Brief van de minister voor Rechtsbescherming inzake Evaluatie Wet bescherming persoonsgegevens BES - Regels inzake de bescherming van persoonsgegevens van Bonaire, Sint Eustatius en Saba (Wet bescherming persoonsgegevens BES) - Hoofdinhoud
Deze brief is onder nr. D toegevoegd aan wetsvoorstel 32161 - Wet bescherming persoonsgegevens BES i.
Inhoudsopgave
Officiële titel | Regels inzake de bescherming van persoonsgegevens van Bonaire, Sint Eustatius en Saba (Wet bescherming persoonsgegevens BES); Brief van de minister voor Rechtsbescherming inzake Evaluatie Wet bescherming persoonsgegevens BES |
---|---|
Documentdatum | 16-03-2020 |
Publicatiedatum | 16-03-2020 |
Nummer | KST32161D |
Kenmerk | 32161, nr. D |
Externe link | origineel bericht |
Originele document in PDF |
Eerste Kamer der Staten-Generaal
2020
Vergaderjaar 2019-
32 161
Regels inzake de bescherming van persoonsgegevens van Bonaire, Sint Eustatius en Saba (Wet bescherming persoonsgegevens BES)
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Eerste Kamer der Staten-Generaal Den Haag, 13 maart 2020
Bij brief van 9 december 20191 stuurde ik het Evaluatierapport2 Wet bescherming persoonsgegevens BES (verder: Wbp-BES) aan de Tweede Kamer en zegde daarbij toe begin dit jaar met een inhoudelijke reactie te komen. Per abuis heb ik het rapport niet ook aan uw Kamer toegezonden. Met excuses daarvoor treft u het rapport hierbij alsnog aan, alsmede de inhoudelijke reactie daarop.
De evaluatie is uitgevoerd door het onderzoeksbureau Pro Facto. De Wbp-BES is op 10 oktober 2010 in werking getreden. Artikel 55 bepaalt dat de wet vijf jaar na inwerkingtreding wordt geëvalueerd. Als gevolg van prioritering in de implementatie van de veelheid aan nieuwe regelgeving na de totstandkoming van de nieuwe verhoudingen binnen het Koninkrijk op 10 oktober 2010, is de Commissie toezicht bescherming persoonsgegevens BES (verder: CBP-BES of Commissie) pas in april 2014 benoemd. Om die reden is besloten om de wetsevaluatie uit te stellen tot vijf jaar na instelling van deze CBP-BES, dus in 2019. In mei 2018 traden zowel de Algemene Verordening Gegevensbescherming (AVG) als de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) in werking. Hoewel deze verordening en wet niet gelden voor de BES-eilanden en de landen Curagao, Sint Maarten en Aruba, zijn de effecten daarvan wel voelbaar. Om die reden is aan de onderzoekers gevraagd om naast de evaluatie van de Wbp-BES ook deze effecten te inventariseren en te betrekken bij het onderzoek.
De evaluatie geeft antwoord op de vraag hoe de Wbp-BES en de CBP-BES gelet op de uitgangspunten en doelstelling van de wet functioneren, welke knelpunten zich daarbij voordoen, wat de AVG en de UAVG betekenen voor de verwerking en uitwisseling van persoonsgegevens tussen Europees Nederland, Caribisch Nederland en de Caribische landen
1 Tweede Kamer, vergaderjaar 2019-2020, 32 761, nr. 154
2 Ter inzage gelegd op de afdeling Inhoudelijke ondersteuning.
kst-32161-D ISSN 0921 - 7371 's-Gravenhage 2020
en wat, gelet op de mogelijk geconstateerde knelpunten, aanbevelingen zijn voor de toekomst.
Voordat ik toekom aan de aanbevelingen uit de evaluatie, meen ik dat de CBP-BES een compliment toekomt voor de wijze waarop deze de afgelopen vijf jaar haar taken heeft opgepakt. De Commissie en haar secretariaat hebben met beperkte capaciteit en middelen en in een cultureel diverse en kleinschalige omgeving bereikt dat het bewustzijn van en de kennis over privacy en de bescherming van persoonsgegevens op de BES-eilanden in de afgelopen vijf jaar substantieel is toegenomen. Dit blijkt ook uit de evaluatie waarin wordt geconcludeerd dat de trainingen en voorlichtingsactiviteiten van de CBP-BES door de organisaties in Caribisch Nederland worden gewaardeerd en vaak een vervolg krijgen in concrete aanpassingen, zoals het niet langer maken van een kopie van het paspoort of identiteitsbewijs en het volgen van een «clean desk policy».
