Ontvangen 14 februari 2018
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, hierna: AVG) (PbEU 2016, L 119) (hierna: het wetsvoorstel). Zij vinden het jammer dat het wetsvoorstel zo lang op zich heeft laten wachten, zeker omdat de AVG reeds op 25 mei 2018 in werking zal treden. De voornoemde leden begrijpen de wens van de regering om het wetsvoorstel zo snel mogelijk te behandelen maar willen niet dat de gewenste snelheid een zorgvuldige parlementaire behandeling in de weg staat. De aan het woord zijnde leden hebben diverse vragen over de AVG en het wetsvoorstel die zij graag voorleggen. Afhankelijk van de beantwoording overwegen deze leden amendementen in te dienen.
De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig wetsvoorstel.
De leden van de D66-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Deze leden zien de implementatie van de AVG als een belangrijke stap in het verbeteren van de bescherming van privacy, een fundamenteel recht van mensen. Met name in de huidige digitale wereld is dat een grote uitdaging. De voornoemde leden zijn van mening dat mensen meer controle moeten hebben over hun persoonsgegevens en deze verordening is daarbij van groot belang. Toch hebben zij enkele vragen en opmerkingen.
De leden van de GroenLinks-fractie hebben met grote belangstelling kennisgenomen van het wetsvoorstel. Het belang van privacy raakt alle facetten van het bestaan en neemt door de voortschrijdende technologie verder aan belang toe. Deze leden onderschrijven het in de AVG omschreven beginsel dat bij de verwerking van persoonsgegevens rechtmatigheid, behoorlijkheid en transparantie leidend zijn.
De leden van de SP-fractie beseffen dat de belangen van overheden en ondernemingen vaak op gespannen voet staan met de privacy van burgers. Om al die belangen zo goed mogelijk te behartigen kent Nederland de Wet bescherming persoonsgegevens (hierna: Wbp). Per 25 mei 2018 treedt de AVG in werking en vervalt de Wbp. Over het voorliggende wetsvoorstel hebben deze leden in het licht van het bovenstaande dan ook nog enkele vragen.
De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van het voorliggend wetsvoorstel, waarmee de AVG in de Nederlandse wetgeving wordt geïmplementeerd. Hoewel de AVG dwingend oplegt waar die wetgeving aan moet voldoen, kunnen er in de uitvoering daarvan in de Nederlandse wet nog wel keuzes voorliggen waar anders over gedacht kan worden. Aangezien de AVG voor waarschijnlijk een lange periode het niveau van de bescherming van de privacy in Nederland zal bepalen, achtten deze leden het van belang dat de implementatie daarvan zo zorgvuldig mogelijk plaatsvindt. Zij hebben daarom een aantal vragen en opmerkingen. Zij baseren zich daarbij mede op de recente opmerkingen die de Autoriteit Persoonsgegevens (hierna: AP), respectievelijk de FNV, op het voorliggend wetsvoorstel hebben gegeven.
De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Zij onderschrijven het belang van bescherming van persoonsgegevens en een zorgvuldige en transparante wijze van omgaan met deze gegevens. Voornoemde leden hebben in deze fase van behandeling op een aantal punten behoefte aan een nadere toelichting.
De leden van de 50PLUS-fractie spreken hun grote zorg uit over de AVG en stellen enkele vragen.
De leden van de SGP-fractie hebben kennisgenomen van het wetsvoorstel. Zij hebben de indruk dat de AVG vergaande bepalingen bevat inzake de bescherming van de privacy, waarvan de consequenties niet altijd goed te voorzien zijn. Zij zijn van mening dat het wetsvoorstel zo nadrukkelijk mogelijk oog dient te hebben voor andere wezenlijke te beschermen belangen. Deze leden vragen hierbij onder meer aandacht voor de bescherming van kleinere organisaties en kerkgenootschappen.
Met belangstelling heb ik kennisgenomen van het verslag. Ik spreek mijn grote dank uit dat uw Kamer zo snel na indiening van het onderhavige wetsvoorstel verslag heeft uitgebracht. De AVG is van groot belang voor burgers, bedrijven en overheden. Het verwerken van persoonsgegevens is bij uitstek niet aan landsgrenzen gebonden en de verwachting is dat die ontwikkeling in de toekomst alleen maar zal doorzetten. Wil aan de ene kant het recht op bescherming van persoonsgegevens zo effectief mogelijk worden vormgegeven en tevens aan de andere kant het vrije verkeer van data («the free flow of data») zo min mogelijk gehinderd worden, dan zijn uniforme rechtsregels, die verder strekken dan voornoemde landsgrenzen, onontbeerlijk. Voor bedrijven die gegevens verwerken van burgers uit verschillende lidstaten gaat dit concreet betekenen dat er minder verschillende wetgeving in acht genomen hoeft te worden omdat de beginselen, de basisvereisten en bijvoorbeeld de rechten van betrokkenen in alle lidstaten identiek geregeld zijn. Hierdoor ontstaat een «level playing field». Ook is in de AVG geregeld dat verwerkingsverantwoordelijken, in hoeveel landen ze ook actief zijn, altijd maar één toezichthoudende autoriteit als aanspreekpunt hebben. Voor mensen wier persoonsgegevens worden verwerkt, is het bijvoorbeeld een groot voordeel dat zij, als ze hun rechten willen doen gelden, altijd bij hun eigen toezichthoudende autoriteit terecht kunnen, ook al worden hun persoonsgegevens verwerkt door een bedrijf dat in een andere lidstaat gevestigd is. De AVG maakt met andere woorden het gegevensbeschermingsrecht toekomstbestendiger en tilt het als het ware op een hoger niveau waardoor uiteindelijk burgers en bedrijven beter beschermd worden respectievelijk internationaal eenvoudiger kunnen opereren.
Zoals ik u eerder heb gemeld in mijn brief van 13 december 2017, is het van het allergrootste belang dat de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) tijdig in werking kan treden.1 Voordat ik hier nader op inga, wil ik benadrukken dat sinds het moment dat de AVG een feit was op 27 april 2016 hard is gewerkt aan het opstellen van onderhavig wetsvoorstel. Het wetsvoorstel is de resultante van een nauwe samenwerking tussen bijna alle departementen. Ook is er in het voorbereidingstraject intensief overleg geweest met de AP en is er uitgebreid met vele verschillende belanghebbenden gesproken uit vele verschillende geledingen van de maatschappij. Tijdens deze periode vond er ook periodiek overleg plaats met de Commissie en de andere lidstaten in een zogenaamde «expert group» om ervoor te zorgen dat de uitvoeringswetgeving zo veel mogelijk van dezelfde uitgangspunten uit zal gaan. Verder is, vanwege het grote maatschappelijk belang, besloten om ruimte in het proces in te bouwen om het wetsvoorstel eind 2016 voor internetconsultatie aan te bieden. Op deze consultatie is veel respons ontvangen (ruim 100 reacties) die betrekking had op een breed scala aan onderwerpen en evenzovele verschillende beleidsterreinen besloeg. Het wetsvoorstel is als gevolg daarvan op bepaalde punten herzien. De AP heeft daarna op 6 april 2017 geadviseerd hetgeen eveneens tot aanpassingen van het voorstel heeft geleid.2 Op 15 juni 2017 is het wetsvoorstel vervolgens ter advisering aangeboden aan de Afdeling advisering van de Raad van State die op 10 oktober 2017 haar advies uitbracht. Op 12 december 2017 zijn het aangepaste wetsvoorstel met de (aanzienlijk uitgebreide) memorie van toelichting en het nader rapport vervolgens ingediend in uw Kamer.
Gedurende voornoemd traject is mij steeds duidelijker geworden dat het van groot belang is om strak de hand te houden aan het uitgangspunt van beleidsneutrale implementatie. Niet alleen maakt dit de overgang van de huidige situatie onder de Wbp naar het nieuwe stelsel op 25 mei 2018 onder de AVG en UAVG voor organisaties en bedrijven zo makkelijk mogelijk: de nieuwe eisen die aan hen worden gesteld vloeien immers zodoende alleen voort uit de AVG zelf en voor het overige gelden dezelfde regels als onder het huidige regime van de Wbp. Ook maakt de noodzaak om op 25 mei 2018 in ieder geval het voorliggende wetsvoorstel in werking te laten treden, waarover in het navolgende meer, dat beleidsneutraliteit de enige haalbare optie lijkt.
Ik ben me ervan bewust dat het gegevensbeschermingsrecht met de inwerkingtreding van onderhavig wetsvoorstel echter geenszins «af» is en ik sta open voor verbeteringen en wensen, voor zover die mogelijk, nodig of op zijn minst het onderzoeken aard zijn.3 Ik zeg toe daarover met uw Kamer in overleg te zullen treden direct na afronding van het huidige wetstraject.
Als de UAVG niet op 25 mei 2018 in werking treedt, dreigt er immers grote rechtsonzekerheid te ontstaan voor bedrijven, overheidsinstanties en burgers. Ten eerste zal de Wbp in dat geval formeel van kracht blijven. Dat de Wbp formele rechtskracht behoudt, betekent echter geenszins dat de Wbp nog volledig van toepassing zal zijn. Onderdelen die ofwel in strijd zijn met de AVG ofwel zaken regelen waarin de AVG zelf voorziet, zullen met ingang van 25 mei 2018 van rechtswege buiten werking zijn gesteld en kunnen dan niet meer worden toegepast. De nog van toepassing zijnde onderdelen van de Wbp zullen dan zoveel mogelijk AVG-conform moeten worden uitgelegd. Het zal echter zeker niet altijd op voorhand duidelijk zijn wat niet langer van toepassing is en wat AVG-conform uitgelegd kan worden. Dat is zeer onwenselijk met het oog op de rechtszekerheid.
Ook zal er bijvoorbeeld geen grondslag zijn voor de bevoegdheid om een last onder bestuursdwang op te leggen (artikel 16 UAVG), de bevoegdheid een bestuurlijke boete op te leggen bij onrechtmatige verwerking van strafrechtelijke gegevens (artikel 17 UAVG) en de bevoegdheid een bestuurlijke boete op te leggen aan overheidsinstanties (artikel 18 UAVG).
Nog problematischer is dat er lacunes in de regelgeving ontstaan. De AVG vergt immers op belangrijke onderdelen nationale uitvoeringsregelgeving. De UAVG voorziet daarin. De volgende casus kan dienen als voorbeeld van wat er dan mis zou gaan. Krachtens artikel 22 AVG heeft de betrokkene het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. Artikel 40 UAVG voorziet in een uitzondering. Als de UAVG niet op 25 mei 2018 in werking treedt, zal louter geautomatiseerde besluitvorming zonder menselijke tussenkomst vanaf die datum in beginsel niet meer zijn toegestaan. Concreet zou dat bijvoorbeeld betekenen dat bij de Belastingdienst geen geautomatiseerde besluitvorming meer kan plaatsvinden en uitkeringsinstanties geen uitkeringen meer zouden kunnen verstrekken.
Gelet op het bovenstaande herhaal ik mijn verzoek om ook na het uitbrengen van deze nota naar het verslag het wetsvoorstel een hoge prioriteit te blijven geven. Dit uitdrukkelijk onder de toezegging dat er, aansluitend aan onderhavig wetstraject, een bredere verkenning wordt gestart met het doel het gegevensbeschermingsrecht, daar waar de AVG ruimte laat voor nationaalrechtelijke keuzes, verder te verbeteren en te moderniseren.
Vraag 1 (CDA)
De leden van de CDA-fractie vragen verder toe te lichten wat de rol is van artikel 3, derde lid, van de AVG in verhouding tot de eilanden Bonaire, Sint-Eustatius en Saba (hierna: BES-eilanden). Hoe verhoudt zich dit tot elkaar, nu de BES-eilanden aangemerkt zijn als landen en gebieden overzee in de zin van artikel 355 van het Verdrag betreffende de Werking van de EU (hierna: VWEU)? Daarnaast rijst de vraag wat de AVG en het wetsvoorstel betekenen voor Aruba, Sint-Maarten en Curaçao. Wat betekent de werking van artikel 3, derde lid, van de AVG voor deze laatst genoemde eilanden?
Artikel 3, derde lid, AVG bepaalt het toepassingsbereik op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijk recht van toepassing is. Hierbij moet worden gedacht aan diplomatieke vertegenwoordigingen en consulaire posten die zijn gevestigd buiten de Europese Unie (zie overweging 25). Deze bepaling is derhalve niet relevant voor Caribisch Nederland (Bonaire, Sint-Eustatius en Saba) en evenmin voor de andere landen van het Koninkrijk (Aruba, Sint Maarten en Curaçao).
Het criterium voor de toepasselijkheid van de AVG is dat het moet gaan om «de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie». De andere landen van het Koninkrijk en Caribisch Nederland, hebben de status van LGO (landen en gebieden overzee) in de zin van artikel 355, tweede lid, VWEU. Zij maken geen deel uit van het territoir van de EU, het EU-acquis geldt daar niet (met uitzondering van deel IV VWEU en het LGO-besluit).
Voor Caribisch Nederland blijft wel de grondwettelijke opdracht tot het stellen van regels van belang. Hieraan is uitvoering gegeven met de Wet bescherming persoonsgegevens BES. Dit betekent dat hoewel de AVG zelf niet van toepassing is in Caribisch Nederland, er wel gevolgen zijn voor de praktijk van gegevensverwerking en -uitwisseling op Caribisch Nederland. Bij de evaluatie van de Wet bescherming persoonsgegevens BES zal de samenloop met de AVG betrokken worden.
Vraag 2 (ChristenUnie)
De leden van de ChristenUnie-fractie noemen dat de Afdeling advisering van de Raad van State (hierna: de Afdeling) terecht opmerkt dat er sprake is van een verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de EU. De bescherming van het grondrecht op bescherming van persoonsgegevens wordt hoofdzakelijk geregeld en bepaald op EU-niveau. De bewegingsruimte van de lidstaten wordt hierdoor geleidelijk beperkt. Het gegevensbeschermingsrecht is naar zijn aard nu al zeer internationaal georiënteerd en dit zal eerder meer dan minder worden, zo stelt de regering. De voornoemde leden onderschrijven dat, maar vragen nader toe te lichten waarom samenwerking niet volstaat en verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de EU noodzakelijk is. Deze leden vragen daarbij specifiek in te gaan op de verhouding met de verplichtingen die voortvloeien uit het grondwettelijke recht op de eerbiediging van de persoonlijke levenssfeer, de bepalingen die daar in de Grondwet verder aan verbonden zijn en de verhouding met het Unierecht.
De bevoegdheidsverdeling tussen Unie en lidstaten is vastgesteld bij het Verdrag van Lissabon. Artikel 16 VWEU regelt dat de EU-wetgever regels vaststelt met betrekking tot de bescherming van persoonsgegevens. De verordening is het instrument dat ter uitvoering van die verplichting is vastgesteld. Ook in de periode voorafgaand aan het Verdrag van Lissabon was de Unie al bevoegd tot het vaststellen van deze voorschriften. Het verschil is dat het Verdrag van Lissabon voorziet in een afzonderlijke, unieke rechtsgrondslag, en in de oude situatie de algemene grondslag voor de harmonisatie van de interne markt moest worden gebruikt.
Het is onmiskenbaar zo dat de instrumentkeuze (verordening versus richtlijn) van invloed is op de mogelijkheden voor de nationale wetgevers om regels vast te stellen. Bij een richtlijn bestaat doorgaans immers de verplichting om deze om te zetten in nationaal recht, bij een verordening, die rechtstreeks toepasselijk is, dient de nationale wetgever zich juist van het opstellen van regelgeving te onthouden.
In dit geval heeft de Commissie zich bij de instrumentkeuze laten leiden door de ervaring dat richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: richtlijn 95/46/EG) heeft geleid tot sterk uiteenlopende implementatiewetten van de lidstaten en dat de bestaande interpretatie- en implementatieverschillen hebben geleid tot een onvoldoende integratie.
Nederland heeft die keuze destijds onderschreven. Beide Kamers hebben zich daarmee akkoord verklaard. Dat was niet voor niets: zoals nader toegelicht in de inleiding heeft de AVG grote voordelen voor burgers, bedrijven en overheden.
Het maakt voor de invulling van de grondwettelijke verplichtingen tot het garanderen van de bescherming van de persoonlijke levenssfeer overigens geen principieel verschil of die garantie primair geboden wordt door een voorschrift van nationaal recht, dan wel of dit een zaak van de EU-wetgever of een zaak van internationaal recht is. Nederland geeft aan zijn grondwettelijke verplichting vorm door middel van het EU-recht. Daarbij is het parlement tijdens de onderhandelingen van EU-recht, in dit geval de verordening, steeds meegenomen. De algemene overleggen van de JBZ-Raad en de kwartaalrapportages zijn consequent aan de Kamers voorgelegd. Dat wil niet zeggen dat de taak van de Nederlandse wetgever, zoals artikel 10 Grondwet die formuleert, daarmee beëindigd is. De Nederlandse wetgever heeft de mogelijkheid tot het vaststellen van aanvullende wettelijke regelingen indien de AVG daartoe ruimte laat. Bovendien kan de Nederlandse wetgever op de terreinen die buiten de reikwijdte van het EU-recht vallen, zoals het verwerken van persoonsgegevens in het kader van de nationale veiligheid, zelf regels blijven vaststellen.
Vraag 3 (50PLUS)
De leden van de 50PLUS-fractie hechten eraan te melden dat de bescherming van persoonsgegevens een groot goed is, en dat juist daarom de manier waarop die bescherming wordt geboden, niet buiten het nationale parlement om moet worden bepaald. Met de komst van de AVG wordt het gegevensbeschermingsrecht bijna volledig ver-europeaniseerd. De datum van inwerkingtreding staat al zwart op wit: 25 mei 2018.
De directe werking van de AVG, waardoor de Wet bescherming persoonsgegevens automatisch komt te vervallen, geeft een beeld van een EU-trein die doordendert en alles op zijn weg platwalst. Ook de Afdeling staat bij dit vraagstuk stil. Zij noemt dat er sprake is van een verschuiving in de bevoegdheidsverdeling tussen lidstaten en de EU en dat de bewegingsvrijheid van de lidstaten geleidelijk is beperkt. De Afdeling merkt tevens op dat deze beperking in dit geval zelfs constitutionele implicaties heeft. De regering erkent dit, maar meent dat dit vraagstuk te breed is om bij dit wetsvoorstel aan de orde te stellen. De regering beschouwt het als een zelfstandig vraagstuk, waaraan, los van de AVG, aandacht moet worden besteed. De voornoemde leden zien hierin een bevestiging dat de EU-trein zelfs fundamentele vraagstukken platwalst. Deze leden menen dat de discussie andersom gevoerd moet worden.
De AVG positioneert de AP onafhankelijker van Nederland. De toezichthouder wordt onderdeel van een Europese structuur van andere nationale toezichthouders, en valt onder het Europees Comité voor gegevensbescherming. Daar worden straks besluiten genomen. Die nieuwe positionering roept des te meer vragen op omdat de taken van de toezichthouder worden uitgebreid, bijvoorbeeld met het opleggen van boetes. Het is op dit moment absoluut niet te overzien welke implicaties dat allemaal heeft. Straks wordt elders bepaald hoe onder andere het beleid van toezichthouden op de bescherming van persoonsgegevens wordt vormgegeven, welke prioriteiten worden gesteld en bijvoorbeeld hoe mild of hoe streng er gehandhaafd wordt. De voornoemde leden hebben eigenlijk maar één vraag. Kan deze EU-trein worden afgeremd? Dat is wenselijk, in ieder geval tot het moment dat de fundamentele vragen over de positie van het nationale parlement ten opzichte van de EU (opnieuw) grondig met elkaar zijn besproken.
Vanaf het moment waarop het voorstel voor een nieuwe algemene verordening inzake de bescherming van persoonsgegevens door de Europese Commissie werd gepresenteerd (25 januari 2012) tot en met de stemming in de Raad (8 april 2016) is de Tweede Kamer nauw bij het onderhandelings- en totstandkomingsproces betrokken geweest. Reeds op 14 februari 2012 heeft de Tweede Kamer plenair besloten de regering te verzoeken om een parlementair behandelvoorbehoud te laten vastleggen. De Kamer is sindsdien door middel van uitgebreide kwartaalberichten op de hoogte gehouden van de voortgang en de discussies die in Europees verband werden gevoerd, en heeft daarop haar invloed kunnen aanwenden.4 De ontwerpverordening is onderwerp geweest van algemene overleggen over gegevensbescherming en van schriftelijke overleggen, en is herhaaldelijk besproken in de algemene overleggen voorafgaand aan iedere JBZ-Raad. Ook heeft in 2012 de Tweede Kamer over de ontwerpverordening voorlichting gevraagd aan de Afdeling advisering van de Raad van State. Met de ondertekening en vaststelling van de AVG onder Nederlands voorzitterschap op 27 april 2016 is het totstandkomingsproces afgerond. Op 25 mei 2018 wordt de AVG onherroepelijk van toepassing. Het is niet meer mogelijk dit tijdstip uit te stellen, en gelet op het zorgvuldige totstandkomingsproces met intensieve betrokkenheid van de Tweede Kamer (en overigens ook van de Eerste Kamer) is daar ook geen enkele aanleiding toe.
Aan de keuze voor een verordening is inherent dat er daarmee sprake is van een beperking van de ruimte voor de lidstaten om regels op te stellen met betrekking tot de bescherming van het grondrecht op de bescherming van persoonsgegevens. Op de constitutionele implicaties is reeds ingegaan in het antwoord op vraag 2. Ook geldt dat de verplichting tot oprichting van onafhankelijke toezichthoudende instellingen ertoe leidt dat de nadere invulling en precisering van de normen uit de rechtstreeks toepasselijke AVG straks deels in handen zal zijn van het Europees Comité voor gegevensbescherming (Comité). Weliswaar hebben de door dit Comité uit te brengen handreikingen en richtsnoeren geen juridisch bindende status omdat het laatste woord uiteindelijk is aan de (Europese) rechter, toch zal er in de praktijk zeker gezag van uitgaan. De erkenning dat deze omstandigheden zich voordoen, is geen bevestiging van de stelling dat er sprake is van een doordenderende trein die fundamentele vraagstukken platwalst, maar een constatering dat regelgeving op Europees niveau een algemene ontwikkeling brengt die raakt aan de nationale rechtsorde. De geconstateerde omstandigheden beperken zich niet tot Europese regelgeving op het gebied van de bescherming van persoonsgegevens, maar zijn ontwikkelingen van bredere aard. De regering is van oordeel dat aan deze ontwikkeling aandacht dient te worden besteed. De AVG is hiervoor, mede gelet op de noodzaak van tijdige inwerkingtreding, echter niet het juiste kader. De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft daarom in het nader rapport een onderzoek aangekondigd naar de betekenis van deze ontwikkelingen voor de nationale rechtsorde en dat zal dan ook los van het onderhavige wetsvoorstel worden uitgevoerd.
In mijn eerder genoemde brief van 13 december 2017 heb ik reeds gewezen op het grote belang van een tijdige inwerkingtreding van de UAVG. Het afremmen van dit wetgevingstraject kan wat de regering betreft dan ook niet aan de orde zijn.5
Vraag 4 (VVD)
De leden van de VVD-fractie constateren dat artikel 2 van de AVG het materiële toepassingsbereik aangeeft. Verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit valt buiten de toepassing van de AVG (en dus ook van het onderhavige wetsvoorstel). Het valt deze leden op dat in de AVG en het wetsvoorstel nauwelijks wordt ingegaan op de vraag wat precies onder zuiver persoonlijke of huishoudelijke activiteiten valt. In de memorie van toelichting bij het wetsvoorstel staat alleen dat het begrip door het Hof van Justitie van de Europese Unie (hierna: Hvj EU) nader is ingevuld, met een verwijzing naar het Lindqvist-arrest uit 2003 (HvJ EG 6 november 2003, C-101/01, ECLI:EU:C:2003:596). Dat arrest gaat over een Zweedse mevrouw die als vrijwilligster werkte voor een kerk in Zweden. Zij heeft een website gemaakt met informatie over haar kerkgemeente. Het HvJ EU overweegt in het arrest als volgt (rechtsoverweging 13): «De bedoelde pagina’s bevatten informatie over Lindqvist en 18 van haar collega’s in de kerkgemeente, waaronder hun volledige naam of soms alleen hun voornaam. Bovendien beschreef Lindqvist in licht humoristische bewoordingen de werkzaamheden van haar collega’s en hun liefhebberijen. In een aantal gevallen werden hun gezinssituatie, hun telefoonnummer en andere gegevens vermeld. Verder heeft zij verteld dat een van haar collega’s haar voet had bezeerd en met gedeeltelijk ziekteverlof was.» De rechtsvraag was of dit nu wel of niet onder de werkingssfeer van de destijds geldende privacyrichtlijn (95/46) valt. De voornoemde leden begrijpen dat het HvJ EU destijds heeft bepaald dat deze gegevensverwerking wel onder het bereik van de richtlijn valt en dus niet onder de uitzondering van zuiver persoonlijke of huishoudelijke activiteiten.
Dit arrest is alweer vijftien jaar oud. Inmiddels hebben digitalisering en sociale media de wereld ingrijpend veranderd. Kan de regering aangeven of de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten in de afgelopen vijftien jaar nader is ingevuld? Zo ja, hoe?
Artikel 2, tweede lid, onderdeel c, AVG bepaalt dat de AVG niet van toepassing is op een verwerking van persoonsgegevens «door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijk activiteit». Overweging 18 voegt daaraan toe dat dit een «een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit» moet betreffen. Ook de richtlijn 95/46/EG kent eenzelfde bepaling ter afbakening van het materieel toepassingsbereik.6
Wat dat betreft is er dan ook geen breuk beoogd met het reeds bestaande regime onder de richtlijn 95/46/EG en de Wbp. De leden van de VVD-fractie merken echter zeer terecht op dat de maatschappij enorm is veranderd sinds 2003 toen het Lindqvist-arrest werd gewezen. Het toegenomen belang van digitale verwerkingen in het kader van persoonlijke of huishoudelijke activiteiten blijkt ook uit overweging 18 bij de AVG, waarin onder meer staat dat tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie, het houden van adressenbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Dat met name de opkomst en grote vlucht van het fenomeen sociale media onvermijdelijk hun weerslag zullen hebben op de wijze waarop in concrete situaties deze bepalingen ter afbakening van het materiële toepassingsbereik moeten worden uitgelegd en toegepast, is dus evident. Het is dan ook niet mogelijk om hier precieze grenzen aan te geven, juist omdat deze telkens mee (moeten kunnen) bewegen met de maatschappelijke en technologische ontwikkelingen. De AP en de rechter zullen ook altijd de specifieke omstandigheden van het geval (de context) betrekken bij de beoordeling van het aan hem voorgelegde geval. In het antwoord op vraag 6 wordt nader ingegaan op de wijze waarop de AP dit criterium ter afbakening van het materiële toepassingsbereik van de AVG vertaalt naar de praktijk. Over publicatie van persoonsgegevens voor zuiver persoonlijke of huishoudelijke activiteiten op internet door particulieren in relatie tot richtlijn 95/46/EG en de Wbp is geen aanvullende jurisprudentie bekend van het Hof van Justitie van de Europese Unie (Hof) of nationale rechters.
Vraag 5 (VVD)
Zal bovenstaande situatie, van een vrijwilligster die op een website enkele collega’s in licht humoristische bewoordingen beschrijft, ook onder de AVG vallen?
Of een casus zoals in het arrest Lindqvist voorlag en waarbij het ging om het publiceren van persoonsgegevens op internet, wederom tot hetzelfde resultaat zou leiden indien nu aan een rechter voorgelegd, is mede gezien de aangehaalde overweging 18 AVG niet met zekerheid te zeggen. Al is de constatering van het Hof van destijds dat met het openbaren op internet de persoonsgegevens voor een onbepaald aantal onbekende personen toegankelijk worden gemaakt en daarmee het huishoudelijke ontstijgen, vanzelfsprekend nog steeds een feit. Het mag zelfs worden aangenomen dat dat 15 jaar later alleen nog maar in sterkere mate het geval zal zijn. Het is daarom waarschijnlijk dat een rechter bij een dergelijke beoordeling zal meewegen of er sprake is van een afgeschermd aantal ontvangers (afgeschermd profiel versus openbaar profiel). Ook zal een rechter in een dergelijk geval de publicatie overigens moeten appreciëren met het oog op de botsing van grondrechten die tevens in deze casus besloten ligt (in casu vrijheid van meningsuiting versus de bescherming van persoonsgegevens).7
Vraag 6 (VVD)
Welke situaties vallen niet onder de AVG? Waar ligt precies de grens, en welke criteria gelden bij de vaststelling daarvan?
Een precieze grens is, als gezegd, niet te geven, maar in ieder geval vallen bijvoorbeeld lijstjes die alleen dienen als persoonlijke aantekening of als geheugensteuntje niet onder de werkingssfeer van de AVG. Het criterium om te bepalen of er sprake is van een «zuiver persoonlijke activiteit» is of de verwerking is bedoeld voor een of meerdere personen. In dat eerste geval is de AVG niet van toepassing. Bij de vraag of er al dan niet sprake is van «zuiver huishoudelijke activiteiten» gaat het om het verwerken van persoonsgegevens door consumenten, die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit, waarbij wel meer mensen gebruik kunnen maken van de persoonsgegevens in kwestie. Ook al verwerken meerdere personen binnen een gezamenlijk huishouden bijvoorbeeld dezelfde persoonsgegevens dan nog is de AVG niet van toepassing. De Artikel 29-werkgroep, waarin de privacytoezichthouders verenigd zijn, heeft de vragen geformuleerd die behulpzaam zijn bij het vaststellen of sprake is van een zuiver persoonlijke of huishoudelijke activiteit.8
De AP legt de uitzondering huishoudelijke activiteit eng uit en maakt daarbij een duidelijk onderscheid tussen de situatie waarin de gegevens toegankelijk zijn voor iedereen dan wel slechts voor beperkte kring.9 Is informatie toegankelijk voor iedereen, dan staat op de site van de AP dat de Wbp van toepassing is en dat dit inhoudt: «dat u als particulier niet zomaar foto’s en gegevens van anderen mag publiceren. U heeft toestemming nodig van iedereen over wie u wilt publiceren. Let op: mensen hebben het recht om hun toestemming op een later moment in te trekken. Ook kunnen zij u vragen om hun foto’s en gegevens te verwijderen of te wijzigen.» Ook is te lezen: «de Wbp (is) niet van toepassing als de informatie toegankelijk is voor een beperkte kring mensen en het profiel, de weblog of de website niet wordt gebruikt voor commerciële doeleinden. Dat betekent dat foto’s en gegevens van anderen mogen worden gepubliceerd zonder eerst toestemming te vragen.» Dit zal onder de AVG niet anders zijn.
