Verslag van een commissiedebat : Verslag van een commissiedebat, gehouden op 18 maart 2025, over bescherming persoonsgegevens en digitale grondrechten

Nr. 318
VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 17 april 2025

De vaste commissie voor Digitale Zaken heeft op 18 maart 2025 overleg gevoerd met
de heer Struycken, Staatssecretaris Rechtsbescherming, en de heer Szabó, Staatssecretaris
Koninkrijksrelaties en Digitalisering, over:

− de brief van de Minister van Economische Zaken en Klimaat d.d. 18 november 2022 inzake
resultaten van het onderzoek over betalen met persoonsgegevens en consumentenbescherming
(Kamerstuk 32 761, nr. 248);

− de brief van de Minister voor Volkshuisvesting en Ruimtelijke Ordening d.d. 8 november
2022 inzake datalek Kadaster (Kamerstuk 32 761, nr. 247);

− de brief van de Staatssecretaris Koninkrijksrelaties en Digitalisering d.d. 23 december
2022 inzake reactie op het rapport over digitalisering in wetgeving en bestuursrechtspraak
(Kamerstuk 29 362, nr. 319);

− de brief van de Minister voor Rechtsbescherming d.d. 13 december 2022 inzake onderzoeksrapport
The influence of (technical) developments on the concept of personal data in relation
to the GDPR (Kamerstuk 32 761, nr. 254);

− de brief van de Minister voor Rechtsbescherming d.d. 9 februari 2023 inzake WODC-onderzoek
Naleving van de AVG door overheden (Kamerstuk 32 761, nr. 261);

− de brief van de Minister voor Volkshuisvesting en Ruimtelijke Ordening d.d. 13 maart
2023 inzake reactie op verzoek commissie over datalek Kadaster (Kamerstuk 32 761, nr. 263);

− de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 5 september
2023 inzake maatregelen afschermen Kadaster (Kamerstuk 36 171, nr. 14);

− de brief van de Minister voor Rechtsbescherming d.d. 18 september 2023 inzake reactie
op rapport Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid
(Kamerstuk 32 761, nr. 284);

− de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 26 oktober
2023 inzake handreiking, verduidelijking juridisch kader en beantwoording vragen met
betrekking tot onlineonderzoek gemeenten in het kader van openbare orde en veiligheid
(OOV) (Kamerstuk 32 761, nr. 287);

− de brief van de Minister voor Rechtsbescherming d.d. 22 december 2023 inzake reactie
op een e-mail over het functioneren van de Autoriteit Persoonsgegevens (Kamerstuk
32 761, nr. 289);

− de brief van de Minister voor Rechtsbescherming d.d. 8 april 2024 inzake beleidsreactie
op het onderzoek De invloed van (technische) ontwikkelingen op het begrip persoonsgegevens
in relatie tot de AVG (Kamerstuk 32 761, nr. 296);

− de brief van de Minister voor Rechtsbescherming d.d. 30 mei 2024 inzake uitstel verslag
zbo-evaluatie van de Autoriteit Persoonsgegevens (Kamerstuk 25 268, nr. 224);

− de brief van de Minister voor Rechtsbescherming d.d. 28 juni 2024 inzake beleidsreactie
op WODC-onderzoek Naleving van de AVG door overheden (Kamerstuk 32 761, nr. 304);

− de brief van de Staatssecretaris Koninkrijksrelaties en Digitalisering d.d. 26 juni
2024 inzake kabinetsreactie risico’s onlineadvertentie-industrie (Kamerstuk 32 761, nr. 303);

− de brief van de Staatssecretaris Rechtsbescherming d.d. 9 oktober 2024 inzake reactie
op de motie van het lid Kathmann over het gebruik van gezichtsherkenningssoftware
in kaart brengen en toepassingen waarbij het gebruik niet wettelijk is toegestaan,
maar wel gewenst is, van een grondslag voorzien of beëindigen (Kamerstuk 26 643, nr. 1171) (Kamerstuk 26 643, nr. 1223);

− de brief van de Staatssecretaris Rechtsbescherming d.d. 16 oktober 2024 inzake toezegging
over gerechtelijke uitspraken Autoriteit Persoonsgegevens (AP) (Kamerstuk 32 761, nr. 308);

− de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 18 oktober
2024 inzake rapport Literatuurscan sociale media en democratie met speciale aandacht
voor anonimiteit (Kamerstuk 30 821, nr. 243);

− de brief van de Minister van Economische Zaken d.d. 19 november 2024 inzake vaststelling
autoriteiten voor de bescherming van de grondrechten onder de AI-verordening van de
EU (Kamerstuk 22 112, nr. 3979);

− de brief van de Staatssecretaris Rechtsbescherming d.d. 4 februari 2025 inzake reactie
op de motie van het lid Ceder over verkennen op welke manier het recht op gegevensverwijdering
zo toegankelijk mogelijk kan worden gemaakt (Kamerstuk 36 600 VII-60) (Kamerstuk 32 761, nr. 313);

− de brief van de Staatssecretaris Rechtsbescherming d.d. 3 maart 2025 inzake verslag
brede evaluatie over de Autoriteit Persoonsgegevens (Kamerstuk 25 268, nr. 233);

− de brief van de Staatssecretaris Rechtsbescherming d.d. 6 maart 2025 inzake toezegging
commissiedebat Inzet algoritmes en data-ethiek binnen de rijksoverheid (SCHUFA-arrest)
(Kamerstuk 32 761, nr. 314).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Wingelaar

De griffier van de commissie, Boeve

Voorzitter: Thiadens

Griffier: Boeve

Aanwezig zijn zes leden der Kamer, te weten: Dral, Kathmann, Van Nispen, Six Dijkstra,
Thiadens en Valize,

en de heer Struycken, Staatssecretaris Rechtsbescherming, en de heer Szabó, Staatssecretaris
Koninkrijksrelaties en Digitalisering.

Aanvang 17.01 uur.

De voorzitter:

Ik open hierbij de vergadering. Aan de orde is het commissiedebat Bescherming persoonsgegevens
en digitale grondrechten. Hartelijk welkom aan de Staatssecretaris van Justitie en
Veiligheid, de heer Struycken, en de Staatssecretaris van BZK, de heer Szabó. Van
de zijde van de Kamer zijn aanwezig mevrouw Dral van de VVD, de heer Valize van de
PVV, de heer Van Nispen van de SP, de heer Six Dijkstra van NSC en mevrouw Kathmann
van GroenLinks-PvdA. Ik stel voor in de eerste termijn van de Kamer vier interrupties
in tweeën toe te staan. We gaan kijken hoe dat loopt, ook wat betreft de tijd, en
zien of we daar soepel mee kunnen omgaan. Ik geef als eerste het woord aan mevrouw
Dral.

Mevrouw Dral (VVD):

Dank u wel, voorzitter. Als commissie beschikken we inmiddels over de evaluatie van
de door de Autoriteit Persoonsgegevens ingestelde onafhankelijke Begeleidingscommissie
Evaluatie Autoriteit Persoonsgegevens. Mede met het oog op die evaluatie het volgende.
De VVD vindt het belangrijk dat de privacy binnen onze samenleving effectief wordt
beschermd. De Autoriteit Persoonsgegevens, die ik verder «de AP» zal noemen, is hierbij
toezichthouder. Ondanks dat het budget van de AP jarenlang exponentieel groeide, blijkt
dat de AP er bij dit toezicht regelmatig onhoudbare beleidsopvattingen op nahoudt.
Die hebben vervolgens geleid tot jarenlange procedures met, afgezien van de hoge boete
die die AP oplegt, hoge kosten aan de kant van de toezichthouder en aan de kant van
degene die de boete krijgt.

Een voorbeeld. Bij de kwestie van de KNLTB heeft de AP het begrip «gerechtvaardigd
belang» over een periode van vijf jaar op een manier uitgelegd waarvan juridisch onderlegd
Nederland al voorzag hoe het Hof van Justitie van de Europese Unie daarop zou reageren.
Ondertussen was de tennisbond gedwongen om, afgezien van een hoge boete, vanaf 2019
hoge proceskosten voor zijn rekening te nemen bij de rechtsgang naar het Hof. Deze
benadering van de AP leidt tot handelingsverlegenheid in de samenleving. Óf men durft
gegevens niet meer te delen óf men gebruikt het als excuus om gegevens niet te delen.
Dit heeft nadelige gevolgen. Relevant onderzoek ten behoeve van de samenleving stagneert
bijvoorbeeld en het verkrijgen van een noodzakelijk integraal beeld komt als gevolg
van handelingsverlegenheid niet tot stand. Voorbeelden daarvan zijn te vinden bij
de politie, het Openbaar Ministerie, de zorg, de jeugdzorg, het bankwezen en ondernemers
in het algemeen. Vitale processen en relevante informatiebehoeften lopen te vaak vast.

Voor de VVD is de conclusie dat er meer balans nodig is tussen de bescherming van
de privacy aan de ene kant en het mogelijk houden van gegevensdeling in het kader
van een maatschappelijk belang aan de andere kant. Dat kan door meer risicogebaseerd
te gaan kijken, dus met een betere afweging of de gegevensdeling wel echt een risico
teweegbrengt en of er geen zwaarwegende andere belangen of andere fundamentele rechten
zijn. De AP zet naar eigen zeggen namelijk bij twijfel de bescherming van de burger
voorop. Overweging 4 van de AVG stelt echter expliciet dat de bescherming van persoonsgegevens
geen absolute gelding heeft, maar moet worden beschouwd in relatie tot de functie
ervan in de samenleving en conform het evenredigheidsbeginsel tegen andere grondrechten
moet worden afgewogen. Artikel 9 van de AVG noemt verder een zwaarwegend algemeen
publiek belang als mogelijke wettelijke uitzonderingsgrond.

De huidige houding van de AP is verder vooral nadruk leggen op wat níét kan. Dat het
anders kan blijkt bijvoorbeeld in Groot-Brittannië, waar de Britse AP een benadering
kiest van: zo kan het. De VVD is van mening dat de tot nu toe ontstane handelingsverlegenheid,
vanwege de risico’s ervan, snel moet worden teruggedrongen. Mijn vraag aan de Staatssecretaris
is dan ook nader onderzoek te doen op welke terreinen handelingsverlegenheid zich
met name voordoet en welke risico’s dit met zich meebrengt, en de uitkomsten hiervan
voor de zomer aan de Kamer te rapporteren.

Begin oktober heeft Offlimits bij de AP een handhavingsverzoek gedaan inzake deepfakeporno.
In 2024 kwam in het nieuws dat tussen 70 en 80 bekende Nederlandse vrouwen slachtoffer
zijn geworden. Er is inmiddels onderzoek gedaan naar één specifieke website. Deze
website heeft rond de 17 miljoen bezoekers per maand, waarvan ruim 9 miljoen unieke
bezoekers. Daarvan komen circa 300.000 unieke bezoekers uit Nederland. Op 16 januari
2025, dus drie maanden later, ontving Offlimits een bevestiging dat de AP zich buigt
over de vraag hoe de AP haar tijd en middelen op een effectieve en efficiënte manier
kan inzetten om de bredere problematiek die in dit handhavingsverzoek wordt aangekaart,
te adresseren. De AP hoopt Offlimits binnen drie maanden te informeren over wat dit
betekent voor de behandeling van het handhavingsverzoek. De VVD kwalificeert deepfakeporno
als een zeer ernstige zaak, waarop met slagvaardigheid moet worden geacteerd. Vanmorgen
was in het AD te lezen dat de desbetreffende website eindelijk offline is gehaald.
Goed nieuws, maar in de ogen van de VVD heeft dit te lang geduurd. Is de Staatssecretaris
het met mij eens dat dit soort zaken met een veel hogere prioriteit moeten worden
aangepakt?

De VVD is verder van mening dat de onafhankelijk gepositioneerde AP zich voor een
juiste afweging breed moet kunnen laten informeren. In de visie van de VVD kan het
helpen als de betrokken Minister niet meer uitsluitend op voordracht van de AP maar
ook eigenstandig leden kan aanstellen bij de raad van advies. Dit is nu wettelijk
nog niet mogelijk. In combinatie met de aanbeveling uit de evaluatie om de taak van
de raad van advies op te vatten als die van een raad van toezicht kan dit het zelfcorrigerend
vermogen van de AP verder ondersteunen. Ik verneem graag van de Staatssecretaris hoe
hij dit ziet.

De AP kondigde in de reactie op de evaluatie een verbeterplan aan en zal regelmatig
communiceren over de voortgang. Is de Staatssecretaris voornemens de Kamer periodiek
te informeren over de voortgang van dit verbeterplan en de effecten van de verbeterstappen
op de partijen waarop toezicht wordt gehouden?

Dank u wel, voorzitter.

De voorzitter:

Dank, mevrouw Dral. Ik zie een interruptie van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Ik zou graag iets aan mevrouw Dral willen vragen. Ze eindigde met de opmerking dat
er een verbeterplan is aangekondigd. Volgens mij worden alle aanbevelingen overgenomen.
Net als de VVD vind ik dit heel goed nieuws. De AP heeft op een aantal terreinen de
hand in eigen boezem gestoken, maar mijn vraag is of mevrouw Dral ook ziet dat we,
als we meer willen kunnen, terwijl we steeds maar horen dat dingen niet mogen van
de AVG, onze pijlen niet alleen moeten richten op de AP, maar ook op onszelf, op de
wetgever én de medewetgever. In andere landen kan men dit immers blijkbaar zorgvuldiger
en doet men dit wél in sectorale wetgeving. Wij doen dat niet. Als het kabinet er
niet mee komt, moet ook de medewetgever, dus ook ik, de hand in eigen boezem steken
en aan de slag gaan. Is de VVD bereid om aan de slag te gaan en te zorgen dat wij
hier ook betere wetgeving gaan maken, zodat de AP duidelijker op pad wordt gestuurd?

Mevrouw Dral (VVD):

U bent mij voor, wat mijn tweede termijn betreft, want daarin zal ik iets zeggen over
onze rol in de Kamer.

De voorzitter:

Dank u wel. Dan is het woord nu aan de heer Valize.

De heer Valize (PVV):

Voorzitter, dank voor het woord. Op de agenda staan maar liefst 21 brieven ter behandeling, in vijf minuten. Gelukkig gaat het merendeel over de Uitvoeringswet
Algemene verordening gegevensbescherming, de UAVG, die voortvloeit uit de Europese
General Data Protection Regulation, de GDPR. Maar een groot aantal brieven gaat ook
over de toezichthouder hierop, de Autoriteit Persoonsgegevens, de AP.

Voorzitter. In december 2022 ontving de Tweede Kamer het onderzoeksrapport The influence
of (technical) developments on the concept of personal data in relation to the GDPR.
Het onderzoeksrapport van het Tilburg Institute for Law, Technology and Society in
opdracht van het Wetenschappelijk Onderzoek- en Datacentrum gaat over welk effect
huidige en toekomstige technische ontwikkelingen op het gebied van anonimisering,
pseudonimisering, aggregatie en identificatie van gegevens hebben op het gegevensbeschermingskader
en de bescherming van de verschillende soorten gegevens. Het toenmalige kabinet zag
naar aanleiding van dit onderzoek geen reden om dit kader te wijzigen, zoals het op
24 april 2024 liet weten. Daar zit bijna anderhalf jaar tussen, anderhalf jaar om
te zeggen: leuk, maar we gaan er niets mee doen.

Voorzitter. De PVV wil daarom graag van de Staatssecretaris van JenV weten waarom
een grootschalig onderzoek wordt uitgevoerd dat vervolgens onder in de lade verdwijnt
om het er maar niet meer over te hebben. Zo is er bijvoorbeeld ook niets gedaan met
de aangedragen reguleringsalternatieven in hoofdstuk 6. Daarin werd, om maar twee
voorbeelden te noemen, voorgesteld dat er een einde zou kunnen worden gemaakt aan
het onderscheid tussen anonieme en niet-anonieme gegevens of dat een minder breed
concept zou kunnen worden gehanteerd dan de huidige definitie van het begrip persoonsgegevens,
om een duidelijk onderscheid te maken tussen persoonsgegevens en geanonimiseerde gegevens.

Voorzitter. Er zijn ook brieven die ingaan op de naleving van de AVG door overheden.
Dit werd onderzocht door Pro Facto en Hooghiemstra & Partners in opdracht van het
Wetenschappelijk Onderzoek- en Datacentrum, waarbij geconstateerd werd dat niet altijd
voorafgaand aan de verwerking van persoonsgegevens een beoordeling van de AVG-aspecten
werd doorgevoerd. AVG-vragen en uitdagingen werden te laat of zelfs niet herkend en
data protection impact assessments zijn niet altijd op orde. Het toenmalige kabinet
wees in zijn reactie op reeds lopende maatregelen en verwees naar de Autoriteit Persoonsgegevens,
waar het haar taakuitvoering betrof. Het nieuwe kabinet schreef in zijn regeerprogramma
in te zetten op de versterking van de positie van de functionaris gegevensbescherming
en op de ontwikkeling van rijksbreed beleid. Mijn vraag aan de Staatssecretaris is
hoe dit eruitziet. Wat zijn de concrete doelstellingen en de daarbij horende acties?
Ook wil de PVV graag weten of het kabinet de uitkomsten van het onderzoek bespreekt
met de AP en welke concrete afspraken daarover gemaakt zijn dan wel gemaakt worden.

Voorzitter. Er is ook een evaluatie van de Uitvoeringswet Algemene verordening gegevensbescherming,
UAVG, geweest. Ook deze evaluatie is in opdracht van het WODC door Pro Facto en Hooghiemstra
& Partners uitgevoerd. Deze evaluatie schetst een regeling in ontwikkeling die bestaat
uit open normen die zich in de praktijk niet altijd eenvoudig laten toepassen. Een
aantal voorstellen zijn door het toenmalige kabinet meegenomen in het wetsvoorstel
Verzamelwet gegevensbescherming. Het debat hierover staat op de shortlist. Inmiddels
is er ook een tweede Europese evaluatie van de General Data Protection Regulation
geweest. Hoe past deze evaluatie daarin?

Voorzitter. Ook staat er een evaluatie van de AP op de lijst. Deze evaluatie, in opdracht
van diezelfde AP, ging met name in op de normuitleg van het begrip «gerechtvaardigd
belang», volgend op een tweetal boetebesluiten. De restrictieve interpretatie hiervan
leidt al langer tot discussies. Het kabinet acht de onduidelijkheid onwenselijk. De
AP zal de normuitleg aanpassen. Hij die betaalt, bepaalt, luidt het gezegde. Het is
dus discutabel dat de AP opdrachtgever is van dit onderzoek. Hoe staat de Staatssecretaris
hiertegenover? Wie gaat in het vervolg opdracht hiertoe geven?

Voorzitter. Maar de PVV wil ook graag weten of er onderzocht kan worden of de uitzonderingen
die geboden worden in de GDPR wel voldoende zijn verankerd in de UAVG. Het Centraal
Archief Bijzondere Rechtspleging is immers een goed voorbeeld van waar dit niet het
geval is. Overweging 158 kon hierbij van betekenis zijn, maar was niet verankerd in
de uitvoeringswet.

Voorzitter, tot slot de voorlopige vaststelling autoriteiten ter bescherming van grondrechten
onder de Europese AI-verordening: het vaststellen van toezichthouders die nu al krachtens
het Unierecht een taak hebben in het toezicht op de bescherming van de grondrechten,
waaronder het recht op non-discriminatie en de bescherming van de persoonsgegevens.
Het kabinet geeft aan dat de lijst een levend document is en kan worden aangepast.
De PVV zou graag vernemen hoe dit invulling gaat krijgen en op welke termijn de Kamer
hierover uitsluitsel krijgt. Wat zal de onderlinge samenwerkingsruimte zijn tussen
de verschillende organisaties? Zal hier één organisatie coördinerend zijn of handelt
elke grondrechtenautoriteit zelf proactief?

