Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2025-2026

36 455 Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)

Nr. 10 NOTA NAAR AANLEIDING VAN HET VERSLAG VAN DE STATEN VAN CURAÇAO

Ontvangen 24 september 2025

De regering dankt de Staten van Curaçao voor hun verslag van 17 oktober 2024 met betrekking tot het voorstel van rijkswet tot goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Met veel belangstelling hebben wij kennis genomen van de vragen en opmerkingen van de leden van de PNP-, MFK- en MAN-fracties. In deze nota gaan wij, mede namens de Minister van Buitenlandse Zaken, de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie, in op de vragen en opmerkingen in het verslag. De gestelde vragen worden hierna genummerd weergegeven. Bij de beantwoording daarvan is de volgorde van het verslag aangehouden, met dien verstande dat ter wille van de leesbaarheid in enkele gevallen is verwezen naar reeds eerder in deze nota gegeven antwoorden.

1. Op- en aanmerkingen vanuit de fracties

1.1. Vragen en opmerkingen vanuit de PNP-fractie

De PNP-fractie merkt het volgende op. Het gaat hier om een belangrijke en waardevolle voorstel van rijkswet. Gelet op de internationale ontwikkelingen is het voor het land Curaçao belangrijk te weten wat met dit protocol wordt geregeld. Het onderhavige voorstel van rijkswet houdt de goedkeuring in van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54). Dit verdrag geldt voor alle landen van het Koninkrijk en is internationaal aanvaard. Het protocol bevat een substantieel aantal wijzigingen van het verdrag. Het verdrag is in het verleden tot stand gekomen in het kader van ontwikkelingen op het gebied van digitale technologie, zoals het veelvuldige gebruik van computers en internet. Inmiddels is dit verdrag verouderd en past het niet meer bij de tijd. Dit komt door de snelle ontwikkelingen, met name op het gebied van grensoverschrijdende verwerking van gegevens, technologie en communicatie. Het protocol heeft tot doel de eerder door het Koninkrijk getekende verdragen te moderniseren. Met dit voorstel worden de persoonsgegevens in overeenstemming gebracht met de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie. Het protocol wordt aldus integraal gewijzigd. Deze wijziging geldt voor alle landen van het Koninkrijk.

In het bestaande verdrag hebben de lidstaten nog altijd de mogelijkheid bepaalde sectoren of activiteiten uit te sluiten. Deze mogelijkheid wordt met dit protocol afgeschaft. Reden te meer voor de regering van Curaçao om extra oplettend te zijn en mogelijk een voorbehoud te maken ten aanzien van bepaalde onderwerpen. Het gaat hier immers om persoonsgegevens, waaronder de voornaam, achternaam, geslacht en andere gegevens die betrekking hebben op een persoon. De bescherming van bijzondere persoonsgegevens wordt door dit protocol versterkt. Met dit protocol worden een aantal nieuwe rechten ingevoerd. Enerzijds worden de rechten van de gegevenshouders versterkt, anderzijds legt het protocol verplichtingen op aan gegevensverwerkers om zeer nauwkeurig om te gaan met gegevensverwerking. Het toezicht op en de bewaking van de persoonsgegevens wordt op grond van het verdrag uitgevoerd door de Autoriteit Persoonsgegevens.

De fractie stelt eerst enkele algemene vragen en gaat vervolgens in op de implicaties van het protocol.

1.

Waarom is ratificatie van dit protocol nu nodig?

Ratificatie van het wijzigingsprotocol is om verschillende redenen van belang. Om te beginnen is Conventie 108 een belangrijk verdrag voor het Koninkrijk. Het is wereldwijd het enige verdrag inzake de bescherming van persoonsgegevens en staat ook open voor staten die geen lid zijn van de Raad van Europa. Door de snelle ontwikkelingen in de digitale technologie en de gegevensverwerking dreigt het verdrag echter achterhaald te raken, zoals de leden van de PNP-fractie terecht opmerken. Tegen die achtergrond heeft de Raad van Europa besloten het verdrag te moderniseren. Het wijzigingsprotocol brengt het verdrag in lijn met het EU-gegevensbeschermingsrecht, in het bijzonder de AVG. Het creëert een uitgebalanceerd systeem van gegevensbescherming dat een hoog niveau van bescherming voor de betrokkenen verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen. Dit zou het voor al die landen die erover nadenken om een systeem voor gegevensbescherming op te zetten of een bestaand systeem te versterken, aantrekkelijk moeten maken om tot het gemoderniseerde verdrag toe te treden.¹ Het gemoderniseerde verdrag kan zo een belangrijke bijdrage leveren aan de wereldwijde versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Ratificatie van het wijzigingsprotocol past daarmee in het staande beleid van het Koninkrijk dat is gericht op het bevorderen en ondersteunen van internationaal aanvaarde normen en afspraken met betrekking tot de rechten van de mens en aanverwante terreinen.

Ratificatie van het wijzigingsprotocol biedt aan de landen van het Koninkrijk een algemene en internationaal aanvaarde standaard voor de bescherming van persoonsgegevens. Bescherming van persoonsgegevens is in alle landen van het Koninkrijk een grondrecht. Door de komst van met name de AVG² en Richtlijn 2016/680³ is echter een uiteenlopend niveau van gegevensbescherming binnen het Koninkrijk ontstaan. Dit is niet alleen onwenselijk vanuit een oogpunt van gelijkwaardige bescherming van grondrechten binnen het Koninkrijk, maar het heeft ook nadelige praktische gevolgen. Het bemoeilijkt namelijk de onderlinge uitwisseling van persoonsgegevens tussen de vier landen. Dat heeft te maken met de strenge eisen die het EU-gegevensbeschermingsrecht stelt aan de doorgifte van persoonsgegevens naar landen en gebieden waar het EU-gegevensbeschermingsrecht niet van toepassing is, waaronder de Caribische delen van het Koninkrijk.

Daarnaast heeft Europees Nederland een specifiek belang bij ratificatie van het wijzigingsprotocol. Door Conventie 108 in lijn te brengen met de AVG en het overige EU-gegevensbeschermingsrecht, zorgt het protocol er namelijk voor dat Europees Nederland niet langer onderworpen is aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en het recht van de Raad van Europa.

2.

Wat zijn de concrete problemen die dit protocol oplost in de Curaçaose context? Zijn er actuele voorbeelden van problemen met de geautomatiseerde verwerking van persoonsgegevens die door dit protocol worden aangepakt?

Het van toepassing worden van Conventie 108+ op Curaçao zal de bescherming van persoonsgegevens versterken. De verhoging van het niveau van gegevensbescherming zal tegelijkertijd de grensoverschrijdende handel en samenwerking faciliteren, zowel binnen het Koninkrijk als tussen Curaçao en derde landen die partij zijn bij het gemoderniseerde verdrag.

Het van toepassing worden van Conventie 108+ zal om te beginnen barrières wegnemen die momenteel in de weg staan aan de vrije uitwisseling van persoonsgegevens tussen Europees Nederland en Curaçao. De AVG en het overige EU-gegevensbeschermingsrecht kennen een restrictief regime voor de grensoverschrijdende doorgifte van persoonsgegevens. Dit regime houdt in dat (structurele) doorgiften aan een derde land slechts mogelijk zijn als het betreffende derde land door de Commissie is erkend als land dat een passend beschermingsniveau waarborgt. Hiertoe kan de Commissie een zogeheten «adequaatheidsbesluit» nemen (artikel 45 AVG en 36 Richtlijn 2016/680). Dit regime geldt ook voor doorgiften naar Curaçao en de andere Caribische Koninkrijksdelen. Deze Koninkrijksdelen worden vanuit het perspectief van het EU-recht namelijk als «derde land» beschouwd.

