Memorie van toelichting : Memorie van toelichting

Nr. 3
MEMORIE VAN TOELICHTING

A. ALGEMEEN

1. Inleiding

Onder de auspiciën van de Raad van Europa is op 28 januari 1981 te Straatsburg het
Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking
van persoonsgegevens tot stand gekomen (Trb. 1988, 7, hierna: «Conventie 108» of «het verdrag»).1 Conventie 108 is indertijd tot stand gekomen in reactie op de ontwikkelingen in de
informatietechnologie, zoals het toegenomen gebruik van computers voor administratieve
doeleinden. Het verdrag vormt een uitwerking van het door artikel 8 van het op 4 november
1950 te Straatsburg tot stand gekomen Verdrag tot bescherming van de rechten van de
mens en de fundamentele vrijheden (EVRM) beschermde recht op eerbiediging van de persoonlijke
levenssfeer met betrekking tot de geautomatiseerde verwerking van persoonsgegevens.
Conventie 108 is wereldwijd het enige verdrag inzake de bescherming van persoonsgegevens
en staat ook open voor staten die geen lid zijn van de Raad van Europa. Momenteel
is het verdrag van kracht voor 55 staten, waaronder alle lidstaten van de Europese
Unie (hierna: de EU), het Verenigd Koninkrijk, Turkije, Marokko, Mexico, Uruguay en
Argentinië. Voor wat betreft het Koninkrijk der Nederlanden, geldt het verdrag zowel
voor het Europese als het Caribische deel van Nederland.

Op 15 juni 1999 heeft het Comité van Ministers van de Raad van Europa de Wijzigingen
van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens (ETS Nr. 108), die de toetreding van de Europese Gemeenschappen
mogelijk maken (Trb. 2000, 69) aangenomen. Deze Wijzigingen zijn op dit moment door 30 partijen geratificeerd,
waaronder door het Koninkrijk der Nederlanden, voor zowel het Europese als het Caribische
deel van Nederland. De Wijzigingen zijn echter nog niet in werking getreden, aangezien
zij nog niet door alle partijen bij Conventie 108 zijn geratificeerd.

Op 8 november 2001 is vervolgens te Straatsburg het Aanvullend Protocol bij het Verdrag
tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van
persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer
van gegevens tot stand gekomen (Trb. 2003, 122 en Trb. 2003, 165, hierna: het Aanvullend Protocol). Het Aanvullend Protocol bepaalt dat elke verdragspartij
één of meer toezichthoudende autoriteiten dient in te stellen (artikel 1) en dat de
verdragspartijen voorts in hun nationale recht dienen te bepalen dat de doorgifte
van persoonsgegevens naar een ontvanger die niet onder de rechtsmacht van een verdragspartij
valt uitsluitend mag plaatsvinden indien er sprake is van een passend niveau van bescherming
(artikel 2). Het Aanvullend Protocol is voor 44 verdragspartijen, waaronder het Koninkrijk
der Nederlanden, in werking getreden. Voor wat betreft het Koninkrijk der Nederlanden,
geldt het Aanvullend Protocol zowel voor het Europese als het Caribische deel van
Nederland.

Ten slotte is op 10 oktober 2018 te Straatsburg het Protocol tot wijziging van het
Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking
van persoonsgegevens tot stand gekomen (Trb. 2018, 201 en Trb. 2023, 54) hierna: het wijzigingsprotocol of het protocol). Het wijzigingsprotocol voorziet
in een groot aantal inhoudelijke en institutionele wijzigingen van Conventie 108.
De wijzigingen die door het protocol zullen worden aangebracht zijn dermate substantieel
dat er materieel gezien een vrijwel geheel nieuw verdrag zal ontstaan. Van het huidige
verdrag blijven slechts enkele bepalingen behouden, waaronder met name de slotbepalingen
en enkele bepalingen die betrekking hebben op de door het verdrag ingestelde adviescommissie.
De inhoudelijke wijzigingen brengen het niveau van de gegevensbescherming dat uit
hoofde van Conventie 108 wordt geboden in lijn met het beschermingsniveau dat wordt
geboden door het in de afgelopen jaren tot stand gekomen recht van de EU op dit gebied,
waaronder in het bijzonder de Algemene verordening gegevensbescherming (hierna: de
AVG).2 De institutionele wijzigingen versterken het toezicht op de naleving van het verdrag
en maken de toetreding van de EU en van andere internationale organisaties tot het
verdrag mogelijk. De strekking van de inhoudelijke bepalingen van zowel de Wijzigingen
uit 1999 als van het Aanvullend Protocol uit 2001 worden door het wijzigingsprotocol
uit 2018 geïntegreerd in het gemoderniseerde verdrag. Het Aanvullend Protocol zal
ingevolge artikel 37, vierde lid, van het wijzigingsprotocol daarom van rechtswege
komen te vervallen op de datum van inwerkingtreding van het wijzigingsprotocol. Door
de inwerkingtreding van het wijzigingsprotocol zullen daarnaast de Wijzigingen uit
1999 hun doel verliezen.

Het verdrag uit 1981 is op dit moment niet van kracht voor Aruba, Curaçao en Sint
Maarten, noch is dit verdrag voor deze delen van het Koninkrijk goedgekeurd. Teneinde
de gelding van het gewijzigde verdrag voor het gehele Koninkrijk mogelijk te maken,
zal daarom niet alleen voor het gehele Koninkrijk het wijzigingsprotocol uit 2018
moeten worden goedgekeurd, maar zal daarnaast voor Aruba, Curaçao en Sint Maarten
ook het verdrag uit 1981 moeten worden goedgekeurd. Artikel 1 van het onderhavige
voorstel van rijkswet strekt daarom tot goedkeuring van het verdrag uit 1981 voor
Aruba, Curaçao en Sint Maarten en artikel 2 strekt tot goedkeuring van het wijzigingsprotocol
uit 2018 voor het gehele Koninkrijk.

2. Hoofdlijnen van het wijzigingsprotocol

2.1 Aanleiding en totstandkoming van het wijzigingsprotocol

In verband met de nieuwe informatie- en communicatietechnologieën die sinds de totstandkoming
van Conventie 108 zijn ontwikkeld, werd het verdrag uit 1981 al geruime tijd als verouderd
beschouwd. De niet aflatende groei van de (grensoverschrijdende) gegevensstromen en
de globalisering van de gegevensverwerking die door deze nieuwe informatie- en communicatietechnologieën
mogelijk werden gemaakt, hebben binnen de Raad van Europa tot een brede consensus
geleid dat Conventie 108 dient te worden gemoderniseerd, om ook in de toekomst het
hoofd te kunnen (blijven) bieden aan de nieuwe uitdagingen waarvoor het recht op eerbiediging
van de persoonlijke levenssfeer zich gesteld ziet. De noodzaak om Conventie 108 te
moderniseren werd voor de lidstaten van de EU urgent door de in 2012 in gang gezette
hervorming van het gegevensbeschermingsrecht van de EU. Voor deze verdragspartijen
is de totstandkoming van de AVG en de Richtlijn (EU) 2016/680 inzake de bescherming
van persoonsgegevens in het politie- en justitiedomein3 (hierna: Richtlijn 2016/680) een belangrijke impuls geweest om in het kader van de
Raad van Europa te ijveren voor de totstandkoming van het wijzigingsprotocol, aangezien
door deze hervormingen binnen de EU het risico ontstond dat zij zouden worden onderworpen
aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht
van de EU en uit hoofde van het recht van de Raad van Europa. Ten slotte werd het
door deze verdragspartijen als steeds problematischer ervaren dat Conventie 108 niet
openstaat voor een toetreding door de EU, aangezien de in het verdrag geregelde materie
in de termen van de bevoegdheidsverdeling tussen de EU en haar lidstaten grotendeels
onder de exclusieve bevoegdheid van de EU valt.

Over het wijzigingsprotocol is ruim vijf jaar onderhandeld. Een eerste conceptversie
van het protocol werd opgesteld door de op grond van het verdrag ingestelde Adviescommissie.
Vervolgens werd door het Comité van Ministers van de Raad van Europa een ad hoc Committee on data protection (CAHDATA) ingesteld, dat de opdracht kreeg om het voorstel voor de modernisering
en verbetering van Conventie 108 te finaliseren. Aangezien het wijzigingsprotocol
zowel betrekking zou hebben op onderwerpen die tot de (exclusieve) bevoegdheid van
de EU behoren, als op onderwerpen die tot de (exclusieve) bevoegdheid van de lidstaten
behoren, werd aan de daaropvolgende onderhandelingen zowel deelgenomen door de EU,
vertegenwoordigd door de Commissie, als door de lidstaten. Zoals hieronder nog nader
zal worden toegelicht, heeft Conventie 108 – anders dan de AVG en Richtlijn 2016/680 –
mede betrekking op de verwerking van persoonsgegevens ten behoeve van de nationale
veiligheid en de defensie. In het aan de Commissie verleende onderhandelingsmandaat
werd vanwege de (uitsluitende) verantwoordelijkheid van de lidstaten voor deze twee
terreinen bepaald dat de lidstaten hun deelname aan de onderhandelingen over het wijzigingsprotocol
dienden voort te zetten in verband met de toepassing daarvan op de verwerking van
persoonsgegevens op deze terreinen. De respectieve standpunten van de Unie en haar
lidstaten dienden daarbij te worden gecoördineerd. Tijdens de onderhandelingen vond
daartoe regelmatig overleg en coördinatie plaats in de daarvoor bestemde raadswerkgroep.

Het CAHDATA is in totaal vier keer bijeengekomen. Tijdens de laatste bijeenkomst in
juni 2016 is het ontwerp afgerond en toegezonden aan het Comité van Ministers. Het
Comité van Ministers heeft het wijzigingsprotocol en de daarbij behorende toelichting
(hierna: Explanatory Report)4 in mei 2018 aangenomen en ten slotte is het protocol op 10 oktober 2018 tijdens een
officiële ceremonie opengesteld voor ondertekening. De machtiging van de EU om te
ondertekenen, die voor de lidstaten van de EU vereist was in verband met de bepalingen
van het wijzigingsprotocol die onder de exclusieve bevoegdheid van de EU vallen, werd
in juni 2018 verkregen.5 De machtiging om het wijzigingsprotocol te ratificeren werd vervolgens in april 2019
verkregen.6 Begin 2022 was het wijzigingsprotocol door 44 verdragspartijen ondertekend, waaronder
door het Koninkrijk der Nederlanden.

2.2 Inhoudelijke kern van het wijzigingsprotocol

De belangrijkste inhoudelijke en institutionele wijzigingen die door het wijzigingsprotocol
worden aangebracht, kunnen als volgt worden samengevat.

Door het wijzigingsprotocol wordt allereerst de materiële werkingssfeer van het verdrag
voor alle verdragspartijen gelijkgetrokken. Op basis van artikel 3 van het huidige
verdrag beschikken de verdragspartijen nog over de mogelijkheid om bepaalde sectoren
of activiteiten van de toepassing van het verdrag uit te sluiten. Deze mogelijkheid
wordt door het wijzigingsprotocol geschrapt en het gemoderniseerde verdrag – dit wil
zeggen Conventie 108, zoals gewijzigd door het onderhavige protocol – zal daarom voor
alle partijen bij het verdrag dezelfde materiële werkingssfeer hebben. Het gemoderniseerde
verdrag zal uiteindelijk betrekking hebben op alle vormen van gegevensverwerking die
onder de jurisdictie van de partijen vallen, zowel in de publieke als in de private
sector.

Verder verhoogt het wijzigingsprotocol het niveau van de gegevensbescherming ten opzichte
van het huidige verdrag door de verdragspartijen te verplichten om hun nationale recht
een bepaalde inhoud te geven of door aan datasubjecten rechtstreeks bepaalde rechten
toe te kennen. Door het gemoderniseerde verdrag wordt allereerst het beginsel van
de rechtmatige verwerking nader gespecificeerd, met name voor wat betreft de eisen
die worden gesteld aan de toestemming die in voorkomende gevallen door de datasubjecten
kan worden verleend. Verder worden de verschillende categorieën bijzondere persoonsgegevens
uitgebreid tot de categorieën die in het Unierecht zijn erkend en wordt de bescherming
van deze bijzondere persoonsgegevens versterkt. Daarnaast biedt het gemoderniseerde
verdrag de datasubjecten aanvullende garanties bij de verwerking van hun persoonsgegevens.
Het gaat daarbij enerzijds om de versterking van de rechten van de datasubjecten – met
name op het gebied van de transparantie en de toegang tot bepaalde gegevens – en anderzijds
om een aanscherping van de verplichtingen van de verwerkingsverantwoordelijken en/of
de verwerkers. In het laatste geval gaat het onder andere om de verplichting om de
waarschijnlijke impact van een voorgenomen gegevensverwerking op de rechten en fundamentele
vrijheden van de betrokken datasubjecten te onderzoeken, de verplichting om de relevante
technische en organisatorische maatregelen te treffen om met die impact rekening te
houden en de verplichting om ernstige inbreuken op het gebied van de gegevensbescherming
te melden. Ten opzichte van het huidige verdrag worden er vervolgens ook enkele nieuwe
rechten ingevoerd, zoals het recht om niet te worden onderworpen aan een besluit dat
louter is gebaseerd op een geautomatiseerde verwerking van persoonsgegevens en dat
de betrokkene in aanmerkelijke mate treft, het recht om bezwaar te maken tegen de
verwerking van persoonsgegevens en het recht op een voorziening in rechte in het geval
van een schending van de rechten van een datasubject.

In verband met de gewijzigde rechten en verplichtingen in het gemoderniseerde verdrag,
brengt het wijzigingsprotocol ook enkele wijzigingen aan in het systeem van uitzonderingen
dat is toegestaan op deze rechten en verplichtingen (hierna: de beperkingensystematiek).
In de artikelsgewijze toelichting bij artikel 14 van het wijzigingsprotocol wordt
hier nader op ingegaan. De gewijzigde beperkingensystematiek voldoet aan de volgende
drie essentiële voorwaarden: (1) het behoud van de brede materiële werkingssfeer van
het gewijzigde verdrag (geen algemene uitzonderingsbepalingen), (2) flexibiliteit
(waardoor hoge gegevensbeschermingsnormen in overeenstemming kunnen worden gebracht
met andere belangrijke openbare belangen, zoals nationale veiligheid), en (3) algehele
samenhang met de jurisprudentie van het Europees Hof voor de Rechten van de Mens (met
name geen wezenlijke inperking van het fundamentele recht op gegevensbescherming).
Met behulp van dit systeem van gegevensbescherming beoogt het gemoderniseerde verdrag
enerzijds een hoog niveau van bescherming te bieden aan de datasubjecten, en anderzijds
een zekere mate van flexibiliteit te bieden aan de verdragspartijen bij de omzetting
van de verdragsbepalingen in hun nationale recht. Deze flexibiliteit is ook nodig
vanwege het feit dat bij de verdragspartijen grote diversiteit bestaat waar het gaat
om de verwerking van persoonsgegevens en (met name) het toezicht daarop door inlichtingen-
en veiligheidsdiensten. Door de verdragspartijen is nadrukkelijk beoogd deze diversiteit
ook onder het gewijzigde verdrag te handhaven.