Voorzitter. Daarmee ben ik aan het einde van mijn termijn gekomen. Dank.

De voorzitter:

Dank. Keurig binnen de tijd. U heeft een interruptie van de heer Van Nispen.

De heer Van Nispen (SP):

De heer Valize zei: wie betaalt, bepaalt. Hiermee trekt hij volgens mij de evaluatie
van de onafhankelijke Autoriteit Persoonsgegevens een beetje in twijfel. Toen vroeg
ik me af: hoe zou het dan wel moeten? Het is namelijk een onafhankelijke toezichthouder.
Het is een grondrechtenautoriteit. Als je de regering zou vragen om los van wie dan
ook hiervoor te betalen en hiermee te bepalen hoe zo’n evaluatie eruitziet van een
onafhankelijke toezichthouder die toezicht moet houden op nota bene de regering zelf,
bijvoorbeeld om te zien of de regering grondrechten schendt, het recht op bescherming
van persoonsgegevens, zou dat dan helemaal gelukkig zijn? Ziet de heer Valize de spanning
daarin? Is het verstandig om dan te zeggen, met alle risico’s van dien: dat zou niet
de AP moeten doen, maar de regering?

De heer Valize (PVV):

Waar het hier om gaat, is dat de AP zelf een onderzoek heeft laten uitvoeren. De opdrachtgeving
ligt dan ook bij de AP. Dat kan leiden tot discussies. Ik zeg niet dat het rapport
niet klopt. Er zijn sterke conclusies getrokken. Het rapport is dan wel uitgevoerd
door een externe partij, maar het is ook kritisch op de AP. Ik zeg dus niet dat het
per definitie slecht is. Maar ik vraag wel aan het kabinet of het wenselijk is, want
het kan in ieder geval een schijn wekken. Nogmaals, het gezegde is: wie betaalt, bepaalt.

De heer Van Nispen (SP):

Ik snap die vraag wel. Ik ben ook benieuwd naar het antwoord. Maar de vraag is wat
het alternatief is. Een alternatief is volgens mij dat de regering dit gaat doen.
Als je niet wil dat de AP die opdracht geeft, dan zou dat bijvoorbeeld bij een Minister
kunnen liggen. Dat heeft toch ook bepaalde nadelen? Dan heb je misschien weer de schijn
tegen dat je niet een kritische evaluatie wil, omdat de regering ook weleens het grondrecht
op bescherming van persoonsgegevens schendt. Ziet de heer Valize dat risico dan ook?

De heer Valize (PVV):

Ja, dat risico is dan zeker aanwezig. Je zou er feitelijk gewoon een andere autoriteit
op moeten zetten. Misschien kan de Auditdienst Rijk daar iets in betekenen. Maar daarom
vraag ik ook aan het kabinet om daarop te reflecteren.

De voorzitter:

Dan is nu het woord aan de heer Van Nispen van de fractie van de SP.

De heer Van Nispen (SP):

Dank u wel, voorzitter. Digitale grondrechten, de bescherming van persoonsgegevens:
dat is niet abstract; dat gaat om mensen en om de waarborgen voor mensen om ervoor
te zorgen dat hun grondrechten gerespecteerd worden. Als je dat niet goed doet, dan
kan het tot dikke ellende leiden voor mensen en tot verminderd vertrouwen in de overheid.

Zie bijvoorbeeld het toeslagenschandaal. Daarbij zijn op grove wijze grondrechten
geschonden. Dat was het gevolg van structurele tekortkomingen in de uitvoering, zoals
een gebrek aan waarborgen bij risicoprofilering. Daardoor kon het gebeuren dat alleenstaande
ouders met een buitenlandse achtergrond en een laag inkomen keihard zijn aangepakt
door de Belastingdienst. Ook in de sociale zekerheid ging het fout. Mensen in wijken
die we ook wel «probleemwijken» noemen, werden vaker gecontroleerd op fraude. De parlementaire
enquêtecommissie zei: dat kan weer gebeuren. En het gebeurt weer, of eigenlijk nog
steeds. Een recent voorbeeld is het Regionaal Informatie en Expertise Centrum, waarbij
exclusief gecontroleerd werd in de Turkse gemeenschap en in bepaalde wijken omdat
men daar meer fraude veronderstelde.

Het gaat om die werkwijze. Op basis van de onderbuik vindt men het een goed idee om
het zo te doen. Er is een gebrek aan besef van de risico’s en een gebrek aan kennis
van de wetten, regels en waarborgen om discriminatie te voorkomen en grondrechten
te waarborgen. Als je dat niet goed doet, krijg je een tunnelvisie. Als je er bijvoorbeeld
voor kiest om alleen groene auto’s op de snelwegen te controleren op snelheidsovertredingen,
dan moet je niet raar opkijken als daar uiteindelijk uitkomt dat alleen bestuurders
van groene auto’s te hard rijden. Zo werkt het natuurlijk niet, maar zo werkt het
wel in wijken als je het op deze manier doet. Je moet de risico’s op discriminatie
onderkennen en tegengaan, maar dat komt niet doordat er allemaal racisten in de uitvoering
zitten. Juist niet. Heel veel mensen hebben vooroordelen en daarom moet je waarborgen
inbouwen om zo discriminatie in de uitkomst te voorkomen.

Dit probleem zou weleens groter kunnen worden. Als je bezuinigt op ambtenaren en op
de uitvoering, zoals dit kabinet van plan is, dan kan er meer verwacht worden van
digitale toepassingen, bijvoorbeeld van risicogericht toezicht. Dat kan wat de SP
betreft alleen als er voldoende kennis is over de mogelijkheden en de potentiële risico’s
van digitale toepassingen. Zolang die kennis er niet is, moet je er niet aan beginnen.
Graag een reactie van de bewindspersonen. Delen zij dit uitgangspunt? In welke domeinen
en sectoren is deze kennis volgens de bewindspersonen wél aanwezig om dit veilig en
verantwoord te kunnen doen met behulp van toepassingen zoals algoritmes en AI?

Ook de kwaliteit van data is vaak problematisch. Er zitten fouten of niet-bevestigde
fraudesignalen in. Omdat er zo veel gegevens gedeeld worden, werken die fouten en
vooroordelen overal door waar men met die vervuilde data werkt. Erkennen de bewindspersonen
dat en hoe voorkomen we dat? Het is echt op veel plekken een zooitje. Zie bijvoorbeeld
de gegevensverwerking bij de politie. Ik verwijs naar het artikel van Follow the Money
van afgelopen weekend. 11 miljoen Nederlanders worden door de politie geautomatiseerd
gevolgd in de Basisregistratie Personen. 11 miljoen! Het aantal afnemersindicaties,
een soort abonnement op een persoon, van de politie is totaal uit de hand gelopen.
De gegevens worden nooit verwijderd. De politie overtreedt hiermee diverse wetten.
Ze weten intern al tien jaar dat dit onrechtmatig is, getuige allerlei quotes uit
stukken op basis van de Wet open overheid. De politie waarschuwt er zelf voor dat
al die gegevens kunnen leiden tot onterechte of oneigenlijke combinaties van gegevens
over mensen. Dat betekent mogelijk ook onterechte signaleringen of onterechte verdenkingen.
Graag een reactie.

Hieruit blijkt dat heel veel mensen geen grip meer hebben op hun gegevens. Je hebt
formeel het recht op inzage en correctie, maar je weet helemaal niet wat je niet weet.
Daarnaast weten mensen vaak niet waar ze terechtkunnen, bijvoorbeeld als het gaat
om een samenwerkingsverband en om gegevens die reeds massaal gedeeld zijn. Zie dat
dan nog maar eens recht te zetten. Hoe zien de bewindspersonen dat? Wat kunnen zij
concreet doen om de rechtsbescherming te versterken? Ik vraag de Staatssecretaris
Rechtsbescherming: waar kan een mens terecht?

Dat zou bijvoorbeeld bij de Autoriteit Persoonsgegevens kunnen zijn. Ik blijf bijzonder
ontevreden over wat dit kabinet met de AP doet, maar wel om een hele andere reden
dan de VVD, die hier vijf minuten heeft gemopperd over die onafhankelijke toezichthouder.
We weten uit allerlei onderzoeken dat het budget fors moet stijgen om de wettelijke
taken goed uit te kunnen voeren, om de rechtsbescherming te versterken en om de naleving
van grondrechten te verbeteren, maar dit kabinet laat dat doelbewust na, ondanks allerlei
waarschuwingen. Ik vind dat ongelofelijk in deze tijden, waarin de digitalisering
doorgaat en hier en daar misschien wel doorslaat. We weten dat goed toezicht juist
heel hard nodig is. Waarom zouden we de waakhond dan geen tanden geven? Ik hoop niet
dat de reden daarvoor is dat de regering er dan zelf weleens last van zou kunnen hebben.
Wanneer gaat de regering de Autoriteit Persoonsgegevens eindelijk echt versterken?
Graag een uitgebreide reactie hierop.

De voorzitter:

Er is een interruptie van mevrouw Dral en van de heer Valize. Eerst mevrouw Dral.

Mevrouw Dral (VVD):

U zei dat ik mopperde, maar ik mopper niet. Ik noemde een aantal feiten op die grote
consequenties hebben. Volgens mij is het duidelijk wat de VVD zegt: het gaat echt
om een balans. Aan de ene kant willen we goede bescherming, maar aan de andere kant
zijn er ook onderzoeken die heel erg van belang zijn voor onze samenleving maar waarvan
de gegevens niet gedeeld kunnen worden. Ik weet niet of u de evaluatie al heeft gelezen,
maar er zit ook een samenvatting bij. Er zitten gewoon echt tien scherpe, goede aanbevelingen
bij. Er was net een discussie – er is overigens vijf jaar lang een discussie over
gevoerd – over wie die evaluatie moest uitvoeren. Uiteindelijk heeft de AP de opdracht
gegeven. Er staan hele scherpe en duidelijke conclusies in. Ik vraag me af hoe de
heer Van Nispen van de SP daarnaar kijkt en of hij vindt dat we daar serieus mee moeten
omgaan, want die conclusies liggen er niet zomaar.

De heer Van Nispen (SP):

Op zich is het wel interessant dat een onderzoek dat door de AP is gevraagd en betaald
juist zulke scherpe conclusies oplevert, zeg ik in antwoord op mijn buurman. Volgens
mij zit daar niet echt het probleem. Maar dat was de vraag niet. Mevrouw Dral zei:
ik noem een aantal feiten op. Nou, ik heb het wel beschouwd als vijf minuten een beetje
mopperen op de Autoriteit Persoonsgegevens. Dat doet de VVD eigenlijk al jaren hier
in het parlement. Je mag inderdaad, terecht, vragen stellen over de tennisbond. Iedereen
mag hier vragen stellen. Maar dat voorbeeld hoor ik al jaren. Dat hoorde ik al van
twee of drie woordvoerders voor mevrouw Dral. Dat gaat inderdaad over het gerechtvaardigd
belang. Je kunt de vraag stellen of het goed is dat persoonsgegevens van mensen die
lid zijn van een sportvereniging bijvoorbeeld ook gebruikt worden voor reclames, voor
commercieel gebruik. Dat is inderdaad een discussie. Daar kun je vragen over stellen.
Maar mijn punt is het volgende. Je kunt wel zo afgeven op een onafhankelijke toezichthouder,
maar ik vind dat je als VVD een beetje de schijn tegen hebt. Je hebt in eerste instantie
ook aan de wieg gestaan van het hele toeslagenschandaal. We hebben gezien dat daarin
meerdere grondrechten zijn geschonden, onder andere het recht op bescherming van persoonsgegevens.
Je bent vervolgens niet bereid om te investeren in de Autoriteit Persoonsgegevens,
terwijl meerdere onderzoeken objectief laten zien dat dat nodig is om de wettelijke
taken uit te kunnen voeren. En dan ga je hier wel vijf minuten mopperen of «vragen
stellen». Je mag natuurlijk vragen stellen. Maar ik vind dat je dan een beetje aan
het mopperen bent op de onafhankelijke toezichthouder. Ik vind het veel verstandiger
om te zeggen dat we dit kabinet gezamenlijk eens de opdracht gaan geven om te investeren
en om de Autoriteit Persoonsgegevens gewoon fatsoenlijk in staat te stellen om haar
wettelijke taken uit te voeren. Die zijn ontzettend belangrijk in onze rechtsstaat.

Mevrouw Dral (VVD):

Me dunkt dat mijn voorgangers daar ook iets over hebben gezegd. Deze zaak loopt al
sinds 2019. Die loopt al jaren. Dat is precies het hele punt. Zou de AP zich op dit
soort dingen moeten richten – dat kost heel veel tijd en geld – of zijn er andere
prioriteiten? Volgens mij heb ik daar ook iets over gevraagd aan de Staatssecretaris.
Nogmaals, het gaat over een goede balans. Ja, de privacy van mensen moet goed beschermd
worden, maar het moet niet doorslaan en je moet ook goed prioriteren waaraan je je
capaciteit besteedt.

De heer Van Nispen (SP):

Ik vind het altijd wel heel makkelijk om een uitvoeringsorganisatie of zelfs een grondrechtenautoriteit
onder te financieren en dan te zeggen: dan moeten ze maar beter prioriteren. Dan haal
je er één ding uit waardoor je kunt zeggen «kijk eens met wat voor onzin ze zich bezighouden»
en dat is dan een soort legitimatie om ze niet het juiste budget te geven. Dat is
wat de VVD al jaren doet. Als je je realiseert dat de Autoriteit Persoonsgegevens,
een hele belangrijke autoriteit, die toeziet op de naleving van grondrechten, klein
is in vergelijking met de andere autoriteiten in Nederland en gewoon met veel minder
mensen steeds meer taken moet gaan doen ... Ja, het budget is een heel klein beetje
gestegen de afgelopen jaren. Het is absoluut niet exponentieel gestegen, zoals mevrouw
Dral zei. Dat is echt faliekante onzin. Er is wel wat bij gekomen. Dat komt doordat
er heel veel taken bij zijn gekomen, mevrouw Dral. Nog steeds kan de Autoriteit Persoonsgegevens
haar wettelijke taken niet uitvoeren. Een van de taken is bijvoorbeeld het adviseren
over wetgeving, waar wij dankbaar gebruik van maken als Tweede Kamer. Daarbij ziet
zij toe op de naleving van grondrechten. Een taak is bijvoorbeeld het verlenen van
vergunningen aan bedrijven, die soms jaren moeten wachten tot ze een vergunning krijgen
om een bepaalde activiteit te kunnen ontplooien. Dat is nogal irritant als je een
mkb’er bent, zeg ik even tegen de VVD. Maar een taak is bijvoorbeeld ook het opleggen
van boetes als het ergens hartstikke verkeerd gaat. Een taak is ook het scherp houden
van onze eigen overheid. Volgens mij zijn dat ontzettend belangrijke taken, die alleen
maar gegroeid zijn de afgelopen jaren. Het budget is niet navenant meegestegen.

Mevrouw Dral (VVD):

U heeft het over «één voorbeeld». Ik heb volgens mij nog een voorbeeld gegeven. Maar
eerst de tennisbond. Volgens mij zegt ook het Europese Hof daar iets over. Volgens
mij is het ook prima om te erkennen dat dit gewoon niet goed gegaan is, punt. Dat
is volgens mij ook heel rechtvaardig tegenover die tennisbond. Het gaat over een bond
van een sport waar mensen gewoon iedere week of iedere dag heel veel plezier aan beleven.
Daarnaast heb ik het voorbeeld gegeven van de deepfakeporno. Sorry, maar ik vind het
echt een hele ernstige zaak dat dit gebeurt. Ik vind het schandalig dat dit soort
dingen gebeuren met collega’s van ons, bekende Nederlanders of wie het ook treft.
Het is pas vandaag offline gehaald, terwijl er meerdere handhavingsgroepen zijn. Ik
maak me er zorgen over dat dat zo lang moet duren. Dat is geen mopperen. Dat is opkomen
voor iets wat in mijn optiek heel ernstig is. Als het gaat over de gestegen kosten ...
Nou, die zijn wel degelijk gestegen. Als u kijkt naar het budget van de AP in vergelijking
met andere Europese landen, dan staat onze AP er echt niet slecht voor.

De heer Van Nispen (SP):

Ik vergeleek het met andere autoriteiten in Nederland met vergelijkbare taken. En
dan is het weer heel erg klein. Als er één partij is die steeds opgekomen is voor
slachtoffers van die afschuwelijke deepfakeporno, is het wel mijn partij. Natuurlijk
mag je daar vragen over stellen. Daar zitten we helemaal niet verschillend in. Maar
ik vind het nogal makkelijk om daar de ondergefinancierde en onderbezette Autoriteit
Persoonsgegevens de schuld van te geven, terwijl wij nota bene moties hebben moeten
indienen om te zorgen dat de politie snel aan de slag ging, nee, om te zorgen voor
een laagdrempelig meldpunt voor de slachtoffers ervan, zodat alles binnen een paar
uur offline kon worden gehaald. Die heeft de VVD volgens mij ook gesteund. Je kunt
dit niet alleen maar aan de Autoriteit Persoonsgegevens overlaten en hen dan vervolgens
verwijten dat het heel lang duurt, als je ze eerst ondergefinancierd hebt, zodat ze
te weinig capaciteit hebben. We hebben inmiddels ook een autoriteit die niet bevoegd
was op dit thema, omdat het ging om volwassen slachtoffers. Dat is allemaal hartstikke
gecompliceerd. Dit is een afschuwelijk voorbeeld; daar heeft mevrouw Dral helemaal
gelijk in. Maar dat kun je niet alleen de Autoriteit Persoonsgegevens verwijten, als
je ze niet de wettelijke middelen en de capaciteit geeft om handelend op te treden.
En ja, ook de tennisbondzaak ken ik vrij goed. Dat is heel vervelend geweest voor
de tennisbond. Dat ging om heel veel contributiegeld. Maar ik sla een beetje aan op
de algehele toon van de VVD. Ik vind dat gemopper op een onafhankelijke toezichthouder
die je onderfinanciert. Dat voorbeeld van de tennisbond heb ik nu inmiddels zo’n 36
keer gehoord van de VVD, denk ik. Ik vind het prima. Dat moeten we vooral blijven
doen. Ik heb er ook weleens kritische vragen over gesteld, omdat ik de KNLTB goed
ken en hun positie ook begrijp. Maar ik vind het niet zo sterk om steeds met dat voorbeeld
te komen. Dat moest me even van het hart.

De voorzitter:

Ja, dank u wel. De laatste interruptie van mevrouw Dral.

Mevrouw Dral (VVD):

Ik denk dat het juist een heel sterk voorbeeld is, omdat, nogmaals, het aangeeft hoelang
dit heeft geduurd. Het gaat er ook over dat er in één keer een boete is opgelegd.
Er is geen gesprek gevoerd. Het gaat om de manier waarop er gehandeld wordt. Dit gaat
over meer dan 0,5 miljoen aan boete. Nogmaals, het Europees Hof heeft daar gewoon
een uitspraak over gedaan. Dat is niet zeuren, dat is gewoon kijken naar de feiten
en naar wat dit betekent. De oproep van de VVD is om op een andere manier te kijken.
Ik heb ook het voorbeeld van de AP in Groot-Brittannië gegeven. Die zegt gewoon tegen
de mensen hoe iets wel kan, in plaats van hoe het niet kan. Het gaat over benadering,
het gaat over prioriteren en het gaat over keuzes.

De voorzitter:

Ik hoor geen vraag. Dan is nu het woord aan de heer Six Dijkstra van de fractie van
NSC.

