Verslag van een algemeen overleg : Verslag van een algemeen overleg, gehouden op 13 juni 2019, over bescherming persoonsgegevens

Nr. 148 VERSLAG VAN EEN ALGEMEEN OVERLEG

Vastgesteld 16 juli 2019

De vaste commissie voor Justitie en Veiligheid heeft op 13 juni 2019 overleg gevoerd
met de heer Dekker, Minister voor Rechtsbescherming, over:

– de brief van de Minister voor Rechtsbescherming d.d. 1 april 2019 inzake eerste ervaringen
met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) (Kamerstuk
32 761, nr. 132);

– de brief van de Minister voor Rechtsbescherming d.d. 7 juni 2019 inzake bescherming
van de horizontale privacy (Kamerstuk
34 926, nr. 8);

– de brief van de Minister voor Rechtsbescherming d.d. 11 juni 2019 inzake Autoriteit
Persoonsgegevens – eerste ervaringen met de AVG en middelen (Kamerstuk
32 761, nr. 135);

– de brief van de Minister voor Rechtsbescherming d.d. 11 juni 2019 inzake beleidsreactie
onderzoek «Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding»
(Kamerstukken
17 050 en 32 761, nr. 576).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Van Meenen

De waarnemend griffier van de commissie, Tielens-Tripels

Voorzitter: Futselaar

Griffier: Schoor

Aanwezig zijn zes leden der Kamer, te weten: Buitenweg, Van Dam, Futselaar, Van Gent,
Van Nispen en Verhoeven,

en de heer Dekker, Minister voor Rechtsbescherming.

Aanvang 14.03 uur.

De voorzitter:

Welkom bij dit algemeen overleg van de vaste commissie voor Justitie en Veiligheid
over de bescherming van persoonsgegevens. Een bijzonder welkom voor de Minister voor
Rechtsbescherming. Ik stel een spreektijd van vier minuten per fractie voor, en twee
interrupties in tweeën. We gaan van start met de heer Van Gent van de fractie van
de VVD.

De heer Van Gent (VVD):

Dank u wel, voorzitter. We zijn op een moment ruim een jaar na de invoering van de
UAVG en ook een jaar nadat mijn fractiegenoot en voorganger Sven Koopmans zijn initiatiefnota
over onderlinge privacy heeft ingediend. Dit zijn ook de twee onderwerpen die ik in
dit overleg aan de orde wil stellen.

Om met het laatste te beginnen: we waren blij dat de Minister zeer onlangs met een
brief kwam in reactie op de initiatiefnota van de heer Koopmans over bescherming van
de horizontale privacy. Daarin lezen we onder andere dat er een voorstel gaat komen
over de strafbaarstelling van wraakporno. Daar zijn we heel blij mee, maar ik wil
toch een kritische noot kraken. We hadden namelijk ook op andere onderdelen toch wat
meer actie verwacht. Er worden wel een aantal onderzoeken aangekondigd, maar op een
aantal onderdelen verwachten we wat meer van het kabinet. Ik noem het voorbeeld van
de rechter die met een spoedprocedure schadelijke content van internet kan verwijderen.
Dat duurt vaak wel zes weken. Ik noem ook de slachtofferhulp. Uiteraard is er vaak
hele adequate psychologische hulp, maar juist als het gaat om het stoppen van de publicatie
van beelden op internet, zou wat technische hulp heel welkom zijn. Dat gaat om expertise
die heel veel burgers niet hebben. Ik noem ook maatregelen die misschien wel te nemen
zijn tegen de verkoop van allerlei materiaal waarmee je kunt spioneren. Dat geldt
zowel voor software als voor hardware. Daar zouden wij graag ook nog actie van de
Minister op zien. Komt er zo'n actie? Wil de Minister overwegen om met een verzamelwet
horizontale privacy te komen? Misschien is dat wel een goede aanpak in dezen.

Dan de AVG. Ik stel voorop dat we in ieder geval kunnen constateren dat de inwerkingtreding
van de AVG tot heel veel bewustwording over privacy en het beheer van persoonsgegevens
heeft geleid. Dat juichen we heel erg toe. Maar wij lezen ook heel veel reacties in
de media en heel veel mensen hebben zich tot ons gewend – ik neem aan dat mijn collega's
ook die ervaring hebben – waarin we toch nog wel allerlei problemen zien. Het geeft
een beetje de indruk dat zowel private als publieke partijen een zekere angst hebben
– ik heb de woorden «AVG-angst» en «AVG-koorts» gelezen – voor de boetes en voor reputatieschade.
Dat laatste is vaak nog veel problematischer dan een boete. We lezen ook dat overheidsdiensten
klaarblijkelijk niet altijd meer gegevens kunnen uitwisselen, hetgeen tot problemen
leidt in de fraudebestrijding en de criminaliteitsbestrijding, maar ook in de dienstverlening
in algemene zin.

De Minister schrijft in zijn evaluatie – dat zijn geluiden die we ook bij de AP horen
– dat heel veel nog voortkomt uit onwetendheid en dat vaak veel meer mogelijk is dan
gedacht wordt. Dat kan zo zijn, maar ik wil toch één voorbeeld noemen uit de vele
voorbeelden die ons bereikt hebben. Misschien is er her en der toch wat meer aan de
hand. Het gaat om het Integraal Kankercentrum Nederland, dat al 30 jaar patiëntgegevens
verzamelt ten behoeve van onderzoek en preventie. Ze zijn in contact getreden met
de AP met de vraag onder welke condities ze die gegevens konden blijven verzamelen.
Dat heeft tot een hele briefwisseling geleid. Aan de ene kant wordt gezegd dat het
om wetenschap gaat, waarvoor natuurlijk weer aparte normen gelden. De gegevens zijn
ook anoniem. Desondanks zegt de AP: je zou toestemming aan alle patiënten moeten vragen.
Ik kan mij voorstellen dat dat toch heel lastig is. Met andere woorden, deze casus
laat zien dat we misschien toch wel af en toe doordraven en dat er misschien wel sprake
is van een zekere AVG-verkramping.

De VVD wil bij de AVG de volgende uitgangspunten hanteren. Ik ben nieuwsgierig hoe
de Minister daartegen aankijkt.

De voorzitter:

U moet wel kort met dit uitgangspunten zijn, want u bent vrijwel door uw tijd heen.

De heer Van Gent (VVD):

De wet is een levend document, waar voortdurend aan gewerkt moet worden. De AVG heeft
als doel het vrije verkeer van data met inachtneming van de bescherming van persoonsgegevens.
Dat vrije verkeer van data staat voorop. De AVG mag in onze optiek geen «kan niet,
mag niet»-wet zijn. Er zou voortdurend een belangenafweging moeten worden gemaakt
tussen de risicobeheersing van privacyschending en andere maatschappelijke belangen,
zoals veiligheid en volksgezondheid.

Wij zien dat de AP een hele centrale positie inneemt. Dat is deels ook voorgeschreven
in de wet. De autoriteit vervult een veelvoud aan rollen: voorlichter, toezichthouder,
beoordelaar van klachten en handhaver. Het is logisch dat de AP heeft gepleit voor
een vergroting van de capaciteit. Dat lijkt me in dezen ook van belang, maar als de
verplichte evaluatie van de AVG in mei 2020 wordt uitgevoerd, moet ook de rol en de
positie van de AP worden meegenomen.

De voorzitter:

Dank u, meneer Van Gent. Dan geef ik het woord aan mevrouw Buitenweg van de fractie
van GroenLinks.

Mevrouw Buitenweg (GroenLinks):

Dank u wel, meneer de voorzitter. Ik ben wat complimenteuzer dan mijn voorganger.
Ik wil de Minister heel hartelijk danken voor zijn brief van 7 juni. Ik vind dat hij
daarin een visie laat zien, bij vlagen zelfs een hele liberale visie, en dat zien
we niet vaak. Ik zou zeggen: mijn hartelijke complimenten daarvoor.

In die brief maakt de Minister onder andere duidelijk dat privacy niet strijdig is
met veiligheid, maar er ook voorwaardelijk aan kan zijn. Privacy is belangrijk om
je als mens te ontwikkelen zoals je zelf wil, met een eigen identiteit en in relatie
tot anderen. Natuurlijk is privacy ook niet heilig. Het is niet onbegrensd. Inbreuken
kunnen, mits noodzakelijk, proportioneel en effectief. Voldoende privacy is wel essentieel
voor mensen in een goed functionerende democratische rechtsstaat. «Hear, hear», zou
ik willen zeggen.

Ik vind het wel opvallend dat we deze wijze woorden lezen in een brief over horizontale
privacy: de privacy tussen burgers onderling en tussen burgers en bedrijven. Ik heb
het veel minder gehoord toen we beslissingen namen over een PNR-systeem, waarbij gegevens
van vliegtuigpassagiers langdurig worden opgeslagen, of bij het systeem dat de overheid
hanteert om fraude op te sporen, het Systeem Risico Indicatie (SyRI). Dezer dagen
voert de FNV samen met de bewoners van de Rotterdamse wijken Hillesluis en Bloemhof
actie tegen SyRI. Ik citeer een van de organisatoren: «Bewoners worden bij voorbaat
gewantrouwd op basis van algoritmen die hen beoordelen met een verhoogde kans op fraude.
Waarvan en waarom, dat wordt niet duidelijk.» Vindt de Minister niet ook dat inzichtelijk
moet zijn waarom bepaalde adressen als hoogrisicoadres worden aangemerkt?

Terecht zegt de Minister dat hij de mogelijkheden voor collectieve actie wil verbeteren.
Ook dat vind ik echt een goed punt in de brief, maar hoort daar ook niet bij dat sprake
moet zijn van openbaarheid van algoritmes of in ieder geval van de mogelijkheid dat
de algoritmes door iemand worden beoordeeld? Zou een bank klanten mogen beoordelen
op een verhoogde kans op fraude? Zou een bank mensen met een bepaalde postcode extra
mogen checken zonder duidelijk te maken waarom het juist om deze mensen uit deze gebieden
gaat? De Minister wil niet dat mensen op basis van een bepaald profiel van producten
of diensten worden uitgesloten of daarvoor hogere prijzen moeten betalen, maar mag
je wel een grotere verantwoording van hun financiële positie vragen op basis van hun
profiel, en de toegang dus bemoeilijken? Ik hoor het graag.

Over de evaluatie van de AVG valt veel te zeggen. Ik wil er één punt uithalen: dat
van de kinderen onder de 16 jaar. De Tweede Kamer heeft vorig jaar besloten dat kinderen
tot 16 jaar aan hun ouders toestemming moeten vragen voor het online gebruiken van
hun persoonsgegevens. Wij wilden die leeftijd verlagen naar 13, maar daar is toen
niet toe besloten. De Minister zegt over de mogelijkheid om die leeftijd te verlagen
dat dat een keuze is die nog boven de markt hangt. Om een goede afweging te maken,
wil hij de relevante stakeholders erbij betrekken. Nou is mijn vraag heel simpel:
vindt de Minister de groep van 13- tot 16-jarigen een relevante stakeholder? Zo ja,
hoe wil hij hen daarbij betrekken?

De Autoriteit Persoonsgegevens heeft veel werk op haar bordje. We kennen allemaal
het rapport van AEF van een paar jaar geleden, waarin drie verschillende mogelijke
ontwikkelingen werden beschreven met de daarbij passende budgetten. Klopt het, zo
zou ik de Minister willen vragen, dat met de ongeveer 10.000 telefonische verzoeken
om informatie, de ongeveer 26.000 klachten, de 24.000 datalekken enzovoorts, enzovoorts
de vraag naar optreden van de AP op dit moment hoger is dan in het hoogste scenario?

Ben ik daarmee aan het eind van mijn spreektijd, voorzitter?

De voorzitter:

Ik wil wel enige ruimte geven, want dat heb ik bij uw voorganger ook gedaan en er
zijn niet zo heel veel leden.

Mevrouw Buitenweg (GroenLinks):

Ik wil eigenlijk alleen nog een vraag stellen over die smart cities. Ik heb begrepen
dat er een code digitaal bestuur gaat komen. Dat vind ik heel goed. Staan daar ook
uitgangspunten in, zoals dat mensen moeten weten welke informatie over hen verzameld
wordt, bijvoorbeeld bij dat wifitracking? Op vragen die ik aan de Minister heb gesteld,
zei hij dat hij daar weinig informatie over had. Feit is dat burgers zelf er ook weinig
informatie over hebben. Als zij zich moeten kunnen verweren en iets niet willen, dan
moeten ze wel weten dat iets gebeurt. Op welke wijze wil de Minister bevorderen dat
burgers echt goed op de hoogte zijn van de informatie die over hen verzameld wordt,
ook via dat wifitracking?

De voorzitter:

Dank u wel. Dan is het woord aan de heer Van Nispen van de SP.

De heer Van Nispen (SP):

Dank u wel, voorzitter. In eerdere jaren begonnen we zo'n debat over de bescherming
van persoonsgegevens met de opmerking: data is het nieuwe goud. Dat is eigenlijk alweer
een achterhaalde uitspraak. Data is natuurlijk nog steeds goud. Het is alleen niet
zo nieuw meer. We weten dit allemaal. De persoonlijke gegevens van mensen worden met
de dag belangrijker. De Algemene verordening gegevensbescherming, de AVG, is inmiddels
een jaar in werking. Door de inwerkingtreding kon privacy rekenen op veel aandacht.
Het belang van een zorgvuldige omgang met persoonsgegevens stond hoog op de agenda.
Ik ben het met de Minister eens dat dit allemaal winst is.

De verwachting was ook dat de AVG tot veel vragen zou leiden. Dat blijkt een terechte
verwachting te zijn geweest. Sterker nog, die AVG heeft heel veel vragen, zorgen en
zelfs lichte paniek opgeleverd. Nu schrijft de Minister: vaak is er meer ruimte dan
wordt aangenomen. Dan is toch de vraag: hoe kan dat? Waarom zijn er zo veel misverstanden
ontstaan en waarom zijn die niet voorkomen? Die gingen over kerkdiensten, over schoolfoto's;
noem het allemaal maar op. Hoe kijkt de Minister hierop terug? Hebben we dit allemaal
goed aangepakt? Nog steeds leven er heel veel vragen. Er is nog steeds volop behoefte
aan goede voorlichting. Lukt het de Autoriteit Persoonsgegevens deze taak te vervullen?
Loopt ze daarbij tegen grenzen aan?

Het is nu medio 2019. We kregen een brief dat medio 2019 een webportaal, de Privacywijzer,
gereed zou zijn. Dat klinkt goed, maar dan is toch mijn vraag: wanneer is dat dan?
En hoe verhoudt dit portaal zich precies tot de Autoriteit Persoonsgegevens? Dat werd
mij niet helemaal duidelijk.

Ik wil aansluiten bij de vragen die mevrouw Buitenweg al stelde over de capaciteit.
Er is in het afgelopen jaar ontzettend veel op de Autoriteit Persoonsgegevens afgekomen.
Die autoriteit moet een privacywaakhond met tanden zijn. Samen met D66 heeft de SP
eerder een motie ingediend over de capaciteit en middelen van de Autoriteit Persoonsgegevens
in relatie tot haar extra taken en bevoegdheden. Daarom de vraag aan de Minister:
is het voldoende? Kan de autoriteit wel de privacywaakhond zijn die wij vragen? Volgens
mij moet het eerlijke antwoord zijn dat dit niet het geval is.

De voorzitter:

Meneer Van Nispen, voordat u verdergaat, is er een interruptie voor u van de heer
Van Gent.

De heer Van Gent (VVD):

Is mijn collega van de SP net als de VVD van mening dat een uitbreiding van de capaciteit,
waarvan sprake is, vooral moet worden ingezet voor voorlichting? Zoals u ook constateerde,
liggen daar klaarblijkelijk nog de grootste hiaten.

De heer Van Nispen (SP):

Het is allebei ontzettend belangrijk. Ik heb geconstateerd dat de autoriteit heel
goed en heel belangrijk werk doet. Zeker in het eerste jaar was er ongelofelijk veel
voorlichting nodig. Ik had liever gezien dat er nog meer mogelijk was geweest. Dat
had mogelijk wat gedoe voorkomen. Dus ja, dat vind ik wel. Aan de andere kant vind
ik, nu we meer dan een jaar onderweg zijn, niet dat we van de Autoriteit Persoonsgegevens
moeten vragen om vooral niet te handhaven. Ik denk dat het bij evidente schendingen
van privacy wel degelijk belangrijk is dat met name grote bedrijven de duidelijkheid
krijgen dat er bij overtredingen sancties kunnen en moeten volgen. Ik constateer dat
de wij hier de Autoriteit Persoonsgegevens nog niet de slagkracht hebben gegeven waarvan
ik denk dat die wel nodig is.