Bij ontstentenis van een adequaatheidsbesluit, zijn structurele doorgiften aan derde landen slechts mogelijk als de gegevens-exporteur voorziet in «passende waarborgen» voor de bescherming persoonsgegevens (artikel 46 AVG en 37 Richtlijn 2016/680). Dergelijke waarborgen kunnen onder meer worden geboden door een juridisch bindend instrument zoals Conventie 108+. Bij gebrek aan een dergelijk juridisch bindend instrument moet de gegevensexporteur per geval voorzien in ad hoc-waarborgen, bijvoorbeeld in de vorm van bepalingen over de bescherming van de door te geven persoonsgegevens die zijn opgenomen in een overeenkomst tussen partijen of een administratieve regeling tussen bestuursorganen. De noodzaak tot het gebruik van dergelijke ad hoc-waarborgen bemoeilijkt momenteel de samenwerking tussen Europees Nederland en de Caribische Koninkrijksdelen, bijvoorbeeld als het gaat om de uitwisseling van justitiële gegevens en het gebruik daarvan ten behoeve van het onderzoek met het oog op de afgifte van een Verklaring Omtrent het Gedrag (VOG).

De regering is ervan overtuigd dat de gemoderniseerde Conventie 108, mits volledig en correct geïmplementeerd, passende waarborgen biedt voor de bescherming van persoonsgegevens, als bedoeld in artikel 46 AVG en 37 Richtlijn 2016/680. De door de gemoderniseerde Conventie voorgeschreven minimumnormen voor de bescherming van persoonsgegevens zijn immers volledig in lijn met het EU-gegevensbeschermingsrecht en omvatten afdwingbare rechten en effectieve rechtsmiddelen, waaronder de mogelijkheid voor betrokkenen om een klacht in te dienen bij een onafhankelijke gegevensbeschermingsautoriteit. Deelname aan Conventie 108+ wordt vanuit het EU-gegevensbeschermingsrecht dan ook als een relevante factor wordt beschouwd bij de beoordeling door de Commissie of een derde land een «passend beschermingsniveau» waarborgt.⁴ Al met al zal het van kracht worden van Conventie 108 voor Curaçao en de overige Caribische Koninkrijksdelen niet alleen leiden tot een meer gelijkwaardige bescherming van persoonsgegevens binnen het Koninkrijk, maar ook de grensoverschrijdende uitwisseling van persoonsgegevens effectiever en eenvoudiger maken.

Dit laatste geldt niet alleen voor de uitwisseling van persoonsgegevens binnen het Koninkrijk, maar ook voor internationale doorgiften aan andere verdragspartijen. Een belangrijke doelstelling van Conventie 108+ is namelijk om de vrije uitwisseling van persoonsgegevens tussen de verdragspartijen te faciliteren. Op grond van artikel 14 van het gemoderniseerde verdrag is het verdragspartijen daartoe niet toegestaan om «uitsluitend met het oog op de bescherming van persoonsgegevens, de doorgifte van dergelijke gegevens aan een ontvanger die onder de rechtsmacht van een andere Partij bij het Verdrag valt, [te] verbieden of aan een bijzondere machtiging [te] onderwerpen».⁵ De ratio achter deze regel is dat van alle partijen, die de gemeenschappelijke kern van gegevensbeschermingsbepalingen van het verdrag hebben onderschreven, wordt verwacht dat zij een passend geacht beschermingsniveau bieden en daarom in beginsel het vrije verkeer van persoonsgegevens toestaan.

Momenteel is Conventie 108 van kracht voor 55 staten, waaronder drie landen in de Zuid-Amerikaanse regio (Mexico, Uruguay en Argentinië). Het van kracht worden van de gemoderniseerde Conventie 108 voor Curaçao zal het voor bedrijven en organisaties uit al deze landen eenvoudiger maken om persoonsgegevens door te geven aan Curaçao. Deze doorgifte mag door de verdragspartijen immers niet worden verboden of aan een speciale toestemming worden onderworpen. In het huidige digitale tijdperk, waarin internationale handel en samenwerking in toenemende mate gepaard gaat met de grensoverschrijdende doorgifte van persoonsgegevens, is dit een groot voordeel. Het vermindert de transactiekosten van buitenlandse bedrijven die diensten willen verlenen of goederen willen leveren aan klanten op Curaçao. Ook kan het leveren van digitale diensten vanuit bedrijven in Curaçao worden bevorderd, aangezien voor de internationale afnemers van deze diensten de gegevensbescherming aan een hoge standaard voldoet. Zodoende kan het van kracht worden van de gemoderniseerde Conventie 108 op Curaçao een bijdrage leveren aan versterking van de lokale economie.

3.

Welke impact heeft dit protocol op de autonomie van Curaçao in het reguleren van gegevensbescherming? Beperkt dit protocol de mogelijkheden voor Curaçao om eigen, specifieke regels te stellen die beter aansluiten bij de lokale context?

De door het wijzigingsprotocol gemoderniseerde Conventie 108 beperkt Curaçao niet in het stellen van eigen, specifieke regels die beter aansluiten bij de lokale context. De verdragspartijen hebben bij het ontwerp van de gemoderniseerde conventie bewust gekozen voor een technologieneutrale, op beginselen gebaseerde opzet. Zoals in de memorie van toelichting⁶ is uitgelegd, beoogt de gemoderniseerde conventie te voorzien in een toekomstbestendig en uitgebalanceerd systeem van gegevensbescherming, dat een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen. Door de verdragspartijen is nadrukkelijk beoogd deze flexibiliteit ook onder het gewijzigde verdrag te handhaven. Artikel 13 van de gemoderniseerde conventie bepaalt dat de daarin opgenomen beginselen van gegevensbescherming het karakter van minimumnormen hebben. Het artikel benadrukt dat deze beginselen slechts een basis vormen waarop partijen een geavanceerder beschermingssysteem kunnen opbouwen. De gemoderniseerde conventie laat al met al de nodige ruimte aan verdragspartijen om eigen, specifieke regels te stellen bij de implementatie van het verdrag in het nationale rechtsstelsel.

4.

Zijn er voldoende waarborgen ingebouwd om te voorkomen dat dit protocol leidt tot onevenredige beperkingen van de grondrechten van burgers, met name het recht op privacy? Hoe wordt de balans bewaakt tussen gegevensbescherming en andere belangen, zoals nationale veiligheid of economische groei?

De gemoderniseerde conventie voorziet in een uitgebalanceerd systeem van gegevensbescherming, dat strekt tot het bieden van een hoog niveau van bescherming voor de datasubjecten. De conventie voorziet bovendien in de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen. In lijn met artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) gaat de gemoderniseerde conventie ervan uit dat het recht op bescherming van persoonsgegevens geen absoluut recht is. De precieze voorwaarden waaronder de verdragspartijen uitzonderingen mogen maken op de bepalingen van het verdrag zijn vastgelegd in het nieuwe artikel 11. Deze bepaling bevat een nauwkeurige omschrijving van deze voorwaarden. De bepaling biedt daarmee een solide waarborg tegen maatregelen of activiteiten van de verdragspartijen waardoor de fundamentele rechten van betrokkenen, in het bijzonder het recht op bescherming van persoonsgegevens, op onevenredige wijze worden ingeperkt.