De institutionele wijzigingen versterken het toezicht op de naleving van het verdrag
en maken het de EU en andere internationale organisaties mogelijk om partij te worden
bij het verdrag. Op het internationale vlak wordt het toezicht op de naleving van
het verdrag versterkt door het takenpakket en de bevoegdheden van de Verdragscommissie
uit te breiden. Zo wordt aan de Verdragscommissie onder andere de bevoegdheid toegekend
om de doeltreffendheid te beoordelen van de maatregelen die in de nationale wetgeving
zijn genomen ter uitvoering van de bepalingen van het verdrag. Binnen de Raad van
Europa wordt momenteel gewerkt aan de uitwerking van dit evaluatiemechanisme. Het
gezamenlijke doel is om te komen tot een evaluatiemechanisme dat is gebaseerd op objectieve
criteria, strikt beperkt is tot de naleving van de verdragsbepalingen en zowel voor
de Verdragscommissie als de verdragspartij geen bovenmatige uitvoeringslasten met
zich meebrengt. Op het nationale vlak wordt het toezicht op de naleving van het verdrag
versterkt door te bepalen dat elke verdragspartij één of meer toezichthoudende autoriteiten
dient in te stellen en door te bepalen dat aan deze nationale autoriteiten bepaalde
bevoegdheden dienen te worden toegekend, zoals de bevoegdheid om besluiten te nemen
met betrekking tot schendingen van het verdrag en de bevoegdheid om bestuurlijke sancties
op te leggen. In het Europese deel van Nederland wordt de rol van toezichthoudende
autoriteit thans vervuld door de Autoriteit Persoonsgegevens (hierna: de AP).

Door artikel 19 van het wijzigingsprotocol wordt expliciet duidelijk gemaakt dat met
de bepalingen in het wijzigingsprotocol inzake de nationale toezichthoudende autoriteiten
in feite artikel 1 van het Aanvullend Protocol uit 2001 wordt geïntegreerd in het
gewijzigde verdrag. Door artikel 17, derde lid, van het wijzigingsprotocol wordt daarnaast
duidelijk gemaakt dat ook artikel 2 van het Aanvullend Protocol in het gewijzigde
verdrag wordt geïntegreerd. Daarmee worden de beide inhoudelijke bepalingen van het
Aanvullend Protocol dus volledig geïntegreerd in het gewijzigde verdrag. Ingevolge
artikel 37, vierde lid, van het wijzigingsprotocol zal het Aanvullend Protocol daarom
buiten werking treden op het moment dat het wijzigingsprotocol in werking treedt.

De laatste institutionele wijziging betreft de mogelijkheid voor de EU en voor andere
internationale organisaties om partij te worden bij het gemoderniseerde verdrag. Door
de inwerkingtreding van het wijzigingsprotocol zullen de Wijzigingen uit 1999, die
tot op heden nog niet in werking zijn getreden, hun doel verliezen. Voor de EU is
het openstellen van het gewijzigde verdrag van groot belang in verband met de interne
bevoegdheidsverdeling tussen de EU en haar lidstaten. De EU heeft haar lidstaten daarom
reeds meerdere malen aangespoord om het wijzigingsprotocol zo spoedig mogelijk te
ratificeren.

2.3 Belang van het wijzigingsprotocol

Het wijzigingsprotocol is om verschillende redenen van belang. Het protocol voorziet
allereerst in een aan de huidige tijd aangepaste uitwerking van het door artikel 8
EVRM beschermde recht op eerbiediging van de persoonlijke levenssfeer met betrekking
tot de verwerking van persoonsgegevens. Door het protocol wordt het systeem van gegevensbescherming
dat als maatgevend wordt beschouwd in het kader van de Raad van Europa in lijn gebracht
met het systeem van gegevensbescherming dat van kracht is binnen de EU. Hierdoor wordt
voorkomen dat EU-lidstaten zoals Nederland worden onderworpen aan verschillende of
zelfs tegenstrijdige verplichtingen uit hoofde van het recht van de EU en het recht
van de Raad van Europa. Door de EU de mogelijkheid te bieden om partij te worden bij
het gewijzigde verdrag, wordt het in de toekomst zowel voor de EU als voor haar lidstaten
ook gemakkelijker om zelfstandig en binnen de grenzen van hun eigen bevoegdheden op
te treden in het kader van de Raad van Europa.

Door het wijzigingsprotocol zal het gemoderniseerde verdrag voorzien in een toekomstbestendig
en uitgebalanceerd systeem van gegevensbescherming, dat een hoog niveau van bescherming
voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen
om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele
rechten, vrijheden en belangen. Door dit uitgebalanceerde en breed gedragen systeem
van gegevensbescherming wordt het voor al die landen, ook buiten Europa, die erover
nadenken om een systeem voor gegevensbescherming op te zetten of een bestaand systeem
te versterken aantrekkelijk om tot het gemoderniseerde verdrag toe te treden. Het
wijzigingsprotocol kan daarom een belangrijke bijdrage leveren aan de wereldwijde
versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking
van persoonsgegevens. Dit past in het staande Nederlandse beleid dat is gericht op
het bevorderen en ondersteunen van internationaal aanvaarde normen en afspraken met
betrekking tot de rechten van de mens en aanverwante terreinen.

Tegelijkertijd kan het wijzigingsprotocol ook een belangrijke bijdrage leveren aan
de bevordering van het internationale handelsverkeer. In de huidige digitale economie
gaat de levering van goederen en diensten in toenemende mate gepaard met de uitwisseling
van persoonsgegevens. De grensoverschrijdende doorgifte van persoonsgegevens levert
een potentieel risico op voor de bescherming van deze gegevens wanneer zij worden
doorgegeven aan een land dat een minder hoog beschermingsniveau waarborgt dan het
land van herkomst van de gegevens. In het stelsel van de AVG zijn internationale doorgiften
door een gegevensexporteur – een verwerkingsverantwoordelijke of verwerker – daarom
slechts mogelijk voor zover het voor natuurlijke personen op grond van de AVG gewaarborgde
beschermingsniveau daarbij niet wordt ondermijnd (artikel 44 AVG).7 Op grond van overweging 105 van de AVG komt in dit verband betekenis toe aan het
feit of het derde land waaraan de persoonsgegevens worden doorgegeven al dan niet
partij is bij Conventie 108. Door de toetreding van landen van buiten Europa tot Conventie 108
aantrekkelijker te maken, kan het wijzigingsprotocol ervoor zorgen dat meer van deze
landen een behoorlijk niveau van bescherming zullen waarborgen. De doorgifte van persoonsgegevens
aan die landen zal vervolgens minder snel op bezwaren stuiten. Langs die weg levert
het wijzigingsprotocol dus ook een potentiële bijdrage aan het voor de wereldhandel
steeds belangrijker geworden «vrije verkeer van persoonsgegevens».

3. Uitvoering van het wijzigingsprotocol

Het wijzigingsprotocol noopt voor het Europese deel van Nederland niet tot een aanpassing
van de huidige wet- en regelgeving. De wijzigingen die door het protocol in Conventie 108
worden aangebracht, zijn namelijk volledig in overeenstemming met zowel de AVG als
met de reeds geïmplementeerde Richtlijn 2016/680.8 Het enige inhoudelijke verschil met de AVG is dat de gemoderniseerde Conventie 108
ook betrekking heeft op de verwerking van persoonsgegevens in het belang van de bescherming
van de defensie en de nationale veiligheid. Ook voor dit deel van het wijzigingsprotocol
is voor het Europese deel van Nederland echter geen uitvoeringswetgeving nodig. Door
de schakelbepaling in artikel 3 van de Uitvoeringswet AVG (hierna: de UAVG), was defensie
al binnen het toepassingsbereik van de AVG en de UAVG gebracht. Die schakelbepaling
en het daarin besloten en daarop gebaseerde uitzonderingsregime voor de operationele
inzet van de krijgsmacht zijn in lijn met het wijzigingsprotocol. Hierbij is van belang
dat het nieuwe artikel 11 van Conventie 108 zal voorzien in een stelsel van uitzonderingen
en beperkingen die onder andere in het belang van de nationale veiligheid en de defensie
op de materiële bepalingen van het verdrag mogen worden gemaakt. De huidige Nederlandse
wetgeving ten aanzien van nationale veiligheid en defensie, in het bijzonder de Wet
op de inlichtingen- en veiligheidsdiensten 2017 (hierna: de Wiv 2017) respectievelijk
artikel 3 UAVG en het daarop gebaseerde uitzonderingsregime voor de inzet van de krijgsmacht
ter uitvoering van de in artikel 97 van de Grondwet omschreven taken9, is in lijn met deze beperkingensystematiek. De verwerking van persoonsgegevens op
grond van de Wiv 2017 wordt nader toegelicht in paragraaf 4.

Voor de Caribische delen van het Koninkrijk is daarentegen wel uitvoeringswetgeving
nodig. Ratificatie van het wijzigingsprotocol voor het Caribische deel van Nederland
vergt een wijziging van de Wet bescherming persoonsgegevens BES (hierna: de Wbp-BES),
van de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag
BES (hierna: de Wjd-BES) en een uitbreiding van de taken van de toezichthoudende autoriteit.10 Zoals uit de onlangs uitgevoerde evaluatie van de Wbp-BES naar voren is gekomen,
heeft de in 2014 benoemde Commissie toezicht bescherming persoonsgegevens BES (hierna:
CBP BES) zich vooralsnog toegelegd op het verhogen van kennis en bewustzijn van de
Wbp-BES door middel van voorlichting en trainingen en dient zij haar handhavende taken
nog op te pakken.11

Voor Aruba, Curaçao en Sint Maarten geldt eveneens dat ratificatie van het verdrag
uit 1981 en het wijzigingsprotocol uit 2018 aanpassing vergt van de regelgeving van
deze landen. De Caribische landen beschikken op dit moment over uiteenlopende regelgeving
die ziet op de bescherming van persoonsgegevens. Zo kent Aruba de Landsverordening
Persoonsregistraties12 en Sint Maarten en Curaçao, elk een eigen Landsverordening bescherming persoonsgegevens.13 De regelgeving van Curaçao en Sint Maarten sluit wat betreft inhoud en opzet aan
bij de Wet bescherming persoonsgegevens zoals deze tot 25 mei 2018 in Nederland gold.
De Landsverordening van Aruba sluit aan bij de voorganger van de Wet bescherming persoonsgegevens,
namelijk de Wet persoonsregistraties. Ook op het terrein van de Richtlijn/2016/680
beschikken Aruba14, Curaçao15 en Sint Maarten16 over landsverordeningen met betrekking tot met name justitiële en/of politiegegevens.17

Door een in 2018 ingestelde interlandelijke werkgroep is de vraag onderzocht of de
harmonisatie van het gegevensbeschermingsniveau van het Caribische deel van Nederland
en van de Caribische landen mogelijk is, en zo ja, wat daarvoor nodig is. Ingevolge
de conclusie van de werkgroep hebben de Minister van Justitie en Sociale Zaken van
Aruba en de Ministers van Justitie van Sint Maarten, van Curaçao en van Nederland
(hierna ook wel aangeduid als: de Ministers) in het Justitieel Vierpartijen Overleg
(JVO) van 14 januari 2021 geconstateerd dat het aangewezen is om een geharmoniseerd
niveau van gegevensbescherming binnen het Caribisch deel van het Koninkrijk te realiseren
en besloten om een consensusrijkswet tot stand te brengen waarmee de beschermingsregimes
voor de verwerking van persoonsgegevens, waaronder begrepen de persoonsgegevens die
in het politie- en justitiedomein worden verwerkt, binnen de Caribische delen van
het Koninkrijk worden geharmoniseerd en het beschermingsniveau wordt verhoogd.

Voor de totstandkoming van deze consensusrijkswet is in opdracht van de Ministers,
een Interlandelijke Projectgroep (hierna: Projectgroep) ingesteld, waar vertegenwoordigers
van de vier landen in participeren. Onderdeel van de projectaanpak betrof de voorbereiding
van een nota waarin de beleidsmatige afwegingen inzichtelijk worden gemaakt en voorstellen
werden gedaan welke als basis konden dienen voor de voorbereiding van een voorstel
van een consensusrijkswet. Dit leidde tot de aanbieding door de Projectgroep aan het
JVO van 7 juli 2021 van een contourennota, waarin op hoofdlijnen de contouren van
de beoogde rijkswet werden geschetst, inclusief voorstellen met betrekking tot onder
andere de reikwijdte, de inhoud en de vormgeving daarvan. Aan de hand hiervan zijn
door de Caribische landen en Caribisch Nederland nadere keuzes gemaakt met betrekking
tot de inhoud, op hoofdlijnen, van de rijkswet, waaronder de reikwijdte, het niveau
van gegevensbescherming alsook de organisatie van het toezicht daarop. Op grond hiervan
is een start gemaakt met de daadwerkelijke voorbereiding van de rijkswet. Een ontwerp
van het eerste, van de uiteindelijke drie (materiële) hoofdstukken van de beoogde
consensusrijkswet is aan het JVO van 14 januari 2023 voorgelegd. Hoofdstuk 1 is het
algemene hoofdstuk en bevat bepalingen die materieel gelijk zijn voor alle soorten
persoonsgegevens die onder de reikwijdte van de rijkswet vallen. Naast de definities
en de reikwijdte van de rijkswet, bevat het de algemene beginselen die gelden bij
het verwerken van persoonsgegevens, politiegegevens en justitiële en strafvorderlijke
gegevens, de (basis)verplichtingen van de verwerkingsverantwoordelijke (bijvoorbeeld
op het vlak van beveiliging en de meldplicht datalekken) en het instrumentarium dat
de verwerkingsverantwoordelijke ondersteunt bij de naleving van de rijkswet. Verder
bevat hoofdstuk 1 regels hoe het intern toezicht vorm dient te worden gegevens en
bevat het een regeling inzake de oprichting en inrichting van de (gemeenschappelijke)
toezichthoudende autoriteit, haar taken en onderzoeksbevoegdheden en het sanctie instrumentarium
waar die over beschikt. Ten slotte wordt in de laatste paragraaf van hoofdstuk 1 de
rechtsbescherming geregeld. Er wordt in 2023 verder gewerkt aan ontwerpen voor het
tweede en derde hoofdstuk van de consensusrijkswet. Hoofdstuk 2 ziet op de gegevensverwerkingen
door privaatrechtelijke en publiekrechtelijke organisaties in het algemeen en het
derde hoofdstuk ziet specifiek op de verwerking van politiegegevens, justitiële en
strafvorderlijke gegevens. Het laatste hoofdstuk bevat bepalingen inzake de inwerkingtreding
van de rijkswet alsook slotbepalingen. Het streven is om begin 2024 het gehele voorstel
van rijkswet gereed te hebben, die vervolgens voor consultatie en advisering zal kunnen
worden aangeboden, en vervolgens verder in procedure zal worden gebracht.

