Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag van de Staten van Curaçao

Nr. 10 NOTA NAAR AANLEIDING VAN HET VERSLAG VAN DE STATEN VAN CURAÇAO

Ontvangen 24 september 2025

De regering dankt de Staten van Curaçao voor hun verslag van 17 oktober 2024 met betrekking
tot het voorstel van rijkswet tot goedkeuring van het op 28 januari 1981 te Straatsburg
tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens en het op 10 oktober 2018 te Straatsburg tot stand
gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking
tot de geautomatiseerde verwerking van persoonsgegevens. Met veel belangstelling hebben
wij kennis genomen van de vragen en opmerkingen van de leden van de PNP-, MFK- en
MAN-fracties. In deze nota gaan wij, mede namens de Minister van Buitenlandse Zaken,
de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie,
in op de vragen en opmerkingen in het verslag. De gestelde vragen worden hierna genummerd
weergegeven. Bij de beantwoording daarvan is de volgorde van het verslag aangehouden,
met dien verstande dat ter wille van de leesbaarheid in enkele gevallen is verwezen
naar reeds eerder in deze nota gegeven antwoorden.

1. Op- en aanmerkingen vanuit de fracties

1.1. Vragen en opmerkingen vanuit de PNP-fractie

De PNP-fractie merkt het volgende op. Het gaat hier om een belangrijke en waardevolle voorstel van
rijkswet. Gelet op de internationale ontwikkelingen is het voor het land Curaçao belangrijk
te weten wat met dit protocol wordt geregeld. Het onderhavige voorstel van rijkswet
houdt de goedkeuring in van het Verdrag tot bescherming van personen met betrekking
tot de geautomatiseerde verwerking van persoonsgegevens (Trb. 2018, 201 en Trb. 2023, 54). Dit verdrag geldt voor alle landen van het Koninkrijk en is internationaal aanvaard.
Het protocol bevat een substantieel aantal wijzigingen van het verdrag. Het verdrag
is in het verleden tot stand gekomen in het kader van ontwikkelingen op het gebied
van digitale technologie, zoals het veelvuldige gebruik van computers en internet.
Inmiddels is dit verdrag verouderd en past het niet meer bij de tijd. Dit komt door
de snelle ontwikkelingen, met name op het gebied van grensoverschrijdende verwerking
van gegevens, technologie en communicatie. Het protocol heeft tot doel de eerder door
het Koninkrijk getekende verdragen te moderniseren. Met dit voorstel worden de persoonsgegevens
in overeenstemming gebracht met de Algemene Verordening Gegevensbescherming (AVG)
van de Europese Unie. Het protocol wordt aldus integraal gewijzigd. Deze wijziging
geldt voor alle landen van het Koninkrijk.

In het bestaande verdrag hebben de lidstaten nog altijd de mogelijkheid bepaalde sectoren
of activiteiten uit te sluiten. Deze mogelijkheid wordt met dit protocol afgeschaft.
Reden te meer voor de regering van Curaçao om extra oplettend te zijn en mogelijk
een voorbehoud te maken ten aanzien van bepaalde onderwerpen. Het gaat hier immers
om persoonsgegevens, waaronder de voornaam, achternaam, geslacht en andere gegevens
die betrekking hebben op een persoon. De bescherming van bijzondere persoonsgegevens
wordt door dit protocol versterkt. Met dit protocol worden een aantal nieuwe rechten
ingevoerd. Enerzijds worden de rechten van de gegevenshouders versterkt, anderzijds
legt het protocol verplichtingen op aan gegevensverwerkers om zeer nauwkeurig om te
gaan met gegevensverwerking. Het toezicht op en de bewaking van de persoonsgegevens
wordt op grond van het verdrag uitgevoerd door de Autoriteit Persoonsgegevens.

De fractie stelt eerst enkele algemene vragen en gaat vervolgens in op de implicaties
van het protocol.

1.

Waarom is ratificatie van dit protocol nu nodig?

Ratificatie van het wijzigingsprotocol is om verschillende redenen van belang. Om
te beginnen is Conventie 108 een belangrijk verdrag voor het Koninkrijk. Het is wereldwijd
het enige verdrag inzake de bescherming van persoonsgegevens en staat ook open voor
staten die geen lid zijn van de Raad van Europa. Door de snelle ontwikkelingen in
de digitale technologie en de gegevensverwerking dreigt het verdrag echter achterhaald
te raken, zoals de leden van de PNP-fractie terecht opmerken. Tegen die achtergrond
heeft de Raad van Europa besloten het verdrag te moderniseren. Het wijzigingsprotocol
brengt het verdrag in lijn met het EU-gegevensbeschermingsrecht, in het bijzonder
de AVG. Het creëert een uitgebalanceerd systeem van gegevensbescherming dat een hoog
niveau van bescherming voor de betrokkenen verenigt met de nodige flexibiliteit voor
de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen
andere fundamentele rechten, vrijheden en belangen. Dit zou het voor al die landen
die erover nadenken om een systeem voor gegevensbescherming op te zetten of een bestaand
systeem te versterken, aantrekkelijk moeten maken om tot het gemoderniseerde verdrag
toe te treden.1 Het gemoderniseerde verdrag kan zo een belangrijke bijdrage leveren aan de wereldwijde
versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking
van persoonsgegevens. Ratificatie van het wijzigingsprotocol past daarmee in het staande
beleid van het Koninkrijk dat is gericht op het bevorderen en ondersteunen van internationaal
aanvaarde normen en afspraken met betrekking tot de rechten van de mens en aanverwante
terreinen.

Ratificatie van het wijzigingsprotocol biedt aan de landen van het Koninkrijk een
algemene en internationaal aanvaarde standaard voor de bescherming van persoonsgegevens.
Bescherming van persoonsgegevens is in alle landen van het Koninkrijk een grondrecht.
Door de komst van met name de AVG2 en Richtlijn 2016/6803 is echter een uiteenlopend niveau van gegevensbescherming binnen het Koninkrijk ontstaan.
Dit is niet alleen onwenselijk vanuit een oogpunt van gelijkwaardige bescherming van
grondrechten binnen het Koninkrijk, maar het heeft ook nadelige praktische gevolgen.
Het bemoeilijkt namelijk de onderlinge uitwisseling van persoonsgegevens tussen de
vier landen. Dat heeft te maken met de strenge eisen die het EU-gegevensbeschermingsrecht
stelt aan de doorgifte van persoonsgegevens naar landen en gebieden waar het EU-gegevensbeschermingsrecht
niet van toepassing is, waaronder de Caribische delen van het Koninkrijk.

Daarnaast heeft Europees Nederland een specifiek belang bij ratificatie van het wijzigingsprotocol.
Door Conventie 108 in lijn te brengen met de AVG en het overige EU-gegevensbeschermingsrecht,
zorgt het protocol er namelijk voor dat Europees Nederland niet langer onderworpen
is aan verschillende of zelfs tegenstrijdige verplichtingen uit hoofde van het recht
van de EU en het recht van de Raad van Europa.

2.

Wat zijn de concrete problemen die dit protocol oplost in de Curaçaose context? Zijn
er actuele voorbeelden van problemen met de geautomatiseerde verwerking van persoonsgegevens
die door dit protocol worden aangepakt?

Het van toepassing worden van Conventie 108+ op Curaçao zal de bescherming van persoonsgegevens
versterken. De verhoging van het niveau van gegevensbescherming zal tegelijkertijd
de grensoverschrijdende handel en samenwerking faciliteren, zowel binnen het Koninkrijk
als tussen Curaçao en derde landen die partij zijn bij het gemoderniseerde verdrag.

