Verslag van een hoorzitting / rondetafelgesprek : Verslag van een rondetafelgesprek, gehouden op 17 februari 2020, over 'Wettelijk kader en toezicht'

Nr. 5 HERDRUK1 VERSLAG VAN EEN RONDETAFELGESPREK

Vastgesteld 4 maart 2020

De tijdelijke commissie Digitale toekomst heeft op 17 februari 2020 gesprekken gevoerd
over wettelijk kader en toezicht.

Van deze gesprekken brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Buitenweg

De griffier van de commissie, Jansma

Voorzitter: Buitenweg

Griffier: Jansma

Aanwezig zijn vijf leden der Kamer, te weten: Buitenweg, Middendorp, Van Otterloo,
Verhoeven en Van Weerdenburg.

Aanvang 10.04 uur.

De voorzitter:

Goedemorgen bij deze bijeenkomst, een rondetafelgesprek van de tijdelijke commissie
Digitale toekomst. Ik weet dat zo meteen in ieder geval nog één collega komt, maar
er waren wat problemen met de treinen.

Blok 1: Wettelijk kader

Gesprek met:

– de heer Van Zwol, staatsraad bij de afdeling Advisering van de Raad van State

– de heer Leenes, Tilburg University

De voorzitter:

Heel hartelijk welkom aan de genodigden, onder wie de heer Van Zwol van de Afdeling
advisering van de Raad van State. U bent ook al eerder bij ons geweest. Een aantal
mensen zijn deze keer in de reprise. Ook een hartelijk welkom aan professor Leenes
van de Universiteit Tilburg. Aan de kant van de collega's zie ik mevrouw Van Weerdenburg
van de PVV, de heer Van Otterloo van 50PLUS en de heer Middendorp van de fractie van
de VVD. Mijn naam is Kathalijne Buitenweg van GroenLinks en ik ben uw voorzitter.

We hebben een aantal zaken eigenlijk al eerder besproken. Op basis daarvan hebben
we als commissie bekeken welke vragen we nog hadden. We hebben zo meteen bijvoorbeeld
een blok met toezichthouders. Daarbij willen we alle verschillende toezichthouders
eens even naast elkaar leggen. Aan u hebben we ook nog wat specifieke vragen gesteld,
met name de vraag of er een sluitend wettelijk kader is voor de toepassing van digitale
technologieën. U heeft ook al de nodige zaken op papier gezet, maar we stellen u graag
in de gelegenheid om ook nog een inleiding van vijf minuten te houden. Dat frist het
bij ons ook nog weer eventjes op. Mag ik u als eerste het woord geven?

De heer Van Zwol:

Dank u wel, voorzitter. Nogmaals, het is een voorrecht om met u het gesprek te mogen
vervolgen. Ter inleiding kort een paar punten, ook voortbouwend op de stukken die
de Raad van State schriftelijk heeft ingebracht. Uw hoofdvraag is of er een sluitend
wettelijk kader is. Het eerste punt dat de Raad van State heeft gemaakt in het ongevraagde
advies van 2017 is dat je ook heel veel kan bereiken buiten nieuwe wet- en regelgeving.
Met betrekking tot de actualiteit van de discussie over algoritmen zegt ons advies:
geef in besluiten door overheidsorganisaties aan de burgers aan welke beslisregels
daarin zijn gehanteerd en welke data daarbij zijn gebruikt. Daar heb je op zich geen
nieuwe wet- en regelgeving voor nodig. Die aanbeveling kunnen grote uitvoerende diensten,
van Belastingdienst tot UWV en wat dies meer zij, gewoon uitvoeren. Dat is één.

Twee. Het punt dat wij hebben gemaakt in samenwerking met het Ministerie van Binnenlandse
Zaken, dat wij u ook schriftelijk hebben doen toekomen, is dat het niet alleen gaat
om de vraag: nieuwe wetten of bestaande wetten? Wij vragen ook aandacht voor het wetgevingsproces
als zodanig. Het is een misverstand dat wet- en regelgeving eindigt bij plaatsing
in het Staatsblad. Daarna vindt er een vertaling plaats in beslisregels, algoritmen
en de nieuwe vorm van de beleidsregels. Dat is in de praktijk voor uitvoeringsorganisaties
en voor burgers van enorm veel betekenis. Dus ook het wetgevingsproces als zodanig
vergt aandacht, zeker ook omdat de rol van beide Kamers eigenlijk ook ophoudt bij
plaatsing in het Staatsblad. Maar een belangrijk deel missen we tegenwoordig. Dat
was altijd al zo met het fenomeen beleidsregels, maar onder invloed van de digitalisering
is dat moment van vertaling na het Staatsblad steeds belangrijker en omvangrijker
geworden.

Dan toch uw hoofdvraag: is er een wettelijk sluitend kader? Het antwoord daarop is
nee. De vraag is wat je daaraan kunt doen. Als je wilt verbeteren, zou ik de aandacht
ook willen vestigen op bestaande wetgeving, de Wet digitale overheid en de Algemene
wet bestuursrecht. In de Algemene wet bestuursrecht is het mogelijk om de positie
van burgers en andere rechthebbenden vis-à-vis het gebruik van data en beslisregels
te verbeteren. De Algemene wet bestuursrecht is laatstelijk gewijzigd voor het invoegen
van het onderdeel elektronisch berichtenverkeer met de overheid. Dat is op zich ordelijk
en netjes gedaan. Bij het advies destijds heeft de Afdeling advisering van de Raad
van State de mogelijkheid geopperd om überhaupt de Awb systematisch wat meer up-to-date
te brengen op het punt van de digitalisering. Dus is er een sluitend wettelijk kader
op dat punt? Nee. Is er een mogelijkheid om er wat aan te doen? Ja, namelijk de bestaande
Awb. Dat scheelt een hele hoop. Je hoeft geen nieuwe wet te verzinnen. Dat is één.

