Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de reactie op nadere adviezen over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS) (Kamerstuk 35447-21)
35 447 Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)
Nr. 22
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 22 februari 2023
De vaste commissie voor Justitie en Veiligheid heeft een aantal vragen en opmerkingen
voorgelegd aan de Minister van Justitie en Veiligheid over de brief van 17 december
2021 over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS)
(Kamerstuk 35 447, nr. 21).
De vragen en opmerkingen zijn op 18 februari 2022 aan de Minister van Justitie en
Veiligheid voorgelegd. Bij brief van 20 februari 2023 zijn de vragen beantwoord. In
de antwoorden wordt ook verwezen naar het concept-Besluit gegevensverwerking door
samenwerkingsverbanden (hierna: concept-BGS). Hiermee wordt uitvoering gegeven aan
verplichtingen uit het wetsvoorstel en worden zorgpunten geadresseerd van uw Kamer,
de Afdeling advisering van de Raad van State en de Autoriteit Persoonsgegevens. De
tekst van het concept-BGS is gelijktijdig met de publicatie van deze antwoorden beschikbaar
op www.internetconsultatie.nl/bgs. Tegelijk met de consultatiefase vinden de uitvoeringstoetsen plaats.
De voorzitter van de commissie, Van Meenen
De griffier van de commissie, Brood
Inhoud
1.
Inleiding
3
2.
Nadere adviezen over WGS
3
2.1
De mogelijkheid om bij amvb nieuwe samenwerkingsverbanden te regelen
3
Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon
3
Vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen
3
Vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties
5
Vraag 3 (D66) – definitie spoed
5
Vraag 4 (SP) – over definitie spoed overleggen met de Kamers
5
Vraag 5 (SP) – afzien van voorgenomen aanpassing
5
Vraag 6 (VVD) – amvb met voorhangprocedure
5
Vraag 7 (CDA) – amvb met voorhangprocedure
6
Vraag 8 (D66) – novelle
6
Vraag 9 (SP) – verhouding tot aangenomen amendement-Van Nispen
6
Vraag 10 (CDA) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
7
Vraag 11 (VVD) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
8
2.2
Startpunt van de gegevensverwerking verduidelijken
8
Vraag 12 (PvdA) – verdenking of ander startpunt
8
Vraag 13 (SP) – massasurveillance, vereiste van verdenking
8
Vraag 14 (Volt) – massasurveillance
9
2.3
Transparantie en rechten van betrokkene
9
Vraag 15 (SP) – transparantie op casusniveau
9
Vraag 16 (D66) – verplichting tot zoveel mogelijk motiveren
10
Vraag 17 (Volt) – rechten van burgers en transparantie
11
2.4
Voorkomen van discriminatie
12
Vraag 18 (Volt) – waarborgen tegen discriminatie
12
Vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering
14
Vraag 20 (D66) – voorkomen van discriminatie t.a.v. seksuele gerichtheid
15
Vraag 21 (SP) – verplichting tot zoveel mogelijk motiveren
15
Vraag 22 (PvdA) – aanscherpingen regels AI ter voorkoming discriminatie
16
2.5
Overige vragen naar aanleiding van de adviezen
16
Vraag 23 (VVD) – afbakening iCOV inzake markttoezicht en inning overheidsvorderingen
16
Vraag 24 (SP) – gegevensdeling tussen samenwerkingsverbanden
17
Vraag 25 (PvdA) – toets door onafhankelijke bestuurlijke autoriteit bij verstrekking
aan derden
18
Vraag 26 (SP) – verstrekkingsplicht wijzigen in bevoegdheid
19
Vraag 27 (D66) – toegang van private partijen tot gegevens
19
3.
Waarborgen
20
Vraag 28 (D66) – normering waarborgen bij amvb
20
Vraag 29 (D66) – doelbinding
23
Vraag 30 (Volt) – beginselen van doelbinding en dataminimalisatie
24
Vraag 31 (Volt) – proportionaliteit en subsidiariteit van gegevensdeling
24
4.
Geautomatiseerde gegevensanalyse
24
Vraag 32 (D66) – zelflerende algoritmes
24
Vraag 33 (PvdA) – menselijke tussenkomst bij geautomatiseerde gegevensanalyse
25
Vraag 34 (PvdA) – verbod op algoritmen met onnavolgbare, oncontroleerbare uitkomsten
26
Vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse
26
Vraag 36 (Volt) – controle op risico-indicatoren geautomatiseerde gegevensanalyse
27
Vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI
27
Vraag 38 (Volt) – algoritmetoezichthouder
28
Vraag 39 (Volt) – algoritmeregisters
28
5.
Toezicht
28
Vraag 40 (D66) – toezicht
28
Vraag 41 (D66) – capaciteit AP
29
6.
Overig
29
Vraag 42 (VVD) – gegevensuitwisseling in Italië
29
Vraag 43 (SP) – reactie op brief Amnesty International
30
Vraag 44 (Volt) – betekenis WGS voor rechtmatigheid
31
Vraag 45 (Volt) – tijdpad amvb
31
1. Inleiding
De leden van de VVD-fractie hebben met interesse kennisgenomen van de reactie van
de Minister op de nadere adviezen over de Wet gegevensverwerking door samenwerkingsverbanden.
Zij stellen nog enkele vragen.
De leden van de D66-fractie hebben kennisgenomen van de reactie op nadere adviezen
over het wetsvoorstel WGS en hebben hier nog enkele vragen over.
De leden van de CDA-fractie hebben kennisgenomen van de brief inzake reactie op nadere
adviezen over het wetsvoorstel WGS. Deze leden zien de noodzaak om knelpunten in de
gegevensuitwisseling weg te nemen bij een brede aanpak van ondermijnende criminaliteit
en te kunnen zorgen voor een effectief preventieve aanpak via Zorg en Veiligheidshuizen,
mits voldoende zorgvuldig vormgegeven en voorzien van stevige waarborgen voor bescherming
van persoonsgegevens. Deze leden vinden het goed dat nader advies is gevraagd aan
AP, de Afdeling en het College voor de Rechten van de Mens om dit te garanderen. Wel
hebben zij over de adviezen en de reactie daarop nog enkele vragen.
De leden van de SP-fractie hebben de reactie van de Minister op de aanvullende adviezen
van de AP en de Afdeling advisering van de Raad van State (hierna: de Afdeling) aandachtig
gelezen. Zij hebben hierover nog enkele vragen.
De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van de voorliggende
brief. Zij hebben met name vragen ten aanzien van de risico’s op ongelijke behandeling
en discriminatie.
De Volt-fractie heeft de kennisgenomen van de nadere adviezen over het wetsvoorstel
WGS.
2. Nadere adviezen over WGS
2.1 De mogelijkheid om bij amvb nieuwe samenwerkingsverbanden te regelen
Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon
Vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen
De leden van de VVD-fractie vragen naar een nadere motivering voor het voornemen om
de mogelijkheid om bij algemene maatregel van bestuur (AMvB) overige samenwerkingsverbanden
te regelen, nagenoeg volledig te schrappen. Dit klemt voor deze leden te meer, omdat
in het coalitieakkoord is afgesproken, om criminaliteit goed aan te kunnen pakken,
dat het belangrijk is dat verschillende partijen (lokaal) beter kunnen samenwerken
en gegevens uitwisselen. Kan de Minister motiveren waarom is gekozen alleen nog bij
spoed tijdelijk bij AMvB overige samenwerkingsverbanden onder de WGS te laten vallen?
Dit voornemen houdt verband met de voorlichting van de Afdeling advisering van de
Raad van State.1 De Afdeling advisering vindt dat de wezenlijke elementen van nieuwe samenwerkingsverbanden
op het niveau van de formele wet dienen te worden vastgelegd, gelet op de vereisten
van artikel 10 van de Grondwet, bezien in het licht van het legaliteitsbeginsel en
het primaat van de wetgever. Daarom luidt het advies om de mogelijkheid om bij amvb
overige samenwerkingsverbanden op te richten, te beperken tot tijdelijke spoedsituaties.
Indien een samenwerkingsverband in geval van spoed tijdelijk bij amvb geregeld zou
moeten worden, mag volgens de Afdeling advisering worden verwacht dat de wezenlijke
elementen uiteindelijk alsnog op het niveau van de formele wet worden vastgelegd («tijdelijke
delegatie»). De Afdeling advisering suggereert als alternatief om het wetsvoorstel
aan te nemen onder de voorwaarde dat een separaat daartoe strekkend reparatiewetsvoorstel
op termijn wordt ingediend.
Naar aanleiding hiervan heeft de toenmalige Minister van Justitie en Veiligheid in
zijn Kamerbrief van 17 december 2021 geschreven dat hij bereid is om toe te zeggen
dat de artikelen 3.1 tot en met 3.3, die de mogelijkheid regelen om nieuwe samenwerkingsverbanden
bij amvb te regelen, niet in werking zullen treden, en dat een wetsvoorstel wordt
ingediend waarmee die artikelen worden aangepast.2 Ik volg mijn ambtsvoorganger hierin.
Zoals aangekondigd in de brief van de Minister van Justitie en Veiligheid van 17 december
2021 zal de aanpassing van de artikelen 3.1 tot en met 3.3 inhouden dat uitsluitend
in geval van spoed een nieuw samenwerkingsverband bij amvb kan worden geregeld en
dat in dat geval zo spoedig mogelijk een wetsvoorstel moet worden ingediend om het
betreffende samenwerkingsverband alsnog in de wet te regelen. Dit betreft «tijdelijke
delegatie». Volgens aanwijzing 2.39 van de Aanwijzingen voor de regelgeving betekent
tijdelijke delegatie dat na de plaatsing van de amvb in het Staatsblad zo spoedig
mogelijk een wetsvoorstel wordt ingediend. Indien een van de beide Kamers der Staten-Generaal
het wetsvoorstel verwerpt, wordt de amvb onverwijld ingetrokken. Wordt het voorstel
tot wet verheven, dan wordt de amvb ingetrokken op het tijdstip van inwerkingtreding
van die wet.
De bevoegdheid tot tijdelijke delegatie is gewenst met het oog op gevallen waarin
de totstandkoming van een wet in formele zin niet kan worden afgewacht. Tijdelijke
delegatie is hiervoor een oplossing, omdat hierbij de voorschriften tijdelijk bij
amvb kunnen worden vastgesteld. De mogelijkheid om tijdelijk een samenwerkingsverband
bij amvb te regelen biedt dus een oplossing voor spoedgevallen, voor de tijd die nodig
is ter overbrugging om een wetswijziging tot stand te brengen om het betreffende samenwerkingsverband
in de WGS zelf te regelen.3
Vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties
Kan de Minister nader toelichten hoe zij spoed definieert met betrekking tot artikelen
3.1 tot en met 3.3 en kan zij daarbij voorbeelden geven van spoedsituaties?
Voor tijdelijke delegatie kan volgens aanwijzing 2.39 van de Aanwijzingen voor de
regelgeving aanleiding zijn indien met betrekking tot een materie die op zich regeling
bij wet behoeft, «snelle interventie is geboden of anticipatie op nieuwe maatregelen
moet worden voorkomen». Tijdelijke delegatie mag dus alleen in die gevallen waarin
«de totstandkoming van een wet niet kan worden afgewacht». Vanwege het onvoorzienbare
karakter van de omstandigheden waarin van deze bevoegdheid gebruik gemaakt zou kunnen
worden, valt een nadere concretisering van het criterium spoed niet goed te geven.
Gedacht kan worden aan een samenwerkingsverband ten behoeve van het voorkomen of bestrijden
van een ernstige vorm van criminaliteit – bijvoorbeeld cybercrime – dat de bevoegdheid
mist om gemeenschappelijke casusanalyses of data-analyses te verrichten. Om die tijdig
en adequaat te kunnen regelen, zou het samenwerkingsverband dan tijdelijk in een amvb
kunnen worden geregeld.
Vraag 3 (D66) – definitie spoed
Wat betekent «zo spoedig mogelijk» in de context van een spoed samenwerkingsverband
dat vervolgens in de wet geregeld moet worden? Kan de Kamer zich nog uitspreken over
deze termijn?
Verwezen wordt naar het antwoord op de vorige vraag. Uw Kamer kan zich uitspreken
over deze termijn bij gelegenheid van de behandeling van het wetsvoorstel tot aanpassing
van de artikelen 3.1 tot en met 3.3.
Vraag 4 (SP) – over definitie spoed overleggen met de Kamers
Kan voorts worden verduidelijkt in wat voor gevallen er sprake kan zijn van dusdanige
«spoed» dat een wetsvoorstel niet eerst aan de Kamers kan worden voorgelegd? Kan ook
worden verduidelijkt wat met «spoed» wordt bedoeld en wie beslist over wanneer iets
precies spoedige inwerkingtreding rechtvaardigt? Is de Minister het met deze leden
eens, dat hierover op zijn minst overleg zal moeten worden gevoerd met de Kamers?
Zo nee, waarom niet?
Er is een wetsvoorstel nodig om dit te regelen in de artikelen 3.1 tot en met 3.3
van het wetsvoorstel. Hierover wordt overleg gevoerd met uw Kamer bij gelegenheid
van de behandeling van dat wetsvoorstel.
Vraag 5 (SP) – afzien van voorgenomen aanpassing
Is de Minister bereid om af te zien van het voornemen om bij spoed per AMvB nieuwe
samenwerkingsverbanden in het leven te roepen? Zo nee, waarom niet?
Zoals is toegelicht in antwoord op vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen, acht ik de bevoegdheid tot tijdelijke delegatie gewenst in gevallen waarin de totstandkoming
van een wet in formele zin niet kan worden afgewacht.