Het van toepassing worden van Conventie 108+ zal om te beginnen barrières wegnemen
die momenteel in de weg staan aan de vrije uitwisseling van persoonsgegevens tussen
Europees Nederland en Curaçao. De AVG en het overige EU-gegevensbeschermingsrecht
kennen een restrictief regime voor de grensoverschrijdende doorgifte van persoonsgegevens.
Dit regime houdt in dat (structurele) doorgiften aan een derde land slechts mogelijk
zijn als het betreffende derde land door de Commissie is erkend als land dat een passend
beschermingsniveau waarborgt. Hiertoe kan de Commissie een zogeheten «adequaatheidsbesluit»
nemen (artikel 45 AVG en 36 Richtlijn 2016/680). Dit regime geldt ook voor doorgiften
naar Curaçao en de andere Caribische Koninkrijksdelen. Deze Koninkrijksdelen worden
vanuit het perspectief van het EU-recht namelijk als «derde land» beschouwd.

Bij ontstentenis van een adequaatheidsbesluit, zijn structurele doorgiften aan derde
landen slechts mogelijk als de gegevens-exporteur voorziet in «passende waarborgen»
voor de bescherming persoonsgegevens (artikel 46 AVG en 37 Richtlijn 2016/680). Dergelijke
waarborgen kunnen onder meer worden geboden door een juridisch bindend instrument
zoals Conventie 108+. Bij gebrek aan een dergelijk juridisch bindend instrument moet
de gegevensexporteur per geval voorzien in ad hoc-waarborgen, bijvoorbeeld in de vorm
van bepalingen over de bescherming van de door te geven persoonsgegevens die zijn
opgenomen in een overeenkomst tussen partijen of een administratieve regeling tussen
bestuursorganen. De noodzaak tot het gebruik van dergelijke ad hoc-waarborgen bemoeilijkt
momenteel de samenwerking tussen Europees Nederland en de Caribische Koninkrijksdelen,
bijvoorbeeld als het gaat om de uitwisseling van justitiële gegevens en het gebruik
daarvan ten behoeve van het onderzoek met het oog op de afgifte van een Verklaring
Omtrent het Gedrag (VOG).

De regering is ervan overtuigd dat de gemoderniseerde Conventie 108, mits volledig
en correct geïmplementeerd, passende waarborgen biedt voor de bescherming van persoonsgegevens,
als bedoeld in artikel 46 AVG en 37 Richtlijn 2016/680. De door de gemoderniseerde
Conventie voorgeschreven minimumnormen voor de bescherming van persoonsgegevens zijn
immers volledig in lijn met het EU-gegevensbeschermingsrecht en omvatten afdwingbare
rechten en effectieve rechtsmiddelen, waaronder de mogelijkheid voor betrokkenen om
een klacht in te dienen bij een onafhankelijke gegevensbeschermingsautoriteit. Deelname
aan Conventie 108+ wordt vanuit het EU-gegevensbeschermingsrecht dan ook als een relevante
factor wordt beschouwd bij de beoordeling door de Commissie of een derde land een
«passend beschermingsniveau» waarborgt.4 Al met al zal het van kracht worden van Conventie 108 voor Curaçao en de overige
Caribische Koninkrijksdelen niet alleen leiden tot een meer gelijkwaardige bescherming
van persoonsgegevens binnen het Koninkrijk, maar ook de grensoverschrijdende uitwisseling
van persoonsgegevens effectiever en eenvoudiger maken.

Dit laatste geldt niet alleen voor de uitwisseling van persoonsgegevens binnen het
Koninkrijk, maar ook voor internationale doorgiften aan andere verdragspartijen. Een
belangrijke doelstelling van Conventie 108+ is namelijk om de vrije uitwisseling van
persoonsgegevens tussen de verdragspartijen te faciliteren. Op grond van artikel 14
van het gemoderniseerde verdrag is het verdragspartijen daartoe niet toegestaan om
«uitsluitend met het oog op de bescherming van persoonsgegevens, de doorgifte van
dergelijke gegevens aan een ontvanger die onder de rechtsmacht van een andere Partij
bij het Verdrag valt, [te] verbieden of aan een bijzondere machtiging [te] onderwerpen».5 De ratio achter deze regel is dat van alle partijen, die de gemeenschappelijke kern
van gegevensbeschermingsbepalingen van het verdrag hebben onderschreven, wordt verwacht
dat zij een passend geacht beschermingsniveau bieden en daarom in beginsel het vrije
verkeer van persoonsgegevens toestaan.

Momenteel is Conventie 108 van kracht voor 55 staten, waaronder drie landen in de
Zuid-Amerikaanse regio (Mexico, Uruguay en Argentinië). Het van kracht worden van
de gemoderniseerde Conventie 108 voor Curaçao zal het voor bedrijven en organisaties
uit al deze landen eenvoudiger maken om persoonsgegevens door te geven aan Curaçao.
Deze doorgifte mag door de verdragspartijen immers niet worden verboden of aan een
speciale toestemming worden onderworpen. In het huidige digitale tijdperk, waarin
internationale handel en samenwerking in toenemende mate gepaard gaat met de grensoverschrijdende
doorgifte van persoonsgegevens, is dit een groot voordeel. Het vermindert de transactiekosten
van buitenlandse bedrijven die diensten willen verlenen of goederen willen leveren
aan klanten op Curaçao. Ook kan het leveren van digitale diensten vanuit bedrijven
in Curaçao worden bevorderd, aangezien voor de internationale afnemers van deze diensten
de gegevensbescherming aan een hoge standaard voldoet. Zodoende kan het van kracht
worden van de gemoderniseerde Conventie 108 op Curaçao een bijdrage leveren aan versterking
van de lokale economie.

3.

Welke impact heeft dit protocol op de autonomie van Curaçao in het reguleren van gegevensbescherming?
Beperkt dit protocol de mogelijkheden voor Curaçao om eigen, specifieke regels te
stellen die beter aansluiten bij de lokale context?

De door het wijzigingsprotocol gemoderniseerde Conventie 108 beperkt Curaçao niet
in het stellen van eigen, specifieke regels die beter aansluiten bij de lokale context.
De verdragspartijen hebben bij het ontwerp van de gemoderniseerde conventie bewust
gekozen voor een technologieneutrale, op beginselen gebaseerde opzet. Zoals in de
memorie van toelichting6 is uitgelegd, beoogt de gemoderniseerde conventie te voorzien in een toekomstbestendig
en uitgebalanceerd systeem van gegevensbescherming, dat een hoog niveau van bescherming
voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen
om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele
rechten, vrijheden en belangen. Door de verdragspartijen is nadrukkelijk beoogd deze
flexibiliteit ook onder het gewijzigde verdrag te handhaven. Artikel 13 van de gemoderniseerde
conventie bepaalt dat de daarin opgenomen beginselen van gegevensbescherming het karakter
van minimumnormen hebben. Het artikel benadrukt dat deze beginselen slechts een basis
vormen waarop partijen een geavanceerder beschermingssysteem kunnen opbouwen. De gemoderniseerde
conventie laat al met al de nodige ruimte aan verdragspartijen om eigen, specifieke
regels te stellen bij de implementatie van het verdrag in het nationale rechtsstelsel.

4.

Zijn er voldoende waarborgen ingebouwd om te voorkomen dat dit protocol leidt tot
onevenredige beperkingen van de grondrechten van burgers, met name het recht op privacy?
Hoe wordt de balans bewaakt tussen gegevensbescherming en andere belangen, zoals nationale
veiligheid of economische groei?

De gemoderniseerde conventie voorziet in een uitgebalanceerd systeem van gegevensbescherming,
dat strekt tot het bieden van een hoog niveau van bescherming voor de datasubjecten.
De conventie voorziet bovendien in de nodige flexibiliteit voor de verdragspartijen
om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele
rechten, vrijheden en belangen. In lijn met artikel 8 van het Europees Verdrag tot
bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) gaat de
gemoderniseerde conventie ervan uit dat het recht op bescherming van persoonsgegevens
geen absoluut recht is. De precieze voorwaarden waaronder de verdragspartijen uitzonderingen
mogen maken op de bepalingen van het verdrag zijn vastgelegd in het nieuwe artikel 11.
Deze bepaling bevat een nauwkeurige omschrijving van deze voorwaarden. De bepaling
biedt daarmee een solide waarborg tegen maatregelen of activiteiten van de verdragspartijen
waardoor de fundamentele rechten van betrokkenen, in het bijzonder het recht op bescherming
van persoonsgegevens, op onevenredige wijze worden ingeperkt.