Twee. Als het niet gaat om reguleringsvragen met betrekking tot de positie van de
burger en persoonsgegevens maar over de digitale infrastructuur en de vraag welke
spelregels daarbij gelden, dan hebben we op zich de goede Wet digitale overheid. Maar
ook die zou je kunnen zien als een basiswet die verder uit te breiden is. Dus ik zou
ook adviseren om te kijken welke hoofdstukken je als het ware wilt toevoegen aan de
Wet digitale overheid. Dan hoef je geen nieuwe wet te maken. Je kunt op basis van
een bestaande wet uitbreiden. Dat kan sneller. Je voegt het in in een bestaande systematiek.

Mijn slotopmerking of suggestie is de volgende. Het gaat niet alleen over een sluitend
wettelijk kader, maar vervolgens ook over de beoordeling van hoe het werkt in de praktijk.
Het actuele voorbeeld van SyRI geeft aan dat dit een belangrijk vraagstuk is. Er wordt
her en der ook wel gesuggereerd dat je, als je de werking van de wetten, zeg maar
de controle op de wetten, wilt verbeteren, misschien moet kijken naar nieuwe toezichtinstanties
en dergelijke en dat je dat in een wet moet verankeren. Ik aarzel om daar gelijk ja
op te zeggen, omdat het nogal wat is om nieuwe instituties op te richten. Daar is
ook weer nieuwe wetgeving voor nodig.

Er bestaan ook al instituties die hun werk doen, zoals de Autoriteit Persoonsgegevens,
in zekere zin ook de Algemene Rekenkamer, de Nationale ombudsman en de Raad van State
in beide afdelingen. U kent ongetwijfeld het fenomeen van de rechtseenheidskamer.
Wanneer we in de rechtspraak verschillende kolommen hebben, maar we een en ander op
sommige punten toch bij elkaar willen brengen, gaan we niets nieuws oprichten, maar
gaan we onder de figuur van de rechtseenheid als het ware virtueel bestaande instituties
bij elkaar brengen om zich te buigen over bepaalde afwegingen. Je zou ook kunnen vragen
aan bestaande autoriteiten en hoge colleges om in samenwerking – een beetje à la het
idee van de rechtseenheidskamer – dingen te bezien met betrekking tot het toepassen
van wetgeving op het gebied van de digitalisering. Mocht na verloop van tijd uit de
opgedane ervaring voortvloeien dat je ook nieuwe instituties wilt oprichten, dan is
dat prima. Dan moet die discussie kunnen worden aangegaan. Maar op deze manier zou
je snel aan de slag kunnen, zonder dat je je op een weg begeeft die nog niet beproefd
is.

Dus kort en goed, met de Awb, de WDO en het fenomeen samenwerking door bestaande instituties
kun je op korte termijn al flinke stappen nemen om het wettelijke kader meer sluitend
te maken en het ook meer sluitend te laten functioneren.

De voorzitter:

Dank u wel voor uw heel heldere uiteenzetting. Het was bijzonder om te zien dat er
bij een van de voorstellen gelijk wat geschoven werd bij, denk ik, de toezichthouders,
maar daar gaan we het zo meteen verder over hebben. Heel hartelijk dank hiervoor.
Dan geef ik graag het woord aan de heer Leenes.

De heer Leenes:

Geachte voorzitter, leden van de commissie. Dank voor uw uitnodiging om mijn bescheiden
licht te laten schijnen over vragen rond de digitale toekomst. Telkens wanneer zich
een nieuwe technologie voordoet of een nieuwe technologie dreigt door te breken, doet
zich de vraag voor: hebben we een sluitend wettelijk kader, of hebben we nieuwe wetgeving
nodig voor dit fenomeen? We zien dat op dit moment bij dingen als AI en robotica.
Dat zijn dan gelijk heel grote vragen. Het is dan ook erg moeilijk om een algemeen
antwoord te geven op de vraag of er wel of geen sluitend wettelijk kader is. Het antwoord
zou dus veel genuanceerder moeten zijn: van nee via misschien tot ja. Daar zijn wat
voorbeelden van.

Het recht is een redelijk coherent bouwwerk, dat over de loop der eeuwen opgebouwd
is. Sommige onderdelen daarvan zijn tamelijk robuust en zeer goed toegesneden op nieuwe
ontwikkelingen zoals AI. Denk aan het eigendomsrecht en het aansprakelijkheidsrecht.
Ik denk dat we op dat soort punten op korte termijn niet echt veel aanpassing behoeven,
zeker niet in het licht van de toepassingen zoals we die nu kennen. Op andere terreinen
is het antwoord op de vraag of het kader toereikend is, eerder: misschien. Het gegevensbeschermingsrecht,
dat pas aangepast is, dreigt de law of everything te worden, omdat vrijwel alle nieuwe
technologieën om de verwerking van data draaien en bijna alle data uiteindelijk persoonsgegevens
lijken te worden. Het aangescherpte gegevensbeschermingsrecht, de AVG in Nederland,
biedt heldere en aangescherpte kaders waarbinnen de verwerking van persoonsgegevens
kan en mag plaatsvinden. Sommige nieuwe elementen binnen de AVG, zoals de rechten
en plichten rond geautomatiseerde besluitvorming, behoeven misschien enige aanscherping.

Een ander punt waarvoor dat ook geldt, is de vraag of sterk gedistribueerde toepassingen
zoals internet of things – wat een behoorlijk ongedefinieerd begrip is – daar netjes,
helder en handig onder geregeld zijn. Internet of things is typisch een ondoorzichtige
wirwar van partijen waarbij de formele verantwoordelijkheid voor het reilen en zeilen
soms bij partijen ligt die eigenlijk geen controle hebben over wat er gebeurt.