Door de Projectgroep is bewust gekozen om de rijkswet getrapt, per hoofdstuk, te ontwikkelen.
Naast het feit dat de drie materiële hoofdstukken duidelijk te onderscheiden thema’s
behandelen, is hier ook voor gekozen met het oog op een effectieve uitvoering van
de consensusrijkswet. Deze aanpak maakt het immers mogelijk om de Ministers van Aruba,
van Curaçao, van Sint Maarten en van Nederland alsook betrokken overheidsorganisaties
en stakeholders, actief mee te nemen in het proces. Daarnaast maakt deze werkwijze
het mogelijk om uitvoeringstoetsen per hoofdstuk, en dus in een redelijk vroeg stadium,
te laten plaatsvinden zodat bestuurders, betrokken overheidsinstanties en stakeholders
sneller inzicht krijgen in de financiële en andere consequenties van de consensusrijkswet
en, met het oog daarop, voorbereidingen kunnen treffen. Het streven is om het eerste
deel van de tussentijdse uitvoeringstoets, dat voornamelijk betrekking zal hebben
op de nieuwe op te richten toezichthoudende autoriteit, in het eerstvolgende JVO,
medio 2023, aan de betrokken bewindslieden te kunnen voorleggen.

Met het oog op een effectieve uitvoering van de consensusrijkswet is daarnaast, bij
brief van 22 augustus 2022 (ontvangen op 14 december 2022), een gezamenlijk verzoek
voor personele en financiële bijstand ingediend door de Minister van Justitie en Sociale
Zaken van Aruba en de Ministers van Justitie van Sint Maarten en van Curaçao, bij
de Minister van Justitie van Nederland, die inmiddels heeft aangegeven hier welwillend
naar te kijken. Het verzoek ziet op bijstand gericht op opleiding en training, de
uitvoering van een bewustwordingscampagne en wetgevingstechnische bijstand, en dekt
hiermee de belangrijkste aspecten van de uitvoering van de consensusrijkswet, alsook
de benodigde aanpassing van de nationale wetgeving in de Caribische landen van het
Koninkrijk. In overleg met de Caribische landen wordt onderzocht op welke wijze gevolg
kan worden gegeven aan het betreffende verzoek.

Het is de bedoeling dat de consensusrijkswet ter vervanging komt van de Wbp-BES, titel
1 van de Wjd-BES, paragraaf 5a van de Wpg18, de afzonderlijke Landsverordeningen die op dit moment in de Caribische landen gelden
en de Onderlinge regeling tussen Nederland, Aruba, Curaçao en Sint Maarten betreffende
de verwerking van politiegegevens.

De consensusrijkswet is niet van toepassing op de verwerking van persoonsgegevens
door de inlichtingen- en veiligheidsdiensten, het verwerken van persoonsgegevens in
het kader van verkiezingen en ten behoeve van de basisregistratie persoonsgegevens.
De belangrijkste reden hiervoor is dat, anders dan de consensusrijkswet die (uitsluitend)
een regeling betreft inzake de bescherming en verwerking van persoonsgegevens, de
wetten en (lands)verordeningen op deze terreinen ook diverse andere aspecten regelen
die betrekking hebben op het functioneren van de basisregistratie persoonsgegevens,
de verkiezingen en het kiesstelsel en de inlichtingen- en veiligheidsdiensten, en
daarbij behorende instanties en processen. Met andere woorden, ook de bijzondere context
waarin deze verwerkingen plaatsvinden, wordt in deze wetten en (lands)verordeningen
geregeld. Dit maakt dat deze terreinen niet passen in een gegevensbeschermingsregeling
zoals de consensusrijkswet. Het opnemen van deze onderwerpen in de consensusrijkswet
zou bovendien de omvang en complexiteit van de consensusrijkswet in belangrijke mate
doen toenemen, terwijl deze rijkswet nu al een brede reikwijdte kent. Dit zou de totstandkoming
en uitvoering van de rijkswet kunnen bemoeilijken.

De wettelijke regelingen die in de Caribische landen en het Caribische deel van Nederland19 op deze onderwerpen zien, zullen dan ook separaat beoordeeld worden om vast te stellen
of, en in hoeverre het daarin geboden beschermingsniveau aanpassingen behoeft. Het
streven is om voor de genoemde terreinen stapsgewijs naar het niveau van bescherming
toe te werken dat (minimaal) beantwoordt aan de standaarden van het gemoderniseerde
verdrag. Bij de afweging die daarbij een rol speelt zal rekening worden gehouden met
aspecten als onder meer de beperkte uitvoeringskracht, het insulaire karakter, de
kleinschaligheid en wat betreft Caribisch Nederland, de geografische afstand ten opzichte
van Europees Nederland.

Ook ziet de consensusrijkswet niet op de verwerking van persoonsgegevens in de Caribische
delen van het Koninkrijk door de krijgsmacht. In de consensusrijkswet is op dit punt
geregeld dat op deze gegevensverwerking de UAVG en de AVG van overeenkomstige toepassing
zijn.

Indien deze consensusrijkswet en de andere wettelijke aanpassingen op door de consensusrijkswet
niet bestreken terreinen voorzien in de uitvoeringswetgeving die voor deze delen van
het Koninkrijk nodig is om het verdrag uit 1981 en het wijzigingsprotocol uit 2018
te kunnen laten gelden, dan zal het gemoderniseerde verdrag voor deze delen van het
Koninkrijk in werking kunnen treden.

4. Verwerking van persoonsgegevens op grond van de Wiv 2017

Zoals hiervoor reeds is opgemerkt brengt het wijzigingsprotocol het beschermingsniveau
in lijn met het in de afgelopen jaren tot stand gekomen recht van de EU, in het bijzonder
de AVG. Vanwege de (uitsluitende) verantwoordelijkheid van de lidstaten voor nationale
veiligheid geldt de AVG niet voor de verwerking van gegevens door de inlichtingen-
en veiligheidsdiensten. De Wiv 2017 vormt hiervoor een eigenstandig wettelijk kader.
Dit zal hieronder nader toegelicht worden.

Het gemoderniseerde verdrag verhoogt het niveau van bescherming van persoonsgegevens
door de verdragspartijen te verplichten hun nationale recht een bepaalde inhoud te
geven en door aan datasubjecten rechtstreeks bepaalde rechten toe te kennen. Op grond
van artikel 14 van het wijzigingsprotocol (nieuw artikel 11) is in een beperkt aantal
gevallen een uitzondering mogelijk op de materiële bepalingen van het verdrag. Nationale
veiligheid is een van de doelen waarvoor een uitzondering mogelijk is. Dit is alleen
mogelijk op de bepalingen die in het eerste en derde lid worden genoemd, de uitzondering
moet bij wet zijn voorzien en de getroffen maatregelen moeten noodzakelijk en evenredig
zijn in een democratische samenleving om een dergelijk doel te bereiken. De uitzonderingen
mogen bovendien geen afbreuk doen aan het vereiste van onafhankelijk en effectief
toezicht op grond van nationale wetgeving.

De Wiv 2017 vormt het kader voor de taakuitvoering van de inlichtingen- en veiligheidsdiensten
(hierna: de diensten) en voorziet in alle aspecten van gegevensverwerking door de
diensten. Behoudens de (toegestane) uitzonderingen die hierna worden toegelicht, voldoet
de Wiv 2017 aan de eisen die de gewijzigde Conventie stelt aan de verwerking van persoonsgegevens
en het toezicht daarop. Zo is in de Wiv 2017 een belangrijk uitgangspunt dat de verzameling
van gegevens te allen tijde moet voldoen aan de eisen van noodzakelijkheid, proportionaliteit,
subsidiariteit en gerichtheid. Tevens is meer in algemene zin bepaald dat iedere verwerking
van gegevens slechts plaatsvindt voor een bepaald doel en voor zover dat noodzakelijk
is voor een goede uitvoering van de Wiv 2017 of de Wet veiligheidsonderzoeken (Wvo).
Ook dient de verwerking van gegevens in overeenstemming met de wet en op behoorlijke
en zorgvuldige wijze te geschieden en gelden aanvullende waarborgen voor bijzondere
persoonsgegevens en de externe verstrekking van persoonsgegevens. Naast deze algemene
waarborgen gelden specifieke (procedurele) voorwaarden voor de toepassing van bijzondere
bevoegdheden waarbij in veel gevallen de toetsingscommissie inzet bevoegdheden (TIB)
de rechtmatigheid van de door de Minister verleende toestemming tot toepassing van
bijzondere bevoegdheden op rechtmatigheid toetst voorafgaand aan de toepassing daarvan
dan wel – waar het gaat om de uitoefening van bijzondere bevoegdheden jegens journalisten
(bronbescherming) of advocaten (vertrouwelijke communicatie met cliënten) – in plaats
van de Minister, de rechtbank Den Haag toestemming verleent voor de uitoefening van
een bevoegdheid. Ook voorziet de Wiv 2017 in rechten voor de betrokkene, zoals het
recht op kennisneming van door of ten behoeve van de diensten verwerkte gegevens (inzage),
het recht op een effectief rechtsmiddel, bestuursrechtelijke rechtsbescherming wanneer
sprake is van een besluit als bedoeld in de Algemene Wet Bestuursrecht en staat de
weg naar de burgerlijke rechter open, bijvoorbeeld in het kader van een actie uit
onrechtmatige daad. Daarnaast houdt de afdeling toezicht van de Commissie van toezicht
op de inlichtingen- en veiligheidsdiensten (CTIVD) toezicht op de rechtmatigheid van
de activiteiten van de diensten, waaronder de verwerking van persoonsgegevens. De
afdeling klachtbehandeling van de CTIVD, die onafhankelijk ten opzichte de afdeling
toezicht is gepositioneerd, is belast met de behandeling van klachten en heeft in
die hoedanigheid de bevoegdheid om bindende oordelen te geven over klachten over het
optreden of het vermeende optreden van de diensten, de verantwoordelijke Ministers
en de coördinator. De CTIVD en de TIB zijn gespecialiseerde instanties en beschikken
derhalve over de nodige expertise ten aanzien van de taken en de uitvoeringspraktijk
van de diensten. Zij zijn bij uitstek in staat enerzijds het belang van de nationale
veiligheid en anderzijds de bescherming van de persoonlijke levenssfeer tegen elkaar
af te wegen. In de openbare rapporten van de afdeling toezicht van de CTIVD wordt
daar stelselmatig uitwerking aan gegeven.

Op 2 december 2022 is het voorstel voor een Tijdelijke wet onderzoeken AIVD en MIVD
naar landen met een offensief cyberprogramma (hierna: de Tijdelijke wet) ingediend
bij de Tweede Kamer. Dit wetsvoorstel beoogt een tijdelijke voorziening te treffen
waarmee de AIVD en de MIVD meer mogelijkheden krijgen om enkele bijzondere bevoegdheden
efficiënter te kunnen inzetten en zo sneller en wendbaarder te kunnen opereren in
onderzoeken naar landen met een offensief cyberprogramma gericht tegen Nederland of
Nederlandse belangen, waarbij tegelijkertijd de waarborgen waarmee die inzet moet
zijn omgeven op een hoog niveau blijven. In dit wetsvoorstel vervalt de toets die
de Toetsingscommissie inzet bevoegdheden (TIB) voorafgaand aan de inzet van bijzondere
bevoegdheden uitvoert op enkele onderdelen (zoals verkennen van geautomatiseerde werken
en de uitvoering van geautomatiseerde data-analyse op in bulk geïntercepteerde metadata)
omdat in de toepassingspraktijk van de Wiv 2017 is gebleken dat deze (statische) toets
van de TIB minder goed past bij het dynamische verloop van cyberonderzoeken. Het wetsvoorstel
bevat daarom in enkele specifieke gevallen een verschuiving van een bindende toets
vooraf door de TIB naar bindend toezicht op de uitvoering van bijzondere bevoegdheden
door de CTIVD. Dit betreft een tijdelijke voorziening en loopt daarmee niet vooruit
op mogelijke aanpassingen van het stelsel van toetsing en toezicht mede naar aanleiding
van de aanbevelingen van rapport van de Evaluatiecommissie Wiv 2017 en het daaromtrent
nader in te nemen kabinetsstandpunt. Een definitieve regeling zal onderdeel uitmaken
van het wetsvoorstel dat wordt voorbereid na het uitbrengen van de aan de Tweede Kamer
toegezegde hoofdlijnennotitie ter zake van het door de ECW uitgebrachte rapport met
betrekking tot de evaluatie van de Wiv 2017. Daarbij zal er uiteraard op worden toegezien
dat ook die aanpassingen voldoen aan de vereisten van het gewijzigde verdrag.

Het werk van de diensten heeft een heimelijk karakter en geheimhouding is dan ook
noodzakelijk om de effectiviteit van een goede taakuitvoering door de diensten te
waarborgen. De bijzondere taak van de diensten en de daarmee samenhangende geheimhouding
heeft tot gevolg dat de toepassing van het gewijzigde verdrag op enkele onderdelen
is beperkt of uitgezonderd. Artikel 14 van het wijzigingsprotocol (nieuw artikel 11)
maakt dit mogelijk. Dit artikel geeft een limitatieve opsomming van de uitzonderingen
die door de verdragspartijen mogen worden gemaakt op de materiële bepalingen van het
verdrag, onder andere in het belang van de nationale veiligheid, mits de uitzondering
bij wet is voorzien, de essentie van de fundamentele rechten en vrijheden eerbiedigt
en noodzakelijk en proportioneel is in een democratische samenleving.