De heer Van Gent (VVD):

Ik sluit aan bij mijn vorige vraag. Het is duidelijk: de verwarring en onbekendheid
zitten niet bij de grote bedrijven. Bij het mkb kost het vaak enorm veel administratieve
belasting om bedrijven privacyproof te maken. Daar is heel veel verwarring over, bijvoorbeeld
als het gaat om gegevens over zieke werknemers. Zou een ondersteunende rol van de
AP dan niet heel welkom zijn, in ieder geval voor brancheverenigingen? Want het moet
daarbij natuurlijk niet gaan om alle individuele bedrijven. Maar juist voor het mkb,
dat vaak zeer van goede wil is, kost het best veel moeite. Ik heb het dus niet over
de Googles of andere grote bedrijven, maar juist over het mkb.

De heer Van Nispen (SP):

Ik heb inderdaad geen medelijden met de grote jongens, met de Googles en de Facebooks.
Daar mag het er wat mij betreft hard op. Maar het punt is dat ik er niet over ga.
De Autoriteit Persoonsgegevens is onafhankelijk. Ik wil hier wel sympathie uitspreken
voor het mkb. Ik heb daar zo ook nog een concrete casus over, zoals u er een had op
medisch vlak. Maar juist voor de kleinere ondernemer is de voorlichtende taak evident
belangrijker dan dat er bij een eerste overtreding een sanctie wordt opgelegd. Volgens
mij kun je dus heel veel wegnemen door goede voorlichting te geven. De wetgeving moet
duidelijk zijn. Bepaalde knelpunten benoemen we hier en proberen we nog aan te passen.
Als die willens en wetens worden overtreden, kunnen we niet zeggen: we sanctioneren
niet. Dan ben je niet geloofwaardig. Maar we moeten zorgen dat de wet op orde is.
Die kan volgens mij beter. We moeten zorgen dat de voorlichting perfect is. Daarmee
heeft u een terecht punt. Maar ja, dan moeten er sancties kunnen volgen. Ik constateer
wel dat de scenario's voor de Autoriteit Persoonsgegevens niet worden gehaald. De
Minister komt wel met extra geld, maar het is heel vervelend om te moeten zeggen dat
dit niet voldoende is. De reële cijfers voor 2018 en de eerste helft van 2019 laten
zien dat het budget nu gewoon te krap is. De investering van de Minister is onvoldoende
om beheerst te groeien naar wat eigenlijk nodig zou zijn. Voor dit jaar is er nog
een gat van 3,5 miljoen euro. Weet de Minister dit? Wat gaat hij hiermee doen? Neemt
de Minister de scenario's serieus, die op zijn verzoek en op verzoek van de Autoriteit
Persoonsgegevens zijn gemaakt? Gaat hij die ook naleven?

De voorzitter:

Meneer Van Nispen, ik heb sterk het gevoel dat u verder bent gegaan met uw betoog.
Zie ik dat goed?

De heer Van Nispen (SP):

Ik moet bekennen, voorzitter, dat u mij goed kent; dat klopt.

De voorzitter:

Dan loopt de tijd weer.

De heer Van Nispen (SP):

Dank u. Kortom, de vraag aan de Minister is de volgende. We moeten groeien naar de
sterkte die objectief is vastgesteld in de scenario's. De Minister kan vandaag zeggen
dat hij de scenario's niet gelooft en dat hij het dus niet doet, of de Minister moet
zeggen wat het groeipad daarnaartoe is. Dat hoor ik graag van hem.

De Minister schrijft in zijn visie dat er een haalbaarheidsstudie komt naar een snelle,
laagdrempelige procedure om privacyschendingen op internet snel te beëindigen en slachtoffers
beter te ondersteunen. Ik heb hier eerder een motie over ingediend. Het is heel goed
dat nu wordt gezegd: daar gaan we mee aan de slag. Waarom moest dit zo lang duren,
is dan toch de vriendelijke vraag aan de Minister: waarom nu pas een haalbaarheidsstudie
en nog geen concrete maatregelen? Ik ben het wat dat betreft wel eens met de VVD:
er worden vooral heel veel onderzoeken aangekondigd.

Bij de behandeling van de Algemene verordening gegevensbescherming in de Kamer vroeg
ik aandacht voor artikel 30, lid 5, dat de registerplicht regelt. Ik vroeg toen of
het echt voor alle bedrijven nodig was om aan de registerplicht te voldoen, ook voor
het mkb. Wat is nou eigenlijk het nut van een register voor de slager om de hoek,
als het gaat om 30 mensen die in zijn buurt vlees bestellen voor de barbecue in de
zomer of om het bijhouden van een salarisadministratie voor zijn vijf personeelsleden?
Moet dat nou echt allemaal? Het gaat dus om niet-risicovolle verwerkingen; laat dat
duidelijk zijn. De Minister wilde daar toen weinig mee doen. Maar nu horen wij toch
van ondernemers, met name in het mkb, dat dit wel tot problemen leidt. Het is een
voorbeeld, maar dit soort dingen leiden dus gewoon tot problemen. Is de Minister bereid
om dit punt mee te nemen in de evaluatie, en om gevonden knelpunten ook in EU-verband
te bespreken? Dat moet mogelijk tot bijstelling van die verordening leiden.

Bij criminaliteitsbestrijding draait het om de informatiepositie en om gegevensdeling,
maar te vaak horen wij klachten over wat er allemaal niet kan en niet zou mogen. Van
de andere kant, van de Autoriteit Persoonsgegevens of nu ook weer in de brief van
de Minister horen en lezen wij dat het allemaal wel mee lijkt te vallen. Ondernemers
mogen van de Minister best een zwarte lijst maken om elkaar voor fraudeurs te waarschuwen,
mits het zorgvuldig gebeurt. Dat geldt bijvoorbeeld ook voor alle partijen betrokken
bij de bestrijding van georganiseerde criminaliteit: burgemeesters, politie, Openbaar
Ministerie, FIOD. De bescherming van persoonsgegevens hoeft die aanpak niet in de
weg te zitten, horen we steeds. Ik begin mij wel af te vragen welke taak beide ministers
hier nu echt voor zichzelf zien. Laten wij het aan de bedrijven over om elkaar te
waarschuwen voor fraude?

De voorzitter:

Tot slot.

De heer Van Nispen (SP):

Laten we aan de gemeentes over wat er wel en niet gedeeld mag worden bij de bestrijding
van georganiseerde criminaliteit? De SP ziet het echt als een overheidstaak om slachtoffers
te beschermen. Dat is een nationaal belang. Daarom doe ik een dringend beroep op de
Minister om hierover nadrukkelijker mee te denken, zowel met de ondernemers die zo'n
fraudepreventielijst willen maken, als met de gemeentes die in de praktijk tegen knelpunten
aanlopen. Wat kan, wat mag en wat vinden wij met elkaar wenselijk?

Ik hoop dat een collega van mij het punt van de wifitracking meeneemt. Anders kan
de Minister daar misschien toch op reageren.

De voorzitter:

We kijken verwachtingsvol naar de heer Van Dam. Dat is sowieso altijd een goed idee.
Ik geef het woord dus aan de heer Van Dam van het CDA.

De heer Van Dam (CDA):

Voorzitter, dank u wel. We zijn nu ruim een jaar bezig met de AVG. Ook in mijn kring
heb ik veel bezorgde geluiden gehoord over de afkondigingen die niet meer van de kansel
gedaan konden worden, de sportverenigingen die onder een enorm administratief juk
moesten buigen en noem het allemaal maar op. Ik heb het stuk gelezen over met een
kanon op een mug schieten. Maar we moeten ook heel reëel zijn. Natuurlijk zijn dat
problemen, maar die zaken moeten zich ontwikkelen. Tegelijkertijd is mijn afdronk,
als we het vergelijken met bijvoorbeeld Amerika, China of dat soort omgevingen, dat
we ermee gezegend zijn dat we in Europa de AVG hebben. In de afweging van alle belangen
waren we er met z'n allen misschien toch echt wel aan toe dat de privacy wat pregnanter
in beeld kwam. Ik wil niet zeggen dat alle problemen al zijn opgelost, maar ik denk
toch dat dit statement er moet zijn. Misschien is wel het beste bewijs daarvan dat
wij vandaag een AO hebben over privacy zonder dat D66 aanwezig is. Dat is toch bijzonder?
Het mag in de annalen. Wat is hier aan de hand? Ik dacht: kunnen wij wel beginnen?
Maar dat is de situatie. Ik wil maar zeggen: natuurlijk, er zijn heel veel problemen
te overwinnen, maar er is ook heel veel winst behaald. Ik denk dat we met de AVG een
slag dieper zijn gegaan, zowel als het gaat om de Autoriteit Persoonsgegevens als
om al die mensen die dit opgepakt hebben in bedrijven, in vrijwilligersorganisaties
en weet ik wat niet allemaal. Het stond misschien ook in de vorige wet, maar we zijn
het gaan doen. Hoewel het ook leidt tot ongemak, moeten we dat toch ook constateren
met elkaar.

Ik wil drie punten naar voren brengen in de tien minuten die mij volgens mij gegeven
zijn. In de eerste plaats wil ik weten hoe de Minister aankijkt tegen de brief van
GGZ Nederland, dat uitdrukkelijk vraagt om een wettelijke basis voor het delen van
informatie in de forensische zorg, bijvoorbeeld met de politie of anderen. Het wordt
nu allemaal per geval bekeken. Ik kan me niet onttrekken aan de indruk dat de Minister
daar recent ook wel wat debatten over heeft gevoerd. Ik vind dit onderwerp heel belangrijk.
Ik weet dat er een wetsvoorstel aankomt over gegevensdeling als het gaat om het strafrecht
en andere dingen, maar volgens mij ziet die wet niet primair op dit onderwerp. Het
maatschappelijk belang van dit onderwerp is zeer groot. Daar hoeven we elkaar niks
over te vertellen.

Een tweede punt is de crosssectorale gegevensdeling. Ik dank de Minister voor het
rapport van de firma Considerati, waarin wordt gekeken hoe in Engeland Cifas geregeld
is en of dat in Nederland ook zou kunnen. Ik dank hem ook voor de beleidsreactie,
maar ik zal heel eerlijk zeggen dat ik het een buitengemeen bleke beleidsreactie vond.
Ik zou me kunnen voorstellen dat deze Minister van VVD-huize best aan criminaliteitsbestrijding
wil doen. In de brief van de Minister staan alle letters op de goede plek, maar het
is op zich toch een heel goed teken dat ondernemers in het bedrijfsleven zelf verantwoordelijkheid
willen nemen om binnen de grenzen van de AVG boeven van hun erf te houden? Dat is
ook voor alle andere consumenten een voordeel. In Engeland besparen ze op jaarbasis
een miljard pond, gewoon door pure criminaliteit buiten de deur te houden, met toezicht
door een ombudsman en een verbinding met de politie. En laten we wel wezen. Ik weet
dat er, onder andere door het Verbond van Verzekeraars, een poging is gewaagd om hier
iets aan te doen en bij de AP een vergunning aan te vragen. Dat heeft het Verbond
van Verzekeraars tonnen gekost aan juridisch advies en juridische ondersteuning. Maar
van deze brief druipt niet het enthousiasme om dat maar eens in brede zin, zoals in
Engeland, te doen. Let wel: in Engeland zijn ze 20 of 30 jaar bezig geweest om van
een bescheiden initiatief te komen tot wat het nu is. Ik vraag de Minister uitdrukkelijk
om zelf meer een positie in te nemen en te zeggen wat hij hiervan vindt, dus gewoon
politiek, en toch te kijken of we niet in de nieuwe wet gegevensdeling of in de UAVG
een wettelijke basis kunnen vinden. Ik denk namelijk dat we dit puntje niet op het
bord van de AP moeten leggen, want we weten dat dat bord al heel vol is. Aan dit onderwerp
zitten ook echt politieke aspecten, die zich lenen voor een behandeling in wetsverband.
Daarom vraag ik de Minister uitdrukkelijk om daarover iets te zeggen in zijn termijn.

Tot slot, voorzitter, want ik zie u al zenuwachtig naar de klok kijken. Onlangs stond
in Politico Europe – niet direct mijn lijfblad, maar je moet ook weleens wat buiten
de deur lezen – een verhaal over het toezicht van de Ierse persoonsgegevensautoriteit
op bijvoorbeeld Facebook en Google. Al die bedrijven zitten historisch gezien in Ierland.
Los van het feit dat er veel economische banden zijn tussen die bedrijven en de Ierse
overheid, vanwege werkgelegenheid, financiën enzovoorts, is het een klus voor de Ierse
autoriteit om maar eens even al die bedrijven te controleren, want dat doen ze ook
voor ons. Ik heb in dat kader twee vragen. In de eerste plaats wil ik graag weten,
misschien niet nu maar dan op een later moment, hoe de Minister aankijkt tegen de
invulling van die rol in Ierland. Dat is natuurlijk superingewikkeld, want dan moet
je het hebben over de autoriteiten daar. Maar in het stelsel is het daar neergelegd.
Kunnen ze dat aan? Zou je dat niet veel meer op Europees niveau moeten doen? Dat is
me nogal een klus.

Daar past een tweede vraag bij. Om welke vergelijkbare internationale bedrijven, waarvan
de Nederlandse Autoriteit Persoonsgegevens ook melding maakt, gaat het voor Nederland?
Ik zou graag een lijst willen zien. Wij willen dat ze in Ierland hun werk doen. Zo
vind ik ook, mede in relatie tot de discussie of de autoriteit daartoe is uitgerust,
dat wij zicht moeten hebben op welke in Nederland gevestigde internationale bedrijven
onze Nederlandse Autoriteit Persoonsgegevens toezicht moet uitoefenen. Ik vraag dus
uitdrukkelijk om een overzicht daarvan.

Dank u wel.

De voorzitter:

Dank, meneer Van Dam. Ik zie een interruptie van de heer Van Gent.

De heer Van Gent (VVD):

Als ik zie hoe redelijk actief de AP hierin is, heb ik me ook weleens afgevraagd hoe
het in Italië of Griekenland zou zijn. Het is immers een Europese richtlijn. U geeft
nu het voorbeeld van Ierland. Hoor ik u een pleidooi houden voor een Europese toezichthouder?
Dat vind ik een stap verder. Want dat zou de consequentie kunnen zijn als je zegt
dat de Ieren het zelf niet aankunnen.

De heer Van Dam (CDA):

Als CDA'er ligt het woord «subsidiariteit» mij voor in de mond, dus dat je iets organiseert
op het level waar het hoort. Meestal wordt dat begrip toegepast om uit te leggen waarom
we dingen niet op rijksniveau maar op gemeentelijk of provinciaal niveau moeten doen,
maar die subsidiariteitsvraag heeft natuurlijk ook een keerzijde: is het reëel om
het in dit geval op het niveau van het land Ierland te leggen, terwijl die bedrijven
in heel Europa belangen hebben? Er is ook nog een economisch belang tussen de Ierse
overheid en die bedrijven. Daar moeten we ook duidelijk over zijn. Wij hebben ook
een economisch belang bij brievenbusmaatschappijen. Dat is een onderdeel van de discussie.
Ik vind dat we die vraag als Europese burgers mogen stellen. Ik wil er niet meteen
naartoe gaan dat het op Europees niveau moet, want dan is maar de vraag wie dat zou
moeten doen. Maar ik vind wel dat wij als dagelijkse gebruikers van social media die
vraag moeten stellen en het in beeld moeten hebben.

De voorzitter:

De heer Van Gent is daarmee tevreden. Daarmee eindigt de eerste termijn van de Kamer.
Ik wil de Minister graag een kwartier schorsing geven, tot 14.45 uur.

De vergadering wordt van 14.30 uur tot 14.53 uur geschorst.

De voorzitter:

We gaan verder met het algemeen overleg Bescherming persoonsgegevens. Ik meld dat
tot onze vreugde nu ook de heer Verhoeven van D66 is aangeschoven. Met die opmerking
geef ik het woord aan de Minister voor Rechtsbescherming.

Minister Dekker:

Het voelt vertrouwd om nu ook de heer Verhoeven erbij te hebben, als verrijking aan
dit debat en als voorvechter voor het thema privacy.