Zoals in de memorie van toelichting is uitgelegd, geeft artikel 11 van de gemoderniseerde conventie een limitatieve opsomming van de uitzonderingen die door de verdragspartijen mogen worden gemaakt op de materiële bepalingen van het verdrag. Deze uitzonderingen worden door het verdrag verbonden aan nader gespecificeerde doeleinden. Zo mogen er bijvoorbeeld uitzonderingen worden gemaakt ten behoeve van de bescherming van andere fundamentele rechten of vrijheden (met name de vrijheid van meningsuiting) of van zwaarwegende belangen of staatsaangelegenheden zoals opsporing, nationale veiligheid en defensie, mits de uitzondering bij wet is voorzien, de essentie van de fundamentele rechten en vrijheden eerbiedigt en noodzakelijk en proportioneel is in een democratische samenleving. De uitzonderingen zijn toegestaan ten aanzien van de eisen die worden gesteld aan een behoorlijke gegevensverwerking, zoals de eisen van transparantie, doelbinding en dataminimalisatie (nieuw artikel 5, vierde lid), de meldplicht datalekken (nieuw artikel 7, tweede lid), de plicht om aan een datasubject informatie te verstrekken over de verwerking van persoonsgegevens (nieuw artikel 8, eerste lid) en de rechten van het datasubject (nieuw artikel 9). Voor doelen als archivering, onderzoek en statistiek staat het gewijzigde verdrag ook uitzonderingen toe op de transparantieverplichtingen uit het nieuwe artikel 8 en de rechten van het datasubject uit het nieuwe artikel 9.

Voor activiteiten op het vlak van de nationale veiligheid en de defensie kunnen de verdragspartijen daarnaast nog aanvullende uitzonderingen maken, mits deze uitzonderingen bij wet zijn voorzien en voor zover de getroffen maatregelen in een democratische samenleving noodzakelijk en evenredig zijn om een dergelijk doel te bereiken. Deze uitzonderingsmogelijkheden zien op de mogelijkheid dat het Verdragscomité evaluaties verricht (nieuw artikel 4, derde lid), op de bepalingen die verplichten de doorgiften van persoonsgegevens aan derde landen te melden en door een onafhankelijke toezichthouder te laten beoordelen (nieuw artikel 14, vijfde en zesde lid), en op de bevoegdheden van de nationale toezichthouder die worden genoemd in het nieuwe artikel 15, tweede lid, onder a, b, c en d. Deze uitzonderingsmogelijkheden doen echter geen afbreuk aan de eis dat verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden onderworpen dienen te zijn aan onafhankelijk en effectief toezicht op grond van nationale wetgeving.

5.

Hoe verhoudt dit protocol zich tot de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die ook van toepassing is op Curaçao? Leidt dit protocol tot conflicten of overlappingen met de AVG? Zo ja, hoe worden deze opgelost?

Vooraf merkt der regering op dat de AVG niet geldt voor het land Curaçao. Wel is het zo – en de regering vermoedt dat de leden van de PNP-fractie hierop doelen – dat de AVG van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden, door een in Curaçao gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met (a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist, of (b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt (zie artikel 3, tweede lid, AVG).

Een belangrijke doelstelling van het wijzigingsprotocol is om het niveau van de gegevensbescherming dat uit hoofde van Conventie 108 wordt geboden in lijn te brengen met het beschermingsniveau dat wordt geboden door het EU-gegevensbeschermingsrecht, in het bijzonder de AVG. Dit was in het bijzonder voor de EU-lidstaten, die allen partij zijn bij het verdrag, een belangrijke doelstelling van het wijzigingsprotocol. Door de in 2012 in gang gezette modernisering van het EU-gegevensbeschermingsrecht ontstond voor deze verdragspartijen namelijk het risico dat zij zouden worden onderworpen aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en het recht van de Raad van Europa. Bij de onderhandelingen over het wijzigingsprotocol is dan ook de nodige aandacht besteed aan de gewenste harmonisering van het verdrag met de AVG en het overige EU-gegevensbeschermingsrecht. De regering verwijst hiervoor naar paragraaf 2.1 van de memorie van toelichting en naar de nota naar aanleiding van het verslag van de vaste commissie voor Digitale Zaken van de Tweede Kamer (beantwoording vraag 17).⁷ Daarbij is zoals gezegd geopteerd voor een technologieneutrale, op beginselen gebaseerde opzet, die de verdragspartijen een zekere flexibiliteit biedt bij de implementatie van het verdrag in het nationale recht. Dit heeft ook geleid tot een verdragstekst die minder gedetailleerd is dan de AVG. Al met al is de regering om de hiervoor genoemde redenen niet bevreesd voor conflicten of overlappingen met de AVG.

6.

Het protocol introduceert het concept van «geautomatiseerde besluitvorming», inclusief profiling. Welke specifieke maatregelen worden genomen om te voorkomen dat burgers in Curaçao onevenredig worden benadeeld door geautomatiseerde besluiten? Hoe wordt inzicht en controle door burgers gegarandeerd over dit soort besluitvorming?

Artikel 9, eerste lid, onder a, van het gemoderniseerde verdrag geeft betrokkenen het recht om niet te worden onderworpen aan een besluit dat belangrijke gevolgen voor hen zal hebben en dat uitsluitend is gebaseerd op geautomatiseerde verwerking zonder dat hun standpunten in aanmerking werden genomen. Het vereiste om rekening te houden met de mening van betrokkene wanneer besluiten uitsluitend zijn gebaseerd op geautomatiseerde verwerking, houdt volgens punt 75 van de toelichtende nota van de Raad van Europa bij het wijzigingsprotocol (Explanatory Report)⁸ in dat de betrokkene het recht heeft om een dergelijk besluit aan te vechten en in staat moet zijn om elke onjuistheid in de persoonsgegevens die de verwerkingsverantwoordelijke gebruikt, te betwisten en de relevantie van het op hem toegepaste profiel in twijfel te trekken. Op grond van artikel 9, tweede lid, van het wijzigingsprotocol kan een betrokkene dit recht echter niet uitoefenen indien het geautomatiseerde besluit is toegestaan door een wet of landsverordening die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van diens rechten, vrijheden en gerechtvaardigde belangen. Het is aan de wetgever om de belangen af te wegen bij het ontwikkelen en tot stand brengen van een dergelijke regeling.

Daarnaast hebben betrokkenen op grond van artikel 9, eerste lid, onder c, het recht om op verzoek kennis te nemen van de onderliggende motivering van de gegevensverwerking. Het Explanatory Report geeft in punt 77 het voorbeeld van de (geautomatiseerde) beoordeling van iemands kredietwaardigheid. Betrokkenen moeten het recht hebben om niet enkel de positieve of negatieve score over zichzelf te kennen, maar ook de redenering die werd gevolgd tijdens de verwerking van hun persoonsgegevens en tot het besluit heeft geleid. Een beter inzicht in deze redenering draagt volgens deze toelichting bij tot de daadwerkelijke uitoefening van andere fundamentele waarborgen, zoals het recht van bezwaar en het recht om een klacht in te dienen bij een bevoegde toezichthoudende autoriteit (zie de artikelen 9, eerste lid, onder d en 15 van het gemoderniseerde verdrag).

7.

Het protocol stelt eisen aan de beveiliging van persoonsgegevens. Zijn deze eisen voldoende streng, gezien de toenemende dreiging van cyberaanvallen en datalekken? Welke concrete maatregelen worden genomen om de veiligheid van persoonsgegevens in Curaçao te waarborgen?

Het gemoderniseerde verdrag stelt eisen aan de beveiliging van persoonsgegevens die vergelijkbaar zijn met de eisen die de AVG op dit punt stelt. De regering meent dat deze eisen voldoende streng zijn, ook gelet op het gevaar van cyberaanvallen en datalekken.

