Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag
36 455 (R2188) Goedkeuring van het op 28 januari 1981 te Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 1988, 7); van het op 10 oktober 2018 te Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54)
Nr. 8 NOTA NAAR AANLEIDING VAN HET VERSLAG
Ontvangen 1 juli 2024
Met veel belangstelling heb ik kennis genomen van het verslag van de vaste commissie
voor Digitale Zaken. Ik dank de leden van de verschillende fracties voor hun inbreng.
In deze nota ga ik, mede namens de Minister van Buitenlandse Zaken, Minister van Binnenlandse
Zaken en Koninkrijksrelaties en de Minister van Defensie in op de vragen en opmerkingen
in het verslag (Kamerstukken II 2023/24, 36 455 (R2188), nr. 6). De gestelde vragen worden hierna samengevat en genummerd weergegeven. Bij de beantwoording
daarvan is de volgorde van het verslag aangehouden, met dien verstande dat ter wille
van de leesbaarheid in enkele gevallen is verwezen naar reeds eerder in deze nota
gegeven antwoorden.
ALGEMEEN
1. Inleiding
1.
De leden van de GroenLinks-PvdA-fractie zijn verbaasd dat het wijzigingsprotocol ETS Nr. 108 (Trb. 2000, 69), nog altijd niet in werking is getreden. Zij constateren dat slechts dertig van
de verdragspartijen dit wijzigingsprotocol hebben geratificeerd. Welke verdragspartijen
hebben dit nog niet gedaan? Welk perspectief is er op de implementatie van deze wijzigingen?
Welke gevolgen heeft het dat er nog altijd verdragspartijen zijn die dit niet hebben
gedaan?
Op 15 juni 1999 heeft het Comité van Ministers van de Raad van Europa wijzigingen
van het verdrag tot bescherming van personen met betrekking tot geautomatiseerde verwerking
van persoonsgegevens (hierna ook: het verdrag of Conventie 108) aangenomen, die toetreding
van de Europese Gemeenschappen tot het verdrag mogelijk beoogden te maken. Aanleiding
tot de voorgenomen toetreding was destijds de totstandkoming van twee richtlijnen
op het terrein van de bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens, waardoor de Europese Gemeenschappen op dat terrein
bevoegd waren geworden.1
Het Koninkrijk heeft de wijzigingen op 2 november 2000 aanvaard. Voor inwerkingtreding
van de wijzigingen uit 1999 is aanvaarding daarvan door alle partijen bij het verdrag
vereist. Op dit moment hebben 22 van de 55 partijen2 de wijzigingen uit 1999 nog niet geratificeerd. De in het verdrag geregelde materie
valt grotendeels onder de exclusieve bevoegdheid van de Europese Unie. De EU oefent
deze exclusieve bevoegdheden momenteel uit via de EU-lidstaten.
Het wijzigingsprotocol dat nu ter goedkeuring aan u wordt voorgelegd maakt de toetreding
van de Europese Unie, en van andere internationale organisaties, mogelijk (artikel 26,
eerste lid (nieuw)). Daarbij zijn de wijzigingen uit 1999 geïntegreerd in het gemoderniseerde
verdrag (hierna ook: de gemoderniseerde conventie).3 Bij inwerkingtreding van het wijzigingsprotocol zullen de wijzigingen uit 1999 daarom
hun doel verliezen (artikel 37, vijfde lid, van het wijzigingsprotocol).
Om te voorkomen dat het wijzigingsprotocol hetzelfde lot zal zijn beschoren als de
wijzigingen uit 1999 is in het wijzigingsprotocol voorzien in meer mogelijkheden tot
inwerkingtreding dan de wijzigingen van 1999. In artikel 37, tweede lid, is namelijk
opgenomen dat het wijzigingsprotocol vanaf 11 oktober 2023 in werking treedt voor
staten die het wijzigingsprotocol aanvaard hebben indien minstens 38 staten partij
zijn geworden bij het wijzigingsprotocol. Daarnaast is in artikel 37, derde lid, voorzien
in de mogelijkheid van voorlopige toepassing van het wijzigingsprotocol in afwachting
van de inwerkingtreding daarvan. Bovendien is in artikel 36, tweede lid, opgenomen
dat staten geen partij kunnen worden bij het verdrag zonder tegelijkertijd toe te
treden tot het wijzigingsprotocol.
Op dit moment zijn 31 staten (waaronder achttien lidstaten van de Europese Unie) partij
bij het wijzigingsprotocol.4 Zoals ik uw Kamer eerder schreef, is het van belang dat het Koninkrijk het wijzigingsprotocol
spoedig ratificeert. Dit is niet alleen in het belang van Europees Nederland, maar
ook in het belang van het Koninkrijk als zodanig. Zie hierover mijn brief van 1 december
2023, met daarin het verzoek aan uw Kamer om de behandeling van het onderhavige wetsvoorstel
met spoed ter hand te nemen (Kamerstukken II 2023/24, 36455 (R2188)).
2.
De leden van de GroenLinks-PvdA-fractie zijn verbaasd dat Conventie 108, het uit 1981 stammende moederverdrag van
het wijzigingsprotocol, nog niet is goedgekeurd voor Aruba, Curaçao en Sint Maarten.
Zij vragen zich af waarom dit nog niet is gebeurd.
Voor zover medegelding voor de Caribische landen verdragsrechtelijk mogelijk is, wordt
aan de afzonderlijke landen gevraagd of zij medegelding wenselijk achten. Het uiteindelijke
besluit over medegelding wordt door de rijksministerraad genomen, met uitzondering
van de gevallen beschreven in artikel 25, eerste lid, van het Statuut. In de praktijk
is de wens van de regering van het betrokken land vaak leidend. De regering van het
voormalige land de Nederlandse Antillen en die van Aruba hebben destijds bij de totstandkoming
van Conventie 108 te kennen gegeven dat zij vooralsnog niet de wens hadden dat het
verdrag mede voor die landen zou gelden.5 Inmiddels wensen Aruba, Curaçao en Sint Maarten de medegelding van het gemoderniseerde
verdrag. Om die reden wordt nu, naast de goedkeuring van het wijzigingsprotocol voor
het gehele Koninkrijk, ook goedkeuring van Conventie 108 gevraagd voor deze drie landen.
3.
De leden van de GroenLinks-PvdA-fractie menen dat de bescherming van persoonsgegevens een grondrecht is dat dat binnen
het gehele Koninkrijk een gelijkwaardige bescherming verdient. Deze leden sporen de
regering daarom aan om zo snel mogelijk werk te maken van de harmonisering van de
datawetgeving in alle delen van het Koninkrijk. Deze leden vragen zich af wanneer
zij kunnen verwachten dat een dergelijke harmonisatie gelukt zal zijn. Wat is er nodig
is aan middelen, onderzoek en regelgeving om de onderhavige rijkswet succesvol te
implementeren?
De regering onderschrijft het belang van gelijkwaardige bescherming van persoonsgegevens
in het Koninkrijk. Ik zie de aansporing van de leden van de GroenLinks-PvdA-fractie
daarbij als een aanmoediging om voort te gaan op de door ons ingeslagen weg. Samen
met de Caribische landen van het Koninkrijk werkt de regering namelijk al geruime
tijd aan de totstandkoming van een consensusrijkswet om het gegevensbeschermingsrecht
van Aruba, Curaçao, Sint Maarten en Caribisch Nederland te harmoniseren en in lijn
te brengen met het in Europees Nederland geldende gegevensbeschermingsrecht. De regering
verwijst hiervoor naar paragraaf 3 van het algemeen deel van de memorie van toelichting.
Ter nadere toelichting merk ik hier nog het volgende op. De bescherming van persoonsgegevens
is een grondrecht dat gewaarborgd is in de Grondwet en in de Staatsregelingen van
Aruba, Curaçao en Sint Maarten. De verwezenlijking van dit grondrecht is een aangelegenheid
van elk land van het Koninkrijk (artikel 43, eerste lid, Statuut). Daarbij kunnen
de landen onderling samenwerken. Het Statuut verschaft hiertoe de mogelijkheid in
artikel 38. In deze bepaling is vastgelegd dat Nederland, Aruba, Curaçao en Sint Maarten
onderlinge regelingen kunnen treffen met betrekking tot autonome beleidsterreinen
waarop zij willen samenwerken. Artikel 39, tweede lid, van de Rijkswet politie van
Curaçao, van Sint Maarten en van Bonaire, Sint Eustatius en Saba verschaft daarnaast
de mogelijkheid om een onderlinge regeling te treffen over de wijze waarop politiegegevens
worden verwerkt. Een onderlinge regeling op basis van artikel 38 van het Statuut kan
vormvrij zijn of worden gegoten in een rijkswet (artikel 38, tweede lid). Op artikel 38,
tweede lid, van het Statuut gebaseerde rijkswetten worden in de praktijk aangeduid
als «consensusrijkswetten».
In dit geval hebben de Minister van Justitie en Sociale Zaken van Aruba en de Ministers
van Justitie van Sint Maarten, van Curaçao en van Nederland (hierna: de Ministers)
in het Justitieel Vierpartijen Overleg (JVO) van 14 januari 2021 besloten een consensusrijkswet
tot stand te brengen. Het doel van de beoogde consensusrijkswet is om te bewerkstelligen
dat (i) er een geharmoniseerd hoger beschermingsniveau ontstaat voor de verwerking
van persoonsgegevens binnen de Caribische delen van het Koninkrijk, (ii) de uitwisseling
van persoonsgegevens binnen het Koninkrijk als geheel eenvoudiger en effectiever wordt,
en (iii) de gemoderniseerde conventie voor het Caribische deel van het Koninkrijk
kan worden aanvaard.