Voorzitter. Ik moet eerlijk bekennen dat mijn wenkbrauwen enigszins fronsten toen
ik gisteren de krant opensloeg. Daarin deed een van de bazen van Facebook, Sheryl
Sandberg, de oproep dat overheden nu echt moeten opschieten met de regelgeving op
het gebied van privacy. Toen dacht ik: het moet niet veel gekker worden! Tegelijkertijd
merk ik, ook in gesprekken met Amerikaanse collega's, dat er heel erg naar Europa
wordt gekeken om te zien wat wij hier doen op het gebied van de GDPR en het uitrollen
van de AVG. Het privacybewustzijn is hier veel groter dan daar. Soms zitten we in
een soort strijd. Aan de ene kant hebben we het gevoel dat we in de digitalisering,
met de opkomst van grote bedrijven, hier en daar de slag wat hebben gemist, kijkend
naar waar de top tien van grote techbedrijven vandaan komen. Aan de andere kant lopen
we op het thema «de omgang met de bescherming van persoonsgegevens» wel weer voor
op onze Amerikaanse collega's. Het is goed om daarover door te praten.

Vandaag hebben we het over de AVG, waar ik zo even kort bij wil stilstaan. Vervolgens
zoom ik iets meer in op wat we naast de AVG breder kunnen doen op het gebied van privacy,
specifiek horizontale privacy, omdat dit ook als thema in het regeerakkoord is uitgelicht.
Dat betekent niet dat verticale privacy er plotseling helemaal niet meer toe doet,
maar wij zien wel dat discussies nu ook gaan over de vraag hoe een sterke overheid
ervoor kan zorgen dat jouw privacy beschermd wordt ten opzichte van andere individuen
of bedrijven. Vroeger gingen veel discussies over privacy over de vraag hoe je de
overheid enigszins in toom houdt.

Laat ik met de AVG beginnen. Dan sluit ik me aan bij de, zoals ik ze maar even heb
opgevat, gematigd positieve woorden van de heer Van Dam. Hij zei: er is het afgelopen
jaar veel gedoe geweest over wat het betekent en dat het bij sportverenigingen, kerken
en kleine bedrijven vooral gevoeld werd als een last, maar nu zijn we een jaar verder
en beginnen dingen uit te trillen; nog niet helemaal, maar toch. Het ziet ernaar uit
dat het twee dingen heeft opgeleverd. Aan de ene kant een groter bewustzijn over de
persoonsgegeven waarmee je te maken hebt, wat vraagt dat je er op een veilige en goede
manier mee omgaat. Je zou ook moeten nadenken over wat je mag en moet delen, en over
de voorwaarden waaronder dat gebeurt. Aan de andere kant weten ook kleine organisaties
steeds meer wat er van hen wordt verwacht. Ze hebben manieren gevonden om daar op
een praktische manier mee om te gaan, naar aanleiding van goede voorlichting, niet
alleen van de AP, maar ook van verschillende ministeries en brancheorganisaties. Ik
wil echt een groot compliment maken aan, noem ze maar op, bijvoorbeeld VNO-NCW, MKB-Nederland,
NOC*NSF en de grote sportkoepels. Er is enorm veel gedaan om al die leden en hun achterbannen
erbij te betrekken. Een groot compliment daarvoor.

Met de brief hebben wij geprobeerd om inzicht te bieden in waar de knelpunten zitten,
in de reële knelpunten waar we misschien nog eens even over door moeten denken en
in welke dingen we kunnen oplossen door meer en betere voorlichting. Want ook daar
is nog veel te doen. Ik herken de privacykramp waarnaar de heer Van Nispen verwijst.
Hij vroeg waar ik denk dat die vandaan komt. Voor een deel was die er door nieuwe
wetgeving en nieuwe ontwikkelingen. Daar was heel veel aandacht voor. Daardoor hebben
heel veel bedrijven zich afgevraagd wat er op hen zou afkomen, zeker kleine bedrijven
die niet standaard een privacy officer of een juridisch medewerker in dienst hebben
die dat een-twee-drie voor hen kan vertalen. Voor een ander deel – ik ben voorzichtig
– kwam er met de AVG een industrie op gang van organisatieadviseurs en juridisch adviseurs
die vooral ook doembeelden probeerden neer te zetten: kijk uit voor nieuwe wet- en
regelgeving, een autoriteit met tanden en heel hoge boetes. Daardoor is de angst of
de kramp misschien ook wel een beetje aangewakkerd. Vaak gingen dat soort verhalen
gepaard met een hulpaanbod: kijk uit, dit komt er op u af, maar als u ons inhuurt
kunnen wij u helpen. Op onderdelen is dat juridisch advies ook wel weer goed, want
zeker bij middelgrote bedrijven moest er echt wel wat veranderen. Daar zijn dus ook
goede dingen gebeurd. Ik denk dat dit een verklaring is voor wat we het afgelopen
jaar hebben gezien.

Er blijven een aantal reële dingen over. Voor een deel zit het in de regelgeving waarvoor
Nederland afhankelijk is van Europa. Neem bijvoorbeeld het punt dat de heer Van Nispen
aanhaalde over de registerplicht voor kleine ondernemers. Er staat een soort exceptie
in de AVG, maar dan wordt er gezegd: zodra de gegevensdeling structureel wordt, zoals
in de gevallen die hij zojuist noemde al gauw gebeurt, heb je wel degelijk een registratieplicht.
Dan is de vraag of er nog werkelijk een exceptie is voor de kleine bedrijven, of dat
die er de facto niet is. Wij zien in de praktijk dat die exceptie betrekkelijk weinig
voorstelt. Wij vragen ons dus ook af of dat de bedoeling was van de Europese regelgeving.
Wij zullen dit soort dingen straks bij de evaluatie die Europees moet plaatsvinden
uiteraard aankaarten. Ik geef onmiddellijk zelf mee dat wij voor een wijziging afhankelijk
zijn van andere lidstaten, omdat dit gebakken zit in de Europese verordening zelf.
Mijn voorganger Stef Blok heeft destijds wel gezegd: het is goed dat we hiermee omgaan.
Hij heeft toen ook in Brussel aangekaart dat we niet al te lang zouden moeten wachten
met de eerste evaluatie. Als er reële knelpunten zijn, is het goed om die snel op
te pakken.

Voor een ander deel zit het in het stukje UAVG, onze uitvoeringswet, waarvoor discretionaire
ruimte bestaat voor individuele lidstaten. Mevrouw Buitenweg maakte een punt over
de leeftijdsgrens: wanneer mogen minderjarigen zelf toestemming geven voor de verwerking
van persoonsgegevens? Aanvankelijk was in Europa de neiging om dat bij 13 jaar te
leggen. Daar was veel weerstand tegen van sommige landen, die vonden dat het hoger
moest zijn. Toen heeft Brussel in al zijn wijsheid... Of nee, we zijn er zelf onderdeel
van, dus toen hebben we allemaal in al onze wijsheid gezegd: we laten het variabel
zijn. Ik zie twee dingen ontstaan. Ten eerste een lappendeken in Europa, waardoor
heel veel bedrijven zich afvragen hoe ze er op een ordentelijke manier mee moeten
omgaan. In Nederland is de discussie ook waar wij de lat leggen. We hebben ervoor
gekozen om in de UAVG zo dicht mogelijk en beleidsluw aan te sluiten bij de Wet bescherming
persoonsgegevens. Daarin stond de leeftijd op 16. Wij zijn, met wat hulp van buiten,
aan het kijken of het naar 13 zou moeten, of iets daartussenin. Er zitten twee kanten
aan dat verhaal. Je kunt zeggen dat ook minderjarigen recht hebben op een bepaalde
mate van privacy, dus waarom geef je ze daar niet op jongere leeftijd een say in,
ook als het gaat om formele toestemming? Aan de andere kant zijn er ouders die zeggen:
als die toestemming formeel bij mijn kind van 13 ligt, dan kan ik het niet terugroepen
als ik het niet wil of niet verantwoord vind. In dat spanningsveld begeven we ons.
Wij voeren gesprekken met stakeholders. Ik zal de suggestie van mevrouw Buitenweg
oppakken om daar ook de doelgroep zelf in mee te nemen, dus de 13- tot 16-jarigen.

Dan zijn er nog dingen die in onze ogen kunnen binnen de wet- en regelgeving, maar
die wel iets extra's vragen. De heer Van Dam kaartte het punt aan van zwarte lijsten
en van bedrijven die onderling fraude willen bestrijden en daarvoor dingen moeten
kunnen uitwisselen, maar waarvoor dan wel wat nodig is.

De voorzitter:

Een interruptie van de heer Van Dam.

De heer Van Dam (CDA):

Ik wil toch iets zeggen over het begrip «zwarte lijst». Ik heb dat heel bewust niet
gebruikt. Bij zwarte lijsten heb ik het idee van een oude lijst die jarenlang bij
de kassa ligt en waarop iemand staat die ooit in het verleden iets gedaan heeft maar
wat intussen allemaal weer veranderd is. Dat begrip zou je niet moeten plakken op
wat Cifas in Engeland doet. Ik zou de Minister willen vragen om de woorden «zwarte
lijst» hier dus niet meer aan te verbinden. Ik heb dat zelf inmiddels ook geleerd.
«Zwarte Cross» heeft misschien nog een positieve duiding, maar een zwarte lijst heeft
iets naars en beduimelds. Sterker nog, het systeem in Engeland bewerkstelligt ook
dat mensen die bijvoorbeeld kwetsbaar zijn als ze online aankopen doen, beschermd
worden tegen zichzelf. Het is dus meer dan een zwarte lijst. Ik wil de Minister dus
eigenlijk vragen om die woorden hier niet meer op te plakken. Dat is niet alleen maar
een semantisch dingetje.

De voorzitter:

Dank u, meneer Van Dam. Ook voorzitters hanteren weleens een zwarte lijst als het
gaat om het misbruiken van spreektijden.

Minister Dekker:

Ik ga op zoek naar een alternatief. Mocht ik straks in de discussie de term toch nog
een keer gebruiken, vergeeft u het mij dan. Soms slaan we in het gemak dingen plat.
Maar de heer Van Dam heeft natuurlijk helemaal gelijk: de lijst is veel geavanceerder
en veel genuanceerder dan dat. Ik wilde het punt maken dat private partijen onder
de AVG wel degelijk onderling gegevens kunnen uitwisselen die nodig zijn om fraude
te bestrijden, maar dat dit iets extra's vraagt. Dat is de vergunningsroute. Overigens
ligt er op dit moment een aanvraag van de financiële sector, van banken en het verzekeringswezen,
om dat te doen. Ik kan niet vooruitlopen op die toetsing, die wordt gedaan door de
AP. Daarmee geef ik maar even aan dat de route ook wel wordt bewandeld, overigens
met hulp van ons departement, omdat wij dat zeer toejuichen. Ik reken het mezelf aan
dat de heer Van Dam zegt: we zien wel de formeel-juridische route uitgerold in de
brief, maar wordt dat met enthousiasme toegejuicht en kunnen mensen bij beide ministers
terecht als het gaat om dat soort initiatieven? Het antwoord is ronduit: ja. Wij willen
meedenken en meehelpen. Wij hebben ook het idee dat het aanbod van de Autoriteit Persoonsgegevens
is om mee te denken en mee te helpen. Dat is nooit een garantie voor een succesvolle
toetsing, maar wel voor het helder aangeven aan welke voorwaarden zo'n aanvraag zou
moeten voldoen om de toets der kritiek te kunnen doorstaan. Het heeft sterk mijn voorkeur
om eerst te kijken of de mogelijkheden in de wet kunnen worden benut. Ik ben er zelfs
positief over gestemd. Mocht dat bij een evaluatie niet het geval blijken te zijn,
dan kun je die wet alsnog wijzigen. Maar de wet wijzigen terwijl de inkt bij wijze
van spreken nog niet droog is, vind ik wel heel erg op de zaken vooruitlopen. Van
onze kant is er dus hulp en denken we mee om partijen ook bij privaat-privaatinitiatieven
te helpen.

Twee is dat we ook publiek-privaat bezig zijn met het maken van allerlei extra wettelijke
grondslagen om de uitwisseling van gegevens meer mogelijk te maken. U kunt binnenkort
het wetsvoorstel gegevensuitwisseling samenwerkingsverbanden verwachten. Dat maakt
het voor de zogeheten RIEC's, die bezig zijn met het tegengaan van zware criminaliteit
en ondermijning, mogelijk om tussen overheden en bedrijven informatie uit te wisselen.

De voorzitter:

Voor u verdergaat, zie ik een interruptie van de heer Van Gent van de VVD.

De heer Van Gent (VVD):

Ik had dat wetsvoorstel in voorbereiding ook gezien. De AVG biedt de mogelijkheid
om ruimte te scheppen voor bijvoorbeeld criminaliteitsbestrijding. Mijn vraag is dan
heel concreet: zou dat ook niet voor andere sectoren moeten? Ik heb het Integraal
Kankercentrum Nederland al genoemd. Zouden die ook niet via wetgeving, bijvoorbeeld
binnen de sector zorg, een wettelijke basis kunnen krijgen om gegevens te krijgen?

Minister Dekker:

Ik ken dat individuele geval niet, dus ik kan dat ook moeilijk beoordelen. Ik weet
ook niet precies wat er speelt. Als er sprake is van een wetenschappelijk instituut
of de vergaring van persoonsgegevens ten behoeve van academisch werk, dan zit er een
exceptie in de wet die dit mogelijk maakt. Kennelijk is daar hier geen sprake van,
want is er discussie met de AP op dit vlak. Zeker waar het gaat om zorggegevens, die
geen normale persoonsgegevens maar buitengewone persoonsgegevens zijn, en die dus
zwaarder tellen, moet je daar wel voorzichtig mee zijn. Ik kan dus niet een-twee-drie
zeggen dat het hierop ook van toepassing is.

De heer Van Gent (VVD):

Ik ken de situatie van het instituut ook niet van haver tot gort. Het is in ieder
geval geen commerciële instelling. Maar zou het in algemene zin voor dergelijke instellingen,
die actief zijn op wetenschappelijk gebied en waarover klaarblijkelijk wel vragen
zijn, mogelijk zijn om via sectorale wetgeving wel een wettelijke basis te krijgen?
Dat gebeurt in feite nu ook bij justitie als het gaat om de wet die u net heeft toegelicht.

Minister Dekker:

Los van de wenselijkheidsvraag is het antwoord daarop bevestigend. Er wordt heel vaak
gezegd: er kan weinig binnen de AVG. Nee, de AVG zegt: er kan heel veel, zolang er
een wettelijke grondslag is. Dus als de wetgever vindt dat de uitwisseling van persoonsgegevens
nodig is en daar een wettelijke grondslag voor maakt, dan kan er heel veel. Dan zal
bij de totstandkoming van die regelgeving ook de wenselijkheidsvraag wel aan de orde
komen. We zijn nu bezig met heel veel wettelijke grondslagen. Het wetsvoorstel gegevensdeling
samenwerkingsverbanden maakt via een wettelijke grondslag een aantal dingen op het
gebied van veiligheid en openbare orde mogelijk. Daar moeten we een discussie over
hebben: vindt u dat niet te ver gaan, vindt u het terecht en proportioneel? Maar het
is een route om ervoor te zorgen dat er meer kan dan het strikte kader van de AVG.

De voorzitter:

Gaat u verder.

Minister Dekker:

Het is een mooi bruggetje naar wat dat de heer Van Dam aanhaalde over de forensische
zorg. Daar geldt hetzelfde voor. Er kan heel veel met de uitwisseling tussen bijvoorbeeld
ggz-instellingen of forensischezorginstellingen en politie, als er maar een wettelijke
grondslag is. Ik ga graag het gesprek aan met GGZ Nederland om te zien waar dit dan
zit. Wij zijn zelf bezig om links en rechts dit soort grondslagen aan te brengen.
Volgende week hebben we een debat over de Wet straffen en beschermen. Daar zit een
grondslag in om bijvoorbeeld op het gebied van re-integratie veel meer uit te wisselen
met gemeenten. Gister had mijn collega Hugo de Jonge hier een discussie over de Wet
zorg en dwang, waarin een bepaling is opgenomen dat er in het kader van de Wet verplichte
ggz informatie kan worden gedeeld tussen de zorgsector en de politie. Dat zijn dus
stuk voor stuk manieren om gegevensuitwisseling mogelijk te maken. We proberen die
er nu in te bouwen en in te hangen. Die krijgt u allemaal voorgeschoteld. Dat gaat
dus om wettelijke grondslagen. Los daarvan heb ik tegen de heer Van der Staaij in
het debat over Michael P. gezegd dat we ook nog wel een soort bredere verkenning willen
doen naar waar op het snijvlak van justitie en zorg precies de knelpunten zitten.
We constateren dat het daaraan ontbroken heeft. Zo kunnen we preventief te werk gaan.