Zoals in de memorie van toelichting is uitgelegd, geeft artikel 11 van de gemoderniseerde
conventie een limitatieve opsomming van de uitzonderingen die door de verdragspartijen
mogen worden gemaakt op de materiële bepalingen van het verdrag. Deze uitzonderingen
worden door het verdrag verbonden aan nader gespecificeerde doeleinden. Zo mogen er
bijvoorbeeld uitzonderingen worden gemaakt ten behoeve van de bescherming van andere
fundamentele rechten of vrijheden (met name de vrijheid van meningsuiting) of van
zwaarwegende belangen of staatsaangelegenheden zoals opsporing, nationale veiligheid
en defensie, mits de uitzondering bij wet is voorzien, de essentie van de fundamentele
rechten en vrijheden eerbiedigt en noodzakelijk en proportioneel is in een democratische
samenleving. De uitzonderingen zijn toegestaan ten aanzien van de eisen die worden
gesteld aan een behoorlijke gegevensverwerking, zoals de eisen van transparantie,
doelbinding en dataminimalisatie (nieuw artikel 5, vierde lid), de meldplicht datalekken
(nieuw artikel 7, tweede lid), de plicht om aan een datasubject informatie te verstrekken
over de verwerking van persoonsgegevens (nieuw artikel 8, eerste lid) en de rechten
van het datasubject (nieuw artikel 9). Voor doelen als archivering, onderzoek en statistiek
staat het gewijzigde verdrag ook uitzonderingen toe op de transparantieverplichtingen
uit het nieuwe artikel 8 en de rechten van het datasubject uit het nieuwe artikel 9.

Voor activiteiten op het vlak van de nationale veiligheid en de defensie kunnen de
verdragspartijen daarnaast nog aanvullende uitzonderingen maken, mits deze uitzonderingen
bij wet zijn voorzien en voor zover de getroffen maatregelen in een democratische
samenleving noodzakelijk en evenredig zijn om een dergelijk doel te bereiken. Deze
uitzonderingsmogelijkheden zien op de mogelijkheid dat het Verdragscomité evaluaties
verricht (nieuw artikel 4, derde lid), op de bepalingen die verplichten de doorgiften
van persoonsgegevens aan derde landen te melden en door een onafhankelijke toezichthouder
te laten beoordelen (nieuw artikel 14, vijfde en zesde lid), en op de bevoegdheden
van de nationale toezichthouder die worden genoemd in het nieuwe artikel 15, tweede
lid, onder a, b, c en d. Deze uitzonderingsmogelijkheden doen echter geen afbreuk
aan de eis dat verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden
onderworpen dienen te zijn aan onafhankelijk en effectief toezicht op grond van nationale
wetgeving.

5.

Hoe verhoudt dit protocol zich tot de Algemene Verordening Gegevensbescherming (AVG)
van de Europese Unie, die ook van toepassing is op Curaçao? Leidt dit protocol tot
conflicten of overlappingen met de AVG? Zo ja, hoe worden deze opgelost?

Vooraf merkt der regering op dat de AVG niet geldt voor het land Curaçao. Wel is het
zo – en de regering vermoedt dat de leden van de PNP-fractie hierop doelen – dat de
AVG van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich
in de EU bevinden, door een in Curaçao gevestigde verwerkingsverantwoordelijke of
verwerker, wanneer de verwerking verband houdt met (a) het aanbieden van goederen
of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen
is vereist, of (b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie
plaatsvindt (zie artikel 3, tweede lid, AVG).

Een belangrijke doelstelling van het wijzigingsprotocol is om het niveau van de gegevensbescherming
dat uit hoofde van Conventie 108 wordt geboden in lijn te brengen met het beschermingsniveau
dat wordt geboden door het EU-gegevensbeschermingsrecht, in het bijzonder de AVG.
Dit was in het bijzonder voor de EU-lidstaten, die allen partij zijn bij het verdrag,
een belangrijke doelstelling van het wijzigingsprotocol. Door de in 2012 in gang gezette
modernisering van het EU-gegevensbeschermingsrecht ontstond voor deze verdragspartijen
namelijk het risico dat zij zouden worden onderworpen aan verschillende of zelfs tegenstrijdige
verplichtingen uit hoofde van het recht van de EU en het recht van de Raad van Europa.
Bij de onderhandelingen over het wijzigingsprotocol is dan ook de nodige aandacht
besteed aan de gewenste harmonisering van het verdrag met de AVG en het overige EU-gegevensbeschermingsrecht.
De regering verwijst hiervoor naar paragraaf 2.1 van de memorie van toelichting en
naar de nota naar aanleiding van het verslag van de vaste commissie voor Digitale
Zaken van de Tweede Kamer (beantwoording vraag 17).7 Daarbij is zoals gezegd geopteerd voor een technologieneutrale, op beginselen gebaseerde
opzet, die de verdragspartijen een zekere flexibiliteit biedt bij de implementatie
van het verdrag in het nationale recht. Dit heeft ook geleid tot een verdragstekst
die minder gedetailleerd is dan de AVG. Al met al is de regering om de hiervoor genoemde
redenen niet bevreesd voor conflicten of overlappingen met de AVG.

6.

Het protocol introduceert het concept van «geautomatiseerde besluitvorming», inclusief
profiling. Welke specifieke maatregelen worden genomen om te voorkomen dat burgers
in Curaçao onevenredig worden benadeeld door geautomatiseerde besluiten? Hoe wordt
inzicht en controle door burgers gegarandeerd over dit soort besluitvorming?

Artikel 9, eerste lid, onder a, van het gemoderniseerde verdrag geeft betrokkenen
het recht om niet te worden onderworpen aan een besluit dat belangrijke gevolgen voor
hen zal hebben en dat uitsluitend is gebaseerd op geautomatiseerde verwerking zonder
dat hun standpunten in aanmerking werden genomen. Het vereiste om rekening te houden
met de mening van betrokkene wanneer besluiten uitsluitend zijn gebaseerd op geautomatiseerde
verwerking, houdt volgens punt 75 van de toelichtende nota van de Raad van Europa
bij het wijzigingsprotocol (Explanatory Report)8 in dat de betrokkene het recht heeft om een dergelijk besluit aan te vechten en in
staat moet zijn om elke onjuistheid in de persoonsgegevens die de verwerkingsverantwoordelijke
gebruikt, te betwisten en de relevantie van het op hem toegepaste profiel in twijfel
te trekken. Op grond van artikel 9, tweede lid, van het wijzigingsprotocol kan een
betrokkene dit recht echter niet uitoefenen indien het geautomatiseerde besluit is
toegestaan door een wet of landsverordening die op de verwerkingsverantwoordelijke
van toepassing is en die ook voorziet in passende maatregelen ter bescherming van
diens rechten, vrijheden en gerechtvaardigde belangen. Het is aan de wetgever om de
belangen af te wegen bij het ontwikkelen en tot stand brengen van een dergelijke regeling.

Daarnaast hebben betrokkenen op grond van artikel 9, eerste lid, onder c, het recht
om op verzoek kennis te nemen van de onderliggende motivering van de gegevensverwerking.
Het Explanatory Report geeft in punt 77 het voorbeeld van de (geautomatiseerde) beoordeling van iemands
kredietwaardigheid. Betrokkenen moeten het recht hebben om niet enkel de positieve
of negatieve score over zichzelf te kennen, maar ook de redenering die werd gevolgd
tijdens de verwerking van hun persoonsgegevens en tot het besluit heeft geleid. Een
beter inzicht in deze redenering draagt volgens deze toelichting bij tot de daadwerkelijke
uitoefening van andere fundamentele waarborgen, zoals het recht van bezwaar en het
recht om een klacht in te dienen bij een bevoegde toezichthoudende autoriteit (zie
de artikelen 9, eerste lid, onder d en 15 van het gemoderniseerde verdrag).

