Nr. 3 MEMORIE VAN TOELICHTING

Met dit wetsvoorstel wordt uitvoering gegeven aan de Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PbEU 2016, L119). Deze richtlijn wordt in de Kamerstukken aangeduid als de richtlijn gegevensbescherming opsporing en vervolging (hierna ook: de richtlijn). Dit wetsvoorstel voorziet in aanpassing van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Het wetsvoorstel bevat wijzigingen in verplichtingen voor de verwerkingsverantwoordelijke die in samenhang bezien tot een verbeterd beschermingsniveau leiden van degene op wie de verwerking van een politiegegeven of een gegeven als bedoeld in de Wjsg betrekking heeft. Uitgangspunt hierbij is minimumimplementatie van de richtlijn, met dien verstande dat voor enkele specifieke kwesties de implementatie doorwerking heeft en daarnaast aan een eerdere toezegging van het kabinet aan de Tweede Kamer uitvoering wordt gegeven die te bezien bij de omzetting van de implementatie van de richtlijn (zie nader paragraaf 5.2.2). Mede namens de Minister van Defensie licht ik dit wetsvoorstel hieronder nader toe.

Dit wetsvoorstel is onderdeel van een breder pakket, dat in zijn geheel de richtlijn gegevensbescherming opsporing en vervolging en de Algemene verordening gegevensbescherming1 (hierna: ook de verordening gegevensbescherming, of: de verordening) zal implementeren. Dit pakket bestaat uit:

• a. het voorliggende wetsvoorstel, waarmee de richtlijn gegevensbescherming opsporing en vervolging wordt geïmplementeerd;

• b. de uitvoeringswet, waarin uitvoering wordt gegeven aan de verordening gegevensbescherming en de Wet bescherming persoonsgegevens wordt ingetrokken;

• c. een invoeringswet met een technisch karakter, dat de terminologie in het bestaande wettenbestand aanpast aan de verordening en aan het wegvallen van de Wbp als de algemene wet voor bescherming van persoonsgegevens, alsmede aan gewijzigde verwijzingen als gevolg van dit wetsvoorstel.

Op 27 november 2008 heeft de Raad van de Europese Unie een kaderbesluit aangenomen over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken2 (hierna: het kaderbesluit dataprotectie, of: het kaderbesluit). Het kaderbesluit dataprotectie, dat met deze richtlijn is ingetrokken, gaf regels over de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken (artikel 59, eerste lid, Rl). Het toepassingsgebied van het voormalige kaderbesluit was beperkt tot de verwerking van persoonsgegevens die werden verstrekt of beschikbaar gesteld tussen de lidstaten. Het voormalige kaderbesluit is destijds geïmplementeerd in de Wpg en de Wjsg3 (Stb. 2011, 490). Daarbij is uitgegaan van een zoveel mogelijk extensieve werking van de regels van het kaderbesluit voor de verwerking en verstrekking van de persoonsgegevens, dat wil zeggen dat de regels van het voormalige kaderbesluit ook golden voor de gegevens die uitsluitend op nationaal niveau werden verwerkt. Aldus is met deze wet reeds een belangrijke stap gezet ter implementatie van de Europese regels op het gebied van de bescherming van persoonsgegevens. Daardoor is de implementatie van de richtlijn gegevensbescherming opsporing en vervolging beperkt tot aanpassing van de bepaalde onderdelen van de bestaande nationale wetgeving, in aanvulling op hetgeen reeds naar aanleiding van het voormalige kaderbesluit dataprotectie is aangepast. Wel wordt het niveau van gegevensbescherming bij de verwerking van persoonsgegevens ten behoeve van de strafrechtspleging hiermee verder verhoogd.

Op 4 november 2010 heeft de Commissie een Mededeling uitgebracht waarin de kaders worden geschetst voor een herziening van de zogenoemde Privacyrichtlijn (Richtlijn nr. 95/46/EG)4. In de Mededeling is een uitgewerkt voorstel tot herziening van het wettelijk kader voor gegevensbescherming in de EU aangekondigd. Naar aanleiding van de mededeling is een zogenaamd fiche opgesteld aan de Kamer gezonden (Kamerstukken II 2010/11, 22 112, nr. 1116). De op 25 januari 2012 door de Commissie gepresenteerde orstellen strekken tot uitvoering van de in de Mededeling aangekondigde voornemens.

Op 27 april 2016 hebben het Europees Parlement en de Raad de richtlijn gegevensbescherming opsporing en vervolging aangenomen5. Deze richtlijn treedt in de plaats van het kaderbesluit dataprotectie. Naast de richtlijn gegevensbescherming opsporing en vervolging is de verordening gegevensbescherming tot stand gekomen, die van toepassing is op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Deze verordening heeft rechtstreekse werking, zodat voor de uitvoering daarvan kan worden volstaan met de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet Avg).

Met dit wetsvoorstel wordt de richtlijn geïmplementeerd. De bepalingen uit de richtlijn met betrekking tot de nationale toezichthouder zijn echter deels opgenomen in de Uitvoeringswet Avg. Verder zullen de bepalingen van de richtlijn worden geïmplementeerd door middel van aanpassing van specifieke wetten op het terrein van het strafrecht.

Voor wat betreft het toepassingsbereik sluiten de verordening en de richtlijn elkaar wederzijds uit: waar de richtlijn geldt is de verordening niet van toepassing en andersom. Materieel is er sprake van een zekere mate van overlap tussen de richtlijn en de verordening voor wat betreft de verplichtingen van de verwerkingsverantwoordelijke.

De verordening gegevensbescherming reguleert de verwerking van persoonsgegevens die gebaseerd zijn op privaatrechtelijke en bestuurlijke rechtsverhoudingen. De aard van de rechtsverhouding die ten grondslag kan liggen aan de verwerking van persoonsgegevens is ruimer dan onder de richtlijn. Op basis van de verordening kan de grondslag voor de verwerking van persoonsgegevens berusten op een wettelijke verplichting, maar ook op toestemming van een betrokkene of een contractuele verplichting. De richtlijn is toegesneden op de rechtshandhaving, waarbij er geen ruimte is voor instemming van de betrokkene met de gegevensverwerking. Bepaalde verplichtingen zijn onder de richtlijn en de verordening materieel gelijk, zoals de verplichte melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en aan de betrokkene (vgl. de artikelen 30 en 31 Rl en 33 en 34 Avg). Andere verplichtingen zijn vergelijkbaar maar kennen verschillen in de concrete uitwerking, zoals de verplichting voor de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen te treffen ter bescherming en beveiliging van de gegevens (vgl. de artikelen 19, 20, 29 Rl en 24, 25 en 32 Avg). Voor meer onderwerpen geldt dat die zowel in de richtlijn als de verordening worden geregeld, maar niet op identieke wijze. Dit leidt tot verschillen van uiteenlopende aard en omvang, bijvoorbeeld ten aanzien van de verplichting inzake een gegevensbeschermingseffectbeoordeling (vgl. artikel 27 Rl en 35 Avg), de door een verwerkingsverantwoordelijke bij te houden verwerkingsactiviteiten in een register (vgl. artikelen 24 Rl en 30 Avg), de verwerking voor andere doelen (vgl. artikelen 9 Rl en 6 Avg), de informatieverstrekking aan de betrokkene (vgl. artikelen 13 Rl en 13, 14 Avg) en de kennisgeving van rectificatie (vgl. artikelen 16 Rl en 19 Avg). Anders dan onder de richtlijn bevat de verordening geen verplichting tot geautomatiseerde vastlegging van gegevens over de gegevensverwerking (logging) en het recht voor betrokkene een klacht bij de toezichthoudende autoriteit in te dienen. De verplichte aanwijzing van de functionaris voor gegevensbescherming op grond van de richtlijn sluit niet uit dat voor die verplichting op grond van de verordening dezelfde functionaris wordt aangewezen (vgl. artikelen 33 en 34 Rl en 37 tot en met 39 Avg).

Een complicerende factor is dat de verplichtingen van de richtlijn moeten worden omgezet in nationale wetgeving, terwijl de verplichtingen van de verordening rechtsreeks werken. Instanties die onder het toepassingsgebied van de richtlijn vallen, zoals de politie en de Koninklijke marechaussee, krijgen niet alleen te maken met de nationale regelgeving ter implementatie van de richtlijn maar ook met zowel de bepalingen van de verordening die rechtstreeks werken als de nationale bepalingen die uitvoering geven aan de verordening, voor zover dit taken betreft die geen betrekking hebben op het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (hierna ook: de richtlijntaken). Ook een instantie als het Centraal Justitieel Incasso Bureau zal met onderscheidenlijke regimes van regelgeving moeten werken bij de afdoening van overtredingen op grond van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (zie nader de toelichting bij artikel 1, onderdeel d, Wjsg).

Uitgangspunt voor de implementatie is dat zoveel mogelijk moet worden voorkomen dat de instanties binnen de strafrechtsketen worden geconfronteerd met verschillende verwerkingsregimes, met het oog op de uitvoerbaarheid van de regels voor de verwerking van persoonsgegevens door de betreffende instanties. Daarbij is zoveel mogelijk aangesloten bij de bestaande privacywetgeving voor die instanties. Dit betreft de Wpg voor de politie, de Koninklijke marechaussee en de bijzondere opsporingsdiensten, en de Wjsg voor het openbaar ministerie en het CJIB. Deze wetten geven regels voor de verwerking van persoonsgegevens door de personen en instanties die zijn belast met de opsporing en vervolging van strafbare feiten. Met de aanpassing van deze wetten ter implementatie van de richtlijn wordt aldus uitgegaan van een meer organisatiegerichte benadering, gericht op de strafrechtspleging. Voor zover sprake is van de verwerking van persoonsgegevens met het oog op andere vormen van handhaving, door middel van het bestuurs- of civiele recht, is de verordening van toepassing.

Bij brief van 7 januari 2016 is reeds een korte schets van de belangrijkste onderdelen van de richtlijn gegevensbescherming opsporing en vervolging gegeven, en een eerste, algemene waardering van het onderhandelingsresultaat (Kamerstukken II 2015/16, 32 761, nr. 91).

De richtlijn bestaat uit tien hoofdstukken. Hoofdstuk I bevat de algemene bepalingen. Dit betreft het toepassingsgebied van de richtlijn en de definities (artikelen 2 en 3 Rl). De belangrijkste definities zijn gelijk aan die van de verordening.

Hoofdstuk II bevat de beginselen. Dit betreft beginselen inzake verwerking van persoonsgegevens, specifieke verwerkingsvoorwaarden en de verwerking van bijzondere categorieën van persoonsgegevens (artikelen 4, 9 en 10 Rl).

In Hoofdstuk III zijn de rechten van de betrokkene neergelegd. Dit betreft algemene regels voor de communicatie, zoals het beginsel dat deze kosteloos geschiedt en dat de betrokkene schriftelijk in kennis wordt gesteld van de opvolging van zijn verzoek (artikel 12 Rl). Verder is voorzien in een verplichting voor de verwerkingsverantwoordelijke om bepaalde informatie ter beschikking te stellen (artikel 13 Rl). Aanvullend is voorzien in een recht op inzage van de betrokkene (artikel 14 Rl) en in de mogelijkheid van beperking van het inzagerecht in het belang van (onder meer) het opsporingsonderzoek of de strafvervolging (artikel 15 Rl). Tevens is in dit hoofdstuk voorzien in een recht op rectificatie of wissing van persoonsgegevens, waarbij eveneens weigeringsgronden kunnen worden ingeroepen (artikel 16 Rl).

Hoofdstuk IV bevat algemene verplichtingen voor de verwerkingsverantwoordelijke en de verwerker (afdeling 1), de beveiliging van persoonsgegevens (afdeling 2) en de functionaris voor gegevensbescherming (afdeling 3). De verwerker verwerkt de persoonsgegevens namens de verantwoordelijke en uitsluitend volgens de instructies van de laatstgenoemde (artikel 21 Rl). De verwerkingsverantwoordelijke en de verwerker zijn gehouden maatregelen te treffen ter beveiliging van persoonsgegevens (artikelen 20 en 29 Rl). Van geautomatiseerde verwerkingen worden logbestanden bijgehouden (artikel 25 Rl). Tevens is voorzien in verplichtingen tot het verrichten van een gegevensbeschermingseffectbeoordeling, de voorafgaande raadpleging van de toezichthoudende autoriteit en de melding van datalekken (artikelen 27, 28, 30 en 31 Rl). Er moet een functionaris voor gegevensbescherming worden aangewezen die toeziet op de naleving van de richtlijn (artikelen 32 en 34 Rl).

Hoofdstuk V heeft betrekking op doorgiften van persoonsgegevens aan derde landen of internationale organisaties. Het uitgangspunt is dat persoonsgegevens slechts mogen worden doorgegeven op basis van een adequaatheidsbesluit van de Commissie (artikel 36 Rl). Bij ontstentenis van een adequaatheidsbesluit kunnen persoonsgegevens worden doorgegeven op basis van passende waarborgen voor de bescherming van persoonsgegevens (artikel 37 Rl). In afzonderlijke in de richtlijn omschreven gevallen is doorgifte aan derde landen of een internationale organisatie mogelijk, onder andere met het oog op de richtlijntaken (artikel 38 Rl).

Hoofdstuk VI regelt de instelling van onafhankelijke toezichthoudende autoriteiten. Dit omvat onder meer de onafhankelijkheid (artikel 42 Rl), de competentie (artikel 45 Rl), de taken (artikel 46 Rl) en bevoegdheden (artikel 47 Rl).

Hoofdstuk VII voorziet in de samenwerking tussen de nationale toezichthoudende autoriteiten, onder meer door het verstrekken van relevante informatie en het verlenen van wederzijdse bijstand (artkel 50 Rl). Het op grond van de verordening opgerichte Europees Comité voor gegevensbescherming wordt belast met het adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Europese Unie (artikel 51 Rl). Dit Comité wordt gevormd door de bestaande zogenaamde «artikel 29-werkgroep», die is samengesteld uit alle nationale toezichthoudende autoriteiten.

Hoofdstuk VIII regelt beroep, aansprakelijkheid en straffen. De betrokkene heeft het recht om, als hij van mening is dat inbreuk wordt gemaakt op de krachtens de richtlijn vastgestelde bepalingen, een klacht in te dienen bij een toezichthoudende autoriteit (artikel 52 Rl). Tevens heeft de betrokkene het recht om een doeltreffende voorziening in rechte in te stellen (artikel 53 en 54 Rl).

Hoofdstuk IX bevat bepalingen over uitvoeringshandelingen. De commissie krijgt op een tweetal terreinen de gedelegeerde bevoegdheid om nadere regels te stellen. Dit betreft de intrekking, wijziging of schorsing van een zogenaamd adequaatheidsbesluit met betrekking tot het beschermingsniveau in een derde land (artikel 36, vijfde lid, Rl) en de vastlegging van het model en de procedures voor de wederzijde bijstand tussen de toezichthoudende autoriteiten van de lidstaten (artikel 50, achtste lid, Rl). De uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure, genoemd in artikel 2 van Verordening nr. 182/2011, aangezien dit handelingen van algemene strekking zijn (overweging 91 Rl)6.

Hoofdstuk X bevat de slotbepalingen. Hierin is onder andere voorzien in de intrekking van het kaderbesluit dataprotectie (artikel 59 Rl), het van kracht blijven van specifieke bepalingen voor de bescherming van persoonsgegevens in reeds geldende rechtshandelingen van de Europese Unie (artikel 60 Rl), de periodieke evaluatie van de richtlijn (artikel 62 Rl) en de inwerkingtreding (artikel 64 Rl).

De richtlijn moet op 6 mei 2018 zijn geïmplementeerd (artikel 63, eerste lid, Rl).

De richtlijn heeft consequenties voor de wetgeving van de lidstaten op het gebied van de bescherming van persoonsgegevens die worden verwerkt ten behoeve van onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. In de eerste plaats kan worden gewezen op het ruimere toepassingsgebied van de richtlijn ten opzichte van het voormalige kaderbesluit dataprotectie, omdat de richtlijn ook van toepassing is op de verwerking van persoonsgegevens die uitsluitend op nationaal niveau plaatsvindt. Zoals hierboven reeds aan de orde is gekomen, is dit onderscheid voor Nederland minder van belang omdat destijds is gekozen voor een zo veel mogelijk extensieve implementatie van het voormalige kaderbesluit dataprotectie.

In de tweede plaats maakt de richtlijn onderscheid tussen de verwerking van persoonsgegevens in de lidstaten van de Europese Unie enerzijds en de doorgifte van persoonsgegevens aan derde landen en internationale organisaties anderzijds. Met dit onderscheid wordt afgeweken van de structuur van de Wpg en de Wet justitiële en strafvorderlijke gegevens, waarin onderscheid wordt gemaakt tussen de verwerking van gegevens op nationaal niveau en de verstrekking van gegevens aan derde landen en internationale organisaties, waarbij nader onderscheid werd gemaakt tussen de verstrekking aan andere lidstaten en de verstrekking aan derde landen. Dit betekent dat de regels van de Wpg met betrekking tot een vrije uitwisseling van gegevens met het oog op de uitvoering van de politietaak («free flow of information»), op basis van hoofdstuk III van die wet, onverkort van toepassing zijn op de uitwisseling van gegevens met opsporingsambtenaren in andere lidstaten. Voor de verstrekking van politiegegevens aan opsporingsambtenaren in andere landen geldt het regime voor de verstrekking van politiegegevens aan derde landen en internationale organisaties (Paragraaf 3 Wpg). Voor de Wjsg geldt hetzelfde ten aanzien van onder die wet vallende gegevens. Hierbij moet nog worden opgemerkt dat het begrip «lidstaat» niet eenduidig kan worden gedefinieerd, vanwege de bijzondere positie van landen als het Verenigd Koninkrijk, Ierland, Denemarken als EU-lidstaten enerzijds en van landen als Noorwegen, IJsland en Zwitserland als niet-lidstaten anderzijds. In het wetsvoorstel wordt met de definitie van het begrip derde land hiermee rekening gehouden.

In de derde plaats bevat de richtlijn nieuwe verplichtingen voor de verwerkingsverantwoordelijke. Dit betreft verplichtingen als de (actieve) beschikbaarstelling van informatie over de gegevensverwerking aan de betrokkene, het bijhouden van logbestanden, de registratie van gegevens over de gegevensverwerkingen, het verrichten van gegevensbeschermingseffectbeoordelingen en het melden van datalekken aan de betrokkene en aan de toezichthoudende autoriteit. Op deze punten behoeven de Wpg en de Wjsg aanpassing, de betreffende verplichtingen van de richtlijn zijn in dit wetsvoorstel opgenomen.

In de vierde plaats bevat de richtlijn uitgebreide regels over de positie, de taken en bevoegdheden van de toezichthoudende instantie. Voor Nederland betreft dit de Autoriteit persoonsgegevens (AP). Voor zover de regels van de richtlijn aanleiding geven tot aanpassing van de Wpg en de Wjsg, zijn de betreffende regels in dit wetsvoorstel opgenomen.

Ten slotte kan worden opgemerkt dat de richtlijn niet belet in het nationale recht uitgebreidere waarborgen te bieden dan die waarin de richtlijn voorziet (artikel 1, derde lid, Rl). Dit betekent dat, daar waar de Wpg en de Wjsg thans uitgebreidere waarborgen bieden dan die welke uit de richtlijn voortvloeien, die waarborgen kunnen worden gehandhaafd.

De richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid (artikel 2, eerste lid, Rl). De Algemene verordening gegevensbescherming is van toepassing op de verwerking van persoonsgegevens voor andere doeleinden, die binnen de werkingssfeer van het Unierecht vallen.

Van de toepasselijkheid van zowel de richtlijn als de verordening is uitgezonderd de verwerking van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het recht van de Europese Unie vallen, zoals activiteiten van de Algemene inlichtingen- en veiligheidsdienst en de Militaire inlichtingen- en veiligheidsdienst (artikel 2 Rl en artikel 2 Avg). De richtlijn en de verordening zijn evenmin van toepassing op de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten die onder het gemeenschappelijk buitenlands- en veiligheidsbeleid vallen en op de verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. Tot slot is van de toepasselijkheid van de richtlijn uitgezonderd de verwerking van persoonsgegevens bij inzet of beschikbaarstelling door de krijgsmacht. Hierop wordt de Algemene verordening gegevensbescherming van overeenkomstige toepassing verklaard (artikel 4 Uitvoeringswet Avg).

Bepalend voor de toepasselijkheid van de richtlijn zijn (1) het zijn van bevoegde autoriteit in de zin van de richtlijn, en (2) de doeleinden waarop de verwerking van persoonsgegevens door een bevoegde instantie betrekking hebben. Deze twee voorwaarden zijn cumulatief.

Bevoegde autoriteit is (a) iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, of (b) ieder ander orgaan dat of iedere andere entiteit die krachtens het recht van de lidstaten is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de onder punt a genoemde doelen (artikel 3, zevende lid, Rl).

De doeleinden van de richtlijn hebben betrekking op de strafrechtspleging, dit blijkt ook uit de verwijzing naar Verklaring betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking bij het Verdrag van Lissabon7. De voorkoming van strafbare feiten betreft de verwerking van persoonsgegevens door de bevoegde autoriteiten ter voorkoming dat een strafbaar feit wordt gepleegd, zoals het verwerken van persoonsgegevens door de criminele inlichtingen eenheid van de politie of een bijzondere opsporingsdienst. De gegevensverwerking in het kader van de vervolging van strafbare feiten omvat tevens de strafrechtspraak. De richtlijn is namelijk zowel op nationale gerechten als op andere rechterlijke autoriteiten die bij de uitvoering van gerechtelijke taken in het kader van rechtszaken op strafrechtelijk gebied actief zijn, van toepassing (artikel 45, eerste lid en overwegingen 11 en 80 Rl).

De richtlijn voegt aan de opsomming van doeleinden, waarvoor persoonsgegevens gebruikt kunnen worden, toe de zinsnede «met inbegrip van de bescherming tegen en voorkoming van gevaren van openbare veiligheid». Daarbij kan worden gedacht aan activiteiten van de politie of andere rechtshandhavingsautoriteiten die niet hoofdzakelijk zijn gericht op de voorkoming, het onderzoek of de opsporing van strafbare feiten, maar die betrekking op politieactiviteiten bij demonstraties, sportevenementen en rellen of de rechts- en ordehandhaving door deze bevoegde autoriteiten ter bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en bij wet beschermde fundamentele belangen van de samenleving, die tot strafbare feiten kunnen leiden (overweging 12 Rl). Hieronder valt de handhaving van de openbare orde, als onderdeel van de politietaak. De toevoeging verduidelijkt dat als persoonsgegevens door de politie of de Koninklijke marechaussee worden verwerkt met het oog op de uitvoering van de politietaak, als bedoeld in de artikelen 3 of 4 van de Politiewet 2012, de richtlijn van toepassing is op de verwerking van persoonsgegevens voor dit doel.

Binnen het toepassingsgebied van de richtlijn valt de verwerking van persoonsgegevens door ambtenaren van politie, militairen van de Koninklijke marechaussee, opsporingsambtenaren van de bijzondere opsporingsdiensten, buitengewoon opsporingsambtenaren, officieren van justitie, strafrechters of het Ministerie van Justitie en Veiligheid met het oog op de opsporing en vervolging van strafbare feiten. De verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de tenuitvoerlegging van strafrechtelijke sancties valt eveneens binnen de richtlijntaken en daarmee het toepassingsgebied van de richtlijn. Dit omvat de verwerking van gegevens ten behoeve van de tenuitvoerlegging van vrijheidsbenemende straffen en maatregelen en andere strafrechtelijke sancties door of namens Onze Minister of het College procureurs-generaal. Bij wijze van specifiek voorbeeld volgt uit voorgaande opsomming dat ook binnen het toepassingsgebied van de richtlijn valt de verwerking van persoonsgegevens in het kader van activiteiten als:

• a. de opsporing van de in de akte of aanwijzing, bedoeld in artikel 142, tweede lid, Sv aangeduide strafbare feiten door een buitengewoon opsporingsambtenaar;

• b. de uitvaardiging van een bestuurlijke strafbeschikking door een opsporingsambtenaar, op basis van artikel 257a Sv, of door een buitengewoon opsporingsambtenaar in dienst van een bestuursorgaan, op basis van artikel 257ba Sv, onder toezicht van het openbaar ministerie;

• c. de tenuitvoerlegging van strafrechtelijke sancties door het CJIB (zie hiervoor ook de artikelsgewijze toelichting bij artikel 1, onderdeel d, Wjsg).

Buiten het toepassingsgebied van de richtlijn valt de verwerking van persoonsgegevens met het oog op doeleinden als de inzet van bestuurlijke, bestuursrechtelijke of privaatrechtelijke bevoegdheden. De verwerking is dan niet gericht op de strafrechtspleging. Buiten het toepassingsgebied van de richtlijn valt de verwerking van persoonsgegevens in het kader van activiteiten die niet onder de richtlijntaken vallen, als:

• a. de screening van personen aan de hand van geregistreerde persoonsgegevens door het Bureau bevordering integriteitsbeoordelingen openbaar bestuur (Bibob) of Justis bij de afgifte van een verklaring omtrent het gedrag;

• b. het toezicht op de naleving van wetgeving door de politie, ook als de politie op grond van een bijzondere wet is belast met dit toezicht;

• c. de uitvoering van de vreemdelingenwetgeving.

Ook voor verwerkingen in het kader van verlening en uitvoering van zorg geldt dat die in beginsel niet tot de richtlijntaken worden gerekend, zodat de richtlijn daarop niet van toepassing is. Een machtiging van de burgerlijke rechter tot opneming van een persoon, die gestoord is in zijn geestvermogens, in een psychiatrisch ziekenhuis of tot het doen verblijven van die persoon in dat ziekenhuis, op grond van de Wet bijzondere opnemingen in psychiatrische ziekenhuizen (WBOPZ), heeft geen betrekking op de uitvoering van de richtlijntaken door een daartoe bevoegde autoriteit. Nadat de wetsvoorstellen Wet forensische zorg (Kamerstukken 32 398), Wet verplichte geestelijke gezondheidszorg (hierna: Wvgg) (Kamerstukken 32 399) en Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd) (Kamerstukken 31 996) tot wet zijn verheven en in werking zijn getreden en de WBPOZ is ingetrokken, zal de richtlijn daardoor niet van toepassing zijn op de verwerking van persoonsgegevens in het kader van de uitvoering van andere zorg dan forensische zorg. Indien de strafrechter bevoegd is te oordelen over de afgifte van een zorgmachtiging, op grond van de Wvgg, of over de afgifte van een rechterlijke machtiging, op grond van de Wzd, heeft de verwerking betrekking op de uitvoering van de richtlijntaken door een daartoe bevoegde autoriteit. De richtlijn is dan wel van toepassing.

Als de verwerking van persoonsgegevens binnen de doeleinden van de richtlijn valt is echter niet altijd voldaan aan het vereiste van bevoegde autoriteit. Buiten het toepassingsgebied van de richtlijn valt dan ook de verwerking van persoonsgegevens door een andere autoriteit dan een bevoegde autoriteit in de zin van de richtlijn, als:

• a. de Raad voor de Strafrechtstoepassing (RSJ) bij de beslissing op bezwaar- of beroepschriften van gedetineerden met betrekking tot de tenuitvoerlegging van een vrijheidsstraf of vrijheidsbenemende maatregel;

• b. instellingen voor slachtofferhulp of het schadefonds geweldsmisdrijven bij de hulpverlening aan veroordeelde personen en aan slachtoffers van strafbare feiten;

• c. de Stichting HALT bij de bijstand bij de tenuitvoerlegging van een leer- of werkopdracht door een jeugdige, in het kader van een beslissing van de officier van justitie tot voorwaardelijk sepot of de resocialisatie door instanties als de reclassering, zoals bijvoorbeeld controle op naleving van voorwaarden bij vrijlating en bij taakstraffen.

