Verslag (initiatief)wetsvoorstel (nader) : Verslag

Nr. 5 VERSLAG

Vastgesteld 27 maart 2023

De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van
bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal
hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel
voldoende voorbereid.

Inhoudsopgave

blz.

 
 
 
 
 

I

ALGEMEEN

2

 

1.

Inleiding

2

 

2.

Hoofdlijnen van het voorstel

4

 

3.

Advies en consultatie

6

 
 

3.1.

Inleiding

6

 
 

3.2.

Advies Autoriteit persoonsgegevens en samenhangende reacties

7

 
 

3.3.

Overige consultatiereacties

9

 
 
 
 
 

II

ARTIKELSGEWIJZE TOELICHTING

10

 
 
 
 
 

 

ARTIKEL I. Uitvoeringswet Algemene verordening gegevensbescherming

10

 

Onderdeel D

10

 

Onderdeel G

11

 

Onderdeel I

11

 

Onderdeel K

13

 

Onderdeel M

14

 

Onderdeel P

16

 

Onderdeel R

16

 

Onderdeel T

17

 
 
 
 
 

 

ARTIKEL II. Faillissementswet

17

 

Artikel X. Wet op het financieel toezicht

19

 

Overig

19

I ALGEMEEN

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het voorstel
van wet tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming
en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht
(hierna: het wetsvoorstel). Deze leden merken op dat er sinds de invoering van de
Algemene verordening gegevensbescherming (AVG) in mei 2018 op veel terreinen de bescherming
van persoonsgegevens beter is gewaarborgd. Desondanks zijn er al sinds de invoering
van de AVG serieuze vragen gerezen over een groot aantal onderwerpen. Deze leden achten
het van belang dat de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
bij de tijd wordt gehouden en verwelkomen in die zin de voorstellen die omissies herstellen,
dan wel extra duidelijkheden en mogelijkheden bieden. Zij stellen nog een aantal vragen.

De leden van de VVD-fractie kunnen begrijpen dat de regering heeft gekozen de omvang
van dit wetsvoorstel beperkt te houden, omdat het gaat om een verzamelwet, waarvan
de verschillende onderdelen niet van een omvang en complexiteit mogen zijn of dermate
gevoelig, dat ze een afzonderlijk wetsvoorstel rechtvaardigen. Gelet op de hoeveelheid
onderwerpen die raken aan het herstellen van omissies en moderniseringen van het gegevensbeschermingsrecht
die op andere momenten worden behandeld, dringt wel de vraag op in hoeverre het voor
de Tweede Kamer inzichtelijker kan worden gemaakt welke trajecten wanneer worden behandeld.
Kan de regering een overzicht verschaffen van de onderwerpen die verband houden met
gegevensbeschermingsrecht in de voorbereiding van het onderhavige wetsvoorstel of
gelijktijdig naar voren zijn gekomen en die geen plek hebben gekregen in het wetsvoorstel?
Deze leden zouden het op prijs stellen als er ook een inschatting kan worden gegeven
van het tijdspad dat de regering voor ogen staat om de voorstellen uit te werken en
naar de Kamer te sturen. Daarbij vragen de leden ook of de knelpunten die worden omschreven
in de motie Koopmans c.s.1, voor zover ze nog niet zijn opgelost, ook aan bod kunnen komen.

De leden van de D66-fractie hebben met interesse kennisgenomen van het voorstel van
wet, de memorie van toelichting, het wetgevingsrapport Verzamelwet gegevensbescherming,
het advies van de Raad van State, het nader rapport en de reacties van diverse adviserende
partijen. Deze leden willen de regering nog enkele vragen voorleggen.

De leden van de CDA-fractie hebben kennisgenomen van het voorstel tot de Verzamelwet
Gegevensbescherming. Deze leden danken de regering voor het ontwerp van het wetsvoorstel
en hebben hierover een aantal vragen.

De leden van de CDA-fractie vragen aan de regering welke specifieke knelpunten naar
voren zijn gekomen op het gebied van de UAVG waardoor de noodzaak is ontstaan om de
onderhavige Verzamelwet gegevensbescherming in te dienen. Deze leden zien bijvoorbeeld
op bepaalde vlakken een noodzaak om gegevensdeling juist te vergemakkelijken, zoals
wanneer het gaat om het oplossen van zaken omtrent mensenhandel of zorgfraude, maar
vragen daarbij aan de regering welke concrete gevallen zij voor ogen heeft gehad wat
betreft de voorgestelde wetswijziging.

De leden van de CDA-fractie vragen in hoeverre de regering de afweging heeft gemaakt
tussen het doel van de wet en de belangen die hiermee gediend worden, aldus specifieker
de afweging van de proportionaliteit en subsidiariteit van de wet. Deze leden vragen
ook in hoeverre de onderhavige wet zal gaan leiden tot een hogere mate van bureaucratie
op het gebied van gegevensdeling en privacy. Welke maatregelen neemt de regering om
de bureaucratie zoveel mogelijk in te dammen?

De leden van de CDA-fractie vragen aan de regering of zij in kaart kan brengen hoe
de UAVG zich verhoudt tot de uitvoeringswetten van de AVG in andere Europese lidstaten.
Verschilt de UAVG van Nederland op bepaalde vlakken van de uitvoeringswetten van de
AVG in andere Europese lidstaten en brengt de UAVG van Nederland een andere toepassing
en uitvoering teweeg dan in andere Europese lidstaten?

De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het
wetsvoorstel Verzamelwet Gegevensbescherming. Deze leden begrijpen dat met dit wetsvoorstel
de nodige wijzigingen worden doorgevoerd om het gegevensbeschermingsrecht te actualiseren.
Daarover hebben zij nog enkele vragen.

De leden van de SP-fractie hebben kennisgenomen van de voorgenomen wijziging van de
UAVG en hebben hierover nog een enkele opmerking en vragen. Deze leden begrijpen dat
deze verzamelwet er niet op ziet grote inhoudelijke wijzigingen aan te brengen, maar
merken desalniettemin op dat zij het betreuren dat het noodzakelijk debat over artikel 41
niet gevoerd wordt. Zij zien dat in de praktijk dit betekent dat mensen nog steeds
essentiële informatie wordt onthouden door instanties die een beroep doen op dit artikel.
De regering geeft aan dat, zoals het advies van de Autoriteit Persoonsgegevens (AP)
luidt, de gevolgen van het schrappen van deze bepaling niet te overzien zijn. De regering
geeft tevens aan dat er «wel naar aanleiding van de opmerkingen en suggesties van
de AP zal worden bezien of er voldoende aanleiding is om alsnog tot wijziging in de
door de AP voorgestelde zin moet worden overgegaan. Dit vergt echter tijd.» Kan er
aangegeven worden hoe hierover wordt nagedacht en op welke termijn hierover geïnformeerd
kan worden? Wat is er sinds de wijziging in 2020 van dit voorstel gebeurd op dit terrein?

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het
wetsvoorstel wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming
en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht.
Deze leden hebben behoefte aan het stellen van nadere vragen.

De leden van de SGP-fractie hebben kennisgenomen van de wijziging van de Uitvoeringswet
Algemene verordening gegevensbescherming en enkele andere wetten in verband met het
stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben
nog enkele vragen over het wetsvoorstel.

De leden van de Volt-fractie hebben kennisgenomen van het wetsvoorstel Verzamelwet
gegevensbescherming. Deze leden merken daarbij op dat na vijf jaar AVG gebleken is
dat de Europese verordening een meerwaarde heeft voor de bescherming van persoonsgegevens
en privacy voor EU-burgers. Om de bescherming van Nederlandse EU-burgers scherper
te krijgen, zien zij dit voorstel als een stap in de goede richting. Over het voorstel
hebben zij nog wel enkele vragen.

Het lid Omtzigt heeft kennisgenomen van het voorstel van wet tot Wijziging van de
Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in
verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet
gegevensbescherming).

2. Hoofdlijnen van het voorstel

De leden van de VVD-fractie stellen dat sinds de inwerkingtreding van de UAVG er veel
klachten zijn van ondernemers die veelvuldig worden getroffen door fraude en die onvoldoende
kunnen doen om nieuwe fraude te voorkomen. Reeds bij de implementatie van de AVG hebben
ondernemingsbranches aangegeven moeite te hebben met de invulling van fraudepreventiebeleid,
omdat effectief fraudepreventiebeleid thans in hoge mate wordt belemmerd door een
mogelijke ontbrekende wettelijke grondslag. Vorig jaar organiseerde de vaste commissie
voor Justitie en Veiligheid nog een rondetafelgesprek over fraudepreventie en de toepasbaarheid
van een systeem in Nederland dat vergelijkbaar is met de Credit Industry Fraud Avoidance System (Cifas). Kan de regering ten aanzien van het onderwerp cross-sectorale gegevensdeling
de laatste stand van zaken schetsen? Op welke termijn is de regering bereid om een
voorstel te doen om cross-sectorale gegevensuitwisseling mogelijk te maken, voorzien
van adequate waarborgen voor privacy? Is de regering bereid hierover in contact te
treden met in elk geval VNO-NCW, MKB-Nederland, de Politie en de AP?

