Nota naar aanleiding van het verslag
Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)
Nota n.a.v. het (nader/tweede nader/enz.) verslag
Nummer: 2024D26893, datum: 2024-07-01, bijgewerkt: 2024-08-14 15:01, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36455-8).
Gerelateerde personen:- Eerste ondertekenaar: F.M. Weerwind, minister voor Rechtsbescherming
- Aanbiedingsbrief
- Beslisnota bij 36 455 (R2188) Nota naar aanleiding van het verslag inzake Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)
Onderdeel van kamerstukdossier 36455 (R2188)-8 Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54) .
Onderdeel van zaak 2023Z18184:
- Indiener: F.M. Weerwind, minister voor Rechtsbescherming
- Medeindiener: H.G.J. Bruins Slot, minister van Buitenlandse Zaken
- Medeindiener: H.M. de Jonge, minister van Binnenlandse Zaken en Koninkrijksrelaties
- Medeindiener: K.H. Ollongren, minister van Defensie
- Volgcommissie: vaste commissie voor Defensie
- Volgcommissie: vaste commissie voor Binnenlandse Zaken
- Volgcommissie: vaste commissie voor Buitenlandse Zaken
- Voortouwcommissie: vaste commissie voor Digitale Zaken
Onderdeel van zaak 2024Z11258:
- Indiener: F.M. Weerwind, minister voor Rechtsbescherming
- Volgcommissie: vaste commissie voor Binnenlandse Zaken
- Volgcommissie: vaste commissie voor Buitenlandse Zaken
- Volgcommissie: vaste commissie voor Defensie
- Volgcommissie: vaste commissie voor Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2023-10-25 13:40: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2023-12-19 17:00: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2024-01-24 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2024-02-09 14:00: Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Digitale Zaken
- 2024-07-03 09:30: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2024-09-11 11:00: Procedurevergadering (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2024-09-12 13:25: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2025-02-17 00:00: Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54) (36455-(R2188)) (Plenair debat (wetgeving)), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2023-2024 |
36 455 Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)
Nr. 8 NOTA NAAR AANLEIDING VAN HET VERSLAG
Ontvangen 1 juli 2024
Met veel belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Digitale Zaken. Ik dank de leden van de verschillende fracties voor hun inbreng. In deze nota ga ik, mede namens de Minister van Buitenlandse Zaken, Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie in op de vragen en opmerkingen in het verslag (Kamerstukken II 2023/24, 36 455 (R2188), nr. 6). De gestelde vragen worden hierna samengevat en genummerd weergegeven. Bij de beantwoording daarvan is de volgorde van het verslag aangehouden, met dien verstande dat ter wille van de leesbaarheid in enkele gevallen is verwezen naar reeds eerder in deze nota gegeven antwoorden.
ALGEMEEN
1. Inleiding
1.
De leden van de GroenLinks-PvdA-fractie zijn verbaasd dat het wijzigingsprotocol ETS Nr. 108 (Trb. 2000, 69), nog altijd niet in werking is getreden. Zij constateren dat slechts dertig van de verdragspartijen dit wijzigingsprotocol hebben geratificeerd. Welke verdragspartijen hebben dit nog niet gedaan? Welk perspectief is er op de implementatie van deze wijzigingen? Welke gevolgen heeft het dat er nog altijd verdragspartijen zijn die dit niet hebben gedaan?
Op 15 juni 1999 heeft het Comité van Ministers van de Raad van Europa wijzigingen van het verdrag tot bescherming van personen met betrekking tot geautomatiseerde verwerking van persoonsgegevens (hierna ook: het verdrag of Conventie 108) aangenomen, die toetreding van de Europese Gemeenschappen tot het verdrag mogelijk beoogden te maken. Aanleiding tot de voorgenomen toetreding was destijds de totstandkoming van twee richtlijnen op het terrein van de bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, waardoor de Europese Gemeenschappen op dat terrein bevoegd waren geworden.1
Het Koninkrijk heeft de wijzigingen op 2 november 2000 aanvaard. Voor inwerkingtreding van de wijzigingen uit 1999 is aanvaarding daarvan door alle partijen bij het verdrag vereist. Op dit moment hebben 22 van de 55 partijen2 de wijzigingen uit 1999 nog niet geratificeerd. De in het verdrag geregelde materie valt grotendeels onder de exclusieve bevoegdheid van de Europese Unie. De EU oefent deze exclusieve bevoegdheden momenteel uit via de EU-lidstaten.
Het wijzigingsprotocol dat nu ter goedkeuring aan u wordt voorgelegd maakt de toetreding van de Europese Unie, en van andere internationale organisaties, mogelijk (artikel 26, eerste lid (nieuw)). Daarbij zijn de wijzigingen uit 1999 geïntegreerd in het gemoderniseerde verdrag (hierna ook: de gemoderniseerde conventie).3 Bij inwerkingtreding van het wijzigingsprotocol zullen de wijzigingen uit 1999 daarom hun doel verliezen (artikel 37, vijfde lid, van het wijzigingsprotocol).
Om te voorkomen dat het wijzigingsprotocol hetzelfde lot zal zijn beschoren als de wijzigingen uit 1999 is in het wijzigingsprotocol voorzien in meer mogelijkheden tot inwerkingtreding dan de wijzigingen van 1999. In artikel 37, tweede lid, is namelijk opgenomen dat het wijzigingsprotocol vanaf 11 oktober 2023 in werking treedt voor staten die het wijzigingsprotocol aanvaard hebben indien minstens 38 staten partij zijn geworden bij het wijzigingsprotocol. Daarnaast is in artikel 37, derde lid, voorzien in de mogelijkheid van voorlopige toepassing van het wijzigingsprotocol in afwachting van de inwerkingtreding daarvan. Bovendien is in artikel 36, tweede lid, opgenomen dat staten geen partij kunnen worden bij het verdrag zonder tegelijkertijd toe te treden tot het wijzigingsprotocol.
Op dit moment zijn 31 staten (waaronder achttien lidstaten van de Europese Unie) partij bij het wijzigingsprotocol.4 Zoals ik uw Kamer eerder schreef, is het van belang dat het Koninkrijk het wijzigingsprotocol spoedig ratificeert. Dit is niet alleen in het belang van Europees Nederland, maar ook in het belang van het Koninkrijk als zodanig. Zie hierover mijn brief van 1 december 2023, met daarin het verzoek aan uw Kamer om de behandeling van het onderhavige wetsvoorstel met spoed ter hand te nemen (Kamerstukken II 2023/24, 36455 (R2188)).
2.
De leden van de GroenLinks-PvdA-fractie zijn verbaasd dat Conventie 108, het uit 1981 stammende moederverdrag van het wijzigingsprotocol, nog niet is goedgekeurd voor Aruba, Curaçao en Sint Maarten. Zij vragen zich af waarom dit nog niet is gebeurd.
Voor zover medegelding voor de Caribische landen verdragsrechtelijk mogelijk is, wordt aan de afzonderlijke landen gevraagd of zij medegelding wenselijk achten. Het uiteindelijke besluit over medegelding wordt door de rijksministerraad genomen, met uitzondering van de gevallen beschreven in artikel 25, eerste lid, van het Statuut. In de praktijk is de wens van de regering van het betrokken land vaak leidend. De regering van het voormalige land de Nederlandse Antillen en die van Aruba hebben destijds bij de totstandkoming van Conventie 108 te kennen gegeven dat zij vooralsnog niet de wens hadden dat het verdrag mede voor die landen zou gelden.5 Inmiddels wensen Aruba, Curaçao en Sint Maarten de medegelding van het gemoderniseerde verdrag. Om die reden wordt nu, naast de goedkeuring van het wijzigingsprotocol voor het gehele Koninkrijk, ook goedkeuring van Conventie 108 gevraagd voor deze drie landen.
3.
De leden van de GroenLinks-PvdA-fractie menen dat de bescherming van persoonsgegevens een grondrecht is dat dat binnen het gehele Koninkrijk een gelijkwaardige bescherming verdient. Deze leden sporen de regering daarom aan om zo snel mogelijk werk te maken van de harmonisering van de datawetgeving in alle delen van het Koninkrijk. Deze leden vragen zich af wanneer zij kunnen verwachten dat een dergelijke harmonisatie gelukt zal zijn. Wat is er nodig is aan middelen, onderzoek en regelgeving om de onderhavige rijkswet succesvol te implementeren?
De regering onderschrijft het belang van gelijkwaardige bescherming van persoonsgegevens in het Koninkrijk. Ik zie de aansporing van de leden van de GroenLinks-PvdA-fractie daarbij als een aanmoediging om voort te gaan op de door ons ingeslagen weg. Samen met de Caribische landen van het Koninkrijk werkt de regering namelijk al geruime tijd aan de totstandkoming van een consensusrijkswet om het gegevensbeschermingsrecht van Aruba, Curaçao, Sint Maarten en Caribisch Nederland te harmoniseren en in lijn te brengen met het in Europees Nederland geldende gegevensbeschermingsrecht. De regering verwijst hiervoor naar paragraaf 3 van het algemeen deel van de memorie van toelichting.
