34889 Advies Afdeling advisering Raad van State inzake wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen
Wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen
Advies Afdeling advisering Raad van State
Nummer: 2018D05884, datum: 2018-02-16, bijgewerkt: 2024-02-19 10:56, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: J.P.H. Donner, vicepresident van de Raad van State (Ooit CDA kamerlid)
Onderdeel van zaak 2018Z02898:
- Indiener: S. Dekker, minister voor Rechtsbescherming
- Medeindiener: A.Th.B. Bijleveld-Schouten, minister van Defensie
- Volgcommissie: vaste commissie voor Defensie
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2018-02-20 15:10: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2018-03-14 14:30: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2018-03-29 14:00: Wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen (34889) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Justitie en Veiligheid
- 2018-05-23 14:30: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2018-05-24 14:40: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2018-06-12 15:05: Stemmingen (Stemmingen), TK
Preview document (🔗 origineel)
No.W16.17.0366/II 's-Gravenhage, 22 december 2017
...................................................................................
Bij Kabinetsmissive van 8 november 2017, no.2017001884, heeft Uwe Majesteit, op voordracht van de Minister voor Rechtsbescherming, mede namens de Minister van Defensie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met memorie van toelichting.
Met dit wetsvoorstel wordt de richtlijn gegevensbescherming opsporing en vervolging van strafbare feiten1 (richtlijn) geïmplementeerd. De richtlijn heeft tot doel de bescherming van natuurlijke personen in het kader van de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing of vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en voorkoming van gevaren voor openbare veiligheid.
De Afdeling advisering van de Raad van State constateert dat uit onderzoek blijkt dat de toepassing van de gegevensbeschermingswetgeving op het gebied van politie en justitie al langere tijd een bron van aandacht en zorg is. Voorts wijst de Afdeling erop dat de bestaande Wet politiegegevens (wpg) en de Wet justitiële en strafvorderlijke gegevens (wjsg) complex zijn en niet goed op elkaar aansluiten. De uitvoering wordt verder bemoeilijkt door problemen met de ICT-voorzieningen. De implementatietermijn voor de richtlijn is kort, vandaar dat ervoor is gekozen deze eerst te implementeren in de bestaande wpg en wjsg. Het is de bedoeling dat beide wetten na de inwerkingtreding van het voorliggende implementatievoorstel worden herzien en geïntegreerd. De beide wetten hebben dan ook een tijdelijk karakter en de praktijk zal in betrekkelijk korte tijd met twee herzieningen worden geconfronteerd. Gezien de problematische uitvoering van de huidige wetten is het naar het oordeel van de Afdeling de vraag of het implementatiewetsvoorstel zal leiden tot een adequate uitvoering van de gegevensbeschermingswetgeving door politie en justitie, te meer omdat de richtlijn en het implementatievoorstel nieuwe complexe en vage normen en verplichtingen bevatten.
De Afdeling adviseert om in de toelichting nader in te gaan op de uitvoering van het voorstel in de praktijk, in het bijzonder de vraag op welke wijze de vage normen zullen worden gehanteerd en op de realisering van de voor een goede uitvoering noodzakelijke ICT-voorzieningen. Voorts adviseert de Afdeling om in de toelichting in te gaan op het punt van opleiding en scholing van degenen die met de gegevensverwerking te maken hebben.
1. Hoofdlijnen richtlijn en wetsvoorstel
Het voorstel is onderdeel van een breder pakket aan wetgeving dat de richtlijn en de Algemene Verordening gegevensbescherming2 (AVG) implementeert. De richtlijn heeft specifiek tot doel de bescherming van natuurlijke personen in het kader van de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing of vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en voorkoming van gevaren voor openbare veiligheid.3 De richtlijn en het voorstel bevatten ten opzichte van de bestaande wetgeving een aantal nieuwe verplichtingen voor de verwerkingsverantwoordelijke, met name:
de verplichting om betrokkenen actief te informeren over de gegevensverwerking;4
de verplichting om logbestanden bij te houden;5
de verplichting om datalekken te melden aan de toezichthoudende autoriteit en betrokkene;6
de verplichting om concrete maatregelen te treffen ter beveiliging van de verwerkte gegevens;7
de verplichting om een functionaris gegevensbescherming te benoemen.8
Daarnaast bevat de richtlijn verplichtingen die deels al in de wetgeving zijn opgenomen:
de verplichting om een register bij te houden van verwerkingsactiviteiten;9
de verplichting om voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten indien de verwerking een hoog risico voor de rechten van betrokkenen oplevert10;
de verplichting om voorafgaand aan de verwerking de toezichthoudende autoriteit te raadplegen over nieuwe databestanden indien de verwerking een hoog risico voor de rechten van betrokkenen oplevert.11
Ook bevat de richtlijn regels over de positie, taken en bevoegdheden van de nationale toezichthoudende autoriteit en over het Europees Comité voor gegevensverwerking (Comité).12 De richtlijn bepaalt dat dit Comité, opgericht op grond van de AVG, onder meer bevoegd is om op eigen initiatief onderzoek te doen naar de toepassing van de richtlijn. Verder is het Comité belast met het opstellen van richtsnoeren, aanbevelingen en beste praktijken, teneinde de consequente toepassing van de richtlijn te bevorderen.13 In het wetsvoorstel wordt de Autoriteit persoonsgegevens (AP) als nationale toezichthouder aangewezen.
De richtlijn en de AVG sluiten elkaar uit. Waar de richtlijn geldt is de AVG niet van toepassing en andersom.14 De richtlijn laat toe dat in het nationale recht uitgebreidere waarborgen worden opgenomen dan die waarin de richtlijn voorziet. Dit betekent dat waar de bestaande wpg en de wjsg uitgebreidere waarborgen bieden, die waarborgen kunnen worden gehandhaafd.15
Gelet op de relatief korte implementatietermijn tot mei 2018 is geen “extra” nationaal beleid meegenomen.16 Volgens de toelichting zal, zodra het voorliggende implementatiewetsvoorstel in werking is getreden, de naar aanleiding van de wetsevaluaties van de wpg en de wjsg17 aangekondigde herziening en integratie van de wpg en de wjsg in voorbereiding kunnen worden genomen.18 Dat betekent dus, zoals de toelichting ook vermeldt, over enkele jaren wederom een herziening.
2. Adequate uitvoering
In paragraaf 9.1 van de toelichting wordt kort ingegaan op de impact van het wetsvoorstel. Vermeld wordt dat de gevolgen van de richtlijn op de taken die hieronder vallen per verplichting en per organisatie verschillen.19 De Afdeling acht de toelichting over de uitvoeringsgevolgen te summier gezien de complexiteit en omvang van het wetsvoorstel, en ook tegen de achtergrond van het gegeven dat de ervaringen met de gegevensbeschermingswetgeving op het terrein van politie en justitie, al langere tijd een punt van aandacht en zorg zijn.
Naar aanleiding van de in 2013 uitgevoerde evaluaties20 van de wpg en de wjsg kondigde de minister in 2014 aan dat beide wetten moeten worden gemoderniseerd.21 Uit een in 2015 uitgevoerde Privacyaudit bleek wederom dat de politie op essentiële punten nog niet voldoet aan de wet, namelijk als het gaat om het autoriseren, verstrekken, protocolleren, bewaartermijnen en rechten van betrokkenen.22 In 2016 is een meerjarig verbeterplan tot stand gekomen23 dat loopt tot 2019.24 In de toelichting wordt geen melding gemaakt van de actuele stand van zaken met betrekking tot de uitvoering van het verbeterplan en de wijzigingen in ICT-structuren25 die nodig zijn met het oog op een rechtmatige gegevensverwerking.26
Tegen deze achtergrond moeten de uitvoeringsaspecten van het wetsvoorstel nadrukkelijker in de toelichting aan de orde komen. De verplichtingen van degenen die verantwoordelijk zijn voor de gegevensverwerking, de ‘verantwoordelijken’, worden fors uitgebreid. Daarbij gaat het nogal eens om complexe regels, met vele uitzonderingen en om dikwijls vage normen. Als voorbeeld wijst de Afdeling op de nieuw voorgestelde verplichting van de verwerkingsverantwoordelijke om datalekken te melden aan de AP. Van melding aan de AP kan echter worden afgezien als het niet waarschijnlijk is dat een inbreuk “een risico” voor de rechten en vrijheden van personen met zich meebrengt. Ook moet de verantwoordelijke een inbreuk melden aan de betrokkene als deze een “hoog risico” voor de rechten van betrokkene met zich meebrengt. Van mededeling aan de betrokkene kan weer worden afgezien als de verantwoordelijke “passende technische organisatorische maatregelen” heeft getroffen of de mededelingen “een onevenredige inspanning” zou vergen.27 Verder wijst de Afdeling op de voorgestelde gegevensbeschermingseffectbeoordeling. Dit onderzoek door de verantwoordelijke is voorgeschreven “wanneer een soort verwerking, gelet op de aard, omvang, de context, of doelen ervan, waarschijnlijk een hoog risico voor de rechten van betrokkenen oplevert”.28 Verder wijst de Afdeling nog op de voorgestelde ‘privacy by design’ en ‘privacy by default’. Dit houdt in dat al bij het ontwerpen en vaststellen van middelen van verwerking (zoals de ontwikkeling van programmatuur) passende technische maatregelen worden getroffen.29 Met het oog op de invulling van deze en andere vage normen is van belang dat deze slechts tot op zekere hoogte zal worden gerealiseerd door de richtsnoeren, aanbevelingen en beste praktijken, die het Comité zal opstellen. Bovendien zal het enige tijd in beslag kunnen nemen voordat het Comité deze richtsnoeren heeft opgesteld.