Vraag 6 (VVD) – amvb met voorhangprocedure
Is het voor wat betreft het verschaffen van mogelijkheden voor verschillende partijen
om op lokaal niveau beter te kunnen samenwerken, in sommige gevallen een AMvB met
een voorhangprocedure niet voldoende? In welke van de ons omringende landen is telkens
een nieuwe wetswijziging vereist en in welke landen kunnen samenwerkingsverbanden
bij lagere regelgeving (zoals bij AMvB met voorhang onder de werking) worden toegevoegd
onder bestaande wetgeving met daarin adequate waarborgen voor proportionaliteit en
doelbinding?
Ik volg het advies van de Afdeling advisering dat het aanwijzen van nieuwe samenwerkingsverbanden
materie is die op zichzelf regeling bij wet behoeft, daargelaten de vraag in hoeverre
artikel 10 van de Grondwet ruimte laat om dit bij amvb te regelen en daargelaten of
dan sprake zou moeten zijn van een voor- of nahangprocedure.
Uit omringende landen is geen informatie bekend over (wetgevingsprocedures omtrent)
samenwerkingsverbanden die vergelijkbaar zijn met de WGS-samenwerkingsverbanden.
Vraag 7 (CDA) – amvb met voorhangprocedure
De leden van de CDA-fractie lezen dat de AP adviseert de mogelijkheid tot het aanwijzen
van nieuwe samenwerkingsverbanden bij AMvB te schrappen. De Afdeling adviseert deze
mogelijkheid te beperken tot tijdelijke spoedsituaties. Dit laatste advies neemt de
Minister over. Deze leden begrijpen de argumentatie dat een samenwerkingsverband bij
voorkeur bij wet moet worden geregeld, maar zij zien ook wel degelijk mogelijkheden
voor een zorgvuldig proces bij AMvB, bijvoorbeeld met toevoeging van een (verzwaarde)
voorhangprocedure. Hoe kijkt de Minister naar zo’n mogelijkheid?
Verwezen wordt naar het antwoord op de vorige vraag.
Vraag 8 (D66) – novelle
De leden van de D66-fractie achten het een belangrijke stap dat de Minister de artikelen
3.1 tot 3.3, die het creëren van nieuwe samenwerkingsverbanden bij AMvB regelen, niet
in werking zal laten treden. Voor de aan het woord zijnde leden is deze stap echter
alsnog te beperkt, nu de toegezegde wijziging van het wetsvoorstel nog niet voorligt
en dus niet beoordeeld kan worden. De aan het woord zijnde leden vragen waarom er
niet voor een novelle wordt gekozen om dit omstreden onderdeel direct uit het wetsvoorstel
te halen zolang het wetsvoorstel nog in behandeling is? Strookt de keuze voor een
novelle niet beter met het verankeren van waarborgen zoals proportionaliteit in de
wet zelf in plaats van met een toezegging?
Bij de voorgenomen aanpassing van de artikelen 3.1 tot en met 3.3 van de WGS is niet
gekozen voor een novelle, maar voor een wetsvoorstel dat procedureel geen afhankelijkheid
kent met het onderhavige wetsvoorstel. Daarmee hoeft in de tussentijd het wetsvoorstel
dat die drie artikelen aanpast de behandeling van het onderhavige wetsvoorstel niet
op te houden. Ik deel de opvatting van de Afdeling advisering dat zo op korte termijn
recht kan worden gedaan aan het belang om de gegevensverwerking binnen bestaande samenwerkingsverbanden
van een toereikende wettelijke grondslag te voorzien.4
Vraag 9 (SP) – verhouding tot aangenomen amendement-Van Nispen
De leden van de SP-fractie hebben altijd zeer kritisch gekeken naar de WSG. Uiteindelijk
hebben deze leden dan ook tegen dit wetsvoorstel gestemd. Het feit dat zelfs na stemming
in de Tweede Kamer de negatieve adviezen over dit wetsvoorstel nog steeds binnen blijven
komen, sterkt deze leden in de gedachte dat dit wetsvoorstel, in zijn huidige vorm,
niet wenselijk is.
Gelukkig schrijft de Minister nu wel dat zij voornemens is het huidige hoofdstuk 3
uit de WSG te schrappen. Met dat hoofdstuk zou het mogelijk zijn om, per AMvB, nieuwe
samenwerkingsverbanden in het leven te roepen. De leden van de SP-fractie zagen eerder
nog hun amendement (Kamerstuk 35 447, nr. 10) dat precies hierop zag weggestemd worden door de Kamer, maar zij zijn blij dat de
regering, na forse kritiek van de AP, dit hoofdstuk nu toch schrapt.
Minder te spreken zijn de leden van de SP-fractie over het voornemen van de regering
om bij «spoed» een nieuw samenwerkingsverband te kunnen optuigen per AMvB, waarna
dan wel zo snel als mogelijk de Kamer zich moet buigen over een nieuw wetsvoorstel
waarin dat nieuwe samenwerkingsverband zijn grondslag dan vindt.
Deze leden vragen hoe dit voornemen zich verdraagt met het aangenomen amendement van
het lid Van Nispen waarin duidelijk wordt gesteld dat het parlement een uitbreiding
van een samenwerkingsverband vooraf goed moet keuren (Kamerstuk 35 447, nr. 11).
Het aangenomen amendement van het lid Van Nispen (Kamerstukken 35 447, nr. 11) heeft een zware nahangprocedure geïntroduceerd voor de aanwijzing bij amvb van nieuwe
deelnemers aan de samenwerkingsverbanden die zijn geregeld in hoofdstuk 2 van het
wetsvoorstel. Het amendement heeft de artikelen 3.1 tot en met 3.3 van het wetsvoorstel
niet gewijzigd, waarin de mogelijkheid is opgenomen om bij amvb nieuwe samenwerkingsverbanden
aan te wijzen. Het amendement staat dan ook los van het voornemen om met een nieuw
wetsvoorstel de artikelen 3.1 tot en met 3.3 aan te passen.
Vraag 10 (CDA) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
Wat deze leden betreft zijn er nog andere samenwerkingsverbanden met eenzelfde doelstelling
als die van de huidige samenwerkingsverbanden, die in de toekomst logischerwijs onder
deze regeling kunnen worden gebracht. Daarbij denken zij in het bijzonder aan het
ECTF en het LMIO. De leden van de CDA-fractie vragen de Minister waarom deze samenwerkingsverbanden
niet reeds aanvullend zijn opgenomen in het wetsvoorstel, gezien een eerdere toezegging
van de Minister te kijken of deze samenwerkingsverbanden kunnen toetreden tot het
wetsvoorstel. Ook vragen deze leden de Minister om nadere toelichting hoe zij «spoed»
definieert met betrekking tot de te wijzigen artikelen 3.1 tot en met 3.3 van de WGS.
Is de Minister van mening dat het ECTF en het LMIO wel onder de spoedbepaling kunnen
vallen?
Zoals toegelicht in de nota naar aanleiding van het verslag,5 is bij de keuze van de samenwerkingsverbanden die in het wetsvoorstel zijn opgenomen,
getoetst aan drie criteria: 1.) er wordt samengewerkt voor essentiële maatschappelijke
vraagstukken zoals omschreven in het wetsvoorstel, 2.) het samenwerkingsverband heeft
een bestendig karakter, en 3). er is sprake van juridische knelpunten op het gebied
van gezamenlijke gegevensverwerking die in de weg staan van een optimale, nog effectievere
samenwerking van deze samenwerkingsverbanden en die een oplossing via wetgeving behoeven.
Bij de Electronic Crimes Taskforce (ECTF) en het Landelijk Meldpunt Internetoplichting
(LMIO) werken onder meer politie en het openbaar ministerie samen met enkele private
partijen op het gebied van respectievelijk digitale bankfraude en internetoplichting.
Dit zijn «ernstige vormen van criminaliteit» in de zin van artikel 3.1 WGS, zodat
het mogelijk is om bij amvb de gegevensverwerking van deze samenwerkingsverbanden
te regelen. In de voorgenomen spoedbepaling zal dat niet anders zijn. Aan het eerste
criterium is daarmee voldaan. Beide samenwerkingsverbanden bestaan al geruime tijd
en hebben daarmee een bestendig karakter.
Dat het ECTF en LMIO op enig moment onder de WGS worden gebracht, sluit ik niet uit.
Op dit moment is het evenwel te vroeg om daarop een voorschot te nemen. Dit hangt
onder meer af van de exacte knelpunten in de onderlinge gegevensverstrekking en in
hoeverre sprake is
van gezamenlijke gegevensverwerking. De gedachtenvorming hierover is nog niet afgerond.
Vraag 11 (VVD) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
Tot slot vragen deze leden de Minister bestaande samenwerkingsverbanden zoals de Electronic
Crimes Taskforce (ECTF) en het Landelijk Meldpunt Internetoplichting (LMIO) snel duidelijkheid
te geven. Tijdens eerder debat werd toegezegd te bezien of deze samenwerkingsverbanden
onder de wet zouden kunnen vallen. Kan de Minister aangeven of deze samenwerkingsverbanden
in elk geval onder de spoedregeling komen te vallen?
Ik verwijs naar het antwoord op de vorige vraag.
2.2 Startpunt van de gegevensverwerking verduidelijken
Vraag 12 (PvdA) – verdenking of ander startpunt
De leden van de PvdA-fractie lezen dat de Minister stelt dat het vraagstuk van het
startpunt van de gegevensverwerking door samenwerkingsverbanden los staat van de onschuldpresumptie.
Deze leden menen dat dit wellicht formeel juist is in de zin van dat de onschuldpresumptie
geen beginsel is dat aan het recht op bescherming van persoonsgegevens ten grondslag
ligt. Daarbij voert de Minister aan dat het niet zo is dat uitwisseling van gegevens
het toekennen van schuld impliceert. Dat laatste moge waar zijn, maar ergens moet
er toch aanleiding zijn om gegevens over iemand te gaan uitwisselen. Kan dat startpunt
een vermoeden zijn dat een persoon zich schuldig heeft gemaakt aan een strafbaar feit?
Zo nee, wat kan dan nog meer dat startpunt zijn?
In het Besluit gegevensverwerking door samenwerkingsverbanden (BGS) wordt het startpunt
van de gegevensverwerking zoveel mogelijk geconcretiseerd met nadere criteria waaraan
een signaal, casus of verzoek moet voldoen om aanleiding te kunnen zijn voor gezamenlijke
gegevensverwerking ten behoeve van het doel van het samenwerkingsverband. Om aan gegevensverwerking
binnen een samenwerkingsverband toe te komen, is onder meer vereist dat er duidelijke
en objectieve aanwijzingen zijn voor risico’s met het oog op de doelen van het samenwerkingsverband.
Dat hoeft geen verdenking van een strafbaar feit te zijn. Er kan sprake zijn van een
integrale aanpak van gesignaleerde risico’s die mede bestuursrechtelijk of privaatrechtelijk
van aard is.
Vraag 13 (SP) – massasurveillance, vereiste van verdenking
De leden van de SP-fractie vragen speciale aandacht voor het feit dat de AP erop wijst
dat, door de vele bevoegdheden die de samenwerkingsverbanden krijgen, het gevaar van
massasurveillance op de loer ligt. Zeker als gegevens van mensen gedeeld worden zónder
dat daar een concrete verdenking aan ten grondslag ligt. Klopt het dat de Minister
zich op het standpunt stelt dat van massasurveillance geen sprake kan zijn, omdat
de samenwerkingsverbanden geen interventiebevoegdheden hebben? Kan zij voor deze leden
verduidelijken waarom bij massasurveillance per se sprake moet zijn van directe interventie?
En ziet de Minister ook in dat, of er nou wel of geen interventie plaatsvindt, het
een feit is dat, als je niet als startpunt pakt dat alleen gegevens verwerkt en gedeeld
mogen worden van mensen die concreet ergens verdacht van worden, je wel degelijke
de situatie krijgt dat de gegevens van onschuldige mensen (mensen die niet concreet
van een strafbaar feit verdacht worden) worden gedeeld en verwerkt? Zo nee, waarom
niet? Het klopt toch ook dat de gegevens die door de samenwerkingsverbanden worden
gedeeld, daarna door de individuele instanties die betrokken zijn bij het samenwerkingsverband
wel degelijk gebruikt kunnen worden om latere interventies op te baseren?
Zoals geantwoord op de vorige vraag zal het BGS regels bevatten waarin het startpunt
van de gegevensverwerking wordt geconcretiseerd met nadere criteria waaraan een signaal,
casus of verzoek moet voldoen. Er moet onder meer sprake zijn van voldoende duidelijke
en objectieve aanwijzingen van risico’s met het oog op de doelen van het samenwerkingsverband.
Dit maakt dat er ook volgens de redenering van de AP geen sprake is van massasurveillance,
want de AP stelt dat «de eis van duidelijke en objectieve aanwijzingen naar het oordeel
van de AP in feite ook de garantie [vormt] voor het waarborgen van de onschuldpresumptie
in ruime zin en het verschil [vormt] met «mass surveillance» maatregelen».6
Daarbij merk ik nog op dat het niet zo hoeft te zijn dat het strafrecht zal worden
ingezet. Een bestuursrechtelijke interventie of interventie met zorg kan ook aan de
orde zijn.
Tot slot benadruk ik dat de WGS en het BGS een reeks aan nieuwe en belangrijke waarborgen
bevat om de bescherming van persoonsgegevens te versterken. Ook deze waarborgen zorgen
ervoor dat geen sprake kan zijn van massasurveillance.