Voor het opstellen van het ontwerp voor de consensusrijkswet is door de Ministers
een interlandelijke projectgroep ingesteld, waarin vertegenwoordigers van de drie
Caribische landen, Europees Nederland en Caribisch Nederland (vertegenwoordigd door
Europees Nederland) participeren. Onderdeel van de projectaanpak betrof de voorbereiding
van een nota waarin de beleidsmatige afwegingen inzichtelijk worden gemaakt en voorstellen
werden gedaan welke als basis konden dienen voor de voorbereiding van een voorstel
van een consensusrijkswet. Dit leidde tot de aanbieding door de projectgroep aan het
JVO van 7 juli 2021 van een contourennota, waarin op hoofdlijnen de contouren van
de beoogde rijkswet werden geschetst, inclusief voorstellen met betrekking tot onder
andere de reikwijdte, de inhoud en de vormgeving daarvan.
De werkzaamheden aan de consensusrijkswet vorderen gestaag. Op dit moment zijn de
eerste drie hoofdstukken van het voorstel van rijkswet in concept gereed en door de
projectgroep met het JVO gedeeld. Momenteel is voorzien dat een hoofdstuk met slotbepalingen
met de Ministers kan worden gedeeld voor de bijeenkomst van het JVO van januari 2025.
Het streven is om het wetsontwerp vervolgens in de eerste helft van 2025 in consultatie
te geven en na verwerking van de consultatiereacties voor advies voor te leggen aan
de Afdeling advisering van de Raad van State van het Koninkrijk. Als alles goed gaat,
zou het wetsontwerp dan in de tweede helft van 2025 aan uw Kamer kunnen worden voorgelegd.
Gelet op de omvang van de beoogde consensusrijkswet, de complexiteit van de daarin
te regelen materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk
door de vier landen moeten worden gemaakt, is deze planning momenteel echter nog met
veel onzekerheden omgeven.
Zoals in paragraaf 3 van het algemeen deel van de memorie van toelichting is beschreven,
is door de projectgroep bewust gekozen om het ontwerp voor de consensusrijkswet getrapt,
per hoofdstuk, te ontwikkelen. Deze keuze is mede ingegeven door de wens om in een
vroeg stadium een beeld te krijgen wat er nodig is voor een succesvolle implementatie
van de consensusrijkswet. Voor dit doel wordt voor ieder hoofdstuk van de consensusrijkswet
een aparte uitvoeringstoets uitgevoerd. Conform de gekozen aanpak heeft het JVO inmiddels
een rapport ontvangen over de uitvoeringstoets die heeft plaatsgevonden met betrekking
tot hoofdstuk 1. Het rapport over de uitvoeringstoets met betrekking tot hoofdstuk
2 nadert afronding en is naar verwachting gereed voor het JVO van januari 2025. De
komende periode zal daarnaast nog een uitvoeringstoets met betrekking tot hoofdstuk
3 worden gedaan. Als laatste stap in het proces zal een integrale rapportage over
de uitvoeringsconsequenties van de consensusrijkswet worden opgesteld en aangeboden
aan het JVO. Op deze manier zal geleidelijk een volledig beeld ontstaan van wat nodig
is voor een succesvolle implementatie van de consensusrijkswet. Enkele belangrijke
aspecten die de regering daarbij reeds in beeld heeft betreffen opleiding en training,
de uitvoering van een bewustwordingscampagne en het bieden van wetgevingstechnische
bijstand.
2. Hoofdlijnen van het wijzigingsprotocol
4.
De leden van de GroenLinks-PvdA-fractie vragen zich af hoe toekomstbestendig de gemoderniseerde conventie is.
Het toekomstbestendig maken van Conventie 108 is een belangrijke doelstelling van
het wijzigingsprotocol. Binnen de Raad van Europa bestaat een brede consensus dat
Conventie 108 dient te worden gemoderniseerd, om ook in de toekomst het hoofd te kunnen
(blijven) bieden aan de nieuwe uitdagingen waarvoor het recht op eerbiediging van
de persoonlijke levenssfeer zich gesteld ziet. Om deze doelstelling te bereiken hebben
de verdragspartijen bij het ontwerp van de gemoderniseerde conventie bewust gekozen
voor een technologieneutrale, op beginselen gebaseerde opzet. Zij hebben in dit opzicht
het voorbeeld van de Algemene Verordening Gegevensbescherming (AVG) gevolgd.
De regering vertrouwt erop dat het gemoderniseerde verdrag door de gekozen opzet toekomstbestendig
zal blijken te zijn. Beginselen kunnen namelijk een bredere reikwijdte hebben en specifiek
worden geïnterpreteerd om de uitdagingen van een veranderende wereld aan te gaan,
terwijl gedetailleerde wettelijke bepalingen vaak niet (snel genoeg) lijken te kunnen
reageren op sociaaleconomische en technologische veranderingen. Dit maakt dat een
technologieneutrale, op beginselen gebaseerde benadering bij uitstek een geschikt
middel is voor het toekomstigbestendig maken van een verdrag als Conventie 108.
De ervaringen die tot nu toe met de AVG zijn opgedaan bieden verdere steun aan deze
gedachte. Zo is de Europese Commissie in haar eerste verslag over de evaluatie en
toepassing van de AVG tot de conclusie gekomen dat de AVG-beginselen van doelbinding
en verdere compatibele verwerking, gegevensminimalisatie, opslagbeperking, transparantie,
verantwoordingsplicht en de voorwaarden voor de rechtmatige toepassing van geautomatiseerde
besluitvormingsprocessen, beginselen die alle ook zijn opgenomen in de gemoderniseerde
conventie, voor een groot deel tegemoet komen aan de bezwaren in verband met het gebruik
van kunstmatige intelligentie. Ook heeft de Europese Commissie vastgesteld dat de
technologieneutrale, op beginselen gebaseerde opzet van de AVG op de proef werd gesteld
tijdens de COVID-19 pandemie en succesvol is gebleken. De op deze principes gebaseerde
regels ondersteunden de ontwikkeling van traceringsapps en andere digitale hulpmiddelen
om de verspreiding van het virus te bestrijden en te controleren.6
5.
De leden van de GroenLinks-PvdA-fractie vragen zich af wat de gevolgen zijn van het feit dat er nog lang gebruik
is gemaakt van de uit 1981 stammende Conventie 108. Heeft de regering concrete voorbeelden
waarin het verdrag wegens haar ouderdom schuurde met nieuwere regelgeving? Heeft dit
eerder in de praktijk tot problemen geleid? Deze leden lezen dat het belang van het
wijzigingsprotocol duidelijk wordt in de tegenstrijdige verplichtingen die soms gelden
bij het hanteren van het oude verdrag. Heeft de regering concrete voorbeelden van
zulke tegenstrijdige verplichtingen? Heeft dit eerder in de praktijk tot problemen
geleid?
Conventie 108 geldt op dit moment nog altijd. Voor de lidstaten van de EU, die alle
ook partij zijn bij Conventie 108, leidt deze situatie er al geruime tijd toe dat
zij geconfronteerd worden met verschillende of zelfs tegenstrijdige verplichtingen
uit hoofde van het recht van de EU en uit hoofde van het recht van de Raad van Europa.
Dat komt omdat de EU in 2012 is begonnen met het moderniseren van haar gegevensbeschermingsrecht,
resulterend in de komst van (o.a.) de AVG en de Richtlijn 2016/680 die met ingang
van 25 mei 2018 van toepassing zijn geworden. De bepalingen uit de AVG en Richtlijn
2016/2018 zijn over het algemeen gedetailleerder dan die uit Conventie 108. In sommige
gevallen leggen deze twee instrumenten bovendien verplichtingen op die verder gaan
dan de verplichtingen uit hoofde van Conventie 108.
Een concreet voorbeeld hiervan biedt artikel 12 van Conventie 108. Deze bepaling bepaalt
dat de verdragspartijen de doorgifte van persoonsgegevens van hun grondgebied naar
dat van een andere verdragspartij niet mogen verbieden of aan een speciale toestemming
mogen onderwerpen, uitsluitend vanwege het belang van de bescherming van persoonsgegevens.
Ook het EU-gegevensbeschermingsrecht vestigt een dergelijk «vrij verkeer van persoonsgegevens».
Dit regime geldt echter alleen binnen de EU/EER; het vrije verkeer is met andere woorden
niet van toepassing op doorgiften vanuit een EU-lidstaat naar een derde land dat partij
is bij Conventie 108. In het wijzigingsprotocol wordt op dit punt rekening gehouden
met het EU-gegevensbeschermingsrecht door het opnemen van een uitzondering op de hoofdregel
van het «vrij verkeer van persoonsgegevens» ten behoeve van verdragspartijen die «gebonden
[zijn] door geharmoniseerde beschermingsregels die worden gedeeld door Staten die
lid zijn van een regionale internationale organisatie». Dit voorbeeld illustreert
waarom het voor de EU en de lidstaten van groot belang is dat het wijzigingsprotocol
spoedig in werking treedt.
