Nr. 5 VERSLAG

Vastgesteld 3 april 2018

De vaste commissie voor Justitie en Veiligheid, belast met het voorbereidend onderzoek van dit voorstel van wet, heeft de eer als volgt verslag uit te brengen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet genoegzaam voorbereid.

Inhoudsopgave

I.

ALGEMEEN

2

     

1.

Inleiding

2.

De Europeesrechtelijke achtergrond van de richtlijn

2

2.1

De verhouding tot de Algemene verordening gegevensbescherming

2

3.

Het toepassingsgebied van de richtlijn gegevensbescherming opsporing en vervolging en doelbinding

4

 

3.1 De gevolgen van het toepassingsbereik van de richtlijn voor de Wpg, de Wjsg en andere wetten die betrekking hebben op de verwerking van persoonsgegevens ten behoeve van opsporing en vervolging

5

 

3.1.1 De wet justitiële en strafvorderlijke gegevens

5

 

3.1.2. Andere wetten die betrekking hebben op de verwerking van persoonsgegevens voor opsporing en vervolging

5

4.

De consequenties van de Richtlijn gegevensbescherming opsporing en vervolging voor de wetgeving op het gebied van de bescherming van persoonsgegevens

5

5.

Het advies van de Autoriteit persoonsgegevens

6

6.

Uitvoeringsgevolgen van de richtlijn gegevensbescherming opsporing en vervolging

6

 

6.1 Financiële gevolgen

7

     

II.

ARTIKELSGEWIJS

7

I. ALGEMEEN

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de wijziging van de Wet politiegegevens (hierna: Wpg) en de Wet justitiële en strafvorderlijke gegevens (hierna: Wjsg) ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen (hierna: het wetsvoorstel). Zij constateren dat de Richtlijn 2016/680 (hierna: de Richtlijn), die ten grondslag ligt aan dit wetsvoorstel, op 6 mei 2018 moet zijn geïmplementeerd. De aan het woord zijnde leden zijn lichtelijk gefrustreerd over het feit dat het implementatiewetsvoorstel minder dan drie maanden voor de deadline naar de Kamer is gestuurd. Dit weerhoudt deze leden er niet van het wetsvoorstel aan een grondige inspectie te onderwerpen. Zij hebben enkele vragen, met name over de problematiek rondom gegevensuitwisseling in het kader van criminaliteitsbestrijding en over de gebruikte beleidsruimte bij de implementatie van de richtlijn.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig wetsvoorstel. Met de uitvoering van de Richtlijn is er een nieuw onderdeel toegevoegd op het gebied van gegevensbescherming dat, in combinatie met de AVG, tot een omvangrijk kader op het gebied van gegevensverwerking heeft geleid. Gezien de gevoelige natuur van de gegevens waar deze Richtlijn op ziet waarmee gewerkt wordt, achten deze leden het van belang dat er voor voldoende bescherming op het gebied van verwerking van deze gegevens wordt gezorgd. Op verschillende vlakken zorgt de richtlijn daarvoor. De voornoemde leden hebben nog enkele vragen.

De aan het woord zijnde leden merken op dat de datum van inwerkingtreding van de Richtlijn op 6 mei aanstaande is gesteld. Kan de regering aangeven of deze datum naar verwachting gehaald zal worden? Welk tijdpad heeft de regering hiervoor voor ogen? Wat zijn de gevolgen van het niet halen van de datum van inwerkingtreding? Welke verklaring ligt ten grondslag aan het feit dat de wet ter implementatie van de Richtlijn pas wordt behandeld na de behandeling van de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna: UAVG)?

De leden van de D66-fractie hebben met interesse kennisgenomen van voorliggend wetsvoorstel. Voor een doeltreffende politiële en justitiële samenwerking in strafzaken is het van belang dat een consequente en ook hoge mate van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd en dat de verwerking van persoonsgegevens bij de bevoegde autoriteiten wordt vergemakkelijkt. Deze leden hebben daarover nog een aantal vragen. Ook hebben zij een aantal vragen over de uitvoeringsgevolgen van de Richtlijn.