Tot slot is uit de bestaande jurisprudentie af te leiden dat cameratoezicht door particulieren onder de noemer «zuiver huishoudelijke activiteit» valt, maar alleen voor zover er niet (ook) beelden gemaakt worden van openbare ruimtes en de beelden niet worden verspreid.10
Vraag 7 (VVD)
De voornoemde leden geven graag enkele concrete voorbeelden. Een persoon staat in Amsterdam op de Dam en maakt een foto van het paleis op de Dam. Op de foto zijn ook andere personen herkenbaar afgebeeld. Vervolgens wordt de foto online gezet. Is dit een verwerking van persoonsgegevens in de zin van de AVG? Zo ja, is het nodig toestemming te krijgen van de personen die op de foto zijn afgebeeld om de foto te verwerken? Zo nee, waarom is dit geen verwerking van persoonsgegevens? Is dit anders als de foto niet buiten op straat is gemaakt, maar in een verenigingsgebouw? Of in het stadhuis? Of een stationshal van de Nationale Spoorwegen? Of als de betrokkene zonder toestemming in zijn eigen huis is gefotografeerd door een uitgenodigde buurman? Of door een huisgenoot?
Voor wat betreft de vraag of het publiceren van foto’s als omschreven door de leden van de VVD-fractie al dan niet onder het materiële toepassingsbereik valt van de AVG, is – als gezegd – de vraag relevant of er sprake is van zuiver huishoudelijk gebruik. Hierop is in het antwoord op vragen 4 en 6 nader ingegaan. In onderhavig antwoord wordt ervan uitgegaan dat er geen sprake is van zuiver huishoudelijk gebruik omdat de foto’s «online» worden gezet en het geen besloten gebruikersgroep betreft.
Vervolgens is voor de vraag of de AVG van toepassing is, vanzelfsprekend ook relevant of er überhaupt sprake is van persoonsgegevens. Daarvoor moeten de personen die op een dergelijke foto op de achtergrond te zien zijn (de bijvangst) «direct of indirect kunnen worden geïdentificeerd» (artikel 4, eerste lid, AVG). Hierbij is het uitgangspunt dat een persoon identificeerbaar is als zijn identiteit redelijkerwijs, zonder onevenredige inspanning vastgesteld kan worden. Dat lijkt bij willekeurige voorbijgangers op de Dam zeer de vraag.11
Als er wel sprake zou zijn van huishoudelijk gebruik en de AVG dus niet van toepassing is, wil dit overigens niet zeggen dat het plaatsen van foto’s van herkenbare personen op het internet altijd mag. In vrijwel alle genoemde voorbeelden gaat het om niet in opdracht gemaakte portretten maar om foto’s waarbij toevallige passanten op de foto (al dan niet herkenbaar) staan afgebeeld.12 Ervan uitgaande dat de foto auteursrechtelijk beschermd is (oftewel, een eigen oorspronkelijk karakter en het persoonlijk stempel van de maker draagt dan wel een eigen intellectuele schepping vormt) komt het op internet plaatsen van de foto neer op een openbaarmaking in de zin van de Auteurswet (Aw). Artikel 21 Aw bepaalt dan dat deze openbaarmaking niet geoorloofd is voor zover een redelijk belang van de geportretteerde zich tegen de openbaarmaking verzet. In de regel zullen toevallige passanten die zich in openbare ruimte bevinden en in niet-compromitterende omstandigheden worden gefotografeerd geen redelijk belang kunnen aanvoeren dat zich tegen de openbaarmaking verzet. Ook een stationshal en de voor het publiek toegankelijke delen van een stadhuis kunnen in dit opzicht worden aangemerkt als openbare ruimte. Voor foto’s genomen in huiselijke kring door een uitgenodigde buurman of huisgenoot zal in de regel voor het maken van de foto toestemming verondersteld kunnen worden. Toestemming voor het maken van de foto staat niet gelijk aan het in opdracht vervaardigen van een portret, zodat voor de openbaarmaking van de foto eveneens bezien zal moeten worden of een redelijk belang van de afgebeelde persoon zich tegen de openbaarmaking verzet. Op grond van het algemene eigendomsrecht kunnen er voorwaarden worden gesteld aan toegang tot of het gebruik van bepaalde ruimten, bijvoorbeeld musea of verenigingen die in de huisregels bepalen dat het maken van foto’s niet is toegestaan. Verder wordt de persoonlijke levenssfeer ook beschermd door artikel 8 EVRM. Uit de rechtspraak van het EHRM volgt echter niet dat artikel 8 EVRM een absoluut verbodsrecht van een geportretteerde inhoudt. Het hangt van de omstandigheden van het geval af of openbaarmaking van een niet in opdracht vervaardigd portret onrechtmatig is jegens de geportretteerde. Voor zover gericht op de bescherming van privacybelangen is het portretrecht een persoonlijkheidsrecht waaraan in de regel een zwaarwegend gewicht zal toekomen.13
Mocht de AVG wel van toepassing zijn dan dient de verwerking in ieder geval gebaseerd te zijn op een van de wettelijke verwerkingsgrondslagen (artikel 6, eerste lid, AVG). Hierbij zal toestemming de meest voor de hand liggende grondslag zijn. Als er tevens sprake is van het verwerken van een persoonsgegeven als bedoeld in artikel 9 AVG (bijzondere categorieën persoonsgegevens) dan is de verwerking verboden tenzij er een beroep kan worden gedaan op de uitzonderingen zoals in artikel 9, tweede lid, AVG of een op dat artikel gebaseerde uitzonderingsbepaling in de UAVG. Op het moment dat de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking is het verbod niet van toepassing maar ook bijvoorbeeld als de persoonsgegevens kennelijk door de betrokkenen zelf openbaar gemaakt zijn. Van het verwerken van een bijzonder persoonsgegeven zou bijvoorbeeld sprake kunnen zijn als er een foto wordt genomen (niet voor huishoudelijk gebruik van een identificeerbare persoon) in het kantoor van een vakbond als daar het vakbondslidmaatschap van die persoon uit zou kunnen worden afgeleid.
Als de AVG van toepassing is dan wil dat overigens niet zeggen dat het plaatsen van foto’s op het internet zonder toestemming nooit mag. Te denken valt hierbij bijvoorbeeld aan journalistiek werk; dan zal lang niet altijd toestemming de grondslag voor de verwerking kunnen vormen en dat hoeft ook niet want dan kan de grondslag ook zijn gelegen in het «gerechtvaardigd belang» (artikel 6, eerste lid, onderdeel f, AVG). De uiteindelijke beoordeling of een publicatie van een foto in een concreet geval daadwerkelijk een onrechtmatige inbreuk was op het recht op bescherming van persoonsgegevens zal altijd (achteraf) door een rechter plaatsvinden. In het voorbeeld waarin de foto genomen is in het stadhuis zou een weging door de rechter van het recht van vrije nieuwsgaring (journalistieke exceptie) en de vrijheid van meningsuiting enerzijds versus de rechten op grond van de AVG bijvoorbeeld ook een rol kunnen spelen.
Tot slot verdient opmerking dat, als de verwerkingsverantwoordelijke van een verwerking geen natuurlijke persoon is, deze verwerking (hoe «huishoudelijk» en kleinschalig ook) altijd onder het materiële toepassingsbereik van het gegevensbeschermingsrecht valt. Zo behoren scholen en sportverenigingen altijd expliciet om toestemming te vragen voor het nemen van foto’s en het plaatsen van deze foto’s op het internet, ook als dat een afgeschermde omgeving is.14
Vraag 8 (VVD)
Kan de regering hierbij ook ingaan op het wettelijke vereiste in Zweden om toestemming te vragen voor het fotograferen of filmen van andere mensen? Hoe werkt deze wettelijke bepaling in Zweden uit in de praktijk, en wordt dit ook bestreken door de harmoniserende werking van de verordening en de (Zweedse) uitvoeringswet?
Sinds 1 juli 2013 is het in Zweden in de privésfeer in beginsel verboden te filmen of fotograferen als dat in het geheim gebeurt.15 Artikel 139f uit het Nederlandse Wetboek van Strafrecht is zeer vergelijkbaar, waardoor de Nederlandse wet op dit punt vergelijkbare bescherming biedt als de Zweedse wet. Het betreft ook in Zweden overigens een artikel uit het (Zweedse) Wetboek van Strafrecht, dat niet wordt bestreken door de harmoniserende werking van de AVG.16
Vraag 9 (VVD)
De leden van de VVD-fractie hebben vragen over de beperkingen die de AVG lijkt op te leggen aan werkgevers om voor het werk belangrijke gegevens van werknemers te verwerken. Gezondheidsgegevens zijn bijzondere persoonsgegevens. Betekent dit dat een werkgever niet mag bijhouden hoe vaak een werknemer ziek is? Is het mogelijk om bij te houden welke eventuele lichamelijke beperkingen een werknemer heeft, zodat de werkgever hier rekening mee kan houden op de werkplek?
Een werkgever mag bij ziekmelding van de werknemer de volgende gegevens over gezondheid van de zieke werknemer vragen en registreren:
– het telefoonnummer en (verpleeg)adres;
– de vermoedelijke duur van het verzuim;
– de lopende afspraken en werkzaamheden;
– of de werknemer onder een van de zogenaamde «vangnetbepalingen» van de Ziektewet valt (maar niet onder welke vangnetbepaling hij valt);17
– of de ziekte verband houdt met een arbeidsongeval;
– of er sprake is van een verkeersongeval waarbij een eventueel aansprakelijke derde betrokken is (regresmogelijkheid).18
Ook mag een werkgever bijhouden hoe vaak een werknemer ziek is. De werkgever mag bij ziekmelding door de werknemer deze ziekmelding registeren, omdat deze registratie noodzakelijk is in het kader van de vaststelling van de loondoorbetalingsverplichting.19
Artikel 14, eerste lid, aanhef en onder b, van de Arbowet verplicht de werkgever zich bij de begeleiding van werknemers die door ziekte niet in staat zijn hun arbeid te verrichten te laten bijstaan door een bedrijfsarts. Het is gelet op deze bepaling dan ook niet de taak van werkgever (en evenmin van de zieke werknemer) om een oordeel te vellen over de arbeids(on)geschiktheid van de zieke werknemer. Werkgever en werknemer zijn daarvoor ook niet opgeleid.
De werkgever mag de gegevens die de bedrijfsarts/arbodienst aan hem heeft verstrekt verwerken. Denk daarbij aan:
– de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
– de verwachte duur van het verzuim;
– de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen);
– eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.20
De werkgever mag, met uitzondering van bovenstaande gegevens, in principe geen andere gegevens over de gezondheid van de werknemer in zijn eigen administratie registreren en/of doorgeven aan de bedrijfsarts/arbodienst, ook niet als deze gegevens vrijwillig door de werknemer zijn verstrekt. Het noodzakelijkheidsvereiste geldt namelijk ook wanneer gegevens over de gezondheid vrijwillig aan de werkgever zijn verstrekt.21 Omgekeerd vallen alle mogelijke overige gegevens over de gezondheid van werknemers, die voor de werkgever niet noodzakelijk zijn voor de loondoorbetalingsverplichting, noch voor de re-integratie/verzuimbegeleiding, onder het medisch beroepsgeheim van de bedrijfsarts. Het betreft onder meer de volgende gegevens:
– diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen;
– eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand;
– gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.;
– overige situationele problemen, zoals relatieproblemen, problemen uit het verleden, verhuizing, overlijden partner, scheiding e.d.22
Vraag 10 (VVD)
Is de AVG op dit punt strenger dan de huidige Wbp? Wat zijn de precieze verschillen? Hoe staat de regering tegenover de suggestie om verwerking van bijzondere persoonsgegevens van de werknemers door de werkgever te vergemakkelijken als dit op het verzoek van en/of in het belang van de werknemer is?
De AVG en de UAVG zullen niet leiden tot een aanscherping van de regelgeving met betrekking tot de verwerking van gezondheidsgegevens door werkgevers. De definitie van gezondheidsgegevens en de grondslagen waaronder verwerking van gegevens over de gezondheid toegestaan zijn, zijn inhoudelijk niet gewijzigd. Het nieuwe artikel 30 UAVG, dat ziet op de verwerking van gezondheidsgegevens, komt overeen met artikel 21 Wbp. Hiermee is materieel geen wijziging beoogd. Zowel onder de Wbp als onder de AVG is het begrip gezondheidsgegeven een breed begrip, en omvat het alle gegevens die de lichamelijke of geestelijke gezondheid van een persoon betreffen. Het enkele feit dat iemand zich ziek heeft gemeld, is reeds een gezondheidsgegeven. Gezondheidsgegevens mogen slechts worden verwerkt voor zover er een wettelijke grondslag voor verwerking in de zin van artikel 6 AVG aanwezig is, aan de andere eisen voor het rechtmatig verwerken van persoonsgegevens is voldaan én een beroep kan worden gedaan op een van de uitzonderingsgronden (zoals genoemd in artikel 9, tweede lid, AVG of in artikel 30 UAVG) op het verbod om bijzondere categorieën persoonsgegevens te mogen verwerken (artikel 9, eerste lid, AVG).
Werkgevers zijn wettelijk verplicht, onder meer in het kader van de loondoorbetalingsverplichting bij ziekte, een ziekmelding op te nemen in de administratie. Deze gegevens over het ziekteverzuim mogen door de werkgever ook voor een redelijke termijn bewaard worden. Artikel 30, eerste lid, onder a, van het wetsvoorstel bevat bovendien de benodigde uitzondering op het verbod om gezondheidsgegevens te verwerken.
De beleidsregel «De zieke werknemer» van de AP geeft echter aan dat er slechts met tussenkomt van een bedrijfsarts of arbodienst gegevens over functionele beperkingen (zoals de vraag of een werknemer in staat is te zitten of te tillen en de implicaties voor het soort werk dat de werknemer nog kan doen) verwerkt mogen worden.23 Artikel 30, eerste lid, onder b, van het wetsvoorstel (voorheen artikel 21 Wbp) bevat de benodigde uitzondering op het verbod om gezondheidsgegevens te verwerken. Artikel 14, zevende lid, van de Arbeidsomstandighedenwet bevat bovendien de benodigde uitzondering op het medisch beroepsgeheim van de bedrijfsarts. In de memorie van toelichting werd verduidelijkt: «Artikel 21 WBP beperkt de informatie over de gezondheid van de werknemer tot hetgeen noodzakelijk is voor verzuimbegeleiding en re-integratie. De werkgever heeft de precieze medische achtergrond van de beperkingen niet nodig voor zijn verantwoordelijkheden, te weten loondoorbetaling en re-integratie. De werkgever heeft daarvoor voldoende aan de informatie over het bestaan van arbeidsongeschiktheid, de beperkingen van de werknemer en de mogelijkheden om werkhervatting te bevorderen.»24
Wel mogen de werkgever en werknemer het gesprek aangaan over de invulling van de terugkeer naar werk. Daarbij kan de werknemer zelf aangeven welke taken, functies of werkzaamheden hij nog denkt te kunnen verrichten. Goed werknemerschap (artikel 611 van boek 7 van het Burgerlijk Wetboek) brengt immers ook met zich mee dat een werknemer zelf mede verantwoordelijkheid draagt voor zijn herstel en de terugkeer naar werk.
Daarbij is het uitgangspunt in de Nederlandse wetgeving, dat de werknemer de gezondheidsgegevens niet deelt met de werkgever maar alleen met de bedrijfsarts. Dat deze gezondheidsgegevens voor het doel verzuimbeleid en in verband met ziekte alleen verwerkt worden door een arts of deskundige van een arbodienst, die onder een beroepsgeheim valt, is ook in de AVG een voorwaarde. De AVG en UAVG gaan ook op dit punt niet uit van een andere benadering dan in de Wbp.
Regelgeving betreffende de bescherming van persoonsgegevens streeft naar een balans tussen het grondrecht van gegevensbescherming en andere grondrechten, waarden en belangen, waarbij in de arbeidsverhouding bovendien meespeelt dat werknemers en werkgevers zich in een ongelijke positie bevinden. Aangezien het niet bij voorbaat kan worden uitgesloten dat een werknemer zich onder druk gezet voelt door zijn werkgever om gevoelige informatie te delen, prevaleert het belang van de bescherming van de persoonsgegevens van de werknemer. Zoals hiervoor reeds is uitgezet, doet dit niet af aan de eigen verantwoordelijkheid van de werknemer om mee te werken aan zijn herstel en de terugkeer naar werk.
De leden van de VVD-fractie suggereren om de verwerking van bijzondere gegevens te vergemakkelijken als dit op het verzoek van/en of in het belang van de werknemer is. Voor de verwerking van bijzondere gegevens gelden striktere voorwaarden dan voor de verwerking van niet-bijzondere persoonsgegevens. Omdat er in de relatie tussen werknemer en werkgever sprake is van een gezagsrelatie, zal er niet snel kunnen worden aangenomen dat er voldaan is aan de vereisten van toestemming zoals deze zijn neergelegd in artikel 7 AVG. In de gezagsrelatie tussen werknemer en werkgever valt immers niet uit te sluiten dat een werknemer zich onder druk gezet voelt om toestemming te geven. Het is dan ook niet mogelijk om gegevensverwerking met instemming van de werknemer te vereenvoudigen, zonder afbreuk te doen aan dit uitgangspunt. Voor dit onderwerp wordt ook verwezen naar de antwoorden op de vragen 68 en 15.
Vraag 11 (GroenLinks)
De leden van de GroenLinks-fractie constateren dat het wetsvoorstel de uitvoering van een EU-verordening betreft. Deze leden stellen het zeer op prijs dat ook op het niveau van de EU het belang van privacy op waarde wordt geschat. De keuze voor een verordening, waar vervolgens op vele plaatsen discretionaire ruimte wordt gegeven aan de EU-lidstaten, roept vragen op die de inhoud van het wetsvoorstel overstijgen, maar desalniettemin diezelfde inhoud raken. Uitgangspunt is dat de AVG erin voorziet dat voor de gehele EU coherente en homogene toepassing van regels is verzekerd inzake de bescherming van grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. De leden vragen, met de Afdeling, welke mogelijke gevolgen de in de AVG vastgelegde systematiek van samenwerking en coherentie kunnen hebben voor de rechtsontwikkeling en voor de bevoegdheidsverdeling tussen de EU en de lidstaten. Het enkele feit dat de regering dit als zelfstandig vraagstuk beschouwt waaraan los van de uitvoering van de AVG aandacht zal worden besteed, doet niet af aan het belang om ook in dit wetgevingsproces een dergelijke beschouwing te betrekken. De voornoemde leden verzoeken de regering daarom alsnog de door de Afdeling gevraagde toelichting hierop te geven. Deze leden vragen de regering of in de AVG een juiste balans is gevonden tussen unificering en discretionaire ruimte inzake de invulling van de open normen voor de afzonderlijke EU-lidstaten en welke praktische gevolgen dat kan hebben in de (grensoverschrijdende) handhaving.
De bevoegdheidsverdeling tussen Unie en lidstaten is vastgesteld bij het Verdrag van Lissabon. Dat heeft twee gevolgen gehad. Enerzijds is de grondrechtelijke dimensie van gegevensbescherming voor het EU-recht vastgelegd. Op grond van artikel 6 VEU heeft het Handvest van de Grondrechten van de EU bindende kracht gekregen. In artikel 8 van het Handvest is het grondrecht op bescherming van persoonsgegevens neergelegd en dit grondrecht geldt in de rechtsverhouding tussen de burgers en de Unie en de lidstaten, voor zover zij uitvoering geven aan het EU-recht.
Anderzijds is voorzien in een algemene opdracht aan de EU-wetgever om ter zake regels vast te stellen. Artikel 16 VWEU voorziet daarin, en geeft daarbij aan dat die regels ook voorzien in een vrij verkeer van persoonsgegevens. De bedoeling daarvan is expliciet aan te geven dat indien die regels tot stand gebracht zijn, het beschermingsniveau in de Unie zodanig is dat persoonsgegevens vrij kunnen circuleren in de Unie.
Een bijzonderheid is dat zowel artikel 8 Handvest als artikel 16 VWEU voorziet in de verplichting tot oprichting van onafhankelijke toezichthoudende instellingen. Daarin ligt in beginsel reeds de bijzondere plaats die deze instanties hebben bij de uniforme uitleg, handhaving en sanctionering van de regels. Op Unieniveau is dit een bijzonderheid, omdat die rol vervuld moet worden naast de rol die de Commissie uit hoofde van artikel 17 VEU heeft bij de handhaving van het Unierecht in het algemeen. Dat is nodig, omdat zowel Unie als lidstaten onderworpen moeten zijn aan het toezicht.
Dat is voorzien in de verplichting tot oprichting van onafhankelijke toezichthoudende instellingen brengt met zich dat onvermijdelijk sprake zal zijn van verdere concretisering van normen van constitutioneel recht door deze instanties. Deze omstandigheid staat echter niet op zich zelf. Van een dergelijke ontwikkeling is steeds vaker sprake op Europees niveau. Gelet op het feit dat dit een veel bredere ontwikkeling betreft, is er bij de totstandkoming van dit specifieke wetsvoorstel niet voor gekozen om een uitputtende uiteenzetting van de betekenis van deze algemene ontwikkeling voor de nationale rechtsorde op te nemen. Dit maatschappelijke vraagstuk zal in een brede context en zonder de tijdsdruk waar onderhavig wetgevingstraject onder staat, zelfstandig worden onderzocht.
Wat de unificering betreft, heeft de EU-wetgever gekozen voor het instrument van de verordening. Die keuze biedt uit oogpunt van effectieve harmonisatie het meeste voordeel. Immers, rechtstreeks toepasselijke regels voorkomen zoveel mogelijk dat de lidstaten, zoals bij de implementatie van richtlijn 95/46/EG het geval is geweest, onderling sterk afwijkende wettelijke voorschriften vaststellen. Het gevolg van de keuze van een verordening is dat op die terreinen die door de AVG uitputtend worden geregeld de nationale wetgevers geen rol meer hebben. Tijdens de onderhandelingen over de AVG is duidelijk geworden dat de gevolgen hiervan in sommige lidstaten aanzienlijk zijn. Dat hangt samen met de constitutionele eisen die worden gesteld aan de wetgeving, de positie van constitutionele hoven en het detailniveau van de regelgeving in een lidstaat. Voor Nederland vallen de gevolgen mee. Zo wordt in Nederland niet steeds voor elke gegevensverzameling in het publieke domein een expliciete wettelijke grondslag opgenomen. De AVG vereist dat echter ook niet. De grenzen van de publieke taak zijn niet altijd op voorhand scherp te trekken. Zolang echter de gegevensverwerking noodzakelijk is (en daarmee voorzienbaar voor betrokkenen) voor de uitoefening van een voldoende specifiek omschreven wettelijke taak is, in beginsel, geen aparte expliciete de grondslag voor deze gegevensverwerking noodzakelijk.25 Een erkenning van het feit dat de AVG vooral op sectoraal niveau grote gevolgen heeft voor de wetgeving van de lidstaten kan men zien in artikel 6, tweede lid, AVG. Laatstbedoelde bepaling wijst erop dat lidstaten als het nodig is in aanvulling op de AVG specifieke regels mogen handhaven of invoeren. Langs die weg kan rekening worden gehouden met de behoeften per lidstaat.
Toch biedt de AVG op een aantal gebieden eigen beleidsruimte voor de lidstaten. Hoofdstuk IX AVG geeft daarvan een aantal voorbeelden. Op beleidsterreinen als openbaarheid van bestuur, nationale identificatienummers, gegevensbescherming in de arbeidsverhouding, medisch-wetenschappelijk onderzoek en gegevensbescherming door kerkelijke instellingen is sprake van sterk van elkaar verschillende tradities in de lidstaten. Die verschillen zijn zo groot dat die niet overbrugd kunnen worden met eenvormige regels zonder de positie van de lidstaten wezenlijk aan te tasten. Dat men ervan heeft afgezien die beleidsterreinen via gegevensbescherming verder te harmoniseren is verstandig geweest. Had men dit niet gedaan, dan zouden de onderhandelingen veel langer hebben geduurd of mogelijk zijn gestrand. Dit alles heeft tot een voldoende uitgebalanceerd geheel geleid, als het gaat om de verhouding tussen de wetgevingsbevoegdheden van Unie en lidstaten.
Wat de invulling van discretionaire ruimte betreft is er in de AVG geen principieel verschil met richtlijn 95/46/EG. Ook richtlijn 95/46/EG kent veel open normen die door de nationale wetgever zijn overgenomen. Die normen worden ook nu al door de toezichthouder en de rechter ingevuld. Het verschil dat de AVG maakt is dat de noodzaak groter is geworden om die normen gecoördineerd en op onderling coherente wijze aan te vullen. De regels zijn nu immers grotendeels rechtstreeks toepasselijk in alle lidstaten. Niet voor niets beslaat de organisatie van dit proces een substantieel deel van de AVG. Dat proces voorziet erin dat enerzijds door deelname van de toezichthouders verzekerd is dat een zekere invloed uit nationale bron behouden blijft, maar anderzijds geregeld is dat nationale belangen niet gemakkelijk kunnen leiden tot frustratie van noodzakelijke besluitvorming. Het systeem voorziet er dus in dat praktische gevolgen voor de grensoverschrijdende handhaving in dit opzicht zullen meevallen. Op de beleidsterreinen waar nog relatief veel bevoegdheden voor de lidstaten behouden blijven, zoals onderzoek voor de volksgezondheid of gegevensverwerking in het kader van de arbeidsrelatie, zal ook het toezicht een zwaardere nationale component blijven hebben. Op grond van artikel 70, eerste lid, onder u, AVG plegen de toezichthouders ook over deze ervaringen onderling overleg en zijn zij in staat van elkaar te leren. Ook in dit opzicht is de regeling een voldoende uitgebalanceerd geheel. Voorts wordt verwezen naar het antwoord op vraag 3.
Vraag 12 (GroenLinks)
Daarnaast achten de aan het woord zijnde leden het gewenst een precies inzicht te krijgen hoe de overige EU-lidstaten gebruik maken van de toegekende discretionaire ruimte in de AVG. Dit manifesteert zich eens te meer in de invulling van de open normen.
Ten tijde van het schrijven van onderhavige nota naar aanleiding van het verslag is slechts een zeer beperkt aantal lidstaten gereed met de nationale uitvoeringswetgeving. Het is dan ook niet mogelijk om het gevraagde inzicht te geven van de invulling die de verschillende lidstaten zullen gaan geven aan de ruimte voor nationaalrechtelijke keuzes die de AVG de lidstaten op onderdelen laat.
Vraag 13 (GroenLinks)
Deze leden vragen om een reactie op het standpunt van de AP dat de interpretatie van de in de AVG gehanteerde open normen in eerste instantie is voorbehouden aan de betrokken nationale toezichthouders en het Europees Comité voor gegevensbescherming.
Zoals reeds is opgemerkt in het nader rapport bij dit wetsvoorstel, zal de invulling van de deels open normen uit de AVG en de vertaling naar de praktijk van alledag in eerste instantie liggen bij de toezichthoudende autoriteiten verenigd in het Comité, maar zal dit uiteindelijk aan de (Europese) rechter zijn. Dit in reactie op de opmerking van de Afdeling advisering van de Raad van State, waarin zij aangaf dat het uitgangspunt dat de regering geen eindoordeel kan geven over de interpretatie van de AVG, niet kan afdoen aan de behoefte aan nadere toelichting op álle artikelen van de AVG met het oog op de uitvoering daarvan. Er is daarom voor gekozen om met betrekking tot de rechtstreeks toepasselijke onderdelen van de AVG die geen ruimte laten voor nationale invulling, alleen de hoofdlijnen van de AVG te schetsen in de memorie van toelichting en voor het overige alleen normen uit de AVG nader toe te lichten indien dit onontkoombaar is om bepalingen uit het onderhavige wetsvoorstel toe te lichten.
Het feit dat de interpretatie van de open autonome normen van de AVG – inderdaad – niet aan de verschillende nationale wetgevers van de verschillende lidstaten is omdat er sprake is van een direct werkende verordening, laat vanzelfsprekend geheel onverlet dat overal waar de AVG ruimte laat voor de nationale wetgever om nadere keuzes te maken (of zelfs daartoe verplicht) die keuzes dienen te worden onderbouwd. Niet alleen is een goede toelichting van groot belang om ervoor te zorgen dat beide Kamers der Staten-Generaal hun medewetgevende taak naar behoren kunnen vervullen, ook de rechtspraktijk heeft behoefte aan nadere uitleg en duiding van de in de nationale uitvoeringswet gemaakte keuzes. Tot slot zal ook de rechter in een concreet aan hem voorgelegd geval de wetsgeschiedenis erop na willen (kunnen) slaan om een goed oordeel te kunnen vellen.
De regering heeft als medewetgever derhalve de opdracht het wetsvoorstel te voorzien van een deugdelijke toelichting, die op die onderdelen die een invulling zijn van de ruimte die de AVG laat aan de lidstaten, uitgebreider is dan waar die ruimte voor de lidstaten er niet is. Dit laat uiteraard onverlet dat de AP in haar hoedanigheid van nationale toezichthouder volledig onafhankelijk optreedt bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig de AVG zijn toegewezen.
Vraag 14 (PvdA)
De leden van de PvdA-fractie zijn van mening dat er in de verhouding tussen werkgever en werknemer wat betreft de bescherming van bijzondere persoonsgegevens extra waarborgen dienen te zijn. In arbeidsverhoudingen is de werknemer immers al snel de zwakkere partij. Het geven van toestemming door een werknemer om zijn werkgever in staat te stellen gegevens te verwerken achten de aan het woord zijnde leden dan ook een onvoldoende waarborg. Bij het geven van toestemming in een ongelijkwaardige verhouding is immers al snel de vraag aan de orde of die toestemming wel echt vrijwillig is gegeven. De voornoemde leden wijzen daarom op de ruimte die artikel 88 van de AVG biedt om bij wet nadere regels vast te stellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Nederland heeft daar, zo blijkt uit de inhoud van het onderhavige wetsvoorstel, niet voor gekozen. Naar de mening van de aan het woord zijnde leden is dat onterecht. Zij pleitten voor een betere bescherming van werknemers. Zij willen voorkomen dat door het geven van toestemming een werknemer ongewild de werkgever in staat stelt gevoelige gegevens over hem te verwerken. Daarbij denken de voornoemde leden onder andere aan medische informatie die kan worden gevraagd, opgeslagen of gedeeld.
In een arbeidsrelatie zal er, vanwege de gezagsverhouding tussen werkgever en werknemer, niet snel voldaan zijn aan de vereisten die aan toestemming als bedoeld in artikel 7 AVG worden gesteld. Blijkens overweging 42 van de AVG mag een toestemming immers niet worden geacht vrijelijk te zijn verleend, indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. In de arbeidsverhouding is er daarom, uitzonderlijke situaties daargelaten, een andere uitzondering op het verwerkingsverbod dan (uitdrukkelijke) toestemming benodigd voor de rechtmatige verwerking van (bijzondere) persoonsgegevens (dat wil zeggen een andere uitzondering in artikel 9 AVG dan wel artikel 30 UAVG).26 De werknemer is hiermee voldoende beschermd. Dat neemt niet weg dat in de wetgeving die betrekking heeft op de rechten en plichten van werkgevers en werknemers op onderdelen zal worden bezien of nadere verduidelijking noodzakelijk of gewenst is. Voor de verhouding werkgever/werknemer zij ook verwezen naar de antwoorden op de vragen 9, 10 en 15.
