[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Reactie op verzoek commissie over de implicaties van een verplichte verklaring om te kunnen deelnemen aan een oefening in een datacenter

Informatie- en communicatietechnologie (ICT)

Brief regering

Nummer: 2025D11292, datum: 2025-03-17, bijgewerkt: 2025-03-27 13:56, versie: 5 (versie 1, versie 2, versie 3, versie 4)

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-26643-1325).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 26643 -1325 Informatie- en communicatietechnologie (ICT).

Onderdeel van zaak 2025Z04877:

Onderdeel van activiteiten:

Preview document (🔗 origineel)

Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2024-2025

26 643 Informatie- en communicatietechnologie (ICT)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 1325 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 maart 2025

Uw commissie heeft gevraagd om een reactie op een aan Uw Kamer gericht verzoek van een functionaris van een decentrale overheidsorganisatie naar de toelaatbaarheid van een verplichte verklaring om te kunnen worden toegelaten tot een datacenter van een particulier bedrijf om deel te nemen aan een veiligheidsoefening.

Allereerst spreek ik mijn verontschuldigingen uit voor de te lange duur die de behandeling van uw verzoeken heeft genomen. Voor deze vertraging is geen goede verklaring en ik betreur het dat niet eerder is geantwoord.

Als voorbehoud stel ik voorop dat ik slechts beschik over de brief van de functionaris. Mogelijk zijn er relevante feiten die in de brief niet zijn opgenomen. Het is niet aan mij om een (juridisch) oordeel over de casus te geven. Wel wil ik in algemene zin ingaan op een aantal sprekende aspecten van de casus.

De casus zoals die uit de brief van de functionaris aan Uw Kamer is af te leiden, is dat deze zou deelnemen aan een oefening die zou plaatsvinden in het datacentrum van het particuliere bedrijf. Door dat bedrijf werd de functionaris verplicht tot het ondertekenen van een verklaring die ertoe zou kunnen leiden dat alle informatie die het bedrijf over de functionaris binnen het bedrijf verzamelt kan delen met elke veiligheidsinstantie in de Verenigde Staten.

In het algemeen geldt dat overheidspersoneel zonder onnodige belemmeringen moet kunnen meewerken aan het uitvoeren van gezamenlijke veiligheidsoefeningen bij bedrijven of andere particuliere instellingen en dat deelname niet aan onredelijke voorwaarden moet zijn onderworpen. In elke branche, zeker op het terrein van databeveiliging, is veiligheid een topprioriteit en is het essentieel dat alle partijen effectief samenwerken om te oefenen om de kans zo klein mogelijk te maken dat cruciale datasystemen en informatie worden misbruikt.

Ongeacht waar het moederbedrijf is gevestigd, is op het betreffende bedrijf het recht van toepassing dat in Nederland geldt. Dat kan nationale (of lokale) wetgeving zijn maar ook Europese regelgeving. Het bedrijf zal aan deze regels moeten voldoen. Het is in dit verband op zich denkbaar dat een bedrijf aan derden verplichtingen oplegt, ter bescherming van vertrouwelijkheid en bescherming van gegevens. Het bedrijf kan ook feitelijke maatregelen nemen om te voorkomen dat vertrouwelijkheid en gegevensbescherming worden gewaarborgd.

Ik benadruk dat het recht op privacy en de bescherming van persoonsgegevens fundamentele rechten zijn die gewaarborgd worden door zowel nationale als Europese regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving stelt strikte eisen aan de verwerking en overdracht van persoonsgegevens tussen staten, zeker wanneer deze naar landen buiten de Europese Economische Ruimte worden verzonden. Ook een bedrijf als het onderhavige heeft zich aan deze regels te houden. Het is dus van belang te onderkennen dat een particulier bedrijf niet zonder meer aan Nederlandse burgers kan verplichten akkoord te gaan kan met het delen van persoonsgegevens met buitenlandse autoriteiten. Dergelijke eisen moeten in overeenstemming zijn met de AVG en andere relevante wet- en regelgeving. Hierop is ook wettelijk geregeld toezicht, zoals van de Autoriteit Persoonsgegevens.

Hoewel bezoekers, waaronder deelnemers aan oefeningen, in principe de keuze hebben wel of niet akkoord te gaan met het afleggen van verklaringen als voorwaarde voor binnentreden, kan die vrijheid aanzienlijk kleiner zijn als deelname essentieel is en onderdeel van de functie en/of de opdracht.

De plicht tot tekenen hangt af van de wettigheid, redelijkheid en proportionaliteit van de verklaring, de mogelijke gevolgen voor de betreffende functionaris en de rol van de opdrachtgever/werkgever, die daarbij algemeen verbindende voorschriften in acht dient te nemen. De werkgever/opdrachtgever is gehouden medewerkers te beschermen tegen ongeoorloofde inbreuken op privacy en veiligheid, en om te voorkomen dat deze zich bij de uitoefening van hun functie in onveilige situaties moeten begeven. De overheid speelt als het gaat om naleving van de wet ook een voorbeeldrol. Het is daarom zaak om als overheids-opdrachtgever/werkgever goede afspraken te maken met de organisatie, zoals ter bescherming van de persoonlijke levenssfeer van medewerkers.

Hoe de situatie in de casus arbeidsrechtelijk precies valt te duiden, is niet aan mij. In het uiterste geval heeft een rechter het laatste woord. Uit de brief van de functionaris leid ik af dat diens weigering in dit geval de verklaring te tekenen is getoetst met als uitkomst dat hij het ondertekenen mocht weigeren.

Ik hoop de commissie met deze brief afdoende geantwoord te hebben.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó