Mr. F.C. van der Jagt*
De ontwerprichtlijn gegevensbescherming opsporing en vervolging 96 Trefwoorden: Richtlijn gegevensbescherming opsporing en vervolging, justitiële samenwerking, opsporingsdoeleinden Op 25 januari 2012 presenteerde de Europese Commissie een pakket voorstellen tot hervorming van het huidige Europeesrechtelijke kader ten aanzien van de bescherming van persoonsgegevens. Naast een voorstel tot een algemene verordening voor de bescherming van persoonsgegevens,1 is ook een richtlijn voorgesteld voor de verwerking van persoonsgegevens in het kader van de politiële en justitiële samenwerking.2 In dit artikel zal laatstgenoemd voorstel, evenals de hierop geuite kritiek, uiteen worden gezet. 1
Achtergrond en juridisch kader
Al in 1950 is in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens vastgelegd dat eenieder het recht heeft op eerbiediging van zijn privéleven. Dit verdrag vormt de basis voor de wettelijke bescherming van de privacy binnen Europa. Daarbij lag de nadruk op inbreuken door de overheid op het privéleven van burgers. In 1981 wordt de bescherming van persoonsgegevens van burgers voor de eerste keer als een afzonderlijk fundamenteel recht erkend. Die erkenning is vastgelegd in de Conventie 108 van de Raad van Europa inzake de bescherming van individuen met betrekking tot de automatische verwerking van persoonlijke gegevens.3 De Conventie bevat verschillende algemene prin-
cipes en richt zich tot zowel de publieke als de private sector. Hoewel de Conventie door alle EU-lidstaten is geratificeerd, heeft dit niet het ontstaan van verschillen in de toepasselijke wettelijke regimes in de EU-lidstaten kunnen voorkomen. Om de werking van de interne markt te garanderen en te stimuleren, achtte de Europese wetgever het noodzakelijk dat de belemmeringen op het gebied van de gegevensbescherming werden weggenomen. De harmonisatie van de nationale wetgeving werd doorgevoerd door middel van de Privacyrichtlijn uit 1995.4 In 2000 is door de Europese Unie het Handvest van de Grondrechten afgekondigd.5 Daarin is naast het recht op privacy (artikel 7) ook een separaat recht op de bescherming van persoonsgegevens opgenomen (artikel 8). Door onder meer de internationale strijd tegen het terrorisme – waarbij het recht op privacy werd ingeperkt – ontstond de noodzaak om verder te kijken dan alleen de gegevensbescherming op het terrein van de interne markt.6 De EU-burger moest ook beschermd worden bij het gebruik van persoonsgegevens door politie en justitie. In het Verdrag van Lissabon is een algemene rechtsbasis voor de bescherming van persoonsgegevens gecreëerd (artikel 16 VWEU). Daarin is voor de Europese wetgever de bevoegdheid opgenomen om binnen het toepassingsgebied van het recht van de Europese Unie hierover voorschriften vast te stellen.7 Aan het Verdrag is een verklaring gehecht waarin is erkend dat op het gebied van de justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16
*
Friederike van der Jagt is advocaat bij Stibbe B.V. te Amsterdam. Deze bijdrage is afgerond op 7 mei 2012.
1
Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, COM(2012)11 final. Voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, 25 januari 2012, COM(2012)10 final. Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Raad van Europa, 28 januari 1981, Trb. 1988, 7. Voor de politiesector heeft de Raad van Europa ook een niet-bindende aanbeveling opgesteld: Aanbeveling nr. R (87) 15 van 17 september 1987 van het Comité van Ministers van de Raad van Europa tot regeling van het gebruik van persoonsgegevens op politieel gebied, te raadplegen via: www.coe.int/t/dghl/cooperation/economiccrime/organisedcrime/Rec_1987_15.pdf. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L 281/31. Handvest van de Grondrechten van de Europese Unie, 7 december 2000, PbEG 2000, C 364/1. Zie ook H. Hijmans, ‘Nieuwe Europese regels voor privacy: commissie stelt pakket voor om gegevens ook in het informatietijdperk te beschermen’, NTER 2012-4, p. 133. Verdrag van Lissabon tot wijziging van het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap, ondertekend te Lissabon, 13 december 2007, PbEU 2007, C 306/1. Sinds de inwerkintreding heeft ook het Handvest voor de Grondrechten een verdragsrechtelijke status gekregen. Het Verdrag leidde ook tot de afschaffing van de pijlerstructuur van de Europese Unie, die was bedoeld om de mate van supranationaliteit op een bepaald terrein te bepalen. Onder deze oude structuur werd politiële en justitiële samenwerking onder de zogenaamde ‘derde’ pijler geschaard.
2
3
4 5 6 7
118
Afl. 3 – juni 2012
P&I
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
VWEU nodig kunnen zijn. Dit werd ingegeven door de specifieke aard van deze gebieden.8 Vervolgens is in 2008 in een kaderbesluit het regelgevingskader inzake de bescherming van persoonsgegevens bij politiële en justitiële samenwerking in strafzaken (hierna: Kaderbesluit) vastgelegd.9 Het Kaderbesluit is in Nederland in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) geïmplementeerd en per 1 april jl. in werking getreden.10 Naast het Kaderbesluit bestaat er nog andere specifieke regelgeving op het gebied van politiële en justitiële samenwerking waarbij het verwerken en uitwisselen van persoonsgegevens een rol speelt. Voorbeeld hiervan zijn de specifieke regels voor de samenwerking binnen Eurojust en de regelgeving voor Europol.11 Bij de herziening van het Europese kader voor de bescherming van persoonsgegevens is een zogeheten impact assessment uitgevoerd. Doel hiervan was (i) na te gaan hoe de nieuwe privacyregels zouden moeten worden vormgegeven en (ii) de belangrijkste probleempunten te identificeren.12 De reikwijdte van het huidige Kaderbesluit is beperkt, nu het niet ziet op de nationale verwerkingen van persoonsgegevens noch op de directe doorgifte van persoonsgegevens vanuit een lidstaat naar een derde land of naar een internationale organisatie.13 Ook wordt door het Kaderbesluit een laag niveau van harmonisatie bewerkstelligd, hetgeen de werking van de interne markt volgens de Commissie niet ten goede komt. Daarnaast is wisselwerking tussen de andere rechtsinstrumenten op dit gebied ook niet altijd duidelijk, waardoor er bij de implementatie inconsistentie optreedt. Deze tekortkomingen leiden volgens de Commissie tot onzekerheid voor burgers. Zij weten namelijk niet welke regelgeving op hen van toepassing is en welke rechten zij hieraan kunnen ontlenen. Ook kunnen deze rechten per lidstaat verschillen. Het lage niveau van harmonisatie van nationale wetgeving heeft bovendien een nadelige invloed op de samenwerking tussen de lidstaten op dit gebied. Het maakt het tevens voor bedrijven onduidelijk aan welke regels zij zich moeten houden ten aanzien van de gege-
8 9
10
11 12 13
14 15 16 17 18
P&I
vens die zij onder zich hebben, welke van belang kunnen zijn voor politie of justitie.14 De Commissie heeft drie opties onderzocht om de noodzakelijk geachte wijzigingen vorm te kunnen geven.15 De eerste optie betrof de mogelijkheid om mededelingen op te stellen over de interpretatie van diverse begrippen zoals transparantie, adequaat beschermingsniveau e.d. Hierbij zou ook technische ondersteuning kunnen worden geboden en zelfregulering worden ondersteund. Uiteindelijk wees de Commissie deze optie af aangezien zij volgens haar te weinig concrete oplossingen zou bieden.16 De tweede optie bestaat uit het dichten van gaten in het huidige kader (met name ten aanzien van het niveau van harmonisatie). Hierdoor wordt in ieder geval de fragmentatie en de rechtsonzekerheid verminderd.17 De derde optie ziet op het opstellen van gedetailleerde regelgeving op Europees niveau, waarbij alle oude derdepijlerinstrumenten gelijktijdig moeten worden aangepast. Deze optie zou het meest tegemoetkomen aan de vastgestelde problemen, maar is tevens zeer complex en politiek controversieel.18 Daarom heeft de Commissie ervoor gekozen om de tweede optie nader uit te werken. Dit heeft geleid tot de voorgestelde Richtlijn, die ik hierna zal bespreken. 2
Opbouw en inhoud van de Richtlijn
De Richtlijn is opgebouwd uit tien hoofdstukken. In het eerste hoofdstuk worden het onderwerp, het doel en de reikwijdte van de Richtlijn bepaald. Het doel van de Richtlijn is tweeledig: de fundamentele rechten en vrijheden van natuurlijke personen dienen te worden beschermd – in het bijzonder het recht op bescherming van hun persoonsgegevens – en daarnaast moet de uitwisseling van persoonsgegevens binnen de Europese Unie door bevoegde autoriteiten niet worden beperkt of verboden door deze bescherming (artikel 1 lid 2). De reikwijdte strekt zich uit tot het onderwerp van de Richtlijn, zijnde het verwerken van persoonsgegevens door publiek bevoegde autoriteiten bij het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of de tenuit-
Annex A. bij het Verdrag van Lissabon – Verklaringen betreffende bepalingen van de Verdragen, p. 21. Verklaring betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking. Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, PbEU 2008, L 350/60. De juridische status van een kaderbesluit is vergelijkbaar met die van een Richtlijn. Een kaderbesluit heeft bij onjuiste of ontijdige implementatie echter geen rechtstreekse werking. Wet van 6 oktober 2011 tot wijziging van de Wet politiegegevens en van de Wet justitiële en strafvorderlijke gegevens in verband met de implementatie van het kaderbesluit van de Raad van de Europese Unie 2008/977/JBZ over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken en de implementatie van het Besluit van de Raad 2009/371/JBZ van 6 april 2009 tot oprichting van de Europese politiedienst (Europol), Stb. 2011, 490, inwerkingtreding via Koninklijk Besluit d.d. 23 maart 2012, Stb. 2012, 129. Zie Annex 3 bij de Impact Assessment, p. 51. Zie voor een uitgebreidere omschrijving van een aantal van deze instrumenten P.J.D.J. Muijen, Politie, informatie en privacy. De wet politiegegevens toegelicht, Zutphen: Uitgeverij Paris 2012, p. 136 e.v. Commission Staff Working Paper, Impact Assessment, 25 januari 2012, SEC(2012)72 final. Zie ook Report from the Commission to the European Parliament, the Council , the European Economic and Social Committee and the Committee of the Regions, based on Article 29 (2) of the Council Framework Decision of 27 november 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, d.d. 25 januari 2012, COM(2012)12 final, p. 7 en 8. Supra noot 12, p. 35. Ibid., p. 63-73. Ibid., p. 79. Ibid., p. 79. Ibid., p. 79 en 80.
Afl. 3 – juni 2012
119
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
voerlegging van straffen (artikel 2 lid 1 juncto artikel 1 lid 1). Hierdoor strekt de reikwijdte zich ook uit tot de nationale verwerkingen van de bevoegde autoriteiten. Elke overheidsinstantie die bevoegd is ten aanzien van het onderwerp van de Richtlijn wordt als bevoegde autoriteit aangemerkt (artikel 3 onderdeel 14). De Richtlijn is niet van toepassing op verwerking van persoonsgegevens indien de activiteiten waarvoor de persoonsgegevens worden verwerkt, buiten de werkingssfeer van het EU-recht vallen. Hierbij wordt vooral gedacht aan activiteiten op het gebied van de nationale veiligheid (artikel 2 lid 3 onder a). Ook de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Europese Unie valt buiten de reikwijdte van de Richtlijn (artikel 2 lid 3 onder b) daar deze verwerkingen reeds geregeld worden door Verordening (EG) nr. 45/2001.19 Artikel 3 geeft de definities zoals deze in de Richtlijn worden gehanteerd. Deze definities zijn grotendeels overgenomen uit de Privacyrichtlijn en het Kaderbesluit. Daarnaast bevat artikel 3 een aantal nieuwe definities, onder meer voor de begrippen ‘datalekken’, ‘genetische gegevens’ en ‘biometrische gegevens’. Hoofdstuk 2 bevat de algemene beginselen voor het verwerken van persoonsgegevens. Hieronder vallen onder meer het beginsel van zorgvuldige omgang met persoonsgegevens en het verbod op het verwerken van bijzondere persoonsgegevens. Nieuw zijn de vereisten die in artikel 5 en 6 zijn opgenomen. Bij het verwerken van persoonsgegevens moet in het vervolg een onderscheid gemaakt worden tussen de verschillende categorieën van personen waarvan gegevens worden verwerkt (verdachten, veroordeelden, slachtoffers, getuigen of anderen). Bovendien moet onderscheid worden gemaakt tussen persoonsgegevens die op feiten zijn gebaseerd en persoonsgegevens die gebaseerd worden op een persoonlijk oordeel. In artikel 7 zijn limitatief de gronden voor de rechtmatige verwerking van persoonsgegevens opgenomen. De bevoegde autoriteit mag de gegevens verwerken op grond van een wettelijke bepaling ter uitvoering van een taak aangaande de doeleinden van de Richtlijn (onder a). Ook kan de verantwoordelijke de gegevens verwerken om een wettelijke verplichting na te komen (onder b) of om een vitaal belang van de betrokkene of een andere persoon te beschermen (onder c). Tot slot kan de gegevensverwerking plaatsvinden om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen (onder d). De andere gronden van de Privacyrichtlijn, zoals de ondubbelzinnige toestemming van de betrokkene, zijn niet van toepassing in het kader van de verwerking van persoonsgegevens voor politie en justitie. In lijn met artikel 7 van het Kaderbesluit is in artikel 9 een verbod opgenomen op het treffen van maatregelen met nadelige gevolgen voor de betrokkene, die uitslui-
tend zijn gebaseerd op een geautomatiseerde verwerking van zijn persoonsgegevens om bepaalde persoonlijkheidsaspecten te beoordelen (profilering), tenzij hiervoor een wettelijke grondslag is die passende waarborgen ter bescherming van de belangen van de betrokkene biedt. In hoofdstuk 3 zijn de rechten van de betrokkene vastgelegd. Hierin is een ruime informatieverplichting voor de bevoegde autoriteiten geformuleerd (artikel 11). De verantwoordelijke moet onder meer de identiteit en contactgegevens van zichzelf en de functionaris voor de gegevensbescherming verstrekken. Daarnaast moet hij de betrokkene informeren over diens inzage- en correctierecht en het recht om de gegevens te laten wissen. Indien de verantwoordelijke de gegevens bij de betrokkene zelf verzamelt, moet hij meedelen of de betrokkene hieraan verplicht moet meewerken, of dat de verstrekking op vrijwillige basis geschiedt. Daarbij moet de verantwoordelijke aangeven wat de mogelijke consequenties zijn indien de betrokkene weigert om de persoonsgegevens te verstrekken. De informatie zelf moet in begrijpelijke vorm en in duidelijke en eenvoudige taal worden verstrekt (artikel 10 lid 2). Het recht op inzage is uitgebreid nu aan een betrokkene onder meer de bewaartermijn van de persoonsgegevens en de mogelijkheid om een klacht in te dienen bij de toezichthouder moet worden gemeld (artikel 12). Nieuw is dat indien een inzageverzoek wordt geweigerd, een betrokkene geïnformeerd moet worden over de mogelijkheid om via de toezichthouder indirecte inzage in de persoonsgegevens te krijgen (artikel 14). Het correctierecht en het recht op verwijdering van persoonsgegevens worden gehandhaafd (artikel 15 en 16). Er zijn ook uitzonderingen op de rechten van de betrokkene mogelijk. Deze uitzonderingen zijn opgenomen in artikel 13 en 17 en strekken ertoe te voorkomen dat de uitvoering van de politietaak in het geding komt. Hoofdstuk 4 gaat in op de verplichtingen van de verantwoordelijke en de bewerker.20 De verantwoordelijke moet onder meer een beleid vaststellen om te zorgen dat persoonsgegevens in overeenstemming met de Richtlijn worden verwerkt (artikel 18). Net als in de voorgestelde Privacyverordening is een verplichting tot ‘privacy by design’ en ‘privacy by default’ opgenomen (artikel 19). Indien meerdere verantwoordelijken gezamenlijk verantwoordelijk zijn voor de gegevensverwerking, moeten zij onderling afspraken maken over de gezamenlijke naleving van de Richtlijn en de wijze waarop dit geschiedt (artikel 20). Ten aanzien van de bewerker is opgenomen dat indien hij de persoonsgegevens niet uitsluitend verwerkt conform de instructie van de verantwoordelijke, dit ertoe zal leiden dat de bewerker zelf met betrekking tot die verwerking als verantwoordelijke zal worden aangemerkt (artikel 21). Hierdoor ontstaat gezamenlijke
19 Verordening (EG) nr 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens door de communautaire instellingen en organen betreffende het vrije verkeer van die gegevens, PbEG 2001, L 8/1. 20 De Richtlijn spreekt over de ‘verwerker’, net als de Privacyrichtlijn. In Nederland is deze figuur in de Wbp als ‘bewerker’ gedefinieerd. Om verwarring over het begrippenkader te voorkomen, is in dit artikel ervoor gekozen het bekende begrip ‘bewerker’ te hanteren.
120
Afl. 3 – juni 2012
P&I
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
verantwoordelijkheid, waarop de eerdergenoemde voorwaarden van artikel 20 van toepassing zijn. Zowel aan de verantwoordelijke als de bewerker wordt een documentatieplicht opgelegd ten aanzien van hun verwerkingssystemen en de gehanteerde procedures (artikel 23). Daarnaast geldt er een registratieplicht indien persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, verstrekt, gecombineerd of gewist (artikel 24 lid 1). Deze registratie is bedoeld voor interne controle en om na te gaan of de gegevensverwerking rechtmatig is. Ook kan via deze registratie de integriteit en beveiliging van de gegevens worden gewaarborgd (artikel 24 lid 2). Artikel 23 lid 3 en artikel 25 stellen regels over de samenwerking tussen de verantwoordelijke, de bewerker en de toezichthouder. Voor bepaalde verwerkingen is voorafgaand overleg met de toezichthouder nodig (artikel 26). Het gaat daarbij om verwerkingen waarbij bijzondere persoonsgegevens betrokken zijn of verwerkingen die gelet op hun aard specifieke risico’s behelzen. Onderdeel 2 van hoofdstuk 4 ziet op de beveiliging van persoonsgegevens. Duidelijk wordt gemaakt dat de beveiligingsverplichtingen zich niet alleen tot de verantwoordelijke, maar ook tot de bewerker uitstrekken (artikel 27). Ook is er een meldplicht ten aanzien van datalekken opgenomen. De verantwoordelijke moet de privacyinbreuk binnen 24 uur melden aan de toezichthouder (artikel 28 lid 1). Indien een bewerker is ingeschakeld, rust op de bewerker de plicht om de verantwoordelijke onmiddellijk te informeren indien hij erachter komt dat een datalek heeft plaatsgevonden (artikel 28 lid 2). Indien het waarschijnlijk is dat de privacyinbreuk negatieve gevolgen heeft voor de privacy van de betrokkene, dan dient deze over het datalek ingelicht te worden (artikel 29 lid 1). Hierbij moet de betrokkene onder meer worden geïnformeerd over de maatregelen die hij kan treffen om de nadelige gevolgen van de inbreuk zo veel mogelijk te beperken (artikel 29 lid 2). Onderdeel 3 van hoofdstuk 4 introduceert de verplichting om een functionaris voor de gegevensbescherming aan te stellen (artikel 30-32).
gegevens mogen worden doorgegeven zonder dat er een passend beschermingsniveau aanwezig is (artikel 36). De doorgifte kan plaatsvinden indien dit noodzakelijk ter bescherming van en vitaal belang van de betrokkene (onder a) of indien de doorgifte van wezenlijk belang is ter voorkoming van een onmiddellijke en ernstige bedreiging voor de openbare veiligheid van een lidstaat of een derde land (onder c). Deze uitzonderingen zijn gebaseerd op artikel 26 van de Richtlijn en artikel 13 van het Kaderbesluit. De ontvanger van de persoonsgegevens moet door de verantwoordelijke worden ingelicht over mogelijke beperkingen die gelden voor de verwerking van de persoonsgegevens (artikel 37). In artikel 38 zijn bepalingen opgenomen ten aanzien van de samenwerking tussen de Commissie, de toezichthoudende autoriteiten van derde landen en internationale organisaties.
Hoofdstuk 5 ziet op de doorgifte van persoonsgegevens naar derde landen of internationale organisaties. De doorgifte mag alleen plaatsvinden als dit noodzakelijk is voor het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten (artikel 33), waarbij er (in beginsel) sprake moet zijn van een passend beschermingsniveau van de persoonsgegevens in het desbetreffende land. De Commissie kan, zoals dat nu reeds onder de Privacyrichtlijn geschiedt, ten aanzien van bepaalde landen besluiten dat daar een passend beschermingsniveau aanwezig wordt geacht. Dit kan door middel van een algemeen besluit, dat zowel ziet op de nieuwe Privacyverordening als op de Richtlijn of door middel van een besluit dat alleen de Richtlijn betreft (artikel 34). Indien er geen besluit van de Commissie is, kan een lidstaat onder meer door middel van het vastleggen van passende waarborgen in contractuele bepalingen alsnog overgaan tot doorgifte van de persoonsgegevens (artikel 35). Er is een aantal uitzonderingen opgenomen waarbij persoons-
Hoofdstuk 8 bevat bepalingen inzake beroep bij de rechter, aansprakelijkheid en sancties. Iedere betrokkene krijgt het recht een klacht in te dienen bij de toezichthouder omtrent de verwerking van zijn persoonsgegevens onder de Richtlijn. Daarnaast kan tegen een besluit van een toezichthouder beroep bij de rechter worden ingesteld (artikel 51). Ook ten aanzien van schendingen van de Richtlijn door een verantwoordelijke of een bewerker staat de mogelijkheid van beroep bij de rechter voor de betrokkene open (artikel 52). Aan bepaalde organisaties en verenigingen wordt de mogelijkheid geboden om namens een betrokkene een klacht in te dienen of beroep bij de rechter in te stellen (artikel 53 lid 1). De nationale wetgeving van de lidstaten moet voorzien in rechtsgedingen waarbij onder meer voorlopige voorzieningen kunnen worden getroffen. Daardoor kan een geconstateerde inbreuk snel worden beëindigd zodat verdere schending van de belangen van de betrokkene worden voorkomen. Artikel 54 bevat het recht op schadevergoeding voor
P&I
Hoofdstuk 6 geeft de regels inzake het toezicht door een onafhankelijke toezichthouder. Dit kan dezelfde toezichthouder zijn als de toezichthouder die toezicht zal uitoefenen op de naleving van voorgestelde Privacyverordening (artikel 39). In artikel 40 zijn de voorwaarden opgenomen die de onafhankelijkheid van de toezichthouder moeten waarborgen. De leden van de toezichthoudende autoriteit moeten door het parlement of de regering van de lidstaat worden benoemd (artikel 41). Voor de leden en de personeelsleden van de toezichthouder geldt dat zij gebonden zijn aan een beroepsgeheim (artikel 43). In de artikelen 44 tot en met 46 zijn de taken en bevoegdheden van de toezichthouder vastgelegd. Hoofdstuk 7 bevat de bepalingen ten aanzien van de samenwerking tussen de toezichthouders. Ook zal het nieuwe Europese Comité voor de Gegevensbescherming (European Data Protection Board) dat op grond van artikel 64 van de voorgestelde Privacyverordening zal worden opgericht ter vervanging van de Artikel 29-werkgroep, adviserende taken krijgen op het gebied van de verwerking van persoonsgegevens in het kader van de Richtlijn (artikel 49).
