Vastgesteld 15 december 2017
De vaste commissie voor Justitie en Veiligheid, belast met het voorbereidend onderzoek van dit voorstel van wet, heeft de eer als volgt verslag uit te brengen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet genoegzaam voorbereid.
|
Inhoudsopgave |
blz. |
|
1. Inleiding |
1 |
|
2. Strekking van het wetsvoorstel |
2 |
|
3. Korte inhoud hofuitspraak |
4 |
|
4. Adviezen |
4 |
|
5. Uitvoerings- en financiële gevolgen |
4 |
|
6. Artikelsgewijs |
4 |
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de wijziging van de Wet bescherming persoonsgegevens (hierna: Wbp) naar aanleiding van de uitspraak van het Hof van Justitie van de Europese Unie (hierna: het HvJEU) van 6 oktober 2015 (C362/14) inzake de Veiligehavenbeginselen (hierna: het wetsvoorstel). Zij constateren dat het wetsvoorstel een gevolg is van de Europese jurisprudentie rondom Facebook en de heer Maximilian Schrems. Met enige zorg lezen deze leden dat zowel de Afdeling advisering van de Raad van State (hierna: de Afdeling) als de Autoriteit Persoonsgegevens (hierna: AP) veel kritische opmerkingen hebben gemaakt bij het wetsvoorstel. Deze leden hebben enkele vragen.
De leden van de CDA-fractie hebben kennisgenomen van onderhavig wetsvoorstel. Deze leden zien de noodzaak nationale regelgeving in lijn te brengen met de uitspraak van het HvJEU. De genoemde leden willen de regering nog enkele vragen voorleggen.
De leden van de D66-fractie hebben met interesse kennisgenomen van het wetsvoorstel en hebben nog enkele vragen.
De leden van de GroenLinks-fractie hebben met grote belangstelling kennisgenomen van de voorgestelde wijzigingen om de Wbp in overeenstemming te brengen met de Safe Harbour-uitspraak van het HvJEU. Deze leden hebben nog enkele vragen.
De leden van de SP-fractie hebben met interesse kennisgenomen van het wetsvoorstel. Deze wetswijziging is tot stand gekomen omdat het HvJEU heeft vastgesteld dat het grondrecht op privacy en het grondrecht op een effectieve rechtsvoorziening zijn geschonden door een EU-beschikking waarmee de doorgifte van persoonsgegevens van EU-burgers naar de Verenigde Staten werd gefaciliteerd. Deze leden zien dit als een teken dat de privacy van burgers niet genoeg is meegewogen bij de totstandkoming van het besluit en bovendien dat de nationale toezichthouders over onvoldoende bevoegdheden beschikken om hierop te controleren. De grondrechten van EU-burgers behoren altijd voorrang te hebben op de commerciële belangen van multinationals. Voornoemde leden hopen dat de mogelijkheden om recht te halen voor de burgers via de AP met deze wetswijziging worden versterkt, maar hebben hier nog wel enkele opmerkingen en vragen over.
De leden van de VVD-fractie vragen bij hoeveel derde landen de Europese Commissie op grond van artikel 25, zesde lid, van de Privacyrichtlijn 95/46 heeft geconstateerd dat het land waarborgen voor een passend beschermingsniveau biedt qua gegevensbescherming. Klopt het dat dit aantal landen beperkt is? Is de conclusie dan gerechtvaardigd dat het wetsvoorstel een aparte rechtsgang creëert voor de AP om een klacht inzake de ongeldigheid van een besluit op grond van bovenstaand artikel aan de rechter voor te leggen, terwijl deze rechtsgang in de praktijk zelden tot nooit zal worden gebruikt?
De leden van de CDA-fractie lezen dat de regering ervoor gekozen heeft met artikel 78a Wbp de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) niet exclusief bevoegd te maken om prejudiciële vragen te stellen over de geldigheid van besluiten van de Europese Commissie inzake gegevensbescherming. Deze leden vragen of dit niet voor gewenste overzichtelijkheid zou kunnen zorgen. Het hoger beroep in dergelijke handhavingszaken is immers ook aan de ABRvS opgedragen.
De genoemde leden vragen hoe de verplichting van de toezichthouder om in volledige onafhankelijkheid op verzoek van een betrokkene onderzoek te doen naar de doorgifte van persoonsgegevens zich verhoudt tot de «standard contractual clauses»?