Ter nadere toelichting merk ik hier nog het volgende op. De bescherming van persoonsgegevens is een grondrecht dat gewaarborgd is in de Grondwet en in de Staatsregelingen van Aruba, Curaçao en Sint Maarten. De verwezenlijking van dit grondrecht is een aangelegenheid van elk land van het Koninkrijk (artikel 43, eerste lid, Statuut). Daarbij kunnen de landen onderling samenwerken. Het Statuut verschaft hiertoe de mogelijkheid in artikel 38. In deze bepaling is vastgelegd dat Nederland, Aruba, Curaçao en Sint Maarten onderlinge regelingen kunnen treffen met betrekking tot autonome beleidsterreinen waarop zij willen samenwerken. Artikel 39, tweede lid, van de Rijkswet politie van Curaçao, van Sint Maarten en van Bonaire, Sint Eustatius en Saba verschaft daarnaast de mogelijkheid om een onderlinge regeling te treffen over de wijze waarop politiegegevens worden verwerkt. Een onderlinge regeling op basis van artikel 38 van het Statuut kan vormvrij zijn of worden gegoten in een rijkswet (artikel 38, tweede lid). Op artikel 38, tweede lid, van het Statuut gebaseerde rijkswetten worden in de praktijk aangeduid als «consensusrijkswetten».
In dit geval hebben de Minister van Justitie en Sociale Zaken van Aruba en de Ministers van Justitie van Sint Maarten, van Curaçao en van Nederland (hierna: de Ministers) in het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 besloten een consensusrijkswet tot stand te brengen. Het doel van de beoogde consensusrijkswet is om te bewerkstelligen dat (i) er een geharmoniseerd hoger beschermingsniveau ontstaat voor de verwerking van persoonsgegevens binnen de Caribische delen van het Koninkrijk, (ii) de uitwisseling van persoonsgegevens binnen het Koninkrijk als geheel eenvoudiger en effectiever wordt, en (iii) de gemoderniseerde conventie voor het Caribische deel van het Koninkrijk kan worden aanvaard.
Voor het opstellen van het ontwerp voor de consensusrijkswet is door de Ministers een interlandelijke projectgroep ingesteld, waarin vertegenwoordigers van de drie Caribische landen, Europees Nederland en Caribisch Nederland (vertegenwoordigd door Europees Nederland) participeren. Onderdeel van de projectaanpak betrof de voorbereiding van een nota waarin de beleidsmatige afwegingen inzichtelijk worden gemaakt en voorstellen werden gedaan welke als basis konden dienen voor de voorbereiding van een voorstel van een consensusrijkswet. Dit leidde tot de aanbieding door de projectgroep aan het JVO van 7 juli 2021 van een contourennota, waarin op hoofdlijnen de contouren van de beoogde rijkswet werden geschetst, inclusief voorstellen met betrekking tot onder andere de reikwijdte, de inhoud en de vormgeving daarvan.
De werkzaamheden aan de consensusrijkswet vorderen gestaag. Op dit moment zijn de eerste drie hoofdstukken van het voorstel van rijkswet in concept gereed en door de projectgroep met het JVO gedeeld. Momenteel is voorzien dat een hoofdstuk met slotbepalingen met de Ministers kan worden gedeeld voor de bijeenkomst van het JVO van januari 2025. Het streven is om het wetsontwerp vervolgens in de eerste helft van 2025 in consultatie te geven en na verwerking van de consultatiereacties voor advies voor te leggen aan de Afdeling advisering van de Raad van State van het Koninkrijk. Als alles goed gaat, zou het wetsontwerp dan in de tweede helft van 2025 aan uw Kamer kunnen worden voorgelegd. Gelet op de omvang van de beoogde consensusrijkswet, de complexiteit van de daarin te regelen materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk door de vier landen moeten worden gemaakt, is deze planning momenteel echter nog met veel onzekerheden omgeven.
Zoals in paragraaf 3 van het algemeen deel van de memorie van toelichting is beschreven, is door de projectgroep bewust gekozen om het ontwerp voor de consensusrijkswet getrapt, per hoofdstuk, te ontwikkelen. Deze keuze is mede ingegeven door de wens om in een vroeg stadium een beeld te krijgen wat er nodig is voor een succesvolle implementatie van de consensusrijkswet. Voor dit doel wordt voor ieder hoofdstuk van de consensusrijkswet een aparte uitvoeringstoets uitgevoerd. Conform de gekozen aanpak heeft het JVO inmiddels een rapport ontvangen over de uitvoeringstoets die heeft plaatsgevonden met betrekking tot hoofdstuk 1. Het rapport over de uitvoeringstoets met betrekking tot hoofdstuk 2 nadert afronding en is naar verwachting gereed voor het JVO van januari 2025. De komende periode zal daarnaast nog een uitvoeringstoets met betrekking tot hoofdstuk 3 worden gedaan. Als laatste stap in het proces zal een integrale rapportage over de uitvoeringsconsequenties van de consensusrijkswet worden opgesteld en aangeboden aan het JVO. Op deze manier zal geleidelijk een volledig beeld ontstaan van wat nodig is voor een succesvolle implementatie van de consensusrijkswet. Enkele belangrijke aspecten die de regering daarbij reeds in beeld heeft betreffen opleiding en training, de uitvoering van een bewustwordingscampagne en het bieden van wetgevingstechnische bijstand.
2. Hoofdlijnen van het wijzigingsprotocol
4.
De leden van de GroenLinks-PvdA-fractie vragen zich af hoe toekomstbestendig de gemoderniseerde conventie is.
Het toekomstbestendig maken van Conventie 108 is een belangrijke doelstelling van het wijzigingsprotocol. Binnen de Raad van Europa bestaat een brede consensus dat Conventie 108 dient te worden gemoderniseerd, om ook in de toekomst het hoofd te kunnen (blijven) bieden aan de nieuwe uitdagingen waarvoor het recht op eerbiediging van de persoonlijke levenssfeer zich gesteld ziet. Om deze doelstelling te bereiken hebben de verdragspartijen bij het ontwerp van de gemoderniseerde conventie bewust gekozen voor een technologieneutrale, op beginselen gebaseerde opzet. Zij hebben in dit opzicht het voorbeeld van de Algemene Verordening Gegevensbescherming (AVG) gevolgd.
De regering vertrouwt erop dat het gemoderniseerde verdrag door de gekozen opzet toekomstbestendig zal blijken te zijn. Beginselen kunnen namelijk een bredere reikwijdte hebben en specifiek worden geïnterpreteerd om de uitdagingen van een veranderende wereld aan te gaan, terwijl gedetailleerde wettelijke bepalingen vaak niet (snel genoeg) lijken te kunnen reageren op sociaaleconomische en technologische veranderingen. Dit maakt dat een technologieneutrale, op beginselen gebaseerde benadering bij uitstek een geschikt middel is voor het toekomstigbestendig maken van een verdrag als Conventie 108.
De ervaringen die tot nu toe met de AVG zijn opgedaan bieden verdere steun aan deze gedachte. Zo is de Europese Commissie in haar eerste verslag over de evaluatie en toepassing van de AVG tot de conclusie gekomen dat de AVG-beginselen van doelbinding en verdere compatibele verwerking, gegevensminimalisatie, opslagbeperking, transparantie, verantwoordingsplicht en de voorwaarden voor de rechtmatige toepassing van geautomatiseerde besluitvormingsprocessen, beginselen die alle ook zijn opgenomen in de gemoderniseerde conventie, voor een groot deel tegemoet komen aan de bezwaren in verband met het gebruik van kunstmatige intelligentie. Ook heeft de Europese Commissie vastgesteld dat de technologieneutrale, op beginselen gebaseerde opzet van de AVG op de proef werd gesteld tijdens de COVID-19 pandemie en succesvol is gebleken. De op deze principes gebaseerde regels ondersteunden de ontwikkeling van traceringsapps en andere digitale hulpmiddelen om de verspreiding van het virus te bestrijden en te controleren.6
5.
De leden van de GroenLinks-PvdA-fractie vragen zich af wat de gevolgen zijn van het feit dat er nog lang gebruik is gemaakt van de uit 1981 stammende Conventie 108. Heeft de regering concrete voorbeelden waarin het verdrag wegens haar ouderdom schuurde met nieuwere regelgeving? Heeft dit eerder in de praktijk tot problemen geleid? Deze leden lezen dat het belang van het wijzigingsprotocol duidelijk wordt in de tegenstrijdige verplichtingen die soms gelden bij het hanteren van het oude verdrag. Heeft de regering concrete voorbeelden van zulke tegenstrijdige verplichtingen? Heeft dit eerder in de praktijk tot problemen geleid?
Conventie 108 geldt op dit moment nog altijd. Voor de lidstaten van de EU, die alle ook partij zijn bij Conventie 108, leidt deze situatie er al geruime tijd toe dat zij geconfronteerd worden met verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en uit hoofde van het recht van de Raad van Europa. Dat komt omdat de EU in 2012 is begonnen met het moderniseren van haar gegevensbeschermingsrecht, resulterend in de komst van (o.a.) de AVG en de Richtlijn 2016/680 die met ingang van 25 mei 2018 van toepassing zijn geworden. De bepalingen uit de AVG en Richtlijn 2016/2018 zijn over het algemeen gedetailleerder dan die uit Conventie 108. In sommige gevallen leggen deze twee instrumenten bovendien verplichtingen op die verder gaan dan de verplichtingen uit hoofde van Conventie 108.
Een concreet voorbeeld hiervan biedt artikel 12 van Conventie 108. Deze bepaling bepaalt dat de verdragspartijen de doorgifte van persoonsgegevens van hun grondgebied naar dat van een andere verdragspartij niet mogen verbieden of aan een speciale toestemming mogen onderwerpen, uitsluitend vanwege het belang van de bescherming van persoonsgegevens. Ook het EU-gegevensbeschermingsrecht vestigt een dergelijk «vrij verkeer van persoonsgegevens». Dit regime geldt echter alleen binnen de EU/EER; het vrije verkeer is met andere woorden niet van toepassing op doorgiften vanuit een EU-lidstaat naar een derde land dat partij is bij Conventie 108. In het wijzigingsprotocol wordt op dit punt rekening gehouden met het EU-gegevensbeschermingsrecht door het opnemen van een uitzondering op de hoofdregel van het «vrij verkeer van persoonsgegevens» ten behoeve van verdragspartijen die «gebonden [zijn] door geharmoniseerde beschermingsregels die worden gedeeld door Staten die lid zijn van een regionale internationale organisatie». Dit voorbeeld illustreert waarom het voor de EU en de lidstaten van groot belang is dat het wijzigingsprotocol spoedig in werking treedt.