De leden van de SP-fractie hebben kennisgenomen van voorliggend wetsvoorstel. Zij hebben hierover enkele vragen.

2. De Europeesrechtelijke achtergrond van de richtlijn

2.1 De verhouding tot de Algemene verordening gegevensbescherming

De leden van de CDA-fractie constateren dat bij de totstandkoming van de AVG en de Richtlijn is besloten dat zij elkaar wederzijds uitsluiten. Echter is wel sprake van enige mate van materiële overlap. Kan de regering aangeven waarom er bij de totstandkoming niet gekozen is de overlap op te nemen in de AVG? Had dit niet tot een duidelijker geheel geleid? Verder lezen deze leden dat de Richtlijn en de AVG veel onderwerpen regelen, maar niet op identieke wijze. Er wordt in de memorie van toelichting uiteengezet welke onderwerpen het betreft en de voornoemde leden zien dat het om grote onderdelen van de gegevensbescherming gaat. Hierbij lijkt nu de situatie te ontstaan dat er twee regimes komen te gelden voor organisaties die zowel onder de AVG als de Richtlijn vallen. Om dit punt te minimaliseren is het uitgangspunt dat bij de implementatie zoveel mogelijk moet worden voorkomen dat de instanties binnen de strafrechtketen worden geconfronteerd met verschillende verwerkingsregimes, aldus de memorie van toelichting. De aan het woord zijnde leden menen echter dat door de keuze voor een verordening en een richtlijn die elkaar wederzijds uitsluiten confrontatie met verschillende regimes niet te voorkomen is. In hoeverre worden organisaties hierover voorgelicht? Alle werknemers die te maken krijgen met enige vorm van gegevensverwerking zullen op de hoogte moeten zijn met welke regimes zij te maken kunnen hebben. Kan de regering aangeven waarom dit niet tot veel extra administratie zal leiden?

De leden van de D66-fractie constateren dat de verplichtingen van de Richtlijn moeten worden omgezet in nationale wetgeving, terwijl de verplichtingen van de AVG rechtstreeks werken. Er zijn instanties, zoals de politie en de Koninklijke Marechaussee (Kmar), die niet alleen te maken krijgen met de nationale regelgeving ter implementatie van de Richtlijn, maar ook met zowel rechtstreeks werkende bepalingen van de AVG als de nationale uitvoeringsbepalingen bij die verordening. De aan het woord zijnde leden begrijpen dat het uitgangspunt voor de implementatie is, dat zoveel mogelijk moet worden voorkomen dat de instanties binnen de strafrechtsketen worden geconfronteerd met verschillende verwerkingsregimes, met het oog op de uitvoerbaarheid van de regels voor de verwerking van de persoonsgegevens door de betreffende instanties. Deze leden onderschrijven dit uitgangspunt, maar vragen of de uitvoerbaarheid, in de gevallen waar geen recht gedaan kan worden aan dat uitgangspunt, niet in het geding komt. Zij zouden graag van de regering vernemen waar de knelpunten zitten in de uitvoering bij organisaties die aan zowel de AVG, de nationale uitvoeringsbepalingen bij de AVG en de Richtlijn moeten voldoen, en welke mogelijkheden zij ziet om in die gevallen tot een oplossing te komen.

De leden van de SP-fractie constateren dat de Richtlijn, volgens artikel 2 lid 1, van toepassing is op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Onlangs heeft de Kamer gedebatteerd over de nieuwe AVG. Instanties die onder het toepassingsgebied van de Richtlijn vallen, zoals de politie en de Kmar, krijgen niet alleen te maken met de nationale regelgeving ter implementatie van de Richtlijn maar ook met zowel de bepalingen van de AVG en de UAVG, voor zover dit taken betreft die geen betrekking hebben op het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Kan voor deze leden concreet worden gemaakt in welke gevallen welke regelingen prevaleren voor welke instanties? Denkt de regering dat het voor de instanties zelf, straks nog wel voldoende duidelijk is naar welk stuk regelgeving zij moeten kijken teneinde aan de wet te voldoen?