Voorzitter, dat was het als het gaat om de AVG. Ik twijfel nog een beetje. De heer
Van Gent gaf een soort voorschot over uitgangspunten die wat hem betreft leidend zijn
als je de wet gaat evalueren. Ja, een wet is een levend document. Daarbij moeten we
voor een deel ons werk doen in Brussel en, voor een smaller deel, hier in Nederland.
Maar het denken staat nooit stil. Zijn tweede punt is dat datamobiliteit daarbij het
uitgangspunt is. Daar ben ik zelf wat kritischer op, want de AVG zegt juist: het gaat
over persoonlijke gegevens; de uitwisseling daarvan moet níét het uitgangspunt zijn,
maar minimalisatie moet het uitgangspunt zijn. De AVG zegt daarnaast dat jij zelf
over je eigen gegevens gaat en dat iemand die pas mag delen na jouw toestemming. Ik
denk dat dit het grote winstpunt is van die wet. Natuurlijk moet je daarbij steeds
een belangenafweging maken, bijvoorbeeld tussen privacy en veiligheid, maar dat is
geen belangenafweging die je zomaar moet neerleggen bij een individuele instantie,
waarbij je er dan maar op mag hopen dat dit goed gebeurt. Voor een deel moet die belangenafweging
in het parlement plaatsvinden door het maken van wettelijke grondslagen op basis waarvan
je die gegevens zou mogen uitwisselen.

De heer Van Gent (VVD):

We weten dat de EU graag vrij verkeer bevordert. Je kunt de AVG interpreteren als:
vrij verkeer van data moet zo veel mogelijk mogelijk zijn, mits met oog voor de privacy
en het gegevensbelang. Het is een attitude, maar je kan er zo naar kijken. Privacy
is belangrijk, en gegevensbescherming ook, maar het vrije verkeer van data is dat
ook. Als je het omgekeerde vooropstelt, «doe maar zo min mogelijk vrij verkeer van
data», krijg je al heel snel een schending van persoonsgegevens. Juist het vrije verkeer
van data is volgens mij een uitgangspunt van de AVG.

Minister Dekker:

Ik ben bang dat we daarover van mening verschillen. Het zijn niet zomaar data; het
gaat om persoonsgegevens. Bijvoorbeeld in mijn vorige klus was ik altijd een groot
voorstander van open data en open access om wetenschappelijke data zo veel mogelijk
en zo vrij mogelijk te delen. Ik ben hier veel terughoudender in, want het gaat hier
gewoon om uw adresgegevens, om bsn-nummers, om medische gegevens. Het gaat om dingen
die vooral niet zomaar moeten worden gedeeld, tenzij je daar toestemming voor geeft,
tenzij het noodzakelijk is voor het vervullen van wettelijk opgedragen taken of tenzij
er excepties zijn in de wettelijke grondslagen dat veiligheid zwaarder telt, waardoor
die dingen wel mogen worden gedeeld. Wat wel een groot voordeel is van de AVG, is
dat het geharmoniseerd is in Europa. Vroeger had je 27, 28 lidstaten met allemaal
hun eigen beschermingsregime. Daardoor was het onduidelijk wat je beschermingsniveau
was als je een ticket kocht bij een Letse vliegtuigmaatschappij, die net even andere
wet- en regelgeving had. Als je vervolgens allerlei ongewenste e-mail kreeg, was het
onduidelijk waar je precies naartoe moest en moest je naar de Letse autoriteit toe
om je recht te halen. Dat is vele malen makkelijker gemaakt. We hebben nu één set
aan wet- en regelgeving, die geldt voor heel Europa. Nederlandse burgers en bedrijven
kunnen gewoon bij de Nederlandse autoriteit terecht met hun vragen en klachten. Dus
op het punt van de harmonisatie zijn de heer Van Gent en ik het volledig met elkaar
eens.

Ik maak even een overstap naar de Autoriteit Persoonsgegevens. Dat is de toezichthouder
op die hele set aan wet- en regelgeving. Eerst maar even de systematiek. Dat heeft
te maken met de harmonisatie. De heer Van Dam vroeg hoe we ertegen aankijken dat in
plaats van een centrale Europese autoriteit de Ierse autoriteit het onderzoek doet
naar bijvoorbeeld Facebook. In de systematiek van de AVG is het een heel bewuste keus
geweest om er niet de zoveelste grote Europese instantie van te maken, zoals we die
op een aantal andere gebieden wel kennen, maar om juist dichtbij voor bedrijven en
voor burgers een loket te hebben waar ze terechtkunnen. Als u een klacht heeft over
een bedrijf in Spanje, kunt u gewoon naar de Nederlandse Autoriteit Persoonsgegevens.
Zij heeft contact met de Spaanse autoriteit. Daar wordt het onderzoek gedaan. U krijgt
het vervolgens teruggemeld. Voor bedrijven die in Nederland zijn gevestigd – er is
geen lijst; dat zijn alle Nederlandse bedrijven – geldt hetzelfde: die vallen onder
het toezicht van de Nederlandse autoriteit. Omdat Facebook is gevestigd in Ierland
en er even terug dat grote incident was rond Cambridge Analytica, is er toen gezegd
dat het de Ierse autoriteit is die daar onderzoek naar doet. Wat is het mechanisme?
Als het niet binnen een land kan worden opgelost, is er altijd het verkeer tussen
de landen. Als het zelfs nog groter wordt, is er een Europese raad waarbinnen de dingen
worden besproken en waarin ook de Nederlandse voorzitter van de Autoriteit Persoonsgegevens
een zetel heeft. Sinds zeer kortgeleden is hij vicevoorzitter van die council.

Is de Autoriteit Persoonsgegevens voldoende toegerust met geld en middelen? In mijn
ogen wel, hoewel we daar natuurlijk wel steeds de vinger aan de pols moeten houden.
Bij Voorjaarsnota is het budget weer wat verder gestegen. Er zijn denk ik weinig organisaties
in Nederland die kunnen bogen op zo'n snelle groei als de Autoriteit Persoonsgegevens.
Het budget is gegroeid van een kleine 8 miljoen in 2016 naar zo'n 18,5 miljoen in
2019. Dat is meer dan een verdubbeling. Daar staan natuurlijk ook extra taken tegenover,
zal de heer Van Nispen meteen zeggen. Dat ben ik met hem eens. Er zijn ook wat onderzoeken
gedaan naar wat voor een soort groeiscenario's je moet aanhouden. Dat is het rapport
waarnaar ik verwees. In dat rapport had je een minimumscenario, een middenscenario
en een hoog scenario. We zitten net onder het minimumscenario. Ik geloof dat het minimumscenario
uitging van een groei naar zo'n 19,5 miljoen. We zitten nu op 18,5 miljoen. Mijn kritiek
is steeds geweest dat bij dat soort van scenariodenken wordt gewerkt met heel veel
aannames. Laten we nu ook eens in de praktijk kijken hoe die aannames uitpakken. Wij
zagen daarom dit jaar noodzaak voor groei. Die hebben we geaccordeerd.

De heer Van Nispen zegt dat er een tekort is dit jaar. Dat zou ik heel vreemd vinden,
want de Autoriteit Persoonsgegevens weet – het is een zbo – van jaar tot jaar met
welk budget ze moeten werken en uit moeten komen. Net als voor iedere andere organisatie
ga ik ervan uit dat de Autoriteit Persoonsgegevens wel gewoon binnen het budget blijft.
Als er een probleem ontstaat, komen ze bij ons en moeten ze dat bespreken. Daar moeten
we scherp op zijn.

De voorzitter:

Dit leidt tot een interruptie van de heer Van Nispen.

De heer Van Nispen (SP):

We hadden dus scenario's toen we onder andere de wet bespraken. Daar hield de Minister
zich niet helemaal aan. Daar hebben we het toen over gehad. De heer Verhoeven en ik
hebben vervolgens een motie ingediend. Maar de vinger aan de pols is er dus geweest,
want die scenario's zijn recent bijgewerkt. De Minister zegt dat hij niet alleen naar
scenario's wil kijken, maar ook naar de realiteit. Dat ben ik met de Minister eens.
Maar ook die cijfers zijn er nu. Dus volgens mij is de vinger aan de pols gehouden.
Mijn vraag aan de Minister is of hij die meest actuele scenario's en die realistische
cijfers kent. Wat is er het afgelopen jaar allemaal gedaan en wat is er in de eerste
helft van 2019 allemaal gedaan? Erkent de Minister dat hij, ook als je het toetst
aan de praktijk, daar nog steeds onder zit? Dan zegt het mij niet zoveel dat de Autoriteit
er vergeleken met andere organisaties relatief veel geld bij heeft gekregen. We vragen
ook ontzettend veel van haar, qua voorlichting, qua handhaving en noem het maar op.
Zij heeft veel extra taken gekregen. Dus die vergelijking met andere organisaties
zegt mij dus heel weinig. Ik wil van de Minister weten of hij die meest actuele scenario's
kent en of hij bereid is om die aan de Kamer te sturen, inclusief het groeipad wat
de Minister zelf voor ogen heeft qua budget voor de Autoriteit Persoonsgegevens.

Minister Dekker:

Ik ken die scenario's zelf niet. Het zou best kunnen dat ze beschikbaar zijn binnen
mijn eigen organisatie, maar in ieder geval zijn die scenario's niet in opdracht van
mij gemaakt. Het kan natuurlijk best zijn dat de AP zelf allerlei scenario's maakt,
maar dat vind ik echt wel van een iets andere orde. Bij het maken van begrotingen
en het toebedelen van budgetten heb je altijd te maken met het maken van keuzes en
met schaarste, bijvoorbeeld als het gaat om de politie, het Openbaar Ministerie, de
rechterlijke macht. Dat geldt ook voor de Autoriteit Persoonsgegevens. Als je vraagt
«zou je ook meer willen», is het antwoord eigenlijk standaard: ja. Dan heb je iets
meer ruimte en kan je iets meer met je capaciteiten doen. Dat zijn ook de gesprekken
die ik voer met de AP. Dus het is geen openeinderegeling. De AP moet gewoon voldoen
aan het budget dat zij ieder jaar krijgt. Daar ben ik ook een beetje streng op, want
anders gaat het echt helemaal mis. Ik vraag dat ook van andere organisaties. En natuurlijk
voeren we daar een open gesprek. Als ze zeggen «we hebben toch wel heel veel extra
werk, wij zitten met een aantal knelpunten», dan gaan we daarover aan tafel zitten.
Dan wegen we die knelpunten. Dan kijk ik ook naar de knelpunten die ik heb bij al
die andere organisaties en uiteindelijk komen we dan tot een afweging. Dat heeft voor
dit jaar, bij deze Voorjaarsnota, geleid tot een extra toevoeging van 3,5 miljoen
euro.

De heer Van Nispen (SP):

Maar laten we nou niet onze privacywaakhond gaan wegzetten als een rupsje-nooit-genoeg.
Wij hebben er in de Kamer met elkaar voor gekozen dat er extra taken zijn en dat we
dit onderwerp ongelooflijk belangrijk vinden. Er zijn scenario's. Daar ging de Minister
dan nog onder het minimum zitten. Daar was ik het niet mee eens, maar dat is gebeurd.
Maar inmiddels hebben we reële, objectieve, bijgewerkte scenario's en reële cijfers
over hoe het er nu voorstaat. En dan zegt de Minister: ja, maar ik heb geld toegevoegd,
maar dat benadert het ook niet. Dus ik wil graag dat de Minister met een brief komt
waarin hij die scenario's aan de Kamer stuurt, met het groeipad dat hij zelf voor
ogen heeft, en dan inderdaad met een rechtvaardiging van waarom de Minister zegt:
desalniettemin vind ik dat we dit toch niet gaan doen. Dat zou ik dan graag van de
Minister willen weten. Dat de Autoriteit moet groeien, hebben we afgesproken en dat
weten we allemaal. Dat moet beheerst gaan. Je kunt niet in één keer een organisatie
verdubbelen; dat snappen we ook allemaal. Maar langzamer groeien dan volgens die realistische
scenario's en de objectief vastgestelde cijfers is volgens mij onverantwoord, gelet
op het belang dat we hier allemaal hechten aan de bescherming van persoonsgegevens.
Dus mogen we die scenario's van de Minister ontvangen met het groeipad dat hij voor
ogen heeft?

Minister Dekker:

Naar mijn beste weten heeft mijn ministerie geen scenario's laten maken. Nee, wij
hebben geen scenario's laten maken, dus die kan ik u ook niet toe laten komen. Dus
dat vind ik een beetje een ingewikkelde.

De voorzitter:

Ik geloof dat meneer Van Nispen nog even wil verduidelijken wat hij precies wil.

De heer Van Nispen (SP):

Kan het zijn dat de scenario's in opdracht van de Autoriteit Persoonsgegevens zijn
gemaakt, dat het weer gaat om AEF? Kan de Minister uitzoeken of er realistische scenario's
zijn, vanuit het ministerie dan wel vanuit de Autoriteit Persoonsgegevens? En is hij
bereid om zich daarin te verdiepen? Dat is eigenlijk de vraag die ik hier wil stellen.

Minister Dekker:

Dat is een andere vraag. Dat kan ik wel doen. Het kan best zo zijn dat de AP daar
het een en ander aan heeft gedaan. Maar nogmaals, daar ben ik ook wel een beetje kritisch
op, want het is niet een soort «u vraagt, wij draaien» als ik vraag aan het Openbaar
Ministerie «hoeveel geld heb je nodig», als ik vraag aan of aan de politie «hoeveel
geld heb je nodig» of als ik vraag aan de rechterlijke macht «hoeveel geld heb je
nodig». Wij moeten keuzes maken bij het maken van onze rijksbegroting. Dat betekent
ook dat we er in die keuzes nu voor hebben gekozen om wat extra geld naar de AP te
laten gaan en naar een hele hoop andere dingen niet. Natuurlijk bent u dan kritisch:
is dat genoeg? Prima, dat debat gaan we straks hebben bij de Voorjaarsnota en bij
de Miljoenennota. Maar ik kijk ook naar andere dingen, niet alleen maar naar verdelingsvraagstukken
binnen mijn Justitiebegroting. Ik zou bijvoorbeeld ook wel willen weten hoe dan de
Nederlandse AP zich verhoudt tot de andere autoriteiten in Europa, ook een beetje
qua groei. Dus ik zal nagaan of er wellicht bij de AP dit soort dingen zijn gedaan,
maar ik zet daar dan ook wel mijn eigen studies naast.

De voorzitter:

Krijgen wij dat in een brief? Want dat was volgens mij expliciet waar de heer Van
Nispen om vroeg.

Minister Dekker:

Het lijkt mij zinvol dat wij dat voor de begrotingsbespreking in het najaar doen,
want dan zal dit thema aan snee komen.

De voorzitter:

Dank u wel. Gaat u verder. O, mevrouw Buitenweg.

Mevrouw Buitenweg (GroenLinks):

Ik weet niet of mijn vraag over de Autoriteit Persoonsgegevens nog wordt beantwoord.

De voorzitter:

Zullen we anders de Minister eerst verder laten gaan over de Autoriteit Persoonsgegevens
en achteraf kijken of er nog onbeantwoorde vragen zijn? Dat lijkt me het meest...
Tenzij de Minister zelf zegt: ik was aan het einde van de AP.

Minister Dekker:

Ik zit even te kijken welke vragen ik nog had.

Mevrouw Buitenweg (GroenLinks):

Misschien kan ik dat dan toch verduidelijken. Het gaat erom dat ik gewoon een feitelijke
vraag had gesteld. Er waren inderdaad die drie scenario's van AEF, waarbij in het
hoogste scenario ook werd meegegeven om hoeveel telefoontjes het dan ongeveer zou
gaan. Mijn feitelijke vraag was: klopt het dat de hoeveelheid telefoontjes, klachten,
datalekken en dergelijke die er op dit moment zijn, eerder correspondeert met het
hoogste scenario dan met het laagste scenario, en dat zelfs overtreft?

Minister Dekker:

Ik zou dat niet durven zeggen.

De voorzitter:

Ik geloof dat mevrouw Buitenweg buiten de microfoon zegt dat ze toch hecht aan die
informatie en vraagt of die haar op de een of andere manier kan bereiken.