De leden van de VVD-fractie stellen vast dat zowel de lidstaten als de Europese Commissie
en het Europees Comité voor gegevensbescherming (EDPB) meermaals aandacht hebben gevraagd
voor het belang van harmonisering van regels, interpretatievraagstukken en handhaving.
Deze leden vragen in hoeverre naar aanleiding van voorstellen van het EDPB inmiddels
voorstellen worden voorbereid die bevorderen dat in lidstaten meer geharmoniseerd
omgaan met interpretatievraagstukken rondom de AVG, en of de regering in de kabinetsreactie
op de evaluatie van de UAVG expliciet kan ingaan op de wijze waarop toezicht en handhaving
kan worden geharmoniseerd.

De leden van de D66-fractie hebben ook met interesse kennisgenomen van het advies
van de AP in relatie tot artikel 41 (de rechten van betrokkenen). De AP stelt voor
het artikel drastisch te wijzigen of te schrappen. De regering kiest er nu niet voor
om dit artikel fundamenteel te wijzigen. Deze leden willen graag weten wat de redenen
zijn om de waarborgen niet in sectorale wetgeving te regelen, zoals de AP voorstelt.
Deze leden volgen de redenatie dat er op die manier maatwerk kan worden geboden. De
regering kiest er voor om in een later stadium te bekijken of dit artikel moet worden
aangepast. In hoeverre acht de regering het wenselijk en mogelijk om dit artikel mogelijk
toch te herzien, op basis van de evaluatie van de UAVG, die in mei 2023 met de Tweede
Kamer zal worden gedeeld?

De leden van de CDA-fractie lezen dat in artikel 50 van de UAVG is bepaald dat de
Minister voor Rechtsbescherming binnen drie jaar na de inwerkingtreding van de UAVG,
en vervolgens telkens na vier jaar, aan de Staten-Generaal een verslag zendt over
de effecten en uitvoering van deze wet in de praktijk. Deze evaluatie is in juni 2022
door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) gepubliceerd2. Kan de regering inmiddels een reactie geven op de bevindingen uit dit onderzoek?
Daarnaast vragen deze leden of dit onderzoek aanleiding heeft gegeven om opnieuw wijzigingen
van de UAVG in overweging te nemen.

De leden van de SGP-fractie constateren dat de UAVG «beleidsneutraal» moest zijn en
tot een nadere invulling op de AVG moest dienen. Deze leden overwegen dat in de praktijk
de UAVG stringenter wordt uitgevoerd en uitgelegd dan de AVG verplicht. Zij constateren
dat het zorgdomein geen gegevens met het justitiedomein meer durft te delen en andersom
uit angst om de AVG te overtreden. De leden van deze fractie vrezen dat de AVG en
UAVG té stringent worden uitgelegd en dat dit niet dient ter bescherming van de privacy
van burgers, maar eerder een belemmering in de uitvoering vormt. Deze leden vragen
de regering of hierop gereflecteerd kan worden en vragen de regering hoe aan deze
partijen en bestuursorganen de juiste handvaten worden meegegeven om de AVG en UAVG
te implementeren.

De leden van de SGP-fractie constateren dat ook binnen bestuursorganen, zoals gemeenten,
gegevens niet gedeeld kunnen worden tussen verschillende afdelingen waar dit voor
de invoering van de AVG wel het geval was. Zorgwekkende constateringen wat betreft
de veiligheid van gezinssituaties kunnen vanuit de Wet maatschappelijke ondersteuning
(WMO) niet gedeeld worden met het juridische domein. Deze leden vragen de regering
of de AVG niet strenger wordt toegepast dan nodig en vragen de regering hoe voorkomen
wordt dat stringente toepassing deze hulp in de weg staat.

De leden van de SGP-fractie constateren dat ook binnen het veiligheidsdomein tegen
de stringente toepassing van de AVG en UAVG wordt gelopen. Gegevens van veiligheidsdiensten
worden niet gedeeld met opsporingsdiensten, waardoor onderzoek opnieuw moet plaatsvinden.
Dit is zeer inefficiënt en kan ook grote veiligheidsrisico’s met zich meebrengen.
Deze leden vragen de regering of de uitzonderingsmogelijkheden van zwaarwegend algemeen
belang standaard gelden als de nationale veiligheid in het geding is of wanneer er
sprake is van een mogelijk veiligheidsincident waardoor gegevens tussen diensten gedeeld
kunnen worden. Zij vragen tevens of binnen de opsporingsdiensten niet gemakkelijker
gegevens gedeeld moeten kunnen worden in het belang van veiligheid en efficiëntie
in de opsporing. Deze leden stellen een algemene uitzonderingsgrond voor ten behoeve
van veiligheidsdiensten en vragen de regering om hierop te reflecteren.

De leden van de SGP-fractie constateren dat ook in het schulden-en armoedebeleid gegevensdeling
moeizaam verloopt. Deze leden wijzen op de expliciete toestemming die burgers moeten
geven alvorens gegevens gedeeld mogen worden. Met name in dit domein kan vanuit gevoelens
van schaamte een zekere drempel bestaan om aan te kloppen bij hulporganisaties. Deze
leden vragen de regering of onderzocht wordt hoe eenmalige expliciete toestemming
voldoende is voor het delen van gegevens tussen organisaties zodat burgers hier niet
steeds mee geconfronteerd worden.

De leden van de SGP-fractie constateren dat de Belastingdienst een belangrijke partner
is voor opsporingsinstanties en veiligheidsdiensten wat betreft crimineel vermogen.
Deze leden constateren tevens dat de Belastingdienst onder een vergrootglas ligt en
terughoudend is met het delen van cruciale informatie. Zij overwegen dat de AVG de
burger moet beschérmen tegen het onrechtmatig delen van gegevens, niet de crimineel
moet beschermen ten kóste van die bezorgde burger. De leden vragen de regering wat
kan worden gedaan om te bevorderen dat cruciale informatie in het opsporingsonderzoek
tijdig en afdoende wordt gedeeld. Kunnen de opsporings-en veiligheidsdiensten niet
weer op basis van vertrouwen samenwerken om criminelen aan te pakken? Kan de regering
met een duidelijk werkplan komen met oog voor de knelpunten in de AVG waarin voorop
staat wat wel kan?

Het lid Omtzigt leest dat op hoofdlijnen er sprake is van vrij technische verbeteringen
en aanvullingen die in beginsel bijdragen aan verduidelijking van de UAVG. Met name
het regelen van de bevoegdheden van curatoren (in faillissement) kan bijdragen aan
het doorstarten van ondernemingen en daarmee de werkgelegenheid en positie van werknemers.

Wel is het lid Omtzigt benieuwd hoe de regering denkt over het voorstel van de AP
in haar reactie op het wetsvoorstel d.d. 26 januari 2023 om ook gegevens van overledenen
onder de werking van de AVG te brengen? Zal dit wetenschappelijk onderzoek en verwerking
door erfgenamen niet onnodig hinderen? De AP stelt in dezelfde brief voor bedrijven
een rechtsingang bij de rechter te verschaffen waardoor degenen die concurrentievervalsing
ervaren een actie hebben tegen andere bedrijven die zich niet aan de AVG houden en
hierdoor ten onrechte voordeel behalen. Hoe beoordeelt de regering dit voorstel? En
hoe beoordeelt de regering het voorstel van de AP bij UAVG mogelijk te maken dat burgers
actief geïnformeerd worden over het gebruik van algoritmes?

Regelmatig blijkt dat de Staat een beperkte uitleg van de AVG hanteert waar het gaat
om inzage door betrokkenen in, en een kopie verkrijgen van, documenten die zij nodig
hebben voor het beoordelen van hun rechtspositie of het handhaven van hun rechtspositie
tegenover de Staat. Zo worden documenten waarin code 88 (fraudeur) van de Belastingdienst
voorkomt of een toelichting waarom iemand als fraudeur wordt aangemerkt niet ter inzage
gegeven. Het lid Omtzigt vraagt of de regering vindt of het, mede tegen de achtergronden
van de misstanden die in de Toeslagenaffaire aan het licht zijn gekomen, niet op de
weg van de regering ligt om in de UAVG een ondubbelzinnige regeling op te nemen, die
waarborgt dat een betrokkene inzage in en afschrift van alle documenten krijgt die
van invloed kunnen zijn op zijn rechtspositie als de betrokkene oordeelt dat zulks
het geval is. Dit lid verzoekt bij de beantwoording op deze vraag de uitspraken HvJEU
20 december 2017 zaak C-434/16 (Nowak) en 12 januari 2023 zaak C-154/21 (Österreichische
Post) te betrekken.