7.

Het protocol stelt eisen aan de beveiliging van persoonsgegevens. Zijn deze eisen
voldoende streng, gezien de toenemende dreiging van cyberaanvallen en datalekken?
Welke concrete maatregelen worden genomen om de veiligheid van persoonsgegevens in
Curaçao te waarborgen?

Het gemoderniseerde verdrag stelt eisen aan de beveiliging van persoonsgegevens die
vergelijkbaar zijn met de eisen die de AVG op dit punt stelt. De regering meent dat
deze eisen voldoende streng zijn, ook gelet op het gevaar van cyberaanvallen en datalekken.

Net als het huidige verdrag (artikel 7), verplicht het gemoderniseerde verdrag de
verdragspartijen om in hun nationale recht te regelen dat de verwerkingsverantwoordelijke
of verwerker passende beveiligingsmaatregelen treft tegen risico's als onopzettelijke
ongeoorloofde toegang tot, of vernietiging, verlies, gebruik, wijziging of verstrekking
van persoonsgegevens (nieuw artikel 7, eerste lid). De hier voorgeschreven verplichting
heeft het karakter van een zorgplicht. Het is aan de verwerkingsverantwoordelijke
of verwerker om van geval tot geval te bepalen wat «passende» beveiligingsmaatregelen
zijn. Volgens punt 62 van het Explanatory Report kunnen dergelijke passende beveiligingsmaatregelen zowel van organisatorische als
technische aard zijn. Zij kunnen bijvoorbeeld bestaan uit het voorschrijven van een
geheimhoudingsplicht of de versleuteling van persoonsgegevens (Explanatory Report, punt 56). Bij het bepalen van de te nemen beveiligingsmaatregelen dienen de verwerkingsverantwoordelijke
of de verwerker rekening te houden met verschillende aspecten, zoals de aard en het
volume van de verwerkte persoonsgegevens, de mogelijke nadelige gevolgen van een datalek
voor betrokkenen en de noodzaak om de kring van personen met toegangsrechten tot de
gegevens te beperken. Hierbij dient ook de huidige stand van de techniek voor beveiliging
van gegevensverwerking in beschouwing te worden genomen. De kosten van dergelijke
maatregelen moeten in verhouding staan tot de ernst en waarschijnlijkheid van potentiële
risico’s. De beveiligingsmaatregelen dienen tot slot regelmatig te worden geëvalueerd
zodat deze zo nodig kunnen worden bijgewerkt (Explanatory Report, punt 62 en 63).

Nieuw ten opzichte van het huidige verdrag is de verplichting voor verdragspartijen
om in hun nationale recht een meldplicht voor datalekken te regelen (nieuw artikel 7,
tweede lid). Deze regeling dient in te houden dat de verwerkingsverantwoordelijke
onverwijld ten minste de bevoegde toezichthoudende autoriteit in de zin van artikel 15
van het verdrag in kennis stelt van datalekken die een ernstige inbreuk kunnen vormen
op de rechten en fundamentele vrijheden van de betrokkenen (vgl. artikel 33 AVG).
Het Explanatory Report noemt als voorbeeld van een dergelijk ernstig datalek de onthulling van persoonsgegevens
die vallen onder een beroepsgeheim. In een dergelijk geval dient de verwerkingsverantwoordelijke
tenminste de bevoegde toezichthoudende autoriteit op de hoogte te stellen van het
incident. De verwerkingsverantwoordelijke dient daarbij tevens melding te doen van
alle voorgestelde of reeds genomen maatregelen om het datalek en de gevolgen ervan
te adresseren (Explanatory Report, punt 65). De melding van het datalek aan de toezichthoudende autoriteit sluit niet
uit dat de verwerkingsverantwoordelijke ook nog andere meldingen doet, of daartoe
door de toezichthoudende autoriteit wordt verplicht. Hierbij kan in de eerste plaats
worden gedacht aan melding van het datalek aan de betrokkenen, in het bijzonder wanneer
het datalek waarschijnlijk leidt tot een significant risico voor hun rechten en vrijheden,
zoals in geval van discriminatie, identiteitsdiefstal- of fraude, financiële schade,
reputatieverlies of de onthulling van vertrouwelijke gegevens vallend onder een wettelijk
beroepsgeheim. In een dergelijke situatie dient de verwerkingsverantwoordelijke adequate
en zinvolle informatie te verschaffen over, in het bijzonder, de contactpersonen en
mogelijke maatregelen die de betrokkene kan treffen om de nadelige gevolgen van het
datalek te mitigeren (Explanatory Report, punt 65).

8.

Hoe wordt de handhaving van dit protocol gewaarborgd? Welke instanties zijn verantwoordelijk
voor toezicht en handhaving? Beschikken deze instanties over voldoende middelen en
bevoegdheden om effectief op te treden?

Het wijzigingsprotocol voorziet in twee mechanismen voor de handhaving van het gemoderniseerde
verdrag. Beide mechanismen bestaan al onder het huidige verdrag, maar worden door
het wijzigingsprotocol versterkt.

Het eerste mechanisme betreft de door het verdrag ingestelde Adviescommissie. De Adviescommissie
bestaat uit vertegenwoordigers van de verdragspartijen en heeft onder andere de taak
om, op verzoek van een verdragspartij, te adviseren over vraagstukken betreffende
de toepassing van het verdrag. Zoals de naam al doet vermoeden, heeft de Adviescommissie
vooral een adviserende rol. Het wijzigingsprotocol vervangt de Adviescommissie door
een nieuw op te richten Verdragscomité, dat naast een adviserende, ook een toezichthoudende
rol vervult. Het wijzigingsprotocol kent het Verdragscomité daartoe enkele nieuwe
taken toe, waaronder het evalueren van de uitvoering van het verdrag door de verdragspartijen
en het aanbevelen van maatregelen die moeten worden genomen wanneer een verdragspartij
het verdrag niet naleeft (artikel 23, onder h, van het gemoderniseerde verdrag). Iedere
verdragspartij verbindt zich ertoe het Verdragscomité in staat te stellen de doeltreffendheid
te beoordelen van de maatregelen die zij in haar regelgeving heeft genomen om uitvoering
te geven aan de bepalingen van het verdrag en om actief bij te dragen aan dit evaluatieproces
(artikel 4, derde lid, van het gemoderniseerde verdrag). De Adviescommissie werkt
momenteel aan de uitwerking van het evaluatiemechanisme. Er is inmiddels een deskundigenverslag
en een vragenlijst goedgekeurd over hoe dit mechanisme zou kunnen werken. Zodra het
gemoderniseerde verdrag in werking treedt, is het aan het nieuw te vormen Verdragscomité
om een nieuw reglement van orde en een toetsings- en evaluatiemechanisme aan te nemen,
aangezien de huidige Adviescommissie niet voor het nieuw te vormen Verdragscomité
kan beslissen. Het Verdragscomité zal, net als de huidige Adviescommissie, uit de
middelen van de Raad van Europa worden gefinancierd.