Afl. 3 – juni 2012
121
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
eenieder die schade geeft geleden als gevolg van een onrechtmatige verwerking van zijn persoonsgegevens of de niet-naleving van de andere bepalingen van de Richtlijn. Dit strekt zich ook uit tot schade die door bewerkers is veroorzaakt. Indien er sprake is van een gemeenschappelijke verantwoordelijkheid of indien er bewerkers bij de verwerking zijn betrokken, zijn allen hoofdelijk aansprakelijk voor de geleden schade (artikel 54 lid 2), tenzij zij kunnen bewijzen dat de schade niet aan hen kan worden toegerekend (artikel 54 lid 3). Artikel 55 verplicht de lidstaten om doeltreffende, proportionele en afschrikwekkende sancties op te stellen bij schendingen van de bepalingen van de Richtlijn. Hoofdstuk 9 bevat standaardbepalingen ten aanzien van de bevoegdheidsdelegatie aan de Commissie, overeenkomstig artikel 290 VWEU (artikel 56). Ten aanzien van de melding van datalekken aan de toezichthouder wordt deze bevoegdheid voor een onbepaalde tijd verleend (lid 2). Wel kan het Europees Parlement of de Raad deze bevoegdheid te allen tijde intrekken (lid 3). Hoofdstuk 10 bevat de slotbepalingen. Hierin is vastgelegd dat het Kaderbesluit zal worden ingetrokken (artikel 58). Tevens is vermeld dat de overige reeds bestaande specifieke regelgeving op dit gebied door de Richtlijn niet wordt aangetast (artikel 59). Wel is het zo dat in de evaluatiebepaling is opgenomen dat binnen drie jaar na de inwerkingtreding van de Richtlijn zal worden onderzocht welke aanpassingen er nodig zijn om deze specifieke regelgeving in lijn te brengen met de Richtlijn (artikel 61 lid 2). Na de inwerkingtreding van de Richtlijn moet deze binnen twee jaar door de lidstaten in nationale wetgeving geïmplementeerd zijn (artikel 62). 3
Reacties op het Richtlijnvoorstel
Zowel op Europeesrechtelijk als op nationaal niveau heeft het pakket voorstellen behoorlijk wat stof doen opwaaien. Hierna zal allereerst het commentaar van de toezichthouders op hoofdlijnen worden besproken. Vervolgens zal worden ingegaan op de reacties vanuit de Nederlandse politiek. 3.1
EDPS
De Europese Toezichthouder voor de Gegevensbescherming (EDPS) is de toezichthouder op de verwerking van persoonsgegevens door de instellingen en de organen van de Europese Unie. Op grond van artikel 28 lid 2 van de Verordening (EG) nr. 45/2001 dient de EDPS te worden geraadpleegd indien de Commissie een wetgevingsvoor-
stel aangaande de verwerking van persoonsgegevens doet. De EDPS heeft op 25 januari 2012 het verzoek van de Commissie ontvangen om een opinie af te geven.21 Ook de EDPS ziet de noodzaak voor de herziening, mede gelet op het feit dat de bescherming van persoonsgegevens voor politie- en justitiedoeleinden momenteel zeer gefragmenteerd is.22 De EDPS is echter van mening dat dit probleem niet wordt opgelost door de huidige voorstellen nu niet alle regelgeving op dit gebied wordt aangepakt.23 Er zou een Verordening moeten komen met algemene regels voor de verwerking van persoonsgegevens, aangevuld met specifieke regels per sector. De keuze voor een aparte Richtlijn compliceert de wetgevingsprocedure, mede daar tussen de voorgestelde Verordening en de Richtlijn verschillen bestaan op het gebied van gebruikte definities, de beginselen voor de gegevensverwerking en de rechten en plichten die uit beide instrumenten voortvloeien.24 Daarbij is ook van belang dat er steeds meer verwerkingen zijn waarbij zowel private partijen als wetshandhavers betrokken zijn. Hierbij kan gedacht worden aan het doorgeven van passagiersgegevens of het melden van bepaalde financiële transacties. Ook kan uitwisseling van persoonsgegevens plaatsvinden tussen bijvoorbeeld de politie en een private partij of een andere publieke autoriteit.25 De bepalingen in de Verordening en de Richtlijn die zien op de wisselwerking tussen beide documenten zijn niet duidelijk maar leveren volgens de EDPS juist verwarring op.26 De EDPS meent tevens dat de sectorspecifieke regelgeving uiterlijk op het moment dat de Richtlijn in werking treedt, moet zijn aangepast.27 Inhoudelijk heeft de EDPS moeite met de onduidelijkheid van de Richtlijn ten aanzien van het principe van doelbinding. Persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor de gegevens zijn verkregen. Er wordt echter in de overwegingen bij de Richtlijn geen duidelijkheid geschapen over wanneer er kan worden afgeweken van dit principe en wat precies moet worden verstaan onder onverenigbaar gebruik. Dit laatste moet in ieder geval beperkt worden uitgelegd. De EDPS wil met name benadrukken dat het feit dat gegevens in eerste instantie voor wetshandhavingdoeleinden zijn verwerkt, niet inhoudt dat verder gebruik van deze gegevens voor wetshandhavingdoeleinden zonder meer verenigbaar gebruik oplevert. Ook binnen deze doeleinden kunnen nadere, verschillende doeleinden worden onderscheiden. Hierbij
21 EDPS, Opinion of the European Data Protection Supervisor on the data protection reform package, 7 March 2012, te vinden op www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_EN.pdf. 22 Ibid., p. 5, randnummer 11. 23 Ibid., randnummer 26 en 27. 24 Ibid., p. 6 en 7, randnummers 35, 36 en 37. 25 Ibid., p. 7, randnummer 38 en 39. 26 Ibid., p. 7, randnummer 40. 27 Ibid., p. 6, randnummer 32 en 33.