3. Advies en consultatie

3.1 Inleiding

De leden van de VVD-fractie stellen in algemene zin dat de memorie van toelichting
niet tot nauwelijks in gaat op enkele onderdelen uit adviezen van geconsulteerde organisaties.
Ook al is het doel van het wetsvoorstel niet om te voorzien in een uitputtende lijst
van ingrijpende wijzigingen en keuzes om sommige onderwerpen pas later in andere trajecten
te behandelen, toch zou het voor de begrijpelijkheid van deze keuzes goed zijn om
waar mogelijk toch te reageren op de gedane voorstellen van geconsulteerde organisaties.
Met name waar het gaat om de adviezen van VNO-NCW en MKB-Nederland en de politie vragen
deze leden of de regering hier alsnog nader op in kan gaan en of het College van Procureurs-Generaal
ook is geconsulteerd bij het wetsvoorstel, en zo ja, wat hun reactie was.

Specifiek vragen de leden van de VVD-fractie aandacht voor het volgende. Deze leden
lezen in het advies van de Korpschef uit mei 2020 dat er bij de politie een sterke
behoefte bestaat om het mogelijk te maken dat persoonsgegevens die worden verwerkt
voor een zuiver persoonlijk of huishoudelijke activiteit beter kunnen worden verstrekt
aan de politie, met een beperking van de verplichtingen voor een verwerkingsverantwoordelijke.
Het is voor deze leden op basis van de memorie van toelichting niet duidelijk hoe
dit advies is opgevolgd. Hetzelfde geldt voor het advies van de Korpschef om een betere
grondslag te creëren om het beheer van meldkamers beter uit te voeren en daartoe artikel 30,
derde lid onder a van de UAVG te wijzigen. Kan de regering hier een reactie op geven?
Verder adviseerde de Nederlandse Orde van Advocaten (NOvA) om het wetsvoorstel aan
te vullen nu de Wet Homologatie Onderhands Akkoord (WHOA) inmiddels in werking is
getreden. Kan de regering aangeven waarom het niet nodig is naar aanleiding daarvan
nader te specificeren hoe gegevensverwerking kan plaatsvinden?

3.2 Advies Autoriteit persoonsgegevens en samenhangende reacties

De leden van de VVD-fractie lezen dat er aanvankelijk mede naar aanleiding van de
motie Koopmans c.s.3 een grondslag in het wetsvoorstel was opgenomen op grond waarvan onder meer verenigingen
voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van
hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. Naar
aanleiding van een opmerking van de AP is deze grondslag geschrapt, omdat de AP aangaf
dat van een zwaarwegend algemeen belang op dit moment niet blijkt. De regering schrijft
hierbij dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment
sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van
gezondheidsgegevens, naast de al mogelijke grondslag uitdrukkelijke toestemming. Waarop
baseert de regering deze stelling? Op basis van welke informatie en gesprekken kan
de regering dit op dit moment concluderen? Als er geen noodzaak is voor uitbreiding,
waarom wordt dan nog verder hierover gesproken met de betrokken partijen?

De leden van de VVD-fractie begrijpen het verzoek van de AP om een voorziening te
treffen om voor bepaalde activiteiten een tarief in rekening te kunnen brengen, zoals
bijvoorbeeld het aanvragen van een vergunning of het aanvragen van een voorafgaande
raadpleging. Nu dit niet in het onderhavige wetsvoorstel wordt geregeld en dit onderwerp
voor het kabinet nog een nadere afweging vergt, wordt dit onderwerp ook betrokken
in de gesprekken over de financiering van de AP? Deze leden vragen of de regering
bij gesprekken over de taken, bevoegdheden en capacitaire uitdagingen ook aan de orde
komt welke mogelijkheden er zouden zijn om tarieven in rekening te brengen voor diensten
die de AP levert en hoe dit in de praktijk het beste vorm kan worden gegeven. Alhoewel
de AVG niet van toepassing is op de verwerking van persoonsgegevens van overleden
personen, kunnen lidstaten hier wel regels voor opnemen. De leden begrijpen de keuze
om eerst te bezien of een probleem met betrekking tot de verwerking van gegevens van
overleden personen niet eerst kan worden opgelost door de markt zelf, bijvoorbeeld
via voorlichting, tools en specifieke dienstverlening. Wordt dit onderwerp ook betrokken
bij de gesprekken op EU-niveau over een herschikte verordening? En zo ja, wanneer
wordt de Kamer hier nader over geïnformeerd?

De leden van de D66-fractie lezen dat de AP heeft gesuggereerd te overwegen om de
mogelijkheid te benutten die de UAVG in artikel 80, tweede lid, biedt. Het betreft
de mogelijkheid om maatschappelijke organisaties onafhankelijk van de opdracht van
een betrokkene een klacht te kunnen laten indienen als die organisatie van oordeel
is dat rechten van betrokkenen zijn geschonden. De regering heeft aangegeven de noodzaak
niet te zien dit in te voeren. Heeft de regering onderzocht of bij maatschappelijke
organisaties de behoefte bestaat aan deze mogelijkheid? Zo ja, wat is daar uitgekomen?

De leden van de D66-fractie hebben ook kennisgenomen van het onderdeel over digitale
nalatenschap. De regering geeft aan dat zij het te vroeg vindt voor wettelijke maatregelen
hierover. Eerst zouden de verdere ontwikkelingen en de maatschappelijke discussie
verder moeten worden uitgekristalliseerd. Bovendien heeft volgens de regering een
Europese regeling de voorkeur boven een nationale regeling. De Europese Commissie
heeft aangegeven nut te zien in verder onderzoek naar de noodzaak van nadere regelgeving.
Kan de regering aangeven wat hieromtrent de concrete plannen zijn?

De leden van de CDA-fractie lezen dat in het wetsvoorstel zoals dat in consultatie
is gegaan, een grondslag was opgenomen op grond waarvan onder meer verenigingen voor
cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun
leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. De Autoriteit
Persoonsgegevens (AP) had onder andere opgemerkt dat een wettelijke grondslag tot
gevolg kan hebben dat zelfs tegen de wil van de betrokkene diens bijzondere persoonsgegevens
zouden mogen worden verwerkt. De regering heeft aan deze opmerkingen gevolg gegeven
en de wettelijke grondslag geschrapt, met als reden dat de problemen in de praktijk
niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding
van de grondslag voor de verwerking van gezondheidsgegevens. Deze leden vragen wat
de aanleiding en achterliggende gedachte was om de wettelijke grondslag in eerste
instantie wel op te nemen in het wetsvoorstel, nu blijkt dat er geen noodzaak toe
is. Zij vragen waarom niet is gekozen voor een opt-out systeem.

De leden van de fractie van GroenLinks constateren dat de AP essentieel is in het
realiseren van de beloften van de AVG. Het bevreemdt deze leden dan ook enigszins
dat in deze verzamelwet geen voorstellen worden gedaan om de effectiviteit en slagkracht
van de AP te verbeteren. Deze leden hebben echter het idee dat daar wel aanleiding
toe bestaat. Zo blijkt uit een recent rapport van de Nationale ombudsman4 dat de behandeltermijn van klachten zeer lang is, en dat mensen ook moeilijk reactie
krijgen als de AP besluit geen onderzoek te doen naar aanleiding van hun klacht. Hoe
kijkt de regering naar een algemene verplichting voor de AP om minstens een keer per
drie maanden een klager te informeren over de voortgang van de behandeling, en daarbij
een verwachting te geven wanneer een beslissing op de klacht zal worden genomen? In
het Verenigd Koninkrijk publiceert de toezichthouder Information Commissioner´s Office (ICO) elk kwartaal een overzicht van alle klachten in machineleesbaar formaat, wanneer
deze zijn ingediend, wanneer er een besluit is genomen, en wat voor besluit er is
genomen. Hoe kijkt de regering naar een dergelijk middel om de Autoriteit Persoonsgegevens
(en eventueel andere toezichthouders) meer publieke verantwoording te geven van hun
activiteiten?

Daarnaast vragen de leden van de GroenLinks-fractie zich af of de regering overwogen
heeft om een algemene verplichting in te stellen voor de AP om haar besluiten op klachten
(geanonimiseerd) te publiceren? Deze leden zien toegevoegde waarde in een dergelijke
publicatieplicht, zodat de normuitleg in de klachtbeslissingen van de AP meer impact
kan hebben.