Minister Dekker:

Dat lijkt me handig om mee te nemen in de brief waar de heer Van Nispen naar vroeg.

Mevrouw Buitenweg (GroenLinks):

Dit heeft gewoon te maken met hoe het afgelopen jaar is gegaan. Ik denk dat dit voor
ons ook echt van belang is, want eerder is steeds gezegd: we moeten niet te hard van
stapel lopen, we moeten allemaal ingroeien. Maar als we nu zien dat de cijfers eerder
correspondeerden met het hoogste niveau dan met het lagere, dan is dat voor ons belangrijke
informatie en moet die ook feitelijk aanwezig zijn. Dan denk ik dat we déze informatie
echt wel voor het zomerreces kunnen krijgen.

Minister Dekker:

Het hoeft niet te wachten, als het allemaal beschikbaar is, tot de begroting, maar
dat is in ieder geval het moment waarop we het gaan bespreken. Het gaat over feitelijke
informatie, dus dat kunnen we allemaal prima nagaan. Het punt dat ik steeds heb gebruikt,
is: jongens, we zitten ook in een overgangsjaar. Dus wat zeggen nou de aantallen telefoontjes
in het jaar dat de AVG ingaat? Dat je dan heel veel telefoontjes hebt, vind ik eerlijk
gezegd niet zo heel erg gek. Maar zegt dat ook wat over wat de Autoriteit Persoonsgegevens
structureel kan verwachten? Zijn er wellicht efficiëntere manieren om met je communicatie
om te gaan, dus ook kijken naar slimmer, efficiënter werken? Dat zijn de vragen die
ik steeds stel, want anders wordt het een soort openeinderegeling. Er zijn maar heel
weinig organisaties in Nederland die op zo'n manier worden gefinancierd.

De voorzitter:

Ik vraag toch even een verduidelijking voor de toezeggingenlijst. Want mevrouw Buitenweg
vroeg volgens mij expliciet: voldoen die cijfers nu aan het hoogste scenario, kunt
u daar informatie over geven? Dat zou volgens haar wel voor de zomer moeten kunnen.
De Minister heeft al gezegd: die informatie leveren we natuurlijk aan. Ik wil wel
graag weten op welke termijn hij denkt die informatie te kunnen aanleveren.

Minister Dekker:

Dat weet ik niet, want daarvoor ben ik afhankelijk van de Autoriteit Persoonsgegevens.
Het lijkt mij dat we deze discussie straks hebben bij de Miljoenennota en dat het
dan op tafel moet liggen.

Mevrouw Buitenweg (GroenLinks):

Ik vrees dat ik het daarmee zal moeten doen en, als het kan, inderdaad eerder. Ik
vind het van belang om reëel te zijn. Ik snap ook wel de overweging van de Minister
dat het geen openeinderegeling moet zijn, maar ik wil gewoon feitelijk weten: klopt
dit nou een beetje met eerdere scenario's en dat het dan vooral aan de hoge kant zit?
Want dat betekent natuurlijk ook iets voor de verantwoordelijkheid die wij uiteindelijk
moeten nemen. Dan is het: zo snel mogelijk, en in ieder geval ruim voor de Miljoenennota.

Minister Dekker:

U krijgt van mij die informatie voordat we de discussie hebben over het budget voor
de komende jaren, met alle kanttekeningen die ik er nu bij plaats, namelijk dat dat
niet het enige is waar we naar moeten kijken, dat er ook keuzes moeten worden gemaakt
in de Justitiebegroting of de hele rijksbegroting en dat we ook moeten vergelijken
hoe het budget zich verhoudt ten opzichte van andere autoriteiten in Europa. Wat zijn
de mogelijkheden voor de Autoriteit Persoonsgegevens om het ook efficiënter te doen?
Wat is de eenmalige invoeringslast die je op je krijgt in zo'n eerste jaar? Ik vind
wat dat betreft zo'n eerste jaar moeilijk representatief voor wat we kunnen verwachten
op de langere termijn. Ik kan het allemaal meenemen in die brief; dan heeft u in ieder
geval de achtergrond.

De voorzitter:

Dank u wel. Gaat u verder dat uw betoog.

Minister Dekker:

Ik kom op de horizontale privacy. Want we hebben het vandaag niet alleen maar over
de AVG en het toezicht daarop, maar we trekken dat ook breder. Mevrouw Buitenweg zei:
ja, leuk, horizontale privacy, maar vergeet je dan niet wat? Natuurlijk, verticale
privacy is minstens zo belangrijk. Ze haalde daarbij zelf het voorbeeld aan van SyRI.
Ik kan daar nu niet te veel over zeggen omdat dat ook onder de rechter is. Maar misschien
wel wat over het algemene principe wat je nu kunt doen met algoritmes als het gaat
om het in kaart brengen van risicogroepen. Daar liggen inmiddels ook een aantal uitspraken,
namelijk dat het maken van besluiten op geautomatiseerde profiling, in ieder geval
zonder tussenkomst van menselijk handelen, niet mag. Sommige systemen die bestaan,
nemen geen besluiten op basis van kenmerken maar duiden waar risico's zitten, zodat
je vervolgens gerichter kunt kijken naar hoe je daarmee omgaat.

Mevrouw Buitenweg (GroenLinks):

Daarmee komen we inderdaad op een belangrijk punt. Wat is een besluit? Als het besluit
nou is dat op basis van een algoritme ergens iemand veel steviger aan de tand gevoeld
wordt over de financiële situatie, dan wil dat nog niet zeggen dat een product of
een uitkering niet toegekend wordt. Maar het is wel degelijk een handeling van de
overheid om bij de ene groep meer controle uit te oefenen dan bij de andere groep.
Dat op zichzelf kan ook nog weer stigmatiserend of verzwarend werken. Mijn vraag aan
de Minister is: is dat een besluit, wat dus niet volledig automatisch genomen kan
worden, dat van bepaalde mensen meer informatie gevraagd wordt op basis van een algoritme,
zonder tussenkomst dus van menselijk handelen?

Minister Dekker:

Het formele antwoord is: dat is geen besluit in de zin van de Algemene wet bestuursrecht,
waar bij bestuursbesluiten ook altijd beroep en bezwaar geldt, met alle mitsen en
maren. Dus dat is in die formele zin geen besluit. Dat is natuurlijk ook steeds de
discussie met bepaalde groeperingen die kritisch zijn op deze ontwikkelingen, waarvan
ook van de kant van de overheid wordt gezegd: ja, maar is wat we nu doen, voor een
deel geautomatiseerd, heel veel anders dan dat er bijvoorbeeld op een koopavond hier
in de Haagse Spuistraat meer politie op straat loopt dan op een donderdagochtend?
Dat heeft niet alleen maar te maken met de hoeveelheid personen die daar rondlopen,
maar ook met het extra risico op een koopavond dat er meer gedoe is. Dus het maken
van risicotaxaties en het werken met profilering – kijken waar de risico's groter
zijn, in welke wijken, bij welke doelgroepen et cetera – deden wij ook voordat de
computer werd uitgevonden, zal ik maar zeggen.

Mevrouw Buitenweg (GroenLinks):

Mag nou bijvoorbeeld een bank meer vragen aan iemand omdat hij uit een bepaalde wijk
komt, een bepaalde postcode heeft? Mag dan gevraagd worden om meer verantwoording,
omdat we namelijk weten dat in een bepaalde wijk meer mensen in de schulden of wat
dan ook zitten? Dan zegt de Minister: ja, maar er is nog niet een besluit genomen
over een hypotheek. Dat is een besluit dat bestuursrechtelijk hout snijdt. Maar van
het extra vragen aan mensen om zich te verantwoorden zegt de Minister: dat is geen
besluit. Geldt nu alleen voor de overheid dat dat geen besluit is, of geldt dat ook
voor een bank? Mag een bank op basis van een postcode meer vragen aan de een dan aan
de ander?

Minister Dekker:

We gaan nu twee dingen door elkaar halen. Ik heb het over overheidsbesluiten en over
systemen die de overheid gebruikt. Het andere deel ziet erop hoe private partijen
hiermee omgaan. Als u een contract wilt aangaan met uw bank, dan is uw bank ook in
bepaalde mate vrij wanneer ze dat contract aangaat. In principe mag je daarbij niet
discrimineren, dus het mag niet zo zijn dat, als u een gelijk geval bent als iemand
anders, gezegd wordt: maar u woont in die straat – de verkeerde straat, zeg ik maar
– en dan kunt u bij ons geen klant worden. Dat mag niet. Wel kunnen er objectieve
redenen zijn om een onderscheid te maken. Een bank of een verzekeraar mag een verzekering
weigeren omdat ze zeggen: ja, maar u heeft in het verleden wel heel veel aanrijdingen
gehad. Of: u heeft zich schuldig gemaakt aan een bepaald misdrijf, waardoor wij het
risico te hoog vinden. Dat zijn andere grondslagen, op basis waarvan je wel dat onderscheid
mag maken.

Mevrouw Buitenweg (GroenLinks):

Dat is niet wat ik vroeg.

De voorzitter:

Kort, want ik wil dit punt wel afronden. Het wordt anders een grote hypothetische
discussie op een gegeven moment.

Mevrouw Buitenweg (GroenLinks):

Het is zeker geen hypothetische discussie. Dit is vrij cruciaal. De vraag is niet
of iemand geen klant mag worden, want dat begrijp ik. Dat is namelijk een besluit,
waarbij ook inderdaad de Algemene wet gelijke behandeling van toepassing is. Er mag
niet gediscrimineerd worden, niet direct, niet indirect. Dus dat snap ik. Maar het
gaat erom of je extra iets mag vragen – dat mensen zich extra verantwoorden of allerlei
extra financiële gegevens overleggen – voorafgaand aan het besluit. Maar het vergt
wel degelijk een extra handelen. Mag je onderscheid maken dat je van de ene burger
meer verantwoording vraagt dan van de ander op basis van bijvoorbeeld een postcode?

Minister Dekker:

Even kort ruggespraak. Volgens mij mag dat. Je mag alleen geen ongerechtvaardigd besluit
nemen, waarbij je zegt: op diezelfde informatie nemen we bij u een ander besluit dan
bij een ander. Maar als het gaat om de informatievergaring, de vraag om het overleggen
van documenten of informatie voordat een contract wordt aangegaan, wordt dat in ieder
geval niet belet. Ook niet door de AVG.

De voorzitter:

Minister, vervolgt u uw betoog.

Minister Dekker:

Horizontale privacy, breder dan alleen de AVG. Wij zeggen dat als je daar werk van
wilt maken, dat wat meer vraagt in het risicobewustzijn van mensen. Dat is eigenlijk
preventief, dus laat nou gewoon zien wat mensen weggeven als ze iedere keer op dat
knopje drukken. Ten tweede, zorg voor meer mogelijkheden en praktische leidraden:
wat kun je doen als je het gevoel hebt dat je belangen worden geschaad? Het idee van
zo'n privacywijzer. Vergelijk dat maar met de ConsuWijzer, waarin ook tips en adviezen
staan, leidraden waar consumenten mee aan de slag kunnen. Op andere onderdelen is
er meer nodig op het gebied van normering door de overheid.

De heer Van Gent zegt – ik vat het maar op als opbouwende kritiek – dat het hartstikke
goed is dat een aantal dingen worden gedaan, maar waarom kost een aantal daarvan nou
zo veel tijd? Dat heeft er ook mee te maken dat een aantal dingen al veel verder zijn
uitgekristalliseerd en op een aantal punten ook gewoon meer tijd kosten. Zo is strafbaarstelling
van wraakporno iets waaraan een hele lange tijd werd gewerkt en wat wel in de pijplijn
zat. Dat is inmiddels voorgereden. Maar laat ik een ander voorbeeld geven dat hij
aanhaalt: spyware. Dat is een heel ander verhaal. Als je daar in de wet- en regelgeving
wat zou willen doen, komen er allerlei vragen op. Wanneer is er sprake van spyware?
Is het effectief om dat te gaan reguleren, wetende dat er ook gewoon heel veel over
de grens besteld wordt? Dan kun je het dus in Nederland wel verbieden, maar schiet
je daar nou heel veel mee op? Zou je dat niet Europeesrechtelijk moeten doen? Heeft
het gezien het vrije verkeer van goederen zin om in Nederland een verbod op te leggen,
terwijl je het bij wijze van spreken over de grens wel kan halen? Stuk voor stuk vragen
die wel iets meer denkwerk vragen. Dat is niet een kwestie van even twee zinnetjes
typen en dan heb je een wet.

Hetzelfde geldt ook voor het ex parte verbod. Wij hebben een verkenning gedaan. We
komen niet heel veel landen tegen waarbij al een heel laagdrempelige mogelijkheid
bestaat om ook niet-strafbaar materiaal snel te laten verwijderen. Ik vind het idee
heel erg goed. Het stond in de initiatiefnota van de collega van de heer Van Gent.
De heer Van Nispen heeft het ook al een keer aangekaart. Maar dat vraagt dat wij nu
gaan kijken of we kunnen leren van andere landen. Het antwoord daarop is: zeer beperkt
tot nee. Dan moeten we dat dus zelf gaan verzinnen en dan kom je op allerlei vragen.
Hoe groot is de doelgroep? Wat zou je precies willen reguleren? Wat kun je doen om
bijvoorbeeld te achterhalen wie het uiteindelijk heeft geplaatst, zodat het niet alleen
snel verwijderd wordt, maar je slachtoffers ook de mogelijkheid biedt om eventueel
schade te verhalen bij derde partijen?

Ik zal er straks uitvoeriger bij u op terugkomen dat er ook een burgerinitiatief op
dit vlak is om internetpesten tegen te gaan, ik geloof van Peter R. de Vries. Daarbij
zou eigenlijk hetzelfde mechanisme gebruikt kunnen worden om er wat tegen te doen.
Daarvan hebben wij juridisch uitgepuzzeld waar je naar zou moeten kijken. Dus de vragen
liggen eigenlijk op tafel. Wat er nu nodig is, is die vragen van een antwoord te voorzien
en in te vullen.

Ook dat vergt gewoon weer tijd, want het is echt pionierswerk. Dus hoe groot is de
doelgroep? Zou je daar een gerechtelijke procedure van willen maken? Zou je het willen
onderbrengen bij een toezichthouder? En natuurlijk de hamvraag, de vraag naar de kosten:
hoe gaan we het met z'n allen financieren? Vragen we een eigen bijdrage van mensen?
Is het kostendekkend? Of moet je hier uiteindelijk ook ruimte voor zoeken binnen de
begroting? Dat hangt weer samen met de vraag naar de wenselijkheid: ben je bereid
om dat met z'n allen te betalen? Dat zijn de vragen waar wij nu tegen aanlopen en
die wij van antwoorden willen voorzien. Dat willen we in het komend jaar ook echt
in gang zetten, zodat we dat in de loop van 2020 ook aan u kunnen voorschotelen en
we die discussie iets beter geïnformeerd kunnen voeren.

De heer Van Gent (VVD):

Mijn kritiek is altijd constructief bedoeld. Pionieren kost inderdaad meer tijd, maar
we zijn natuurlijk graag op meer terreinen een gidsland. Ik interpreteer het antwoord
van de Minister in ieder geval zo dat hij wel de ambitie heeft om dit echt ter harte
te nemen en op te pakken.

Minister Dekker:

Absoluut. Maar om even een voorbeeld te geven: het ene kan snel en het andere vergt
echt meer uitzoekwerk. Daarom ook uw suggestie om tot een soort brede wet horizontale
privacy te komen. Daar ben ik niet onmiddellijk enthousiast over, juist omdat dat
een wet is die heel lang op zich zal laten wachten, terwijl heel veel onderdelen nu
al heel snel gerealiseerd kunnen worden. Dus ik doe het even praktisch middels een
aanpak met verschillende snelheden: wat nu kan, nu doen. Er staan een aantal voorbeelden
in. Wat meer uitzoekwerk vraagt, daar nemen we iets meer tijd voor. Zodra het klaar
is, kunnen we de discussie voeren over de vraag of we dat willen. Zo ja, dan kunnen
we zorgen voor wetgeving.