Net als het huidige verdrag (artikel 7), verplicht het gemoderniseerde verdrag de verdragspartijen om in hun nationale recht te regelen dat de verwerkingsverantwoordelijke of verwerker passende beveiligingsmaatregelen treft tegen risico's als onopzettelijke ongeoorloofde toegang tot, of vernietiging, verlies, gebruik, wijziging of verstrekking van persoonsgegevens (nieuw artikel 7, eerste lid). De hier voorgeschreven verplichting heeft het karakter van een zorgplicht. Het is aan de verwerkingsverantwoordelijke of verwerker om van geval tot geval te bepalen wat «passende» beveiligingsmaatregelen zijn. Volgens punt 62 van het Explanatory Report kunnen dergelijke passende beveiligingsmaatregelen zowel van organisatorische als technische aard zijn. Zij kunnen bijvoorbeeld bestaan uit het voorschrijven van een geheimhoudingsplicht of de versleuteling van persoonsgegevens (Explanatory Report, punt 56). Bij het bepalen van de te nemen beveiligingsmaatregelen dienen de verwerkingsverantwoordelijke of de verwerker rekening te houden met verschillende aspecten, zoals de aard en het volume van de verwerkte persoonsgegevens, de mogelijke nadelige gevolgen van een datalek voor betrokkenen en de noodzaak om de kring van personen met toegangsrechten tot de gegevens te beperken. Hierbij dient ook de huidige stand van de techniek voor beveiliging van gegevensverwerking in beschouwing te worden genomen. De kosten van dergelijke maatregelen moeten in verhouding staan tot de ernst en waarschijnlijkheid van potentiële risico’s. De beveiligingsmaatregelen dienen tot slot regelmatig te worden geëvalueerd zodat deze zo nodig kunnen worden bijgewerkt (Explanatory Report, punt 62 en 63).

Nieuw ten opzichte van het huidige verdrag is de verplichting voor verdragspartijen om in hun nationale recht een meldplicht voor datalekken te regelen (nieuw artikel 7, tweede lid). Deze regeling dient in te houden dat de verwerkingsverantwoordelijke onverwijld ten minste de bevoegde toezichthoudende autoriteit in de zin van artikel 15 van het verdrag in kennis stelt van datalekken die een ernstige inbreuk kunnen vormen op de rechten en fundamentele vrijheden van de betrokkenen (vgl. artikel 33 AVG). Het Explanatory Report noemt als voorbeeld van een dergelijk ernstig datalek de onthulling van persoonsgegevens die vallen onder een beroepsgeheim. In een dergelijk geval dient de verwerkingsverantwoordelijke tenminste de bevoegde toezichthoudende autoriteit op de hoogte te stellen van het incident. De verwerkingsverantwoordelijke dient daarbij tevens melding te doen van alle voorgestelde of reeds genomen maatregelen om het datalek en de gevolgen ervan te adresseren (Explanatory Report, punt 65). De melding van het datalek aan de toezichthoudende autoriteit sluit niet uit dat de verwerkingsverantwoordelijke ook nog andere meldingen doet, of daartoe door de toezichthoudende autoriteit wordt verplicht. Hierbij kan in de eerste plaats worden gedacht aan melding van het datalek aan de betrokkenen, in het bijzonder wanneer het datalek waarschijnlijk leidt tot een significant risico voor hun rechten en vrijheden, zoals in geval van discriminatie, identiteitsdiefstal- of fraude, financiële schade, reputatieverlies of de onthulling van vertrouwelijke gegevens vallend onder een wettelijk beroepsgeheim. In een dergelijke situatie dient de verwerkingsverantwoordelijke adequate en zinvolle informatie te verschaffen over, in het bijzonder, de contactpersonen en mogelijke maatregelen die de betrokkene kan treffen om de nadelige gevolgen van het datalek te mitigeren (Explanatory Report, punt 65).

8.

Hoe wordt de handhaving van dit protocol gewaarborgd? Welke instanties zijn verantwoordelijk voor toezicht en handhaving? Beschikken deze instanties over voldoende middelen en bevoegdheden om effectief op te treden?

Het wijzigingsprotocol voorziet in twee mechanismen voor de handhaving van het gemoderniseerde verdrag. Beide mechanismen bestaan al onder het huidige verdrag, maar worden door het wijzigingsprotocol versterkt.

Het eerste mechanisme betreft de door het verdrag ingestelde Adviescommissie. De Adviescommissie bestaat uit vertegenwoordigers van de verdragspartijen en heeft onder andere de taak om, op verzoek van een verdragspartij, te adviseren over vraagstukken betreffende de toepassing van het verdrag. Zoals de naam al doet vermoeden, heeft de Adviescommissie vooral een adviserende rol. Het wijzigingsprotocol vervangt de Adviescommissie door een nieuw op te richten Verdragscomité, dat naast een adviserende, ook een toezichthoudende rol vervult. Het wijzigingsprotocol kent het Verdragscomité daartoe enkele nieuwe taken toe, waaronder het evalueren van de uitvoering van het verdrag door de verdragspartijen en het aanbevelen van maatregelen die moeten worden genomen wanneer een verdragspartij het verdrag niet naleeft (artikel 23, onder h, van het gemoderniseerde verdrag). Iedere verdragspartij verbindt zich ertoe het Verdragscomité in staat te stellen de doeltreffendheid te beoordelen van de maatregelen die zij in haar regelgeving heeft genomen om uitvoering te geven aan de bepalingen van het verdrag en om actief bij te dragen aan dit evaluatieproces (artikel 4, derde lid, van het gemoderniseerde verdrag). De Adviescommissie werkt momenteel aan de uitwerking van het evaluatiemechanisme. Er is inmiddels een deskundigenverslag en een vragenlijst goedgekeurd over hoe dit mechanisme zou kunnen werken. Zodra het gemoderniseerde verdrag in werking treedt, is het aan het nieuw te vormen Verdragscomité om een nieuw reglement van orde en een toetsings- en evaluatiemechanisme aan te nemen, aangezien de huidige Adviescommissie niet voor het nieuw te vormen Verdragscomité kan beslissen. Het Verdragscomité zal, net als de huidige Adviescommissie, uit de middelen van de Raad van Europa worden gefinancierd.

Het tweede mechanisme betreft de verplichting voor verdragspartijen om een of meer onafhankelijke autoriteiten aan te wijzen die verantwoordelijk zijn voor het toezicht op de naleving van de bepalingen van Conventie 108. Deze verplichting geldt op dit moment alleen voor de 44 verdragspartijen die partij zijn bij het Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens (Trb. 2003, 122 en Trb. 2003, 165, hierna: het Aanvullend Protocol). Voor wat betreft het Koninkrijk der Nederlanden geldt de verplichting alleen voor Europees en Caribisch Nederland. Het wijzigingsprotocol incorporeert deze verplichting in het gemoderniseerde verdrag en breidt de taken en bevoegdheden waarover deze toezichthoudende autoriteiten dienen te beschikken uit. Onder het huidige verdrag dienen deze autoriteiten reeds te beschikken over onderzoeks- en interventiebevoegdheden en de bevoegdheid om in rechte op te treden tegen schendingen van nationaal recht waarmee het verdrag wordt geïmplementeerd dan wel om de bevoegde gerechtelijke autoriteiten op dergelijke schendingen te attenderen. Daarnaast dienen zij klachten, ingediend door personen over de verwerking van hun persoonsgegevens, te behandelen. Het wijzigingsprotocol breidt dit taken- en bevoegdhedenpakket uit en brengt het in lijn met door de AVG voorgeschreven taken- en bevoegdhedenpakket van nationale toezichthoudende autoriteiten. Zo dienen de toezichthoudende autoriteiten op grond van het gemoderniseerde verdrag te beschikken over de bevoegdheid om besluiten te nemen over schendingen van de bepalingen van het verdrag en met name om bestuurlijke sancties op te leggen (vgl. artikel 58 en 83 AVG). Op grond van artikel 11, derde lid, van het gemoderniseerde verdrag zijn hierop beperkte uitzonderingen mogelijk voor zover het verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden betreft. Het is de verantwoordelijkheid van de verdragspartijen om ervoor te zorgen dat de toezichthoudende autoriteiten over voldoende middelen beschikken om hun taken en bevoegdheden effectief uit te kunnen oefenen.