In de memorie van toelichting lezen de leden van de fractie van GroenLinks dat gezien
de mogelijkheden van artikel 3:305a BW sinds de invoering van de Wet afwikkeling massaschade
in collectieve actie (WAMCA), de regering onvoldoende aanleiding ziet om het mogelijk
te maken voor maatschappelijke organisaties om zonder opdracht van betrokkenen klachten
in te dienen bij de Autoriteit Persoonsgegevens, ondanks dat de AVG hier via art. 80,
tweede lid de mogelijkheid toe biedt. Deze leden zien echter ook naast artikel 3:305a
BW nut voor een collectief klachtrecht. Zoals de AP ook zelf aangeeft, kan van maatschappelijke
organisaties verwacht worden dat zij goed onderbouwde klachten over breed spelende
problematiek kunnen indienen. Draagt een collectief klachtrecht zo niet bij aan een
effectieve én efficiënte handhaving van de AVG? Kan de regering nader ingaan op waarom
de bestaande regeling voor collectieve vorderingen als voldoende middel worden beschouwd
voor de bijdrage van maatschappelijke organisaties aan de handhaving van de AVG?

Verder zien de leden van de GroenLinks-fractie dat de AP in haar consultatiereactie
stelt dat de werking van art. 42 UAVG momenteel te breed is, en dat deze beperkt zou
moeten worden tot de financiële ondernemingen waar daadwerkelijk een risico op bankrun bestaat. In reactie hierop schrijft de regering in de memorie van toelichting: «reeds
lang onder de Wft bestaande praktijk [is] dat een financiële onderneming incidenten
wel moet melden aan de financieel toezichthouders, maar niet aan betrokkene. Dit is
niet alleen bij banken te risicovol om dwingend te worden voorgeschreven». Waarom
is de regering van mening dat dit te risicovol is om dwingend voor te schrijven? Uit
welke concrete aanwijzingen blijkt dat het nodig is om zo een grote groep geheel uit
te zonderen van deze meldplicht?

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat artikel 80
lid 1 van de AVG niet de mogelijkheid biedt aan maatschappelijke organisaties om zonder
een opdracht van een betrokkenen een klacht in te dienen. Daarnaast nemen zij kennis
van het advies van de AP en de Consumentenbond om de maatschappelijke organisaties
wel de mogelijkheid te bieden om een klacht zonder opdracht van een betrokkenen via
het bestuursrecht in te dienen. Deze leden achten het wenselijk dat rechten van burgers
zowel via het privaatrecht als het bestuursrecht gewaarborgd kunnen worden. Kan de
regering aangeven waarom dit advies niet is overgenomen?

3.3 Overige consultatiereacties

De leden van de Volt-fractie constateren dat in de reactie op het advies van de Raad
van State de regering schrijft dat het begrip «zwaarwegend algemeen belang» een relatief
begrip is. Dat is logisch. Afhankelijk van de specifieke context moet worden bepaald
of in dat specifieke geval sprake is van een zwaarwegend algemeen belang. Voor zover
de regering van mening is dat zij dit begrip niet nader in de wet kan toelichten,
is zij bereid om indicatoren en een wegingskader op te stellen waarmee in de uitvoering
kan worden getoetst of in dat concrete geval sprake is van een zwaarwegend belang
(dat wil zeggen: een algemeen belang dat in die specifieke situatie zodanig is dat
het zwaarder weegt dan het belang van de bescherming tegen inbreuk op de persoonlijke
levenssfeer door het gebruik van bijzondere categorieën van persoonsgegevens)? In
hoeverre heeft de regering de opinies van de EDPB (voormalig WP29) betrokken bij het
opstellen van de wettekst?

II ARTIKELSGEWIJZE TOELICHTING

Artikel I. Uitvoeringswet Algemene verordening gegevensbescherming

Onderdeel D

De leden van de D66-fractie lezen dat er wordt voorgesteld dat minderjarigen die de
leeftijd van twaalf jaar hebben bereikt voortaan zelf hun toestemming kunnen intrekken
voor het verwerken van persoonsgegevens. De toelichting vermeldt dat het aan de verwerkingsverantwoordelijke
is om hier zorgvuldig mee om te gaan en een goede belangenafweging te maken, waarbij
de wens van de minderjarige om geen toestemming te verlenen zwaar meeweegt. Kan de
regering toelichten waar deze gevraagde zorgvuldigheid bij minderjarigen concreet
uit bestaat en wat het verschil is ten opzichte van meerderjarigen? In hoeverre geeft
dit ook aanleiding voor een bredere inzet op het gebied van de verwerking van persoonsgegevens
van minderjarigen, bijvoorbeeld door techbedrijven en/of sociale media platforms?
In hoeverre heeft de regering instrumenten om daar op te sturen?

De leden van de CDA-fractie lezen dat door de regering minderjarigen tussen 12 en
16 jaar in staat worden geacht om zelfstandig de toestemming in te kunnen en mogen
trekken om persoonsgegevens te verwerken. Deze leden vragen aan de regering of zij
een aantal voorbeelden kan geven van gevallen waarin een minderjarige tussen 12 en
16 jaar zou besluiten om deze beslissing te nemen. Zij vragen daarnaast welke urgentie
is gebleken om tot de aanpassing van dit artikel te komen en dus de beslissing tot
toestemming ook te beleggen bij minderjarigen tussen de 12 en 16 jaar zonder dat de
minderjarige afhankelijk is van de wettelijke vertegenwoordiger. De leden vragen of
de regering ook hier concrete voorbeelden van kan geven.

Door de wijze van formuleren lijkt het erop dat het uitgangspunt is dat de betrokkene
van 12 jaar en ouder, maar jonger dan 16 jaar, de rechten van de betrokkene kan uitoefenen
en dat het daarnaast mogelijk is dat de wettelijk vertegenwoordiger deze uitoefent.
De leden van de CDA-fractie vragen of dit betekent dat bij conflicterende verzoeken
van de betrokkene en van de wettelijk vertegenwoordiger, die van de betrokkene voor
gaat. Deze leden vragen voorts of de betrokkene bijvoorbeeld mag aangeven dat zij
niet wenst dat de wettelijk vertegenwoordiger inzage in haar persoonsgegevens heeft.
Zij begrijpen niet goed waarom de wetgever op deze wijze de wet gebruikt om spanning
te creëren tussen betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk
vertegenwoordigers. Kan de regering aangeven voor welk probleem dit een oplossing
is? En hoeveel concrete gevallen zijn er waarin er spanning bestaat tussen de wensen
van betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers?
In hoeveel andere EU-lidstaten is de leeftijd op deze 12 jaar gesteld?

De leden van de CDA-fractie hebben begrepen dat de AP wordt aangewezen als nationaal
controleorgaan als bedoeld in de Verordening (EU) 2016/794 van het Europees Parlement
en de Raad van 11 mei 2016. Deze leden hebben begrepen dat het hier om de zogenaamde
Europol-zaken gaat en vragen of dit klopt. En zo ja, dan vragen deze leden of dit
betekent dat het toezicht op politiegegevens door de AP wordt uitgevoerd op de AVG
in plaats van de Wet politiegegevens (Wpg). En hoe verhoudt zich dit met artikel 35
lid 1 van de Wpg waarin staat dat de AVG niet van toepassing is op »de verwerking
van persoonsgegevens door bevoegde autoriteiten met het oog op voorkoming, het onderzoek,
de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen
met inbegrip van de bescherming tegen en voorkoming van gevaren voor de openbare veiligheid
en het vrije verkeer van die gegevens»? Zij vragen of de AP niet als controleorgaan
dient te worden opgenomen in de Wpg.

De leden van de ChristenUnie-fractie vragen naar de handhaving van het toestemmingsvereiste
voor het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar. Deze leden
denken hierbij onder meer aan het verlenen van toestemming voor gebruik van sociale
media. Betekent het voorliggende voorstel dat er ook strengere eisen kunnen worden
gesteld aan platforms om te controleren dat een gebruiker daadwerkelijk toestemming
heeft en dat er wordt gecontroleerd of een gebruiker daadwerkelijk ouder is dan zestien
jaar?

De leden van de ChristenUnie-fractie merken op dat in het coalitieakkoord staat dat
kinderen het recht krijgen om niet gevolgd te worden en dat zij geen dataprofielen
zullen krijgen. Deze leden vragen of dit in voorliggend voorstel reeds afdoende wordt
geborgd. Indien dit in de ogen van de regering nog niet het geval is, vragen zij de
regering aan te geven wanneer wel tot deze borging zal worden overgegaan.