Ten slotte merkt de Afdeling op dat de uitvoering wordt bemoeilijkt doordat op terreinen die dicht tegen elkaar aanliggen twee verschillende regimes zullen gelden: de uitvoering van de politietaak valt onder de richtlijn en de uitvoering door de politie van de taken ten dienste van justitie onder de AVG.30 In de toelichting wordt dit ook opgemerkt. Vermeld wordt dat de voorgestelde afbakening tussen het regime van de richtlijn en dat van de AVG betekent dat de verwerkingsverantwoordelijke en de verwerker zich te allen tijde bewust moeten zijn van de vraag welke gegevens zij verstrekken.31
Geconcludeerd kan dus worden dat een adequate uitvoering van het implementatiewetsvoorstel grote inspanningen zal vergen. Dit vanwege de gebrekkige toepassing van de bestaande wetgeving, de met het oog op een goede uitvoering noodzakelijke modernisering van de ICT-structuren en de omstandigheid dat uitvoeringsinstanties met verschillende beschermingsregimes moeten werken. De Afdeling adviseert dan ook om in de toelichting nader in te gaan op de uitvoering van het voorstel in de praktijk en daarbij in het bijzonder aandacht te besteden aan de vraag op welke wijze de vage normen zullen worden gehanteerd en op de voor een goede uitvoering benodigde ICT-voorzieningen. Verder adviseert de Afdeling in de toelichting in te gaan op het punt van opleiding en scholing van degenen die belast zijn met de gegevensverwerking.
3. Technologische ontwikkelingen
De uitvoeringsproblematiek wordt verder gecompliceerd door de steeds sneller gaande technische ontwikkelingen. Zo zijn er steeds meer mogelijkheden om op grote schaal gegevens te analyseren en te gebruiken, met behulp van zogeheten ‘big data’: grote hoeveelheden gestructureerde data die uit verschillende bronnen afkomstig zijn en die op geautomatiseerde wijze op mogelijke correlaties kunnen worden doorzocht en geanalyseerd. Het gebruik van big data analyses biedt kansen, ook voor gebruik door de overheid. Volgens de regering kan het bijdragen aan een efficiënter en effectiever gebruik van gegevens door politie en justitie, bijvoorbeeld om preventief te kunnen optreden.32 Bij nieuwe opsporingstechnieken zoals predictive policing, waar data worden gebruikt om crimineel gedrag te voorspellen en als het kan in te grijpen nog voordat een strafbaar feit is gepleegd, zijn data-analyses voor de politie van groot belang.33
Deze technologische ontwikkelingen lijken vergaande gevolgen te gaan hebben voor de wetgeving en voor de basisprincipes die daaraan ten grondslag liggen.34
De richtlijn, die in hoofdzaak een voortzetting is van het in Kaderbesluit dataprotectie35 neergelegde regelgevingskader,36 brengt met het oog op de technische ontwikkelingen slechts op een beperkt aantal punten vernieuwingen. Voorbeelden daarvan zijn het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering)37 en de verplichting voor de verwerkingsverantwoordelijke om gebruik te maken van ‘privacy by design’ en ‘privacy by default’.
Ondanks deze aanpassingen is het de vraag of en in hoeverre de richtlijn en het voorstel zijn toegerust op de technische ontwikkelingen met inbegrip van nieuwe opsporingstechnieken. In het bijzonder gaat het om de vraag of deze leiden tot een effectieve bescherming van de algemene beginselen van gegevensbescherming en tegelijk bruikbaar blijven voor de uitvoeringspraktijk. Tegen deze achtergrond zou in de noodzakelijke uitvoeringsbegeleiding (zie hiervoor punt 2) nadrukkelijk aandacht besteed moeten worden aan de wijze waarop de technische ontwikkelingen zoals hiervoor geschetst kunnen worden geïncorporeerd in de praktische toepassing van het implementatievoorstel of geregeld in andere wetgeving.
De Afdeling adviseert in de toelichting op het bovenstaande in te gaan, in het bijzonder op de wijze waarop de onderhavige regelgeving is toegesneden op de genoemde technische ontwikkelingen.
4. Reikwijdte wpg
De richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.38
Volgens overweging 12 bij de richtlijn zijn “de door de politie of andere rechtshandhavingsautoriteiten verrichte activiteiten hoofdzakelijk gericht op de voorkoming, het onderzoek, de opsporing of vervolging van strafbare feiten, met inbegrip van politieactiviteiten waarbij vooraf niet bekend is of een voorval al dan niet een strafbaar feit is. Tot die activiteiten behoren ook de uitoefening van gezag door het nemen van dwangmaatregelen zoals politieactiviteiten bij demonstraties, belangrijke sportevenementen of rellen.” Zij omvatten ook de rechts- en ordehandhaving, aldus overweging 12. Voorts stelt overweging 12 dat “de lidstaten de bevoegde autoriteiten [kunnen] belasten met andere taken die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, opsporing, het onderzoek, de opsporing en vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor de andere doeleinden binnen het toepassingsgebied van de Verordening valt.”39
Uit de tekst van de richtlijn en uit overweging 12 blijkt dat het mogelijk is om politie taken die aanpalend zijn aan de voorkoming en opsporing van strafbare feiten als bedoeld in de richtlijn, onder het regime van de richtlijn te brengen.
In het wetsvoorstel zijn, voor zover relevant, naast de strafrechtelijke handhaving van de rechtsorde, tevens de politietaken handhaving van de openbare orde en hulpverlening gebracht.40
Volgens de Afdeling biedt de richtlijn onmiskenbaar de ruimte om de handhaving van de openbare orde taak als onderdeel van de politietaak onder de reikwijdte van de richtlijn te scharen. Dit blijkt expliciet uit de voorbeelden die in overweging 12 worden genoemd zoals het nemen van dwangmaatregelen bij rellen; bovendien is hier een nauw verband met de opsporing en vervolging.41
Voor wat betreft de hulpverlening als onderdeel van de politaak is echter minder duidelijk dat deze binnen de reikwijdte van de richtlijn valt, omdat de hulpverlening niet uitdrukkelijk in overweging 12 wordt genoemd en deze taak niet zonder meer is gelieerd aan opsporing en vervolging, zoals de toelichting stelt.42 Weliswaar is in de toelichting bij de huidige Wet politiegegevens gesteld dat het lastig is de hulpverlening te scheiden van de andere politietaken;43 dat neemt echter niet weg dat er veel situaties zijn waarin de hulpverlening op zichzelf staat. Te denken valt bijvoorbeeld aan politiemensen die na een melding een persoon thuisbrengen die, waarschijnlijk als gevolg van dementie, van huis is vertrokken en dwalend op straat is aangetroffen.