De onderzoekers concluderen dat «Zichtbaar is dat de voorlichting en activiteiten van de commissie positief hebben bijgedragen aan de implementatie van de wetgeving».
Niettemin concluderen de onderzoekers dat er nog veel moet gebeuren.
De uitvoering van de wet verschilt tussen sectoren en tussen de eilanden. De uitvoering van de wet wordt bemoeilijkt door de kleinschaligheid en cultuur van de eilanden en de geringe omvang van de organisaties. De kleinschaligheid en het bijzondere karakter van de eilanden maakt dat het beschermen van privacy soms erg moeilijk of zelfs ondoenlijk is. De onderzoekers constateren dat de CBP-BES zich in de eerste jaren heeft gericht op het verhogen van kennis en bewustzijn door middel van voorlichting en trainingen, maar nog niet of nauwelijks is toegekomen aan het uitvoeren van zijn toezichthoudende en handhavende taak. Daarbij zijn het budget en de beperkte capaciteit volgens de onderzoekers onvoldoende om uitvoering te geven aan de toezichthoudende taken.
De onderzoekers constateren ook dat de regelgeving en daarmee de beschermingsniveaus van Europees Nederland, Caribisch Nederland en de Caribische landen uiteenlopen en dat niet alle landen beschikken over een toezichtsorgaan. Tegelijkertijd worden er veel persoonsgegevens uitgewisseld tussen Europees Nederland, Caribisch Nederland en de Caribische landen. De komst van de AVG heeft deze situatie complexer gemaakt omdat nu de materiële normen in Europees Nederland op punten afwijken van hetgeen geldt op de BES-eilanden, en deels ook strenger zijn. Volgens de onderzoekers kan dan ook niet zonder meer verondersteld worden dat het beschermingsniveau een voldoende deugdelijke grondslag biedt voor de uitwisseling van gegevens tussen Europees Nederland, Caribisch Nederland en de Caribische landen. Samenvattend luidt de conclusie dat, hoewel er in Caribisch Nederland veel veranderd en bereikt is, de regels nog onvoldoende worden nageleefd en dat in de praktijk ook geen toezicht wordt gehouden door de aangewezen toezichthouder die zich vooral met voorlichting bezig houdt. Er is daarom in Caribisch Nederland een nog grotere inzet op voorlichting, toezicht en handhaving nodig om het privacybewustzijn te vergroten en persoonsgegevens adequaat te beschermen. De onderzoekers doen daartoe enkele aanbevelingen die ik hieronder van een reactie voorzie.
Aanbeveling: wijzig de wet nog niet
Gedurende het onderzoek is vanuit de CBP-BES aangegeven dat - naast de dwangsom - een boete-instrument in de Wbp-BES opgenomen zou moeten worden omdat de aanwezigheid van een punitieve sanctie ook het belang van de bescherming van persoonsgegevens duidelijk maakt. De onderzoekers achten het echter nog te vroeg om te komen met een uitbreiding van taken en/of bevoegdheden van de CBP-BES. Zij bevelen aan dat de CBP-BES start met uitvoering van de toezichthoudende taken, en bij een volgende evaluatie de situatie te heroverwegen en het sanctie-instrumentarium uit te breiden op basis van de tot dat moment opgedane ervaringen met toezicht.
Ik onderschrijf de conclusie van de onderzoekers dat nu eerst prioriteit moet worden gegeven aan een volwaardige uitvoering van de wet door overheden en organisaties, alsmede aan de uitoefening van de toezichthoudende taken door de CBP-BES alvorens een eventuele uitbreiding van het sanctie-instrumentarium overwogen wordt. Dit is ook in lijn met de overweging van de regering bij de totstandkoming van de Wbp-BES dat een goede invoering en naleving van de Wbp BES de voorkeur had boven een snelle uitbreiding van verplichtingen en bevoegdheden die wellicht niet of onvoldoende konden worden nageleefd.