De leden van de ChristenUnie-fractie hebben kennisgenomen van het plan om de leeftijdsgrens
te veranderen naar 12 jaar voor het intrekken van de toestemming van de wettelijke
vertegenwoordiger. Deze leden vernemen daarnaast de adviezen van de Raad van de Rechtspraak,
de VNO-NCW en de politie om hierbij te waken voor het belanden in een vicieuze cirkel.
Zij vernemen ook het advies van de regering om de relatie tussen kind en wettelijke
vertegenwoordiger niet verder te juridiseren. Toch vragen de leden van de ChristenUnie-fractie
of de regering over deze gang van zaken meer verduidelijking kan geven in de memorie
van toelichting.

Onderdeel G

De leden van de CDA-fractie vragen of het klopt dat er geen (maximale) boete voor
het overtreden van de toe te voegen artikel(en) 10 van de AVG en 31 van de UAVG is
vastgesteld. Deze leden vragen of het niet verstandig is om duidelijk te maken wat
de maximale boetes kunnen zijn bij het overtreden van de toegevoegde feiten uit de
genoemde artikelen.

Onderdeel I

De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 23a
UAVG, waarin een uitzondering wordt opgenomen op het verbod om bijzondere categorieën
persoonsgegevens te verwerken. De uitzondering uit dit voorgestelde artikel geldt
voor verplichte accountantsopdrachten. Bijzondere categorieën persoonsgegevens zijn:
«persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze
of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken,
en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke
identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking
tot iemands seksueel gedrag of seksuele gerichtheid». Zou de regering kunnen toelichten
wanneer het in het kader van een verplichte accountantscontrole noodzakelijk zou zijn
om deze bijzondere categorieën persoonsgegevens te verwerken?

In de toelichting staat als voorbeeld genoemd dat bijvoorbeeld gezondheidsgegevens
aan de orde kunnen zijn bij controleverklaringen bij zorginstellingen. De leden van
de D66-fractie vragen of de regering kan aangeven waarom en wanneer deze gezondheidsgegevens
relevant kunnen zijn bij de taak die een accountant dient uit te voeren (los van de
vraag of deze gegevens gepseudonimiseerd zijn).

In artikel 29 staat opgenomen dat voor het gebruik van biometrische gegevens een dubbele
noodzakelijkheidstoets wordt ingevoerd. De leden van de D66-fractie zien dit als een
goede stap. Wel moet er duidelijkheid worden verschaft over wat er onder «een zwaarwegend
algemeen belang» wordt verstaan en wat daarbuiten valt. Kan de regering verder toelichten
wanneer het gebruik van deze gegevens noodzakelijk is voor beveiliging en wanneer
niet?

Wat betreft artikel 23a delen de leden van de D66-fractie de overtuiging van de AP
dat deze specifieke bepalingen mogelijk geen plek hebben in overkoepelende wetgeving
als deze. Kan de regering een inschatting geven van de regeldruk om dit soort wetgeving
uitsluitend in sectorale wetgeving vast te leggen?

Dit artikel regelt dat het verbod om bijzondere categorieën van persoonsgegevens te
verwerken niet van toepassing is wanneer de verwerking noodzakelijk is voor een door
een accountant te verrichten wettelijk voorgeschreven controle. Gemeenten hebben bij
de leden van de CDA-fractie aangegeven dat dit praktische vragen oproept, bijvoorbeeld
voor overeenkomsten tussen gemeenten en zorgverleners. Deze leden vragen of in de
wettelijke voorschriften per voorgeschreven controle aangegeven wordt welke bijzondere
categorieën van persoonsgegevens noodzakelijk zijn. Deze leden vragen of het vaststellen
van deze categorieën en de noodzakelijkheid een afweging voor de verstrekker is. Of
zal een ander orgaan hier nadere invulling aangeven? Wie bepaalt de noodzakelijkheid:
de zorgverlener, de opdrachtgever of de accountant? En wie van deze partijen is verantwoordelijk
voor pseudonimisering van de persoonsgegevens? En in hoeverre wordt hiervoor gewerkt
met een Trusted Third Party? De leden van deze fractie vragen of de regering op deze onderdelen meer duidelijkheid
wil verschaffen.

De leden van de CDA-fractie lezen dat pseudonimisering inhoudt dat de persoonsgegevens
niet meer door de accountant aan een specifieke betrokkene gekoppeld kunnen worden
zonder het gebruik van aanvullende gegevens en dat de accountant niet over deze gegevens
beschikt. Deze leden vragen of dit in lijn is met de richtlijnen van Europese toezichthouders
ten aanzien van het begrip «anonieme gegevens». Zij vragen bovendien waarom een verwerkingsgrondslag
nodig is als de accountant louter toegang heeft tot anonieme gegevens. De leden vragen
of de regering dit punt wil verhelderen in de toelichting.

De leden van de fractie van GroenLinks onderschrijven het voorstel om de gegevensbescherming
bij de krijgsmacht meer algemeen te regelen. Wel roept het mogelijk maken van ad hoc besluiten naast een algemene regeling vragen op. In de memorie van toelichting wordt
benadrukt dat er op deze manier meer maatwerk per missie geleverd kan worden. Deze
leden vragen wel wat voor uitzonderingen de regering verwacht te moeten (kunnen) maken
per missie en waarom dat niet kan worden verwerkt in een algemene regeling. Daarnaast
vragen zij wat de afweging was om te kiezen voor een ministeriële regeling in plaats
van een algemene maatregel van bestuur.

Ter nadere invulling van de wettelijke regeling van de benoemingsvereisten van de
Autoriteit Persoonsgegevens wordt voorgesteld om dit bij gedelegeerde wetgeving vast
te stellen. De leden van de fractie van GroenLinks vragen of er naast de reeds in
de memorie van toelichting genoemde voorbeelden zoals ervaring, opleiding en achtergrond,
nog andere benoemingsvereisten zijn die het kabinet overweegt in te stellen voor leden
van de AP. Deze leden vragen verder hoe gangbaar het is in Nederland bij andere onafhankelijke
autoriteiten, en in andere lidstaten bij hun gegevensbeschermingsautoriteiten, om
dergelijke kwalificatievereisten bij gedelegeerde regelgeving vast te stellen.

Het wetsvoorstel houdt enkele uitzonderingen op het verwerken van bijzondere gegevens
in voor accountants, met een beroep op redenen van zwaarwegend algemeen belang. Uiteraard
erkennen de leden van de fractie van GroenLinks het algemene belang van de wettelijk
verplichtte accountantscontroles, maar voor het verwerken van bijzondere persoonsgegevens
op grond van artikel 9, tweede lid, sub g AVG is een zwaarwegend algemeen belang vereist.
Net zoals de Raad van State vragen deze leden of er in zo een algemene zin gesteld
kan worden dat er sprake is van redenen van zwaarwegend algemeen belang, voor alle
wettelijk verplichte accountantscontroles en voor alle categorieën bijzondere persoonsgegevens.
Is het niet denkbaar dat met het voorgestelde artikel 23a UAVG er schijnzekerheid
wordt geboden, omdat bij gebrek aan een zwaarwegend algemeen belang in een concreet
geval, de verwerking alsnog in strijd met de AVG kan zijn? Waarom is er niet voor
gekozen om per wettelijke verplichting tot het laten doen van een accountantscontrole,
aan te geven welke bijzondere gegevens verwerkt mogen worden? In een dergelijke constructie
is het ook mogelijk om per geval de vereiste passende en specifieke maatregelen vast
te stellen die nodig zijn om de verwerking van de bijzondere persoonsgegevens rechtmatig
te laten zijn in het licht van artikel 9, tweede lid, sub g AVG.

De leden van de fractie van GroenLinks vragen zich ook af of deze uitzonderingen niet
te breed zijn. Is het überhaupt nodig voor accountants om alle categorieën bijzondere
persoonsgegevens te verwerken? En waarom is er niet voor gekozen om bij deze uitzondering
een algemene verplichting voor anonimisering of pseudonimisering van de gegevens in
kwestie te eisen, als passende maatregel om het privacyrecht te eerbiedigen in de
zin van art. 9, tweede lid onder g AVG? Kan de regering aangeven in welke gevallen
het noodzakelijk is voor accountants om (niet-geanonimiseerde of niet-gepseudonimiseerde)
persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze
of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken,
te verwerken?

De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van het
waarborgen van het medische beroepsgeheim. Waarom wordt er echter in het voorgestelde
artikel 23a, tweede lid UAVG ingezet op pseudonimisering van de medische gegevens
bij een accountantscontrole, en niet op anonimisering? En wie is uiteindelijk verantwoordelijk
voor het realiseren van de pseudonimisering?