Vraag 15 (PvdA)
Een werkgever mag in geval van ziekte van de werknemer nu geen medische gegevens registreren of een lijst laten invullen waarin medische informatie wordt gevraagd, zoals over de ziektegeschiedenis of medicijngebruik. Evenmin mag een werkgever – zo bepaalde de AP eerder – vragen welke handelingen een zieke medewerker wel of niet meer kan uitvoeren. Om te voorkomen dat enkel de toestemming van een werknemer ertoe kan gaan leiden dat bijzondere persoonsgegevens (zoals gegevens over gezondheid, ras of etnische afkomst) wel gedeeld mogen worden, vragen de voornoemde leden om de ruimte voor extra bescherming die artikel 88 AVG biedt te benutten. Kan de regering hier nader op ingaan?
Voor de beantwoording van deze vraag wordt verwezen naar de antwoorden op de vragen 9, 10 en 14.
Vraag 16 (PvdA)
Deelt de regering de mening van deze leden dat als artikel 88 AVG geïmplementeerd zou moeten worden in Nederlandse wetgeving, het voorliggende wetsvoorstel zich daar het beste voor leent? Zo nee, waarom niet en bij welke wetgeving zou deze implementatie dan wel kunnen plaatsvinden?
De regering is niet van mening dat áls er nationaalrechtelijke regels gesteld zouden worden ter uitvoering van artikel 88 AVG, de UAVG zich het beste voor die uitvoeringswetgeving zou lenen. Als er gebruik gemaakt zou worden van de door artikel 88 geboden ruimte ter bescherming van de persoonsgegevens van werknemers, zou regeling in sectorale wetgeving waarin de overige rechten en plichten voor werkgevers en werknemers neergelegd zijn, zoals bijvoorbeeld Boek 7 van het Burgerlijk Wetboek, de Arbeidsomstandighedenwet en sociale zekerheidswetgeving, daartoe de geëigende plaats zijn.
Vraag 17 (ChristenUnie)
De leden van de ChristenUnie-fractie constateren dat de regering schrijft dat, hoewel er in materieel opzicht geen sprake is van substantiële wijzigingen, de verantwoordings- en transparantieverplichtingen voor een verwerkingsverantwoordelijke nopen tot aanpassing van werkprocessen in organisaties. Niet alle verwerkingsverantwoordelijken hebben goed zicht op de vereiste aanpassingen. In hoeverre is het reëel te verwachten dat bijvoorbeeld het midden- en kleinbedrijf tijdig op de hoogte is en voldoet aan de standaarden die met deze verordening gesteld worden en in staat is om aan te tonen dat ze in overeenstemming handelen met de AVG?
Vanaf 25 mei 2018 dienen organisaties en bedrijven desgevraagd aan de AP verantwoording af te kunnen leggen over de door hen uitgevoerde gegevensverwerking(en) en aan te kunnen tonen dat zij de verplichtingen van de AVG naleven (artikel 5, tweede lid, AVG). De AVG is op 27 april 2016 in werking getreden. Er is een termijn bepaald van twee jaar voordat de nieuwe rechten en plichten van toepassing worden, mede ingegeven door een «voorbereidingsgedachte».
De AVG brengt veranderingen in de positie van verwerkingsverantwoordelijke. De introductie van de algemene verantwoordingsplicht van verwerkingsverantwoordelijken heeft consequenties voor de werkprocessen en systemen van organisaties. Tegelijkertijd is de AVG ook een voortzetting van de Wbp. Voor zover het wetsvoorstel gevolgen heeft voor het bedrijfsleven, volgen deze of uit de AVG, of gaat het om verplichtingen die reeds bestaan op basis van de Wbp. Door de keuze om beleidsneutraal te implementeren zijn de gevolgen van dit wetsvoorstel zelf verwaarloosbaar. Niet alle gegevensverwerking(en) voldoen op dit moment echter aan de normen uit de Wbp. Daar staat tegenover dat het verzamelen van grote hoeveelheden persoonsgegevens dankzij nieuwe technieken alleen maar makkelijker is geworden. Of alle (kleine) bedrijven in Nederland kunnen en zullen voldoen aan de nieuwe verplichtingen uit de AVG op 25 mei 2018, zal ook mede afhangen van achterstallig Wbp-onderhoud. De AVG noopt in ieder geval tot aanpak van dergelijke eventuele achterstanden.
De regering is zich bewust van het feit dat de AVG de nodige vragen bij organisaties oproept. Het is mede een taak van de overheid voorlichting en informatie te verschaffen over de rechten en plichten uit de nieuwe wet. Het Ministerie van JenV heeft oog voor de informatiebehoefte, zeker ook van het MKB, maar kan geen uitsluitsel geven over de juiste interpretatie van begrippen van de AVG, zeker niet omdat de AVG op een groot aantal verschillende gevallen van toepassing zal zijn. De beoordeling van de invulling van de deels open normen en een vertaling daarvan naar de uitvoeringspraktijk, zal in eerste instantie liggen bij de toezichthoudende autoriteiten, verenigd in het Comité, maar zal uiteindelijk aan de (Europese) rechter zijn.
Het Ministerie van JenV neemt wel zijn verantwoordelijkheid door voorlichting en informatie over de nieuwe wetgeving te verschaffen. Ook is bijvoorbeeld samen met de VNG, de Unie van waterschappen en BZK een goed bezocht congres georganiseerd over de AVG en decentrale overheden. JenV voert ook gesprekken met VNO-NCW, MKB-Nederland en de AP om te bezien in welke vorm de voorlichting voor het MKB het beste kan worden gegoten. In dit kader is ook besproken dat ondernemers zich in een latere fase van de implementatie met vragen over bijvoorbeeld de gekozen aanpak kunnen wenden tot de AP.
Het Ministerie van JenV heeft onlangs een toegankelijke Handleiding AVG en UAVG gepubliceerd. De handleiding is bedoeld voor iedereen die meer wil weten over de AVG en de UAVG, maar is primair bedoeld voor verwerkingsverantwoordelijken die hun organisatie op de AVG willen voorbereiden. Speciaal voor kleine ondernemers wordt eind maart een praktische compacte brochure uitgebracht.
Bij het informeren van organisaties en personen werkt JenV samen met andere relevante actoren ieder vanuit de eigen verantwoordelijkheid, en met inachtneming van de onafhankelijke positie van de AP. De AP heeft de afgelopen periode veel informatie verschaft in het «Dossier AVG» op haar website en voorlichtingsactiviteiten uitgevoerd door inmiddels 68 presentaties. Op bijeenkomsten voor uiteenlopende branches, onder meer voor de financiële sector, de rijksoverheid, lokale overheden, het onderwijs, de zorg en de advertentiesector. Ook organiseerde de AP in samenwerking met het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) zelf een bijeenkomst voor FG’s.
De AP is op 29 januari jl. gestart met een voorlichtingscampagne over de nieuwe Europese privacywet. Met de campagne biedt de AP organisaties praktische hulp om te voldoen aan hun nieuwe plichten. Zoals een digitale «regelhulp» waarmee organisaties snel in kaart kunnen brengen wat zij nog moeten doen voor 25 mei. Op hulpbijprivacy.nl, de campagnewebsite van de AP, worden ook andere hulpmiddelen aangeboden (voor het brede publiek, maar ook voor speciale doelgroepen zoals onderwijs, zorgverleners, MKB en webshops) en staat veel informatie over de rechten en plichten uit de nieuwe wet overzichtelijk op een rij. Omdat kinderen al op jonge leeftijd online actief zijn, heeft de AP speciaal voor hen een lespakket laten ontwikkelen.
Vanuit de gezamenlijke toezichthouders verenigd in de Artikel 29-werkgroep worden richtsnoeren opgesteld die de toepassing van de AVG ondersteunen (er zijn onder meer richtsnoeren over de functionaris voor gegevensbescherming en over de gegevensbeschermingseffectbeoordeling gepubliceerd en er zijn richtsnoeren in voorbereiding, bijvoorbeeld over transparantie). De Europese Commissie heeft aangekondigd vanaf januari 2018 een budget beschikbaar te stellen voor voorlichting voor het MKB. Verder heeft de Europese Commissie op 25 januari jongstleden ook een website gelanceerd met richtsnoeren, handreikingen en stroomschema’s om verwerkingsverantwoordelijken nader te informeren.27
Bovendien zijn veel partijen, zoals de VNG, VNO-NCW en MKB-Nederland en andere brancheorganisaties al aan de slag gegaan om in beeld te krijgen wat zij concreet moeten doen om hun achterban te mobiliseren en te ondersteunen om de omgang met persoonsgegevens binnen de organisatie in lijn te brengen met de AVG. Zo organiseren VNO-NCW en MKB-Nederland voor hun achterban op diverse plaatsen in Nederland bijeenkomsten rondom de AVG. Doelgroep zijn brancheverenigingen en individuele ondernemers. Doel is om awareness te genereren rondom de AVG en handvatten aan te reiken om in beweging te komen. Ondernemers krijgen zo handelingsperspectief om te kunnen beginnen met het proces van implementeren.
Vraag 18 (VVD)
De leden van de VVD-fractie lezen dat per 25 mei 2018 de AP de bevoegdheid heeft op grond van de AVG handhavend op te treden. De vrees is echter dat veel bedrijven, zeker kleinere ondernemingen, op het moment van inwerkingtreding nog niet geheel zullen voldoen aan alle vereisten van de nieuwe AVG. Kunnen de voornoemde leden ervan uitgaan dat de AP zich in eerste instantie vooral zal richten op ernstige en opzettelijke schendingen en in het begin niet zozeer op kleine schendingen die vooral het gevolg zijn van onbekendheid met de nieuwe regels? Treedt de AP anders op bij bewuste overtredingen in vergelijking met onbewuste overtredingen? Deze leden zouden graag zien dat de AP zich vooral richt op het adviseren van betrokkenen om tot conformiteit met de nieuwe wet- en regelgeving te komen. Hoe ziet de regering dit? Heeft zij hierover contact met de AP?
De AP is een onafhankelijke toezichthouder en is verantwoordelijk voor de inrichting en uitvoering van haar eigen toezicht en handhaving. De AP richt zich primair op de bevordering van de normnaleving. Daartoe kan zij een mix van instrumenten inzetten, van normuitleg en voorlichtingsactiviteiten, contact met functionarissen voor de gegevensbescherming (FG’s), het stimuleren van gedragscodes en certificering tot onderzoek en handhaving. Belangrijk om te vermelden is dat de Europese wetgever de toezichthoudende autoriteit een expliciete taak tot uitleg en voorlichting heeft gegeven. Met name waar het gaat om nieuwe normen ligt het voor de hand dat de toezichthouder investeert in bewustwording.
Voor bestaande en duidelijke regels ligt dat anders. Bij het besluit of een bestuursrechtelijke maatregel wordt opgelegd, wordt voor elk concreet geval naar behoren rekening gehouden met omstandigheden als de aard, de ernst en de duur van de overtreding en het al dan niet opzettelijke of nalatige karakter daarvan.
Vraag 19 (VVD)
Is de regering bereid de wettelijke mogelijkheid in het onderhavige wetsvoorstel te introduceren dat in relevante gevallen de AP eerst een waarschuwing oplegt voordat wordt overgegaan op handhaving met boetes?
Op grond van de direct werkende bepaling artikel 58, tweede lid, onderdeel a, AVG komt deze bevoegdheid de AP reeds toe. Het is derhalve niet nodig, sterker nog het is gezien het overschrijfverbod niet toegestaan, om deze bevoegdheid ook in de UAVG op te nemen. Voor de vraag of de AP kan worden verplicht tot het geven van een waarschuwing/bindende aanwijzing voordat het opleggen van een boete mogelijk is, wordt verwezen naar de antwoorden op vragen 30 en 40.
Vraag 20 (VVD)
Artikel 35 van de AVG bepaalt dat bij bepaalde soorten verwerking een gegevensbeschermingseffectbeoordeling (ook wel privacy impact assessment genoemd) verplicht is. Heeft de AP al lijsten opgesteld op grond van artikel 35, vierde en vijfde lid, van de AVG die meewegen bij de vaststelling voor welke soorten verwerkingen een gegevensbeschermingseffectbeoordeling wel of niet verplicht zijn? Zo nee, is de regering bereid de AP hiertoe op te roepen?
Op grond van artikel 35, vierde lid, AVG moet de toezichthoudende autoriteit een lijst opstellen van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is, en deze openbaar maken. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist (artikel 35, vijfde lid, AVG). De AP is bezig met een lijst van verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is. Deze is gebaseerd op de Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking «waarschijnlijk een hoog risico inhoudt» in de zin van Verordening 2016/679 van de Artikel 29-werkgroep en ervaringen uit de praktijk met wat risicovolle verwerkingen zijn.28 Het ontwerp van deze lijst moet voor vaststelling daarvan voor advies worden voorgelegd aan het Europees Comité voor gegevensbescherming («Comité»), dat toeziet op en zorgt voor de juiste toepassing van deze AVG (zie artikel 64, eerste lid, onder a, AVG). De ontwerplijst wordt zo spoedig mogelijk na 25 mei 2018 aangeboden aan het alsdan opgerichte Comité. De AP overweegt om de ontwerplijst al eerder op de website te plaatsen, zodat verwerkingsverantwoordelijken daar alvast kennis van kunnen nemen (met daarbij de disclaimer dat de lijst dan nog niet definitief is). De AP heeft desgevraagd aangegeven vooralsnog niet van plan te zijn gebruik te maken van haar bevoegdheid om een indicatieve lijst op te stellen en openbaar te maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De AVG gaat uit van een risicogestuurde aanpak en het ligt, mede vanuit de accountability-gedachte, wat de AP betreft in eerste instantie op de weg van de verwerkingsverantwoordelijke om te bepalen of sprake is van een verwerking die «waarschijnlijk een hoog risico inhoudt». De voornoemde richtsnoeren van de Artikel 29-werkgroep kunnen hierbij behulpzaam zijn.
Vraag 21 (CDA)
De leden van de CDA-fractie constateren dat de verordening verplicht onafhankelijke toezichthouders in het leven te roepen en deze samen te voegen in het Europees Comité voor gegevensbewerking (hierna: het Comité) als centrale autoriteit. Het Comité kan adviseren (artikel 64 AVG) en heeft de bevoegdheid tot het bindend beslechten van onderlinge geschillen tussen de betrokken toezichthoudende autoriteiten (artikel 65 AVG). De voornoemde leden zien dat op grond van artikel 70 AVG het Comité met betrekking tot de toepassing van de AVG richtsnoeren, aanbevelingen en best practices kan vaststellen. Deze leden verwachten dat hoewel dit niet tot direct juridisch bindende besluiten zal leiden, dit een belangrijke rol zal gaan spelen in de rechtsontwikkeling (in de zin van «soft law»).
Hoe beoordeelt de regering het punt van de Afdeling dat deze taak nagenoeg onbegrensd is? Wordt hiermee niet veel macht uit handen genomen van de Nederlandse overheid en de nationale rechters? Kan het Comité op basis van deze bevoegdheid grote wijzigingen doen aan de AVG of de interpretatie van de AVG zonder enige tussenkomst van een democratisch orgaan? Hoe komt de Nederlandse inbreng in het Comité tot stand? Is dat een volkomen eigenstandige activiteit van de Nederlandse AP, of komt die inbreng tot stand in nauw overleg met en onder verantwoordelijkheid van de Minister voor Rechtsbescherming? In welke mate en op welke wijze wordt de Tweede Kamer betrokken bij deze standpuntbepaling en/of is er sprake van adequaat parlementair toezicht en controle door het Europees Parlement?
Het Europees Comité (Comité) bestaat uit een vertegenwoordiger van één toezichthoudende autoriteit per lidstaat. De Europese toezichthouder treedt onafhankelijk op. Het Comité mag bij de uitvoering van zijn taken of bevoegdheden geen instructies vragen of aanvaarden van wie dan ook (artikelen 68 en 69 AVG). Deze verplichte onafhankelijkheid van toezichthouders is met de gelding van artikel 8, derde lid, van het Handvest belangrijker geworden. De onafhankelijke positie van deze toezichthouder is noodzakelijk, omdat ook de nationale overheid verplicht is de regels na te leven en onder hetzelfde toezicht moet worden gesteld als de private sector. Ook richtlijn 95/46/EG verplichtte al om onafhankelijke toezichthouders in het leven te roepen. De AP is daarom nu al – net als veel andere toezichthouders – onafhankelijk gepositioneerd.
Overigens stelt het Comité een jaarverslag op dat openbaar wordt gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie (artikel 71 AVG). Deze verplichting is vergelijkbaar met het jaarverslag dat de AP aan de Minister en het parlement zendt (artikel 18 van de Kaderwet zelfstandige bestuursorganen).
De taken van dit Comité zijn niet onbegrensd. Het Comité kan op grond van artikel 70 AVG met betrekking tot de toepassing van de AVG richtsnoeren, aanbevelingen en best practices vaststellen, maar deze zijn niet bindend. Van dergelijke richtsnoeren zal in de praktijk echter zeker gezag uit gaan. Dat is vergelijkbaar met de gezaghebbende opinies van de huidige Artikel 29-werkgroep. Dit betekent echter niet dat het Comité de bevoegdheid heeft om de AVG te wijzigen. Daartoe is alleen de Europese wetgever bevoegd.
Het vaststellen van richtsnoeren, aanbevelingen en best practices door het Comité dient een expliciet doel. Zoals in overwegingen 9 en 10 is aangeven, is een van de doelstellingen van de AVG immers om verschillen in de uitvoering en toepassing te voorkomen en zorg te dragen dat er in de gehele Unie coherente en homogene toepassing plaatsvindt van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Waar het gaat om het nader uitwerken en verfijnen van normen van de AVG in de vorm van onder meer richtsnoeren en aanbevelingen zijn de betrokken toezichthouders en het Comité dan ook in eerste instantie aan zet. Onvermijdelijk is daarmee ook sprake van het invullen en de concretisering van open normen door deze instanties.
Dit neemt echter niet weg dat de nationale rechter en uiteindelijk het Hof van Justitie van de EU het laatste oordeel hebben over de vraag of de uitleg en toepassing van de norm in een concreet geval juist was.
Vraag 22 (CDA)
De leden van de CDA-fractie constateren dat bij gegevensverwerking, in het bijzonder gegevensverwerking bij grote bedrijven, er al gauw sprake is van grensoverschrijdende effecten. Deze grensoverschrijding leidt snel tot samenwerking tussen de leidende toezichthouder en de andere betrokken toezichthouders. De voornoemde leden zien dat in artikel 56 van de AVG geregeld wordt hoe er met klachten rondom gegevensverwerking dient te worden omgegaan. De klager heeft de keuze om de klacht rechtstreeks bij de leidende toezichthouder in te dienen, maar mag dit ook doen in de lidstaat waar hij woont of verblijft. In dat laatste geval dient de betrokken toezichthouder de klacht door te geleiden naar de leidende toezichthouder, waarna de leidende toezichthouder verplicht is de klacht te bezien. Indien de effecten volledig lokaal zijn kan de leidende toezichthouder aan wie de melding is doorgezonden de zaak weer verwijzen voor verdere behandeling en afdoening door de autoriteit die op basis van artikel 56, tweede lid, AVG bevoegd is. Indien de effecten niet lokaal zijn kan de leidende toezichthouder besluiten de zaak al dan niet inhoudelijk te behandelen. De voornoemde leden achten het van belang deze procedure volledig op te schrijven omdat het laat zien of het proces binnen de gestelde termijnen wordt afgerond. Ook wat betreft de informatie-uitwisseling rondom klachten vragen deze leden hoe ervoor wordt gezorgd dat bijvoorbeeld het bedrijfsleven niet de dupe wordt van trage toezichthouders in andere lidstaten. Hoe wordt de verplichting om al het nodige te ondernemen om tot consensus te komen, gehandhaafd? Ziet de regering dat voor economisch verkeer het van groot belang is dat men snel duidelijkheid heeft over de afhandeling van klachten?
De regering is het met de leden van de CDA-fractie eens dat het van groot belang is dat een klacht voortvarend wordt behandeld. Dit geldt vanzelfsprekend in eerste instantie voor de betrokkene die de klacht indient, maar dat is ook van belang voor de verwerkingsverantwoordelijke op wie de klacht betrekking heeft. De afhandeling van een klacht kan tot slot bijvoorbeeld ook relevant zijn voor andere verwerkingsverantwoordelijken of verwerkers.
Voor bedrijven die gegevens verwerken van burgers uit verschillende lidstaten is het voordeel dat op grond van de AVG verwerkingsverantwoordelijken, in hoeveel landen ze ook actief zijn, altijd maar één toezichthoudende autoriteit als aanspreekpunt hebben.29 Voor mensen wier persoonsgegevens worden verwerkt, geldt omgekeerd dat zij, als ze hun rechten willen doen gelden, altijd bij hun eigen toezichthoudende autoriteit terecht kunnen ook al worden hun persoonsgegevens verwerkt door een bedrijf dat in een andere lidstaat gevestigd is. Concreet kan een Nederlander bijvoorbeeld straks bij de AP een klacht indienen over een gegevensverwerking die in Spanje plaatsvindt onder verantwoordelijkheid van een in Duitsland gevestigd bedrijf. Op grond van artikel 77, eerste lid, AVG heeft de betrokkene namelijk het recht een klacht in te dienen met name bij de toezichthoudende autoriteit waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op de AVG.
Een ontvangen «grensoverschrijdende» klacht wordt in beginsel behandeld via de samenwerkingsprocedure van artikel 60 AVG. Indien de toezichthouder waarbij de klacht is ingediend niet ook de leidende toezichthouder is (zie artikel 56, eerste lid, AVG) dan stuurt hij de klacht door naar de leidende toezichthouder. Deze laatste werkt vervolgens samen met de toezichthouder waarbij de klacht is ingediend en eventuele andere betrokken toezichthouders bij de behandeling en het onderzoek naar de inhoud van de klacht.30 Dit leidt tot een ontwerpbesluit dat de leidende toezichthouder voorlegt aan de betrokken toezichthouders om diens standpunten te horen en mee te nemen (artikel 60, derde lid, AVG). Zie hierover tevens het antwoord op vraag 23. Bijzonder aan de grensoverschrijdende klachtprocedure is dat de leidende toezichthouder het eventuele besluit tot – al dan niet gedeeltelijke – toewijzing neemt (d.w.z. het handhavingsbesluit) en de toezichthouder waarbij de klacht is ingediend het formele besluit tot – al dan niet gedeeltelijke – afwijzing van de klacht, zodat daartegen steeds lokaal rechtsbescherming openstaat.
Het is juist dat de toezichthouder waarbij de klacht is ingediend aan de leidende toezichthouder kan vragen de zaak «lokaal» te mogen behandelen «indien het onderwerp van de klacht alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft». Zie hiervoor tevens het antwoord op vraag 74. Als de leidende toezichthouder dat niet toestaat, dan kan de toezichthouder waarbij de klacht is ingediend, een ontwerpbesluit indienen waarmee de leidende toezichthouder zo veel mogelijk rekening houdt in de samenwerkingsprocedure van artikel 60 AVG (artikel 56, derde en vierde lid, AVG).
De AVG verplicht in het kader van de behandeling van klachten de toezichthoudende autoriteit waar de klacht is ingediend om de klager binnen drie maanden in kennis te stellen van de voortgang van het onderzoek of het resultaat van de ingediende klacht (zie de artikelen 77 en 78, tweede lid, in samenhang gelezen met artikel 57, eerste lid, onder f, AVG). Er staat bestuursrechtelijke rechtsbescherming open tegen het uitblijven van een besluit óf de mededeling over de voortgang van de behandeling van een klacht.31 Daarnaast kent de AVG nog een «noodventiel» in de vorm van de spoedprocedure van artikel 66 AVG. Dat houdt in dat in buitengewone omstandigheden een betrokken toezichthouder in het belang van bescherming van de belangen van betrokkenen alvast een voorlopige maatregel kan nemen, als de voorgeschreven afstemming in EU-verband niet kan worden afgewacht. De toezichthouders hebben, gelet op het ingrijpende karakter van deze bevoegdheid, afgesproken van deze mogelijkheid spaarzaam gebruik te maken.
Over de toepassing van de samenwerking- en coherentieprocedures zijn op dit moment werkprocessen in de maak tussen de Europese toezichthouders. Ook wordt gewerkt aan het bestuursreglement van het Comité. Hierover zal zowel het Comité zelf als de AP informatie beschikbaar stellen.
Vraag 23 (CDA)
De voornoemde leden lezen dat geschillenbeslechting tussen toezichthouders afgehandeld worden door het Comité op basis van artikel 65 AVG. Door activatie van het coherentiemechanisme wordt de zaak door het Comité behandeld en dient tweederdemeerderheid een bindend besluit te nemen. Nu vragen de voornoemde leden welke rol er nog is weggelegd voor de Nederlandse rechter inzake privacy-schendingen. Hoe verhouden de Europese en Nederlandse procedures zich ten opzichte van elkaar? Hoe is dat in andere landen geregeld? Kunnen een aantal andere landen als voorbeeld genomen worden?
Het beschreven coherentiemechanisme ziet, voor zover in het licht van de vraag relevant, op de bijzondere situatie dat er discussie blijft bestaan tussen toezichthouders uit verschillende lidstaten over de inhoud van een te nemen primair besluit bij grensoverschrijdende verwerkingen (artikel 65, eerste lid, onder a, AVG). Op grond van artikel 65 AVG heeft het Comité in dat geval de bevoegdheid om een bindend besluit vast te stellen, bijvoorbeeld over de vraag of sprake is van een overtreding en of, bij een eventueel voorgestelde boete, naar behoren rekening is gehouden met de criteria voor het bepalen van de hoogte genoemd in artikel 83, tweede lid, AVG. Dergelijke besluiten richten zich tot de betrokken toezichthoudende autoriteiten. De leidende toezichthouder of, in voorkomend geval, de toezichthouder waarbij de klacht is ingediend, moet vervolgens een definitief handhavingsbesluit vaststellen met inachtneming van de bindende uitspraak van het Comité. Dat laatste besluit is gericht tot de verwerkingsverantwoordelijke en/of in voorkomend geval, de klager.
Hoewel de beroepsmogelijkheden voor particulieren bij de Europese rechter beperkt zijn, zal na het van toepassing worden van de AVG soms zowel voornoemde nationaalrechtelijke procedure aanhangig moeten worden gemaakt als een procedure op Europees niveau tegen een besluit van het Comité. Dit zal nodig zijn om geen formele rechtskracht tegengeworpen te krijgen. Dit is het geval als er sprake is van grensoverschrijdende gegevensverwerking waarover tussen twee nationale toezichthoudende autoriteiten geen overeenstemming kon worden bereikt en waarin uiteindelijk het Comité de doorslag heeft moeten geven. In een dergelijke situatie is de nationale rechter vervolgens alleen gebonden aan de definitief geworden Europese handeling (formele rechtskracht) en dient deze rechter uit te gaan van de rechtmatigheid ervan indien de particulier tegen deze Europese handeling zonder twijfel een ontvankelijk beroep had kunnen indienen bij de Europese rechter maar dat niet heeft gedaan.32 Bestaat er echter over de mogelijke ontvankelijkheid van het beroep bij de Europese rechter enige twijfel, dan kan de geldigheid van de Uniehandeling wél (ook) bij de nationale rechter aan de orde worden gesteld.33 Aangezien de mogelijkheid van rechtstreeks beroep tot nietigverklaring bij het Gerecht van besluiten van het Comité als bedoeld in artikel 65 AVG door de betrokken toezichthouders als adressaten van dergelijke besluiten én door de verwerkingsverantwoordelijke, de verwerker of de klager die rechtstreeks34 en individueel35 geraakt wordt, expliciet genoemd wordt in overweging 143 van de AVG (zie verder de artikelen 263 en 264 VWEU), zal hier meestal sprake van zijn.
Desalniettemin zal er vaak een rol zijn voor de nationale rechter. De inschatting is dat in een procedure bij het Hof van Justitie (Gerecht) in de regel niet het gehele definitieve besluit van de toezichthouder zal voorliggen, maar slechts dat gedeelte van het ontwerpbesluit waarover de toezichthouders uit de verschillende lidstaten het niet eens waren en waarover het Comité een bindend besluit heeft genomen. Wanneer een verwerkingsverantwoordelijke, verwerker of klager zich niet kan verenigen met het gehele definitieve besluit, dan zal hij in een dergelijke geval tevens rechtsmiddelen moeten instellen bij de nationale rechter. In Nederland wil dat zeggen bezwaar aantekenen en vervolgens eventueel in beroep gaan bij de bestuursrechter. In andere lidstaten staan vergelijkbare rechtsgangen open. De rechter bepaalt vervolgens of de inhoud van het gehele besluit ook in rechte stand kan houden. Het laatste woord over de uitleg van de verordening is (via een prejudiciële procedure) vanzelfsprekend aan het Hof van Justitie van de Europese Unie.
Vraag 24 (CDA)
De leden van de CDA-fractie kijken bezorgd naar de veelheid aan taken die de AP in één organisatie verenigt. Een voorlichtende taak, een adviserende taak, het innemen van klachten, het doen van onderzoeken, zo nodig handhavend en beboetend optreden.
De belangrijkste uit de AVG voortvloeiende taken en bevoegdheden van de AP kunnen worden omschreven als: de behandeling van klachten, het voeren van systeemtoezicht als zijnde het proactief toezicht op sectoren, waaronder het adviseren van deze sectoren, en de daaraan verbonden instrumenten van horizontaal toezicht, het voeren van reactief toezicht in de vorm van controlerende onderzoeken, analyse van datalekken, handhaving en daaraan verwante processen, het vergroten van de zelfredzaamheid van burgers, alsmede wetgevingsadvisering. Al deze taken worden ook nu al door de AP op grond van de Wbp uitgevoerd of kunnen door haar worden uitgevoerd. Het is evenwel juist dat met de AVG de voorlichtende en adviserende taken van de AP worden versterkt, door de (formele) opdracht die de Europese wetgever de toezichthoudende autoriteiten hiertoe geeft (o.a. artikel 57 AVG).
Een combinatie van enerzijds een adviserende rol en anderzijds een toezichthoudende en handhavende rol is echter ook voor sommige andere (markt)toezichthouders gebruikelijk. Zo doen bijvoorbeeld ook de ACM en de AFM aan een vorm van systeemtoezicht. Dat past bij de moderne toezichthouder. De ACM en AFM hebben echter geen formele taak op het terrein van wetgevingsadvisering. Een andere autoriteit die evenals de AP een veelheid aan taken heeft, die voor een belangrijk deel overeenkomen, is het College voor de rechten van de mens. Op grond van artikel 3 van de Wet College voor de rechten van de mens is dit college belast met – kort gezegd – voorlichting, het doen van onderzoek naar de bescherming van de rechten van de mens waaronder het behandelen van verzoeken om onderzoek te doen naar ongelijke behandeling, en het adviseren van de regering of het parlement over voorgenomen wetgeving die betrekking heeft op de rechten van de mens.