6.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol betrekking heeft op de bevoegdheden van de EU. Hoe ziet Europa erop toe dat het verdrag door al haar lidstaten succesvol wordt geïmplementeerd? Hoe treedt zij op als lidstaten dit niet doen? Ook lezen deze leden dat de EU de lidstaten aanspoort om het wijzigingsprotocol zo snel mogelijk te ratificeren. Welke lidstaten lopen hiermee achter? Hoe dwingend is de EU in haar aansporingen? Heeft zij een deadline gesteld voor implementatie of is het geheel vrijblijvend?
Het wijzigingsprotocol en de daarin geregelde materie heeft inderdaad betrekking op bevoegdheden van de Europese Unie, namelijk de bescherming van persoonsgegevens. De Unie is exclusief bevoegd op dit terrein, behalve voor wat betreft de verwerking van persoonsgegevens ten behoeve van de nationale veiligheid en defensie. Op dit laatste terrein zijn de lidstaten exclusief bevoegd (artikel 4, tweede lid, van het Verdrag inzake de Europese Unie, hierna: VEU). In het wijzigingsprotocol wordt, zoals gezegd, voorzien in de mogelijkheid voor de EU om toe te treden tot het gemoderniseerde verdrag. Hierdoor wordt het in de toekomst zowel voor de EU als voor haar lidstaten gemakkelijker om zelfstandig en binnen de grenzen van hun eigen bevoegdheden op te treden in het kader van de Raad van Europa. Mede daarom hebben de Unie en haar lidstaten een gezamenlijk belang bij de spoedige inwerkingtreding van het wijzigingsprotocol.
De Unie heeft de lidstaten reeds meerdere malen aangespoord om het wijzigingsprotocol zo spoedig mogelijk te ratificeren. In reactie daarop heeft de regering de toezegging gedaan om zich in te spannen om het Protocol binnen een termijn van drie jaar na de ondertekening te ratificeren. Inmiddels hebben achttien lidstaten het Protocol geratificeerd. Het Koninkrijk behoort samen met België, Tsjechië, Denemarken, Griekenland, Ierland, Letland, Luxemburg en Zweden tot de groep lidstaten die dit nog niet heeft gedaan. Conform haar toezegging blijft de regering zich inspannen voor de spoedige ratificatie van het wijzigingsprotocol door het Koninkrijk. Tijdens bijeenkomsten van de raadswerkgroep voor gegevensbescherming dringt de Europese Commissie daar ook met enige regelmaat bij het Koninkrijk en de andere EU-lidstaten die het wijzigingsprotocol nog niet hebben geratificeerd op aan. Ook vanuit de Raad van Europa worden het Koninkrijk en andere verdragspartijen die nog niet tot ratificatie van het wijzigingsprotocol zijn overgegaan geregeld gevraagd naar de voortgang van de ratificatieprocedure.
De keuze om het wijzigingsprotocol al dan niet te ratificeren is voor de lidstaten niet geheel vrijblijvend. Zij zijn namelijk gebonden aan het EU-rechtelijke beginsel van loyale samenwerking tussen de Unie en haar lidstaten (artikel 4, derde lid, VEU). Dit beginsel is in het bijzonder van belang bij verdragen zoals het onderhavige, waarvan het onderwerp deels tot de bevoegdheid van de Unie en deels tot die van de lidstaten behoort. In die situatie verlangt het beginsel een nauwe samenwerking tussen de lidstaten en de instellingen van de Unie (in dit geval de Europese Commissie als medeonderhandelaar van het wijzigingsprotocol), zowel in de fase van onderhandeling en sluiting als bij de uitvoering van de aangegane verplichtingen.7 Bij niet-naleving van het EU-recht, waaronder het beginsel van loyale samenwerking, kan de Europese Commissie, als hoeder van de Verdragen, in het uiterste geval een inbreukprocedure starten tegen de in gebreke blijvende lidstaat (artikel 258 van het Verdrag inzake de werking van de Europese Unie).
7.
De leden van de GroenLinks-PvdA-fractie merken op dat de wijziging van Conventie 108 betrekking heeft op de verwerking van persoonsgegevens door veiligheidsdiensten en defensie. Wat vraagt het van lidstaten om deze wijzigingen door te voeren? Zijn alle partijen hiertoe uitgerust, vooral gezien de onstabiele internationale situatie die veel vraagt van onze veiligheidsdiensten en militaire diensten?
Het is juist, zoals de leden van de GroenLinks-PvdA-fractie opmerken, dat de gemoderniseerde conventie ook betrekking heeft op verwerking van persoonsgegevens door defensie. Tegelijkertijd kan worden vastgesteld dat het gemoderniseerde verdrag ook zal voorzien in een stelsel van uitzonderingen en beperkingen die onder andere in het belang van defensie op de materiële bepalingen van het verdrag mogen worden gemaakt. Zoals ook in de memorie van toelichting is verwoord, is de huidige Europees Nederlandse wetgeving ten aanzien van nationale veiligheid en defensie, in het bijzonder de Wet op de inlichtingen- en veiligheidsdiensten 2017 respectievelijk artikel 3 UAVG en het daarop gebaseerde uitzonderingsregime voor de inzet van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken, in lijn met deze beperkingensystematiek. Wel zal de Regeling Gegevensbescherming Militaire Operaties op twee punten worden aangepast. Zo zal de uitzondering op het vereiste om een gegevensbeschermingseffectbeoordeling uit te voeren, worden geschrapt. De bezwaren tegen overeenkomstige toepassing van artikel 35 AVG voor buitenlandse operaties die ten grondslag lagen aan de uitzondering worden ondervangen door een algemene gegevensbeschermingseffectbeoordeling voor operaties uit te voeren. Voorts zullen in genoemde regeling nadere regels worden gesteld voor andere bijzondere persoonsgegevens dan biometrische en genetische persoonsgegevens. Tot slot zal de komende periode, los van de implementatie van het wijzigingsprotocol, nog worden onderzocht of artikel 3 UAVG moet worden aangepast in het licht van de gereedstellingsstatus van Defensie. Zie in dit verband de brief van de Minister van Defensie van 30 mei 2024 over Optreden Defensie in het cyberdomein.8 Het gemoderniseerde verdrag staat hier niet aan in de weg.
8.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol in artikel 3 van het verdrag de mogelijkheid voor verdragspartijen schrapt om bepaalde categorieën van verwerkingen van de werkingssfeer van het verdrag uit te zonderen. Deze leden vinden dit een terechte wijziging. Zij zijn benieuwd naar concrete voorbeelden van sectoren en activiteiten die door de verdragspartijen zijn uitgesloten. Heeft Nederland wel eens een dergelijke uitzondering gemaakt?
Verschillende verdragspartijen, waaronder het Koninkrijk, hebben gebruik gemaakt van de door artikel 3 van Conventie 108 geboden mogelijkheid om door middel van een verklaring gericht aan de Secretaris-Generaal van de Raad van Europa kenbaar te maken dat zij het verdrag niet zullen toepassen op bepaalde categorieën van verwerkingen.9 Zo hebben een aanzienlijk aantal verdragspartijen, waaronder het Koninkrijk, te kennen gegeven dat zij het verdrag niet zullen toepassen op de verwerking van persoonsgegevens door een individu voor louter persoonlijke of huishoudelijke activiteiten. Dit is een algemene uitzondering die tegenwoordig ook is opgenomen in de AVG (zie artikel 2, tweede lid, onder c). Het wijzigingsprotocol (artikel 4) introduceert deze algemene uitzondering ook in het gemoderniseerde verdrag.
Enkele andere voorbeelden van verwerkingen die door individuele verdragspartijen zijn uitgesloten van de toepassing van het verdrag zijn:
– verwerking van persoonsgegevens ten behoeve van de opsporing en vervolging van misdrijven;
– verwerking van persoonsgegevens ten behoeve van de bescherming van de nationale veiligheid;
– verwerking van persoonsgegevens die de betrokkene op grond van een wettelijke plicht openbaar moet maken;
– verwerking van persoonsgegevens die door de betrokkene uit eigen beweging openbaar zijn gemaakt.
Afgezien van persoonsgegevens die door een individu voor louter persoonlijke of huishoudelijke activiteiten worden verwerkt, heeft het Koninkrijk bij de aanvaarding van het verdrag verklaard het verdrag niet te zullen toepassen op de volgende categorieën van persoonsgegevens:
i. bestanden met persoonsgegevens die uitsluitend voor openbare informatiedoeleinden worden bijgehouden door de pers, radio of televisie;
ii. boeken en andere geschreven publicaties, of indexsystemen die daarop betrekking hebben;
iii. bestanden met persoonsgegevens die worden bewaard in daartoe bij wet aangewezen archiefdepots;
iv. bestanden met persoonsgegevens waartoe het publiek op grond van de wet toegang moet hebben;
v. bestanden met persoonsgegevens die worden bijgehouden voor de uitvoering van de Kieswet.10
Verder heeft het Koninkrijk bij de aanvaarding van het verdrag verklaard het verdrag vooralsnog niet toe te zullen passen op:
i. bestanden met persoonsgegevens die zijn aangelegd bij of krachtens de toenmalige Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag;
ii. bestanden met persoonsgegevens die zijn opgesteld overeenkomstig de toenmalige Wet bevolkings- en verblijfsregisters;
iii. het centraal register van studenten in het hoger onderwijs, ingesteld op grond van de toenmalige Wet op het wetenschappelijk onderwijs, de Wet op het hoger beroepsonderwijs en de Wet op de open universiteit;
iv. bestanden van geregistreerde kentekens van voertuigen en van afgegeven rijbewijzen, opgesteld krachtens de toenmalige Wegenverkeerswet.11
9.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol het niveau van de gegevensbescherming verhoogt en de bescherming van bijzondere persoonsgegevens versterkt. Deze leden vragen de regering om een uitgebreidere toelichting op dit punt.