De heer Six Dijkstra (NSC):

Dank u wel, voorzitter. Ik zou voor mijn eerste punt graag willen terugkomen op een
vraag die nog uitstond bij het debat van vorige donderdag over ICT-migratie naar het
buitenland, waarbij de Staatssecretaris Digitalisering de Kamer, met alle respect,
een klein beetje met een kluitje in het riet heeft gestuurd en de Kamer heeft doorverwezen
naar zijn collega, de Staatssecretaris Rechtsbescherming. Dat heeft te maken met de
data van Nederlanders en de Nederlandse overheid die opgeslagen staat in Amerikaanse
systemen. Ik ben heel blij dat vandaag, ruim een uur geleden, een aantal moties zijn
aangenomen om onze onafhankelijkheid van grote Amerikaanse techbedrijven serieus af
te bouwen. Maar mijn zorg leeft nog steeds als het gaat om de data die daar opgeslagen
staat, en vooral om de vertrouwelijkheid daarvan.

Het EU-US Data Privacy Framework, dat moet borgen dat gegevens van Europese landen
en Europese personen in Amerika niet zomaar ingezien worden, hoewel de Amerikaanse
wetgeving, de CLOUD Act en de inlichtingenwet, ervoor zorgt dat Amerika wel vérgaande
bevoegdheden heeft om die data in te zien, staat dus onder druk. Het kabinet heeft
in de schriftelijke beantwoording aangegeven dat het denkt dat het nog juridisch houdbaar
is. Maar de toezichthouder op dat framework, de Privacy and Civil Liberties Oversight
Board, is in de eerste week dat president Trump aan de macht was, ontmanteld. Mijn
concrete vraag aan de Staatssecretaris is hoe juridisch houdbaar deze overeenkomst
nog is. Welke risico’s ziet hij vanwege het ontmantelen van de toezichthouder? Wat
betekent dat voor onze strategie ten aanzien van digitale autonomie en de opslag van
data in de cloud?

Voorzitter. Voor mijn tweede punt zou ik graag willen ingaan op het algoritme van
Preselect Recidive, dat ik eerder in een debat ook heb aangestipt. De Staatssecretaris
is met een brief gekomen; dank daarvoor. Het is een uitgebreide brief, waarin heel
veel vragen worden beantwoord. Ik ben ook blij dat hij is ingegaan op mijn vraag over
de voorwaarden van de AP.

Ik heb wel een aantal vervolgvragen. De Staatssecretaris geeft aan dat alle instrumenten
van het algoritme periodiek worden geëvalueerd. Daarbij wordt een termijn van ongeveer
vijf jaar gehanteerd. Maar aangezien de Staatssecretaris in de brief ook aangeeft
dat de accuratesse van het algoritme door de tijd heen best wel veranderd is, vind
ik een termijn van vijf jaar best lang. Dus mijn vraag is hoe die termijn tot stand
is gekomen. Zou de Staatssecretaris willen overwegen om het mogelijk wat frequenter
te doen?

De tweede vraag is als volgt. De Staatssecretaris geeft aan dat hem bekend is dat
er in het verleden op lokaal niveau gebruik is gemaakt van de uitkomsten van Preselect
Recidive op een andere wijze dan waarvoor die bedoeld is, wat dus in strijd is met
de AVG. Kan hij dat toelichten? In welke gevallen zijn die oneigenlijk gebruikt? Welke
gevolgen heeft dat gehad? Wat betekent dat voor de rechten van betrokkenen?

De Staatssecretaris geeft aan dat de risicoselectie kenbaar is gemaakt aan een deel
van de jongeren, terwijl de AP aangeeft dat die eigenlijk aan alle betrokkenen kenbaar
moet worden gemaakt. Kan de Staatssecretaris nader aangeven aan wie de risicoselectie
niet kenbaar is gemaakt, wat de gevolgen daarvan zijn voor de rechtsbescherming van
die personen en waarom die keuze gemaakt is?

Mijn laatste vraag op dit punt. De toetsingscommissie die hier onderzoek naar heeft
gedaan, wijst op het risico van tunnelvisie wanneer Preselect Recidive niet wordt
gebruikt, waarmee de rechtsgelijkheid in het geding komt. Kan de Staatssecretaris
daar nog een nadere toelichting op geven?

Voorzitter. Mijn volgende punt gaat over AI-surveillance. «Supermarkten experimenteren
volop met AI-surveillance», kopte Trouw vorige week. Dat gaat dan voornamelijk over
de manier waarop er gemonitord wordt of consumenten in een supermarkt al dan niet
stelen. Daar leven best wel zorgen over in de samenleving. Als mensen het gevoel hebben
dat ze gemonitord worden in hun gedrag terwijl ze niets verkeerd doen, dan doet dat
wel wat met de veiligheidsbeleving van mensen. Vooropgesteld: mijn partij zegt niet
bij voorbaat dat dit nooit mag. Ik geloof ook wel dat als je AI goed inzet, het best
kansen biedt en soms ook een bias kan wegnemen die mensen zouden kunnen hebben. Maar
het is wel een kwestie van toepassing. Er zit nogal verschil tussen het monitoren
van gedrag en bepaalde handelingen die mensen verrichten, bijvoorbeeld of ze iets
in hun tas stoppen, of het monitoren van supermarktbezoekers zelf, mogelijk met gezichtsherkenningssoftware
of de voorstadia daarvan.

Mijn vragen aan de Staatssecretaris. Heeft hij zicht op welke AI-surveillance momenteel wordt toegepast in winkels, waaronder supermarkten? Welke waarborgen
gelden daarvoor? Valt dit onder het strengste regime van de AI Act, namelijk dat voor
hoogrisicosystemen, of niet noodzakelijk, en wanneer is die grens bereikt? Hoe kijkt
hij aan tegen de opmerking van de Consumentenbond dat er betere bescherming moet zijn
voor klanten? Daaronder valt: goed duidelijk maken dat AI gebruikt wordt in de supermarkt,
uitleggen hoe dat werkt en de klant de mogelijkheid geven om bezwaar te maken.

Voorzitter. Dat was het van mijn kant. Dank u wel.

De voorzitter:

Dan is er een interruptie van de heer Van Nispen.

De heer Van Nispen (SP):

Ik heb gewoon een korte vraag. Ik ben benieuwd hoe de heer Six Dijkstra inmiddels
staat in de discussie over het budget van de Autoriteit Persoonsgegevens. Ik ga niet
moeilijk doen. Ik snap hoe moeilijk het is om ergens extra geld aan uit te geven of
ergens extra geld voor te vinden. Het gaat mij om het standpunt. Wat vindt NSC nu
eigenlijk? Is het budget voor de autoriteit die toezicht houdt op het grondrecht bescherming
persoonsgegevens voldoende of zou het eigenlijk iets moeten groeien? Aan welke orde
van grootte denkt hij?

De heer Six Dijkstra (NSC):

Het is terecht dat de heer Van Nispen de opmerking maakt dat het moeilijk is om hier
ter plekke te zeggen: we moeten extra geld vrijmaken. De ene keer lukt dat beter dan
de andere keer. Wij vinden dat de AP in elk geval voldoende budget moet hebben. Het
is ons ook wel duidelijk dat het nu niet per se overloopt als het gaat om budgetten.
We zijn blij dat er wat stijging is geweest, maar de heer Van Nispen wijst er terecht
op dat er ook een toename in taken is geweest. Ik denk, zeker als het gaat om nader
toezicht houden, politietaken, CTER, dingen die ook door de Ombudsman zijn aangekaart,
dat het wel belangrijk is dat de AP daartoe goed geëquipeerd is. Het lijkt mij goed
dat de punten die uit de evaluatie naar voren zijn komen, opgevolgd worden en dat
de AP daar ook welwillend tegenover staat.

Ik wil ook even ingaan op uw eerdere interruptiedebatje met de heer Valize. Het lijkt
mij een terechte vraag om te stellen wie de evaluatie van de AP doet. Ik zou zelf
ook wel wat voelen voor een gedeeld opdrachtgeverschap van het kabinet en AP of voor
een sterkere raad van toezicht. Dat zijn allemaal zaken die wat ons betreft bespreekbaar
zijn. Dat laat onverlet dat de AP een belangrijke speler is in het beschermen van
digitale grondrechten die overvloeien in het fysieke domein, en dat we die gewoon
hard nodig hebben.

De voorzitter:

Een interruptie van de heer Valize.

De heer Valize (PVV):

Toch nog even terug. De heer Six Dijkstra heeft het over een brief die wij, geloof
ik, gisteren hebben ontvangen van de Staatssecretaris ter beantwoording van de vragen
die hij stelde met betrekking tot het privacyframework. Ik zag die brief hier niet
op de agenda staan. Ik heb het onderwerp van het privacyframework niet voorbij zien
komen. Maar het is wel relevant, dus ik ben wel benieuwd naar die antwoorden. Wat
betreft gezichtsherkenning: leuk dat u dat artikel aanhaalt. Gezichtsherkenningssoftware
heb ik wel expliciet zien terugkomen, maar mijn vraag was eigenlijk of het ging om
die brief van gisteren of om een brief van eerder.

De heer Six Dijkstra (NSC):

Ik refereer aan een antwoord dat de Staatssecretaris Digitalisering heeft gegeven
bij het debat van donderdag, of eigenlijk een gebrek aan een antwoord, waarin hij
zei: bespreek dat dinsdag maar. Ik vind het een beetje flauw. Het was gewoon de orde
van het debat, dus het kon ook daar besproken worden. Maar ik vind het wel een belangrijk
punt, dus daarom wilde ik het hier aanhalen. Het is verder niet gerelateerd aan een
brief of iets van eerder, maar ik hoop dat we vandaag wel een bevredigend antwoord
krijgen over die risico’s. Verder valt AI-surveillance binnen digitale grondrechten.
Ik denk dat je dat vrij duidelijk onder die definitie kan scharen.

De voorzitter:

Dank u wel. Dan is nu het woord aan mevrouw Kathmann van de fractie van GroenLinks-PvdA.

Mevrouw Kathmann (GroenLinks-PvdA):

Dank, voorzitter. Ik wil me op de eerste plaats aansluiten bij het pleidooi van de
heer Van Nispen dat de AP meer budget moet krijgen. De AP moet gewoon haar wettelijke
taken kunnen uitvoeren en eigenlijk nog meer, want ergens in het rijtje met een dak
boven je hoofd en een recht op gelijke behandeling staat ook je recht op privacy in
de Grondwet. Artikel 10 is het, geschreven in 1983, toen de eerste mobiele telefoon
op de markt kwam, die zo groot was als een baksteen.

Inmiddels draait onze hele samenleving op data. Overal wordt jouw informatie verzameld,
verspreid en verkocht. «Surveillancekapitalisme» kun je het eigenlijk noemen. Onlinediensten
kunnen doen alsof ze gratis zijn, maar sluizen eigenlijk jouw hele hebben en houden
door als verdienmodel. Ook de overheid doet gezellig mee. Dat is ons nu wel duidelijk
geworden na het toeslagenschandaal – de heer Van Nispen had het er al over – en na
de grove schendingen van je rechten door de Belastingdienst, DUO en de politie. Privacy
is een recht dat pas wordt ingekleurd als het te laat is. Er moet van alles fout gaan
voordat de politiek wakker schrikt en de ergste schendingen van je rechten stopzet.
Maar het gebeurt eigenlijk nog steeds elke dag.

De Autoriteit Persoonsgegevens is de waakhond die de privacy beschermt. Onder zijn
aanvoering komen we er steeds weer achter dat onze privacy wordt geschonden en snappen
we ook dat de politiek daar wat aan moet doen. In veel gesprekken met dienstverleners,
experts, bedrijven en de AP zelf is het GroenLinks-Partij van de Arbeid duidelijk
geworden dat er dingen beter kunnen. Met de evaluatie in de hand kunnen we aan de
slag.

Twee punten haal ik daar nu even uit. Ten eerste. Breng de Autoriteit Persoonsgegevens
onder bij het Ministerie van Binnenlandse Zaken. Grondrechten beschermen is namelijk
het doel. Het doel is niet repressie. Kunnen de Staatssecretarissen eigenlijk uitleggen
waarom de AP bij Justitie en Veiligheid is belegd en niet bij Binnenlandse Zaken?
Deelt het kabinet mijn zorgen dat de afhankelijkheid van Justitie en Veiligheid de
onafhankelijkheid van de AP onder druk zet, omdat JenV ook weleens onderzocht wordt?
Heeft het kabinet weleens overwogen om de AP bij een ander ministerie onder te brengen
en waarom is dat niet gebeurd? Kun u vooraf aan de plenaire behandeling van de Verzamelwet
gegevensbescherming een uitgebreide reactie geven op deze aanbeveling? Dat is dan
een informatieverzoek.

Ten tweede. We mogen van de Autoriteit Persoonsgegevens echt vragen om transparanter
te zijn, om het openbaar te maken als er preventieve gesprekken worden gevoerd, en
om bij sancties uitleg te geven over hoe de AP die heeft bepaald. Is het kabinet het
ermee eens dat sancties vanuit de AP openbaar uitgelegd moeten worden en dat er ook
moet worden laten zien welke preventieve acties er vooraf zijn genomen? Wat doet het
kabinet om de AP in staat te stellen om vaker organisaties vooraf te helpen in plaats
van achteraf te handhaven?

Ja, er zijn verbeteringen nodig, maar GroenLinks-Partij van de Arbeid vindt het volstrekt
onterecht dat politici, ministeries en bedrijven alleen maar naar de AP wijzen als
grote boosdoener. Als datawetgeving niet deugt, dan moet je eigenlijk naar de echte
verantwoordelijken kijken. Die zitten hier in dit zaaltje. Dat zijn bewindspersonen.
Dat zijn ook Kamerleden als medewetgevers. Het is onze taak om duidelijk te maken
wat wel en niet mag. Er zijn genoeg wetten die de privacy ook in het digitale tijdperk
vastleggen, met de AVG voorop. Dan zijn er ook nog allerlei sectorale wetten waarin
per sector staat hoe gegevens wel en niet mogen worden gebruikt. Toch schieten we
op allebei de terreinen tekort. Begin 2024 is er met publieke dienstverleners en met
de AP aan tafel een overzicht gemaakt van knelpunten in de gegevensdeling. Daar kwamen
zo’n 40 voorstellen uit met punten die beter kunnen in datawetgeving. Dat is dus huiswerk
voor de wetgever en de medewetgever. Kent u dat overzicht en heeft u gevolg gegeven
aan dat overzicht?

Tot slot kijk ik mijn collega-Kamerleden aan in plaats van het kabinet. Als de wetgever
tekortschiet, moeten wij in actie komen. GroenLinks-Partij van de Arbeid pleit voor
een nieuwe werkwijze waarin we het medewetgevende handwerk zelf gaan doen, met twee
à drie keer per jaar wetgevingsoverleggen waarin we de bewindspersonen en de Autoriteit
Persoonsgegevens uitnodigen om samen alle knelpunten van uitvoerders en bedrijven
door te nemen en te bespreken. We kunnen gelijk beginnen met de 40 knelpunten van
vorig jaar. De aanpassingen die de politiek wil, kunnen dan snel in wijzigingswetten
worden vastgelegd. Ziet het kabinet de mogelijkheid voor zo’n nieuwe werkwijze? Hoe
kunnen we ervoor zorgen dat privacy niet door jurisprudentie, maar met goede wetgeving
vooraf al beschermd kan worden?

Dat is mijn allergrootste oproep: we moeten privacywetgeving weer politiek maken.
Persoonsgegevens beschermen is een kwestie van grondrechten en dus knetterpolitiek.
Vingerwijzen naar de AP is makkelijk, maar we zijn hier met z’n 150’en allemaal verantwoordelijk.

De voorzitter:

Een interruptie van de heer Van Nispen, zelfs zijn laatste.

De heer Van Nispen (SP):

Ik vond het een hele interessante bijdrage van mevrouw Kathmann. Dat meen ik. Het
is hier heel raar om dat te zeggen – dat gebeurt nooit – maar ik vond het echt. Maar
het laatste stukje zette me aan het denken. Hoe ziet mevrouw Kathmann zo’n debat voor
zich? We hebben dan de knelpunten, bijvoorbeeld de vraag of je wel of niet mag filmen
bij een voetbalwedstrijd en dat mag uitzenden. Of neem de vraag of een kind wel of
niet op een schoolfoto mag en in hoeverre daar expliciet toestemming voor moet worden
gevraagd. Dat soort vragen houdt veel mensen bezig. Zouden die dan hier langs moeten
komen? En zouden die dan niet aan de invulling van een bepaald begrip, of dat nou
«gerechtvaardigd belang» of een ander begrip is, moeten worden overgelaten? Zouden
wij dan hier met het kabinet moeten bespreken wat we belangrijker vinden? Zie ik het
nou verkeerd? Kan mevrouw Kathmann mij iets beter uitleggen wat voor wetgevingsoverleg
ze voor zich ziet?

Mevrouw Kathmann (GroenLinks-PvdA):

Dat is een hele goeie vraag. Ik heb het niet goed uitgelegd, denk ik, want ik ken
meneer Van Nispen ik als een goeie luisteraar. Het gaat er juist om dat we het zorgvuldig
gaan doen. Op dit moment hebben we de AVG. Dat is een eigenlijk een «kan»-wet, maar
wij horen hier de hele tijd dat iedereen het ervaart als een «kan niet»-wet. Hij is
juist bedoeld als iets waardoor we dingen kunnen, omdat we burgers op een hele goeie,
zorgvuldige manier beschermen. We vergeten alleen steeds de zorgvuldigheid. Die zorgvuldigheid
moeten we in sectorale wetgeving doen. Eigenlijk moeten we overzichten van knelpunten
hebben. Vaak zitten daar ook rode draden in. Vervolgens moeten we kijken waar we het
in sectorale wetgeving laten liggen. Vervolgens moeten we de uitzondering daar vastleggen.
Zo is het voor iedereen veel duidelijker. Voor de AP is het dan veel duidelijker hoe
ze moet handhaven. We maken dan heel erg expliciet: dit is een «kan»-wet, dus dit
kan. Op het moment dat het ook echt kan, gaat bij bedrijven uiteindelijk de hele handelingsverlegenheid
eraf.

De voorzitter:

U heeft een interruptie van de heer Valize.

De heer Valize (PVV):

Ik heb even een vraag voor mevrouw Kathmann. Ze had overigens een interessant betoog.
Ze heeft vast en zeker ook goed geluisterd naar hetgeen allemaal in mijn betoog voorbij
is gekomen. Wij zijn toch wel benieuwd of onderzocht kan worden wat er in de GDPR
wordt geboden. Er wordt nu een evaluatie van de GDPR uitgevoerd. Dat zou betrokken
kunnen worden bij de toets, zoals ik heb gevraagd in de stukken. We krijgen daar van
de zijde van het kabinet straks nog een terugkoppeling op. Is mevrouw Kathmann het
ermee eens dat in de GDPR heel veel uitzonderingsposities staan die we onvoldoende
verankerd hebben in onze uitvoeringswet?

Mevrouw Kathmann (GroenLinks-PvdA):

Dat is eigenlijk precies waar ik het over heb. Ik ben het er in ieder geval mee eens
dat we die uitzonderingen niet zorgvuldig genoeg hebben vastgelegd. Door mensen die
er wél heel veel verstand van hebben – het is heel technisch; ik begrijp het ook niet
altijd allemaal – heb ik me laten uitleggen dat we die zorgvuldigheid in sectorale
wetgeving moeten vastleggen. Zo wordt het voor iedereen klip-en-klaar wanneer er een
uitzondering aan de hand is. Dat moeten we gewoon beter doen. Schijnbaar kunnen ze
dat bijvoorbeeld in Frankrijk veel beter en sneller dan wij. Wij laten het nu na.
Ik hoop dat we iets kunnen optuigen waardoor we het wél gaan doen. Mensen ervaren
het bijna als een AVG-slot. Daar kunnen we dan vanaf.

De voorzitter:

Dank u wel. Daarmee zijn we aan het einde van de eerste termijn van de zijde van de
Kamer gekomen. Ik stel voor dat we schorsen tot 18.30 uur. Dan gaan we verder met
de eerste termijn van het kabinet. Er is hierbij geschorst.

De vergadering wordt van 17.45 uur tot 18.34 uur geschorst.