Tenslotte is de richtlijn van toepassing op de verwerking van persoonsgegevens op het grondgebied van de lidstaten. De richtlijn is dus niet van toepassing op de verwerking van persoonsgegevens op Bonaire, Sint Eustatius en Saba (BES).

De Wpg is thans van toepassing op de verwerking van persoonsgegevens ten behoeve van de uitvoering van de politietaak als bedoeld in de artikelen 3 en 4, eerste lid, van de Politiewet 2012, door ambtenaren van de politie en de militairen Koninklijke marechaussee en militairen van andere onderdelen van de krijgsmacht die op grond van de Politiewet 2012 bijstand verlenen aan de politie. Deze taak omvat de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven (artikel 3 PW 2012). De daadwerkelijke handhaving van de rechtsorde heeft zowel betrekking op de handhaving van de openbare orde als op strafrechtelijke handhaving van de rechtsorde (artikel 12 PW 2012). De verwerking van persoonsgegevens door de ambtenaren van de rijksrecherche met het oog op hun wettelijke taak (artikel 49, eerste lid, PW 2012: het doen van onderzoek in opdracht van het College van procureurs-generaal, naar feiten of gedragingen die mogelijk een strafbaar feit opleveren) heeft betrekking op de strafrechtelijke handhaving van de rechtsorde en valt onder de reikwijdte van de Wpg. De Wpg is tevens van toepassing op de verwerking van persoonsgegevens door ambtenaren van een bijzondere opsporingsdienst, voor wat betreft de verwerking van persoonsgegevens ten behoeve van de opsporing van bepaalde categorieën van strafbare feiten, die verband houden met het beleidsterrein van de Minister onder wie de opsporingsdienst ressorteert (artikel 46 Wpg). Dit is uitgewerkt in het Besluit politiegegevens bijzondere opsporingsdiensten8.

Zoals hierboven is aangegeven is de richtlijn van toepassing op de verwerking van persoonsgegevens met het oog op de voorkoming van gevaren voor de openbare veiligheid, als onderdeel van de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Dit ligt ook voor de hand omdat er een nauwe samenhang is tussen de handhaving van de openbare orde en de strafrechtelijke handhaving van de rechtsorde in zoverre, dat een inbreuk op de openbare orde tevens een strafbaar feit kan opleveren, of met het plegen van strafbare feiten gepaard kan gaan, maar ook doordat het plegen van strafbare feiten en de opsporing daarvan repercussies hebben op de handhaving van de openbare orde. Mede gelet op overweging 12 van de richtlijn ligt het in de rede dat ook het deel van de politietaak dat betrekking heeft op de handhaving van de openbare orde onder de reikwijdte van de richtlijn valt. De hulpverleningstaak, die thans ook onder de reikwijdte van de Wpg valt, vormt onderdeel van de politietaak. Deze taak moet worden gezien in samenhang met de opdracht aan de politie de rechtsorde te handhaven, en de daaruit voortvloeiende aanwezigheid en bereikbaarheid van de politie en het vertrouwen dat de burgerij in de politie pleegt te stellen (Kamerstukken 991/92, 22 562, nr. 3, blz. 34). Dit houdt verband met het feit dat de hulpverlening in de praktijk niet goed is te onderscheiden van de andere onderdelen van de politietaak. Zo kan de vermissing van een persoon nauwe raakvlakken hebben met een strafbaar feit en kan juist het onderling met elkaar in verband brengen van gegevens, die de politie in het kader van de verschillende activiteiten ter kennis zijn gekomen, bijdragen een aan goede uitvoering van de politietaak (Kamerstukken II 30 327, nr. 3, blz. 39). Aldus betreft de verwerking van persoonsgegevens in het kader van de hulpverleningstaak eveneens activiteiten van de politie waarbij vooraf niet bekend is of een voorval al dan niet een strafbaar feit is, en ligt het mede in het licht van de eergenoemde overweging 12 van de richtlijn in de rede om deze taak als onderdeel van de politietaak onder de reikwijdte van de richtlijn te vatten.

Onder de politietaak als bedoeld in artikel 3 Politiewet 2012, valt tevens de verwerking van persoonsgegevens ten behoeve van de uitvoering van de taken ten dienste van de justitie, zoals genoemd in artikel 1, onderdeel i, van de Politiewet 2012, als onderdeel van de handhaving van de rechtsorde. Dit onderdeel omvat de uitvoering van wettelijke voorschriften waarmee Onze Minister is belast alsmede de uitvoering van wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000 (artikel 1, onderdeel i, onder 1°, PW 2012). Onder «de uitvoering van wettelijke voorschriften waarmee Onze Minister is belast» wordt verstaan de Wet wapens en munitie, de Wet particuliere beveiligingsorganisaties en recherchebureaus en de Wet natuurbescherming, voor zover het betreft het besluit van de korpschef als bedoeld in artikel 3.28 of 5.4, vierde lid, ingeval de jachtakte is geweigerd of ingetrokken of mede is geweigerd of ingetrokken om redenen als bedoeld in artikel 3.28, derde lid, onderdeel a, of 5.4, vierde lid, onderdeel c. Dit onderdeel omvat tevens de administratiefrechtelijke afdoening van inbreuken op wettelijke voorschriften, voor zover in die voorschriften het toezicht op de uitvoering van de politietaak is opgedragen aan het openbaar ministerie (artikel 1, onderdeel i, onder 2°, PW 2012). Dit punt heeft vooral betrekking op de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Kamerstukken II 2005/06, 30 327, nr. 3, blz. 28/29). Tot de taken ten dienste van de justitie behoren tenslotte de betekening van gerechtelijke stukken in strafzaken, het vervoer van rechtens van hun vrijheid beroofde personen, en de dienst bij de gerechten (artikel 1, onderdeel i, onder 3°, PW 2012).

De richtlijn gegevensbescherming opsporing en vervolging noopt tot aanpassing van de reikwijdte van de Wpg. Dit betreft in de eerste plaats de verwerking van persoonsgegevens door opsporingsambtenaren, die niet behoren tot de politie, de Koninklijke marechaussee of een bijzondere opsporingsdienst. Dit betreft de zogenaamde buitengewone opsporingsambtenaren (boa’s) die zijn belast met de opsporing van bepaalde categorieën strafbare feiten. Deze opsporingsambtenaren kunnen in dienst zijn van de overheid maar dit is niet strikt vereist. Zoals eerder opgemerkt is de richtlijn ook van toepassing op ieder ander orgaan dat krachtens het recht van de lidstaat is gemachtigd openbaar gezag of openbare bevoegdheden uit te oefenen met het oog op de opsporing van strafbare feiten. Dit betekent dat de verwerking van persoonsgegevens met het oog op de opsporing door de boa’s, die in dienst zijn van bijvoorbeeld de Nederlandse Spoorwegen, Natuurmonumenten of een ander bedrijf of instelling, voortaan onder de reikwijdte van de Wpg zal vallen.

De politie is belast met de uitvoering van de politietaak als bedoeld in artikel 3 Politiewet 2012. Dit betreft de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven. De daadwerkelijke handhaving van de rechtsorde valt uiteen in de strafrechtelijke handhaving van de rechtsorde, alsmede de taken ten dienste van de justitie, en de handhaving van de openbare orde. De handhaving van de openbare orde en de hulpverleningstaak zijn nauw gelieerd aan de opsporing van strafbare feiten. Deze taken blijven onder de reikwijdte van de Wpg vallen. Zoals eerder opgemerkt, laat de richtlijn hiervoor de ruimte.

Dit betreft in de tweede plaats de taken ten dienste van de justitie. Voor wat betreft deze taken heeft de uitvoering van wettelijke voorschriften waarmee Onze Minister is belast alsmede de uitvoering van wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000, bedoeld in artikel 1, onderdeel i, onder punt 1, van de Politiewet 2012, in beginsel geen betrekking op de opsporing of vervolging van strafbare feiten. Nu de gegevensverwerking met het oog op dit doel onder het toepassingsgebied van de verordening valt, is deze taak uitgezonderd van de reikwijdte van de Wpg.

Tot de wettelijke voorschriften met de uitvoering waarvan Onze Minister is belast, worden gerekend: de Wet wapens en munitie, de Wet natuurbescherming, de Wet particuliere beveiligings- en recherchebureaus en de Wet explosieven voor civiel gebruik. Deze taken hebben evenmin betrekking op de opsporing of vervolging van strafbare feiten. Dit betekent dat de verwerking van persoonsgegevens onder deze wetten door de politie voortaan niet onder de reikwijdte van de Wpg zal vallen maar onder de reikwijdte van de verordening. Waar nodig, zullen de genoemde wetten worden aangepast teneinde de bestaande mogelijkheden voor gegevensuitwisseling ook bij toepasselijkheid van de verordening te behouden.

Voor de Wet administratiefrechtelijke handhaving verkeersvoorschriften (ook bekend als de Wet Mulder) geldt dat deze in de praktijk een relevante samenhang vertoont met de opsporing en vervolging van strafbare feiten, omdat op het moment van waarneming van een overtreding van die wet nog geen keuze is gemaakt omtrent de wijze van afdoening. Afhankelijk van de aard en ernst van de overtreding kan dit een administratiefrechtelijk traject zijn ofwel een strafrechtelijk traject. Gelet op de verwevenheid met de andere onderdelen van de politietaak ligt het daarom voor de hand om voor de verwerking van persoonsgegevens door de ambtenaren van de politie aan te sluiten bij het toepassingsgebied van de richtlijn, zodat de gegevensverwerking onder de reikwijdte van de Wpg blijft vallen en de verordening hierop niet van toepassing is. De richtlijn biedt hiervoor de ruimte, nu in de overwegingen wordt erkend dat de activiteiten van de politie ook de rechts- en ordehandhaving omvatten als een, zo nodig, aan de politie toevertrouwde taak ter bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en voor bij de wet beschermde fundamentele belangen van de samenleving, die tot strafbare feiten kunnen leiden (overweging 12 Rl). Als wordt besloten tot een administratiefrechtelijke afdoening van de overtreding dan is de verordening van toepassing op de gegevensverwerking voor dat doel. Als wordt besloten tot een strafrechtelijke afdoening dan is de richtlijn van toepassing. Alsdan valt de verwerking van gegevens in het kader van de tenuitvoerlegging onder de reikwijdte van de Wjsg (zie hierna paragraaf 5.2.2.).

De Wpg is van toepassing op de verwerking van persoonsgegevens door de bevoegde autoriteiten op Bonaire, Sint Eustatius en Saba (BES). In de wet is een afzonderlijke paragraaf opgenomen over de gegevensverwerking op de BES (paragraaf 5a). Deze paragraaf bevat specifieke bepalingen voor de BES. De richtlijn heeft echter ook gevolgen voor de gegevensverwerking op de BES.

Dit betreft vooraleerst de mogelijke «doorwerking» van de implementatie op de regels voor de BES. De richtlijn en de verordening gegevensbescherming zijn niet van toepassing op de BES. Aanpassing van de bepalingen van de wet heeft echter, op grond van artikel 36a Wpg, tot gevolg dat deze aanpassingen ook gelden voor de BES. Het ongewijzigd overnemen van de verplichtingen van de richtlijn voor de BES is echter minder wenselijk, omdat sommige verplichtingen voor de BES minder goed uitvoerbaar zijn. Bovendien worden dan andere regels in de wet opgenomen dan voor de implementatie van de richtlijn noodzakelijk zijn (Ar 331). Daarom wordt voorgesteld in paragraaf 5a van de wet een aantal bepalingen van de richtlijn uit te zonderen van toepassing op de BES.

Dit betreft voorts het onderscheid tussen lidstaten en derde landen. In dit systeem gelden Bonaire, Sint Eustatius en Saba als derde land. In de richtlijn is een afzonderlijke regime opgenomen voor de verstrekking van persoonsgegevens aan derde landen, op grond van dit regime is de verstrekking van persoonsgegevens aan de BES mogelijk.

Dit betreft tenslotte het vervallen van de Wet bescherming persoonsgegevens. Omdat in paragraaf 5a naar die wet wordt verwezen (artikel 36c, eerste lid, onderdeel a, Wpg) behoeft de betreffende bepaling aanpassing.

De Wjsg is thans van toepassing op justitiële gegevens, strafvorderlijke gegevens en rapporten in persoonsdossiers. De Minister van Justitie en Veiligheid is verantwoordelijk voor de strafrechtspleging en verantwoordelijke voor de verwerking van justitiële gegevens en de verwerking van persoonsgegevens in persoonsdossiers. Het College van procureurs-generaal is verantwoordelijke voor de verwerking van strafvorderlijke gegevens. De richtlijn strekt tot aanpassing van de reikwijdte van de Wjsg. Dit heeft betrekking op de kring van personen of instanties die als bevoegde autoriteit zijn betrokken bij de verwerking van persoonsgegevens ten behoeve van de vervolging (en berechting) van strafbare feiten of de tenuitvoerlegging van straffen. Hierbij volgt de implementatie de huidige structuur van de Wjsg door aan de bestaande indeling van justitiële gegevens, strafvorderlijke gegevens en rapporten in persoonsdossiers enkele nieuwe gegevenscategorieën toe te voegen. Voor iedere in de Wjsg te onderscheiden categorie van gegevens wordt telkens bepaald wie verwerkingsverantwoordelijke is en welke voorschriften op de verwerking van de gegevens die binnen een categorie vallen van (overeenkomstige) toepassing zijn. Door dit zowel voor de bestaande als voor de nieuwe gegevenscategorieën te doen wordt materieel invulling gegeven aan de reikwijdte en inhoud van de richtlijn op een wijze die de bestaande wettelijke systematiek van de Wjsg aanhoudt. De gegevensverwerking waarop de doeleinden van de richtlijn betrekking heeft voor vervolging (en berechting) van strafbare feiten en de tenuitvoerlegging van straffen wordt in het voorstel op die wijze door een samenstel aan te onderscheiden gegevenscategorieën in de Wjsg geïncorporeerd. De volgende gegevenscategorieën worden aan de Wjsg toegevoegd om die doeleinden van de richtlijn volledig te kunnen implementeren.

In de eerste plaats wordt het toepassingsbereik van de Wjsg verruimd tot verwerking van tenuitvoerleggingsgegevens. Dit betreft persoonsgegevens en gegevens van rechtspersonen die betrekking hebben op de tenuitvoerlegging van straffen en maatregelen. Anders dan tijdens de opsporing is tijdens de tenuitvoerlegging de aard van de beslissing bekend waarop de afdoening berust. Tenuitvoerleggingsgegevens omvatten de verwerking van gegevens van personen bij de uitvoering van vrijheidsbenemende of -beperkende straffen en maatregelen. De verwerking van persoonsgegevens ter uitvoering van de Penitentiaire beginselenwet, de Beginselenwet justitiële jeugdinrichtingen en de Beginselenwet verpleging ter beschikking gestelden vallen hieronder. Ook de gegevens van personen die worden verwerkt ter uitvoering van een strafbeschikking zijn te rekenen tot tenuitvoerleggingsgegevens. Op de verwerking van deze gegevens is voortaan de Wjsg van toepassing, in het bijzonder hetgeen wordt voorgesteld in de nieuw in te voegen titel over tenuitvoerleggingsgegevens. Voor de Wet administratiefrechtelijke handhaving verkeersvoorschriften geldt dat het afhangt van de aard van de beslissing of daarop de Wjsg van toepassing is. De Wjsg is uitsluitend van toepassing als de beslissing een strafrechtelijke afdoening inhoudt. Indien gelet op de geringere aard en ernst van de overtreding een administratiefrechtelijke beslissing is getroffen, is op de tenuitvoerlegging daarvan de verordening en de Uitvoeringswet Avg van toepassing. In algemene zin geldt dat als de verwerking van gegevens de tenuitvoerlegging betreft van een administratiefrechtelijke beslissing de Wjsg daarop niet van toepassing zal zijn; dit zijn geen tenuitvoerleggingsgegevens in de zin van de wet. De Minister van Justitie en Veiligheid zal worden aangewezen als de verwerkingsverantwoordelijke voor de verwerking van gegevens van personen ten behoeve van de tenuitvoerlegging van straffen en maatregelen. Dit vloeit mede voort uit het wetsvoorstel herziening tenuitvoerlegging strafrechtelijke beslissingen, dat thans bij de Eerste Kamer aanhangig is (Kamerstukken 34 086). Zodra dit wetsvoorstel kracht van wet heeft verkregen zal de aanwijzing van de Minister van Justitie en Veiligheid als verwerkingsverantwoordelijke zoals die in het voorliggende wetsvoorstel is geregeld, van kracht worden. Het College van procureurs-generaal is dan uitsluitend verwerkingsverantwoordelijke voor tenuitvoerleggingsgegevens in de gevallen dat dit uit de verantwoordelijkheid voor de uitvoering van een specifieke wettelijke taak volgt. Daartoe wordt voorzien in een zogenaamde samenloopbepaling.

In de tweede plaats wordt het toepassingsbereik van de Wjsg verruimd tot verwerking van persoonsgegevens en gegevens van rechtspersonen door gerechten op strafrechtelijk gebied bij de uitvoering van gerechtelijke taken. Dit betreft de verwerking van gegevens van natuurlijke personen en van rechtspersonen (vgl. artikel 51 van het WvSr) door de gerechtelijke instanties in het kader van de behandeling van strafzaken. In het wetsvoorstel worden dit gerechtelijke strafgegevens genoemd. Ook voor deze categorie gegevens is in het wetsvoorstel voorzien in een aparte titel in de Wjsg ter implementatie van de richtlijn.

De reikwijdte van de richtlijn heeft daarmee tot gevolg dat naast justitiële gegevens, strafvorderlijke gegevens en rapporten in persoonsdossiers, ook tenuitvoerleggingsgegevens en gerechtelijke strafgegevens onder het toepassingsbereik van de Wjsg worden gebracht. De huidige Wjsg rekent tot justitiële gegevens en strafvorderlijke gegevens ook gegevens over een rechtspersoon, terwijl de richtlijn op de verwerking van persoonsgegevens betrekking heeft. Om te voorkomen dat de bestaande rechtsbescherming ten aanzien van deze gegevens wordt aangetast, blijft deze wettelijke afbakening ongewijzigd en wordt eenzelfde benadering hierin aangehouden voor tenuitvoerleggingsgegevens en gerechtelijke strafgegevens. Een ander uitgangspunt zou, evenals in de vorige paragraaf is toegelicht voor de doorwerking van de implementatie van de Wpg op de regels voor de BES, tot een onbevredigende uitkomst leiden. Dit gaat ook op voor de bepalingen in het wetsvoorstel over het recht van een betrokkene op het verstrekken van informatie over het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en over een uit te voeren «review» na een uitgevoerde gegevensbeschermingseffectbeoordeling. Deze voorschriften dienen tot uitvoering van de eerder gedane toezegging van het kabinet, in reactie op het rapport «Big Data in een vrije en veilige samenleving» van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). In die reactie is toegezegd dat bij de implementatie van de Richtlijn zal worden bezien of enkele verplichtingen in de verordening ook in de implementatie van de richtlijn zouden moeten worden opgenomen (Kamerstukken II 2016/17, 26 643, nr. 426, bijlage par. 6). Dit betreft de verplichtingen van de verwerkingsverantwoordelijke om te toetsen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden (artikel 35, elfde lid, Avg) en om bij Big Data analyses en de daarop gebaseerde beslissing aan te kunnen tonen waarop deze beslissing is gebaseerd en welke factoren en wegingen daarin zijn meegenomen (artikel 14, tweede lid, onder g, AVG). Het gaat in deze gevallen om regels die sterk verband houden met de bindende EU-rechtshandelingen die duidelijkheid scheppen over de werkingssfeer en de rechtsbescherming. De richtlijn bevat tot slot voorschriften die lidstaten de keuze bieden bepaalde rechten aan betrokkenen onder omstandigheden te beperken of uit te zonderen, zoals ten aanzien van informatieverstrekking, het inzagerecht en het recht op rectificatie. Waar dit passend is, is hieraan in het wetsvoorstel nadere invulling gegeven voor zowel de Wjsg als de Wpg.

Naast de Wpg en de Wjsg zijn er andere wetten die voorschriften bevatten over de verwerking van persoonsgegevens in het kader van de doelen waarop de richtlijn van toepassing is. Dit betreft de volgende gegevensverwerkingen:

Het strafrechtsketennummer wordt gebruikt voor het uitwisselen van persoonsgegevens van verdachten en veroordeelden ten behoeve van de toepassing van het strafrecht. De Minister van Justitie en Veiligheid is verwerkingsverantwoordelijke voor de strafrechtketendatabank (artikel 27b, vierde lid, Sv). Thans is de Wet bescherming persoonsgegevens (Wbp) van toepassing op de verwerking van persoonsgegevens voor dit doel. De verwerking van persoonsgegevens van verdachten en veroordeelden door de Minister van Justitie en Veiligheid ten behoeve van de toepassing van het strafrecht valt echter onder het toepassingsgebied van de richtlijn. In dit wetvoorstel wordt voorzien in aanpassing van het Wetboek van Strafvordering, zodat de verwerking van persoonsgegevens door de Minister van Justitie en Veiligheid voor dit doel in overeenstemming is met de richtlijn.

De Penitentiaire beginselenwet bepaalt dat bij of krachtens algemene maatregel van bestuur regels worden gesteld omtrent de aanleg van dossiers waarin ook persoonsgegevens zijn opgenomen (artikel 59 Pbw). De Beginselenwet verpleging ter beschikking gestelden bevat een vergelijkbare grondslag voor het verpleegdedossier (artikel 19, tweede lid, Bvt). Ook de Beginselenwet justitiële jeugdinrichtingen bevat voorschriften over verwerking van persoonsgegevens en over dossiers waarin persoonsgegevens zijn opgenomen (artikelen 33 en 63, eerste lid, Bjj). Thans is de Wet bescherming persoonsgegevens van toepassing op de verwerking van persoonsgegevens voor dit doel. De verwerking van persoonsgegevens van verdachten en veroordeelden door de Minister van Justitie en Veiligheid ten behoeve van de tenuitvoerlegging van een opgelegde straf valt echter onder het toepassingsgebied van de richtlijn. In dit wetvoorstel wordt voorzien in aanpassing van het Wetboek van Strafvordering, zodat de verwerking van persoonsgegevens door de Minister van Justitie en Veiligheid voor dit doel in overeenstemming is met de richtlijn.

De richtlijn gegevensbescherming opsporing en vervolging stelt eisen aan de proportionaliteit en rechtmatigheid van de gegevensverwerking (artikel 4 Rl). Essentieel is dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met de doelen onverenigbare wijze worden verwerkt. De verwerking voor een ander doel binnen het toepassingsgebied van de richtlijn is toegelaten voor zover de verwerkingsverantwoordelijke overeenkomstig het Unierecht of het nationale recht gemachtigd is de persoonsgegevens voor dat doel te verwerken en de verwerking noodzakelijk is en in verhouding staat tot dat andere doel (artikel 4, tweede lid, Rl). Voor de Wpg en de Wjsg betekent dit dat de richtlijn toelaat dat gegevens die met het oog op een opsporingsonderzoek worden verwerkt, verder worden verwerkt met het oog op de handhaving van de openbare orde, het instellen van strafvervolging of de tenuitvoerlegging van een opgelegde straf.

De richtlijn gegevensbescherming opsporing en vervolging biedt de mogelijkheid om de persoonsgegevens, die worden verwerkt met het oog op de doelen binnen het toepassingsgebied van de richtlijn, verder te verwerken voor andere doelen voor zover die verwerking krachtens het Unierecht of het recht van de lidstaten is toegestaan. De verordening is dan van toepassing op de verdere verwerking door de ontvanger van de gegevens (artikel 9 Rl). Voor de Wpg en de Wjsg betekent dit dat de richtlijn de verstrekking van gegevens aan derden toelaat met het oog op andere doelen dan de opsporing of vervolging van strafbare feiten, voor zover die verstrekking bij of krachtens de wet is voorzien. Aan dit vereiste is in de Wpg en de Wjsg reeds voldaan (artikelen 18, 19 en 20 Wpg en 9 tot en met 14 Wjsg). Voor verstrekking van gegevens inzake tenuitvoerlegging en berechting van strafbare feiten sluit het wetsvoorstel hierbij aan.

Als een bevoegde autoriteit is belast met taken die geen betrekking hebben op de doeleinden van de richtlijn gegevensbescherming opsporing en vervolging, is de verordening gegevensbescherming van toepassing op de verwerking van persoonsgegevens voor die doeleinden (overweging 12 Rl). Voor de Nederlandse situatie kan daarbij worden gedacht aan de verwerking van persoonsgegevens door een ambtenaar van politie met het oog op het toezicht op de naleving van wetgeving (toezichthoudende taak op grond van bijzondere wet), of aan het gebruik van justitiële gegevens door de Minister van Justitie en Veiligheid ten behoeve van het geven van een positieve of negatieve verklaring aan buitenlandse autoriteiten over te verlenen visa.

De Wpg is van toepassing op persoonsgegevens die door opsporingsambtenaren in het kader van de uitvoering van de politietaak worden verwerkt, de Wjsg is van toepassing op persoonsgegevens die door het openbaar ministerie in een strafzaak worden verwerkt. De persoonsgegevens die worden verwerkt met het oog op opsporing, vervolging of tenuitvoerlegging en die niet onder de Wpg of de Wjsg vallen, vallen thans onder de reikwijdte van de Wet bescherming persoonsgegevens. Deze wet wordt vervangen door de verordening gegevensbescherming.

Het feit dat persoonsgegevens, die binnen de strafrechtsketen worden verwerkt, onder verschillende wettelijke privacyregimes vallen is niet bevorderlijk voor de samenhang en de uitvoerbaarheid van de wettelijke regels in de praktijk. De persoonsgegevens in een proces-verbaal van een opsporingsambtenaar, dat aanleiding geeft tot strafvervolging, vallen achtereenvolgens onder de reikwijdte van de Wpg (opsporing door een opsporingsambtenaar van de politie, de Koninklijke marechaussee of een bijzondere opsporingsdienst) dan wel de Wet bescherming persoonsgegevens (opsporing door een buitengewoon opsporingsambtenaar), de Wjsg (vervolging door het openbaar ministerie), de Wet bescherming persoonsgegevens (berechting door de strafkamer van een gerecht en tenuitvoerlegging van straffen). Aldus is één en hetzelfde persoonsgegeven aan verschillende regimes voor verstrekking en bewaring onderworpen, naar gelang het zich bevindt bij een bepaalde persoon of instantie binnen de strafrechtsketen. Enerzijds sluiten de verschillende privacyregimes niet goed op elkaar aan terwijl anderzijds de bestaande juridische schotten de verwerking van de gegevens bemoeilijken. Zeker in het digitale tijdperk, waarin gegevens niet meer aan een plaats gebonden zijn, is dit niet langer te rechtvaardigen. De Wpg en de Wjsg zijn, in hun onderling verband en samenhang, aan een grondige heroverweging toe (Kamerstukken II 2013/14, 33 842, nr. 2).

In het licht van de voortgaande integratie van de activiteiten van de verschillende partijen in de strafrechtsketen, onder meer in het kader van het project verbetering prestaties strafrechtsketen (VPS), is één enkel privacyregime voor de gegevensverwerking binnen die keten wenselijk. De digitalisering van de strafrechtsketen heeft tot gevolg dat informatie in beginsel eenmalig kan worden ingevoerd en technisch op één plaats opgeslagen en onderhouden. In de visie op de digitalisering van de strafrechtspleging, die aan de Tweede Kamer is aangeboden, zijn de contouren geschetst van de ontwikkeling naar het digitaal werken in de strafrechtsketen. Vanaf een centrale plaats zal de informatie digitaal beschikbaar worden gesteld met het oog op het gebruik door de belanghebbende personen en instanties binnen de strafrechtsketen (Kamerstukken II 2015/16, 29 279, nr. 298).