122
Afl. 3 – juni 2012
P&I
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
geldt ook, dat altijd aan de beginselen van proportionaliteit en subsidiariteit moet worden voldaan.28 Een ander punt van zorg is volgens de EDPS het feit dat het verantwoordingsprincipe, dat in de Verordening (artikel 22) wordt ingevoerd, niet duidelijk is terug te vinden in de Richtlijn. Dit principe houdt in dat een verantwoordelijke niet alleen verplicht is om zich aan de regels te houden, maar dit ook moet kunnen aantonen. In de Richtlijn is slechts een documentatieplicht opgenomen (artikel 23).29
verweten. Het feit dat het onderbrengen van de oude derdepijlerinstrumenten in de wetshandhavingssector politiek gevoelig ligt, vormt juist een indicatie dat het van belang is dat er in die sector een consistent hoog niveau van gegevensbescherming voorhanden is.34 Daarbij geldt dat het huidige Richtlijnvoorstel kan leiden tot een lager beschermingsniveau in verscheidene lidstaten, hetgeen onacceptabel is. Het bestaande niveau in de lidstaten zou het absolute minimumniveau van gegevensbescherming moeten zijn.35
Bij de doorgifte van persoonsgegevens naar derde landen geldt dat de verantwoordelijke persoonsgegevens mag doorgeven naar landen waarvan niet door de Commissie is vastgesteld of daar een passend beschermingsniveau aanwezig is. De verantwoordelijke moet hier dan zelf een oordeel over vellen en bezien of er nog additionele waarborgen voor de verstrekking noodzakelijk zijn die in contractuele bepalingen moeten worden vastgelegd. In de Verordening is vastgelegd dat in dat geval de toezichthouder deze bepalingen eerst moet goedkeuren. Een soortgelijke bepaling ontbreekt echter in de Richtlijn. Een dergelijke waarborg zou moeten worden opgenomen.30 De beperking van de bevoegdheden van de toezichthouders onder de Richtlijn – in vergelijking tot de Verordening – leidt tot kritiek van de EDPS. Gelet op de bevoegdheden van de politie is juist in deze sector streng toezicht van vitaal belang. De EDPS ziet alleen ruimte voor de uitzondering ten aanzien van de rechterlijke macht zoals nu in artikel 44 lid 2 is opgenomen, wanneer het gaat om het toezicht op verwerkingen in het kader van gerechtelijke taken. Wel moet ook deze uitzondering beperkt worden uitgelegd.31 De EDPS concludeert dan ook dat de voorgestelde Richtlijn niet voldoet aan het door de Commissie beoogde vereiste van een consistent en hoog niveau van gegevensbescherming binnen de Europese Unie.32
Niet alleen de sectorspecifieke regelgeving, maar ook de Verordening (EG) nr. 45/2001 voor de gegevensbescherming binnen de EU-instellingen moet in lijn met de voorstellen worden gebracht.36 De Werkgroep wijst ook op het gebrek aan bepalingen omtrent de verzameling en uitwisseling van persoonsgegeven door private partijen of publieke autoriteiten die niet met wetshandhavingstaken belast zijn, die vervolgens eigenlijk bedoeld zijn voor wetshandhavingsdoeleinden of worden gebruikt door de wetshandhavende autoriteiten.37 Zowel ten aanzien van de voorgestelde Verordening als ten aanzien van de Richtlijn maakt de Werkgroep zich zorgen over de vergaande mogelijkheden voor de Commissie om met aanvullende regelgeving te komen. Hoewel het begrijpelijk is dat bepaalde onderwerpen niet in detail kunnen worden uitgewerkt, zou dit vanuit het oogpunt van rechtszekerheid en in lijn met artikel 290 VWEU in ieder geval op essentiële punten moeten geschieden.38
3.2
Artikel 29-werkgroep
De Artikel 29-werkgroep, het onafhankelijke adviesorgaan van de Commissie, heeft eind maart ook een eerste opinie over de voorstellen afgegeven.33 De Werkgroep is het ten aanzien van de algemene kritiekpunten grotendeels eens met de EDPS. De voorkeur van de Werkgroep gaat uit naar één instrument en de Commissie wordt dan ook een gebrek aan ambitie
28 29 30 31 32 33 34 35 36 37 38 39
P&I
Voor wat betreft de inhoud van het voorstel wordt allereerst het punt aangaande de inconsistentie tussen de voorstellen benoemd. De Werkgroep is eveneens van mening dat onder de Richtlijn dezelfde standaarden moeten gelden als onder de Verordening, zowel voor de verantwoordelijke, de betrokkene als de toezichthouders, juist om eenzelfde niveau van gegevensbescherming te waarborgen. Dit punt zal gelet op de overlap met de EDPS-opinie, niet nader worden uitgewerkt.39 De reikwijdte van de beide instrumenten kan in de praktijk tot problemen leiden. Tussen de lidstaten bestaan er verschillen tussen de keuze om bepaalde activiteiten wel of niet als wetshandhavingstaken aan te merken. Hierdoor kan het zo zijn dat een instelling onder beide instrumenten komt te vallen. Ook kan de situatie ontstaan dat bijvoorbeeld de verwerking van persoons-
Ibid., p. 53 en 54, randnummers 330-339. Ibid., p. 61, randnummer 391. Ibid., p. 64, randnummers 412-415. Ibid., p. 66, randnummers 424- 428. Ibid., p. V van de Executive Summary. Artikel 29-werkgroep, Opinion 01/2012 on the data protection reform proposals, adopted on 23 March 2012, WP 191, nog niet in het Nederlands beschikbaar. Ibid., p. 4. Ibid., p. 26. Ibid., p. 5. Ibid., p. 5 en 6 en 32. Ibid., p. 6. Ibid., p. 5 en 26-32.