De voorzitter:

Ik heropen de vergadering voor de eerste termijn van de zijde van het kabinet. Ik
sta wederom vier interrupties in tweeën toe. Als eerste geef ik het woord aan de Staatssecretaris
van Justitie en Veiligheid.

Staatssecretaris Struycken:

Voorzitter, dank u wel. De bescherming van persoonsgegevens is een grondrecht. Zoals
mevrouw Kathmann expliciet vermeldde, staat dat al sinds de jaren tachtig vermeld
in artikel 10, tweede en derde lid van de Nederlandse Grondwet. Een grondrecht dat
bovendien iedereen raakt: burgers, bedrijven, organisaties, overheden. De relevantie
neemt steeds verder toe. Met de toename van het gebruik van de informatietechnologie
neemt ook de hoeveelheid verwerkte persoonsgegevens toe, en dan zijn waarborgen dus
hard nodig. Het belangrijkste instrument om de verwerking van persoonsgegevens in
goede banen te leiden, is de Algemene verordening gegevensbescherming. De AVG is alweer
zes jaar van kracht, samen met in Nederland de Uitvoeringswet Algemene verordening
persoonsgegevens. Deze wet treft voor Nederland meer specifieke regelingen; daarin
is de Autoriteit Persoonsgegevens, de AP, aangewezen als onafhankelijk toezichthouder
op de toepassing van de AVG.

De AVG heeft tot doel een eerlijke, veilige en transparante verwerking van persoonsgegevens,
waarbij individuele burgers de controle houden over hun persoonsgegevens, en tegelijk
het gegevensverkeer niet onnodig wordt gehinderd. In overweging 4 bij de AVG staat
immers: «De verwerking van persoonsgegevens moet in dienst staan van de mens, en hoewel
de bescherming van persoonsgegevens essentieel is, is het geen absoluut recht.» Er
moet immers een balans zijn – dat is het woord dat herhaaldelijk door mevrouw Dral
is gebruikt – tussen het gebruik ervan en de bescherming van grondrechten, ook overigens
in verhouding tot de andere grondrechten.

Het belang van de AVG is in de afgelopen jaren meer dan eens gebleken, als er weer
een nieuwe technologische toepassing verscheen, die op de een of andere manier met
persoonsgegevens te maken heeft. In het regeerprogramma van dit kabinet is dan ook
expliciet benoemd dat burgers erop moeten kunnen vertrouwen dat op een juiste manier
wordt omgegaan met hun persoonsgegevens. Hun rechten moeten worden beschermd en het
toezicht daarop moet voldoende geborgd zijn. Dat geldt zeker voor het verwerken van
persoonsgegevens door de overheid, want de overheid – dat ben ik gaarne eens met de
sprekers – behoort hier een voorbeeldfunctie te hebben.

De lessen uit de parlementaire enquête Fraudebeleid en Dienstverlening sluiten aan
bij het WODC-onderzoek naar de naleving van de AVG door overheden. De onderzoeksbureaus
concludeerden ten eerste dat tijdsdruk en ten tweede dat de dominantie van de doelstelling
een verstorende rol kunnen spelen bij het beoordelen van AVG-gerelateerde aspecten.
Het accent ligt dan op de doelmatige uitvoering van primaire processen en primaire
taken van de overheid, waardoor de aandacht voor de gegevensbeschermingsvraagstukken
in dat verband er soms bij in schiet.

Soms gebeurt dat met goede intenties, ook nu weer. Het kabinet is druk bezig om de
schuldhulpverlening te verbeteren. Daar zien we weer een behoefte om meer gegevens
beschikbaar te krijgen, uit te wisselen en aan elkaar te koppelen. Ik zie het ook
in een ander groot dossier in mijn portefeuille, de jeugdbescherming, waar we er vanuit
de wens om kinderen te beschermen, opnieuw van uitgaan dat het opportuun en wenselijk
is om meer gegevens uit te wisselen en te delen tussen meer organisaties. Dus we zien
het elke keer weer. Vanzelfsprekend zijn dit allemaal goede beleidsintenties en is
dit onderdeel van een verbetering van de taakuitvoering, maar het is dus van belang
dat in een vroeg stadium gegevensbeschermingsvraagstukken worden opgepakt en risico’s
worden meegenomen in de beleidsvorming, zodat we niet weer achteraf constateren dat
er in het proces onvoldoende rekening mee is gehouden. Wij moeten dus als overheid
het goede voorbeeld geven. Daarmee wil ik nogmaals ook het goede werk van het lid
Van Nispen en zijn parlementaire enquêtecommissie Fraudebeleid en Dienstverlening
onderschrijven. Want in hoofdstuk 7 van dat rapport wordt helder uiteengezet hoe dat
mis kan gaan bij de vormgeving van beleid.

Tegelijkertijd moeten we oppassen dat de angst voor het tekortschieten in de naleving
niet de overhand krijgt. Het is de handelingsverlegenheid die door diverse leden van
uw Kamer ter sprake is gebracht. Het fenomeen dat we breed zien in de samenleving
komt neer op: liever niets doen dan iets fout doen. Ik hoop dat we de komende tijd
relatief veel vooruitgang kunnen boeken als het gaat om een minder verkrampte omgang
met de AVG. Daar kan overigens ook de Autoriteit Persoonsgegevens zelf bij helpen
in het kader van haar voorlichtende taak. Ik begrijp dat dat ook het voornemen is.

Een belangrijk signaal dat hiermee verband houdt, werd eerder afgegeven door de Staatscommissie
rechtsstaat. Overheidsorganisaties voelen zich mede door onzekerheid over de wettelijke
mogelijkheden en door een strikte interpretatie van de AVG geremd om samen te werken.
Dit kan de dienstverlening aan de burger belemmeren of, nog erger, de bescherming
van kinderen in risicovolle situaties hinderen. Samen met mijn collega van Binnenlandse
Zaken, Staatssecretaris Szabó, wil ik onderzoeken waar het wringt bij de proactieve
samenwerking in het belang van burgers en hoe we de terechte zorgen van de staatscommissie
kunnen adresseren, zodat het handelingsperspectief wordt verruimd en de handelingsverlegenheid
wordt verminderd. Mevrouw Kathmann gebruikte hier een prachtig beeld voor: de AVG
is een «kan»-wet en niet een «kan niet»-wet.

Doordat gegevensverwerking zo’n belangrijk deel van ons leven is geworden, of we het
nou leuk vinden of niet, moet dit beleidsterrein in beweging blijven. Dat stelt ook
de Europese Commissie in haar tweede evaluatie van de verordening eerder dit jaar,
waarin zij ook schrijft dat op een aantal gebieden verdere vooruitgang moet worden
geboekt. Dan valt vooral te denken aan beter functionerend toezicht, ook binnen organisaties
en bedrijven. De functionaris gegevensbescherming, ofwel de FG, vervult daarin een
belangrijke taak. De borging van de kwaliteit en de versterking van de positie van
de functionaris gegevensbescherming zijn essentieel voor een betere naleving van de
AVG door bedrijven, organisaties en overheden. Om daarop verder vooruitgang te boeken,
zet het kabinet in op het versterken van de positie van de functionaris gegevensbescherming.
Een ander voorbeeld van een thema waarbij gegevensbescherming een belangrijke rol
speelt, is de geautomatiseerde besluitvorming door de overheid, waarover wij op 28 januari
met uw Kamer gesproken hebben.

Waar we ons verder voor willen inzetten – daarna kom ik tot het vermelden van de blokjes
– is meer grip op internationale gegevensbescherming en het enkel inzetten van gezichtsherkenning
onder strikte voorwaarden. Het is dus van belang dat we blijven bezien of nationale
wet- en regelgeving op dit moment voldoende passend en bij de tijd is. Daartoe behoort
niet alleen het wetsvoorstel Verzamelwet gegevensbescherming, dat hopelijk spoedig
plenair door uw Kamer zal worden behandeld, maar ook de inzet om in het Caribische
deel van het Koninkrijk te komen tot een geharmoniseerd niveau van gegevensbescherming.

De voorzitter:

Dan heeft u nu eerst een interruptie van de heer Van Nispen.

De heer Van Nispen (SP):

Ik weet niet of de Staatssecretaris het verwacht of niet, want hij haalde terecht
het hoofdstuk over gegevensbescherming uit het rapport van de parlementaire enquêtecommissie
aan, maar ik ben het ook met hem eens dat je moet oppassen dat het niet tot handelingsverlegenheid
leidt. Want hoe vaak hoor je in je privéomgeving of bij allerlei Kamerdebatten niet
dat mensen niet weten wat nou wel en niet mag, dat mensen bang zijn om mails te sturen,
want «dat mag niet meer van de AVG»? Het gaat niet alleen over de schoolfoto’s, maar
ook over het aanpakken van georganiseerde criminaliteit. Wat mag nou wel en wat mag
nou niet gedeeld worden? De Staatssecretaris noemde zelf ook treffende voorbeelden
die juist in het voordeel van mensen zijn. Maar wat ik nog niet helemaal heb gehoord
van de Staatssecretaris, waar mijn verduidelijkende vraag ook over gaat, is wiens
rol het nou is om die helderheid te scheppen in concrete situaties. Soms heeft dat
haast en soms niet zo, maar we kunnen niet jaren wachten op uitsluitsel over wat wel
en niet mag. De Staatssecretaris noemde de FG’s, de Autoriteit Persoonsgegevens en
bewindspersonen van het kabinet. Maar wiens rol is het nou om te zeggen: dit mag wel
en dat mag niet? Hoe ziet dat eruit? Hoe kunnen we dat proactief maken? Hoe kunnen
we sneller helderheid verschaffen voor al die partijen die hiermee moeten werken?

Staatssecretaris Struycken:

Dit thema komt op allerlei manieren terug in de vragen die ik nog ga beantwoorden,
maar kort gezegd is het antwoord: dat zijn ten minste vier partijen. Dat is, als het
goed is, om te beginnen de functionaris gegevensbescherming. Dat is ten tweede de
Autoriteit Persoonsgegevens, op twee manieren: door een voorlichtende taak, maar ook
door een controlerende toezichthoudende taak, de handhaving. Dat is ook normzettend,
normbevestigend en normverduidelijkend. Ten derde zijn wij dat, uw Kamer en de regering.
Mevrouw Kathmann vestigde er terecht aandacht op dat de wetgeving die wij maken, een
belangrijk onderdeel is. En ten vierde is het de Europese Commissie, die vanuit Europees
perspectief moet blijven werken aan betere regelgeving. Ik zie dus vier partijen naast
elkaar, die ieder op hun eigen manier hun verantwoordelijkheid kunnen nemen, een taak
hebben, om te voorkomen dat partijen niet handelen omdat ze niet weten waar ze aan
toe zijn. Ik kom daar op allerlei manieren op terug bij de beantwoording van de vragen.

De voorzitter:

De Staatssecretaris vervolgt zijn betoog en begint nu met de blokjes, als ik het goed
heb begrepen.

Staatssecretaris Struycken:

Ik zal beginnen met een aantal opmerkingen die de AVG en de UAVG betreffen. Dan kom
ik bijvoorbeeld ook op de tennisbond. Daarna zal ik toch nog terugkomen op het bredere
stelsel, de samenwerkingsverbanden en de FG’s. Dan zal ik aandacht besteden aan de
FG. Tot slot heb ik een categorie overig, waar onder andere de andere onderzoeken,
zoals het onderzoek van Offlimits inzake deepfakeporno, en Preselect Recidive in zitten.

Dan ga ik nu verder met een aantal onderwerpen uit het eerste blok. Ik begin met het
punt dat mevrouw Dral maakte, de uiting die zij geeft aan een zeker ongenoegen, een
zekere onvrede of frustratie naar aanleiding van de besluitvorming van de AP inzake
de KNLTB. Ik ben het er geheel mee eens, zoals ik ook al zei, dat handelingsverlegenheid
een probleem is en nadelige gevolgen kan hebben. Ik zie, ook als gevolg van de uitspraak
in deze procedure van een aantal jaren, dat de AP in het kader van haar voorlichtende
taak zich verder wil gaan inspannen voor een minder verkrampte omgang met de AVG,
en dat mensen zich minder laten leiden door angst. Mevrouw Dral wijst terecht op overweging
4 van de AVG, want de AVG moet erop gericht zijn ook het vrije verkeer van persoonsgegevens,
zij het binnen duidelijke kaders, te waarborgen.

Het arrest van het Europese Hof van Justitie inzake de tennisbond, van 4 oktober,
past geheel in de terechte wens die door Kamerlid Dral is verwoord om meer risicogericht
op te treden. Althans, zij heeft de wens dat de Autoriteit Persoonsgegevens dat gaat
doen. Per geval moet, zoals het Hof bepaalde, worden bezien welk belang zwaarder weegt:
dat van de verwerkingsverantwoordelijke of van degene wier gegevens worden verwerkt.
De Autoriteit Persoonsgegevens heeft op haar website inmiddels de vermelding geplaatst
dat een belangrijk deel van de eerder gegeven normuitleg op dit punt niet meer actueel
is. Ook dergelijke publicaties, in dit geval vanuit de AP, kunnen helpen om in de
toekomst handelingsverlegenheid verder terug te brengen. Een dergelijke verduidelijking
van het beoordelingskader zal op termijn helpen om die handelingsverlegenheid eruit
te krijgen.

Mevrouw Dral (VVD):

Ik ben blij met de beantwoording van de Staatssecretaris; dank daarvoor. U zei iets
over frustratie. De heer Van Nispen noemde het «mopperen». Het gaat mij erom – dat
zegt en bevestigt u ook – dat we het hier gewoon hebben over de dingen die niet goed
zijn gegaan. Als we dat niet doen, komen we namelijk nooit tot de juiste oplossing.
Ik ben blij dat de Staatssecretaris het beeld van wat er feitelijk is, bevestigt.
Ik ben ook blij om te horen dat de AP voornemens is om hier op een andere manier mee
om te gaan.

Staatssecretaris Struycken:

Voorzitter. Mevrouw Kathmann wees op de publieke dienstverleners en het rapport uit
2024, over 40 knelpunten. Deze knelpunten zijn vermeld in de brief van 22 mei 2024.
Wat betreft de aanpak binnen het domein van Justitie en Veiligheid is in 2024 de taskforce
gegevensdeling opgericht. Die richt zich voornamelijk op de zware ondermijnende criminaliteit
en de kind- en gezinsbescherming. Die taskforce gegevensdeling zal in samenspraak
met de betrokken stakeholders mogelijke interventies op casusniveau analyseren, synthetiseren
en formuleren, die vervolgens zo veel mogelijk worden vertaald naar structurele verbeteringen.
Uw Kamer is door de Minister van Sociale Zaken en Werkgelegenheid, als coördinerend
Minister van Werk aan Uitvoering, in de afgelopen maanden in een brief nader geïnformeerd
over de aanpak van de knelpunten die door het Netwerk van Publieke Dienstverleners
zijn aangeleverd. Deze knelpunten staan dus op de radar en zijn erg van belang gebleken
voor verdere uitwerking, vormgeving en aanpassing van het recht.

De voorzitter:

Dan heeft u een interruptie van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Daar heb ik wel een vraag over. Het is heel fijn om van de Staatssecretaris te horen
dat daar gewoon gevolg aan gegeven is en dat daar een boel mee gebeurt. Maar er zitten
ook wel een aantal rode draden in. Soms is het echt casuïstiek – we moeten hier altijd
heel erg oppassen dat we niet op elk incidentje of botsproefje beleid of een wetje
gaan maken of iets gaan amenderen – maar er zitten ook rode draden in waarmee wij
aan de slag kunnen met de uitzondering. Dus: wat kan wel? Dat kunnen we beter vastleggen
in de sectorale wetgeving. De vraag is eigenlijk: zit dat daarin en kunnen we deze
40 voorstellen gebruiken als een soort van startpunt om dat te gaan doen?

Staatssecretaris Struycken:

Ik echo verschillende elementen van de opmerking van mevrouw Kathmann. Ten eerste
moeten we uitkijken voor de regelreflex, zeker waar het concrete, specifieke casuïstiek
betreft. In het algemeen is het altijd een afweging tussen algemene beginselen of
principes en hele gedetailleerde technische regels. Ik zet even mijn pet van verantwoordelijke
voor de kwaliteit van de wetgeving op als ik zeg dat dat geldt voor alle regelgeving.
Ik vind het een uitdaging om erachter te komen waarmee de toegankelijkheid van het
recht nou meer is gediend: met hele grote hoeveelheden hele gedetailleerde regels
of met beginselmatige regelgeving? Daar is nu geen antwoord op, maar dat is voortdurend
een balans. Ik denk dat we die ook hier in dit deel van het recht moeten blijven zoeken
als wij, de regering met uw Kamer, nadenken over nieuwe wetgeving en het herzien van
wetgeving. Dat is één algemeen antwoord. Het tweede is dat er in die knelpunten inderdaad
een aantal rode draden zitten. Die staan centraal in het werken van de taskforce.
In ieder geval binnen Justitie en Veiligheid wordt er op die basis gewerkt met die
knelpunten. Mevrouw Kathmann refereerde ook aan het fenomeen van sectorale wetgeving.
Daar kom ik straks nog even op terug.

Mevrouw Kathmann (GroenLinks-PvdA):

Sorry dat ik dan toch een beetje vooruitloop. Ik ben ook geen voorstander van overregulering
en van te veel regels, maar als de Staatssecretaris straks mijn vraag gaat beantwoorden,
dan wil ik hem graag nog meegeven dat we hier dus het probleem hebben dat het juist
door die hele grote handelingsverlegenheid onduidelijk is. Dat speelt niet alleen
bij bedrijven, maar ook bij overheden. Hier heeft de praktijk dus volgens mij al bewezen
dat we iets beter moeten doen, dat die beginselwetgeving niet voldoet en dat we meer
duidelijkheid moeten verschaffen. Ik hoop dat de Staatssecretaris het met mij eens
is dat de praktijk hier een beetje heeft bewezen dat dat aan de hand is.

Staatssecretaris Struycken:

Mijn analyse is misschien een fractie anders. Ik denk dat we hier nu juist te maken
hebben met complexe regelgeving, die er niet voor niks is. Het is niet voor niks dat
die complex is, want die luistert heel nauw. Ik denk dat mijn interpretatie van de
situatie waarin we nu verkeren niet zozeer is dat de regelgeving niet deugt, maar
meer dat de complexiteit alsmede de angst voor handhaving met zich meebrengen dat
men overmatig voorzichtig is. Een van uw leden refereerde eraan dat het ook kan zijn
dat het soms nog weleens als een excuus wordt gebruikt om niks te doen, onder het
mom van: het mag misschien niet, dus we doen het maar niet. Maar dat zal niet de normale
situatie zijn. Ik geloof echt dat wijziging van de regelgeving hier nu niet per se
de eerste stap zou moeten zijn, maar ik geloof veel meer in voorlichting over de toepassing
van die regels en over wat er binnen bestaande kaders wel kan. Ik zie echt dat daar
de grootste slag te maken is.

De voorzitter:

De heer Van Nispen heeft nog een vraag.

De heer Van Nispen (SP):

Als we nou meegaan in dit betoog en het inderdaad zo is dat bedrijven, uitvoeringsorganisaties
of wie hier dan ook mee te maken krijgt, die voorlichting moet kunnen krijgen, dan
moet die toegankelijk zijn, dan moet die snel kunnen en dan moet men, om die handelingsverlegenheid
te voorkomen, precies weten wat wel en niet mag. Maar dan blijft toch een beetje de
vraag staan die ik net stelde, op het gevaar af dat ik nu een beetje te ongeduldig
ben: waar kun je snel antwoord krijgen op die vraag? Volgens mij is dat op dit moment
niet de AP. Dat kan óf komen door de kritiek van mevrouw Dral óf door de kritiek van
mij dat er te weinig capaciteit is – ik weet het niet – maar er is nu niet één plek
daarvoor. De Staatssecretaris noemde er net vier. Je hebt ook nog de FG, de bewindspersonen,
de Kamer en de Europese Commissie. Veel spelers hebben dan een rol. Maar bij wie kan
een organisatie, of dat nou een uitvoeringsorganisatie of een bedrijf is, zich laagdrempelig
melden om snel een antwoord te krijgen? Dan bedoel ik dus één loket, waar men één
snel antwoord krijgt. Als je dit op die manier wil oplossen, dan moet zoiets er wel
komen.