De Afdeling acht het praktisch en duidelijk voor de politie om de hulpverleningstaak, die thans ook onder de wpg valt, binnen de reikwijdte van de wpg te houden. Dit betekent immers dat de politie bij de uitvoering van al haar taken, bedoeld in artikel 3, van de Politiewet 2012, onder het regime van de wpg blijft vallen. De Afdeling meent echter dat met het oog op de gewenste duidelijkheid zoals hiervoor bedoeld een nadere motivering in het licht van overweging 12 van de richtlijn geboden is.
Gelet op het voorgaande adviseert de Afdeling om de keuze om de hulpverleningstaak onder het regime van de richtlijn te brengen nader te motiveren.
5. Bestuurlijke boetes
Voorgesteld wordt de bestaande bestuurlijke boete voor het niet registeren van gegevensverwerkingen te verhogen van € 20.500 tot € 82.000 en eenzelfde boete te kunnen opleggen wegens het niet melden van een datalek.44
De AP adviseert om in aansluiting met de AVG de bepalingen waarvoor een bestuurlijke boete kan worden opgelegd aan te vullen, en de boetemaxima te heroverwegen in aansluiting met de verordening.45 Daarbij heeft de AP een lijst van overtredingen voorgesteld waarvoor een bestuurlijke boete zou dienen worden opgelegd.
In reactie op het advies van de AP stelt de minister dat de richtlijn, anders dan de AVG, de lidstaten niet verplicht om bepaalde bevoegdheden tot handhaving toe te delen aan de AP. De richtlijn volstaat met de verplichting voor lidstaten te voorzien in effectieve bevoegdheden.46 Voor de implementatie van dit onderdeel is volgens de regering aangesloten bij de huidige regeling op basis van de wpg en de wjsg.47
Het gevolg van aansluiting bij de huidige regeling op basis van de wpg en wjsg is dat de voorgestelde bestuurlijke boetes voor politie en justitie sterk afwijken van overtreding van soms dezelfde normen door andere overheidsorganen of instanties op grond van de AVG. Zo kan overtreding van de meldplicht door de belastingdienst op grond van de AVG worden bestraft met een bestuurlijke van maximaal € 10.000.000,48 terwijl dezelfde overtreding door politie en justitie kan leiden tot maximaal € 82.000 boete voor de verwerkingsverantwoordelijke. Bovendien valt de politie, wanneer zij optreedt ter uitvoering van andere taken dan de politietaken, onder het regime van de AVG en kunnen dan de hoge bestuurlijke boetes op grond van de AVG worden opgelegd.49 Voorts is het gevolg van het wetsvoorstel dat voor tal van normen waarvoor op grond van de AVG een boete kan worden opgelegd, een bestuurlijke boete op grond van de wpg en de wjsg volgens het voorstel niet mogelijk zal zijn. De toelichting gaat niet in op deze verschillen. In het bijzonder is de vraag hoe deze verschillen zich verhouden tot het door de regering onlangs ingenomen standpunt dat het bieden van de mogelijkheid tot het opleggen van boetes bij een inbreuk door de overheid het belangrijke signaal afgeeft dat ook de overheid zelf zich heeft te houden aan de verplichtingen van het gegevensbeschermingsrecht en hierin niet anders wordt behandeld dan het bedrijfsleven.50
Gelet op het voorgaande adviseert de Afdeling in de toelichting nader in te gaan op de discrepantie tussen de regeling van de bestuurlijke boetes in de AVG en die in het voorstel.
6. Verwerking van bijzondere categorieën gegevens
a. Passende waarborgen bij de verwerking van bijzondere
categorieën gegevens
Verwerking van bijzondere gegevens zoals ras, etnische afkomst of
genetische en biometrische gegevens is volgens artikel 10 van de
richtlijn slechts toegelaten wanneer dit:
strikt noodzakelijk is en
geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van betrokkene.51
De voorgestelde artikelen 5 wpg en 39c, derde lid, wjsg bepalen dat verwerking van bijzondere gegevens slechts plaatsvindt in aanvulling op de verwerking van andere gegevens en voor zover dit voor het doel van de verwerking onvermijdelijk is.52 Volgens de toelichting vindt de verwerking slechts plaats “wanneer dit onvermijdelijk is, met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene. De passende waarborgen dienen bij wet te worden vastgelegd. De passende waarborgen voor de betrokkene kunnen bijvoorbeeld inhouden dat de gegevens enkel mogen worden verzameld in samenhang met andere gegevens over de natuurlijke persoon in kwestie, dat de verzamelde gegevens afdoende kunnen worden beveiligd, dat strengere regels gelden voor de toegang van het personeel van de bevoegde autoriteit tot de gegevens, en dat de doorzending van die gegevens wordt verboden (overweging 37 van de richtlijn). Met het vereiste dat de gegevens worden verwerkt in aanvulling op de verwerking van andere politiegegevens wordt hieraan invulling gegeven, aldus de toelichting.”53
De AP heeft in haar advies erop gewezen dat de richtlijn naast ‘strikte noodzaak’ tevens passende waarborgen vereist en dat de passende waarborgen in het wetsvoorstel zijn beperkt tot het vereiste dat de verwerking slechts plaatsvindt in aanvulling op de verwerking andere politiegegevens. 54 In reactie daarop vermeldt de toelichting dat “het vereiste van strikte noodzaak impliceert dat strenge regels gelden voor de toegang tot de gegevens en dat niettemin is gekozen het criterium van onvermijdelijkheid, dat thans in de wet wordt gesteld, te handhaven.”55
De Afdeling merkt op dat de toelichting zoals hiervoor weergegeven er expliciet van uitgaat dat de passende waarborgen in de wet worden vastgelegd.56 In lijn hiermee is ook de verwerking in aanvulling op andere gegevens als passende waarborg in artikel 5 wpg57 opgenomen. Voor zover de regering meent dat andere passende waarborgen (zoals geclausuleerde toegang tot de gegevens en de andere voorbeelden die in lijn met overweging 37 in de toelichting worden genoemd) in de eis van onvermijdelijkheid van de verwerking moeten worden “ingelezen”, strookt dat niet met de hiervoor geciteerde passages uit de toelichting. De Afdeling adviseert met het oog op de duidelijkheid van de regeling – het gaat hier immers om de verwerking van bijzondere persoonsgegevens – alle passende waarborgen ook in het wetsvoorstel op te nemen.
b. Passende maatregelen bij geautomatiseerde individuele besluitvorming
Volgens artikel 11, eerste lid, richtlijn zijn besluiten die uitsluitend op geautomatiseerde verwerking berusten, zoals profilering,58 en die voor de betrokken nadelige rechtsgevolgen hebben, verboden, tenzij het besluit voorziet in passende waarborgen voor de rechten en vrijheden van betrokkene, waaronder tenminste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke. Volgens het tweede lid mogen de in het eerste lid bedoelde besluiten niet gebaseerd zijn op de bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten en vrijheden en de legitieme belangen van de betrokkene zijn getroffen.
i. ‘maatregelen’
De implementatie van deze bepalingen is als volgt voorgesteld: artikel 7a, eerste lid, wpg, en artikel 7e, eerste lid, wjsg bepalen dat een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking en dat voor de betrokkene nadelige rechtsgevolgen heeft of hem in aanmerkelijke mate treft, is verboden, tenzij het besluit voorziet in het recht op menselijke tussenkomst van de zijde van de verwerkingsverantwoordelijke en wordt voorzien in specifieke voorlichting aan de betrokkene.59 Volgens het tweede lid wordt een besluit als bedoeld in het eerste lid, niet gebaseerd op gevoelige politiegegevens tenzij dit strikt noodzakelijk is voor het doel van de verwerking en het besluit voorziet in het recht op menselijke tussenkomst van de zijde van de verantwoordelijke.