Met de richtlijn gegevensbescherming opsporing en vervolging en de verordening gegevensbescherming is een Europeesrechtelijk kader voor de verwerking van persoonsgegevens tot stand gekomen. Het van toepassing zijn van één enkel Europeesrechtelijk privacyregime op de verwerking van persoonsgegevens binnen de strafrechtsketen, biedt de basis en de grondslag voor de integratie van de Wpg en de Wjsg in één enkele wet. Hierbij zullen ook de regels voor de verwerking van persoonsgegevens in het Wetboek van Strafvordering worden betrokken vanwege de nauwe relatie tussen de privacywetgeving en de regels voor de verwerking van persoonsgegevens in het kader van de strafvordering. Hiervoor kan worden verwezen naar de toelichting op artikel 2.1.5.1 van het nieuwe Boek 2 van het Wetboek van Strafvordering, dat in februari 2017 in consultatie is gegeven en dat een grondslag bevat om bij of krachtens algemene maatregel van bestuur regels te stellen over de verwerking van gegevens die door de uitoefening van de bevoegdheden van Boek 2 zijn verkregen. In die algemene maatregel van bestuur kunnen de gegevensverwerkingsregels worden samengenomen die bij of krachtens het huidige wetboek zijn gesteld9. Het is de bedoeling dat deze grondslag tijdelijk van aard is en komt te vervallen zodra een gegevensverwerkingswet tot stand is gebracht waarin de Wpg en de Wjsg opgaan.

Zoals in de eerdergenoemde brief is aangegeven is in deze herziening tevens een herziening van de bewaartermijnen aan de orde. Daarbij zal niet zozeer de termijn voor de bewaring van gegevens voorop staan als wel de voorwaarden voor het gebruik van de gegevens. Gedurende de gehele bewaartermijn mag het gegeven in beginsel worden gebruikt voor alle in de wet omschreven doelen, waarbij vanwege de proportionaliteit wordt gedifferentieerd naar het specifieke doel en aan dat gebruik nadere voorwaarden kunnen worden verbonden, bijvoorbeeld dat het gebruik alleen is toegestaan voor bepaalde categorieën zeer ernstige delicten of door bepaalde personen (autorisaties). Na afloop van de verwerkingstermijn zullen de persoonsgegevens moeten worden vernietigd.

De termijn voor de implementatie van de richtlijn gegevensbescherming opsporing en vervolging staat er aan in de weg om deze herziening te betrekken in de implementatie van de richtlijn. Zodra de implementatiewetgeving kracht van wet heeft verkregen zal de herziening en integratie van de Wpg en de Wjsg in voorbereiding kunnen worden genomen.

De verwerkingsverantwoordelijke en de verwerker zijn gehouden een register bij te houden van verwerkingsactiviteiten (artikel 24 Rl). Dit betreft een meer algemene beschrijving rond de gegevensverwerking, zoals de naam en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden en de categorieën van ontvangers aan wie persoonsgegevens zijn of zullen worden bekend gemaakt. In de Wpg en het daarop gebaseerde Besluit politiegegevens (Bpg) zijn thans reeds verplichtingen opgenomen tot de registratie van dergelijke gegevens. De betreffende bepalingen zullen waar nodig worden aangevuld. Daarbij zullen bepaalde verplichtingen kunnen worden samengevoegd omdat deze weliswaar reeds in de huidige Wpg zijn opgenomen, maar niet volledig stroken met de richtlijn.

Voorts voorziet de richtlijn in een verplichting tot de geautomatiseerde vastlegging van gegevens over de gegevensverwerking (logging). Dit ten behoeve van de controle van de rechtmatigheid van de gegevensverwerking, de waarborging van de integriteit van de beveiliging van de gegevens en voor strafrechtelijke procedures. Thans kennen de Wpg en de Wjsg geen verplichting tot de logging van gegevens. Op dit punt zullen deze wetten worden aangevuld. Daarbij moet worden opgemerkt dat het thans niet volledig duidelijk is in hoeverre de informatiesystemen die door de bevoegde autoriteiten (opsporingsdiensten, openbaar ministerie, Minister van Justitie en Veiligheid) worden gebruikt voldoende zijn voorbereid om aan de loggingplicht te voldoen. De richtlijn voorziet in de mogelijkheid voor de lidstaten om, als dit buitengewone inspanningen met zich zou brengen, de geautomatiseerde systemen uiterlijk in 2023 in overeenstemming te brengen met de verplichting tot logging (artikel 63, tweede lid, Rl). In uitzonderlijke omstandigheden is verder uitstel mogelijk, tot uiterlijk 6 mei 2026. Het wetsvoorstel voorziet in de mogelijkheid van gedifferentieerde inwerkingtreding.

De verwerkingsverantwoordelijke is gehouden verschillende maatregelen te treffen ter beveiliging van de verwerkte persoonsgegevens. Dit betreft technische en organisatorische maatregelen om te waarborgen dat de verwerking in overeenstemming met de richtlijn wordt verricht en de rechten van de betrokkenen worden beschermd (artikelen 19 en 20 Rl). Ten aanzien van de geautomatiseerde verwerking wordt in meer concrete verplichtingen voorzien, die erop zijn gericht te verhinderen dat onbevoegden toegang verkrijgen tot de persoonsgegevens of deze gegevens onbevoegd kunnen wijzigen (artikel 29 Rl). Voor de invulling van deze verplichtingen dient rekening te worden gehouden met de aard, reikwijdte, context en de doeleinden van de verwerking, alsmede met de risico’s en vrijheden van de betrokkene. Op dit punt laat de richtlijn de verwerkingsverantwoordelijke dus een zekere marge voor afweging. Thans bevatten de Wpg en de Wjsg meer algemene regels over de beveiliging van de verwerkte persoonsgegevens. De verdergaande verplichtingen, die uit de richtlijn voortvloeien, zullen deels worden opgenomen in de Wpg en de Wjsg en, vanwege het meer technische karakter van de voorschriften, deels in het Bpg en het Besluit justitiële en strafvorderlijke gegevens (Bjsg).

De verwerkingsverantwoordelijke is gehouden een inbreuk in verband met persoonsgegevens, ook bekend als een datalek, te melden aan de toezichthoudende autoriteit (artikel 31 Rl). Van melding kan worden afgezien als het niet waarschijnlijk is dat de inbreuk een risico voor de betrokken personen met zich meebrengt. De verwerkingsverantwoordelijke dient tevens te melden welke maatregelen worden of zijn getroffen om de inbreuk ongedaan te maken. Wanneer het datalek waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen, wordt de inbreuk zonder onnodige vertraging aan de betrokkene meegedeeld. Onder bepaalde voorwaarden kan van de melding worden afgezien, onder meer als passende technische en organisatorische maatregelen zijn getroffen welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling, of als mededeling aan de betrokken een onevenredige inspanning zou vergen. In het laatste geval kan worden volstaan met een openbare mededeling of een vergelijkbare maatregel. De Wpg en de Wjsg kennen thans geen verplichting tot het melden van datalekken. Op dit punt moeten deze wetten worden aangevuld.

De verwerkingsverantwoordelijke is voorts gehouden tot een beoordeling van het effect van risicovolle verwerkingsactiviteiten op de bescherming van persoonsgegevens (gegevensbeschermingseffectbeoordeling). Dit betreft in het bijzonder verwerkingen waarbij nieuwe technologieën worden gebruikt (artikel 27 Rl). Thans moeten instanties die tot de rijksdienst behoren reeds met een toetsmodel werken bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien; het «Privacy Impact Assessment». De richtlijn voorziet tevens in de verplichting om in bepaalde gevallen de toezichthoudende autoriteit te raadplegen voordat persoonsgegevens in een nieuw bestand worden opgenomen (artikel 28 Rl). Dit is onder meer aan de orde als uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren als geen maatregelen worden getroffen ter beperking daarvan. Thans kennen de Wpg en de Wjsg reeds een dergelijke verplichting. Als de toezichthoudende autoriteit van oordeel is dat de voorgenomen verwerking indruist tegen de richtlijn, dan wordt de verwerkingsverantwoordelijke hierover van advies gediend.

Ten slotte kan worden gewezen op de verplichting voor de verwerkingsverantwoordelijke om een functionaris voor gegevensbescherming aan te wijzen (artikel 32 Rl). Deze wordt belast met het adviseren van de verwerkingsverantwoordelijke over de naleving van de wettelijke verplichtingen op basis van de richtlijn, het toezicht op de naleving van die verplichtingen en het optreden als contactpunt voor de toezichthoudende autoriteit. De Wpg en de Wjsg voorzien thans niet in de verplichting tot aanwijzing van een functionaris voor gegevensbescherming, thans voorziet de Wpg in de mogelijkheid daartoe en in een verplichting tot het aanwijzen van een privacyfunctionaris. Op dit punt behoeven de Wpg en de Wjsg aanvulling. De functionaris voor gegevensbescherming richt zich met name op het uitoefenen van toezicht op de gegevensverwerking binnen een organisatie en bekleedt in dit kader een onafhankelijke positie. De privacyfunctionaris richt zich met name op interne advisering op dit gebied.

De richtlijn gegevensbescherming opsporing en vervolging geeft een uitgebreide regeling voor het recht van de betrokkene op informatie over de verwerking van de hem of haar betreffende persoonsgegevens. De verstrekking van informatie over de verwerking van politiegegevens geschiedt in een beknopte en toegankelijke vorm en is kosteloos. Ingeval van vexatoire verzoeken, die kennelijk ongegrond of buitensporig zijn, kan de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen of weigeren gevolg te geven aan het verzoek. Hierbij is niet alleen voorzien in een meer passieve informatieplicht, naar aanleiding van een verzoek van de betrokkene, maar ook een meer actieve informatieplicht. Dit laatste betreft de verplichting om de betrokkene bepaalde gegevens ter beschikking te stellen, zoals de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking en het recht op inzage van de gegevens (artikel 13 Rl). Dit kan worden gedaan op een website (overweging 42 Rl). In specifieke gevallen dient de betrokkene te worden ingelicht over aspecten als de rechtsgrond voor de verwerking, de bewaartermijnen en de categorieën van de ontvangers van de gegevens. De Wpg en de Wjsg voorzien weliswaar in het recht van inzage voor de betrokkene, maar dit is niet kosteloos en betreft de passieve variant. Deze wetten voorzien evenmin in de mogelijkheid van weigering bij een vexatoir verzoek. Voor de transparante en kosteloze verstrekking van informatie, de mogelijkheid van weigering bij vexatoire verzoeken en het actief ter beschikking stellen van bepaalde persoonsgegevens is aanpassing van deze wetten aangewezen.

Aanvullend heeft de betrokkene het recht op inzage van de verwerkte persoonsgegevens (artikel 14 Rl). Dit recht kan worden ingeperkt, onder meer ter voorkoming van nadelige gevolgen voor de opsporing en vervolging van strafbare feiten en de bescherming van de rechten en vrijheden van derden (artikel 15 Rl). De lidstaten kunnen bepaalde verwerkingscategorieën geheel of gedeeltelijk onder deze beperking brengen. Voorts heeft de betrokkene het recht op rectificatie of wissing van onjuiste persoonsgegevens (artikel 16 Rl). De eerdergenoemde gronden ter beperking kunnen hier worden ingeroepen. De betrokkene kan zijn rechten ook uitoefenen via de toezichthoudende autoriteit. De Wpg en de Wjsg voorzien reeds in een regeling voor het recht van inzage voor de betrokkene. De formulering van de weigeringsgronden en de mogelijkheid van uitsluiting van bepaalde categorieën van persoonsgegevens van het recht op inzage en rectificatie nopen echter tot aanpassing van deze wetten. Ditzelfde geldt voor de mogelijkheid deze rechten via de toezichthoudende autoriteit uit te oefenen.

De richtlijn gegevensbescherming opsporing en vervolging bepaalt dat iedere lidstaat erin voorziet dat één of meer onafhankelijke overheidsinstanties worden belast met het toezicht op de toepassing van de richtlijn. Dit kan dezelfde autoriteit betreffen als die welke is belast met het toezicht op de naleving van de verordening gegevensbescherming (artikel 41 Rl). De toezichthoudende autoriteit treedt volledig onafhankelijk op bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden (artikel 42 Rl). Iedere toezichthoudende autoriteit heeft de competentie om op het grondgebied van haar lidstaat de taken en de bevoegdheden van de richtlijn uit te oefenen. Van het toezicht is uitgezonderd de gegevensverwerking door gerechten in het kader van hun rechterlijke taken (artikel 45 Rl).

Het toezicht op de naleving van de Wpg en de Wjsg is thans opgedragen aan de AP. Voor de regeling van de taken en bevoegdheden van de AP wordt in de Wpg en de Wjsg verwezen naar de regeling in de Wbp. Nu de Wet bescherming persoonsgegevens vervalt is een eigenstandige regeling in de Wpg en de Wjsg aangewezen. Dit klemt temeer daar de regeling van de taken en bevoegdheden van de AP op basis van de verordening gegevensbescherming op onderdelen afwijkt van die op basis van de richtlijn. Voorgesteld wordt in de Wpg te voorzien in een zelfstandige regeling van de positie, taken en bevoegdheden van de AP, ter implementatie van de richtlijn. Voor enkele onderdelen van de richtlijn die overeenkomen met de regels die op basis van de verordening zijn uitgewerkt in de Uitvoeringswet Avg, wordt volstaan met verwijzing naar die wet. Een voorbeeld hiervan is de verplichting de AP advies te vragen over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die betrekking hebben op de verwerking van persoonsgegevens. In de Wjsg wordt vervolgens verwezen naar de regeling van de Wpg, zodat de regels inzake het toezicht op de naleving van de beide wetten door de AP identiek zijn.

Voor wat betreft de bevoegdheden van de toezichthoudende autoriteit laat de richtlijn, anders dan de verordening, een grote mate van vrijheid aan de lidstaten om de bevoegdheden vorm te geven. De lidstaten zijn gehouden bij wet te voorzien in effectieve onderzoeksbevoegdheden. Dit omvat ten minste de bevoegdheid om toegang te verkrijgen tot alle persoonsgegevens die worden verwerkt en tot alle informatie die noodzakelijk is voor de uitoefening van haar taken (artikel 47, eerste lid, Rl). Tevens dient bij wet te worden voorzien in effectieve bevoegdheden tot het treffen van corrigerende maatregelen, zoals het waarschuwen van de verwerkingsverantwoordelijke of de verwerker, het gelasten de verwerkingen in overeenstemming te brengen met de richtlijn en een tijdelijke of definitieve begrenzing van het verwerken, waaronder een verwerkingsverbod (artikel 47, tweede lid, Rl). Uitgangspunt is aan de verplichtingen van de richtlijn op dit punt uitvoering te geven door de bestaande bevoegdheden van de Autoriteit persoonsgegevens op basis van de Wpg en de Wjsg te continueren. Voor deze bevoegdheden wordt thans verwezen naar de artikelen 51, tweede lid, 60, 61 en 65 van de Wet bescherming persoonsgegevens. Voorgesteld wordt deze bepalingen materieel over te nemen in de Wpg, en aan te vullen met de relevante bepalingen van de richtlijn. Tevens wordt voorgesteld de bevoegdheden van de Autoriteit persoonsgegevens tot het opleggen van bestuurlijke boetes te verruimen en de maximale boetebedragen te verhogen, zodat de regeling meer in balans is met die van de verordening. Aanvullend beschikt de AP als toezichthouder in de zin van de Algemene wet bestuursrecht over de bevoegdheden met betrekking tot het toezicht op de naleving, bedoeld in Titel 5.2. van die wet.

Onder verwijzing naar de audits en evaluaties rond de Wpg en de Wjsg wijst de AP erop dat naleving van de thans geldende normen op problemen stuit; de AP acht de gemaakte keuze voor een minimumimplementatie niet bevorderlijk voor de tussentijdse naleving van de geldende normen. Met de AP gaat mijn voorkeur uit naar herziening van de Wpg en de Wjsg, tegelijk met de implementatie van de richtlijn gegevensbescherming opsporing en vervolging zodat de uitvoeringspraktijk slechts eenmaal wordt geconfronteerd met wijzigingen in het wettelijk kader van gegevensbescherming. De implementatietermijn van twee jaar biedt echter geen ruimte voor de integratie van de nationale wetten omdat hierbij verstrekkende afwegingen aan de orde zijn, bijvoorbeeld rond de bewaartermijnen. Gelet op de noodzaak van tijdige implementatie moet worden vermeden dat de implementatie van bindende EU-rechtshandelingen wordt «meegenomen» in een bredere herziening van de desbetreffende regelgeving of dat in de implementatieregeling «extra» nationaal beleid wordt meegenomen (Ar 331).

Voorts is de AP van oordeel dat de implementatie van de richtlijn is gebaseerd op een onjuiste opvatting over de grondslag en reikwijdte van de richtlijn en hierdoor niet voldoet aan de vereiste nauwgezette omzetting van de richtlijn in nationaal recht. De AP heeft reeds om die reden bezwaar tegen het in deze vorm indienen van het voorliggende wetsvoorstel. Dit betreft de volgende aspecten:

De AP wijst op overweging 13 bij de Richtlijn waarin staat vermeld dat het begrip strafbaar feit in de zin van de richtlijn een autonoom Unierechtelijk begrip moet zijn zoals uitgelegd door het Hof van Justitie. Op grond van de jurisprudentie van het Europese Hof van Justitie is volgens de AP een functionele interpretatie van het begrip «strafbaar feit» aangewezen, op grond waarvan aangesloten moet worden bij de jurisprudentie van het EHRM over dit begrip. Dit betreft in het bijzonder de criteria als geformuleerd in de zaak Engel e.a. tegen Nederland (EHRM 8 juni 1976, nr. 5370/72, Engel tegen Nederland, NJ 1978/223). Dit betekent dat het doel waarvoor de verwerking van persoonsgegevens plaatsvindt bepalend is voor de vraag of de richtlijn daarop van toepassing is en niet het verwerkende orgaan, de entiteit en of de kwalificatie van het strafbaar feit naar Nederlandse recht. Dit heeft volgens de AP tot gevolg dat de richtlijn ook van toepassing is op feiten waarop met bestraffende bestuurlijks sancties (waaronder in ieder geval een bestuurlijke boete) of zwaarder kan worden gereageerd. Doordat in het wetsvoorstel is miskend dat de reikwijdte van de Richtlijn breder is, acht de AP een heroverweging van de gemaakte keuzes op zijn plaats.

De richtlijn heeft betrekking op de politiële en justitiële samenwerking in strafzaken. In het licht van verklaring 21 bij het Verdrag van Lissabon zijn op die gebieden specifieke voorschriften vereist inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens (overweging 10). Vanwege de specifieke aard van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens voor die doelen (overweging 11). Tijdens de onderhandelingen is nimmer sprake geweest van een toepassingsbereik buiten de traditionele strafrechtsketen. Op basis van de tekst van de richtlijn en de ontstaansgeschiedenis gaat de regering er van uit dat de Richtlijn van toepassing is op de verwerking van persoonsgegevens door de politie en de Koninklijke marechaussee bij de uitoefening van de politietaak, de bijzondere opsporingsdiensten bij de opsporing van strafbare feiten en het openbaar ministerie bij de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, zoals ook in de memorie van toelichting is toegelicht. Dit is in lijn met de implementatie van het eerdere Kaderbesluit 2008/977/JBZ, dat inmiddels is vervangen door de richtlijn, en ligt ook voor de hand vanuit het oogpunt van de rechtsbescherming.

Een belangrijk aandachtspunt bij implementatie is immers dat de reikwijdte van de richtlijn niet te ruim wordt uitgelegd, omdat hiermee het sterke beschermingsregime van de Algemene verordening gegevensbescherming zou kunnen worden ondergraven. Dit wordt bevestigd door de expertbijeenkomst van 7 november 2016, waarin de juridische dienst van de Commissie heeft gewezen op het belang van onderscheid tussen bestuurlijke feiten (onder de verordening) en strafbare feiten (onder de richtlijn), en de expertbijeenkomst van 7 maart 2017 in Brussel waaruit is gebleken dat een meerderheid van de lidstaten voornemens is de Richtlijn toe te passen op de traditionele «derde pijler» rechtshandhavingsautoriteiten (politiële en justitiële autoriteiten), zij het met enkele uitzonderingen, zoals de Douane voor zover deze optreedt met het oog op de doeleinden van de richtlijn.

De door de AP voorgestelde verruiming van de toepassing van de richtlijn op bestraffende bestuurlijke sancties zou voor burgers leiden tot een lager beschermingsniveau, omdat de richtlijn, vanwege het belang van opsporing en vervolging andere accenten legt dan de verordening, bijvoorbeeld op het gebied van de transparantie jegens de betrokkene (minder informatieplichten van de verantwoordelijke) en de bevoegdheden van de toezichthoudende autoriteit.

Op grond van de tekst, ontstaansgeschiedenis en het voorkomen van ondergraving van het maximale beschermingsregime van de algemene verordening gegevensbescherming acht de regering de gekozen interpretatie van de reikwijdte een getrouwe implementatie van de richtlijn.

De AP wijst erop dat het begrip «verwerkingsverantwoordelijke» volgens het advies van de «Artikel 29 werkgroep» een autonoom begrip betreft maar ook functioneel is, in die zin dat het bedoeld is om de verantwoordelijkheden te leggen waar de feitelijke invloed ligt. In de Richtlijn is de definitie van het begrip «verwerkingsverantwoordelijke» gekoppeld aan de definitie van het begrip «bevoegde autoriteit». Een bevoegde autoriteit is – kort gezegd – iedere overheidsinstantie die bevoegd is voor de doeleinden van de richtlijn of ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op die doeleinden (artikel 3, zevende lid, Rl). De AP stelt vast dat in de Wpg en de Wjsg enkele verwerkingsverantwoordelijken worden aangewezen die niet tevens ook bevoegde autoriteit zijn, zoals de Minister van Justitie en Veiligheid voor de verwerking van justitiële gegevens. Daarmee heeft het begrip verwerkingsverantwoordelijke volgens de AP op nationaal niveau een andere invulling gekregen dan in de richtlijn. Vanuit meer praktisch perspectief roept dit de vraag op naar de bevoegdheid van de verwerkingsverantwoordelijke om zelf de betreffende persoonsgegevens te kunnen verwerken. Hierbij wordt verwezen naar de gegevensverwerking door de boa’s, waarbij de werkgever als verwerkingsverantwoordelijke zal worden aangewezen. De AP is van oordeel dat de implementatie van de begrippen bevoegde autoriteit en verwerkingsverantwoordelijke in het wetsvoorstel niet in overeenstemming zijn met hetgeen de richtlijn hierover bepaalt en adviseert de richtlijn alsnog als zodanig te implementeren.

Verder wijst de AP er op dat op verschillende plaatsen in de Wpg en Wjsg en in het wetsvoorstel dan wel de Politiewet het onderscheid tussen de begrippen beheer en gezag voorkomt. Volgens de AP heeft gezag betrekking op het bepalen van het doel van de verwerking en ziet beheer op het vaststellen van middelen. In het nationale recht zijn degenen die het beheer voeren, aangemerkt als verwerkingsverantwoordelijken. De Richtlijn kent dit onderscheid in doel en middelen niet. Daarom dient volgens de AP de verwerkingsverantwoordelijke niet alleen het beheer, maar ook het gezag te hebben. Bovendien ontbreekt in het nationale recht de koppeling met «bevoegde autoriteit». Dit roept voor de AP de vraag op of het begrip verwerkingsverantwoordelijke op de juiste manier is geïmplementeerd. Op grond van het voorgaande meent de AP dat ook de burgemeester onder de definitie van bevoegde autoriteit van de richtlijn valt: indien de feitelijke gezagsverhouding over de politie tot uitgangspunt wordt genomen, is de burgemeester tevens verwerkingsverantwoordelijke.

Naar aanleiding van dit advies moet worden opgemerkt dat het begrip «verwerkingsverantwoordelijke» niet bij voorbaat is beperkt tot de bevoegde autoriteit. De richtlijn biedt de mogelijkheid om in de nationale wetgeving te bepalen wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen (artikel 3, achtste lid, Rl). Van deze mogelijkheid wordt gebruik gemaakt om in de Wpg de Minister van Defensie aan te wijzen als de verwerkingsverantwoordelijke voor de verwerking van politiegegevens door de Koninklijke marechaussee en in de Wjsg de Minister van Justitie en Veiligheid voor de verwerking van justitiële gegevens. De Minister van Defensie en de Minister van Justitie en Veiligheid hebben zowel beheersmatig als hiërarchisch zeggenschap over de bedrijfsvoering door respectievelijk de Koninklijke marechaussee en de Justitiële Informatiedienst, zodat het aanwijzen van deze Ministers als verwerkingsverantwoordelijke voor de hand ligt.

Voor de boa’s geldt dat de bevoegdheid tot het opsporen van strafbare feiten is gebaseerd op een akte van opsporingsbevoegdheid, verleend door Onze Minister van Justitie en Veiligheid of het College van procureurs-generaal (artikel 141, eerste lid, Sv). De opsporing van strafbare feiten door een boa vindt plaats onder gezag van de officier van justitie. De officier van justitie is echter niet betrokken bij de bedrijfsvoering van de organisatie waar de boa in dienst is en heeft evenmin een hiërarchische relatie met de boa. Ditzelfde geldt voor de korpschef van de Nationale politie. Vanwege de beheersmatige en hiërarchische zeggenschap zal de verwerkingsverantwoordelijkheid voor de gegevensverwerking door een boa worden belegd bij diens werkgever. Voor wat betreft de bevoegdheid van de verantwoordelijke om zelf de politiegegevens te verwerken geldt dat de Wpg reeds voorziet in toegang van de verantwoordelijke tot de politiegegevens die onder zijn beheer worden verwerkt ten behoeve van het toezicht op de naleving van het bij of krachtens deze wet bepaalde (artikel 4, vierde lid, Wpg).

Voor wat betreft het onderscheid tussen beheer en gezag kan voorts worden opgemerkt dat de organisatorische inbedding van de gegevensverwerkingsverantwoordelijke bij het beheer van de politie – of van een bijzondere opsporingsdienst – voor de hand ligt omdat de rol van de verwerkingsverantwoordelijke betrekking heeft op de beschikbaarstelling van de middelen voor een adequate gegevensverwerking. Dit raakt aan de bedrijfsvoering van de betreffende opsporingsdienst. Daarbij ligt de nadruk meer op de middelen dan op het doel van de verwerking. Vanwege de wettelijke taken van de politie of van de bijzondere opsporingsdienst is het doel van de verwerking bij voorbaat gegeven, te weten de opsporing van strafbare feiten. Indien de gezagslijn op basis van de Politiewet 2012 (mede)bepalend zou zijn voor de toedeling van de verantwoordelijkheid voor de gegevensverwerking, dan zou iedere officier van justitie en iedere burgemeester slechts verantwoordelijk zijn voor een beperkt onderdeel van de gegevensverwerking, namelijk de verwerking die onder zijn gezag plaatsvindt. De individuele officier van justitie of burgemeester is dan slechts voor een zeer klein deel van de gegevensverwerking verantwoordelijk. In de praktijk zal dit betekenen dat niemand aanspreekbaar is voor de meer algemene verplichtingen voor de verwerkingsverantwoordelijke, bijvoorbeeld op het gebied van de beveiliging van de verwerking. Vooralsnog is niet goed in te zien op welke wijze meer dan 1.100 verwerkingsverantwoordelijken (ruim 300 burgemeesters 800 officieren van justitie) op een gecoördineerde wijze zouden kunnen worden betrokken bij de gegevensverwerking door de politie, voor zover de gegevensverwerking betrekking heeft op de uitvoering van de politietaak waarover zij het gezag uitoefenen. Ook voor de burger zou het niet duidelijk zijn tot wie hij zich moet wenden voor de uitoefening van zijn fundamentele rechten. De burger zou dan immers zelf moeten uitzoeken welke officier verwerkingsverantwoordelijke is voor de verwerking van zijn persoonsgegevens. Een dergelijke wijziging van het systeem van de Wpg en de Wjsg vloeit niet voort uit de richtlijn, raakt aan de verdeling van de beheersmatige en gezagsmatige verantwoordelijkheden op basis van de Politiewet 2012, is vanuit het perspectief van de uitvoerbaarheid niet wenselijk en zou de mogelijkheden voor burgers om hun rechten uit te oefenen feitelijk bemoeilijken.