Een ander punt waarop we mogelijk aanscherping behoeven, betreft de sociale media.
Deze hebben zich in de afgelopen jaren tot serieuze media ontwikkeld, maar ze onttrekken
zich grotendeels aan de verantwoordelijkheden die wel gelden voor de traditionele
media. Het gaat bij sociale media immers om publiek geproduceerde informatie en de
platformen achten zichzelf daarbij slechts een doorgeefluik. Het gegevensbeschermingsrecht
neemt in deze context de rol van het mediarecht gedeeltelijk over, maar de vraag is
of dat wel wenselijk en voldoende is.

Ook op het gebied van technologieontwikkeling in het algemeen geldt dat deze doorgaans
plaatsvindt door grote Amerikaanse technologiereuzen. De invloed van deze partijen
op Nederlandse en Europese burgers is groot. Persoonsgegevens in individuele en geaggregeerde
vorm leveren steeds vaker dominante posities op in steeds nieuwe datamarkten. Het
mededingingsrecht wordt hier samen met het dataprotectierecht in stelling gebracht
om het zich snel ontwikkelende landschap te reguleren. De vraag hier is: zijn dit
wel de meest geschikte instrumenten om vraagstukken die zich eigenlijk bevinden op
het vlak van vrijheid van meningsuiting en beïnvloeding te reguleren?

Op sommige terreinen denk ik dat het antwoord op de vraag of het kader toereikend
is «nee» is, en daar zal wel degelijk iets moeten gebeuren. De eerder geschetste kaders
zijn krachtig, maar het is niet onverstandig om op een aantal punten heldere keuzes
in wetgeving te verankeren. Als voorbeeld noem ik gezichtsherkenning. In veel gevallen
laat de AVG gezichtsherkenning niet toe. In strikte zin is er dan ook geen additionele
wetgeving nodig. Gezichtsherkenning is echter typisch een technologie op een glijdend
vlak. Van het een rollen we haast onvermijdelijk in een surveillancemaatschappij met
grote broer en miljoenen kleine broertjes en zusjes. Scherpe kaders zijn dan, denk
ik, gewenst.

In de geschreven bijdrage noem ik drie wegen voorwaarts, of eigenlijk drie dingen
die ik zou willen aanbevelen. In de eerste plaats maak ik in veel discussies mee dat
hoewel we een duidelijk kader hebben, met name met betrekking tot het gegevensbeschermingsrecht,
dat voor de mensen die het moeten toepassen eigenlijk helemaal niet zo duidelijk is.
Zelfs een begrip als «persoonsgegevens» is dan bijzonder ingewikkeld. Zelfs welwillenden
wordt het dan erg lastig gemaakt om binnen de lijnen te opereren. Ik denk dat we daarvoor
goede handvatten van de toezichthouders nodig hebben.

In de tweede plaats denk ik dat scherpere regels zonder handhaving, zeker in de Nederlandse
context, niet erg zinvol zijn. Handhaving moet wel degelijk worden aangescherpt.

In de derde plaats ontbreekt het aan een duidelijke visie waar we in de data-economie
naartoe willen gaan. De abstracte kaders vanuit de Europese waarden zijn duidelijk,
maar we lijken, misschien vanuit een angst om economisch de boot te missen, soms wat
laks om te gaan met deze basiswaarden.

De voorzitter:

Heel hartelijk dank, ook voor uw uitgebreide paper. Ik kijk naar de collega's of er
vragen zijn.

Mevrouw Van Weerdenburg (PVV):

Ik heb goed geluisterd. De heer Van Zwol zegt dat bestaande wet- en regelgeving misschien
aan te passen is en dat je dan niet iets heel nieuws uit de grond hoeft te stampen.
Daar heb ik wel sympathie voor. Aan de andere kant denk ik: als je iets nieuws moet
creëren waarbij toezichthouders moeten gaan samenwerken, als je een nieuwe zuil maakt,
of wat dan ook, dan komt dat wel heel erg over als de ultieme Nederlandse polderoplossing.
Ik vraag me af of dat wel even gestroomlijnd kan zijn als een nieuwe entiteit, die
dan echt daarvoor opgericht is en misschien minder stroperig of minder bureaucratisch
opereert.

De heer Van Zwol:

Mijn suggestie probeert juist dat te vermijden. Stel je nou voor dat je een nieuwe
toezichthouder op het gebied van algoritmen zou inrichten. Hoe kun je dat knippen
ten opzichte van de rol en functie van de Autoriteit Persoonsgegevens? In algoritmen
worden data gebruikt en, zoals professor Leenes terecht benadrukt, de meeste data
zijn wel terug te leiden naar persoonsgegevens. Dus dan krijg je een heel moeilijke
situatie tussen een nieuwe toezichthouder en een bestaande autoriteit. Of je krijgt
heel moeilijke discussies over de fasering. Een Rekenkamer kan achteraf controleren
hoe algoritmen gebruikt zijn door overheidsorganisaties, terwijl bijvoorbeeld een
Raad van State juist bij de voorbereiding van wetgeving naar hetzelfde fenomeen kijkt,
maar dan in een andere fase. Als je dan een nieuwe toezichthouder benoemt, in welke
fase gaat die dan zitten? Krijg je dan overlap? Dus ik sluit niet uit dat je uiteindelijk
ooit wel uitkomt op nieuwe vormen, maar met mijn suggestie om snel van start te gaan,
is het als het ware eerst te oefenen. Dat fenomeen van dat type oefenen kennen we
ook op andere terreinen die elkaar raken en overlappen. Dus vandaar de suggestie.
Juist om dat te vermijden.

Mevrouw Van Weerdenburg (PVV):

Ik ben ook wel benieuwd hoe de heer Leenes daarover denkt. Ik moet eerlijk zeggen
dat de analogie met bijvoorbeeld een stuk software een beetje bij mij naar boven komt.
Je kunt voor nieuwe toepassingen workarounds erin gaan programmeren, maar soms is
het uiteindelijk op de lange termijn toch beter om de tijd te nemen om van begin af
aan een heel nieuw stuk software te creëren. Misschien kan de heer Leenes daar iets
over zeggen.

