Brief regering : Reactie op verzoek commissie over de implicaties van een verplichte verklaring om te kunnen deelnemen aan een oefening in een datacenter

32 761
Verwerking en bescherming persoonsgegevens

Nr. 1325
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 maart 2025

Uw commissie heeft gevraagd om een reactie op een aan Uw Kamer gericht verzoek van
een functionaris van een decentrale overheidsorganisatie naar de toelaatbaarheid van
een verplichte verklaring om te kunnen worden toegelaten tot een datacenter van een
particulier bedrijf om deel te nemen aan een veiligheidsoefening.

Allereerst spreek ik mijn verontschuldigingen uit voor de te lange duur die de behandeling
van uw verzoeken heeft genomen. Voor deze vertraging is geen goede verklaring en ik
betreur het dat niet eerder is geantwoord.

Als voorbehoud stel ik voorop dat ik slechts beschik over de brief van de functionaris.
Mogelijk zijn er relevante feiten die in de brief niet zijn opgenomen. Het is niet
aan mij om een (juridisch) oordeel over de casus te geven. Wel wil ik in algemene
zin ingaan op een aantal sprekende aspecten van de casus.

De casus zoals die uit de brief van de functionaris aan Uw Kamer is af te leiden,
is dat deze zou deelnemen aan een oefening die zou plaatsvinden in het datacentrum
van het particuliere bedrijf. Door dat bedrijf werd de functionaris verplicht tot
het ondertekenen van een verklaring die ertoe zou kunnen leiden dat alle informatie
die het bedrijf over de functionaris binnen het bedrijf verzamelt kan delen met elke
veiligheidsinstantie in de Verenigde Staten.

In het algemeen geldt dat overheidspersoneel zonder onnodige belemmeringen moet kunnen
meewerken aan het uitvoeren van gezamenlijke veiligheidsoefeningen bij bedrijven of
andere particuliere instellingen en dat deelname niet aan onredelijke voorwaarden
moet zijn onderworpen. In elke branche, zeker op het terrein van databeveiliging,
is veiligheid een topprioriteit en is het essentieel dat alle partijen effectief samenwerken
om te oefenen om de kans zo klein mogelijk te maken dat cruciale datasystemen en informatie
worden misbruikt.

Ongeacht waar het moederbedrijf is gevestigd, is op het betreffende bedrijf het recht
van toepassing dat in Nederland geldt. Dat kan nationale (of lokale) wetgeving zijn
maar ook Europese regelgeving. Het bedrijf zal aan deze regels moeten voldoen. Het
is in dit verband op zich denkbaar dat een bedrijf aan derden verplichtingen oplegt,
ter bescherming van vertrouwelijkheid en bescherming van gegevens. Het bedrijf kan
ook feitelijke maatregelen nemen om te voorkomen dat vertrouwelijkheid en gegevensbescherming
worden gewaarborgd.

Ik benadruk dat het recht op privacy en de bescherming van persoonsgegevens fundamentele
rechten zijn die gewaarborgd worden door zowel nationale als Europese regelgeving,
zoals de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving stelt strikte
eisen aan de verwerking en overdracht van persoonsgegevens tussen staten, zeker wanneer
deze naar landen buiten de Europese Economische Ruimte worden verzonden. Ook een bedrijf
als het onderhavige heeft zich aan deze regels te houden. Het is dus van belang te
onderkennen dat een particulier bedrijf niet zonder meer aan Nederlandse burgers kan
verplichten akkoord te gaan kan met het delen van persoonsgegevens met buitenlandse
autoriteiten. Dergelijke eisen moeten in overeenstemming zijn met de AVG en andere
relevante wet- en regelgeving. Hierop is ook wettelijk geregeld toezicht, zoals van
de Autoriteit Persoonsgegevens.

Hoewel bezoekers, waaronder deelnemers aan oefeningen, in principe de keuze hebben
wel of niet akkoord te gaan met het afleggen van verklaringen als voorwaarde voor
binnentreden, kan die vrijheid aanzienlijk kleiner zijn als deelname essentieel is
en onderdeel van de functie en/of de opdracht.

De plicht tot tekenen hangt af van de wettigheid, redelijkheid en proportionaliteit
van de verklaring, de mogelijke gevolgen voor de betreffende functionaris en de rol
van de opdrachtgever/werkgever, die daarbij algemeen verbindende voorschriften in
acht dient te nemen. De werkgever/opdrachtgever is gehouden medewerkers te beschermen
tegen ongeoorloofde inbreuken op privacy en veiligheid, en om te voorkomen dat deze
zich bij de uitoefening van hun functie in onveilige situaties moeten begeven. De
overheid speelt als het gaat om naleving van de wet ook een voorbeeldrol. Het is daarom
zaak om als overheids-opdrachtgever/werkgever goede afspraken te maken met de organisatie,
zoals ter bescherming van de persoonlijke levenssfeer van medewerkers.

Hoe de situatie in de casus arbeidsrechtelijk precies valt te duiden, is niet aan
mij. In het uiterste geval heeft een rechter het laatste woord. Uit de brief van de
functionaris leid ik af dat diens weigering in dit geval de verklaring te tekenen
is getoetst met als uitkomst dat hij het ondertekenen mocht weigeren.

Ik hoop de commissie met deze brief afdoende geantwoord te hebben.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
F.Z. Szabó