6.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol betrekking heeft op de bevoegdheden van
de EU. Hoe ziet Europa erop toe dat het verdrag door al haar lidstaten succesvol wordt
geïmplementeerd? Hoe treedt zij op als lidstaten dit niet doen? Ook lezen deze leden
dat de EU de lidstaten aanspoort om het wijzigingsprotocol zo snel mogelijk te ratificeren.
Welke lidstaten lopen hiermee achter? Hoe dwingend is de EU in haar aansporingen?
Heeft zij een deadline gesteld voor implementatie of is het geheel vrijblijvend?
Het wijzigingsprotocol en de daarin geregelde materie heeft inderdaad betrekking op
bevoegdheden van de Europese Unie, namelijk de bescherming van persoonsgegevens. De
Unie is exclusief bevoegd op dit terrein, behalve voor wat betreft de verwerking van
persoonsgegevens ten behoeve van de nationale veiligheid en defensie. Op dit laatste
terrein zijn de lidstaten exclusief bevoegd (artikel 4, tweede lid, van het Verdrag
inzake de Europese Unie, hierna: VEU). In het wijzigingsprotocol wordt, zoals gezegd,
voorzien in de mogelijkheid voor de EU om toe te treden tot het gemoderniseerde verdrag.
Hierdoor wordt het in de toekomst zowel voor de EU als voor haar lidstaten gemakkelijker
om zelfstandig en binnen de grenzen van hun eigen bevoegdheden op te treden in het
kader van de Raad van Europa. Mede daarom hebben de Unie en haar lidstaten een gezamenlijk
belang bij de spoedige inwerkingtreding van het wijzigingsprotocol.
De Unie heeft de lidstaten reeds meerdere malen aangespoord om het wijzigingsprotocol
zo spoedig mogelijk te ratificeren. In reactie daarop heeft de regering de toezegging
gedaan om zich in te spannen om het Protocol binnen een termijn van drie jaar na de
ondertekening te ratificeren. Inmiddels hebben achttien lidstaten het Protocol geratificeerd.
Het Koninkrijk behoort samen met België, Tsjechië, Denemarken, Griekenland, Ierland,
Letland, Luxemburg en Zweden tot de groep lidstaten die dit nog niet heeft gedaan.
Conform haar toezegging blijft de regering zich inspannen voor de spoedige ratificatie
van het wijzigingsprotocol door het Koninkrijk. Tijdens bijeenkomsten van de raadswerkgroep
voor gegevensbescherming dringt de Europese Commissie daar ook met enige regelmaat
bij het Koninkrijk en de andere EU-lidstaten die het wijzigingsprotocol nog niet hebben
geratificeerd op aan. Ook vanuit de Raad van Europa worden het Koninkrijk en andere
verdragspartijen die nog niet tot ratificatie van het wijzigingsprotocol zijn overgegaan
geregeld gevraagd naar de voortgang van de ratificatieprocedure.
De keuze om het wijzigingsprotocol al dan niet te ratificeren is voor de lidstaten
niet geheel vrijblijvend. Zij zijn namelijk gebonden aan het EU-rechtelijke beginsel
van loyale samenwerking tussen de Unie en haar lidstaten (artikel 4, derde lid, VEU).
Dit beginsel is in het bijzonder van belang bij verdragen zoals het onderhavige, waarvan
het onderwerp deels tot de bevoegdheid van de Unie en deels tot die van de lidstaten
behoort. In die situatie verlangt het beginsel een nauwe samenwerking tussen de lidstaten
en de instellingen van de Unie (in dit geval de Europese Commissie als medeonderhandelaar
van het wijzigingsprotocol), zowel in de fase van onderhandeling en sluiting als bij
de uitvoering van de aangegane verplichtingen.7 Bij niet-naleving van het EU-recht, waaronder het beginsel van loyale samenwerking,
kan de Europese Commissie, als hoeder van de Verdragen, in het uiterste geval een
inbreukprocedure starten tegen de in gebreke blijvende lidstaat (artikel 258 van het
Verdrag inzake de werking van de Europese Unie).
7.
De leden van de GroenLinks-PvdA-fractie merken op dat de wijziging van Conventie 108 betrekking heeft op de verwerking
van persoonsgegevens door veiligheidsdiensten en defensie. Wat vraagt het van lidstaten
om deze wijzigingen door te voeren? Zijn alle partijen hiertoe uitgerust, vooral gezien
de onstabiele internationale situatie die veel vraagt van onze veiligheidsdiensten
en militaire diensten?
Het is juist, zoals de leden van de GroenLinks-PvdA-fractie opmerken, dat de gemoderniseerde
conventie ook betrekking heeft op verwerking van persoonsgegevens door defensie. Tegelijkertijd
kan worden vastgesteld dat het gemoderniseerde verdrag ook zal voorzien in een stelsel
van uitzonderingen en beperkingen die onder andere in het belang van defensie op de
materiële bepalingen van het verdrag mogen worden gemaakt. Zoals ook in de memorie
van toelichting is verwoord, is de huidige Europees Nederlandse wetgeving ten aanzien
van nationale veiligheid en defensie, in het bijzonder de Wet op de inlichtingen-
en veiligheidsdiensten 2017 respectievelijk artikel 3 UAVG en het daarop gebaseerde
uitzonderingsregime voor de inzet van de krijgsmacht ter uitvoering van de in artikel 97
van de Grondwet omschreven taken, in lijn met deze beperkingensystematiek. Wel zal
de Regeling Gegevensbescherming Militaire Operaties op twee punten worden aangepast.
Zo zal de uitzondering op het vereiste om een gegevensbeschermingseffectbeoordeling
uit te voeren, worden geschrapt. De bezwaren tegen overeenkomstige toepassing van
artikel 35 AVG voor buitenlandse operaties die ten grondslag lagen aan de uitzondering
worden ondervangen door een algemene gegevensbeschermingseffectbeoordeling voor operaties
uit te voeren. Voorts zullen in genoemde regeling nadere regels worden gesteld voor
andere bijzondere persoonsgegevens dan biometrische en genetische persoonsgegevens.
Tot slot zal de komende periode, los van de implementatie van het wijzigingsprotocol,
nog worden onderzocht of artikel 3 UAVG moet worden aangepast in het licht van de
gereedstellingsstatus van Defensie. Zie in dit verband de brief van de Minister van
Defensie van 30 mei 2024 over Optreden Defensie in het cyberdomein.8 Het gemoderniseerde verdrag staat hier niet aan in de weg.
8.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol in artikel 3 van het verdrag de mogelijkheid
voor verdragspartijen schrapt om bepaalde categorieën van verwerkingen van de werkingssfeer
van het verdrag uit te zonderen. Deze leden vinden dit een terechte wijziging. Zij
zijn benieuwd naar concrete voorbeelden van sectoren en activiteiten die door de verdragspartijen
zijn uitgesloten. Heeft Nederland wel eens een dergelijke uitzondering gemaakt?
Verschillende verdragspartijen, waaronder het Koninkrijk, hebben gebruik gemaakt van
de door artikel 3 van Conventie 108 geboden mogelijkheid om door middel van een verklaring
gericht aan de Secretaris-Generaal van de Raad van Europa kenbaar te maken dat zij
het verdrag niet zullen toepassen op bepaalde categorieën van verwerkingen.9 Zo hebben een aanzienlijk aantal verdragspartijen, waaronder het Koninkrijk, te kennen
gegeven dat zij het verdrag niet zullen toepassen op de verwerking van persoonsgegevens
door een individu voor louter persoonlijke of huishoudelijke activiteiten. Dit is
een algemene uitzondering die tegenwoordig ook is opgenomen in de AVG (zie artikel 2,
tweede lid, onder c). Het wijzigingsprotocol (artikel 4) introduceert deze algemene
uitzondering ook in het gemoderniseerde verdrag.
Enkele andere voorbeelden van verwerkingen die door individuele verdragspartijen zijn
uitgesloten van de toepassing van het verdrag zijn:
– verwerking van persoonsgegevens ten behoeve van de opsporing en vervolging van misdrijven;
– verwerking van persoonsgegevens ten behoeve van de bescherming van de nationale veiligheid;
– verwerking van persoonsgegevens die de betrokkene op grond van een wettelijke plicht
openbaar moet maken;
– verwerking van persoonsgegevens die door de betrokkene uit eigen beweging openbaar
zijn gemaakt.