De Wiv 2017 bevat op enkele onderdelen een uitzondering zoals bedoeld in artikel 14,
eerste lid, van het wijzigingsprotocol (nieuw artikel 11, eerste lid). Dit betreft
ten eerste artikel 5, vierde lid, onder 4, onderdeel a (nieuw) voor zover het de eis
van transparantie betreft, en artikel 8, eerste lid (nieuw) voor zover het gegevens
betreft die de betrokkene zelf heeft verstrekt. Ten aanzien van het vereiste van transparantie
geldt dat vanwege het heimelijke karakter van de taakuitvoering van de diensten volledige
transparantie ten aanzien van modus operandi of specifieke onderzoeken of onderzoeksubjecten
niet mogelijk is. Geheimhouding is in de Wiv 2017 op meerdere manieren geborgd, zoals
de zorgplicht van de diensthoofden op grond van artikel 23 Wiv 2017 ten aanzien van
gegevens en bronnen en een bijzondere geheimhoudingsregeling voor diegenen die bij
de taakuitvoering van de diensten betrokken zijn (geweest) en uit dien hoofde kennis
dragen over geheime informatie (hoofdstuk 8). Vanzelfsprekend kan de Commissie voor
de Inlichtingen- en Veiligheidsdiensten (CIVD) van de Tweede Kamer hierover wel vertrouwelijk
worden geïnformeerd en kan de CTIVD op elk gewenst moment onderzoek doen wat resulteert
in een openbaar rapport (eventueel met een geheime bijlage). De bepalingen uit de
Wiv 2017 blijven op dit punt derhalve leidend voor de mate waarin transparantie kan
worden betracht ten aanzien van verwerkingen – van persoons- en andere gegevens –
door de diensten.

De tweede uitzondering betreft de informatieplicht uit artikel 8 (nieuw). Deze informatieplicht
geldt ingevolge het derde lid niet wanneer gegevens niet van de betrokkene zelf zijn
verkregen. Hoewel de diensten doorgaans gegevens verzamelen en verwerken zonder toestemming
of medeweten van de betrokkene (waarvoor de uitzondering van het derde lid geldt),
is dit niet altijd het geval. Bijvoorbeeld wanneer de betrokkene ten behoeve van een
veiligheidsonderzoek een Opgave persoonlijke gegevens moet invullen. Ingevolge de
artikelen 17 en 18 van de Wiv 2017 is die wet ook van toepassing op de verwerking
van gegevens in het kader van de uitvoering van veiligheidsonderzoeken door de diensten.
Hierbij is eveneens geheimhouding geboden waarbij transparantie evenmin mogelijk is,
bijvoorbeeld over de voorgenomen verwerkingen (eerste lid, onderdeel b) of de ontvangers
van die gegevens (eerste lid, onderdeel d). Op dit punt vormen de Wiv 2017 en de Wvo
derhalve een uitzondering zoals bedoeld in artikel 14 eerste lid (nieuw artikel 11,
eerste lid).

Ook op het nieuwe artikel 9 bevat de Wiv 2017 enkele uitzonderingen in de vorm van
weigeringsgronden en beperkingen op de rechten van de betrokkene. Vooropgesteld wordt
dat de rechten uit het gemoderniseerde verdrag zoveel als mogelijk behoren te gelden
voor de verwerking van persoonsgegevens bij of krachtens de Wiv 2017. Het bijzondere
karakter van de taakuitvoering van de inlichtingen- en veiligheidsdiensten noopt echter
tot een beperking van enkele rechten uit artikel 9 (nieuw) in het belang van de nationale
veiligheid op grond van artikel 11, eerste lid (nieuw). Het betreft ten eerste het
recht op inzage (eerste lid, sub b) en in het verlengde daarvan het recht op kennisname
van de redenen die ten grondslag liggen aan een verwerking (eerste lid, sub c). In
artikel 76 van de Wiv 2017 is bepaald dat de betrokken Minister eenieder op diens
aanvraag zo spoedig mogelijk, doch uiterlijk binnen drie maanden, mededeelt of en,
zo ja, welke hem betreffende persoonsgegevens door of ten behoeve van een dienst zijn
verwerkt. De beslistermijn is ruimer dan in veel andere wetten. De reden hiervoor
is dat het vaak gaat om oudere gegevens uit een (semi)statisch archief die niet eenvoudig
ontsloten kunnen worden. Daarnaast vergt de aard van de gegevens een zeer nauwkeurige
beoordeling. Meer in algemene zin geldt dat de diensten hun wettelijke taken uitsluitend
binnen een zekere mate van geheimhouding effectief kunnen uitvoeren, waarbij de bescherming
van bronnen, werkwijzen en actueel kennisniveau te allen tijde geheim moeten kunnen
worden gehouden (vgl. artikel 12, tweede lid, Wiv 2017). In de artikelen 82 tot en
met 85 van de Wiv 2017 zijn de weigeringsgronden en beperkingen geregeld die bij de
beoordeling van een verzoek om kennisneming van persoonsgegevens dienen te worden
gehanteerd.

Daarnaast bevat de Wiv 2017 ook een beperking van het recht op correctie en verwijdering
van gegevens. De Wiv bevat geen regeling voor verzoeken om correctie of verwijdering
van persoonsgegevens als zodanig. Wel is voorzien in de mogelijkheid dat betrokkene
omtrent de gegevens waarvan hij ingevolge artikel 76 Wiv 2017 kennis heeft genomen,
een schriftelijke verklaring kan overleggen, die vervolgens bij diens gegevens wordt
gevoegd (artikel 77 Wiv 2017). Materieel gezien komt deze voorziening vrijwel geheel
overeen met een correctierecht waarbij discussie wordt voorkomen over de vraag of
een gegeven correct is. De diensten kunnen in een dergelijke discussie immers geen
openheid van zaken geven zonder staatsgeheime informatie te onthullen (zoals bronnen
waaruit het desbetreffende gegeven afkomstig is). Dit laat onverlet dat, indien de
diensten zelf tot de bevinding komen dat een gegeven onjuist is of ten onrechte wordt
verwerkt, zij verplicht zijn dat gegeven te verbeteren onderscheidenlijk te verwijderen
(artikel 20 Wiv 2017).

De Wiv 2017 bevat ook uitzonderingen op grond van artikel 14, derde lid, van het wijzigingsprotocol
(nieuw artikel 11, derde lid), te weten: de bevoegdheid van de toezichthouder tot
interventie als bedoeld in artikel 15, tweede lid, onderdeel a (nieuw), de bevoegdheid
om besluiten te nemen als bedoeld in artikel 15, tweede lid, onderdeel c (nieuw) en
de bevoegdheid om rechtszaken te beginnen als bedoeld in artikel 15, tweede lid, onderdeel
d (nieuw). Ten aanzien van de bevoegdheid tot interventie geldt dat deze bevoegdheid
in de Wiv 2017 wel bestaat, maar geen bindend karakter heeft. De CTIVD kan gedurende
de uitvoering van een bevoegdheid de verantwoordelijke Minister immers gevraagd of
ongevraagd adviseren over een eventuele onrechtmatige uitvoering van een bevoegdheid.
De CTIVD kan de uitvoering weliswaar niet beëindigen, maar de Minister kan de bevindingen
van de CTIVD niet negeren. Omdat geen sprake is van interventie zoals bedoeld in artikel 15,
tweede lid, onderdeel a (nieuw) is hier ten aanzien van de Wiv 2017 sprake van een
uitzondering. Dit ligt anders voor het eerdergenoemde voorstel voor een tijdelijke
wet. Zoals hiervoor is toegelicht bevat het wetvoorstel (op enkele onderdelen) een
regeling voor bindend toezicht door de CTIVD waarbij de CTIVD ook kan bepalen dat
een bevoegdheid moet worden beëindigd of bepaalde gegevens moeten worden verwijderd
en vernietigd. Hiermee is niet alleen sprake van bindend toezicht maar ook van interventie
zoals bedoeld in artikel 15, tweede lid, onderdeel a (nieuw).

Ten aanzien van de evaluatie door de Verdragscommissie op grond van artikel 6, derde
lid, van het wijzigingsprotocol (nieuw artikel 4, derde lid) wordt nog opgemerkt dat
de bijdrage hieraan niet betekent dat een verplichting bestaat om staatsgeheime informatie
aan de Verdragscommissie te verstrekken. In de toelichting bij het protocol wordt
dit ook met zoveel woorden erkend.20

Zoals hiervoor reeds is opgemerkt, rapporteert de CTIVD op grond van de Wiv 2017 over
de werkzaamheden van de diensten en kan zij daarbij aanbevelingen doen waarbij de
keuze om een aanbeveling al dan niet (volledig) over te nemen, bij de verantwoordelijke
Minister ligt. De CTIVD neemt derhalve geen besluiten. Op dit punt is derhalve ook
sprake van een uitzondering. Deze uitzondering geldt niet voor de Tijdelijke wet.
Op grond daarvan kan de CTIVD in bepaalde gevallen bindend oordelen en daar tevens
gevolgen aan verbinden.

De bevoegdheid om rechtszaken te beginnen past niet binnen de taken en bevoegdheden
van de CTIVD op grond van de Wiv 2017. De CTIVD is bovendien geen bestuursorgaan en
bezit geen eigen rechtspersoonlijkheid. De CTIVD kan aanbevelingen doen en gevraagd
en ongevraagd adviezen geven. De bevoegdheid om een aanbeveling of advies rechtens
af te dwingen strookt niet met deze rol. Deze bevoegdheid komt de CTIVD in de Wiv
2017 derhalve niet toe. Op grond van de Tijdelijke wet zijn de oordelen van de CTIVD
in bepaalde gevallen bindend en dient de verantwoordelijke Minister uitvoering te
geven aan een dergelijk oordeel. De bevoegdheid om een aanbeveling of advies rechtens
af te dwingen is in dit geval derhalve niet nodig.

Artikel 14, eerste en derde lid, van het wijzigingsprotocol (nieuw artikel 11, eerste
en derde lid) vereist dat de beperkingen «bij de wet zijn voorzien». Uit de jurisprudentie
van het Europese Hof voor de Rechten van de Mens21 blijkt dat de beperking in de eerste plaats een grondslag moet hebben in het nationale
recht. Met de term «wet» wordt niet noodzakelijkerwijs gedoeld op een wet in formele
zin. Aan de term wordt een materiële betekenis toegekend waarbij doorslaggevend is
of de regel toegankelijk (accessible) en voorzienbaar (foreseeable) is. Aan het toegankelijkheidsvereiste is in ieder geval voldaan als de regel is
gepubliceerd en daadwerkelijk is te raadplegen. De eis van voorzienbaarheid hangt
hiermee nauw samen. Regels moeten voldoende duidelijk zijn, zodat burgers hun gedrag
erop kunnen afstemmen. De Wiv 2017 is een wet in formele zin en voldoet derhalve aan
deze vereisten. De beperkingen moeten voorts een legitiem doel dienen. De beperkingsclausules
bevatten doelcriteria waarin wordt aangegeven in het kader van welke belangen het
grondrecht mag worden beperkt. Ten aanzien van de Wiv 2017 is de bescherming van de
nationale veiligheid het legitieme doel. Tot slot moet worden bezien of een redelijke
verhouding bestaat tussen de beperking en het legitieme doel: de maatregel moet «noodzakelijk
zijn in een democratische samenleving». Met andere woorden, de maatregel dient noodzakelijk
en proportioneel te zijn. De beoordeling van de noodzaak en proportionaliteit van
een maatregel hangt sterk af van de concrete omstandigheden van het geval. De op grond
van artikel 14, eerste lid, van het wijzigingsprotocol gemaakte uitzonderingen houden
verband met de noodzakelijke geheimhouding van de taakuitvoering en gegevensverwerking
van de diensten waar voldoende waarborgen tegenover staan. De uitzonderingen op grond
van het derde lid van artikel 14 van het wijzigingsprotocol houden verband met het
stelsel van toezicht. Deze uitzonderingen zijn zeer beperkt in omvang en doen geen
afbreuk aan het bestaan van onafhankelijk en effectief toezicht. De CTIVD is op grond
van de Wiv 2017 volledig onafhankelijk en rapporteert over de werkzaamheden van de
diensten en kan daarbij aanbevelingen doen. De keuze om een aanbeveling al dan niet
(volledig) over te nemen, ligt bij de verantwoordelijke Minister. Daarbij zij benadrukt
dat de Minister te allen tijde verantwoordelijkheid draagt voor het handelen van de
betrokken dienst. De Minister legt over het opvolgen van aanbevelingen van de CTIVD
verantwoording af aan het parlement, door een reactie op de rapportage van de CTIVD
aan beide Kamers te sturen waarin wordt ingegaan op het al dan niet overnemen van
aanbevelingen. In het enkele geval dat de Minister besluit om een aanbeveling niet
over te nemen, kan het parlement de Minister daarover ter verantwoording roepen. Dit
is een bewezen effectieve manier van toezicht. In paragraaf 5 zal nader worden ingegaan
op de effectiviteit van het toezicht door de CTIVD op grond van de Wiv 2017.

Het derde lid van artikel 15 (nieuw) luidt: «De bevoegde toezichthoudende autoriteiten
worden geraadpleegd over wetgevingsvoorstellen of ontwerpen van bestuursrechtelijke
maatregelen die voorzien in de verwerking van persoonsgegevens». Anders dan in het
tweede lid, waarin taken en bevoegdheden van de toezichthouder zijn opgenomen, schrijft
het nieuwe derde lid van artikel 15 verdragspartijen voor om de toezichthouders te
consulteren over nieuwe wet- en regelgeving waarin het gaat om de verwerking van persoonsgegevens.
Conform het Draaiboek voor de Regelgeving (nr. 18 e.v.) en de Aanwijzingen voor de
Regelgeving (nr. 4.44) is het consulteren van personen en organisaties vanwege hun
betrokkenheid of deskundigheid, waaronder vanzelfsprekend ook de toezichthouders,
op het betreffende onderwerp al sinds jaar en dag beleid en praktijk. Een wijziging
van de Wiv 2017 op dit punt is derhalve niet nodig. In het geval van de Autoriteit
Persoonsgegevens (hierna: de AP) is de adviestaak overigens wel wettelijk vastgelegd,
maar dan op basis van artikel 57, eerste lid, onder c, van de AVG. In deze bepaling
is de adviserende rol van de toezichthouder wel expliciet als taak opgenomen.

