alleen worden verwerkt indien het recht van de verdragspartijen in passende waarborgen voorziet.

Het nieuwe artikel 8 brengt de in het verdrag erkende bijzondere categorieën van persoonsgegevens meer in lijn met het gegevensbeschermingsrecht van de EU. Net als in artikel 9 AVG, beschermt het nieuwe artikel 8 ook gegevens waaruit het lidmaatschap van een vakbond blijkt. Nieuw is verder dat ook genetische en biometrische data als bijzondere categorieën van persoonsgegevens worden aangemerkt. Bijzondere persoonsgegevens mogen op grond van artikel 8, eerste lid, alleen worden verwerkt, indien het recht van de verdragspartijen in passende waarborgen voorziet, die de waarborgen uit het Verdrag aanvullen. Nieuw is dat het tweede lid van artikel 8 expliciteert dat deze waarborgen bescherming dienen te bieden tegen de risico’s die de verwerking van gevoelige gegevens kan inhouden voor de belangen, rechten en fundamentele vrijheden van het datasubject, waaronder in het bijzonder het risico van discriminatie.

Artikel 9

Artikel 9 vervangt het huidige artikel 7 van het verdrag dat betrekking heeft op de beveiliging van persoonsgegevens. Het nieuwe artikel verduidelijkt dat het recht van de verdragspartijen dient te bepalen dat de verwerkingsverantwoordelijke en de verwerker passende beveiligingsmaatregelen dienen te treffen. Daarnaast wordt in het tweede lid een bepaling toegevoegd die betrekking heeft op het bij de bevoegde nationale autoriteit melden van datalekken die een ernstige inbreuk kunnen vormen op de rechten en fundamentele vrijheden van de betrokkenen (vgl. art. 33 AVG).

Artikel 10

Artikel 10 voegt een nieuw artikel 8 toe dat betrekking heeft op de transparantie van de verwerking. Het artikel vormt een specifieke uitwerking van het in het nieuwe artikel 5 opgenomen beginsel van transparantie. Teneinde de transparantie van de verwerking te vergroten, dienen de verdragspartijen ingevolge het eerste lid te bepalen dat de verwerkingsverantwoordelijke de datasubjecten dient in te lichten over onder andere de categorieën persoonsgegevens die worden verwerkt, de rechtsgrondslag en het doel van de voorgenomen verwerking en de middelen die de datasubjecten ter beschikking staan om hun rechten uit te oefenen. In het tweede en derde lid worden vervolgens enkele uitzonderingen op deze inlichtingenplicht geformuleerd. Zo hoeft de verwerkingsverantwoordelijke geen informatie te verschaffen waarover het datasubject al beschikt, of in het geval de data niet van de betrokkene maar een derde partij is verkregen, waarbij deze laatste verwerking expliciet wettelijk is voorgeschreven (vgl. art. 13 en 14 AVG).

Artikel 11

Artikel 11 vervangt artikel 8 van het verdrag door een nieuw artikel 9. Dit artikel bevat een nieuwe regeling inzake de rechten van het datasubject, die meer in lijn is met het gegevensbeschermingsrecht van de EU. De nieuwe regeling in artikel 9 is in lijn met de meer gedetailleerde regeling over de rechten van het datasubject in hoofdstuk III van de AVG. Zo wordt allereerst bepaald dat eenieder het recht heeft om niet onderworpen te worden aan een besluit dat hem of haar in belangrijke mate raakt en dat uitsluitend op een geautomatiseerde verwerking van gegevens berust, zonder dat met zijn of haar opvattingen rekening wordt gehouden. Ingevolge het tweede lid is dit recht niet van toepassing, indien een wet de verwerkingsverantwoordelijke de bevoegdheid toekent het geautomatiseerde besluit te nemen en deze wet in passende waarborgen voorziet ter bescherming van de rechten, vrijheden en gerechtvaardigde belangen van het datasubject. Daarnaast is het inzageverzoek dat een datasubject kan doen, uitgebreid met de mogelijkheid kennis te nemen van de redenering die ten grondslag ligt aan de verwerking, is het recht op bijstand van een toezichthoudende autoriteit toegevoegd en heeft het datasubject voortaan het recht om bezwaar aan te tekenen tegen verwerkingen en het recht om gegevens te doen verbeteren of te doen uitwissen. Tevens wordt, onder verwijzing naar artikel 12, voorzien in rechtsmiddelen en sancties wanneer de rechten op grond van het verdrag zijn geschonden.