Afl. 3 – juni 2012
123
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
gegevens in het kader van het handhaven van de openbare orde in de ene lidstaat onder de Richtlijn, maar in de andere lidstaat onder Verordening komt te vallen. Dit punt toont wederom de noodzaak voor consistentie tussen de beide instrumenten aan. De Richtlijn moet verduidelijken welke activiteiten onder de werkingssfeer van de Richtlijn vallen.40 Voor wat betreft de doorgifte geldt dat er een duidelijker onderscheid gemaakt moet worden tussen een oorspronkelijke doorgifte en het verdere doorgeven wanneer de gegevens eenmaal zijn verstrekt. Hierbij kan gedacht worden aan een duidelijke link met het doel van de oorspronkelijke gegevensverwerking en de voorafgaande toestemming van de doorgevende autoriteit. Ten aanzien van de doorgifte naar landen waarvoor de Commissie geen besluit heeft genomen over het aanwezig zijn van een passend beschermingsniveau, heeft de Werkgroep voornamelijk bezwaren ten aanzien van de uitzonderingsgronden. Het noodzakelijkheidscriterium dat gehanteerd wordt, schept ruimte voor tal van doorgiften naar landen zonder een passend beschermingsniveau in individuele gevallen. De Werkgroep meent dat indien een beroep op een uitzondering wordt gedaan, dit moet worden gedocumenteerd zodat hierop toezicht kan worden uitgeoefend.41 3.3
CBP
Het CBP heeft in zijn voorlopige standpunt42 aangegeven dat het feit dat er sprake is van een specifieke Richtlijn naast de algemeen voorgestelde Verordening, geen belemmering hoeft te zijn om te komen tot een uniforme bescherming van de persoonsgegevens. Wel dient dan een aantal zaken gelijk te worden getrokken zoals de algemene beginselen voor gegevensverwerking, de rechtmatigheid van de gegevensverwerking en de doelbinding. Ook de verplichtingen die op de verantwoordelijke en de bewerker rusten en de bevoegdheden die aan de gegevensbeschermingsautoriteiten worden toegekend, moeten overeenkomen. Daarbij is het van belang dat – welke mogelijkheid ook door de Richtlijn wordt geboden – de toezichthouder op de Verordening en de Richtlijn dezelfde is.43 Het CBP wijst erop dat onder de huidige Wet politiegegevens de toegankelijkheid van de persoonsgegevens via een autorisatiesysteem beperkt is. Het CBP wil deze autorisatieregeling graag gehandhaafd zien. In de Richtlijn (artikel 37) is opgenomen dat indien persoonsgegevens naar derde landen worden doorgegeven de na-
tionale beperkingen ten aanzien van de verwerking van deze gegevens van toepassing blijven.44 Het CBP acht het wenselijk dat dit ook geldt ten aanzien van de uitwisselingen van persoonsgegevens met de andere EU-lidstaten. Het CBP juicht het toe dat voortaan bij de verwerking van persoonsgegevens onderscheid moet worden gemaakt naargelang de positie van de betrokkene en de juistheid van de gegevens. In de Richtlijn is dit als een inspanningsverplichting vormgegeven (‘as far as possible’). Het CBP vindt dat dit een resultaatsverplichting moet zijn. Er zijn groepen personen die in geen van de genoemde categorieën personen vallen. De verwerking van persoonsgegevens in deze categorie is nu nog zeer ruim geformuleerd, maar behoeft volgens het CBP nadere uitwerking. Ten aanzien van de verwerking van gevoelige persoonsgegevens is in de Richtlijn een algemene uitzondering opgenomen dat dit toch mogelijk is, indien hiervoor een met voldoende waarborgen omklede wettelijke grondslag is. Het CBP vindt dat dit te ver gaat, nu de Richtlijn omzeild kan worden door het introduceren van wettelijke bepalingen waardoor de verwerking van gevoelige gegevens in algemene zin geautoriseerd kan worden. Gevoelige gegevens die actief openbaar zijn gemaakt door een betrokkene mogen op grond van artikel 8 lid 2 onder c van de Richtlijn door politie en justitie worden verwerkt. Het CBP mist hier het noodzakelijkheidscriterium; deze gegevens zouden alleen mogen worden verwerkt indien dit noodzakelijk is voor de doeleinden zoals opgesomd in artikel 1 lid 1 van de Richtlijn.45 Ook de uitzonderingsmogelijkheden op het recht op informatie zijn te ruim geformuleerd. De verantwoordelijke zou steeds een zaakspecifieke afweging moet maken bij de beantwoording van de vraag of de informatie kan worden verstrekt. Indien dit een lopend onderzoek kan ondermijnen, hoeft deze informatie niet te worden verschaft. Dat betekent evenwel niet dat dit zou zien op alle informatie die over de betrokkene aanwezig is.46 Net als de EDPS en de Artikel 29-werkgroep acht het CBP de beoordelingsvrijheid voor de bevoegde autoriteiten voor de doorgifte van persoonsgegevens naar derde landen waar geen passend beschermingsniveau is, risicovol. De verantwoordelijke moet meer handvatten krijgen om hierover een oordeel te kunnen vellen. Het CBP vreest dat indien het noodzakelijkheidscriterium niet nader wordt uitgewerkt, deze bepaling al snel gebruikt kan worden als een standaardgrondslag voor de doorgifte.47 Het CBP vindt het sanctiearsenaal van de Richtlijn te beperkt, nu slechts is opgenomen dat de straffen effec-
40 Ibid., p. 26 en 27. 41 Ibid., p. 30 en 31. 42 Voorlopig CBP-Standpunt ten aanzien van de Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard of the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, COM(2012)10, d.d. 2 maart 2012. Te vinden op www.cbpweb.nl/downloads_med/med_20120307-herziening-privacywetgeving-eu-bijl.pdf. 43 Ibid., p. 9. 44 Zie ook artikel 12 Kaderbesluit. 45 Supra noot 43, p. 8. 46 Ibid., p. 8 en 9. 47 Ibid., p. 9.
124
Afl. 3 – juni 2012
P&I
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
tief, proportioneel en afschrikwekkend moeten zijn. Verdergaande harmonisatie is mogelijk en zou in ieder geval de mogelijkheid van het opleggen van boetes moeten behelzen.48 Tot slot meent het CBP dat de doelstelling om een alomvattend rechtskader voor de bescherming van persoonsgegevens te creëren, niet wordt bereikt nu er nog vele sectorspecifieke regelingen blijven bestaan. Alle regelingen uit de voormalige derde pijler en van de EU met derde landen op dit gebied, zouden op termijn onder de reikwijdte van de Richtlijn moeten vallen.49 3.4
Reactie Nederlandse politiek
Het (demissionaire) kabinet heeft aangegeven dat het in beginsel positief is over de inhoud van de voorgestelde Richtlijn.50 De Richtlijn biedt duidelijk meerwaarde nu de verstrekking van persoonsgegevens aan derde landen nader is uitgewerkt. Ook meent het kabinet dat de Richtlijn zal bijdragen aan een intensivering van de samenwerking tussen de verschillende opsporingsdiensten. Hierbij wordt opgemerkt dat het van belang is dat de nieuwe regels geen onevenredig risico vormen voor een effectieve en uitvoerbare opsporing van strafbare feiten. Privacy is immers geen absoluut recht en er zal dus een belangenafweging moeten plaatsvinden.51 Het kabinet heeft enkele aandachtspunten geformuleerd. Zo is het kabinet van mening dat de verplichting om onderscheid te maken tussen de verschillende categorieën van personen en de nauwkeurigheid en betrouwbaarheid van persoonsgegevens, onvoldoende rekening houdt met de dagelijkse praktijk. Of gegevens als betrouwbaar moeten worden aangemerkt, zal in de praktijk vaak geschat worden, omdat veel informatie niet van de betrokkene zelf wordt verkregen. Naast het feit dat deze scheiding derhalve in de praktijk niet werkbaar zal zijn, brengt dit ook een lastenverzwaring met zich, die niet opweegt tegen de belangen die dit artikel beoogt te beschermen. Het standpunt van het kabinet wijkt hiermee af van het standpunt van het CBP, dat deze verplichting juist nog verder wil aanscherpen.