Het tweede mechanisme betreft de verplichting voor verdragspartijen om een of meer
onafhankelijke autoriteiten aan te wijzen die verantwoordelijk zijn voor het toezicht
op de naleving van de bepalingen van Conventie 108. Deze verplichting geldt op dit
moment alleen voor de 44 verdragspartijen die partij zijn bij het Aanvullend Protocol
bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend
verkeer van gegevens (Trb. 2003, 122 en Trb. 2003, 165, hierna: het Aanvullend Protocol). Voor wat betreft het Koninkrijk der Nederlanden
geldt de verplichting alleen voor Europees en Caribisch Nederland. Het wijzigingsprotocol
incorporeert deze verplichting in het gemoderniseerde verdrag en breidt de taken en
bevoegdheden waarover deze toezichthoudende autoriteiten dienen te beschikken uit.
Onder het huidige verdrag dienen deze autoriteiten reeds te beschikken over onderzoeks-
en interventiebevoegdheden en de bevoegdheid om in rechte op te treden tegen schendingen
van nationaal recht waarmee het verdrag wordt geïmplementeerd dan wel om de bevoegde
gerechtelijke autoriteiten op dergelijke schendingen te attenderen. Daarnaast dienen
zij klachten, ingediend door personen over de verwerking van hun persoonsgegevens,
te behandelen. Het wijzigingsprotocol breidt dit taken- en bevoegdhedenpakket uit
en brengt het in lijn met door de AVG voorgeschreven taken- en bevoegdhedenpakket
van nationale toezichthoudende autoriteiten. Zo dienen de toezichthoudende autoriteiten
op grond van het gemoderniseerde verdrag te beschikken over de bevoegdheid om besluiten
te nemen over schendingen van de bepalingen van het verdrag en met name om bestuurlijke
sancties op te leggen (vgl. artikel 58 en 83 AVG). Op grond van artikel 11, derde
lid, van het gemoderniseerde verdrag zijn hierop beperkte uitzonderingen mogelijk
voor zover het verwerkingsactiviteiten voor nationale veiligheids- en defensiedoeleinden
betreft. Het is de verantwoordelijkheid van de verdragspartijen om ervoor te zorgen
dat de toezichthoudende autoriteiten over voldoende middelen beschikken om hun taken
en bevoegdheden effectief uit te kunnen oefenen.

9.

Welke concrete stappen worden ondernomen om dit protocol te implementeren in de nationale
wetgeving van Curaçao? Wat is het tijdspad voor deze implementatie?

Door middel van het wetsvoorstel legt de regering twee verdragen die momenteel niet
voor Curaçao gelden ter goedkeuring voor aan het parlement, namelijk:

– het op 28 januari 1981 tot stand gekomen Verdrag tot bescherming van personen met
betrekking tot de geautomatiseerde verwerking van persoonsgegevens; en

– het op 10 oktober 2018 tot stand gekomen Protocol tot wijziging van het verdrag.

De regering van Curaçao heeft aangegeven dat het wenselijk is dat beide verdragen
voor Curaçao zullen gaan gelden. Naast het verkrijgen van parlementaire goedkeuring
is daarvoor nodig dat de regelgeving van Curaçao voldoet aan het verdrag en het wijzigingsprotocol,
zodat de bepalingen uit beide verdragen kunnen worden nageleefd. De verdragen kunnen
voor Curaçao worden geratificeerd nadat de parlementaire goedkeuring is verleend en
de noodzakelijke uitvoeringsregelgeving in werking is getreden.

Curaçao en de overige Caribische delen van het Koninkrijk kennen op dit moment uiteenlopende
wetgeving die ziet op de bescherming van persoonsgegevens. Door een in 2018 ingestelde
interlandelijke werkgroep is onderzocht of harmonisatie van het gegevensbeschermingsniveau
van het Caribische deel van Nederland en van de Caribische landen mogelijk is, en
zo ja, wat daarvoor nodig is. Ingevolge de conclusie van de werkgroep hebben de Minister
van Justitie en Sociale Zaken van Aruba en de Ministers van Justitie van Sint Maarten,
van Curaçao en van Nederland (hierna ook wel aangeduid als: de Ministers) in het Justitieel
Vierpartijen Overleg (JVO) van 14 januari 2021 geconstateerd dat het aangewezen is
om samen te werken om een geharmoniseerd niveau van gegevensbescherming binnen het
Caribisch deel van het Koninkrijk te realiseren. Aangezien er sprake is van regels
die de burgers van de landen raken is een wettelijk kader vereist voor deze samenwerking.
Het Statuut voor het Koninkrijk biedt daarvoor het instrument van een rijkswet als
bedoeld in artikel 38, tweede lid. Met een dergelijk wettelijk kader kunnen de beschermingsregimes
voor de verwerking van persoonsgegevens, waaronder begrepen de persoonsgegevens die
in het politie- en justitiedomein worden verwerkt, binnen de Caribische delen van
het Koninkrijk worden geharmoniseerd en kan het beschermingsniveau worden verhoogd,
waarmee tegelijkertijd ook de vrije uitwisseling van persoonsgegevens binnen het Koninkrijk
wordt gewaarborgd. De regering verwijst hiervoor naar paragraaf 3 van de memorie van
toelichting bij dit voorstel van rijkswet en het antwoord op vraag 2.

Het opstellen van het ontwerp voor de rijkswet is door de Ministers opgedragen aan
een interdepartementale werkgroep, waarin vertegenwoordigers van de drie Caribische
landen, Europees Nederland en Caribisch Nederland (vertegenwoordigd door Europees
Nederland) participeren. Onderdeel van de projectaanpak betrof de voorbereiding van
een nota waarin de beleidsmatige afwegingen inzichtelijk worden gemaakt en voorstellen
werden gedaan welke als basis konden dienen voor de voorbereiding van een voorstel
van een consensusrijkswet. Dit leidde tot de aanbieding door de projectgroep aan het
JVO van 7 juli 2021 van een contourennota, waarin op hoofdlijnen de contouren van
de rijkswet werden geschetst, inclusief voorstellen met betrekking tot onder andere
de reikwijdte, de inhoud en de vormgeving daarvan.

Op dit moment zijn de eerste drie hoofdstukken van het voorstel van rijkswet in concept
gereed en door de projectgroep met het JVO gedeeld. Momenteel is voorzien dat een
hoofdstuk met slotbepalingen in de tweede helft van 2026 met de betrokken Ministers
kan worden gedeeld. Voor Curaçao betreft het onderwerp van de gegevensbescherming
een aangelegenheid van het Ministerie van Bestuur, Planning en Dienstverlening, waardoor
de desbetreffende bewindspersoon nauw betrokken is bij de verdere ontwikkeling van
het voorstel. Gelet op de omvang van de beoogde rijkswet, de complexiteit van de daarin
te regelen materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk
door de vier landen nog moeten worden gemaakt, is de planning momenteel echter nog
met onzekerheden omgeven.

10.

Hoe wordt de bevolking van Curaçao geïnformeerd over de inhoud en de gevolgen van
dit protocol? Zijn er voorlichtingscampagnes gepland? Welke middelen worden beschikbaar
gesteld om burgers te ondersteunen bij het uitoefenen van hun rechten onder dit protocol?
Bijvoorbeeld, hoe kunnen burgers een klacht indienen bij een datalek?

Momenteel is het College bescherming persoonsgegevens van Curaçao in oprichting. Op
dit college rust de taak om voorlichting te geven over de bescherming van persoonsgegevens.
Ook nadat het gemoderniseerde verdrag voor Curaçao in werking kan treden zal de voorziene
toezichthouder zorgdragen voor deze voorlichting aan de bevolking.

11.

Het komt erop neer dat het protocol draait om de bescherming van persoonsgegevens
en het privéleven («privacy») van burgers. Hoe wordt in dit digitale tijdperk omgegaan
met gegevens van personen, en hoe wordt hun zekerheid bevorderd? Het land moet voorbereid
zijn op het toezicht en de handhaving daarvan. Het hebben van een «Facebook-account»
bevestigt en accepteert dat de gebruiker de algemene bepalingen van Facebook aanvaardt,
waarbij alle persoonlijke gegevens worden vrijgegeven.