De heer Leenes:

Ik denk dat ik me bij staatsraad Van Zwol aansluit, in die zin dat het goed zou zijn
om een toezichthouder op algoritmen te hebben. Maar ik zou dat zien als een functie
die belegd wordt binnen verschillende onderdelen. De toezichthouder op persoonsgegevens,
de Autoriteit Persoonsgegevens, zal daar een centrale rol in spelen. Als je het hebt
over algoritmen en met name over geautomatiseerde besluitvorming, dan komt dat op
zo veel terreinen terug dat je automatisch op het werkvlak van de verschillende toezichthouders
komt. Dus ik denk dat ze daarin gezamenlijk op zouden moeten trekken, maar dat je
dat wel kunt benoemen als een functie van toezicht op algoritmen.

De heer Van Otterloo (50PLUS):

Ik vond de suggestie van een rechtseenheidskamer, ook omdat die virtueel is, wel aardig
van toepassing in dit verband, maar ik zou dan willen weten hoe die in werking treedt.
Op welk moment signaleert iemand dat er problemen zijn en dat er actie nodig is die
over de verschillende autoriteiten, toezichthouders, heen gaat? Wie doet dat?

De heer Van Zwol:

Ik denk dat je tegelijkertijd twee dingen moet regelen. Ten eerste, het werkt dan
zo dat elk van de afzonderlijke autoriteiten en andere instellingen – een inspectie
of een Hoog College van Staat – de taak heeft om op het moment dat ze ergens tegen
aanlopen waarvan ze zeggen «hé, dat overstijgt mijn domein», zelf de zaak aan te brengen
bij zo'n eenheidskamer. Het tweede is dat je moet opschrijven op welke manier anderen
– dat kunnen burgers zijn maar dat kunnen ook overheidsinstanties zijn – het recht
hebben om als het ware een zaak aanhangig te maken. Ik maak één aantekening. Het idee
is dan niet om te treden in de bevoegdheden van individuele casussen, dus een individuele
klacht bij de AP, bij de Ombudsman of bij een inspectie. Dat moet zijn loop hebben.
Dus dat moet je juist niet met elkaar verbinden. Dat doet een rechtseenheidskamer
ook niet. Die gaat ook niet op individuele casussen zitten. Je moet je met elkaar
richten op de overstijgende rechtsvragen. Er ligt dus een plicht bij de deelnemers
in de Kamer om aan te brengen wat aangebracht moet worden, en je moet goed regelen
wie daar zelfstandig iets aanhangig kan maken. Daar maak je een soort reglement van
met elkaar. U brengt terechte punten op.

De heer Van Otterloo (50PLUS):

Ik vind het een prima suggestie. Je moet het alleen bestand maken tegen territoriumdrift.
Iedereen wil het namelijk graag. Wij hebben er tenminste al enige ervaring mee dat
iedereen zich toezichthouder waant op de algoritmen, en wij denken: hoe dan en op
welk moment? Ik vind de suggestie om in ieder geval in te zetten op een reglement
en niet op een aparte autoriteit dus inderdaad het overwegen waard.

De voorzitter:

De heer Van Middendorp.

De heer Middendorp (VVD):

Dank, voorzitter. Middendorp.

De voorzitter:

Middendorp, sorry.

De heer Middendorp (VVD):

Dank voor de inleidingen. Ik heb twee vragen. We moeten ook uitkijken dat we niet
in enorme semantische discussies terechtkomen, want een toezichthouder kan ook virtueel
geregeld worden via de rechtseenheidskamer met bijvoorbeeld, zoals ik net hoorde,
een Hoog College van Staat of een inspectie. Dat zal toch een soort nieuw gremium
worden en dat vind ik ook niet zo erg; ik vind dat een goede suggestie. Daar moeten
we verder naar kijken.

Ik maak nog wel een opmerking over het volgende. Er zijn een aantal dingen gezegd
over hoe die toezichthouders zich dan tot elkaar gaan verhouden. Als ik kijk naar
DNB en de AFM, die toezicht houden in de financiële sector, dan zie ik daar ook allerlei
overlap. Ik maak me dus iets minder zorgen over het idee op zich dat toezichthouders
zich tot elkaar moeten verhouden. Maar omdat het allemaal nieuw is, is het wel een
uitdaging. Daar dus graag uw reflectie op. Is dat misschien toch niet zo ernstig als
zonet gezegd werd?

Ten tweede hoor ik u beiden eigenlijk geen enkele keer de term «Europese regelgeving»
noemen. Ik ben wel benieuwd of u daar nog iets over zou kunnen zeggen in het licht
van wat u ons zonet allemaal geadviseerd heeft.

De heer Leenes:

Ik heb inderdaad de term «Europese regelgeving» niet in de mond gehad, maar het is
natuurlijk wel duidelijk dat de AVG een-op-een Europese regelgeving is. Ik denk inderdaad
dat de speelruimte die Nederland heeft om zelfstandig dingen te regelen, zeker op
dit vlak, betrekkelijk is. Het heeft namelijk weinig zin om dit op kleine schaal te
doen. Het komt dus bijna automatisch op Europees niveau terecht, en een hoop van de
regelgeving op de terreinen waarover we het hebben, komt ook uit Europa. Ik denk dat
dat ook de juiste plaats is om dit te laten ontstaan.

De heer Middendorp (VVD):

Wat zegt dat dan over de grip die de Tweede Kamer heeft op die regelgeving voor bijvoorbeeld
algoritmen?