9.

Welke concrete stappen worden ondernomen om dit protocol te implementeren in de nationale wetgeving van Curaçao? Wat is het tijdspad voor deze implementatie?

Door middel van het wetsvoorstel legt de regering twee verdragen die momenteel niet voor Curaçao gelden ter goedkeuring voor aan het parlement, namelijk:

– het op 28 januari 1981 tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens; en

– het op 10 oktober 2018 tot stand gekomen Protocol tot wijziging van het verdrag.

De regering van Curaçao heeft aangegeven dat het wenselijk is dat beide verdragen voor Curaçao zullen gaan gelden. Naast het verkrijgen van parlementaire goedkeuring is daarvoor nodig dat de regelgeving van Curaçao voldoet aan het verdrag en het wijzigingsprotocol, zodat de bepalingen uit beide verdragen kunnen worden nageleefd. De verdragen kunnen voor Curaçao worden geratificeerd nadat de parlementaire goedkeuring is verleend en de noodzakelijke uitvoeringsregelgeving in werking is getreden.

Curaçao en de overige Caribische delen van het Koninkrijk kennen op dit moment uiteenlopende wetgeving die ziet op de bescherming van persoonsgegevens. Door een in 2018 ingestelde interlandelijke werkgroep is onderzocht of harmonisatie van het gegevensbeschermingsniveau van het Caribische deel van Nederland en van de Caribische landen mogelijk is, en zo ja, wat daarvoor nodig is. Ingevolge de conclusie van de werkgroep hebben de Minister van Justitie en Sociale Zaken van Aruba en de Ministers van Justitie van Sint Maarten, van Curaçao en van Nederland (hierna ook wel aangeduid als: de Ministers) in het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 geconstateerd dat het aangewezen is om samen te werken om een geharmoniseerd niveau van gegevensbescherming binnen het Caribisch deel van het Koninkrijk te realiseren. Aangezien er sprake is van regels die de burgers van de landen raken is een wettelijk kader vereist voor deze samenwerking. Het Statuut voor het Koninkrijk biedt daarvoor het instrument van een rijkswet als bedoeld in artikel 38, tweede lid. Met een dergelijk wettelijk kader kunnen de beschermingsregimes voor de verwerking van persoonsgegevens, waaronder begrepen de persoonsgegevens die in het politie- en justitiedomein worden verwerkt, binnen de Caribische delen van het Koninkrijk worden geharmoniseerd en kan het beschermingsniveau worden verhoogd, waarmee tegelijkertijd ook de vrije uitwisseling van persoonsgegevens binnen het Koninkrijk wordt gewaarborgd. De regering verwijst hiervoor naar paragraaf 3 van de memorie van toelichting bij dit voorstel van rijkswet en het antwoord op vraag 2.

Het opstellen van het ontwerp voor de rijkswet is door de Ministers opgedragen aan een interdepartementale werkgroep, waarin vertegenwoordigers van de drie Caribische landen, Europees Nederland en Caribisch Nederland (vertegenwoordigd door Europees Nederland) participeren. Onderdeel van de projectaanpak betrof de voorbereiding van een nota waarin de beleidsmatige afwegingen inzichtelijk worden gemaakt en voorstellen werden gedaan welke als basis konden dienen voor de voorbereiding van een voorstel van een consensusrijkswet. Dit leidde tot de aanbieding door de projectgroep aan het JVO van 7 juli 2021 van een contourennota, waarin op hoofdlijnen de contouren van de rijkswet werden geschetst, inclusief voorstellen met betrekking tot onder andere de reikwijdte, de inhoud en de vormgeving daarvan.

Op dit moment zijn de eerste drie hoofdstukken van het voorstel van rijkswet in concept gereed en door de projectgroep met het JVO gedeeld. Momenteel is voorzien dat een hoofdstuk met slotbepalingen in de tweede helft van 2026 met de betrokken Ministers kan worden gedeeld. Voor Curaçao betreft het onderwerp van de gegevensbescherming een aangelegenheid van het Ministerie van Bestuur, Planning en Dienstverlening, waardoor de desbetreffende bewindspersoon nauw betrokken is bij de verdere ontwikkeling van het voorstel. Gelet op de omvang van de beoogde rijkswet, de complexiteit van de daarin te regelen materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk door de vier landen nog moeten worden gemaakt, is de planning momenteel echter nog met onzekerheden omgeven.

10.

Hoe wordt de bevolking van Curaçao geïnformeerd over de inhoud en de gevolgen van dit protocol? Zijn er voorlichtingscampagnes gepland? Welke middelen worden beschikbaar gesteld om burgers te ondersteunen bij het uitoefenen van hun rechten onder dit protocol? Bijvoorbeeld, hoe kunnen burgers een klacht indienen bij een datalek?

Momenteel is het College bescherming persoonsgegevens van Curaçao in oprichting. Op dit college rust de taak om voorlichting te geven over de bescherming van persoonsgegevens. Ook nadat het gemoderniseerde verdrag voor Curaçao in werking kan treden zal de voorziene toezichthouder zorgdragen voor deze voorlichting aan de bevolking.

11.

Het komt erop neer dat het protocol draait om de bescherming van persoonsgegevens en het privéleven («privacy») van burgers. Hoe wordt in dit digitale tijdperk omgegaan met gegevens van personen, en hoe wordt hun zekerheid bevorderd? Het land moet voorbereid zijn op het toezicht en de handhaving daarvan. Het hebben van een «Facebook-account» bevestigt en accepteert dat de gebruiker de algemene bepalingen van Facebook aanvaardt, waarbij alle persoonlijke gegevens worden vrijgegeven.

De fractie merkt op dat de behandeling van dit voorstel van rijkswet betrekking heeft op de goedkeuring van bestaande verdragen. Er zijn twee (2) artikelen die goedgekeurd moeten worden. Het eerste artikel heeft betrekking op het verdrag uit 1981, betreffende de bescherming van de geautomatiseerde verwerking van persoonsgegevens, dat moet worden goedgekeurd voor Aruba, Curaçao en Sint-Maarten. Het tweede artikel heeft betrekking op de wijzigingen die op 10 oktober 2018 hebben plaatsgevonden in het protocol bij het verdrag betreffende de bescherming van personen in verband met de geautomatiseerde verwerking van persoonsgegevens. Dit laatste geldt voor het hele Koninkrijk. De behandeling van dit voorstel van rijkswet in de Staten van Curaçao heeft betrekking op de goedkeuring van de hiervoor genoemde artikelen.

De fractie haalt aan dat het hier om mensenrechten gaat. Wat zijn mensenrechten? Een voorbeeld hiervan is de vrijheid van godsdienst. Iedereen heeft het recht op vrijheid van godsdienst en vrijheid van meningsuiting. Dit betekent dat mensen volgens religieuze voorschriften mogen leven, hun religieuze opvattingen mogen uitdragen en kritiek mogen uiten zonder toestemming van de regering. De vrijheid van meningsuiting is echter niet onbeperkt en kan in sommige gevallen als onrechtmatig worden gekwalificeerd. Een ander voorbeeld is het discriminatieverbod. Dit zijn fundamentele mensenrechten. De bescherming van persoonsgegevens is nu ook een fundamenteel mensenrecht geworden. Mensenrechten zijn echter geen vaststaand gegeven, ze blijven in ontwikkeling. In de toekomst is het bijvoorbeeld mogelijk dat ook dieren beschermd worden tegen consumptie.