De leden van de SP-fractie maken uit het voorliggende wetsvoorstel op, dat bijvoorbeeld bij het Centraal Justitieel Incasso Bureau (CJIB) zowel de Richtlijn als de AVG van toepassing kunnen zijn. Als wordt besloten tot een administratiefrechtelijke afdoening van de overtreding dan is de AVG van toepassing op de gegevensverwerking voor dat doel. Als wordt besloten tot een strafrechtelijke afdoening dan is de Richtlijn van toepassing. Is dat werkbaar, leidt dat niet tot problemen of onduidelijkheden? Kan worden aangegeven wat in deze dan de verschillen tussen de AVG en de Richtlijn zijn?

De leden van de SP-fractie vragen of kan worden aangegeven waar de bestaande Wpg en Wsjg uitgebreidere waarborgen bieden dan de Richtlijn? Worden die waarborgen gehandhaafd? Zo nee, waarom niet? De voornoemde leden wijzen erop dat in 2016 een meerjarig verbeterplan tot stand is gekomen teneinde de privacy bij de politie beter te waarborgen. Hoe staat het hiermee? Verbetert dit wetsvoorstel de privacy waarborgen bij de politie? Zo ja, op welke manier? Zo nee, waarom niet?

3. Het toepassingsgebied van de richtlijn gegevensbescherming opsporing en vervolging en doelbinding

De leden van de VVD-fractie merken op dat de Richtlijn en het onderliggende wetsvoorstel zien op de bescherming van de verwerking van persoonsgegevens met het oog op, kort gezegd, de opsporing en vervolging van strafbare feiten. Kan de regering exact aangeven wanneer de Richtlijn van toepassing is? Begrijpen deze leden het goed, dat de verwerking van persoonsgegevens bij politietaken ten dienste van justitie niet onder het toepassingsbereik van deze Richtlijn valt, omdat dan de AVG van toepassing is? Kan dit in de praktijk problemen opleveren, omdat onhelder is welk juridisch regime precies van toepassing is?

De leden van de CDA-fractie lezen in de memorie van toelichting dat verwerking van persoonsgegevens met het oog op doeleinden als inzet bestuurlijke, bestuursrechtelijke en privaatrechtelijke bevoegdheden niet onder de reikwijdte van de Richtlijn vallen. Hoe verhoudt zich dit tot gebieden van opsporing waar ingezet wordt op een integrale aanpak, zoals bij de bestrijding van georganiseerde criminaliteit? Op dit vlak wordt er ook vaak gebruikt gemaakt van bestuurlijke, privaatrechtelijke en fiscale gegevens die uiteindelijk dienen ter opsporing en vervolging. Onder welk regime (Richtlijn of AVG) komt deze gegevensverwerking te vallen? Kan dit veranderen naar gelang het doel van de verwerking verandert? Welke gevolgen heeft het voor de opsporing en vervolging indien de gegevens verwerkt worden onder het verkeerde regime?

De leden van de CDA-fractie vragen of de regering kan aangeven, indachtig de Ondermijningswetgeving die nog moet verschijnen, of de Richtlijn invloed zal hebben op de informatie-uitwisseling tussen verschillende instanties nu deze uitwisseling van groot belang is voor de bestrijding van ondermijnende criminaliteit. Om een voorbeeld te nemen, in hoeverre blijft het delen van politie-informatie in een concrete zaak met een instantie als Veilig Thuis dan wel andere ketenpartners, deels buiten de strafrechtketen, tot de mogelijkheden behoren? Worden deze mogelijkheden verruimd of juist beperkt? Kan de regering aan de hand van een concrete casus schetsen hoe dit in de praktijk gaat lopen? Kan de regering ook aangeven hoe dit naar verwachting gaat plaatsvinden op het vlak van ondermijning? Biedt deze nieuwe wetgeving voldoende juridische ruimte om aan de in de praktijk geformuleerde behoefte aan informatiedeling te voldoen? In welk opzicht kan en zal de Ondermijningswet hier in de praktijk op aan kunnen sluiten?