De heer Leenes:

Nou ja, die is in zekere zin beperkt, omdat je binnen de kaders moet blijven van wat
de AVG zegt over geautomatiseerde besluitvorming. Daarover staat natuurlijk het een
en ander in de AVG, en dat is het kader waarbinnen je ruimte zal moeten proberen te
zoeken om dingen aan te scherpen. Maar het kan niet zo zijn dat je daarop een radicaal
andere koers vaart dan wat de GDPR en de AVG zeggen.

De heer Van Zwol:

Misschien in aansluiting daarop: natuurlijk is het Europees recht belangrijk, want
het legt primair de normen vast, het «wat». Ik denk dat je als lidstaat grotere ruimte
hebt om ook een eigen invulling te geven aan het «hoe». Want gegeven eventuele Europese
wetgeving op het gebied van de normen waaraan algoritmen kunnen voldoen, waren mijn
twee voorbeelden juist gericht op het «hoe». In de Awb kun je regelen hoe burgers
die denken dat ze in bezwaar en beroep moeten gaan, dat kunnen doen op een geordende
manier. In een Wet digitale overheid zou je dus ook kunnen vastleggen hoe in besluiten
door de overheid, of dat nou een vergunning is of een belastingaanslag, in de beschikking
aan de burger de beslisregel wordt uitgelegd en hoe wordt uitgelegd welke data zijn
gehanteerd. Dus daar ligt ook echt nog wel een rol voor de nationale wetgever.

De voorzitter:

Dank u wel. Nog een aanvullende vraag?

De heer Middendorp (VVD):

Dan ben ik wel benieuwd hoe ik me dat moet voorstellen. Want in die AVG/GDPR moet
je op zoek naar de ruimte, heb ik gehoord. Dat is een vrij strak kader. Dus gaat zo'n
soort AVG voor normen waar algoritmen aan moeten voldoen er ooit komen tussen de 27
lidstaten?

De heer Leenes:

Nou ja, wat een beetje onduidelijk is in de GDPR, is in hoeverre er een plicht is
tot het uitleggen van de logica achter beslissingen. Ik denk dat je daar wel degelijk
op nationale schaal stappen in kunt zetten en meer verplichtend kunt optreden. Hoe
dat dan plaats moet vinden is een andere vraag. Een van de mogelijkheden is een toezichthouder
op algoritmen. Je kunt ook zeggen: nee, er moet gewoon een duidelijke uitleg komen
van hoe beslissingen tot stand komen. Dat past binnen het kader van de GDPR.

De heer Van Zwol:

Ter aanvulling: zo ontwikkelt zich ook de Nederlandse jurisprudentie. De Nederlandse
bestuursrechter – het woord «SyRI» is al gevallen – wijst erop dat je dat dan goed
moet motiveren en moet uitleggen. Dus ook als er op Europees niveau een AVG-achtige
normering van algoritmen komt – hoewel inderdaad zoals professor Leenes terecht zegt
de overlap tussen algoritmen en persoonsgegevens/data heel erg groot is, maar goed,
dat is ook een vraag van wetgevingstechnische aard – dan nog is er een motivatieplicht.
De Nederlandse rechter benadrukt het belang daarvan nu al. Dus ook als er geen aanvullende
Europese regelgeving komt, is er al de plicht voor de Nederlandse overheid om dat
te doen.

De heer Verhoeven (D66):

U gaf een aantal voorbeelden van technologie, waarbij u aangaf of er wel, niet of
enigszins sprake was van een sluitend wettelijk kader. Bij gezichtsherkenning zei
u dat dat niet het geval was. Betekent dat dan ook dat er in de tussentijd allerlei
dingen gebeuren waar we dus eigenlijk als politiek helemaal geen grip op hebben? Hoe
koppelt u die analyse dus aan de praktijksituatie? Dat zou mijn eerste vraag zijn,
aan de heer Leenes. Mag ik nog een vraag stellen, voorzitter?

De voorzitter:

Ja.

De heer Verhoeven (D66):

Aan de heer Van Zwol wil ik het volgende vragen. U had het over de beslisregels nadat
een wet gepubliceerd is. U noemde daarbij in één adem het woord «algoritme». Dat vond
ik opvallend, want mijn brein zegt dat het nog steeds op een hele papieren, stapsgewijze
manier gaat. Maar ik herinner me van de vorige keer al dat u iets zei als: dat gaat
veel vaker via automatische beslisregels. Kunt u daar wat meer over zeggen? Dat heb
ik namelijk helemaal niet scherp op het netvlies.

En als laatste, als het nog mag, vraag ik: hoe moet dat dan? Hoe moet je die bestaande
wetten zoals Awb en WDO dan uitbreiden op een snelle manier? Want het klinkt inderdaad
als een snelle route naar nieuwe wetgeving, maar het klinkt nog steeds ook als iets
wat wel weer een hele stap kan zijn. Je bent dan namelijk ook gewoon de wet aan het
wijzigen. Dat zijn mijn drie vragen.

De heer Leenes:

Een kleine kanttekening. Ik heb niet gezegd dat gezichtsherkenning niet geregeld zou
zijn. Gezichtsherkenning past namelijk buitengewoon goed binnen de AVG en is betrekkelijk
duidelijk geregeld. Maar ondertussen zie je in de praktijk dat, cru gezegd, iedereen
maar wat aan het doen is. De kaders zijn er dus, alleen ontspoort het zonder handhaving
enigszins. Ik denk dat het zou helpen om veel duidelijker aan te geven: dit kan wel
en dit kan niet.

De heer Verhoeven (D66):

En hoe moet dat dan, dat aangeven?

De heer Leenes:

Dat zou aanvullende wetgeving kunnen zijn. Het kan ook dat de toezichthouder duidelijker
uitleg geeft aan de kaders van dit moment en daarop handhaaft. Ik denk dat dat de
twee opties zijn op dit moment.