Artikel 12

Artikel 12 voegt een nieuw artikel 10 aan het verdrag toe, waarin enkele bijkomende verplichtingen van de verwerkingsverantwoordelijke en de verwerker worden vastgelegd. Ingevolge het eerste lid moeten de verwerkingsverantwoordelijke en de verwerker aan de toezichthouder kunnen demonstreren dat zij bij het verwerken van persoonsgegevens de bepalingen uit het verdrag naleven (vgl. art. 5, tweede lid, AVG). Het tweede lid introduceert een verplichting voor de verwerkingsverantwoordelijke om, voorafgaand aan het starten van de verwerking, een gegevensbeschermingseffectbeoordeling uit te voeren (vgl. art. 35 AVG). Volgens het Explanatory Report kan de in artikel 10 voorgeschreven beoordeling zonder excessieve formaliteiten worden uitgevoerd. Het derde lid verankert de beginselen van ‘privacy by design’ en ‘privacy by default’. Deze beginselen houden, kort gezegd, in dat de verwerkingsverantwoordelijke en de verwerker in een zo vroeg mogelijk stadium, idealiter bij het ontwerp van het geautomatiseerde systeem, al rekening houden met de toepasselijke eisen in verband met de bescherming van persoonsgegevens (vgl. art. 25 AVG).

Artikel 14

Artikel 14 vervangt artikel 9 van het verdrag (nieuw artikel 11) en geeft een limitatieve opsomming van de uitzonderingen die door de verdragspartijen mogen worden gemaakt op de materiële bepalingen van het verdrag. Deze uitzonderingen worden door het verdrag verbonden aan nader gespecificeerde doeleinden. Zo mogen er bijvoorbeeld uitzonderingen worden gemaakt ten behoeve van de bescherming van andere fundamentele rechten of vrijheden (met name de vrijheid van meningsuiting) of van zwaarwegende belangen of staatsaangelegenheden zoals opsporing, nationale veiligheid en defensie, mits de uitzondering bij wet is voorzien, de essentie van de fundamentele rechten en vrijheden eerbiedigt en noodzakelijk en proportioneel is in een democratische samenleving. De uitzonderingen zijn toegestaan ten aanzien van de eisen die worden gesteld aan een behoorlijke gegevensverwerking, zoals de eisen van transparantie, doelbinding en dataminimalisatie (nieuw artikel 5, vierde lid), de meldplicht datalekken (nieuw artikel 7, tweede lid), de plicht om aan een datasubject informatie te verstrekken over de verwerking van persoonsgegevens (nieuw artikel 8, eerste lid) en de rechten van het datasubject (nieuw artikel 9). Voor doelen als archivering, onderzoek en statistiek staat het gewijzigde verdrag ook uitzonderingen toe op de transparantieverplichtingen uit het nieuwe artikel 8 en de rechten van het datasubject uit het nieuwe artikel 9.

Voor activiteiten op het vlak van de nationale veiligheid en de defensie kunnen de verdragspartijen daarnaast nog aanvullende uitzonderingen maken, mits deze uitzonderingen bij wet zijn voorzien en voor zover de getroffen maatregelen in een democratische samenleving noodzakelijk en evenredig zijn om een dergelijk doel te bereiken. Deze uitzonderingsmogelijkheden zien op de mogelijkheid dat de Verdragscommissie evaluaties verricht (nieuw artikel 4, derde lid), op de bepalingen die verplichten de doorgiften van data aan derde landen te melden en door een onafhankelijk toezichthouder te laten beoordelen (nieuw artikel 14, vijfde en zesde lid), en op de bevoegdheden van de nationale toezichthouder die worden genoemd in het nieuwe artikel 15, tweede lid, onder a, b, c en d. Deze uitzonderingsmogelijkheden doen echter geen afbreuk aan de eis dat verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden onderworpen dienen te zijn aan onafhankelijk en effectief toezicht op grond van nationale wetgeving. De uitzonderingen op grond van dit artikel in het belang van de nationale veiligheid zijn toegelicht in paragraaf 4.