Afgezien van persoonsgegevens die door een individu voor louter persoonlijke of huishoudelijke
activiteiten worden verwerkt, heeft het Koninkrijk bij de aanvaarding van het verdrag
verklaard het verdrag niet te zullen toepassen op de volgende categorieën van persoonsgegevens:
i. bestanden met persoonsgegevens die uitsluitend voor openbare informatiedoeleinden
worden bijgehouden door de pers, radio of televisie;
ii. boeken en andere geschreven publicaties, of indexsystemen die daarop betrekking hebben;
iii. bestanden met persoonsgegevens die worden bewaard in daartoe bij wet aangewezen archiefdepots;
iv. bestanden met persoonsgegevens waartoe het publiek op grond van de wet toegang moet
hebben;
v. bestanden met persoonsgegevens die worden bijgehouden voor de uitvoering van de Kieswet.10
Verder heeft het Koninkrijk bij de aanvaarding van het verdrag verklaard het verdrag
vooralsnog niet toe te zullen passen op:
i. bestanden met persoonsgegevens die zijn aangelegd bij of krachtens de toenmalige Wet
op de justitiële documentatie en op de verklaringen omtrent het gedrag;
ii. bestanden met persoonsgegevens die zijn opgesteld overeenkomstig de toenmalige Wet
bevolkings- en verblijfsregisters;
iii. het centraal register van studenten in het hoger onderwijs, ingesteld op grond van
de toenmalige Wet op het wetenschappelijk onderwijs, de Wet op het hoger beroepsonderwijs
en de Wet op de open universiteit;
iv. bestanden van geregistreerde kentekens van voertuigen en van afgegeven rijbewijzen,
opgesteld krachtens de toenmalige Wegenverkeerswet.11
9.
De leden van de GroenLinks-PvdA-fractie lezen dat het wijzigingsprotocol het niveau van de gegevensbescherming verhoogt
en de bescherming van bijzondere persoonsgegevens versterkt. Deze leden vragen de
regering om een uitgebreidere toelichting op dit punt.
Zoals hierboven uiteengezet, is de in 2012 in gang gezette modernisering van het gegevensbeschermingsrecht
van de EU een belangrijke factor geweest die binnen de Raad van Europa tot het besef
heeft geleid dat Conventie 108 verouderd is en dient te worden gemoderniseerd. Het
wijzigingsprotocol introduceert verschillende vernieuwingen die deels aan de AVG zijn
ontleend en die het beschermingsniveau verhogen ten opzichte van het huidige door
het verdrag geboden niveau. De regering verwijst hiervoor naar paragraaf 2.2 van het
algemeen deel van de toelichting. Tot deze vernieuwingen behoort ook een uitbreiding
van de verschillende categorieën bijzondere persoonsgegevens tot de categorieën die
in het Unierecht zijn erkend en een versterking van de bescherming van deze bijzondere
persoonsgegevens (artikel 8 van het wijzigingsprotocol). De catalogus van bijzondere
persoonsgegevens is uitgebreid met genetische en biometrische gegevens, evenals gegevens
die worden verwerkt vanwege de informatie die ze onthullen met betrekking tot vakbondslidmaatschap
of etnische afkomst. Voor deze en andere bijzondere persoonsgegevens geldt een verwerkingsverbod,
tenzij het nationale recht passende waarborgen biedt die de overige bepalingen van
het verdrag complementeren. Deze waarborgen moeten bescherming bieden tegen de risico's
die de verwerking van bijzondere persoonsgegevens kan inhouden voor de belangen, rechten
en fundamentele vrijheden van de betrokkene, met name het risico op discriminatie.
10.
De leden van de GroenLinks-PvdA-fractie merken op dat het wijzigingsprotocol enkele nieuwe rechten invoert, waaronder
het recht voor de betrokkene om niet te worden onderworpen aan een uitsluitend op
geautomatiseerde verwerking gebaseerd besluit, dat hem of haar in aanmerkelijke mate
treft, zonder dat met zijn of haar standpunt rekening wordt gehouden. Deze leden merken
op dat het wijzigingsprotocol uit 2018 stamt en dat met name kunstmatige intelligentie
de afgelopen jaren snel haar entree heeft gemaakt op allerlei werkplekken en maatschappelijke
functies. Naar aanleiding hiervan vragen deze leden zich af of het wijzigingsprotocol
bepaalt dat ook AI-applicaties geen besluiten mogen nemen over personen. Ziet de regering
verder nog punten in het wijzigingsprotocol die kwetsbaar zijn om snel te verouderen
ten opzichte van nieuwe technologie?
De leden van de GroenLinks-PvdA-fractie merken terecht op dat het gebruik van kunstmatige
intelligentie (artificial intelligence, hierna: «AI») de afgelopen jaren een hoge vlucht heeft genomen. In het huidige digitale
tijdperk bestaat er een groeiende technologische mogelijkheid om gegevens te verzamelen,
te verwerken en om nieuwe en voorspellende kennis uit een groot volume, grote snelheid
en een grote diversiteit aan gegevens te halen («big data»).12 Bij dit soort big data-toepassingen is een belangrijke rol weggelegd voor AI. AI
is een breed begrip dat onder andere wordt gebruikt wanneer een machine cognitieve
functies nabootst, zoals leren en een probleem oplossen, die normaliter worden geassocieerd
met natuurlijke personen (bijvoorbeeld een «zelfrijdende» auto).
Zoals met vrijwel elke nieuwe technologie het geval is, draagt AI bij aan de vooruitgang,
maar zijn er ook maatschappelijke risico’s aan verbonden. Zo kan big data-analyse
patronen tussen verschillende bronnen en gegevensreeksen aan het licht brengen, zodat
nuttige inzichten op bijvoorbeeld wetenschappelijk en geneeskundig gebied mogelijk
worden gemaakt. Aan de andere kant kan de grootschalige gegevensverwerking waarmee
het gebruik van «big data» en AI gepaard gaan, effecten hebben op de uitoefening van
het recht op bescherming van persoonsgegevens en andere grondrechten. Om menselijke
besluitvorming na te bootsen, maken moderne technologie en software gebruik van algoritmen
voor het nemen van geautomatiseerde besluiten. Hieraan kleven ook risico’s. Zo kunnen
algoritmen die worden ingezet bij geautomatiseerde besluitvorming, bijvoorbeeld bij
de beoordeling van de kredietwaardigheid van een natuurlijke persoon door een kredietbeoordelingsbureau,
discrimineren.
De afgelopen jaren is AI-regulering een centraal beleidsvraagstuk geworden in zowel
de Europese Unie als de Raad van Europa. De EU heeft zich daarbij opgeworpen als pleitbezorger
van de ontwikkeling van een «mensgerichte» benadering van AI om ervoor te zorgen dat
Europeanen kunnen profiteren van nieuwe technologieën die worden ontwikkeld en functioneren
volgens de waarden en principes van de EU. Na aanvankelijk te hebben gekozen voor
een soft law-aanpak met de publicatie van haar niet-bindende «Ethics Guidelines for Trustworthy
AI» (2019) en beleids- en investeringsaanbevelingen, is de Europese Commissie overgestapt
op een wetgevende aanpak. Op 21 april 2021 presenteerde de Commissie een voorstel
voor een verordening over kunstmatige intelligentie, als onderdeel van een breder
AI-pakket (hierna: de AI-verordening).13 Het doel van de AI-verordening is om ervoor te zorgen dat AI-systemen die op de Europese
markt worden gebracht en gebruikt, veilig en in overeenstemming zijn met de fundamentele
rechten en waarden van de EU zoals onder andere neergelegd in de Europese verdragen,
internationale mensenrechtenverdragen zoals Conventie 108 en in de AVG. De Raad en
het Europees Parlement hebben de AI-verordening inmiddels aangenomen. De AI-verordening
wacht nu op ondertekening en kan daarna in werking treden.14
In de tussentijd heeft ook de Raad van Europa niet stilgezeten. Binnen de Raad heeft
het zogeheten comité voor Artificiële intelligentie (CAI) een nieuw (kader)verdrag
ontwikkeld dat de ontwikkeling, het ontwerp en de toepassing van AI-systemen reguleert
en dat gebaseerd is op de standaarden van de Raad van Europa op het gebied van de
mensenrechten.15 Dit nieuwe kaderverdrag is onlangs op 17 mei 2024 aangenomen door het Comité van
Ministers van de Raad van Europa, en zal ter ondertekening worden opengesteld tijdens
de Conferentie van Ministers van Justitie in Vilnius (Litouwen) op 5 september 2024.16
De ontwikkeling van deze nieuwe instrumenten doet niet af aan het belang van het gemoderniseerde
verdrag voor de regulering van AI. Conventie 108 is ten volle van toepassing op AI-applicaties
waarbij sprake is van geautomatiseerde verwerking van persoonsgegevens. Dat geldt
ook voor het in het gemoderniseerde verdrag geïntroduceerde recht om niet te worden
onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit,
dat de betrokkene in aanmerkelijke mate treft, zonder dat met zijn of haar standpunt
rekening wordt gehouden (artikel 9, eerste lid, onder a). Dit recht is geïnspireerd
op artikel 22 AVG en houdt in dat de betrokkene het recht heeft om een op geautomatiseerde
verwerking gebaseerd besluit aan te vechten en in staat moet zijn om elke onjuistheid
in de persoonsgegevens die de verwerkingsverantwoordelijke gebruikt, te betwisten
en de relevantie van het op hem toegepaste profiel in twijfel te trekken.17 Daarnaast bevat het gemoderniseerde verdrag verschillende andere aan de AVG ontleende
regels, rechten en beginselen die mede zijn bedoeld om het gebruik van AI bij de verwerking
van persoonsgegevens te reguleren. Het gaat hierbij om de beginselen van transparantie
(artikel 8) en gegevensbescherming door ontwerp en standaardinstellingen (artikel 10,
tweede en derde lid), het recht om op verzoek in kennis te worden gesteld van de redenering
die ten grondslag ligt aan de gegevensverwerking wanneer de resultaten van die verwerking
op de betrokkene worden toegepast (artikel 9, eerste lid, onder c), en de verantwoordingsplicht
(artikel 10, lid 1). Deze nieuwe voorschriften vormen een waardevolle aanvulling op
bestaande regels, rechten en beginselen die onder het huidige verdrag al een nuttige
functie vervullen bij het reguleren van AI, zoals het doelbindingsbeginsel (artikel 5,
onder b) en het inzagerecht (artikel 8, onder b).