De heer Van Zwol:

Misschien veroorzaak ik wat verwarring, want ik gebruik «beslisregels» en «algoritmen»
vaak door elkaar. Ik zie algoritmen als beslisregels die met behulp van IT, digitale
techniek, worden vormgegeven en uitgevoerd. Een beslisregel kan heel eenvoudig zijn.
Een beslisregel kan heel complex zijn, uit heel veel verschillende stappen bestaan
en heel veel verschillende data gebruiken, maar hij kan ook heel simpel zijn. Dat
geldt ook voor de geautomatiseerde vorm, het algoritme. Een algoritme kan een heel
simpel zijn, maar het kan ook heel, heel complex zijn. Wat er gebeurt bij veel typen
wetgeving is het volgende. Misschien kan uw griffie ook nog eens kijken naar de achtergrondstukken
die wij laatstelijk samen met BZK hebben opgestuurd. Er is een wet, en een Belastingdienst,
een IND of een UWV moet die gaan uitvoeren. Het is al sinds jaar en dag zo dat er
vaak handboeken werden gemaakt op papier, met beleidsregels waarin stond hoe men het
moest interpreteren en hoe de wet moest worden uitgelegd. Want ja, de wet zegt dit,
maar je hebt daarbinnen misschien nog acht verschillende typen gevallen. Er zijn dan
vragen als: hoe moet je het interpreteren, hoe leg je een woord uit, en wat doe je
in de gevallen die net niet in de wet zijn beschreven? Daardoor kreeg je dus al die
grote beleidsregels.

Een belangrijke ontwikkeling in het bestuursrecht en de bestuursrechtspraak is natuurlijk
dat beleidsregels op een gegeven moment erkend zijn als van belang voor burgers, voor
rechthebbenden, en dat je op grond van beleidsregels dus ook bezwaar en beroep kunt
instellen. Wat tegenwoordig gebeurt, is dat de grote diensten proberen om wetten – maar
dat geldt ook voor vooral AMvB's en ministeriële regelingen, dus sluit de lagere regelgeving
niet uit – niet meer te vertalen in dikke papieren handboeken, maar eigenlijk in een
soort metaprogrammaatjes die ze al vertalen in termen van beslisregels. Dan wordt
de tekst van een AMvB of een wet eigenlijk omgezet in nog steeds herkenbare Nederlandse
woorden, op een aan de ene kant eenvoudige maar aan de andere kant ook veel meer gespecificeerde
manier. Die eerste vertaling vormt dan de basis voor een tweede vertaling, namelijk
in programmeertaal, iets wat bijna niemand meer kan lezen. Die eerste stap, de vertaling
van regeltekst naar beslisregeltekst, zou je in theorie nog op papier kunnen doen.
De laatste natuurlijk niet; dat is de crux, dat het programmeertaal is die we in een
computer kunnen stoppen. Maar je ziet dat er ook voor die eerste stap allemaal hulpprogrammaatjes
zijn. Daarom hebben wij samen met het Ministerie van BZK die casussen van de Belastingdienst
en de IND goed uitgezocht en als bijlage bij ons stuk gestuurd. Nadat u als wetgever
uw werk heeft gedaan en het Staatsblad is verschenen, gaat het wetgevingsproces dus
nog echt flink door.

De voorzitter:

Dank u wel. Ik wil zelf nog een vraag stellen naar aanleiding hiervan. Ik weet dat
ik zelf aan Minister Dekker heb gevraagd of ik dan de vertaalslag kon zien. Hij zegt:
nee, dat hoeft niet, want de oorspronkelijke wet is helder, en op de vertaalslag heb
je dan geen recht. Ik vind dat nog wel interessant. Waarop kan je je dan baseren om
zo'n vertaalslag te kunnen zien, nog los van de derde slag, naar de computer? Daar
ben ik wel benieuwd naar.

Ik heb ook nog een vraag aan de heer Leenes. U had het over sociale media en de maatregelen
die daar genomen moeten worden. Daar worstel ik zelf heel erg mee, want aan de ene
kant wil je dat dat ook gehandhaafd wordt. Er is niet alleen sprake van nepnieuws,
maar ook van erg beledigende teksten. Aan de andere kant is het ook weer lastig om
bedrijven te laten handhaven, maar voor een rechterlijke instantie zou het weer te
veel werk zijn. Naar wat voor soort regels bent u dan op zoek voor de sociale media?

De heer Leenes:

Dat is een hele goede vraag. Op dit moment zie je dat socialemediabedrijven heel erg
terughoudend zijn en zeggen: «Wij willen niet handhaven; dat is aan de rechter. Daar
moeten we niks mee doen.» Aan de andere kant kan je natuurlijk niet zeggen dat het
geheel vrij is wat dergelijke organisaties doen. Ze kiezen voor bepaalde activiteiten
en bepaalde bedrijfsmodellen die daarachter zitten. Ik denk dat je wel degelijk mag
zeggen dat daar een verantwoordelijkheid ligt om uitvoering te geven aan de kaders
waarbinnen je moet opereren. Het merkwaardige is dat die mediabedrijven veel minder
moeilijk over doen over auteursrechthandhaving dan over de vrijheid van meningsuiting
en privacyinbreuken. Hoe je dat moet reguleren en of je dat voldoende kunt doen met
handhaving, is de vraag. Je hebt hier ook te maken met Amerikaanse bedrijven; dat
maakt de discussie nog eens extra moeilijk. In Amerika gaat de vrijheid van meningsuiting
nog heel veel verder dan hier in Europa. Daarmee zitten we dus een beetje in een spagaat
als het gaat om de vraag hoe je dit nu moet aanpakken binnen onze kaders. Natuurlijk
is er sowieso een zekere terughoudendheid om in te grijpen op vrijheid van meningsuiting,
ook in Nederland. In het mediarecht is er ook een behoorlijke terughoudendheid op
dat punt. Eerlijk gezegd weet ik het antwoord op deze vraag dus niet goed.

De voorzitter:

That makes two of us.