Dit laat overigens onverlet dat het voor zowel de officier van justitie als de burgemeester van essentieel belang is te kunnen beschikken over politiegegevens om invulling te kunnen geven aan hun gezagsrol op grond van de Politiewet 2012. In de Wpg is voorzien in een verplichting voor de verantwoordelijke om politiegegevens te verstrekken aan leden van het openbaar ministerie en de burgemeesters voor zover zij deze behoeven in verband met hun gezag en zeggenschap over de politie (artikel 16, eerste lid, onderdelen b en c, onder 1°, Wpg). Ik verwijs daarvoor tot slot naar overweging 54 van de richtlijn, waarin wordt overwogen dat het voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers, onder meer wat de monitoring door en de maatregelen van toezichthoudende autoriteiten betreft, noodzakelijk is dat de bij de richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend.

De AP merkt op dat in het wetsvoorstel slechts een bevoegdheid is gegeven om een boete op te leggen vanwege een overtreding van de documentatieplicht (artikel 32 Wpg). Het boetemaximum bedraagt ten hoogste het bedrag van de vierde boetecategorie van artikel 23, vierde lid, Sr (€ 20.500). De maximum boetebedragen in de Verordening variëren van 10 to 20 miljoen euro. De AP wijst op de samenhang met de Verordening en de verplichting voor de lidstaten om inbreuken op de Richtlijn te bestraffen met doeltreffende, evenredige en afschrikkende sancties (artikel 57 Rl) en stelt voor om voor de administratieve geldboeten aan te sluiten bij de regeling van artikel 83 van de Verordening. Om die reden adviseert de AP de bepalingen waarvoor een administratieve boete kan worden opgelegd aan te vullen en de boetemaxima te heroverwegen en in dat verband aansluiting te zoeken bij de Verordening. Daarbij wordt een lijst van overtredingen voorgesteld, waarvoor een bestuurlijke boete kan worden opgelegd.

Naar aanleiding van dit advies wordt opgemerkt dat, anders dan de verordening, de richtlijn de lidstaten niet verplicht om bepaalde bevoegdheden tot handhaving toe te delen aan de toezichthoudende instantie. De richtlijn volstaat met een verplichting voor de lidstaten om te voorzien in effectieve bevoegdheden terzake waarbij rekening gehouden kan worden met de specifieke nationale situatie. Voor de implementatie van dit onderdeel van de richtlijn is aangesloten bij de huidige regeling op basis van de Wpg en de Wjsg. De huidige regeling voorziet in vergaande bevoegdheden voor de AP ter handhaving, zoals het opleggen van een last onder bestuursdwang. Niettemin wordt naar aanleiding van het advies van de AP voorgesteld om de bevoegdheid van de AP tot het opleggen van een bestuurlijke boete te verruimen tot het niet-naleven van de verplichting tot het melden van datalekken (artikelen 33a Wpg, 27, vierde lid, 39r, derde lid, 51, derde lid, 51d, derde lid, en 51h, derde lid, Wjsg, 27b, vijfde lid, Sv en 14, derde lid, Wet ter voorkoming van witwassen en financieren van terrorisme). Tevens wordt voorgesteld het maximum boetebedrag met het oog op de afschrikkende werking te verhogen van de vierde tot de vijfde boetecategorie van artikel 23, vierde lid, Sr (€ 82.000). Mede in het licht van de andere bevoegdheden van de AP wordt de AP hiermee naar mijn oordeel een evenwichtig en voldoende voldragen instrumentarium geboden ter handhaving van deze voorschriften.

De AP adviseert om bij voorkeur de algemene verplichting tot beveiliging van politiegegevens van artikel 19 van de richtlijn, en de uitwerking daarvan, in artikel 29, tweede lid, van de richtlijn, in één artikel vast te stellen en de overige aspecten als «Privacy by Design», «Privacy by Default» en «Data Protection Impact Assessment» in afzonderlijke artikelen onder te brengen. Tevens adviseert de AP om af te zien van de in de richtlijn geboden mogelijkheid tot uitstel van invoering van de loggingplicht.

Aan dit advies is reeds gevolg gegeven doordat de gegevensbeveiliging door ontwerp, de gegevensbescherming door standaardinstellingen en de verplichting tot een gegevensbeschermingseffectbeoordeling zijn geregeld in respectievelijk de artikelen 4a, 4b en 4c Wpg. De verplichting tot beveiliging van politiegegevens is eveneens opgenomen in artikel 4a Wpg. De uitwerking van deze verplichting in artikel 29, tweede lid, van de richtlijn, is dermate gedetailleerd en uitgebreid dat dit niet goed past in een wet in formele zin. Deze uitwerking zal dan ook worden opgenomen in het Bpg.

De verplichting tot logging van gegevens over de verwerking van politiegegevens en van justitiële-, strafvorderlijke- en strafzaakgegevens betreft een verstrekkende verplichting, vanwege het grote aantal informatiesystemen bij de opsporingsdiensten en het openbaar ministerie waarvoor deze verplichting geldt (alleen voor de politie ruim 400 systemen), het aantal informatiesystemen dat daadwerkelijk aanpassing behoeft om aan deze verplichting te voldoen en de hoge kosten die hieraan zijn verbonden. Deze stand van zaken noopt tot opneming in het wetsvoorstel van de mogelijkheid tot uitstel van invoering van de betreffende bepalingen van de Wpg en de Wjsg, binnen de bandbreedte die daarvoor in de richtlijn wordt geboden.

De AP wijst erop dat ten aanzien van de verwerking van bijzondere categorieën van persoonsgegevens, op grond van artikel 5 Wpg, het thans gehanteerde criterium – dat die verwerking mogelijk is voor zover die voor het doel van de verwerking «onvermijdelijk» is – wordt vervangen door het criterium dat de verwerking «strikt noodzakelijk» is. De richtlijn vereist tevens dat passende waarborgen worden geboden. De AP stelt vast dat in het wetsvoorstel de passende waarborgen zijn beperkt tot het vereiste dat de verwerking voor dit doel slechts plaatsvindt in aanvulling op de verwerking van andere politiegegevens, en adviseert te voorzien in verdergaande waarborgen dan de thans voorgestelde tekst.

Naar aanleiding van dit advies wordt opgemerkt dat het vereiste van de strikte noodzaak impliceert dat strenge regels gelden voor de toegang tot de gegevens, omdat die toegang afhankelijk is van de noodzaak om die gegevens te verwerken. Niettemin is de tekst van het voorgestelde artikel 5 Wpg nader aangepast. Gekozen is het criterium van de onvermijdelijkheid, dat thans in de wet wordt gesteld, te handhaven.

Verder wijst de AP erop dat ten aanzien van de profilering, op grond van artikel 7a, eerste lid, Wpg, de vereiste passende waarborgen slechts uitwerking hebben gekregen in «het recht op menselijke tussenkomst», terwijl een voorwaarde die voorziet in specifieke voorlichting aan de betrokkene ontbreekt. Weliswaar wordt in de toelichting op artikel 24b, tweede lid, onder e, Wpg voorzien in de verplichting de betrokkene te informeren over het bestaan van geautomatiseerde besluitvorming, maar de AP concludeert dat met deze bepalingen onvoldoende invulling wordt gegeven aan de vereiste passende waarborgen voor de betrokkene. De AP adviseert om die reden de genoemde bepalingen en de bijbehorende toelichting op adequate wijze aan te vullen.

Naar aanleiding van dit advies is de tekst van het voorgestelde artikel 7a, eerste lid, Wpg, aangevuld met de verplichting te voorzien in specifieke voorlichting aan de betrokkene. De toelichting is dienovereenkomstig aangevuld.

Ter implementatie van artikel 12, eerste lid, van de richtlijn bepaalt het wetsvoorstel in artikel 24a, eerste lid, eerste volzin, Wpg dat de verwerkingsverantwoordelijke aan de betrokkene informatie verstrekt over de verwerking van politiegegevens in een beknopte en toegankelijke vorm. De AP wijst er – kort weergegeven – op dat dit artikellid niet voldoende tegemoet komt aan het bepaalde in artikel 12 van de richtlijn. Volgens de AP gaat de strekking van artikel 12 van de richtlijn verder dan een loutere informatieverplichting als weergegeven. De AP adviseert artikel 12 van de richtlijn alsnog op toereikende wijze om te zetten in het wetsvoorstel.

Artikel 24a, eerste lid, Wpg is in algemene bewoordingen opgesteld en bevat geen specifieke beperking ten aanzien van de informatie die in een beknopte en toegankelijk vorm dient te worden opgesteld. Het heeft daarmee niet een beperktere reikwijdte dan hetgeen waarop artikel 24a, derde lid, Wpg over kosteloze verstrekking betrekking heeft. Om dit te benadrukken is in de toelichting op artikel 24a, eerste lid, Wpg alsnog verduidelijkt welke aspecten tot de verplichtingen als bedoeld in dat lid worden gerekend. Dit komt overeen met de aspecten waaraan in artikel 12 van de richtlijn wordt gerefereerd. Ten aanzien van hetgeen de AP heeft opgemerkt over artikel 24b, tweede lid, onder e, Wpg wordt voor de goede orde onder de aandacht gebracht dat dit artikellid niet de implementatie van artikel 12 maar van artikel 13, tweede lid, van de richtlijn betreft. Dit betreft de meer actieve informatieplicht in specifieke gevallen. Dit laat de aanvulling van de toelichting op artikel 24a, eerste lid, Wpg onverlet.

De AP merkt op dat het bereik van de richtlijn mede ziet op de verwerking van persoonsgegevens door de gerechten, waarbij al hetgeen valt onder de taakuitvoering van de onafhankelijke rechter uitdrukkelijk is uitgezonderd, zodat de toezichthoudende taak van de toezichthouder zich beperkt tot de procedurele kant van de verwerking van persoonsgegevens bij de behandeling van strafzaken door de gerechten en daarmee op generlei wijze betrekking heeft op de rechterlijke taak in de beoordeling van die zaken.

Het standpunt van de AP wordt onderschreven. De AP is niet belast met het toezicht op de verwerking van gerechtelijke strafgegevens door de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, in het kader van de uitoefening van hun rechterlijke taken. In de toelichting op artikel 51 Wjsg van het wetsvoorstel wordt hierop nader ingegaan. Daarin wordt ook aangegeven dat enkel in gevallen waarin duidelijk is dat het toezicht door AP op geen enkele wijze van invloed kan zijn op de rechterlijke oordeelsvorming in de strafzaak die bij een gerecht in behandeling is, de bevoegdheid bestaat dit toezicht uit te oefenen.

De AP geeft een beschrijving van de inrichting van het systeem van verstrekking van politiegegevens, justitiële en strafvorderlijke gegevens aan andere bevoegde autoriteiten. Hierbij wijst de AP er op dat bij de buiten de EU gelegen landen thans niet voorzien is in een omvattend beoordelingsmechanisme dat alle relevante factoren daarbij in beschouwing neemt. Onder de nieuwe richtlijn is dezelfde systematiek aanvaard als onder richtlijn 95/46 gebruikelijk was en zoals deze in de verordening wordt voortgezet. De systematiek zoals die in de voorgestelde wetswijzigingen is uiteengezet vormt volgens de AP een juiste uitwerking van de voorschriften van de richtlijn, maar de in de memorie van toelichting daarop gegeven toelichting sluit op die systematiek niet aan. De AP adviseert de toelichting in overeenstemming te brengen met de toepasselijke systematiek voor doorgiften aan derde landen of internationale organisaties zoals in artikel 17a van de Wpg omschreven en daarbij toe te lichten wat dit inhoudt voor de uitwerking daarvan in de praktijk. Hetzelfde geldt voor de overeenkomstige bepalingen in de Wjsg.

Naar aanleiding van dit advies is de tekst van het voorgestelde artikel 17a, tweede lid, Wpg, en 16b, tweede lid, Wjsg gewijzigd door daarin aan te geven dat uitsluitend bij ontstentenis van een adequaatheidsbesluit van de Europese Commissie, gegevens kunnen worden doorgegeven op basis van passende waarborgen. Daarmee wordt uitdrukkelijk bepaald dat uitsluitend in geval een adequaatheidsbesluit ontbreekt aan de toepassing van het tweede lid kan worden toegekomen. De toelichting op artikel 17a, tweede lid, Wpg is overeenkomstig het advies van AP aangepast.

De richtlijn heeft een andere reikwijdte dan de thans geldende Wpg en de Wet justitiële en strafvorderlijke gegevens. Op bepaalde categorieën gegevens die met toepassing van de Wet bescherming persoonsgegevens worden verwerkt zal dit wetsvoorstel ter implementatie van de richtlijn van toepassing worden. Ook de tegenovergestelde situatie doet zich voor: sommige taken van de politie waarvoor nu gegevens worden verwerkt met toepassing van de Wpg, vallen niet binnen de reikwijdte van de richtlijn. Op deze gegevensverwerkingen is de verordening in het vervolg van toepassing. Ten opzichte van de huidige Wpg en de Wjsg biedt de richtlijn een uitbreiding van de huidige regels, bijvoorbeeld ten aanzien van de rechten van betrokkene, en ook nieuwe verplichtingen, zoals een meldplicht voor inbreuken op de beveiliging van persoonsgegevens.

Om inzicht te krijgen in de gevolgen van het wetvoorstel voor de uitvoering is eerst onderzocht of het wettelijk kader dat van toepassing is ook van toepassing blijft op de gegevensverwerkingen door deze organisaties. Dit geldt voor de bevoegde autoriteiten die in de oude situatie gegevens verwerkten onder het regime van de Wpg en de Wjsg: de politie, de rijksrecherche, de Koninklijke marechaussee, het openbaar ministerie en de Justitiële Informatie Dienst. Hoewel de richtlijn van toepassing is op een groot deel van de taken die door deze organisaties worden uitgevoerd, geldt dit niet voor alle taken. De handhaving van de Vreemdelingenwet 2000 valt bijvoorbeeld niet binnen de reikwijdte van de richtlijn. Op dit punt verandert de situatie voor politie en Koninklijke marechaussee, dit betreft in het bijzonder het binnenlands vreemdelingentoezicht en de grensbewakingstaak die door de politie en de Koninklijke marechaussee worden uitgevoerd. Dit betekent dat de gegevensverwerking voor dit doel door politie en Koninklijke marechaussee voortaan onder de verordening valt. Dit geldt ook voor de gegevensverwerking door de politie ten behoeve van de taken die bij wet aan de korpschef zijn opgedragen.

Andere organisaties zijn bevoegde autoriteiten in het kader van de richtlijn terwijl zij onder de huidige wet gegevens verwerken binnen het regime van de Wet bescherming persoonsgegevens. Dit geldt bijvoorbeeld voor de verwerking van persoonsgegevens in het kader van opsporing door buitengewoon opsporingsambtenaren. De Wpg wordt daarom bij besluit van toepassing verklaard op de gegevensverwerking die in dit kader plaatsvindt. Hetzelfde geldt voor gegevens die worden verwerkt ten behoeve van de strafrechtspraak en de tenuitvoerlegging van straffen, de gerechtelijke strafgegevens en de tenuitvoerleggingsgegevens. Hierop is de Wet bescherming persoonsgegevens van toepassing en dit wordt de Wet justitiële en strafvorderlijke gegevens. Zo worden de persoonsgegevens in het penitentiair dossier of inrichtingsdossier als tenuitvoerleggingsgegevens gekwalificeerd. Hierop wordt de Wet justitiële en strafvorderlijke gegevens, en in aanvulling daarop de voorschriften in de betreffende Beginselenwet over persoonsgegevens, van toepassing. De wijzigingen die met de overgang naar een ander wettelijk regime optreden zijn niet helemaal hetzelfde als de wijzigingen voor de organisaties die al werkten op basis van de Wpg of de Wjsg. De Wet bescherming persoonsgegevens kende bijvoorbeeld al een meldplicht voor datalekken, zodat dit materieel geen nieuwe verplichting zal inhouden bij de overgang naar het richtlijn regime.

De wijziging in de reikwijdte van de wettelijke regimes maakt de situatie voor sommige organisaties complex: het CJIB verwerkt bijvoorbeeld gegevens binnen drie verschillende regimes. De verordening is onder andere van toepassing op de gegevensverwerking in het kader van de afdoening op basis van de Wet administratiefrechtelijke handhaving verkeersvoorschriften, de Wpg op de verwerking van gegevens door buitengewone opsporingsambtenaren en de Wjsg op de gegevensverwerking in het kader van de inning van strafbeschikkingen.

De impact van de richtlijn op de taken die hieronder vallen verschilt per verplichting en per organisatie. Een aantal verplichtingen heeft een grote ICT-component. De impact van deze verplichtingen is mede afhankelijk van met de mogelijkheden die de huidige ICT-systemen bieden. De bevoegde autoriteiten hebben een voorlopige schatting gedaan van de impact voor de organisaties. Hiervoor is eerst in kaart gebracht welke taken onder de richtlijn vallen en welke taken onder de verordening vallen. Voor de taken die binnen de richtlijn vallen is onderzocht wat de wijzigingen zijn ten opzichte van de huidige situatie. Vervolgens is gekeken in hoeverre op dit moment al aan de nieuwe of gewijzigde verplichting wordt voldaan en welke wijzigingen nodig zijn om aan de verplichting te voldoen. Dat leidt tot een inschatting van de impact en waar mogelijk tot een kwantificering van de incidentele en structurele kosten. De impact analyses zijn een voorlopige beoordeling van de impact per organisatie. Vanwege de complexiteit van de regelgeving en omvang van de ICT voorzieningen, en de korte implementatietermijn van de richtlijn is het op dit moment niet mogelijk tot een meer nauwkeurige impactbeoordeling te komen.

De uitkomst van de impactanalyses kan worden onderverdeeld in twee categorieën verplichtingen, de verplichting logbestanden bij te houden en de overige verplichtingen. Deze onderverdeling is relevant omdat voor het voldoen aan de loggingsverplichting een langere implementatietermijn geldt, tot 2023 (of in uiterst geval tot 6 mei 2026), indien dit noodzakelijk is. Hoewel de impact van deze verplichting op veel organisaties groot is, omdat hogere eisen aan ICT-systemen worden gesteld en maatwerkaanpassingen nodig zijn, is er meer tijd om aan deze verplichting te voldoen. Waar mogelijk kan bij implementatie van de richtlijn hierdoor worden aangesloten bij de vernieuwing van ICT-systemen.

De kosten voor het voldoen aan de verplichting logbestanden bij te houden, hebben er mee te maken dat alle informatie die op basis van de richtlijn moet worden geregistreerd ook moet worden bewaard zodat hier ook de nodige informatie uit kan worden afgeleid. Hierbij geldt dat de snelheid en functionaliteit van de systemen niet achteruit mag gaan. Omdat meer gegevens op toegankelijke wijze moeten worden opgeslagen, is ook meer opslagcapaciteit nodig. De hoogte van de bedragen wordt mede bepaald door het aantal systemen, de ouderdom en functionaliteit van de systemen, en de aantallen gebruikers en bevragingen van deze systemen. Daarnaast is een systeem nodig waarmee toezicht wordt gehouden op de verwerking, op basis van de logginggegevens.

De impact van de overige verplichtingen is sterk afhankelijk van de werkzaamheden en omvang van de organisaties. Organisaties die vanwege de aard van hun werkzaamheden veel gegevens verwerken, zoals de Justitiële Informatie Dienst, hebben de impact van de overige verplichtingen als groot beoordeeld. Dit komt onder andere omdat meer verzoeken om informatie over de gegevensverwerking worden verwacht. Het beantwoorden van deze verzoeken vergt een individuele beoordeling en afstemming met andere ketenpartners. De impact uit de overige verplichtingen betreft bijvoorbeeld ook de uitbreiding van de verplichting om gegevensbeschermingseffectbeoordelingen uit te voeren en het nemen van extra beveiligingsmaatregelen. Doordat de richtlijn hogere eisen stelt aan gegevensbescherming en daarmee aan ICT-systemen, kunnen de kosten van het gehele ICT-portfolio omhoog gaan. Tenslotte is mogelijk extra capaciteit nodig om aan de overige verplichtingen uit de richtlijn te kunnen voldoen. Zo moet bijvoorbeeld een functionaris voor de gegevensbescherming worden benoemd.

Een eerste inventarisatie wijst uit dat de rechtspraak op dit moment reeds voldoet aan de verplichtingen uit de richtlijn. Hoewel de grondslag voor de verwerking van gegevens ten behoeve van de strafrechtspraak wijzigt, lijkt dit dus geen financiële gevolgen te hebben. De FIU-Nederland maakt gebruik van systemen van de politie en van een internationale organisatie. Deze systemen worden door de eigenaar aangepast, deze kosten komen niet voor rekening van de FIU-Nederland. De rijksrecherche maakt gebruik van ICT-voorzieningen die worden beheerd door het openbaar ministerie. De kosten voor de aanpassing van deze systemen maken onderdeel uit van de kosten die door het openbaar ministerie in kaart zijn gebracht.

Hoewel de richtlijn ook van toepassing is op de bijzondere opsporingsdiensten en de buitengewone opsporingsambtenaren, wordt niet in dit wetsvoorstel maar in een algemene maatregel van bestuur geregeld aan welke verplichtingen zij moeten voldoen. In de toelichting bij deze algemene maatregel van bestuur wordt de impact van de richtlijn op deze organisaties beschreven.

Het wetsvoorstel ter uitvoering van de verordening en dit wetsvoorstel ter implementatie van de richtlijn leiden tot een toename in de toezichtslasten voor de AP. Op deze toename, met inbegrip die als gevolg van de richtlijn, wordt in de toelichting op het wetsvoorstel ter uitvoering van de verordening nader ingegaan, zodat daarnaar wordt verwezen.

De kosten voor de organisaties die worden geraakt door dit wetsvoorstel, dienen te worden gedekt vanuit de bedrijfsvoeringsbudgetten van de betreffende organisaties. Een groot deel van de kosten vloeit voort uit de implementatie van de loggingsverplichting. De richtlijn kent voor deze verplichting een langere implementatietermijn tot 2023, en in uitzonderlijke gevallen tot 2026. Van deze termijn wordt gemaakt om bij de reguliere ICT-vervanging aan te sluiten.

De Afdeling advisering van de Raad van State constateert dat uit onderzoek blijkt dat de toepassing van de gegevensbeschermingswetgeving op het gebied van politie en justitie al langere tijd een bron van aandacht en zorg is. Zij adviseert om in de toelichting nader in te gaan op de uitvoering van het voorstel in de praktijk, in het bijzonder de vraag op welke wijze de vage normen zullen worden gehanteerd en op de realisering van de voor een goede uitvoering noodzakelijke ICT-voorzieningen. Voorts adviseert de Afdeling om in de toelichting in te gaan op het punt van opleiding en scholing van degenen die met gegevensverwerking te maken hebben.

De Afdeling advisering van de Raad van State geeft in haar advies terecht aan dat de toepassing van de gegevensbeschermingswetgeving op het gebied van politie en justitie al langere tijd een bron van aandacht en zorg is. Bij de evaluatie van de Wpg in 2013 constateerden de onderzoekers dat sprake is van «een worstelende praktijk». De uitkomsten van een externe audit van de Auditdienst Rijk (ADR) naar de naleving van de Wpg door de politie bevestigden dit beeld (Kamerstukken II, 2015/16, 33 842, nr. 3). De doelstellingen en de hoofdlijnen van de wet worden weliswaar breed onderschreven, maar de invulling en de toepassing ervan loopt vast in de operationalisering en de implementatie. De oorzaak hiervan ligt deels in de complexiteit van de wetgeving, deels in de politieorganisatie.

Zoals ik eerder aan de Kamer heb gemeld, hecht ik veel belang aan een nauwgezette naleving van de regels van de Wet politiegegevens door de politie. Burgers moeten erop kunnen vertrouwen dat de politie correct en zorgvuldig met persoonsgegevens omgaat. Een goede naleving van de Wpg leidt tot een evenwicht waarin de politie voldoende middelen ter beschikking staan om te werken aan de veiligheid van onze samenleving, zonder daarbij onnodig een inbreuk te maken op de grondrechten van burgers. Binnen de politie zijn een Gegevensautoriteit en een Informatiebeveiligingsautoriteit ingericht, waardoor centrale regie mogelijk is op de kwaliteit en beveiliging van de informatie. Naar aanleiding van de eerdergenoemde audit van de ADR is een meerjarig verbeterplan opgesteld, dat inmiddels aan Uw Kamer is aangeboden (Kamerstukken II 2015/16, 33 842, nr. 4). In het verbeterplan zijn maatregelen opgenomen om te komen tot verbetering van de naleving van de Wpg. Daartoe bevat het verbeterplan maatregelen op het gebied van de beveiliging van gegevens, de rechten van de betrokkene, de verstrekking van gegevens, de protocolplicht, de kwaliteit van gegevens, gevoelige gegevens en audits. De maatregelen hebben onder andere betrekking op het aanpassen van ICT systemen en het inrichten van procedures. De opleiding en scholing van medewerkers is tevens een integraal onderdeel van het verbeterplan.

De maatregelen uit het verbeterplan beginnen inmiddels tot resultaten te leiden. Zo werkt de politie aan een geautomatiseerde oplossing voor het proces van verstrekken en intrekken van autorisaties voor politiesystemen bij (ver)plaatsing of uitdiensttreding («Identity & Accessmanagement tooling»), die voor een aantal applicaties reeds wordt toegepast. Voorts is inmiddels een uitvoeringskader «Privacy & Security by Design» vastgesteld, dat momenteel binnen de politieorganisatie wordt geïmplementeerd.

Het verbeterplan heeft betrekking op de periode 2016–2019 en wordt projectmatig aangestuurd. Daartoe is een stuurgroep opgericht en zijn verschillende deelprogramma’s ingericht. Ten behoeve van de implementatie van deze richtlijn is de scope van het verbeterplan uitgebreid en zijn aanvullende maatregelen in het plan opgenomen, waardoor de implementatie van de normen van de richtlijn onderdeel vormt van het lopende verbetertraject. Dit betreft onderwerpen als de verplichting tot het loggen van gegevens (artikel 32a Wpg), de ontwikkeling van een model voor het registreren van gegevens (artikel 31d Wpg) en voor het opstellen van een gegevensbeschermingseffectbeoordeling (artikel 4c Wpg).