Onderdeel K

Het is voor de leden van de VVD-fractie op grond van de memorie van toelichting niet
duidelijk welk probleem wordt opgelost door het introduceren van de nieuwe dubbele
noodzakelijkheidstoets. Kan de regering daarop in gaan? Welke voorbeelden van gegevensverwerking
zijn er in de rechtspraktijk geweest die aanleiding hebben gegeven voor deze wijziging?
En hebben onze buurlanden ook een dergelijke dubbele noodzakelijkheidstoets geïntroduceerd?
De complexiteit die voorgestelde wijziging mogelijk met zich meebrengt, leidt mogelijk
tot nog meer voorzichtigheid bij organisaties bij de inzet van biometrische gegevens,
wat op zichzelf al een knelpunt is dat ook wordt gesignaleerd in de evaluatie van
de UAVG5. Deze leden vragen naar een reactie van de regering hierop.

De leden van de CDA-fractie lezen in de toelichting dat een verwerkingsverantwoordelijke
een «actieve toets» moet doen om te beoordelen of ook in het specifieke geval wel
aan het vereiste «noodzakelijk voor een zwaarwegend algemeen belang» is voldaan, voordat
een beroep kan worden gedaan op de uitzondering op het verbod om biometrische gegevens
te verwerken. Deze leden vragen wat precies wordt bedoeld met zo’n actieve toets,
en wat een verwerkingsverantwoordelijke moet doen om te kunnen aantonen dat deze actieve
toets daadwerkelijk heeft plaatsgevonden? Zij hebben begrepen dat er behoefte bestaat
in het veld aan nadere duidelijkheid en rechtszekerheid met betrekking tot de vraag
in welke gevallen de uitzondering kan worden toegepast. Vindt de regering niet dat
dit niet iets is om aan de toezichthouder over te laten, maar afweging vanuit beleid
vereist? Zij vragen daarom om verduidelijking in de memorie van toelichting (MvT)
inzake (a) controle op toegangsbevoegdheden op vitale en gevaarlijke locaties, zoals
bedrijven uit de vitale infrastructuur; (b) beveiliging van vertrouwelijke informatie,
waaronder persoonsgegevens, alsmede het netwerk van de organisatie; (c) beveiliging
van supermarkten en andere winkels; (d) controle op identiteit in het kader van de
Wet Ketenaansprakelijkheid en (e) beveiliging van geld of andere waardevolle zaken.
De leden vragen of de regering bereid is om in de memorie van toelichting duidelijkheid
te verschaffen zodat bijvoorbeeld bedrijven meer duidelijkheid vooraf hebben.

De leden van de fractie van GroenLinks delen de zorgen die zijn geuit door het Rathenau
Instituut in zijn consultatiereactie omtrent de gebrekkige regeling van bepaalde categorieën
van intieme gegevens die worden verzameld. Het onderhavige voorstelt tracht iets meer
duidelijkheid te scheppen door aanscherping van artikel 29, maar laat nog steeds veel
aan de praktijk over. Ook is er geen voorafgaande toetsing of de verwerking van dergelijke
intieme persoonsgegevens rechtmatig kan zijn. Hoe kijkt de regering tegen de suggestie
van het Rathenau Instituut om de verwerking van biometrische gegevens in de publieke
ruimte geheel te verbieden, en daarbuiten dit afhankelijk te stellen van een vergunning?
Deelt de regering de mening dat, omdat de voorbeelden die steeds genoemd zijn waar
biometrische authenticatie daadwerkelijk de inhoudelijke toets van artikel 29 zal
kunnen overleven zo gering zijn, een dergelijk vergunningsstelsel maar een beperkte
extra last zal zijn voor een kleine groep organisaties? Hoe vaak denkt de regering
dat binnen het voorgestelde kader het rechtmatig kan zijn om biometrische gegevens
te verwerken in de publieke ruimte?

Daarnaast vragen de leden van de fractie van GroenLinks of het voor de toelaatbaarheid
van de verwerking meeweegt welk type biometrische gegevens wordt verwerkt. En wat
wordt concreet bedoeld met het begrip «werkprocessystemen», dat ingevoegd wordt in
artikel 29 om duidelijker te maken waar biometrische gegevens voor authenticatie gebruikt
mogen worden?

Onderdeel M

De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 30a
van de UAVG. Dit artikel geeft uitzonderingen op het verbod om gegevens over gezondheid
te verwerken. Er wordt voorgesteld in artikel 30a een specifieke regeling op te nemen
met betrekking tot de overdracht van dossiers door hulpverleners. De voorgestelde
regeling bevat ook de bepaling dat de betrokkene in beginsel wordt geïnformeerd over
de overdracht van zijn of haar dossier. Uit de memorie van toelichting blijkt dat
bewust niet is gekozen voor het vragen van toestemming aan de betrokkene. Onder het
kopje «gegevensbeschermingseffectbeoordeling» wordt als een van de belangrijkste risico’s
genoemd dat een medisch dossier tegen de wil van een patiënt wordt overgedragen. Is
de regering van oordeel dat dit risico kan worden weggenomen door in de wettelijke
bepaling wél toestemming van de betrokkene te vereisen? Wat is het bezwaar tegen het
opnemen van de hoofdregel dat toestemming van de betrokkene moet worden gevraagd?
Deelt de regering de mening dat het overdragen van medische gegevens aan niet-hulpverleners
een sterke afbakening vereist?

De leden van de D66-fractie lezen ook dat de Koninklijke Nederlandsche Maatschappij
tot bevordering der Geneeskunst (KNMG) heeft aangegeven dat op dit moment in de praktijk
bij overname niet vooraf toestemming aan patiënten wordt gevraagd. Vindt de regering
dit een goede reden om geen toestemming te vereisen in de nieuwe wettelijke regeling?
Verder wordt in de toelichting nadrukkelijk aandacht gevraagd voor de «gevoeligheid»
van de betreffende gegevens. Om die reden heeft de regering de hierboven benoemde
informatieplicht voorgesteld. Is de regering niet van oordeel dat een vereiste om
toestemming te vragen meer recht doet aan de gevoeligheid van de gegevens dan een
informatieplicht?

De leden van de D66-fractie lezen in de voorgestelde regeling dat nadere regels hieromtrent
kunnen worden gesteld bij ministeriële regeling van de Minister van Volksgezondheid,
Welzijn & Sport (VWS). Kan de regering toelichten waarom is gekozen voor een nadere
invulling bij ministeriële regeling?

Dit artikel biedt een verruiming van het verbod om gezondheidsgegevens te verwerken
voor een stichting, vereniging of andere instantie zonder winstoogmerk werkzaam op
het gebied van de volksgezondheid en waarvan de verwerking van bijzondere persoonsgegevens
onlosmakelijk verbonden is met de doelstelling van die organisaties. Het gaat hier
om gezondheidsgegevens. De leden van de CDA-fractie zouden graag een toelichting hebben
hoe in het voorgestelde artikel «passende waarborgen» worden ingevuld. Bovendien willen
deze leden dat duidelijk wordt welke partijen precies worden bedoeld met «andere instantie».
Deze leden vragen verder of de regering wil bevestigen dat gegevensuitwisseling verplicht
digitaal gaat en verwijzen daarvoor naar de Wet elektronische gegevensuitwisseling
in de zorg (Wegiz).

De leden van de CDA-fractie vragen in hoeverre met dit wetsvoorstel invulling wordt
gegeven aan de motie van de leden Van den Berg en Van der Staaij (Kamerstuk 39 925 XVI, nr. 53). Deze leden vragen of de criteria voor het anonimiseren van patiëntgegevens worden
verduidelijkt. Zij constateren namelijk dat er geen richtlijnen vanuit de Autoriteit
Persoonsgegeven (AP) bestaan en slechts zeer beperkte richtlijnen vanuit de European
Data Protection Board (EDPB) over wanneer data dusdanig gedeïdentificeerd zijn dat
men ze onder de UAVG als geanonimiseerd kan beschouwen. De leden van de CDA-fractie
zien dat dit in de praktijk leidt tot grote verschillen tussen partijen over de definitie
van «anoniem» en lastige gesprekken tussen partijen.

De leden van de CDA-fractie vragen of nader beschreven kan worden wat de definitie
is van «onevenredige inspanning» op basis waarvan toestemming vragen niet noodzakelijk
zou zijn. Deze leden verwijzen daarvoor ook naar de brief van 23 februari 20236 betreffende het verzoek uitstel plenaire behandeling Wet zeggenschap lichaamsmateriaal,
waarin staat: «Het vragen van toestemming voor het nader gebruik van herleidbaar lichaamsmateriaal
en voor secundair gebruik van zorggegevens zou formeel al praktijk moeten zijn op
basis van de bestaande regelgeving (UAVG en Wet op de geneeskundige behandelovereenkomst,
WGBO). De meeste ziekenhuizen gaan evenwel uit van een geen-bezwaar-systeem». Waar
toestemming gevraagd zou moeten worden, is dat niet gebeurd. De leden van de CDA-fractie
vragen hoe op een praktische en realistische manier vorm wordt gegeven aan «toestemming»
zoals vereist vanuit de UAVG en WGBO.