De heer Van Nispen (SP):

Mijn kritiek is ook altijd opbouwend en constructief, maar ik heb op dit punt toch
ook wel min of meer dezelfde vragen. Die initiatiefnota-Koopmans hebben we een jaar
geleden behandeld. Toen hebben we ook de motie aangenomen die de regering eigenlijk
deze opdracht gaf. En nu, een jaar later, zijn we in de fase dat het ministerie zelf
vragen heeft opgeworpen. Meestal stellen wij de vragen en dan zoekt u de antwoorden
erbij, maar nu heeft u zelf de vragen opgeworpen en zijn die nog niet van een antwoord
voorzien. Daarom de volgende vraag. Zou u het zomerreces kunnen gebruiken om zo veel
mogelijk van die antwoorden te verzamelen en het toch zo te versnellen dat de conceptwet
op dit punt – een verzamelwet lijkt me inderdaad minder gelukkig – misschien al eind
dit jaar in consultatie kan? Want «in de loop van 2020» vind ik echt te vaag. Dan
zou ik graag horen dat het januari 2020 wordt, maar ik vraag wel om ietsje meer snelheid
en gevoel van urgentie voor iets waar de Kamer een jaar geleden al toe besloten heeft.

Minister Dekker:

Wij denken toch dat we begin 2020 – dat is al vrij ambitieus – dat onderzoek klaar
kunnen hebben.

De voorzitter:

Daar zult u het mee moeten doen, meneer Van Nispen.

Minister, ik zie dat u daar nog best een stapel heeft liggen. Ik verzoek u dus om
iets meer vaart te maken.

Minister Dekker:

Ik ga vaart maken. En ik zie ook dat een aantal van die dingen al beantwoord zijn.
Dat scheelt.

Mevrouw Buitenweg vroeg naar smart cities. Eén ding moet helder zijn: ook voor al
deze initiatieven geldt de AVG. Wat wij willen, is boven op de AVG ervoor zorgen dat
dingen die mogen maar misschien niet wenselijk zijn of waarvan je kunt zeggen «als
er een lokaal bestuurder bij betrokken is, dan zou je om extra informatie en extra
transparantie vragen», in die code voor goed bestuur geregeld worden. Ja, dat omvat
ook de vraag hoe burgers, mensen die in die gebieden wandelen, op een goede manier
worden geïnformeerd over wat er precies wordt verzameld en wat er precies mee wordt
gedaan.

De voorzitter:

Mevrouw Buitenweg, ook kort.

Mevrouw Buitenweg (GroenLinks):

Is de Minister voorstander van een wifi-me-nietregister?

Minister Dekker:

Een wifi-me-nietregister? Bij «wifi me niet» moet ik denken aan de keren dat er bij
mij of bij vrienden van mij even geen wifi is en dat dan de totale paniek toeslaat.
Ik moet er toch even over nadenken wat daar precies onder wordt verstaan.

Mevrouw Buitenweg (GroenLinks):

Het is natuurlijk een bel-me-nietregister, maar dan dat je niet getrackt kan worden.
De vraag is of zo'n wifi-me-nietregister, dat momenteel ontwikkeld wordt, dan alleen
voor bedrijven zou moeten gelden of ook voor bijvoorbeeld gemeenten.

Minister Dekker:

Laat ik deze ontwikkeling meenemen, want ik kan me best voorstellen dat u zegt: prima,
die wifitracking heeft een functie, maar als mensen dat nou echt niet willen, waarom
zou je dat dan niet zoals bij een bel-me-nietregister laten aanvinken? Dus als dat
technisch kan, kan ik me voorstellen dat je zoiets meeneemt en daar goede afspraken
over maakt. Ik zal dat bespreken met de clubs die hiermee aan de slag gaan.

De voorzitter:

Ik zie ook nog een heel korte interruptie van de heer Van Nispen, die waarschijnlijk
iets over wifitracking gaat vragen.

De heer Van Nispen (SP):

Dat heeft hier natuurlijk mee te maken. De Autoriteit Persoonsgegevens zei over wifitracking:
«Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig
maakt». Zo is het natuurlijk. Maar hoe kan het dan toch aan de orde van de dag zijn
dat zo veel gemeenten er wel gebruik van maken? Wordt er dan niet gehandhaafd? Of
vindt de Minister dat het tijd is om tegen gemeenten te zeggen: het is eigenlijk niet
rechtmatig wat hier gebeurt?

Minister Dekker:

Daar hebben we nou net een autoriteit voor. Als de autoriteit zegt «kan niet, mag
niet», dan moet ze handhaven en een boete opleggen.

De heer Van Nispen (SP):

Maar dit is zo'n evident probleem en al die gemeenten gaan desondanks gewoon door.
Moeten al die gemeenten nou echt klachten gaan indienen? En moeten al die klachten
nou echt behandeld worden? Moeten al die gemeenteraden vragen stellen aan de gemeente
in de trant van: houd hier nou eens mee op, want het is toch duidelijk dat dit niet
mag? Is dat nou inderdaad de efficiënte weg die de Minister net ook noemde in reactie
op mijn vraag over het capaciteitsvraagstuk? Ik ben benieuwd.

Minister Dekker:

Iedereen moet zich houden aan de wet. Dus ook waar sprake is van wifitracking en van
allerlei andere smartcity-initiatieven moet dat passen binnen de AVG. Als dat niet
het geval is, kan de Autoriteit Persoonsgegevens langskomen en handhaven en beboeten.
U haalt nu een uitspraak van de AP aan. Ik ken die uitspraak niet, maar als dat zo
is dan zou ik tegen de AP zeggen: dan moet je dat niet alleen maar roepen, maar dan
moet je ook een keer je tanden laten zien. Als we je budget verdubbelen, laat dan
ook zien waarvoor we dat hebben gedaan. Maar u moet niet aan mij vragen of iets onrechtmatig
is of dat ik daarop kan ingrijpen. We hebben straks nou voor bijna 20 miljoen een
club die dat voor ons moet gaan doen. Ik kan mij ook heel goed voorstellen dat er
ten aanzien van smart cities – dat is ook niet één ding, dat is een verzameling van
allerlei initiatieven op lokaal niveau – dingen zijn die wel mogen maar waarvan je
je toch kunt afvragen of je die moet willen. Ik vind dat lokale overheden het gesprek
daarover moeten aangaan. Ze moeten nadenken over de volgende vragen. Als het wel mag,
en je het misschien ook wel wil, wat doe je dan naar je burgers toe om hen daarover
te informeren? En wat kun je eventueel doen als men zegt: ik wil daar geen onderdeel
van zijn en wil dat het eruit gaat? Of wil je extra aandacht besteden aan het informeren
van mensen over wat er precies gebeurt en wat er met die gegevens wordt gedaan?

De voorzitter:

Gaat u verder.

Minister Dekker:

Voorzitter, de bodem is bereikt.

De voorzitter:

Glorieus nieuws. Dank u. Dan gaan wij verder met de tweede termijn van de zijde van
de Kamer. Ik stel twee minuten per fractie voor. Ik geef gelijk het woord aan de heer
Van Gent van de VVD-fractie.

De heer Van Gent (VVD):

Dank u wel, voorzitter. Ik bedank de Minister ook voor de beantwoording. Ik denk dat
het in ieder geval een heel goede discussie was, al is het maar vanwege de vraag hoe
we naar de wet kijken, hoe we die interpreteren en hoe we er nu voorstaan. De VVD
ziet wel degelijk ook vooruitgang, zeker in de bewustwording, maar we zijn toch wel
iets minder optimistisch over de stand van zaken dan de Minister. Wij zien nog steeds
veel problemen, vooral bij kleine instellingen en het mkb. Wij denken dus dat daar
nog een grote slag te slaan is. Ook denk ik bijvoorbeeld aan de functionaris gegevensbescherming.
Daarover is nog niet zo veel gezegd, maar dat is natuurlijk ook een belangrijk onderdeel
van de AVG. Een kwaliteitssysteem zou daarin toch veel kunnen betekenen.

Ik heb nog een concrete vraag. Er is de mogelijkheid om gedragscodes bij instellingen
en bedrijven op te stellen. Dat is heel goed. Maar er is wat onduidelijkheid over
de vraag of het opstellen van zo'n gedragscode er automatisch toe zou moeten leiden
dat je daarvoor een toezichthouder moet hebben. Ik begreep dat er wat discussie over
was hoe de wet in dezen geïnterpreteerd moet worden. Het is misschien wel handig als
we daar duidelijkheid over kunnen scheppen.

Ten aanzien van de horizontale privacy wil ik de Minister graag inspireren tot spoed
en daadkracht, in navolging van mijn collega Van Nispen. Uiteraard mag dat nooit ten
koste gaan van de zorgvuldigheid. Maar we zijn dus hoopvol gestemd en wachten vol
verwachting af.

De voorzitter:

Dank u wel. Dan is het woord aan mevrouw Buitenweg van de fractie van GroenLinks.

Mevrouw Buitenweg (GroenLinks):

Dank u wel, meneer de voorzitter. Ik ben benieuwd naar de reactie van de Minister
op het wifi-me-nietregister. Ik vind het leuk dat hij daarnaar gaat kijken. Ik wil
hem ook danken voor de toezegging dat hij jongeren wil gaan betrekken bij de vraag
of de leeftijdsgrens in de AVG verlaagd moet worden. Ik ben wel benieuwd naar de wijze
waarop hij dat gaat doen, maar ik snap dat daar nog even over nagedacht moet worden.
Dat hoor ik graag te zijner tijd.

Ik maakte net een punt over de algoritmen. Stel dat iemand met een postcode uit een
rijke buurt op basis van een algoritme makkelijk een hypotheek krijgt toegekend en
dat aan iemand uit een armere buurt veel meer informatie wordt gevraagd, bijvoorbeeld
de loonstrookjes van de laatste vijf jaar; dan is de kans dat die laatste een hypotheek
krijgt, kleiner dan die van de eerste. De vraag is of de Minister dat een probleem
vindt. In zijn brief schrijft hij dat hij niet wil dat mensen op basis van een bepaald
profiel worden uitgesloten van producten of diensten of daarvoor hogere prijzen moeten
betalen. Zegt hij hiermee dat het voor deze mensen wel moeilijker mag worden om gebruik
te kunnen maken van een product of dienst? Ik snap wel dat het moeilijk is, maar voor
mij is het vrij essentieel om hier wat meer inzicht in te krijgen.

Dan was er één vraag niet beantwoord. Die ging over de collectieve actie. Ik vind
het heel goed dat daar nu verder naar gekeken wordt, maar ik vraag me ook wel af op
welke informatie groepen zich nu kunnen baseren. Je wilt toch juist wat meer inzicht
hebben in die algoritmes? Welke stappen wil de Minister daarvoor zetten? Want dan
pas kun je weten of er sprake is van verboden onderscheid, in directe dan wel indirecte
vorm.

De voorzitter:

Dank u wel. Dan is het woord aan de heer Van Nispen van de SP-fractie.

De heer Van Nispen (SP):

Allereerst de fraudepreventie. Ik zal ook het woord «zwarte lijst» niet meer gebruiken.
Ondernemers willen elkaar waarschuwen voor fraude op een zorgvuldige manier, zodat
je ook weer van zo'n lijst af kan et cetera, met alle waarborgen die al zijn bedacht.
We hebben het hier al jaren over. Er worden al heel lang pogingen gedaan om dit op
een zorgvuldige manier vorm te geven, maar het komt niet van de grond. Tot mijn genoegen
heeft de Minister nu gezegd: ik wil meedenken en meehelpen. Ik vind het van belang
dat de Minister zich ervoor in wil zetten om potentiële slachtoffers van fraude te
beschermen en te zorgen dat die fraude niet kan plaatsvinden. Maar we zijn hier al
heel lang mee bezig. Wanneer kan de Minister dit dan doen? We gaan hiermee toch hopelijk
niet wachten op de evaluatie van de AVG? Want dit is nou juist iets waarvoor de ondernemers
en de mensen die hiermee bezig zijn een vergunning gaan aanvragen bij de Autoriteit
Persoonsgegevens, dus ik hoop echt dat de Minister zich er actief mee wil gaan bemoeien
om te kijken hoe je dit op een juiste, zorgvuldige manier kan vormgeven.

Dan de capaciteit van de Autoriteit Persoonsgegevens. Ja, de Autoriteit Persoonsgegevens
moet beheerst groeien, maar we weten nu uit die objectieve scenario's, die de Minister
nog niet kent, dat er een te krap budget is en dat de investeringen van de Minister
onvoldoende zijn om toe te groeien naar wat nodig is en wat we hier gezamenlijk hebben
afgesproken. Ik vind dat jammer. Ik hoop echt dat de brief duidelijkheid gaat geven.
Ik hoor graag wat de Minister voor ogen heeft: hoe kan dit wel? Ik roep de Minister
op om daar ruimhartig in te zijn, omdat ik denk dat we hier allemaal belang hechten
aan de bescherming van persoonsgegevens. De Minister zegt dat hij wil kijken hoe we
dingen efficiënter kunnen aanpakken. Dan ben ik wel een beetje verbaasd over het antwoord
op de vraag over de wifitracking. Ik vroeg namelijk niet: is het rechtmatig dat gemeentes
burgers volgen aan de hand van wifitracking? Dat moet de Autoriteit Persoonsgegevens
beoordelen. Maar als de AP heeft vastgesteld dat het in vrijwel geen enkel geval rechtmatig
is dat dit gebeurt en als we constateren dat de overheid, namelijk al die gemeentes,
hier gewoon mee doorgaat, is de vraag: is dat nou efficiënt? Moeten we er dan niet
voor kiezen om dat aan banden te leggen? Misschien kunnen we beginnen met een oproep
aan de gemeentes om ervan af te zien, of misschien kan het op een andere wijze, maar
ik vind het merkwaardig om het de Autoriteit Persoonsgegevens allemaal maar op te
laten lossen.

De voorzitter:

Dank u wel. Dan is het woord aan de heer Van Dam van de fractie van het CDA.

De heer Van Dam (CDA):

Voorzitter, dank u wel. Ik dank de Minister voor zijn antwoorden. Ik zal mijn reacties
in tweede termijn even langslopen. In de eerste plaats de crosssectorale gegevensdeling,
die wij vroeger aanduidden met een bepaalde term, waarvan ik blij ben dat de Minister
die niet meer zal gebruiken. Ik zal zeggen: ik vind het van groot belang dat maatschappelijke
organisaties, maar vooral bedrijven, zelf hun verantwoordelijkheid kunnen nemen om
criminaliteit te bestrijden. Ik ben er absoluut niet van om mensen uit te sluiten
of wat dan ook, maar ik vind dat we bedrijven de mogelijkheid moeten bieden om hun
verantwoordelijkheid te nemen. Ik heb er een beetje een hard hoofd in dat het gaat
lukken, maar ik zal afwachten hoe de vergunningaanvraag bij de AP loopt en ik zal
de wet over gegevensdeling, die eraan komt, afwachten. Maar ik sluit zeker niet uit
dat ik dan met een amendement zal proberen om hiervoor in die wet een wettelijke basis
te krijgen, omdat ik vind dat wat je op dit vlak doet, ook wel onderdeel is van een
hele grote politieke discussie. Ik vind het een beetje moeizaam dat we die dan op
het bord van de AP neerleggen. Ik denk namelijk dat er ook politiek heel veel over
te zeggen is. Maar ik wacht het af. Dan is mijn routekaart hiervoor in ieder geval
helder.

Dan Facebook, Google en dat soort dingen. Ik onderschrijf volkomen hoe de verantwoordelijkheden
liggen; dat vind ik heel erg van belang. Maar ik vind het ook van belang dat ik als
Nederlandse Facebookgebruiker, als volksvertegenwoordiger die Facebook en Google gebruikt,
weet hoe het zit. Ik vind de antwoorden van de Minister op dat punt toch te afhoudend.
Ik vind dat wij vanuit Nederland best aan Ierland kunnen vragen: vertel eens, hoe
geven jullie daar nou aanvulling aan? Andere landen die hier in Nederland grote bedrijven
hebben, mogen ook aan ons vragen: hoe doen jullie dat nou, naar onze burgers toe?
Daarom vraag ik een VAO aan, tenzij de Minister... Maar ik wil niet in een soort handel
terechtkomen. Ik wil gewoon van dit kabinet weten hoe het de collega's in Ierland
vraagt, op een nette, collegiale manier: leg ons nou eens uit hoe jullie invulling
geven aan die enorm belangrijke taak, ook voor de burgers in Nederland.

Dan mijn laatste vraag. Ik heb niet begrepen of de Minister bereid is – dat heeft
hij niet toegezegd – om ook voor de Nederlandse situatie een overzicht te verstrekken
van welke grotere internationale bedrijven er zijn. Ik hoorde hem zeggen: die zijn
er. Ja, dat wist ik ook al. Maar om een beeld te krijgen van de taken van de Autoriteit
Persoonsgegevens zou ik het bijzonder op prijs stellen als die lijst bij gelegenheid
– dat mag van mij ook bij een volgend halfjaarbericht – onze kant op komt, als er
zicht wordt gegeven op de grote jongens waar de AP mee te maken heeft.