5. Advies en consultatie

Advies van de Autoriteit persoonsgegevens

Bij brief van 16 juli 2020 is de AP om advies verzocht over dit wetsvoorstel en de
onderhavige Memorie van Toelichting. Het wetsvoorstel dat ter advisering aan de AP
is voorgelegd strekte uitsluitend tot goedkeuring van het wijzigingsprotocol uit 2018
voor het Europese deel van Nederland. In de toelichting die aan de AP is voorgelegd,
werd daarnaast gemotiveerd waarom er in eerste instantie werd voorgesteld om pas in
een later stadium met behulp van een separaat wetsvoorstel de goedkeuring voor de
Caribische delen van het Koninkrijk te vragen. De AP heeft bij brief van 4 februari
2021 haar advies uitgebracht.22

De AP heeft erop gewezen dat het ter advisering voorgelegde wetsvoorstel uitsluitend
strekte tot goedkeuring voor het Europese deel van Nederland van het wijzigingsprotocol
uit 2018. In reactie daarop heeft de AP aangegeven dat de bescherming van persoonsgegevens
een mensenrecht is dat binnen het gehele Koninkrijk een gelijkwaardige bescherming
verdient. Daarbij heeft de AP eveneens verwezen naar het standpunt van de rijksministerraad
dat het uitgangspunt is dat mensenrechtenverdragen voor het gehele Koninkrijk dienen
te gelden en dat het bovendien niet te verenigen valt met artikel 132a, vierde lid,
van de Grondwet dat een mensenrechtenverdrag wel voor het Europese deel van Nederland
geldt, maar niet voor het Caribische deel van Nederland.23 De goedkeuring voor het gehele Koninkrijk van zowel het verdrag uit 1981 als het
wijzigingsprotocol uit 2018 is volgens de AP daarom een voor de hand liggende mogelijkheid
om tot meer gelijkwaardigheid te komen. Daarnaast heeft de AP gewezen op de beslissing
van het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 om een consensusrijkswet
tot stand te brengen waarin een geharmoniseerd niveau van bescherming van persoonsgegevens,
politiële, justitiële en strafvorderlijke gegevens binnen het Koninkrijk wordt geregeld.
Indien deze consensusrijkswet op alle punten voorziet in de uitvoeringswetgeving die
voor de Caribische delen van het Koninkrijk nodig is, kunnen het verdrag uit 1981
en het wijzigingsprotocol uit 2018 voor deze delen van het Koninkrijk gaan gelden.
De AP heeft daarom geadviseerd om de Memorie van Toelichting ten aanzien van de goedkeuring
voor de Caribische delen van het Koninkrijk te actualiseren en om daarbij in te gaan
op het spoedig adresseren van een geharmoniseerd niveau van bescherming van persoonsgegevens
binnen het Koninkrijk en de goedkeuring van het verdrag c.q. het wijzigingsprotocol
voor het gehele Koninkrijk.

Aan het advies van de AP is gevolg gegeven. Naar aanleiding van de recente ontwikkelingen
in JVO-verband met betrekking tot de versterking en de harmonisatie van het beschermingsniveau
in het Koninkrijk, is besloten om voor Aruba, Curaçao en Sint Maarten de goedkeuring
voor het verdrag uit 1981 te vragen en om voor het gehele Koninkrijk de goedkeuring
voor het wijzigingsprotocol uit 2018 te vragen. Het wetsvoorstel en de onderhavige
toelichting zijn op deze punten aangepast en aangevuld.

Advies van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten

Op 14 juli 2020 is de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten
(hierna: CTIVD) om advies verzocht. Bij brief van 3 september 2020, no 2020/0114,
heeft de CTIVD haar advies uitgebracht waarbij zij aandacht heeft gevraagd voor een
aantal punten. Daarnaast hebben de TIB en de CTIVD op 17 februari 2021 een memo over
het wijzigingsprotocol aan de voorzitter van de Tweede Kamer gezonden. In deze memo
schetsen de TIB en de CTIVD de implicaties die de gewijzigde Conventie volgens de
beide commissies heeft voor het toezicht op de verwerking van persoonsgegevens in
kader van de nationale veiligheid. De memo bevat enkele aanvullende standpunten ten
opzichte van het advies van de CTIVD. Op deze aanvullende standpunten zal hierna ook
worden ingegaan.

De CTIVD meent ten eerste dat het verdrag op artikelniveau behoort te worden nagelopen
om na te gaan of de Wiv 2017 wijziging of aanvulling behoeft. De motivering hiervoor
vraagt eveneens een artikelsgewijze benadering. In algemene zin geldt dat reeds bij
de voorbereiding van en de onderhandelingen over een verdrag aandacht wordt besteed
aan de eventuele gevolgen voor de nationale wetgeving en ook bij de voorbereiding
van de parlementaire goedkeuring wordt onderzocht in hoeverre de naleving door het
Koninkrijk wettelijke voorschriften vereist. Dit resulteert in een goedkeurings- en
eventueel een uitvoeringswet. Zoals in paragraaf 3 is aangegeven noopt het wijzigingsprotocol
voor het Europese deel van Nederland niet tot uitvoeringswetgeving. Ook voor de Wiv
2017 geldt dat aanvullingen of wijzigingen voor de ratificatie niet nodig zijn. De
Wiv 2017 is in lijn met het wijzigingsprotocol en de daarin voorziene mogelijkheden
om ter bescherming van de nationale veiligheid op onderdelen af te wijken.

Voorts heeft de CTIVD de vraag opgeworpen of dataverwerking in de context van nationale
veiligheid en defensie, die niet onder de Wiv 2017 valt maar onder het algemene gegevensbeschermingsrecht,
ook binnen het kader van de Wiv 2017 zou moeten worden gebracht. In de memo van de
TIB en de CTIVD is in dit kader ook aangegeven dat bij de aanwijzing van de toezichthouder
het gehele domein van nationale veiligheid onder de verantwoordelijkheid van de aan
te wijzen toezichthouder(s) zou moeten vallen. Hiertoe bestaat geen enkele noodzaak
of aanleiding. De Wiv 2017 regelt uitsluitend de activiteiten van de inlichtingen-
en veiligheidsdiensten en daarmee samenhangende aspecten in het kader van de nationale
veiligheid.24 Het begrip nationale veiligheid uit de Wiv 2017 is ontleend aan het Europees Verdrag
voor de Rechten van de Mens en volgt de uitleg daarvan door het Europees Hof voor
de Rechten van de Mens. Het begrip nationale veiligheid is ruimer dan het werkterrein
van de diensten. Er zijn ook andere organisaties die een taak hebben in het kader
van de nationale veiligheid, zoals de Nationaal Coördinator Terrorismebestrijding
en Veiligheid (hierna: de NCTV), maar anders dan de diensten hebben deze organisaties
geen taken die exclusief op het terrein van nationale veiligheid liggen. Ook de taakstelling
en het soort onderzoek is wezenlijk anders. De voorschriften en procedures uit de
Wiv 2017, ook ten aanzien van het toezicht, zijn juist toegespitst op de veelal heimelijke
taakuitvoering van de diensten in het kader van nationale veiligheid en de noodzakelijke
beperkingen die daaruit voortvloeien. Dit is bij andere organisaties, ook al hebben
zij (mede) een taak in het kader van de nationale veiligheid, in veel mindere mate
aan de orde. Het algemene gegevensbeschermingsrecht, dat overigens ook ruimte biedt
voor uitzonderingen ten behoeve van nationale veiligheid, volstaat in die gevallen.
Het toezicht op de toepassing van het algemene gegevensbeschermingsrecht door die
andere organisaties berust bij de AP en ook dat volstaat. Dit is uitdrukkelijk het
geval voor de dataverwerking door de NCTV.

De NCTV heeft tot taak het verhogen van de weerbaarheid ten aanzien van terrorismebestrijding
en de bescherming van de nationale veiligheid, door het versterken van de weerbaarheid
van de samenleving, het voorkomen van maatschappelijke ontwrichting en het beschermen
van vitale belangen van de samenleving. Bij het uitvoeren van deze taak kan het voorkomen
dat persoonsgegevens worden verwerkt. Voorop staat dat het geen taak is van de NCTV
om onderzoek te doen naar personen of organisaties die mogelijk een dreiging voor
de nationale veiligheid kunnen vormen. Dergelijk onderzoek is voorbehouden aan de
inlichtingen- en veiligheidsdiensten, die daartoe beschikken over wettelijk geregelde
bevoegdheden, en aan de politie en het Openbaar Ministerie, die daartoe beschikken
over opsporingsbevoegdheden.

De NCTV signaleert, analyseert en duidt trends en fenomenen. Bij dergelijke analyses
kan informatie over personen die gekoppeld zijn aan fenomenen of die als actoren trends
bepalen of beïnvloeden, onontbeerlijk zijn voor een gedegen analyse. De NCTV is verder
genoodzaakt veel informatie, waaronder persoonsgegevens uit casuïstiek, te verwerken
om invulling te geven aan zijn coördinerende rol op het terrein van de nationale veiligheid
en terrorismebestrijding. De informatie voor deze coördinerende rol wordt niet door
de NCTV verzameld, maar verkregen via een van de samenwerkingspartners.

Uit de Memorie van Toelichting van de UAVG volgt dat de AVG «van toepassing is op
verwerkingen van persoonsgegevens door andere bestuursorganen (dan de inlichtingen-
en veiligheidsdiensten) in het belang van (of mede in het belang van) de nationale
veiligheid, zoals verwerkingen in het kader van de uitoefening van taken en bevoegdheden
door de Minister van Justitie en Veiligheid in het belang van de nationale veiligheid
(bijv. terrorismebestrijding)».25 Verwerkingen van persoonsgegevens door de NCTV in de context van de nationale veiligheid
vallen daarmee onder het algemene gegevensbeschermingsrecht met zoals gezegd de AP
als toezichthouder.

De CTIVD signaleert ook dat de toepassing van artikel 14 van het wijzigingsprotocol
(artikel 11 nieuw) meebrengt dat op het niveau van de specifieke uitzondering en beperking
gemotiveerd moet worden aangegeven dat deze uitzondering constitutes a necessary and proportionate measure in a democratie society waarbij geen afbreuk mag worden gedaan aan de waarborgen van onafhankelijk en effectief
toezicht. De voorwaarden voor toepassing van artikel 14 van het wijzigingsprotocol
(artikel 11 nieuw) zijn in paragraaf 4 reeds toegelicht.

De CTIVD is tevens van mening dat de Wiv 2017 niet voldoet aan het vereiste uit artikel 14,
derde lid, van het wijzigingsprotocol (nieuw artikel 11, derde lid) dat er bij toepassing
van de uitzonderingen sprake moet zijn van effectief toezicht. Effectief toezicht
impliceert volgens de CTIVD doorzettingsmacht (bindende oordelen) tenminste voor de
nadere verwerking/analyse van gegevens(sets). Doorzettingsmacht impliceert volgens
de CTIVD ook dat het toezicht de verwerking van gegevens kan beperken/beëindigen en
kan besluiten dat gegevens vernietigd behoren te worden. De CTIVD wijst in dit verband
ook op artikel 19, negende lid, van het wijzigingsprotocol (artikel 15, negende lid,
nieuw) waaruit volgt dat tegen besluiten van een toezichthouder beroep bij een rechter
mogelijk moet zijn. Anders dan de CTIVD stelt, zijn bindende oordelen geen voorwaarde
of vereiste voor effectief toezicht en is het stelsel van toezicht op de diensten
als geheel wel degelijk effectief.26 De CTIVD rapporteert over de werkzaamheden van de diensten en kan daarbij aanbevelingen
doen. De keuze om een aanbeveling al dan niet (volledig) over te nemen, ligt bij de
verantwoordelijke Minister. Daarbij zij benadrukt dat de Minister te allen tijde verantwoordelijkheid
draagt voor het handelen van de betrokken dienst. De Minister legt over het opvolgen
van aanbevelingen van de CTIVD verantwoording af aan het parlement, door een reactie
op de rapportage van de CTIVD aan beide Kamers te sturen waarin wordt ingegaan op
het al dan niet overnemen van aanbevelingen. In het enkele geval dat de Minister besluit
om een aanbeveling niet over te nemen, kan het parlement de Minister daarover ter
verantwoording roepen.

De Evaluatiecommissie Wet op de inlichtingen- en veiligheidsdiensten 2017 heeft geconcludeerd
dat deze vorm van toezicht door de CTIVD bijzonder effectief is en in haar huidige
vorm kan blijven bestaan.27 Daarnaast heeft ook de Raad van State in haar advies aangegeven dat het Europese
Hof voor de Rechten van de Mens (EHRM) in aanmerking neemt of het stelsel als geheel
waarborgen bevat die in hun onderlinge samenhang adequate en effectieve garanties
bieden tegen willekeur en het risico van misbruik. Op dit punt ziet de Afdeling dan
ook geen noodzaak de bestaande regelgeving naar aanleiding van Conventie 108+ aan
te passen.28 Het EHRM merkt in haar recente uitspraak inzake de Big Brother Watch-zaak tegen het
Verenigd Koninkrijk inzake het toezicht door de IC commissioner ook op dat deze independent and effective supervision uitoefent; de IC commissioner beschikt niet over de bevoegdheid bindende oordelen te geven maar kan wel aanbevelingen
doen (zoals de CTIVD).29 Daarom is niet voorzien in de algemene bevoegdheid tot interventie, evenmin in de
algemene bevoegdheid tot het nemen van besluiten. Nu niet is voorzien in deze laatste
bevoegdheid, is artikel 15, negende lid (nieuw) op grond waarvan beroep bij de rechter
tegen een besluit van een toezichthouder mogelijk gemaakt zou kunnen worden (may be subject to appeal), ook niet aan de orde. Zoals hiervoor reeds is opgemerkt, wordt in de Tijdelijke
wet een andere keuze gemaakt teneinde een oplossing te bieden voor enkele zeer specifieke
operationele knelpunten waarbij de waarborgen op hetzelfde niveau blijven. Dit laat
onverlet dat het huidige stelsel van toetsing en toezicht op grond van de Wiv 2017
als effectief kan worden aangemerkt.