De fractie merkt op dat de behandeling van dit voorstel van rijkswet betrekking heeft
op de goedkeuring van bestaande verdragen. Er zijn twee (2) artikelen die goedgekeurd
moeten worden. Het eerste artikel heeft betrekking op het verdrag uit 1981, betreffende
de bescherming van de geautomatiseerde verwerking van persoonsgegevens, dat moet worden
goedgekeurd voor Aruba, Curaçao en Sint-Maarten. Het tweede artikel heeft betrekking
op de wijzigingen die op 10 oktober 2018 hebben plaatsgevonden in het protocol bij
het verdrag betreffende de bescherming van personen in verband met de geautomatiseerde
verwerking van persoonsgegevens. Dit laatste geldt voor het hele Koninkrijk. De behandeling
van dit voorstel van rijkswet in de Staten van Curaçao heeft betrekking op de goedkeuring
van de hiervoor genoemde artikelen.

De fractie haalt aan dat het hier om mensenrechten gaat. Wat zijn mensenrechten? Een
voorbeeld hiervan is de vrijheid van godsdienst. Iedereen heeft het recht op vrijheid
van godsdienst en vrijheid van meningsuiting. Dit betekent dat mensen volgens religieuze
voorschriften mogen leven, hun religieuze opvattingen mogen uitdragen en kritiek mogen
uiten zonder toestemming van de regering. De vrijheid van meningsuiting is echter
niet onbeperkt en kan in sommige gevallen als onrechtmatig worden gekwalificeerd.
Een ander voorbeeld is het discriminatieverbod. Dit zijn fundamentele mensenrechten.
De bescherming van persoonsgegevens is nu ook een fundamenteel mensenrecht geworden.
Mensenrechten zijn echter geen vaststaand gegeven, ze blijven in ontwikkeling. In
de toekomst is het bijvoorbeeld mogelijk dat ook dieren beschermd worden tegen consumptie.

De goedkeuring van het voorstel van rijkswet, wat houdt dat in? Dit is een ondergrens.
Elk land is vrij om het vereiste niveau van bescherming van persoonsgegevens te waarborgen.
Wat gebeurt er met persoonsgegevens? Het in handen krijgen van iemands mobiele telefoon
levert alle informatie van de eigenaar op. Hoe wordt deze persoon beschermd?

De leden van de PNP-fractie vragen terecht aandacht voor de ontwikkelingen in de moderne
informatie- en communicatietechnologie, waardoor tegenwoordig steeds grotere hoeveelheden
persoonsgegevens worden verwerkt. Sinds de totstandkoming van Conventie 108 in 1981
hebben deze ontwikkelingen een grote vlucht genomen. Een belangrijke doelstelling
van het wijzigingsprotocol is dan ook om het verdrag te moderniseren, zodat het ook
in de toekomst het hoofd kan (blijven) bieden aan de nieuwe uitdagingen waarvoor het
recht op eerbiediging van de persoonlijke levenssfeer zich gesteld ziet. Het gemoderniseerde
verdrag houdt daarbij rekening met het feit dat gegevensverwerking in de moderne informatiemaatschappij
een alomtegenwoordig fenomeen is.

Zo introduceert het wijzigingsprotocol, in navolging van de AVG, het beginsel van
«gegevensbescherming door ontwerp en standaardinstellingen» (privacy by design and default) in het verdrag (artikel 10, tweede en derde lid, van het gemoderniseerde verdrag).
Dit beginsel houdt in dat verwerkingsverantwoordelijken en verwerkers verplicht zijn
om de gegevensverwerking op zodanige wijze te ontwerpen dat het risico op inmenging
met de rechten en vrijheden van betrokkenen wordt voorkomen of tot een minimum beperkt
wordt, en technische en organisatorische maatregelen te treffen die het effect op
de bescherming van persoonsgegevens in ieder stadium meenemen. Het gebruik van technieken
zoals pseudonimisering (vervanging van persoonlijk identificeerbaar materiaal met
kunstmatige identificatiemiddelen) en versleuteling (coderen van berichten, zodat
alleen gemachtigden ze kunnen lezen) is een voorbeeld van gegevensbescherming door
ontwerp. Een voorbeeld van gegevensbescherming door standaardinstellingen is het gebruik
van privacy-vriendelijke standaardinstellingen zodat het gebruik van een applicatie
of software geen inbreuk maakt op de rechten van betrokkenen, in het bijzonder door
de gegevensverwerking te minimaliseren.

12.

Bescherming van persoonsgegevens is een fundamenteel mensenrecht. Bijvoorbeeld, iemand
die zich heeft vergist. Hoe kan deze persoon vergeten worden?

De regering neemt aan dat de leden van de PNP-fractie met deze vraag op het recht
op gegevenswissing doelen, dat ook wel bekend staat als «het recht op vergetelheid».
Dit recht is vastgelegd in artikel 9, eerste lid, onderdeel e, van het gemoderniseerde
verdrag. In dit artikel wordt bepaald dat een ieder het recht heeft om op verzoek,
kosteloos en zonder overmatige vertraging, die gegevens te doen verbeteren of uitwissen,
naar gelang het geval, wanneer deze zijn of worden verwerkt in strijd met de bepalingen
van het verdrag. Deze rectificaties en verwijderingen moeten, waar mogelijk, onder
de aandacht worden gebracht van de ontvangers van de oorspronkelijke informatie, tenzij
dit onmogelijk blijkt of onevenredige inspanningen vereist (Explanatory Report, punt 81). Het recht op gegevenswissing zal doorgaans moeten worden uitgeoefend jegens
de verwerkingsverantwoordelijke of verwerker. In uitzonderlijke gevallen kan de toezichthoudende
autoriteit als tussenpersoon optreden bij de uitoefening van het recht op gegevenswissing
(Explanatory Report, punt 74).

Het recht op gegevenswissing is niet absoluut en kan op grond van artikel 11 van het
gemoderniseerde verdrag worden beperkt. Een dergelijke beperking is alleen toegestaan
wanneer dit bij wet of landsverordening is bepaald en een noodzakelijke en evenredige
maatregel vormt in een democratische samenleving. Zo kan het recht op gegevenswissing
worden beperkt voor zover de verwerking noodzakelijk is om te voldoen aan een wettelijke
verplichting van de verwerkingsverantwoordelijke, of voor de uitvoering van een taak
van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat
aan de verwerkingsverantwoordelijke is opgedragen (Explanatory Report, punt 73).

13.

Met de huidige technologieën gaan zijn persoonsgegevens de wereld rond. De fractie
geeft een voorbeeld uit de screeningswet voor kandidaat-ministers op Curaçao. Sommige
kandidaten die jaren geleden in opspraak waren geraakt, dachten dat zij de toetsing
zouden passeren. Later bleek dit niet het geval te zijn. De vraag is: hoe worden de
gegevens van deze personen beschermd? De gegevens van deze personen zijn overal terug
te vinden. De fractie merkt op dat de beste manier om persoonlijke gegevens te beschermen
is door het gebruik van bepaalde applicaties (Apps) te vermijden.

Het recht op bescherming van persoonsgegevens zoals dat wordt uitgewerkt in het gemoderniseerde
verdrag is niet absoluut en kan door verdragspartijen worden afgewogen tegen andere
fundamentele rechten, vrijheden en belangen. Zo staat het gemoderniseerde verdrag
bijvoorbeeld toe dat er uitzonderingen worden gemaakt op verdragsbepalingen ten behoeve
van zwaarwegende belangen of staatsaangelegenheden zoals opsporing, nationale veiligheid
en defensie, mits de uitzondering bij wet is voorzien, de essentie van de fundamentele
rechten en vrijheden eerbiedigt en noodzakelijk en proportioneel is in een democratische
samenleving. De regering verwijst hiervoor naar het antwoord op vraag 4.