De voorzitter:

Dank u wel. Tot slot is het woord aan de heer Verhoeven van de fractie van D66.

De heer Verhoeven (D66):

Voorzitter. Door een stommiteit heb ik geen inbreng in eerste termijn kunnen leveren.
Dat is helemaal teleurstellend omdat ik ook namens de PvdA spreek in dit AO, maar
ik ben blij dat ik in tweede termijn nog een paar dingen neer kan leggen, dus dank
daarvoor.

Ik sluit me aan bij alles wat gezegd is over de AVG. Als het goed werkt in Europees
verband, kun je het laten zien aan de wereld. Het moet ook uitvoerbaar zijn voor kleinere
organisaties. Ik sluit me ook aan bij de opmerking van onder anderen de heer Van Nispen
over de capaciteit van de Autoriteit Persoonsgegevens en het belang van professioneel
en goed toezicht, met voldoende budget en capaciteit. Ik ben benieuwd naar de ontwikkelingen
daar.

Ik ben positief over de brief van de Minister en over zijn visie op digitalisering,
technologie en het gevaar voor de privacy. Ik vond de richting naar vooral horizontale
privacy wel weer wat teleurstellend, want ik vind verticale privacy belangrijker.
Dan kom ik ook bij Facebook en Google. Ik had in mijn inbreng willen ingaan op het
punt dat de Minister zelf ook maakte over het verzamelen van data door techreuzen
en wat er vervolgens allemaal mee gebeurt. Dat is onder andere het profileren van
mensen, waardoor ze gepersonaliseerde advertenties krijgen voorgeschoteld. Dat is
echt hét verdienmodel van die platforms geworden.

Een aantal zaken leiden daardoor tot problemen, onder andere politieke advertenties.
Mijn eerste vraag is: wordt er door de ministers van Binnenlandse Zaken en Justitie
en Veiligheid gewerkt aan wetgeving over politieke advertenties? Mijn tweede vraag
is: hoe zit het met de handhaving op misleidende advertenties? Want daar zijn er ook
heel veel van. Ik denk bijvoorbeeld aan het verhaal van de AFM, die op de bitcoinadvertenties
ging handhaven, en aan de rol van de Reclame Code Commissie. Het derde punt op dat
gebied is dat je volgens de AVG een dienst moet kunnen gebruiken zonder dat je gevolgd
wordt. Dat betekent dus dat je op Facebook moet kunnen zijn zonder dat je gepersonaliseerde
advertenties voorgeschoteld krijgt. Maar daar wordt niet op gehandhaafd, terwijl de
Autoriteit Persoonsgegevens zegt dat dat uit de AVG voortvloeit. Mijn vraag is dus
of daar op dit moment iets aan gedaan wordt door het ministerie en/of door de Autoriteit
Persoonsgegevens, omdat je eigenlijk dus gewoon geen gepersonaliseerde advertenties
zou moeten kunnen krijgen. Dat is het hele verdienmodel van Facebook.

Ik hoor dat de heer Van Dam een paar rare dingen gezegd heeft over D66 in de eerste
termijn, maar ik ben heel blij dat hij een VAO heeft aangevraagd, want ook ik zou
graag nog de mogelijkheid hebben om een Kameruitspraak te vragen, onder andere over
de punten die gemaakt zijn, misschien wel samen met de SP en GroenLinks, over wifitracking
en algoritmes, maar ook over dit punt van de gepersonaliseerde advertenties.

Voorzitter, u bent volgens mij zeer coulant geweest. Dank u wel.

De voorzitter:

Volgens mij heeft de heer Van Dam slechts met respect over D66 gesproken, maar hij
wil graag een interruptie plegen.

De heer Van Dam (CDA):

Ik heb daar overigens ook geen persoonsgegevens bij genoemd van betrokken personen
dan wel individuen die iets met D66 te maken hebben.

Meneer Verhoeven maakte een aantal opmerkingen over Facebook. We noemen nu specifiek
Facebook, maar er zijn ook andere techbedrijven die dit soort dingen doen en in het
leven van mensen komen, al dan niet met specifieke advertenties. Ik vroeg me af hoe
hij dat afzet tegen mijn pleidooi om hier in Nederland meer te weten te komen over
hoe de Ierse autoriteit persoonsgegevens controle uitoefent op Facebook. Ik denk namelijk
dat heel veel van de zaken waarover hij vragen heeft, ook in Ierland gerealiseerd
moeten worden. Of ziet hij dat anders?

De heer Verhoeven (D66):

Dank voor die vraag. Ik heb ooit gezegd dat Ierland een soort preferred supplier is
als toezichthouder van Facebook, omdat zij Facebook natuurlijk binnen hun grenzen
hebben en de toezichthouder richting Facebook nog weleens wat makkelijk is geweest
in het oogluikend toestaan van een aantal dingen vanwege de locatie van Facebook in
Ierland. Ik vond de vraag in die zin heel terecht, maar ik vond het antwoord van de
Minister ook wel goed. We hebben nu een AVG die in heel Europa geldt en die wordt
nageleefd door toezichthouders. Ik vind absoluut dat Nederland moet weten hoe het
toezicht geregeld wordt. Als dat via de eerste toezichthouder loopt, dan vind ik de
vraag van de heer Van Dam zeer terecht.

Daarnaast moeten we ook onze eigen blik hebben op en onze eigen handhaving van een
aantal zaken die wij onwenselijk vinden op het gebied van de manier waarop Facebook
data gebruikt om geld te verdienen over de ruggen van onze consumenten. Ik ben dus
heel benieuwd naar de antwoorden van de Minister, maar ook naar de eventuele motie
van het CDA hierover. Maar wat mij betreft moet bij Facebook absoluut gehandhaafd
worden op alles wat niet binnen de AVG plaatsvindt. En de punten die ik gemaakt heb,
zouden hier weleens buiten kunnen vallen, met name het punt over de gepersonaliseerde
advertenties. Je moet op Facebook kunnen zijn zonder dat je gevolgd wordt volgens
de AVG. Als dat niet kan, dan wordt de AVG op dat punt door Facebook niet nageleefd
en dan moeten we daar dus wat mee.

De heer Van Dam (CDA):

Ik denk dat deze techbedrijven op meerdere punten beoordeeld kunnen worden. U noemde
zelf al andere autoriteiten dan de Autoriteit Persoonsgegevens. Ik vraag me af of
voor de Nederlandse burger, als het gaat om de dingen die hij of zij kan ervaren rond
deze social media-applicaties, in voldoende mate helder is wie de toezichthouder is
op welke terreinen. Want als het gaat om de AVG, dan heb ik heel goed van de Minister
begrepen dat je een brief moet schrijven naar de Benoordenhoutseweg in Den Haag en
dat deze uiteindelijk in Ierland uitkomt. Maar dat geldt misschien ook wel voor andere
aspecten. Dan moet je misschien wel bij de Autoriteit Financiële Markten zijn of de
autoriteit weet ik wie. Ik vraag me af of dat nu voldoende helder is. Misschien dat
we daarin samen kunnen optrekken om dat in die motie te verwerken.

De heer Verhoeven (D66):

Nou, heel graag. En ook kort. Er zijn volgens mij een aantal aspecten. Allereerst
de politieke advertenties. Daarvan zegt Facebook nu zelf – de Minister memoreerde
dat – dat de techbedrijven daar graag regels voor willen. Die zijn er dus nog niet,
maar daar wordt wel over gesproken. Volgens mij is nu de afspraak die Facebook met
zichzelf gemaakt heeft, dat ze in ieder geval in campagnetijd geen politieke advertenties
meer plaatsen die onduidelijk zijn qua afzender en qua betaler. Dat zijn dus de politieke
advertenties.

Bij de misleidende advertenties had je afgelopen week het verhaal van de AFM die,
volgens mij op instigatie van de Reclame Code Commissie, verzocht heeft om misleidende
advertenties weg te halen. Volgens mij is het nu zo geregeld dat de Reclame Code Commissie
over misleidende advertenties gaat, maar ik vind dat ze te weinig bevoegdheid hebben
om snel te kunnen ingrijpen bij misleidende advertenties op Facebook.

Ten derde het punt dat ik net al noemde: de Autoriteit Persoonsgegevens en/of de Ierse
toezichthouder voor de uitvoering van de AVG en het gebruik kunnen maken van een dienst
of platform zonder dat je gevolgd wordt via cookies en allerlei profileringstechnieken.

Dat zijn drie verschillende dingen met drie verschillende spelers. De heer Van Dam
heeft in die zin gelijk dat het versnipperd is. Ook het toezicht is versnipperd. Dat
maakt het voor de burger lastiger om zichzelf daartegen te wapenen. Daar moeten we
absoluut wat mee.

De voorzitter:

Meneer Van Dam, u heeft net een VAO aangevraagd, dus het kan ook daar eventueel verder
besproken worden.

De heer Van Dam (CDA):

Ik wil puur een ordevoorstel doen. Ik kan me voorstellen dat, door de betrokkenheid
van D66 in tweede termijn, de Minister een iets ruimere toezegging wil doen, wat juist
op dit punt een VAO kan voorkomen. Daar sta ik zeer voor open. Dat wilde ik alleen
nog zeggen.

De voorzitter:

We gaan het merken. Ik schors voor ongeveer vijf minuten. Dat wil zeggen dat we om
16.12 uur verdergaan.

De vergadering wordt enkele ogenblikken geschorst.

De voorzitter:

Wij gaan verder met dit overleg met de tweede termijn van de zijde van de regering.
Het woord is aan de Minister voor Rechtsbescherming.

Minister Dekker:

Voorzitter, dank. Het is technische materie. Dat vraagt af en toe even wat uitzoekwerk
en discussie, ook aan deze kant van de tafel. Er staan een paar vragen open. Ik hoop
dat ik die goed kan beantwoorden.

De eerste vraag is van de heer Van Gent. Hij zegt: prima, er moet nog veel uittrillen
in de AVG. Dat ben ik met hem eens. Er zijn ook nog wel een paar dingen, bijvoorbeeld
sectoraal, in de relatie tussen werkgevers en werknemers, waarvoor we met Sociale
Zaken om tafel zitten, omdat iets voornamelijk in sectorale wetgeving moet worden
geregeld, maar wel raakvlakken heeft met de AVG. Ik weet dat mijn collega Van Ark
daar heel druk mee bezig is. Voor een ander deel heeft het echt direct betrekking
op de AVG, bijvoorbeeld waar het gaat om de gedragscodes. Wij gingen er altijd van
uit dat de gedragscode niet verplicht tot het aanstellen van een eigen toezichthouder.
Althans, zo lezen wij de AVG. Nu is er een uitspraak geweest van het Europees Comité
voor gegevensbescherming waaruit blijkt dat zij eigenlijk vinden dat het anders zit.
Daar zijn we vervolgens aan gebonden. Dat is de manier waarop het werkt. Dat laat
onverlet dat we straks bij een evaluatie dit soort dingen op tafel kunnen leggen,
ook als we dit in Brussel gaan bespreken.

De voorzitter:

Een verhelderende vraag van de heer Van Gent.

De heer Van Gent (VVD):

Als dat nu verplicht is vanwege die uitspraak, kan ik me voorstellen dat bedrijven
en instellingen terughoudend zijn bij het opstellen van een gedragscode. Of dat allemaal
zo wenselijk is, is dan de vraag.

Minister Dekker:

Dat is precies het punt. Daarom vind ik die uitspraak jammer. Tegelijkertijd is in
de checks-and-balances afgesproken dat niet alleen de AP onafhankelijk is, maar ook
dit Europees coördinerende comité. Als we dat straks weer anders willen, moeten we
daar de regelgeving op aanpassen. Dat is volgens mij de koninklijke weg.

Mevrouw Buitenweg vroeg wanneer je onderscheid mag maken, wanneer je mag profileren
en wanneer sprake is van een besluit. Dat is nou zo'n technisch ding. Tenminste, daarmee
gaan we heel erg de materie in. De AVG zegt in artikel 22 dat er ook bij private partijen
sprake is van een besluit als dat de betrokkenen in aanmerkelijke mate treft. Als
dat het geval is, mag je niet profileren zonder menselijke tussenkomst. Dat is het
wettelijk kader van de AVG. Diezelfde AVG zegt niet zo vreselijk veel over wat je
mag vragen in de aanloop naar een besluit. Volgens mij is dat ook een kwestie die
daar deels los van staat. Dat betekent niet dat het volledig regelvrij is. Natuurlijk
geldt daar ook allerlei wet- en regelgeving voor. Je mag bij een zorgverzekering bijvoorbeeld
niet vragen of iemand rookt of niet. Je mag dat in ieder geval niet laten meetellen
in de vaststelling van de premie. Een telefoonmaatschappij mag in een gebied waar
heel veel wanbetalers zijn, dan wel weer even nagaan of iemand voldoende in staat
is om zijn rekeningen te betalen. Dat is een beetje het gebied waar dit in zit.

Mevrouw Buitenweg (GroenLinks):

De vraag is ook wat wenselijk is. Er mag nu inderdaad soms op basis van postcode onderscheid
worden gemaakt omdat de Algemene wet gelijke behandeling rijkdom en vermogen niet
erkent als een grond op basis waarvan je een uitzondering kan maken. Dat kopt. Maar
dan kijk je alleen naar de Algemene wet gelijke behandeling. Maar vindt de Minister
dat die algoritmes wel onderscheid mogen maken op basis van vermogen? Want uiteindelijk
zegt hij dus dat dat wel moet kunnen omdat de Algemene wet gelijke behandeling «vermogen»
niet als criterium heeft opgenomen. Dan is de stelling van de Minister dat banken
en het verzekeringswezen in hun algoritmes een onderscheid mogen maken op vermogen
en op rijkdom. Dat vind ik best een stelling.

Minister Dekker:

Het is een ethische discussie. Ik zit een beetje te zoeken, want we gaan al snel de
casuïstiek in, maar ik denk dat het in het economisch verkeer niet onterecht is om
te vragen naar iemands vermogenspositie: is iemand in staat om straks zijn rekeningen
te betalen? Dus als u mij dit met het mes op de keel vraagt, zou ik zeggen: dat zou
moeten kunnen. Misschien zijn er uitzonderingsposities als we meer de diepte ingaan,
maar ik vind het niet onterecht dat vanuit banken, verzekeraars of telefoonmaatschappijen
waarbij abonnementen worden afgenomen, zeggen dat je ook wel moet kunnen kijken of
iemand het uiteindelijk kan dragen.

De voorzitter:

Afrondend, mevrouw Buitenweg.

Mevrouw Buitenweg (GroenLinks):

Maar dan gaat het om iets dat bewezen is. Het punt is dat de risicoprofielen vaak
gebaseerd zijn op het feit dat je uit een armere buurt komt. Daarmee is helemaal niet
gezegd of het op jou persoonlijk van toepassing is. Je kan misschien elke dag keurig
je rekeningen betalen, maar op basis van het feit dat je uit een bepaalde buurt komt,
kan dan toch een onderscheid worden gemaakt via die algoritmes terwijl jijzelf geen
risicovol persoon bent. Dat vind ik problematisch.

Minister Dekker:

Ik zie uw punt. Tegelijkertijd is dan het tegenargument dat ik ernaast wil zetten,
dat in zo'n geval aan jou wordt gevraagd om dit te overleggen. Als dan blijkt dat
je helemaal geen betalingsprobleem hebt, is er niks aan de hand. Dan krijg je gewoon
dat abonnement of die hypotheek.

Mevrouw Buitenweg (GroenLinks):

Ten slotte, echt als laatste: het punt is dat dit aan jou gevraagd wordt terwijl het
niet gevraagd wordt aan iemand die in een rijke buurt woont, zich helemaal kapot snuift
aan de cocaïne en geen cent meer heeft. Zijn feitelijke vermogen en zijn betaalcapaciteit
was misschien beroerder dan die van iemand uit een armere wijk, maar op basis van
de groep waarin iemand zit, wordt dan in mijn ogen ten onrechte een onderscheid gemaakt.
Iemand uit een rijkere buurt krijgt niet te maken met die check en heeft dus wel makkelijk
toegang tot diensten. Ik vind dat een vorm van een onterecht onderscheid.