Tot slot merkt de CTIVD op dat de bepalingen ten aanzien van internationale samenwerking
tussen toezichthouders op inlichtingen- en veiligheidsdiensten in de Wiv 2017 moeten
worden opgenomen. Zoals nu reeds het geval is, kan de CTIVD samenwerken met gespecialiseerde
buitenlandse toezichthouders op het terrein van inlichtingen- en veiligheidsdiensten.
Het uitwisselen van operationele en staatsgeheime gegevens is echter uitgesloten.
Een buitenlandse toezichthouder is immers niet bevoegd om kennis te nemen van deze
informatie. Informatie-uitwisseling tussen toezichthouders valt bovendien buiten de
reikwijdte van de ministeriële verantwoordelijkheid die de Minister van BZK en Defensie
hebben voor de samenwerking van de AIVD respectievelijk de MIVD met buitenlandse diensten
en de uitwisseling van staatsgeheime gegevens in dat kader.

In de memo wijzen de TIB en de CTIVD op het feit dat het gewijzigde verdrag op grond
van artikel 17, tweede lid, onder 5, van het wijzigingsprotocol (nieuw artikel 14,
vijfde lid) verplicht tot het verstrekken van alle relevante gegevens met betrekking
tot de uitwisseling van persoonsgegevens als bedoeld in het derde lid, onderdeel b,
en het vierde lid, onderdelen b en c van artikel 17 van het wijzigingsprotocol (nieuw
artikel 14). Op grond van artikel 107 van de Wiv 2017 bestaat voor de diensten reeds
de verplichting om de CTIVD alle inlichtingen te verstrekken en alle overige medewerking
te verlenen die zij voor een goede uitoefening van haar taak noodzakelijk acht. Anders
dan de CTIVD en de TIB stellen, bevat deze bepaling echter geen verplichting om de
toezichthouder de bevoegdheid te geven internationale gegevensuitwisseling op te schorten,
te verbieden of aan voorwaarden te onderwerpen. Het zesde lid van artikel 17 van het
wijzigingsprotocol (nieuw artikel 14, zesde lid) bevat een «kan-bepaling» («the supervisory authority may, in order to protect the rights and fundamental freedoms
of data subjects, prohibit such transfers, suspend them or subject them to condition»). Nu de Wiv 2017 hierin niet voorziet, is sprake van een uitzondering zoals bedoeld
in artikel 14, derde lid van het wijzigingsprotocol (artikel 11, derde lid, nieuw)

Tot slot verwijzen de TIB en de CTIVD in de memo specifiek naar artikel 22, derde
lid, van het wijzigingsprotocol (artikel 17, derde lid, nieuw) op grond waarvan de
toezichthouders een netwerk vormen voor onderlinge samenwerking ten behoeve van de
uitvoering van hun taken. De CTIVD werkt al veelvuldig samen met andere Europese (gespecialiseerde)
toezichthouders die bevoegd zijn voor inlichtingen- en veiligheidsdiensten en heeft
daarbij een voortrekkersrol. De activiteiten die de CTIVD verricht ter bevordering
van internationaal toezicht vinden plaats binnen de grenzen van de Wiv 2017. Er is
geen aanleiding om de Wiv 2017 op dit punt aan te passen.

6. Een ieder verbindende bepalingen

Naar het oordeel van de regering bevat het wijzigingsprotocol enkele een ieder verbindende
bepalingen in de zin van de artikelen 93 en 94 van de Grondwet, die aan rechtssubjecten
rechtstreeks rechten toekennen of plichten opleggen.

Het betreft allereerst artikel 7, tweede lid, onder 1, 2 en 4 van het wijzigingsprotocol
(gewijzigd artikel 5, eerste, derde en vierde lid) over de rechtmatigheid van de gegevensverwerking
en de kwaliteit van de gegevens. Wanneer aan de daarin vervatte beginselen van rechtmatigheid,
behoorlijkheid, transparantie, doelbinding, opslagbeperking en juistheid niet wordt
voldaan, kan het datasubject zich rechtstreeks tot de rechter wenden. Daarnaast betreft
het artikel 8 (gewijzigd artikel 6). Dit artikel, waaraan een ieder rechtstreeks rechten
kan ontlenen, ziet op de bescherming van bijzondere categorieën van persoonsgegevens
bij gegevensverwerking. Verder betreft het artikel 10 (nieuw artikel 8) over de plicht
van verdragspartijen om erin te voorzien dat houders betrokkenen onvoorwaardelijk
inlichten over de verwerking van hun gegevens. Ook betreft het artikel 11, tweede
lid (nieuw artikel 9) over de rechten van de betrokkene die onvoorwaardelijk aan een
ieder worden toegekend en in het verlengde daarvan, de bepalingen in artikel 23, tweede
lid (nieuw artikel 18) over de aan betrokkene te verlenen bijstand bij de uitoefening
van zijn of haar rechten uit hoofde van artikel 11 (nieuw artikel 9).

B. ARTIKELSGEWIJZE TOELICHTING

Het verdrag uit 1981

De wijzigingen die door het wijzigingsprotocol uit 2018 zullen worden aangebracht
zijn dermate substantieel dat er materieel gezien in feite een vrijwel geheel nieuw
verdrag zal ontstaan. Van het huidige verdrag blijven slechts enkele bepalingen behouden.
Het gaat om artikel 11 (nieuw artikel 13), artikel 17 (nieuw artikel 21), tweede en
derde lid, om enkele bepalingen die betrekking hebben op de door het verdrag ingestelde
commissie – namelijk artikel 18 (nieuw artikel 22), eerste en tweede lid, en artikel 19
(nieuw artikel 23), onderdelen a tot en met c, en om een aantal slotbepalingen. Deze
bepalingen zijn aan het eind van de jaren ’80 reeds toegelicht in het kader van de
goedkeuring van het verdrag voor Nederland en behoeven in dit verband geen nieuwe
of nadere toelichting.30

Het wijzigingsprotocol uit 2018

Het wijzigingsprotocol bestaat uit 40 artikelen en een Aanhangsel. De eerste 35 artikelen
brengen wijzigingen aan in Conventie 108, de laatste 5 artikelen hebben betrekking
op het wijzigingsprotocol zelf en op de Wijzigingen uit 1999 en het Aanvullend Protocol
uit 2001. In het Aanhangsel zijn tot slot enkele elementen voor het reglement van
orde van de Verdragscommissie neergelegd. Met betrekking tot de eerste 35 artikelen
wordt in deze Memorie van Toelichting uitsluitend ingegaan op de inhoudelijke wijzigingen
die in Conventie 108 worden aangebracht. De louter verdragstechnische wijzigingen,
die bijvoorbeeld betrekking hebben op het vernummeren van de artikelen of op het aanpassen
van de titels van de hoofdstukken, zijn niet afzonderlijk toegelicht.31

Artikel 1

Artikel 1 wijzigt de preambule van het verdrag. De nieuwe preambule benoemt expliciet
de relatie tussen menselijke waardigheid, autonomie en het belang van gegevensbescherming.
Ook wordt de maatschappelijke rol van het recht op gegevensbescherming benadrukt.
De preambule benadrukt verder dat het recht op gegevensbescherming verzoend dient
te worden met andere mensenrechten, in het bijzonder de vrijheid van meningsuiting
(vgl. art. 85 AVG). Verder stelt de gewijzigde preambule buiten twijfel dat het verdrag
de ruimte biedt om bij de implementatie van dit verdrag rekening te houden met het
beginsel van openbaarheid van bestuur. De nieuwe preambule benadrukt tot slot het
internationale karakter van het verdrag en de rol van dit verdrag in het wereldwijd
bevorderen van een hoog niveau van gegevensbescherming, waardoor tegelijk ook een
bijdrage wordt geleverd aan het vrije verkeer van informatie tussen volkeren.

Artikel 2

Artikel 2 wijzigt artikel 1 van het Verdrag, waarin het doel van het Verdrag tot uitdrukking
wordt gebracht. Door de wijziging wordt benadrukt dat het verdrag tot doel heeft om
bescherming te bieden aan elk individu, ongeacht zijn of haar nationaliteit of woonplaats,
met betrekking tot de verwerking van zijn of haar persoonsgegevens en om aldus bij
te dragen aan de eerbiediging van de mensenrechten en fundamentele vrijheden, waaronder
in het bijzonder het recht op persoonlijke levenssfeer.

Artikel 3

Artikel 3 wijzigt de definities die zijn neergelegd in artikel 2 van het Verdrag en
voegt daar tevens twee nieuwe definities aan toe. Door deze wijzigingen wordt Conventie 108
meer in lijn gebracht met het huidige gegevensbeschermingsrecht van de EU. Zo worden
de termen «verwerkingsverantwoordelijke» en «verwerker» – termen die ook in de AVG
worden gebruikt – toegevoegd en wordt het begrip «gegevensverwerking» uitgebreid naar
elke handeling of set handelingen die op persoonsgegevens kan worden uitgevoerd, waar
het oorspronkelijke verdrag uitsluitend van toepassing was op het geautomatiseerd
verwerken van gegevens.

Artikel 4

Artikel 4 wijzigt de in artikel 3 van het verdrag neergelegde regeling inzake de materiële
werkingssfeer van het verdrag. Op basis van het nieuwe eerste lid verbinden de verdragspartijen
zich ertoe om het

verdrag toe te passen op de gegevensverwerking in de publieke en de private sector
die onder hun rechtsmacht («jurisdiction») valt. In het huidige tweede lid van artikel 3 wordt de verdragspartijen nog de mogelijkheid
geboden om door middel van een aan de Secretaris-Generaal van de Raad van Europa gerichte
verklaring de werkingssfeer van het verdrag te hunnen aanzien in te perken of uit
te breiden.32 Deze mogelijkheid wordt door het wijzigingsprotocol geschrapt en de materiële werkingssfeer
van het gewijzigde verdrag wordt daardoor voor alle verdragspartijen gelijkgetrokken.
De verklaringen die overeenkomstig het huidige artikel 3 van het Verdrag zijn afgelegd,
zullen ingevolge artikel 38 van het wijzigingsprotocol dan ook komen te vervallen
vanaf de datum van de inwerkingtreding van het protocol. In het nieuwe tweede lid
van artikel 3 wordt vervolgens, net als in de AVG, aangegeven dat het verdrag niet
van toepassing is op de verwerking van gegevens die wordt uitgevoerd in het kader
van zuiver persoonlijke of huishoudelijke activiteiten.

Artikel 6

Artikel 6 wijzigt artikel 4 van het verdrag, dat betrekking heeft op de verplichting
van de verdragspartijen om in hun nationale recht tijdig de noodzakelijke uitvoeringsmaatregelen
te treffen. De implementatie van het verdrag kan ook geschieden door middel van bestaande
wetgeving en internationale verdragen die toepasselijk zijn in de nationale rechtsorde.
Onder dit laatste moet blijkens het Explanatory Report ook het relevante EU-recht worden begrepen (zoals de AVG en Richtlijn 2016/680).
Nieuw is de bepaling in het derde lid, waarin de verdragspartijen zich niet alleen
verbinden om het de Verdragscommissie mogelijk te maken om hun nationale uitvoeringsmaatregelen
te evalueren, maar waarin zij zich ook verbinden om aan een dergelijk evaluatieproces
een actieve bijdrage te leveren.

Artikel 7

Artikel 7 wijzigt artikel 5 van het verdrag en brengt de daarin vervatte beginselen
van behoorlijke gegevensverwerking meer in lijn met het gegevensbeschermingsrecht
van de EU. De verdragspartijen zijn verplicht de in artikel 5 vervatte beginselen
te implementeren in hun nationale recht (zie hiervoor artikel 6). Zoals in het algemeen
deel van de toelichting al aan bod is gekomen, biedt het verdrag de verdragspartijen
daarbij een zekere mate van flexibiliteit.

Het eerste lid schrijft voor dat iedere gegevensverwerking in een proportionele verhouding
dient te staan tot het daarmee te dienen legitieme doel, met inachtneming van de daarbij
betrokken belangen, rechten en vrijheden van het datasubject of het algemeen belang.
Volgens het Explanatory Report mag de gegevensverwerking niet leiden tot een disproportionele inbreuk op deze belangen,
rechten en vrijheden. Het proportionaliteitsbeginsel moet verder gedurende alle stadia
van de gegevensverwerking in acht worden genomen, met inbegrip van het beginstadium,
waarin de keuze wordt gemaakt om al dan niet persoonsgegevens te verwerken.

Het tweede lid schuift de vrije en geïnformeerde toestemming van de betrokkene naar
voren als de voornaamste grondslag voor de verwerking van persoonsgegevens. Net als
in de AVG, dient de toestemming te worden gegeven door middel van een duidelijke actieve
handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen,
of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek,
geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.
De verwerking kan daarnaast ook op een andere legitieme, bij wet voorziene grondslag
berusten. Het Explanatory Report verduidelijkt dat onder meer sprake is van een andere legitieme verwerkingsgrondslag
als de verwerking noodzakelijk is voor de uitvoering van een contract, om te voldoen
aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, om de
vitale belangen van de betrokkene of een andere persoon te beschermen, voor de vervulling
van een taak van algemeen belang of de behartiging van de gerechtvaardigde belangen
van de verwerkingsverantwoordelijke of een derde (vgl. art. 6 AVG).

Het derde en vierde lid bevatten de overige beginselen waaraan de verwerking moet
voldoen. Deze beginselen komen goeddeels overeen met de in artikel 5 AVG opgenomen
beginselen van rechtmatigheid, behoorlijkheid en transparantie, doelbinding, opslagbeperking
en juistheid. Een meer uitgebreide bespreking van de in het derde en vierde lid opgenomen
beginselen is terug te vinden in de paragrafen 48 tot en met 54 van het Explanatory Report.

Artikel 8

Artikel 8 vervangt het huidige artikel 6 van het verdrag, dat ziet op de bescherming
van bijzondere categorieën van persoonsgegevens. Het huidige artikel 6 verstaat hieronder
gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke
overtuigingen blijken. Daarnaast kan het gaan om gezondheidsgegevens, gegevens over
iemands seksuele oriëntatie en justitiële gegevens. Vanwege hun gevoelige karakter,
mogen dit soort bijzondere persoonsgegevens alleen worden verwerkt indien het recht
van de verdragspartijen in passende waarborgen voorziet.