Artikel 15

Artikel 15 wijzigt artikel 10 van het verdrag (nieuw artikel 12) dat betrekking heeft op de verplichting van de verdragspartijen om te voorzien in sancties en rechtsbescherming ingeval van niet-naleving van de bepalingen van het verdrag. Volgens het Explanatory Report is het aan de verdragspartijen om te bepalen wat de aard van de sancties is (civielrechtelijk, bestuursrechtelijk of strafrechtelijk) en of deze sancties gerechtelijk of buitengerechtelijk zijn. De sancties moeten wel effectief, proportioneel en ontmoedigend zijn. Hetzelfde geldt voor de rechtsmiddelen. Datasubjecten moeten daarnaast over effectieve rechtsmiddelen beschikken, maar het is aan de verdragspartijen om de precieze modaliteiten van deze rechtsmiddelen te bepalen. In Nederland is in de UAVG een regeling getroffen ten aanzien van de sanctiebevoegdheden van de AP en ten aanzien van de mogelijkheid om beslissingen van bestuursorganen en niet-bestuursorganen inzake de verwerking van persoonsgegevens bij de bestuursrechter of de burgerlijke rechter aan te vechten.

Artikel 17

Artikel 17 vervangt artikel 12 van het verdrag (nieuw artikel 14) en voorziet in een regeling voor de doorgifte van gegevens naar andere landen. Met behulp van dit artikel worden de inhoudelijke bepalingen uit het Aanvullend Protocol uit 2001 inzake de doorgifte van gegevens naar landen of internationale organisaties die geen partij zijn bij Conventie 108 in het gewijzigde verdrag geïntegreerd. Het artikel maakt daarbij een onderscheid tussen doorgiften naar andere verdragspartijen en doorgiften naar niet-verdragspartijen.

Het eerste lid ziet op gegevensstromen tussen verdragspartijen en bepaalt dat een verdragspartij niet, uitsluitend met het oog op de bescherming van persoonsgegevens, de doorgifte van dergelijke gegevens aan een ontvanger die onder de rechtsmacht van een andere verdragspartij valt, mag verbieden of aan een bijzondere machtiging mag onderwerpen. De ratio achter deze bepaling is dat alle verdragspartijen zich gebonden hebben aan gemeenschappelijke basisnormen van het gegevensbeschermingsrecht, waardoor in beginsel een vrij verkeer van persoonsgegevens mogelijk wordt tussen de verdragspartijen. Er kunnen echter uitzonderlijke omstandigheden zijn waarin er een reëel en ernstig risico bestaat dat de overdracht aan een andere verdragspartij, of van die andere verdragspartij aan een niet-verdragspartij, zou leiden tot ontduiking van de bepalingen van het verdrag. In dat geval is een uitzondering op het verbod uit het eerste lid mogelijk. Daarnaast is in de tweede volzin voorzien in een uitzondering op dit verbod voor verdragspartijen die gebonden zijn aan geharmoniseerde beschermingsregels die worden gedeeld door staten die lid zijn van een regionale internationale organisatie zoals de EU.

Het tweede lid ziet op gegevensstromen naar andere landen dan verdragspartijen (derde landen). Vergelijkbaar met het gegevensbeschermingsrecht van de EU, zijn deze doorgiften alleen onder bepaalde voorwaarden toegestaan: de persoonsgegevens zijn voldoende beschermd, afgaande op de wetgeving in het land of de internationale organisatie, of op basis van toegestane vooraf vastgestelde waarborgen in een juridisch bindend en handhaafbaar instrument. Daarnaast kan de doorgifte toegestaan zijn als er toestemming is van het datasubject, als dat in zijn belang is, belangrijke (bijvoorbeeld algemene) belangen dat nodig maken (mits proportioneel en noodzakelijk), of doorgifte noodzakelijk is voor de vrijheid van meningsuiting. De nationale toezichthouder moet op de hoogte gesteld worden van doorgiften die plaatsvinden op basis van een juridisch bindend en handhaafbaar instrument waarin waarborgen zijn opgenomen, en over doorgiftes die plaatsvinden in het belang van het datasubject of op basis van overstijgende belangen, zoals openbare belangen. De toezichthouder mag de partij die data doorgeeft dan verzoeken de effectiviteit van de waarborgen of het bestaan van overstijgende belangen te demonsteren, en deze doorgiftes verbieden of aan beperkingen onderwerpen, om de rechten en fundamentele vrijheden van datasubjecten te beschermen.