Mede om te voorkomen dat bedrijven geen advies meer durven te vragen uit vrees voor een bestuurlijke boete, heeft de AP in haar organisatie een scheiding aangebracht tussen de verschillende taken en bevoegdheden, waarbij – uitgaande van het onderscheid tussen systeemtoezicht en controlerende onderzoeken – sprake is van twee toezichtskolommen. De afdeling Klantcontact (telefonisch aanspreekpunt voor burgers en bedrijven, klachtbemiddeling en afhandeling van klachten en kortlopend onderzoek) is met controlerende onderzoeken in één kolom geplaatst. Systeemtoezicht (uitvoeren van «surveillance» binnen organisaties, accountmanagersrol) is in de andere toezichtskolom opgenomen. Tot systeemtoezicht behoren ook de instrumenten voor het horizontaal toezicht, zoals gedragscodes, (het toezicht op) certificering en voorafgaande raadpleging. Aan deze kolom is ook de afdeling Beveiliging toegevoegd.
Systeemtoezicht en controlerende onderzoeken zijn aldus gescheiden trajecten, waardoor sprake is van checks and balances. Dit betekent wel dat de afdeling Controlerende onderzoeken in voldoende mate zelf zicht moet hebben op mogelijke misstanden in het toezichtsveld. Dit kan door middel van een analyse van ontvangen klachten en signalen, datalekken en voldoende inzicht in het deel van het toezichtsveld waar een hoog risico voor geldt. Belangrijker nog is dat medewerkers die accountmanager zijn op juiste wijze worden opgeleid om hun onafhankelijkheid ten opzichte van de sector te bewaren. Het opzetten van een gedegen integriteitsbeleid zal hierbij helpen, evenals jaarlijkse trainingen en coaching op dit vlak door de leidinggevenden.
Tot slot is in dit kader van belang om op te merken dat de mogelijkheid voor een lidstaat om meerdere toezichthouders aan te wijzen, niet is bedoeld om te voorkomen dat er teveel taken en bevoegdheden in één hand komen. Deze mogelijkheid is in de eerste plaats bedoeld voor lidstaten met een federale structuur, zoals Duitsland, waar de verantwoordelijkheid voor de bescherming van persoonsgegevens is verdeeld tussen het federale niveau en het deelstaatniveau, en voor niet-federale lidstaten die het toezicht territoriaal gedeconcentreerd hebben georganiseerd, zoals Spanje. In overweging 117 staat dat de lidstaten de mogelijkheid moeten hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Ook uit de artikelen 57, 58 en 83 AVG, waarin is bepaald dat elke toezichthoudende autoriteit alle daar genoemde taken en bevoegdheden toekomen, kan worden afgeleid dat de AVG niet uitgaat van functionele scheiding tussen verschillende toezichthouders.
Vraag 25 (CDA)
Kent de regering enige ander Nederlands overheidsorgaan dat deze diversiteit van taken in zichzelf verenigd heeft, zeker waar het gaat om advisering en (harde) handhaving?
Graag wordt verwezen naar het antwoord op vraag 24.
Vraag 26 (CDA)
De voornoemde leden lezen dat op basis van artikel 57, eerste lid, sub b en d van de AVG dat de AP adviserende taken krijgt en tevens op basis van artikel 57, eerste lid, sub f, artikel 58 en artikel 83 AVG een onderzoeks- en beboetingsrol. Deze leden vragen de regering waarom specifiek deze twee taken, dus advies enerzijds en onderzoek en beboeting anderzijds, bij dezelfde toezichthouder zijn belegd. Ziet de regering dat dit tot onwenselijke situaties kan leiden waarbij men geen advies meer durft te vragen uit angst voor een mogelijke boete? Is met dit scenario rekening gehouden bij het aanwijzen van een enkele toezichthouder?
Over het algemeen is het zeer gebruikelijk dat toezichthouders ook voorlichting en advies geven, omdat ondertoezichtgestelden graag voorafgaand aan het ondernemen van een bepaalde activiteit willen weten hoe de toezichthouder de toepasselijke regels interpreteert. Zie verder het antwoord op vraag 24 hierboven.
Vraag 27 (CDA)
Hoe oordeelt de regering in dit licht over het standpunt van de AP om uit te gaan van het opleggen van boetes in het geval van misstanden?
Dat er boetes kunnen en zullen worden opgelegd door de AP daar waar sprake is van «misstanden», kan – natuurlijk – geen verrassing zijn. Bij het opleggen van bestuurlijke boetes zal de AP zich echter vanzelfsprekend dienen te houden aan de Algemene wet bestuursrecht (Awb) en de algemene beginselen van behoorlijk bestuur waardoor het rauwelijks opleggen van boetes niet snel aan de orde zal zijn. Graag wordt voor meer hierover verwezen naar het antwoord op de vragen 30 en 40.
Vraag 28 (CDA)
Ziet de regering geen mogelijke problemen ontstaan door een autoriteit al deze bevoegdheden te geven? Waarom is er geen gebruik gemaakt van het toewijzen van meerdere toezichthouders, daarmee een kans creërend om taken te splitsen, al dan niet door een nieuwe, extra toezichthouder in leven te roepen?
Zie het antwoord op vraag 24 hierboven.
Vraag 29 (CDA)
In dit kader vragen de aan het woord zijnde leden uit hoeveel leden het College van de AP dient te bestaan? Thans zijn er twee leden, de voorzitter en de plaatsvervanger. Maar zou de veelheid aan taken en ook de diversiteit aan taken niet rechtvaardigen dat het College standaard uit minimaal drie leden bestaat, met specifieke aandachtsgebieden? Graag een reactie van de regering hierop.
Op grond van de Wbp en wetsvoorstel dient AP uit minimaal twee leden te bestaan – de voorzitter en een ander lid – en maximaal uit drie leden. Deze constructie biedt de benodigde ruimte om alsnog een derde lid te benoemen mocht daar in de toekomst aanleiding toe zijn. Los daarvan blijft ook de mogelijkheid bestaan om buitengewone leden te benoemen, waardoor de AP de gewenste deskundige inbreng kan organiseren. De vraag of een derde collegelid nodig is, betreft de samenstelling van het bestuur. Er is vrij recent besloten dat een bezetting van het College met twee leden voldoende is.36 Vastgesteld kan worden dat twee leden, in combinatie met het intern mandateren van beheersmatige taken aan de ambtelijke organisatie en het slim organiseren van de portefeuilles op dit moment een goed werkbare situatie oplevert.37 Op grond van de nieuwe organisatiestructuur en werkwijze die de AP gaat hanteren, zullen meer taken worden gemandateerd aan het secretariaat. De leden van de AP zijn eindverantwoordelijk. Een noodzaak voor uitbreiding is er dan ook op dit moment niet. Ten behoeve van de nieuwe taken op grond van de AVG is de ambtelijke top verzwaard. De dagelijkse leiding is in handen van de algemeen directeur/secretaris en het directieteam. Gebleken is dat ook het externe bestuurlijke netwerk goed bediend kan worden door twee leden.
Vraag 30 (CDA)
In het verlengde hiervan vinden de voornoemde leden het vreemd om te constateren dat er in het onderhavige wetsvoorstel niet de voorafgaande bindende aanwijzing uit de huidige Wbp is overgenomen. Deze voorafgaande bindende aanwijzing dient thans verplicht te worden opgelegd aan de verantwoordelijke alvorens er een bestuurlijke boete kan worden opgelegd. Dit omdat de verantwoordelijken niet altijd zullen en hoeven te weten dat zij in overtreding zijn. Acht de regering dit bij de AVG niet meer nodig? Wat is de reden dat enige vorm van voorafgaande bindende aanwijzing niet is opgenomen in het onderhavige wetsvoorstel? Deelt de regering de mening van de aan het woord zijnde leden dat artikel 83 lid acht van de AVG ruimte biedt voor het opnemen van de voorafgaande bindende aanwijzing?
Kunnen de voornoemde leden concluderen dat door afwezigheid van een voorafgaande bindende aanwijzing de AP alleen rauwelijks bestuurlijke boetes kan opleggen? Zo nee, waarom niet? Zo ja, wat betekent dit voor het lex-certabeginsel dat punitief optreden in de weg staat als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet verwacht wordt? Is het opleggen van een boete dan nog toegestaan?
Op grond van de huidige Wbp is de AP in beginsel inderdaad verplicht om voorafgaand aan de oplegging van een bestuurlijke boete de verantwoordelijke een bindende aanwijzing te geven. Op deze plicht tot het afgeven van een degelijke voorafgaande waarschuwing is echter tevens meteen een belangrijke uitzondering gemaakt in de Wbp, namelijk als er sprake is van opzet of van ernstig verwijtbare nalatigheid. In dat geval kan de AP wel meteen een boete opleggen. Deze verplichting keert niet terug in het wetsvoorstel omdat hiervoor binnen de systematiek van de AVG geen ruimte is. De AP zal echter in de praktijk toch vaak gehouden blijven om voorafgaand aan het opleggen van een bestuurlijke boete een waarschuwing te geven. Het antwoord zal eerst ingaan op de systematiek van de AVG en daarna op de gevolgen voor het opleggen van bestuurlijke boetes door de AP.
Toezichthouders beschikken op grond van de AVG over een scala aan bevoegdheden om toezicht te houden op de naleving van de AVG en om zo nodig handhavend op te treden. Deze bevoegdheden zijn opgenomen in de artikelen 58 en 83 AVG. Deze artikelen laten geen ruimte om de toezichthouder op grond van lidstatelijk recht te verplichten tot het geven van een voorafgaande bindende aanwijzing voor het opleggen van een bestuurlijke boete. Artikel 58, zesde lid, maakt het weliswaar mogelijk dat lidstaten bij wet bepalen dat hun toezichthoudende autoriteit bijkomende bevoegdheden krijgt, maar niet dat deze aan bijkomende verplichtingen gebonden wordt. Voorts is in artikel 58, tweede lid, onderdeel d, AVG een bevoegdheid opgenomen die inhoudelijk zeer overeen komt met de bindende aanwijzing. De AP mag op grond van dat artikel «de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening». Weliswaar laat artikel 83, achtste lid, AVG ruimte om procedurele waarborgen uit het nationale recht van toepassing te verklaren op de uitoefening van de toezichthoudende bevoegdheden door de AP, maar dat gaat niet zo ver dat een bevoegdheid die de AP op grond van de AVG toekomt in een nationaalrechtelijke bepaling kan worden omgezet in een verplichting voor de AP tot het geven van een bindende aanwijzing voordat een boete mag worden opgelegd.38 Kortom, de systematiek van de AVG laat geen ruimte om de huidige systematiek van de Wbp op dit punt over te nemen in de UAVG. Daarenboven zou bij grensoverschrijdende gegevensverwerkingen een dergelijke nationale extra voorwaarde voor het kunnen opleggen van een bestuurlijke boete, onder omstandigheden de samenwerking tussen de verschillende nationale toezichthoudende autoriteiten bemoeilijken.
Dit alles neemt echter niet weg dat ook als de AVG van kracht is, het rauwelijks opleggen van een bestuurlijke boete door de toezichthouder in strijd kan zijn met de beginselen van behoorlijk bestuur.39 Zodra er sprake is van open normen zal er van een toezichthoudend bestuursorgaan in beginsel worden verlangd dat het helderheid verschaft over hetgeen van de belanghebbende precies wordt verwacht in het specifieke geval, voordat het opleggen van een punitieve sanctie aan de orde kan zijn. Het lex-certabeginsel staat dan aan rauwelijks punitief optreden al snel in de weg. Als het voor een verwerkingsverantwoordelijke in redelijkheid immers niet helder is wat van hem concreet wordt verwacht, zal het rauwelijks opleggen van een (hoge) bestuurlijke boete de rechterlijke toets ook niet kunnen doorstaan. Aan de andere kant kunnen er zich natuurlijk ook situaties voordoen waarbij de verwerkingsverantwoordelijke evident opzettelijk of grovelijk nalatig de verplichtingen, zoals deze op hem rusten, overtreedt en dan is het mogelijk om wel direct over te gaan tot het opleggen van een bestuurlijke boete. Dit is overigens nu ook onder het regime van de Wbp mogelijk.
Vraag 31 (CDA)
Hoe staat de regering tegenover het toevoegen van een mogelijkheid van een «pleitbaar standpunt», zoals het fiscale recht kent? Kan dat niet bijdragen aan meer rechtszekerheid voor alle betrokkenen?
Het pleitbaar standpunt is een leerstuk dat afkomstig is uit fiscaalrechtelijke jurisprudentie. Het is slechts in beperkte mate beschreven in een beleidsregel.40 Uit een recent verschenen proefschrift blijkt hoe complex het leerstuk is en dat de onderliggende principes, waaronder met name de vrijheid om de fiscaal gunstigste weg te kiezen, buiten het belastingrecht niet relevant lijken.41 Buiten het belastingrecht komt een succesvol beroep op het pleitbare standpunt niet voor.42
Dit neemt niet weg dat rechtszekerheid dient te worden meegewogen. Er kan geen bestuurlijke boete worden opgelegd als het voor een verwerkingsverantwoordelijke in redelijkheid niet helder is wat van hem concreet wordt verwacht. Dit volgt uit het hiervoor genoemde lex-certabeginsel.43
Vraag 32 (CDA)
De leden van de CDA-fractie constateren dat op basis van artikel 77, tweede lid, van de AVG de toezichthoudende autoriteit de klager altijd in kennis dient te stellen van de voortgang van de klacht en het resultaat van de klacht. De voornoemde leden vragen hoe de AP deze verplichting gaat waarmaken. Ziet de regering dat bij een toename van het aantal klachten, die in alle redelijkheid verwacht mag worden, deze bindende verplichting tot veel extra werk zal leiden?
De AP heeft onder de AVG geen beleidsvrijheid ten aanzien van het wel of niet in behandeling nemen van klachten. Op grond van artikel 77, tweede lid, AVG stelt de toezichthoudende autoriteit de klager in kennis van de voortgang en het resultaat van de klacht. Hieruit volgt dat op alle ingediende klachten een inhoudelijke reactie zal moeten volgen. Dit betekent evenwel niet, dat het onderzoek dat ten grondslag ligt aan de beantwoording van de klacht, in alle gevallen even uitgebreid zou moeten zijn. Het staat de AP vrij om hierin op basis van beleidsprioriteiten een afweging te maken inzake de intensiteit van het onderzoek dat op een klacht volgt. De ervaring leert echter dat het voor burgers erg belangrijk is om te weten wat er met hun klacht gebeurt. Dat rechtvaardigt een verplichting als hierboven genoemd en de AP heeft haar organisatiestructuur hier dan ook op ingericht.
De precieze gevolgen voor de benodigde capaciteit van de verschillende werkprocessen en taken op grond van de AVG voor de AP laten zich lastig voorspellen. Om daar beter zicht op te krijgen wordt er gemonitord. Deze monitor wordt momenteel in samenspraak met de AP tot stand gebracht en zal door de Auditdienst Rijk (ADR) worden getoetst. Wanneer op basis van deze monitoring uitbreiding geïndiceerd is, dan is dit onderwerp van bespreking met de AP en maakt dit vervolgens deel uit van het reguliere begrotingsproces.
Vraag 33 (CDA)
Deze leden vragen de regering welk beoordelingskader de AP hanteert bij het nemen van beslissingen over klachten. Wordt hierbij ook rekening gehouden met het belang van innovatie?
Wanneer een klacht tevens een handhavingsverzoek is (een verzoek om op te treden) en klachtbemiddeling en alternatieve interventies niet afdoende blijken, dan zal de AP een formeel besluit moeten nemen. Het beoordelingskader (de «beginselplicht tot handhaving») is ten aanzien van herstelsancties volgens vaste jurisprudentie het volgende.
Het opleggen van bijvoorbeeld de herstelsanctie last onder dwangsom (artikel 5:32 Awb) is weliswaar een discretionaire bevoegdheid, geen «gebonden» verplichting voor de AP. Dat betekent dat het bevoegde bestuursorgaan – wanneer een overtreding is geconstateerd – de betrokken belangen die voor én tegen handhaving pleiten tegen elkaar moet afwegen (artikel 3:4, eerste lid, Awb). Voor handhavend optreden pleit: het algemene belang van de naleving van wettelijke voorschriften (dat weegt zwaar) en het voorkomen van eventuele precedentwerking. Tegen handhaving zou in een concreet geval kunnen pleiten: het (financiële) belang van de overtreder (daaraan komt geen groot gewicht toe) of het belang van innovatie. Volgens vaste jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State komt het bestuursorgaan bij deze afweging echter slechts beperkte beleidsvrijheid toe: slechts onder bijzondere omstandigheden mag het bestuursorgaan afzien van handhaving als er sprake is van een overtreding. Dit is bijvoorbeeld mogelijk bij concreet zicht op legalisatie of als handhavend optreden zodanig onevenredig is in verhouding tot de daarmee te dienen belangen dat van optreden in die concrete situatie behoort te worden afgezien.44 Het gaat echter dus ook niet zo ver dat er sprake zou zijn van een algemene «beginselplicht tot beboeting».
Vraag 34 (CDA)
Daarnaast vragen de aan het woord zijnde leden over de toezichthoudende autoriteit hoe de samenwerking met andere autoriteiten wordt vormgegeven. De Autoriteit Financiële Markten, de Autoriteit Consument en Markt, de Nederlandse Bank, de Kansspelautoriteit en de Nederlandse zorgautoriteit zullen allen ook te maken krijgen met de inwerkingtreding van de AVG en het onderhavige wetsvoorstel. Kan de regering aangeven welke rol zij hebben wat betreft de gegevensverwerking? Bevat het onderhavige wetsvoorstel voldoende handvatten voor een effectieve samenwerking tussen deze toezichthouders? Verandert de AVG en het wetsvoorstel niets aan de nationale samenwerking?
De AP is aangewezen als de toezichthouder op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de AVG of de wet bepaalde.45 Op internationaal niveau is de voorzitter van de AP namens de nationale toezichthoudende autoriteit lid van het Comité. Op deze manier wordt geborgd dat de geldende normen uniform worden uitgelegd, in overeenstemming met de afspraken die de verschillende toezichthouders uit de Europese lidstaten met elkaar maken. Voorts leidt dit tot rechtszekerheid bij betrokkenen, verwerkingsverantwoordelijken en verwerkers. Zie voor de achtergronden van deze keuze tevens de antwoorden op vraag 24.
De omstandigheid dat Nederland geen gebruik maakt van de mogelijkheid om naast de AP andere organen te belasten met de handhaving van de AVG, doet echter niet af aan de omstandigheid dat naast de AP ook de Autoriteit Consument en Markt (ACM) van oudsher een taak heeft bij de handhaving van wetgeving die mede kan zien op de verwerking van persoonsgegevens. De Autoriteit persoonsgegevens en de ACM hebben daartoe een samenwerkingsprotocol vastgesteld.46 Ook zal samenwerking tussen de AP en de andere nationale toezichthouders aan de orde blijven in verband met het delen van toezichtgegevens verkregen tijdens onderzoeken uitgevoerd door deze andere toezichthouders. Deze toezichtgegevens kunnen immers relevant zijn voor de AP met betrekking tot het toezichthouden op gegevensverwerkingen. Ook daarvoor kan een samenwerkingsprotocol worden opgesteld. Ingeval persoonsgegevens worden verstrekt tussen de toezichthouders, biedt artikel 19 van het wetsvoorstel daarvoor een voldoende wettelijke grondslag, dit artikel is gelijk aan artikel 51a Wbp. Het wetsvoorstel brengt daarin geen verandering.
Tot slot kan er ook een overlap in toezicht ontstaan in die gevallen waarin een bepaald feitencomplex niet alleen een overtreding van de AVG of het wetsvoorstel oplevert, maar ook een overtreding van andere Europese of nationale wetgeving waarvan het toezicht is opgedragen aan een andere toezichthouder. Teneinde dergelijke dubbelingen in het toezicht en rechtsonzekerheid bij burgers en bedrijven zoveel mogelijk te voorkomen, heeft de AP vanuit haar verantwoordelijkheid voor het toezicht op de naleving van de AVG en het wetsvoorstel op grond van artikel 19 van het wetsvoorstel de bevoegdheid om samenwerkingsprotocollen op te stellen met andere toezichthouders.
Vraag 35 (D66)
De leden van de D66-fractie menen dat een sterke toezichthouder, die de middelen heeft om de wet streng te handhaven en tegelijkertijd mee kan denken met bedrijven om alle vereisten op een juiste manier in de praktijk te laten landen, noodzakelijk is. Kan de regering aangeven in hoeverre de huidige middelen van de AP hier toereikend voor zijn?
Voor de uitbreiding van de taken van de AP als gevolg van de AVG wordt vanaf 2019 € 7 miljoen structureel aan het huidige budget van de AP toegevoegd. Dit is nagenoeg een verdubbeling van het huidige budget van de AP. Aan de hand van de realisatiecijfers van de AP zal worden gemonitord of het benodigde bedrag lager of hoger uitvalt dan € 7 miljoen. Deze monitor wordt momenteel in samenspraak met de AP tot stand gebracht en zal door de Auditdienst Rijk (ADR) worden getoetst. Mocht er op basis van deze monitoring verdere uitbreiding noodzakelijk blijken dan zal hierover het gesprek met de AP worden gevoerd en maakt dit vervolgens deel uit van het reguliere begrotingsproces.
Vraag 36 (SP)
De leden van de SP-fractie constateren dat de AP in haar brief aan de commissie Justitie en Veiligheid op pagina vier schrijft dat het uit de AVG voortvloeit dat de voorgestane onafhankelijkheid van de AP een afzonderlijke, publieke jaarbegroting rechtvaardigt. Toch kiest de regering er voor om de begroting van de AP op basis van de inhoud van de Comptabiliteitswet deel uit te laten maken van de departementale begroting van het Ministerie van Justitie en Veiligheid. De voornoemde leden vragen waarom de regering hier voor kiest. Is de regering het met de AP eens dat dit op gespannen voet staat met de bepalingen hierover in de AVG? Zou het niet beter zijn voor de onafhankelijke positie van de AP wanneer zij beschikt over een eigen begroting? Zo nee, waarom niet? Hoe denkt de regering de (schijn van) invloed van het Ministerie van Justitie en Veiligheid op het beleid van de AP aan banden te leggen?
In artikel 52 AVG is het belangrijke uitgangspunt vastgelegd dat de toezichthoudende autoriteit volledig onafhankelijk optreedt bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig de AVG zijn toegewezen. In dat kader wordt tevens bepaald dat de leden van elke toezichthoudende autoriteit bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig de AVG vrij blijven van al dan niet rechtstreekse externe invloed en dat zij geen instructies vragen of aanvaarden van wie dan ook. In deze kernbepalingen is de onafhankelijkheid van de AP verankerd: een derde mag geen enkele bemoeienis hebben – direct of indirect – met de uitvoering van de taken en de uitoefening van de bevoegdheden van de AP overeenkomstig de AVG en de UAVG. Dit geldt ook voor de Minister. Ter onderstreping van die onafhankelijkheid zijn in het onderhavige wetsvoorstel, net als in de Wbp, enkele bepalingen van de Kaderwet zelfstandige bestuursorganen geheel of gedeeltelijk buiten toepassing verklaard. Het betreft de artikelen 12 (benoeming, schorsing, ontslag van leden van een ZBO door de Minister), 20 (inzage in gegevens), 21 (stellen beleidsregels), 22 (vernietiging van besluiten) en 23 (taakverwaarlozing) van de Kaderwet zelfstandige bestuursorganen. De in artikel 23 van de Kaderwet geregelde verwaarlozingsregeling is slechts van toepassing ten aanzien van het door de AP gevoerde financiële beheer en de administratieve organisatie. Ten opzichte van de Wbp wordt de wettelijke borging van de onafhankelijkheid met het wetsvoorstel zelfs verder verstevigd: de ambtenaren van het secretariaat worden voortaan door de AP zelf aangesteld, geschorst en ontslagen.47 Ook komt met het wetsvoorstel de plicht tot het hebben van een door de Minister goed te keuren bestuursreglement te vervallen.
Het voorgaande betekent echter niet dat de Minister geen enkele bemoeienis met het beheer of de begroting van de AP zou mogen hebben. Volgens de AVG dient elke lidstaat ervoor te zorgen dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden. Ook dient elke lidstaat ervoor te zorgen dat op elke toezichthoudende autoriteit financieel toezicht wordt uitgeoefend, uiteraard zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt. Ten aanzien van het beheer en de begroting heeft de Minister derhalve een uitdrukkelijke verantwoordelijkheid, die hij wel waar moet kunnen maken.
Tot slot bepaalt de AVG dat elke toezichthoudende autoriteit een afzonderlijke, publieke jaarbegroting heeft, die een onderdeel kan zijn van de algehele staatsbegroting of nationale begroting.
Wat betreft de begroting van de AP is dan ook niet gekozen voor een wijziging van de huidige situatie. Doordat het budget van de AP onderdeel uitmaakt van de departementale begroting van het Ministerie van Justitie en Veiligheid, komt de integrale ministeriële verantwoordelijkheid met betrekking tot de begroting het beste tot uitdrukking en worden de daarin gemaakte budgettaire afwegingen in samenhang gepresenteerd en kunnen deze worden beoordeeld door het parlement.
Dit systeem van begroten is in overeenstemming met artikel 52, zesde lid, AVG. Het oordeel van de AP dat het op gespannen voet zou staan met de AVG wanneer de begroting van de AP onderdeel vormt van de departementale begroting van Justitie en Veiligheid wordt derhalve niet gedeeld. Bovendien zou een afzonderlijke niet-departementale begroting voor de AP slechts een symbolische betekenis hebben. De verantwoordelijkheid van de Minister voor een afzonderlijke begroting is niet anders dan die voor de departementale begroting. De Minister is ook in die situatie belast met de indiening van de begroting en blijft als stelselverantwoordelijke politiek aanspreekbaar op het functioneren van de AP. In het kader van de begrotingsbehandeling van Justitie en Veiligheid kan het parlement desgewenst een discussie voeren over het onderdeel van de begroting dat ziet op de AP.
Vraag 37 (SP)
In het rapport van Andersson Elffers Felix zijn drie scenario’s uitgewerkt voor het verwachte extra budget dat de AP nodig zou hebben, te weten: scenario laag á 12 miljoen euro, scenario midden á 16 miljoen euro en scenario hoog á 22 miljoen euro. Toch wordt er nu door de regering voor gekozen om slechts 7 miljoen euro extra ter beschikking te stellen. Dit terwijl de AP in haar brief aangeeft op pagina zes dat het midden en hoog scenario de meest waarschijnlijke scenario’s zijn. De aan het woord zijnde leden verwachten dan ook dat de AP met de 7 miljoen euro extra haar (extra) taken niet voldoende zal kunnen uitvoeren en vrezen voor de bescherming van de privacy van Nederlandse burgers. De AP geeft feitelijk aan meer geld nodig te hebben. Is de regering bereid de AP hierin tegemoet te komen? Zo nee, waarom niet?
Het AEF-rapport is gebaseerd op een groot aantal aannames. Kwantificering van de toekomstige verandering in volumes en werklast is lastig in te schatten omdat een historie ontbreekt. Dit geldt bijvoorbeeld voor het verwachte aantal klachten, de precieze vormgeving van de samenwerking tussen de Europese toezichthouders en ook het in te voeren systeemtoezicht.
Voor de uitbreiding van de taken van de AP als gevolg van de AVG wordt vanaf 2019 € 7 miljoen structureel aan het huidige budget van de AP toegevoegd. Dit is nagenoeg een verdubbeling van het huidige budget van de AP. Aan de hand van de realisatiecijfers van de AP zal worden gemonitord of het benodigde bedrag lager of hoger uitvalt dan € 7 miljoen. Deze monitor wordt momenteel in samenspraak met de AP tot stand gebracht en zal door de Auditdienst Rijk (ADR) worden getoetst. Mocht er op basis van deze monitoring verdere uitbreiding noodzakelijk blijken dan zal hierover het gesprek met de AP worden gevoerd en maakt dit vervolgens deel uit van het reguliere begrotingsproces.
Vraag 38 (SP)
De voornoemde leden lezen in artikel 42 van het onderhavige wetsvoorstel dat de uitzondering voor financiële ondernemingen als bedoeld in de Wet op het financieel toezicht op het melden van een datalek aan betrokkenen gecontinueerd blijft onder het onderhavige wetsvoorstel. Deze leden vragen aan de regering waarom hier voor wordt gekozen. Zij zien hier de noodzaak namelijk niet van in. De AP is eveneens van oordeel dat klanten van een financiële onderneming op de hoogte moeten worden gebracht van een datalek indien dat waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Kan de regering ingaan op de uitspraken van de AP aangaande dit onderwerp op pagina’s 10 en 11 van genoemde brief?
Artikel 42 van het wetsvoorstel is identiek aan het elfde lid van artikel 34a Wbp. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is ervoor gekozen om deze bepaling ook in het wetsvoorstel weer op te nemen.
Vraag 39 (ChristenUnie)
De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat wordt aangeven dat een ambtenaar in dienst van de AP de informatie die de ambtenaar in het kader van zijn toezichthoudende taken ontvangt, doorgaans onder de geheimhoudingsplicht vallen. De voornoemde leden verzoeken de regering toe te lichten welke uitzonderingen voorzien zijn, nu gesproken wordt over «doorgaans».
Op grond van artikel 125a, derde lid, Ambtenarenwet is de ambtenaar in dienst van de AP verplicht tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen «voor zover die verplichting uit de aard der zaak volgt». De geheimhoudingsplicht van artikel 125a Ambtenarenwet is dus niet absoluut en om die reden wordt in de memorie van toelichting het woord «doorgaans» gebruikt. Voorstelbaar is bijvoorbeeld dat een ambtenaar in dienst van de AP in het kader van zijn taakuitoefening kennis krijgt van een ernstig strafbaar feit dat niet valt binnen de competentie van de AP. In dat geval moet de desbetreffende ambtenaar van dit strafbare feit melding kunnen maken bij de bevoegde autoriteiten zonder in strijd te handelen met zijn geheimhoudingsplicht.
Vraag 40 (ChristenUnie)
De aan het woord zijnde leden verzoeken de regering nader toe te lichten waarom, ondanks de opmerkingen van de Afdeling hierover, in het onderhavige wetsvoorstel de verplichting voor de AP ontbreekt om voorafgaand aan de oplegging van een sanctie de verantwoordelijke een bindende aanwijzing te geven. Een verplichting die de huidige Wbp wel kent.
Voor een antwoord op deze vraag wordt verwezen naar het antwoord op vraag 30 en punt 10a. van het nader rapport.
Vraag 41 (ChristenUnie)
Zijn er, als de ruimte voor een verplichting ontbreekt, andere wegen om hetzelfde resultaat te bereiken?
Vanzelfsprekend zal de AP zich als bestuursorgaan aan de zorgvuldigheids- en evenredigheidseisen van de Awb moeten houden hetgeen met zich mee brengt dat zeker niet altijd zomaar rauwelijks een boete kan worden opgelegd. Verwezen zij ook naar het antwoord op vraag 30.
Vraag 42 (SGP)
De leden van de SGP-fractie vragen in het algemeen of er zo breed mogelijk gebruik gemaakt kan worden van de mogelijkheden die de AVG heeft om uitzonderingen toe te staan, omdat het naar hun mening ongewenst is wanneer de samenleving en het maatschappelijk middenveld onnodig gebureaucratiseerd wordt.