Binnen de politie bestaat het Privacyplatform, waarin zowel meer algemene privacyvraagstukken, invulling van open normen als concrete casussen aan de orde komen en worden afgestemd. Naast de privacyfunctionarissen, juristen en beleidsadviseurs van de politie, worden voor dit overleg ook vertegenwoordigers van de Koninklijke marechaussee, de rijksrecherche en de vertegenwoordigers van bijzondere opsporingsdiensten uitgenodigd. Dit gremium kan een belangrijke rol spelen ter ondersteuning van de implementatie van de maatregelen die uit het voorliggende wetsvoorstel voortvloeien, een eenduidige toepassing van de normen en het adresseren van vragen vanuit de uitvoeringspraktijk.

Het volledig kunnen naleven van de Wpg vergt echter niet alleen maatregelen ter implementatie van wet- en regelgeving. Een adequate naleving hangt tevens nauw samen met aanpassing of vervanging van oudere informatiesystemen en aanpassing in de huidige wetgeving. In de beleidsreactie op de evaluaties van de Wpg en de Wjsg (Kamerstukken II 2013/2014, 33 842, nr. 2) heeft mijn ambtsvoorganger aangekondigd om beide wetten op termijn in onderling verband te zullen herzien en moderniseren, zodat gekomen wordt tot een eenduidig en eenvormig regime voor de verwerking van persoonsgegevens binnen de strafrechtsketen. Nadat de implementatie van deze richtlijn in de Wpg en Wjsg is afgerond, zullen de voorbereidingen voor de eerder aangekondigde herziening van de beide wetten in gang worden gezet.

In 2013 is de Wjsg geëvalueerd. De onderzoekers constateerden, onder andere, dat de justitiële en strafvorderlijke gegevens aan het einde van de bewaartermijn (niet) of niet altijd worden vernietigd. Naar aanleiding daarvan zijn verbeterplannen opgesteld, met als doel conform de wet- en regelgeving te schonen. De Justitiële Informatiedienst heeft in dat kader voorzieningen getroffen waardoor de gegevens niet meer toegankelijk zijn voor gebruikers van het justitieel documentatiesysteem en voor functioneel beheerders.

De organisaties die onder de Wjsg vallen en die moeten voldoen aan de verplichtingen die voortvloeien uit de richtlijn, zijn hiermee inmiddels van start gegaan. Projectleiders zijn geworven en projectplannen zijn opgesteld. Grofweg kan onderscheid worden gemaakt tussen drie categorieën activiteiten: bewustwording en voorlichting, wijzigen processen en werven personeel en ICT-aanpassingen.

Zo heeft het openbaar ministerie in 2017 een programma ingericht om zich voor te bereiden op de inwerkingtreding van de verordening en de richtlijn gegevensbescherming. Het programma ondersteunt het openbaar ministerie om te kunnen voldoen aan de nieuwe verplichtingen door o.a. modelovereenkomsten en protocollen op te stellen, het inrichten van een landelijk verwerkingsregister, het (laten) uitvoeren van «privacy impact assessments» en het aanstellen van een functionaris gegevensbescherming. De komende periode zal meer concreet in kaart worden gebracht welke aanpassingen nodig zijn in de systemen van het openbaar ministerie om te kunnen voldoen aan de nieuwe loggingverplichting.

De medewerkers van het openbaar ministerie zullen vanuit het programma worden geïnformeerd over de nieuwe wetgeving en de nodige aandacht zal uitgaan naar het vergroten van bewustzijn hoe om te gaan met persoonsgegevens en eventuele datalekken. In de communicatie met de burger wordt expliciet rekening gehouden met de richtlijn en de verordening. Bij de voorbereiding op de inwerkingtreding van de richtlijn en de verordening werkt het openbaar ministerie samen met ketenpartners en het zogenoemde AVG-team van het Ministerie van Justitie en Veiligheid.

Ook bij de Hoge Raad is een project gestart. Het project richt zich onder meer op het organiseren van awareness sessies, het op orde hebben van het register met gegevensverwerkingen en het in kaart brengen van het autorisatiemodel.

Bij de Justitiële informatiedienst (JustID) wordt één medewerker opgeleid tot information privacy manager. Er wordt ook een privacy officer aangesteld. Daarnaast is een awareness campagne begonnen onder medewerkers en is er voorlichting gegeven. Inmiddels is Justid begonnen met het Project Vernieuwing Kernsystemen (PVK) waarbij wordt beginnen met het systeem JDS. Dit systeem wordt ontwikkeld onder architectuur. In de doelarchitectuur is een tweetal applicatiecomponenten opgenomen:

• • Verstrekkingen: het registreren van alle verstrekkingen van informatieproducten, gegevenssets, aan de afnemers conform de verordening/richtlijn.

• • Wet & regelgeving: module waarin alle relevante wet- en regelgeving is opgenomen die als toetsingskader dient voor het verstrekken van informatieproducten aan de afnemers.

Bij de Dienst Justitiële Inrichtingen is per 1 januari 2018 een «privacy officer» aangesteld, daarnaast zijn verschillende PIA’s uitgevoerd.

Het Ministerie van Justitie en Veiligheid ondersteunt de organisaties waar mogelijk bij de implementatie van de nieuwe verplichtingen. Voor dit doel is het eerdergenoemde JenV-brede AVG-team uitgebreid met een richtlijn-team. Organisaties kunnen terecht bij dit team voor praktische tips en goede voorbeelden. Desgewenst kan het team ondersteuning op maat bieden bij de implementatie van de verplichtingen. Het team wordt ondersteund door een aantal juristen die vragen over de interpretatie van de verplichtingen kunnen beantwoorden. Tijdens bijeenkomsten worden knelpunten gedeeld en «best practices» besproken. Daarnaast is het voornemen om ten behoeve van een eenduidige toepassing van de vage normen in de Wpg en Wjsg met alle betrokken ketenpartners de uitleg die aan belangrijke begrippen wordt gegeven, af te stemmen.

De Afdeling advisering merkt tevens op dat technologische ontwikkelingen, zoals big data analyses, vergaande gevolgen lijken te hebben voor de wetgeving en de basisprincipes die daaraan ten grondslag liggen. Ondanks de aanpassingen vanwege de richtlijn is het de vraag in hoeverre de richtlijn en het voorstel op deze ontwikkelingen zijn toegerust, in het bijzonder of deze leiden tot een effectieve bescherming van de algemene beginselen van gegevensbescherming en tegelijk bruikbaar zijn voor de uitvoeringspraktijk. In de uitvoeringsbegeleiding zou nadrukkelijk aandacht besteed moeten worden aan de wijze waarop de technische ontwikkelingen worden geïncorporeerd in de praktische toepassing van het wetsvoorstel of geregeld in andere wetgeving. De Afdeling adviseert in de toelichting hierop in te gaan, in het bijzonder op de wijze waarop de onderhavige regelgeving is toegesneden op de genoemde technische ontwikkelingen.

Naar aanleiding van dit advies kan worden opgemerkt dat de zienswijze dat technologische ontwikkelingen gevolgen kunnen hebben voor de bescherming van persoonsgegevens, wordt onderschreven. Hierbij moet worden bedacht dat het verzamelen van persoonsgegevens ten behoeve van de opsporing of vervolging van strafbare feiten, zeker als het grote hoeveelheden gegevens betreft van personen die (nog) niet in verband kunnen worden gebracht met het beramen of plegen van strafbare feiten, een ingrijpende inbreuk op de bescherming van de persoonlijke levenssfeer met zich mee kan brengen die een adequate wettelijke grondslag vereist. Een dergelijke wettelijke grondslag heeft nauwe raakvlakken met de bevoegdheden tot het opsporen van strafbare feiten, en behoort dan te worden opgenomen in het Wetboek van Strafvordering. Een voorbeeld van een dergelijke bevoegdheid betreft het stelselmatig met een technisch hulpmiddel vastleggen van gegevens betreffende een persoon uit open bronnen, in het kader van een verkennend onderzoek. Een dergelijke bevoegdheid is opgenomen in het conceptwetsvoorstel Vaststellingswet Boek 2 van het nieuwe Wetboek van Strafvordering (Het opsporingsonderzoek), dat vorig jaar in consultatie is gegeven (artikel 2.9.1). Alsdan ligt het opnemen van garanties waarborgen ter bescherming van de persoonlijke levenssfeer in het kader van een dergelijke wettelijke bevoegdheid in de rede.

Voorts wordt opgemerkt dat het uitgangspunt van de Wpg, dat politiegegevens uitsluitend worden verwerkt voor welomschreven en gerechtvaardigde doelen, heeft geleid tot het onderscheiden van doelen binnen de politietaak waarvoor politiegegevens mogen worden verwerkt. Eén van die doelen betreft de uitvoering van de dagelijkse politietaak (artikel 8 Wpg). Naast (of in vervolg op) de uitvoering van de dagelijkse politietaak is er de gerichte verwerking van politiegegevens, zoals bij een onderzoek in verband met de handhaving van de rechtsorde in een bepaald geval (artikel 9 Wpg). De Wpg staat er aan in de weg dat persoonsgegevens, die worden verwerkt met het oog op een bepaald doel binnen de politietaak, vrijelijk met elkaar in verband worden gebracht. De Wpg bevat echter wel specifieke regels voor het geautomatiseerd vergelijken en in combinatie zoeken van politiegegevens (artikel 11 Wpg). Die regels voorzien in de mogelijkheid de politiegegevens die worden verwerkt met het oog op een bepaald doel binnen de politietaak, geautomatiseerd te vergelijken met politiegegevens die worden verwerkt voor een ander doel, teneinde vast te stellen of verbanden bestaan tussen de betreffende gegevens. Het verdere gebruik van de gerelateerde gegevens is gekoppeld aan instemming van een daartoe bevoegde functionaris. Alleen de daartoe geautoriseerde ambtenaren van politie kunnen worden belast met de gegevensvergelijking. Indien dit noodzakelijk is ten behoeve van een bepaald onderzoek of een bepaald doel binnen de politietaak kunnen alle beschikbare politiegegevens, inclusief de gegevens van onverdachte personen, in combinatie met elkaar worden verwerkt. Deze zoekmogelijkheid dient op grond van de wet te worden voorbehouden aan een zeer beperkte kring van politieambtenaren die daarvoor de vereiste deskundigheid en ervaring bezitten. Bovendien is voor het gebruik van deze mogelijkheid een opdracht van het bevoegde gezag vereist. Dit is de officier van justitie of de burgemeester; afhankelijk van het doel van de verwerking. Tot slot valt te wijzen op artikel 22 Wpg, op grond waarvan politiegegevens kunnen worden verwerkt ten behoeve van beleidsinformatie, wetenschappelijk onderzoek of statistiek met het oog op de taak, bedoeld in artikel 1, eerste lid, onder a, Wpg. Ook bij een dergelijke verwerking kan het om grote hoeveelheden gegevens gaan. De wet verbindt hieraan de voorwaarde dat de resultaten daarvan geen persoonsgegevens mogen bevatten, terwijl ook het Bpg een aantal nadere voorwaarden voor een dergelijke verwerking bevat.

De waarborgen uit de richtlijn zijn techniekonafhankelijk en bieden daarmee ook bescherming bij het gebruik van nieuwe technische toepassingen waarmee op grote schaal persoonsgegevens kunnen worden verwerkt. Het betreft hier waarborgen ten aanzien van geautomatiseerde individuele besluitvorming (artikel 11 Rl), «privacy by design» (artikel 20 Rl), gegevensbeschermingseffectbeoordeling (artikel 27 Rl), het voorafgaand consulteren van de toezichthoudende autoriteit (artikel 28 Rl) en de beveiliging van gegevens (artikel 29 Rl). Met dit wetsvoorstel worden deze waarborgen in de Wpg en de Wjsg opgenomen.

Niettemin roept de ontwikkeling op het gebied van informatie- en communicatietechnologie fundamentele vragen op over de (toekomstige) verhouding tussen technische mogelijkheden en de mogelijkheden om de persoonsgegevens effectief te blijven beschermen. Met het oog hierop heeft het toenmalige kabinet in zijn standpunt over het WRR-rapport: »Big Data in een vrije en veilige samenleving» een aantal beleidsuitgangspunten geformuleerd voor het kabinetsbeleid met betrekking tot «Big Data» in het veiligheidsdomein, waarbij is aangetekend dat sommige van deze beleidsuitgangspunten ook betekenis kunnen hebben voor andere domeinen, zoals dienstverlening en zorg. Er is bewust gekozen voor beleidsuitgangspunten, omdat het terrein van Big Data nog zo in beweging is dat het – zeker in dit stadium – lastig is om, in aanvulling op de algemene waarborgen in de richtlijn, meer specifieke waarborgen in de Nederlandse wetgeving vast te leggen die niet alleen voldoende sturend maar ook voldoende flexibel (en daarmee toekomstbestendig) zijn. Ook de richtlijn zelf bevat relatief weinig specifieke waarborgen met betrekking tot de verwerking van persoonsgegevens ten behoeve van geavanceerde data-analyses.

Eén en ander neemt niet weg dat bezien wordt of de wettelijke basis voor het uitvoeren en gebruiken van data-analyses versterking behoeft, met inbegrip van de waarborgen die daarbij gehanteerd dienen te worden. Dit is één van de actiepunten uit voornoemd kabinetsstandpunt, waarvan de uitvoering moet bijdragen aan een effectieve bescherming van algemene beginselen van gegevensbescherming bij toepassing van «Big Data».

De Afdeling advisering adviseert verder om ook in de noodzakelijke uitvoeringsbegeleiding aandacht te besteden aan de wijze waarop technologische ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van deze wet. De incorporatie hiervan vergt deels nog nader onderzoek. Zo is een van de andere actiepunten uit voornoemd kabinetsstandpunt het uitvoeren van een onderzoek naar het verschaffen van voldoende inzicht in gebruikte algoritmen en analysemethoden ten behoeve van toezicht en rechterlijke toetsing. Ook wordt gezocht naar wegen om de transparantie rond «Big Data» toepassingen door de overheid, inclusief politie en openbaar ministerie, te vergroten. De uitvoeringsbegeleiding op genoemd vlak heeft al wel concretere vormen aangenomen in het kader van experimenten die met betrekking tot «Big Data» worden uitgevoerd. Zo is op het terrein van justitie en veiligheid een broedkamer (Living Lab) voor «Big Data» experimenten ingericht (Kamerstukken II, 2016/17, 26 643, nr. 426, p. 4). Een ander voorbeeld is de City Deal « Zicht op ondermijning», een traject waarin met behulp van data-analyses wordt getracht een beter zicht te krijgen in patronen met betrekking tot ondermijnende criminaliteit (Stcrt. Nr. 48699, 29 augustus 2017). In deze experimenten, waar politie en het openbaar ministerie ook bij zijn betrokken, zijn principes uit het gegevensbeschermingsrecht, zoals terug te vinden zijn in de richtlijn en de verordening, in toetsingskaders vertaald naar stappen die bij het uitvoeren van data-analyses gezet dienen te worden. Afhankelijk van de ervaringen in deze experimenten zal worden bezien of een meer generiek kader kan worden opgesteld waarvan mogelijk elementen naderhand in wetgeving kunnen worden vastgelegd.

Ook in de noodzakelijke uitvoeringsbegeleiding is nadrukkelijk aandacht voor de vraag hoe bepaalde technologische ontwikkelingen kunnen worden geïncorporeerd in de praktische toepassing van dit wetsvoorstel. In dit verband kan worden gewezen op het recent door de minsterraad vastgestelde nieuwe Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA), waarin apart aandacht wordt besteed aan «Big Data» verwerkingen en de maatregelen die in dat kader moeten worden overwogen. Ook het opstellen van dit model was een toezegging uit de kabinetsreactie op het advies van de WRR over «Big Data». Overigens voorziet dit wetsvoorstel in een evaluatiebepaling, waarbij wordt voorgesteld de termijn voor de eerste evaluatie te stellen op drie jaar, zodat de bevindingen en uitkomsten van die evaluatie kunnen worden betrokken in de herziening van de privacywetgeving en tevens ter kennis van de Commissie kunnen worden ingebracht ten behoeve van de evaluatie van de richtlijn.

Het begrip politiegegeven heeft betrekking op een persoonsgegeven dat wordt verwerkt met het oog op de voorkoming van, onderzoek naar en opsporing van strafbare feiten of de uitoefening van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012, met uitzondering van de taken en voorschriften met betrekking tot de uitvoering van de Vreemdelingenwet 2000. De uitvoering van wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000 behoren tot de taken ten dienste van de justitie, die onderdeel vormen van de politietaak als bedoeld in artikel 3 PW 2012 (art. 1, eerste lid, onderdeel i, onder 1°, PW 2012). Aan de Koninklijke marechaussee is een aantal politietaken opgedragen, waaronder de uitvoering van de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, waaronder begrepen de bediening van de daartoe door Onze Minister voor Immigratie en Asiel aangewezen doorlaatposten en het, voor zover in dat verband noodzakelijk, uitvoeren van de politietaak op en nabij deze doorlaatposten, alsmede het verlenen van medewerking bij de aanhouding of voorgeleiding van een verdachte of veroordeelde (art. 4, eerste lid, onderdeel f, PW 2012).

De aanpassing van dit begrip is reeds in het algemeen deel aan de orde gekomen (par. 5.2.1.).

In aanvulling daarop kan nog worden opgemerkt dat de Wpg, op basis van de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wvwft), van toepassing blijft op de verwerking van persoonsgegevens door de zogenaamde Financiële inlichtingeneenheid. De Financiële inlichtingeneenheid valt onder de verantwoordelijkheid van het Ministerie van Justitie en Veiligheid en is belast met het verzamelen en analyseren van meldingen rond zogenoemde ongebruikelijke transacties door financiële instellingen. Op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid zijn een aantal artikelen van de Wpg overeenkomstige toepassing11, met dien verstande dat voor de Financiële inlichtingeneenheid als verantwoordelijke in de zin van artikel 1, onderdeel f, van die wet wordt aangemerkt Onze Minister van Justitie en Veiligheid. De betreffende bepalingen in de Wvwft en het Bpg worden aangepast, voor zover dit voortvloeit uit de implementatie van de richtlijn.

In de richtlijn wordt het begrip verwerkingsverantwoordelijke gehanteerd (hierna ook: de verantwoordelijke). Met dit begrip wordt gedoeld op de persoon of instantie die thans in de Wpg en de Wjsg wordt aangeduid als de verantwoordelijke. De verwerkingsverantwoordelijke wordt omschreven als de bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 1, eerste lid, onderdeel 8, Rl). De richtlijn biedt de lidstaten de mogelijkheid om de verwerkingsverantwoordelijke bij wet aan te wijzen (art. 3, eerste lid, onderdeel g, Rl).

Het begrip verwerkingsverantwoordelijke is in de Wpg nader gespecificeerd. De richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit betekent dat de richtlijn ook van toepassing is op de verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren. Dit is in het algemeen deel reeds aan de orde gekomen. Dit zal worden geregeld door aanpassing van artikel 46 van de wet, dat voorziet in de mogelijkheid om onderdelen van het bij of krachtens deze wet bepaalde van overeenkomstige toepassing te verklaren op de verwerking van persoonsgegevens door een bijzondere opsporingsdienst. In het Besluit politiegegevens bijzondere opsporingsdiensten is de verantwoordelijke aangewezen voor de verwerking van politiegegevens door een bijzondere opsporingsdienst. In dit besluit zal ook de van overeenkomstige toepassing van onderdelen van de Wpg op de verwerking van politiegegevens door een buitengewone opsporingsambtenaar, als bedoeld in artikel 142, eerste lid, van het Wetboek van Strafvordering, worden uitgewerkt. Als verwerkingsverantwoordelijke zal worden aangewezen de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar.

De richtlijn bevat een omschrijving van het begrip verwerker (art. 3, eerste lid, onder 9, Rl). De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, die of dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. In andere taalversies van de richtlijn gebezigde bewoordingen als in het Engels «on behalf of», in het Duits «im Auftrag»» en in het Frans «pour le compte» zijn in het Nederlands vertaald als: namens. Juister ware het geweest indien aangesloten was bij de Nederlandse vertaling uit de verordening door te kiezen voor de woorden «ten behoeve van», die eveneens werden gebruikt in de Privacyrichtlijn (art. 2, onderdeel e). Aangezien in andere taalversies op dit punt geen enkel verschil in bewoordingen bestaat tussen de verordening en de richtlijn, dient de richtlijn hierin niet op andere wijze te worden opgevat dan de verordening. Behoudens de wijziging van de term «bewerker» in die van «verwerker» verandert daarmee de afbakening van dit begrip ten opzichte van de huidige Wpg en Wjsg inhoudelijk niet.

In de richtlijn is bepaald dat als een verwerker als verwerkingsverantwoordelijke wordt beschouwd als hij in strijd met de richtlijn als zodanig optreedt (art. 22, vijfde lid, Rl). De verplichtingen van de verwerkingsverantwoordelijke zijn dan van toepassing op de verwerker.

In de richtlijn worden soms verplichtingen opgelegd aan de verwerkingsverantwoordelijke (bijvoorbeeld artikelen 12, 13, 19, 20, 24, 30, 32 Rl) en soms aan de verwerkingsverantwoordelijke en de verwerker (bijvoorbeeld artikelen 25, tweede lid, 26, 28, 29 Rl). Aangenomen moet worden dat in die gevallen waarin een verplichting uitsluitend geldt voor een verantwoordelijke, ook de verwerker gehouden is daaraan te voldoen. Dit zal in de overeenkomst kunnen worden vastgelegd.

De richtlijn bevat een omschrijving van het begrip bevoegde autoriteit (art. 3, eerste lid, onderdeel 7, Rl). In het algemeen deel van deze memorie is reeds ingegaan op de invulling van dit begrip in de Wpg en de Wjsg (par. 5.2.1. en 5.2.2.).

In aanvulling hierop kan worden opgemerkt dat particuliere beveiligings- en recherchebureaus geen bevoegde autoriteiten zijn in de zin van de richtlijn. Deze bureaus zijn krachtens het recht niet gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de opsporing van strafbare feiten. De verwerking van persoonsgegevens door deze bureaus valt onder het toepassingsgebied van de verordening.

In de richtlijn wordt een inbreuk op de beveiliging omschreven als een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging, de bekendmaking of de ter beschikkingstelling van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte politiegegevens, hetzij per ongeluk, hetzij onrechtmatig, tot gevolg. Deze omschrijving is identiek aan die van de verordening (art. 4, onderdeel 12, Avg).

Met de implementatie van de richtlijn wordt voorzien in een verplichting voor de melding van datalekken voor de instanties die zijn belast met de opsporing en vervolging van strafbare feiten en de tenuitvoerlegging van straffen.

Dit artikel regelt de verwerking van bijzondere categorieën van politiegegevens, thans in de Wpg aangeduid als gevoelige persoonsgegevens. In de richtlijn is de aard van deze persoonsgegevens verder uitgewerkt. Dit betreft niet alleen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, of het lidmaatschap van een vakvereniging maar ook gegevens betreffende etnische afkomst, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon.

De verwerking vindt slechts plaats wanneer dit strikt noodzakelijk is, met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene. De passende waarborgen dienen bij wet te worden vastgelegd. De passende waarborgen voor de betrokkene kunnen bijvoorbeeld inhouden dat de gegevens enkel mogen worden verzameld in samenhang met andere gegevens over de natuurlijke persoon in kwestie, dat de verzamelde gegevens afdoende kunnen worden beveiligd, dat strengere regels gelden voor de toegang van het personeel van de bevoegde autoriteit tot de gegevens, en dat de doorzending van die gegevens wordt verboden (overweging 37 Rl). Met de vereisten dat de gegevens worden verwerkt in aanvulling op de verwerking van andere politiegegevens en dat wordt voorzien in een afdoende niveau van beveiliging wordt hieraan invulling gegeven.

De Afdeling advisering van de Raad van State heeft opgemerkt dat de toelichting zoals hiervoor weergegeven er expliciet van uitgaat dat de passende waarborgen in de wet worden vastgelegd. In lijn hiermee is ook de verwerking in aanvulling op andere gegevens als passende waarborg in artikel 5 Wpg opgenomen. Voor zover de regering meent dat andere passende waarborgen (zoals geclausuleerde toegang tot de gegevens en de andere voorbeelden die in lijn met overweging 37 in de toelichting worden genoemd) in de eis van onvermijdelijkheid van de verwerking moeten worden «ingelezen», strookt dat volgens de Afdeling niet met de hiervoor geciteerde passages uit de toelichting. De Afdeling adviseert met het oog op de duidelijkheid van de regeling – het gaat hier immers om de verwerking van bijzondere persoonsgegevens – alle passende waarborgen ook in het wetsvoorstel op te nemen. Naar aanleiding van dit advies wordt opgemerkt dat de regering, anders dan de Afdeling advisering kennelijk veronderstelt, niet meent dat andere passende waarborgen (zoals geclausuleerde toegang tot de gegevens en de andere voorbeelden die in lijn met overweging 37 in de toelichting worden genoemd) in de eis van onvermijdelijkheid van de verwerking moeten worden «ingelezen». De toelichting betreft namelijk een citaat uit overweging 37 van de richtlijn, welke overweging de lidstaten een keuze lijkt te bieden in de passende waarborgen die bij wet worden vastgelegd («Passende waarborgen voor de rechten en vrijheden van de betrokkene kunnen bijvoorbeeld inhouden»). In dat kader is gekozen voor de handhaving van het vereiste dat de verwerking slechts plaatsvindt in aanvulling op de verwerking van andere politiegegevens (art. 5 Wpg). Uit de tekst van artikel 10 van de richtlijn, en de toelichting daarop, kunnen geen verderstrekkende verplichtingen worden afgeleid. Niettemin is de regering bereid om, in het belang van een adequate bescherming van persoonsgegevens, verder te gaan en aanvullend eisen te stellen aan de toegang tot de gegevens. Daarom is het vereiste toegevoegd dat de gegevens afdoende zijn beveiligd. Hiermee wordt gedoeld op de verplichting van de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, met name met betrekking tot de verwerking van de bijzondere categorieën van politiegegevens (artikel 4a, tweede lid, Wpg). Binnen de politie wordt dit betrokken bij het informatiebeveiligingsbeleid. Daarnaast is een uitvoeringskader «Privacy & Security by Design» vastgesteld dat momenteel binnen de politieorganisatie wordt geïmplementeerd.

De richtlijn verplicht ertoe om, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid te maken tussen politiegegevens betreffende verschillende categorieën van betrokkenen, zoals verdachten, slachtoffers en getuigen en veroordeelden. Met dit artikel wordt aan deze verplichting uitvoering gegeven. Uit de formulering blijkt van een zekere marge voor de verwerkingsverantwoordelijk bij de invulling van deze verplichting. In de informatiesystemen van de opsporingsdiensten wordt doorgaans onderscheid gemaakt in de status van personen, al naar gelang het gaat om verdachten, getuigen of slachtoffers. Dit betreft echter geen absoluut onderscheid omdat een verdachte gedurende het opsporingsonderzoek tot getuige kan transformeren en andersom. Doorgaans zal een dergelijke verandering onverwijld in de systemen worden verwerkt.

Het is de Afdeling advisering van de Raad van State opgevallen dat in de voorgestelde artikelen 6b Wpg en 39b, tweede lid, Wjsg verschillende categorieën van personen worden gehanteerd voor de verwerking van respectievelijk politiegegevens en strafvorderlijke gegevens. De reden voor dit onderscheid is volgens de Afdeling niet duidelijk, het gaat immers vaak om dezelfde soort gegevens. Met het oog op duidelijkheid en uniformiteit adviseert de Afdeling in de Wpg en de Wjsg zoveel mogelijk uit te gaan van dezelfde categorieën personen voor wat betreft de verwerking van politiegegevens en de strafvorderlijke gegevens en de eventueel noodzakelijke verschillen in categorieën te motiveren.

In reactie op dit advies wordt opgemerkt dat de categorieën van personen voor politiegegevens en strafvorderlijke gegevens grotendeels gelijk zijn. Met inachtneming daarvan zijn de artikelen 6b Wpg en 39b Wjsg nauwer op elkaar aangesloten.