De goedkeuring van het voorstel van rijkswet, wat houdt dat in? Dit is een ondergrens. Elk land is vrij om het vereiste niveau van bescherming van persoonsgegevens te waarborgen. Wat gebeurt er met persoonsgegevens? Het in handen krijgen van iemands mobiele telefoon levert alle informatie van de eigenaar op. Hoe wordt deze persoon beschermd?

De leden van de PNP-fractie vragen terecht aandacht voor de ontwikkelingen in de moderne informatie- en communicatietechnologie, waardoor tegenwoordig steeds grotere hoeveelheden persoonsgegevens worden verwerkt. Sinds de totstandkoming van Conventie 108 in 1981 hebben deze ontwikkelingen een grote vlucht genomen. Een belangrijke doelstelling van het wijzigingsprotocol is dan ook om het verdrag te moderniseren, zodat het ook in de toekomst het hoofd kan (blijven) bieden aan de nieuwe uitdagingen waarvoor het recht op eerbiediging van de persoonlijke levenssfeer zich gesteld ziet. Het gemoderniseerde verdrag houdt daarbij rekening met het feit dat gegevensverwerking in de moderne informatiemaatschappij een alomtegenwoordig fenomeen is.

Zo introduceert het wijzigingsprotocol, in navolging van de AVG, het beginsel van «gegevensbescherming door ontwerp en standaardinstellingen» (privacy by design and default) in het verdrag (artikel 10, tweede en derde lid, van het gemoderniseerde verdrag). Dit beginsel houdt in dat verwerkingsverantwoordelijken en verwerkers verplicht zijn om de gegevensverwerking op zodanige wijze te ontwerpen dat het risico op inmenging met de rechten en vrijheden van betrokkenen wordt voorkomen of tot een minimum beperkt wordt, en technische en organisatorische maatregelen te treffen die het effect op de bescherming van persoonsgegevens in ieder stadium meenemen. Het gebruik van technieken zoals pseudonimisering (vervanging van persoonlijk identificeerbaar materiaal met kunstmatige identificatiemiddelen) en versleuteling (coderen van berichten, zodat alleen gemachtigden ze kunnen lezen) is een voorbeeld van gegevensbescherming door ontwerp. Een voorbeeld van gegevensbescherming door standaardinstellingen is het gebruik van privacy-vriendelijke standaardinstellingen zodat het gebruik van een applicatie of software geen inbreuk maakt op de rechten van betrokkenen, in het bijzonder door de gegevensverwerking te minimaliseren.

12.

Bescherming van persoonsgegevens is een fundamenteel mensenrecht. Bijvoorbeeld, iemand die zich heeft vergist. Hoe kan deze persoon vergeten worden?

De regering neemt aan dat de leden van de PNP-fractie met deze vraag op het recht op gegevenswissing doelen, dat ook wel bekend staat als «het recht op vergetelheid». Dit recht is vastgelegd in artikel 9, eerste lid, onderdeel e, van het gemoderniseerde verdrag. In dit artikel wordt bepaald dat een ieder het recht heeft om op verzoek, kosteloos en zonder overmatige vertraging, die gegevens te doen verbeteren of uitwissen, naar gelang het geval, wanneer deze zijn of worden verwerkt in strijd met de bepalingen van het verdrag. Deze rectificaties en verwijderingen moeten, waar mogelijk, onder de aandacht worden gebracht van de ontvangers van de oorspronkelijke informatie, tenzij dit onmogelijk blijkt of onevenredige inspanningen vereist (Explanatory Report, punt 81). Het recht op gegevenswissing zal doorgaans moeten worden uitgeoefend jegens de verwerkingsverantwoordelijke of verwerker. In uitzonderlijke gevallen kan de toezichthoudende autoriteit als tussenpersoon optreden bij de uitoefening van het recht op gegevenswissing (Explanatory Report, punt 74).

Het recht op gegevenswissing is niet absoluut en kan op grond van artikel 11 van het gemoderniseerde verdrag worden beperkt. Een dergelijke beperking is alleen toegestaan wanneer dit bij wet of landsverordening is bepaald en een noodzakelijke en evenredige maatregel vormt in een democratische samenleving. Zo kan het recht op gegevenswissing worden beperkt voor zover de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke, of voor de uitvoering van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (Explanatory Report, punt 73).

13.

Met de huidige technologieën gaan zijn persoonsgegevens de wereld rond. De fractie geeft een voorbeeld uit de screeningswet voor kandidaat-ministers op Curaçao. Sommige kandidaten die jaren geleden in opspraak waren geraakt, dachten dat zij de toetsing zouden passeren. Later bleek dit niet het geval te zijn. De vraag is: hoe worden de gegevens van deze personen beschermd? De gegevens van deze personen zijn overal terug te vinden. De fractie merkt op dat de beste manier om persoonlijke gegevens te beschermen is door het gebruik van bepaalde applicaties (Apps) te vermijden.

Het recht op bescherming van persoonsgegevens zoals dat wordt uitgewerkt in het gemoderniseerde verdrag is niet absoluut en kan door verdragspartijen worden afgewogen tegen andere fundamentele rechten, vrijheden en belangen. Zo staat het gemoderniseerde verdrag bijvoorbeeld toe dat er uitzonderingen worden gemaakt op verdragsbepalingen ten behoeve van zwaarwegende belangen of staatsaangelegenheden zoals opsporing, nationale veiligheid en defensie, mits de uitzondering bij wet is voorzien, de essentie van de fundamentele rechten en vrijheden eerbiedigt en noodzakelijk en proportioneel is in een democratische samenleving. De regering verwijst hiervoor naar het antwoord op vraag 4.

1.2. Vragen en opmerkingen vanuit de MFK-fractie

De MFK-fractie deelt mee dat, voorafgaand aan de behandeling van dit voorstel van rijkswet in de centrale commissie, de commissie Bestuur, Planning en Dienstverlening (BPD) van de Staten heeft vergaderd met de ambtenaren van Aruba, Sint Maarten en Nederland, die belast zijn met dit voorstel. De behandeling is vervolgens voortgezet in het tripartiete overleg tussen de delegaties van Aruba, Curaçao en Sint Maarten. Dit voorstel van rijkswet heeft betrekking op de bescherming van persoonsgegevens van burgers, een onderwerp dat van groot belang is voor de maatschappij. Niet iedereen is zich bewust van de bescherming van persoonsgegevens. Een voorbeeld hiervan is het internationale datalek van persoonsgegevens en informatie. Vaak weet de persoon zelf niet dat er sprake is van een datalek. Dit gebeurt vaak via verschillende internationale platforms. Datalekken komen onder meer voor bij het gebruik van Facebook en TikTok. TikTok ligt onder vuur in de Amerikaanse Senaat. De Senaat heeft ingestemd met een algeheel verbod op TikTok, in verband met de nationale veiligheid. Dit platform heeft directe toegang tot alle informatie en persoonsgegevens, en de vraag is of de Chinese overheid toegang heeft tot de data van de Amerikaanse regering.

De fractie erkent het belang van dit voorstel van rijkswet. Het is duidelijk dat verschillende platforms algoritmes toepassen om gebruikers te volgen en hun interesses te leren kennen. Veel gebruikers hebben het gevoel dat ze via hun mobiele telefoon worden gevolgd door de applicaties. Deze ontwikkelingen hebben aan de ene kant voordelen voor de gebruiker, maar kunnen ook argwaan wekken. Onder deze omstandigheden is het belangrijk dat de gebruiker zoveel mogelijk wordt beschermd. Uiteraard zijn alle burgers vrij om alles te doen, zolang ze een ander niet schaden.