Zoals hierboven uiteengezet, is de in 2012 in gang gezette modernisering van het gegevensbeschermingsrecht van de EU een belangrijke factor geweest die binnen de Raad van Europa tot het besef heeft geleid dat Conventie 108 verouderd is en dient te worden gemoderniseerd. Het wijzigingsprotocol introduceert verschillende vernieuwingen die deels aan de AVG zijn ontleend en die het beschermingsniveau verhogen ten opzichte van het huidige door het verdrag geboden niveau. De regering verwijst hiervoor naar paragraaf 2.2 van het algemeen deel van de toelichting. Tot deze vernieuwingen behoort ook een uitbreiding van de verschillende categorieën bijzondere persoonsgegevens tot de categorieën die in het Unierecht zijn erkend en een versterking van de bescherming van deze bijzondere persoonsgegevens (artikel 8 van het wijzigingsprotocol). De catalogus van bijzondere persoonsgegevens is uitgebreid met genetische en biometrische gegevens, evenals gegevens die worden verwerkt vanwege de informatie die ze onthullen met betrekking tot vakbondslidmaatschap of etnische afkomst. Voor deze en andere bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij het nationale recht passende waarborgen biedt die de overige bepalingen van het verdrag complementeren. Deze waarborgen moeten bescherming bieden tegen de risico's die de verwerking van bijzondere persoonsgegevens kan inhouden voor de belangen, rechten en fundamentele vrijheden van de betrokkene, met name het risico op discriminatie.
10.
De leden van de GroenLinks-PvdA-fractie merken op dat het wijzigingsprotocol enkele nieuwe rechten invoert, waaronder het recht voor de betrokkene om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, dat hem of haar in aanmerkelijke mate treft, zonder dat met zijn of haar standpunt rekening wordt gehouden. Deze leden merken op dat het wijzigingsprotocol uit 2018 stamt en dat met name kunstmatige intelligentie de afgelopen jaren snel haar entree heeft gemaakt op allerlei werkplekken en maatschappelijke functies. Naar aanleiding hiervan vragen deze leden zich af of het wijzigingsprotocol bepaalt dat ook AI-applicaties geen besluiten mogen nemen over personen. Ziet de regering verder nog punten in het wijzigingsprotocol die kwetsbaar zijn om snel te verouderen ten opzichte van nieuwe technologie?
De leden van de GroenLinks-PvdA-fractie merken terecht op dat het gebruik van kunstmatige intelligentie (artificial intelligence, hierna: «AI») de afgelopen jaren een hoge vlucht heeft genomen. In het huidige digitale tijdperk bestaat er een groeiende technologische mogelijkheid om gegevens te verzamelen, te verwerken en om nieuwe en voorspellende kennis uit een groot volume, grote snelheid en een grote diversiteit aan gegevens te halen («big data»).12 Bij dit soort big data-toepassingen is een belangrijke rol weggelegd voor AI. AI is een breed begrip dat onder andere wordt gebruikt wanneer een machine cognitieve functies nabootst, zoals leren en een probleem oplossen, die normaliter worden geassocieerd met natuurlijke personen (bijvoorbeeld een «zelfrijdende» auto).
Zoals met vrijwel elke nieuwe technologie het geval is, draagt AI bij aan de vooruitgang, maar zijn er ook maatschappelijke risico’s aan verbonden. Zo kan big data-analyse patronen tussen verschillende bronnen en gegevensreeksen aan het licht brengen, zodat nuttige inzichten op bijvoorbeeld wetenschappelijk en geneeskundig gebied mogelijk worden gemaakt. Aan de andere kant kan de grootschalige gegevensverwerking waarmee het gebruik van «big data» en AI gepaard gaan, effecten hebben op de uitoefening van het recht op bescherming van persoonsgegevens en andere grondrechten. Om menselijke besluitvorming na te bootsen, maken moderne technologie en software gebruik van algoritmen voor het nemen van geautomatiseerde besluiten. Hieraan kleven ook risico’s. Zo kunnen algoritmen die worden ingezet bij geautomatiseerde besluitvorming, bijvoorbeeld bij de beoordeling van de kredietwaardigheid van een natuurlijke persoon door een kredietbeoordelingsbureau, discrimineren.
De afgelopen jaren is AI-regulering een centraal beleidsvraagstuk geworden in zowel de Europese Unie als de Raad van Europa. De EU heeft zich daarbij opgeworpen als pleitbezorger van de ontwikkeling van een «mensgerichte» benadering van AI om ervoor te zorgen dat Europeanen kunnen profiteren van nieuwe technologieën die worden ontwikkeld en functioneren volgens de waarden en principes van de EU. Na aanvankelijk te hebben gekozen voor een soft law-aanpak met de publicatie van haar niet-bindende «Ethics Guidelines for Trustworthy AI» (2019) en beleids- en investeringsaanbevelingen, is de Europese Commissie overgestapt op een wetgevende aanpak. Op 21 april 2021 presenteerde de Commissie een voorstel voor een verordening over kunstmatige intelligentie, als onderdeel van een breder AI-pakket (hierna: de AI-verordening).13 Het doel van de AI-verordening is om ervoor te zorgen dat AI-systemen die op de Europese markt worden gebracht en gebruikt, veilig en in overeenstemming zijn met de fundamentele rechten en waarden van de EU zoals onder andere neergelegd in de Europese verdragen, internationale mensenrechtenverdragen zoals Conventie 108 en in de AVG. De Raad en het Europees Parlement hebben de AI-verordening inmiddels aangenomen. De AI-verordening wacht nu op ondertekening en kan daarna in werking treden.14
In de tussentijd heeft ook de Raad van Europa niet stilgezeten. Binnen de Raad heeft het zogeheten comité voor Artificiële intelligentie (CAI) een nieuw (kader)verdrag ontwikkeld dat de ontwikkeling, het ontwerp en de toepassing van AI-systemen reguleert en dat gebaseerd is op de standaarden van de Raad van Europa op het gebied van de mensenrechten.15 Dit nieuwe kaderverdrag is onlangs op 17 mei 2024 aangenomen door het Comité van Ministers van de Raad van Europa, en zal ter ondertekening worden opengesteld tijdens de Conferentie van Ministers van Justitie in Vilnius (Litouwen) op 5 september 2024.16
De ontwikkeling van deze nieuwe instrumenten doet niet af aan het belang van het gemoderniseerde verdrag voor de regulering van AI. Conventie 108 is ten volle van toepassing op AI-applicaties waarbij sprake is van geautomatiseerde verwerking van persoonsgegevens. Dat geldt ook voor het in het gemoderniseerde verdrag geïntroduceerde recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, dat de betrokkene in aanmerkelijke mate treft, zonder dat met zijn of haar standpunt rekening wordt gehouden (artikel 9, eerste lid, onder a). Dit recht is geïnspireerd op artikel 22 AVG en houdt in dat de betrokkene het recht heeft om een op geautomatiseerde verwerking gebaseerd besluit aan te vechten en in staat moet zijn om elke onjuistheid in de persoonsgegevens die de verwerkingsverantwoordelijke gebruikt, te betwisten en de relevantie van het op hem toegepaste profiel in twijfel te trekken.17 Daarnaast bevat het gemoderniseerde verdrag verschillende andere aan de AVG ontleende regels, rechten en beginselen die mede zijn bedoeld om het gebruik van AI bij de verwerking van persoonsgegevens te reguleren. Het gaat hierbij om de beginselen van transparantie (artikel 8) en gegevensbescherming door ontwerp en standaardinstellingen (artikel 10, tweede en derde lid), het recht om op verzoek in kennis te worden gesteld van de redenering die ten grondslag ligt aan de gegevensverwerking wanneer de resultaten van die verwerking op de betrokkene worden toegepast (artikel 9, eerste lid, onder c), en de verantwoordingsplicht (artikel 10, lid 1). Deze nieuwe voorschriften vormen een waardevolle aanvulling op bestaande regels, rechten en beginselen die onder het huidige verdrag al een nuttige functie vervullen bij het reguleren van AI, zoals het doelbindingsbeginsel (artikel 5, onder b) en het inzagerecht (artikel 8, onder b).
11.
De leden van de GroenLinks-PvdA-fractie vragen zich af of er met de verdragspartijen afgesproken is wanneer een nieuwe actualisatie van het verdrag noodzakelijk is. Hoe wordt dat beoordeeld?