11.
De leden van de GroenLinks-PvdA-fractie vragen zich af of er met de verdragspartijen afgesproken is wanneer een nieuwe
actualisatie van het verdrag noodzakelijk is. Hoe wordt dat beoordeeld?
De gemoderniseerde conventie bevat geen evaluatiebepaling. Het wijzigingsprotocol
voorziet echter in andere mechanismen om ervoor te zorgen dat het gemoderniseerde
verdrag bij de tijd blijft. Aangezien de gemoderniseerde conventie betrekking heeft
op een onderwerp dat voortdurend in ontwikkeling is, kan worden verwacht dat er vragen
zullen rijzen over zowel de praktische toepassing van het verdrag als de betekenis
ervan.18 Voor de beantwoording van dit soort vragen voorziet de gemoderniseerde conventie
in de instelling van een Verdragscomité, als opvolger van de Adviescommissie die is
ingesteld op basis van het huidige verdrag. Het Verdragscomité bestaat uit vertegenwoordigers
van alle verdragspartijen, afkomstig van de nationale toezichthoudende instanties
of van de regering (artikel 22, tweede lid). Twee belangrijke taken van het Verdragscomité
zijn om aanbevelingen te doen om de toepassing van het verdrag te vergemakkelijken
of te verbeteren (artikel 23, onderdeel a) en om advies uit te brengen over elke vraag
betreffende de interpretatie of toepassing van het verdrag (artikel 23, onderdeel d).
Net als de huidige Adviescommissie, kan het Verdragscomité daarnaast voorstellen doen
tot wijziging van het verdrag (artikel 23, onderdeel b). Het Verdragscomité deelt
deze bevoegdheid met de verdragspartijen en het Comité van Ministers van de Raad van
Europa (artikel 25, eerste lid). Over voorstellen tot wijziging van het verdrag afkomstig
van een verdragspartij of het Comité van Ministers brengt het Verdragscomité verplicht
advies uit (artikel 25, derde lid).
12.
De leden van de GroenLinks-PvdA-fractie lezen met enige twijfel dat het gemoderniseerde verdrag vrijheid kent voor
deelnemers om de bepalingen om te zetten in nationaal beleid en «een hoog niveau van
bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen
om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele
rechten, vrijheden en belangen». Deze leden vragen zich af in hoeverre het gemoderniseerde
verdrag een duidelijke ondergrens stelt waar minstens aan voldaan moet worden om burgers
goed te beschermen. Hoe veel vrijheid hebben verdragspartijen om af te zien van verdragsbepalingen?
Hoe wordt het hoge beschermingsniveau gewaarborgd als verdragspartijen het recht op
de persoonlijke levenssfeer kunnen afwegen tegen andere belangen? Hoe groot is die
vrijheid met betrekking tot de nationale inlichtingen- en veiligheidsdiensten, die
volgens de leden een extra verantwoordelijkheid dragen om secuur met persoonsgegevens
om te gaan?
Het wijzigingsprotocol beoogt het niveau van gegevensbescherming uit hoofde van Conventie
108 in lijn te brengen met het beschermingsniveau van de EU op dit gebied, in het
bijzonder de AVG. Daartoe worden de verdragspartijen verplicht hun nationale recht
een bepaalde inhoud te geven of aan datasubjecten rechtstreeks bepaalde rechten toe
te kennen. Dit is de ondergrens waaraan alle verdragspartijen dienen te voldoen. Daarnaast
biedt het wijzigingsprotocol de mogelijkheid uitzonderingen te maken op de rechten
en verplichtingen uit het gemoderniseerde verdrag zodat een zekere mate van flexibiliteit
mogelijk is voor de verdragspartijen. Juist in het kader van nationale veiligheid
is deze flexibiliteit noodzakelijk, omdat bij de verdragspartijen grote diversiteit
bestaat waar het gaat om de verwerking van persoonsgegevens door inlichtingen- en
veiligheidsdiensten en (met name) het toezicht daarop. Ook de organisatie, positionering,
taken en bevoegdheden van inlichtingen- en veiligheidsdiensten kennen onderling verschillen.
Met de thans voorziene beperkingensystematiek kan deze diversiteit ook onder het gewijzigde
verdrag gehandhaafd worden. De mogelijkheid om uitzonderingen te maken is echter niet
onbegrensd. Artikel 14 van het wijzigingsprotocol (nieuw artikel 11) geeft een limitatieve
opsomming van de uitzonderingen die door de verdragspartijen mogen worden gemaakt.
Daarnaast zijn deze uitzonderingen verbonden aan specifieke doeleinden en moeten de
uitzonderingen bij wet zijn voorzien. Ook moet de essentie van de fundamentele rechten
en vrijheden geëerbiedigd worden en moeten de uitzonderingen noodzakelijk en proportioneel
zijn in een democratische samenleving. Deze uitzonderingsmogelijkheden doen bovendien
geen afbreuk aan de eis dat verwerkingsactiviteiten voor nationale veiligheids- en
defensiedoeleinden onderworpen dienen te zijn aan onafhankelijk en effectief toezicht
op grond van nationale wetgeving.
Het vereiste van een zorgvuldige verwerking van persoonsgegevens was al opgenomen
in het verdrag en is thans vervat in artikel 5, lid 4, onder a, van de gemoderniseerde
conventie. Ter illustratie kan hier gewezen worden op de bepalingen hieromtrent in
de Wiv 2017. Het vereiste is opgenomen in artikel 18, lid 2. In aanvulling hierop
is in artikel 18, derde lid, van de Wiv 2017 bepaald dat de gegevens die de diensten
in het kader van hun taakuitvoering verwerken, worden voorzien van een aanduiding
omtrent de mate van betrouwbaarheid dan wel een verwijzing naar het document of de
bron waaraan de gegevens zijn ontleend. Voor bijzondere persoonsgegevens (artikel 19,
derde lid) en de externe verstrekking van persoonsgegevens (artikel 62 e.v.) gelden
verdere aanvullende waarborgen. In de artikelen 68 tot en met 70 van de Wiv 2017 zijn
enkele bijzondere voorschriften gegeven waar het gaat om de verstrekking van persoonsgegevens.
De achtergrond hiervan is dat bij de verstrekking van persoonsgegevens die zeer nadrukkelijk
de persoonlijke levenssfeer raken van degene waarop die gegevens betrekking hebben,
zorgvuldigheid voorop dient te staan. Op deze wijze is verzekerd dat de AIVD en de
MIVD secuur met persoonsgegevens omgaan.
13.
De leden van de GroenLinks-PvdA-fractie vragen zich af hoe de door het verdrag geboden flexibiliteit voor de verdragspartijen
om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele
rechten, vrijheden en belangen te rijmen valt met de bewering dat «het wijzigingsprotocol
een belangrijke bijdrage [kan] leveren aan de wereldwijde versterking van het recht
op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens».
Dit klopt toch alleen als het verdrag zo breed mogelijk omarmd wordt en wereldwijd
wordt geïmplementeerd? In hoeverre is deelname aan het verdrag vrijblijvend? Welke
sancties worden er genomen als landen het verdrag niet implementeren? Welke voordelen
heeft het voor een niet-deelnemende partij om toe te treden tot het verdrag? Welke
nadelen kleven daar aan?
Dat het wijzigingsprotocol de verdragspartijen de mogelijkheid biedt uitzonderingen
te maken op de rechten en verplichtingen uit het gemoderniseerde verdrag doet niet
af aan het door het verdrag geboden hoge beschermingsniveau. Het grondrecht op bescherming
van persoonsgegevens heeft namelijk, zoals de preambule van de AVG het uitdrukt, geen
absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de
samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden
afgewogen. Zo kan het inzagerecht bijvoorbeeld niet onverkort gelden voor een verdachte
die gedurende een tegen hem of haar lopend opsporingsonderzoek inzage wenst in zijn
of haar dossier. De AVG maakt dergelijke beperkingen van het recht op gegevensbescherming
onder strenge voorwaarden ook mogelijk, onder andere in artikel 23. Ingevolge deze
bepaling mag een beperking niet de wezenlijke inhoud van de grondrechten en fundamentele
vrijheden aantasten en dient deze in een democratische samenleving een noodzakelijke
en evenredige maatregel te zijn ter waarborging van een gewichtige doelstelling van
algemeen belang (o.a. de nationale veiligheid, de voorkoming, het onderzoek, de opsporing
en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen,) of ter
bescherming van de betrokkene of van de rechten en vrijheden van anderen. Het gemoderniseerde
verdrag kent in artikel 11 een soortgelijke beperkingensystematiek.
De mate waarin het gemoderniseerde verdrag een bijdrage kan leveren aan de wereldwijde
versterking van het recht op privacy en gegevensbescherming hangt inderdaad af van
de mate waarin het verdrag wereldwijd, ook door landen die geen lid zijn van de Raad
van Europa, wordt omarmd. Op dit moment hebben drie niet-lidstaten van de Raad van
Europa Conventie 108 en het wijzigingsprotocol geratificeerd (Argentinië, Mauritius
en Uruguay). De regering heeft goede hoop dat dit er in de toekomst meer zullen worden.