Staatssecretaris Struycken:

Eigenlijk denk ik dat het zo gezien niet wezenlijk afwijkt van elke andere situatie
waarin je je als justitiabele, als bedrijf of als burger, hebt te verhouden tot de
wet. Ik denk niet dat de Autoriteit Persoonsgegevens het goede adres is. Ik aarzel
of die in concrete gevallen een adviserende rol zou moeten nemen, want dat verdraagt
zich slecht met de controlerende, handhavende taak die de autoriteit ook heeft. De
adviserende rol van de autoriteit moet beperkt blijven tot algemene advisering. In
de versterking van de functionaris gegevensbescherming hebben we een grote slag te
maken. Ik heb dat ergens in een mapje zitten, maar ik kan zeggen dat 15 mei een belangrijke
dag wordt. Misschien worden u en uw Kamer ook uitgenodigd, voorzitter, want dan gaan
we het Nationaal Register voor FG’s in werking stellen. Dat is een onderdeel van een
veel bredere kwaliteitsslag met betrekking tot de functionarissen gegevensbescherming.
Dat is dus een traject dat ertoe moet leiden dat die FG’s beter geëquipeerd, beter
opgeleid en beter getraind zijn om duiding te geven aan het toepasselijk regelgevend
kader. Dus die FG’s zullen daar op termijn een belangrijke rol in kunnen en zelfs
moeten spelen.

We hadden het over de vier spelers. We noemden nog de Europese Commissie en de rijksoverheid,
maar bij geen van beide zie ik een loket zitten. Ten vijfde is er natuurlijk ook gewoon
juridische bijstand in de vorm van een advocaat. Uiteindelijk is het ook gewoon advies
krijgen over wat de wet in jouw situatie behelst. Daar is dus nog een vijfde actor
als het gaat om het reduceren van handelingsverlegenheid. Maar dat voedt elkaar natuurlijk.
Naarmate FG’s, naarmate de voorlichtende rol van de AP en naarmate wij als wetgever
een duidelijke richting geven, zal het voor advocaten makkelijker worden om te weten
wat de betreffende cliënt wel of niet kan doen.

De voorzitter:

U vervolgt uw betoog.

Staatssecretaris Struycken:

De heer Valize vroeg, nu we het hebben over evaluatie van wetgeving, hoe de evaluatie
van de UAVG zich verhoudt tot de tweede Europese evaluatie van de GDPR. Ik noemde
al dat de UAVG, de uitvoeringswet, de ruimte invult die onder de AVG bestaat voor
lidstaten om specifieke nationale regelingen te treffen. Het WODC heeft al in 2022
het evaluatierapport uitgebracht over de effecten en de uitvoering van de UAVG in
de praktijk. Om de effectiviteit van de AVG te waarborgen voert de Europese Commissie
vanaf 2020 elke vier jaar een eigen evaluatie uit. Het is deze evaluatie die onlangs
voor de tweede keer is gepubliceerd. Het gaat dus om verschillende evaluaties, die
weliswaar allemaal zien op gegevensbescherming, maar waarvan de ene ziet op de AVG
en de andere op de UAVG. Daarbij zijn er natuurlijk belangrijke raakvlakken, maar
ze zijn wel complementair aan elkaar.

De heer Valize vroeg ook naar de problematiek van de Archiefwet en de uitzonderingen
die er zijn en wees op overweging 158. De UAVG biedt inderdaad verschillende mogelijke
uitwerkingen. Hoofdstuk 3 van de UAVG regelt de uitzonderingen die wij in Nederland
op basis van het Nederlandse recht hebben gekozen. Overweging 158 stelt dat de lidstaten
moeten kunnen bepalen dat persoonsgegevens voor archiveringsdoeleinden verder mogen
worden verwerkt, bijvoorbeeld met het oog op het verstrekken van specifieke informatie
over het politiek gedrag onder voormalige regimes, genocide, misdaden tegen de menselijkheid,
met name de Holocaust, of oorlogsmisdaden. Het doen van wetenschappelijk of historisch
onderzoek wordt op grond van artikel 5 van de AVG geacht in overeenstemming te zijn
met het oorspronkelijke doel.

In artikelen 24 en 33 van de UAVG is een uitzondering opgenomen op het verbod om bijzondere
of strafrechtelijke persoonsgegevens te verwerken. Deze mogen gebruikt worden voor
wetenschappelijk of historisch onderzoek. Daaronder valt ook onderzoek naar de Holocaust
en onderzoek in oorlogsarchieven. Er is echter nog geen specifieke wetgeving in Nederland
met betrekking tot de openbaarmaking van archieven voor deze doeleinden. De Archiefwet
is dus bepalend. Zoals bij de behandeling van de nieuwe Archiefwet aan uw Kamer is
medegedeeld, zal de Minister van Onderwijs, Cultuur en Wetenschap met een wetsvoorstel
komen om het mogelijk te maken dat het Centraal Archief Bijzondere Rechtspleging toch
toegankelijk wordt voor een breed publiek. Dit doen we dus naar aanleiding van een
waarschuwingsbrief van de Autoriteit Persoonsgegevens. De Minister van OCW zal dit
punt dus verder voeren.

Ik kom ...

De voorzitter:

Er is een interruptie van de heer Valize.

De heer Valize (PVV):

Dank aan de Staatssecretaris voor deze beantwoording, zeg ik via u, voorzitter. Mijn
opmerking over overweging 158 en het CABR was slechts één voorbeeld. Worden er nog
andere uitzonderingen geboden in de GDPR die niet verankerd zijn in de uitvoeringswet?
Dat was eigenlijk de vraag. Kan dat onderzocht worden? Is het raadzaam om dat te onderzoeken?
Hoe ziet de Staatssecretaris dat?

Staatssecretaris Struycken:

Ik kan niet in algemene zin beoordelen in welke mate er van uitzonderingen nog geen
gebruik is gemaakt. Ik denk ook dat dat beter kan worden gedaan vanuit de problematiek
die zich voordoet. Maar laat ik in algemene zin volstaan met het antwoord dat we daar
binnenkort bij de herziening van de UAVG door middel van de verzamelwet – dat zal
niet de laatste fase zijn – steeds opnieuw naar zullen willen kijken met uw Kamer,
om te kijken of we het maximale doen om mogelijk te maken wat mogelijk zou moeten
kunnen zijn onder de AVG.

De voorzitter:

Een vervolgvraag van de heer Valize.

De heer Valize (PVV):

Toch nog een vervolgvraag voor de Staatssecretaris. We hebben de stukken voor de Uitvoeringswet
AVG natuurlijk al gekregen. Daar staat niets in over eventuele uitzonderingen die
nu meegenomen zijn. Er is geen evaluatie, maar zou het raadzaam zijn om dat toch eens
te evalueren? Wat in de GDPR biedt grondslagen voor gegevensdeling die wij niet in
de UAVG hebben verankerd? Dat is concreet de vraag.

Staatssecretaris Struycken:

Nee, daar waar die uitzonderingen nu niet hun weerslag hebben gekregen in de UAVG,
zal de evaluatie van de UAVG als zodanig dat, eng beschouwd, niet meenemen. Maar ik
denk dat een evaluatie van de UAVG altijd zal plaatsvinden in het licht van de behoeften
zoals die zich in de samenleving hebben gemanifesteerd. De reflectie zal dan ook direct
zien op de ruimte die er wel degelijk onder de AVG zou kunnen worden geboden. Dus
dat nemen we zeker mee, ook daar waar het de evaluatie van de UAVG betreft. Ik heb
nu geen beeld van de uitzonderingen die nog niet gebruikt zijn, maar ik zal daar waar
daar ruimte voor is, kijken of we dat overzicht alsnog kunnen maken.

Ik kom nu op de vraag van mevrouw Kathmann over de spanning die er bestaat tussen
wetgeving vooraf en jurisprudentie achteraf. We hadden het er al even over. Een belangrijk
element van het antwoord is dat de AVG en de UAVG technologieneutrale regelgeving
beogen te zijn, in algemene termen gesteld, enigszins vanuit de beginselen, zodat
bij nieuwe technologieën de bescherming in beginsel nog steeds passend zou moeten
kunnen zijn. Er is dus ruimte voor rechtsontwikkeling en dat komt mede doordat die
wetgeving die ruimte biedt. De jurisprudentie van het Europees Hof zal daarbij dan
ook een grote rol spelen om te duiden welke ruimte er in de wetgeving zit. Ik denk
dat jurisprudentie achteraf altijd en onvermijdelijk een belangrijke rol zal spelen
en zal blijven spelen – dat moeten we ook willen – om invulling te geven aan de ruimte
die er binnen dat brede technologieneutrale kader bestaat. Ik aarzel erover of we
dat steeds met nadere wetgeving moeten dichtregelen. Rechters plegen namelijk goed
in staat te zijn richting te geven op een manier die stap voor stap de rechtsontwikkeling
stut.

Mevrouw Kathmann bracht in dit kader ook de suggestie op om regelmatiger bijeen te
komen in de Kamer in een WGO, drie keer per jaar, en dan te overwegen om tot nadere
wetgeving te komen. Het is aan uw Kamer om daar vorm aan te geven. Uiteraard zullen
wij daaraan deelnemen als ons dat wordt verzocht. De gedachte om regelmatig te toetsen
wat nodig is, lijkt me opportuun. Of dat ook elke keer moet leiden tot wetgeving is
uiteraard de vraag, maar die vraag zal dan centraal staan in dat overleg.

Mevrouw Kathmann noemde één element dat ik even expliciet wil maken. Zij suggereerde
dat ook de Autoriteit Persoonsgegevens dan onderdeel uitmaakt van het overleg. Daar
aarzel ik over. Ik geef in overweging dat dat voor de Autoriteit Persoonsgegevens
misschien een moeilijke rol is, omdat ze dan onderdeel wordt van een wetgevende activiteit,
terwijl de autoriteit natuurlijk primair een handhavende verantwoordelijkheid heeft.
Het is misschien niet wezenlijk anders dan de rechterlijke macht vragen om bij een
wetgevingsoverleg aan te schuiven. Dat punt geef ik uw Kamer dus in overweging om
nader te doordenken.

De voorzitter:

Er is een vraag van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Ik probeer even om het helder te krijgen. Volgens mij heb ik het wel zo gezegd, dus
geeft de Staatssecretaris het juiste antwoord, maar ik heb het niet zo bedoeld. Ik
bedoelde eerder dat de Autoriteit Persoonsgegevens wel een plek heeft in het hele
traject. We hebben nu bijvoorbeeld al 40 casussen op een lijstje staan. Ik bedoelde
dat we op basis van zo’n lijstje, met een bepaalde duiding van de AP – die zit dan
niet aan tafel, maar daar kunnen we bijvoorbeeld wel schriftelijk iets van hebben
ontvangen – met elkaar in overleg kunnen.

Misschien kan ik de Staatssecretaris een beetje geruststellen. Hij doelde twee keer
achter elkaar in een zin op «steeds wetgeving». Ik bedoel expliciet niet dat we wetgeving
moeten maken op grond van casuïstiek, maar naar ik begrijp en zoals ik al eerder zei,
zijn de Fransen er veel beter in dan wij om de zorgvuldigheid die de AVG nog nodig
heeft in de wet, vast te leggen, zodat het veel duidelijker is voor bedrijven in bepaalde
sectoren dat ze het wél mogen en dat die handelingsverlegenheid er dus veel sneller
af gaat. Het gaat er dus veel meer om dat we aan de hand van de rode draden in de
casuïstiek de sectorale wetgeving beter kunnen doen.

Waarschijnlijk ben je op een gegeven moment dan ook klaar. Ik hoop eigenlijk dat je
drie keer afspreekt en dat je dan met elkaar de sectorale wetgeving hebt dichtgetimmerd.
Dan hoef je dat niet eindeloos, twintig jaar lang, elk jaar te gaan doen. Alleen,
we gaan nu werk doen dat de Fransen bijvoorbeeld al wel doen, maar wij niet, waardoor
het daar beter gaat. Als we daarvoor wat sessies inplannen, is de klus hopelijk snel
geklaard. Ik bedoel dus niet dat het op grond van casuïstiek moet gebeuren; ik bedoel
meer dat het moet gaan om de sectorale wetgeving, met zorgvuldigheid, zodat de sectoren
een beetje van het AVG-slot komen, om het zo maar te zeggen.

Staatssecretaris Struycken:

Tegen het principe van sectorale wetgeving heb ik geen bezwaar. Die is er ook al;
die kennen we in Nederland natuurlijk ook. Die dekt misschien niet alles, maar het
is ook de vraag in hoeverre dat zou moeten. Het is goed om te kijken naar andere landen,
zoals Frankrijk. Daar kan de Autoriteit Persoonsgegevens overigens een adviserende
rol bij spelen. Maar het principe van het kijken in hoeverre we met sectorale wetgeving
de lacunes kunnen vullen, lijkt me uitstekend.

Voorzitter. Dan kom ik in dit eerste blokje tot mijn laatste antwoord, ook op een
vraag van mevrouw Kathmann. Zij bracht namelijk nog een ander belangrijk onderwerp
op, en dat is de openbaarheid van sancties die de AP treft op basis van haar handhavende
taak. Het publiceren van sanctiebesluiten door de Autoriteit Persoonsgegevens past
naar mijn oordeel inderdaad binnen de inspanningsverplichting tot actieve openbaarmaking,
uit de Wet open overheid, artikel 3.1. Volgens de eigen beleidsregels van de Autoriteit
Persoonsgegevens voor openbaarmaking geldt al jarenlang een plicht om sanctiebesluiten
te publiceren.

Ook volgens de Afdeling bestuursrechtspraak van de Raad van State past het bij de
taak van een toezichthouder, zoals de Autoriteit Persoonsgegevens, dat boetebesluiten
worden gepubliceerd. Die boetebesluiten geven inzicht in het tot stand komen van sancties
en kunnen een waarschuwende functie hebben voor burgers. Het is een waarschuwing tegen
de overtreder die de boete heeft gekregen. Dat vergt wel dat er per geval een belangenafweging
wordt gemaakt, maar volgens de vaste jurisprudentie weegt het belang van openbaarmaking
vrijwel altijd zwaarder dan bijvoorbeeld de dreigende reputatieschade voor de overtreder.
Het leidt alleen tot een uitzondering als en zolang er ernstige twijfels zijn over
de rechtmatigheid van het sanctiebesluit. Zo werd bijvoorbeeld de publicatie van een
sanctiebesluit van de AP opgeschort door de voorzieningenrechter van de rechtbank
Midden-Nederland, vanwege twijfels over de uitleg van de term «gerechtvaardigd belang».
Zorgvuldigheid is dus geboden. Dat kan betekenen dat publicatie uitgesteld wordt.

De wet bepaalt ook dat de overtreder vooraf om zijn zienswijze moet worden gevraagd,
dat hij bezwaar kan maken tegen het besluit, en dat hij naar de voorzieningenrechter
kan stappen wanneer hij bezwaar maakt tegen onmiddellijke publicatie. Maar ik onderschrijf
het standpunt dat zo’n boetebesluit uiteindelijk, conform de regelgeving, gepubliceerd
moet worden, behoudens zeer uitzonderlijke omstandigheden. Die boetebesluiten – en
dan herneem ik mijn antwoord op een van de allereerste interrupties – zijn namelijk,
net als uitspraken van rechters, richtinggevend en daarmee een oplossing voor het
probleem van de handelingsverlegenheid.

Voorzitter. Ik kom op het bredere stelsel, maar ik zie dat ik al vermeld heb dat dit
kabinet het voornemen heeft om ook in te zetten op versterking van de functionaris
gegevensbescherming. Dat is een kwaliteitsimpuls waarmee het inhoudelijk niveau en
de positionering van de FG worden verbeterd. Er wordt op dit moment gewerkt aan de
ontwikkeling van de zogenaamde toetstermen en kwaliteitsnormen. Er wordt daarnaast
gewerkt aan een gedragscode. Het register dat er zal komen, zal zo meer cohesie creëren
tussen de FG’s. Dat zal leiden tot verdere professionalisering. Wat het kabinet betreft
is dat een heel belangrijk additioneel fundament voor betere duiding en betere toepassing
van dit recht, en daarmee ook voor het verlichten van de kramp, om het zo maar even
te noemen.

Wat rijksbreed beleid betreft: dit kabinet streeft naar de ontwikkeling van een rijksbrede
richtlijn voor onlinemonitoring, bijvoorbeeld voor overheidsorganisaties die de sociale
media monitoren. Hierover hebben de eerste gesprekken plaatsgevonden. Het verdere
vervolg is gericht op het schetsen van de contouren van de richtlijn, waarbij ook
stakeholders in kaart worden gebracht. Zo kan er met hun input tot een zorgvuldig
kader worden gekomen. Daarover zal ook de Autoriteit Persoonsgegevens worden gevraagd
te adviseren.

Voorzitter. De heer Van Nispen stelde een vraag met betrekking tot de zogenaamde samenwerkingsverbanden.
Op de verwerking van persoonsgegevens door een samenwerkingsverband zijn de rechten
en verplichtingen uit de AVG van toepassing, zoals het recht op inzage, het recht
op rectificatie en het recht op gegevensuitwisseling. Elk samenwerkingsverband dat
onder de Wet gegevensverwerking door samenwerkingsverbanden, de WGS, komt te vallen,
krijgt een contactpunt waar burgers terechtkunnen om hun rechten op grond van de AVG
uit te oefenen. Dit contactpunt moet burgers ook op eigen initiatief informeren over
de gegevensverwerking. Als de betrokkene het oneens is met hoe het contactpunt omgaat
met zijn rechten, kan de burger bezwaar maken bij het contactpunt. Ook kan de betrokkene
naar de rechter stappen als hij meent dat zijn rechten zijn geschonden. Verder kan
de betrokkene, zoals in alle gevallen, een klacht indienen bij de Autoriteit Persoonsgegevens.
Als een deelnemer tot een interventie overgaat, geldt de gebruikelijke rechtsbescherming.
Wanneer een deelnemer bijvoorbeeld een bestuurlijke boete oplegt, geldt naast de AVG
de rechtsbescherming uit de Algemene wet bestuursrecht. Overigens moet een deelnemer
ook zelf feitenonderzoek doen voordat hij overgaat tot een interventie. De informatie
uit het samenwerkingsverband kan slechts als aanleiding daartoe dienen.

Ik kom op de vragen met betrekking tot de AP, de Autoriteit Persoonsgegevens. Velen
van u hebben gerefereerd aan de evaluatie die de Autoriteit Persoonsgegevens zelf
heeft laten uitvoeren, waarbij zij als opdrachtgever heeft opgetreden. De Autoriteit
Persoonsgegevens heeft dit rapport naar uw Kamer gestuurd met daarbij een reflectie,
zoals dat wordt genoemd. In het vorige commissiedebat heb ik uw Kamer geïnformeerd
over het feit dat deze evaluatie op korte termijn was te verwachten. Ik heb toen toegezegd
dat wij voor het meireces met een reactie daarop zouden komen. Veel van de door uw
Kamer gestelde vragen met betrekking tot die evaluatie zullen daarin terugkomen. Dat
kan mede de vraag omvatten of de AP zelf opdrachtgever zou moeten, kunnen of mogen
zijn. Ik gebruik met opzet al die werkwoorden in één zin. U weet dat de toenmalige
Minister voor Rechtsbescherming in een brief aan uw Kamer helder heeft gemaakt dat
het standpunt van het kabinet is dat het opdrachtgeverschap van elke zbo-evaluatie
bij de bewindspersoon hoort te liggen en niet bij de te onderzoeken zbo. Dat is nu
niet zo gelopen. Een onderdeel van de reactie op de evaluatie die we naar uw Kamer
gaan sturen, is dat we daar een nader standpunt over gaan innemen, want het principiële
argument van de Autoriteit Persoonsgegevens ligt nog open op tafel, namelijk dat de
bewindspersoon, het kabinet, uit hoofde van het Europees recht niet de opdrachtgever
mag zijn. Daar moeten we nog een ei over leggen.