De gemoderniseerde conventie bevat geen evaluatiebepaling. Het wijzigingsprotocol voorziet echter in andere mechanismen om ervoor te zorgen dat het gemoderniseerde verdrag bij de tijd blijft. Aangezien de gemoderniseerde conventie betrekking heeft op een onderwerp dat voortdurend in ontwikkeling is, kan worden verwacht dat er vragen zullen rijzen over zowel de praktische toepassing van het verdrag als de betekenis ervan.18 Voor de beantwoording van dit soort vragen voorziet de gemoderniseerde conventie in de instelling van een Verdragscomité, als opvolger van de Adviescommissie die is ingesteld op basis van het huidige verdrag. Het Verdragscomité bestaat uit vertegenwoordigers van alle verdragspartijen, afkomstig van de nationale toezichthoudende instanties of van de regering (artikel 22, tweede lid). Twee belangrijke taken van het Verdragscomité zijn om aanbevelingen te doen om de toepassing van het verdrag te vergemakkelijken of te verbeteren (artikel 23, onderdeel a) en om advies uit te brengen over elke vraag betreffende de interpretatie of toepassing van het verdrag (artikel 23, onderdeel d). Net als de huidige Adviescommissie, kan het Verdragscomité daarnaast voorstellen doen tot wijziging van het verdrag (artikel 23, onderdeel b). Het Verdragscomité deelt deze bevoegdheid met de verdragspartijen en het Comité van Ministers van de Raad van Europa (artikel 25, eerste lid). Over voorstellen tot wijziging van het verdrag afkomstig van een verdragspartij of het Comité van Ministers brengt het Verdragscomité verplicht advies uit (artikel 25, derde lid).
12.
De leden van de GroenLinks-PvdA-fractie lezen met enige twijfel dat het gemoderniseerde verdrag vrijheid kent voor deelnemers om de bepalingen om te zetten in nationaal beleid en «een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen». Deze leden vragen zich af in hoeverre het gemoderniseerde verdrag een duidelijke ondergrens stelt waar minstens aan voldaan moet worden om burgers goed te beschermen. Hoe veel vrijheid hebben verdragspartijen om af te zien van verdragsbepalingen? Hoe wordt het hoge beschermingsniveau gewaarborgd als verdragspartijen het recht op de persoonlijke levenssfeer kunnen afwegen tegen andere belangen? Hoe groot is die vrijheid met betrekking tot de nationale inlichtingen- en veiligheidsdiensten, die volgens de leden een extra verantwoordelijkheid dragen om secuur met persoonsgegevens om te gaan?
Het wijzigingsprotocol beoogt het niveau van gegevensbescherming uit hoofde van Conventie 108 in lijn te brengen met het beschermingsniveau van de EU op dit gebied, in het bijzonder de AVG. Daartoe worden de verdragspartijen verplicht hun nationale recht een bepaalde inhoud te geven of aan datasubjecten rechtstreeks bepaalde rechten toe te kennen. Dit is de ondergrens waaraan alle verdragspartijen dienen te voldoen. Daarnaast biedt het wijzigingsprotocol de mogelijkheid uitzonderingen te maken op de rechten en verplichtingen uit het gemoderniseerde verdrag zodat een zekere mate van flexibiliteit mogelijk is voor de verdragspartijen. Juist in het kader van nationale veiligheid is deze flexibiliteit noodzakelijk, omdat bij de verdragspartijen grote diversiteit bestaat waar het gaat om de verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten en (met name) het toezicht daarop. Ook de organisatie, positionering, taken en bevoegdheden van inlichtingen- en veiligheidsdiensten kennen onderling verschillen. Met de thans voorziene beperkingensystematiek kan deze diversiteit ook onder het gewijzigde verdrag gehandhaafd worden. De mogelijkheid om uitzonderingen te maken is echter niet onbegrensd. Artikel 14 van het wijzigingsprotocol (nieuw artikel 11) geeft een limitatieve opsomming van de uitzonderingen die door de verdragspartijen mogen worden gemaakt. Daarnaast zijn deze uitzonderingen verbonden aan specifieke doeleinden en moeten de uitzonderingen bij wet zijn voorzien. Ook moet de essentie van de fundamentele rechten en vrijheden geëerbiedigd worden en moeten de uitzonderingen noodzakelijk en proportioneel zijn in een democratische samenleving. Deze uitzonderingsmogelijkheden doen bovendien geen afbreuk aan de eis dat verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden onderworpen dienen te zijn aan onafhankelijk en effectief toezicht op grond van nationale wetgeving.
Het vereiste van een zorgvuldige verwerking van persoonsgegevens was al opgenomen in het verdrag en is thans vervat in artikel 5, lid 4, onder a, van de gemoderniseerde conventie. Ter illustratie kan hier gewezen worden op de bepalingen hieromtrent in de Wiv 2017. Het vereiste is opgenomen in artikel 18, lid 2. In aanvulling hierop is in artikel 18, derde lid, van de Wiv 2017 bepaald dat de gegevens die de diensten in het kader van hun taakuitvoering verwerken, worden voorzien van een aanduiding omtrent de mate van betrouwbaarheid dan wel een verwijzing naar het document of de bron waaraan de gegevens zijn ontleend. Voor bijzondere persoonsgegevens (artikel 19, derde lid) en de externe verstrekking van persoonsgegevens (artikel 62 e.v.) gelden verdere aanvullende waarborgen. In de artikelen 68 tot en met 70 van de Wiv 2017 zijn enkele bijzondere voorschriften gegeven waar het gaat om de verstrekking van persoonsgegevens. De achtergrond hiervan is dat bij de verstrekking van persoonsgegevens die zeer nadrukkelijk de persoonlijke levenssfeer raken van degene waarop die gegevens betrekking hebben, zorgvuldigheid voorop dient te staan. Op deze wijze is verzekerd dat de AIVD en de MIVD secuur met persoonsgegevens omgaan.
13.
De leden van de GroenLinks-PvdA-fractie vragen zich af hoe de door het verdrag geboden flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen te rijmen valt met de bewering dat «het wijzigingsprotocol een belangrijke bijdrage [kan] leveren aan de wereldwijde versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens». Dit klopt toch alleen als het verdrag zo breed mogelijk omarmd wordt en wereldwijd wordt geïmplementeerd? In hoeverre is deelname aan het verdrag vrijblijvend? Welke sancties worden er genomen als landen het verdrag niet implementeren? Welke voordelen heeft het voor een niet-deelnemende partij om toe te treden tot het verdrag? Welke nadelen kleven daar aan?
Dat het wijzigingsprotocol de verdragspartijen de mogelijkheid biedt uitzonderingen te maken op de rechten en verplichtingen uit het gemoderniseerde verdrag doet niet af aan het door het verdrag geboden hoge beschermingsniveau. Het grondrecht op bescherming van persoonsgegevens heeft namelijk, zoals de preambule van de AVG het uitdrukt, geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Zo kan het inzagerecht bijvoorbeeld niet onverkort gelden voor een verdachte die gedurende een tegen hem of haar lopend opsporingsonderzoek inzage wenst in zijn of haar dossier. De AVG maakt dergelijke beperkingen van het recht op gegevensbescherming onder strenge voorwaarden ook mogelijk, onder andere in artikel 23. Ingevolge deze bepaling mag een beperking niet de wezenlijke inhoud van de grondrechten en fundamentele vrijheden aantasten en dient deze in een democratische samenleving een noodzakelijke en evenredige maatregel te zijn ter waarborging van een gewichtige doelstelling van algemeen belang (o.a. de nationale veiligheid, de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen,) of ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Het gemoderniseerde verdrag kent in artikel 11 een soortgelijke beperkingensystematiek.
De mate waarin het gemoderniseerde verdrag een bijdrage kan leveren aan de wereldwijde versterking van het recht op privacy en gegevensbescherming hangt inderdaad af van de mate waarin het verdrag wereldwijd, ook door landen die geen lid zijn van de Raad van Europa, wordt omarmd. Op dit moment hebben drie niet-lidstaten van de Raad van Europa Conventie 108 en het wijzigingsprotocol geratificeerd (Argentinië, Mauritius en Uruguay). De regering heeft goede hoop dat dit er in de toekomst meer zullen worden. Voor landen die overwegen een nieuw systeem van gegevensbescherming op te zetten of een bestaand systeem te moderniseren biedt het gemoderniseerde verdrag namelijk duidelijke voordelen. Conventie 108 vormt al sinds 1981 de enige internationaal aanvaarde blauwdruk voor de implementatie van het grondrecht op bescherming van persoonsgegevens. Door het wijzigingsprotocol wordt het verdrag gemoderniseerd en in lijn gebracht met het EU-gegevensbeschermingsrecht. Toetreding tot het verdrag zorgt daarmee voor aansluiting van het eigen rechtsstelsel bij een systeem van gegevensbescherming dat internationaal steeds meer als dé standaard wordt gezien. Hierdoor wordt het bovendien ook gemakkelijker om persoonsgegevens uit te wisselen met andere landen. Artikel 14 van het gemoderniseerde verdrag vestigt namelijk een «vrij verkeer van persoonsgegevens» tussen de verdragspartijen. De ratio van deze bepaling is dat alle partijen, die de kern van gegevensbeschermingsbepalingen van het verdrag hebben onderschreven, geacht worden een niveau van bescherming te bieden dat passend wordt geacht en dat derhalve in beginsel het vrije verkeer van gegevens mogelijk maakt.19 In de huidige digitale economie gaat de levering van goederen en diensten in toenemende mate gepaard met de uitwisseling van persoonsgegevens. Ook bij allerlei vormen van internationale samenwerking speelt de uitwisseling van persoonsgegevens een steeds belangrijkere rol. Het vrije verkeer van persoonsgegevens biedt verdragspartijen oftewel de nodige economische en andere voordelen.