De verwerkingsverantwoordelijke kan gebruik maken van de diensten van een verwerker, die namens de verantwoordelijke persoonsgegevens verwerkt. De verwerker dient uitsluitend te handelen volgens de instructies van de verantwoordelijke. De verwerker mag geen andere verwerker in dienst nemen zonder de voorafgaande toestemming van de verwerkingsverantwoordelijke. De verwerking door de verwerker moet in een overeenkomst, of een andere rechtshandeling op basis van het Unierecht of het recht van de lidstaten, worden geregeld. In de overeenkomst wordt onder meer vastgelegd dat de verwerker uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt.

De Wpg bevat thans de mogelijkheid van het gebruik van een bewerker, vanwege de overeenkomstige toepassing van de artikelen 14, eerste, tweede, derde en vijfde lid, 49 en 50 van de Wbp (art. 4, zesde lid, Wpg). Mede vanwege het vervallen van de Wbp is de regeling van de richtlijn in een afzonderlijk artikel ondergebracht. De regeling is deels gelijk aan de huidige regels, op basis van de Wbp.

De richtlijn voorziet in een verbod op uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen. Dit verbod geldt echter niet als het betrokken besluit is toegestaan op grond van het recht van de lidstaten en het besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke (art. 11, eerste lid, Rl). Anders dan de Wbp die een soortgelijke bepaling bevat (art. 42, eerste lid, Wbp), kennen de Wpg en de Wjsg tot nu toe een dergelijk verbod niet. Met dit artikel wordt uitvoering gegeven aan het verbod van de richtlijn. De passende waarborgen van de richtlijn omvatten specifieke voorlichting van de betrokkene en het recht op menselijke tussenkomst, met name om zijn standpunt kenbaar te maken, om uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit (overweging 38 Rl). In het licht van de mogelijkheden die door de richtlijn wordt geboden wordt voorgesteld te voorzien in de verplichting de betrokkene in staat te stellen te verzoeken om menselijke tussenkomst van de verantwoordelijke en te voorzien in specifieke voorlichting aan de betrokkene, zodat de betrokkene in staat wordt gesteld zijn standpunt kenbaar te maken of uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit.

De Afdeling advisering heeft erop gewezen dat de wijze waarop het recht van de betrokkene op menselijke tussenkomst – om zijn standpunt kenbaar te maken, uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en eventueel op te kunnen komen tegen het besluit – wordt vormgegeven niet is uitgewerkt. De Afdeling adviseert in de toelichting te expliciteren op welke wijze het recht op menselijke tussenkomst nader wordt vormgegeven en het wetsvoorstel zo nodig aan te passen. Naar aanleiding van dit advies is in dit lid expliciet de verplichting van de verwerkingsverantwoordelijke vastgelegd om te voorzien in voorafgaande menselijke tussenkomst. Voorzover dit besluit wordt aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht, kan de betrokkene de rechtsbescherming inroepen die op basis van die wet geldt en kan de betrokkene zich tevens tot de Autoriteit persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verwerkingsverantwoordelijke.

De richtlijn geeft waarborgen voor de bescherming van persoonsgegevens, die van toepassing zijn in het geval dat persoonsgegevens tussen de lidstaten onderling worden uitgewisseld. De richtlijn bevat geen zelfstandige bevoegdheden of verplichtingen voor de uitwisseling van persoonsgegevens tussen de lidstaten. Dit is bij de implementatie van het voormalige kaderbesluit dataprotectie reeds aan de orde gekomen (Kamerstukken II, 2010/11, 32 554, nr. 3, blz. 2). In afzonderlijke rechtsinstrumenten kunnen afspraken worden opgenomen over de gevallen waarin, en de voorwaarden waaronder, persoonsgegevens door de bevoegde autoriteiten van de lidstaten onderling ter beschikking gesteld kunnen worden of ter beschikking gesteld moeten worden. Het Verdrag van Lissabon, dat op 1 december 2009 in werking is getreden, biedt het Europees Parlement en de Raad de mogelijkheid om maatregelen, verordeningen of voorschriften vast te stellen voor de uitwisseling van gegevens door de lidstaten. Deze Unierechtelijke verplichtingen zijn uitgewerkt in het Bpg.

De richtlijn biedt de mogelijkheid om specifieke voorwaarden te stellen aan de verwerking van politiegegevens. In dat geval stelt de verstrekkende bevoegde autoriteit de ontvanger in kennis van die voorwaarden en van de noodzaak tot eerbiediging ervan (art. 9, derde lid, Rl). De voorwaarden kunnen bijvoorbeeld voorzien in een verbod om de persoonsgegevens aan anderen door te zenden, of deze voor andere doeleinden te gebruiken dan die waarvoor zij aan de ontvanger werden doorgezonden of de betrokkene zonder de voorafgaande instemming van de doorzendende autoriteit niet in kennis te stellen ingeval van een beperking van het recht op informatie (overweging 36 Rl). Wanneer de voorwaarden worden toegepast op andere lidstaten of EU-organen mogen die voorwaarden niet afwijken van de voorwaarden voor vergelijkbare doorzendingen van gegevens binnen de lidstaat (art. 9, derde lid, Rl). Het voormalige kaderbesluit dataprotectie kende een soortgelijke mogelijkheid (art. 12 Kb dataprotectie), die thans is opgenomen in het Bpg (art. 5:3, zevende lid, Bpg). Deze beperking laat specifieke voorzieningen, opgenomen in een rechtsinstrument op grond van het verdrag betreffende de werking van de Europese Unie, onverlet. Hiervoor kan worden gewezen op Kaderbesluit 2006/960/JBZ van de Raad van 18 december 200618, dat specifieke gronden bevat voor bevoegde rechtshandhavingsautoriteit om de verstrekking van informatie of inlichtingen aan een andere lidstaat te weigeren (art. 10 Kb 2006/960/JBZ). Deze gronden zijn opgenomen in het Besluit politiegegevens (art. 5:3, tweede lid, Bpg).

De verwijzing naar de buitengewone opsporingsambtenaren, in het huidige onderdeel a, komt te vervallen omdat de gegevensverwerking door de boa’s onder de reikwijdte van de Wpg valt. De verstrekking van politiegegevens aan een boa wordt dan geregeld door artikel 15.

Voorgesteld wordt in onderdeel c, onder punt 1, een verwijzing op te nemen naar artikel 14 van de Wet op de bijzondere opsporingsdiensten. Dit betreft het herstel van een omissie. De opneming van de verwijzing naar de regelgeving die van toepassing is op de aanstelling of arbeidsovereenkomst van de bijzondere opsporingsambtenaar, onder punt 2, houdt verband met de verruiming van de reikwijdte van de Wpg.

Thans is in dit artikel voorzien in de mogelijkheid van verstrekking van politiegegevens aan de verwerkingsverantwoordelijken in de BES. In het systeem van de richtlijn gelden de BES als derde land. In het licht hiervan wordt voorgesteld de regeling voor de doorgifte van politiegegevens aan derde landen in de plaats te doen komen van die over de verstrekking van politiegegevens aan de BES. De doorgifte van politiegegevens aan de BES kan dan plaatsvinden binnen de kaders van deze regeling.

Wanneer persoonsgegevens worden doorgegeven aan derde landen of internationale organisaties, mag dit niet ten koste gaan van het beschermingsniveau voor natuurlijke personen waarin door de richtlijn wordt voorzien (overweging 64 Rl). Uitgangspunt is dat politiegegevens kunnen worden doorgegeven aan een verwerkingsverantwoordelijke in een derde land of in een internationale organisatie die belast met de uitvoering van de richtlijntaken, als de Commissie heeft besloten dat het derde land of de internationale organisatie een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking verzekert (art. 35, eerste lid, onder d, en 36, eerste lid, Rl). Dit betreft een zogenaamd adequaatheidsbesluit. Een soortgelijke regeling is opgenomen in de huidige Wbp (art. 76/78 Wbp), op basis van de voormalige Privacyrichtlijn, en ook terug te vinden in de verordening (art. 45 Avg). Bij de beoordeling of het beschermingsniveau adequaat is houdt de Commissie met name rekening met (1) de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, (2) het bestaan en het effectief functioneren van een toezichthoudende autoriteit in het derde land en (3) de internationale verbintenissen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens, die het derde land heeft aangegaan (art. 36, tweede lid, Rl). Bij de boordeling van het beschermingsniveau dient de Commissie overleg te plegen met het Comité voor gegevensbescherming, dat is opgericht op basis van de verordening gegevensbescherming. Tevens wordt rekening gehouden met de adequaatheidsbesluiten die overeenkomstig die verordening zijn vastgesteld (overweging 68 Rl). De beslissing van de Commissie wordt gepubliceerd en periodiek getoetst (art. 36, derde en achtste lid, Rl). Als niet langer aan de vereisten wordt voldaan wordt het besluit ingetrokken, gewijzigd of geschorst (art. 36, vijfde lid, Rl).

Als de doorgifte politiegegevens betreft die oorspronkelijk van een andere lidstaat afkomstig zijn, is voorafgaande toestemming van die lidstaat vereist voor de verdere doorgifte, ook als sprake is van een adequaat beschermingsniveau (overweging 66 Rl). Daarbij kunnen specifieke voorwaarden worden gesteld aan de verdere doorgifte (overweging 65 Rl). Dit vereiste van toestemming geldt echter niet wanneer de doorgifte noodzakelijk is met het oog op de voorkoming van een onmiddellijk en ernstig gevaar voor de openbare veiligheid.

De uitwisseling van persoonsgegevens met derde landen vindt in beginsel plaats met de medewerking van de bevoegde autoriteiten van die landen, soms zelfs zonder internationale overeenkomst. In bepaalde omstandigheden kan het echter noodzakelijk zijn om persoonsgegevens rechtstreeks aan een ontvanger, gevestigd in een derde land, te verstrekken zonder de voorafgaande tussenkomst van een bevoegde autoriteit. Dit kan aan de orde zijn als de ontvanger over gegevens beschikt die van groot belang zijn voor het opsporingsonderzoek of voor de strafvervolging, en het doorlopen van een rechtshulpprocedure tijdrovend is of omdat de autoriteit in het derde land de internationale mensenrechtennormen en -regels niet eerbiedigt (overweging 73 Rl). De richtlijn maakt een dergelijke rechtstreekse doorgifte onder voorwaarden mogelijk (art. 39, eerste lid, Rl). In dit lid is vastgelegd dat in afzonderlijke en specifieke gevallen politiegegevens rechtstreeks kunnen worden doorgegeven aan een ontvanger in een derde land, indien dit strikt noodzakelijk is voor de uitvoering van de richtlijntaken en tevens is voldaan aan enkele nadere voorwaarden. Bij de rechtstreekse doorgifte van politiegegevens in afzonderlijke en specifieke gevallen aan een ontvanger in een derde land dienen de bilaterale of multilaterale overeenkomsten tussen lidstaten en derde landen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking te worden gerespecteerd. De bepalingen van de richtlijn gelden dan in aanvulling op de regels van die overeenkomsten, met name de bepalingen betreffende de rechtmatigheid van de verwerking en de bepalingen van hoofdstuk V van de richtlijn (overweging 73 Rl).

De in dit lid opgesomde voorwaarden zijn cumulatief, zodat rechtstreekse doorgifte aan een ontvanger is toegestaan als aan alle voorwaarden is voldaan. In onderdeel a is de voorwaarde opgenomen dat de doorgifte noodzakelijk dient te zijn ter uitvoering van een voorgeschreven taak die binnen de doeleinden van de richtlijn valt. Bij de doorgifte van politiegegevens kan hierbij worden gedacht aan de uitvoering van politietaken, bedoeld in de artikelen 3 en 4, eerste lid van de Politiewet 2012. De voorwaarde in onderdeel b vereist dat een afweging wordt gemaakt tussen het belang van betrokkene op bescherming van grondrechten en fundamentele vrijheid en het openbaar belang dat doorgifte in het specifieke geval noodzakelijk maakt. Dit zal telkens een beoordeling in het afzonderlijke geval vereisen. Uiteraard dient er gegronde reden te zijn om, met voorbijgaan van de autoriteit die in het derde land bevoegd, politiegegevens door te geven. Uit onderdeel c volgt dat dit uitsluitend mogelijk is als de tussenkomst van die autoriteit naar het oordeel van de verstrekkende autoriteit ondoeltreffend of ongeschikt is. Deze beide criteria dienen te worden toegepast in het licht van de hiervoor aangehaalde overweging uit de richtlijn. Op grond van onderdeel d geldt in beginsel de verplichting de in het derde land bevoegde autoriteit over de doorgifte te informeren, tenzij dit ondoeltreffend of ongeschikt is. Indien bijvoorbeeld een derde land internationale regels inzake mensenrechten schendt, kan onder omstandigheden de enkele bekendheid bij een bevoegde autoriteit in dat derde land over rechtstreekse doorgifte van politiegegevens aan een ontvanger reeds voldoende zijn om de identiteit van de ontvanger te achterhalen. Het is ongeschikt informatie over de doorgifte te verstrekken indien dit een risico vormt. Onderdeel e bevat een verplichting die verband houdt met de doelbinding door de ontvanger bij de verwerking van politiegegevens.

De richtlijn kent aan de betrokkene het recht toe om van de verantwoordelijke uitsluitsel te verkrijgen over de al dan niet verwerking van de hem betreffende persoonsgegevens, die gegevens in te zien en bepaalde informatie te krijgen, zoals de doelen en de rechtsgrond van de verwerking, de betrokken categorieën van politiegegevens en de voorziene periode van opslag. De Wpg kent thans een soortgelijk recht voor de betrokkene. Om aan dit recht te voldoen volstaat het dat aan de betrokkene in begrijpelijk vorm een volledig overzicht van die gegevens wordt verstrekt, dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van deze gegevens en na te gaan of deze juist zijn en overeenkomstig de richtlijn worden verwerkt, zodat hij in voorkomend geval de hem uit hoofde van de richtlijn toegekende rechten kan uitoefenen (overweging 43 Rl). Wanneer die mededelingen informatie behelzen over de oorsprong van de persoonsgegevens, mag die informatie de identiteit van natuurlijke personen, met name van vertrouwelijke bronnen, niet onthullen (overweging 43 Rl). De tekst van de betreffende bepaling in de richtlijn geeft aanleiding tot redactionele aanpassing van dit lid (art. 14, eerste lid, Rl). Daarmee blijft de periode waarover informatie wordt verstrekt over in het verleden gedane verstrekkingen van de betrokkene betreffende politiegegevens en over de ontvangers of categorieën van ontvangers daarvan, evenals nu het geval is gehandhaafd op vier jaar voorafgaande aan een verzoek. Deze in onderdeel c van dit lid ongewijzigd gebleven termijn van vier jaar is vastgesteld naar aanleiding van het arrest van het Hof van Justitie van de Europese Gemeenschappen van 7 mei 2009 (C-553/07 (Rijkeboer). In dat arrest ging het om de verstrekking van persoonsgegevens door gemeenten op grond van de Wet gemeentelijke basisadministratie persoonsgegevens (Wet GBA) (zie voor de inhoud van het arrest en de vaststelling van de termijn in de wet op vier jaar: Kamerstukken II 2010/11, 32 554, nr. 3, blz. 38 en 39, en nr. 6, blz. 32 en 33). Vanwege de reactietermijn voor de verwerkingsverantwoordelijke is het vereiste van schriftelijkheid gehandhaafd. De verantwoordelijke dient binnen zes weken uitsluitsel te geven, deze termijn wordt eveneens gehandhaafd.

De Afdeling advisering van de Raad van State heeft geconstateerd dat er een onderscheid is tussen de justitiële en de strafvorderlijke gegevens waar het gaat om de termijn voor inzage en rectificatie van de gegevens, namelijk 4 en 6 weken met de mogelijkheid van verlenging. Op het punt van de termijnen bestaat eveneens een onderscheid met betrekking tot de politiegegevens: op grond van het voorgestelde artikel 25 Wpg is de termijn zes weken met de mogelijkheid van verlenging voor vier tot zes weken. De toelichting gaat op deze verschillen niet in. De Afdeling adviseert dit alsnog te doen, dan wel uniforme termijnen te hanteren.

Naar aanleiding van het advies van de Afdeling advisering kan worden opgemerkt dat de verantwoordelijke is gehouden een ieder op diens schriftelijke verzoek binnen zes weken mede te delen of, en zo ja welke, deze persoon betreffende politiegegevens verwerking ondergaan. De verantwoordelijke kan zijn beslissing voor ten hoogste vier weken verdagen, dan wel voor ten hoogste zes weken indien blijkt dat bij verschillende regionale of landelijke eenheden van de politie politiegegevens over de verzoeker worden verwerkt (art. 25, eerste lid, Wpg). Destijds is gekozen voor een reactietermijn van zes weken – in plaats van de termijn van vier weken van de Wbp- in verband met de behoefte aan coördinatie van de – in soms meer algemene bewoordingen gestelde – verzoeken aan de politie. In het licht van het voormalige politiebestel betrof dit zowel de situatie dat een verzoek om kennisneming werd gericht aan meerdere regiokorpsen als de situatie dat een verzoek betrekking had op informatie die afkomstig is van een ander korps dan aan welk het verzoek tot kennisneming is gericht. Inmiddels is het politiebestel veranderd. De structuur van de regionale eenheden, als onderdeel van het landelijk politiekorps, is echter gehandhaafd. Voorts is, bij verzoeken om kennisneming die ook aan het openbaar ministerie zijn gericht, afstemming met het openbaar ministerie aan de orde. Teneinde de politie in staat te stellen om naar aanleiding van een verzoek om kennisneming na te gaan of informatie vanuit meerdere korpsen moet komen en, indien dat het geval is, om het antwoord op het verzoek om kennisneming tussen de korpsen onderling en eventueel ook met het openbaar ministerie te kunnen afstemmen, is destijds gekozen voor een termijn van zes weken voor het reageren op een verzoek tot kennisneming, die kan worden verlengd met maximaal zes weken (Kamerstukken II 2005/06, 30 327, nr. 3, blz. 84). Verderop, bij de toelichting op de artikelen 39i en 39j Wjsg (Artikel II, onderdelen AI en AJ) zal worden ingegaan op de reactietermijn bij een verzoek om inzage van justitiële en strafvorderlijke gegevens.

Het recht op inzage en het recht op rectificatie zijn geen absolute rechten. Deze rechten kunnen worden beperkt vanwege zwaarder wegende belangen, zoals het belang van het opsporingsonderzoek of van de strafvervolging. Daarbij dient het belang van de betrokkene op inzage te worden afgewogen tegen het belang van de overheid om inzage of rectificatie te weigeren. Met de criteria van noodzakelijkheid en evenredigheid wordt dit tot uitdrukking gebracht. De richtlijn kent verschillende gronden voor de beperking van het recht op inzage of rectificatie (art. 15, eerste lid, en 16, vierde lid, Rl). Deze gronden zijn in dit lid opgenomen. Hieraan is toegevoegd de mogelijkheid om inzage of rectificatie te weigeren ingeval van kennelijk ongegronde of buitensporige verzoeken van de betrokkene. In een dergelijk geval biedt de richtlijn de mogelijkheid te weigeren om gevolg te geven aan het verzoek (art. 12, vierde lid, Rl). Dit is bij de toelichting op artikel 24a, derde lid, aan de orde gekomen.

Als inzage of rectificatie wordt geweigerd staat de betrokkene de mogelijkheid open van een verzoek tot bemiddeling aan de AP (art. 29, tweede lid) of indiening van een klacht bij de AP (art. 31a, eerste lid). De weigering geldt als een besluit in de zin van de Awb zodat voor de betrokkene tevens beroep open staat bij de bestuursrechter (art. 29 eerste lid).

In de richtlijn is voorgeschreven dat betrokkene, onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, het recht heeft een klacht in te dienen bij de toezichthoudende autoriteit, als de betrokkene van mening is dat de verwerking van de hem betreffende persoonsgegevens inbreuk maakt op de krachtens deze richtlijn vastgestelde bepalingen (art. 52 Rl). In dit lid is dit recht van de betrokkene vastgelegd.

De richtlijn schrijft voor dat de betrokkene ook het recht dient hebben op een doeltreffende voorziening in rechte wanneer de toezichthoudende autoriteit de klacht niet behandelt of de betrokkene niet binnen drie maanden van de voortgang of het resultaat van de klacht in kennis stelt (art. 53, tweede lid, Rl). Zoals ook in de memorie van toelichting bij de Uitvoeringswet Avg is aangegeven, kent het begrip klacht onder de Awb een eigen betekenis. De klacht heeft daar betrekking op de wijze waarop een bestuursorgaan zich in een bepaalde aangelegenheid jegens hem of een ander heeft gedragen, en de klacht wordt ingediend bij het bestuursorgaan zelf. De klacht als bedoeld in de verordening en de richtlijn wijkt in verschillende opzichten hiervan af. De richtlijn spreekt over het indienen van een klacht bij de toezichthoudende autoriteit over de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke. Het gaat hier niet zozeer om bejegening, maar om de rechtmatigheid van de verwerking. Naar voor het algemene bestuursrecht gebruikelijke terminologie gaat het hier niet om een klacht, maar om een verzoek tot handhaving aan de AP. Betrokkene vraagt immers bij de AP aandacht voor een verwerking van zijn persoonsgegevens, die mogelijk niet conform de regels ter implementatie van de richtlijn plaatsvindt. Waar in dit artikel wordt gesproken over klacht, gaat het hier in de terminologie van de Awb derhalve over een verzoek tot handhaving. De schriftelijke reactie van de AP dient dan ook te worden beschouwd als een besluit in de zin van de Awb, waartegen rechtsbescherming open staat langs de gebruikelijke bestuursrechtelijke weg. Dit is in het vijfde lid vastgelegd.

De wet kent thans een zogenaamde protocolplicht, dat wil zeggen dat bepaalde gegevensverwerkingen schriftelijk vastgelegd moeten worden. Anders dan de registerplicht, heeft de protocolplicht betrekking op afzonderlijke verwerkingsactiviteiten in een specifiek geval. De richtlijn schrijft documentatie, dat wil zeggen schriftelijke vastlegging, voor van bepaalde verwerkingsactiviteiten. Het begrip «schriftelijk» heeft betrekking op de vastlegging door middel van schrifttekens, hieronder valt ook de vastlegging in elektronische vorm.

De verplichtingen van de richtlijn vormen aanleiding tot aanpassing c.q. aanvulling van dit lid. De verplichting tot vastlegging van de gegevens die op grond van het bepaalde bij of krachtens artikel 13, vierde lid, worden vastgelegd, in onderdeel b van dit lid, is geschrapt omdat deze verplichting aldaar reeds is geregeld. De vastlegging van de toekenning van de autorisaties wordt overgeheveld naar het voorgestelde artikel 31, omdat deze geen betrekking heeft op afzonderlijke verwerkingsactiviteiten in een specifiek geval. De vastlegging van de geautomatiseerde vergelijking of het in combinatie met elkaar verwerken van politiegegevens is geschrapt omdat deze vastlegging reeds onder de verplichting tot het langs elektronische weg vastleggen van gegevens valt (logging), op grond van het voorgestelde artikel 32a.

Voorgesteld wordt de vastlegging van de verstrekking van politiegegevens op grond van paragraaf 3, thans in onderdeel f, te verplaatsen naar onderdeel b. De vastlegging omvat de doorgifte van politiegegevens, bedoeld in artikel 17, zesde lid, onderdeel b, en zevende lid, en de rechtstreekse doorgifte, bedoeld in artikel 17, achtste lid.

Toegevoegd zijn de onderdelen c en d. Dit betreft de redenen voor weigering van het recht op inzage en de feiten, gevolgen en genomen maatregelen rond datalekken (art. 15, derde lid, en 30, vijfde lid).

De logging betreft het geautomatiseerd vastleggen van gegevens over de verwerking van persoonsgegevens. De richtlijn bevat een verplichting voor de verwerkingsverantwoordelijke om logbestanden bij te houden van ten minste de volgende activiteiten in systemen voor geautomatiseerde verwerking: de verzameling, wijziging, raadpleging, verstrekking onder meer in de vorm van doorgiften, combinatie en het vernietigen van politiegegevens. In dit lid is deze verplichting vastgelegd. De identificatie van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, dient te worden geregistreerd en op basis daarvan moeten de redenen voor de verwerkingsactiviteiten kunnen worden vastgesteld (overweging 57 Rl). Aldus maken de logbestanden van raadpleging en bekendmakingen het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens. De richtlijn gegevensbescherming opsporing en vervolging bevat geen bewaartermijn voor de logging, gelet op het doel van de gegevensverwerking is de verordening gegevensbescherming op die gegevens van toepassing.

De loggingplicht omvat de schriftelijke vastlegging van bepaalde gegevens, op basis van de protocolplicht in het huidige artikel 32. Aldus vallen de in dit artikel vastgelegde verplichtingen tot vastlegging van de geautomatiseerde vergelijking of het in combinatie met elkaar verwerken van politiegegevens (eerste lid, onderdeel d), de hernieuwde verwerking van politiegegevens (eerste lid, onderdeel e), verwerkingen ten aanzien waarvan aanwijzingen bestaan dat zij onbevoegd of onrechtmatig zijn verricht (eerste lid, onderdeel g) en de geautomatiseerde vergelijking van gegevens (eerste lid, onderdeel h) onder de voorgestelde loggingplicht.

De logging betreft een geautomatiseerd proces, dat doorgaans standaard is ingebouwd in het informatiesysteem. Niettemin voorziet de richtlijn in een langere implementatietermijn voor de loggingplicht. Dit is in het algemeen deel van deze memorie aan de orde gekomen.

De verwerkingsverantwoordelijke dient de bewaartermijn voor de gelogde gegevens vast te stellen in overeenstemming met de verordening gegevensbescherming. Het ligt in de rede de bewaartermijn te koppelen aan de periodieke privacy audits (art. 33 Wpg). Voor deze audits geldt een termijn van vier jaar (art. 6:5, eerste lid, Bpg).

In het vijfde lid wordt voorzien in de verplichting voor de verantwoordelijke om een inbreuk op de beveiliging mede te delen aan de betrokkene. Deze verplichting is van toepassing als de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich brengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de punten, bedoeld in het tweede lid, onderdelen b, c en d.

In het zesde lid is geregeld dat de verplichting tot melding van een datalek aan de betrokkene in bepaalde omstandigheden niet van toepassing is. Dit is het geval als passende technische en organisatorische beschermingsmaatregelen zijn getroffen en deze maatregelen zijn toegepast op de betreffende politiegegevens, zoals het gebruik van encryptie. Dit is eveneens het geval als achteraf maatregelen zijn getroffen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen, zoals het op afstand wissen van de gelekte gegevens. Dit is tenslotte het geval als de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijke maatregel ter informering van de betrokkenen.

In bepaalde omstandigheden kan melding van een datalalek aan de betrokkene worden uitgesteld. Dit betreft de gevallen waarin een weigeringsgrond voor het recht van de betrokkene op inzage of rectificatie aan de orde is. Deze gronden zijn opgenomen in artikel 27, eerste lid.

Vanwege het vervallen van de Wbp wordt voor enkele taakbestanddelen van de AP verwezen naar de Uitvoeringswet Avg. Dit betreft in de eerste plaats de regeling omtrent het advies van de AP over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens. Dit is thans geregeld door middel van verwijzing naar in art. 52, tweede lid, Wbp. Dit betreft in de tweede plaats de regeling van het toezicht op de naleving door de leden en buitengewone leden van het College, de ambtenaren van het secretariaat van het College, alsmede de bij besluit van het College aangewezen personen. Dit is thans geregeld door middel van verwijzing naar artikel 61 Wbp.