een algemene informatieplicht. Ook hier lijkt het kabinet recht tegenover het CBP te staan, dat de uitzonderingen op de informatieplicht van de betrokkene zo min mogelijk wil beperken.52 Net als het CBP, hecht het kabinet sterk aan een regeling omtrent de doelbinding. Ook meent het kabinet, net als alle voornoemde toezichthouders, dat de andere regels op dit gebied zo snel mogelijk moeten worden aangepast, bij voorkeur in het kader van de totstandkoming van deze Richtlijn.53 Het kabinet heeft moeite met het feit dat deze nieuwe regels zo kort volgen op de goedkeuring van het Kaderbesluit. De nieuwe Richtlijn zal ertoe leiden alle betrokken partijen wederom met nieuwe regels worden geconfronteerd.54 In de Tweede Kamer staan de voorstellen volop in de belangstelling. Er zijn zorgen over het niveau van de gegevensbescherming (met name ten aanzien van de Richtlijn) dat in de voorstellen is opgenomen terwijl tegelijkertijd de beleidsvrije ruimte voor de nationale wetgever wordt ingeperkt. Eind maart is een drietal relevante moties aangenomen. Het Kamerlid Elissen heeft een motie ingediend waarin de regering is verzocht om tegen de EU-wetgeving te stemmen, indien door de invoering daarvan een lager beschermingsniveau van persoonsgegevens of de privacy wordt bereikt, dan momenteel in Nederland zonder deze wetgeving geldt.55 In een andere motie verzoekt Elissen de regering dan ook om de huidige Nederlandse wetgeving als ondergrens te laten gelden voor de inzet tijdens de onderhandelingen.56 Tot slot ziet de motie-Elissen/Van Toorenburg57 op de verstrekking van persoonsgegevens van Europese burgers aan buitenlandse overheidsdiensten. Nu de voorstellen hiertoe te weinig waarborgen bevatten, wordt de regering verzocht om de uitwisseling met de EU-lidstaten en derde landen alleen te laten plaatsvinden indien hieraan een rechtshulpverdrag of een rechtshulpverzoek ten grondslag ligt. Inmiddels is ook een advies- en voorlichtingsvraag bij de Raad van State ingediend.58 4
Het feit dat de betrokkene geïnformeerd moet worden dat er persoonsgegevens van hem worden verwerkt en hoe hij daar inzage in kan krijgen, acht het kabinet in deze vorm onwenselijk. Niet alleen lijkt deze verplichting praktisch slecht uitvoerbaar bij grote ordeverstoringen, ook lijkt dit onverenigbaar met de aard van het politiewerk, waarbij soms juist de heimelijke inzet van opsporingsmiddelen noodzakelijk is. Het kabinet ziet meer in
48 49 50 51 52 53 54 55 56 57 58
P&I
Tot slot
Het Richtlijnvoorstel heeft heel wat teweeggebracht. Het grootste kritiekpunt is dat de Richtlijn niet bijdraagt aan het creëren van een uniform kader voor de bescherming persoonsgegevens. Het lijkt politiek onhaalbaar dat de voorstellen worden vervlochten tot één instrument in de vorm van een Verordening, met sectorspecifieke bepalingen. Wel lijken zowel de toezichthouders als de
Ibid., p. 10. Ibid., p. 10. Kamerstukken I 2011/12, 22 112, FH. Ibid., p. 9 en 10. Ibid., p. 10. Ibid., p. 11. Ibid., p. 8, De Wpg en de Wjsg zullen op diverse punten moeten worden aangepast. Kamerstukken II 2011/12, 32 761, nr. 26 (motie-Elissen). Kamerstukken II 2011/12, 32 761, nr. 19 (motie-Elissen). Kamerstukken II 2011/12, 32 761, nr. 18 (motie-Elissen/Van Toorenburg). Kamerstukken II 2011/12, 32 761, nr. 28.
Afl. 3 – juni 2012
125
DE ONTWERPRICHTLIJN GEGEVENSBESCHERMING OPSPORING EN VERVOLGING
Nederlandse politiek van mening te zijn dat in ieder geval alle andere sectorspecifieke regelingen op het gebied van de verwerking van persoonsgegevens door politie en justitie, zo spoedig mogelijk moeten worden aangepast. De voorstellen voor de Richtlijn en de Verordening zullen in ieder geval beter op elkaar moeten worden afgestemd, waarbij het van belang is dat ook de algemene beginselen voor de verwerking van persoonsgegevens in de Richtlijn worden opgenomen. De uitbreiding van de reikwijdte van de Richtlijn zodat deze ook ziet op nationale verwerkingen, wordt positief beoordeeld. De Nederlandse politiek is van mening dat het huidige voorstel een minder hoog beschermingsniveau dan momenteel in Nederland geldt, oplegt. Daarom is het van belang dat er voldoende mogelijkheden blijven voor lidstaten om een hoger beschermingsniveau te hanteren. Dit kan echter weer leiden tot verschillen tussen de lidstaten, hetgeen de doelstelling van de Europese Commissie om een uniform en hoog beschermingsniveau te creëren, in gevaar brengt. Tegelijkertijd bestaat de angst dat bepaalde verplichtingen van de Richtlijn praktisch onuitvoerbaar zullen zijn. Daarnaast biedt de Richtlijn geen rechtszekerheid, nu er voor de Commissie zeer veel mogelijkheden zijn om nadere regelgeving op te stellen. Het is duidelijk dat het laatste woord over de Richtlijn nog niet is gezegd. Het is aan de lidstaten om tijdens de behandeling van de voorstellen te blijven aandringen op een hoger niveau van gegevensbescherming, juist in deze sector waarbij de onzorgvuldige omgang met persoonsgegevens zeer grote gevolgen kan hebben.
126
Afl. 3 – juni 2012
P&I