De Afdeling is van oordeel dat met de voorwaarde dat een besluit niet wordt gebaseerd op bijzondere gegevens, tenzij dit strikt noodzakelijk is, en de voorwaarde dat is voorzien in het recht op menselijke tussenkomst niet is voldaan aan de vereiste ‘passende maatregelen’, zoals bedoeld in artikel 11, tweede lid, van de richtlijn. Beide genoemde voorwaarden gelden immers al voor het toepassen van geautomatiseerde verwerking op grond van 7a, eerste lid, en voor het verwerken van gevoelige gegevens, op grond van artikel 5. Met het vereiste van ‘passende maatregelen’, als bedoeld in artikel 11, tweede lid, richtlijn, wordt klaarblijkelijk bedoeld dat, in aanvulling op de passende waarborgen bedoeld in artikel 11, eerste lid, wordt voorzien in extra maatregelen voor de geautomatiseerde verwerking met gebruikmaking van bijzondere gegevens. Bij een andere uitleg zou het richtlijnvoorschrift van ‘passende maatregelen’, als bedoeld in artikel 11, tweede lid, zinledig zijn ten opzichte van het vereiste van passende waarborgen van artikel 10 en 11, eerste lid, van de richtlijn.60
De Afdeling adviseert derhalve in het wetsvoorstel een nadere invulling te geven aan het vereiste van ‘passende maatregelen’ als bedoeld in artikel 11, tweede lid, van de richtlijn.
ii. menselijke tussenkomst
Bij geautomatiseerde verwerking die bedoeld is om een beeld te krijgen van bepaalde persoonlijke aspecten van betrokkene is volgens de overwegingen van de richtlijn het recht op menselijke tussenkomst van de zijde van de verwerkingsverantwoordelijke een van de passende waarborgen als bedoeld in artikel 11, eerste lid, van de richtlijn. De bedoeling van dit recht is dat betrokkene zijn standpunt kenbaar kan maken, dat hij uitleg over het na een dergelijke beoordeling genomen besluit kan krijgen en om eventueel te kunnen opkomen tegen het besluit.61
In het voorstel is dit recht opgenomen in de artikelen 7a, eerste lid, wpg en 7e, eerste lid, wjsg. In de toelichting wordt vermeld dat “In het licht van de mogelijkheden die door de richtlijn wordt geboden wordt voorgesteld te voorzien in de verplichting de betrokkene in staat te stellen te verzoeken om menselijke tussenkomst van de verantwoordelijke en te voorzien in specifieke voorlichting aan de betrokkene, zodat de betrokkene in staat wordt gesteld zijn standpunt kenbaar te maken of uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit.” De wijze waarop dat recht wordt vormgegeven is niet uitgewerkt. De genoemde passage uit de toelichting is slechts een herhaling van wat in overweging 38 van de richtlijn reeds wordt vermeld.
De Afdeling adviseert in de toelichting te expliciteren op welke wijze het recht op menselijke tussenkomst nader wordt vormgegeven en het wetsvoorstel zo nodig aan te passen.
7. Termijnen verzoek om inzage en rectificatie
De Afdeling constateert dat er een onderscheid is tussen de justitiële en de strafvorderlijke gegevens waar het gaat om de termijn voor inzage en rectificatie van de gegevens, namelijk 4 en 6 weken met de mogelijkheid van verlenging.62 Hoewel deze verschillende termijnen ook in de bestaande wjsg voorkomen, is niet duidelijk waarom dit onderscheid noodzakelijk is. Op het punt van de termijnen bestaat eveneens een onderscheid met betrekking tot de politiegegevens: op grond van het voorgestelde artikel 25 wpg is de termijn zes weken met de mogelijkheid van verlenging voor 4-6 weken. De toelichting gaat op deze verschillen niet in.
De Afdeling adviseert dit alsnog te doen, dan wel uniforme termijnen te hanteren.
8. Redenen voor afwijzing van het recht op inzage, rectificatie en vernietiging
Artikel 21, derde lid, wjsg regelt dat het verzoek tot inzage, rectificatie of vernietiging van de gegevens geheel of gedeeltelijk kan worden afgewezen. Dit artikellid is de implementatie van artikel 15, derde lid, en 16, vierde lid, richtlijn. Anders dan de richtlijn en het voorgestelde artikel 27, tweede lid, wpg bevat artikel 21, derde lid, echter geen verplichting de redenen voor afwijzing aan betrokkene mede te delen.63
De Afdeling adviseert daarin in alsnog te voorzien.64 Voorts adviseert de Afdeling in de toelichting nader aan te geven welke redenen voor de afwijzing van het verzoek kunnen worden gegeven.
9. Onderscheid naar categorieën personen
Artikel 6 van de richtlijn schrijft voor dat de verwerkingsverantwoordelijke zoveel mogelijk een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen zoals personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen, veroordeelden, slachtoffers en andere betrokkenen, zoals getuigen.
Het valt de Afdeling op dat in de voorgestelde artikelen 6b van de wpg (politiegegevens) en 39b, tweede lid, van de wjsg (strafvorderlijke gegevens) verschillende categorieën van personen worden gehanteerd. De reden voor dit onderscheid is niet duidelijk. Het gaat immers vaak om dezelfde soort gegevens. Uit een oogpunt van duidelijkheid en uniformiteit verdient het aanbeveling om in de genoemde wettelijke bepalingen zoveel mogelijk dezelfde categorieën personen te hanteren.
De Afdeling adviseert in de wpg en de wjsg zoveel mogelijk uit te gaan van dezelfde categorieën personen voor wat betreft de verwerking van politiegegevens en de strafvorderlijke gegevens en de eventueel noodzakelijke verschillen in categorieën te motiveren.
10. Evaluatie
In het wetsvoorstel is niet voorzien in een evaluatiebepaling. Wel bepaalt de richtlijn dat de Commissie uiterlijk in 2022 verslag uitbrengt over de evaluatie van de richtlijn.65
De Afdeling acht het voor een effectieve uitvoering van de richtlijn van groot belang dat in aanvulling op de evaluatie op EU-niveau, binnen een redelijke termijn deugdelijk onderzoek wordt gedaan naar de uitvoeringspraktijk. De gebrekkige uitvoering gedurende een reeks van jaren onder de bestaande wetgeving én de toenemende complexiteit van de regelgeving geven daar alle reden toe. Daarbij wijst de Afdeling op de afspraak in het regeerakkoord dat alle nieuwe wetgeving over gegevensbewaring ten behoeve van de opsporing van ernstige strafbare feiten na vijf jaar zal worden geëvalueerd, waarbij in ieder geval aandacht aan de effectiviteit en impact zal worden besteed.66 Nu reeds is aangekondigd dat een herziening en integratie van de Wpg en de Wjsg in voorbereiding zal worden genomen,67 is het wenselijk de evaluatie zodanig te plannen dat de uitkomsten daarvan zouden kunnen worden meegenomen in deze herziening.
De Afdeling adviseert een evaluatiebepaling in het voorstel op te nemen.
11. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State geeft U in overweging
het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal,
nadat met het vorenstaande rekening zal zijn gehouden.
De vice-president van de Raad van State,
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W16.17.0366/II
1. Algemeen
Wat betreft het gebruik van “onverwijld” en “zonder onnodige vertraging” bezien of kan worden volstaan met één begrip.
In het voorstel voor de Uitvoeringswet Avg wordt de Autoriteit persoonsgegevens steeds aangeduid als: de Autoriteit (vgl. artikel 1 van dat voorstel). Gelet hierop verdient het aanbeveling om de Autoriteit ook in het voorliggende voorstel (en in het implementatievoorstel tot wijziging van de wet justitiële en strafvorderlijke gegevens) aldus aan te duiden.
2. Wet politiegegevens
In artikel 1, onderdeel a, “Wet administratieve afhandeling verkeersovertredingen” wijzigen in: Wet administratieve handhaving verkeersvoorschriften.
In artikel 1, onderdeel a, “uitoefening van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012“ wijzigen in: uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012 (Conform de titel van Hoofdstuk 2 van de Politiewet 2012: De uitvoering van de politietaak.
In artikel 1, onderdeel a, na “met uitzondering van”: als volgt formuleren: - de uitvoering van de wettelijke voorschriften anders dan de Wet administratieve handhaving verkeersvoorschriften; - de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 1, eerste lid, onderdeel i, onder 1, en artikel 4, onderdeel f, van de Politiewet 2012.
In artikel 3, derde lid, “wetgeving van de Europese Unie” wijzigen in: Unierecht (Conform dezelfde terminologie in artikel 35d, vierde lid, onderdeel b).
In artikel 3, derde lid, na “kunnen” invoegen: “binnen het doel van artikel 1, onderdeel a,”.
In artikel 4, vierde lid, “of vernietigd.” vervangen door: of vernietigd, of wordt de verwerking afgeschermd, als bedoeld in artikel 28, tweede lid (Conform artikel 7, derde lid, van de richtlijn).