Vraag 14 (Volt) – massasurveillance
Het argument van de Minister dat van massasurveillance geen sprake kan zijn omdat
het wetsvoorstel geen bevoegdheid geeft tot het inwinnen of vergaren van nieuwe gegevens,
maar alleen tot uitwisseling van gegevens waarover reeds rechtmatig wordt beschikt,
is niet overtuigend. Juist het koppelen van datasets kan tot nieuwe informatie leiden.
Dat lijkt ook juist het doel van het wetsvoorstel te zijn. Deze uitwisseling creëert
de mogelijkheid om nieuwe gegevens te maken. De leden van de Volt-fractie ontvangen
graag een reflectie van de Minister op dit punt.
In aanvulling op het vorige antwoord merk ik op dat één van de redenen waarom onder
het wetsvoorstel geen sprake kan zijn van massasurveillance erin gelegen is dat het
wetsvoorstel geen grondslagen creëert om bij derden gegevens te vergaren. Hierdoor
gaat het wetsvoorstel alleen over uitwisseling van gegevens tussen de deelnemers,
binnen de waarborgen en voorwaarden uit het wetsvoorstel en de amvb. Bestuursorganen
die gegevens hebben over ernstige en ondermijnende criminaliteit moeten die gegevens
kunnen uitwisselen met elkaar en soms ook met private partijen, zodat zij effectief
kunnen optreden. Zoals de Afdeling advisering van de Raad van State in haar voorlichting
over de WGS terecht opmerkt, is gegevensverwerking onmiskenbaar een belangrijk instrument
om ernstige en ondermijnende criminaliteit tegen te gaan: «In die zin vormt niet alleen
bescherming van persoonsgegevens, maar ook effectieve misdaadbestrijding rechtsstatelijk
handelen.»7
2.3 Transparantie en rechten van betrokkene
Vraag 15 (SP) – transparantie op casusniveau
De AP vraagt, volgens de leden van de SP-fractie, terecht aandacht voor het recht
dat een betrokkene heeft op transparantie van zijn of haar gegevens en de manier waarop
die gegevens zijn verwerkt. Deze leden vragen hoe de Minister wil waarborgen dat altijd
te achterhalen is hoe, wanneer, waarom en door wie gegevens zijn verwerkt, zodat de
betrokkene daarover uitputtend geïnformeerd kan worden op specifiek casusniveau. Deze
leden doelen dus niet op een algemeen jaarverslag waarin in algemene zin verantwoord
wordt hoe gegevens verwerkt zijn. Deze leden vragen hier specifiek naar, omdat zij
hebben gezien dat bijvoorbeeld bij het schandaal van de toeslagenaffaire, betrokkenen
tot op de dag van vandaag geen inzicht hebben in basale vragen zoals waarom zij op
een zwarte lijst zijn gekomen, op basis van welke gegevens, etc.
Ten aanzien van de verwerking van persoonsgegevens door de samenwerkingsverbanden
is de AVG leidend, en daarin is transparantie het uitgangspunt: artikel 14 van de
AVG verplicht de deelnemers van het samenwerkingsverband, als gezamenlijke verwerkingsverantwoordelijken,
in beginsel om betrokkenen te informeren over onder andere het feit dat gegevens over
betrokkene worden verwerkt en voor welke doeleinden. De algemene uitzonderingen uit
de AVG en de Uitvoeringswet AVG gelden ook voor wat betreft de verwerkingen die plaatsvinden
in de samenwerkingsverbanden onder de WGS. Een relevante uitzondering doet zich onder
meer voor als het verstrekken van de informatie de doeleinden van de gegevensverwerking
zou doorkruisen of bij de doorkruising van opsporings- en toezichtbelangen. Indien
deze uitzondering vervalt, bijvoorbeeld na afronding van een gezamenlijk project,
moet de informatieplicht alsnog worden nagekomen. In de WGS zijn geen aanvullende
uitzonderingsgronden opgenomen.
Verder is voorzien in de aanwijzing van een contactpunt voor elk samenwerkingsverband,
waar betrokkenen op toegankelijke wijze hun recht op inzage van hun persoonsgegevens
kunnen uitoefenen, evenals hun andere rechten op grond van de AVG, zoals het recht
op correctie. In het kader van transparantie en rechtszekerheid richting burgers is
het van belang dat er één contactpunt komt dat de behandeling van verzoeken van betrokkenen
coördineert en afhandelt. Dit is uitgewerkt in artikel 1.1 van het concept-BGS. Daarin
is ook bepaald dat op de website van het samenwerkingsverband de naam en contactgegevens
van het contactpunt moeten worden vermeld.
Vraag 16 (D66) – verplichting tot zoveel mogelijk motiveren
Is de Minister het eens dat transparantie en controleerbaarheid van groot belang zijn
om misbruik van gegevens en misstanden te voorkomen? Waarom wordt de verplichting
tot transparantie richting burgers niet verankerd in het wetsvoorstel maar pas later
per AMvB geregeld?
Wat houdt de plicht tot «zo veel mogelijk motiveren» precies in? Betekent dit dat
alle indicatoren en gebruikte informatie op basis waarvan een uitkomst tot stand is
gekomen gecommuniceerd moeten worden? Zo nee, welk type gegevens hoeft niet verstrekt
te worden en waarom?
Ik onderken het belang van transparantie en controleerbaarheid om misbruik van gegevens
en misstanden te voorkomen. Artikel 5, eerste lid, van de AVG verplicht ertoe om persoonsgegevens
te verwerken op een wijze die transparant is (transparantiebeginsel). Het wetsvoorstel
en de onderliggende amvb vergroten de voorzienbaarheid en daarmee de transparantie
door de verwerkingen door de samenwerkingsverbanden een wettelijk kader te geven.
Daarnaast wordt de transparantie op de volgende wijzen gewaarborgd:
De verplichting tot transparantie richting burgers is geregeld in artikel 14 van de
AVG, zoals toegelicht in het antwoord op de vorige vraag.
Artikel 1.1 van het concept-BGS wijst een contactpunt aan per samenwerkingsverband
dat betrokkenen uit eigen beweging informeert en waar zij op toegankelijke wijze hun
rechten kunnen uitoefenen op grond van de AVG, zoals het inzagerecht.
Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet een
samenwerkingsverband op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke
wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende
logica. Hierop wordt nader ingegaan in de beantwoording van vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse.
Samenwerkingsverbanden moeten jaarverslagen publiceren met daarin een verantwoording
van de effectiviteit en bruikbaarheid van de gegevensverwerking (artikel 1.12 WGS).
De naleving van deze verplichtingen kan worden gecontroleerd in de verplichte onafhankelijke
privacy audits, door de functionarissen voor gegevensbescherming en de AP.
De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband
bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies
voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat
tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling
advisering van de Raad van State van 18 november 2021.8 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet
is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog. Het
gaat dan onder meer om het antwoord op de vraag van welke partijen de informatie afkomstig
is op basis waarvan de resultaten tot stand zijn gekomen. Deze informatie heeft de
ontvanger nodig om de informatie te kunnen wegen: voor het vervolgonderzoek door de
ontvanger van een resultaat, is vereist dat bekend is wat de input is geweest, zodat
de ontvanger zich een beeld kan vormen van de betrouwbaarheid en volledigheid daarvan.
Vraag 17 (Volt) – rechten van burgers en transparantie
Voorts zal het wetsvoorstel het mogelijk maken om binnen een groot netwerk van overheden
en bedrijven informatie over burgers te delen. Zit hier ook informatie bij waarvan
burgers zelf niet eens weten dat deze informatie over hen bestaat? Zo ja, op welke
manier zullen burgers worden geïnformeerd over de verwerking van deze informatie,
waaronder begrepen persoonsgegevens?
Hoe worden zij in staat gesteld om hun rechten met betrekking tot gegevensverwerking
in dit geval op een effectieve manier uit te oefenen?
Voor het antwoord op de eerste deelvragen wordt verwezen naar het antwoord op vraag 15 (SP) – transparantie op casusniveau.
Door middel van het aanwijzen van een contactpunt per samenwerkingsverband worden
betrokkenen in staat gesteld om hun rechten met betrekking tot gegevensverwerking
op een effectieve manier uit te oefenen. Op de verwerking van persoonsgegevens die
plaatsvinden onder de gezamenlijke verwerkingsverantwoordelijkheid van deelnemers
op grond van de WGS zijn onverkort de rechten en plichten uit de AVG van toepassing.
Een betrokkene kan een beroep doen op de rechten die de AVG hem al geeft, zoals het
recht op inzage, het recht op rectificatie, het recht op gegevenswissing en het recht
op beperking van de verwerking (artikelen 15–18 AVG). Zo kan een betrokkene onder
meer verifiëren welke categorieën persoonsgegevens over hem worden uitgewisseld en
voor welke doeleinden (artikel 15, eerste lid, onder a en b, AVG).
Ook voor samenwerkingsverbanden die zijn opgenomen in de WGS geldt de informatieverplichting
op grond van artikel 14 AVG, die verplicht om betrokkenen bepaalde informatie te verschaffen
over de verwerking van hen betreffende persoonsgegevens. Zo raken burgers op de hoogte
van het feit dat gegevens over hen worden verwerkt en worden zij ook in staat gesteld
om hun rechten te kunnen uitoefenen.
Per samenwerkingsverband zal een contactpunt ingericht worden waar burgers terecht
kunnen om hun rechten op grond van de AVG uit te oefenen, zoals hun inzage- en correctierecht.
Het contactpunt coördineert dergelijke verzoeken. In artikel 1.1 van het concept-BGS
is per samenwerkingsverband uitgewerkt welke deelnemer het contactpunt vormt. Wie
het contactpunt is, moet tevens bekend worden gemaakt op de website van het samenwerkingsverband.
Burgers kunnen bij het contactpunt ook verzoeken om onjuiste gegevens te rectificeren.
Dit moet gebeuren door de deelnemende partij die de betreffende gegevens heeft ingebracht.
Het contactpunt zal correctieverzoeken coördineren.
Indien een betrokkene het niet eens is met het besluit op zijn verzoek, dan kan diegene
terecht bij het contactpunt voor bezwaar en vervolgens bij de bestuursrechter voor
beroep. Immers, de schriftelijke beslissing van een bestuursorgaan (het contactpunt)
op een dergelijk verzoek is een besluit in de zin van de Algemene wet bestuursrecht
volgens artikel 34 van de Uitvoeringswet AVG. Dit betekent dat bestuursrechtelijke
rechtsbescherming openstaat.
De naleving van de rechten op grond van de AVG kan verder worden gecontroleerd in
de verplichte onafhankelijke privacy audits, door de functionarissen voor gegevensbescherming
en de AP.
2.4 Voorkomen van discriminatie
Vraag 18 (Volt) – waarborgen tegen discriminatie
Het wetsvoorstel brengt naast oplossingen ook nieuwe problemen, waaronder een groot
risico op discriminatie. Zo waarschuwt het College voor de Rechten van de Mens dat
er een vertekend beeld kan ontstaan over de mate waarin mensen met een bepaalde achtergrond
betrokken zijn bij de problematiek waarop de samenwerkingsverbanden zich straks zullen
richten. Dat kan leiden tot overmatige controle van deze groep. Dat is discriminerend.
Het wetsvoorstel bevat nog onvoldoende waarborgen tegen discriminatie. Een deel zal
afhangen van de uitvoering, maar deze leden zijn van mening dat er onvoldoende waarborgen
worden getroffen om discriminatie te voorkomen. Hoe weegt de Minister het voortzetten
van het wetsvoorstel tegenover het risico op discriminatie?
Het discriminatieverbod geldt voor elk overheidsonderdeel. Dat betekent dat ook onder
de WGS geen ongerechtvaardigd onderscheid mag worden gemaakt. Daarnaast is een verwerking
waar discriminatie aan ten grondslag ligt, strijdig met de normen van het gegevensbeschermingsrecht.
De AVG, WGS en het concept-BGS bevatten daar bovenop extra waarborgen om discriminatie
tegen te gaan.
Op grond van artikel 9, eerste lid, AVG mogen geen gegevens worden verwerkt over ras
of etnische afkomst. Artikel 1.9 concept-BGS voegt daaraan toe dat ook geen gegevens
over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene
onvermijdelijk is.
In artikel 1.14 van het concept-BGS is uitgewerkt dat de leden van de rechtmatigheidsadviescommissie,
waarin deskundigen advies uitbrengen over de rechtmatigheid van gegevensverwerkingen
door het samenwerkingsverband, er zorg voor dienen te dragen dat in de rechtmatigheidsadviescommissie
aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie.
Bovendien is in artikel 1.17 van het concept-BGS uitgewerkt dat medewerkers die ingezet
worden in het samenwerkingsverband opleidingen krijgen ter bevordering van hun kennis
en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek.
Het tegengaan van (onbewuste) discriminatie komt bij deze beide onderdelen aan de
orde.
Verder zijn in dit kader van belang de aanvullende waarborgen bij geautomatiseerde
gegevensanalyses (artikel 1.9 WGS). Deze waarborgen zijn mede bedoeld om – in lijn
met overweging 71 bij de AVG – discriminatie, fouten en vooroordelen tegen te gaan
in algoritmen die bij een geautomatiseerde analyse worden gebruikt:
Artikel 1.9, eerste lid, verplicht de deelnemers om voor adequate en uniforme technische
en organisatorische maatregelen zorg te dragen die de kwaliteit van de gezamenlijke
geautomatiseerde gegevensanalyse en de juistheid en de volledigheid van de te verwerken
gegevens bevorderen. De deelnemers moeten de gehanteerde methode dus toetsen op feitelijke
juistheid en kwaliteit. Wat de kwaliteit van de gegevens zelf betreft, volgt hieruit
dat iCOV gegevens alleen mag gebruiken als deze van voldoende kwaliteit zijn. ICOV
geeft hieraan invulling door uitgebreid te toetsen of de data van voldoende kwaliteit
zijn en of zij geschikt zijn om betrouwbaar te koppelen met data van andere deelnemers,
alvorens de gegevens voor rapportages te gebruiken.9
Artikel 1.9, tweede lid, regelt de verplichting om een resultaat van een gezamenlijke
geautomatiseerde gegevensanalyse uitsluitend aan een deelnemer of derde te verstrekken
na menselijke tussenkomst, waarbij wordt beoordeeld of het resultaat op zorgvuldige
wijze tot stand is gekomen.