De leden van de GroenLinks-fractie constateren dat gestreefd moet worden naar maximale bescherming van persoonsgegevens in de analoge en de digitale context. De Hofuitspraak in de zaak-Schrems laat zien dat niet volstaan kan worden met een formele vaststelling dat persoonsgegevens in derde landen in veilige handen zijn, maar dat dit daadwerkelijk moet kunnen worden vastgesteld. Uit de veelheid van beschikbare persoonsgegevens die vandaag de dag worden verstuurd, gedeeld en bewerkt komen immers patronen, profielen en algoritmes naar voren die meer over betrokkenen zeggen dan de betrokkenen zelf ooit voor mogelijk hadden kunnen houden. Alle reden dus om te waarborgen dat de regie over gebruik van persoonsgegevens blijft liggen bij betrokkenen zelf. Dat wordt mede bereikt door toezicht te houden op doorgifte van persoonsgegevens aan derde landen.
De aan het woord zijnde leden vragen of bij de concrete toepassing van de op grond van dit wetsvoorstel geïntroduceerde bevoegdheid het initiatief niet al te veel bij de consument blijft liggen. Hij of zij moet zich immers beklagen over de onrechtmatigheid van de doorgifte van persoonsgegevens naar een land ten aanzien waarvan de Europese Commissie op grond van artikel 25, zesde lid, van de richtlijn, een toereikendheidsbesluit heeft genomen. Dat vergt naar het oordeel van deze leden een onderzoeksinspanning die van weinig consumenten verwacht mag worden. Op welke wijze houdt de regering toezicht op het gebruik van persoonsgegevens door derde landen en kan de regering ook uit eigen beweging een toereikendheidsbesluit bij het HvJEU ter discussie stellen of is dit bij uitsluiting voorbehouden aan de nationale rechter en/of de AP?
De leden van de SP-fractie constateren dat het wetsvoorstel voorziet in de mogelijkheid voor de AP om na een klacht en na zelf onderzoek te hebben gedaan waaruit gegronde redenen blijken dat het toereikendheidsbesluit onvoldoende waarborgen biedt, via de ABRvS een oordeel van het HvJEU over een toereikendheidsbesluit te verkrijgen. Deze leden vragen waarom er zoveel drempels worden opgelegd voor de AP. Waarom voorziet het wetsvoorstel bijvoorbeeld niet in de mogelijkheid voor de AP hierover uit eigen beweging een verzoek in te dienen? Kan de AP door deze wetswijziging ook een verzoek indienen om de geldigheid van andere privacy-gerelateerde EU-besluiten te beoordelen? Hoe toetst de ABRvS of er gegronde redenen voor onvoldoende waarborgen zijn aangedragen door de AP? Waarom is de ABRvS niet verplicht om prejudiciële vragen te stellen bij het HvJEU wanneer de AP een verzoek indient?
De aan het woord zijnde leden benadrukken dat mensen boven multinationals moeten gaan en dat persoonsgegevens van burgers overal goed moeten worden beschermd. Daarom vragen deze leden welke onderzoeksbevoegdheden de AP heeft om de privacy-waarborgen buiten Nederland en buiten Europa te onderzoeken. Wat gebeurt er als een bedrijf daar niet aan wil meewerken? Welke handhavingsbevoegdheden heeft de AP buiten Nederland en buiten Europa nadat een toereikendheidsbesluit ongeldig is verklaard? Wat gebeurt er wanneer een toereikendheidsbesluit geldig wordt geacht, maar de AP evenwel in een individueel geval een overtreding hiervan heeft geconstateerd? Welke bevoegdheden heeft de AP dan om hier tegen op te treden?
In de memorie van toelichting wordt aangegeven dat alternatieve procedures om aan het Schrems-arrest te voldoen worden beoordeeld door te bekijken of (1) ze geen afbreuk doen aan het primaat van de AP als handhavende instantie, (2) het bestaande systeem zoveel mogelijk in stand wordt gelaten en (3) verzoeken van de AP door één rechter worden beoordeeld. De genoemde leden vinden niet dat deze overwegingen recht doen aan het Schrems-arrest, waaruit voortvloeit dat de overdracht van privacygegevens door internationaal opererende bedrijven beter moet worden gecontroleerd. Bij de beoordeling van alternatieve procedures om hierop te controleren moet wat deze leden betreft doorslaggevend zijn of de privacy van burgers er mee op vooruit gaat. Deze leden vragen of de onrechtmatigheidsactie bij de civiele rechter, zoals aangedragen door de AP, vanuit dit perspectief geen betere kans op handhaving van privacyregelgeving biedt. Graag vernemen deze leden hierop een reflectie.