Het uitgangspunt bij de uitvoering van de AVG is dat er zo weinig mogelijk wijzigingen worden aangebracht ten opzichte van de Wbp (beleidsneutrale uitvoering) zodat de invoering van de nieuwe regels zo soepel mogelijk kan verlopen en het wetgevingsproces geen onnodige vertraging oploopt. Dit betekent dat bestaande uitzonderingen worden gehandhaafd voor zover zij verenigbaar zijn met de AVG, maar dat in beginsel geen nieuwe uitzonderingen worden opgenomen. Het invoeren van inhoudelijke wijzigingen die niet dwingend uit de AVG voortvloeien, zou samenleving en maatschappelijk middenveld juist voor nieuwe problemen stellen. De evaluatie van de UAVG binnen drie jaar kan uiteraard wel aanleiding geven tot nadere aanpassingen.
Vraag 43 (VVD)
De leden van de VVD-fractie constateren dat de AVG en het onderhavige wetsvoorstel toestemming hanteren als primaire rechtvaardigingsgrond voor gegevensverwerking. Is eenmaal gegeven toestemming geldig voor altijd? Behoren hier in de wetgeving grenzen aan te worden gesteld? Behoren er in de wetgeving ondergrenzen gesteld te worden aan de mate waarin de toestemminggever bewust is van de toestemming (denk daarbij aan de vaak gedachteloze instemming met veel algemene voorwaarden in de huidige praktijk)? Kan het opnemen van toestemming in de algemene voorwaarden (de «kleine lettertjes») voldoende toestemming opleveren? Personen stemmen vaak toe met gegevensverwerking voor individuele diensten. Maar behoren er niet grenzen te zijn aan het combineren van gegevens door aanbieders van veel verschillende diensten, zoals veel internetgiganten en grote webwinkels? Hoe is of wordt dit geregeld?
Eenmaal gegeven toestemming kan te allen tijde worden ingetrokken, aldus artikel 7, derde lid, AVG. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven ervan. De ondergrenzen aan toestemming zijn gegeven in artikel 7 en in de definitie van toestemming uit artikel 4, elfde lid, AVG: «elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt». Overweging 32 verduidelijkt dat stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit niet als toestemming mag gelden. Een toestemmingsvraag mag ook niet worden verstopt in de kleine lettertjes, want artikel 7, tweede lid, AVG bepaalt dat de toestemmingsvraag zodanig moet worden gepresenteerd dat een duidelijk onderscheid wordt gemaakt met andere aangelegenheden. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend, zo blijkt uit overweging 32. Bij de beoordeling of toestemming vrijelijk wordt gegeven wordt zoveel mogelijk rekening gehouden met de vraag of de toestemming vereist is voor de uitvoering van een (diensten)overeenkomst, aldus artikel 7, vierde lid, AVG. Tot slot is het belangrijk te vermelden dat op grond van artikel 7, eerste lid, van de verordening op de verwerkingsverantwoordelijke de bewijslast rust dat de betrokkene toestemming heeft gegeven. Met artikel 7 zijn de mogelijkheden voor lidstaten om de AVG aan te vullen of te specificeren, uitgeput, omdat de AVG die mogelijkheden niet biedt.
Vraag 44 (VVD)
Daarnaast stelt het onderhavige wetsvoorstel een leeftijdsgrens voor het geven van toestemming van 16 jaar. Gezien met name de online-activiteiten van kinderen onder die leeftijd, zijn er situaties denkbaar waarin er mogelijkheid is van afwijking hiervan? Is hier studie naar gedaan? Hoe is of wordt dit geregeld?
Als het gaat om online-activiteiten van kinderen is artikel 8 AVG van belang. Dat ziet op toestemming voor de verwerking van persoonsgegevens als sprake is van een «aanbod van een dienst van de informatiemaatschappij». Het regelt – kort gezegd – voor internet- en mobiele telefoniediensten, die gewoonlijk tegen betaling worden verricht, dat toestemming van de wettelijke vertegenwoordiger is vereist als de minderjarige jonger is dan 16 jaar. Op grond van artikel 8 kunnen lidstaten ervoor kiezen voor internet- en mobiele telefoniediensten een lagere leeftijdsgrens van 13, 14 of 15 jaar vast te stellen. Verdere differentiatie is niet toegestaan, zoals ook is bevestigd door de Europese Commissie.48 Van de mogelijkheid om een lagere leeftijdsgrens op te nemen dan 16 jaar in het wetsvoorstel is geen gebruik gemaakt.
Voor de gevallen waarop artikel 8 niet van toepassing is (dus voor de andere gevallen dan betaalde internet- en mobiele telefoniediensten), regelt het voorgestelde artikel 5, eerste lid, van het wetsvoorstel dat daarvoor eveneens 16 jaar als leeftijdsgrens geldt voor het zelfstandig kunnen geven van toestemming voor het verwerken van persoonsgegevens.
De Wbp (en voorheen de Wet persoonsregistraties) bevat een leeftijdsgrens van 16 jaar, ongeacht of het gaat om in beginsel betaalde internet- en mobiele telefoniediensten. Gelet op het strak gehanteerde uitgangspunt van beleidsneutrale implementatie wordt voorgesteld in beide categorieën de leeftijdsgrens van 16 jaar te handhaven. Overigens zien artikel 8 AVG en artikel 5 UAVG uitsluitend op de toestemming die vereist is voor het verwerken van persoonsgegevens. Deze bepalingen doen geen afbreuk aan het algemene overeenkomstenrecht en laten dus onverlet dat een minderjarige (een persoon jonger dan 18 jaar) voor het verrichten van rechtshandelingen, zoals het aangaan van een overeenkomst, toestemming van zijn wettelijk vertegenwoordiger nodig heeft, tenzij het een rechtshandeling betreft ten aanzien waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van zijn leeftijd deze zelfstandig verrichten (artikel 234 van Boek 2 van het Burgerlijk Wetboek). Verder wordt verwezen naar de antwoorden op de vragen 45, 46 en 84.
Vraag 45 (D66)
De leden van de D66-fractie hebben kennisgenomen van de bepaling die stelt dat jongeren onder de 16 jaar alleen met toestemming van hun ouders een online profiel mogen aanmaken. Deze leden verzoeken de regering te reflecteren op de haalbaarheid, handhaafbaarheid en wenselijkheid hiervan. Daarnaast vernemen zij graag waarom is gekozen voor de leeftijd van 16 jaar en hoe deze zich verhoudt tot andere Europese landen (o.a. Denemarken, Tsjechië en Finland) waar is gekozen voor een leeftijdsgrens van 13 jaar.
In de AVG is de leeftijdsgrens waaronder kinderen toestemming van hun ouders moeten hebben in verband met «een rechtstreeks aanbod van diensten van de informatiemaatschappij» gesteld op 16 jaar, maar met de mogelijkheid voor lidstaten om daarvan af te wijken (met als ondergrens 13 jaar). Gelet op het strak gehanteerde uitgangspunt van beleidsneutrale implementatie sluit de regering aan bij de hoofdregel. De lijn dat in Nederlandse wetgeving 16 jaar als grens wordt gebruikt voor het verschaffen van toestemming voor gegevensverwerking wordt daarmee voortgezet; in artikel 5 Wbp wordt nu immers ook een leeftijdsgrens van 16 jaar gehanteerd. Deze leeftijdsgrens wordt overigens breder toegepast binnen het Nederlands recht. Ook in het strafrecht speelt de grens van 16 jaar een belangrijke rol, onder meer bij de scheiding tussen het jeugdstrafrecht en adolescentenstrafrecht en het recht op seksuele zelfbeschikking.
Verschillende lidstaten kiezen voor verschillende leeftijdsgrenzen. Aangezien de meeste wetsvoorstellen van andere lidstaten ter implementatie van de AVG nog niet officieel zijn vastgesteld, is er nog geen definitieve balans op te maken. Een informele inventarisatie afgelopen najaar leverde een zeer divers beeld op; de verschillende wetsvoorstellen bevatten niet alleen leeftijdsgrenzen van 13 of 16 jaar, maar soms ook van 14 of 15 jaar. Duitsland heeft eveneens gekozen om geen gebruik te maken van de mogelijkheid om een lagere leeftijdsgrens te introduceren.
De AP en de andere Europese toezichthouders zijn verantwoordelijk voor de handhaving. Het is hun taak om te controleren hoe partijen die onlinediensten aanbieden hun processen hebben ingericht om te voorkomen dat persoonsgegevens van kinderen zonder toestemming van hun wettelijke vertegenwoordigers worden verwerkt; er wordt hierbij getoetst op zogenaamde «reasonable efforts». De inspanning die een dergelijke controle vergt voor de verwerkingsverantwoordelijke moet in redelijke verhouding staan tot bijvoorbeeld de gevoeligheid van de persoonsgegevens die worden verwerkt. Het is voor een aanbieder eenvoudig om de consument te vragen naar de leeftijd en zo nodig te vragen om te verklaren dat vereiste toestemming van de ouders is verleend. Onder omstandigheden kan van de aanbieder nader onderzoek worden verlangd om uit te zoeken of deze toestemming daadwerkelijk is gegeven. De bewijslast ligt ook bij de verwerkingsverantwoordelijke: deze dient aannemelijk te maken dat de toestemming is verleend. De AP kan ambtshalve of naar aanleiding van meldingen of klachten onderzoek doen naar de vraag hoe aanbieders van online diensten zich ervan vergewissen of toestemming voor het aanmaken van een online profiel is vereist en, zo ja, of deze toestemming is verleend. Zo nodig kan de AP bij geconstateerde overtredingen handhavend optreden.
Vraag 46 (D66)
De voornoemde leden zijn van mening dat deze abstracte leeftijdsgrens jongeren in een lastig pakket kan brengen indien zij online iets te weten willen komen wat bijvoorbeeld nog niet met de ouders, of andere betrokkenen, besproken kan worden. Een voorbeeld hiervan is bijvoorbeeld een LHBTI-jongere die nog in de kast zit, maar wel meer te weten wil komen over zichzelf. Ziet de regering ook dat deze jongeren onnodig voor obstakels worden geplaatst?
De regering is van oordeel dat jongeren gebruik moeten kunnen maken van diverse online diensten. Jongeren kunnen op deze manier toegang krijgen tot informatie en geven zo ook hun persoonlijke en sociale leven vorm. Tegelijkertijd kan de regering niet te lichtvoetig omgaan met de privacy van kinderen. Ouders moeten in het kader van online veiligheid een beschermende rol kunnen blijven spelen, bijvoorbeeld bij het tegengaan van cyberpesten, ongewenst pornografisch materiaal en fenomenen zoals «sexting». Ook daar waar commerciële belangen spelen, kan extra bescherming van jongeren aangewezen zijn.
Overweging 38 van de AVG verwoordt het als volgt: «Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifiek bescherming aangezien zij zich allicht minder bewust zijn van de betrokken risico’s gevolgen en waarborgen en van hun rechten in verband met de verwerking van hun persoonsgegevens. Die specifieke bescherming moet men name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van een persoonlijkheids- of gebruikersprofiel en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan het kind worden aangeboden, is toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist. (eigen cursivering)»
Om er geen twijfel over te laten bestaan dat een minderjarige (of curandus) ook contact moet kunnen opnemen met een hulp- of adviesdienst zonder dat hij daarvoor eerst toestemming behoeft vragen aan zijn ouders (of curator), zal bij nota van wijziging een lid met die strekking worden toegevoegd aan artikel 5 van het wetsvoorstel. Daaraan wordt geen nieuwe of andere leeftijdsgrens verbonden, want ook een acht- of tienjarige moet zonder toestemming van zijn ouders contact kunnen opnemen met de Kindertelefoon of een andere hulpverleningsinstantie.
Vraag 47 (D66)
Tot slot vernemen de aan het woord zijnde leden graag of deze leeftijdsgrens verenigbaar is met het Kinderrechtenverdrag. Zo ja, kan de regering dit toelichten?
Het Kinderrechtenverdrag (IVRK) bevat verschillende bepalingen die relevant zijn om te bespreken bij deze vraag, waar het gaat om de rechten en bescherming van kinderen. Artikel 5 IVRK voorziet in rechten en plichten van ouders en andere wettelijk vertegenwoordigers om het kind te leiden en begeleiden bij de uitoefening van zijn of haar in het verdrag erkende rechten, op een wijze die verenigbaar is met de zich ontwikkelende vermogens van het kind. Vervolgens bevatten artikelen 12 t/m 17 diverse fundamentele rechten, zoals het recht op privéleven en het recht om inlichtingen en denkbeelden van welke aard ook te vergaren en te ontvangen. In artikel 17 IVRK staat dat de Staten waarborgen dat het kind toegang heeft tot informatie uit een verscheidenheid van nationale en internationale bronnen, in het bijzonder informatie en materiaal gericht op het bevorderen van zijn of haar sociale, psychische en morele welzijn en zijn of haar lichamelijke en geestelijke gezondheid. De Staat heeft tegelijkertijd op grond van art. 17, onder e, IVRK de plicht om de ontwikkeling van passende richtlijnen aan te moedigen om het kind te beschermen tegen informatie en materiaal die schadelijk is voor zijn of haar welzijn. Uit het IVRK kan dus geen eenduidige leeftijdsgrens worden afgeleid. Met inachtneming van deze beginselen in het IVRK is het aan Staten om een goede balans te vinden bij de beoordeling wat een geschikte leeftijd is voor het toestemmingsvereiste. Naar het oordeel van de regering is de bepaling dat jongeren onder de zestien jaar alleen mét toestemming van hun ouders bijvoorbeeld een online profiel mogen aanmaken verenigbaar met het IVRK.
Vraag 48 (CDA)
De leden van de CDA-fractie lezen dat op basis van het beginsel van doelbinding persoonsgegevens alleen verzameld mogen worden voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel en dat zij vervolgens niet verder op een met dat doel onverenigbare wijze mogen worden verwerkt. Daarbij wordt echter wel omschreven dat het beginsel van doelbinding niet absoluut is, verdere verwerking van verzamelde gegevens moet mogelijk blijven mits er aan een van de voorwaarden zoals opgesomd op pagina 38 van de memorie van toelichting wordt voldaan. Deze structuur van het beginsel van doelbinding met niet hele concrete uitzonderingen zal in de praktijk leiden tot onduidelijkheid. Hoe gaat de regering waarborgen dat deze onduidelijkheid niet zal leiden tot handelingsangst bij organisaties die met persoonsgegevens werken? Kan de regering enkele concrete voorbeelden geven waarin het verder verwerken van verzamelde gegevens strijdig is met het beginsel van doelbinding en voorbeelden geven waarin het juist is toegestaan om verzamelde gegevens verder te verwerken? Ook vragen de voornoemde leden of het niet mogelijk was om het beginsel van doelbinding en de toegestane uitzonderingen helder uit te werken in het onderhavige wetsvoorstel.
Doelbinding was ook reeds in richtlijn 95/46/EG een van de belangrijkste beginselen van verwerking van persoonsgegevens. Onder de AVG verandert dit niet. Wel worden de uitzonderingen op het beginsel van doelbinding nader uitgewerkt in artikel 6, vierde lid, AVG, maar in materiële zin is dit geen ingrijpende wijziging ten opzichte van de thans opgenomen regeling in de Wbp. De regering is daarom niet bevreesd voor handelingsangst bij organisaties die met persoonsgegevens werken. Deze organisaties kunnen er in beginsel van uitgaan dat, wanneer zij nu met betrekking tot verdere verwerking van persoonsgegevens in overeenstemming met artikel 9 Wbp handelen, zij ook aan de criteria van artikel 6, vierde lid, AVG voldoen.
Onder verdere verwerking van persoonsgegevens wordt verstaan: iedere verwerking van persoonsgegevens voor een ander doel dan het doel waarvoor deze gegevens oorspronkelijk zijn verzameld. Artikel 6, vierde lid, AVG maakt hierbij een onderscheid tussen enerzijds verdere verwerking voor een ander doel dat verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld (verenigbare verdere verwerking) en anderzijds verdere verwerking voor een ander doel dat niet verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld (niet-verenigbare verdere verwerking). Aan de hand van onder meer de criteria die worden genoemd in artikel 6, vierde lid, AVG, kan de verwerkingsverantwoordelijke zelf bepalen of er sprake is van verenigbare verdere verwerking. De AP kan hierover nadere richtsnoeren vaststellen. Artikel 6, vierde lid, AVG wijkt in dit opzicht niet wezenlijk af van artikel 9 Wbp. Als er sprake is van verenigbare verdere verwerking, is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. De AVG gaat ervan uit dat in dat geval het beginsel van doelbinding niet wordt doorbroken.
Artikel 6, vierde lid, AVG noemt, zoals gezegd, een aantal criteria aan de hand waarvan de verwerkingsverantwoordelijke kan bepalen of er sprake is van verenigbare verdere verwerking. Deze criteria komen inhoudelijk overeen met artikel 9, tweede lid, Wbp en zijn niet uitputtend. Het gaat om:
a. Het verband tussen het oorspronkelijke doel en het doel van de voorgenomen verdere verwerking. Hierbij kan onder meer van belang zijn in hoeverre er sprake is van een min of meer logische vervolgstap in de verwerking. Het gaat dan met name om de redelijke verwachting van de betrokkenen op basis van hun verhouding met verwerkingsverantwoordelijke betreffende het verdere gebruik ervan. Hoe groter de afstand tussen het oorspronkelijke doel en het doel van de voorgenomen verdere verwerking, hoe minder snel mag worden aangenomen dat er sprake is van verenigbare verdere verwerking.
b. Het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft. Hierbij is onder meer relevant of de betrokkene wettelijk verplicht is zijn persoonsgegevens te verstrekken aan bijvoorbeeld een overheidsinstantie. Maar ook indien er sprake is van een contractuele relatie tussen verwerkingsverantwoordelijke en betrokkene speelt de machtsverhouding tussen beiden een rol. Wanneer er sprake is van gelijkwaardigheid tussen partijen en de gegevensverstrekking op basis van vrijelijk gegeven toestemming van de betrokkene geschiedt, zal er eerder sprake zijn van verenigbare verdere verwerking dan wanneer de verwerkingsverantwoordelijke (publiek of privaat) over een machtspositie beschikt en de betrokkene feitelijk of juridisch geen vrije keuze heeft om zijn persoonsgegevens niet te verstrekken.
c. De aard van de persoonsgegevens, waarbij met name van belang is of er sprake is bijzondere categorieën van persoonsgegevens en/of persoonsgegevens van strafrechtelijke aard. In algemene zin geldt: hoe gevoeliger de gegevens, hoe eerder er sprake zal zijn van niet-verenigbare verdere verwerking.
d. De mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen. Het kan hierbij zowel om positieve als om negatieve gevolgen voor de betrokkene gaan. De gevolgen kunnen publiekrechtelijk zijn, bijvoorbeeld de vaststelling van de hoogte van uitkering of het opleggen van een bestuurlijke boete, maar ook privaatrechtelijk, zoals de beslissing van een bank om wel of geen hypotheek te verstrekken. Naarmate de gevolgen ingrijpender en minder voorzienbaar zijn, zal er eerder sprake zijn van niet-verenigbare verdere verwerking.
e. Het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Van verenigbare verdere verwerking is bijvoorbeeld sprake als een onderwijsinstelling de gegevens uit een leerlingenregistratie gebruikt om een overzicht van het aantal afgestudeerden en de gemiddelde examencijfers te maken. Als echter diezelfde onderwijsinstelling de leerlinggegevens zou verkopen aan een bedrijf in zodanige vorm dat het bedrijf er een profiel van de leerling mee kan maken op basis waarvan het de leerling persoonlijk benadert, dan is er sprake van niet-verenigbare verdere verwerking. Het antwoord op de vraag of er al dan niet sprake is van verenigbare verdere verwerking is derhalve zeer afhankelijk van de omstandigheden van het geval. Wat voor de ene verwerkingsverantwoordelijke onder bepaalde voorwaarden kan worden aangemerkt als verenigbare verdere verwerking, kan voor een andere verwerkingsverantwoordelijke – of voor dezelfde verwerkingsverantwoordelijke onder andere omstandigheden – een vorm van niet-verenigbare verwerking zijn. Er kan nog wel op worden gewezen dat verdere verwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd (artikel 5, eerste lid, onderdeel b, AVG). De verwerkingsverantwoordelijke moet daarbij wel voorzien in passende waarborgen voor de bescherming van de persoonsgegevens van de betrokkenen, zoals pseudonimisering.
Niet-verenigbare verdere verwerking is in slechts twee gevallen toegestaan: met uitdrukkelijke toestemming van de betrokkene dan wel op grond van een Unierechtelijke of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van een belangrijke doelstelling van algemeen belang als bedoeld in artikel 23, eerste lid, AVG. Tenzij er sprake is van toestemming of van een grondslag in het Unierecht, vergt niet-verenigbare verdere verwerking dus een expliciete grondslag in de nationale wet, en die grondslag moet worden getoetst aan artikel 23, eerste lid, AVG. De Nederlandse wet- en regelgeving kent tal van dergelijke grondslagen, waarbij onder meer kan worden gedacht aan de verplichting of bevoegdheid van de ene overheidsdienst om in de bij of krachtens de wet bepaalde gevallen persoonsgegevens te verstrekken aan een andere overheidsdienst ter uitvoering van de wettelijke taak van laatstbedoelde dienst, of de verplichting voor een bedrijf om persoonsgegevens van medewerkers of klanten aan een overheidsinstantie te verstrekken. De ontvangende overheidsinstantie dient dan uiteraard zelf over een rechtsgrondslag als bedoeld in artikel 6, eerste lid, AVG te beschikken om de gegevens op haar beurt te mogen ontvangen (verwerken). In de meeste gevallen zal het dan gaan om de vervulling van een taak van algemeen belang of van een taak in het kader van het openbaar gezag dat aan het overheidsorgaan is opgedragen.
Hoewel de reeds geldende bepalingen niet expliciet zijn getoetst aan artikel 23, eerste lid, AVG, mag ervan worden uitgegaan dat zij deze toets zullen doorstaan. Artikel 23, eerste lid, AVG bevat weliswaar een limitatieve opsomming van de doelstellingen van algemeen belang die grond kunnen zijn voor een wettelijke regeling inzake niet-verenigbare verdere verwerking, maar onderdeel e is open geformuleerd: «andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid». Dit biedt ruimte voor de nationale wetgevers om hierin een afweging te maken.
De AVG biedt met betrekking tot de criteria voor verenigbare verdere verwerking als bedoeld in artikel 6, vierde lid, geen ruimte voor nadere invulling in de nationale wetgeving. Wel kan blijkens overweging 50 bij de AVG in het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. Dat kan alleen indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend (rechtsgrondslag voor verwerken als bedoeld in artikel 6, eerste lid, onderdeel e, AVG).
Vraag 49 (CDA)
De leden van de CDA-fractie vragen hoe de regering het standpunt beoordeelt van VNO-NCW uit hun advies naar aanleiding van de consultatie, namelijk dat door formele besluiten en/of beleidsregels van de AP werkgevers en ondersteunende partijen steeds minder gegevens mogen verwerken. Is de regering bereid aan te geven, wellicht middels algemene maatregel van bestuur (hierna: AMvB), welke gegevens ten minste mogen worden verwerkt ten behoeve van het uitvoeren van sociale zekerheidswetgeving, veiligheidsbeleid en gezondheidsbeleid?
De AP beoordeelt gegevensverwerking onder andere aan de hand van het noodzakelijkheidsvereiste. Dit vereiste begrenst de aard en omvang van de gegevens die werkgevers en andere partijen mogen verwerken van zieke werknemers. De verschillende partijen mogen alleen die gegevens verwerken die noodzakelijk zijn voor de uitvoering van hun specifieke taken bij re-integratie en/of begeleiding van de zieke werknemer.
De AVG maakt het inderdaad mogelijk voor dit doel bij nationaal recht regels te stellen. Voor zover het om gegevens over de gezondheid gaat, biedt artikel 30 van het wetsvoorstel daarvoor een grondslag. Door het Ministerie van SZW zal worden bezien of de mogelijkheid tot nadere invulling bij algemene maatregel van bestuur die artikel 30 UAVG bevat in het zesde lid, noodzakelijk of wenselijk is. Gebruikmaking van deze grondslag vereist dat de noodzaak en proportionaliteit van dergelijke gegevensverwerking zorgvuldig wordt afgewogen.
Vraag 50 (CDA)
In het kader van persoonsgegevens vragen de voornoemde leden of er bijzondere aandacht wordt besteed aan registratie van persoonsgegevens door organisaties die mensenhandel en prostitutie registeren. Vloeien er belemmeringen voort uit de AVG en/of het onderhavige wetsvoorstel met betrekking tot deze activiteiten, waar het gaat om gevoelige informatie?
In een recent besluit op bezwaar heeft de AP besloten haar weigering tot het verlenen van een ontheffing voor het verwerken van bijzondere persoonsgegevens van sekswerkers in de database van de gemeente Den Haag te handhaven.49 De AP is van oordeel dat door de registratie van (persoons)gegevens in een sekswerkersdatabase onder meer wordt verwerkt dat de desbetreffende personen sekswerker zijn, en dat het gegeven dat iemand sekswerker is naar zijn aard kwalificeert als een gegeven betreffende iemands seksuele leven. De AVG spreekt in artikel 9, eerste lid, weliswaar van «seksueel gedrag», maar dat wijkt inhoudelijk niet af van «seksueel leven» als bedoeld in artikel 16 Wbp. Het registeren van het beroep van sekswerker moet derhalve worden aangemerkt als een bijzondere categorie van persoonsgegevens als bedoeld in artikel 9, eerste lid, AVG. Dit betekent dat de verwerking is verboden, tenzij de verwerking op grond van een van de uitzonderingsbepalingen van de AVG, de UAVG of bijzondere wetgeving is toegestaan. De AVG en de UAVG kennen geen algemeen geformuleerde uitzonderingsbepaling waarop de in de vraag van de leden van de CDA-fractie bedoelde registratie van prostitutie kan worden gebaseerd, behoudens uitdrukkelijke toestemming van de betrokkene. Van bijzondere wetgeving waarin om redenen van zwaarwegend algemeen belang een dergelijke registratie wordt toegestaan, is op dit moment evenmin sprake. De conclusie is derhalve dat registratie van het beroep van sekswerker alleen is toegestaan met uitdrukkelijke toestemming van de betrokkene.
Bij mensenhandel zal het al snel gaan om persoonsgegevens van strafrechtelijke aard als bedoeld in de artikelen 31 tot en met 33 UAVG. Ook deze gegevens mogen – voor zover hier van belang – uitsluitend worden verwerkt met uitdrukkelijke toestemming van de betrokkene. Dit geldt uiteraard niet voor de registratie van mensenhandel door politie en openbaar ministerie, waarop richtlijn (EU) 2016/680 van toepassing is.
Vraag 51 (D66)
De leden van de D66-fractie constateren dat op grond van artikel 22 AVG niemand mag worden onderworpen aan een besluit, uitsluitend gebaseerd op geautomatiseerde besluitvorming, waaronder profilering, dat rechtsgevolgen voor hem heeft, of hem in aanmerkelijke mate treft. Zij vragen de regering nader toe te lichten hoe dit artikel zich verhoudt tot het gebruik van een profileringssysteem als SyRI.
Er is bij de gegevensverwerking in SyRi geen sprake van een besluit dat uitsluitend gebaseerd is op geautomatiseerde verwerking van persoonsgegevens, zoals artikel 22 van de verordening bepaalt. SyRi is het systeem risico-indicatie dat wordt geregeld in de Wet structuur uitvoeringsorganisatie werk en inkomen. In SyRI worden risicoanalyses uitgevoerd in het kader van een samenwerkingsverband dat is opgericht ter voorkoming en bestrijding van fraude met socialezekerheidsuitkeringen of toeslagen, fiscale fraude, of van niet-naleving van arbeidswetten. Voor de risicoanalyses worden gegevens bij elkaar gebracht uit de bestanden van de deelnemers aan het samenwerkingsverband om afwijkingen vast te stellen, dat wil zeggen gegevens die niet met elkaar in overeenstemming zijn. Wanneer op grond van de gepseudonimiseerde risicoanalyses wordt vastgesteld dat bepaalde afwijkingen onderzoekswaardig zijn, leidt dit tot een risicomelding. Deze risicomelding betreft een natuurlijke persoon of rechtspersoon. In die melding wordt geconstateerd dat er sprake is van een verhoogd risico van onrechtmatig gebruik van uitkeringen of voorzieningen dan wel van belastingfraude of overtreding van arbeidswetten. De risicomelding wordt verstrekt aan een deelnemer aan het samenwerkingsverband. Op basis van die melding zal de desbetreffende instantie nader onderzoek instellen. Dat kan uiteindelijk aanleiding zijn tot het opleggen van een sanctie.
Vraag 52 (D66)
Voorts vragen zij de regering nader toe te lichten wat verstaan kan worden onder «menselijke tussenkomst» in deze context. Houdt dit in dat er menselijke handelingen verricht moeten worden of is simpelweg het goedkeuren van een op geautomatiseerde verwerking gebaseerd besluit voldoende?
De Artikel 29-werkgroep heeft menselijke tussenkomst als volgt omschreven: «Om te kwalificeren als menselijke tussenkomst, moet de verwerkingsverantwoordelijke verzekeren dat het toezicht op het besluit betekenisvol is en niet symbolisch. Het toezicht moet worden uitgevoerd door iemand die bevoegd is om het besluit te veranderen. Als onderdeel van de analyse moet met alle beschikbare input- en output-gegevens rekening worden gehouden.» En: «De beoordelaar dient een grondige beoordeling te verrichten van alle relevante gegevens, inclusief aanvullende informatie die wordt verstrekt door betrokkene.»50
Vraag 53 (VVD)
De leden van de VVD-fractie constateren dat het recht op vergetelheid, dat is ontwikkeld in de Europese jurisprudentie, is gecodificeerd in artikel 17 van de AVG. Het staat niet in het onderhavige wetsvoorstel. De werking ervan binnen de Nederlandse rechtsorde zal dus rechtstreeks via de AVG gaan, zonder nadere nationale invulling. De voornoemde leden vragen of andere lidstaten dit recht wel nader hebben ingevuld in nationale wetgeving. Zo ja, op welke wijze? Is de regering van mening dat dit in Nederland ook moet gebeuren? Zo ja, kan de regering daartoe voorstellen ontwikkelen?
Artikel 17 AVG bevat de codificatie van het recht op vergetelheid zoals dat reeds in de jurisprudentie was ontwikkeld.51
Dit recht bouwt voort op de reeds bestaande rechten van betrokkenen om hun persoonsgegevens te laten wissen en bezwaar te maken tegen een verwerking. Kort gezegd heeft elke betrokkene recht op wissing van zijn persoonsgegevens zonder onredelijke vertraging in een aantal gevallen:
• de persoonsgegevens zijn niet meer nodig voor de doelen waarvoor deze zijn verzameld of verwerkt;
• de betrokkene trekt zijn toestemming voor de verwerking in of tekent tegen de verwerking bezwaar aan;
• de persoonsgegevens zijn onrechtmatig verwerkt;
• de persoonsgegevens dienen te worden gewist op basis van een regel uit het Unierecht of het nationale recht;
• de gegevens zijn verwerkt in het kader van leveren van diensten aan kinderen die jonger dan 16 jaar zijn.