Artikel 4a, eerste lid, spreekt over “de verantwoordelijke en de bewerker”, terwijl de richtlijn in de artikelen 19 en 20 uitsluitend ziet heeft op de verantwoordelijke; artikel 22 en 23 van de richtlijn zien daarentegen specifiek op de verwerker).
In artikel 4a, eerste lid, onderdeel c, na “de nodige waarborgen” invoegen: zoals pseudonimisering (Conform artikel 20, eerste lid, van de richtlijn).
In artikel 4a, tweede lid , na “passende en “ invoegen: technische en na “ bedoeld in artikel 5” invoegen: , en op een zodanige manier dat de politiegegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (Conform artikel 4, eerste lid, onderdeel f, van de richtlijn).
In artikel 4a, vierde lid, na “onder c,” invoegen: en het tweede lid,.
In artikel 6c, tweede lid, voor “rechtshandeling” invoegen: andere.
In artikel 6c, derde lid, “wetgeving van de Europese Unie” wijzigen in: Unierecht (Conform artikel 35d, vierde lid, onderdeel b.
In artikel 6c, vijfde lid, “inbreuk op de bescherming van persoonsgegevens” wijzigen in: inbreuk op de beveiliging (Conform onder meer artikel 1, onderdeel q, en 33a, eerste lid en vijfde lid) en “onredelijke vertraging” wijzigen in: onnodige vertraging (Conform artikel 30, tweede lid, van de richtlijn en onder meer artikel 33a, vierde lid).
In artikel 7a, “van de zijde” vervangen door: door of namens.
Aan artikel 15a, tweede lid, de volgende zinsnede toevoegen: De voorwaarden mogen niet afwijken van de voorwaarden voor vergelijkbare doorzendingen van justitiële gegevens binnen het Europese deel van Nederland. (Vgl. artikel 9, vierde lid, laatste zinsnede van de richtlijn).
In artikel 17a, eerste lid, “kunnen” vervangen door: kunnen met inachtneming van het bij of krachtens deze wet bepaalde (Toelichting: In artikel 35, eerste lid, van de Richtlijn staat dat de gegevens slechts mogen worden doorgegeven met inachtneming van de andere bepalingen van deze Richtlijn).
In artikel 17a, tweede lid, “worden doorgegeven” vervangen door: voor zover dit noodzakelijk is ten behoeve van de strafrechtspleging worden doorgegeven.
In artikel 17a, tweede lid, onder b, “een zorgvuldige gegevensverwerking” vervangen door: de bescherming van persoonsgegevens (Conform artikel 37, tweede lid, richtlijn).
In artikel 17a, tweede lid, onderdeel b, “doorgifte” vervangen door: doorgifte op grond van dit onderdeel.
In artikel 17a, derde lid, aanhef, “in het concrete geval” vervangen door: de doorgifte noodzakelijk is.
In artikel 17a, derde lid, onderdelen a, b en c, “de doorgifte noodzakelijk is” schrappen.
In artikel 17a, derde lid, onderdelen d en e “de doorgifte” en “noodzakelijk is” schrappen.
In artikel 17a, vierde lid, “derde lid” vervangen door: derde lid en onverminderd een internationale overeenkomst tussen lidstaten en derde landen.
In artikel 17a, vijfde lid, de voorwaarden voor doorgifte als bedoeld in artikel 39, eerste lid van de Richtlijn opnemen (en niet in een amvb). Vergelijk de voorwaarden opgenomen in artikel 16b, derde lid, ter implementatie van artikel 38, eerste lid, van de Richtlijn.
In artikel 17a, vijfde lid, “veiligheid” vervangen door: veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat.
In artikel 24a, eerste lid, na “toegankelijke vorm” invoegen: en in duidelijke en eenvoudige taal (Conform artikel 12, eerste lid, richtlijn).
In artikel 24a, tweede lid, na “schriftelijk” invoegen: en zonder onnodige vertraging (Conform artikel 12, derde lid, richtlijn) en na ”artikel 28, eerste lid” invoegen: en tweede lid .
In artikel 24a, derde lid, na “7a” invoegen: 24b. Daarnaast in de zinsnede “28, eerste lid”: , eerste lid schrappen. (Artikel 24a, derde lid, ziet op gratis verstrekking van informatie aan betrokkene en artikel 24b eveneens (Conform artikel 12, vierde lid, richtlijn).
In artikel 24a, vijfde lid, “28, eerste lid” wijzigen in: artikel 28 (Conform artikel 18 van de richtlijn waarin wordt verwezen naar de uitoefening van de in artikel 16 bedoelde rechten. Daaronder valt tevens het verzoek om vernietiging, als bedoeld in artikel 28, tweede lid).
In artikel 24b, eerste lid, aanhef, na “verstrekt” invoegen: in elk geval en in onderdeel c, “28, eerste lid” wijzigen in: 28, eerste en tweede lid (Conform artikel 13, eerste lid, aanhef en onderdeel e, richtlijn, dat spreekt over informatie over het bestaan van het recht om te verzoeken om wissing van hem betreffende persoonsgegevens).
In artikel 27, eerste lid, “artikel 28, eerste lid” wijzigen in: artikel 28, eerste en tweede lid (Conform artikel 16, vierde lid, dat spreekt over de mogelijkheid om de verplichting tot verstrekken van informatie over een weigering tot rectificatie of wissen geheel of gedeeltelijk te beperken).
In artikel 27, derde lid, “op grond van artikel 12” wijzigen in: bij of krachtens artikel 12 (In de toelichting op deze bepaling wordt namelijk tevens verwezen naar artikel 6:1 Besluit politiegegevens).
Artikel 33a, tweede lid, aanhef, als volgt formuleren: De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
In artikel 33a, vijfde lid, “punten” vervangen door: informatie.
In artikel 33a, zevende lid, “vanwege” vervangen door: op en “artikel 27, eerste lid” vervangen door: artikel 27, tweede lid.
In artikel 33b, vijfde lid, “een termijn van een maand” vervangen door: een maand en “onder meer de redenen voor de vertraging” vervangen door: de verlenging en de redenen daarvoor.
In artikel 35, eerste lid, “op Nederlands grondgebied in Europa” vervangen door: in het Europese deel van Nederland.
In artikel 35, tweede lid, de verwijzing naar artikel 15 van de uitvoeringswet AVG schrappen omdat deze bepaling overbodig is gelet op artikel 35b, eerste lid, onderdeel b, en bovendien een onjuiste implementatie gelet op de tekst van artikel 47, derde lid, richtlijn.
In artikel 35b, eerste lid, onderdeel b, nauwer aansluiten bij de tekst van de richtlijn (vgl. het op “eigen initiatief” verstrekken van advies toevoegen en “verband houden”).
In artikel 36, eerste lid, “wordt” vervangen door: wordt door de verwerkingsverantwoordelijke.
In artikel 36, derde lid, aanhef, “is” vervangen door: is ten minste.
In artikel 36, derde lid, onderdeel b artikel 34, onderdeel b, van de richtlijn volledig implementeren.
In artikel 36, derde lid, onder c “in overeenstemming met het bij of krachtens deze wet bepaalde” schrappen.
3. Wet justitiële en strafvorderlijke gegevens
In artikel 1, onderdeel v, “belast” schrappen en “straffen” vervangen door: straffen of maatregelen.
In artikel 7e “van de zijde” vervangen door: door of namens.
Aan artikel 16a, tweede lid, de volgende zinsnede toevoegen: De voorwaarden mogen niet afwijken van de voorwaarden voor vergelijkbare doorzendingen van justitiële gegevens binnen het Europese deel van Nederland. (Toelichting: Zie artikel 9, vierde lid, laatste zinsnede van de Richtlijn).
In artikel 16b, eerste lid, “kunnen” vervangen door: kunnen met inachtneming van het bij of krachtens deze wet bepaalde (Toelichting: In artikel 35, eerste lid, van de Richtlijn staat dat de gegevens slechts mogen worden doorgegeven met inachtneming van de andere bepalingen van deze Richtlijn).
In artikel 16b, tweede lid, “worden doorgegeven” vervangen door: voor zover dit noodzakelijk is ten behoeve van de strafrechtspleging worden doorgegeven.
In artikel 16b, tweede lid, onder b, “een zorgvuldige gegevensverwerking in het concrete geval” vervangen door: de bescherming van persoonsgegevens.