De voorzitter:

U heeft een vraag van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Ik zou toch graag willen dat de Staatssecretaris ook reflecteert op het probleem dat
ik zie. Ik kom er gewoon niet uit. Zelf heb ik het idee dat het opdrachtgeverschap
eigenlijk niet anders kan. Dit is misschien niet de meest wenselijke situatie. We
kennen allemaal de uitspraak: «Wij van WC-Eend adviseren WC-Eend». Daar vinden allemaal
mensen wat van. Ik noemde net een lijstje op waaruit blijkt dat de overheid heel vaak
op de vingers getikt moet worden door de AP. Het gebeurt nog steeds heel vaak onbewust,
omdat we allemaal een gebrek aan kennis hebben. Maar door die onbewuste acties worden
burgers in Nederland gewoon vermorzeld. Dan is het toch heel raar dat de ministeries,
die het keer op keer nog steeds niet goed doen, de opdrachtgever worden van een evaluatie?
Dat vind ik geen fijne situatie. Ik heb liever de wc-eendconstructie van een onafhankelijke
toezichthouder dan dat degene die het meest strikt onder toezicht zou moeten staan,
de opdracht geeft tot een evaluatie van degene door wie die het misschien niet prettig
vindt om op de vingers getikt te worden.

Staatssecretaris Struycken:

Wij komen hierop terug, maar het is misschien niet schadelijk om het debat nu al deels
te voeren. Nogmaals, in anticipatie op het standpunt dat wij hier als kabinet over
zullen innemen, merk ik in algemene zin op dat voor alle zbo’s geldt dat het zelfstandige
en in belangrijke mate onafhankelijke organen zijn. Die zijn niet voor niks als zbo
opgetuigd. Desalniettemin is in de Kaderwet zbo’s bepaald dat daar waar het gaat om
de evaluatie of het zbo doeltreffend en doelmatig opereert, de beheerder, de opdrachtgever,
het kabinet is.

In de UAVG zijn wat betreft dit zbo, dus de Autoriteit Persoonsgegevens, een aantal
bepalingen uit die kaderwet buiten toepassing verklaard, juist om de onafhankelijkheid
van de AP verder te versterken. Het staat ook buiten kijf dat de AP in haar handhavende
taak volstrekt onafhankelijk is, zoals we dat ook kennen bij de rechterlijke macht.
Het standpunt dat voor de Autoriteit Persoonsgegevens niet de reguliere zbo-evaluatie
geldt, is problematisch en misschien ook niet terecht. De AVG biedt ruimte aan een
nationale invulling van het toezicht op de doeltreffendheid en de doelmatigheid van
de taakuitvoering. De UAVG, die daarin voorziet, biedt additionele waarborgen om de
onafhankelijkheid van de Autoriteit Persoonsgegevens te waarborgen. In dat licht geef
ik u mee dat de discussie niet per se moet uitvallen in het voordeel van een ongebruikelijke
benadering waarbij de Minister niet langer een rol heeft als opdrachtgever bij de
evaluatie op deze punten en – dat voeg ik daar dan aan toe – daarop dus ook niet meer
door uw Kamer aanspreekbaar is. Dat is namelijk wel een keerzijde van de medaille.

De voorzitter:

U heeft een interruptie van de heer Six Dijkstra.

De heer Six Dijkstra (NSC):

Ik begrijp het dilemma dat de Staatssecretaris hier schetst heel goed. Ik merk het
dilemma ook hier in deze commissie. Ervan uitgaande dat het kabinet nog een standpunt
hierover moet innemen, zou ik de Staatssecretaris wel willen vragen om ook de optie
te verkennen die ik net in het interruptiedebatje met de heer Van Nispen noemde: kijken
naar gezamenlijk opdrachtgeverschap. Misschien zou dat dat nog enig soelaas kunnen
bieden om het beste van twee werelden daarin te implementeren. Ik zeg niet dat het
de gulden oplossing is. Maar aangezien er nog een brief komt, is dat er misschien
wel eentje om nog te onderzoeken.

Staatssecretaris Struycken:

Dit nemen we zeker mee. De reflectie van de AP op de evaluatie die de AP heeft laten
uitvoeren komt in die evaluatie komt ook aan de orde. De reflectie geeft daar een
andere interpretatie aan, dus dit zal er zeker onderdeel van zijn. Het is evident
dat het opportuun is dat we met de Autoriteit Persoonsgegevens op één lijn komen.
Dit principiële verschil van inzicht raakt ook de mate waarin wij de evaluatie en
de analyses kunnen doen die nodig zijn om ook te spreken met uw Kamer over het budget
voor de AP.

De voorzitter:

Dan heeft u nog een interruptie van de heer Valize.

De heer Valize (PVV):

Dank ook aan de Staatssecretaris voor deze beantwoording. Het mag wat dat betreft
wel in de reactie op die evaluatie. Zoals u ook aangaf was het standpunt van het kabinet
in het verleden dat dit bij de bewindspersoon lag en niet bij het zbo zelf. Dat gaf
u net aan. Maar u wilt dat wel evalueren. Het is goed dat in die evaluatie ook meegenomen
wordt of dat wel wenselijk is en hoe we dat anders invulling zouden kunnen geven.
Maar dan is mijn vraag: wanneer kunnen we de reactie op de evaluatie tegemoetzien?

Staatssecretaris Struycken:

Ik heb de toezegging gedaan dat we voor het meireces komen met een kabinetsreactie
op het evaluatierapport dat de Autoriteit Persoonsgegevens met uw Kamer heeft gedeeld.
Die kabinetsreactie zal dus mede ingaan op de vraag of de uitgevoerde evaluatie in
dit geval kan volstaan als een zbo-evaluatie, zoals voorgeschreven in de kaderwet,
en, zo niet, wat we nog verder nodig hebben om de benodigde analyses te maken. Die
brief hebben wij dus toegezegd voor het meireces en vandaar gaan we verder.

De voorzitter:

U vervolgt uw betoog.

Staatssecretaris Struycken:

Er zijn meer vragen gesteld over de Autoriteit Persoonsgegevens, bijvoorbeeld de vraag
van mevrouw Dral of de Staatssecretaris een rol kan krijgen bij de benoemingen in
de raad van advies. Dat is al mogelijk. De UAVG bepaalt in artikel 7, lid 9 dat de
leden worden benoemd door de Minister op voordracht van de voorzitter van de AP. Maar
daar gaat wel een bredere vraag achter schuil over de mate van betrokkenheid van de
bewindspersoon en daarmee indirect ook van uw Kamer bij de uitwerking van de taken
en de verantwoordelijkheden van de Autoriteit Persoonsgegevens. Het is dus eigenlijk
een deel van het bredere debat over hoe de Autoriteit Persoonsgegevens zich verhoudt
tot de overheid, tot het kabinet en in het verlengde daarvan tot uw Kamer.

De voorzitter:

Dan is er een vraag van mevrouw Dral.

Mevrouw Dral (VVD):

Even voor de duidelijkheid: het is nu toch bij voordracht? Mijn vraag ging eigenlijk
over het eigenstandig kunnen aanstellen van leden. Daar zit echt een verschil in.

Staatssecretaris Struycken:

U heeft gelijk. Artikel 7 van de UAVG bepaalt nu dat de leden van de raad van advies
worden benoemd door de Minister op voordracht van de voorzitter van de Autoriteit
Persoonsgegevens. Nu versta ik mevrouw Dral beter, want de suggestie is dat dat niet
alleen op voordracht van de Autoriteit Persoonsgegevens gebeurt, maar dat de bewindspersoon
ook zelf eigenstandig iemand aanstelt. Het heet thans nog «raad van advies», maar
ik zag dat de evaluatie adviseert om de taken van die raad van advies verder te versterken,
zodat die gaat lijken op een raad van toezicht. Het is inderdaad denkbaar dat die
raad komt te bestaan uit verschillende geledingen en dat de voordrachten door verschillende
partijen worden gedaan. Dat is een hele nieuwe manier van het vormgeven van de governance
van de Autoriteit Persoonsgegevens, maar die raakt natuurlijk breder aan de rol die
wij aan de Autoriteit Persoonsgegevens willen toekennen en aan de rol die zij heeft
vanuit de Europese regelgeving.

Voorzitter. Dan komen we nu bij het blokje overig. Ik begin met een onderwerp dat
de heer Valize naar voren heeft gebracht. Op de convocatie staat inderdaad een groot
aantal brieven, sommige van geruime tijd geleden. Ik weet niet of dit het laatste
commissiedebat is waarin ik de erfenissen van mijn voorganger mag wegwerken. In het
eerste commissiedebat werd gezegd dat het een beetje een geleende fiets is waar je
als bewindspersoon op rijdt als je het beleid van je voorganger nog moet uitleggen.
Dat geldt misschien inderdaad ook hier, bij het WODC-onderzoek The influence of (technical) developments on the concept of personal data
in relation to the GDPR. Dat onderzoek heeft een belangrijk inzicht opgeleverd, namelijk
dat de technologische ontwikkelingen op dat moment geen aanleiding gaven om het gegevensbeschermingskader
als zodanig te wijzigen. Met andere woorden, de technologische ontwikkelingen werden
toen, en worden volgens mij nu nog steeds, mogelijk geacht binnen het kader. Ik noemde
het al even: een van de belangrijke sterke kanten van de AVG is dat zij technologieneutraal
is vormgegeven. De analyse was toen, en is volgens mij ook nu, dat dat werkt. In zoverre
is dit een zinvol onderzoek geweest en is het niet in een la verdwenen. Soms is een
negatief antwoord ook een zinvol antwoord, namelijk het antwoord dat het niet nodig
was om de wet aan te passen met het oog op nieuwe technologische ontwikkelingen.

Dan kom ik bij iets van een geheel andere orde, namelijk de relatie tot de Verenigde
Staten en de gegevensuitwisseling. Dit onderwerp is vorige week donderdag ter sprake
gekomen. Het voornemen bestond om voorafgaande aan dat debat een brief aan uw Kamer
te sturen. Dat is uiteindelijk pas gisteren gelukt. Dus in de brief van gisteren,
17 maart, gaan we in op de belangrijkste elementen. We constateren in die brief dat
de Europese Commissie veel aandacht hiervoor heeft. Dat is mede op grond van artikel
45, dat de Commissie verantwoordelijk maakt voor het zogenaamde adequaatheidsbesluit.
De Commissie is op basis van de informatie die zij heeft ingewonnen, tot de conclusie
gekomen dat er op dit moment geen aanleiding is om aan te nemen dat de executive order
zal worden ingetrokken. Daar komt nog bij dat de analyse van de Commissie is dat het
ontslag van bepaalde leden van de Amerikaanse toezichthouder nog geen onmiddellijke
afbreuk doet aan het Data Privacy Framework. Die toezichthouder heeft de taak om de
werking van het framework te monitoren en jaarlijks te evalueren. Die taakvervulling
komt niet meteen in het gedrang nu een aantal leden van die toezichthouder is ontslagen,
want de analyse is dat die toezichthouder zijn taken kan blijven uitvoeren, zelfs
zonder het voorgeschreven quorum. Het heeft de volle aandacht van de Europese Commissie.
Ik verwijs u graag nader naar de brief die we pas gisteren aan uw Kamer hebben doen
toekomen.

Dan kom ik op de toepassing van AI door supermarkten, naar aanleiding van het recente
bericht daarover in een van de landelijke dagbladen. Daarbij gaat het over AI-surveillance
en met name de software daarvoor, die supermarkten in staat stelt te monitoren of
er misschien een veiligheidsrisico is, dat wil zeggen: of er een risico op diefstal
is. Het is lastig om deze ontwikkeling goed op waarde te schatten, want wij kennen
de precieze feiten niet. In de openbare informatie is terug te vinden dat een bedrijf
dat dergelijke systemen aanbiedt aan supermarkten, de technologie omschrijft als gesture-detectie,
dus detectie van opvallende bewegingen, en dus niet als gezichtsherkenning. Desalniettemin
begrijp ik dat dit zorgen oproept. Een onverantwoorde ontwikkeling of inzet van kunstmatige
intelligentie kan namelijk inderdaad schadelijk zijn, ook voor het vertrouwen van
burgers.

Het belangrijkste instrument dat we nu hebben om daarvoor te waken, is de AVG, die
eisen stelt aan de verwerking van persoonsgegevens. Maar als het gaat om AI en persoonsgegevens,
dan moet er een geldige juridische grondslag zijn, zoals toestemming of een gerechtvaardigd
belang op basis van artikel 6 van de AVG. De verwerking van bijzondere persoonsgegevens,
zeer privacygevoelige gegevens die betrekking hebben op bijvoorbeeld ras, etnische
afkomst, politieke opvattingen, religie en gezondheid, biometrie et cetera, is verboden
op grond van artikel 9. Dat is u zeker bekend.

De Franse toezichthouder, de CNIL, heeft geoordeeld dat de software van een Frans
bedrijf, geheten Veesion – dat bedrijf levert software die supermarkten en winkels
kunnen gebruiken om gedrag te detecteren – in strijd is met de AVG, omdat de software
in strijd met artikel 21 opereert. Artikel 21 is de bepaling die het recht om bezwaar
te maken tegen verwerking, heeft gecodificeerd. Ik volsta met te melden dat we deze
ontwikkelingen uiteraard op de voet volgen, met name vanuit het perspectief van de
AVG en de vraag of het stelsel nog voldoende is toegerust.

De voorzitter:

Dan is er een interruptie van de heer Six Dijkstra.

De heer Six Dijkstra (NSC):

Ik dank de Staatssecretaris voor deze relevante informatie. Dit is namelijk ook het
bedrijf dat in het artikel van Trouw genoemd wordt als het gaat om Nederlandse supermarkten
die dit toepassen. Het roept bij mij wel zorgen op dat Nederlandse supermarkten blijkbaar
mogelijk onwetmatige software gebruiken, althans software die volgens de lezing van
de Franse toezichthouder onwetmatig is. Is de Staatssecretaris bereid om in gesprek
te gaan met supermarkten of vertegenwoordigers daarvan om eens op te halen welke software
hier gebruikt wordt en hoe dat zich verhoudt tot de geldende en aankomende wet- en
regelgeving?

Staatssecretaris Struycken:

In de taakverdeling tussen mij en de Autoriteit Persoonsgegevens is het primair de
taak en de verantwoordelijkheid van de Autoriteit Persoonsgegevens om nader onderzoek
te doen. Ik wil dat onderzoek niet doorkruisen door daar zelf in te gaan interfereren.
Ik ben er zeker van dat de autoriteit, mede in het licht van de Franse uitspraak,
dit op de radar heeft en daarover zal rapporteren als blijkt dat dit op grote schaal
ook in Nederland voorkomt. Het is mij niet bekend dat dat zo is.

Voorzitter. Dan was er nog een vraag van een heel andere orde, denk ik, over deepfakeporno
en Offlimits. Terecht werd opgemerkt dat dit een zeer ernstige zaak is, omdat het
mensen, misschien nog meer dan andere verwerking van persoonsgegevens, zeer raakt
in de persoonlijke levenssfeer. Het is bovendien strafbaar om dit te doen, op basis
van artikel 254ba – de letter b van Bernard en de letter a van Anton – van het Wetboek
van Strafrecht. Het is ook strijdig met de AVG wanneer die deepfake zonder toestemming
is gemaakt. Het is dus van groot belang dat er primair wordt ingezet op bewustwording
en hulpverlening. Tijdens het commissiedebat Zeden en (on)veiligheid van vrouwen op
3 april aanstaande zal er gelegenheid bestaan om ook hierover in gesprek te gaan met
mijn collega, de Staatssecretaris van Justitie en Veiligheid, mevrouw Coenradie.

U bent bekend met het kader voor het in behandeling nemen van klachten door de Autoriteit
Persoonsgegevens. Ik signaleer dat u heeft toegelicht dat het hier lang duurt. Een
verzoek aan de Autoriteit Persoonsgegevens tot handhaving dient binnen een redelijke
termijn te worden beantwoord. Dat wil zeggen: in beginsel niet meer dan acht weken.
De Awb voorziet in de mogelijkheid om de autoriteit of de handhavende instantie in
gebreke te stellen op grond van artikel 4:17. Dat in algemene zin wat betreft het
handelen van de Autoriteit Persoonsgegevens.

Dan kom ik op de vraag van de heer Van Nispen. Die betrof materie die strikt genomen
niet binnen mijn portefeuille valt, maar desalniettemin probeer ik een antwoord te
geven op de constatering dat de politie heel veel persoonsgegevens gebruikt uit de
Basisregistratie Personen. Het probleem dat de politie te veel mensen volgde, is bekend.
Aan verbetering is de afgelopen jaren gewerkt door de politie in samenwerking met
het Ministerie van Binnenlandse Zaken, met name met de Rijksdienst voor Identiteitsgegevens.
In december van het afgelopen jaar zijn door de RvIG ruim 8 miljoen geplaatste afnemersindicaties
verwijderd. Daarmee is het abonnement van de politie op de BRP, op de gegevens van
die personen, zoals dat wordt genoemd, komen te vervallen. De BRP staat los van de
signalering.

Dan weer een ander onderwerp: Preselect Recidive. We hebben daar eerder over gesproken,
in het vorige commissiedebat. De heer Six Dijkstra vraagt of ik iets kan zeggen over
de termijn van vijf jaar voor de evaluatie. Die termijn van vijf jaar is de termijn
die wordt gehanteerd door het WODC en het CBS. Deze termijn biedt ook de mogelijkheid
om voldoende respondenten, in dit geval jongeren, te verzamelen waarbij het instrument
is afgenomen, om voldoende uitspraken te kunnen doen. Het verhogen van de frequentie
verkleint de kans dat er voldoende gegevens zijn om relevante conclusies te trekken,
maar ik weet dat er wel tussentijdse monitoring plaatsvindt. Dit betreft dus specifiek
het instrument Preselect Recidive.

De heer Six Dijkstra vroeg ook nadere informatie over het gebruik hiervan, in vervolg
op de brief die ik daarover naar uw Kamer heb gestuurd. Ik heb begrepen dat de scores
van de Preselect Recidive in enkele gevallen op lokaal niveau zijn gebruikt bij persoonsgerichte
aanpakken. Jongeren zijn op basis van deze scores besproken in lokale ketenoverleggen,
waarin vervolgens werd bekeken of er aanvullende inzet voor deze jongeren nodig was.
Echter, Preselect Recidive mag uitsluitend worden gebruikt op het ZSM-overleg, en
niet voor andere doeleinden. De politie heeft maatregelen genomen wanneer dit niet
werd nageleefd.

De heer Six Dijkstra vroeg in het bijzonder ook naar de betekenis van de mededeling
in de brief dat risicoselectie slechts aan een deel van de jongeren kenbaar wordt
gemaakt. Het betreft jongeren voor wie de Raad voor de Kinderbescherming geen onderzoek
doet of jongeren met een Halt-afdoening. Deze jongeren worden nu niet geïnformeerd.
De reden is dat de uitkomst van de Preselect Recidive ook niet verder gebruikt wordt
bij deze jongeren. Bij de implementatie van de aangepaste versie van dit instrument,
uiterlijk eind dit jaar, zullen alle jongeren worden geïnformeerd.