De leden van de CDA-fractie vragen daarnaast of de regering wil toelichten of er wordt
aangegeven wat partijen zouden moeten doen als een betrokkene de toestemming intrekt
en de gegevens geanonimiseerd (niet meer herleidbaar) verstrekt zijn aan een derde
partij. Deze leden vragen verder of de regering nader wil toelichten hoe dit artikel
zich verhoudt tot het voorstel van de European Health Data Space (EHDS).

De leden van de CDA-fractie constateren, gelet op bovenstaande vragen, dat er nog
enige onduidelijkheid is als het gaat om het delen van patiëntgegevens met andere
partijen dan zorginstellingen (met name commerciële instellingen). Deze leden willen
hiervan een voorbeeld noemen. Leveranciers worden tijdens de inkoop van medische apparatuur
gevraagd om middels voorbeeldgegevens van andere zorginstellingen (beelden van werkelijke
patiënten) de kwaliteit van medische apparatuur aan te tonen. Hierbij is echter de
leverancier afhankelijk van zorginstellingen om dit te faciliteren, waarbij zorginstellingen
tegen de bovenstaande onzekerheden aanlopen en daarom niet altijd meewerken. Dit betekent
dat leveranciers dergelijke gegevens met name uit het buitenland moeten halen. Dit
geldt ook voor het beschikbaar stellen van gegevens ten behoeve van educatie van zorgprofessionals
in het gebruik van medische apparatuur. De leden van de CDA-fractie vragen of de regering
de mening deelt dat dit onwenselijk is en of de regering zich wil inspannen om mogelijke
onduidelijkheid weg te nemen.

Onderdeel P

De leden van de CDA-fractie zouden graag willen weten hoe de regering aankijkt tegen
het voorstel van het Platform Bijzondere Opsporingsdiensten (Platform BOD) om in de
memorie van toelichting expliciet op te nemen dat in het geval er gebruik wordt gemaakt
van artikel 41 lid 2 onder h er geen melding aan de AP nodig is.

Onderdeel R

Het wetsvoorstel beoogt de uitzonderingen voor archivering van het algemeen uit te
breiden, zodat deze ook geldt voor andere archiefbewaarplaatsen dan die genoemd in
artikel 1, onderdeel f van de Archiefwet 1995. De leden van de fractie van GroenLinks
onderschrijven uiteraard het belang van het goed functioneren van de in de memorie
van toelichting genoemde archieven, maar is wel bezorgd dat de voorgestelde aanpassing
mogelijk tot meer onduidelijk kan zorgen. In de rechtspraak is nu al onduidelijkheid
over wanneer art. 45 UAVG van toepassing is7. Deze leden zijn bezorgd dat de voorgestelde tekst ertoe kan leiden dat bijvoorbeeld
een zelfstandig bestuursorgaan (zbo) of gemeente zichzelf gaat zien als een publiek
toegankelijke instelling die een beroep kan doen op de uitzondering van art. 45, lid
1 UAVG zoals wordt voorgesteld, om zo de rechten die betrokkenen hebben ingevolge
de AVG kunnen beperken. Kan de regering bevestigen dat overheden die de persoonsgegevens
in kwestie verwerken voor het uitvoeren van hun taak – en niet primair bezig zijn
met archivering – geen beroep kunnen doen op art. 45 UAVG zoals wordt voorgesteld?
En kan de regering bevestigen dat art. 45 UAVG alleen van toepassing is op persoonsgegevens
nadat deze over zijn gebracht naar een archiefbewaarplaats?

Onderdeel T

De leden van de VVD-fractie vragen naar een uitputtende lijst van de adviescolleges
en commissies (met bijvoorbeeld peildatum 1 februari 2023) waar deze bepaling op van
toepassing zal zijn. Ook vragen deze leden of er nog instellingsbesluiten moeten worden
gewijzigd naar aanleiding van deze nieuwe bepalingen.

De leden van de fractie van GroenLinks onderschrijven het voornemen om een duidelijke
regeling te geven voor de verwerking van persoonsgegevens door tijdelijke commissies
en adviescolleges. Wel vragen deze leden zich af of er, zeker met betrekking tot het
verwerken van bijzondere persoonsgegevens, voldoende effectieve waarborgen aanwezig
zijn. Klopt het dat er, omdat er gekozen is voor een nahangprocedure, in het huidige
voorstel geen bindende toets vooraf is aan de voorwaarden van het voorgestelde art. 47a,
derde lid UAVG? Is de regering het er mee eens dat het vanwege de tijdelijkheid van
deze organen wenselijk zou zijn om van te voren duidelijkheid te verschaffen over
of met de instellingsregeling daadwerkelijk voldaan wordt aan de voorwaarden van art. 47a,
derde lid UAVG? Zal de Autoriteit Persoonsgegevens of de Raad van State daartoe vooraf
geconsulteerd worden wanneer overwogen wordt om een tijdelijke commissie of adviescollege
uit te zonderen van het verbod op het verwerken van bijzondere persoonsgegevens of
persoonsgegevens van strafrechtelijke aard? Zo ja, is dat dan wettelijk verankerd?
Zo nee, waarom is ervoor gekozen om dat niet te doen?

De leden van de ChristenUnie-fractie hebben kennisgenomen van het advies van de Raad
van State, waarin wordt gesteld het begrip «zwaarwegend algemeen belang» beter te
concretiseren. Deze leden vernemen dat het zwaarwegend algemeen belang niet is geconcretiseerd,
noch in het wetsartikel zelf (art. 47a) noch in de memorie van toelichting. Zij vragen
of de regering kan uitleggen waarom dit zwaarwegend algemeen belang niet verder is
geconcretiseerd.

Het lid Omtzigt vraagt zich af of het mogelijk is onder de werking van artikel 47a
een tijdelijke commissie in te stellen die uit onafhankelijke wetenschappelijke onderzoekers
bestaat met een specifieke onderzoeksopdracht? Is het dan ook mogelijk dat de opdracht
van deze commissie onderzoek naar een medisch wetenschappelijk vraagstuk uitvoert?

Artikel II. Faillissementswet

De leden van de D66-fractie lezen in de toelichting dat de taak van de curator of
bewindvoerder in de loop der jaren is veranderd en uitgebreid. Volgens de regering
hoort daar een nieuwe, heldere bepaling omtrent de verwerking van persoonsgegevens
door curatoren of bewindvoerders bij. Onder omstandigheden mogen zij ook bijzondere
categorieën persoonsgegevens verwerken. Kan de regering toelichten wat de veranderde
taakopvatting van curatoren of bewindvoerders voor gevolgen heeft voor de verwerking
van persoonsgegevens door deze beroepsgroepen? Kan worden gespecificeerd wat in het
kader van de verwerking van persoonsgegevens bijvoorbeeld eerst niet aan de orde was
en thans wel?

De leden van de fractie van GroenLinks hebben begrip voor het voorstel van de regering
om een duidelijkere regeling te treffen voor de verwerking van persoonsgegevens door
curatoren en (Wsnp-)bewindvoerders. Echter is het voor hen niet volledig duidelijk in hoeverre het huidige voorstel
hiervoor de juiste oplossing is. In hoeverre is er uit de praktijk gebleken dat er
te veel onduidelijkheid is over het verwerken van persoonsgegevens bij faillissement,
surseance en schuldsanering? Blijkt er uit de rechtspraak dat hier problemen ontstaan?
En hoe pakken andere lidstaten de problematiek die in deze situaties kan ontstaan
op?

Daarnaast vragen de leden van de fractie van GroenLinks zich af hoe de lijsten met
vooraf aangewezen noodzakelijke handelingen (art. 68a lid 2, art. 215b lid 2 en art. 316a
lid 2 Fw zoals voorgesteld) tot stand zijn gekomen. Is er gekozen voor handelingen
die essentieel zijn in de relevante insolventieprocedures, of is er gekeken voor welke
handelingen doorgaans geen andere verwerkingsgrondslag in de AVG te vinden is? Ook
wordt voorgesteld om het mogelijk te maken om bij AMvB deze lijsten aan te kunnen
passen. Waarom wordt dit, mede in het licht van de voorlichting van de Raad van State
inzake voorhangprocedures en AMvB’s (Kamerstuk 35 957, nr. 14), voorgesteld, terwijl de lijst ook bij wetswijziging aangepast kan worden? Hoe zijn
toekomstig toe te voegen handelingen anders dan degene die nu voorgesteld worden,
dat zij zonder parlementaire tussenkomst binnen de reikwijdte van de respectievelijke
eerste leden moeten kunnen worden gebracht?