Aanbeveling: ga van voorlichting ook over naar toezicht en versterk de CBP-BES
Ik neem deze twee aanbevelingen samen omdat ze in elkaars verlengde liggen. In het licht van de conclusie van de onderzoekers dat de toezichthoudende en handhavende taken van de CBP-BES nog onvoldoende van de grond zijn gekomen, onderschrijf ik dat een verschuiving van de focus van de CBP-BES van voorlichting en bewustwording naar toezicht en handhaving wenselijk is. Na een periode waarin organisaties en overheden op de eilanden door de CBP-BES zijn voorgelicht over de noodzaak van bescherming van persoonsgegevens en welke plichten en verantwoordelijkheden zij daarin hebben, lijkt het nu tijd dat zij deze verantwoordelijkheid zelf kunnen nemen en dat de CBP-BES daarop gaat toezien en, waar nodig, de Wbp-BES handhaaft. Een dergelijke ontwikkeling heeft de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens) in Europees Nederland ook doorgemaakt na de beginjaren van de Wbp. Ik ben het met de onderzoekers eens dat zo'n verandering van focus niet van de ene op de andere dag kan plaatsvinden en dat dit gepaard zal moeten gaan met een geleidelijke afbouw van voorlichtings- en bewustwordingsactiviteiten, onder gelijktijdige opbouw van de toezicht- en handhavingstaken. Van de CBP-BES mag worden verwacht dat zij daarin heldere prioriteiten stelt en keuzes maakt.
De CBP-BES heeft deze verschuiving van focus inmiddels opgepakt. Er is een Toezicht- en Handhavingsbeleid opgesteld en op 30 december 2019 heeft de Commissie zijn eerste onderzoeksrapport afgerond. Mijn ministerie overlegt op regelmatige basis met de Commissie over de taakuitvoering en de knelpunten die zij daarbij ondervindt. Deze gesprekken hebben in de afgelopen jaren geresulteerd in een ophoging van het budget (van 180.000 USD in 2015 - het eerste volledige jaar van de CBP-BES - tot het huidige budget van 244.808 USD voor 2020), waarmee een uitbreiding van de capaciteit van het secretariaat mogelijk is gemaakt.
Met het oog op de toezicht- en handhavingstaken is de CBP-BES gestart met het opstellen van een O&F-rapport. Mede in het licht van deze aanbeveling voer ik in de komende periode met de Commissie, op basis van dit O&F-rapport, het gesprek over de taakuitvoering en het daartoe benodigd budget voor de komende jaren.
Aanbeveling: evalueer de wet eerder dan over vijf jaar
Hoewel artikel 55 van de Wbp-BES geen vijfjaarlijkse evaluatie voorschrijft maar slechts een eenmalige evaluatie na vijf jaar, geeft het nu voorliggende evaluatieonderzoek van de Wbp-BES, samen met hetgeen de onderzoekers hebben opgetekend over de eerste ervaringen sinds de inwerkingtreding van de AVG, mij niettemin voldoende aanleiding voor een vervolg. Ik kom daar bij de volgende aanbeveling op terug.
Aanbeveling: Zorg voor zoveel mogelijk harmonisering van privacyre-gimes binnen het Koninkrijk
Om eenheid binnen het Koninkrijk te bereiken, bevelen de onderzoekers aan de regelingen en het toezicht binnen het gehele Koninkrijk te harmoniseren of ervoor zorg te dragen dat de regelingen minimaal van gelijk(waardig)e strekking zijn. Zoals in het onderzoek wordt beschreven, heeft het Justitieel Vierpartijen Overleg (verder: JVO) in juli 2018 besloten tot een verkenning naar de vraag of harmonisatie van het gegevensbe-schermingsniveau van Caribisch Nederland en de Caribische Landen mogelijk is, en zo ja, wat daarvoor nodig is. Vervolgens is daartoe in het JVO van januari 2019 een interlandelijke werkgroep ingesteld.
Overigens behoort een kanttekening te worden geplaatst bij het in het rapport geconstateerde knelpunt inzake de deling van politie- en justitie-gegevens op grond van de Wet politiegegevens (Wpg). Dit knelpunt is, in de mate als geschetst in het rapport, niet aan de orde. Deling van politie-en justitiegegevens is wel degelijk mogelijk, maar niet altijd op de meer algemene en bredere grondslag waarvan sprake is als een derde land passende waarborgen biedt voor deze gegevensbescherming. Voor de BES-eilanden zijn die waarborgen er; voor de andere landen geldt dat gebruik gemaakt kan worden van het (beperkte) kader dat artikel 17a, derde lid Wpg biedt.