Het nieuwe artikel 8 brengt de in het verdrag erkende bijzondere categorieën van persoonsgegevens
meer in lijn met het gegevensbeschermingsrecht van de EU. Net als in artikel 9 AVG,
beschermt het nieuwe artikel 8 ook gegevens waaruit het lidmaatschap van een vakbond
blijkt. Nieuw is verder dat ook genetische en biometrische data als bijzondere categorieën
van persoonsgegevens worden aangemerkt. Bijzondere persoonsgegevens mogen op grond
van artikel 8, eerste lid, alleen worden verwerkt, indien het recht van de verdragspartijen
in passende waarborgen voorziet, die de waarborgen uit het Verdrag aanvullen. Nieuw
is dat het tweede lid van artikel 8 expliciteert dat deze waarborgen bescherming dienen
te bieden tegen de risico’s die de verwerking van gevoelige gegevens kan inhouden
voor de belangen, rechten en fundamentele vrijheden van het datasubject, waaronder
in het bijzonder het risico van discriminatie.

Artikel 9

Artikel 9 vervangt het huidige artikel 7 van het verdrag dat betrekking heeft op de
beveiliging van persoonsgegevens. Het nieuwe artikel verduidelijkt dat het recht van
de verdragspartijen dient te bepalen dat de verwerkingsverantwoordelijke en de verwerker
passende beveiligingsmaatregelen dienen te treffen. Daarnaast wordt in het tweede
lid een bepaling toegevoegd die betrekking heeft op het bij de bevoegde nationale
autoriteit melden van datalekken die een ernstige inbreuk kunnen vormen op de rechten
en fundamentele vrijheden van de betrokkenen (vgl. art. 33 AVG).

Artikel 10

Artikel 10 voegt een nieuw artikel 8 toe dat betrekking heeft op de transparantie
van de verwerking. Het artikel vormt een specifieke uitwerking van het in het nieuwe
artikel 5 opgenomen beginsel van transparantie. Teneinde de transparantie van de verwerking
te vergroten, dienen de verdragspartijen ingevolge het eerste lid te bepalen dat de
verwerkingsverantwoordelijke de datasubjecten dient in te lichten over onder andere
de categorieën persoonsgegevens die worden verwerkt, de rechtsgrondslag en het doel
van de voorgenomen verwerking en de middelen die de datasubjecten ter beschikking
staan om hun rechten uit te oefenen. In het tweede en derde lid worden vervolgens
enkele uitzonderingen op deze inlichtingenplicht geformuleerd. Zo hoeft de verwerkingsverantwoordelijke
geen informatie te verschaffen waarover het datasubject al beschikt, of in het geval
de data niet van de betrokkene maar een derde partij is verkregen, waarbij deze laatste
verwerking expliciet wettelijk is voorgeschreven (vgl. art. 13 en 14 AVG).

Artikel 11

Artikel 11 vervangt artikel 8 van het verdrag door een nieuw artikel 9. Dit artikel
bevat een nieuwe regeling inzake de rechten van het datasubject, die meer in lijn
is met het gegevensbeschermingsrecht van de EU. De nieuwe regeling in artikel 9 is
in lijn met de meer gedetailleerde regeling over de rechten van het datasubject in
hoofdstuk III van de AVG. Zo wordt allereerst bepaald dat eenieder het recht heeft
om niet onderworpen te worden aan een besluit dat hem of haar in belangrijke mate
raakt en dat uitsluitend op een geautomatiseerde verwerking van gegevens berust, zonder
dat met zijn of haar opvattingen rekening wordt gehouden. Ingevolge het tweede lid
is dit recht niet van toepassing, indien een wet de verwerkingsverantwoordelijke de
bevoegdheid toekent het geautomatiseerde besluit te nemen en deze wet in passende
waarborgen voorziet ter bescherming van de rechten, vrijheden en gerechtvaardigde
belangen van het datasubject. Daarnaast is het inzageverzoek dat een datasubject kan
doen, uitgebreid met de mogelijkheid kennis te nemen van de redenering die ten grondslag
ligt aan de verwerking, is het recht op bijstand van een toezichthoudende autoriteit
toegevoegd en heeft het datasubject voortaan het recht om bezwaar aan te tekenen tegen
verwerkingen en het recht om gegevens te doen verbeteren of te doen uitwissen. Tevens
wordt, onder verwijzing naar artikel 12, voorzien in rechtsmiddelen en sancties wanneer
de rechten op grond van het verdrag zijn geschonden.

Artikel 12

Artikel 12 voegt een nieuw artikel 10 aan het verdrag toe, waarin enkele bijkomende
verplichtingen van de verwerkingsverantwoordelijke en de verwerker worden vastgelegd.
Ingevolge het eerste lid moeten de verwerkingsverantwoordelijke en de verwerker aan
de toezichthouder kunnen demonstreren dat zij bij het verwerken van persoonsgegevens
de bepalingen uit het verdrag naleven (vgl. art. 5, tweede lid, AVG). Het tweede lid
introduceert een verplichting voor de verwerkingsverantwoordelijke om, voorafgaand
aan het starten van de verwerking, een gegevensbeschermingseffectbeoordeling uit te
voeren (vgl. art. 35 AVG). Volgens het Explanatory Report kan de in artikel 10 voorgeschreven beoordeling zonder excessieve formaliteiten worden
uitgevoerd. Het derde lid verankert de beginselen van «privacy by design» en «privacy by default». Deze beginselen houden, kort gezegd, in dat de verwerkingsverantwoordelijke en de
verwerker in een zo vroeg mogelijk stadium, idealiter bij het ontwerp van het geautomatiseerde
systeem, al rekening houden met de toepasselijke eisen in verband met de bescherming
van persoonsgegevens (vgl. art. 25 AVG).

Artikel 14

Artikel 14 vervangt artikel 9 van het verdrag (nieuw artikel 11) en geeft een limitatieve
opsomming van de uitzonderingen die door de verdragspartijen mogen worden gemaakt
op de materiële bepalingen van het verdrag. Deze uitzonderingen worden door het verdrag
verbonden aan nader gespecificeerde doeleinden. Zo mogen er bijvoorbeeld uitzonderingen
worden gemaakt ten behoeve van de bescherming van andere fundamentele rechten of vrijheden
(met name de vrijheid van meningsuiting) of van zwaarwegende belangen of staatsaangelegenheden
zoals opsporing, nationale veiligheid en defensie, mits de uitzondering bij wet is
voorzien, de essentie van de fundamentele rechten en vrijheden eerbiedigt en noodzakelijk
en proportioneel is in een democratische samenleving. De uitzonderingen zijn toegestaan
ten aanzien van de eisen die worden gesteld aan een behoorlijke gegevensverwerking,
zoals de eisen van transparantie, doelbinding en dataminimalisatie (nieuw artikel 5,
vierde lid), de meldplicht datalekken (nieuw artikel 7, tweede lid), de plicht om
aan een datasubject informatie te verstrekken over de verwerking van persoonsgegevens
(nieuw artikel 8, eerste lid) en de rechten van het datasubject (nieuw artikel 9).
Voor doelen als archivering, onderzoek en statistiek staat het gewijzigde verdrag
ook uitzonderingen toe op de transparantieverplichtingen uit het nieuwe artikel 8
en de rechten van het datasubject uit het nieuwe artikel 9.

Voor activiteiten op het vlak van de nationale veiligheid en de defensie kunnen de
verdragspartijen daarnaast nog aanvullende uitzonderingen maken, mits deze uitzonderingen
bij wet zijn voorzien en voor zover de getroffen maatregelen in een democratische
samenleving noodzakelijk en evenredig zijn om een dergelijk doel te bereiken. Deze
uitzonderingsmogelijkheden zien op de mogelijkheid dat de Verdragscommissie evaluaties
verricht (nieuw artikel 4, derde lid), op de bepalingen die verplichten de doorgiften
van data aan derde landen te melden en door een onafhankelijk toezichthouder te laten
beoordelen (nieuw artikel 14, vijfde en zesde lid), en op de bevoegdheden van de nationale
toezichthouder die worden genoemd in het nieuwe artikel 15, tweede lid, onder a, b,
c en d. Deze uitzonderingsmogelijkheden doen echter geen afbreuk aan de eis dat verwerkingsactiviteiten
voor nationale veiligheids- en defensiedoeleinden onderworpen dienen te zijn aan onafhankelijk
en effectief toezicht op grond van nationale wetgeving. De uitzonderingen op grond
van dit artikel in het belang van de nationale veiligheid zijn toegelicht in paragraaf 4.

Artikel 15

Artikel 15 wijzigt artikel 10 van het verdrag (nieuw artikel 12) dat betrekking heeft
op de verplichting van de verdragspartijen om te voorzien in sancties en rechtsbescherming
ingeval van niet-naleving van de bepalingen van het verdrag. Volgens het Explanatory Report is het aan de verdragspartijen om te bepalen wat de aard van de sancties is (civielrechtelijk,
bestuursrechtelijk of strafrechtelijk) en of deze sancties gerechtelijk of buitengerechtelijk
zijn. De sancties moeten wel effectief, proportioneel en ontmoedigend zijn. Hetzelfde
geldt voor de rechtsmiddelen. Datasubjecten moeten daarnaast over effectieve rechtsmiddelen
beschikken, maar het is aan de verdragspartijen om de precieze modaliteiten van deze
rechtsmiddelen te bepalen. In Nederland is in de UAVG een regeling getroffen ten aanzien
van de sanctiebevoegdheden van de AP en ten aanzien van de mogelijkheid om beslissingen
van bestuursorganen en niet-bestuursorganen inzake de verwerking van persoonsgegevens
bij de bestuursrechter of de burgerlijke rechter aan te vechten.

Artikel 17

Artikel 17 vervangt artikel 12 van het verdrag (nieuw artikel 14) en voorziet in een
regeling voor de doorgifte van gegevens naar andere landen. Met behulp van dit artikel
worden de inhoudelijke bepalingen uit het Aanvullend Protocol uit 2001 inzake de doorgifte
van gegevens naar landen of internationale organisaties die geen partij zijn bij Conventie 108
in het gewijzigde verdrag geïntegreerd. Het artikel maakt daarbij een onderscheid
tussen doorgiften naar andere verdragspartijen en doorgiften naar niet-verdragspartijen.

Het eerste lid ziet op gegevensstromen tussen verdragspartijen en bepaalt dat een
verdragspartij niet, uitsluitend met het oog op de bescherming van persoonsgegevens,
de doorgifte van dergelijke gegevens aan een ontvanger die onder de rechtsmacht van
een andere verdragspartij valt, mag verbieden of aan een bijzondere machtiging mag
onderwerpen. De ratio achter deze bepaling is dat alle verdragspartijen zich gebonden
hebben aan gemeenschappelijke basisnormen van het gegevensbeschermingsrecht, waardoor
in beginsel een vrij verkeer van persoonsgegevens mogelijk wordt tussen de verdragspartijen.
Er kunnen echter uitzonderlijke omstandigheden zijn waarin er een reëel en ernstig
risico bestaat dat de overdracht aan een andere verdragspartij, of van die andere
verdragspartij aan een niet-verdragspartij, zou leiden tot ontduiking van de bepalingen
van het verdrag. In dat geval is een uitzondering op het verbod uit het eerste lid
mogelijk. Daarnaast is in de tweede volzin voorzien in een uitzondering op dit verbod
voor verdragspartijen die gebonden zijn aan geharmoniseerde beschermingsregels die
worden gedeeld door staten die lid zijn van een regionale internationale organisatie
zoals de EU.

Het tweede lid ziet op gegevensstromen naar andere landen dan verdragspartijen (derde
landen). Vergelijkbaar met het gegevensbeschermingsrecht van de EU, zijn deze doorgiften
alleen onder bepaalde voorwaarden toegestaan: de persoonsgegevens zijn voldoende beschermd,
afgaande op de wetgeving in het land of de internationale organisatie, of op basis
van toegestane vooraf vastgestelde waarborgen in een juridisch bindend en handhaafbaar
instrument. Daarnaast kan de doorgifte toegestaan zijn als er toestemming is van het
datasubject, als dat in zijn belang is, belangrijke (bijvoorbeeld algemene) belangen
dat nodig maken (mits proportioneel en noodzakelijk), of doorgifte noodzakelijk is
voor de vrijheid van meningsuiting. De nationale toezichthouder moet op de hoogte
gesteld worden van doorgiften die plaatsvinden op basis van een juridisch bindend
en handhaafbaar instrument waarin waarborgen zijn opgenomen, en over doorgiftes die
plaatsvinden in het belang van het datasubject of op basis van overstijgende belangen,
zoals openbare belangen. De toezichthouder mag de partij die data doorgeeft dan verzoeken
de effectiviteit van de waarborgen of het bestaan van overstijgende belangen te demonsteren,
en deze doorgiftes verbieden of aan beperkingen onderwerpen, om de rechten en fundamentele
vrijheden van datasubjecten te beschermen.

Artikel 19

Door artikel 19 wordt een nieuw artikel 15 aan het verdrag toegevoegd, waarbij aan
de verdragspartijen de verplichting wordt opgelegd om te voorzien in een of meer toezichthouders
die toezien op de naleving van de bepalingen van het verdrag. Waar voorheen de nadruk
lag op de samenwerking tussen de verdragspartijen en hen met name gevraagd werd een
toezichthouder aan te wijzen, wordt nu ook bepaald welke taken en bevoegdheden die
toezichthouders moeten hebben, zoals de mogelijkheid om onderzoek te doen, interventies
te plegen, sancties op te leggen, zaken aan te spannen, bewustwording te creëren over
dataprotectie en het adviseren over wetgeving die aan dataprotectie raakt. Daarnaast
wordt bepaald dat de toezichthouder onafhankelijk moet zijn, recht heeft op middelen
van de staat en dat beroep bij de rechter tegen een besluit van de toezichthouder
mogelijk gemaakt kan worden. In het Europese deel van Nederland is de AP aangewezen
als onafhankelijke toezichthouder, belast met het toezicht op de wettelijke regels
voor de bescherming van persoonsgegevens. De oprichting, inrichting, taken en bevoegdheden
van de AP zijn geregeld in de UAVG.

Artikel 21

Artikel 21 vervangt artikel 13 van het verdrag (nieuw artikel 16) en bepaalt dat de
verdragspartijen met elkaar zijn overeengekomen om samen te werken en elkaar wederzijdse
ondersteuning verlenen bij de implementatie van het verdrag, waarbij zij in dat kader
een of meer toezichthoudende autoriteiten in de zin van artikel 15 aanwijzen, waarvan
ze de naam en het adres doorgeven aan de Secretaris-Generaal van de Raad van Europa.

Artikel 22

Artikel 22 voegt een nieuw artikel 17 aan het verdrag toe, waarin wordt bepaald welke
vormen van samenwerking er tussen de toezichthoudende autoriteiten dienen te zijn
met het oog op de uitoefening van hun taken en de uitoefening van hun bevoegdheden.
Zo moet er in het bijzonder informatie uitgewisseld worden, wederzijdse assistentie
plaatsvinden en onderzoek en interventies worden gecoördineerd. Tevens dienen ze in
het kader van deze samenwerking een netwerk te vormen.

