Verslag van de vergadering van 26 mei 2015 (2014/2015 nr. 32)
Status: gecorrigeerd
Aanvang: 15.20 uur
De heer Franken i (CDA):
Voorzitter. Wij hebben de staatssecretaris als leden van de commissie voor I&A/JBZ en voor V&J, zoals die hier heet, al eens mogen ontmoeten, maar ik feliciteer hem namens mijn fractie graag in deze plenaire zaal met zijn benoeming en wens hem succes met de werkzaamheden die hij op zich heeft genomen.
Wat betreft het wetsvoorstel dat nu aan de orde is, onderschrijft de CDA-fractie het doel van de voorgestelde meldplicht en van andere plichten met betrekking tot datalekken of ernstige incidenten op het vlak van iedere bedrijfsvoering waarbij van elektronische gegevensverwerking sprake is. Wij zien dit doel als het vergroten van het vertrouwen van het publiek in digitale gegevensverwerking. Daarnaast moet het met behulp van de voorgestelde bepalingen mogelijk zijn om lering te trekken uit opgetreden datalekken.
Bij de voorbereiding van dit wetsvoorstel is een uitgebreid traject gevolgd met twee keer een advies van de Raad van State. Naar aanleiding daarvan zijn diverse knopen doorgehakt. Wij vinden de uitkomsten daarvan niet altijd de mooiste, maar accepteren dat er dit keer is gekozen voor bestuursrechtelijke handhaving. De toezichthouder kan zware sancties opleggen, die de voorzitter van het College bescherming persoonsgegevens weleens, niet ten onrechte, "Neelie Kroesachtige boetes" heeft genoemd. Mijn fractie is er in het algemeen geen voorstander van om aan toezichthouders zware sanctiebevoegdheden toe te kennen, maar gezien het feit dat deze bevoegdheden in de lijn liggen van wat andere toezichthouders, zoals de Autoriteit Consument & Markt, mogen doen, dat het overtreden van de norm mogelijk zeer grote schade ten gevolge heeft en er binnenkort Europese regelgeving is te verwachten waardoor dergelijke sancties in de gehele Europese Unie kunnen worden opgelegd, gaat zij met dit voorstel mee.
In het voorlopig verslag hebben wij een vijftal vragen gesteld, waarop goed uitgewerkte antwoorden zijn gekomen. Hulde daarvoor. Op een van die vragen, die met betrekking tot de "onbepaaldheid" van de door de burger in acht te nemen norm, gaan wij graag nog eens in. We weten allen dat een met behulp van sancties te handhaven norm voldoende duidelijk, voorzienbaar en kenbaar moet zijn overeenkomstig het lex certa-beginsel. Wij zijn er vooralsnog niet van overtuigd dat hiervan in het voorgestelde artikel 34a sprake is. De norm houdt immers in dat het gaat om "een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". Nu kan het College bescherming persoonsgegevens voor het opleggen van de hiermee samenhangende bestuurlijke boete weliswaar eerst bindende aanwijzingen geven voor het geval dat de overtreding niet opzettelijk is gepleegd, maar feit blijft dat er voor de burger onzekerheid bestaat over de vraag wanneer er precies sprake is van een normovertreding. Dit kan tot een overreactie van de burger leiden. De burger gaat dan, "better safe than sorry", bij ieder twijfelgeval maar melden of hij gaat er "gewoon" aan voorbij, zoals we bij de cookiemeldingen ook vaak zien. Dan geeft de norm aanleiding tot het tegendeel, dus tot "undercompliance". De staatssecretaris is daar optimistisch over. Hij gaat ervan uit dat de burger wel een beredeneerde overweging zal maken over de vraag of een concreet datalek dat hem ter kennis komt, onder het bereik van de meldplicht valt. Mijn fractie is van mening dat hier vooraf meer duidelijkheid over moet worden gegeven. Daarom vraagt zij de staatssecretaris om een interpretatie van in ieder geval de "aanzienlijke kans op ernstige nadelige gevolgen", zoals omschreven in artikel 34a, lid 1, die meer helderheid en houvast biedt. Wat wordt hier nu precies bedoeld?
In wet en jurisprudentie zien we bij vragen van onzekerheid onderscheid tussen "met aan zekerheid grenzende waarschijnlijkheid", de "aanmerkelijke kans", welke formulering wordt gebruikt bij voorwaardelijk opzet, of "wat er redelijkerwijs te verwachten is". Bij bewijsstandaarden worden om een mate van waarschijnlijkheid uit te drukken begrippen gebruikt zoals "aannemelijkheid", "een redelijke mate van zekerheid", dat je vooral in kortgedingvonnissen leest, of "boven redelijke twijfel verheven". Op welk niveau moeten we nu uitkomen? Met de opvatting dat iedere vage norm interpretatie behoeft, kan de staatssecretaris hier niet wegkomen. Het gaat immers om een met een punitieve sanctie te handhaven wettelijke bepaling. Wij vragen de staatssecretaris daarom, een soort interpretatieve verklaring te geven over hoe deze vage begrippen in artikel 34a moeten worden gehanteerd. De burger heeft een concreet handvat nodig. Dat ontbreekt nu ten enenmale. Wij zien het antwoord van de minister op deze vraag met belangstelling tegemoet.