Artikel 19

Door artikel 19 wordt een nieuw artikel 15 aan het verdrag toegevoegd, waarbij aan de verdragspartijen de verplichting wordt opgelegd om te voorzien in een of meer toezichthouders die toezien op de naleving van de bepalingen van het verdrag. Waar voorheen de nadruk lag op de samenwerking tussen de verdragspartijen en hen met name gevraagd werd een toezichthouder aan te wijzen, wordt nu ook bepaald welke taken en bevoegdheden die toezichthouders moeten hebben, zoals de mogelijkheid om onderzoek te doen, interventies te plegen, sancties op te leggen, zaken aan te spannen, bewustwording te creëren over dataprotectie en het adviseren over wetgeving die aan dataprotectie raakt. Daarnaast wordt bepaald dat de toezichthouder onafhankelijk moet zijn, recht heeft op middelen van de staat en dat beroep bij de rechter tegen een besluit van de toezichthouder mogelijk gemaakt kan worden. In het Europese deel van Nederland is de AP aangewezen als onafhankelijke toezichthouder, belast met het toezicht op de wettelijke regels voor de bescherming van persoonsgegevens. De oprichting, inrichting, taken en bevoegdheden van de AP zijn geregeld in de UAVG.

Artikel 21

Artikel 21 vervangt artikel 13 van het verdrag (nieuw artikel 16) en bepaalt dat de verdragspartijen met elkaar zijn overeengekomen om samen te werken en elkaar wederzijdse ondersteuning verlenen bij de implementatie van het verdrag, waarbij zij in dat kader een of meer toezichthoudende autoriteiten in de zin van artikel 15 aanwijzen, waarvan ze de naam en het adres doorgeven aan de Secretaris-Generaal van de Raad van Europa.

Artikel 22

Artikel 22 voegt een nieuw artikel 17 aan het verdrag toe, waarin wordt bepaald welke vormen van samenwerking er tussen de toezichthoudende autoriteiten dienen te zijn met het oog op de uitoefening van hun taken en de uitoefening van hun bevoegdheden. Zo moet er in het bijzonder informatie uitgewisseld worden, wederzijdse assistentie plaatsvinden en onderzoek en interventies worden gecoördineerd. Tevens dienen ze in het kader van deze samenwerking een netwerk te vormen.

Artikel 23

Artikel 23 vervangt artikel 14 van het verdrag (nieuw artikel 18), waarin bepalingen zijn opgenomen die strekken tot het verlenen van bijstand aan datasubjecten. Zo moeten de verdragspartijen ieder datasubject bijstaan bij het uitoefenen van zijn of haar rechten op basis van het verdrag, een en ander ongeacht nationaliteit of woonplaats. Indien de betrokkene zich op het grondgebied bevindt van een andere verdragspartij moet deze zijn of haar verzoek voor bijstand bij de andere verdragspartij kunnen indienen door tussenkomst van de toezichthouder die door de desbetreffende verdragspartij is aangewezen.

Artikel 24

Artikel 24 vervangt artikel 15 van het verdrag (nieuw artikel 19), waarin bepalingen worden gegeven inzake de waarborgen die van toepassing zijn op het contact tussen toezichthouders en in de relatie met datasubjecten. Zo mogen toezichthouders bijvoorbeeld informatie die zij ontvangen van een andere toezichthouder niet voor andere doelen gebruiken, of geen verzoeken doen namens een datasubject die daar geen toestemming voor heeft gegeven.

Artikel 25

Artikel 25 wijzigt artikel 16 van het verdrag (nieuw artikel 20). Dit artikel bepaalt dat een toezichthoudende autoriteit die een verzoek tot samenwerking als bedoeld in artikel 17 (nieuw) heeft ontvangen daaraan moet voldoen, tenzij – limitatief – een van de volgende gevallen zich voordoet: het verzoek ligt buiten haar macht, het verzoek is niet in overeenstemming met de bepalingen van het verdrag, het voldoen aan het verzoek is onverenigbaar met de soevereiniteit, de nationale veiligheid of de openbare orde van de verdragspartij die de autoriteit heeft ingesteld, of het verzoek is onverenigbaar met de rechten en vrijheden van onderdanen die onder de jurisdictie van die verdragspartij vallen.