Artikel 23

Artikel 23 vervangt artikel 14 van het verdrag (nieuw artikel 18), waarin bepalingen
zijn opgenomen die strekken tot het verlenen van bijstand aan datasubjecten. Zo moeten
de verdragspartijen ieder datasubject bijstaan bij het uitoefenen van zijn of haar
rechten op basis van het verdrag, een en ander ongeacht nationaliteit of woonplaats.
Indien de betrokkene zich op het grondgebied bevindt van een andere verdragspartij
moet deze zijn of haar verzoek voor bijstand bij de andere verdragspartij kunnen indienen
door tussenkomst van de toezichthouder die door de desbetreffende verdragspartij is
aangewezen.

Artikel 24

Artikel 24 vervangt artikel 15 van het verdrag (nieuw artikel 19), waarin bepalingen
worden gegeven inzake de waarborgen die van toepassing zijn op het contact tussen
toezichthouders en in de relatie met datasubjecten. Zo mogen toezichthouders bijvoorbeeld
informatie die zij ontvangen van een andere toezichthouder niet voor andere doelen
gebruiken, of geen verzoeken doen namens een datasubject die daar geen toestemming
voor heeft gegeven.

Artikel 25

Artikel 25 wijzigt artikel 16 van het verdrag (nieuw artikel 20). Dit artikel bepaalt
dat een toezichthoudende autoriteit die een verzoek tot samenwerking als bedoeld in
artikel 17 (nieuw) heeft ontvangen daaraan moet voldoen, tenzij – limitatief – een
van de volgende gevallen zich voordoet: het verzoek ligt buiten haar macht, het verzoek
is niet in overeenstemming met de bepalingen van het verdrag, het voldoen aan het
verzoek is onverenigbaar met de soevereiniteit, de nationale veiligheid of de openbare
orde van de verdragspartij die de autoriteit heeft ingesteld, of het verzoek is onverenigbaar
met de rechten en vrijheden van onderdanen die onder de jurisdictie van die verdragspartij
vallen.

Artikel 26

Artikel 26 wijzigt artikel 17 van het verdrag (nieuw artikel 21). Dit artikel geeft
regels voor de kosten die zijn verbonden aan de samenwerking tussen de verdragspartijen
onderling en voor de bijstand die zij verlenen aan de datasubjecten in de gevallen
genoemd in de nieuwe artikelen 9 en 18. De bepalingen van dit artikel komen overeen
met soortgelijke bepalingen in andere internationale verdragen.

Artikel 28

Artikel 28 wijzigt artikel 18 van het verdrag (nieuw artikel 22) en gaat in op de
taken van de Verdragscommissie (voorheen heette deze commissie de Adviescommissie).
Deze Verdragscommissie mag bij twee derde meerderheid een waarnemer uitnodigen, op
dit moment kan dit uitsluitend bij unanimiteit. Ook is nieuw geregeld dat verdragspartijen
die geen lid zijn van de Raad van Europa mee betalen aan de activiteiten van de Verdragscommissie.

Artikel 29

Artikel 29 wijzigt artikel 19 van het verdrag (nieuw artikel 23) en regelt de werkzaamheden
van voornoemde Verdragscommissie. Voorheen mocht de commissie op verzoek van een lidstaat
een opinie of vraag inbrengen over de toepassing van het verdrag. Door het wijzigingsprotocol
kan de commissie uit eigen beweging opinies geven over de mogelijke interpretatie
van de artikelen van het verdrag, voorstellen doen om het verdrag te amenderen en
op hun verzoek landen evalueren. Ook geeft de commissie advies aan het Comité van
Ministers over kandidaat-verdragspartijen met aanbevelingen om tekortkomingen op te
lossen. Ook kan de commissie gestandaardiseerde waarborgen als bedoeld in artikel 14
(nieuw) over doorgiften aan derde landen ontwikkelen en goedkeuren.

Artikel 30

Artikel 30 wijzigt artikel 20 van het verdrag (nieuw artikel 24) en stelt de belangrijkste
procedures van de Verdragscommissie vast. De Verdragscommissie komt tenminste eenmaal
per jaar bijeen en wanneer een derde van de vertegenwoordigers om een bijeenkomst
vraagt. In het Aanhangsel bij het protocol zijn daarnaast elementen voor het reglement
van orde van de Verdragscommissie neergelegd, waarin wordt voorzien in de stemprocedures
van de commissie. Daarnaast regelt het gewijzigde verdrag dat de commissie zelf een
evaluatie en toetsingsprocedure opzet om (kandidaat-)verdragspartijen te beoordelen.

Artikel 31

Artikel 31 wijzigt artikel 21 van het verdrag (nieuw artikel 25) en voorziet in een
procedure voor het indienen van wijzigingen van het verdrag. Volgens deze nieuwe procedure
moeten ook kandidaat-organisaties, zoals de EU, op de hoogte worden gesteld van voorgestelde
amendementen en kan het Comité van Ministers bij unanimiteit een amendement aannemen,
na raadpleging van de Verdragscommissie, tenzij er een bezwaar is van een verdragspartij.

Artikel 32

Artikel 32 wijzigt artikel 22 van het verdrag (nieuw artikel 26), dat aangeeft door
welke rechtssubjecten het verdrag kan worden ondertekend en geratificeerd. Op grond
van de nieuwe regeling kan ook de EU partij worden bij het verdrag.

Artikel 33

Artikel 33 wijzigt artikel 23 van het verdrag (nieuw artikel 27) en voorziet in een
nieuwe regeling van de toetreding van zowel staten die geen lid zijn van de Raad van
Europa als van internationale organisaties.

Artikelen 34 en 35

Artikel 34 wijzigt artikel 24 van het verdrag (nieuw artikel 28) en heeft betrekking
op de bevoegdheid van de verdragspartijen om het territoriale toepassingsbereik van
het verdrag te specificeren en naderhand uit te breiden. Aangezien het wijzigingsprotocol
het mogelijk maakt dat ook de EU en andere internationale organisaties partij worden
bij het gewijzigde verdrag, maakt het nieuwe artikel duidelijk dat ook de EU en andere
internationale organisaties over deze bevoegdheid beschikken. Om diezelfde reden wijzigt
artikel 35 het huidige artikel 27 van het verdrag (nieuw artikel 31), door het woord
«Staat» te vervangen door het woord «Partij».

Artikelen 36 tot en met 40 – Slotbepalingen

De laatste 5 artikelen van het wijzigingsprotocol hebben betrekking op het wijzigingsprotocol
zelf en op de Wijzigingen uit 1999 en het Aanvullend Protocol uit 2001.

Artikel 36 – Ondertekening, bekrachtiging en toetreding

Artikel 36 voorziet met betrekking tot het wijzigingsprotocol in een regeling van
de ondertekening, de ratificatie en de toetreding. Staten die partij zijn bij Conventie 108
kunnen het wijzigingsprotocol op grond van het eerste lid ondertekenen en vervolgens
bekrachtigen, aanvaarden of goedkeuren. Staten die geen partij zijn bij Conventie 108
kunnen vóór de inwerkingtreding van het wijzigingsprotocol op grond van het tweede
lid hun instemming om door het protocol gebonden te worden – hun consent to be bound – uitsluitend kenbaar maken door tot het protocol toe te treden. Het is voor deze
staten niet mogelijk om partij te worden bij het verdrag, zonder tegelijkertijd toe
te treden tot het wijzigingsprotocol.

Artikel 37 – Inwerkingtreding

Artikel 37 regelt de inwerkingtreding en de voorlopige toepassing van het wijzigingsprotocol
en voorziet in de intrekking van het Aanvullend Protocol. Op grond van het eerste
lid zal het wijzigingsprotocol in werking treden op de eerste dag van de maand die
volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop alle
partijen bij Conventie 108 – medio 2021 zijn dat er 55 – hun consent to be bound tot uitdrukking hebben gebracht. Indien het wijzigingsprotocol na het verstrijken
van een tijdvak van vijf jaar na de datum waarop het voor ondertekening is opengesteld
– dit wil zeggen op 10 oktober 2023 – nog niet op grond van het eerste lid in werking
is getreden, dan zal het protocol op grond van het tweede lid al wel in werking kunnen
treden voor de staten die op dat moment reeds hun consent to be bound tot uitdrukking hebben gebracht, op voorwaarde dat het daarbij om ten minste 38 partijen
gaat. Deze regeling maakt de kans dat het wijzigingsprotocol hetzelfde lot beschoren
zal zijn als de Wijzigingen uit 1999 – die nooit in werking zijn getreden – aanzienlijk
kleiner, temeer daar het de verwachting is dat alle EU-lidstaten binnen deze termijn
het protocol zullen ratificeren, aangezien de inwerkingtreding van het wijzigingsprotocol
het de EU mogelijk zal maken om partij te worden bij het gewijzigde verdrag. Het derde
lid van artikel 37 maakt het de partijen bij Conventie 108 vervolgens mogelijk om
het wijzigingsprotocol reeds vóór diens inwerkingtreding voorlopig toe te passen.
Enkele partijen hebben van deze mogelijkheid gebruik gemaakt.

Het vierde en het vijfde lid hebben respectievelijk betrekking op het Aanvullend Protocol
uit 2001 en op de Wijzigingen uit 1999. Het vierde lid bepaalt dat met ingang van
de datum van inwerkingtreding van het wijzigingsprotocol het Aanvullend Protocol zal
worden ingetrokken. Hierbij dient te worden aangetekend dat het Aanvullend Protocol
sinds september 2019 voor 44 partijen van kracht is en dat het Aanvullend Protocol
op grond van artikel 54, onder b, van het Verdrag van Wenen inzake het verdragenrecht
uitsluitend door alle partijen bij het Aanvullend Protocol kan worden beëindigd. Indien
het wijzigingsprotocol op grond van artikel 37, tweede lid, op 10 oktober 2023 voor
een kopgroep van minimaal 38 partijen in werking zal treden, dan zal het Aanvullend
Protocol dus pas geacht kunnen worden te zijn ingetrokken op het moment dat alle 44
partijen bij het Aanvullend Protocol hun consent to be bound ten aanzien van het wijzigingsprotocol tot uitdrukking hebben gebracht. Tot slot
bepaalt het vijfde lid van artikel 37 dat de Wijzigingen uit 1999 vanaf de datum van
inwerkingtreding van het wijzigingsprotocol hun doel verloren zullen hebben, aangezien
de door deze Wijzigingen beoogde verdragswijziging in het wijzigingsprotocol is verdisconteerd.

Artikelen 38 tot en met 40 – Verklaringen met betrekking tot het verdrag, voorbehouden
en kennisgevingen

Het huidige artikel 3 van het verdrag maakt het de verdragspartijen mogelijk om door
middel van een aan de Secretaris-Generaal van de Raad van Europa gerichte verklaring
de materiële werkingssfeer van het verdrag te hunnen aanzien in te perken of uit te
breiden. Deze mogelijkheid wordt door artikel 4 van het wijzigingsprotocol geschrapt
en artikel 38 van het wijzigingsprotocol bepaalt daarom dat de verklaringen die door
een partij overeenkomstig het huidige artikel 3 van het verdrag zijn afgelegd ten
aanzien van die partij zullen komen te vervallen vanaf de datum waarop het wijzigingsprotocol
voor die partij in werking treedt.

Aangezien het wijzigingsprotocol beoogt om voor alle verdragspartijen een gelijkluidende
regeling in het leven te roepen, bepaalt artikel 39 dat er bij de bepalingen van het
wijzigingsprotocol geen voorbehouden kunnen worden gemaakt.

Artikel 40 bepaalt ten slotte dat de Secretaris-Generaal van de Raad van Europa de
gebruikelijke depositaire taken zal verrichten door de verdragspartijen en de overige
lidstaten van de Raad van Europa in kennis te stellen van onder meer de ondertekeningen,
de ratificaties en de data van inwerkingtreding.

Aanhangsel bij het Protocol

De stemprocedures in de Verdragscommissie zijn vastgelegd in de elementen van het
reglement van orde, dat als Aanhangsel aan het wijzigingsprotocol is gehecht. Wat
het stemrecht in de Verdragscommissie betreft, waarborgt de overeengekomen tekst het
beginsel dat de EU, binnen haar bevoegdheidsgebied, een aantal stemmen mag uitbrengen
dat gelijk is aan het aantal van haar lidstaten dat partij is bij het gewijzigde verdrag.
Om tegemoet te komen aan de bezwaren die zijn geuit ten aanzien van het gewicht van
de stemmen van de Unie, is uiteindelijk een compromis bereikt, waarbij besluiten alleen
kunnen worden genomen met een «supermeerderheid» van vier vijfde van de partijen,
en waarbij voor de belangrijkste besluiten, die betrekking hebben op de naleving van
het verdrag door een partij, een «dubbele meerderheid» is vereist, die zowel bestaat
uit een gekwalificeerde meerderheid als een gewone meerderheid van niet-EU-partijen.

Koninkrijkspositie

De goedkeuring van het verdrag uit 1981 wordt gevraagd voor Aruba, Curaçao en Sint
Maarten. Het verdrag geldt reeds voor het Europese en het Caribische deel van Nederland.
Na aanvaarding van het verdrag voor Aruba, Curaçao en Sint Maarten zal het verdrag
voor het gehele Koninkrijk gelden.

De goedkeuring van het wijzigingsprotocol uit 2018 wordt gevraagd voor het gehele
Koninkrijk. Aruba, Curaçao en Sint Maarten wensen de medegelding van het gewijzigde
verdrag. Evenwel zal het wijzigingsprotocol vooralsnog alleen voor het Europese deel
van Nederland kunnen worden aanvaard, aangezien voor het Europese deel van Nederland
geen uitvoeringswetgeving nodig is. Voor het Caribische deel van Nederland (Bonaire,
Sint Eustatius en Saba) alsmede Aruba, Curaçao en Sint Maarten zullen het verdrag
en het wijzigingsprotocol pas kunnen worden aanvaard als de daarvoor benodigde uitvoeringswetgeving,
waaronder de in paragraaf 3 genoemde consensusrijkswet, gereed is.

De Minister voor Rechtsbescherming, F.M. Weerwind

De Minister van Buitenlandse Zaken, H.G.J. Bruins Slot

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.M. de Jonge

De Minister van Defensie, K.H. Ollongren