Als laatste over dit instrument. Dat is overigens ook de laatste vraag die ik zal
beantwoorden. Althans, in eerste instantie. De heer Six Dijkstra vraagt terecht aandacht
voor Preselect Recidive, want het betreft potentieel heel veel mensen, onder wie jonge
mensen. Het is dus ook goed dat we daar veel aandacht voor hebben, met name wat betreft
het risico van tunnelvisie. Er kan van tunnelvisie sprake zijn als iemand een bepaald
beeld heeft van een jongere en zijn situatie en dat beeld lastig kan aanpassen, ondanks
andere informatie. De gemaakte analyse is dat de kans op tunnelvisie groter is bij
een professional die geen gebruiker is van het instrument Preselect Recidive. De gestructureerde
risicotaxatie die mede op basis van dit instrument wordt gedaan, voorkomt nu juist
tunnelvisie. Dat is ook de reden waarom het instrument nog steeds wordt gebruikt,
met inachtneming van de waarborgen die daarvoor moeten bestaan onder de AVG, zoals
ik uiteen heb gezet in de Kamerbrief.

Voorzitter. Daarmee heb ik mijn vragen beantwoord.

De voorzitter:

Dan een vraag van de heer Van Nispen.

De heer Van Nispen (SP):

Ik waardeer dat de Staatssecretaris toch inging op het punt van de politie, realiserende
dat het niet helemaal zijn portefeuille is. Hij zei volgens mij: het is een bekend
probleem; er wordt aan gewerkt en 8 miljoen indicaties zijn verwijderd. Maar zegt
hij nou dat het probleem daarmee is opgelost of is daar meer voor nodig? Want er werden
nog steeds abonnementen op genomen, soms voor kinderen van 11 maanden oud. Ik weet
niet of dat nog steeds gebeurt. Kortom, is deze hele kwestie opgelost? Ik zou er ook
mee kunnen leven als de Staatssecretaris zegt: ik geleid dit door en vraag aan de
Minister of hij erop terugkomt in zijn brief over de politie. Dat zou ik kunnen begrijpen.

Voorzitter, ik weet niet hoeveel interrupties we hebben. Kan ik meteen mijn andere
vraag hieraan koppelen of zegt u: doe dat maar separaat?

De voorzitter:

U heeft nog één interruptie, meneer Van Nispen.

De heer Van Nispen (SP):

Dan stel ik de vraag in deze interruptie, want anders heb ik er geen meer. Ik miste
de toezegging dat het budget van de Autoriteit Persoonsgegevens gaat stijgen. Met
hoeveel stijgt dat precies?

Staatssecretaris Struycken:

Eerst over het eerste punt, want dat is misschien het makkelijkst. Ik zal de Minister
vragen om daarop terug te komen bij de eerstvolgende gelegenheid. Ik heb die gegevens
niet, dus ik kan er beter niks over zeggen. Ik kan beter ook niks zeggen over het
budget van de AP, want dat riskeert een verder debat. Het zal zeker onderdeel uitmaken
van het vervolg op de kabinetsreactie die wij voor het meireces naar u zullen sturen.
U weet dat daar op dit moment geen middelen beschikbaar voor zijn gemaakt. Maar we
weten ook dat een goede besteding van middelen van ons vraagt dat wij, zoals we bij
elk zbo doen, een goede analyse kunnen maken van wat de «PxQ» heet. Wij onderzoeken
of de evaluatie die nu is gemaakt, de benodigde informatie daarvoor bevat. Zo niet,
dan zullen we met de AP trachten die informatie toch op tafel te krijgen, zodat we
een betere onderbouwing hebben, zoals gebruikelijk is bij zbo’s en het uitgeven van
gemeenschapsgeld binnen het bestaande takenpakket. Ik heb die toezegging dus uitdrukkelijk
niet gedaan. Maar we weten dat we daar, in vervolg op de beleidsreactie, nog uitvoerig
met elkaar over zullen spreken.

De voorzitter:

Ik dank de Staatssecretaris van Rechtsbescherming van Nederland voor de beantwoording
van de vragen in de eerste termijn, tenzij er nu nog brandende vragen zijn. Die zijn
er in ieder geval van de heer Six Dijkstra. Daar gaan we dus eerst naar luisteren.

De heer Six Dijkstra (NSC):

Ik had nog een onbeantwoorde vraag, over de AI-surveillance. Die wil ik graag nog
even stellen in deze termijn. Ik vroeg de Staatssecretaris naar een reflectie op de
oproep van de Consumentenbond tot betere bescherming. Ik snap natuurlijk dat een groot
deel van dit onderwerp ligt bij de AP als handhavende instantie. Maar de Staatssecretaris
kan vanuit zijn rol in het borgen van rechtsbescherming natuurlijk wel in algemene
zin wat zeggen over de manier waarop de rechten van burgers beschermd worden bij blootstelling
aan AI-systemen die al dan niet in strijd zijn met het recht. Hoe kijkt hij naar de
oproep van de Consumentenbond?

Staatssecretaris Struycken:

Mag ik u voorstellen dat ik daar in de tweede termijn even op terugkom als de vraag
op dat moment nog niet beantwoord is? Ja? Oké.

De voorzitter:

Dank. Er zijn geen vragen, opmerkingen of nabranders meer. Dan geef ik nu graag het
woord aan de Staatssecretaris van BZK.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Ook dank aan de Kamerleden voor hun inbreng in de eerste termijn.
Er zijn al veel vragen beantwoord. Ik heb even geteld en volgens mij rest mij nog
antwoord te geven op vier gestelde vragen. Maar ik begin, met uw welnemen, even met
een korte inleiding. Die is echt kort, maar wel relevant.

De digitale wereld biedt ons veel kansen. Daarbij moeten we wel oog hebben voor de
bescherming van onze persoonsgegevens en de naleving van de regels waar we het vandaag
over hebben gehad. Zoals mijn collega al aangaf, is dat een belangrijk grondrecht.
In het rapport over digitalisering in wetgeving en rechtspraak uit 2021 beveelt de
Raad van State aan te zorgen voor mensgerichte inzet van ICT, waarbij rekening wordt
gehouden met zowel de individuele burgers als groepen van burgers. Dit sluit aan bij
de in voorbereiding zijnde Nederlandse Digitaliseringsstrategie, die een leidraad
zal vormen voor wat er volgens het kabinet nodig is om de dienstverlening van de overheid
te verbeteren.

Een van de doelen die we met elkaar hebben en willen bereiken, is dat de overheid
toegankelijke en passende diensten verleent aan burgers en ondernemers en beleid maakt
dat hen centraal stelt, ten dienste van de maatschappelijke taak. Wat de maatschappelijke
taak betreft is daarin nog niet meegenomen dat de ambtenaar – enkele Kamerleden weten
wat ik nu ga zeggen – ook goed centraal moet komen te staan en goed geëquipeerd kan
zijn.

Voorzitter. Wat mij betreft ga ik dan naar de vier vragen die ik wil beantwoorden.
De eerste vraag is van de heer Valize: wanneer wordt de lijst met grondrechtenautoriteiten
onder AI-verordening aangepast en is er een coördinerende activiteit? De AI-verordening
biedt de mogelijkheid om op elk gewenst moment toezichthouders toe te voegen aan de
lijst met autoriteiten voor de bescherming van grondrechten. Op dit moment heeft het
kabinet geen concrete plannen om de lijst aan te vullen. Echter, dit kan veranderen
als dat wenselijk blijkt te zijn. Onder de AI-verordening wordt het toezicht op AI-systemen
bij de markttoezichthouders belegd. De betrokken ministeries werken momenteel aan
een verdere inrichting van het toezicht. EZ coördineert dit. Daarbij wordt ook de
rol van de bestaande grondrechtautoriteiten in het geheel van AI-toezicht verder ingevuld.

Dan een vraag van de heer Van Nispen: hoe denkt het kabinet te waarborgen dat discriminatie
niet meer voorkomt en in welke domeinen is wél de kennis aanwezig om dit veilig te
doen met behulp van toepassingen als algoritmes en AI? In het Algoritmekader waarover
ik meerdere keren met u in de Kamer heb gesproken, zijn er diverse maatregelen en
hulpmiddelen te vinden voor overheden die zich richten op een verantwoorde inzet.
Dit Algoritmekader geldt als hét kader voor alle overheden om een verantwoorde inzet
te borgen. De kennis is dus vanuit de overheid gebundeld in het Algoritmekader. Meer
specifiek wil ik hier ook wijzen op het impactassessment voor mensenrechten bij de
inzet van algoritmes, ook wel bekend als de IAMA, en de Handreiking non-discriminatie
by design. Deze twee instrumenten zijn onderdeel van het Algoritmekader. Echter, de
toepassing daarvan kan verschillen per domein, maar ook per AI-toepassing. Hierbij
geldt dat het belangrijk is om een risicoafweging te maken. Wat mij betreft doe je
dat helemaal aan het begin, dus voordat je een systeem ontwikkelt. Dat is vaak ook
de bedoeling hiervan.

De heer Van Nispen (SP):

Herkent de Staatssecretaris het beeld dat het per domein nogal kan verschillen of
dit qua risicoprofilering en de toepassing van algoritmes en AI in goede en betrouwbare
handen is? Ik ben benieuwd bij welke sectoren en domeinen de Staatssecretaris zegt:
nou, daar is het op orde en daar gaat het minder goed. Algemener gezegd: wat is hierin
de rol van de Staatssecretaris? Of zegt hij: dat moet de AP maar bezien; daar ga ik
verder niet over? Ik ben wel benieuwd hoe de Staatssecretaris zijn rol hierin ziet.

Staatssecretaris Szabó:

Per toepassing is dat verschillend. Je kan niet specifiek aangeven bij welke domeinen
het beter werkt. Wat betreft ethische kwesties rond algoritmen en het bouwen van systemen,
zie ik voor mezelf een rol weggelegd om de instrumenten die er zijn – ik heb er nu
twee genoemd, maar er zullen er meer komen en die worden ook binnen mijn eigen ministerie
gebruikt – over het voetlicht te brengen bij de mensen die bezig zijn met het ontwikkelen
en beschrijven van processen en vervolgens met het bouwen van instrumenten. Daarin
zie ik voor mijzelf dus een aanjagende functie. We hebben echter meer dan 2.500 overheidsinstellingen.
Een van de mooie dingen van de Nederlandse Digitaliseringsstrategie is dat we in principe
met al die overheden aan tafel zitten, dus met het Rijk, de zbo’s en de koepelorganisaties
zoals het IPO, de VNG, de Unie van Waterschappen. Daardoor kunnen we dit ook bestuurlijk
met elkaar bespreken.

Met uw welnemen ga ik door naar de volgende vraag van de heer Van Nispen: kan er vertrouwd
worden op data van de overheid en de uitvoering, nu fouten soms als signalen van fraude
worden gezien? Als burgers niet weten waar ze terechtkunnen, is er een Meldpunt Fouten
in Overheidsregistraties. Dit meldpunt ontvangt ongeveer 1.100 meldingen per jaar.
Het kabinet werkt aan de kwaliteit van data bij de overheid, onder meer door gegevens
beter vindbaar, koppelbaar en herbruikbaar te maken. Door zo te werken hoeven er minder
of geen kopieën gemaakt te worden. Data blijven zoveel mogelijk bij de bron. Dit vergt
overheidsbrede afspraken en standaarden. Over de versnelde invoering hiervan maak
ik weer afspraken binnen de Nederlandse Digitaliseringsstrategie, waarbij standaardisering
op dit soort dossiers hangt boven de vijf tot zes specifieke onderwerpen die we kiezen, zoals cloud en AI. Daar ga ik dus ook heel veel aandacht
aan besteden. Wat mij betreft is een afspraak over standaarden een afspraak over standaarden.
Daarnaast wordt er vanzelfsprekend gewerkt aan meer ondersteuning en aan het opleiden
van ambtenaren, om de kwaliteit van data en verantwoord gebruik ervan te vergroten.

Voorzitter. Dan ga ik door naar de laatste vraag, van de heer Six Dijkstra: wat betekent
de situatie rond de houdbaarheid van de EU-US Data Privacy Framework voor onze digitale
strategie ten aanzien van digitale autonomie en opslag in de cloud? Die is deels al
beantwoord door mijn collega. U refereerde aan het debat van vorige week. Het is terecht
dat u deze vraag ook beantwoord wil hebben door de Staatssecretaris Digitalisering
en Koninkrijksrelaties. Zoals in het debat van vorige week donderdag aangegeven, zal
het cloudbeleid worden aangescherpt op het gebied van digitale autonomie. Hierbij
ligt de focus onder meer op marktconcentraties, op ongewenste afhankelijkheden en
op exitstrategieën voor het cloudgebruik. Daar wordt nu hard aan gewerkt door onze
CIO, zoals eerder al is aangegeven. Er moeten vooraf altijd gedegen risicoanalyses
worden uitgevoerd en passende veiligheidsmaatregelen worden genomen. De punten die
onderdeel zijn van zo’n risicoafweging hebben onder meer te maken met: vendor lock-ins,
beveiliging, continuïteit, privacyregels, dataregie, nationale veiligheid en publieke
waarden.

Voorzitter. Dan ben ik aan het einde van de beantwoording van de vier vragen die gesteld
zijn.

De voorzitter:

Dank aan de Staatssecretaris van BZK voor de beantwoording van de vragen in de eerste
termijn. Ik kijk even naar de linkerzijde. Ik zie nog een vraag van ... O nee, toch
niet. Ik zie dat er geen vragen meer zijn. Kunnen we dan gelijk doorgaan met de tweede
termijn, of is er behoefte aan een schorsing? Dat is niet het geval. Ik zie dat er
wordt ingestemd, dus we kunnen meteen doorgaan. Dan geef ik het woord aan mevrouw
Dral.

Mevrouw Dral (VVD):

Dank u wel, voorzitter. Dank aan de Staatssecretaris voor de beantwoording. Ik was
blij om de heer Struycken iets te horen zeggen over een betere balans, een minder
krampachtige houding en uiteindelijk minder handelingsverlegenheid. Ik ben blij om
te horen dat we daarnaar streven. Ik denk dat dat heel erg belangrijk is voor een
heleboel partijen. Die zitten daar ook echt op te wachten. Dank voor deze houding
dus.

Dan wil ik graag een tweeminutendebat aanvragen. Ik wil namelijk nog met een aantal
moties komen.

Dan kom ik ten slotte nog even terug op een belofte die ik mevrouw Kathmann heb gedaan.
Mijn tijd in de eerste termijn was toen namelijk al op. Uit de praktijk blijkt dat
de vereiste wettelijke grondslagen – dan gaat het om artikel 6, sub c van de AVG –
onvoldoende duidelijk geformuleerd zijn als het gaat om de vraag welke gegevens er
gedeeld mogen worden, en met wie. Die lacune moet opgevuld worden. Gezien het aantal
reeds bestaande wettelijke grondslagen, is dat nogal een operatie. Het zou helpen
als hiermee rekening wordt gehouden bij het maken van nieuwe wettelijke grondslagen
en als de meest prangende gevallen wat betreft onduidelijkheid rond huidige wettelijke
grondslagen worden aangepast.

Ik realiseer me heel goed dat hierin ook een rol voor de Kamer ligt. Daarom zal de
VVD hier bij de behandeling van de Verzamelwet gegevensbescherming op terugkomen.

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Dral. De heer Van Nispen heeft een interruptie.

De heer Van Nispen (SP):

Ik hoop dat dit niet wordt opgevat als ongepaste nieuwsgierigheid, maar als iemand
aan het einde van het debat een tweeminutendebat aankondigt, ben ik altijd nieuwsgierig
waar de moties dan over gaan. Waar denkt de VVD dan aan? Het lijkt me goed om daar
in de tweede termijn iets over te zeggen. Mevrouw Dral is niet verplicht om dat te
doen, maar ik ben wel benieuwd of ze daar al iets over kan zeggen.

Mevrouw Dral (VVD):

Jazeker, hoor, meneer Van Nispen. Die gaan over een aantal dingen die ik in de eerste
termijn heb gezegd, onder andere over de raad van advies en de raad van toezicht.
Maar die gaan ook over het feit dat er nu sprake is van een voordracht op aanwijzing.
Wij vinden het belangrijk dat er ook eigenstandige leden in kunnen komen, al is dat
nu nog niet wettelijk mogelijk. Daar denken we dus aan. Verder vind ik het ook belangrijk
dat we het verbeterplan van de AP in de gaten houden en dat we dat ook gerapporteerd
krijgen. Ik denk onder andere aan deze moties.

De heer Van Nispen (SP):

Ik ga de interrupties van de eerste termijn zeker niet overdoen. Misschien was ik
ook wat onnodig fel. Ik snap best dat mevrouw Dral iets vroeg over die zaak tegen
de tennisbond en dat zij ontevreden is over bepaalde handelingen die de AP heeft uitgevoerd.
Maar zou zij mij één ding willen beloven, namelijk dat ze ... Nee, die vraag begint
trouwens verkeerd. Zou mevrouw Dral in de formulering van de moties die zij gaat maken,
rekenschap willen geven van het gegeven dat de onafhankelijke positie van de Autoriteit
Persoonsgegevens cruciaal is? Je kunt kritiek hebben op bepaalde zaken, bepaalde uitspraken
of bepaalde handelwijzen; denk zelfs aan kritiek die onderbouwd is in de evaluatie.
Dat is allemaal waar. Maar staat de VVD ook nog pal voor de onafhankelijkheid van
deze grondrechtenautoriteit?

Mevrouw Dral (VVD):

Daar is echt nooit een discussie over geweest bij de VVD, echt nimmer. Maar zoals
ik net eigenlijk ook al zei in een interruptie: ik vind dat je, als je het wil verbeteren ...
Volgens mij zijn we het er hier aan tafel allemaal over eens dat er dingen niet goed
gaan en beter moeten, juist ook voor onze inwoners en onze ondernemers. Om een verbeterslag
te kunnen maken, moet je gewoon met elkaar kunnen bespreken wat er aan de hand is
en wat er niet goed gaat. Ik denk persoonlijk altijd: hoe zou ik het vinden als ik
in die situatie – u zei net iets over de toeslagenaffaire en ik had het over de tennisbond
en over deepfakes – zou zitten? Volgens mij moeten we dat als uitgangspunt nemen.
Volgens mij komen we daar met elkaar prima uit. De AP moet onafhankelijk blijven,
maar ik vind wel dat we er kritisch naar mogen kijken. Zoals ik net in mijn tweede
termijn zei, geldt dat ook voor onze eigen rol.

De voorzitter:

Er is nog een vraag van de heer Six Dijkstra.

De heer Six Dijkstra (NSC):

Ik heb een verduidelijkende vraag. Mevrouw Dral sorteert in haar antwoord op de heer
Van Nispen voor op het tweeminutendebat, waarbij zij in elk geval de wens uitspreekt
dat er ook vanuit het kabinet leden voor de raad van toezicht van de AP kunnen worden
voorgedragen. Is zij het met mij eens dat het van belang is dat er enigszins sprake
is van een spreiding der machten en dat het niet alleen plaatsvindt door het kabinet,
maar mogelijk ook door de AP zelf, het parlement of de rechterlijke macht? Op die
manier is de onafhankelijkheid in elk geval ook geborgd bij de raad van toezicht.
Hoe kijkt ze daartegen aan?

Mevrouw Dral (VVD):

Volgens mij heb ik daar net ook gewoon iets over gezegd in mijn betoog, namelijk dat
het mogelijk moet zijn om een aantal leden voor te dragen, maar niet alle. Volgens
mij reageerde de heer Struycken met dat hij daar positief tegen aankijkt. Ik denk
dat het belangrijk is. Maar ik ben het met u eens. Nogmaals, de AP moet onafhankelijk
blijven, maar we moeten met z’n allen wel kritisch naar onze eigen rol en de rol van
de AP kunnen kijken.

De voorzitter:

Dank u wel. Dan geef ik nu het woord aan de heer Valize.