Toetreding tot het gemoderniseerde verdrag is niet vrijblijvend. Alvorens toe te kunnen treden tot het verdrag, dient de kandidaat-verdragspartij in haar regelgeving de nodige maatregelen te treffen om uitvoering te geven aan de bepalingen van het verdrag en de effectieve toepassing ervan te waarborgen (artikel 4, eerste lid). Dit laatste betekent onder meer dat de kandidaat-verdragspartij moet voorzien in een onafhankelijke toezichthoudende autoriteit die bekleed is met de nodige handhavende bevoegdheden (artikel 15). In Europees Nederland wordt deze rol vervuld door de Autoriteit Persoonsgegevens. Verder verbindt iedere verdragspartij zich ertoe het Verdragscomité (de opvolger van de huidige Adviescommissie) in staat te stellen de doeltreffendheid te beoordelen van de maatregelen die zij in haar regelgeving heeft genomen om uitvoering te geven aan de bepalingen van dit Verdrag en om actief bij te dragen aan dit evaluatieproces (artikel 4, derde lid). Het Verdragscomité evalueert de uitvoering van het verdrag door de verdragspartijen en beveelt maatregelen aan die moeten worden genomen wanneer een verdragspartij het verdrag niet naleeft (artikel 23, onder h). Ook kan het Verdragscomité op verzoek van een staat of een internationale organisatie beoordelen of het niveau van bescherming van persoonsgegevens waarin zij voorzien in overeenstemming is met de bepalingen van het verdrag en, indien nodig, maatregelen aanbevelen om die naleving te bereiken (artikel 23, onder f). Niet-naleving van het verdrag kan ook anderszins gevolgen hebben. Zo kan een verdragspartij een uitzondering maken op het «vrij verkeer van persoonsgegevens», indien «er een reëel en ernstig risico bestaat dat de doorgifte aan een andere Partij, of van die andere Partij aan een niet-Partij, zou leiden tot omzeiling van de bepalingen van het Verdrag» (artikel 14, eerste lid).
14.
De leden van de GroenLinks-PvdA-fractie lezen in de memorie van toelichting dat het evaluatiemechanisme nog wordt uitgewerkt in de Raad van Europa. Wanneer is dat proces rond? Acht de regering het van belang dat het evaluatiemechanisme nog voor de implementatie van dit verdrag wordt afgerond?
De regering is het met de leden van de GroenLinks-PvdA-fractie eens dat het van belang is dat het evaluatiemechanisme gereed is voor de inwerkingtreding van de gemoderniseerde conventie. Op dit moment wordt binnen de Raad van Europa nog gewerkt aan de uitwerking van dit mechanisme. De Adviescommissie heeft uitgebreide voorbereidende werkzaamheden verricht die in november 2021 hebben geleid tot de goedkeuring van een deskundigenverslag en een vragenlijst over hoe dit mechanisme zou kunnen werken. Het opstellen hiervan is voornamelijk gedaan door een externe deskundige, in nauw overleg met de Adviescommissie. Zodra het gemoderniseerde verdrag in werking treedt, is het aan het nieuw te vormen Verdragscomité (als opvolger van de huidige Adviescommissie) om een nieuw reglement van orde en een toetsings- en evaluatiemechanisme aan te nemen, aangezien de huidige Adviescommissie niet voor het nieuw te vormen Verdragscomité kan beslissen.
15.
De leden van de GroenLinks-PvdA-fractie lezen dat nationale autoriteiten dienen te worden aangewezen om «besluiten te nemen met betrekking tot schendingen van het verdrag». Wat voor besluiten bedoelt de regering daarmee?
De regering doelt hiermee op de bevoegdheid van de aan te wijzen toezichthoudende autoriteit om bestuurlijke sancties op te leggen, zoals een last onder dwangsom of een bestuurlijke boete.
16.
De leden van de GroenLinks-PvdA-fractie merken op dat het Aanvullende Protocol buiten werking treedt zodra het wijzigingsprotocol in werking treedt. Geldt dat per land, of moeten alle verdragspartijen het wijzigingsprotocol implementeren voordat het Aanvullende Protocol in z’n geheel komt te vervallen?
Op 8 november 2001 is het Aanvullend Protocol bij het verdrag tot stand gekomen. Het Aanvullend Protocol bevat twee inhoudelijke bepalingen. Deze zijn materieel geheel overgenomen in het wijzigingsprotocol. Daarom treedt het Aanvullend Protocol, ingevolge artikel 37, vierde lid, van het wijzigingsprotocol, buiten werking zodra het wijzigingsprotocol in werking treedt voor alle partijen. Het wijzigingsprotocol treedt in werking op de eerste dag van de tweede maand volgend op drie maanden na de datum waarop alle partijen bij het verdrag te kennen hebben gegeven dat zij ermee instemmen door het wijzigingsprotocol te worden gebonden (artikel 37, eerste lid, van het wijzigingsprotocol).
17.
De leden van de D66-fractie constateren dat er lang over het wijzigingsprotocol is onderhandeld. Wat waren tijdens deze onderhandelingen de punten die de meeste tijd in beslag namen?
Het is juist, zoals de leden van de D66-fractie stellen, dat lang is onderhandeld over het wijzigingsprotocol. Een belangrijk discussiepunt binnen het ad hoc Committee on data protection (CAHDATA) betrof de vraag hoe vorm te geven aan een systeem van gegevensbescherming dat enerzijds een hoog beschermingsniveau biedt en anderzijds voldoende ruimte laat aan verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen, zodat het met name voor staten die geen lid zijn van de Raad van Europa aantrekkelijk wordt om toe te treden tot het verdrag. In dit kader was er bijvoorbeeld veel discussie tussen de EU-lidstaten en de overige verdragspartijen over het nieuwe artikel 14 inzake grensoverschrijdend verkeer van persoonsgegevens (artikel 17 van het wijzigingsprotocol). Deze discussie ging onder meer over de introductie van het aan de AVG ontleende instrument van de adequaatheidsbeslissingen (artikel 45 AVG). Een ander punt van discussie betrof het nieuwe artikel 17 en de daarin opgenomen modaliteiten voor de samenwerking tussen de toezichthoudende autoriteiten (artikel 22 van het wijzigingsprotocol). Ook hier speelde de vraag in hoeverre aansluiting gezocht zou moeten worden bij de AVG. Ook was er veel discussie binnen CAHDATA over de beperkingensystematiek van artikel 11 van het gewijzigde verdrag (artikel 14 van het wijzigingsprotocol). In dit verband speelde onder meer de vraag in hoeverre de in artikel 15, tweede lid, van het gewijzigde verdrag opgesomde bevoegdheden van de toezichthoudende autoriteiten ook zouden moeten kunnen worden uitgeoefend jegens inlichtingen- en veiligheidsdiensten.
18.
De leden van de D66-fractie vragen zich af in hoeverre een verdragspartij kan voorstellen om wijzigingen aan te brengen in Conventie 108. Welk proces moet dan worden gevolgd?
Een partij bij het verdrag kan op grond van het huidige artikel 21 van het verdrag een wijziging daarvan voorstellen. De Secretaris-Generaal van de Raad van Europa geeft van ieder wijzigingsvoorstel kennis aan de verdragspartijen. De bij het verdrag ingestelde Adviescommissie adviseert hierover aan het Comité van Ministers. Indien het Comité van Ministers de wijziging heeft aangenomen, dienen alle partijen bij het verdrag deze te aanvaarden.
Artikel 31 van het wijzigingsprotocol brengt op enkele punten een wijziging aan in de wijzigingsprocedure. Het wijzigingsprotocol voorziet in kennisgeving van wijzigingen door de Secretaris-Generaal van de Raad van Europa aan de Europese Unie en andere internationale organisaties en in raadpleging van het Verdragscomité (voorheen Adviescommissie). Bovendien voorziet het wijzigingsprotocol, ingevolge artikel 31, tweede lid, in de mogelijkheid voor het Comité van Ministers om, na het raadplegen van het Verdragscomité, met unanimiteit van stemmen te besluiten dat een bepaalde wijziging in werking treedt na het verstrijken van een tijdvak van drie jaar vanaf de datum waarop zij voor aanvaarding is opengesteld, tenzij een partij de Secretaris-Generaal van de Raad van Europa in kennis stelt van een bezwaar tegen de inwerkingtreding ervan.
In het Koninkrijk behoeft een wijziging van het verdrag op grond van artikel 91 van de Grondwet parlementaire goedkeuring voordat het Koninkrijk aan de wijziging kan worden gebonden.
3. Uitvoering van het wijzigingsprotocol
19.
De leden van de GroenLinks-PvdA-fractie lezen dat er in het Caribische deel van het Koninkrijk wordt gestreefd naar het realiseren van een beschermingsniveau dat «(minimaal) beantwoordt aan de standaarden van het gemoderniseerde verdrag.» Kunt u toelichten wat de minimale verplichting vanuit het verdrag zou zijn? Op welke manieren zou er ambitieuzer dan het verdrag gehandeld kunnen worden?
Het gemoderniseerde verdrag verplicht de verdragspartijen zoals gezegd hun nationale recht een bepaalde inhoud te geven en aan datasubjecten rechtstreeks bepaalde rechten toe te kennen. De regering verwijst hiervoor naar paragraaf 2.2 van het algemene deel van de toelichting. Dit is de ondergrens waaraan alle verdragspartijen dienen te voldoen. Daarnaast staat het de verdragspartijen op grond van het gemoderniseerde verdrag vrij om regels over de bescherming van persoonsgegevens vast te stellen die een hoger niveau van bescherming bieden dan het gemoderniseerde verdrag (artikel 13). Verdragspartijen zouden er bijvoorbeeld voor kunnen kiezen om de aanvullende bescherming die het verdrag biedt voor bijzondere categorieën van persoonsgegevens (artikel 6) uit te breiden naar andere categorieën van persoonsgegevens.
20.