Ook bevat artikel 17, derde lid, AVG een aantal situaties waarin het recht op vergetelheid niet van toepassing is. Verder brengt het recht op vergetelheid voor verantwoordelijken de extra plichten mee om ervoor te zorgen dat geen verdere verspreiding van de gegevens plaatsvindt door die derden aan wie de verantwoordelijke de persoonsgegevens heeft verstrekt.
Artikel 17 AVG bevat daarmee een uitputtende regeling van het recht en dit artikel is vanaf 25 mei rechtstreeks van toepassing.52 De enige ruimte die de AVG biedt om ten aanzien van dit recht in lidstatelijk recht nadere regels te stellen, is de mogelijkheid die artikel 23 AVG biedt om, onder bepaalde voorwaarden, de reikwijdte van het recht op vergetelheid te beperken. Alhoewel de andere lidstaten, een enkele uitzondering daar gelaten, hun wetgeving nog niet hebben gepubliceerd en ik niet veel kan zeggen over de inhoud van de wetsvoorstellen, zullen zij op dit punt evenmin andere nadere regels mogen stellen.
Als de vraag ziet op de behoefte aan een nadere concretisering van de rechten en plichten die uit dit recht voortvloeien en handreikingen hoe in de praktijk te handelen bij een verzoek op grond van artikel 17 AVG, dan is er op de website van de AP hierover de nodige nadere informatie te vinden. Zo is – onder veel meer – te lezen dat als een betrokkene het verzoek elektronisch indient, de verwerkingsverantwoordelijke ook elektronisch dient te reageren, tenzij de betrokkene vraagt om op een andere manier te reageren. Ook mogen er in principe géén kosten worden berekend, maar als de verwerkingsverantwoordelijke kan bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon), dan mag wel een redelijke administratieve vergoeding worden gevraagd of mag het verzoek zelfs geheel worden geweigerd. Worden bijvoorbeeld persoonsgegevens via een website gepubliceerd dan moet de verwerkingsverantwoordelijke de zoekmachines informeren. Daarbij zal de webpagina opnieuw moeten worden geïndexeerd, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten. De betrokkene kan op grond van artikel 36, eerste lid, van het wetsvoorstel de AP verzoeken te bemiddelen in zijn geschil met een verwerkingsverantwoordelijke omtrent zijn recht op vergetelheid.
Tot slot kan ik melden dat ik in de gesprekken die ik met bedrijven heb, er bij hen, indien relevant, op aandring dat zij transparante protocollen hanteren over de werkwijze bij een verzoek om vergetelheid. Dergelijke protocollen dienen eenvoudig vindbaar en begrijpelijk te zijn voor een rechtzoekende om zijn recht op vergetelheid eenvoudig te kunnen effectueren. Daarbij benadruk ik telkens dat dergelijke protocollen – vanzelfsprekend – niets af kunnen doen aan het recht zoals dat in de AVG is geregeld.
Vraag 54 (VVD)
Het intellectuele eigendomsrecht kent het zogenaamde ex parte-verbod. Dit houdt in dat een verzoeker de rechter kan vragen om een voorlopig bevel ter voorkoming van een inbreuk van het intellectuele eigendomsrecht van de betrokkene. De rechter kan dit verzoek honoreren zonder daarbij de wederpartij te horen. Dankzij deze spoedprocedure is het mogelijk om snel de gevolgen van een schending van intellectueel eigendom tegen te gaan. Deze regeling staat in artikel 1019e van het wetboek van Burgerlijke Rechtsvordering.
De aan het woord zijnde leden zien graag dat een vergelijkbaar middel wordt gecreëerd voor ernstige privacyinbreuken. Met andere woorden, als iemand slachtoffer is van een ernstige inbreuk op de hem toekomende rechten uit de AVG moet het voor hem of haar mogelijk zijn een ex parte-verbod te vragen, net zoals dat het geval is bij het intellectueel eigendomsrecht. Hiertoe zou mogelijk titel 15 van het derde boek van het wetboek van Burgerlijke Rechtsvordering geheel of gedeeltelijk van toepassing kunnen worden verklaard op de AVG. Wat zijn de overwegingen van de regering wat betreft het ex parte-verbod en de AVG? Is de regering bereid voorstellen te doen langs bovenstaande lijnen?
Het is juist dat artikel 1019e van het Wetboek van Burgerlijke Rechtsvordering een ex parte verbod bevat voor slachtoffers van evidente schendingen van het intellectuele eigendomsrecht. Dat verbod is gebaseerd op Richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB L 195 van 2 juni 2004). De AVG kent geen regeling inzake een dergelijk verbod voor slachtoffers van ernstige schendingen van het recht op bescherming van de persoonsgegevens. Hoewel de AVG evenmin in de weg lijkt te staan aan het treffen van een nationale regeling inhoudende een dergelijk verbod, past deze materie niet in het onderhavige wetsvoorstel. Het ex parte verbod is namelijk een uitzonderlijke civiele rechtsfiguur waar in ieder geval voor geldt dat het vraagstuk van de afbakening echt zorgvuldige overweging en doordenking vergt. Ik sta echter niet onwelwillend tegenover dit voorstel. Tijdens de behandeling van de begroting van het Ministerie van Justitie en Veiligheid heb ik al toegezegd dat ik uw Kamer dit voorjaar een visiedocument over horizontale privacy zal toezenden.53 In dit visiedocument zal ik ook ingaan op de juridische mogelijkheden en de praktische uitvoerbaarheid van het ex parte verbod op gebied van privacyschendingen, naast de al bestaande mogelijkheden van rectificatie op grond van artikel 6:167 BW. Horizontale privacy beslaat een wat breder terrein dan hetgeen in de AVG wordt geregeld, aangezien de AVG immers alleen ziet op de bescherming van persoonsgegevens en daarenboven niet van toepassing is op gegevensverwerkingen bij de uitoefening van een van zuiver persoonlijke of huishoudelijke activiteit (zie voor meer hierover de antwoorden op de vragen 4, 5, 6 en 7). Uitgangspunt zal overigens zijn dat het eventueel van toepassing verklaren van het ex parte verbod alleen aan de orde kan zijn bij evidente en ernstige schendingen van de privacy of bij evidente en ernstige inbreuken op de AVG, zulks vanwege het belang dat in onze democratische rechtsstaat aan het fundamentele beginsel van hoor en wederhoor wordt toegekend.
Vraag 55 (CDA)
De leden van de CDA-fractie merken op dat, nu in de praktijk op grote schaal wordt gewerkt met verwerkers en dus verwerkingscontracten, alle nog actieve verwerkingscontracten (gedeeltelijk) niet meer geldig zullen zijn op het moment van inwerkingtreding van de AVG. De Europese Commissie of de toezichthoudende autoriteit kunnen echter modelcontractbepalingen opstellen. Zijn deze modelcontractbepalingen al door AP opgesteld en raadpleegbaar? Kan men er in de praktijk vanuit gaan dat deze contracten voldoen aan de eisen zoals gesteld in de AVG en het onderhavige wetsvoorstel?
De omstandigheid dat de AVG met ingang van 25 mei 2018 van toepassing is, maakt niet dat bestaande verwerkersovereenkomsten niet meer geldig zijn. Wel bestaat de mogelijkheid dat deze verwerkersovereenkomst bepaalde zaken niet regelt terwijl de AVG dat wel eist. De verantwoordelijkheid voor aanpassing van bestaande verwerkersovereenkomsten ligt bij de contractspartijen. Onderdelen van het Rijk kunnen daarbij gebruik maken van een rijksbreed beschikbare model Verwerkersovereenkomst om de contractuele afspraken over de verwerking van persoonsgegevens in lijn met de AVG te maken.54
De AP is van plan handreikingen te bieden ten aanzien van modelcontractbepalingen. Met het opnemen van modelbepalingen voldoet een contract overigens niet automatisch aan de eisen van de AVG/UAVG. Het op te stellen contract bestaat immers niet alleen uit modelcontractbepalingen en vereist altijd nog maatwerk.
Vraag 56 (CDA)
De leden van de CDA-fractie lezen dat op basis van artikel 45 AVG geregeld is dat de Europese Commissie kan besluiten dat een derde land, een gebied of een sector in een derde land of een internationale organisatie een passend niveau van gegevensbescherming biedt. Bij een adequaatheidsbesluit van de Europese Commissie mogen persoonsgegevens worden doorgegeven zonder dat verdere toestemming noodzakelijk is. Wie gaat daar in Nederland over adviseren? Is dat aan de AP of ligt dat eerder bij het Ministerie van Buitenlandse Zaken, als een vorm van buitenlands beleid? Hoe wordt dat op Europees niveau geregeld?
Deze procedure is op hoofdlijnen geregeld in de artikelen 45, derde lid, 70, eerste lid, onder s, en 93 AVG. Deze verschilt nauwelijks van de bestaande procedure. Die verloopt als volgt. Elk derde land dat daarvoor belangstelling heeft, kan aan de Commissie verzoeken om vaststelling van een adequaatheidsbesluit. Dat gebeurt langs diplomatieke weg. Doorgaans vloeit een dergelijk verzoek voort uit het toenaderingsbeleid dat de Commissie voert of uit het feit dat het betrokken derde land is toegetreden tot het verdrag inzake de bescherming van persoonsgegevens van de Raad van Europa. Sinds enige tijd beoordeelt de Commissie ook bij voornemens om met een derde land een handelsakkoord te sluiten of het noodzakelijk is dat ook een adequaatheidsbesluit wordt vastgesteld. De Commissie geeft over deze ontwikkelingen periodiek informatie aan de lidstaten. Besluit de Commissie dat een adequaatheidsbesluit mogelijk en wenselijk is, dan volgt doorgaans een extern wetenschappelijk onderzoek naar de stand van de wetgeving en de praktijk van de gegevensbescherming in het desbetreffende land. Het resultaat daarvan wordt beoordeeld en geeft soms aanleiding tot adviezen aan het land, in een enkel geval ook om de wetgeving aan te passen. Na deze fase geeft de Artikel 29-werkgroep een oordeel. Deze groep wordt na 25 mei 2018 het Europees Comité voor Gegevensbescherming. Het advies is niet bindend, al wordt in de praktijk geen besluit genomen zonder instemmend advies. De AP maakt deel uit van deze groep. De AP bepaalt haar positie autonoom. Na deze fase gaat het verzoek naar een Comité van ambtelijke vertegenwoordigers van de lidstaten (comitologie). Daarin heeft een vertegenwoordiger van het Ministerie van Justitie en Veiligheid zitting. Het is gebruikelijk om een standpunt in dat comité voor te bereiden door informele raadpleging van de AP en belanghebbenden. Met het Ministerie van Buitenlandse Zaken wordt steeds voorafgaand contact opgenomen. Het comité moet over de voordracht een besluit nemen, hetzij bij consensus, hetzij met een stemming die op dezelfde wijze verloopt als een stemming in de Raad. De Commissie kan alleen besluiten indien het besluit positief is of de stemmen staken. Na de comitologie stelt het college van Commissarissen het besluit vast en zorgt het voor bekendmaking in het Publicatieblad van de EU.
Vraag 57 (SGP)
De leden van de SGP-fractie vragen in hoeverre het noodzakelijk is dat elke organisatie, hoe klein van omvang ook, een functionaris voor gegevensbescherming moet aanwijzen. Zij noemen een concreet voorbeeld van basisscholen die slechts een beperkt aantal leerlingen hebben. Kan worden geconstateerd dat scholen niet hoofdzakelijk belast zijn met verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen? Kan worden gesteld dat zij niet hoofdzakelijk hiermee belast zijn en dat het ook niet gaat om grote schaal? Wordt er mede door de regering voor gewaakt dat er niet zodanig gebureaucratiseerd wordt dat zowel kleine als wat grotere organisaties met een enorme administratieve belasting opgezadeld worden? Worden de uitzonderingen door de regering wel zoveel mogelijk benut? Wordt ook zoveel mogelijk benut dat koepels of bestuurlijke eenheden waaronder verschillende kleinere eenheden vallen, zoveel mogelijk op gemeenschappelijk niveau een functionaris aanwijzen? In hoeverre biedt de AVG hiervoor mogelijkheden?
De verplichting om een Functionaris voor de gegevensbescherming (FG) aan te wijzen, geldt voor een schoolbestuur (en niet per school). Schoolbesturen moeten vrijwel altijd een FG aanstellen. Een school voldoet namelijk in bijna alle gevallen aan één van de drie situaties waarin een FG verplicht is, genoemd in artikel 37, eerste lid, AVG. Zie ook het antwoord op vragen 93 en 61. Zo is een organisatie verplicht een FG aan te wijzen als zij regelmatig en stelselmatig betrokkenen observeert. Bij scholen is al snel sprake van deze situatie. Zij gebruiken bijvoorbeeld doorgaans leerlingvolgsystemen om inzicht te krijgen in de ontwikkeling van individuele leerlingen. Onder omstandigheden kunnen meerdere schoolbesturen gezamenlijk een FG aanwijzen. Op deze manier wordt onnodige bureaucratisering tegengegaan.
Vraag 58 (CDA)
De leden van de CDA-fractie achten het van belang dat er een goed beeld is van de kosten die gemaakt gaan worden door organisaties naar aanleiding van de invoering van de AVG. Hiervoor is onder meer een impactanalyse gemaakt door de Europese Commissie, maar daarin worden geen uitspraken gedaan op lidstaat-niveau. Kan de regering aangeven wat voor gevolgen de AVG heeft voor kleine organisaties en dan in het bijzonder vrijwilligersorganisaties die niet beschikken over gespecialiseerd personeel die de organisatie kunnen voorbereiden op een dergelijke transitie?
Op voorhand is het lastig een uitspraak te doen over benodigde tijd en middelen die organisaties nodig hebben om de gegevensverwerking voor te bereiden op de AVG. De inspanningen zijn afhankelijk van de aard en omvang van de gegevensverwerking en de verwerkte gegevens en van de mate waarin de gegevensverwerking thans voldoet aan de eisen van Wbp. De aanpassing aan de eisen van de AVG hoeft voor een kleine organisatie die bijvoorbeeld alleen persoonsgegevens verwerkt in het kader van een beperkt klanten- of ledenbestand, geen grote opgave te zijn. Verwerkt een organisatie bijvoorbeeld bijzondere persoonsgegevens of vindt doorgifte plaats aan derde landen, dan is een meer diepgaande oriëntatie op de eisen van de AVG aangewezen.
Het Ministerie van JenV heeft oog voor de informatiebehoefte van kleine organisaties en tracht met voorlichting aan die behoefte tegemoet te komen. Voor meer informatie over de concrete acties die zijn en worden ondernomen wordt verwezen naar het antwoord op vraag 17 en de opsomming die is opgenomen in paragraaf 6.3.6 van de memorie van toelichting bij het wetsvoorstel.
Vraag 59 (CDA)
Wordt hier voldoende aandacht aan besteed door de regering en de AP?
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 17.
Vraag 60 (CDA)
Heeft de regering of de AP klachten en/of zorgen ontvangen van vrijwilligersorganisaties?
De regering heeft geen klachten van kleine (vrijwilligers)organisaties ontvangen, maar sluit de oren niet voor hetgeen op dit onderwerp in de samenleving leeft. Een deel van de voorlichtingsactiviteiten waar hiervoor over is gesproken, is dan ook gericht op deze doelgroep. De AP ontvangt dagelijks vragen van organisaties over de voorbereiding op de AVG tijdens het telefonisch spreekuur. Daar zitten ook vrijwilligersorganisaties tussen. De publieksvoorlichters van de AP geven algemene uitleg over de privacywet maar de organisaties zijn zelf verantwoordelijk voor het tijdige voldoen aan de nieuwe eisen uit de AVG.
Vraag 61 (CDA)
In het rapport «De bescherming van de persoonsgegevens, acht Europese landen vergeleken» wordt een vijftal punten genoemd waar de privacybescherming in Nederland op kan worden verbeterd. Kan de regering aangeven of de AVG en/of het onderhavige wetsvoorstel bijdraagt aan het verbeteren van een van deze vijf punten? Hoe gaat de regering ervoor zorgen dat er meer privacyfunctionarissen komen nu Nederland daar in achterblijft?
In het onderzoek waar deze leden aan refereren wordt ruimte geconstateerd voor (1) transparantie, (2) certificering en keurmerken voor de beveiliging van persoonsgegevens, (3) verbetering van de budgetten en de invloed en bekendheid van burgerrechtenorganisaties, (4) het aantal privacyfunctionarissen in organisaties en de (5) klachtenafhandeling door de AP en de dialoog tussen de AP enerzijds en anderzijds degenen die onder het toezicht vallen.
Op het vlak van de transparantie (1) stelt de AVG meer eisen dan de Wbp. Voorafgaand aan de verwerking dienen betrokkenen begrijpelijk en toegankelijk over de verwerking van hun persoonsgegevens te worden geïnformeerd alsmede over hun rechten. De transparantie van de overheid en organisaties rond de verwerking van persoonsgegevens wordt ook verbeterd door bijvoorbeeld het opstellen en aanpassen van privacystatements. De AVG bevordert voorts het gebruik van certificeringsmechanismen en keurmerken (2) die de transparantie van de verwerking vergroten. Nederland geeft volgens de onderzoekers een goed voorbeeld met de website www.mijnoverheid.nl. Met deze website beoogt de overheid meer transparant te zijn over persoonsgegevens van burgers die door de overheid worden verwerkt.
Onder de AVG kunnen burgers een organisatie, orgaan of vereniging zonder winstoogmerk machtigen om namens hem een klacht in te dienen of de rechten uit te oefenen die hem zijn gegeven uit hoofde van de AVG. Tegen deze achtergrond is denkbaar dat de burgerrechtenorganisaties onder de AVG meer bekendheid zullen gaan genieten (3). Op het vlak van de klachtenafhandeling (5) brengt de AVG ook een verandering omdat de AP vanaf 25 mei 2018 verplicht is om elke klacht in behandeling te nemen en daar is de nieuwe organisatiestructuur van de AP ook op ingericht. Ook zijn – daar waar de Wbp daartoe alleen nog de mogelijkheid bood – onder de AVG overheidsinstanties en organisaties onder bepaalde voorwaarden verplicht om een FG (4) aan te stellen (zie hierover nader het antwoord op vraag 93). Het is dan overigens niet noodzakelijk een FG in loondienst te nemen en meerdere organisaties kunnen samen één FG aanstellen. De AP heeft ervoor gekozen om het contact met FG’s te intensiveren. Zo organiseerde de AP in samenwerking met het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) een speciale bijeenkomst voor FG’s. Ook besteedt de AP bij het geven van normuitleg aan bedrijven en koepelorganisaties speciaal aandacht aan het contact met en de functie van privacyfunctionarissen.
Vraag 62 (CDA)
In het rapport komt naar voren dat de AP geen certificering en keurmerken biedt voor beveiliging. Komt daar verandering in? Waar dienen deze certificaten dan aan te voldoen? Hoe wordt dat vormgegeven?
Met betrekking tot certificering vragen de voornoemde leden of er nu sprake is van een wildgroei aan certificaten die allemaal privacy-veiligheid beloven. Hoe kunnen bedrijven zich ervan vergewissen dat ze voldoen aan de juiste gegevensverwerkingsstandaard? Hoe kunnen zij dat weten van hun gegevensverwerkers?
Op grond van artikel 42, eerste lid, AVG zijn lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie verplicht om, met name op Unieniveau, de invoering van certificeringsmechanismen te bevorderen. De AVG introduceert een nieuw instrument: het AVG-certificaat. Met dit certificaat kan een verantwoordelijke of verwerker aantonen dat de persoonsgegevens, die worden verwerkt door de verantwoordelijke of de bewerker volgens de regels van de AVG worden verwerkt. Een certificaat is een schriftelijke verklaring dat een product, proces, of dienst aan alle of bepaalde eisen uit de AVG voldoet.
De AP heeft besloten om dit AVG-certificaat niet zelf toe te kennen, maar dit te laten doen door certificerende instanties die daarvoor op hun beurt zijn geaccrediteerd. Deze accreditatie zal door de Raad van Accreditatie (RvA) worden verleend. Op grond van artikel 21 van het wetsvoorstel zal bij ministeriële regeling de RvA daartoe als accrediterende instantie worden aangewezen.
De bedoeling is dat de verantwoordelijke of bewerker een AVG-certificaat kan aanvragen bij een certificerende instantie. Deze certificerende instantie beoordeelt of het product, het proces of de dienst in aanmerking komt voor een AVG-certificaat. Dit geschiedt op grond van criteria die zijn goedgekeurd door de bevoegde toezichthoudende autoriteit of door het Comité (artikel 42, vijfde lid, AVG).
Om een certificerende instantie te kunnen accrediteren, moet er een certificatieschema beschikbaar zijn. In het certificatieschema zullen enerzijds eisen worden gesteld waaraan de certificaathouder zal moeten voldoen. Anderzijds zullen in het certificatieschema ook aanvullende eisen aan de certificerende instantie zelf worden gesteld. Deze aanvullende criteria zullen voor 25 mei 2018 worden vastgesteld door de AP. Voor accreditatie door de RvA is in de AVG het gebruik van de norm ISO/IEC 17065 voorgeschreven (artikel 43, eerste lid, onder b, AVG). Voldoet de certificerende instantie aantoonbaar aan de eisen uit de ISO/IEC 17065 en de eisen uit het certificatieschema, dan kan zij worden geaccrediteerd. Dat betekent dat de certificatie-instelling vanaf dan bevoegd is om AVG-certificaten voor dat betreffende certificatieschema toe te kennen.
Het is mogelijk dat er meerdere certificatieschema’s in de markt zullen worden gebruikt, die tot een AVG-certificaat leiden. De certificaten/certificatieschema’s die op dit moment worden aangeboden zijn niet tot stand gekomen op grond van de hiervoor omschreven procedure en zijn derhalve geen AVG-certificaten. In de Artikel 29-werkgroep zijn guidelines in voorbereiding met betrekking tot het onderwerp certificering en accreditering.55
Vraag 63 (GroenLinks)
De leden van GroenLinks-fractie hebben kennisgenomen van de standpunten van VNO-NCW en MKB-Nederland. Kan de regering ingaan op de door deze werkgeversverenigingen geuite zorgen over de gevolgen van de AVG voor de aanpak van fraude met creditcards, verzekeringen en spooknota’s? Wat is er waar van de bewering dat een effectieve aanpak en de (cross-sectorale) informatie-uitwisseling over fraudeurs geraakt wordt door de nieuwe privacyregels?
Bij de informatie-uitwisseling ten behoeve van de aanpak van fraudeurs gaat het meestal om persoonsgegevens van strafrechtelijke aard. Persoonsgegevens van strafrechtelijke aard worden in de Wbp aangemerkt als bijzondere persoonsgegevens. Onder de AVG verandert dat. Artikel 9, eerste lid, AVG bevat een limitatieve opsomming van bijzondere categorieën van persoonsgegevens. Persoonsgegevens van strafrechtelijke aard vallen daar niet onder. Dergelijke gegevens mogen op grond van artikel 10 AVG uitsluitend worden verwerkt onder toezicht van de overheid dan wel indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen bevatten voor de rechten en vrijheden van betrokkenen. Ter uitvoering van artikel 10 AVG bevatten de artikelen 31 tot en met 33 van het wetsvoorstel de nationaalrechtelijke regeling omtrent de verwerking van persoonsgegevens van strafrechtelijke aard. Ook hier is gekozen voor een beleidsneutrale uitvoering. De artikelen 31 tot en met 33 van het wetsvoorstel komen materieel dan waar mogelijk overeen met de huidige bepalingen over de verwerking van persoonsgegevens van strafrechtelijke aard in de Wbp. De nieuwe privacyregels geven derhalve materieel geen ander kader voor informatie-uitwisseling over fraudeurs dan de Wbp al deed
De artikelen 31 tot en met 33 van het wetsvoorstel staan niet in de weg aan het maken een zwarte lijst van fraudeurs, mits aan bepaalde voorwaarden wordt voldaan. De volgende bepalingen zijn hierbij van belang:
a. Op grond van artikel 33, tweede lid, aanhef en onderdeel b, mag een verwerkingsverantwoordelijke persoonsgegevens van strafrechtelijke aard ten eigen behoeve verwerken ter bescherming van zijn eigen belangen, voor zover het gaat om strafbare feiten die zijn of – naar redelijkerwijs te verwachten is – zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn. Deze bepaling biedt een grondslag voor een zwarte lijst die uitsluitend wordt gebruikt binnen één bepaald bedrijf. Gedacht kan worden aan een supermarkt die een zwarte lijst opstelt van personen die zich in die winkel schuldig hebben gemaakt aan winkeldiefstal.
b. Op grond van artikel 33, vierde lid, aanhef en onderdeel b, mogen persoonsgegevens van strafrechtelijke aard ten behoeve van derden worden verwerkt, indien deze derde deel uitmaakt van hetzelfde concern als de verwerkingsverantwoordelijke. Deze bepaling maakt het mogelijk om zwarte lijsten te delen tussen ondernemingen die deel uitmaken van hetzelfde concern.
c. Tot slot is het mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve van derden te verwerken indien de AP hiervoor een vergunning heeft verleend (artikel 33, vierde lid, aanhef en onderdeel c). De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad (artikel 33, vijfde lid). Het tegengaan van fraude kan als een zwaarwegend belang voor een bedrijf of onderneming worden aangemerkt. Het blijft dus op grond van deze bepaling mogelijk om zwarte lijsten te delen binnen een bepaalde bedrijfstak of bijvoorbeeld tussen winkels in een bepaald winkelcentrum. De AP zal dan wel vooraf, in het kader van de vergunningaanvraag, noodzaak en evenredigheid toetsen.
Onder andere de volgende omstandigheden kunnen hierbij een rol spelen:
– de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek of sociaal) grondrecht;
– de kwetsbaarheid van bepaalde groepen betrokkenen, zoals minderjarige klanten en werknemers, oudere werknemers en werknemers die geen mogelijkheid hebben om een eventueel ontslag aan te vechten;
– de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens in het systeem worden verwerkt.
Hoe groter de reikwijdte, hoe ingrijpender de gevolgen voor opname van de betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten zijn of zal het systeem in het geheel niet door de toetsing komen. Het beperken van de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen aan een positieve uitkomst van de proportionaliteitsafweging.
Daarnaast zal de verwerkingsverantwoordelijke vooraf een gegevensbeschermingseffectbeoordeling moeten uitvoeren als bedoeld in artikel 35 AVG, met name als er sprake is van een grootschalige verwerking van persoonsgegevens van strafrechtelijke aard. De regering ziet dit als noodzakelijke waarborgen ter bescherming van de persoonlijke levenssfeer van de betrokkenen, en niet als een onnodige belemmering voor het maken van een zwarte lijst.
Tot slot gelden uiteraard de algemene beginselen voor gegevensverwerking zoals opgesomd in artikel 5 AVG en voor wat het beginsel van rechtmatigheid betreft nader uitgewerkt in artikel 6 AVG. In dit verband is van belang dat volgens overweging 47 bij de AVG de verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie is als bedoeld in artikel 6, eerste lid, onderdeel f, AVG.
Vraag 64 (SP)
De leden van de SP-fractie lezen dat de regering noemt dat de uitvoering van de AVG geen substantiële materiële wijzigingen tot gevolg zal hebben en dat met name verwerkingsverantwoordelijken aanpassingen zullen moeten maken in hun werkproces die samenhangen met de verantwoordings- en transparantieverplichtingen. Denkt de regering dat op 25 mei 2018 alle ondernemers en overheidsinstanties klaar zullen zijn voor deze andere werkwijze? VNO-NCW en MKB-Nederland hebben aangegeven dat veel kleine bedrijven nog onvoldoende op de hoogte zijn en er nog te veel onduidelijkheid is over de concrete toepassing van de AVG. Herkent de regering dit signaal? Wat gaat zij concreet doen om ook de kleine ondernemers voldoende duidelijk te maken wat er van hen verwacht wordt onder het nieuwe Europese wettelijke kader?
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 17.
Vraag 65 (PvdA)
De leden van de PvdA-fractie achten het van groot belang dat de handhaving van de privacyregels door een zo onafhankelijk als mogelijke toezichthouder wordt gedaan. De AP heeft daar echter op een aantal punten kanttekeningen bij geplaatst De aan het woord zijnde leden zou daarom graag op het volgende een reactie willen hebben. Zo stelt de AP dat vanwege het feit dat zij niet over een eigen begroting beschikt, ertoe leidt dat de bedrijfsvoering deel uitmaakt van de departementale begroting van Justitie en Veiligheid en dat de respectievelijke Minister ten aanzien van beheeraangelegenheden mandaat verleent aan de voorzitter van de AP en dat daarmee de onafhankelijke positie van de toezichthouder in het geding zou zijn. Kan de regering hier nader op ingaan? Acht de regering het mogelijk dat vanwege de beheersrelatie tussen de genoemde Minister en de AP er sprake kan zijn van beïnvloeding van de AP of dat er een schijn van beïnvloeding zou kunnen bestaan? Wat verzet zich er tegen dat de AP wel over een eigen niet-departementale begroting zou beschikken? Waarom zou de AP niet een college kunnen worden in de zin van Comptabiliteitswet 2016? Waarin verschilt de AP als het om de gewenste onafhankelijkheid gaat van bijvoorbeeld de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de Kiesraad of Nationale ombudsman?
De AP is een zelfstandig bestuursorgaan dat haar taken in onafhankelijkheid verricht. Deze onafhankelijkheid is in de AVG (artikel 52) verankerd, zoals in het antwoord op vraag 36 is aangegeven.
Echter, het is de Minister die de uiteindelijke verantwoordelijkheid draagt voor het beheer van de AP. Om te waarborgen dat de AP in de praktijk het beheer kan voeren over de haar toegewezen middelen, is krachtens het Mandaatbesluit beheer Autoriteit Persoonsgegevens 2017 aan de voorzitter mandaat verleend om namens de Minister besluiten te nemen en andere (rechts)handelingen te verrichten ten aanzien van aangelegenheden met een beheersmatig karakter. Voor zover de vraag ziet op de begroting van de AP zij verwezen naar het antwoord op vraag 36.
Vraag 66 (PvdA)
In navolging van de AP vragen de voornoemde leden of er niet ook voorzien zou moeten worden in de bescherming van gegevens van overleden personen. Zo zijn deze leden van mening dat er niet zomaar foto’s van overleden personen in de media gepubliceerd zouden mogen worden. De AVG laat het aan de lidstaten over om zelf te voorzien in regelgeving met betrekking tot overleden personen. Overweegt de regering dergelijke regelgeving? Zo ja, hoe gaat de regering dit bewerkstelligen? Zo nee, is dat alleen vanwege het feit dat dergelijke regelgeving niet past in het uitgangspunt van de regering van beleidsneutrale omzetting van de AVG in Nederlandse wetgeving? Zijn er nog andere overwegingen om dit niet te doen?