De leden van de CDA-fractie constateren dat de uitspraak van het HvJEU inhoudt dat toezichthouders op het gebied van gegevensbescherming zelfstandig een nationale rechter moeten kunnen benaderen indien een belanghebbende een klacht indient over de onrechtmatigheid van de doorgifte van zijn persoonsgegevens naar een land buiten de EU. De toezichthouders moeten ook zelfstandig een gang naar de rechter kunnen maken indien zij vermoeden dat er sprake is van onrechtmatigheid in de doorgifte van persoonsgegevens naar een land buiten de EU. De nationale rechter moet, indien zij deze vermoedens delen, prejudiciële vragen stellen aan het HvJEU. Indien de toezichthouder een klacht van een belanghebbende afwijst, moet er een beroep of bezwaarmogelijkheid zijn voor de belanghebbende. Deze leden vragen de regering of er tijdelijke maatregelen zijn genomen met betrekking tot de doorgifte van persoonsgegevens.
De leden van de VVD-fractie constateren dat de AP bezwaar heeft geuit tegen het wetsvoorstel en de regering heeft geadviseerd dit niet aldus in te dienen. Gebeurt het vaak dat de AP of haar rechtsvoorganger het College Bescherming Persoonsgegevens zo negatief over wetsvoorstellen oordeelt? Kan de regering aangeven bij welke voorstellen dit de afgelopen jaren is gebeurd? Hoe heeft de regering gereageerd op deze negatieve adviezen? Zijn de wetsvoorstellen in die gevallen aangepast naar aanleiding van het advies van de privacy-waakhond?
De leden van de CDA-fractie constateren dat de AP en ABRvS kritische kanttekeningen plaatsen bij het wetsvoorstel waarbij de AP zelfs aan heeft gegeven negatief te adviseren. Het weegt zwaar voor genoemde leden dat de toezichthouder belast met (een deel) van de handhaving van de systematiek in het wetsvoorstel, aangeeft zich niet of onvoldoende te kunnen vinden in de gekozen oplossing. Is er na het verschijnen van het advies contact en overleg geweest met de AP? Zo ja, wat is het resultaat hiervan?
Eén van de punten die de AP aandraagt is de keuze voor de verzoekschriftprocedure bij de hoogste bestuursrechter en het gebrek aan alternatieven buiten het bestuursrecht. Deze leden lezen dat de regering hiervoor heeft gekozen op basis van drie uitgangspunten. Waar komen deze drie uitgangspunten uit voort?
De leden van de CDA-fractie begrijpen uit de memorie van toelichting dat de regering geen gevolgen voor de werklast van de AP of die van de ABRvS voorziet. Deze leden constateren dat dit wetsvoorstel nieuwe procedures en bevoegdheden schept voor zowel de AP als de ABRvS. Zij vragen de regering nader te preciseren waarom dit geen gevolgen voor de werklast van de AP en die van de ABRvS zou hebben.
De leden van de VVD-fractie vragen of het klopt dat het woord «Unie» is weggevallen in artikel 78a, lid 7 van het wetsvoorstel.
De leden van de D66-fractie lezen in artikel 58, vijfde lid, van de Algemene verordening gegevensbescherming (AVG) en Artikel 47, vijfde lid, van de Richtlijn gegevensbescherming opsporing en vervolging, dat de lidstaat erin moet voorzien dat elke toezichthoudende autoriteit de bevoegdheid heeft om inbreuken van de verordening of richtlijn bij rechterlijke autoriteiten te brengen. In het nieuwe artikel 78a van de Wbp is ervoor gekozen deze toegang te verschaffen voor de AP door middel van een verzoekschriftprocedure. Is de verzoekschriftprocedure volgens de regering een voldoende instrument om een eigen rechtsgang te bieden voor de AP bij de rechter? Kan de regering tevens toelichten waarom er niet gekozen is voor de mogelijkheid voor toegang tot de rechter door middel van alternatieve instrumenten?
De genoemde leden lezen dat er in dit wetsvoorstel afwijkende regelingen worden opgenomen met betrekking tot de procedurele aspecten van de prejudiciële procedure. Acht de regering afwijking van de bestaande praktijk geregeld in de Algemene Wet Bestuursrecht noodzakelijk in het nieuwe artikel 78a van de Wbp? Zo ja, waarom?
De voorzitter van de commissie, Van Meenen
De adjunct-griffier van de commissie, Verstraten