Artikel 1.9, derde lid bevat de verplichting tot uitleg op toegankelijke wijze aan
het publiek over de gehanteerde patronen, indicatoren en andere onderliggende logica.
Artikel 1.9, zesde lid, regelt een verbod op algoritmen waarvan de uitkomsten niet
navolgbaar en controleerbaar zijn. De analyse moet dus op zodanige wijze plaatsvinden
dat de uitkomsten navolgbaar en controleerbaar zijn.
Bij de toegestane geautomatiseerde gegevensanalyse – namelijk bij iCOV – bevatten
artikel 2.9 tot en met 2.12 van het concept-BGS bovendien de volgende aanvullende
waarborgen:
Vooraf moet advies worden gevraagd aan de rechtmatigheidsadviescommissie over onder
meer de gehanteerde indicatoren, verwerkingsmethode en gegevens. Dit geschiedt aan
de hand van een door deelnemers van iCOV op te stellen productbeschrijving. Daarin
moeten zij het thema, de indicatoren en de methode beschrijven en verantwoorden.
Er mogen uitsluitend gevalideerde indicatoren worden gebruikt. Ze moeten zijn gecontroleerd
op geldigheid en juistheid, rekening houdend met vertekening (bias), navolgbaarheid, betrouwbaarheid en representativiteit van de gegevens; de deelnemers
dienen er zorg voor te dragen dat de indicatoren objectief en nauwkeurig zijn.
Er moet voldoende aanleiding zijn voor de geautomatiseerde gegevensanalyse, bestaande
uit duidelijke en objectieve aanwijzingen inzake onrechtmatig financieel gewin.
De deelnemers dienen te zorgen voor een representatieve onderzoeksgroep en moeten
aandacht hebben voor het risico van vooringenomenheid.
De gehanteerde methode moet uitlegbaar, navolgbaar en controleerbaar zijn.
Over de toepassing van deze waarborgen moet periodiek worden gerapporteerd aan de
rechtmatigheidsadviescommissie.
Vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering
Een ander probleem dat de leden van de Volt-fractie zien, is de mogelijkheid om gebruik
te maken van geautomatiseerde gegevensanalyses, zoals risicoprofilering. Kan de Minister
aangeven op welke manier zal worden omgegaan met risicoprofilering, met name, welke
maatregelen getroffen zullen worden om het risico op discriminatie te voorkomen?
Er zal gevolg worden gegeven aan de aanbevelingen die de Afdeling advisering in haar
voorlichting heeft gedaan ten behoeve van een zorgvuldig gebruik van algoritmes. Naast
het investeren in professionaliteit en (juridische) deskundigheid op de werkvloer
en een cultuur waarin kan en mag worden afgeweken van algoritmische uitkomsten, heeft
de Afdeling advisering benadrukt dat afwegingskaders van belang zijn om te bevorderen
dat algoritmen zorgvuldig en met respect voor relevante grondrechten tot stand worden
gebracht.10 In zijn algemeenheid heeft het kabinet, net als het vorige, veel aandacht voor het
zorgvuldige gebruik van algoritmes. Er zijn afwegingskaders en hulpmiddelen ontwikkeld,
die bouwstenen vormen van het op te stellen implementatiekader «inzet van algoritmen».
De inzet van het kabinet is om binnen deze instrumenten prioritering aan te brengen
en deze te stroomlijnen, zodat in alle fasen van de levenscyclus van algoritmische
toepassingen praktische handvatten worden geboden.11 Enkele van deze afwegingskaders zijn:
Het Kwaliteitskader Big Data, dat is opgesteld door de politie en het OM.12 Dit wordt gebruikt voor het toetsen van big data toepassingen aan onder andere rechtmatigheid
en ethiek.
De Handreiking AI-systeemprincipes voor non-discriminatie, getiteld «non-discriminatie by design».13 Dit is een praktische handreiking waarin stap voor stap wordt uitgelegd hoe organisaties
kunnen voorkomen dat hun algoritmes discrimineren. In de handreiking is een vertaalslag
gemaakt van essentiële juridische kaders naar operationele ontwerpprincipes. De handreiking
is opgesteld in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
door een team van onderzoekers van de universiteiten van Tilburg en Eindhoven, Vrije
Universiteit Brussel en het College voor de Rechten van de Mens. De handreiking geeft
tien regels waarmee volgens de opstellers misstanden zoals bij de kindertoeslagen
kunnen worden voorkomen.
Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmen (IAMA).14 Dit impact assessment kan een organisatie gebruiken om in de gehele levenscyclus
van algoritmische systemen de risico’s voor mensenrechten in kaart te brengen. Het
IAMA is in opdracht van het vorige kabinet door de Universiteit Utrecht ontwikkeld.
De richtlijnen voor het toepassen van algoritmes door de overheid uit de brief van
8 oktober 2019.15
Vraag 20 (D66) – voorkomen van discriminatie t.a.v. seksuele gerichtheid
De leden van de D66-fractie lezen over de zorgen bij de AP dat discriminatie een risico
vormt door het gebrek aan transparantie en dus oncontroleerbaarheid van de gebruikte
gegevens bij een beslissing. De Minister geeft aan dat dit niet toegestaan is onder
de AVG. De Minister verwijst naar het niet opnemen van persoonsgegevens over etniciteit,
ras en nationaliteit. Is dit een uitputtende opsomming? Waarom is seksuele gerichtheid
daar niet aan toegevoegd, gezien het grondwetswijzigingsvoorstel dat in tweede lezing
in de Kamer ligt? De aan het woord zijnde leden horen graag met welke instrumenten
en verankerde waarborgen de naleving van de AVG op dit punt dan wordt verzekerd.
Volgens artikel 9, eerste lid, AVG vallen ook gegevens met betrekking tot iemands
seksueel gedrag of seksuele gerichtheid onder de term bijzondere categorieën van persoonsgegevens.
Hieruit volgt dat de verwerking van dergelijke gegevens ook onder de WGS in principe
verboden is. Dit behoeft derhalve geen afzonderlijke vermelding in het wetsvoorstel.
Met betrekking tot de verwerking door de RIEC’s van gegevens over seksueel gedrag
en seksuele gerichtheid maakt het wetsvoorstel een uitzondering voor zover de verwerking
van die gegevens noodzakelijk is met het oog op de bestrijding van mensenhandel en
de onderzoeken in dat kader naar illegale prostitutie en uitbuiting (artikel 2.21
WGS). Deze uitzondering is toegestaan op grond van artikel 9, tweede lid, onder g,
van de AVG omdat deze nodig is voor een zwaarwegend algemeen belang. Artikel 2.15
van het concept-BGS verduidelijkt dat het uitsluitend gaat om persoonsgegevens met
betrekking tot iemands seksueel gedrag of seksuele gerichtheid wanneer de verwerking
noodzakelijk is voor onderzoeken in het kader van bestrijding van mensenhandel, illegale
prostitutie en uitbuiting, in aanvulling op de verwerking van persoonsgegevens van
strafrechtelijke aard. Hiermee wordt deze gegevenscategorie uit artikel 2.21 WGS scherper
afgebakend en in overeenstemming gebracht met datgene wat volgens artikel 23, onder
c, van de Uitvoeringswet AVG reeds is toegestaan.
Artikel 1.14 van het concept-BGS stelt buiten twijfel dat de deelnemers zorgdragen
dat in de rechtmatigheidsadviescommissie ook aandacht moet zijn voor het tegengaan
van risico’s op ongelijke behandeling en discriminatie. Elke deelnemer houdt bovendien
zelfstandig de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving,
daaronder begrepen het verbod op discriminatie.
Vraag 21 (SP) – verplichting tot zoveel mogelijk motiveren
Een motie van leden van de SP- en GroenLinks-fracties riep de regering op om te verduidelijken
op welke manieren de samenwerkingsverbanden verplicht worden discriminatie en andere
mensenrechtenschendingen te voorkomen en hoe hier toezicht op gehouden wordt (Kamerstuk
35 447, nr. 17). De leden van de SP-fractie zijn, na het lezen van de kabinetsreactie op de nadere
adviezen over de WGS, op dit punt allerminst gerustgesteld. Deze leden lezen dat de
regering voornemens is om per AMvB te regelen dat samenwerkingsverbanden bij de verstrekking
van resultaten aan deelnemers of derden, zoveel mogelijk moeten motiveren op basis
van welke informatie de uitkomst tot stand is gekomen. Deze leden vragen waarom dit
gegeven niet gewoon in de wet is vastgelegd. Voorts vragen deze leden waarom de Minister
kiest voor de zinsnede «zoveel mogelijk moeten motiveren». Is de Minister het met
deze leden eens dat samenwerkingsverbanden gewoon uitputtend moeten motiveren op basis
van welke informatie een uitkomst tot stand is gekomen, en dus niet «zoveel mogelijk»?
Zo nee, waarom niet?
De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband
bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies
voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat
tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling
advisering van de Raad van State van 18 november 2021.16 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet
is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog.
Het is van belang dat traceerbaar is op basis waarvan sturingsinformatie of een interventieadvies
tot stand is gekomen. Het gaat dan onder meer om het antwoord op de vraag van welke
partijen de informatie afkomstig is op basis waarvan de resultaten tot stand zijn
gekomen. Deze informatie heeft de ontvanger nodig om de informatie te kunnen wegen:
voor het vervolgonderzoek door de ontvanger van een resultaat, is vereist dat bekend
is wat de input is geweest, zodat de ontvanger zich een beeld kan vormen van de betrouwbaarheid
en volledigheid daarvan. Bepaalde uitzonderingsgronden, zoals het opsporings- en vervolgingsbelang,
kunnen zich verzetten tegen het verstrekken van (bepaalde aspecten van) de motivering.
Om die reden is in artikel 1.8, tweede lid, van het concept-BGS de zinsnede «voor
zover mogelijk» opgenomen.
Vraag 22 (PvdA) – aanscherpingen regels AI ter voorkoming discriminatie
Wat is de stand van zaken met betrekking tot de aanscherping van beleid en regelgeving
omtrent algoritmen en artificiële intelligentie (AI) zoals aangekondigd in de brief
van 10 juni 2021 (Kamerstuk 26 643, nr. 765)? In hoeverre zijn er reeds aanscherpingen gedaan die ook van belang zijn voor het
tegengaan van risico’s op discriminerende gevolgen van de WGS? Welke nog niet doorgevoerde
aanscherpingen van het beleid en regelgeving omtrent algoritmen en AI kunnen nog beter
zorgen voor het tegengaan van risico’s op discriminerende gevolgen van de WGS?
Met de Kamerbrief publieke controle op algoritmen is uw Kamer op 7 oktober 2022 geïnformeerd
over de wijze waarop het kabinet wil omgaan met de inzet van algoritmen.17 Daarin is toegelicht dat het kabinet werkt aan één implementatiekader «inzet van
algoritmen» dat overheidsorganisaties adviseert de nodige waarborgen in acht te nemen.
Hierin vindt onder meer stroomlijning, prioritering en concretisering plaats van bestaande
hulpmiddelen als het Impact Assessment voor Mensenrechten bij de inzet van Algoritmen
(IAMA) en de handreiking non-discriminatie by design. Op die instrumenten is nader
ingegaan in antwoord op vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering.
2.5 Overige vragen naar aanleiding van de adviezen
Vraag 23 (VVD) – afbakening iCOV inzake markttoezicht en inning overheidsvorderingen
De leden van de VVD-fractie hebben kennisgenomen van het voornemen van de Minister
naar aanleiding van het advies van de Autoriteit Persoonsgegevens (AP) in de AMvB
te bepalen dat iCOV gegevens op grond van de WGS uitsluitend mag verwerken voor de
subsidiaire doelstellingen inzake markttoezicht en inning van overheidsvorderingen
als dit gerelateerd is aan de primaire doelstellingen. Deze leden hebben zorgen over
deze afbakening, te meer omdat binnen de infobox Crimineel en Onverklaarbaar Vermogen (iCOV) stemmen opgaan tegen deze afbakening. Kunnen deze zorgen van iCOV worden gedeeld
met de Kamer? Hoe en op welk moment dienen de organisaties van iCOV te bepalen welke
informatie wel en niet kan worden gedeeld binnen het samenwerkingsverband? Zijn alle
uitvoeringsconsequenties in kaart gebracht van deze afbakening?
Zoals vermeld in de brief van 17 december 2021, wordt voor alle daarin aangekondigde
voornemens nog een uitvoeringstoets gedaan ten tijde van de (internet)consultatie
over de amvb.18
Inmiddels heeft iCOV vanuit uitvoeringsperspectief een aantal opmerkingen gemaakt
over het aangehaalde voornemen. Voor iCOV en haar leden is niet helder waarom een
onderscheid zou moeten worden gemaakt tussen «primaire doelstellingen» (het in kaart
brengen van crimineel en onverklaarbaar vermogen en het bestrijden van witwas- of
fraudeconstructies) en «secundaire doelstellingen» (goed markttoezicht en het innen
van overheidsvorderingen). Ieder van deze doelstellingen heeft naar de mening van
iCOV op zichzelf voldoende gewicht om een inbreuk op de privacy te rechtvaardigen
en het is juist de integraliteit van de databevragingen die een toegevoegde waarde
heeft, voor zowel bestuursrechtelijke als strafrechtelijke interventies.