De leden van de D66-fractie vernemen graag op welke termijn de regering uitvoeringswetgeving voor het Caribisch deel van het Koninkrijk verwacht met de Tweede Kamer te kunnen delen.
De regering verwijst naar de beantwoording van vraag 3.
21.
De leden van de D66-fractie vragen zich af in hoeverre de huidige wetgeving in het Caribische deel van het Koninkrijk voor het verwerken van persoonsgegevens door veiligheids- en inlichtingendiensten verschilt met die van het Europese deel van het Koninkrijk.
De regering heeft van de landen begrepen dat in de Wiv 2017 over het algemeen meer is geregeld en met een grotere mate van detail dan in de landsverordeningen van de landen in het Caribische deel van het Koninkrijk. Het gaat het bestek van deze nota naar aanleiding van het verslag te buiten om de vier toepasselijke wetten tot in detail met elkaar te vergelijken. Daarom wordt volstaan met de meest in het oog springende verschillen.
Aruba
Voor de Veiligheidsdienst Aruba (VDA) vormt de Landsverordening Veiligheidsdienst Aruba het belangrijkste wettelijk kader. De VDA ressorteert onder de Minister van Algemene Zaken en de Minister van Justitie draagt medeverantwoordelijkheid ten aanzien van het optreden van de VDA. In de Landsverordening VDA zijn, naast de taken, doelstelling en bevoegdheden, ook de belangrijkste vereisten voor de verwerking van persoonsgegevens op een vergelijkbare wijze als in de Wiv 2017 opgenomen, zoals de vereisten van noodzaak, doelbinding, zorgvuldigheid proportionaliteit en subsidiariteit. De landsverordening heeft op enkele onderdelen een beperktere regeling dan de Wiv 2017, zoals voor de samenwerking met buitenlandse diensten, de inzageregeling en de (technische en organisatorische) voorschriften ten aanzien van de bijzondere inlichtingenmiddelen. Enkele aspecten regelt de landsverordening niet, zoals een onafhankelijke bindende toets voorafgaand aan de inzet van bijzondere inlichtingenmiddelen, een notificatieplicht, een onderzoek op relevantie van verworven gegevens en een klokkenluidersregeling. Ook is het wettelijk kader voor de uitvoering van veiligheidsonderzoeken onderdeel van de landsverordening. In Europees Nederland is dit grotendeels separaat geregeld in de Wet veiligheidsonderzoeken.
Evenals in Europees Nederland is in Aruba een commissie van toezicht belast met het uitoefenen van toezicht op de taakuitvoering van de dienst alsmede het onderzoeken en beoordelen van klachten over het optreden van de dienst. De Commissie kan onderzoek doen op verzoek van de Minister van Algemene Zaken of indien zij daartoe aanleiding ziet. Het toezicht van de commissie mondt uit in een rapport waarin een oordeel wordt gegeven over de rechtmatigheid van het optreden van de dienst; een toezichtsrapport kan aanbevelingen bevatten. Het rapport wordt uitgebracht aan de Minister van Algemene Zaken en de Minister van Justitie.
Curaçao
Voor de Veiligheidsdienst Curaçao (VDC) geldt de Landsverordening Veiligheidsdienst Curaçao. Deze landsverordening heeft veel overeenkomsten met de Landsverordening Veiligheidsdienst Aruba. Ook de VDC ressorteert onder de Minister van Algemene Zaken, de Minister van Justitie draagt medeverantwoordelijkheid ten aanzien van het optreden van de VDC en in de landsverordening zijn eveneens de taken, doelstellingen en bevoegdheden van de VDC geregeld. De VDC heeft minder taken dan de andere diensten; zo ontbreekt bijvoorbeeld de taak om dreigings- en risicoanalyses op te stellen. Als gevolg hiervan zijn de categorieën persoonsgegevens die door de VDC mogen worden verwerkt ook beperkter. Dat geldt eveneens voor de bijzondere inlichtingenmiddelen die door de VDC kunnen worden toegepast. Ook in deze landsverordening is het wettelijk kader voor de uitvoering van veiligheidsonderzoeken opgenomen.
In Curaçao is de commissie van toezicht belast met uitoefenen van toezicht op de taakuitvoering van de veiligheidsdienst en het onderzoeken en beoordelen van klachten. Voor het overige is de situatie vergelijkbaar met hetgeen ter zake van de commissie van toezicht op Aruba is bepaald.
Sint Maarten
Op grond van de Landsverordening Veiligheidsdienst Sint Maarten voert de Veiligheidsdienst Sint Maarten haar wettelijke taken uit onder verantwoordelijkheid van de Minister van Algemene Zaken. De Landsverordening Veiligheidsdienst Sint Maarten is gebaseerd op de Wiv 2002 en vormt een vrij omvangrijk wettelijk kader. De Wiv 2002 is inmiddels vervangen door de Wiv 2017. Door die wijziging zijn bijzondere bevoegdheden waarover de AIVD en de MIVD onder de Wiv 2002 al beschikten enigszins uitgebreid en – waar dat noodzakelijk werd geacht – nader uitgewerkt en geëxpliciteerd. Dat geldt ook voor de bepalingen voor nationale en internationale samenwerking. Ook zijn de waarborgen voor de taak- en bevoegdheidsuitoefening door de AIVD en MIVD versterkt. Zo is voorzien een bindende rechtmatigheidstoets door de Toetsingscommissie Inzet Bevoegdheden (TIB) op verleende toestemmingen voor die bevoegdheden waarmee de zwaardere inbreuken op de privacy plaatsvinden en ook is het toezicht en de klachtbehandeling door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) versterkt, vooral waar het gaat om bindende klachtbeoordeling. Deze wijzigingen en aanvullingen zijn beperkt gebleven tot het Europese deel van het Koninkrijk en heeft derhalve niet geleid tot een aanpassing van de Landsverordening Veiligheidsdienst Sint Maarten.
In Sint Maarten is de commissie van toezicht belast met het toezicht op de rechtmatigheid van de uitvoering van hetgeen bij of krachtens de Landsverordening Veiligheidsdienst Sint Maarten is bepaald, het gevraagd en ongevraagd inlichten en adviseren van de Minister-President, Minister van Algemene Zaken, aangaande de door de commissie geconstateerde bevindingen alsmede het onderzoeken en het beoordelen van klachten over het optreden van de dienst. Naar aanleiding van een onderzoek naar de rechtmatigheid van de uitvoering van hetgeen bij of krachtens de Landsverordening Veiligheidsdienst Sint Maarten is bepaald, stelt de commissie een toezichtsrapport op; dit toezichtsrapport is openbaar, behoudens bepaalde vertrouwelijke gegevens zoals die welke zicht geven op de door de dienst aangewende geheime bronnen.
4. Verwerking van persoonsgegevens op grond van de Wiv 2017
22.
De leden van de Groenlinks-PvdA-fractie merken op dat de Wiv 2017 verplicht dat er zo spoedig mogelijk, uiterlijk binnen drie maanden, wordt medegedeeld als persoonsgegevens worden verwerkt. Wordt hier altijd tijdig aan voldaan? Hoe controleert de regering of deze informatie ook echt «zo spoedig mogelijk» wordt gedeeld, zo willen deze leden weten.
De Wiv 2017 kent een dergelijke verplichting niet. Wel geldt op grond van artikel 76 van de Wiv 2017 de verplichting om naar aanleiding van een inzageverzoek de verzoeker zo spoedig mogelijk, doch uiterlijk binnen drie maanden, te informeren of en, zo ja, welke hem betreffende persoonsgegevens door of ten behoeve van een dienst zijn verwerkt. Deze termijn kan (eenmalig) met vier weken worden verlengd. De diensten streven ernaar elk inzageverzoek binnen de wettelijke termijn af te handelen. Dit is vanwege het voortdurend stijgende aantal inzageverzoeken en de aanzienlijke werklast die de uitvoering van inzageverzoeken voor de diensten met zich meebrengt, niet altijd mogelijk. De verzoekers worden hierover zo veel mogelijk geïnformeerd.
23.
De leden van de D66-fractie vragen waarom de regering het onnodig acht om de adviserende rol van de toezichthouders Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) en de Toetsingscommissie Inzet Bevoegdheden (TIB) wettelijk vast te leggen. Kan dit worden toegelicht, zo vragen zij.
Artikel 15, derde lid, van het gemoderniseerde verdrag bepaalt dat de bevoegde toezichthoudende autoriteiten worden geraadpleegd over wetgevingsvoorstellen of ontwerpen van bestuursrechtelijke maatregelen die voorzien in de verwerking van persoonsgegevens. In dit verband dient allereerst opgemerkt te worden dat alleen de afdeling toezicht van de CTIVD een toezichthoudende autoriteit in de zin van het wijzigingsprotocol is. Zij zal ook als zodanig worden aangewezen. De TIB toetst een door de Minister verleende toestemming voor de inzet van bijzondere bevoegdheden op rechtmatigheid. Dit is de autorisatiefase voorafgaand aan de inzet van (bepaalde) bijzondere bevoegdheden. De afdeling toezicht van de CTIVD heeft een andersoortige taak en functie en ziet toe op de rechtmatige uitvoering van de Wiv 2017 en de Wet veiligheidsonderzoeken. In aanvulling hierop heeft de afdeling toezicht van de CTIVD in de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen aanvullende toezichthoudende bevoegdheden gekregen, waaronder bindende toezichtsbevoegdheden.
Artikel 15, derde lid, van het gemoderniseerde verdrag bevat een materiële verplichting die geen wetswijziging vergt. Deze verplichting is vastgelegd in beleid (het Draaiboek voor de Regelgeving) en ook in de praktijk wordt aan deze verplichting voldaan. Voorgenomen wet- en regelgeving die raakt aan de taakuitoefening van de CTIVD (en ook van de TIB) wordt voor advies voorgelegd aan deze instanties. Dit is een verschil met bijvoorbeeld de AVG, waar de adviserende rol van de AP als taak is geformuleerd.