De heer Valize (PVV):

Voorzitter, dank voor het woord. Ik heb niet zo heel erg veel te zeggen in deze tweede
termijn. De Staatssecretaris van Justitie en Veiligheid gaf aan te willen kijken welke
ruimte en uitzonderingen van de GDPR niet worden ingevuld in de UAVG. Zou de Staatssecretaris
gewoon willen inventariseren welke niet zijn meegenomen en daarmee terug willen komen
bij de Kamer?

Ten tweede zou ik iets willen vragen over het rapport van TILT van de Tilburg University,
The influence of (technical) developments on the concept of personal data in relation
to the GDPR, waar ik al eerder aan refereerde. Dat betreft ook die fiets waar u aan
refereerde. In dat rapport wordt een aantal reguleringsalternatieven genoemd die zijn
gevonden in wet en literatuur. Ik noem gewoon even een voorbeeld: «Maak een einde
aan het onderscheid tussen anonieme en niet-anonieme gegevens. Als het steeds waarschijnlijker
wordt dat gegevens worden gedeanonimiseerd en als niet-persoonsgegevens kunnen worden
gebruikt voor ingrijpende gegevensprocessen, kan de keuze om anonieme of niet-persoonsgegevens
buiten de reikwijdte van de gegevensbeschermingswetgeving te plaatsen overbodig worden.»
Dat zijn een aantal goede alternatieven. Ik zou het waarderen als hier serieus naar
gekeken wordt. Kan er dan ook geëvalueerd worden op de vraag waarom dat wel of niet
past? Zou de Staatssecretaris daarop willen reflecteren? Of wil hij in ieder geval
met een rapportje daarover komen, zodat er toch even serieus naar deze voorstellen
wordt gekeken? Dat staat in hoofdstuk 6 van dat onderzoeksrapport.

Dank u wel.

De voorzitter:

Dank. Dan is het woord aan de heer Van Nispen.

De heer Van Nispen (SP):

Dank u wel. Er is bij deze Staatssecretarissen wat betreft de bescherming van persoonsgegevens
en het naleven van grondrechten aan goede bedoelingen en mooie woorden geen gebrek.
Maar we weten natuurlijk allemaal: de praktijk is weerbarstiger. Ik wil absoluut niet
cynisch zijn, maar ik heb al te veel fout zien gaan. Denk aan het onderzoek naar het
toeslagenschandaal, waarbij zo veel mensen vermorzeld zijn. Denk aan het controleren
in wijken op basis van foutieve gegevens, waarbij steeds in dezelfde wijken wordt
gecontroleerd en er wordt gezegd dat er heel veel fraude is, omdat niet in andere
wijken wordt gekeken.

Dat heeft te maken met een paar zaken. In het verleden had dat te maken met een nietsontziende
overheid, die bijvoorbeeld financiële belangen vooropstelde. De Staatssecretaris zei
daar, met iets andere woorden, in een van zijn eerste zinnen ook al iets over. Het
heeft soms ook te maken met een gebrek aan kennis. Van de programmeur van de gegevens
tot de topambtenaar: iedereen moet weten hoe die regels in elkaar zitten en wat het
belang is van de bescherming van persoonsgegevens. Het is soms ook heel complex. Ik
denk dat meerderen dat hier ook hebben genoemd, onder wie mevrouw Kathmann.

De handelingsverlegenheid van de Staatssecretaris is heel herkenbaar. Dat maken we
volgens mij ook mee op allerlei andere ministeries, terreinen en debatten, en ook
gewoon in onze persoonlijke omgevingen. Het antwoord van de Staatssecretaris Rechtsbescherming
op de vraag bij wie je nou terechtkunt – is dat een organisatie, de overheid of een
andere instantie? – om te vragen «mag ik dit nou wel of mag ik dit nou niet?» is uiteindelijk:
de functionaris gegevensbescherming, en die gaan we versterken. Ik weet nog niet helemaal
wat ik daarvan moet vinden. Ik vind het ergens een logisch antwoord, maar tegelijkertijd
is het ook kwetsbaar. Gaat die functionaris het voortaan helemaal oplossen? Hoe zorgen
we ervoor dat deze persoon zo sterk wordt dat die voortaan snel en goed het juiste
antwoord kan geven? Ik blijf daar een beetje op hangen.

Ten slotte moet de Autoriteit Persoonsgegevens echt versterkt worden; daar zijn we
van overtuigd. Er komt een beleidsreactie voor het meireces. De Staatssecretaris heeft
niet gezegd dat hij de Autoriteit Persoonsgegevens gaat versterken, maar wel dat hij
nogmaals op dit vraagstuk terugkomt. Ik hoop dat hij dan bijvoorbeeld ook terugkomt
op de aanbevelingen van de enquêtecommissie en de onafhankelijke rapporten die er
inmiddels liggen, maar ook op de onderbouwing van de Autoriteit Persoonsgegevens zelf,
die minutieus heeft aangeduid voor welke taak er hoeveel meer middelen nodig zijn.
Ik denk dat de Staatssecretaris dat tabelletje kent. Ik hoop echt dat dat onderdeel
kan worden van die beleidsreactie die we voor het meireces krijgen. Dan kunnen we
daarna dit belangrijke debat vervolgen.

Dank u wel.

De voorzitter:

Dank u wel. Dan is het woord aan de heer Six Dijkstra.

De heer Six Dijkstra (NSC):

Dank, voorzitter. Dank ook aan beide Staatssecretarissen voor hun beantwoording. Ik
had nog één vraag uitstaan waar de Staatssecretaris JenV nog op terug zou komen in
zijn tweede termijn. Die ging over AI-surveillance.

Ik zou ook nog een laatste opmerking willen maken over de AP en over de onafhankelijkheid
van de AP; die zaken zijn wel aan bod geweest, maar zaten niet in mijn eigen spreektekst.
Het gaat daar namelijk veel over in dit debat. Een tijd geleden is een motie van mij
aangenomen die ik samen met de heer Ceder heb ingediend. In die motie werd gevraagd:
maak nou een aparte kaderwet voor autoriteiten. Dat is ook opgenomen in het hoofdlijnenakkoord.
Het kabinet is tot nu toe erg terughoudend geweest om daarmee aan de slag te gaan,
ook vanwege het feit dat de AP als autoriteit een zbo is. Maar dit is echt een ander
soort zbo dan – ik noem maar eens wat – het Centraal Bureau Rijvaardigheidsbewijzen.
Ik denk dat het heilzaam zou zijn om wel gewoon een goed en duidelijk wettelijk kader
te hebben, waarin zowel de evaluatiebepaling – denk aan de vraag: wie geeft de opdracht
voor de evaluatie? – als de borging van het nationaal belang van zo’n autoriteit sterk
is opgenomen en waarin ook de verzelfstandiging van de rijksinspecties in een apart
wettelijk kader wordt gegoten. Ik zou de Staatssecretaris van JenV dus graag willen
vragen om daar nog enkele opmerkingen aan te wijden. Dan doel ik op het wettelijk
kader voor autoriteiten in algemene zin, en dan misschien in het bijzonder voor de
AP.

De voorzitter:

Dank u wel. Dan is het woord aan mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Dank, voorzitter. Democratische rechtsstaten zoals die van ons staan echt onder enorme
druk in deze tijd. We moeten echt god op de blote knieën danken dat we een Autoriteit
Persoonsgegevens hebben. Dat moeten we gewoon keihard koesteren. Ik woon in zo’n wijk.
Ik heb weleens samen met mijn buurvrouw zo’n algoritme ingevuld. Zij is Kaapverdiaanse,
alleenstaand, en woont in een sociale huurwoning, in iets wat gemarkeerd is als een
probleemwijk. Ik heb het ook ingevuld, als witte vrouw die getrouwd is en in een koopwoning
woont. Dan krijg je zo’n puntensysteem. De overheid ging haar pakken en mij niet.
Dat had allemaal te maken met datgene waarop er geselecteerd wordt. We moeten ons
er echt van vergewissen dat mensen daardoor vermorzeld worden in dit land.

Ik ben ongelofelijk blij dat de AP zegt: ja, wij moeten ook de hand in eigen boezem
steken; wij nemen al die aanbevelingen over. Wij moeten dan inderdaad goed bekijken
wat dat verbeterplan dan gaat worden. Maar we moeten wel een keer ophouden met hier
alleen maar praten alsof het de AP zou zijn die Nederland op een soort van AVG-slot
zet. Dat is namelijk helemaal niet zo. Kijk naar de sanctielijst: daar bungelen we
letterlijk onderaan. Duitsland legt meer dan 3.500 sancties per jaar op. Onze AP legt
zeventien sancties op. Daar moeten we ons wel van vergewissen. We kijken steeds naar
die casussen waarbij het fout gaat, maar we moeten naar het overkoepelende plaatje
kijken. Ik denk dat we heel veel kunnen doen door met die sectorale wetgeving te gaan
werken en dit daar beter in te borgen. Dan halen we Nederland van het AP-slot.

Ik wil nog één ding aan de Staatssecretaris meegeven, namelijk: als het voor die zelfevaluatie
nou een probleem is dat de AP een zbo is, maak er dan een college van! Dat is de Ombudsman
ook, net als de Algemene Rekenkamer. Misschien past die rol ook wel veel beter bij
de AP. In datgene wat de Staatssecretaris nog naar ons doet toekomen, zou ik terug
willen zien wat hij daarvan vindt.

De voorzitter:

Dank u wel. Dan kijk ik even naar mijn rechterzijde. Is er behoefte aan een schorsing,
en zo ja, hoe lang? Ik hoor dat de Staatssecretarissen even een paar minuten nodig
hebben. We gaan vijf minuten schorsen, tot 20.10 uur.

De vergadering wordt van 20.05 uur tot 20.10 uur geschorst.

De voorzitter:

Ik heropen de vergadering. We zijn toe aan de beantwoording van de vragen in tweede
termijn door het kabinet. Ik geef als eerste het woord aan de Staatssecretaris van
Justitie en Veiligheid.

Staatssecretaris Struycken:

Voorzitter. Diverse vragen zien nog op «hoe verder?», kort gezegd. Althans, zo vat
ik het maar even samen. Ik signaleer dat we, hopelijk op korte termijn, samenkomen
in de grote zaal voor een plenair debat over de verzamelwet AVG. Dat is in essentie
een beperkt wetsvoorstel, omdat het ziet op een beperkt aantal technische aanpassingen.
Het is aan uw Kamer om daarmee naar goeddunken om te gaan. Het is verleidelijk om
daar allerlei extra dingen in te gaan regelen. Het alternatief is dat, om die wet
er nu snel doorheen te krijgen, we de verzamelwet beperkt houden tot de technische
aanpassingen die al langere tijd op stapel staan en dat we het voornemen uitspreken
om in vervolg daarop verdere aanpassingen van de UAVG in kaart te brengen. Veel van
de onderwerpen die ter sprake zijn gekomen, bijvoorbeeld als het gaat om het gebruikmaken
van nadere uitzonderingen of om een andere invulling van de raad van toezicht en raad
van advies, zijn allemaal aanpassingen van de UAVG. Ook de evaluatie die de AP heeft
laten uitvoeren en waarop wij met een beleidsreactie komen, zou kunnen leiden tot
aanpassingen.

Mijn voorstel is dat, nadat we de verzamelwet zo snel mogelijk en zo beperkt mogelijk
hebben behandeld, we beginnen met een traject voor aanpassingen van de UAVG en dat
we in dat kader ook aandacht besteden aan de uitzonderingen die er zijn. De heer Valize
vroeg om dat te onderzoeken. Naar onze indruk biedt met name de Duitse uitvoeringswet
nog inspiratie om meer gebruik te maken van de uitzonderingen die de AVG toelaat.
Dat zou dus onderdeel daarvan kunnen uitmaken, evenals de aanbevelingen die zijn gedaan
in het rapport uit 2022. Dat is als onderdeel van een verdere, bredere herziening
die veel verder strekt dan de verzamelwet thans in het voorstel doet. Ik hoop dat
ik daarmee beide vragen van de heer Valize heb beantwoord, in die zin dat we ermee
aan de slag gaan als onderdeel van de bredere revisie van de UAVG naar aanleiding
van hetgeen we hebben besproken en ook de evaluatie die de AP heeft laten uitvoeren.

Dan is er nog de vraag over de opmerking van de Consumentenbond. Als ik het goed begrijp,
heeft de Consumentenbond erop gewezen dat klanten van supermarkten bescherming verdienen,
juist ook met het oog op dit soort software. Ja, daar kunnen we het alleen maar mee
eens zijn. Het gaat natuurlijk om een heel grote groep. Juist bij dit soort groepen
is het opportuun dat daar veel aandacht aan wordt besteed, dus we ondersteunen de
oproep van de Consumentenbond van harte.

Er is nog gevraagd door de heer Six Dijkstra naar de heroverweging naar aanleiding
van zijn motie met de heer Ceder om werk te gaan maken van een kaderwet voor autoriteiten.
De Minister van Binnenlandse Zaken heeft u geïnformeerd in een brief van 3 maart dat
zij de uitvoering van de motie ter hand zal nemen en u voor 1 juli van dit jaar nader
zal informeren over de mogelijkheden om te komen tot een kaderwet autoriteiten.

De vraag werd ook gesteld of we de keuze voor een zbo moeten heroverwegen. Dat zal
niet meekomen in de brief van de Minister van Binnenlandse Zaken. Ik zie dat als een
onderdeel van de bredere gedachtewisseling over en analyse van de positie van de AP.

Wat mij betreft is dit een opstapje naar mijn slotopmerking, namelijk dat er geen
misverstand over mag bestaan wat het belang is van de Autoriteit Persoonsgegevens.
Dat is voor mij evident en dat zeg ik ook als lid van het kabinet. Het is een cruciale
factor in onze rechtsstaat, overigens net als alle andere toezichthouders. De vraag
moet alleen maar zijn: hoe kunnen we op een zo goed mogelijke manier deze autoriteit
in staat stellen om te doen wat nodig is, onder andere door heldere regelgeving en
door een gedeelde visie op de precieze rol? Er is geen twijfel over dat de Autoriteit
Persoonsgegevens op allerlei manieren de overheid ondersteunt, mede door haar te controleren.
Dat is ook de wens van dit kabinet.

Ik hoop dat ik hiermee een reflectie heb gegeven op de opmerkingen in de tweede termijn.

De voorzitter:

Dank aan de Staatssecretaris. Nog een vraag van de heer Van Nispen.

De heer Van Nispen (SP):

Die warme woorden van de Staatssecretaris waren inderdaad namens het hele kabinet;
het is wel belangrijk om dat te onderstrepen. Ik had nog gevraagd welke stukken de
Staatssecretaris allemaal meeneemt voor de beleidsreactie die komt en waarin ook wordt
ingegaan op het budget. Ik had wat zaken opgesomd waarvan ik hoop dat de Staatssecretaris
zegt: die maken er allemaal onderdeel van uit en we komen daar zorgvuldig op terug.

Staatssecretaris Struycken:

De reactie die we hebben toegezegd voor het meireces gaat niet over al deze onderwerpen.
Die gaat ten eerste en vooral over de evaluatie die de AP heeft laten uitvoeren, meer
in het bijzonder over de vraag hoe wij daarop reflecteren en ook over de vraag of
het reeds gedane onderzoek kan volstaan als een zbo-evaluatie, en zo niet, wat er
aanvullend nodig is om een oordeel te kunnen geven over de doelmatigheid en doeltreffendheid
van de uitvoering van de taken, zoals gebruikelijk voor zbo’s. Het is een reactie
op de evaluatie die de AP heeft laten uitvoeren en de reflectie van de AP daarop,
en daarmee is het een basis voor een vervolganalyse van wat nodig is om te komen tot
een beoordeling van het benodigde budget en dus ook om te komen tot de informatie
waar mevrouw Kathmann in het vorige debat om heeft gevraagd. De brief voorafgaand
aan het meireces zal dus niet gaan over een bredere visie op de positie van de AP
en een analyse van alles wat door de AP al is vermeld over budgetten, want dat is
een vervolg daarop.

De heer Van Nispen (SP):

Het meireces duurt nog eventjes. Dat is nog best een aantal weken. Ik wil nu een heel
concrete vraag aan de Staatssecretaris stellen. Ik vind het teleurstellend dat de
Staatssecretaris niet zegt: ja, we gaan dan ook naar het budget kijken en natuurlijk
maakt de onderbouwing van de Autoriteit Persoonsgegevens van wat zij zelf nodig zeggen
te hebben om hun wettelijke taken goed en zorgvuldig uit te kunnen voeren daar onderdeel
van uit. Dat zegt de Staatssecretaris hier dus niet. Ik vraag hem hier om dat wél
toe te zeggen, om wel hier te zeggen: ja, daar gaan we nadrukkelijk naar kijken. Dat
is eigenlijk de vraag die ik hem wil stellen.

Staatssecretaris Struycken:

De beleidsreactie zal een oordeel geven over de vraag of wij de gegevens hebben die
ons in staat stellen om de analyse te maken die bij zbo’s gebruikelijk is, als het
gaat om de verantwoording van de besteding van de gealloceerde middelen. Als dat niet
het geval is, zullen we daarbij vermelden welke informatie we nodig hebben. Ik hoop
dat we tegen die tijd overeenstemming hebben met de Autoriteit Persoonsgegevens over
hoe we die informatie krijgen, voor zover die nog niet beschikbaar zou zijn, op basis
van de door de Autoriteit Persoonsgegevens zelf verrichte evaluatie.

De voorzitter:

De heer Valize heeft nog een vraag.

De heer Valize (PVV):

Ik heb een vraag aan de Staatssecretaris. Mag ik het antwoord op de vraag die ik nog
in tweede termijn gesteld heb, interpreteren als een toezegging dat na vaststelling
van de verzamelwet AVG er een revisietraject zal volgen waarbij de niet gebruikte
uitzonderingen, onder andere naar Duits voorbeeld, zullen worden geïnventariseerd
en aangevuld dan wel verbeterd, alsook de aanbevelingen uit het rapport van TILT uit
2022 worden meegenomen?

Staatssecretaris Struycken:

Ik wil niet de toezegging gaan doen dat we daar gebruik van gaan maken. Ik wil wel
de toezegging doen dat we, op het moment dat we een bredere visie van de UAVG ter
hand nemen, samen met u opnieuw zullen kijken naar de aanbevelingen uit dat rapport
uit 2022 en overigens ook naar de analyse van de sectorale wetgeving, ook op basis
van buitenlandse wetgeving, die gebruikt is om van alle uitzonderingen in de AVG gebruik
te kunnen maken.

De voorzitter:

Dank u wel. U bent klaar met de beantwoording van de aan u gestelde vragen. Dan geef
ik het woord aan de Staatssecretaris van BZK.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Volgens mij zijn er aan mij in de tweede termijn geen vragen
gesteld, maar ik wil de Kamerleden wel danken voor hun inbreng tijdens deze commissievergadering
en de voorzitter voor het naar mijn waarneming feilloos voorzitten van deze commissievergadering.

De voorzitter:

Dank aan de Staatssecretaris en aan iedereen die heeft deelgenomen aan dit debat.
Dank aan de kijkers thuis en de ene kijker in de zaal.

Ik zal nu de toezeggingen oplezen voor zover ik die kan lezen. Alle toezeggingen zijn
van de Staatssecretaris Rechtsbescherming.

− De vragen met betrekking tot de evaluatie van de AP over het opdrachtgeverschap zullen
worden beantwoord in de reactie op de evaluatie die de Kamer voor het meireces verkrijgt.

− De vraag van de heer Van Nispen over de verwerking van de persoonsgegevens door de
politie wordt doorgeleid naar de betrokken bewindspersoon; dat is ook een toezegging
aan de heer Valize.

Er is een tweeminutendebat aangevraagd, met mevrouw Dral van de VVD als eerste spreker.

Hierbij sluit ik de vergadering, tenzij er nog een brandende vraag is. Die is er niet.
Dan is de vergadering hierbij gesloten.

Sluiting 20.23 uur.