De bevoegdheid van de AP tot het opleggen van een last onder bestuursdwang, thans geregeld door middel van verwijzing naar artikel 65 Wbp, wordt in artikel 35b geregeld. In dat artikel worden alle bevoegdheden van de AP samengebracht.

De richtlijn verplicht te voorzien in effectieve onderzoeksbevoegdheden, effectieve bevoegdheden tot het treffen van corrigerende maatregelen, zoals het waarschuwen van de verwerkingsverantwoordelijke, het gelasten de verwerking in overeenstemming te brengen met de richtlijn of het opleggen van een verwerkingsverbod, en effectieve adviesbevoegdheden (art. 47, eerste en tweede lid, Rl).

De AP kan de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde.

De AP kan een last onder bestuursdwang opleggen ter handhaving van het bij of krachtens deze wet bepaalde. Deze bevoegdheid is thans geregeld doordat artikel 65 Wbp van overeenkomstige toepassing is.

De AP kan een bestuurlijke boete opleggen als de verwerkingsverantwoordelijke handelt in strijd met de verplichting tot de schriftelijke vastlegging rond de verwerking van politiegegevens. Deze bevoegdheid is thans vastgelegd in artikel 35, derde lid. Naar aanleiding van het advies van de AP is voorgesteld om de bevoegdheid van de AP tot het opleggen van een bestuurlijke boete te verruimen tot de melding van datalekken en het maximum boetebedrag met het oog op de afschrikkende werking te verhogen van de vierde tot de vijfde boetecategorie van artikel 23, vierde lid, Sr.

De Afdeling advisering heeft erop gewezen dat aansluiting bij de huidige regeling op basis van de Wpg en de Wjsg tot gevolg heeft dat de voorgestelde bestuurlijke boetes voor politie en justitie sterk afwijken van overtreding van soms dezelfde normen door andere overheidsorganen en instanties op grond van de verordening. Voorts is het gevolg dat voor tal van normen waarvoor op grond van de verordening een boete kan worden opgelegd een bestuurlijke boete op grond van de Wpg en de Wjsg niet mogelijk zal zijn. In het bijzonder is de vraag hoe deze verschillen zich verhouden tot het standpunt van de regering dat het bieden van de mogelijkheid tot het opleggen van boetes bij de inbreuk op de overheid het belangrijke signaal afgeeft dat ook de overheid zelf zich heeft te houden aan de verplichtingen van het gegevensbeschermingsrecht en hierin niet anders wordt behandeld dan het bedrijfsleven (Kamerstukken II 2017/18, 34 851, nr. 3, blz. 100–101). Gelet oog het voorgaande adviseert de Afdeling in de toelichting nader in te gaan op de discrepantie tussen de regeling van de bestuurlijke boete in de verordening en die in het voorstel.

Naar aanleiding van dit advies wordt het volgende opgemerkt. De regeling van de bevoegdheden van de toezichthoudende autoriteit op basis van de verordening wijkt af van die van de richtlijn. Voor wat betreft de hoogte van de op te leggen bestuurlijke boetes voorziet de verordening in een regeling op grond waarvan inbreuken op de een aantal bepalingen is onderworpen aan administratieve geldboeten tot tien miljoen euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is (art. 83, vierde lid, Avg). Inbreuken op andere bepalingen zijn onderworpen aan administratieve geldboeten tot twintig miljoen euro of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is (art. 83, vijfde lid, Avg). De maximale bedragen van respectievelijk tien en twintig miljoen euro bieden de mogelijkheid om effectief op te treden als ondernemingen aanzienlijk geldelijk voordeel hebben behaald vanwege het niet naleven van de verplichtingen van de verordening. Voor overheidsorganen, en het openbaar ministerie en de opsporingsinstanties in het bijzonder, is dit echter minder aan de orde omdat de bedrijfsvoering niet is gericht op het behalen van profijt of winst. Hier komt bij dat een bestuurlijke boete voor politie en justitie ten koste gaat van de begroting van deze instanties, zodat een bestuurlijke boete van een maximale hoogte als in de verordening voorzien, serieuze gevolgen zal hebben voor de dienstverlening van deze organen. In de praktijk zal dit kunnen betekenen dat bezuinigd zal moeten worden op personeel en materieel, bijvoorbeeld op de inzet van agenten of de verbetering van de ICT-structuur, hetgeen ten koste zal gaan van de veiligheid in de samenleving. Daarbij is niemand gebaat. Uiteraard dient ook de overheid zich te houden aan de verplichtingen van het gegevensbeschermingsrecht, en hierin niet anders te worden behandeld dan het bedrijfsleven, maar dit neemt niet weg dat daarbij rekening wordt gehouden met de aard en omstandigheden van de gegevensverwerking met het oog op de opsporing en vervolging van strafbare feiten evenals het feit dat er thans – anders dan onder de Wet bescherming persoonsgegevens – op basis van de Wpg en de Wjsg een zeer beperkte bevoegdheid voor de AP is om een bestuurlijke boete op te leggen.

Dit klemt temeer daar de naleving van de privacywetgeving door de politie thans nog niet volledig op orde is. Het treffen van organisatorische en technische maatregelen, zoals aanpassing in de ICT-voorzieningen, is van essentieel belang voor de naleving van de normen op het gebied van de gegevensbescherming. De korpschef heeft hiertoe een meerjarig verbeterplan opgesteld waarover uw kamer bij brief is geïnformeerd (Kamerstukken II, 2015/16, 33 842, nr. 4). Er is sprake van een ontwikkeltraject, waarbij wordt gestreefd naar de volledige naleving van de bepalingen van de Wpg op termijn. In het licht van dit traject ligt het in de rede om thans niet volledig aan te sluiten bij de lijst van overtredingen, zoals door de AP voorgesteld. Daarbij moet ook worden opgemerkt dat de niet naleving van sommige voorschriften reeds is gesanctioneerd met de mogelijkheid van een bestuursrechtelijke boete, zoals de verplichting tot medewerking met de toezichthoudende autoriteit (artikel 5:20 Awb). In afwachting van de herziening van de Wpg en de Wjsg verdient het de voorkeur een voorlopige balans te vinden waarbij enerzijds wordt voorzien in afschrikwekkende en effectieve sancties en anderzijds rekening wordt gehouden met de draagkracht van de betreffende organen en de mogelijkheid om op korte termijn te voldoen aan de soms tamelijk complexe normen van de richtlijn.

Gelet op het voorgaande wordt voorgesteld langs de volgende lijn te komen tot aanpassing van de regeling voor het opleggen van een bestuurlijke boete. Voor wat betreft de hoogte van de bestuurlijke boete kan worden aangesloten bij de tweedeling van de verordening, met dien verstande dat de maximale bedragen naar beneden worden bijgesteld. Voor de hoogte van de bestuurlijke boetes verdient het de voorkeur de aansluiting bij de boetecategorieën van artikel 23 van het Wetboek van Strafrecht te handhaven. Dit is in overeenstemming met het uitgangspunt van de Boetewijzer voor het bepalen van de maximumboete in wetgeving en het streven van het kabinet naar meer eenheid in de hoogte van geldboetes op het terrein van het straf- en bestuursrecht en het zoveel mogelijk voorkomen van ongerechtvaardigde, niet verklaarbare verschillen (Kamerstukken II 2012/13, 33 400 VI, nr. 80). Aldus kan voor de minder zware overtredingen van de bepalingen van de richtlijn worden gekozen voor de mogelijkheid van een bestuurlijke boete van ten hoogste de vijfde categorie van artikel 23, eerste lid, Sr (€ 83.000.–) en voor de zwaardere overtredingen de mogelijkheid van een bestuurlijke boete van ten hoogste de zesde categorie van artikel 23, eerste lid, Sr (€ 830.000.–).

Voor wat betreft de gevallen waarin een bestuurlijke boete kan worden opgelegd kan worden uitgegaan van twee categorieën van normschendingen die vanuit het oogpunt van adequate gegevensbescherming in aanmerking komen voor sanctionering door middel van een bestuurlijke boete, te weten die welke betrekking hebben op de verplichtingen van de verwerkingsverantwoordelijke en die welke betrekking hebben op de rechten van de betrokkene. De eerstgenoemde categorie betreft de voorschriften van de richtlijn met betrekking tot de gegevensbescherming door ontwerp en door standaardinstellingen (art. 20 Rl), de verwerking van gevoelige persoonsgegevens (art. 10 Rl), de verwerker (art. 22 Rl), het register van verwerkingsactiviteiten (art. 24 Rl), de beveiliging van de verwerking (art. 29 Rl), de melding van inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en mededeling aan de betrokkene (art. 30 en 31 Rl), de gegevensbeschermingseffectbeoordeling (art. 27 Rl), de voorafgaande raadpleging (art. 28 Rl) en de functionaris voor gegevensbescherming (art. 32–34 Rl). De tweede categorie betreft de voorschriften van de richtlijn met betrekking tot de transparante informatie (art. 12 Rl), de verstrekking van informatie aan de betrokkene (art. 13 Rl), het recht op inzage van de betrokkene (art. 14 Rl), het recht op rectificatie of wissing en op beperking van de verwerking en de kennisgeving daarvan aan de ontvangers (art. 16 Rl) en de geautomatiseerde individuele besluitvorming (art. 11 Rl).

Op basis van deze benadering wordt een regeling voorgesteld als volgt:

• a. een bestuurlijke boete van ten hoogste de vijfde categorie van artikel 23, eerste lid, Sr (€ 83.000.–) kan worden opgelegd voor de overtreding van de artikelen 4a, eerste tot en met vijfde lid (gegevensbescherming door beveiliging en ontwerp), 4b (gegevensbescherming door standaardinstellingen), 4c (gegevensbeschermingseffectbeoordeling), 6c (verwerker), 31d (register van de verwerkingsactiviteiten, 32 (documentatie), 33a (melding inbreuk in verband met persoonsgegevens aan AP en mededeling aan de betrokkene), 33b (Voorafgaande raadpleging) en 36 (functionaris voor gegevensbescherming).

• b. een bestuurlijke boete van ten hoogste de zesde categorie van artikel 23, eerste lid, Sr (€ 830.000.–) kan worden opgelegd voor de overtreding van de artikelen 5 (verwerking gevoelige persoonsgegevens), 7a, (geautomatiseerde besluitvorming), 24a (transparante informatie), 24b (te verstrekken informatie aan betrokkene), 25 (recht van inzage) en 28 (recht van rectificatie).

Verder is de AP bevoegd tot het verstrekken van een advies aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande consultatie. Hiervoor kan worden verwezen naar de toelichting op het voorgestelde artikel 33b.

Ten slotte kan de AP de verwerkingsverantwoordelijke verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene. Dit is aan de orde als de verwerkingsverantwoordelijke die inbreuk nog niet aan de betrokkene heeft meegedeeld en de kans bestaat dat deze een hoog risico met zich meebrengt (art. 31, vierde lid Rl).

De verwerkingsverantwoordelijke wijst een functionaris voor gegevensbescherming aan die hem bijstaat bij het interne toezicht op de naleving van het bij of krachtens deze wet bepaalde. Anders dan onder de huidige wet is het benoemen van een functionaris voor gegevensbescherming niet meer facultatief. De functionaris voor gegevensbescherming dient in staat te zijn taken en verplichtingen onafhankelijk en in overeenstemming met het nationale recht uit te voeren (overweging 63 Rl). Deze functionaris heeft derhalve, anders dan de privacyfunctionaris, een meer onafhankelijke positie ten opzichte van de verwerkingsverantwoordelijke. In lijn met de richtlijn (art. 32, derde lid, Rl) kan voor verschillende bevoegde autoriteiten, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen. De functionaris voor gegevensbescherming wordt tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wet- en regelgeving en de praktijk inzake de gegevensbescherming en zijn vermogen om de hem opgedragen taken uit te voeren. De aangewezen persoon kan zijn taken in deeltijd uitoefenen, tevens kunnen verschillende verantwoordelijken samen een functionaris voor gegevensbescherming benoemen (overweging 63 Rl).

In dit lid zijn de taken van de functionaris voor gegevensbescherming opgenomen. Dit is allereerst het toezicht op de naleving van het bij of krachtens de wet bepaalde door de verwerkingsverantwoordelijke. Dit toezicht ziet ook op de toewijzing van de autorisaties, de bewustmaking en opleiding van de ambtenaren van politie die zijn betrokken bij de verwerking van politiegegevens en de audits. Hierbij werkt de functionaris voor gegevensbescherming samen met de AP en treedt de functionaris op als contactpunt voor de AP voor aangelegenheden in verband met de verwerking van persoonsgegevens.

De functionaris is niet alleen belast met toezicht op de naleving van het bij of krachtens de wet bepaalde maar heeft ook taken op het gebied van de advisering van de verantwoordelijke en de werknemers die persoonsgegevens verwerken over de nakoming van hun verplichtingen inzake gegevensbescherming (overweging 63 Rl).

In onderdeel a wordt verwezen naar artikel 4, zesde lid, van de wet. Vanwege het voorstel om dit lid te schrappen behoeft de verwijzing aanpassing. Voorgesteld wordt om onderdeel a te schrappen, en de inhoud van dit lid op te nemen in een nieuw derde lid.

In onderdeel g, voorheen onderdeel h, wordt de opsomming van de artikelen, waarin wordt verwezen naar het College bescherming persoonsgegevens, thans de AP, aangepast. Toegevoegd worden de artikelen 17a, tweede lid, onder b, 25, eerste lid, 29, tweede lid, 32, tweede lid en 33, tweede lid. De verwijzing naar artikel 34, vierde lid is niet meer correct vanwege de schrapping van dat artikel. Voorgesteld wordt de inhoud van dat lid over te hevelen naar het vijfde lid, zodat de verplichting tot aanmelding van de privacyfunctionaris bij de toezichthoudende autoriteit voor de BES van toepassing blijft.

In het algemeen deel van deze memorie is reeds aan de orde gekomen dat de richtlijn en de verordening gegevensbescherming niet van toepassing zijn op de BES. In het systeem van de richtlijn gelden de BES als derde land. Implementatie van de voorschriften van de richtlijn werkt echter door op de regels voor de BES. Om te voorkomen dat een aantal bepalingen van toepassing is die voor de BES minder goed werkbaar zijn, wordt voorgesteld die bepalingen uit te zonderen van paragraaf 5a van de wet. Dit betreft de volgende bepalingen:

Artikel 4, derde lid, betreft de verplichting om, voor zover mogelijk, politiegegevens die op feiten zijn gebaseerd te onderscheiden van politiegegevens die op een persoonlijk oordeel zijn gebaseerd. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

De artikelen 4a en 4b regelen de gegevensbescherming door ontwerp en door standaardinstellingen. Deze artikelen worden uitgezonderd omdat de oorspronkelijke verplichting tot beveiliging van de gegevens, die thans is opgenomen in artikel 3, vierde lid, voor de BES wordt gehandhaafd.

Artikel 4c regelt de verplichting tot het opstellen van een gegevensbeschermingseffectbeoordeling. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 6b betreft de verplichting om, voor zover mogelijk, onderscheid te maken tussen verschillende categorieën van betrokkenen. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 6c regelt de positie van de verwerker. Voor de BES is reeds voorzien in de regeling van de positie van de verwerker, vanwege het van overeenkomstige toepassing zijn van artikel 14 van de Wet bescherming persoonsgegevens BES. Hiervoor wordt verwezen naar de toelichting op het vierde lid.

Artikel 7a bevat het verbod op een besluit dat is uitsluitend op geautomatiseerde verwerking is gebaseerd. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 15a regelt de verplichting tot het ter beschikking stellen van politiegegevens aan andere bevoegde autoriteiten in andere lidstaten van de Europese Unie. Dit artikel wordt uitgezonderd omdat de BES geen lidstaat zijn van de Europese Unie.

Artikel 24a bevat procedurele voorschriften rond de verstrekking van informatie aan de betrokkene. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 24b betreft de meer actieve verplichting tot het verstrekken van bepaalde informatie over de gegevensverwerking aan de betrokkene. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 31a regelt de mogelijkheid om een klacht in te dienen bij de AP. Voor de BES betreft dit de Commissie van toezicht bescherming persoonsgegevens BES, waar de betrokkene dan een klacht kan indienen als hij van mening is dat de verwerking van persoonsgegevens niet in overeenstemming is met het bij of krachtens deze wet bepaalde.

Artikel 31b betreft de verplichting een schriftelijk register bij te houden dat de in dat artikel aangewezen gegevens bevat. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 32 regelt de documentatie van bepaalde gegevens met betrekking tot de verwerking van politiegegevens. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 32a bevat de verplicht tot de geautomatiseerde vastlegging (logging) van bepaalde gegevens met betrekking tot de gegevensverwerking. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 33a regelt de verplichting tot melding van datalekken. Deze verplichting wordt uitgezonderd omdat deze thans niet geldt voor de BES.

Artikel 33b regelt de verplichting tot het voorafgaand consulteren van de AP. Deze verplichting is thans opgenomen in artikel 35. Deze bepaling is reeds uitgezonderd omdat het (voormalige) College bescherming persoonsgegevens geen taken krijgt in de BES. Het toezicht door de Commissie van toezicht bescherming persoonsgegevens BES wordt geregeld in artikel 36g. Vanwege dezelfde reden wordt voorgesteld ook de artikelen 35a en 36a, die de taken en bevoegdheden van de AP regelen, uit te zonderen.

Artikel 35c betreft de vertrouwelijke melding van inbreuken op de richtlijn. Deze bepaling uitgezonderd omdat de richtlijn niet geldt voor de BES.

Artikel 35d betreft de samenwerking met toezichthoudende autoriteiten in andere lidstaten. Deze bepaling is eveneens uitgezonderd omdat de richtlijn niet geldt voor de BES.

De bijzondere opsporingsdiensten zijn onder meer belast met de strafrechtelijke handhaving van de rechtsorde op de beleidsterreinen waarvoor de Minister van Financiën, de Minister van Infrastructuur en Milieu, de Minister van Economische Zaken en de Minister van Sociale Zaken en Werkgelegenheid verantwoordelijkheid dragen, en de opsporing van strafbare feiten die zijn geconstateerd in het kader van die taak (art. 3 Wet op de bijzondere opsporingsdiensten). De bijzondere opsporingsdiensten zijn dus niet belast met de uitvoering van de politietaak maar met een deel daarvan, namelijk de strafrechtelijke handhaving van de rechtsorde op een specifiek beleidsterrein. In dit lid is bepaald dat de artikelen 10, eerste lid, onder a, en 12 van de Wpg van overeenkomstige toepassing zijn op de verwerking van politiegegevens door een ambtenaar, werkzaam bij een bijzondere opsporingsdienst. Bij algemene maatregel van bestuur kunnen ook andere onderdelen van het bij of krachtens deze wet bepaalde van overeenkomstige toepassing worden verklaard op de verwerking van persoonsgegevens door een ambtenaar, werkzaam bij een bijzondere opsporingsdienst. Inmiddels is dit uitgewerkt in het Besluit politiegegevens bijzondere opsporingsdiensten. Daarmee is de Wpg materieel van toepassing op de gegevensverwerking van de bijzondere opsporingsdiensten voor de taken, bedoeld in artikel 3 van de Wet op de bijzondere opsporingsdiensten.

De implementatie van de richtlijn geeft aanleiding tot aanpassing van de bestaande bepalingen van de Wpg en tot invoeging van nieuwe bepalingen van die wet. Dit heeft gevolgen voor de van overeenkomstige toepassing van bepalingen van de Wpg op de gegevensverwerking door de bijzondere opsporingsdiensten. Daartoe zal het Besluit politiegegevens bijzondere opsporingsdiensten worden aangepast, zodat ook de gegevensverwerking door de ambtenaren, werkzaam bij de bijzondere opsporingsdiensten volledig voldoet aan hetgeen in de richtlijn is voorgeschreven.

Tevens wordt voorgesteld dit lid aan te vullen vanwege de verwerking van politiegegevens door de buitengewoon opsporingsambtenaren, bedoeld in artikel 142, eerste lid, Sv. De buitengewoon opsporingsambtenaren zijn, evenmin als de bijzondere opsporingsdiensten, belast met de uitvoering van de politietaak maar met een deel daarvan, namelijk de opsporing van bepaalde aangewezen categorieën van strafbare feiten. De opsporingsbevoegdheid van deze opsporingsambtenaren strekt zich uit tot de in de akte of aanwijzing aangeduide strafbare feiten, de akte of aanwijzing kan bepalen dat de opsporingsbevoegdheid alle strafbare feiten omvat (art. 142, tweede lid, Sv). De voorgestelde aanpassing van dit lid voorziet er in dat Onze Ministers en Onze Minister wie het mede aangaat bij algemene maatregel van bestuur andere onderdelen van het bij of krachtens deze wet bepaalde van overeenkomstige toepassing verklaren op de verwerking van persoonsgegevens door een buitengewoon opsporingsambtenaar. Daartoe zal ook het Besluit politiegegevens bijzondere opsporingsdiensten worden aangepast. In dit besluit zal de verwerkingsverantwoordelijke worden aangewezen voor de verwerking van politiegegevens door een buitengewoon opsporingsambtenaar; dit is de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar. In dit besluit zal ook de van overeenkomstige toepassing van onderdelen van de Wpg op de verwerking van politiegegevens door een buitengewone opsporingsambtenaar, als bedoeld in artikel 142, eerste lid, Sv, worden uitgewerkt. Daarbij zal worden voorzien in specifieke regels voor de verstrekking van politiegegevens over de naleving of uitvoering van wetgeving op een bepaald beleidsterrein, die een buitengewoon opsporingsambtenaar worden verwerkt, ten behoeve van het toezicht op de naleving van wetgeving op dat beleidsterrein.

In artikel 15 is voorzien in een verplichting voor de verwerkingsverantwoordelijke om politiegegevens beschikbaar te stellen aan zowel de personen die onder zijn beheer vallen als de personen die onder het beheer van een andere verantwoordelijke vallen en die zijn geautoriseerd voor de verwerking van politiegegevens, voor zover zij die gegevens behoeven voor de uitvoering van hun taak. Dit principe van de beschikbaarstelling van gegevens binnen de politie wordt ook wel aangeduid als de «free flow of information». Dit principe was oorspronkelijk bedoeld voor de uitwisseling van gegevens tussen de voormalige regionale politiekorpsen. Dit betreft de opsporingsambtenaren, bedoeld onder artikel 141, onderdelen b en c, Sv. Inmiddels is de verwerking van politiegegevens door de opsporingsambtenaren, werkzaam bij de bijzondere opsporingsdiensten, onder de reikwijdte van de Wpg gebracht. Dit betreft de opsporingsambtenaren, bedoeld in artikel 141, onderdeel d, Sv. Aldus is dit beginsel van toepassing op de uitwisseling van politiegegevens tussen de politie, de Koninklijke marechaussee en de bijzondere opsporingsdiensten.

De richtlijn strekt ertoe de verwerking van politiegegevens door opsporingsambtenaren met het oog op de richtlijntaken onder de reikwijdte van de Wpg te brengen, ook die door de buitengewone opsporingsambtenaren. Dit betekent dat het principe van de «free flow of information» ook voor deze opsporingsambtenaren zal gaan gelden, met dien verstande dat de «free flow» dan is beperkt tot de persoonsgegevens die worden verwerkt op grond van de artikelen van de wet die van toepassing zijn op die opsporingsambtenaren en voor zover niet is voorzien in aanvullende gronden tot het weigeren of beperken van de ter beschikkingstelling van politiegegevens, op grond van artikel 15, tweede lid, van de wet.

Op de verwerking van persoonsgegevens inzake de tenuitvoerlegging van straffen is de richtlijn van toepassing (art. 2, eerste lid, juncto art. 1, eerste lid, Rl). Met de introductie van het begrip tenuitvoerleggingsgegevens kunnen voorschriften uit de richtlijn ook voor deze gegevens in dit wetsvoorstel worden geïmplementeerd. Persoonsgegevens die worden gebruikt voor de tenuitvoerlegging van strafrechtelijke beslissingen kunnen vrijheidsbenemende of beperkende straffen en maatregelen inhouden, alsook geldstraffen in de vorm van een strafbeschikking. Persoonsgegevens die op vrijheidsbenemende straffen en maatregelen betrekking hebben zijn in regelgeving nader omschreven, zoals in het besluit Penitentiaire maatregel, de Beginselenwet verpleging ter beschikking gestelden en de Beginselenwet justitiële jeugdinrichtingen. Uit deze specifieke wet- en regelgeving volgt welke persoonsgegevens voor de tenuitvoerlegging van de daarin bedoelde straffen en maatregelen worden gebruikt. Geen tenuitvoerleggingsgegevens zijn persoonsgegevens die worden gebruikt voor de tenuitvoerlegging van een andere dan een strafrechtelijke beslissing, zoals voor de inning van een opgelegde bestuurlijke boete. Evenals bij justitiële en strafvorderlijke gegevens omvatten tenuitvoerleggingsgegevens gegevens die op een rechtspersoon betrekking hebben.

In het kader van het toepassingsgebied van de richtlijn gegevensbescherming opsporing en vervolging verdient de verwerking van persoonsgegevens door het Centraal Justitieel Incassobureau (hierna: CJIB) specifieke aandacht. Het CJIB is een agentschap dat ressorteert onder de Minister van Justitie en Veiligheid en dat is belast met de ondersteuning van het openbaar ministerie bij de tenuitvoerlegging van opgelegde sancties, waaronder de inning van geldbedragen (art. 2 Instellingsbesluit CJIB). Daarnaast is het CJIB in opdracht van andere bestuursorganen betrokken bij de inning van opgelegde geldsancties. Thans valt de verwerking van persoonsgegevens door het CJIB ten behoeve van de afdoening van overtredingen van de Wet administratiefrechtelijke handhaving verkeersvoorschriften onder het regime van de Wet bescherming persoonsgegevens. Ditzelfde geldt voor de strafrechtelijke afdoening van overtredingen waarvoor boa’s bevoegd zijn. De verwerking van persoonsgegevens rond de administratiefrechtelijke afdoening valt onder de reikwijdte van de verordening, de gegevensverwerking rond de strafrechtelijke afdoening valt onder de reikwijdte van de richtlijn. Voor de gegevensverwerking rond de strafrechtelijke afdoening wordt het regime van de Wbp dus vervangen door dat van de Wjsg. De verwerking van persoonsgegevens door het CJIB ter ondersteuning van het openbaar ministerie in de fase van de tenuitvoerlegging gaat onder het regime van de Wjsg vallen. Deze gegevensverwerking valt onder de reikwijdte van de richtlijn. Thans valt de verwerking van persoonsgegevens ten behoeve van andere bestuursorganen onder het regime van de Wbp. Dit regime wordt vervangen door dat van de verordening.

Er zijn verschillende verwerkingsverantwoordelijken die persoonsgegevens verwerken waarop de richtlijn van toepassing is. In dit onderdeel zijn de verwerkingsverantwoordelijken voor achtereenvolgens justitiële gegevens, strafvorderlijke gegevens, persoonsdossiers, tenuitvoerleggingsgegevens en gerechtelijke strafgegevens benoemd. Daarmee wordt duidelijk wie voor welke gegevens verwerkingsverantwoordelijke is.

Voor wat betreft de verwerking van tenuitvoerleggingsgegevens berust thans op grond van de Beginselenwetten de verantwoordelijkheid voor de verwerking van tenuitvoerleggingsgegevens inzake vrijheidsstraffen en vrijheidsbenemende maatregelen bij de Minister van Justitie en Veiligheid. Voor andere sancties, zoals taakstraffen en strafbeschikkingen, berust de verantwoordelijkheid op grond van het Wetboek van Strafvordering bij het College procureurs-generaal. Deze verdeling in de verantwoordelijkheid voor de gegevensverwerking wijzigt indien de Wet herziening tenuitvoerlegging strafrechtelijke beslissingen in werking treedt. Het wetsvoorstel voorziet in samenloop, bij de toelichting op artikel V wordt hierop nader in gegaan.