3.1 De gevolgen van het toepassingsbereik van de richtlijn voor de Wpg, de Wjsg en andere wetten die betrekking hebben op de verwerking van persoonsgegevens ten behoeve van opsporing en vervolging

3.1.1 De wet justitiële en strafvorderlijke gegevens

De leden van de CDA-fractie lezen dat de Richtlijn het toepassingsbereik verruimt van de Wjsg tot de verwerking van tenuitvoerleggingsgegevens. Het gaat hier om persoonsgegevens en gegevens van rechtspersonen die betrekking hebben op de tenuitvoerlegging van straffen en maatregelen. Wie is er, wat betreft deze gegevens, verantwoordelijk voor de geldige verwerking? Wordt deze organisatie voldoende geïnformeerd over de ophanden zijnde inwerkingtreding van de Richtlijn?

3.1.2 Andere wetten die betrekking hebben op de verwerking van persoonsgegevens voor opsporing en vervolging

De leden van de VVD-fractie vrezen dat te strenge regels het moeilijk maken voor opsporingsdiensten om de criminaliteit te bestrijden. Zij willen dat het mogelijk is om op een snelle en niet bureaucratische wijze informatie uit te wisselen tussen overheidsdiensten in het kader van criminaliteitsbestrijding. Niet alleen voor de politie, maar ook voor de Belastingdienst, sociale diensten, gemeentelijke ambtenaren, DUO et cetera. Kan de regering uitleggen of de uitwisseling van gegevens makkelijker of moeilijker wordt in het kader van criminaliteitsbestrijding? Kan zij daar voorbeelden van geven? Zijn er aanpassingen van het wetsvoorstel mogelijk die het uitwisselen van gegevens in het kader van criminaliteitsbestrijding vergemakkelijken? Zo ja, welke? Is de regering bereid die aanpassingen door te voeren?

4. De consequenties van de Richtlijn gegevensbescherming opsporing en vervolging voor de wetgeving op het gebied van de bescherming van persoonsgegevens

De leden van de D66-fractie menen dat voor de strafrechtelijke handhaving van de rechtsorde informatiegaring en -verwerking door de opsporingsdiensten een cruciale randvoorwaarde is. Zij constateren daarbij wel, dat grootschalige gegevensverwerking (bigdata) kennelijk in toenemende mate van belang is door onder andere het gebruik van systemen als het Criminaliteits Anticipatie Systeem (CAS) door de politie en dat daar risico’s voor de persoonlijke levenssfeer van betrokkenen aan zitten. De aan het woord zijnde leden zien in ieder geval drie risico’s. Ten eerste het ontstaan van een completer beeld van personen door koppeling van verschillende gegevens zonder aanvullende waarborgen dan zonder die koppeling mogelijk is. Ten tweede de mogelijkheid om gegevens verkregen door de inzet van bijzondere opsporingsbevoegdheden ruimer in te kunnen zetten dan alleen in het kader van opsporing (artikel 10 lid 1 onder b Wpg in verbinding met artikel 126dd lid 1 onder b van het Wetboek van Strafvordering (Sv)). Ten derde zien zij het dilemma van het groter wordende risico met het gebruik van bigdatatoepassingen dat bewijs in andere strafdossiers terecht kan komen voordat een vonnis, dat het oordeel bevat dat het bewijs onrechtmatig verkregen is, onherroepelijk is geworden, omdat de Wjsg in tegenstelling tot de Wpg geen zelfstandig rechtmatigheidscriterium bevat. Graag vernemen de aan het woord zijnde leden een nadere toelichting of, en zo ja hoe, de regering in dit voorstel tot uitvoering van de Richtlijn rekening heeft gehouden met deze ontwikkelingen van grootschalige gegevensverwerkingen en de daarbij behorende voornoemde risico’s voor inbreuken op de persoonlijke levenssfeer van betrokkenen.