Artikel 26

Artikel 26 wijzigt artikel 17 van het verdrag (nieuw artikel 21). Dit artikel geeft regels voor de kosten die zijn verbonden aan de samenwerking tussen de verdragspartijen onderling en voor de bijstand die zij verlenen aan de datasubjecten in de gevallen genoemd in de nieuwe artikelen 9 en 18. De bepalingen van dit artikel komen overeen met soortgelijke bepalingen in andere internationale verdragen.

Artikel 28

Artikel 28 wijzigt artikel 18 van het verdrag (nieuw artikel 22) en gaat in op de taken van de Verdragscommissie (voorheen heette deze commissie de Adviescommissie). Deze Verdragscommissie mag bij twee derde meerderheid een waarnemer uitnodigen, op dit moment kan dit uitsluitend bij unanimiteit. Ook is nieuw geregeld dat verdragspartijen die geen lid zijn van de Raad van Europa mee betalen aan de activiteiten van de Verdragscommissie.

Artikel 29

Artikel 29 wijzigt artikel 19 van het verdrag (nieuw artikel 23) en regelt de werkzaamheden van voornoemde Verdragscommissie. Voorheen mocht de commissie op verzoek van een lidstaat een opinie of vraag inbrengen over de toepassing van het verdrag. Door het wijzigingsprotocol kan de commissie uit eigen beweging opinies geven over de mogelijke interpretatie van de artikelen van het verdrag, voorstellen doen om het verdrag te amenderen en op hun verzoek landen evalueren. Ook geeft de commissie advies aan het Comité van Ministers over kandidaat-verdragspartijen met aanbevelingen om tekortkomingen op te lossen. Ook kan de commissie gestandaardiseerde waarborgen als bedoeld in artikel 14 (nieuw) over doorgiften aan derde landen ontwikkelen en goedkeuren.

Artikel 30

Artikel 30 wijzigt artikel 20 van het verdrag (nieuw artikel 24) en stelt de belangrijkste procedures van de Verdragscommissie vast. De Verdragscommissie komt tenminste eenmaal per jaar bijeen en wanneer een derde van de vertegenwoordigers om een bijeenkomst vraagt. In het Aanhangsel bij het protocol zijn daarnaast elementen voor het reglement van orde van de Verdragscommissie neergelegd, waarin wordt voorzien in de stemprocedures van de commissie. Daarnaast regelt het gewijzigde verdrag dat de commissie zelf een evaluatie en toetsingsprocedure opzet om (kandidaat-)verdragspartijen te beoordelen.

Artikel 31

Artikel 31 wijzigt artikel 21 van het verdrag (nieuw artikel 25) en voorziet in een procedure voor het indienen van wijzigingen van het verdrag. Volgens deze nieuwe procedure moeten ook kandidaat-organisaties, zoals de EU, op de hoogte worden gesteld van voorgestelde amendementen en kan het Comité van Ministers bij unanimiteit een amendement aannemen, na raadpleging van de Verdragscommissie, tenzij er een bezwaar is van een verdragspartij.

Artikel 32

Artikel 32 wijzigt artikel 22 van het verdrag (nieuw artikel 26), dat aangeeft door welke rechtssubjecten het verdrag kan worden ondertekend en geratificeerd. Op grond van de nieuwe regeling kan ook de EU partij worden bij het verdrag.

Artikel 33

Artikel 33 wijzigt artikel 23 van het verdrag (nieuw artikel 27) en voorziet in een nieuwe regeling van de toetreding van zowel staten die geen lid zijn van de Raad van Europa als van internationale organisaties.