De AVG is niet van toepassing op de persoonsgegevens van overleden personen. Wel laat de AVG ruimte voor lidstaten om regels vast te stellen betreffende verwerking van de persoonsgegevens van overleden personen (overweging 27). De leden van de PvdA-fractie veronderstellen terecht dat van deze mogelijkheid geen gebruik is gemaakt vanwege het uitgangspunt om de AVG, waar mogelijk, beleidsneutraal te implementeren. Ook de Wbp is immers niet van toepassing op persoonsgegevens van overleden personen. Hierbij is overigens wel een nuancering op zijn plaats want door de definitie van persoonsgegevens («elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon») zijn de gegevens van een overledene al snel ook persoonsgegevens van diens nabestaanden (immers zodra de gegevens van de overledene ook iets zeggen over identificeerbare nabestaanden). Verder is in dit verband van belang te onderkennen dat het medisch beroepsgeheim en het portretrecht zich wel uitstrekken tot na het overlijden van de patiënt respectievelijk de geportretteerde.
De hoofdregel is dat een patiënt erop moet kunnen vertrouwen dat alles wat hij gedeeld heeft met zijn hulpverlener ook na zijn overlijden tussen hem en zijn hulpverlener blijft. In bepaalde gevallen kunnen nabestaanden inzage krijgen in het medisch dossier. Dat is bijvoorbeeld het geval als de patiënt bij leven toestemming heeft gegeven informatie uit het dossier te delen met (een) nabestaande(n) (art. 7:457 Burgerlijk Wetboek). In sommige gevallen kan de toestemming verondersteld worden als de nabestaande daarnaast een rechtmatig belang heeft bij inzage of als er sprake is van een zwaarwegend belang van de nabestaande.56 Onder omstandigheden kan ook een (wettelijk) vertegenwoordiger van de overleden patiënt het dossier inzien, bijvoorbeeld om te kunnen aantonen dat hij de zorg van een goed vertegenwoordiger heeft betracht.57
Tot slot geldt met betrekking tot het publiceren van foto’s van overledenen de regeling van het portretrecht in de Auteurswet (zie de artikelen 19, 20, 21 en 25a Aw). Hierbij is van belang of de afbeelding van de persoon (het portret) in opdracht van de geportretteerde is gemaakt. Is het portret in opdracht gemaakt (bijvoorbeeld een pasfoto) dan is in beginsel toestemming van de geportretteerde vereist voor de openbaarmaking en gedurende tien jaar na diens overlijden van de nabestaanden. Indien het niet om een in opdracht gemaakt portret gaat dan is openbaarmaking alleen dan niet geoorloofd als een redelijk belang van de geportretteerde of na diens overlijden de nabestaanden van de geportretteerden zich daartegen verzetten. Bij de vraag of de nabestaanden een redelijk belang hebben, moeten de omstandigheden van het geval worden gewogen. Vaak zal dat neerkomen op een belangenafweging (bijvoorbeeld afgezet tegen het belang van vrije nieuwsgaring of informatievrijheid). Verzet het redelijk belang van de nabestaanden zich tegen publicatie dan zal de publicatie neerkomen op een onrechtmatige daad. Nabestaanden kunnen dan schadevergoeding vorderen. Kortom, foto’s van overledenen mogen dus ook nu al niet zomaar in de media worden gepubliceerd. Nadere regelgeving is daarvoor niet noodzakelijk.
Wij zien, mede gelet op het bovenstaande, geen aanleiding tot het regelen van aparte bescherming van persoonsgegevens van overleden personen.
Vraag 67 (SGP)
De leden van de SGP-fractie constateren dat notarissen melden dat het onderhavige wetsvoorstel problemen kan veroorzaken rond de taak van notarissen en de wettelijke geheimhoudingsplicht. De voornoemde leden vragen of het inderdaad niet altijd mogelijk is om te melden dat de gegevens van derden vermeld zijn, omdat het hierbij gaat om zaken die onder geheimhouding vallen. Deelt de regering de opvatting van de Koninklijke Notariële Beroepenorganisatie (hierna: KNB) dat er een uitzondering moet komen voor (bepaalde) notariële aktes?
Op grond van artikel 14, vijfde lid, onderdeel d, AVG geldt de verplichting om betrokkenen te informeren indien de gegevens niet van de betrokkene zelf zijn verkregen, niet indien de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van lidstatelijk recht. Een notaris is dus niet verplicht om informatie over de inhoud van akten, bijvoorbeeld een testament waarin betrokkene tot erfgenaam wordt benoemd, te delen met de betrokkene, voor zover de geheimhoudingsplicht van artikel 22 van de Wet op het notarisambt daaraan in weg staat.
Op grond van artikel 23 AVG is het voorts mogelijk om door middel van lidstaatrechtelijke bepalingen de reikwijdte van de verplichtingen en de rechten, bedoeld in de artikelen 12 tot en met 22 en artikel 34 te beperken. Hierbij geldt wel de voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en dat die beperking een noodzakelijke en evenredige maatregel is in een democratische samenleving ter waarborging van de belangen die worden opgesomd in het eerste lid van artikel 23 AVG. De regering is van oordeel dat de beperkingen van sommige rechten van betrokkenen (in casu bijvoorbeeld het recht op inzage van betrokkene op grond van artikel 15 AVG) zoals deze volgen uit hetgeen de Wet op het notarisambt voorschrijft, voldoen aan voornoemde voorwaarden. De wettelijke geheimhoudingsplicht van notarissen, artsen, advocaten en geestelijken kan immers worden gekwalificeerd als een noodzakelijke en evenredige maatregel ter waarborging van belangrijke doelstellingen van algemeen belang van een lidstaat (artikel 23, eerste lid, onder e, AVG). Overigens is er op dit moment in de Wbp ook geen aparte uitzondering opgenomen voor de voornoemde traditionele geheimhouders.
Vraag 68 (SGP)
Verder vragen deze leden of het juist is wat VNO-MKB stellen dat werkgevers als gevolg van regels van de AP niet meer mogen noteren hoeveel iemand kan werken en of iemand nog kan zitten of tillen. Zo ja, is dat niet een veel te ver doorgevoerde benadering van de privacy die ook niet in het belang van de werknemer is?
Voor de beantwoording van deze vraag wordt verwezen naar het antwoord op de vragen 9, 10, 14 en 16.
Vraag 69 (SGP)
Er is onduidelijkheid over de vraag of er nog eerst een bindende aanwijzing gegeven dient te worden, voordat de AP meteen een bestuurlijke boete oplegt. Is de regering van mening dat het inderdaad voor de hand ligt om organisaties die (per ongeluk) in overtreding zijn eerst een aanwijzing te geven? Laat de verordening dit toe? Is de regering bereid alsnog een dergelijke voorafgaande bindende aanwijzing in het wetsvoorstel op te nemen?
In veel gevallen zal het geven van een voorafgaande waarschuwing voor de hand liggen of zelfs, vanwege het lex-certabeginsel, een voorwaarde zijn voor het rechtmatig kunnen opleggen van een bestuurlijke boete. Er bestaat geen onduidelijkheid over de vraag of de AP daartoe op grond van de AVG bevoegd is. Voor het antwoord op de vraag of de AP daartoe kan worden verplicht binnen de systematiek van de AVG, wordt verwezen naar de antwoorden op de vragen 30 en 40.
Vraag 70 (SGP)
Vanuit de gezondheidszorg wordt de vraag voorgelegd of het vastleggen van toestemming in bijvoorbeeld een (medisch) dossier voldoende is om aan te kunnen tonen dat iemand toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. De aan het woord zijnde leden vragen of dit inderdaad voldoende is. Zo nee, is het bevorderlijk voor het maatschappelijk functioneren wanneer alles eerst uitdrukkelijk schriftelijk vastgelegd dient te worden? Wordt dat door veel mensen niet als een ongewenste en overbodige verplichting gezien?
De hulpverlener is wettelijk verplicht een medisch dossier bij te houden in het kader van een behandelingsovereenkomst (art. 7:446, eerste lid, en 7:454, eerste lid, Burgerlijk Wetboek). Gelet op artikel 6, eerste lid, onder b en c, AVG, is er geen toestemming van de patiënt nodig voor het rechtmatig verwerken van zijn persoonsgegevens in een medisch dossier omdat de verwerking noodzakelijk is voor de uitvoering van de overeenkomst en noodzakelijk om te voldoen aan een wettelijke verplichting. Toestemming van de patiënt is bijvoorbeeld wel nodig voor het delen van gegevens uit het medisch dossier buiten de behandelrelatie.
Vraag 71 (VVD)
De leden van de VVD-fractie vragen of de regering een overzicht kan geven van relevante overeenkomsten en verschillen in de implementatiewetgeving van de AVG in andere Europese lidstaten. Maken alle lidstaten een uitvoeringswet, zoals in Nederland het geval is met het onderhavige wetsvoorstel?
Alle lidstaten van de Europese Unie maken inderdaad een wet ter uitvoering van de AVG.58 De AVG laat immers niet alleen ruimte voor nationaalrechtelijke keuzes op bepaalde punten, maar verplicht ook tot het nemen van bepaalde wettelijke maatregelen.59
Hierbij kan gedacht worden aan bijvoorbeeld de verplichting om een toezichthoudende autoriteit aan te wijzen (artikel 51 AVG) of aan de verplichting om regels te stellen inzake sancties die van toepassing zijn op inbreuken op deze verordening die niet aan een administratieve geldboete zijn onderworpen op grond van de AVG zelf (artikel 84 AVG) of aan de verplichting om – kort gezegd – het recht op bescherming van persoonsgegevens in overeenstemming te brengen met het recht op vrijheid van meningsuiting (artikel 85 AVG). Ook zal iedere lidstaat bijvoorbeeld de implementatiewetgeving van richtlijn 95/46/EG (de evenknieën van de Wbp) moeten intrekken en ook zal het bestaande wettenbestand moeten worden aangepast aan de gewijzigde AVG-terminologie.
Ten tijde van het schrijven van onderhavige nota naar aanleiding van het verslag waren slechts van twee lidstaten de implementatiewetten officieel gepubliceerd.60 Het is dan ook niet mogelijk om het gevraagde overzicht te geven van de relevante overeenkomsten en verschillen tussen de implementatiewetgeving in de verschillende lidstaten.
Vraag 72 (VVD)
Wordt het recht op vergetelheid uit artikel 17 van de AVG in andere landen in hun nationale wetgeving geïmplementeerd?
Aangezien de AVG een verordening is en vanwege die hoedanigheid vanaf 25 mei 2018 direct van toepassing is in alle lidstaten zullen ook andere lidstaten dit recht op vergetelheid in hun nationale wetgeving niet verder mogen uitwerken. Voor een meer uitgebreide toelichting op dit punt wordt verwezen naar vraag 53.
Vraag 73 (VVD)
Zijn alle lidstaten per 25 mei 2018 gereed voor de inwerkingtreding van de AVG? Welke verschillen zullen er na inwerkingtreding van de AVG bestaan tussen EU-lidstaten wat betreft gegevensbescherming? Kunnen de verschillen problemen opleveren voor bedrijven die grensoverschrijdend opereren?
Doel van de AVG is om ten opzichte van richtlijn 95/46/EG het gegevensbeschermingsrecht te uniformeren.61 Daar waar de AVG geen ruimte laat voor nationale keuzes, is door de keuze voor een verordening als wetgevingsinstrument deze opzet geheel geslaagd; in alle lidstaten zijn de normen immers rechtstreeks en onverkort toepasselijk, zonder dat daartoe omzetting in nationaal recht nodig is (sterker nog, daar staat het omzettingsverbod zelfs aan in de weg). Deze uniformeringsslag ziet bijvoorbeeld op de algemene beginselen en de rechten van de betrokkenen. Daarin is met de AVG een grote stap gezet ten opzichte van richtlijn 95/46/EG.
Daar waar de AVG ruimte laat voor nationaalrechtelijke keuzes, zullen soms onvermijdelijk verschillen tussen lidstaten blijven bestaan. Denk hierbij bijvoorbeeld aan de verwerking van bijzondere categorieën persoonsgegevens: in de AVG zijn veel verwerkingen op grond van artikel 9 AVG verboden tenzij in het nationale recht een mogelijkheid voor de betreffende verwerking is gecreëerd.
Als een bedrijf grensoverschrijdend opereert en daarbij ook grensoverschrijdend persoonsgegevens verwerkt, zal dat bedrijf zich moeten verdiepen in de, na het van toepassing worden van de AVG nog resterende, verschillen tussen de desbetreffende landen. Kortom na toepasselijkheid van de AVG zullen er nog steeds verschillen bestaan tussen lidstaten onderling, maar de basis van het gegevensbeschermingsrecht is geüniformeerd en dat maakt de eventuele problemen, waar de leden van de VVD-fractie aan denken, in ieder geval aanzienlijk kleiner dan onder richtlijn 95/46/EG.
Vraag 74 (VVD)
Stel dat een bedrijf zich in Nederland vestigt maar uitsluitend de gegevens van Duitse consumenten verwerkt, valt dit bedrijf dan onder het gezag van de Nederlandse AP of onder het gezag van de Duitse evenknie, of allebei?
Op het eerste gezicht valt de situatie zoals in de vraag wordt geschetst, niet binnen de definitie van grensoverschrijdende verwerking. «Grensoverschrijdende verwerking» is a) verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of b) verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden (zie artikel 4, onderdeel 23, AVG).
Dat zou betekenen dat beide toezichthoudende autoriteiten op het grondgebied van hun eigen lidstaat bevoegd zijn. Daarbij kunnen ze zo nodig gebruikmaken van de samenwerkingsinstrumenten wederzijdse bijstand en gezamenlijke werkzaamheden (artikelen 61 en 62 AVG).62
Als de verwerkingsactiviteiten wezenlijke gevolgen zou hebben voor betrokkenen in bijvoorbeeld Nederland én Duitsland, of waarschijnlijk zullen hebben, geldt dit (wel) als een grensoverschrijdende verwerking. De hoofdregel is dat verwerkingsverantwoordelijken en verwerkers bij grensoverschrijdende verwerking met één toezichthoudende autoriteit te maken hebben, de zogeheten «leidende toezichthouder». Deze leidende toezichthouder is de enige gesprekspartner voor verwerkingsverantwoordelijken en verwerkers (artikel 56, lid 6, AVG). Op grond van artikel 56, eerste lid, AVG is de toezichthoudende autoriteit van Nederland in dit geval competent om op te treden als «leidende toezichthoudende autoriteit» omdat de (enige) vestiging van het bedrijf in kwestie zich in Nederland bevindt. Wel kan de Duitse toezichthouder de AP verzoeken een zaak te mogen behandelen indien het onderwerp van die specifieke zaak alleen voor betrokkenen in zijn lidstaat wezenlijke gevolgen heeft (zie artikel 56, tweede tot en met vierde lid, AVG). Zie tevens de beantwoording van vraag 22.
Vraag 75 (GroenLinks)
De leden van de GroenLinks-fractie constateren dat uit onderzoek van de Universiteit Leiden («De bescherming van persoonsgegevens. Acht Europese landen vergeleken.», Universiteit Leiden, oktober 2017) blijkt dat Nederland het vaak bovengemiddeld goed doet als het gaat om de privacybescherming. De voornoemde leden vragen de regering om een appreciatie van dit rechtsvergelijkend onderzoek in verhouding tot het onderhavige wetsvoorstel en de eventuele best practices die Nederland van de andere landen kan overnemen.
Uit onderzoek van de Universiteit Leiden blijkt dat Nederland het vaak bovengemiddeld goed doet als het gaat om de privacybescherming.63 Het doet deugt dat het beeld van Nederland in het onderzoeksrapport, dat door toenmalige Minister van Veiligheid en Justitie op 5 oktober 2017 aan de Tweede Kamer is aangeboden, op een groot aantal onderzochte punten positief is.64 Wel zijn er ook een aantal verbeterpunten uit het onderzoek naar voren gekomen (zie daarvoor het antwoord op vraag 61). En daarenboven is het voor tal van organisaties en bedrijven in Nederland hard werken om de nieuwe wet- en regelgeving tijdig te implementeren in hun werkprocessen. Dat geldt ook voor organisaties binnen de overheid. De belangrijkste wijzigingen die moeten worden doorgevoerd vloeien voort uit de AVG en niet uit het wetsvoorstel, omdat daarin zo veel mogelijk is aangesloten bij hetgeen al geldt op grond van de Wbp. Om organisaties binnen de overheid hierbij behulpzaam te zijn, is een het Model gegevensbeschermingseffectbeoordeling (PIA) Rijksdienst ontwikkeld.65
Vraag 76 (SGP)
De leden van de SGP-fractie constateren dat de AVG stelt dat ten aanzien van kerken deze verordening op geen enkele wijze inbreuk maakt op de status die kerken en religieuze verenigingen op grond van het constitutioneel recht in de lidstaten hebben. Is de regering met de voornoemde leden van mening dat er op grond van deze verordening geen of in ieder geval zo min mogelijk (extra) verplichtingen aan kerken opgelegd moeten worden? Is de regering met deze leden van mening dat ook kerken uitdrukkelijk vallen onder de uitzonderingsgronden op grond van artikel 9 AVG, juist omdat de verwerking van die persoonsgegevens gericht is op de bijzondere functie van kerken binnen de samenleving?
Een belangrijk uitgangspunt van de AVG is dat zij, overeenkomstig artikel 17 VWEU, de status eerbiedigt die kerken en religieuze verenigingen en gemeenschappen volgens het vigerende constitutioneel recht in de lidstaten hebben, en daaraan geen afbreuk doet (overweging 165). Dit betekent echter niet dat aan kerken geen of althans zo weinig mogelijk verplichtingen mogen worden opgelegd. Het betekent wel dat terdege rekening moet worden gehouden met positie van kerken en genootschappen op geestelijke grondslag, mede gelet op het in de Grondwet verankerde recht van vrijheid van godsdienst en levensovertuiging.
Artikel 17 Wbp bevat een specifieke grondslag voor het verwerken van persoonsgegevens betreffende iemands godsdienst of levensovertuiging door kerkgenootschappen en genootschappen op geestelijke grondslag. Deze bepaling komt niet in dezelfde vorm terug in de AVG en de UAVG, maar materieel bevatten zij in onderlinge samenhang bezien op hoofdlijnen wel dezelfde regeling. Zo vloeit uit artikel 9, tweede lid, aanhef en onderdeel d, AVG voort dat bijzondere categorieën van persoonsgegevens, waaronder persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, mogen worden verwerkt door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen. Voorwaarde daarbij is dat de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en dat de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt. Hoewel deze bepaling de kerkgenootschappen niet met name noemt, is zij mede op kerkgenootschappen van toepassing («instantie zonder winstoogmerk die op levensbeschouwelijk of godsdienstig gebied werkzaam is»), evenals op bijvoorbeeld het bijzonder onderwijs. Inhoudelijk komt artikel 9, tweede lid, aanhef en onderdeel d, AVG overeen met artikel 17, eerste lid, aanhef en onderdelen a en b, tweede en derde lid, Wbp.
Daarnaast is in artikel 27 van de UAVG vastgelegd dat persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken, mogen worden verwerkt door andere dan de hiervoor bedoelde instellingen, voor zover de verwerking noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt. Voor het verstrekken van persoonsgegevens aan derden is toestemming van de betrokkene vereist. Deze bepaling komt overeen met artikel 17, eerste lid, aanhef en onderdeel c, en derde lid, Wbp. Hierbij kan gedacht worden aan een geestelijk verzorger in het leger of een ziekenhuis.
De vrijheid van kerkgenootschappen om hun kerkelijke organisatie naar eigen inzicht in te richten, zoals voortvloeit uit artikel 2 van Boek 2 van het Burgerlijk Wetboek wordt door de AVG niet beperkt.
Vraag 77 (SGP)
Waarom is er dan in het onderhavig wetsvoorstel geen uitdrukkelijke bepaling opgenomen, vergelijkbaar met artikel 17 Wbp? De aan het woord zijnde leden hebben de indruk dat dit mede in het licht van overweging 165 en artikel 91 nog steeds noodzakelijk is.
Voor de beantwoording van deze vraag wordt verwezen naar het antwoord op vraag 76.
Vraag 78 (SGP)
Wordt ook volledig de vrijheid van kerkgenootschappen gewaarborgd om de kerkelijke organisatie naar eigen keuzes in te richten, in lijn met artikel 2:2 Burgerlijk Wetboek?
Voor de beantwoording van deze vraag wordt verwezen naar het antwoord op vraag 76.
Vraag 79 (SGP)
Deze leden vragen in hoeverre het voorliggende wetsvoorstel nog belemmeringen bevat voor uitwisseling van (adres)gegevens in een organisatie ten behoeve van bijvoorbeeld onderlinge contacten bij verenigingen, kerken en voor ouders binnen scholen, zolang het gaat om daadwerkelijk intern gebruik.
De AVG en UAVG beogen in dit opzicht geen materiële wijziging te brengen in de regels zoals die thans krachtens de Wbp gelden. Voor het overige wordt verwezen naar het antwoord op vraag 76.
Artikel 2
Vraag 80 (SP)
De leden van de SP-fractie constateren dat zuivere interne situaties buiten de werking van de AVG lijken te gaan vallen wegens artikel 2, tweede lid, sub a van de AVG. Voor deze situaties biedt de Wbp nu nog een oplossing, maar na de inwerkingtreding van de AVG wordt de Wbp ingetrokken. De voornoemde leden vragen of dit betekent dat na 25 mei 2018 er op zuivere interne situaties geen privacyrecht meer van toepassing is? Hoe denkt de regering dit probleem te ondervangen? In Rechnunghof/Österreichischer Rundfunk heeft het HvJ EU bepaald dat er eigenlijk nauwelijks sprake kan zijn van een «zuiver interne situatie». Hoe interpreteert de regering deze uitspraak in het licht van de AVG?
Het is een veel gehoord misverstand dat artikel 2, tweede lid, onder a, AVG zo geïnterpreteerd moet worden dat de AVG slechts rechtstreeks toepasselijk is, indien er sprake is van een aantoonbaar grensoverschrijdend aspect.66
In het arrest van het Hof van Justitie van de Europese Gemeenschappen van 20 mei 2003 in de gevoegde zaken C-465/00, C-138/01 en C-139/01 (Österreichischer Rundfunk) heeft het Hof van Justitie een aantal van deze kwesties al in een vroeg stadium verduidelijkt.67 Het Hof heeft daarbij duidelijk het vrij verkeer van persoonsgegevens ruim uitgelegd. Aangezien alle persoonsgegevens tussen lidstaten kunnen circuleren, verplicht de richtlijn tot bescherming van die gegevens overeenkomstig de voorwaarden van de richtlijn, aldus het Hof.68 Vrij verkeer en bescherming gaan dus hand in hand. Een grensoverschrijdend aspect hoeft niet een bepalende factor te zijn om toch regels vast te stellen op de grondslag van het toenmalige artikel 100A EG. Voldoende is dat de desbetreffende regels daadwerkelijk tot doel hebben de voorwaarden voor de instelling en de werking van de interne markt te verbeteren, aldus het Hof.69 Een andere uitleg, aldus het Hof leidt ertoe dat de grenzen van de richtlijn bijzonder onzeker en vaag worden, hetgeen het Hof in strijd acht met de voornaamste doeleinden van de richtlijn, het harmoniseren van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten teneinde de belemmering van de interne markt weg te nemen.70
Uit dit arrest blijkt voldoende duidelijk dat het EU-gegevensbeschermingsrecht ook van toepassing is, in wat de leden van de SP-fractie aanduiden als «zuiver interne situaties» en om welke redenen het Hof tot die uitspraak is gekomen. De AVG neemt van die uitspraak geen afstand, maar zij bouwt daarop voort.
In dit kader verdient nog opmerking dat het Hof van Justitie van de Europese Unie in een zeer recent arrest een overeenkomstige uitspraak heeft gedaan over de Dienstenrichtlijn. Het Hof heeft in zijn arrest van 30 januari 2018 in de gevoegde zaken C-360/15 en C-31/16 uitgesproken dat de bepalingen van hoofdstuk III van richtlijn 2006/123, betreffende de vrijheid van vestiging van dienstverrichters, aldus moeten worden uitgelegd dat zij mede van toepassing zijn op een situatie waarvan alle relevante aspecten zich binnen één lidstaat afspelen. De jurisprudentie inzake de toepasselijkheid van Europese regelgeving op «zuiver interne situatie» is dus niet beperkt tot richtlijn 95/46/EG respectievelijk de AVG.71
Vraag 81 (SP)
Het lijkt er op dat de regering artikel 2, tweede lid, AVG beperkt wil uitleggen. Klopt dit? Zo ja, welke gegevensverwerkingen zouden er dan concreet buiten de werking van het Europese recht gelaten worden?
Er is geen sprake van dat de regering een beperkte uitleg zou willen geven aan artikel 2, tweede lid, AVG. Het gaat hier om een rechtstreeks toepasselijke bepaling van een Europese verordening, waarvan de uitleg is voorbehouden aan het Hof van Justitie van de Europese Unie. Overigens moet erop worden gewezen dat artikel 2, tweede lid, AVG de uitzonderingen bevat op de materiële reikwijdte van de AVG. Met andere woorden: hoe beperkter het tweede lid moet worden uitgelegd, hoe ruimer het materiële toepassingsbereik van de AVG wordt.
Artikel 2, tweede lid, bevat in de eerste plaats een uitzondering voor de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, zoals activiteiten betreffende nationale veiligheid. Nationale veiligheid behoort immers tot de uitsluitende verantwoordelijkheid van de lidstaten (artikel 4 VEU).
In de tweede plaats wordt uitgezonderd de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen (het Gemeenschappelijk Buitenlands en Veiligheidsbeleid). Artikel 39 VEU bevat een afzonderlijke grondslag voor de vaststelling van gemeenschappelijke regels betreffende de bescherming van persoonsgegevens voor die doelen. Deze rechtsgrondslag kent een van de gewone wetgevingsprocedure afwijkende procedure van vaststelling. Van deze mogelijkheid is overigens nog geen gebruik gemaakt. Vooralsnog vallen dergelijke verwerkingen daarom krachtens artikel 3 UAVG materieel toch onder werkingssfeer van de AVG en de UAVG.
In de derde plaats zijn uitgezonderd verwerkingen door een natuurlijk persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze uitzondering heeft uitsluitend betrekking op activiteiten die tot het persoonlijke of gezinsleven van particulieren behoren, hetgeen niet het geval is met de verwerking van persoonsgegevens die bestaat in hun openbaarmaking op internet waardoor die gegevens voor een onbepaald aantal personen toegankelijk worden gemaakt.72 Zie hierover tevens het antwoord op vraag 4, 5 en 6.
Tot slot wordt van de werkingssfeer van de AVG uitgezonderd de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Op deze gegevensverwerkingen is richtlijn (EU) 2016/680 van toepassing.
Vraag 82 (SP)
Klopt het dat de Nederlandse regering de AVG zelfstandig van toepassing mag verklaren op verwerkingen die normaliter buiten het toepassingsgebied van de verordening vallen? Zo ja, is de regering van plan dit te doen om het hiervoor geschetste rechtsvacuüm te voorkomen?
De AVG kan door de nationale wetgever niet rechtstreeks toepasselijk worden verklaard op verwerkingen die op grond van artikel 2 AVG niet binnen het materiële toepassingsgebied van de AVG vallen. De werkingssfeer van een verordening wordt immers door de Europese wetgever vastgesteld. De AVG kan door de nationale wetgever in beginsel wel van overeenkomstige toepassing worden verklaard in die gevallen waarin zij niet rechtstreeks toepasselijk is, waarmee in materiële zin vrijwel hetzelfde wordt bereikt.
Op grond van artikel 3 UAVG wordt de AVG van overeenkomstige toepassing verklaard op de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, met uitzondering van verwerkingen in het kader van de nationale veiligheid waarop de Wet op de inlichtingen- en veiligheidsdiensten 2002 van toepassing is. Dit kan worden beschouwd als vangnetbepaling, omdat uit de hiervoor aangehaalde jurisprudentie van het Hof van Justitie van de Europese Unie reeds voortvloeit dat de AVG ook op zuiver interne situaties van toepassing is. Bovendien wordt de AVG van overeenkomstige toepassing verklaard op de verwerking van persoonsgegevens door de krijgsmacht bij de uitvoering van activiteiten in het kader van het Gemeenschappelijk Buitenlands en Veiligheidsbeleid, tenzij de Minister van Defensie in een bepaald geval anders beslist.
Van een rechtsvacuüm zoals gevreesd door de leden van de SP-fractie, is derhalve geen sprake.
Artikel 4
Vraag 83 (D66)
De leden van de D66-fractie vragen de regering te bevestigen of, gezien de veranderingen in het territoriale toepassingsbereik, online emaildiensten (ook als de dienstverlener buiten de EU gevestigd is) vallen onder de reikwijdte van de AVG als zij worden afgenomen door een EU-ingezetene. Geldt ook het in Nederland geldende briefgeheim voor dergelijke diensten?
Voor de toepasselijkheid van de AVG is, anders dan onder richtlijn 95/46/EG, niet langer alleen de vestigingsplaats van de verwerkingsverantwoordelijke van belang. Ook als de verwerkingsverantwoordelijke niet in de EU is gevestigd, is de AVG toch van toepassing indien er sprake is van de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, en de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen in de EU, ongeacht of een betaling door de betrokkenen is vereist (artikel 3, tweede lid, aanhef en onderdeel a, AVG). Dit leidt er inderdaad toe dat online e-maildiensten die worden afgenomen door ingezetenen van de EU, onder de reikwijdte van de AVG vallen, ook als de aanbieder van de dienst buiten de EU gevestigd is. Het briefgeheim zoals dat is vastgelegd in artikel 13 van de Grondwet beschermt de inhoud van communicatie, waaronder e-mailverkeer, van burgers tegen ongeoorloofde kennisneming ervan door de overheid. Gelet op de jurisdictie geldt de bescherming van artikel 13 alleen ten aanzien van de inhoud van communicatie voor zover die zich over het Nederlandse grondgebied verplaatst.
Artikel 5
Vraag 84 (GroenLinks)
De leden van de GroenLinks-fractie constateren dat het onderhavige wetsvoorstel voorziet in een toestemmingsvereiste voor minderjarigen tot 16 jaar. Zij vragen of deze leeftijdsgrens aansluit bij de hedendaagse opvattingen over de materiële handelingsbekwaamheid van minderjarigen, waarbij doorgaans aan jongeren van twaalf jaar en ouder in meer of mindere mate zeggenschap wordt gegeven, denk bijvoorbeeld aan medische behandelingen en de invulling van het omgangsrecht na echtscheiding van de ouders. Het COC wijst bijvoorbeeld op het belang van het delen van ervaringen rond seksualiteit in een veilige digitale omgeving, waarvoor dus na inwerkingtreding van het voorliggende wetsvoorstel de toestemming nodig is van ouders als wettelijk vertegenwoordigers. Voor veel LHBTI-jongeren zal dat een onneembare belemmering zijn en gevraagd kan worden of een leeftijdsgrens van 16 jaar wel handhaafbaar is. Deze leden vragen daarom of het wenselijk is om de minimumleeftijd van 16 jaar te verlagen naar 13 jaar.