De leden van de D66-fractie constateren verder dat sinds 2016 in de Verenigde Staten de Judicial Redress Act geldt, waardoor burgers van de Europese Unie rechtsmiddelen ten dienste staan waaronder het neerleggen van een klacht bij de Amerikaanse autoriteiten in geval van onrechtmatige gegevensverwerking. Dit kunnen burgers van de Europese Unie alleen indien hun lidstaat vanuit Amerikaans perspectief ook een passend beschermingsniveau heeft, waartoe bijvoorbeeld de zogeheten parapluovereenkomst behoort. Nu de verhouding tussen de Europese Unie en de Verenigde Staten ten aanzien van gegevensuitwisseling een moeizame geschiedenis kent, vernemen de voornoemde leden graag van de regering of er eventuele knelpunten zijn ten aanzien van het geboden beschermingsniveau van de betrokkene in dit wetsvoorstel en het beschermingsniveau van de Judicial Redress Act.

5. Het advies van de Autoriteit persoonsgegevens

De leden van de CDA-fractie vragen naar aanleiding van het advies van de Autoriteit persoonsgegevens (hierna: AP) aan de regering of de politie en het openbaar ministerie (hierna: OM) gevraagd is te adviseren over onderhavig wetsvoorstel. Gezien het feit dat onderhavig wetsvoorstel van invloed is op het werk van politie en het OM, achten deze leden het van belang dat deze organisaties om advies gevraagd wordt betreffende dit onderwerp. Is de regering hiertoe bereid?

De voornoemde leden lezen in de memorie van toelichting dat de grensbewakingstaak en de vreemdelingentaken onder verschillende privacy regimes gaan vallen terwijl zij onderling in de praktijk een hoge mate van vervlechting kennen. In de Wpg worden de vreemdelingentaken en de daarmee samenhangende grensbewakingstaak uitgezonderd waardoor de verwerking van persoonsgegevens komt te vallen onder de AVG. Worden deze gegevens daarmee van een mindere mate van bescherming voorzien? Ook vragen deze leden of de regering verder wil ingaan op het bezwaar van de AP rondom het toepasselijke regime voor de vreemdelingensignalering in het Schengen Informatiesysteem. De regering geeft aan dat er wordt aangesloten op de systematiek van EU-regelgeving, maar de voornoemde leden vragen of dit, hoewel theoretisch wellicht de voorkeur heeft, in de praktijk niet alsnog tot uitvoerings- en handhavingsproblematiek kan leiden.

De leden van de SP-fractie hebben vragen over de AP. Zo horen zij graag welke extra taken de AP er door de implementatie van deze Richtlijn bijkrijgt. De AP schrijft in haar advies dat naleving van de thans geldende normen op problemen stuit en dat daarom de keuze voor minimumimplementatie niet bevorderlijk is voor tussentijdse naleving. Deelt de regering deze beschrijving van de AP? Zo ja, wat gaat zij hieraan doen? Zo nee, waarom niet? De voornoemde leden vragen of de regering puntsgewijs kan reageren op elk van de punten van de AP uit haar adviesbrief ten aanzien van dit wetsvoorstel en waarop zij baseert dat de Richtlijn is gestoeld op een onjuiste opvatting over de grondslag en reikwijdte van de Richtlijn en hierdoor niet voldoet aan de vereiste nauwgezette omzetting van de Richtlijn in nationaal recht.