Voor landen die overwegen een nieuw systeem van gegevensbescherming op te zetten of
een bestaand systeem te moderniseren biedt het gemoderniseerde verdrag namelijk duidelijke
voordelen. Conventie 108 vormt al sinds 1981 de enige internationaal aanvaarde blauwdruk
voor de implementatie van het grondrecht op bescherming van persoonsgegevens. Door
het wijzigingsprotocol wordt het verdrag gemoderniseerd en in lijn gebracht met het
EU-gegevensbeschermingsrecht. Toetreding tot het verdrag zorgt daarmee voor aansluiting
van het eigen rechtsstelsel bij een systeem van gegevensbescherming dat internationaal
steeds meer als dé standaard wordt gezien. Hierdoor wordt het bovendien ook gemakkelijker
om persoonsgegevens uit te wisselen met andere landen. Artikel 14 van het gemoderniseerde
verdrag vestigt namelijk een «vrij verkeer van persoonsgegevens» tussen de verdragspartijen.
De ratio van deze bepaling is dat alle partijen, die de kern van gegevensbeschermingsbepalingen
van het verdrag hebben onderschreven, geacht worden een niveau van bescherming te
bieden dat passend wordt geacht en dat derhalve in beginsel het vrije verkeer van
gegevens mogelijk maakt.19 In de huidige digitale economie gaat de levering van goederen en diensten in toenemende
mate gepaard met de uitwisseling van persoonsgegevens. Ook bij allerlei vormen van
internationale samenwerking speelt de uitwisseling van persoonsgegevens een steeds
belangrijkere rol. Het vrije verkeer van persoonsgegevens biedt verdragspartijen oftewel
de nodige economische en andere voordelen.
Toetreding tot het gemoderniseerde verdrag is niet vrijblijvend. Alvorens toe te kunnen
treden tot het verdrag, dient de kandidaat-verdragspartij in haar regelgeving de nodige
maatregelen te treffen om uitvoering te geven aan de bepalingen van het verdrag en
de effectieve toepassing ervan te waarborgen (artikel 4, eerste lid). Dit laatste
betekent onder meer dat de kandidaat-verdragspartij moet voorzien in een onafhankelijke
toezichthoudende autoriteit die bekleed is met de nodige handhavende bevoegdheden
(artikel 15). In Europees Nederland wordt deze rol vervuld door de Autoriteit Persoonsgegevens.
Verder verbindt iedere verdragspartij zich ertoe het Verdragscomité (de opvolger van
de huidige Adviescommissie) in staat te stellen de doeltreffendheid te beoordelen
van de maatregelen die zij in haar regelgeving heeft genomen om uitvoering te geven
aan de bepalingen van dit Verdrag en om actief bij te dragen aan dit evaluatieproces
(artikel 4, derde lid). Het Verdragscomité evalueert de uitvoering van het verdrag
door de verdragspartijen en beveelt maatregelen aan die moeten worden genomen wanneer
een verdragspartij het verdrag niet naleeft (artikel 23, onder h). Ook kan het Verdragscomité
op verzoek van een staat of een internationale organisatie beoordelen of het niveau
van bescherming van persoonsgegevens waarin zij voorzien in overeenstemming is met
de bepalingen van het verdrag en, indien nodig, maatregelen aanbevelen om die naleving
te bereiken (artikel 23, onder f). Niet-naleving van het verdrag kan ook anderszins
gevolgen hebben. Zo kan een verdragspartij een uitzondering maken op het «vrij verkeer
van persoonsgegevens», indien «er een reëel en ernstig risico bestaat dat de doorgifte
aan een andere Partij, of van die andere Partij aan een niet-Partij, zou leiden tot
omzeiling van de bepalingen van het Verdrag» (artikel 14, eerste lid).
14.
De leden van de GroenLinks-PvdA-fractie lezen in de memorie van toelichting dat het evaluatiemechanisme nog wordt
uitgewerkt in de Raad van Europa. Wanneer is dat proces rond? Acht de regering het
van belang dat het evaluatiemechanisme nog voor de implementatie van dit verdrag wordt
afgerond?
De regering is het met de leden van de GroenLinks-PvdA-fractie eens dat het van belang
is dat het evaluatiemechanisme gereed is voor de inwerkingtreding van de gemoderniseerde
conventie. Op dit moment wordt binnen de Raad van Europa nog gewerkt aan de uitwerking
van dit mechanisme. De Adviescommissie heeft uitgebreide voorbereidende werkzaamheden
verricht die in november 2021 hebben geleid tot de goedkeuring van een deskundigenverslag
en een vragenlijst over hoe dit mechanisme zou kunnen werken. Het opstellen hiervan
is voornamelijk gedaan door een externe deskundige, in nauw overleg met de Adviescommissie.
Zodra het gemoderniseerde verdrag in werking treedt, is het aan het nieuw te vormen
Verdragscomité (als opvolger van de huidige Adviescommissie) om een nieuw reglement
van orde en een toetsings- en evaluatiemechanisme aan te nemen, aangezien de huidige
Adviescommissie niet voor het nieuw te vormen Verdragscomité kan beslissen.
15.
De leden van de GroenLinks-PvdA-fractie lezen dat nationale autoriteiten dienen te worden aangewezen om «besluiten
te nemen met betrekking tot schendingen van het verdrag». Wat voor besluiten bedoelt
de regering daarmee?
De regering doelt hiermee op de bevoegdheid van de aan te wijzen toezichthoudende
autoriteit om bestuurlijke sancties op te leggen, zoals een last onder dwangsom of
een bestuurlijke boete.
16.
De leden van de GroenLinks-PvdA-fractie merken op dat het Aanvullende Protocol buiten werking treedt zodra het wijzigingsprotocol
in werking treedt. Geldt dat per land, of moeten alle verdragspartijen het wijzigingsprotocol
implementeren voordat het Aanvullende Protocol in z’n geheel komt te vervallen?
Op 8 november 2001 is het Aanvullend Protocol bij het verdrag tot stand gekomen. Het
Aanvullend Protocol bevat twee inhoudelijke bepalingen. Deze zijn materieel geheel
overgenomen in het wijzigingsprotocol. Daarom treedt het Aanvullend Protocol, ingevolge
artikel 37, vierde lid, van het wijzigingsprotocol, buiten werking zodra het wijzigingsprotocol
in werking treedt voor alle partijen. Het wijzigingsprotocol treedt in werking op
de eerste dag van de tweede maand volgend op drie maanden na de datum waarop alle
partijen bij het verdrag te kennen hebben gegeven dat zij ermee instemmen door het
wijzigingsprotocol te worden gebonden (artikel 37, eerste lid, van het wijzigingsprotocol).
17.
De leden van de D66-fractie constateren dat er lang over het wijzigingsprotocol is onderhandeld. Wat
waren tijdens deze onderhandelingen de punten die de meeste tijd in beslag namen?
Het is juist, zoals de leden van de D66-fractie stellen, dat lang is onderhandeld
over het wijzigingsprotocol. Een belangrijk discussiepunt binnen het ad hoc Committee on data protection (CAHDATA) betrof de vraag hoe vorm te geven aan een systeem van gegevensbescherming
dat enerzijds een hoog beschermingsniveau biedt en anderzijds voldoende ruimte laat
aan verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen
andere fundamentele rechten, vrijheden en belangen, zodat het met name voor staten
die geen lid zijn van de Raad van Europa aantrekkelijk wordt om toe te treden tot
het verdrag. In dit kader was er bijvoorbeeld veel discussie tussen de EU-lidstaten
en de overige verdragspartijen over het nieuwe artikel 14 inzake grensoverschrijdend
verkeer van persoonsgegevens (artikel 17 van het wijzigingsprotocol). Deze discussie
ging onder meer over de introductie van het aan de AVG ontleende instrument van de
adequaatheidsbeslissingen (artikel 45 AVG). Een ander punt van discussie betrof het
nieuwe artikel 17 en de daarin opgenomen modaliteiten voor de samenwerking tussen
de toezichthoudende autoriteiten (artikel 22 van het wijzigingsprotocol). Ook hier
speelde de vraag in hoeverre aansluiting gezocht zou moeten worden bij de AVG. Ook
was er veel discussie binnen CAHDATA over de beperkingensystematiek van artikel 11
van het gewijzigde verdrag (artikel 14 van het wijzigingsprotocol). In dit verband
speelde onder meer de vraag in hoeverre de in artikel 15, tweede lid, van het gewijzigde
verdrag opgesomde bevoegdheden van de toezichthoudende autoriteiten ook zouden moeten
kunnen worden uitgeoefend jegens inlichtingen- en veiligheidsdiensten.
18.
De leden van de D66-fractie vragen zich af in hoeverre een verdragspartij kan voorstellen om wijzigingen
aan te brengen in Conventie 108. Welk proces moet dan worden gevolgd?
Een partij bij het verdrag kan op grond van het huidige artikel 21 van het verdrag
een wijziging daarvan voorstellen. De Secretaris-Generaal van de Raad van Europa geeft
van ieder wijzigingsvoorstel kennis aan de verdragspartijen. De bij het verdrag ingestelde
Adviescommissie adviseert hierover aan het Comité van Ministers. Indien het Comité
van Ministers de wijziging heeft aangenomen, dienen alle partijen bij het verdrag
deze te aanvaarden.