In artikel 16b, tweede lid, onderdeel b, “doorgifte” vervangen door: doorgifte op grond van dit onderdeel.
In artikel 16b, derde lid, aanhef, “in het concrete geval” vervangen door: de doorgifte noodzakelijk is.
In artikel 16b, derde lid, onderdelen a, b en c, “de doorgifte noodzakelijk is” schrappen.
In artikel 16b, derde lid, onderdelen d en e “de doorgifte” en “noodzakelijk is” schrappen.
In artikel 16b, vierde lid, “derde lid” vervangen door: derde lid en onverminderd een internationale overeenkomst tussen lidstaten en derde landen.
In artikel 16b, vierde lid, de voorwaarden voor doorgifte als bedoeld in artikel 39, eerste lid van de Richtlijn opnemen (en niet in een amvb). Vergelijk de voorwaarden opgenomen in artikel 16b, derde lid, ter implementatie van artikel 38, eerste lid, van de Richtlijn.
In artikel 16b, vijfde lid, “veiligheid” vervangen door: veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat.
In artikel 17a, onder d, mede verwijzen naar artikel 22, tweede lid (Toelichting: Dit artikel bevat het recht op vernietiging van de gegevens als bedoeld in artikel 13 aanhef en onder e van de Richtlijn). In deze zin ook in artikel 39ha lid 1 onder d verwijzen naar artikel 39m, tweede lid en in artikel 42b, eerste lid, onder d, verwijzen naar artikel 46, tweede lid.
In artikel 17b, eerste lid, na “toegankelijke vorm” invoegen: en in duidelijke en eenvoudige taal (Conform artikel 12, eerste lid, richtlijn).
In artikel 18, eerste lid, onder g, en in artikel 39i, eerste lid onder g, Wjsg “de herkomst, voor zover beschikbaar, van de verwerking” vervangen door: alle beschikbare informatie over de oorsprong (zie artikel 14 onder g van de Richtlijn).
In artikel 21, eerste en tweede lid, “artikel 22, eerste lid” vervangen door: artikel 22, eerste en tweede lid; “naar aanleiding daarvan” schrappen.
Artikel 21, eerste lid, vastleggen in een nieuw tweede lid van artikel 17b (zie artikel 24a wpg).
In artikel 22, vierde lid, “binnen vier weken schriftelijk in kennis met betrekking tot de opvolging van zijn verzoek” vervangen door: binnen vier weken na ontvangst van het verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet.
In artikel 22, vijfde lid, “geeft door” vervangen door: deelt mede.
Het recht op vernietiging van de gegevens (artikel 22, tweede lid) in een afzonderlijk artikel opnemen. Dit omwille van de duidelijkheid en toegankelijkheid van de regeling.
In artikel 26c, tweede lid, onder d, “4a” vervangen door: 7.
In artikel 26d, tweede lid, “zelf” schrappen.
In artikel 26e, eerste lid, “of” vervangen door: en.
In artikel 26f, eerste lid, “wordt” vervangen door: wordt door de verwerkingsverantwoordelijke.
In artikel 26f, derde lid, aanhef, “is” vervangen door: is ten minste.
in artikel 26f, derde lid, onderdeel b artikel 34, onderdeel b van de Richtlijn volledig implementeren.
In artikel 26f, derde lid, onder c “in overeenstemming met het bij of krachtens deze wet bepaalde” schrappen. (Toelichting: Een verwijzing naar artikel 7b volstaat).
Artikel 26g, tweede lid, aanhef, als volgt formuleren: De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
In artikel 26g, vierde lid, “beveiliging” vervangen door: beveiliging met betrekking tot persoonsgegevens.
In artikel 26g, vijfde lid, “punten” vervangen door: informatie.
In artikel 26g, zevende lid, “vanwege” vervangen door: op en “artikel 21, eerste lid” vervangen door: artikel 21, tweede lid.
In artikel 26h, vijfde lid, “een termijn van een maand” vervangen door: een maand en “onder meer de redenen voor de vertraging” vervangen door: de verlenging en de redenen daarvoor.
In artikel 27, eerste lid, “op Nederlands grondgebied in Europa” vervangen door: in het Europese deel van Nederland.
In artikel 27, tweede lid, de verwijzing naar artikel 15 van de uitvoeringswet AVG schrappen omdat deze bepaling overbodig is gelet op artikel 35b, eerste lid, onderdeel b, en bovendien een onjuiste implementatie gelet op de tekst van artikel 47, derde lid, richtlijn.
In artikel 39c, derde lid, “andere strafvorderlijke gegevens” vervangen door: andere strafvorderlijke gegevens betreffende die persoon.
Artikel 39c, vierde lid, in overeenstemming brengen met artikel 7a, tweede lid, wpg.
Artikel 39l “op” vervangen door: gelet op.
In artikel 39o (nieuw), “artikel 24, tweede lid, vervangen door: artikel 24 (Toelichting: Artikel 24, eerste lid (nieuw) betreft de kennisgeving aan de ontvanger van onrechtmatige doorzending en de rectificatie. In artikel 39o nieuw vervalt het eerste lid zodat artikel 39o slechts verwijst naar artikel 24, tweede lid. Het is echter relevant om in artikel 39o naar artikel 24 te verwijzen, niet slechts naar het tweede lid. Zie ook artikel 48, waar op een juiste wijze wordt verwezen naar artikel 24).
Artikel 46a, tweede lid, als volgt formuleren: Artikel 21, eerste en tweede lid, is van overeenkomstige toepassing.
TRANSPONERINGSTABEL
1. Algemeen
In de transponeringstabel vermelden of het gaat om geldende wetsbepalingen of voorgestelde wetsbepalingen.
2. Wet politiegegevens
Bij artikel 1, derde lid, richtlijn, artikel 4c, derde lid, vermelden (In de toelichting staat dat geen gebruik is gemaakt van de mogelijkheid om uitgebreidere waarborgen te bieden. Het voorschrift is ontleend aan artikel 35, elfde lid, van de AVG; zie de toelichting op artikel 4c, derde lid.
Bij artikel 5 richtlijn de bestaande termijnen voor opslag en evaluatie vermelden, zoals artikel 12, zesde lid van de wpg.
Bij artikel 8, eerste lid richtlijn “artikel 3, tweede lid” wijzigen in: artikel 3, eerste en tweede lid.
Bij artikel 12, tweede lid, richtlijn toevoegen: en paragraaf 4a (vgl. artikel 31a, vierde lid).
Bij artikel 13, eerste lid, richtlijn “artikel 24a” wijzigen in: artikel 24b.
Bij artikel 13, tweede lid, richtlijn “artikel 24a” wijzigen in: artikel 24b.
Bij artikel 16, vierde lid, richtlijn toevoegen: artikel 27, tweede lid.
Bij artikel 16, vierde lid, richtlijn toevoegen : “informeren over indienen klacht” en daarbij verwijzen naar artikel 24a, tweede lid.
Bij artikel 17, tweede lid, richtlijn tevens verwijzen naar artikel 24b, eerste lid, onderdeel d.
Bij artikel 19, eerste lid, richtlijn vermelden: evaluatie en actualiseren en daarvoor verwijzen naar artikel 4a, derde lid en vijfde lid.
Bij artikel 20, eerste lid, richtlijn “artikel 4a, tweede lid,” schrappen en toevoegen: vierde lid.
Bij artikel 24, vierde lid, richtlijn “(4)” wijzigen in: (3).
Bij artikel 26 richtlijn “Titel 5.2.” wijzigen in: Artikel 5:20.
Bij artikel 35, eerste lid, richtlijn tevens verwijzen naar artikel 17a, tweede, derde en zesde lid.
Bij artikel 37, derde lid, richtlijn tevens verwijzen naar: artikel 5: 17 Awb (m.b.t. documentatie desgevraagd ter beschikking stellen).
Bij artikel 39, eerste lid, richtlijn “17” wijzigen in: 17a.
Bij artikel 43, derde lid, richtlijn tevens verwijzen naar artikel 7, vierde en zesde lid, van de Uitvoeringswet Avg.
Bij artikel 44, eerste lid, onderdeel b, richtlijn tevens verwijzen naar artikel 35a, tweede lid. Bij artikel 44, eerste lid, onderdeel f, richtlijn tevens verwijzen naar artikel 10 van de uitvoeringswet Avg.