Om de door de onderzoekers aanbevolen (gedeeltelijke) harmonisering van privacyregimes binnen het Caribische deel van het Koninkrijk gestalte te kunnen geven, is het nodig om gemeenschappelijke basisnormen voor de gegevensbescherming te identificeren. Binnen de werkgroep is daarom een inventarisatie gedaan van mogelijke wenselijke beschermingsniveaus. Dit betreft het beschermingsniveau dat ingevolge de AVG van een derde land wordt vereist voor het uitvaardigen van een zogeheten adequaat-heidsbesluit ten behoeve van gegevensuitwisseling met dat land, en voorts de eisen op grond van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7, hierna: Conventie 108) van de Raad van Europa inclusief het wijzigingsprotocol bij dit Verdrag (Trb. 2018, 201, hierna: het Protocol). Dit wijzigingsprotocol is op 10 oktober 2018 door Nederland en twintig andere EU-lidstaten ondertekend. Door het Protocol wordt het niveau van gegevensbescherming dat uit hoofde van Conventie 108 wordt geboden, meer in lijn gebracht met het beschermingsniveau dat wordt geboden uit hoofde van het gegevensbeschermingsrecht van de EU. Het streven is om in het volgende JVO van dit jaar de resultaten aan te bieden van de verkenning naar de minimumeisen voor de bescherming van persoonsgegevens, en welke (wetgevings)acties hiervoor per Caribisch land zijn vereist. Een soortgelijke verkenning wordt ook uitgevoerd voor de doorgifte van politie- en justitiegegevens aan de andere landen in het Koninkrijk voor zover die vallen onder de werking van de EU Richtlijn (EU) 2016/680 van het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Ook deze verkenning wordt in het volgende JVO besproken.
De werkzaamheden van de JVO-werkgroep hebben mijn volledige steun. De bescherming van persoonsgegevens is immers een grondrecht dat binnen het gehele Koninkrijk een gelijkwaardige bescherming verdient.
Als de werkgroep zijn advies aan het JVO heeft aangeboden, zal ik gezamenlijk met de ministers van Justitie van Curagao, Sint Maarten en
Aruba, in afstemming met de Minister van BZK, een beslissing nemen over de wijze waarop hieraan vervolg wordt gegeven. De Nederlandse regering is in elk geval desgewenst bereid om de Caribische landen te ondersteunen in het realiseren van een verhoogd beschermingsniveau. Van belang in dit verband is dat Curagao inmiddels belangstelling heeft getoond voor toetreding tot Conventie 108 en het Protocol.
Ondertussen bereid ik samen met de ministers van BZK en BZ een wetsvoorstel voor om parlementaire goedkeuring te verkrijgen voor de ratificatie van het Protocol. Daarbij staat mij een gefaseerde implementatie van de door het Protocol gemoderniseerde Conventie 108 voor ogen. Hoewel Conventie 108 indertijd alleen is goedgekeurd voor Europees Nederland, geldt dit verdrag in verband met de staatkundige hervorming van het Koninkrijk tegenwoordig ook voor Caribisch Nederland. In mijn wetsvoorstel zal ik niettemin alleen goedkeuring vragen voor Europees Nederland. Als de tijd daar rijp voor is, zal ik via een separaat wetsvoorstel goedkeuring van het Protocol voor Caribisch Nederland vragen. Ik heb daarvoor de volgende redenen. Om te beginnen heeft Nederland binnen de Raad van Europa de toezegging gedaan het Protocol binnen drie jaar na ondertekening te ratificeren. Voor Europees Nederland is deze termijn haalbaar, aangezien de ratificatie van het Protocol in beginsel niet tot implementatiewetgeving noodzaakt. In Nederland gelden immers al de AVG en de UAVG. Ratificatie van het Protocol voor Caribisch Nederland vergt echter wijziging van de Wbp-BES en uitbreiding van de taken van de CBP-BES, zo is uit een eerste inventarisatie gebleken. Zoals gezegd, ben ik het eens met de onderzoekers dat het verstandig is de Wbp-BES voorlopig nog niet te wijzigen. De CBP-BES moet eerst tijd gegund worden om toe te werken naar een situatie waarin het zijn taken volledig kan uitoefenen, voordat de WBP-BES wordt gewijzigd en de taken van de CBP-BES verder kunnen worden uitgebreid.
Ik wacht nu eerst de uitkomsten van het onderzoek van de JVO-werkgroep af. Daarbij zal ik dan tevens bezien op welke wijze aan de aanbeveling over een nieuw evaluatieonderzoek naar de werking van de Wbp-BES uitvoering kan worden gegeven.
De Minister voor Rechtsbescherming,
S.A. Dekker
Eerste Kamer, vergaderjaar 2019-2020, 32 161, D 5