Artikel 31 van het wijzigingsprotocol brengt op enkele punten een wijziging aan in
de wijzigingsprocedure. Het wijzigingsprotocol voorziet in kennisgeving van wijzigingen
door de Secretaris-Generaal van de Raad van Europa aan de Europese Unie en andere
internationale organisaties en in raadpleging van het Verdragscomité (voorheen Adviescommissie).
Bovendien voorziet het wijzigingsprotocol, ingevolge artikel 31, tweede lid, in de
mogelijkheid voor het Comité van Ministers om, na het raadplegen van het Verdragscomité,
met unanimiteit van stemmen te besluiten dat een bepaalde wijziging in werking treedt
na het verstrijken van een tijdvak van drie jaar vanaf de datum waarop zij voor aanvaarding
is opengesteld, tenzij een partij de Secretaris-Generaal van de Raad van Europa in
kennis stelt van een bezwaar tegen de inwerkingtreding ervan.
In het Koninkrijk behoeft een wijziging van het verdrag op grond van artikel 91 van
de Grondwet parlementaire goedkeuring voordat het Koninkrijk aan de wijziging kan
worden gebonden.
3. Uitvoering van het wijzigingsprotocol
19.
De leden van de GroenLinks-PvdA-fractie lezen dat er in het Caribische deel van het Koninkrijk wordt gestreefd naar
het realiseren van een beschermingsniveau dat «(minimaal) beantwoordt aan de standaarden
van het gemoderniseerde verdrag.» Kunt u toelichten wat de minimale verplichting vanuit
het verdrag zou zijn? Op welke manieren zou er ambitieuzer dan het verdrag gehandeld
kunnen worden?
Het gemoderniseerde verdrag verplicht de verdragspartijen zoals gezegd hun nationale
recht een bepaalde inhoud te geven en aan datasubjecten rechtstreeks bepaalde rechten
toe te kennen. De regering verwijst hiervoor naar paragraaf 2.2 van het algemene deel
van de toelichting. Dit is de ondergrens waaraan alle verdragspartijen dienen te voldoen.
Daarnaast staat het de verdragspartijen op grond van het gemoderniseerde verdrag vrij
om regels over de bescherming van persoonsgegevens vast te stellen die een hoger niveau
van bescherming bieden dan het gemoderniseerde verdrag (artikel 13). Verdragspartijen
zouden er bijvoorbeeld voor kunnen kiezen om de aanvullende bescherming die het verdrag
biedt voor bijzondere categorieën van persoonsgegevens (artikel 6) uit te breiden
naar andere categorieën van persoonsgegevens.
20.
De leden van de D66-fractie vernemen graag op welke termijn de regering uitvoeringswetgeving voor het
Caribisch deel van het Koninkrijk verwacht met de Tweede Kamer te kunnen delen.
De regering verwijst naar de beantwoording van vraag 3.
21.
De leden van de D66-fractie vragen zich af in hoeverre de huidige wetgeving in het Caribische deel van
het Koninkrijk voor het verwerken van persoonsgegevens door veiligheids- en inlichtingendiensten
verschilt met die van het Europese deel van het Koninkrijk.
De regering heeft van de landen begrepen dat in de Wiv 2017 over het algemeen meer
is geregeld en met een grotere mate van detail dan in de landsverordeningen van de
landen in het Caribische deel van het Koninkrijk. Het gaat het bestek van deze nota
naar aanleiding van het verslag te buiten om de vier toepasselijke wetten tot in detail
met elkaar te vergelijken. Daarom wordt volstaan met de meest in het oog springende
verschillen.
Aruba
Voor de Veiligheidsdienst Aruba (VDA) vormt de Landsverordening Veiligheidsdienst
Aruba het belangrijkste wettelijk kader. De VDA ressorteert onder de Minister van
Algemene Zaken en de Minister van Justitie draagt medeverantwoordelijkheid ten aanzien
van het optreden van de VDA. In de Landsverordening VDA zijn, naast de taken, doelstelling
en bevoegdheden, ook de belangrijkste vereisten voor de verwerking van persoonsgegevens
op een vergelijkbare wijze als in de Wiv 2017 opgenomen, zoals de vereisten van noodzaak,
doelbinding, zorgvuldigheid proportionaliteit en subsidiariteit. De landsverordening
heeft op enkele onderdelen een beperktere regeling dan de Wiv 2017, zoals voor de
samenwerking met buitenlandse diensten, de inzageregeling en de (technische en organisatorische)
voorschriften ten aanzien van de bijzondere inlichtingenmiddelen. Enkele aspecten
regelt de landsverordening niet, zoals een onafhankelijke bindende toets voorafgaand
aan de inzet van bijzondere inlichtingenmiddelen, een notificatieplicht, een onderzoek
op relevantie van verworven gegevens en een klokkenluidersregeling. Ook is het wettelijk
kader voor de uitvoering van veiligheidsonderzoeken onderdeel van de landsverordening.
In Europees Nederland is dit grotendeels separaat geregeld in de Wet veiligheidsonderzoeken.
Evenals in Europees Nederland is in Aruba een commissie van toezicht belast met het
uitoefenen van toezicht op de taakuitvoering van de dienst alsmede het onderzoeken
en beoordelen van klachten over het optreden van de dienst. De Commissie kan onderzoek
doen op verzoek van de Minister van Algemene Zaken of indien zij daartoe aanleiding
ziet. Het toezicht van de commissie mondt uit in een rapport waarin een oordeel wordt
gegeven over de rechtmatigheid van het optreden van de dienst; een toezichtsrapport
kan aanbevelingen bevatten. Het rapport wordt uitgebracht aan de Minister van Algemene
Zaken en de Minister van Justitie.
Curaçao
Voor de Veiligheidsdienst Curaçao (VDC) geldt de Landsverordening Veiligheidsdienst
Curaçao. Deze landsverordening heeft veel overeenkomsten met de Landsverordening Veiligheidsdienst
Aruba. Ook de VDC ressorteert onder de Minister van Algemene Zaken, de Minister van
Justitie draagt medeverantwoordelijkheid ten aanzien van het optreden van de VDC en
in de landsverordening zijn eveneens de taken, doelstellingen en bevoegdheden van
de VDC geregeld. De VDC heeft minder taken dan de andere diensten; zo ontbreekt bijvoorbeeld
de taak om dreigings- en risicoanalyses op te stellen. Als gevolg hiervan zijn de
categorieën persoonsgegevens die door de VDC mogen worden verwerkt ook beperkter.
Dat geldt eveneens voor de bijzondere inlichtingenmiddelen die door de VDC kunnen
worden toegepast. Ook in deze landsverordening is het wettelijk kader voor de uitvoering
van veiligheidsonderzoeken opgenomen.
In Curaçao is de commissie van toezicht belast met uitoefenen van toezicht op de taakuitvoering
van de veiligheidsdienst en het onderzoeken en beoordelen van klachten. Voor het overige
is de situatie vergelijkbaar met hetgeen ter zake van de commissie van toezicht op
Aruba is bepaald.
Sint Maarten
Op grond van de Landsverordening Veiligheidsdienst Sint Maarten voert de Veiligheidsdienst
Sint Maarten haar wettelijke taken uit onder verantwoordelijkheid van de Minister
van Algemene Zaken. De Landsverordening Veiligheidsdienst Sint Maarten is gebaseerd
op de Wiv 2002 en vormt een vrij omvangrijk wettelijk kader. De Wiv 2002 is inmiddels
vervangen door de Wiv 2017. Door die wijziging zijn bijzondere bevoegdheden waarover
de AIVD en de MIVD onder de Wiv 2002 al beschikten enigszins uitgebreid en – waar
dat noodzakelijk werd geacht – nader uitgewerkt en geëxpliciteerd. Dat geldt ook voor
de bepalingen voor nationale en internationale samenwerking. Ook zijn de waarborgen
voor de taak- en bevoegdheidsuitoefening door de AIVD en MIVD versterkt. Zo is voorzien
een bindende rechtmatigheidstoets door de Toetsingscommissie Inzet Bevoegdheden (TIB)
op verleende toestemmingen voor die bevoegdheden waarmee de zwaardere inbreuken op
de privacy plaatsvinden en ook is het toezicht en de klachtbehandeling door de Commissie
van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) versterkt, vooral
waar het gaat om bindende klachtbeoordeling. Deze wijzigingen en aanvullingen zijn
beperkt gebleven tot het Europese deel van het Koninkrijk en heeft derhalve niet geleid
tot een aanpassing van de Landsverordening Veiligheidsdienst Sint Maarten.
In Sint Maarten is de commissie van toezicht belast met het toezicht op de rechtmatigheid
van de uitvoering van hetgeen bij of krachtens de Landsverordening Veiligheidsdienst
Sint Maarten is bepaald, het gevraagd en ongevraagd inlichten en adviseren van de
Minister-President, Minister van Algemene Zaken, aangaande de door de commissie geconstateerde
bevindingen alsmede het onderzoeken en het beoordelen van klachten over het optreden
van de dienst. Naar aanleiding van een onderzoek naar de rechtmatigheid van de uitvoering
van hetgeen bij of krachtens de Landsverordening Veiligheidsdienst Sint Maarten is
bepaald, stelt de commissie een toezichtsrapport op; dit toezichtsrapport is openbaar,
behoudens bepaalde vertrouwelijke gegevens zoals die welke zicht geven op de door
de dienst aangewende geheime bronnen.