De heer Van Zwol:

Is de wettekst helder? Nee, vaak niet. Stel dat je opschrijft: «Als een belastingplichtige
een vergissing ontdekt, moet hij terstond de Belastingdienst daarvan in kennis stellen.»
Dat lijkt een heel heldere wetsregel, maar als je gaat nadenken, denk je: ja, maar
wat is dan «een vergissing»? Wat versta je daaronder? En wat is «terstond»? En hoe
moet dat «in kennis stellen» in zijn werk gaan? Sinds jaar en dag is het dus gebruikelijk
dat mensen gaan nadenken wat dat soort regels, die op zich helder Nederlands zijn,
nou precies betekenen. Onder welke omstandigheden is «terstond» binnen twee dagen
en in welke omstandigheid is twee weken ook wel goed, omdat iemand op vakantie was
of zo? Dan krijg je dus hele boeken met uitleg daarover. En op die boeken met uitleg
kun je je bij de bestuursrechter wel degelijk beroepen.

Nou zie je twee dingen gebeuren bij digitalisering. Eén: die vertaling, die dus altijd
al plaatsvindt bij beleidsregels, vindt nu voor een deel plaats in de vorm van geautomatiseerde
beslisregels, algoritmen. Dat gaat dus op een andere manier, grootschaliger en sneller.
Daar zitten ook weer voor- en nadelen aan. Het voordeel van een zekere ambiguïteit
in wetsteksten is dat je de weerbarstigheid van de praktijk ook een rol kunt laten
spelen. In een wet kun je opschrijven: «De gemeente zal naar billijkheid bezien of ...»
Maar als je die billijkheid in beleidsregels vast gaat stellen, gaat het al wat minder
in de richting van billijkheid; dan worden het alweer subregeltjes. En als je die
vervolgens gaat automatiseren, worden die subregeltjes ook weer zonder nadenken – ik
zeg het even scherp – toegepast. Ik zeg dus niet dat enige ambiguïteit in regels verkeerd
is. Alleen, ze bestaan. Ze bestaan voluit. En zelfs wanneer ze wel heel duidelijk
lijken ... Het bekendste voorbeeld is dat van een 80 of 100 km/u-grens. We weten allemaal
dat daarbij in de uitvoering toch een zekere marge wordt genomen voordat er een boete
wordt uitgeschreven. Dat is allemaal een vertaling in beleidsregels. Dat wordt allemaal
geautomatiseerd, en je kunt er echt beroep op doen bij een rechter.

De voorzitter:

Heeft een van de collega's nog een vraag?

De heer Verhoeven (D66):

Ik had nog gevraagd hoe het zit met de uitbreiding van die algemene wetten, dus de
Algemene wet bestuursrecht, de Wet digitale overheid et cetera.

De heer Van Zwol:

De Afdeling advisering heeft bij het wetsvoorstel waarmee het elektronisch berichtenverkeer
in de Awb is opgenomen – ik herhaal: dat is ordelijk gebeurd, dus daar hadden wij
geen kritiek op – al de suggestie gedaan om de Awb wat systematischer te bezien als
het gaat om het digitale verkeer met de overheid. Je kunt elementen van ons ongevraagd
advies van eind 2017 ook gewoon in de Awb invoegen. Bij ons, en ook wel bij andere
instanties, denk ik, liggen er dus echt wel ideeën die je met een redelijk tempo zou
kunnen uitvoeren. U heeft gelijk dat ook een wijziging van de wet natuurlijk een normaal
wetgevingsproces is van begin tot eind. Maar het kan normaliter natuurlijk wel wat
meer a tempo worden doorlopen. Het grote voordeel is dat je geen nieuwe structuren
ernaast creëert. Ook voor de kenbaarheid van de wet is het goed als het op een aantal
plekken wordt gedaan. Dat geldt ook voor de Wet digitale overheid; sterker nog, het
Ministerie van BZK beoogt ook dat dat een basiswet is die uit te breiden is. Het grote
voordeel is: je creëert geen nieuwe structuren ernaast. Het is ook voor de kenbaarheid
van de wet goed als het op een aantal plekken wordt gedaan. Dat geldt ook voor de
Wet digitale overheid. Sterker nog, het Ministerie van BZK beoogt ook om dat een basiswet
te doen zijn die uit te breiden is.

De heer Van Otterloo (50PLUS):

Ik heb nog een vraag aan de heer Leenes. In de een-na-laatste alinea in de paper duidt
u er ook op dat de AVG wel heel sterk op individueel niveau geregeld is en niet op
groepsniveau, ook niet in de verwijzing. Kunt u zeggen wat zo'n sterkere uitbreiding
in de praktijk zou betekenen voor het wetgevingsproces?

De heer Leenes:

Ik denk dat de uitbreiding in eerste instantie vooral zal moeten zitten in het procesrecht,
waarmee je ook groepen de mogelijkheid geeft om actie te ondernemen tegen misstanden
in het kader van gegevensverwerking. Het is wat lastiger te zeggen wat de effecten
zouden moeten zijn op wetgeving. De AVG spreekt bijvoorbeeld wel over profilering
als onderdeel van gegevensverwerking, wat natuurlijk gebruikt kan worden in geautomatiseerde
besluitvorming. Je zou daar nog sterker kunnen aanzetten dat het ook gaat over groepsprofielen
en niet zozeer over profielen die toegepast worden op individuen. Maar ik denk dat
het er op korte termijn meer in zit dat groepsbelangen een weg vinden in de rechtspraak,
dat we daar handen en voeten aan geven.

De voorzitter:

Is het zo dat privacy veel meer, naast dat het een individueel recht is, ook gezien
moet worden als een groepsrecht?

De heer Leenes:

Jazeker. Het gegevensbeschermingsrecht is primair ingestoken op individueel niveau,
maar privacy en dataprotectie zijn niet hetzelfde. Ze overlappen elkaar wel, maar
privacy heeft ook een heel sterk groepselement. Een democratie gaat onderuit op het
moment dat we privacy niet serieus nemen, en dat is toch echt op groepsniveau.