Tijdens de technische briefing heeft de commissie met de desbetreffende ambtenaren gesproken over dit onderwerp, onder meer over hoe in de praktijk met data moet worden omgegaan. Wat is de beste manier om de regeling en de bescherming van persoonsgegevens uit te voeren? Dit is in principe niet mogelijk zonder een bewustwordingscampagne. Er is een autoriteit (RAAK) ingesteld die zorgdraagt voor de bescherming en het toezicht op data. Volgens de fractie is het voorstel van rijkswet belangrijk, maar dit moet gepaard gaan met een nationale cyberveiligheidswet.

14.

De fractie stemt in met de goedkeuring van het onderhavige voorstel van rijkswet, maar vraagt zich af, wat daarna volgt. Hoe zal de regering van Curaçao hiermee verder omgaan, na goedkeuring van dit voorstel van rijkswet? De bescherming van persoonsgegevens van burgers werkt niet zonder een nationale cyberveiligheidswet. Een voorbeeld hiervan is hacking. De veiligheidsdienst kan volgens de fractie, via hacking, de beschikking krijgen over allerlei datagegevens die later in een opsporingsonderzoek tegen een verdachte gebruikt kunnen worden.

De goedkeuring van het verdrag en het wijzigingsprotocol biedt een internationaal aanvaarde standaard voor de gegevensbescherming. De vervolgstap is een vertaalslag van deze standaard naar een wettelijke regeling van Curaçao.

Onder verantwoordelijkheid van het Ministerie van Verkeer, Vervoer en Ruimtelijke Planning worden concrete stappen gezet om de samenleving weerbaar te maken tegen cyberaanvallen.⁹ Ook in verdragsrechtelijk verband heeft Curaçao stappen gezet. Het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18) is in juni 2024 door het Koninkrijk voor Curaçao bekrachtigd en het verdrag is met ingang van 1 oktober 2024 voor Curaçao in werking getreden (Trb. 2024, 97). Hacking is strafbaar gesteld in artikel 2:69 van het Wetboek van Strafrecht.

15.

De fractie merkt op dat dit verdrag niet door alle landen is geratificeerd. Ook Curaçao heeft dit verdrag nooit geratificeerd. Wat betekent dit voor Curaçao? Wat moet het land Curaçao verder doen?

De regering verwijst naar het antwoord op vraag 9.

16.

Verder krijgen de ontwikkelingen op het gebied van AI wereldwijd steeds meer aandacht. Veel smartphones gebruiken AI. Bijvoorbeeld, de smartphone wordt ontgrendeld door gezichtsherkenning. Dit zijn functies (features) die de gebruiker helpen. Enkele voorbeelden hiervan zijn Siri, Bixby, Google Assistent en Alexa. Het is duidelijk dat deze platforms internationaal proberen om meer over de gebruiker te weten te komen. Door het gebruik van AI-algoritmes kan de smartphone leren hoe de gebruiker zijn of haar apparaat gebruikt. Volgens de fractie bestaat er vooralsnog geen internationale wet die AI-algoritmes (platforms) reguleert. De vraag is of Curaçao dit in de nationale regeling kan vastleggen, vooral in het kader van het gebruik van AI.

De leden van de MFK-fractie signaleren terecht dat het gebruik van kunstmatige intelligentie (artificial intelligence, hierna: AI) de afgelopen jaren een hoge vlucht heeft genomen. Hoewel Conventie 108+ niet specifiek is toegesneden op de regulering van AI, wordt deze nieuwe technologie deels al wel door het gemoderniseerde verdrag gereguleerd. Het verdrag is namelijk ten volle van toepassing op AI-applicaties waarbij sprake is van geautomatiseerde verwerking van persoonsgegevens. Verschillende bepalingen uit het gemoderniseerde verdrag zijn in dit kader relevant. Zo bevat het gemoderniseerde verdrag een recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, dat de betrokkene in aanmerkelijke mate treft, zonder dat met zijn of haar standpunt rekening wordt gehouden (artikel 9, eerste lid, onder a). Daarnaast kan worden gewezen op de beginselen van transparantie (artikel 8) en gegevensbescherming door ontwerp en standaardinstellingen (artikel 10, tweede en derde lid), op het recht om op verzoek in kennis te worden gesteld van de redenering die ten grondslag ligt aan de gegevensverwerking wanneer de resultaten van die verwerking op de betrokkene worden toegepast (artikel 9, eerste lid, onder c), en op de verantwoordingsplicht (artikel 10, eerste lid). Deze nieuwe bepalingen vormen een waardevolle aanvulling op bestaande regels, rechten en beginselen die onder het huidige verdrag al een nuttige functie vervullen bij het reguleren van AI, zoals het doelbindingsbeginsel en het inzagerecht (zie artikel 5 en 8 van het huidige verdrag).

De zojuist genoemde bepalingen beletten Curaçao niet om zelf regels te stellen over het gebruik van AI. De gemoderniseerde conventie laat de nodige ruimte aan verdragspartijen om eigen, specifieke regels te stellen bij de implementatie van het verdrag in het nationale rechtsstelsel. Dit geldt ook voor de regulering van AI-applicaties. De regering verwijst hiervoor naar het antwoord op vraag 3.

Tot slot wijst de regering erop dat binnen de Raad van Europa een nieuw (kader)verdrag is ontwikkeld dat de ontwikkeling, het ontwerp en de toepassing van AI-systemen reguleert en dat gebaseerd is op de standaarden van de Raad van Europa op het gebied van de mensenrechten.¹⁰ Dit Kaderverdrag van de Raad van Europa over artificiële intelligentie en de mensenrechten, de democratie en de rechtsstaat (Trb. 2025, 4) is op 17 mei 2024 aangenomen door het Comité van Ministers van de Raad van Europa, en is op 5 september 2024 voor ondertekening opengesteld. Curaçao maakt momenteel de afweging of medegelding van dit verdrag voor dit land wenselijk is.

17.

Het Justitieel Vierlandenoverleg (JVO) heeft in 2022 steun en financiële hulp toegezegd voor de uitvoering van dit onderwerp. Deze steun geldt voor Curaçao, maar ook voor Aruba en Sint-Maarten. De fractie vraagt hoe het daarmee staat.

De regering heeft in reactie op het verzoek tot bijstand steun toegezegd ten behoeve van de verdere versterking van de capaciteit op het gebied van gegevensbescherming. Deze steun wordt ingezet om een ervaren wetgevingsjurist en een ervaren beleidsmedewerker te werven die de landen in het Koninkrijk zullen ondersteunen bij de ontwikkeling en harmonisatie van wet- en regelgeving en de uitvoering van beleid op dit terrein. Uiteraard werken de wetgevingsjurist en de beleidsmedewerker samen met de Caribische landen om te bezien waarop ingezet moet worden. Vanuit het verzoek tot bijstand zal de wetgevingsjurist worden belast met het opstellen en aanpassen van wet- en regelgeving op het gebied van gegevensbescherming, mede in het licht van de noodzakelijke harmonisatie binnen het Koninkrijk. De beleidsmedewerker zal zich richten op de ontwikkeling van beleid en de bewustwordingscampagne en op de voorbereiding van implementatie en de ondersteuning bij de uitvoering. Aan de vacatures voor deze functies wordt geschreven. Conform de huidige planning zullen geselecteerde kandidaten hun werkzaamheden waarschijnlijk per december 2025 kunnen starten.

1.3. Vragen en opmerkingen vanuit de MAN-fractie

De MAN-fractie merkt op dat het voorstel van rijkswet ook betrekking heeft op informatie en vormen van informatie voor militaire- en veiligheidsdoeleinden. Dit betekent dat deze diensten bevoegdheden hebben over gegevens die als persoonsgegevens kunnen worden gekwalificeerd. De fractie heeft met name vragen en opmerkingen richting de regering van Curaçao.