5. Advies en consultatie
24.
De leden van de GroenLinks-PvdA-fractie vragen welke rol de bewindspersoon heeft die toeziet op digitalisering bij de verdere uitwerking, aanpassing en controle op de Wiv 2017? Hoe blijft de bewindspersoon maximaal betrokken om toe te zien dat de Wiv 2017 voldoet en bijdraagt aan de ambities voor waardengedreven digitalisering?
Zoals aangegeven in de Kamerbrief hoofdlijnen beleid voor digitalisering zal de Staatssecretaris voor Digitalisering met het hele kabinet uitvoering geven aan de afspraken in het coalitieakkoord ten aanzien van digitalisering. Onder haar regie zal de Rijksoverheid volop inzetten op het benutten van de kansen die de digitale transitie ons biedt en, meer dan voorheen, normerend optreden naar publieke en private partijen.20 Dit laat onverlet dat de bewindspersonen eindverantwoordelijk blijven voor digitalisering op de eigen beleidsterreinen. Dit betekent dat de Ministers van BZK en Defensie primair verantwoordelijk blijven voor gegevensbescherming en eventuele norm- en kaderstelling ten aanzien van de AIVD respectievelijk de MIVD. Daarbij zal wel zo veel mogelijk aangesloten worden bij de ambities voor waardengedreven digitalisering.
B. ARTIKELSGEWIJZE TOELICHTING
Artikel 2
25.
De leden van de GroenLinks-PvdA-fractie vragen hoe het doel om elk individu, ongeacht nationaliteit of woonplaats, goed te beschermen, rijmt met de flexibiliteit die het verdrag toe laat voor deelnemende landen om zelf de afweging te maken tussen veilige omgang met persoonsgegevens en andere nationale belangen? Is de regering het met de leden eens dat dit logischerwijs leidt tot verschillende niveaus van bescherming in verschillende landen?
De regering verwijst naar de beantwoording van de vragen 12, 13 en 19.
Artikel 7
26.
De leden van de GroenLinks-PvdA-fractie merken op dat dit artikel bepaalt dat betrokkenen volledig geïnformeerd dienen te worden over de verwerking van hun gegevens. Echter, in acht nemend dat privacy-verklaringen amper worden gelezen, is het toch aannemelijk dat veel mensen niet volledig geïnformeerd zijn over wat er met hun data gebeurt? Welke eisen voor toegankelijkheid bepaalt dit artikel? Zijn er standaarden voor het zo begrijpelijk en duidelijk mogelijk informeren over de verwerking van persoonsgegevens?
De regering gaat ervan uit dat de leden doelen op het vereiste uit artikel 5 van de gemoderniseerde conventie dat persoonsgegevens «op behoorlijke en transparante wijze worden verwerkt» (vierde lid, onder a), in combinatie met de door het artikel geboden mogelijkheid om in het nationale recht te regelen dat gegevensverwerking gebaseerd kan zijn op de «vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming van de betrokkene» (tweede lid).
Het is inderdaad van belang dat betrokkenen volledig en op begrijpelijke wijze worden geïnformeerd over de verwerking van hun persoonsgegevens. Een belangrijke doelstelling van het moderne gegevensbeschermingsrecht is immers om de betrokkene meer controle te geven over de verwerking van op hem of haar betrekking hebbende persoonsgegevens. Een noodzakelijke voorwaarde voor het kunnen uitoefenen van die controle is dat de betrokkene van tevoren weet (of in ieder geval kan weten) hoe zijn of haar persoonsgegevens zullen worden verwerkt. Het in de gemoderniseerde conventie vastgelegde transparantiebeginsel (artikel 8) draagt hieraan bij. Dit beginsel vereist van de verwerkingsverantwoordelijke dat hij transparant handelt bij het verwerken van persoonsgegevens, om eerlijke verwerking te garanderen en om betrokkenen in staat te stellen hun rechten te begrijpen en dus volledig uit te oefenen in de context van deze gegevensverwerking. Daartoe dient de verwerkingsverantwoordelijke de betrokkene van tevoren bepaalde essentiële informatie te verstrekken (o.a. over de categorieën van de te verwerken gegevens). Deze informatie moet gemakkelijk toegankelijk, leesbaar, begrijpelijk en aangepast zijn aan de betrokkenen (bijvoorbeeld, waar nodig, in een kindvriendelijke taal).21
Indien de gegevensverwerking is gebaseerd op de toestemming van de betrokkene, dient deze toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. Dit vereiste is vastgelegd in artikel 5, tweede lid, van de gemoderniseerde conventie. Dat toestemming geïnformeerd moet zijn gegeven houdt onder meer in dat de betrokkene moet worden uitgelegd wat de implicaties van zijn of haar beslissing zijn (wat het feit dat hij of zij toestemming geeft inhoudt en de mate waarin toestemming wordt gegeven). De toestemming mag bovendien niet als vrijwillig gegeven worden beschouwd wanneer de betrokkene geen echte of vrije keuze heeft of niet in staat is zijn toestemming zonder benadeling te weigeren of in te trekken.22 Daarbij gaat de gemoderniseerde conventie ervan uit dat wanneer gegevensverwerking is gebaseerd op toestemming, de betrokkene, in plaats van gebruik te maken van het recht op bezwaar (artikel 8, eerste lid, onder d), de toestemming ook kan intrekken.23
De Minister voor Rechtsbescherming,
F.M. Weerwind
Kamerstukken II 2000/01, 27 280, nr. 1.↩︎
De partijen bij het Verdrag die de wijzigingen uit 1999 niet hebben geratificeerd zijn Andorra, Azerbeidzjan, Bosnië-Herzegovina, Bulgarije, Malta, Montenegro, Noord-Macedonië, Moldavië, Roemenië, San Marino, Slovenië, Spanje, Turkije, Oekraïne, Argentinië, Kaapverdië, Mauritius, Mexico, Marokko, Senegal, Tunesië en Uruguay.↩︎
De tekst van de gemoderniseerde conventie (het huidge verdrag zoals het zal luiden na de inwerkingtreding van het wijzigingsprotocol) kan worden geraadpleegd via de volgende link: https://rm.coe.int/16808ade9d. De memorie van toelichting (Explanatory Report) bij de gemoderniseerde conventie kan worden geraadpleegd via de volgende link: https://rm.coe.int/16808ac91a.↩︎
Albanië, Andorra, Armenië, Oostenrijk, Bosnië en Herzegovina, Bulgarije, Kroatië, Cyprus, Estland, Finland, Frankrijk, Duitsland, Hongarije, IJsland, Italië, Liechtenstein, Litouwen, Malta, Noord-Macedonië, Polen, Portugal, Roemenië, San Marino, Servië, Slowakije, Slovenië, Spanje, Zwitserland, Argentinië, Mauritius en Uruguay.↩︎
Memorie van toelichting bij de wet tot Goedkeuring van het 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7), Kamerstukken II 1988/89, 21 093, nr. 3, p. 9.↩︎
Commission staff working document accompanying the Communication from the Commission to the European Parliament and the Council «Data protection as a pillar of citizens» empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation», COM(2020) 264 final, p. 26–28, te raadplegen via de volgende link: https://commission.europa.eu/publications/communication-commission-european-parliament-and-council-two-years-application-general-data_en.↩︎
Advies 2/91 van het Hof van Justitie van 19 maart 1993, I-1084.↩︎
Kamerstukken II 2023/24, 33 321, nr. 10.↩︎
Zie voor een volledig overzicht: https://www.coe.int/en/web/conventions/unknown-cets-number-/-abridged-title?module=declarations-by-treaty&numSte=108&codeNature=0↩︎
Verklaring vervat in een brief van de Permanente Vertegenwoordiging, overhandigd aan de Secretaris-Generaal bij de aanvaarding, op 24 augustus 1993. De verklaring, die is opgesteld in het Engels, kan worden geraadpleegd via de volgende link: https://verdragenbank.overheid.nl/nl/Verdrag/Details/000507_b.html.↩︎
Zie de bovenstaande voetnoot.↩︎
Adviescommissie voor Conventie 108, «Richtsnoeren betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in een wereld van big data», 23 januari 2017, p. 2, te raadplegen via de volgende link: https://rm.coe.int/t-pd-2017-1-bigdataguidelines-en/16806f06d0.↩︎
Zie het BNC-fiche over het voorstel, Kamerstukken II 2020/21, 22 112, nr. 3129.↩︎
Zie de informatie die wordt geboden door het Legislative Observatory van het Europees Parlement, te raadplegen via de volgende link: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0106(COD)&l=en.↩︎
Zie nader de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 6 maart 2023, Kamerstukken II 2022/23, 26 643, nr. 1006.↩︎
Zie de website van het CAI: https://www.coe.int/en/web/artificial-intelligence/cai.↩︎
Zie de memorie van toelichting bij het gemoderniseerde verdrag, punt 75.↩︎
Memorie van toelichting bij het gemoderniseerde verdrag, punt 157.↩︎
Memorie van toelichting bij het gemoderniseerde verdrag, punt 106.↩︎
Kamerstukken II, 2021/22, 26 643, nr. 842.↩︎
Memorie van toelichting bij het gemoderniseerde verdrag, punt 68.↩︎
Memorie van toelichting bij het gemoderniseerde verdrag, punt 42.↩︎
Memorie van toelichting bij het gemoderniseerde verdrag, punt 80.↩︎