1.2. Vragen en opmerkingen vanuit de MFK-fractie

De MFK-fractie deelt mee dat, voorafgaand aan de behandeling van dit voorstel van rijkswet in de
centrale commissie, de commissie Bestuur, Planning en Dienstverlening (BPD) van de
Staten heeft vergaderd met de ambtenaren van Aruba, Sint Maarten en Nederland, die
belast zijn met dit voorstel. De behandeling is vervolgens voortgezet in het tripartiete
overleg tussen de delegaties van Aruba, Curaçao en Sint Maarten. Dit voorstel van
rijkswet heeft betrekking op de bescherming van persoonsgegevens van burgers, een
onderwerp dat van groot belang is voor de maatschappij. Niet iedereen is zich bewust
van de bescherming van persoonsgegevens. Een voorbeeld hiervan is het internationale
datalek van persoonsgegevens en informatie. Vaak weet de persoon zelf niet dat er
sprake is van een datalek. Dit gebeurt vaak via verschillende internationale platforms.
Datalekken komen onder meer voor bij het gebruik van Facebook en TikTok. TikTok ligt
onder vuur in de Amerikaanse Senaat. De Senaat heeft ingestemd met een algeheel verbod
op TikTok, in verband met de nationale veiligheid. Dit platform heeft directe toegang
tot alle informatie en persoonsgegevens, en de vraag is of de Chinese overheid toegang
heeft tot de data van de Amerikaanse regering.

De fractie erkent het belang van dit voorstel van rijkswet. Het is duidelijk dat verschillende
platforms algoritmes toepassen om gebruikers te volgen en hun interesses te leren
kennen. Veel gebruikers hebben het gevoel dat ze via hun mobiele telefoon worden gevolgd
door de applicaties. Deze ontwikkelingen hebben aan de ene kant voordelen voor de
gebruiker, maar kunnen ook argwaan wekken. Onder deze omstandigheden is het belangrijk
dat de gebruiker zoveel mogelijk wordt beschermd. Uiteraard zijn alle burgers vrij
om alles te doen, zolang ze een ander niet schaden.

Tijdens de technische briefing heeft de commissie met de desbetreffende ambtenaren
gesproken over dit onderwerp, onder meer over hoe in de praktijk met data moet worden
omgegaan. Wat is de beste manier om de regeling en de bescherming van persoonsgegevens
uit te voeren? Dit is in principe niet mogelijk zonder een bewustwordingscampagne.
Er is een autoriteit (RAAK) ingesteld die zorgdraagt voor de bescherming en het toezicht
op data. Volgens de fractie is het voorstel van rijkswet belangrijk, maar dit moet
gepaard gaan met een nationale cyberveiligheidswet.

14.

De fractie stemt in met de goedkeuring van het onderhavige voorstel van rijkswet,
maar vraagt zich af, wat daarna volgt. Hoe zal de regering van Curaçao hiermee verder
omgaan, na goedkeuring van dit voorstel van rijkswet? De bescherming van persoonsgegevens
van burgers werkt niet zonder een nationale cyberveiligheidswet. Een voorbeeld hiervan
is hacking. De veiligheidsdienst kan volgens de fractie, via hacking, de beschikking
krijgen over allerlei datagegevens die later in een opsporingsonderzoek tegen een
verdachte gebruikt kunnen worden.

De goedkeuring van het verdrag en het wijzigingsprotocol biedt een internationaal
aanvaarde standaard voor de gegevensbescherming. De vervolgstap is een vertaalslag
van deze standaard naar een wettelijke regeling van Curaçao.

Onder verantwoordelijkheid van het Ministerie van Verkeer, Vervoer en Ruimtelijke
Planning worden concrete stappen gezet om de samenleving weerbaar te maken tegen cyberaanvallen.9 Ook in verdragsrechtelijk verband heeft Curaçao stappen gezet. Het Verdrag inzake
de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18) is in juni 2024 door het Koninkrijk voor Curaçao bekrachtigd en het verdrag is met
ingang van 1 oktober 2024 voor Curaçao in werking getreden (Trb. 2024, 97). Hacking is strafbaar gesteld in artikel 2:69 van het Wetboek van Strafrecht.

15.

De fractie merkt op dat dit verdrag niet door alle landen is geratificeerd. Ook Curaçao
heeft dit verdrag nooit geratificeerd. Wat betekent dit voor Curaçao? Wat moet het
land Curaçao verder doen?

De regering verwijst naar het antwoord op vraag 9.

16.

Verder krijgen de ontwikkelingen op het gebied van AI wereldwijd steeds meer aandacht.
Veel smartphones gebruiken AI. Bijvoorbeeld, de smartphone wordt ontgrendeld door
gezichtsherkenning. Dit zijn functies (features) die de gebruiker helpen. Enkele voorbeelden
hiervan zijn Siri, Bixby, Google Assistent en Alexa. Het is duidelijk dat deze platforms
internationaal proberen om meer over de gebruiker te weten te komen. Door het gebruik
van AI-algoritmes kan de smartphone leren hoe de gebruiker zijn of haar apparaat gebruikt.
Volgens de fractie bestaat er vooralsnog geen internationale wet die AI-algoritmes
(platforms) reguleert. De vraag is of Curaçao dit in de nationale regeling kan vastleggen,
vooral in het kader van het gebruik van AI.

De leden van de MFK-fractie signaleren terecht dat het gebruik van kunstmatige intelligentie
(artificial intelligence, hierna: AI) de afgelopen jaren een hoge vlucht heeft genomen. Hoewel Conventie 108+
niet specifiek is toegesneden op de regulering van AI, wordt deze nieuwe technologie
deels al wel door het gemoderniseerde verdrag gereguleerd. Het verdrag is namelijk
ten volle van toepassing op AI-applicaties waarbij sprake is van geautomatiseerde
verwerking van persoonsgegevens. Verschillende bepalingen uit het gemoderniseerde
verdrag zijn in dit kader relevant. Zo bevat het gemoderniseerde verdrag een recht
om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd
besluit, dat de betrokkene in aanmerkelijke mate treft, zonder dat met zijn of haar
standpunt rekening wordt gehouden (artikel 9, eerste lid, onder a). Daarnaast kan
worden gewezen op de beginselen van transparantie (artikel 8) en gegevensbescherming
door ontwerp en standaardinstellingen (artikel 10, tweede en derde lid), op het recht
om op verzoek in kennis te worden gesteld van de redenering die ten grondslag ligt
aan de gegevensverwerking wanneer de resultaten van die verwerking op de betrokkene
worden toegepast (artikel 9, eerste lid, onder c), en op de verantwoordingsplicht
(artikel 10, eerste lid). Deze nieuwe bepalingen vormen een waardevolle aanvulling
op bestaande regels, rechten en beginselen die onder het huidige verdrag al een nuttige
functie vervullen bij het reguleren van AI, zoals het doelbindingsbeginsel en het
inzagerecht (zie artikel 5 en 8 van het huidige verdrag).

De zojuist genoemde bepalingen beletten Curaçao niet om zelf regels te stellen over
het gebruik van AI. De gemoderniseerde conventie laat de nodige ruimte aan verdragspartijen
om eigen, specifieke regels te stellen bij de implementatie van het verdrag in het
nationale rechtsstelsel. Dit geldt ook voor de regulering van AI-applicaties. De regering
verwijst hiervoor naar het antwoord op vraag 3.

Tot slot wijst de regering erop dat binnen de Raad van Europa een nieuw (kader)verdrag
is ontwikkeld dat de ontwikkeling, het ontwerp en de toepassing van AI-systemen reguleert
en dat gebaseerd is op de standaarden van de Raad van Europa op het gebied van de
mensenrechten.10 Dit Kaderverdrag van de Raad van Europa over artificiële intelligentie en de mensenrechten,
de democratie en de rechtsstaat (Trb. 2025, 4) is op 17 mei 2024 aangenomen door het Comité van Ministers van de Raad van Europa,
en is op 5 september 2024 voor ondertekening opengesteld. Curaçao maakt momenteel
de afweging of medegelding van dit verdrag voor dit land wenselijk is.

17.

Het Justitieel Vierlandenoverleg (JVO) heeft in 2022 steun en financiële hulp toegezegd
voor de uitvoering van dit onderwerp. Deze steun geldt voor Curaçao, maar ook voor
Aruba en Sint-Maarten. De fractie vraagt hoe het daarmee staat.