Bij artikel 46, eerste lid, richtlijn “35a”wijzigen in: 35b.
Bij artikel 47, derde lid, “onderdeel d” wijzigen in: onderdeel b.
3. Wet justitiële en strafvorderlijke gegevens
Bij artikel 15, vierde lid, richtlijn verwijzen naar artikel 39r eerste lid (in plaats van tweede lid).
Bij artikel 16, vijfde lid, richtlijn verwijzen naar artikel 22, vijfde lid (in plaats van vierde lid), 39m, vijfde lid (in plaats van vierde lid) en 46, vijfde lid (in plaats van vierde lid).
Bij artikel 16, zesde lid, richtlijn wordt verwezen naar artikel 39o. In de voorgestelde tekst van artikel 39o wordt verwezen naar artikel 24, tweede lid. Dit moet worden gewijzigd in “artikel 24”, omdat artikel 24, eerste lid, gaat over het informeren van ontvangers van de gegevens, niet het tweede lid.
Bij artikel 17, eerste lid, richtlijn verwijzen naar artikel 39r, eerste lid (ipv tweede lid) en 51, tweede lid (in plaats van eerste lid).
Bij artikel 17, tweede lid, richtlijn verwijzen naar artikel 21, eerste lid (ipv derde lid).
Bij artikel 19, eerste lid, richtlijn ook artikel 7 vijfde lid vermelden.
Bij artikel 22, vierde lid, richtlijn artikel 7d, tweede lid vermelden (ipv vierde lid).
Bij artikel 29, tweede lid, richtlijn verwijzen naar artikel 7, zesde lid (ipv vijfde lid).
Bij artikel 32, derde lid, richtlijn toevoegen: artikel 39r, eerste lid, 51, eerste lid en 51d, eerste lid.
Bij artikel 36, zevende lid, eerste kolom, richtlijn artikelen 33 en 36 vervagen door: 37 en 38.
Bij artikel 45, tweede lid richtlijn vermelden dat in de Nederlandse vertaling moet staan “niet belast” in plaats van belast. Zie hiervoor overweging 80 van de overwegingen van de Rl.
Bij artikel 47, eerste lid, richtlijn verwijzen naar artikel 16 Uitvoeringswet AVG.
Bij artikel 52, vierde lid, richtlijn verwijzen naar de artikelen 3:45 en 6:23 Awb.
Bij artikel 53, eerste lid, richtlijn verwijzen naar artikel 26a, vijfde lid, tweede volzin (in plaats van eerste lid).
Bij artikel 54 richtlijn niet volstaan met de verwijzing naar de Awb en het Wetboek van Burgerlijke rechtsvordering en nader preciseren op welke doeltreffende voorzieningen in rechte in de zin van artikel 54 van de Richtlijn hieronder vallen.
Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89).↩︎
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1). Weliswaar is het grootste gedeelte van de verordening rechtstreeks toepasselijk in de lidstaten en behoeft zij geen omzetting in nationaal recht, maar op bepaalde onderdelen laat de AVG ruimte aan de lidstaten om bij nationale wet nadere regels te stellen. Het voorstel uitvoeringswet AVG vult die ruimte nader in. De Afdeling heeft onlangs advies uitgebracht over het voorstel uitvoeringswet AVG (W03.17.0166/II). De reactie van de regering op het advies (het nader rapport) is gedateerd 8 december 2017.↩︎
Artikel 1, eerste lid, richtlijn.↩︎
Artikel 13 richtlijn.↩︎
Artikel 25 van de richtlijn schrijft voor dat logbestanden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking worden bijgehouden: verzameling, wijziging, raadpleging, bekendmaking, combinatie en wissing. De richtlijn voorziet in de mogelijkheid als dit buitengewone inspanningen met zich zou brengen, de systemen uiterlijk in 2023 in overeenstemming te brengen met de verplichting tot logging (artikel 63, tweede lid, richtlijn). De toelichting stelt dat thans niet duidelijk is in hoeverre de informatiesystemen voldoende zijn voorbereid om aan de loggingplicht te voldoen (toelichting, 7.1, tweede tekstblok). Het wetsvoorstel voorziet in artikel VII in verband hiermee in de mogelijkheid van gedifferentieerde inwerkingtreding.↩︎
Artikel 27, 28, en 31 van de richtlijn.↩︎
Artikel 19, 20 en 29 van de richtlijn.↩︎
Artikel 32, 33 en 34 van de richtlijn.↩︎
Artikel 24 van de richtlijn. In het geldende artikel 32 van de wpg is een protocolplicht opgenomen. In de artikelen 19 en 39j van de wjsg is een verplichting tot vastlegging van verstrekkingen opgenomen.↩︎
Artikel 27 richtlijn. Op dit moment moet voor nieuwe ICT-systemen een Privacy Impact Assessment worden toegepast. Vgl. de toelichting, paragraaf. 7.1, vijfde tekstblok.↩︎
Artikel 28 richtlijn. Het geldende artikel 35, vierde lid, van de wpg en artikel 27 van de wjsg bevatten een soortgelijke verplichting.↩︎
Daarnaast bevat de richtlijn nog een aantal andere regels, zoals over de rechten van betrokkenen en over de doorgifte van gegevens aan derde landen. Deze punten zijn echter voor het advies niet verder relevant. Het op grond van de AVG opgerichte Europees Comité voor gegevensbescherming is ingevolge de richtlijn onder meer bevoegd op eigen initiatief onderzoek te doen naar de toepassing van de richtlijn en het opstellen van richtsnoeren, aanbevelingen en beste praktijken, teneinde de consequente toepassing van de richtlijn te bevorderen.↩︎
Artikel 51, eerste lid, onder b, van de richtlijn. Eenzelfde taak heeft het Comité onder de AVG; anders dan onder de AVG is het Comité echter niet gehouden ‘waar passend’ belanghebbende partijen te raadplegen over de richtsnoeren. Zoals de Afdeling in punt 3b van haar advies over de uitvoeringswet AVG heeft opgemerkt, zal deze bevoegdheid van het Comité leiden tot pseudo-regelgeving (‘soft law’), welke zich grotendeels aan de invloedssfeer van de lidstaten onttrekt. Niet duidelijk is op welke wijze het Comité, gelet op zijn onafhankelijke positie, verantwoording zal afleggen.↩︎
Artikel 2, onderdeel d, van de AVG en toelichting, paragraaf 2.2.↩︎
Toelichting, paragraaf 4, laatste tekstblok.↩︎
Toelichting, paragraaf 8, I, eerste tekstblok.↩︎
Vergelijk onder meer Glazen privacy – Knelpuntenonderzoek uitvoering Wet politiegegevens, WODC, 2013 en Onderzoeksrapport Evaluatie Wet justitiële en strafvorderlijke gegevens, WODC, 2013.↩︎
Toelichting, paragraaf 6, laatste tekstblok.↩︎
Toelichting, paragraaf 9.1 laatste tekstblok.↩︎
Vergelijk onder meer Glazen privacy – Knelpuntenonderzoek uitvoering Wet politiegegevens, WODC, 2013 en Onderzoeksrapport Evaluatie Wet justitiële en strafvorderlijke gegevens, WODC, 2013.↩︎
Kamerstukken II 2013/14, 30 327, I, blz. 1.↩︎
Kamerstukken II 2015/16, 33 842, nr. 3, blz. 1.↩︎
Kamerstukken II 2015/16, 33 842, nr. 3, blz. 5 en 6.↩︎
Kamerstukken II 2016/16, 33 842, nr. 4, met als bijlage het Verbeterplan Wet politiegegevens en informatiebeveiliging, maart 2016, blz. 4.↩︎
In de strafrechtsketen wordt een systematiek ontwikkeld die inhoudt dat gegevens of documenten die niet meer mogen worden gewijzigd, worden opgeslagen in speciaal daartoe bestemde voorzieningen (Kamerstukken II 2013/14, 30 327, I, blz. 4).↩︎
In ‘Doorontwikkelen en verbeteren, Evaluatie van de Politiewet 2012’ van november 2017 gaat de Commissie evaluatie Politiewet 2012 in op ICT en informatievoorziening (blz. 38 e.v.). De commissie stelt dat ICT van de politie is al langere tijd een bron van zorg is en een belangrijke reden om het beheer over de politie te centraliseren. De commissie concludeert dat inmiddels her en der de ‘IT-mist begint op te trekken’, maar het geplande tijdschema wordt niet gehaald. Op onderdelen worden het gehoopte integrale overzicht, slimmere en sneller beschikbaar komende applicaties en groter gebruikersgemak langzaam gerealiseerd.↩︎