4. Verwerking van persoonsgegevens op grond van de Wiv 2017
22.
De leden van de Groenlinks-PvdA-fractie merken op dat de Wiv 2017 verplicht dat er zo spoedig mogelijk, uiterlijk
binnen drie maanden, wordt medegedeeld als persoonsgegevens worden verwerkt. Wordt
hier altijd tijdig aan voldaan? Hoe controleert de regering of deze informatie ook
echt «zo spoedig mogelijk» wordt gedeeld, zo willen deze leden weten.
De Wiv 2017 kent een dergelijke verplichting niet. Wel geldt op grond van artikel 76
van de Wiv 2017 de verplichting om naar aanleiding van een inzageverzoek de verzoeker
zo spoedig mogelijk, doch uiterlijk binnen drie maanden, te informeren of en, zo ja,
welke hem betreffende persoonsgegevens door of ten behoeve van een dienst zijn verwerkt.
Deze termijn kan (eenmalig) met vier weken worden verlengd. De diensten streven ernaar
elk inzageverzoek binnen de wettelijke termijn af te handelen. Dit is vanwege het
voortdurend stijgende aantal inzageverzoeken en de aanzienlijke werklast die de uitvoering
van inzageverzoeken voor de diensten met zich meebrengt, niet altijd mogelijk. De
verzoekers worden hierover zo veel mogelijk geïnformeerd.
23.
De leden van de D66-fractie vragen waarom de regering het onnodig acht om de adviserende rol van de toezichthouders
Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) en de Toetsingscommissie
Inzet Bevoegdheden (TIB) wettelijk vast te leggen. Kan dit worden toegelicht, zo vragen
zij.
Artikel 15, derde lid, van het gemoderniseerde verdrag bepaalt dat de bevoegde toezichthoudende
autoriteiten worden geraadpleegd over wetgevingsvoorstellen of ontwerpen van bestuursrechtelijke
maatregelen die voorzien in de verwerking van persoonsgegevens. In dit verband dient
allereerst opgemerkt te worden dat alleen de afdeling toezicht van de CTIVD een toezichthoudende
autoriteit in de zin van het wijzigingsprotocol is. Zij zal ook als zodanig worden
aangewezen. De TIB toetst een door de Minister verleende toestemming voor de inzet
van bijzondere bevoegdheden op rechtmatigheid. Dit is de autorisatiefase voorafgaand
aan de inzet van (bepaalde) bijzondere bevoegdheden. De afdeling toezicht van de CTIVD
heeft een andersoortige taak en functie en ziet toe op de rechtmatige uitvoering van
de Wiv 2017 en de Wet veiligheidsonderzoeken. In aanvulling hierop heeft de afdeling
toezicht van de CTIVD in de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met
een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen aanvullende
toezichthoudende bevoegdheden gekregen, waaronder bindende toezichtsbevoegdheden.
Artikel 15, derde lid, van het gemoderniseerde verdrag bevat een materiële verplichting
die geen wetswijziging vergt. Deze verplichting is vastgelegd in beleid (het Draaiboek
voor de Regelgeving) en ook in de praktijk wordt aan deze verplichting voldaan. Voorgenomen
wet- en regelgeving die raakt aan de taakuitoefening van de CTIVD (en ook van de TIB)
wordt voor advies voorgelegd aan deze instanties. Dit is een verschil met bijvoorbeeld
de AVG, waar de adviserende rol van de AP als taak is geformuleerd.
5. Advies en consultatie
24.
De leden van de GroenLinks-PvdA-fractie vragen welke rol de bewindspersoon heeft die toeziet op digitalisering bij
de verdere uitwerking, aanpassing en controle op de Wiv 2017? Hoe blijft de bewindspersoon
maximaal betrokken om toe te zien dat de Wiv 2017 voldoet en bijdraagt aan de ambities
voor waardengedreven digitalisering?
Zoals aangegeven in de Kamerbrief hoofdlijnen beleid voor digitalisering zal de Staatssecretaris
voor Digitalisering met het hele kabinet uitvoering geven aan de afspraken in het
coalitieakkoord ten aanzien van digitalisering. Onder haar regie zal de Rijksoverheid
volop inzetten op het benutten van de kansen die de digitale transitie ons biedt en,
meer dan voorheen, normerend optreden naar publieke en private partijen.20 Dit laat onverlet dat de bewindspersonen eindverantwoordelijk blijven voor digitalisering
op de eigen beleidsterreinen. Dit betekent dat de Ministers van BZK en Defensie primair
verantwoordelijk blijven voor gegevensbescherming en eventuele norm- en kaderstelling
ten aanzien van de AIVD respectievelijk de MIVD. Daarbij zal wel zo veel mogelijk
aangesloten worden bij de ambities voor waardengedreven digitalisering.
B. ARTIKELSGEWIJZE TOELICHTING
Artikel 2
25.
De leden van de GroenLinks-PvdA-fractie vragen hoe het doel om elk individu, ongeacht nationaliteit of woonplaats,
goed te beschermen, rijmt met de flexibiliteit die het verdrag toe laat voor deelnemende
landen om zelf de afweging te maken tussen veilige omgang met persoonsgegevens en
andere nationale belangen? Is de regering het met de leden eens dat dit logischerwijs
leidt tot verschillende niveaus van bescherming in verschillende landen?
De regering verwijst naar de beantwoording van de vragen 12, 13 en 19.
Artikel 7
26.
De leden van de GroenLinks-PvdA-fractie merken op dat dit artikel bepaalt dat betrokkenen volledig geïnformeerd dienen
te worden over de verwerking van hun gegevens. Echter, in acht nemend dat privacy-verklaringen
amper worden gelezen, is het toch aannemelijk dat veel mensen niet volledig geïnformeerd
zijn over wat er met hun data gebeurt? Welke eisen voor toegankelijkheid bepaalt dit
artikel? Zijn er standaarden voor het zo begrijpelijk en duidelijk mogelijk informeren
over de verwerking van persoonsgegevens?
De regering gaat ervan uit dat de leden doelen op het vereiste uit artikel 5 van de
gemoderniseerde conventie dat persoonsgegevens «op behoorlijke en transparante wijze
worden verwerkt» (vierde lid, onder a), in combinatie met de door het artikel geboden
mogelijkheid om in het nationale recht te regelen dat gegevensverwerking gebaseerd
kan zijn op de «vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming van
de betrokkene» (tweede lid).
Het is inderdaad van belang dat betrokkenen volledig en op begrijpelijke wijze worden
geïnformeerd over de verwerking van hun persoonsgegevens. Een belangrijke doelstelling
van het moderne gegevensbeschermingsrecht is immers om de betrokkene meer controle
te geven over de verwerking van op hem of haar betrekking hebbende persoonsgegevens.
Een noodzakelijke voorwaarde voor het kunnen uitoefenen van die controle is dat de
betrokkene van tevoren weet (of in ieder geval kan weten) hoe zijn of haar persoonsgegevens
zullen worden verwerkt. Het in de gemoderniseerde conventie vastgelegde transparantiebeginsel
(artikel 8) draagt hieraan bij. Dit beginsel vereist van de verwerkingsverantwoordelijke
dat hij transparant handelt bij het verwerken van persoonsgegevens, om eerlijke verwerking
te garanderen en om betrokkenen in staat te stellen hun rechten te begrijpen en dus
volledig uit te oefenen in de context van deze gegevensverwerking. Daartoe dient de
verwerkingsverantwoordelijke de betrokkene van tevoren bepaalde essentiële informatie
te verstrekken (o.a. over de categorieën van de te verwerken gegevens). Deze informatie
moet gemakkelijk toegankelijk, leesbaar, begrijpelijk en aangepast zijn aan de betrokkenen
(bijvoorbeeld, waar nodig, in een kindvriendelijke taal).21
Indien de gegevensverwerking is gebaseerd op de toestemming van de betrokkene, dient
deze toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven.
Dit vereiste is vastgelegd in artikel 5, tweede lid, van de gemoderniseerde conventie.
Dat toestemming geïnformeerd moet zijn gegeven houdt onder meer in dat de betrokkene
moet worden uitgelegd wat de implicaties van zijn of haar beslissing zijn (wat het
feit dat hij of zij toestemming geeft inhoudt en de mate waarin toestemming wordt
gegeven). De toestemming mag bovendien niet als vrijwillig gegeven worden beschouwd
wanneer de betrokkene geen echte of vrije keuze heeft of niet in staat is zijn toestemming
zonder benadeling te weigeren of in te trekken.22 Daarbij gaat de gemoderniseerde conventie ervan uit dat wanneer gegevensverwerking
is gebaseerd op toestemming, de betrokkene, in plaats van gebruik te maken van het
recht op bezwaar (artikel 8, eerste lid, onder d), de toestemming ook kan intrekken.23
De Minister voor Rechtsbescherming, F.M. Weerwind
Ondertekenaars
-
Eerste ondertekenaar
F.M. Weerwind, minister voor Rechtsbescherming
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.