De regering heeft in reactie op het verzoek tot bijstand steun toegezegd ten behoeve
van de verdere versterking van de capaciteit op het gebied van gegevensbescherming.
Deze steun wordt ingezet om een ervaren wetgevingsjurist en een ervaren beleidsmedewerker
te werven die de landen in het Koninkrijk zullen ondersteunen bij de ontwikkeling
en harmonisatie van wet- en regelgeving en de uitvoering van beleid op dit terrein.
Uiteraard werken de wetgevingsjurist en de beleidsmedewerker samen met de Caribische
landen om te bezien waarop ingezet moet worden. Vanuit het verzoek tot bijstand zal
de wetgevingsjurist worden belast met het opstellen en aanpassen van wet- en regelgeving
op het gebied van gegevensbescherming, mede in het licht van de noodzakelijke harmonisatie
binnen het Koninkrijk. De beleidsmedewerker zal zich richten op de ontwikkeling van
beleid en de bewustwordingscampagne en op de voorbereiding van implementatie en de
ondersteuning bij de uitvoering. Aan de vacatures voor deze functies wordt geschreven.
Conform de huidige planning zullen geselecteerde kandidaten hun werkzaamheden waarschijnlijk
per december 2025 kunnen starten.

1.3. Vragen en opmerkingen vanuit de MAN-fractie

De MAN-fractie merkt op dat het voorstel van rijkswet ook betrekking heeft op informatie en vormen
van informatie voor militaire- en veiligheidsdoeleinden. Dit betekent dat deze diensten
bevoegdheden hebben over gegevens die als persoonsgegevens kunnen worden gekwalificeerd.
De fractie heeft met name vragen en opmerkingen richting de regering van Curaçao.

18.

De Raad van State heeft aangegeven dat de Caribische landen momenteel geen wetten
hebben op het niveau van deze verdragen. Wat is de positie van de regering van Curaçao
met betrekking tot wetswijzigingen over persoonsgegevens, om deze op het niveau van
verdragen vast te stellen?

Gelet op de werkelijkheid van de grensoverschrijdende aard van de uitwisseling van
persoonsgegevens heeft de regering van Curaçao medegelding van het verdrag en het
wijzigingsprotocol verzocht, opdat de wetgever kan terugvallen op internationaal aanvaarde
standaarden om die persoonsgegevens optimaal te kunnen beschermen. Het gemoderniseerde
verdrag biedt minimumnormen voor de bescherming van persoonsgegevens zodat de verdragspartijen
worden verzekerd van een vergelijkbaar hoog niveau van bescherming.

19.

De Autoriteit Persoonsgegevens heeft in haar brief van 21 februari 2021 aangegeven
dat er binnen het Koninkrijk concordantie moet zijn wat betreft wetten en de uitwisseling
van informatie in strafrechtelijke onderzoeken en door veiligheidsdiensten. Op dit
moment worden gegevens via rechtshulpverzoeken uitgewisseld. Wat is het oordeel van
de regering hierover, met name over de uitwisseling van informatie in strafrechtelijke
onderzoeken en door veiligheidsdiensten? Wat is het oordeel van de regering over concordantie
met andere partners binnen het Koninkrijk op basis van het onderhavige voorstel van
rijkswet?

Het Land de Nederlandse Antillen had destijds geen medegelding verzocht voor Conventie
108. De aansluiting bij internationaal aanvaarde standaarden is anno 2025 echter essentieel
gezien de technologische ontwikkelingen waarbij grensoverschrijdende gegevensuitwisseling
steeds gemakkelijker gaat, economische kansen biedt en zelfs nodig is om als overheid
een optimale dienstverlening te kunnen bieden. Het gemoderniseerde verdrag sluit aan
op het beschermingsniveau geboden door de AVG en de Richtlijn 2016/680 van de Europese
Unie. Daarmee wordt een belangrijke stap gezet om de algemene minimumnormen voor de
gegevensbescherming als fundamenteel recht binnen het Koninkrijk te harmoniseren.
Beslissingen ten aanzien van de implementatie van het verdrag betreffen een autonome
aangelegenheid van Curaçao.

In Curaçao geldt sinds 2013 de Landsverordening bescherming persoonsgegevens. De landsverordening
voorziet in een toezichthouder zoals door het gemoderniseerde verdrag voorgeschreven.
Het operationaliseren van de toezichthouder is in voorbereiding. Om het door het gemoderniseerde
verdrag voorziene niveau van bescherming te kunnen bieden, dient het wettelijk kader
van Curaçao echter te worden aangepast. Dit is niet ongebruikelijk bij de aansluiting
bij internationale standaarden. Inspanningen hiertoe worden reeds verricht in samenwerking
met de andere landen van het Koninkrijk.

Daarnaast is harmonisatie van de normen voor gegevensbescherming een punt van aandacht
gelet op de nauwe samenwerking tussen de landen van het Koninkrijk op het gebied van
de rechtshandhaving en het feit dat het land Nederland gebonden is aan Europese regels
op dit gebied. Curaçao heeft momenteel een landsverordening ter uitvoering van artikel 39,
vierde lid, van de Rijkswet politie in voorbereiding. De totstandkoming hiervan zal
deels tegemoet komen aan de zorgen die door de fractie worden geuit.

De goedkeuring van verdragen geschiedt in goed overleg en geregeld op verzoek van
een of meer landen. Voor het verdrag en het wijzigingsprotocol is de goedkeuring voor
alle landen in een rijkswet neergelegd. Het onderwerp van het verdrag, gegevensbescherming,
is geen onderwerp als bedoeld in artikel 39 van het Statuut voor het Koninkrijk. Bij
het implementeren van bijvoorbeeld strafrechtelijke onderdelen, zal op basis van het
concordantiebeginsel worden geanalyseerd of de procedure neergelegd in artikel 39
aan de orde is. In de regel vindt overleg plaats over wijzigingen van de wetboeken
van strafrecht.

20.

Curaçao heeft een autoriteit ingesteld om toezicht te houden op en controle uit te
oefenen over de manier waarop wordt omgegaan met persoonsgegevens. Betekent het goedkeuren
van dit verdrag dat Curaçao haar wetten en regelingen moet aanpassen om uitvoering
te kunnen geven aan de normen van dit verdrag?

Door uitdrukkelijke goedkeuring te verlenen stemt het parlement ermee in dat Curaçao
gebonden wordt aan de verdragen. Zoals bij de implementatie van verdragen in het algemeen
het geval is, zal Curaçao de eigen wetgeving toetsen aan de normen van het verdrag
en zo nodig aanpassen. Zodra deze uitvoeringsregelgeving in werking is getreden, kunnen
het verdrag en het wijzigingsprotocol gaan gelden voor Curaçao. Zie ook de beantwoording
van vraag 9.

21.

Wat is de visie en het beleid van de regering met betrekking tot de verwerking en
bescherming van persoonsgegevens op basis van dit voorstel van rijkswet? Dit heeft
volgens de fractie ook invloed op de destijds ingestelde autoriteit.

Met het verzoek om medegelding van het verdrag en dus aansluiting bij internationale
standaarden geeft de regering van Curaçao blijk van een duidelijke visie die recht
doet aan het grensoverschrijdende karakter van gegevensuitwisseling. Daarbij is leidend
dat gegevensbescherming een fundamenteel recht is ter bescherming van de persoonlijke
levenssfeer. Ook de bewoners van Curaçao moeten beschermd worden tegen schendingen
van dit recht. Conventie 108+ geeft internationaal aanvaarde standaarden die deze
bescherming waarborgen, onder meer door het beschrijven van de rol en taken van een
toezichthoudende autoriteit. Zoals hierboven aangegeven is het aanpassen van wetgeving
aan een verdrag waarvan medegelding wenselijk wordt geacht over het algemeen vereist.
Ook kan vanuit de Raad van Europa ondersteuning worden geboden voor de verdere ontwikkeling
van expertise op het gebied van de gegevensbescherming.

De Staatssecretaris van Justitie en Veiligheid, A.C.L. Rutte