6. Uitvoeringsgevolgen van de richtlijn gegevensbescherming opsporing en vervolging

De leden van de D66-fractie begrijpen dat het effect van de uitvoering van de Richtlijn is dat de bevoegde autoriteiten met het oog op voorkoming, het onderzoek, de opsporing, de vervolging en de tenuitvoerlegging van strafbare feiten meer in overeenstemming met private bedrijven gaan handelen onder andere ten aanzien van het beveiligingsniveau van persoonsgegevens. Hiermee doelen zij op bijvoorbeeld de verplichting tot een gegevensbeschermingseffectbeoordeling indien het een gegevensverwerking betreft met een hoog risico zoals bedoeld in artikel 27, eerste lid, van de Richtlijn. Ook valt te denken aan de administratieve lasten bij het (opnieuw) inrichten van allerlei databanken, opdat helder is bij de bevoegde autoriteiten dat alleen indien er een risico is voor de rechten en vrijheden van de betrokkene er melding hoeft te worden gemaakt bij de AP. De aan het woord zijnde leden menen dat deze verplichtingen ten aanzien van cyberveiligheid nogal een omslag is in de handels- en denkwijze van publieke organisaties, waarbij zij zeker niet de noodzaak van deze omslag ontkennen. Graag vernemen de voornoemde leden hoe de regering rekening houdt met de praktische uitvoerbaarheid van deze belangrijke omslag, mede vanuit het oogpunt van capaciteit en geldelijke middelen bij politie en justitie.

Verder lezen de aan het woord zijnde leden dat naar aanleiding van het advies van de afdeling Advisering van de Raad van State (hierna: de Afdeling) in de memorie van toelichting nader is ingegaan op het punt van opleiding en scholing van degenen die belast zijn met gegevensverwerking. De regering heeft daarbij het meerjarig verbeterplan aangehaald (Kamerstuk 33 842, nr. 4) waarbij kennis van de Wpg en informatiebeveiliging een standaard onderdeel is geworden van de basisopleiding. Deze leden zijn blij te vernemen dat de maatregelen in dit verbeterplan tot resultaten beginnen te leiden. Dat verbeterplan heeft alleen betrekking op de politieorganisatie. Kan de regering aangeven of zij de maatregelen uit het verbeterplan, de beperkte opleiding van personeel bij de Justitiële Informatiedienst (JustID) en de awarenesscampagnes bij de Hoge Raad en JustID voldoende vindt in het licht van voornoemde omslag in de denkwijze bij politie en justitie? Zou de regering daarbij aan kunnen geven of er net als bij het meerjarig verbeterplan resultaten over de opleiding en awarenesscampagnes bij JustID en de Hoge Raad bekend zijn? Voorts zouden de voornoemde leden willen vernemen hoe in dit opleidings- en scholingsplan rekening is gehouden met de noodzakelijke training van de functionarissen voor de gegevensbescherming die de bevoegde autoriteiten op grond van artikel 32 van de Richtlijn moeten aanstellen.

6.1 Financiële gevolgen

De leden van de SP-fractie vragen of het extra geld dat nodig is voor de politie naar aanleiding van dit wetsvoorstel (35 miljoen euro incidenteel en 8 miljoen euro structureel) komt uit het in het regeerakkoord toegezegde bedrag van 267 miljoen euro, of komen deze bedragen ergens anders vandaan?

II. ARTIKELSGEWIJS

Artikel 13 van de Richtlijn

De leden van de VVD-fractie begrijpen dat dit artikel gaat over de informatie die de verwerkingsverantwoordelijke moet verstrekken aan betrokkenen. Dit ziet bijvoorbeeld op de informatie die de politie moet verstrekken aan een verdachte. De Richtlijn geeft de mogelijkheid om deze informatieverplichting te beperken (zie artikel 13 lid 3). Het wetsvoorstel heeft slechts in beperkte zin gebruik gemaakt van deze beperkingsmogelijkheid. Als de voornoemde leden het juist begrijpen, kan slechts van de informatieverplichting worden afgeweken bij personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan plegen (zie de voorgestelde artikelen 24b lid 3 en 6b onder a van de Wpg). Deze leden vragen of het niet nuttig kan zijn voor een effectieve criminaliteitsbestrijding om de informatieverplichting verder te beperken in het belang van de opsporing en de vervolging van strafbare feiten. Is het bijvoorbeeld ook mogelijk een uitzondering te maken op de verplichte informatieverstrekking voor personen ten aanzien van wie wordt vermoed dat zij slachtoffer kunnen worden van een strafbaar feit, bij getuigen en/of bij personen die voor een strafbaar feit zijn veroordeeld (meer precies, bij het voorgestelde artikel 6b onder b, c en d van de Wpg)? Wat zouden de voor- en nadelen daarvan zijn?