Artikelen 34 en 35

Artikel 34 wijzigt artikel 24 van het verdrag (nieuw artikel 28) en heeft betrekking op de bevoegdheid van de verdragspartijen om het territoriale toepassingsbereik van het verdrag te specificeren en naderhand uit te breiden. Aangezien het wijzigingsprotocol het mogelijk maakt dat ook de EU en andere internationale organisaties partij worden bij het gewijzigde verdrag, maakt het nieuwe artikel duidelijk dat ook de EU en andere internationale organisaties over deze bevoegdheid beschikken. Om diezelfde reden wijzigt artikel 35 het huidige artikel 27 van het verdrag (nieuw artikel 31), door het woord ‘Staat’ te vervangen door het woord ‘Partij’.

Artikelen 36 tot en met 40 – Slotbepalingen

De laatste 5 artikelen van het wijzigingsprotocol hebben betrekking op het wijzigingsprotocol zelf en op de Wijzigingen uit 1999 en het Aanvullend Protocol uit 2001.

Artikel 36 – Ondertekening, bekrachtiging en toetreding

Artikel 36 voorziet met betrekking tot het wijzigingsprotocol in een regeling van de ondertekening, de ratificatie en de toetreding. Staten die partij zijn bij Conventie 108 kunnen het wijzigingsprotocol op grond van het eerste lid ondertekenen en vervolgens bekrachtigen, aanvaarden of goedkeuren. Staten die geen partij zijn bij Conventie 108 kunnen vóór de inwerkingtreding van het wijzigingsprotocol op grond van het tweede lid hun instemming om door het protocol gebonden te worden – hun consent to be bound – uitsluitend kenbaar maken door tot het protocol toe te treden. Het is voor deze staten niet mogelijk om partij te worden bij het verdrag, zonder tegelijkertijd toe te treden tot het wijzigingsprotocol.

Artikel 37 – Inwerkingtreding

Artikel 37 regelt de inwerkingtreding en de voorlopige toepassing van het wijzigingsprotocol en voorziet in de intrekking van het Aanvullend Protocol. Op grond van het eerste lid zal het wijzigingsprotocol in werking treden op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop alle partijen bij Conventie 108 – medio 2021 zijn dat er 55 – hun consent to be bound tot uitdrukking hebben gebracht. Indien het wijzigingsprotocol na het verstrijken van een tijdvak van vijf jaar na de datum waarop het voor ondertekening is opengesteld – dit wil zeggen op 10 oktober 2023 – nog niet op grond van het eerste lid in werking is getreden, dan zal het protocol op grond van het tweede lid al wel in werking kunnen treden voor de staten die op dat moment reeds hun consent to be bound tot uitdrukking hebben gebracht, op voorwaarde dat het daarbij om ten minste 38 partijen gaat. Deze regeling maakt de kans dat het wijzigingsprotocol hetzelfde lot beschoren zal zijn als de Wijzigingen uit 1999 – die nooit in werking zijn getreden – aanzienlijk kleiner, temeer daar het de verwachting is dat alle EU-lidstaten binnen deze termijn het protocol zullen ratificeren, aangezien de inwerkingtreding van het wijzigingsprotocol het de EU mogelijk zal maken om partij te worden bij het gewijzigde verdrag. Het derde lid van artikel 37 maakt het de partijen bij Conventie 108 vervolgens mogelijk om het wijzigingsprotocol reeds vóór diens inwerkingtreding voorlopig toe te passen. Enkele partijen hebben van deze mogelijkheid gebruik gemaakt.

Het vierde en het vijfde lid hebben respectievelijk betrekking op het Aanvullend Protocol uit 2001 en op de Wijzigingen uit 1999. Het vierde lid bepaalt dat met ingang van de datum van inwerkingtreding van het wijzigingsprotocol het Aanvullend Protocol zal worden ingetrokken. Hierbij dient te worden aangetekend dat het Aanvullend Protocol sinds september 2019 voor 44 partijen van kracht is en dat het Aanvullend Protocol op grond van artikel 54, onder b, van het Verdrag van Wenen inzake het verdragenrecht uitsluitend door alle partijen bij het Aanvullend Protocol kan worden beëindigd. Indien het wijzigingsprotocol op grond van artikel 37, tweede lid, op 10 oktober 2023 voor een kopgroep van minimaal 38 partijen in werking zal treden, dan zal het Aanvullend Protocol dus pas geacht kunnen worden te zijn ingetrokken op het moment dat alle 44 partijen bij het Aanvullend Protocol hun consent to be bound ten aanzien van het wijzigingsprotocol tot uitdrukking hebben gebracht. Tot slot bepaalt het vijfde lid van artikel 37 dat de Wijzigingen uit 1999 vanaf de datum van inwerkingtreding van het wijzigingsprotocol hun doel verloren zullen hebben, aangezien de door deze Wijzigingen beoogde verdragswijziging in het wijzigingsprotocol is verdisconteerd.