Ook vragen de leden van de fractie van GroenLinks of er, zeker met betrekking tot
de verwerking van bijzondere persoonsgegevens, geen rol ligt voor (extra) toezicht
of inmenging van de rechter-commissaris in de respectievelijke insolventieprocedure?
Wat is de rol van de rechter-commissaris in het faillissement, surseance en schuldsanering
met betrekking tot de verwerking van persoonsgegevens in het huidige voorstel? Kan
de regering duiden wat het verschil is tussen de «redenen van zwaarwegend algemeen
belang» in de zin van artikel 9, tweede lid, sub g AVG en «dringend maatschappelijk
belang» in de zin van de voorgestelde artikelen 68a, derde lid, sub a en 316a, derde
lid, sub a Fw? Ontstaat hier niet het risico dat het begrip «dringend maatschappelijk
belang» anders wordt ingevuld dan «zwaarwegend algemeen belang» waardoor er strijd
ontstaat met de AVG?

Als laatste vragen de leden van de fractie van GroenLinks of en in hoeverre de voorgestelde
verwerkingsgrondslag niet eerder meer onduidelijkheid schept, omdat het doelbindingsprincipe
en andere fundamentele beginselen van de AVG mogelijk in de weg kunnen staan van de
verwerking van de persoonsgegevens door de curator of (Wsnp-)bewindvoerder?

In de reactie schrijft de regering ook dat de taak van de curator of bewindvoerder
van een zodanig zwaarwegend algemeen belang is, dat bijzondere categorieën van persoonsgegevens
verwerkt moeten kunnen worden. De leden van de Volt-fractie kunnen deze opvatting
volgen, maar vragen de regering om toe te lichten of de regering van mening is dat
de taak op zich voldoende rechtvaardiging geeft voor de grondslag. Gaat het niet juist
om dat een curator of bewindvoerder de ruimte krijgt om af te wegen of er sprake is
van een zwaarwegend belang, maar dat de rol op zich geen rechtvaardiging is voor een
verwerkingsgrondslag?

Het lid Omtzigt leest dat het artikel 68a lid 2 sub h vermeldt «met inbegrip van het
geven van inzage in gegevens aan derden in het kader van een mogelijke verkoop [...]
van de bedrijfsactiviteiten». In de memorie van toelichting wordt uitgelegd, dat deze
bepaling de verkoop van een onderneming beoogt mogelijk te maken door het met de onderneming
overdragen van persoonsgegevens toe te staan. Dit lid steunt dit beoogde doel maar
merkt op dat het niet uit de wetstekst volgt. In de eerste plaats wordt het woord
«gegevens» gebruikt waar in het wetsontwerp consequent naar «persoonsgegevens» wordt
verwezen. In de tweede plaats wordt gesproken over inzage in het kader van een mogelijke
verkoop van bedrijfsactiviteiten, waar waarschijnlijk «overdracht in het kader van
een verkoop van bedrijfsactiviteiten» wordt bedoeld. Zoals het nu geformuleerd is
lijkt het zich te beperken tot het verstrekken van inzage en niet het ter beschikking
stellen van persoonsgegevens. Waarbij de aanduiding dat het een mogelijke verkoop
betreft de indruk wekt dat het uitsluitend om een voorbereidingshandeling gaat.

Op grond van artikel 68a lid 3 sub a wordt het de curator toegestaan bijzondere persoonsgegevens
te verwerken in gevallen als bedoeld in artikel 68a lid 2 sub a, c, f, h en j, maar
artikel 68a lid 2 sub i. wordt niet genoemd. Is het de bedoeling, zo vraag het lid
Omtzigt, dat in geval van overdracht van een onderneming bijzondere persoonsgegevens
niet mee mogen worden overgedragen door de curator? In sommige gevallen zal artikel 30a
hier een oplossing kunnen bieden, maar niet in alle gevallen. Denk bijvoorbeeld aan
het klantenbestand van een handelsonderneming in medische hulpmiddelen. Welke overwegingen
hebben ten grondslag gelegen aan het uitzonderen van het onder i. bepaalde en kan
de regering overwegen het onder i. bepaalde alsnog toe te voegen?

Artikel X. Wet op het financieel toezicht

De leden van de fractie van GroenLinks vragen of het niet meer voor de hand had gelegen
om de wettelijke verankering van transactiemonitoring door financiële instellingen
mee te nemen in het Wetsvoorstel plan van aanpak witwassen (Kamerstuk 36 228).

Overig

De leden van de CDA-fractie zien dat binnen instellingen voor gezondheidszorg, maar
ook binnen zorgnetwerken, zorgketens en overige samenwerkingsverbanden, een grote
behoefte bestaat om patiëntgegevens te (kunnen) gebruiken voor verschillende vormen
van onderzoek naar de kwaliteit van de geleverde zorg. Nu de focus steeds meer komt
te liggen op zogenaamde «uitkomstgerichte zorg» wordt deze behoefte alleen maar groter.
Deze leden willen graag een duidelijke uiteenzetting hoe de onderhavige wet zich verhoudt
tot de Wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) in verband
met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten
behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken.
Zij constateren verder dat de Commissie Governance van Kwaliteitsregistratie (commissie
Van der Zande) in haar eindrapport onder andere heeft aangegeven dat op dit moment
een verwerkingsgrondslag voor het gebruik van gezondheidsgegevens voor dergelijk onderzoek
ontbreekt. Deze leden vragen in hoeverre deze wijziging van de UAVG kan worden benut
om een grondslag voor deze vormen van gegevensgebruik te creëren dan wel te verduidelijken
wat het bestaande kader is voor de verwerking van persoonsgegevens in het kader van
kwaliteitsregistraties en te bevestigen dat dit kader voldoende is.

Met betrekking tot artikel 47 UAVG hebben de leden van de fractie van GroenLinks nog
enkele vragen. Momenteel kan het inzagerecht (art. 15 AVG) worden uitgezonderd bij
openbare registers, zonder dat het nodig is dat de wettelijke regeling van het desbetreffende
register voorziet in inzage van de gegevens door de betrokkene (art. 47, eerste lid
UAVG). Ook is het voor betrokkenen praktisch niet mogelijk om te achterhalen wie hun
persoonsgegevens geraadpleegd hebben uit de registers. Hoe zou de regering het voorstel
beoordelen om ook «inzage» toe te voegen aan de bij wet te regelen bijzondere procedures
genoemd in art. 47, eerste lid UAVG? En ziet de regering wellicht een taak voor de
beheerders van openbare registers om redelijke maatregelen te nemen opdat de ontvangers
van persoonsgegevens uit de desbetreffende registers ook daadwerkelijk de verplichtingen
uit artikel 14 AVG naleven?

De leden van de fractie van GroenLinks delen ook de geuite zorgen door het Rathenau
Instituut over de verwerking van genetische gegevens. Het Rathenau Instituut pleit
voor een (de facto) verbod op commerciële DNA-analyses, specifiek als het gaat om
direct-to-consumer DNA-analyses. Dit omdat de privacy hierbij vaak niet goed gewaarborgd is, en omdat
genetische gegevens per definitie ook betrekking hebben op mensen die genetisch verwant
zijn aan de persoon die zijn gegevens afstaat. Ook kunnen genetische gegevens, als
deze bijvoorbeeld uitlekken, niet worden herroepen zoals dat kan met een wachtwoord.
Hoe kijkt de regering naar de probleemanalyse van het Rathenau Instituut? Ziet de
regering voordelen in commerciële DNA-analyses, en wegen deze op tegen de nadelen,
waaronder grote privacyrisico’s voor klanten van deze DNA-analyses en de genetische
aanverwanten van de klanten? Het Rathenau Instituut constateert dat in Duitsland en
Frankrijk direct-to-consumer DNA-analyses de facto verboden zijn. Hoe gaan andere lidstaten van de EU om met deze
problematiek? Het Rathenau Instituut constateert ook dat DNA-tests gebruikt worden
door sommige werkgevers om (potentiële) werknemers te beoordelen. Acht de regering
een dergelijke praktijk wenselijk en verenigbaar met de AVG en huidige UAVG? Zo nee,
deelt de regering de mening dat het vanuit een rechtszekerheidsperspectief wellicht
wenselijk is om expliciet in de UAVG op te nemen dat dit verboden is?

Als laatste constateren de leden van de fractie van GroenLinks dat de regering in
de memorie van toelichting niet heeft gereageerd op paragraaf 1.3 inzake gezondheidsgegevens
van de consultatiereactie van het Rathenau Instituut. Aangezien deze leden de zorgen
delen die door het Rathenau Instituut worden geuit, vragen zij de regering om hier
alsnog op in te gaan.

De voorzitter van de commissie, Kamminga

De adjunct-griffier van de commissie, Muller