Voor de verwerking van gerechtelijke strafgegevens zijn de organen die met rechtspraak zijn belast verwerkingsverantwoordelijke. Dit sluit aan bij de huidige praktijk waarin deze organen als verantwoordelijke voor de verwerking van persoonsgegevens bepaalde systemen bij de AP hebben aangemeld, zoals die in het kader van de procesvoering van strafzaken en het gerechtelijk vooronderzoek. Daarnaast is een ontwikkeling waarin de feitelijke zorg en het beheer voor de systemen waarin gerechtelijke strafgegevens worden verwerkt bij de Raad voor de rechtspraak berust. De Raad voor de rechtspraak is op grond van artikel 91 van de Wet op de rechterlijke organisatie verantwoordelijk voor ondersteuning van de bedrijfsvoering van de gerechten, in het bijzonder gericht op automatisering en bestuurlijke informatievoorziening. De Raad voor de rechtspraak is eigenaar van een eigen ICT-bedrijf spir-it dat de ontwikkeling en het beheer van de digitale systemen van de rechtspraak uitvoert. Er is sprake van een centraal systeem met een centrale gegevensopslag, in tegenstelling tot situaties waarbij een gerecht over eigen databases en gegevenssystemen beschikt.

De Raad draagt zorg voor een zorgvuldige gegevensverwerking door onder meer de ontwikkeling van privacykaders. Daarnaast voldoet de Raad aan de informatieplicht jegens de betrokkene in de zin van thans nog de Wbp en geeft hij informatie over de wijze waarop deze betrokkene haar rechten kan uitoefenen, onder meer door informatieverschaffing via de website van de rechtspraak. De ontwikkeling van digitale systemen vindt plaats in samenspraak met de gerechtsbesturen. Ieder gerechtsbestuur moet persoonsgegevens in een zaaksdossier kunnen aanmaken en bijwerken dat bij dat betreffende gerecht aanhangig is. Door middel van interne afspraken tussen de Raad voor de rechtspraak en de gerechtsbesturen wordt recht gedaan aan de onderlinge verdeling van verantwoordelijkheden ten aanzien van de nakoming van de verplichtingen uit de richtlijn.

Deze onderdelen bevatten definities over de begrippen verwerker en verwerking. Degene die onder het rechtstreeks gezag van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, is geen verwerker (art. 23 Rl). Mandatering voor de verwerking van persoonsgegevens binnen bestuursrechtelijke gezagsverhoudingen, blijft daarmee mogelijk. Een voorbeeld hiervan betreft het CJIB. Het CJIB is een agentschap dat ressorteert onder de Minister van Justitie en Veiligheid, en dat is belast met de ondersteuning van het openbaar ministerie bij de tenuitvoerlegging van opgelegde sancties, waaronder de inning van geldbedragen (art. 2 Instellingsbesluit CJIB). Het CJIB is hiervoor gemandateerd. Op de mandaatverlener rust de verplichting de toepasselijke voorschriften inzake bescherming van persoonsgegevens na te komen voor de verwerkingen die aan het CJIB zijn gemandateerd. Dit is thans nog het College van procureurs-generaal. Daarnaast int het CJIB, in opdracht van andere bestuursorganen, opgelegde geldsancties. Hierbij fungeert het CJIB als verwerker, onder het regime van de verordening.

In de richtlijn worden in de definitie van het begrip verwerking (art. 3, onder 2, Rl) de woorden «wissen of vernietigen» gebezigd. In de richtlijn wordt verder uitsluitend het woord «wissen» gebruikt. Bij de implementatie is er voor gekozen telkens het woord «vernietigen» te gebruiken daar waar de richtlijn verwijst naar «wissen». Dit sluit beter aan bij het Nederlandse taalgebruik; gegevens op papier kunnen worden vernietigd maar niet gewist.

Met de vastlegging en termijn van bewaring van verstrekkingen als bedoeld in het eerste lid, wordt gedoeld op verstrekkingen van justitiële gegevens aan andere personen, organen en instanties die op grond van afdeling 2 van de Wjsg zijn toegestaan. De voorgestelde wijziging verwijst naar de juiste afdeling waarin dit wordt geregeld.

Een verzoek tot inzage van in het verleden gedane verstrekkingen is thans onderwerp van artikel 19, tweede lid, van de Wet justitiële en strafvorderlijke gegevens. Dit is in het voorstel onderwerp van artikel 18, eerste lid, onderdeel c, zodat het tweede lid hier vervalt.

Met het toezicht op de verwerking van justitiële gegevens overeenkomstig het bij en krachtens deze wet bepaalde is de AP belast. Dit volgt uit het eerste lid. Vanwege het vervallen van de Wet bescherming persoonsgegevens wordt hierbij verwezen naar de Uitvoeringswet Avg. Voorts wordt vanwege het vervallen van de Wbp in het tweede lid voor enkele taakbestanddelen van de AP verwezen naar de Uitvoeringswet Avg. Voor een toelichting op deze leden wordt verwezen naar de toelichting op artikel 35, eerste en tweede lid, van de Wpg.

Paragraaf 5 van de Wpg heeft betrekking op controle en toezicht op de verwerking van politiegegevens. De in die paragraaf voorgestelde artikelen over toezicht zijn, waar passend, in het derde lid van overeenkomstige toepassing verklaard op de verwerking van justitiële gegevens. Het betreft achtereenvolgens de artikelen die betrekking hebben op de positie en toezichtstaken van de AP en de samenwerking met toezichthoudende autoriteiten in andere lidstaten van de Europese Unie. Voor een toelichting hierop wordt verwezen naar de toelichting op de artikelen 35a, 35b en 35d van de Wpg. Het vierde, vijfde en zevende lid bepalen de bevoegdheden waarover de AP beschikt, die in de toelichting op artikel 35c van de Wpg nader worden toegelicht. Die bevoegdheden strekken zich daarmee ook uit tot voorschriften in de Wjsg die op de verwerking van justitiële gegevens betrekking hebben, met dien verstande dat:

• a. een bestuurlijke boete van ten hoogste de vijfde categorie (€ 83.000.–) kan worden opgelegd voor de overtreding van de artikelen 7 (gegevensbescherming door beveiliging en ontwerp), 7a (gegevensbescherming door standaardinstellingen), 7b, (gegevensbeschermingseffectbeoordeling), 7d (verwerker), 26c (register van de verwerkingsactiviteiten), 26g (melding inbreuk in verband met persoonsgegevens aan toezichthoudende autoriteit en de betrokkene), 26h (voorafgaande raadpleging) en 26f (functionaris voor gegevensbescherming).

• b. een bestuurlijke boete van ten hoogste de zesde categorie (€ 830.000.–) kan worden opgelegd voor de overtreding van de artikelen 24, eerste lid (kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens), 7e (geautomatiseerde besluitvorming), 17a en 17b (transparante informatie en te verstrekken informatie aan betrokkene), 18 (recht van inzage), 22 (recht van rectificatie).

De verplichting in de richtlijn om, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid te maken tussen gegevens betreffende verschillende categorieën van betrokkenen strekt zich ook uit tot de verwerking van strafvorderlijke gegevens. Strafvorderlijke gegevens hebben betrekking op het strafrechtelijk onderzoek waardoor meerdere personen vanuit een verschillende status bij dat onderzoek betrokken kunnen zijn, zoals die van verdachte, getuige of slachtoffer. In het voorgestelde artikel is hiermee rekening gehouden. Anders dan bij justitiële gegevens zullen strafvorderlijke gegevens zich over het algemeen niet richten op veroordeelden, zodat dit niet als afzonderlijke categorie wordt genoemd. Er bestaat een zekere marge voor de verwerkingsverantwoordelijke bij de invulling van deze verplichting.

Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is de tekst van het tweede lid nauwer aangesloten bij die van artikel 6b Wpg. Voor de toelichting wordt verwezen naar de toelichting op laatstgenoemd artikel (artikel I, onderdeel H).

In het eerste lid worden verscheidene artikelen die betrekking hebben op de verwerking van justitiële gegevens van overeenkomstige toepassing verklaard op strafvorderlijke gegevens. De aanpassing in het tweede lid strekt tot implementatie van artikel 4, eerste lid, onder a en c, van de richtlijn, waarin is bepaald dat lidstaten voorschrijven dat persoonsgegevens rechtmatig en eerlijk worden verwerkt, en toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt, zijn.

Van de verwerking van strafvorderlijke gegevens kunnen ook bijzondere persoonsgegevens, onder de huidige wet aangeduid als gevoelige persoonsgegevens, deel uitmaken. Dit is bij een eerdere wijziging van de Wjsg toegelicht (Kamerstukken II 2010/11, 32 554, nr. 3, blz. 15). Er is toen aangegeven dat het voorstelbaar is dat in het kader van een strafzaak persoonsgegevens worden verwerkt over iemands geloof of over iemands seksuele leven, hetgeen aan de hand van enkele voorbeelden werd verduidelijkt. Daarop werd geconcludeerd dat, anders dan voor justitiële gegevens, verwerking van deze bijzondere persoonsgegevens bij strafvorderlijke gegevens en persoonsdossiers aan de orde kan zijn en werd voorzien in het huidige artikel 39c. Gelet hierop wordt voorgesteld de voorschriften in de richtlijn die op de verwerking van bijzondere persoonsgegevens betrekking hebben voor strafvorderlijke gegevens in het derde tot en met vijfde lid van dit artikel te implementeren. Voor een toelichting hierop wordt volstaan met verwijzing naar de toelichting op de voorgestelde wijziging van artikel 5 van de Wpg. Bij het treffen van passende en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, dient met name ook rekening te worden gehouden met de verwerking van deze bijzondere persoonsgegevens.

Op een verzoek tot inzage door betrokkene betreffende strafvorderlijke gegevens dient het College procureurs-generaal binnen zes weken uitsluitsel te geven, met de mogelijkheid van verdaging van vier weken. Deze termijnen komen overeen met die in de huidige wet. Een verzoek kan zich ook uitstrekken tot het verkrijgen van inlichtingen over de verstrekking van strafvorderlijke gegevens betreffende de betrokkene gedurende een periode van vier jaar voorafgaande aan het verzoek en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt. Hierover dient binnen vier weken uitsluitsel te worden gegeven. Ook deze termijn is dezelfde als die in de huidige wet, zodat die eveneens ongewijzigd is gebleven. Het desbetreffende voorschrift wordt in aangepaste vorm onderdeel van het voorgestelde nieuwe artikel 39i, eerste lid en vervalt in het huidige artikel 39j, tweede lid. Voor een verdere toelichting wordt verwezen naar de toelichting op artikel 25 van de Wpg.

De Afdeling advisering van de Raad van State heeft geconstateerd dat er een onderscheid is tussen de justitiële en de strafvorderlijke gegevens waar het gaat om de termijn voor inzage en rectificatie van de gegevens, namelijk vier en zes weken met de mogelijkheid van verlenging. Hoewel deze verschillende termijnen ook in de bestaande Wjsg voorkomen, is niet duidelijk waarom dit onderscheid noodzakelijk is. Op het punt van de termijnen bestaat eveneens een onderscheid met betrekking tot de politiegegevens: op grond van het voorgestelde artikel 25 Wpg is de termijn zes weken met de mogelijkheid van verlenging voor vier tot zes weken. De toelichting gaat op deze verschillen niet in. De Afdeling adviseert dit alsnog te doen, dan wel uniforme termijnen te hanteren.

Naar aanleiding van het advies van de Afdeling advisering kan worden opgemerkt dat hierboven, bij de toelichting op artikel 25 Wpg (Artikel I, onderdeel AB) is ingegaan op de redenen voor een reactietermijn van zes weken bij een verzoek tot inzage van politiegegevens. Voor justitiële gegevens kan een verzoek tot inzage worden gericht aan de Minister van Justitie en Veiligheid (art. 18 Wjsg). De noodzaak van coördinatie tussen de verschillende eenheden, die aanleiding vormde voor de verlenging van de reactietermijn voor een verzoek tot inzage van politiegegevens, doet zich daarbij echter niet voor omdat het verzoek tot inzage wordt afgehandeld door Just-ID. Bij strafvorderlijke gegevens ligt dit echter anders. Destijds is, bij de implementatie van het voormalige kaderbesluit dataprotectie, voorgesteld de reactietermijn van vier weken voor een verzoek om inzage van strafvorderlijke gegevens te verlengen tot zes weken omdat ook bij strafvorderlijke gegevens behoefte bestaat aan een langere reactietermijn. Daarbij kunnen verschillende parketten zijn betrokken. In de memorie van toelichting is aangegeven dat bij omvangrijke strafzaken veel gegevens gecontroleerd zullen moeten worden. Daarnaast kan het nodig zijn de voorgenomen beslissing af te stemmen met de betrokken politiekorpsen omdat de betreffende gegevens niet alleen in het kader van de strafzaak zijn verwerkt maar tevens in het kader van het opsporingsonderzoek van de politie (Kamerstukken II, 2010/11, 32 554, nr. 3, blz. 45). Daarbij is gekozen voor de mogelijkheid de beslissing te verdagen voor ten hoogste vier weken.

Ondanks dat destijds is aangegeven dat de reactietermijn hiermee in overeenstemming wordt gebracht met die voor de kennisneming van politiegegevens, is dit niet volledig het geval. Als blijkt dat bij verschillende eenheden van de politie gegevens over de verzoeker worden verwerkt kan de beslissing voor ten hoogste zes weken worden verdaagd (art. 25, eerste lid, Wpg). Dit kan bij strafvorderlijke gegevens ook aan de orde zijn, als bij verschillende parketten strafvorderlijke gegevens over de verzoeker worden verwerkt. Om de termijnen van de Wpg en de Wjsg op dit punt volledig met elkaar in overeenstemming te brengen wordt voorgesteld de reactietermijn voor dat geval te verlengen tot maximaal zes weken, overeenkomstig de Wpg.

In de richtlijn is bepaald dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt met betrekking tot de opvolging van zijn verzoek (art. 12, derde lid. Rl). Het eerste lid strekt tot implementatie daarvan door te bepalen dat degene die verzoekt om inzage of rectificatie, schriftelijk in kennis wordt gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de AP. Dit moet ten opzichte van andere schriftelijke kennisgevingen als een voorschrift van meer procedurele aard worden gezien.

Het huidige wetsartikel bepaalt dat een mededeling op verzoek van een persoon inhoudende of, en zo ja, welke hem betreffende strafvorderlijke gegevens verwerking ondergaan achterwege blijft, indien dit noodzakelijk is op een van de in dat artikel genoemde gronden. Ditzelfde geldt voor mededelingen over de verstrekkingen en ontvangers daarvan, waarnaar in datzelfde artikel wordt verwezen. Uit de artikelen 15, eerste lid, en 16, vierde lid, van de richtlijn volgt dat de afwijzing van een verzoek, indien dit een noodzakelijke en evenredige maatregel is op een of meer van de aldaar genoemde gronden, zowel van toepassing is op een verzoek tot inzage als een verzoek tot rectificatie. Het tweede lid strekt tot implementatie hiervan. Indien een verzoek betrekking heeft op het verkrijgen van overige voor betrokkene relevante informatie, zoals over de doelen en de rechtsgrond van de verwerking, de betrokken categorie van de gegevens, de voorziene periode van opslag, en over verscheidene andere zaken (zie daarvoor onderdelen a tot en met g van artikel 39i, eerste lid), kan een afwijzing daarop eveneens betrekking hebben. Ook voor afwijzing hiervan dient een noodzakelijke en evenredige maatregel aanwezig te zijn op een of meer van de gronden waarnaar het tweede lid verwijst. Die in de richtlijn genoemde gronden tot afwijzing zijn vermijding van belemmering van de gerechtelijke onderzoeken of procedures, nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, bescherming van de openbare veiligheid, bescherming van de rechten en vrijheden van derden en bescherming van de nationale veiligheid. Hieraan is toegevoegd de mogelijkheid om inzage of rectificatie te weigeren ingeval van kennelijk ongegronde of buitensporige verzoeken van de betrokkene (zie voor de toevoeging van deze laatste grond: art. 12, vierde lid, Rl). Het derde lid betreft implementatie van de meer specifieke verplichting om de betrokkene schriftelijk in kennis te stellen van de weigering tot inzage (art. 15, derde lid, Rl).

Voor een toelichting op de inhoud van verscheidene artikelen die van overeenkomstige toepassing worden verklaard, wordt voor het eerste lid verwezen naar de toelichting op de in dat lid aangehaalde artikelen, voor het tweede lid naar de toelichting op de artikelen 35a, 35b en 35d, van de Wpg en voor het vierde tot en met zevende lid naar de toelichting op artikel 35c van die wet, met dien verstande dat:

• a. een bestuurlijke boete van ten hoogste de vijfde categorie (€ 83.000.–) kan worden opgelegd voor de overtreding van de artikelen 7 (gegevensbescherming door beveiliging en ontwerp), 7a (gegevensbescherming door standaardinstellingen), 7b, (gegevensbeschermingseffectbeoordeling), 7d (verwerker), 26c (register van de verwerkingsactiviteiten), 26g (melding inbreuk in verband met persoonsgegevens aan toezichthoudende autoriteit en de betrokkene), 26h (voorafgaande raadpleging) en 26f (functionaris voor gegevensbescherming).

• b. een bestuurlijke boete van ten hoogste de zesde categorie (€ 830.000.–) kan worden opgelegd voor de overtreding van de artikelen 24, eerste lid (kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens), 7e (geautomatiseerde besluitvorming), 17a en 17b (transparante informatie en te verstrekken informatie aan betrokkene), 18 (recht van inzage), 22 (recht van rectificatie).

Een deel van de (voorgestelde) voorschriften die van toepassing is op de verwerking van justitiële gegevens, is in het voorgestelde artikel van overeenkomstige toepassing op tenuitvoerleggingsgegevens. Dit betreft voorschriften inzake de juistheid en kwaliteit van gegevens, evenredigheid van en de doeleinden waarvoor verwerking mogelijk is (art. 3), de verplichting tot het treffen van passende en technische organisatorische maatregelen (art. 7), ontwerp en gegevensbescherming door standaardinstellingen (art. 7a), de gevallen waarin een effectbeoordeling dient te worden uitgevoerd (art. 7b), de inschakeling van een verwerker (artikel 7d), geautomatiseerde besluiten (art. 7e), schadevergoeding (art. 7f), verstrekking van gegevens aan lidstaten en aan derde landen (art. 16a en 16b), de verplichting tot actieve informatieverstrekking (art. 17a en 17b), identiteitsvaststelling van een verzoeker (art. 20), het recht op rectificatie van gegevens en de gronden tot afwijzing van een verzoek hierop (art. 22 en 21), de aanmerking als een besluit in de zin van de Awb en de mogelijkheid tot bemiddeling door de AP (art. 23), verbeterde of anderszins aangepaste gegevens in verband met andere instanties die over deze gegevens beschikken (art. 24), de kosteloze verstrekking van gegevens of vergoeding bij kennelijk ongegronde of buitensporige verzoeken (art. 25) en verwerking van bijzondere persoonsgegevens (art. 39c, tweede tot en met vijfde lid).

Het tweede lid beperkt de overeenkomstige toepassing van de voorschriften over het recht op inzage voor een betrokkene. Het recht op inzage, zoals dat in dit wetsvoorstel is geregeld voor justitiële gegevens, is niet van overeenkomstige toepassing indien het recht op kennisneming van gegevens die op de tenuitvoerlegging betrekking hebben bij of krachtens een andere wet specifiek is geregeld. De Beginselenwet verpleging ter beschikking gestelden bevat bijvoorbeeld voorschriften inzake kennisneming gericht op de betrokkene, die verpleegde is (art. 20). Deze voorschriften blijven onverkort van toepassing.

De richtlijn vereist dat er passende termijnen voor het wissen van persoonsgegevens worden vastgesteld. De in het eerste lid voorgestelde termijnen komen overeen met de termijnen die voor vernietiging van justitiële gegevens gelden en waarbinnen een onderscheid wordt gemaakt tussen misdrijven en overtredingen. De voorgestelde termijnen zijn niet van toepassing op tenuitvoerleggingsgegevens voor vrijheidsbenemende straffen of maatregelen. Hiervoor zijn in andere regelgeving specifieke bewaartermijnen met daarop volgende vernietiging vastgesteld die onverkort van toepassing blijven, zoals voor het penitentiaire dossier en inrichtingsdossier.

Het voorgestelde tweede en derde lid hebben betrekking op de verstrekking van tenuitvoerleggingsgegevens door de verwerkingsverantwoordelijke. Verstrekkingen in het kader van de tenuitvoerlegging worden veelal overeenkomstig de Wet bescherming persoonsgegevens met een beroep op de goede vervulling van een publiekrechtelijke taak verstrekt. Dit voorstel voorziet in een op deze gegevens toegespitst verstrekkingenregime dat in de plaats komt van het algemene verstrekkingenregime van de Wet bescherming persoonsgegevens. Verstrekkingen zijn in het voorstel uitsluitend mogelijk, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang dat moet voldoen aan een van de in het tweede lid limitatief opgesomde doeleinden. Hierbij kan worden gedacht aan de verstrekking van persoonsgegevens van een gedetineerde met het oog op schuldhulpverlening of reclassering, aan de verstrekking van die gegevens met het oog op een besluit door het UWV, een verstrekking met het oog op controle van een woonadres in de basisregistratie voor personen, of een verstrekking aan het slachtofferloket. Het derde lid stelt aan de toelaatbaarheid van verstrekking aanvullende eisen.

In het eerste lid worden verscheidene artikelen van overeenkomstige toepassing verklaard op gerechtelijke strafgegevens. Deze artikelen hebben achtereenvolgens betrekking op het recht van betrokkene een klacht in te dienen bij de AP, de verplichtingen betreffende schriftelijke vastlegging, het door de verwerkingsverantwoordelijke of de verwerker raadplegen van de AP over voorgenomen verwerkingen, het toezicht door de AP op de verwerking van justitiële gegevens overeenkomstig het bij en krachtens deze wet en enkele taakbestanddelen en de verwerking van bijzondere persoonsgegevens. In het tweede lid worden artikelen, waar passend, van overeenkomstige toepassing verklaard uit paragraaf 5 van de Wpg. Het betreft achtereenvolgens de artikelen die betrekking hebben op het door de verwerkingsverantwoordelijke bijhouden van een schriftelijk register, de logging van bepaalde gegevens, de melding van datalekken, de positie en toezichtstaken van de AP en de samenwerking met toezichthoudende autoriteiten in andere lidstaten van de Europese Unie. Voor een toelichting hierop wordt verwezen naar de toelichting op de artikelen 31d, 32a, 33a, en 35a, 35b en 35d van de Wpg. Het derde tot en met vijfde lid bepalen de bevoegdheden waarover de AP beschikt, die in de toelichting op artikel 35c van de Wpg nader worden toegelicht. Voor de toelichting op de hoogte van de bestuurlijke boetes en de betreffende artikelen wordt verwezen naar de toelichting op artikel 39r.

Hoewel de richtlijn ook van toepassing is op de activiteiten van nationale gerechten en andere rechterlijke autoriteiten, dient de competentie van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun rechterlijke taken, teneinde de onafhankelijkheid van rechters bij de uitvoering van die taken te vrijwaren. De vrijstelling dient beperkt te blijven tot gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het lidstatelijke recht verrichten (overweging 80 Rl). Dit is in artikel 45, tweede lid, van de richtlijn vastgelegd, waarbij in de Nederlandstalige versie van de richtlijn abusievelijk in de zin «Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit belast is met het toezicht op verwerking door gerechten in het kader van hun gerechtelijke taken» het woord «niet» is weggevallen na de woorden «toezichthoudende autoriteit». Uit anderstalige versies van de richtlijn blijkt eenduidig dat dit een kennelijke vergissing betreft. In overeenstemming met de richtlijn is in het zesde lid bepaald dat de AP niet is belast met het toezicht op de verwerking van gerechtelijke strafgegevens door de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie in het kader van de uitoefening van hun rechterlijke taken. Enkel in gevallen waarin duidelijk is dat toezicht door de AP op geen enkele wijze van invloed kan zijn op de rechterlijke oordeelsvorming in de strafzaak die bij een gerecht in behandeling is, bestaat er bevoegdheid dit toezicht uit te oefenen. Over het algemeen zullen gerechtelijke strafgegevens zodanig verweven zijn met een specifieke strafzaak die in behandeling is dat de bevoegdheid van de AP tot het houden van toezicht, al dan niet op basis van een handhavingsverzoek, ontbreekt. Die bevoegdheid is wel aanwezig indien de uitoefening daarvan geen relatie heeft met de oordeelsvorming van de rechter in een specifieke strafzaak, zoals het toezicht op de feitelijke juistheid van gerechtelijke strafgegevens, de naleving van bewaartermijnen, de verstrekking van gerechtelijke strafgegevens aan derden of de naleving van voorschriften over het treffen van passende technische en organisatorische maatregelen ten aanzien van de verwerking van gerechtelijke strafgegevens in een gegevensbestand.

Op basis van de Wwft is een eenheid opgericht, de Financiële inlichtingen eenheid, die is belast met het verzamelen en analyseren van meldingen rond zogenoemde ongebruikelijke transacties door financiële instellingen. Hierboven is, bij de toelichting op artikel 1a, reeds opgemerkt dat de Wpg, op basis van de Wwft, van toepassing blijft op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid. Op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid zijn een aantal artikelen van de Wpg overeenkomstige toepassing. Dit betreft de artikelen 1, 2, 3, eerste en tweede lid, 4, 5, 6, 7, 15, 16, eerste lid, onderdelen a, b en c, 17, 18, 22 en 23, 25 tot en met 31, alsmede artikel 33 van de Wpg.

Om de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid in overeenstemming te brengen met de richtlijn gegevensbescherming opsporing en vervolging is aanpassing van artikel 12, derde lid, van de Wwft noodzakelijk. Daartoe wordt voorgesteld (1) de naar aanleiding van de implementatie van de richtlijn gewijzigde bepalingen van de Wpg ook van toepassing te doen zijn op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid, en (2) de naar aanleiding van die implementatie voorgestelde opneming van nieuwe bepalingen in de Wpg tevens van toepassing te doen zijn op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid.

De gewijzigde bepalingen van de Wpg betreffen de artikelen 1, 2, 3, eerste en tweede lid, 4, 5, 6, 15, 16, eerste lid, 17, 22, 25, 26, 27, 28, 29 en 32 Wpg.

De nieuwe bepalingen van de Wpg betreffen de artikelen 4a (gegevensbescherming door ontwerp), 4b (gegevensbescherming door standaardinstellingen), 4c (gegevensbeschermingseffectbeoordeling), 6a (toegang tot politiegegevens), 6b (onderscheid tussen verschillende categorieën van betrokkenen), 6c (verwerker), 7a (geautomatiseerde individuele besluitvorming), 15a (ter beschikkingstelling binnen Europese Unie), 17a (doorgiften aan derde landen), 24a (informatie aan de betrokkene), 24b (verstrekking van informatie aan de betrokkene), 31a (klacht bij AP), 31d (register), 32a (logging), 33a (melding datalekken), 33b (voorafgaand consulteren AP), 35 (toezicht AP), 35a (positie AP), 35b (taken AP), 35c (bevoegdheden AP), 35d (samenwerking met toezichthoudende autoriteiten in andere lidstaten) en 36 Wpg (functionaris gegevensbescherming).