De door de vorige Minister gekozen lijn zou volgens zijn Kamerbrief van 17 december
2021 tot gevolg hebben dat in de toekomst vanuit de doelstellingen van markttoezicht
en de inning van overheidsvorderingen alleen nog iCOV-bevragingen kunnen worden gedaan
wanneer dat tevens nodig is met het oog op het in kaart brengen van onverklaarbaar
of crimineel vermogen of met het oog op het bestrijden van witwas- of fraudeconstructies.
ICOV wijst erop dat een dergelijke al te nauwe invulling tot gevolg kan hebben dat
toezichthouders het zicht verliezen op nieuwe vormen van wederrechtelijk handelen
of op het misbruik van financiële en fiscale systematische zwaktes, en zodoende achter
de feiten aanlopen.
Een werkbare interpretatie is volgens iCOV dat bevragingen onder de WGS mogelijk blijven
ten behoeve van onderzoeken en fenomeenanalyses die erop gericht zijn om gedragingen
in kaart te brengen, waarbij op buitenwettelijke wijze financieel gewin wordt behaald. Hiervan kan ook sprake zijn in de bestuursrechtelijke onderzoeken en themascans
van de markttoezichthouders. Invordering vormt het sluitstuk binnen een integrale
aanpak waar crimineel en onverklaarbaar vermogen wordt opgespoord en in kaart gebracht,
aldus iCOV: immers, pas als een vordering daadwerkelijk geïnd wordt, loont misdaad
niet. ICOV stelt verder voor om de begrenzing van de aanvragen te zoeken in het formuleren
van criteria voor de aanvragen, waaronder een proportionaliteitstoets en het hanteren
van bepaalde ondergrenzen.
Om de voornoemde zorgen weg te nemen zijn in het concept-BGS deze alternatieve afbakeningsvoorstellen
van iCOV overgenomen. In paragraaf 2.2 van het concept-BGS zijn werkbare criteria
geformuleerd die de zorg bij iCOV wegnemen dat de integrale benadering en samenwerking
tussen strafrechtelijke en bestuursrechtelijke handhavers die nodig is voor een effectieve
aanpak van criminele netwerken, wordt aangetast. In de artikelen 2.8 en 2.11 van het
concept-BGS is opgenomen dat een verzoek van een deelnemer om een rapportage slechts
in behandeling wordt genomen bij duidelijke en objectieve aanwijzingen dat op onrechtmatige
wijze financieel gewin is of wordt behaald. Een gegevensverwerking door iCOV moet
dus altijd verband houden met het op onrechtmatige wijze behalen van financieel gewin.
Daarnaast bevat paragraaf 2.2 van het concept-BGS concrete minimumgrenzen en andere
criteria waaraan moet worden voldaan, vooraleer kan worden toegekomen aan gegevensverwerking
door iCOV.
Vraag 24 (SP) – gegevensdeling tussen samenwerkingsverbanden
Met het amendement van het lid Yesilgöz-Zegerius is het mogelijk geworden om ook gegevens
tussen samenwerkingsverbanden te delen (Kamerstuk 35 447, nr. 14). Dat vonden de leden van de SP-fractie destijds al een onzalig idee en dat vinden
zij nog steeds. Zeker nu deze leden lezen dat de AP oproept tot het schrappen van
deze mogelijkheid. Toch zegt de Minister hierover in reactie op de AP slechts dat
het voornemen van de regering is om bij AMvB de gegevensverstrekking tussen de samenwerkingsverbanden
nader te clausuleren door deze zoveel mogelijk te beperken tot hit/no hit bevraging.
Deze leden vragen of deze hits/no hits dan vervolgens wel weer gebruikt kunnen worden
om verdere stappen te ondernemen? Stel, er komt een hit uit de bevraging, kan de Minister
schetsen wat een samenwerkingsverband daar dan precies aan heeft? Wat kan zij met
het gegeven dat er een hit of geen hit is?
Nadat een samenwerkingsverband op grond van artikel 1.7, achtste lid, van het wetsvoorstel
vaststelt dat een betrokkene tevens bekend is bij een ander samenwerkingsverband (een
hit), mogen beide samenwerkingsverbanden gegevens uitwisselen over welke deelnemers in
beide samenwerkingsverbanden bij de betreffende gegevensverwerking betrokken zijn
of zijn geweest (artikel 1.10, eerste lid, onder a, concept-BGS). Na een hit mogen een Zorg- en Veiligheidshuis en een Regionaal Informatie- en Expertisecentrum
gegevens uitwisselen die noodzakelijk zijn om afspraken over interventies van de deelnemers
in de beide samenwerkingsverbanden op elkaar af te stemmen (artikel 1.10, eerste lid,
onder b). Hetzelfde geldt voor een Regionaal Informatie- en Expertisecentrum en het
Financieel Expertisecentrum (artikel 1.10, eerste lid, onder c).
Vraag 25 (PvdA) – toets door onafhankelijke bestuurlijke autoriteit bij verstrekking
aan derden
De leden van de PvdA-fractie lezen dat de AP adviseert om bij verstrekking van gegevens
door het samenwerkingsverband aan derden te voorzien in de waarborg van een voorafgaande
toets door een onafhankelijke bestuurlijke autoriteit. De AP baseert zich daarbij
volgens de Minister ten onrechte op bindend advies van het Hof van Justitie. Het moge
zo zijn dat dat advies inderdaad in het verband van de WGS niet van belang is, maar
dat neemt niet weg dat volgens de AP niet vaststaat dat de rechtmatigheidsadviescommissies
onafhankelijk genoeg zijn en dat er een onafhankelijke bestuurlijke autoriteit nodig
is om een voorafgaande toets te doen voor de verstrekking van gegevens aan derden.
Kan de Minister hier inhoudelijk op ingaan? Waarom komt de Minister niet tegemoet
aan dit advies van de AP?
Graag verwijst de regering naar onderdeel 9 (Toets door onafhankelijke bestuurlijke
autoriteit bij verstrekking aan derden) van de bijlage bij de Kamerbrief van 17 december
2021. Zoals daarin is gemotiveerd, gaat de vergelijking met de situatie waarover het
bindend advies van het Hof van Justitie gaat, niet op, zodat hieruit geen conclusies
behoeven te worden overgenomen. Dat laat onverlet dat het wenselijk is dat de rechtmatigheidsadviescommissie
een stevige positie krijgt en dat een eventuele afwijking van een advies moet worden
gedocumenteerd en gerapporteerd.
Daarom wordt de positie van de rechtmatigheidsadviescommissies verder versterkt in
het concept-BGS:
Een rechtmatigheidsadviescommissie is bevoegd rechtstreeks te adviseren aan de bestuurders
van de deelnemers in het bestuurlijk gremium dat het samenwerkingsverband aanstuurt,
zonder tussenkomst van een managementteam van een samenwerkingsverband. Dit is in
artikel 1.13, tweede lid, van het concept-BGS opgenomen. Hierin komt de onafhankelijke
rol tot uiting.
De bestuurlijke gremia van waaruit het samenwerkingsverband wordt bestuurd mogen uitsluitend
beargumenteerd afwijken van een advies van de rechtmatigheidsadviescommissie (artikel
1.13, zesde lid, van het concept-BGS). Dit betekent dat de bestuurders moeten motiveren
waarom wordt afgeweken van het betreffende advies en welke risico-inschatting zij
daaraan verbinden. Dit moet worden gedocumenteerd en gerapporteerd aan de rechtmatigheidsadviescommissie
en de coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband.
Dit is opgenomen in artikel 1.13, zesde lid, van het concept-BGS. Het is van belang
te zorgen voor transparantie, dat afwijking van de adviezen traceerbaar is, en dat
later door de (coördinerend) functionaris voor gegevensbescherming of in de privacy
audits kan worden onderzocht hoe de afwijking heeft uitgepakt.
De leden van de rechtmatigheidsadviescommissie moeten beschikken over relevante deskundigheid
en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking
en de werking van het samenwerkingsverband (artikel 1.14, eerste lid, van het concept-BGS).
Het is immers van belang dat organisaties leden aanwijzen die een bepaalde zwaarte/functie
hebben zodat zij in staat zijn adviezen uit te brengen die wellicht niet altijd in
lijn liggen met de bestuurlijke wens, maar echt sec zien op de rechtmatigheid van
hetgeen voorvalt.
Vraag 26 (SP) – verstrekkingsplicht wijzigen in bevoegdheid
Net als de AP nu, vroegen de leden van de SP-fractie bij de plenaire behandeling van
de WGS aandacht voor het gegeven dat deelnemers aan samenwerkingsverbanden door de
regering worden verplicht om gegevens te delen. Zij kunnen slechts besluiten géén
gegevens te delen als zij daar zwaarwegende redenen voor hebben. Deze leden vragen,
wederom, waarom dit nodig is. Ziet de Minister het risico dat, zeker door de beperkte
mogelijkheid tot het niet delen van gegevens (namelijk slechts bij zwaarwegende redenen)
de mogelijkheid tot het leveren van maatwerk uit het oog verloren wordt? Is zij alsnog
bereid om het verstrekken van gegevens optioneel in plaats van verplicht te maken
of in ieder geval het gedeelte «zwaarwegend» te laten vallen? Zo nee, waarom niet?
Zoals opgemerkt in punt 11 van de bijlage bij de Kamerbrief van 17 december 2021,
kan dit advies niet worden overgenomen, om de redenen die zijn genoemd in de memorie
van toelichting19 en de nota naar aanleiding van het verslag.20 Voor een verstrekkingsplicht is gekozen om te benadrukken dat de samenwerking niet
vrijblijvend kan zijn, maar de plicht is niet absoluut: iedere deelnemer heeft enige
beoordelingsruimte bij het bepalen welke gegevens noodzakelijk zijn voor het samenwerkingsverband,
en kan wegens zwaarwegende redenen afzien van verstrekking.
Vraag 27 (D66) – toegang van private partijen tot gegevens
De leden van de D66-fractie vernemen dat de AP zeer kritisch is over het delen van
gegevens met private partijen. De Minister verwijst enkel naar nog te verschijnen
AMvB’s om deze zorgen weg te nemen. Waarom wordt dit niet opgenomen in het wetsvoorstel?
Acht de Minister de wel opgenomen beperkingen niet veel te vaag en te allesomvattend,
zoals «indien het doel van het samenwerkingsverband redelijkerwijs niet kan worden
bereikt zonder deelname van deze private partij (…)»? Wie ziet erop toe dat hieraan
wordt voldaan? Hoe kan worden bewezen dat het desbetreffende doel wél mogelijk was
zonder de tussenkomst van een private partij als deze al deel uit maakt van het samenwerkingsverband?
Is dit überhaupt te bewijzen volgens de Minister?
In deze vraag is gedoeld op artikel 1.3, derde lid, WGS, dat bepaalt dat aanwijzing
van een private partij als deelnemer kan geschieden, indien het doel van het samenwerkingsverband
redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij en
indien tevens overheidsinstanties of overheidsorganen deelnemen. Artikel 1.3, derde
lid, WGS is een randvoorwaarde voor aanwijzing van private partijen als deelnemer, maar biedt geen grondslag voor samenwerkingsverbanden om zelf private partijen toe te voegen. De deelnemers
aan de samenwerkingsverbanden zijn de bij of krachtens de WGS aangewezen overheidsinstanties,
overheidsorganen en private partijen, aldus artikel 1.3, eerste lid, WGS. Indien (al
dan niet private) deelnemers worden toegevoegd bij amvb, moet zowel een voorhangprocedure
als een bijzondere nahangprocedure worden gevolgd, als gevolg van het amendement van
het lid Kuiken21 en het amendement van het lid Van Nispen22. Dit is opgenomen in de artikelen 2.3, 2.11, 2.19 en 2.27 WGS. Dit bewerkstelligt
dat uw Kamer tweemaal de kans krijgt om zich uit te spreken over de aanwijzing van
nieuwe (al dan niet private) deelnemers bij amvb, en een dergelijke aanwijzing kan
tegenhouden. In het concept-BGS worden alleen bij het FEC private deelnemers toegevoegd
(artikel 2.2), om te zorgen dat de private partijen die nu al in het FEC participeren
dat kunnen blijven doen. Dit betreft bij ministeriële regeling aan te wijzen banken,
waarmee publiek-private samenwerking nodig is ten behoeve van het gezamenlijk voorkomen
en bestrijden van het gebruik van het financiële stelsel voor financieel-economische
criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende
criminaliteit alsmede terrorismefinanciering. Voor een nadere toelichting op de beperkingen
voor deelname van private partijen wordt verwezen naar het antwoord op vraag 69 van
de D66-fractie in de nota naar aanleiding van het verslag.23
Een belangrijke randvoorwaarde is verder dat de resultaten van de gegevensverwerking
door het samenwerkingsverband uitsluitend mogen worden gebruikt voor doeleinden die
verenigbaar zijn met het doel van het samenwerkingsverband (artikel 1.7 WGS, tweede
lid, aanhef en onder b). Zoals toegelicht in de nota naar aanleiding van het verslag,
is hiervan doorgaans uitsluitend sprake indien de private partij een publiek belang
behartigt, bijvoorbeeld door publiek-private samenwerking om criminaliteit aan te
pakken.24 Daarbij is opgemerkt dat commerciële doeleinden daarentegen onverenigbaar zijn met
de doeleinden van de samenwerkingsverbanden die worden aangewezen bij of krachtens
dit wetsvoorstel.25
3. Waarborgen
Vraag 28 (D66) – normering waarborgen bij amvb
Allereerst willen deze leden benadrukken dat het belang wordt ingezien van gegevensuitwisseling
tussen instanties. De leden van de D66-fractie maken zich echter met name zorgen over
de wettelijke normering, die nog vrijwel geheel bij AMvB moet plaats vinden. Acht
de Minister dit geen risico voor transparantie en rechtszekerheid? Dit staat ook in
tegenstelling tot het in december jl. vastgestelde coalitieakkoord (bijlage bij Kamerstuk
35 788, nr. 77) waarbij is vastgelegd dat waarborgen bij gegevensuitwisselingen in de wet verankerd
moeten worden. Tevens stelt het coalitieakkoord dat de overheid zelf het goede voorbeeld
moet geven door dataminimalisatie. De leden vragen de Minister te reflecteren op hoe
het huidige voorliggende wetsvoorstel dat nu in de Eerste Kamer ligt zich verhoudt
tot het coalitieakkoord.