Artikelen 38 tot en met 40 – Verklaringen met betrekking tot het verdrag, voorbehouden en kennisgevingen

Het huidige artikel 3 van het verdrag maakt het de verdragspartijen mogelijk om door middel van een aan de Secretaris-Generaal van de Raad van Europa gerichte verklaring de materiële werkingssfeer van het verdrag te hunnen aanzien in te perken of uit te breiden. Deze mogelijkheid wordt door artikel 4 van het wijzigingsprotocol geschrapt en artikel 38 van het wijzigingsprotocol bepaalt daarom dat de verklaringen die door een partij overeenkomstig het huidige artikel 3 van het verdrag zijn afgelegd ten aanzien van die partij zullen komen te vervallen vanaf de datum waarop het wijzigingsprotocol voor die partij in werking treedt.

Aangezien het wijzigingsprotocol beoogt om voor alle verdragspartijen een gelijkluidende regeling in het leven te roepen, bepaalt artikel 39 dat er bij de bepalingen van het wijzigingsprotocol geen voorbehouden kunnen worden gemaakt.

Artikel 40 bepaalt ten slotte dat de Secretaris-Generaal van de Raad van Europa de gebruikelijke depositaire taken zal verrichten door de verdragspartijen en de overige lidstaten van de Raad van Europa in kennis te stellen van onder meer de ondertekeningen, de ratificaties en de data van inwerkingtreding.

Aanhangsel bij het Protocol

De stemprocedures in de Verdragscommissie zijn vastgelegd in de elementen van het reglement van orde, dat als Aanhangsel aan het wijzigingsprotocol is gehecht. Wat het stemrecht in de Verdragscommissie betreft, waarborgt de overeengekomen tekst het beginsel dat de EU, binnen haar bevoegdheidsgebied, een aantal stemmen mag uitbrengen dat gelijk is aan het aantal van haar lidstaten dat partij is bij het gewijzigde verdrag. Om tegemoet te komen aan de bezwaren die zijn geuit ten aanzien van het gewicht van de stemmen van de Unie, is uiteindelijk een compromis bereikt, waarbij besluiten alleen kunnen worden genomen met een ‘supermeerderheid’ van vier vijfde van de partijen, en waarbij voor de belangrijkste besluiten, die betrekking hebben op de naleving van het verdrag door een partij, een ‘dubbele meerderheid’ is vereist, die zowel bestaat uit een gekwalificeerde meerderheid als een gewone meerderheid van niet-EU-partijen.

Koninkrijkspositie

De goedkeuring van het verdrag uit 1981 wordt gevraagd voor Aruba, Curaçao en Sint Maarten. Het verdrag geldt reeds voor het Europese en het Caribische deel van Nederland. Na aanvaarding van het verdrag voor Aruba, Curaçao en Sint Maarten zal het verdrag voor het gehele Koninkrijk gelden.

De goedkeuring van het wijzigingsprotocol uit 2018 wordt gevraagd voor het gehele Koninkrijk. Aruba, Curaçao en Sint Maarten wensen de medegelding van het gewijzigde verdrag. Evenwel zal het wijzigingsprotocol vooralsnog alleen voor het Europese deel van Nederland kunnen worden aanvaard, aangezien voor het Europese deel van Nederland geen uitvoeringswetgeving nodig is. Voor het Caribische deel van Nederland (Bonaire, Sint Eustatius en Saba) alsmede Aruba, Curaçao en Sint Maarten zullen het verdrag en het wijzigingsprotocol pas kunnen worden aanvaard als de daarvoor benodigde uitvoeringswetgeving, waaronder de in paragraaf 3 genoemde consensusrijkswet, gereed is.

De Minister voor Rechtsbescherming,

De Minister van Buitenlandse Zaken,

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

De Minister van Defensie,