Artikel 15 van de Richtlijn

De leden van de VVD-fractie lezen dat de Richtlijn betrokkenen het recht geeft om uitsluitsel te krijgen of bepaalde persoonsgegevens worden verwerkt en, indien dat het geval is, om die persoonsgegevens in te zien. Artikel 15 van de Richtlijn geeft lidstaten de mogelijkheid dit inzagerecht te beperken. In de memorie van toelichting staat dat van deze mogelijkheid gebruik is gemaakt voor gegevens betreffende informanten, infiltranten en getuigenbescherming (Kamerstuk 34 889, nr. 3). Dit staat in het voorgestelde artikel 27 lid 3 van de Wpg. Maar in artikel 27 lid 3 staat een verwijzing naar artikel 12 van de (huidige) Wpg, die alleen maar verwijst naar informanten. Vallen infiltranten en gegevens betreffende getuigenbescherming ook onder de uitzondering? Verder kunnen de voornoemde leden zich voorstellen dat het raadzaam zou zijn breder gebruik te maken van de ruimte die de Richtlijn biedt het inzagerecht te beperken. Bijvoorbeeld door nog meer gegevens uit te zonderen van deze verplichting. Hoe staat de regering daar tegenover?

I. Wpg, artikel 4a en II. Wjsg, artikel 7

De leden van de D66-fractie vragen de regering in te gaan op de keuze om de verplichting tot het opstellen van een risicobeperkingsplan (artikel 29, tweede lid, Richtlijn) bij algemene maatregel van bestuur (artikelen 4a, zesde lid, Wpg en 7, zesde lid, Wjsg) te regelen. De aan het woord zijnde leden begrijpen dat de keuze is gebaseerd op het feit dat deze verplichting erg gedetailleerd is uitgewerkt, maar achten deze keuze voorshands minder bevorderlijk voor het bewustzijn bij bevoegde autoriteiten ten aanzien van cyberveiligheid dan een keuze deze verplichting, al dan niet gedeeltelijk, op te nemen in de wet.

I. Wpg, artikel 6c en II. Wjsg, artikel 7d

De leden van de D66-fractie constateren dat verwerkingsverantwoordelijken, zoals in het wetsvoorstel bedoeld, de mogelijkheid hebben een verwerker in te schakelen om namens de verwerkingsverantwoordelijke gegevens te verwerken door middel van een schriftelijke overeenkomst (artikel 6c, tweede lid, Wpg en artikel 7d, tweede lid, Wjsg). Kan de regering toelichten of zij knelpunten voorziet nu de verwerkingsverantwoordelijke zich aan het verwerkingsregime van de Richtlijn moet houden en de verwerker aan het regime van de AVG?

I. Wpg, artikel 35c en II. Wjsg, artikel 27

De leden van de D66-fractie zijn van mening dat het expliciet opnemen van een (algemene) bevoegdheid voor de AP voor het instellen van een tijdelijke of definitieve begrenzing van het verwerken van gegevens, waaronder een verwerkingsverbod (artikel 47, tweede lid, Richtlijn), voor de AP van belang is voor een goede omzetting van de Richtlijn in nationale regelgeving. Wel zien zij enig risico van een dergelijk verwerkingsverbod voor de voortgang van een onderzoek, de opsporing, de vervolging van strafbare feiten of de tenuitvoerlegging van een straf. Kan de regering toelichten waarom er voor heeft gekozen om niet expliciet een dergelijke (algemene) bevoegdheid op te nemen in de wet (artikel 35c Wpg en artikel 27 Wjsg)?

De voorzitter van de commissie, Van Meenen

De Adjunct-griffier van de commissie, Verstraten