Allereerst is van belang dát de waarborgen nu vastgelegd worden, zodat duidelijk is
voor de deelnemers aan de samenwerkingsverbanden en de burger, waar de samenwerkingsverbanden
aan moeten voldoen. Dat veel van de waarborgen bij amvb worden uitgewerkt, doet daaraan
niet af. Artikel 10 van de Grondwet staat de wetgever ook toe om regels met betrekking
tot de beperking van het recht op eerbiediging van de persoonlijke levenssfeer bij
of krachtens de wet te stellen. De hoofdelementen van de gezamenlijke gegevensverwerking
voor de samenwerkingsverbanden zijn opgenomen in de formele wet: het doel van het
samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en
bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij onder
welke randvoorwaarden mogen verwerken, en welke waarborgen voor de gezamenlijke gegevensverwerking
gelden. De Afdeling advisering stelt in haar voorlichting dat het gewijzigde voorstel
nu wel diverse wezenlijke elementen en begrenzingen van de wettelijke regeling op
het niveau van de formele wet bevat, als het gaat om de in het wetsvoorstel zelf geregelde
samenwerkingsverbanden. Volgens de Afdeling advisering doet daaraan niet af dat bepaalde
aspecten bij amvb nader geregeld worden, want de grondwetgever heeft in artikel 10,
eerste lid, van de Grondwet delegatie toegestaan.26 Gelet op de behoefte uit de praktijk aan flexibiliteit acht ik het wenselijk om bepaalde
aspecten bij amvb nader te regelen.27
Dat er bij amvb nadere regels worden gesteld, laat onverlet dat de transparantie en
rechtszekerheid worden bevorderd doordat er sprake is van slechts één amvb, te weten
het concept-BGS. Deze kent dezelfde indeling en volgorde als de WGS. In de toelichting
wordt telkens de samenhang met de betreffende artikelen uit de WGS vermeld. Uiteraard
is van belang dat er passende opleidingen en trainingen plaatsvinden zodat elke deelnemer
de waarborgen in de amvb kent. Daartoe verplicht artikel 1.17 van het concept-BGS.
Een nadere uitwerking in de amvb zorgt ervoor dat er flexibel ingespeeld kan worden
op ontwikkelingen op het gebied van informatieverwerking, data-analyse en waarborgen
rondom dataverwerkingen. De ontwikkelingen op deze gebieden gaan snel.
De WGS en het BGS bevatten een reeks aan nieuwe en belangrijke waarborgen om de bescherming
van persoonsgegevens te versterken. Hiermee is tevens beoogd om invulling te geven
aan het coalitieakkoord. Deze waarborgen – weergegeven in het onderstaande schema
– hebben grote toegevoegde waarde, of het nu gaat om dataminimalisatie of de andere
basisbeginselen van gegevensverwerking uit de AVG.
Overzicht waarborgen WGS
Toepasselijke artikelen
Toezicht en rechtmatigheid
Rechtmatigheidsadviescommissies voor de structurele beoordeling van nieuwe en gewijzigde
verwerkingen en met aandacht voor het tegengaan van discriminatierisico’s
Art. 1.8, zesde lid, WGS en art. 1.13, 1.14, 1.15 concept-BGS
Onafhankelijke privacy audits voor rechtmatigheidscontrole, waarvan de resultaten
aan de AP moeten worden gezonden
Art. 1.10 WGS en art. 1.18 concept-BGS
Coördinerend functionaris gegevensbescherming
Art. 1.4, tweede lid, WGS
Uitsluitend verstrekking van rechtmatig verwerkte gegevens
Art. 1.5 concept-BGS
Onafhankelijk toezicht en handhaving door de AP i.v.m. naleving WGS, BGS en AVG (o.a.
corrigerende maatregelen, bestuursdwang, dwangsom of bestuurlijke boetes)
Art. 6, derde lid, 15, 16, 18 Uitvoeringswet AVG, art. 58 en 83 AVG, art. 5:32 Awb
Dataminimalisatie en opslagbeperking
Limitatieve opsomming welke categorieën gegevens de deelnemers gezamenlijk mogen verwerken
Art. 2.4, 2.12, 2.22, 2.30 WGS en art. 2.15 concept-BGS
Termijn voor vernietiging of anonimisering van de verwerkte persoonsgegevens: 5 jaar,
met beperkte uitzondering
Art. 1.8, zevende lid, WGS en art. 1.16 concept-BGS
Geen gegevens over nationaliteit, met beperkte uitzondering
Art. 1.9 concept-BGS
Doelbinding
Omschrijving doeleinden samenwerkingsverbanden, telkens met koppeling aan noodzaak
voor de taken van deelnemers
Art. 2.2, 2.10, 2.17, 2.25 WGS
Passende organisatorische maatregelen voor doelbinding
Art. 1.8, vijfde lid, WGS
Gegevensverwerking uitsluitend toegestaan na duidelijke en objectieve aanwijzingen
van risico’s in verband met het doel van het samenwerkingsverband
Art. 2.4, 2.8, 2.11, 2.16 en 2.20 concept-BGS
Verstrekking resultaten mag alleen voor verenigbaar doel
Art. 1.7 WGS
Kwaliteit en juistheid
Plicht tot opleidingen en trainingen over gegevensverwerking
Art. 1.17 concept-BGS
Verplichting om zorg te dragen voor juiste persoonsgegevens
Art. 5, eerste lid, onder a, AVG
Verplichting voor deelnemer om de bij een signaal, verzoek of casus te verstrekken
gegevens vooraf te toetsen op juistheid en kwaliteit
Artikel 1.6 concept-BGS
Verantwoordelijkheidsverdeling voor correctie onjuistheden en terugmeldingsplicht
van onjuistheden aan de bronhouder
Art. 1.7 concept-BGS
Verplichting tot toetsen feitelijke juistheid en kwaliteit van gegevens die bij het
resultaat worden verstrekt
Art. 1.8, eerste lid, concept-BGS
Motiveringsplicht op basis van welke informatie sturingsinformatie of een interventieadvies
tot stand komt
Art. 1.8, tweede lid, concept-BGS
Verplichting om de resultaten periodiek te evalueren op bruikbaarheid en effectiviteit
Art. 1.7, vierde en vijfde lid, WGS
Integriteit en vertrouwelijkheid
Verplichting tot adequaat beveiligingsniveau
Art. 32 AVG
Vereisten aan de screening van medewerkers
Art. 1.8, derde lid, WGS en art. 1.11 concept-BGS
Binding aan Baseline Informatiebeveiliging Overheid (BIO)
Art. 1.8, achtste lid, WGS
Limitatieve omschrijving van degenen die autorisaties krijgen tot de systemen
Art. 1.8, tweede lid, WGS
Plicht tot periodieke beoordeling van de autorisaties
Art. 1.8, achtste lid, WGS en §9.2.5, 9.2.5.2 en 9.2.5.3 BIO
Verplichting tot logging, zodat controleerbaar is of de gegevensverwerking rechtmatig
is, onder meer in de audits.
Art. 1.8, vierde lid, WGS en art. 1.12 concept-BGS
Geheimhoudingsplicht
Art. 1.11 WGS
Aanwijzing contactpunt voor nakoming meldplicht datalekken
Art. 1.3 concept-BGS
Transparantie
Informeren betrokkene over gegevensverwerking
Art. 14 AVG
Een contactpunt dat betrokkenen informeert
Art. 1.3 concept-BGS
Jaarverslag van het samenwerkingsverband, met daarin een verantwoording van de effectiviteit
en bruikbaarheid van de gegevensverwerking
Art. 1.12 WGS
Rechtsbescherming
Aanwijzing van een contactpunt binnen het samenwerkingsverband waar betrokkenen hun
rechten op grond van hoofdstuk III AVG kunnen uitoefenen, zoals verzoeken om inzage,
correctie of gegevenswissing
Art. 1.4, vierde lid, WGS en art. 1.2 concept-BGS
Mogelijkheid bezwaar/beroep tegen besluit van contactpunt op AVG-verzoek (doeltreffende
voorziening in rechte)
Art. 1.2 concept-BGS, art. 34 Uitvoeringswet AVG, hfd. 8 Awb en art. 79 AVG
Mogelijkheid van een klacht bij de AP (handhavingsverzoek)
Art. 77 AVG
Aanvullende waarborgen bij geautomatiseerde gegevensanalyse
Plicht tot adequate, uniforme technische en organisatorische maatregelen voor de kwaliteit,
juistheid en volledigheid
Art. 1.9, eerste lid, WGS
Verplichting tot menselijke tussenkomst vóórdat een resultaat van de analyse wordt
verstrekt, waarbij het wordt getoetst op zorgvuldigheid van wijze van totstandkoming
Art. 1.9, tweede lid, WGS
Verplichting tot uitleg over gehanteerde patronen, indicatoren of andere onderliggende
logica
Art. 1.9, derde lid, WGS
Verplichting tot pseudonimisering
Art. 1.9, vijfde lid, WGS en art. 2.12 concept-BGS
Verbod op algoritmes waarvan de uitkomsten niet navolgbaar en controleerbaar zijn
Art. 1.9, zesde lid, WGS
Nadere waarborgen geautomatiseerde gegevensanalyse iCOV
Art. 2.9 – 2.12 concept-BGS
Vraag 29 (D66) – doelbinding
De leden van de D66-fractie lezen dat de AP stelt dat de Algemene verordening gegevensbescherming
(AVG) uitzonderingen op het doelbindingsbeginsel slechts beperkt toelaatbaar zijn,
zoals ook door de wetgever herhaaldelijk is bevestigd. Mensen verstrekken gegevens
gericht op een bepaald doel en verwachten dan ook dat (volgens de wet) de gegevens
niet zomaar voor andere doeleinden worden gebruikt. In het coalitieakkoord is vastgelegd
dat voor gegevensuitwisseling grondslagen met de juiste waarborgen, waarbij expliciet
doelbinding wordt genoemd, verankerd moeten worden in de wet. Is de Minister het eens
dat de abstracte formulering van zowel categorieën als precisering hiervan per AMvB
op deze wijze niet voldoen aan de afspraken gemaakt in het coalitieakkoord? Is de
Minister het met de aan het woord zijnde leden eens dat er onvoldoende specificering
en inkadering zit aan het doel waarvoor gegevens gebruikt morgen worden, en dat dus
van het doelbindingsbeginsel nog nauwelijks kan worden gesproken? Zo nee, is de Minister het dan eens dat deze
waarborgen te beperkt zijn verwerkt in het wetsvoorstel zelf, maar steunen op nog
nadere invulling?
Zoals de Afdeling advisering in haar voorlichting heeft onderkend, is een zeker abstractieniveau
bij de doelomschrijvingen onvermijdelijk. Daarom is een zorgvuldige uitvoeringspraktijk
cruciaal om in concrete gevallen telkens te bezien of en op welke wijze aan het doelbindingsbeginsel
kan worden voldaan.28 De gezamenlijke gegevensverwerking door een samenwerkingsverband moet te allen tijde
passen binnen de in het wetsvoorstel omschreven doelomschrijvingen. Die doelomschrijvingen
vergen mede dat de gezamenlijke gegevensverwerking noodzakelijk is voor de uitoefening
van publiekrechtelijke taken en bevoegdheden van de deelnemers.29 Bij amvb zijn nadere preciseringen voorzien van de gegevensverwerkingen, onder meer
voor wat betreft de concretisering van het startpunt van de gegevensverwerking in
elk samenwerkingsverband. Gegevensverwerking is uitsluitend toegestaan na objectieve
en duidelijke aanwijzingen van risico’s in verband met het doel van het samenwerkingsverband.
Waar mogelijk zijn ook de te verstrekken categorieën persoonsgegevens geconcretiseerd
(artikel 2.15 concept-BGS). Wanneer alle voorwaarden en waarborgen in samenhang worden
bezien, zie ik voldoende specificering en inkadering van het doel waarvoor gegevens
mogen worden gebruikt.
Daarbij moet tevens worden bedacht dat de eisen die de AVG stelt aan de verwerking
van persoonsgegevens onverkort gelden onder de WGS. Bij elke verwerking van persoonsgegevens
moeten de deelnemers van een samenwerkingsverband toetsen of de verwerking noodzakelijk
is met het oog op het doel waarvoor zij gezamenlijk gegevens mogen verwerken. Elke
separate persoonsgegevensverwerking moet voldoen aan de eisen van de AVG, waaronder
het beginsel van minimale gegevensverwerking. Onderdeel daarvan is ook dat in ieder
geval in het kader van de subsidiariteit en proportionaliteit steeds een afweging
zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk
is voor het realiseren van het doel van het samenwerkingsverband, alsook welke deelnemers
op welk moment betrokken moeten worden en dus in een voorkomend geval gerechtigd zijn
gezamenlijk gegevens te verwerken.
