Op 11 november jl. is in de Tweede Kamer de motie Segers/Oosenburg inzake Privacy Impact Assessments aangenomen. Deze motie werd ingediend in het kader van de behandeling van het wetsvoorstel 34000 VII (Vaststelling begroting Binnenlandse Zaken en Koninkrijksrelaties 2015). De Kamer verzoekt middels deze motie de regering om bij nieuwe wetgeving die gevolgen kan hebben voor het verwerken van persoonsgegevens, een zogenaamde Privacy Impact Assessment (“PIA“) uit te voeren. Indien dit niet wordt gedaan, moet de regering het ontbreken van de PIA motiveren.

Een PIA is een hulpmiddel om bij de ontwikkeling van nieuw beleid en de daarbij horende wetgeving de privacyrisico’s die daaraan mogelijkerwijs zijn verbonden, in kaart te brengen. Hierbij kan worden gewerkt met vragenlijsten of toetsmodellen. Naar aanleiding van de uitkomsten van een PIA kunnen al in een vroeg stadium maatregelen worden genomen om de privacyrisico’s te beperken of zelfs geheel weg te nemen.

Binnen de overheid bestaat sinds 2013 het “Toetsmodel Privacy Impact Assessment Rijksdienst“. Dit model verplicht de overheid ertoe om bij de ontwikkeling van nieuwe wetgeving of beleid waarmee de aanleg van grote databestanden of de bouw van nieuwe ICT-systemen voorzien wordt, een PIA uit te voeren. Hiervan moet in de Memorie van Toelichting bij de desbetreffende wetgeving verslag van worden gedaan. De Kamer wil nu een verplichte PIA invoeren voor alle nieuwe wetgeving met gevolgen voor de verwerking van persoonsgegevens. De ruime formulering van de motie zal dit er in de praktijk toe leiden dat deze PIA’s regelmatig zullen moeten worden uitgevoerd. Minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties heeft aangegeven dat de motie het kabinetsbeleid ondersteunt. Wel wees hij op het feit dat de toepassing van het huidige Toetsmodel in de zomer van 2015 zal worden geëvalueerd.

De Minister is niet verplicht om de aangenomen motie daadwerkelijk uit te voeren. Desalniettemin zal hij de Kamer via de jaarlijkse begroting moeten informeren over welke stappen hij al dan niet heeft genomen ten aanzien van de motie.

De roep om een PIA door de overheid sluit naadloos aan bij de voorgestelde nieuwe Europese Privacyverordening. Deze nieuwe Verordening, waarover naar verwachting in de loop van 2015 op Europees niveau overeenstemming wordt bereikt, heeft in artikel 33 een verplichting tot het uitvoeren van een ‘privacyeffectbeoordeling’ door bedrijven en overheden indien voorgenomen gegevensverwerkingen “gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen“.

Vindt er dan momenteel geen enkele voorafgaande toets plaats? Naast het advies van de Raad van State is de overheid verplicht om op grond van artikel 51 lid 2 van de Wet bescherming persoonsgegevens het College bescherming persoonsgegevens (“Cbp“) om advies te vragen over wetsvoorstellen die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens. De toegevoegde waarde van een PIA lijkt derhalve met name te liggen in het feit dat in een eerder stadium van het wetgevingsproces kritisch naar de privacyrechtelijke gevolgen van nieuwe wetgeving wordt gekeken. Door de ruime formulering van de motie zullen wellicht ook meer voorstellen aan een PIA worden onderworpen, dan waar nu advies voor van het Cbp wordt verkregen. Ook blijkt uit de formulering niet of de motie onder ‘nieuwe wetgeving’ alleen wetten in formele zin of ook algemene maatregelen van bestuur of zelfs ministeriële regelingen verstaat. Een ding is in ieder geval duidelijk: de privacyaspecten van wet- en regelgeving kunnen zich op steeds meer belangstelling verheugen.