Voorgesteld artikel 33a, eerste, vijfde en zesde lid, onderdelen a en c, wpg.↩︎
Artikel 20 richtlijn en voorgesteld artikel 4c, eerste lid, wpg.↩︎
Artikel 20 van de richtlijn en voorgesteld artikel 4a wpg.↩︎
Toelichting, paragraaf 5 en paragraaf 8.I, laatste tekstblok. Dit betreft onder meer de uitvoering van wettelijke voorschriften, gesteld bij of krachtens de Vreemdelingenwet 2000, bedoeld in artikel 1, onderdeel i, van de Politiewet 2012. Optreden van politieambtenaren in het kader van de Wet administratieve handhaving verkeersvoorschriften valt evenwel binnen de Wpg (voorgestelde artikel 1, onderdeel a, wpg). Dit laatste is thans ook het geval.↩︎
Toelichting, paragraaf 8.IId, laatste tekstblok.↩︎
Kabinetsreactie op het WRR-rapport Big data in een vrije en veilige samenleving, (Kamerstukken II 2016/17, 26 643, nr. 426, blz. 4.↩︎
Zo experimenteert de politie thans met het Criminaliteit Anticipatie Systeem (CAS): een computersysteem dat de plaats en het tijdstip van zakkenrollerij, straatroof, geweld, diefstal en bedrijfsinbraken kan voorspellen (pilots in onder meer Groningen en Den Haag). Het CAS wordt ‘gevoed’ met informatie uit aangiftes, criminaliteitscijfers en gegevens van het Centraal Bureau voor de Statistiek. Het systeem laat op een rasterkaart van Nederland in vakjes van 125 bij 125 meter zien op welke plaatsen en op welk moment de kans het grootst is dat misdrijven plaatsvinden.↩︎
De WRR wijst er in zijn rapport ‘Big Data in een vrije en veilige samenleving’ op dat hierdoor de traditionele beginselen van doelbinding en noodzakelijkheid zoals deze in de huidige wetgeving inzake gegevensbescherming zijn neergelegd onder druk komen te staan. Er tekent zich een fundamentele verschuiving af, waarbij de aandacht in het proces van gegevensverwerking voor het verzamelen van gegevens verschuift naar de analyse en het gebruik daarvan. De WRR benadrukt weliswaar de waarde van het huidige regelgevende kader, maar stelt dat, in aanvulling daarop, de aandacht zou moeten worden verlegd van het reguleren van het verzamelen van data – het zwaartepunt in de huidige juridische kaders – naar de regulering van en het toezicht op de fases van de analyse en het gebruik van gegevens. Alleen door extra eisen te stellen aan het toepassen van Big Data-analyses kan het vertrouwen bij burgers worden gecreëerd en bevestigd dat verwerkingsverantwoordelijken niet sluipenderwijs doordringen in de persoonlijke vrijheid van burgers. WRR, Big Data in een vrije en veilige samenleving, Amsterdam University Press, Den Haag/Amsterdam 2016, blz. 21.↩︎
Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB 2008, L 350, blz. 60).↩︎
Wet van 6 oktober 2011 tot wijziging van de Wet politiegegevens en van de wet justitiële en strafvorderlijke gegevens in verband met de implementatie van het kaderbesluit van de Raad van de Europese Unie 2008/977/JBZ over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken en de implementatie van het Besluit van de Raad 2009/371/JBZ van 6 april 2009 tot oprichting van de Europese politiedienst (Europol), Stb. 2011, 490.↩︎
De richtlijn bevat in artikel 11 waarborgen die in acht dienen te worden genomen indien profilering wordt toegepast.↩︎
Artikel 1, eerste lid, juncto artikel 2, eerste lid, richtlijn.↩︎
De toelichting verwijst in paragraaf 5.1 naar overweging 12, maar niet naar voormelde zinsnede, die de basis kan bieden voor het onder het bereik van de richtlijn brengen van verwerkingen door de politie met het oog op de hulpverleningstaak.↩︎
Voorgesteld artikel 1, onderdeel a, van de wpg.↩︎
Toelichting, paragraaf 5.2.1, vierde tekstblok.↩︎
Vgl. toelichting, paragraaf 5.2.1, vierde tekstblok, “De handhaving van de openbare orde en de hulpverleningstaak zijn nauw gelieerd aan de opsporing.” , alsmede paragraaf 8.II.c: “De AP acht het verdedigbaar dat de hulpverleningstaak als onlosmakelijk onderdeel van de handhaving van de openbare orde en ook van de strafrechtelijke handhaving van de rechtsorde, wordt verricht met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid en aldus binnen het toepassingsgebied van de richtlijn valt.” Dit oordeel wordt in de toelichting onderschreven.↩︎
Kamerstukken II 2005/06, 30 327, nr. 3, blz. 39.↩︎
Voorgestelde artikelen 35c, eerste lid, onderdeel c, wpg; 27, vierde lid, wjsg en 39r, tweede lid, onderdeel c, wjsg.↩︎
Volgens artikel 83 van de AVG kunnen bestuurlijke boetes worden opgelegd van € 10.000.000.↩︎
In artikel 57 van de richtlijn is de verplichting tot een effectieve toepassing en handhaving van de richtlijn neergelegd.↩︎
Toelichting, paragraaf 8.2, tweede tekstblok.↩︎
Artikel 83, vierde lid, onderdeel a, AVG.↩︎
Ten slotte wijst de Afdeling op artikel 10 van de AVG dat bepaalt dat persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Overtreding van artikel 10 van de AVG is in artikel 18 van het voorstel voor de Uitvoeringswet AVG beboet met een bestuurlijke boete tot € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar indien dit cijfer hoger is. Ook deze overtreding van maximaal € 20.000.000 door overheden staat niet zonder meer in verhouding tot de bestuurlijke boetes in het voorliggende wetsvoorstel.↩︎
Kamerstukken II 2017/18, 34 851, nr. 3, blz. 100-101.↩︎
Voorts geldt dat deze verwerking:
a) bij het Unierecht of het lidstatelijke recht is toegestaan;
b) noodzakelijk is om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen; of
c) die verwerking betrekking heeft op gegevens die kennelijk door betrokkene zelf openbaar zijn gemaakt.↩︎
Deze tekst is gelijkluidend aan het bestaande artikel 39c, derde lid Wjsg. In de Wpg is in het voorgestelde artikel 5, derde lid, een regeling getroffen.↩︎
Artikelsgewijze toelichting op het voorgestelde artikel 5 wpg.↩︎
Advies van de AP van 7 april 2017, blz. 20.↩︎
Toelichting, paragraaf 8, punt 4.↩︎
Artikelsgewijze toelichting op het voorgestelde artikel 5 wpg.↩︎
En in het voorgestelde artikel 39c, derde lid, wjsg.↩︎
Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling met name aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen (artikel 3, onder 4, van de richtlijn).↩︎
Specifieke voorlichting aan betrokkene wordt genoemd in punt 38 van de overwegingen als passende waarborg in de zin van artikel 11, eerste lid, van de richtlijn.↩︎
In elk geval mogen de passende maatregelen van artikel 11, tweede lid, richtlijn er niet toe leiden dat de betrokkene minder bescherming geniet dan op grond van de passende waarborgen als bedoeld in de artikelen 10 en 11, eerste lid, richtlijn.”↩︎
Overweging 38. Zie voor een vrijwel identieke tekst punt 71 van de overwegingen bij de AVG.↩︎
Deze verschillende termijnen komen ook in de bestaande wjsg voor.↩︎
In het voorgestelde artikel 27, tweede lid, wpg is de verplichting om de redenen voor afwijzing te vermelden wel opgenomen.↩︎
Dit geldt ook voor het voorgestelde artikel 39l, derde lid wjsg.↩︎
Artikel 62, eerste lid, van de richtlijn.↩︎
Vertrouwen in de toekomst, Kamerstukken II 2017/18, 34 700, nr. 34, blz. 6.↩︎
Toelichting, paragraaf 6, laatste tekstblok.↩︎