Vraag 30 (Volt) – beginselen van doelbinding en dataminimalisatie
Het blijft ook nog onduidelijk waar de grenzen van het doelbindingsbeginsel en het
beginsel van minimale gegevensverwerking ligt met betrekking tot de samenwerkingsverbanden.
Kan de Minister dit nader toelichten?
Verwezen wordt naar het antwoord op de beide vorige vragen.
Vraag 31 (Volt) – proportionaliteit en subsidiariteit van gegevensdeling
Tot slot zouden deze leden van de Volt-fractie graag van de Minister horen op welke
manier de gegevensdeling, die wordt opgetuigd via de WGS, concreet bijdraagt aan de
gestelde doelen van het wetsvoorstel. Deze leden verzoeken om daarbij specifiek in
te gaan op de evenredigheid. Is het middel proportioneel? Welke andere middelen kunnen
worden ingezet om het doel te bereiken en waarom worden die niet gebruikt?
De eisen die de AVG stelt aan de verwerking van persoonsgegevens gelden onverkort
onder de WGS. Bij elke verwerking van persoonsgegevens moeten de deelnemers van een
samenwerkingsverband toetsen of de verwerking noodzakelijk is met het oog op het doel
waarvoor zij gezamenlijk gegevens mogen verwerken. Elke separate persoonsgegevensverwerking
moet voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking.
Onderdeel daarvan is ook dat in ieder geval in het kader van de subsidiariteit en
proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen
worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het
samenwerkingsverband, alsook welke deelnemers op welk moment betrokken moeten worden
en dus in een voorkomend geval gerechtigd zijn gezamenlijk gegevens te verwerken.
4. Geautomatiseerde gegevensanalyse
Vraag 32 (D66) – zelflerende algoritmes
Het gebruik van zelflerende algoritmes kan grote impact hebben op kwetsbare groepen.
Betekent «een zorgvuldig gebruik van algoritmes» dat er altijd een menselijke beoordeling
is voordat er een uitkomst wordt vastgesteld?
Kenmerkend voor niet-zelflerende algoritmen is dat de mens zelf specificeert hoe de
computer moet werken. Artikel 1.9, zesde lid, WGS verbiedt om algoritmes te hanteren
waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. Door onder andere kunstmatige
intelligentie volgen zelflerende algoritmes geen vooraf bepaalde set van regels maar
maken ze gebruik van zelflerende statistische technieken. Daardoor zijn de beslissingen
die een zelflerend algoritme maakt voor de mens haast ondoorgrondelijk. Wanneer gebruik
is gemaakt van zelflerende algoritmes is de toets hoe de uitkomsten tot stand zijn
gekomen nagenoeg onmogelijk.
Artikel 1.9, tweede lid, van de WGS vereist menselijke tussenkomst voordat een resultaat
van een geautomatiseerde gegevensanalyse wordt verstrekt. Voor zover de WGS en de
amvb een grondslag bieden voor geautomatiseerde gegevensanalyse – namelijk alleen
bij de themarapportages van iCOV – is geen sprake van zelflerende algoritmen of kunstmatige
intelligentie, aangezien de mens moet specificeren welke indicatoren worden gebruikt,
hoe deze worden toegepast op de data en hoe deze vervolgens weergegeven worden in
een rapportage. De algoritmes die iCOV gebruikt zijn beschrijvend van aard. Met andere
woorden: iCOV stelt vooraf gedefinieerde ofwel gestandaardiseerde vragen aan de data
die een navolgbaar en controleerbaar resultaat opleveren. De gebruikte indicatoren
worden door de mens gespecificeerd op basis van wetenschappelijk onderzoek, expertsessies
en/of statistische validatie. De mens beslist hoe de indicatoren worden geoperationaliseerd
in de data en hoe zij worden weergegeven in de rapportage. Dit volgt uit de artikelen
2.9, tweede lid, en 2.10 van het concept-BGS en artikel 1.9, tweede lid, van het wetsvoorstel
(verplichting tot menselijke tussenkomst).
Vraag 33 (PvdA) – menselijke tussenkomst bij geautomatiseerde gegevensanalyse
De leden van de PvdA-fractie lezen dat het wetsvoorstel inzake geautomatiseerde gegevensanalyses
onder andere een «verplichting tot menselijke tussenkomst om te controleren op zorgvuldige
totstandkoming van resultaten». Kan de Minister concreet aangeven waaruit de menselijke
tussenkomst moet gaan bestaan en op welke momenten die moet plaatsvinden?
Geautomatiseerde gegevensanalyse is volgens artikel 1.1 WGS een analyse van persoonsgegevens
waarbij tijdens de analyse geen menselijke tussenkomst plaatsvindt.30 De gegevensanalyse wordt dus daadwerkelijk door een geautomatiseerd systeem uitgevoerd.
Het wetsvoorstel vereist wel dat er menselijke tussenkomst plaatsvindt in de fase
nadat de analyse is voltooid maar voordat de resultaten worden verstrekt aan de deelnemer van het samenwerkingsverband. Daarbij
moet gecontroleerd worden op zorgvuldige totstandkoming van de analyse (artikel 1.9,
tweede lid, WGS).
Welke vormen van geautomatiseerde gegevensanalyse mogelijk zijn, kan verschillen per
samenwerkingsverband en wordt in de amvb nader uitgewerkt.
Alleen aan iCOV geeft het wetsvoorstel de bevoegdheid tot gezamenlijke geautomatiseerde
gegevensanalyse (artikel 2.13). Deze bevoegdheid is uitgewerkt in artikel 2.9 tot
en met 2.12 van het concept-BGS. Het gaat dan om de geautomatiseerde gegevensanalyse
van gegevensbestanden ten behoeve van een iCOV themarapportage, waarbij de analyse
van de data door middel van (beschrijvende) algoritmen plaatsvindt en niet alleen
door menselijke duiding. De iCOV themarapportage bestaat feitelijk uit een eerste
deel, dat geautomatiseerd tot stand is gekomen, en een tweede deel met handmatige
hoofdstukken, waarin de rapporteur menselijke duiding geeft. Hierbij wordt ook uitgelegd
hoe de resultaten tot stand zijn gekomen. Voordat de rapportage verstrekt wordt, wordt
de rapportage door meerdere medewerkers gecontroleerd.
Ook voorafgaand aan de geautomatiseerde gegevensanalyse is voorzien in menselijke
tussenkomst. De rechtmatigheidsadviescommissie beoordeelt de te hanteren indicatoren,
verwerkingsmethode en gegevens; dit geschiedt aan de hand van een door deelnemers
van iCOV op te stellen productbeschrijving. Daarin moeten zij het thema, de indicatoren
en de methode beschrijven en verantwoorden (artikel 2.9, tweede lid, concept-BGS).
Vraag 34 (PvdA) – verbod op algoritmen met onnavolgbare, oncontroleerbare uitkomsten
Hoe en door wie wordt het «verbod op algoritmen waarvan de uitkomsten niet navolgbaar
en controleerbaar zijn» gehandhaafd? Is de AP de daarvoor aangewezen instantie en
heeft die inmiddels wel voldoende capaciteit om deze taak te kunnen uitvoeren?
Artikel 1.9, zesde lid, WGS, verbiedt om algoritmes te hanteren waarvan de uitkomsten
niet navolgbaar en controleerbaar zijn. Hierop is allereerst het toezicht van toepassing
dat van toepassing is op de naleving van alle bepalingen van het wetsvoorstel, inclusief
het toezicht door de AP. Hierop is nader ingegaan in antwoord op vraag 40 (D66) – toezicht en op vraag 41 (D66) – capaciteit AP. Bovendien voorziet het wetsvoorstel in diverse terugkoppelings- en evaluatiemechanismen
van de gegevensverwerkingen:
De ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband
zijn verplicht ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid
van die resultaten was (artikel 1.7, vierde lid, wetsvoorstel).
De deelnemers van een samenwerkingsverband moeten een periodieke evaluatie op basis
van deze terugkoppeling uitvoeren (artikel 1.7, vijfde lid, wetsvoorstel).
In onafhankelijke privacy audits moet periodiek worden onderzocht of men voldoet aan
de AVG en de WGS; de resultaten gaan in afschrift naar de AP (artikel 1.10 wetsvoorstel).
Er moet een jaarverslag worden gepubliceerd met een terugkoppeling over de bruikbaarheid
van de resultaten die partijen van het samenwerkingsverband hebben ontvangen (artikel
1.12 wetsvoorstel).
Een evaluatie van de doeltreffendheid en effecten van de wet in de praktijk moet binnen
vijf jaar plaatsvinden (artikel 5.1 wetsvoorstel).
De indicatoren worden opgesteld op basis van wetenschappelijke kennis, statistische
validatie en expertkennis (artikel 2.10 concept-BGS).
De rechtmatigheidsadviescommissie geeft verplicht advies aan de deelnemers over onder
meer de indicatoren en verwerkingsmethode (artikel 2.9, tweede lid, concept-BGS).
Vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse
Hoe wordt de «verplichting tot uitleg op toegankelijke wijze aan het publiek over
de gehanteerde patronen, indicatoren en andere onderliggende logica» concreet uitgevoerd
en gehandhaafd?
Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet het
samenwerkingsverband op toegankelijke wijze op eigen initiatief uitleg geven over
gehanteerde patronen, indicatoren en andere onderliggende logica (artikel 1.9, derde
lid, WGS).
«Op toegankelijke wijze» uitleg geven wil zeggen dat men weinig moeite hoeft te doen
om toegang tot de informatie te krijgen. Opneming daarvan in een privacystatement
op de eigen website met een duidelijke link op de homepage kan daaraan bijdragen.
Concreet betekent dit dat een iCOV-themarapportage pas door de deelnemers aan iCOV
kan worden aangevraagd als de vereiste uitleg is gepubliceerd op de website van iCOV.
In overleg met de deelnemers en de rechtmatigheidsadviescommissie wordt een tekst
opgesteld met de beschrijving van de themarapportage. Om te voorkomen dat criminelen
hun gedrag aanpassen als ze weten welke indicatoren gebruikt worden, kan op de website
van iCOV geen gedetailleerde beschrijving worden gegeven van de indicatoren. Zoals
toegelicht in de nota naar aanleiding van het verslag, betekent artikel 1.9, derde
lid, WGS bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, dat
variabelen bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd
worden. Te denken valt aan het aantal hypotheken op één naam, omdat een groot aantal
hypotheken op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie.
De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken
op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden
gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden.31
Of de verplichting tot uitleg wordt nagekomen kan worden onderzocht in de verplichte
onafhankelijke privacy audits en door de Autoriteit Persoonsgegevens en de functionarissen
voor gegevensbescherming. De Autoriteit Persoonsgegevens kan zo nodig handhavend optreden.
Vraag 36 (Volt) – controle op risico-indicatoren geautomatiseerde gegevensanalyse
Kan de Minister toelichten hoe de Kamer, of de relevante toezichthouder, in staat
zal worden gesteld om te controleren welke risico-indicatoren worden gebruikt bij
deze geautomatiseerde gegevensanalyse?
Meer gedetailleerde informatie over de gebruikte indicatoren bij geautomatiseerde
gegevensanalyse kan in een vertrouwelijke setting met uw Kamer worden gedeeld. De
relevante toezichthouder, de Autoriteit Persoonsgegevens, is belast met het toezicht
op de naleving van de WGS op grond van de artikelen 6, derde lid, en 15, eerste lid,
Uitvoeringswet AVG. Op grond van artikel 5:17 Algemene wet bestuursrecht kan de AP
ter uitvoering van haar toezichttaak inzage vorderen van zakelijke gegevens en bescheiden.
Dit betekent dat de AP dan kennis kan nemen van een gedetailleerde beschrijving en
verantwoording van de gebruikte indicatoren.
Vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI
Vooralsnog is geen uitvoering gegeven aan de moties die zien op het verplichten van
algoritmeregisters en blijkt nog te vaak dat uitvoeringsorganisaties onvoldoende zicht
hebben op de algoritmes en IT-systemen die worden gebruikt om geautomatiseerde gegevensanalyse
uit te voeren. Uit een rapport van de Algemene Rekenkamer blijkt dat vrijwel geen
enkel ministerie een goed beeld heeft van de AI die het ministerie zelf gebruikt.32 Kan de Minister toelichten hoe ervoor gezorgd zal worden dat de gegevensverwerking
en de gebruikte IT-systemen te controleren zijn?