Minister Dekker:

Ik zie het punt. Ik zou zeggen: het is heel erg stom van die bank dat ze dat niet
vragen bij die andere persoon, want je wilt toch ook weten of die in staat is om z'n
rekeningen te betalen. Maar om nou een soort verbod te hebben op het stellen van vragen
die in mijn ogen terecht zijn, bijvoorbeeld of iemand zijn termijnen of rekeningen
kan betalen als hij een hypotheek of een telefoonabonnement neemt... Dat vind ik geen
onterechte vragen voor een bedrijf of een instantie.

De heer Verhoeven (D66):

Van sommige personen wordt dan dus meer gevraagd om hetzelfde resultaat te bereiken.
Dat is dus ongelijke behandeling, en ongelijke behandeling is discriminatie. Er is
hier sprake van discriminatie, want de ene groep moet meer doen dan de andere groep
om hetzelfde resultaat te bereiken, op basis van een voorspelling die gebaseerd is
op een algoritme. We hebben het al heel lang over dit onderwerp. We hebben het er
hier over gehad, in de commissie Justitie en Veiligheid. We hebben het ook bij Binnenlandse
Zaken over dit onderwerp gehad. Ik heb begrepen dat er over twee weken een brief komt
na verschillende moties uit de Kamer, die allemaal zijn aangehouden in afwachting
van een duidelijke brief van het kabinet over hoe we omgaan met het gebruik van algoritmes,
in ieder geval bij de overheid en bij de semipublieke organisaties. De zeer terechte
vragen van mevrouw Buitenweg gaan over een heel belangrijk onderdeel met betrekking
tot deze vorm van geautomatiseerde besluitvorming. Ik voel wel dat we hier echt met
elkaar over moeten spreken nadat die brief er is.

Maar mijn vraag is dus wanneer die brief komt en hoe dat met het VAO zit. Want we
kunnen dit onderwerp niet elke keer voor ons uit blijven schuiven. We hebben het hier
een jaar geleden ook over gehad, over precies hetzelfde punt. Het gaat om het voorspellen
op basis van data en de verwerking van die data via algoritmes, leidend tot consequenties
en besluiten voor mensen die verschillend uitpakken. Dat is gewoon een vorm van discriminatie.
Daar moeten we als landelijke overheid echt wel een kader voor hebben, anders gebeuren
er... Vorige week stond op de NOS-site dat overal in gemeentes en bij overheidsinstanties
algoritmes worden gebruikt. Ik noem dat wildgroei zonder kader. Dat is heel gevaarlijk.

De voorzitter:

Duidelijk, meneer Verhoeven. Volgens mij was de concrete vraag aan de Minister: wanneer
komt die brief?

Minister Dekker:

Die brief komt voor 1 oktober. Dat is een brief van Justitie en Veiligheid samen met
BZK. Ik weet niet over welke brief u het anders hebt, maar deze komt voor 1 oktober.
Die brief gaat over het gebruik van algoritmes door overheden. De vraag van mevrouw
Buitenweg ging over private partijen, en wat er dan kan binnen een wettelijk kader.

De voorzitter:

Meneer Verhoeven, liefst iets minder een betoog.

De heer Verhoeven (D66):

Daar heeft u gelijk in. Excuses, voorzitter.

Ik had echt begrepen dat die brief voor het zomerreces zou komen. Dat is mij ook herhaaldelijk
beloofd door de Staatssecretaris van Binnenlandse Zaken. Ik zou graag horen wat nou
de precieze datum van die brief is. Als dat na het zomerreces is, zal ik in ieder
geval al mijn eerder ingediende moties, waarvan twee met mevrouw Buitenweg samen,
in stemming brengen voor het zomerreces. Want dan heb ik als Kamerlid echt een jaar
gewacht op een brief over dit onderwerp. We hebben hier als Kamer herhaaldelijk vanuit
de volle breedte aandacht voor gevraagd. Ik zie dat de Minister ook dit punt ziet
– dit is geen persoonlijke aanval. Maar dan moet er nu wel echt wat komen.

Minister Dekker:

Ik ben niet bij dat gesprek geweest dat de heer Verhoeven met mijn collega de Staatssecretaris
heeft gevoerd. Wij weten niet anders dan dat het 1 oktober is. Ik kan u niet meer
toezeggen. Het staat u natuurlijk vrij om allerlei moties in te dienen.

De voorzitter:

Dan stel ik voor dat u verdergaat met uw beantwoording. Heeft u nog een tweede vraag,
mevrouw Buitenweg?

Mevrouw Buitenweg (GroenLinks):

Ten slotte. De Minister zegt terecht dat ik ook vroeg naar private partijen. Ik vraag
niet alleen naar het bestaande juridische kader, want ik weet dat vermogen niet in
de Algemene wet gelijke behandeling staat. Ik vraag wat de regering wenselijk vindt
ten aanzien van indirecte discriminatie op basis van uiteindelijk vermogen. Het gaat
dus niet alleen om het huidige juridische kader, maar om de vraag wat wij willen.
Welk onderscheid moet mogelijk zijn op basis van die algoritmes? Wat vinden wij onwenselijk
omdat het een vorm van discriminatie is?

Minister Dekker:

U gebruikt onmiddellijk vrij zware woorden. Ik vind het in kaart brengen van groepen
waar extra risico's spelen niet op voorhand discriminatie als uiteindelijk de regels
op basis waarvan je een besluit neemt, maar voor iedereen gelden.

De voorzitter:

Mevrouw Buitenweg, u kunt daarover van mening verschillen. Op een gegeven moment moet
u ook accepteren dat het antwoord van de regering, een antwoord van de regering is.

Mevrouw Buitenweg (GroenLinks):

Het gaat er om dat iemand ergens woont en wordt gedefinieerd op basis van waar hij
woont. Dat vind ik het probleem. Iemand wordt gezien als onderdeel van een fraudegevoelige
of problematische groep op basis van de plaats waar hij woont. Ik denk dat wij echt
die kant niet op willen.

Minister Dekker:

Laat ik een voorbeeld geven. Een ander voorbeeld, uit de private sector. De hoogte
van uw motorrijtuigenverzekering hangt ook af van waar u woont, omdat wij weten dat
er in sommige delen van Nederland vaker ongelukken gebeuren en vaker schade wordt
gereden. Dat betekent niet dat u vaker schade rijdt, maar u woont in een bepaald deel
van Nederland waar dat vaker gebeurt. Ik vind dat er soms gerechtvaardigde redenen
kunnen zijn waarom een woonplaatsbeginsel wel degelijk bij dit soort dingen meetelt.
U merkt het al, ik ben iets minder rigoureus en rechtlijnig dan mevrouw Buitenweg.
Ik wil ook bekijken wanneer het proportioneel is en hoe je het tegen elkaar afweegt.
Ik kan me voorstellen dat je soms extra vragen stelt bij bepaalde mensen omdat zij
zich ergens begeven, ergens wonen of anderszins tot een doelgroep behoren, als aan
het einde van de rit maar heel duidelijk is dat de regels waarop je toetst niet discrimineren.
Die regels moeten hetzelfde zijn, of je nu in de Schilderswijk woont of in het Benoordenhout.

De voorzitter:

Gaat u verder met uw beantwoording.

Minister Dekker:

Ik denk dat wij allebei ook iets anders aankijken tegen wifitracking. Dit keer kwam
de vraag naar ik meen van de heer Van Nispen. Ook daar hangt het er helemaal vanaf
hoe het wordt gebruikt en met welk doel. Het kan een inbreuk op de privacy zijn. Wat
mij betreft moet dan de Autoriteit Persoonsgegevens ingrijpen en handhaven, maar dat
is misschien niet overal het geval. Soms wordt wifitracking ook gebruikt om te bekijken
in welke gebieden het heel erg druk is. Dat gebeurt bijvoorbeeld in de gemeente Amsterdam.
De gegevens zijn dan niet herleidbaar tot het niveau van het individu, maar worden
op basis van het opvangen van signalen gebruikt voor crowd control. Daar heb ik veel
minder moeite mee.

Met andere woorden, laten wij niet alles over een kam scheren. Wij hebben een Autoriteit
Persoonsgegevens die kan ingrijpen als het niet voldoet aan de AVG. Ik weet niet waar
het vandaan komt dat ze zeggen dat het niet kan of dat er geen voorbeelden zijn te
bedenken waar het rechtmatig is. Ik zou de AP willen aanmoedigen om dan maar eens
een keer zijn tanden te laten zien.

Dan toch misschien nog even stilstaan bij de vraag van de heer Van Dam over autoriteiten,
ook om te zien of wij een VAO kunnen voorkomen. Overigens ben ik altijd beschikbaar.
We hebben een principe dat de nationale Autoriteit Persoonsgegevens in the lead is
als het gaat om het doen van onderzoek. Daar waar sprake is van grensoverschrijdende
gegevensverstrekking geldt het zogeheten coherentiemechanisme. Dat is een soort systematiek
waarbij onderling tussen autoriteiten wordt afgestemd. Als verschillende autoriteiten
het niet eens worden, dan komt het uiteindelijk in die European Data Protection Board
terecht.

Binnen die afspraken zijn er ook mogelijkheden om bijstand te verlenen. Ik geloof
dat dit in het geval van Ierland met Facebook gebeurt. Ik geloof dat er een zaak is
van Google waarbij Ierland in the lead zou zijn en uiteindelijk is gezegd dat het
vanwege de beperkte capaciteit wordt overgebracht naar Frankrijk. Het werk wordt dan
gedaan door de Franse autoriteit persoonsgegevens. Op die manier werkt het.

Dan vroeg de heer Van Dam voor welke grote Nederlandse bedrijven de Nederlandse Autoriteit
Persoonsgegevens in the lead is. Dat zijn in beginsel de grote bedrijven die hier
gevestigd zijn. Als we dan kijken naar bedrijven waar in ieder geval veel klachten
over binnenkomen, dan gaat het over dingen als Netflix, TomTom en Uber, die ook hier
is gevestigd en onlangs is beboet. Dat zijn de grote bedrijven waar onze nationale
autoriteit in the lead is.

De voorzitter:

Voor de helderheid: volgens mij vroeg de heer Van Dam expliciet om een lijst. Is dit
de lijst?

Minister Dekker:

Ik zit te zoeken wat de heer Van Dam precies wil. Hij wil een lijst met grote organisaties
waar de Autoriteit toezicht op houdt. Mijn antwoord daarop zou zijn dat de Autoriteit
Persoonsgegevens toezicht houdt op alle Nederlandse organisaties, groot en klein.
Dat is een lange lijst.

De voorzitter:

Zou u het iets kunnen specificeren, meneer Van Dam?

De heer Van Dam (CDA):

Waar het mij om gaat, is dat wij mede naar aanleiding van de wetsbehandeling en sowieso
alle stukken die wij hier nu hebben, een bepaald beeld hebben van de activiteiten
die de Autoriteit Persoonsgegevens dient te ondernemen in een heel breed palet. Ik
kom er steeds meer achter dat dit onderdeel nogal een klus is, dus het mede on behalf
van andere landen voor de hele EU die taak uitvoeren. U noemt ook een aantal bedrijven
waarvan ik denk: nou, dat is nogal niet wat. Ik wil meer inzicht hebben in dit onderdeel.
Het gaat mij helemaal niet om een uitputtende lijst en het mag ook bij een volgende
gelegenheid. Ik wil op dit punt meer beeld hebben van over wat voor bedrijven het
gaat. Het hoeft geen uitputtende lijst te zijn. Ik begrijp ook dat er iemand bij kan
en af kan, maar ik wil meer zicht op die taak hebben, omdat ik vind dat wij in zekere
zin als Nederland ook een verantwoordelijkheid hebben naar die andere inwoners van
Europa, dat wij die klus goed doen en dat wij bij wijze van spreken de Autoriteit
faciliteren om dat goed te kunnen doen. Dat is mijn achterliggende gedachte.

Minister Dekker:

Zal ik dan eens kijken? Ik heb sowieso de brief toegezegd met wat er allemaal op afkomt.
Mijn terughoudendheid, ook bij het noemen van deze bedrijven, zit erin dat het feit
dat er over een bedrijf wordt geklaagd, niet onmiddellijk betekent dat er sprake is
van onrechtmatig handelen. Wat naar buiten komt, is als de AP iemand op de vingers
tikt en een boete uitdeelt. Dan is er onderzoek gedaan. Tegelijkertijd zie ik ook
wel dat de heer Van Dam zegt dat hij iets meer feeling wil krijgen naar wat voor soort
organisaties de AP onderzoek doet. Voor zover dat niet ook al staat in het jaarverslag
van de AP, kan ik eens aan haar vragen of zij daar iets meer inzicht in wil geven.

De voorzitter:

Gaat u verder.

Minister Dekker:

Dan is er nog een drietal specifieke vragen van de heer Verhoeven. Eén: hoe zit het
met de politieke advertenties? Dat is een onderwerp waar BZK op dit moment onderzoek
naar doet. BZK komt daar bij u op terug. Als het gaat om de misleidende advertenties,
hebben we inderdaad de Reclame Code Commissie, die daar een oordeel over moet geven.

Twee: hoe zit het vervolgens met de verwijdering van die advertenties en het zorgen
dat dit ook stopt? Daarvoor kijk ik even naar rechts. Volgens mij is de AFM in de
lead bij verwijdering van content. Na overleg met mijn ambtenaren heb ik besloten
om deze specifieke vragen schriftelijk te beantwoorden. Er komen wel heel veel organisaties
langs.

Drie: hoe zit het met Facebook en de mogelijkheid om gebruik te maken van Facebook
zonder persoonlijke... Dit raakt aan een grotere discussie over de uitleg van de AVG.
In de AVG staan gronden zoals noodzakelijk gebruik. De vraag is of daarvan sprake
is in dit geval. Sommigen zeggen dat het voor het functioneren van Facebook noodzakelijk
is om bepaalde gegevens van iemand te vragen. Die kun je dus niet uitzetten. Als je
dat niet wil, moet je maar geen gebruikmaken van Facebook. Anderen hanteren de meer
strikte uitleg, namelijk de uitleg die de heer Verhoeven zelf aanhaalde in zijn inbreng.
Ik denk dat het heel erg zinvol is als hier in Europa een keer een zaak over is, zodat
er jurisprudentie ontstaat over hoe de AVG moet worden uitgelegd. Het gaat hier voor
een deel om open normen die ook op basis van uitspraken en casuïstiek zullen moeten
worden ingevuld.

Voorzitter. Daarmee kom ik aan het eind van mijn beantwoording.

De voorzitter:

Dank u wel, Minister. Daarmee zijn we aan het einde gekomen van dit overleg.

Tegen mevrouw Buitenweg, die dit net buiten de microfoon vroeg, zeg ik dat er inderdaad
een VAO is aangevraagd. Dat blijft vooralsnog in stand. De eerste spreker daarin is
de heer Van Dam, want hij heeft het aangevraagd. Dat VAO zal ingepland worden.

Ik heb een aantal toezeggingen genoteerd, waarbij ik van tevoren zeg dat de suggestie
is gewekt dat een aantal toezeggingen in dezelfde brief zullen worden verwerkt. Of
dat wel of niet gebeurt, laat ik aan de Minister. Ik noteer alleen de toezeggingen.

– De Minister zal nagaan of en, zo ja, door wie de realistische scenario's inzake de
AP zijn opgesteld en wat het voorziene groeipad is voor de Autoriteit Persoonsgegevens.
Dit zal hij doen voor de begrotingsbehandeling.

– De Minister zal de Kamer informeren over de cijfers met betrekking tot de werkzaamheden
van de AP in relatie tot de vooraf verwachte scenario's. Dat zal zo snel mogelijk
zijn, maar in ieder geval voor de begrotingsbehandeling, waarbij niet uit te sluiten
is dat dit in dezelfde brief komt.

– De Minister zal de Kamer informeren over de grote internationale bedrijven in Nederland
waar de AP toezicht op houdt. Hij zal dat doen voor de begrotingsbehandeling. Dat
kan dus best weleens dezelfde brief zijn; dat is de lijst van de heer Van Dam.

– De Minister informeert de Kamer over welke organisaties toezicht houden op misleidende
advertenties.

Per wanneer krijgen we dat laatste? Kunt u daar iets over zeggen?

Minister Dekker:

Dat laatste is volgens mij meer feitelijk uit te zoeken. Dat kan denk ik op korte
termijn. Twee weken.

De voorzitter:

Twee weken.

Hebben we iets belangrijks gemist? Ik hoor niets in de microfoon, dus dan ga ik ervan
uit dat dit niet zo is. Ik sluit de vergadering, met dank aan iedereen.

Sluiting 16.42 uur.