18.

De Raad van State heeft aangegeven dat de Caribische landen momenteel geen wetten hebben op het niveau van deze verdragen. Wat is de positie van de regering van Curaçao met betrekking tot wetswijzigingen over persoonsgegevens, om deze op het niveau van verdragen vast te stellen?

Gelet op de werkelijkheid van de grensoverschrijdende aard van de uitwisseling van persoonsgegevens heeft de regering van Curaçao medegelding van het verdrag en het wijzigingsprotocol verzocht, opdat de wetgever kan terugvallen op internationaal aanvaarde standaarden om die persoonsgegevens optimaal te kunnen beschermen. Het gemoderniseerde verdrag biedt minimumnormen voor de bescherming van persoonsgegevens zodat de verdragspartijen worden verzekerd van een vergelijkbaar hoog niveau van bescherming.

19.

De Autoriteit Persoonsgegevens heeft in haar brief van 21 februari 2021 aangegeven dat er binnen het Koninkrijk concordantie moet zijn wat betreft wetten en de uitwisseling van informatie in strafrechtelijke onderzoeken en door veiligheidsdiensten. Op dit moment worden gegevens via rechtshulpverzoeken uitgewisseld. Wat is het oordeel van de regering hierover, met name over de uitwisseling van informatie in strafrechtelijke onderzoeken en door veiligheidsdiensten? Wat is het oordeel van de regering over concordantie met andere partners binnen het Koninkrijk op basis van het onderhavige voorstel van rijkswet?

Het Land de Nederlandse Antillen had destijds geen medegelding verzocht voor Conventie 108. De aansluiting bij internationaal aanvaarde standaarden is anno 2025 echter essentieel gezien de technologische ontwikkelingen waarbij grensoverschrijdende gegevensuitwisseling steeds gemakkelijker gaat, economische kansen biedt en zelfs nodig is om als overheid een optimale dienstverlening te kunnen bieden. Het gemoderniseerde verdrag sluit aan op het beschermingsniveau geboden door de AVG en de Richtlijn 2016/680 van de Europese Unie. Daarmee wordt een belangrijke stap gezet om de algemene minimumnormen voor de gegevensbescherming als fundamenteel recht binnen het Koninkrijk te harmoniseren. Beslissingen ten aanzien van de implementatie van het verdrag betreffen een autonome aangelegenheid van Curaçao.

In Curaçao geldt sinds 2013 de Landsverordening bescherming persoonsgegevens. De landsverordening voorziet in een toezichthouder zoals door het gemoderniseerde verdrag voorgeschreven. Het operationaliseren van de toezichthouder is in voorbereiding. Om het door het gemoderniseerde verdrag voorziene niveau van bescherming te kunnen bieden, dient het wettelijk kader van Curaçao echter te worden aangepast. Dit is niet ongebruikelijk bij de aansluiting bij internationale standaarden. Inspanningen hiertoe worden reeds verricht in samenwerking met de andere landen van het Koninkrijk.

Daarnaast is harmonisatie van de normen voor gegevensbescherming een punt van aandacht gelet op de nauwe samenwerking tussen de landen van het Koninkrijk op het gebied van de rechtshandhaving en het feit dat het land Nederland gebonden is aan Europese regels op dit gebied. Curaçao heeft momenteel een landsverordening ter uitvoering van artikel 39, vierde lid, van de Rijkswet politie in voorbereiding. De totstandkoming hiervan zal deels tegemoet komen aan de zorgen die door de fractie worden geuit.

De goedkeuring van verdragen geschiedt in goed overleg en geregeld op verzoek van een of meer landen. Voor het verdrag en het wijzigingsprotocol is de goedkeuring voor alle landen in een rijkswet neergelegd. Het onderwerp van het verdrag, gegevensbescherming, is geen onderwerp als bedoeld in artikel 39 van het Statuut voor het Koninkrijk. Bij het implementeren van bijvoorbeeld strafrechtelijke onderdelen, zal op basis van het concordantiebeginsel worden geanalyseerd of de procedure neergelegd in artikel 39 aan de orde is. In de regel vindt overleg plaats over wijzigingen van de wetboeken van strafrecht.

20.

Curaçao heeft een autoriteit ingesteld om toezicht te houden op en controle uit te oefenen over de manier waarop wordt omgegaan met persoonsgegevens. Betekent het goedkeuren van dit verdrag dat Curaçao haar wetten en regelingen moet aanpassen om uitvoering te kunnen geven aan de normen van dit verdrag?

Door uitdrukkelijke goedkeuring te verlenen stemt het parlement ermee in dat Curaçao gebonden wordt aan de verdragen. Zoals bij de implementatie van verdragen in het algemeen het geval is, zal Curaçao de eigen wetgeving toetsen aan de normen van het verdrag en zo nodig aanpassen. Zodra deze uitvoeringsregelgeving in werking is getreden, kunnen het verdrag en het wijzigingsprotocol gaan gelden voor Curaçao. Zie ook de beantwoording van vraag 9.

21.

Wat is de visie en het beleid van de regering met betrekking tot de verwerking en bescherming van persoonsgegevens op basis van dit voorstel van rijkswet? Dit heeft volgens de fractie ook invloed op de destijds ingestelde autoriteit.

Met het verzoek om medegelding van het verdrag en dus aansluiting bij internationale standaarden geeft de regering van Curaçao blijk van een duidelijke visie die recht doet aan het grensoverschrijdende karakter van gegevensuitwisseling. Daarbij is leidend dat gegevensbescherming een fundamenteel recht is ter bescherming van de persoonlijke levenssfeer. Ook de bewoners van Curaçao moeten beschermd worden tegen schendingen van dit recht. Conventie 108+ geeft internationaal aanvaarde standaarden die deze bescherming waarborgen, onder meer door het beschrijven van de rol en taken van een toezichthoudende autoriteit. Zoals hierboven aangegeven is het aanpassen van wetgeving aan een verdrag waarvan medegelding wenselijk wordt geacht over het algemeen vereist. Ook kan vanuit de Raad van Europa ondersteuning worden geboden voor de verdere ontwikkeling van expertise op het gebied van de gegevensbescherming.

De Staatssecretaris van Justitie en Veiligheid,
A.C.L. Rutte

---

1. Een geconsolideerde versie van Conventie 108, zoals gewijzigd door het wijzigingsprotocol, kan worden geraadpleegd via de volgende link: https://rm.coe.int/16808ade9d.↩︎

2. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB EU 2016, L 119, blz. 1).↩︎

3. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB EU 2016, L 119, blz. 89).↩︎

4. Zie overweging 105 van de preambule bij de AVG.↩︎

5. Om rekening te houden met het EU-rechtelijke doorgifteregime, voorziet de gemoderniseerde conventie in een uitzondering op artikel 14 voor een verdragspartij die «gebonden is door geharmoniseerde beschermingsregels die worden gedeeld door Staten die lid zijn van een regionale internationale organisatie» (artikel 17 van het wijzigingsprotocol). Deze uitzondering stelt buiten twijfel dat de EU-lidstaten – die alle partij zijn bij Conventie 108 – het restrictieve EU-doorgifteregime kunnen (blijven) toepassen op derde landen die partij zijn bij Conventie 108.↩︎

6. Kamerstukken II 2023/24, 36 455 (R2188), nr. 3.↩︎

7. Kamerstukken II 2023/24, 36 455 (R2188), nr. 8.↩︎

8. Het Explanatory Report kan worden geraadpleegd via de volgende link: https://rm.coe.int/16808ac91a.↩︎

9. https://www.caricert.cw/↩︎

10. Zie nader de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 6 maart 2023, Kamerstukken II 2022/23, 26 643, nr. 1006.↩︎