De regering onderschrijft het belang van internet voor de ontwikkeling van jongeren. Aan de andere kant moeten ouders ook in staat zijn, waar nodig, hun kinderen te beschermen. Daar waar commerciële belangen in het spel zijn, is het hanteren van een leeftijdsgrens in de ogen van de regering in ieder geval aangewezen. Vanwege het strikt gehanteerde beginsel van beleidsneutrale implementatie van de AVG, is de huidige leeftijdsgrens uit de Wbp gehandhaafd. Bij nota van wijziging zal aan artikel 5 van het wetsvoorstel een lid worden toegevoegd om te verduidelijken dat er in het geheel geen leeftijdsgrens geldt voor het opnemen van contact met een hulp- of adviesdienst. Daarvoor heeft een kind (of curandus) vanzelfsprekend nooit toestemming nodig van zijn ouders (of curator). Voor de beantwoording van deze vraag wordt verder verwezen naar het antwoord op vraag 46.
Artikel 7
Vraag 85 (SGP)
De leden van de SGP-fractie constateren dat artikel 7 bij de buitengewone leden en bij de Raad van advies spreekt over «onderscheidene sectoren van de maatschappij» en «verschillende sectoren van de maatschappij». Zij veronderstellen dat de keuze van deze twee woorden onbedoeld verschillend is uitgepakt. Maar meer inhoudelijk vragen zij aan wat voor concrete sectoren de regering precies denkt. Wordt hierbij ook uitdrukkelijk rekening gehouden met meer kleinschalige en informele sectoren, zodat de belangen van kleinere instellingen, organisaties en bedrijven ook steeds voor ogen staan?
De raad van advies heeft tot taak het college te adviseren over de hoofdlijnen van het beleid van de AP en andere algemene aspecten van (het recht op) bescherming van persoonsgegevens. De leden van de raad van advies zijn afkomstig uit verschillende sectoren van het bedrijfsleven (waaronder de financiële sector), de (semi)overheid (openbaar bestuur, justitie), de wetenschap, de zorg en uit organisaties die de belangen behartigen van consumenten en werknemers. De leden worden benoemd door de Minister voor Rechtsbescherming op voordracht van de voorzitter van de AP. Desgevraagd heeft het AP aangegeven positief te staan tegenover een lid dat kleinere instellingen, organisaties en bedrijven zou vertegenwoordigen. Het onbedoelde verschil in gebruikte terminologie zal bij nota van wijziging worden rechtgezet.
Artikel 22
Vraag 86 (GroenLinks)
De leden van de GroenLinks-fractie zijn verbaasd dat gezien de gewijzigde maatschappelijke opvattingen over geslachtsregistratie dat geslacht noch in de AVG noch in het onderhavige wetsvoorstel wordt aangemerkt als bijzondere categorie persoonsgegevens waarvoor extra bescherming bestaat. Deze leden vragen de regering zich ervoor in te zetten dat geslacht in EU-verband wordt aangemerkt als bijzondere categorie persoonsgegevens.
In artikel 9 AVG worden de bijzondere categorieën van persoonsgegevens limitatief opgesomd. Gegevens omtrent het geslacht van de betrokkene worden niet als zodanig aangemerkt. Het is niet mogelijk om in de nationale wetgeving de bijzondere categorieën van persoonsgegevens uit te breiden. Geslachtsregistratie heeft naar de mening van de regering ook niet een zodanig gevoelig karakter dat in EU-verband zou moeten worden ingezet op wijziging van de AVG.
Van een andere orde is dat verwerkingsverantwoordelijken zichzelf wel steeds meer de vraag moeten stellen of de registratie van het geslacht van de burger, cliënt of klant noodzakelijk is voor het doel van de gegevensverwerking. Hierbij spelen veranderende maatschappelijke opvattingen een rol, maar evenzeer is van belang dat minimale gegevensverwerking een van de in artikel 5 genoemde beginselen inzake verwerking van persoonsgegevens is: persoonsgegevens moeten toereikend en ter zake dienend zijn en moeten beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Waar het in het verleden welhaast vanzelfsprekend was dat het geslacht van betrokkenen werd geregistreerd, zal een verwerkingsverantwoordelijke zich thans moeten afvragen of geslachtsregistratie daadwerkelijk noodzakelijk is voor de doeleinden van de gegevensverwerking. Als bijvoorbeeld wordt verwacht dat overheidswerkgevers en bedrijven inzichtelijk maken in hoeverre er in hun organisaties een verschil in beloning bestaat tussen mannen en vrouwen en hoe zij dit probleem gaan aanpakken, dan zal het voor dit doel nodig zijn het geslacht van de medewerkers te registeren. In veel andere gevallen zal het beginsel van minimale gegevensverwerking er echter toe kunnen leiden dat wordt afgezien van geslachtsregistratie.
Vraag 87 (SGP)
De leden van de SGP-fractie veronderstellen dat tevens de kerkgenootschappen onder deze bepaling vallen. Waarom zijn zij niet uitdrukkelijk genoemd, mede in het licht van hun bijzondere positie op grond van artikel 2:2 BW?
In artikel 22, eerste lid, UAVG is de hoofdregel van artikel 9, eerste lid, AVG overgenomen: het verwerken van bijzondere categorieën van persoonsgegevens is verboden. In artikel 22, tweede lid, zijn de rechtstreeks toepasselijke uitzonderingen op het verwerkingsverbod overgenomen (overeenkomstig artikel 9, tweede lid, onderdelen a, c, d, e en f, AVG).
Uitgangspunt in het Unierecht is dat de rechtstreeks werkende bepalingen van een verordening niet in de nationale wetgeving mogen worden overgenomen («overschrijfverbod»). Dit zou met betrekking tot de bijzondere categorieën van persoonsgegevens evenwel leiden tot een verbrokkeling van de regelgeving en in ernstige mate afbreuk doen aan de samenhang, de begrijpelijkheid en het verkrijgen van een volledig en juist beeld van het regime van de bijzondere categorieën van persoonsgegevens. Daarom wordt in de UAVG, onder verwijzing naar overweging 8 van de AVG, een uitzondering gemaakt op het overschrijfverbod, in die zin dat de rechtstreeks toepasselijke elementen van artikel 9 AVG in de UAVG worden overgenomen.
Omdat in artikel 22 UAVG de rechtstreekse toepasselijke elementen van artikel 9 AVG een-op-een zijn overgenomen, is het niet toegestaan deze bepaling zodanig te wijzigen dat kerkgenootschappen uitdrukkelijk worden genoemd. Dit neemt niet weg dat artikel 22 UAVG een algemene bepaling is, die ook op kerkgenootschappen van toepassing is. Bovendien wordt in het tweede lid, onderdeel c, specifiek verwezen naar onder meer instanties zonder winstoogmerk die op levensbeschouwelijk of godsdienstig gebied werkzaam zijn. Hieronder vallen ook kerkgenootschappen.
Artikel 25
Vraag 88 (D66)
De leden van de D66-fractie vragen de regering nader toe te lichten waarom zij gebruik wenst te maken van de ruimte om om redenen van zwaarwegend algemeen belang af te wijken van het verbod persoonsgegevens te verwerken waaruit iemands ras of etnische afkomst blijkt. Wat is hiervan de toegevoegde waarde? Kan de regering concrete voorbeelden noemen?
Artikel 25 van het wetsvoorstel is identiek aan artikel 18 Wbp, afgezien van terminologische aanpassingen vanwege de AVG. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is artikel 18 Wbp in het wetsvoorstel overgenomen. Het betreft twee uitzonderingen op het verbod om persoonsgegevens te verwerken waaruit iemands ras of etnische afkomst blijkt. Deze uitzondering op het verbod van onderscheid is mede opgenomen ter implementatie van Europese richtlijnen op het gebied van gelijke behandeling.
De eerste uitzondering gaat om gevallen waarin gegevensverwerking met het oog op de identificatie van de betrokkene onvermijdelijk is. De tweede uitzondering is slechts de privacyrechtelijke weerspiegeling van artikel 2, derde lid, van de Algemene wet gelijke behandeling, dat anders onuitvoerbaar zou zijn. Die bepaling regelt dat het verbod van onderscheid niet geldt voor een specifieke maatregel «die tot doel heeft vrouwen of personen behorende tot een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen ten einde feitelijke nadelen verband houdende met de gronden ras of geslacht op te heffen of te verminderen en het onderscheid in een redelijke verhouding staat tot dat doel.» Dit ziet op een situatie van bijvoorbeeld voorkeursbeleid bij werving en selectie.
Vraag 89 (SGP)
De leden van de SGP-fractie constateren dat in dit artikel alleen wordt gesproken over een etnische of culturele minderheidsgroep. Is registratie alleen toegestaan als er daadwerkelijk sprake is van een minderheidsgroep? Of geldt het ook in het algemeen, ongeachte de precieze (lokale) omvang van deze groep? Kan ook een nadere duiding gegeven worden van het verschil tussen ras en etnische afkomst? Kan tevens worden aangegeven wat het onderscheid is tussen een culturele en een etnische groep? Is een culturele groep altijd verbonden met een bepaald ras of etniciteit?
De term «etnische of culturele minderheidsgroep» in artikel 25, onder b, van het wetsvoorstel is afkomstig uit artikel 2, derde lid, Algemene wet gelijke behandeling (Awgb) en moet dienovereenkomstig worden geïnterpreteerd. Artikel 25, onder b, is inhoudelijk identiek aan artikel 18, onder b, Wbp en is slechts de privacyrechtelijke weerspiegeling van artikel 2, derde lid, van de Awgb, dat anders onuitvoerbaar zou zijn. Die bepaling biedt de mogelijkheid voor positieve actie ten aanzien van personen uit een groep waar sprake is van een structurele achterstandspositie. In artikel 2, derde lid, Awgb is geregeld dat het verbod van onderscheid daarom niet geldt voor een specifieke maatregel «die tot doel heeft vrouwen of personen behorende tot een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen ten einde feitelijke nadelen verband houdende met de gronden ras of geslacht op te heffen of te verminderen en het onderscheid in een redelijke verhouding staat tot dat doel». Het begrip «ras» wordt naar Nederlands recht ruim uitgelegd en omvat ook het begrip «etnische afkomst», overeenkomstig het Internationaal Verdrag inzake de uitbanning van elke vorm van rassendiscriminatie.73 Het begrip «ras» als bedoeld in artikel 18 Wbp wordt ook thans reeds ruim uitgelegd. Er is, met andere woorden, door het toevoegen van «etnische afkomst» aangesloten bij de terminologie van de verordening, maar er is daarmee geen materiële wijziging ten opzichte van artikel 18 Wbp beoogd.
Artikel 29
Vraag 90 (D66)
De leden van de D66-fractie vragen de regering of er specifieke eisen gesteld worden aan de beveiliging van de opslag van biometrische gegevens. Zo ja, welke?
Biometrische gegevens die verwerkt worden met het oog op de unieke identificatie van een persoon, worden gerekend tot de bijzondere categorieën van persoonsgegevens. Dergelijke gegevens onderscheiden zich in die zin van «gewone» persoonsgegevens dat artikel 9 AVG deze extra bescherming biedt. Met betrekking tot biometrische gegevens geldt bovendien dat, indien daarop inbreuk wordt gepleegd, deze inbreuk kan resulteren in een risico op identiteitsdiefstal of -fraude.74 Een en ander is van belang voor de toepassing van artikel 32 AVG, waarin tot uitdrukking komt dat een verwerkingsverantwoordelijke bij het treffen van technische en organisatorische maatregelen om de door hem te verwerken persoonsgegevens te beveiligen, onder meer moet letten op de aard van de desbetreffende gegevens en de risico’s die de verwerking daarvan meebrengt (zie ook overweging 84 bij de AVG). Dit impliceert dat een verwerkingsverantwoordelijke bij verwerking van een bijzondere categorie van persoonsgegevens een relatief hoog niveau van beveiliging dient toe te passen. Van aanvullende specifieke eisen aan de beveiliging daarvan is in de AVG echter geen sprake. Dat neemt niet weg dat er verschillende beveiligingsmaatregelen beschikbaar zijn die op bepaalde verwerkingen van biometrische gegevens betrekking hebben. Biometrische gegevens die bedoeld zijn voor identificatiedoeleinden kunnen bijvoorbeeld worden opgeslagen op speciale afgeschermde hardware (bijvoorbeeld Secure Enclave op iOS of Trusted Execution Environment op Android) waarmee het risico op andere verwerkingen geminimaliseerd kan worden. Net als bij andere beveiligingsvraagstukken zal van geval tot geval beoordeeld moeten worden welke maatregelen beschikbaar en effectief zijn.
Artikel 30
Vraag 91 (SGP)
De leden van de SGP-fractie constateren dat voor scholen een beperkte uitzondering geldt om gezondheidsgegevens te verwerken. Deze uitzondering is gericht op leerlingen die bijzondere voorzieningen nodig hebben. De voornoemde leden vragen of dit bijvoorbeeld ook betekent dat medicijngebruik van leerlingen niet mag worden genoteerd, terwijl het soms (bij jonge, maar mogelijk ook bij oudere leerlingen) noodzakelijk kan zijn om hen behulpzaam te zijn bij het denken aan medicijngebruik. Moeten ouders in dergelijke gevallen altijd schriftelijk toestemming geven?
In artikel 30, tweede lid, onderdeel a, UAVG is voorzien in een uitzondering op het verwerkingsverbod van bijzondere categorieën van persoonsgegevens ten behoeve van de verwerking van gezondheidsgegevens door scholen, voor zover de verwerking plaatsvindt met het oog op speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen indien dit in verband met hun gezondheidstoestand noodzakelijk is. Een vergelijkbare uitzondering is thans opgenomen in artikel 21, eerste lid, onderdeel c, Wbp. Dergelijke gegevens worden doorgaans opgenomen in een leerlingdossier van een individuele leerling. Hierin staan onder meer gegevens over de gezondheid die nodig zijn voor speciale begeleiding of voorzieningen en resultaten van eventueel psychologisch onderzoek. Voor gevallen die niet onder artikel 30, tweede lid, onderdeel a vallen, kan een beroep worden gedaan op toestemming van de betrokkene (of diens wettelijk vertegenwoordiger, als een kind jonger is dan 16 jaar). Toestemming dient op grond van de AVG te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring (eventueel elektronisch), of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van persoonsgegevens instemt.
Op grond van de AVG gelden de algemene eisen van proportionaliteit, subsidiariteit en minimale gegevensverwerking. Bij medicijngebruik door kinderen op school zal dan ook per geval moeten worden afgewogen welke gegevens daarvoor noodzakelijk zijn. In sommige gevallen zal niet relevant zijn welk medicijn het betreft of voor welke aandoening dat medicijn wordt gebruikt. Een seintje dat het tijd is om het medicijn in te nemen, zou dan voldoende kunnen zijn. Als wel van belang is dat de school het medicijngebruik bijhoudt, terwijl dit niet relevant is met het oog op de speciale begeleiding of de voorzieningen die de school het kind moet bieden, zullen het kind of diens ouders daarvoor in de regel inderdaad toestemming moeten geven. De school dient, als verwerkingsverantwoordelijke, deze afwegingen te maken en zich daarover desgevraagd te kunnen verantwoorden.
Artikelen 31, 32 en 33
Vraag 92 (VVD)
De leden van de VVD-fractie constateren dat de genoemde artikelen van het onderhavige wetsvoorstel gaan over de verwerking van persoonsgegevens van strafrechtelijke aard. Hiervoor gelden extra zware voorwaarden. De voornoemde leden betreuren het als fraudebestrijding wordt gehinderd door de strengere regels uit de nieuwe AVG. Voor een effectieve fraudebestrijding kan het nodig zijn zwarte lijsten op te stellen van fraudeurs. Een dergelijke zwarte lijst kan echter stuiten op de criteria van genoemde artikelen van het onderhavige wetsvoorstel. Hoe beoordeelt de regering dat? Kan de regering aangeven welke juridische belemmeringen uit de wet voortvloeien om een zwarte lijst van fraudeurs te maken? De aan het woord zijnde leden overwegen een amendement als blijkt dat deze belemmeringen te groot zijn.
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 63.
Artikel 39
Vraag 93 (VVD)
De leden van de VVD-fractie vragen de regering nader in te gaan op de vraag wanneer wel en wanneer geen functionaris voor gegevensbescherming moet worden aangewezen. In dat kader, wat wordt bedoeld met «grootschalige verwerking van bijzondere categorieën van gegevens» (artikel 37, eerste lid, sub c AVG)? Wanneer is sprake van grootschalige verwerking? Indien dit bijvoorbeeld geldt voor een ziekenhuis, geldt dit dan ook voor een kleinere polikliniek?
Aanwijzing van een functionaris voor gegevensbescherming (FG) is door artikel 37 AVG verplicht:
a. als de verwerking door een overheidsinstantie wordt verricht (ongeacht het type gegevens dat wordt verwerkt);
b. als de kernactiviteiten bestaan uit verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
c. als de kernactiviteiten bestaan uit verwerking op grote schaal van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard.
De AVG bevat geen definitie van «op grote schaal». In de Richtlijnen inzake de Functionaris Gegevensbescherming van 13 december 2016 adviseert de Artikel 29-werkgroep om met name de volgende factoren in aanmerking te nemen om te bepalen of de verwerking op grote schaal wordt uitgevoerd: het aantal betrokkenen, de hoeveelheid verwerkte persoonsgegevens, de duur van de gegevensverwerking en de geografische omvang.75 Als voorbeelden van grootschalige verwerkingen noemt de Artikel 29-werkgroep onder meer: verwerking van patiëntgegevens in een ziekenhuis (maar niet die van een individuele arts), reisgegevens die worden bijgehouden door een openbaarvervoersorganisatie, verwerking van klantgegevens door een verzekeringsmaatschappij en het verwerken van zoekgegevens door een zoekmachine-aanbieder. Voor een polikliniek is geen aparte FG nodig als dit een onderdeel is van het ziekenhuis met een FG. Ook is het mogelijk dat sprake is van een gezamenlijke FG voor één concern, mits de FG vanuit elke vestiging makkelijk is te benaderen (artikel 37, tweede lid, AVG).
Artikel 40
Vraag 94 (D66)
De leden van de D66-fractie vragen de regering een aantal voorbeelden te noemen van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken. Kan de regering nader toelichten waarom bij dergelijke besluitvorming menselijke tussenkomst geen toegevoegde waarde heeft? Kan de regering een duidelijk onderscheid aangeven tussen geautomatiseerde besluitvorming op basis van individuele kenmerken en op basis van profilering?
Voorbeelden van geautomatiseerde individuele besluitvorming op basis van strikt individuele kenmerken zijn het toekennen van kinderbijslag, het opleggen van een boete bij een snelheidsovertreding of het rijden door rood licht en het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders. In al deze gevallen gaat het om de uitoefening van gebonden bevoegdheden op basis van objectieve, in wettelijke regelingen vastgelegde kenmerken die menselijke tussenkomst overbodig maken. Zo heeft in het geval waarin in een volledig geautomatiseerd proces met geijkte apparatuur een snelheidsovertreding wordt vastgelegd, het kenteken van het voertuig wordt vergeleken met gegevens die de Rijksdienst voor het wegverkeer over kentekenhouders heeft, en het CJIB namens het OM een snelheidsboete oplegt, het geen toegevoegde waarde als in dit proces een vorm van menselijke tussenkomst zou plaatsvinden.
Geautomatiseerde besluitvorming op basis van individuele kenmerken onderscheidt zich in die zin van geautomatiseerde besluitvorming op basis van profilering dat de besluitvorming in het eerste geval wordt gebaseerd op een aantal vooraf en objectief vastgestelde variabelen die in een directe relatie tot de betrokken persoon staan, zoals zijn inkomen of de gemeten snelheid van het voertuig waarvan hij kentekenhouder is, terwijl de besluitvorming in het tweede geval wordt gebaseerd op de uitkomst van een proces waarin (persoons)gegevens worden verzameld en vervolgens geanalyseerd en/of gecombineerd met als doel mensen in te delen in bepaalde categorieën (profielen). Waar in het eerste geval de individuele kenmerken van de betrokken persoon beslissend zijn, zijn dat in het tweede geval de generieke kenmerken van de gehele groep personen die tot een bepaalde categorie behoren. Geautomatiseerde besluitvorming op basis van profilering houdt daarmee het risico in dat de betrokken persoon een generiek kenmerk van de groep wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenaamde false positive oplevert. Ook bestaat het risico dat de betrokken persoon niet aan alle kenmerken van de groep voldoet, maar wel tot die groep zou moeten behoren en daarmee voor hem een zogenaamde false negative oplevert. Deze risico’s zijn van dien aard dat het ongepast zou zijn de algemene grondslag voor geautomatiseerde besluitvorming die artikel 40 van het wetsvoorstel biedt, ook te laten gelden voor geautomatiseerde besluitvorming op basis van profilering. Daarvoor zal een specifieke wettelijke grondslag nodig zijn, waarbij het mogelijk is om ook specifieke maatregelen te treffen die genoemde risico’s kunnen mitigeren.
Vraag 95 (SP)
De leden van de SP-fractie constateren dat in de AVG specifiek aandacht wordt besteed aan geautomatiseerde besluitvorming, al dan niet door middel van profilering. In steeds meer sectoren worden profilering en geautomatiseerde besluitvorming toegepast. Denk aan banken, gezondheidszorg, verzekeringsmaatschappijen, marketing en advertenties. Dankzij de technologische ontwikkelingen en de mogelijkheden van big data-analyse en kunstmatige intelligentie is het nog gemakkelijker geworden om profielen te maken en geautomatiseerde beslissingen te nemen.
Profilering en geautomatiseerde besluitvorming kunnen nuttig zijn voor betrokkenen en organisaties. Zij kunnen echter ook risico’s meebrengen voor de privacy van betrokkenen. Zo weten veel mensen vaak niet dat ze geprofileerd worden en begrijpen ze niet hoe het werkt. Daarnaast kan het ertoe leiden dat een persoon in een hokje wordt geplaatst en zelfs, indien data onjuist of onvolledig is, tot onjuiste voorspellingen en (onterechte) weigering van levering van bepaalde producten of diensten en zelfs discriminatie. De voornoemde leden denken dan ook dat het goed is dat geheel geautomatiseerde besluitvorming verboden wordt. Wel hebben zij hun twijfels bij de uitzonderingen die gecreëerd worden op dit verbod. Zo kan het verbod omzeild worden door ergens in het proces van gegevensverwerking een menselijke handeling toe te voegen. Deze menselijke handeling moet dan een wezenlijke bijdrage leveren aan het eindresultaat en hij moet uitgevoerd worden door iemand die bevoegd is een beslissing te wijzigen. De aan het woord zijnde leden vrezen dat ondernemingen de grenzen van deze uitzonderingen zullen opzoeken en er wellicht overheen zullen gaan. Zij vernemen graag van de regering hoe het toezicht op het verbod van geautomatiseerde besluitvorming vorm gegeven gaat worden en hoe gecontroleerd gaat worden of misbruik gemaakt wordt van de uitzonderingen op dit verbod.
Van belang is dat de verwerkingsverantwoordelijke op grond van de AVG verplicht is om de betrokkene actief en desgevraagd te informeren over eventuele geautomatiseerde besluitvorming, over de onderliggende logica en de verwachte gevolgen van die verwerking voor betrokkene.76 Volgens artikel 22, tweede lid AVG gelden ook aanvullende waarborgen op het moment dat een verwerkingsverantwoordelijke een beroep doet op een uitzondering: het recht op menselijke tussenkomst, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten (zie ook overweging 71). Tevens wordt verwezen naar het antwoord op vraag 94.
Niet alleen betrokkenen, maar ook anderen die informatie hebben over ongeoorloofde geautomatiseerde besluitvorming of misbruik van de regelingen over uitzonderingen, kunnen dat doorgeven aan de AP via de website (eventueel anoniem). De AP kan dus niet alleen ambtshalve, maar ook naar aanleiding van dergelijke signalen gebruik maken van haar bevoegdheden om de technische kant van het proces van profilering of geautomatiseerde besluitvorming te onderzoeken. Als er sprake is van overtreding van de AVG zal de AP zo nodig over gaan tot handhavend optreden.
Voor de vraag wanneer er sprake is van «menselijke tussenkomst» wordt verwezen naar het antwoord op vraag 52.
Vraag 96 (SP)
Het lijkt deze leden dat meer en meer bedrijven zullen willen gaan werken/experimenteren met geautomatiseerde besluitvorming en dat het algemene verbod hierop zal vragen om extra toezichtscapaciteit. Is de regering bereid hier specifiek extra geld beschikbaar voor te stellen? Zo nee, waarom niet?
De precieze gevolgen voor de benodigde capaciteit van de verschillende werkprocessen en taken op grond van de AVG voor de AP laten zich lastig voorspellen. Om daar beter zicht op te krijgen wordt er gemonitord. Deze monitor wordt momenteel in samenspraak met de AP tot stand gebracht en zal door de Auditdienst Rijk (ADR) worden getoetst. Wanneer op basis van deze monitoring uitbreiding geïndiceerd is, dan is dit onderwerp van bespreking met de AP en maakt dit vervolgens deel uit van het reguliere begrotingsproces.
Artikel 43
Vraag 97 (GroenLinks)
De leden van de GroenLinks-fractie constateren dat artikel 85 van de AVG voorziet in een journalistieke, wetenschappelijke, artistieke en literaire exceptie. Deze leden begrijpen dat het huidige regime voor journalistieke gegevensbeschermingen (gebaseerd op Richtlijn 95/46/EG) grotendeels wordt gehandhaafd. Daarmee kiest de regering ervoor niet de volledige ruimte te benutten die in de AVG voor de journalistieke praktijk beschikbaar is. De voornoemde leden vragen de regering om te reageren op de stelling van de brancheorganisatie voor nieuwsbedrijven (brief NDP Nieuwsmedia, 20 december 2017) dat de «beleidsneutrale implementatie» de facto een zwakkere bescherming voor de journalistiek betekent omdat de AVG de rechten van betrokkenen versterkt en uitbreidt, er meer verplichtingen worden opgelegd aan organisaties die persoonsgegevens verwerken en de boetes voor overtredingen aanzienlijk verhoogd worden in vergelijking met de inmiddels ruim 22 jaar oude Richtlijn 95/46/EG. Vanuit journalistieke zijde wordt daarom opgeroepen tot een hernieuwde afweging van de belangen van de uitingsvrijheid en de privacybescherming. De aan het woord zijnde leden vragen een reactie hierop van de regering.
Met artikel 43 UAVG wordt uitvoering gegeven aan artikel 85 AVG. Hierin wordt – kort gezegd – bepaald dat het recht op bescherming van persoonsgegevens door de lidstaten in overeenstemming moet worden gebracht met de vrijheid van meningsuiting en van informatie, daaronder begrepen de journalistiek en academische, artistieke of literaire uitdrukkingsvormen. Indien het noodzakelijk is om deze grondrechten met elkaar in evenwicht te brengen, mogen onderdelen van de AVG worden uitgezonderd voor verwerking voor alle voornoemde doeleinden. Daarbij geldt het in de jurisprudentie bevestigde uitgangspunt dat er tussen grondrechten geen rangorde bestaat: in algemene zin heeft geen van beide rechten voorrang.
Met artikel 43 wordt uitvoering gegeven aan artikel 85 AVG. Deze zogenoemde journalistieke exceptie komt, conform het streven naar een beleidsneutrale invulling van de ruimte die de AVG biedt, op hoofdlijnen overeen met hetgeen thans geregeld is in artikel 3 van de Wbp. Dat betekent dat slechts een beperkt aantal bepalingen van de AVG ook geldt voor verwerking van persoonsgegevens voor journalistieke doeleinden. Het betreft de algemene bepalingen en definities (artikelen 1 t/m 4), de beginselen en rechtsgrondslagen voor gegevensverwerking (artikelen 5 t/m 11, eerste lid, met uitzondering van artikel 7, derde lid), de plichten van de verwerkingsverantwoordelijke en verwerker (artikelen 24, 25, 28 en 29) en de verplichting persoonsgegevens op een passende wijze te beveiligen (artikel 32). De bepalingen van de AVG die van toepassing zijn, kunnen in de journalistieke context een eigen betekenis krijgen, die recht doet aan de praktijk waarbinnen de verwerking plaatsvindt. Enkel daar waar de ontwikkelingen in de jurisprudentie of de huidige praktijk daartoe noodzaak geven, is de journalistieke exceptie uitgebreid. Zo is de mogelijkheid voor betrokkene om zijn of haar toestemming voor het verwerken van persoonsgegevens te allen tijde in te kunnen trekken (artikel 7, derde lid, AVG) uitgezonderd. Een eenmaal verkregen toestemming, bijvoorbeeld voor het publiceren of uitzenden van een gegeven interview, kan in beginsel niet worden ingetrokken.
De rechten van betrokkenen zijn categoraal uitgezonderd voor verwerkingen voor journalistieke doeleinden. Tevens is de AP op grond van artikel 43 niet bevoegd om toezicht te houden, en kunnen er bijgevolg door de AP geen boetes worden opgelegd bij eventuele overtredingen. De versterking en uitbreiding van de rechten van betrokkenen en de verhoging van boetes voor overtredingen hebben dan ook geen consequenties voor de journalistieke praktijk.
Artikel 46
Vraag 98 (PvdA)
De leden van de PvdA-fractie merken op dat artikel 46, eerste lid, van het voorliggend wetsvoorstel voorziet in een waarborg dat het burgerservicenummer (hierna: BSN) bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van de wet of van doeleinden die bij de wet zijn bepaald. Het tweede lid van dat artikel bepaalt echter dat er bij AMvB in afwijking van het eerste lid gevallen kunnen worden aangewezen waar het BSN wel mag worden gebruikt. De aan het woord zijnde leden zijn van mening dat voorkomen moet worden dat het BSN gebruikt wordt voor identiteitsfraude. Zij zijn dan ook terughoudend om bij AMvB de mogelijkheden tot dat gebruik te verruimen. Waarom is een dergelijke AMvB nodig? Aan welke mogelijkheden denkt u om het gebruik van het BSN te gebruiken?
Artikel 46 van het wetsvoorstel is identiek aan artikel 24 Wbp. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is artikel 24 in het wetsvoorstel overgenomen. Er is dus geen sprake van een verruiming. Voorbeelden van bepalingen in algemene maatregelen van bestuur die hierop zijn gebaseerd zijn artikel 6 van het Besluit digitalisering burgerlijk procesrecht en bestuursprocesrecht en § 7.4 van het Besluit Jeugdwet. Het gaat dan om gevallen waarin het noodzakelijk is om een grondslag voor het gebruik van het BSN te regelen, in aanvulling op artikel 10 van de Wet algemene bepalingen burgerservicenummer, dat regelt dat overheidsorganen het BSN kunnen gebruiken bij de uitvoering van hun taak.
Deze nota naar aanleiding van het verslag wordt mede namens de Minister en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties ingediend.
De Minister voor Rechtsbescherming, S. Dekker