Het kabinet is bezig met de opzet en inrichting van het algoritmeregister. Daarbij
wordt dankbaar gebruik gemaakt van ervaringen met recent opgezette bestaande algoritmeregisters
(zoals die van de gemeenten Amsterdam, Utrecht en Rotterdam). Die laten zien dat het
belangrijk is om transparant te zijn over het gebruik en de impact van algoritmen
en dat het moet gaan om algoritmen met aanmerkelijke impact op burgers. Zoals de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties op 4 juli 2022 aan uw Kamer heeft geschreven,
heeft zij met de CIO’s van de Rijksdienst afgesproken dat zij beginnen met het in
het kaart brengen van hun algoritmen en maakt zij met medeoverheden en uitvoeringsorganisaties
afspraken over eenduidige registratie van algoritmen.33
Zoals nader is toegelicht in de brief publieke controle op algoritmen aan uw Kamer
van 7 oktober 2022, vindt de uitwerking van het algoritmeregister komend jaar plaats
in nauwe samenwerking met overheden en experts.34 Een registratieverplichting volgt later, want die moet in samenhang bezien worden
met de Europese AI verordening die zich op dit moment nog in de onderhandelingsfase
bevindt. Deze bevat onder andere een rechtstreeks werkende verplichting voor de aanbieders
van hoog-risico AI-systemen om het systeem te registreren in een EU-databank inclusief
informatie over het systeem. Deze registratie dient te gebeuren voordat een aanbieder
het systeem op de markt brengt of onder eigen naam het systeem in gebruik neemt. Daarnaast
is tijdens de raadsonderhandelingen over de AI-verordening, mede door de Nederlandse
inzet, ook een registratieverplichting opgenomen voor de gebruikers van hoog-risico
AI-systemen.
Volgens het wetsvoorstel en het concept-BGS kan alleen iCOV gebruik maken van geautomatiseerde
gegevensanalyse. Voordat rapportages met deze vorm van analyse verstrekt kunnen worden,
moet een productbeschrijving opgesteld worden waarin het gehanteerde thema, de indicatoren
en de methode worden beschreven en verantwoord (artikel 2.9, tweede lid, concept-BGS).
Bovendien moet iCOV op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke
wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende
logica. Hiermee is er dus inzicht in de gehanteerde algoritmen.
Vraag 38 (Volt) – algoritmetoezichthouder
Op basis van welke regels moet de nog op te richten algoritme-waakhond toezicht houden?
Dit kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmetoezichthouder
die is ondergebracht bij de Autoriteit Persoonsgegevens. Het kabinet beraadt zich
nog op de nadere invulling van deze algoritme toezichtstaak. Voor het kerstreces ontvangt
u hierover een brief.
Vraag 39 (Volt) – algoritmeregisters
Wanneer wordt gestart met de openbare algoritmeregisters?
Verwezen wordt naar het antwoord op vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI.
5. Toezicht
Vraag 40 (D66) – toezicht
De leden van de D66-fractie horen graag van de Minister hoe het toezicht geregeld
is op de WGS.
Het toezicht op de gegevensverwerking bij de samenwerkingsverbanden in de zin van
de WGS is op verschillende manieren geborgd:
De in te stellen rechtmatigheidsadviescommissie zal ingevolge het voorgestelde artikel
1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking
van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe
verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband
te doen om onrechtmatigheden op te lossen. In het concept-BGS is voorzien dat een
rechtmatigheidsadviescommissie moet bestaan uit door de deelnemers aan een samenwerkingsverband
benoemde personen met deskundigheid en ervaring op het gebied van de toepasselijke
wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel
1.14, eerste lid, concept-BGS).
Op basis van artikel 1.10 van het wetsvoorstel dient periodiek een onafhankelijke
privacy-audit plaats te vinden. Zo wordt elk samenwerkingsverband periodiek doorgelicht
op compliance met de AVG, de WGS en het BGS. De resultaten van de privacy audits moeten
worden toegezonden aan de AP.
De functionarissen voor gegevensbescherming van de afzonderlijke deelnemers hebben
het recht om te allen tijde de taken uit te voeren die op grond van de privacywetgeving
aan hen zijn toebedeeld. In aanvulling daarop wordt ingevolge het voorgestelde artikel
1.4, tweede lid, WGS één van de functionarissen voor gegevensbescherming van de deelnemende
overheidsinstanties aangewezen die als coördinerend functionaris voor gegevensbescherming
voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste
lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht
door het samenwerkingsverband. Dit laat de bevoegdheden van de functionarissen onverlet,
maar moet de coördinatie bevorderen van het bestaande toezicht door de functionarissen
voor de gegevensbescherming. Zo moeten de deelnemers rapporteren aan de coördinerend
functionaris voor de gegevensbescherming, indien zij besluiten af te wijken van een
advies (artikel 1.13 concept-BGS).
Het toezicht op de naleving door het samenwerkingsverband van de AVG, de WGS en het
BGS valt onder de bevoegdheid van de AP.
Het kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmetoezichthouder
die is ondergebracht bij de AP.
Vraag 41 (D66) – capaciteit AP
Gezien een groot deel van de waarborgen later pas ingevuld wordt door middel van AmvB’s,
kan de Minister aangeven of de AP voldoende capaciteit heeft voor de gegevensverwerking
die op grote schaal zal toenemen met dit wetsvoorstel?
De AP heeft voldoende bevoegdheden om toezicht te houden op de gegevensdeling tussen
bestuursorganen onderling. De algehele capaciteit van de AP is naar mijn mening voldoende
voor het takenpakket dat zij heeft. Hoe de AP deze capaciteit verdeelt over de verschillende
taken en aandachtsgebieden is aan de AP als onafhankelijke toezichthouder. Het budget
van de AP bedraagt in 2022 bijna 26 miljoen euro. In het coalitieakkoord is bovendien
extra budget voor de AP opgenomen. In 2022 gaat het om 2 miljoen euro extra. Vanaf
2025 gaat het om 8 miljoen euro structureel. De AP kan dit budget naar eigen inzicht
besteden over zijn taken.
6. Overig
Vraag 42 (VVD) – gegevensuitwisseling in Italië
Deze leden stellen voorop dat voor een succesvolle aanpak van georganiseerde criminaliteit
het cruciaal is dat verschillende instanties gegevens kunnen uitwisselen. Omdat veel
verschillende organisaties bij deze gegevensuitwisseling moeten toetsen aan verschillende
grondslagen, leidt dat tot vertraging, versnippering en onvolledigheid. Deze leden
gaan er dan ook vanuit dat met de Wet gegevensverwerking door samenwerkingsverbanden
(WGS) een goede grondslag wordt gecreëerd voor gegevensdeling, uiteraard met daarbij
passende waarborgen. Deze leden wijzen hierbij voorts op het coalitieakkoord, waarin
is opgenomen dat de aanpak van ondermijning wordt verstevigd door aanpassing van wetgeving,
opsporing, straffen, gegevensuitwisseling en detentie, en dat hierbij lessen worden
getrokken uit de bestrijding van de maffia in Italië. Kan de Minister aangeven op
welke wijze lessen zullen worden getrokken wat betreft de gegevensuitwisseling die
plaatsvindt in Italië? Wanneer wordt de Kamer hierover geïnformeerd?
In Italië vindt uitwisseling van informatie ten behoeve van de anti-maffia aanpak
veelvuldig plaats. De opsporingsinstanties werken onderling en met het Openbaar Ministerie
nauw en veelvuldig samen. Daarvoor zijn de nodige grondslagen voor gegevensdeling
opgenomen in sectorale wetgeving, zoals die ook bij ons zijn opgenomen in de Wet politiegegevens
en de Wet justitiële en strafvorderlijke gegevens. Aan de hand van deze wetten kan
in de huidige Nederlandse strafrechtspraktijk voldoende. Kijkend naar Italië, valt
de winst in Nederland vooral te boeken in het vormgeven van de samenwerking en de
gezamenlijkheid van de (opsporings- en vervolgings-) strategie. Vaker dan nu het geval
is, zal de focus van de opsporing gericht moeten zijn op het ontmantelen van gehele
criminele machtsstructuren en niet enkel het vervolgen van criminelen. Op bestuursrechtelijk
vlak wordt in Italië in het kader van de Anti-Maffia Code veelvuldig gebruik gemaakt
van domeinoverstijgende informatie en worden vergunnings- en subsidiebeslissingen
genomen op basis van gegevens vanuit verschillende overheidsorganisaties. Een soortgelijke
aanpak van ondermijning vanuit de bestuursrechtelijke kant kennen wij ook in Nederland,
in de vorm van de Wet Bibob en ons LIEC/RIEC-bestel. Gecombineerd met de mogelijkheden
die de WGS straks zal kunnen bieden, zullen we op dit vlak niet achterlopen op de
Italiaanse wijze van bestuursrechtelijke aanpak van georganiseerde criminaliteit.
Over de wijze waarop ik uitwerking zal geven aan de coalitieambitie «Leren van de
Italiaanse aanpak», wordt uw Kamer in het voorjaar van 2023 nader geïnformeerd.
Vraag 43 (SP) – reactie op brief Amnesty International
De leden van de SP-fractie wijzen ten slotte op de reactie van Amnesty International
Nederland, die afgelopen week bij de Kamer binnenkwam. In de brief benoemt Amnesty
International waarom de reactie van de Minister op de kritische adviezen onvoldoende
is en niet tegemoetkomt aan de voornemens van het nieuwe kabinet dat «de grondslagen
voor gegevensuitwisseling met de juiste waarborgen, zoals doelbinding en proportionaliteit,
zijn verankerd in de wet en dat in adequaat toezicht is voorzien». Deze leden vragen
of de Minister op de punten kan reageren die Amnesty in haar brief heeft benoemd.
Amnesty International stelt in haar brief aan de Tweede Kamer van 14 februari 2022
(niet gepubliceerd) dat om mensenrechten te beschermen aanpassingen noodzakelijk zijn
in de in wet zelf, en dat het regelen van waarborgen niet moet worden uitgesteld tot
het moment dat de amvb tot stand komt. In reactie hierop wordt opgemerkt dat. In reactie
hierop wordt opgemerkt dat, om te voldoen aan het EVRM, sprake moet zijn van een wettelijk
voorschrift in materiële zin. Dat kan ook een amvb zijn, zoals hier aan de orde is.
Voor een nadere reactie verwijs ik naar het antwoord op vraag 28 (D66) – normering waarborgen bij amvb. Zoals uit de tabel in dat antwoord blijkt, bevat ook het wetsvoorstel zelf een reeks
aan waarborgen, zodat naar mijn mening geen sprake is van uitstel, maar van aanvulling
van waarborgen.
Verder stelt Amnesty International dat het doel van de gegevensverwerking niet voldoende
specifiek is omschreven. Voor een reactie hierop verwijs ik naar het antwoord op vraag 29 (D66) – doelbinding.
Ook vindt Amnesty International dat de rechten van betrokkenen onvoldoende worden
beschermd. Voor een reactie hierop wordt verwezen naar het antwoord op vraag 17 (Volt) – rechten van burgers en transparantie, vraag 15 (SP) – transparantie op casusniveau, vraag 18 (Volt) – waarborgen tegen discriminatie en vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering.
De brief van Amnesty International besluit ermee dat de democratische controle onvoldoende
is verankerd bij het aanwijzen van nieuwe samenwerkingsverbanden, omdat het wetsvoorstel
niet voorschrijft wanneer sprake is van spoed en wie dat zal beoordelen. Dit is aan
bod gekomen in het antwoord op vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties en vraag 4 (SP) – over definitie spoed overleggen met de Kamers.
Vraag 44 (Volt) – betekenis WGS voor rechtmatigheid
In de verschillende brieven van de Minister komt naar voren dat het wetsvoorstel een
belangrijke verbetering zal zijn in vergelijking met de huidige situatie. Dat klinkt
positief, maar de leden van de Volt-fractie stellen de Minister de vraag wat dat precies
betekent. Betekent het dat in de huidige situatie gegevens worden gedeeld zonder grondslag,
dus onrechtmatig, of dat de gegevensdeling beter zal worden ingericht, dus in lijn
met de AVG en zonder ongeoorloofde inbreuk te maken op grondrechten?
Het wetsvoorstel betekent dat een eind komt aan de situatie waarin gebruik moet worden
gemaakt van grondslagen voor bilaterale gegevensverstrekking, met de bijbehorende
keerzijden, zoals beschreven in de knelpuntenanalyse uit de memorie van toelichting.35 Zoals toegelicht in de nota naar aanleiding van het verslag, is het de regering niet
gebleken dat er op dit moment samenwerkingsverbanden zijn die in strijd met de huidige
wetgeving gegevens uitwisselen.36 Wel is het zo dat de bestaande wetgeving onvoldoende rekening houdt met de integrale
werkwijze van deze samenwerkingsverbanden, waardoor zij nu kampen met versnippering,
onvolledigheid, grote complexiteit in de gegevensuitwisseling, evenals onduidelijkheden
omtrent de grondslagen. Daarom creëert het wetsvoorstel WGS heldere grondslagen voor
multilaterale gegevensverwerking en voorziet het de huidige gegevensverwerkingen van
een duidelijk juridisch kader.
Vraag 45 (Volt) – tijdpad amvb
Er moeten – zo blijkt uit de brief van de Minister – nog veel zaken worden uitgewerkt
bij AMvB. Zou de Minister een tijdspad kunnen schetsen waarin wordt aangegeven wanneer
deze AMvB’s worden opgesteld, waarbij ook wordt aangegeven wanneer uitvoering zal
worden gegeven aan de gegevensdeling in de wet, zodat vooraf volledig duidelijk is
onder welke voorwaarden en met welke waarborgen gegevens verwerkt zullen worden.
De amvb gaat gelijktijdig met de verzending van deze antwoorden in consultatie. Aan
de gegevensdeling kan uitvoering worden gegeven na aanvaarding van het wetsvoorstel
door de Eerste Kamer en na inwerkingtreding van het BGS. Voor dat besluit volgt in
de eerste helft van 2023 een voorhangprocedure, advisering door de Afdeling advisering
van de Raad van State en voor enkele artikelen een nahangprocedure.
Ondertekenaars
-
Eerste ondertekenaar
P.H. van Meenen, voorzitter van de vaste commissie voor Justitie en Veiligheid -
Mede ondertekenaar
A.M. Brood, griffier