De voorzitter:

Nog iemand? Ik zie iedereen de papieren doornemen. De heer Verhoeven.

De heer Verhoeven (D66):

Ik was nog wel aan het nadenken over een vraag, maar ik heb die nog niet meteen paraat.
Ik weet niet of dat een bestaande vorm is in het parlementaire discours. O ja, ik
heb toch een vraag.

Ik begrijp heel goed dat de Awb en de WDO wetten zijn die in een bepaalde hoek zitten.
We hebben bedacht om deze bijeenkomsten te houden – eerst met u en straks ook nog
met alle toezichthouders – omdat de Kamer een aantal voorbeelden heeft, waarover zij
met een vorm van bezorgdheid spreekt, van nieuwe technologieën waarbij we eigenlijk
geen enkele grip hebben op wat er allemaal in de praktijk gebeurt. Ik noem altijd
het voorbeeld van de camera's die bij de Jumbo worden opgehangen. Dat is voor mij
het meest concreet. Er worden camera's met gezichtsherkenningstechnologie bij de Jumbo
opgehangen. Ik denk als politicus dat dat onwenselijk is. Dat is één. Nou kan dat
nog een mening van mij zijn, maar ik denk ook dat het onwettig is. Dat denk ik. Vervolgens
is de vraag wie dat moet toetsen en aan welke wet dat wordt getoetst. Ik denk niet
dat we dan uitkomen bij de Awb en de WDO. Dan zitten we natuurlijk in een hele andere
hoek; dan zitten we in de hoek van de AVG en de Autoriteit Persoonsgegevens. Ik snap
dat je de Algemene wet bestuursrecht en de Wet digitale overheid kunt uitbreiden om
een bepaald domein van digitaliseringsvraagstukken op te lossen, maar hoe doen we
dat dan bij die componenten als gezichtsherkenning en discriminerende algoritmes?
Moeten we daar dan dezelfde systematiek toepassen door de AVG uit te breiden of moeten
we het dan op een andere manier doen? Naar mijn gevoel is de basis die daar ligt smaller.
Het is nog niet helemaal coherent geformuleerd, maar dat is een beetje mijn zoektocht.
Er zijn verschillende domeinen van vraagstukken en in dit domein lijkt me minder een
basis te liggen om op voort te borduren. Dat is eigenlijk de vraag.

De heer Leenes:

Het is heel duidelijk dat mijn buurman uit het bestuursrecht en het openbaar bestuur
komt en dat mijn inbreng vooral gebaseerd is op de horizontale relatie tussen bedrijven
en burgers en burgers onderling. Omdat de Awb gebaseerd is op de algemene beginselen
van behoorlijk bestuur en gericht is op besluiten, en omdat besluiten gemotiveerd
moeten zijn, heeft de Awb een sterk ontwikkelde traditie van het voorkomen van willekeur.
Die beginselen van behoorlijk bestuur kun je natuurlijk gedeeltelijk best wel overhevelen
naar de private context. De handvatten die de AVG daarvoor biedt, zijn alleen maar
dat je in verzet kunt komen tegen een beslissing en dat je kunt vragen om de logica
van een beslissing. Maar wat staat ons in de weg om veel meer van het denken vanuit
het bestuursrecht daarin te weven en eisen te stellen aan op wat voor manier beslissingen
uitgelegd moeten worden?

De voorzitter:

Nu hebben we toch een coherent antwoord op deze vraag die zoekend was, maar goed geformuleerd
eindigde. Een vraag van de heer Middendorp. Dat is de laatste vraag.

De heer Middendorp (VVD):

Dat is natuurlijk uitermate interessant. Het is mij nog steeds niet helemaal duidelijk
of er nu verwacht wordt dat er een aparte richtlijn uit Europa komt, maar laten we
die maar even terzijde schuiven en aannemen dat we dat in Nederland zelf gaan doen.
Ik hoor u eigenlijk zeggen dat als je op hoog niveau dat soort nieuwe normen en regels
wilt gaan maken, er op bepaalde niveaus eigenlijk geen verschil is of je voor de algoritmegebruikende
instelling – of dat nu een overheidsinstelling is of misschien wel een bedrijf – in
één keer een kader maakt om deze instelling aan te pakken. Het zijn natuurlijk bepaalde
basisnormen. Hoorde ik u dat net zeggen of is dat te kort door de bocht?

De heer Leenes:

Ik denk dat dat iets te kort door de bocht is. De overheid gaat uit van het legaliteitsbeginsel.
Op basis daarvan mogen we verwachten dat besluiten op een bepaalde manier genomen
worden. Die normen gelden niet in een private context. Maar je kunt natuurlijk wel
een deel van die normen overhevelen naar de private context. Eigenlijk gaat het over
fairness en redelijkheid en non-discriminatie. De ideeën kunnen elkaar gewoon heel
goed overlappen. Dus ik denk dat je dan in een uitvoeringswet een aantal dingen kunt
regelen rond de uitleg van geautomatiseerde beslissingen.

De voorzitter:

Daarmee zijn we aan het einde gekomen van het eerste onderdeel van dit rondetafelgesprek.
Ik wil de aanwezigen heel erg danken voor hun bijdrage.

De vergadering wordt van 10.51 uur tot 10.56 uur geschorst.

Blok 2: Toezicht

Gesprek met:

– de heer Wolfsen, voorzitter Autoriteit Persoonsgegevens

– de heer Keppels, directeur Bestuur, Beleid en Communicatie bij de Autoriteit Consument
& Markt

– de heer De Groot, hoofd Strategie, Beleid en Internationale Zaken bij de Autoriteit
Financiële Markten

– de heer Gelderman, divisiedirecteur Toezicht Beleid bij De Nederlandsche Bank

– de heer Korvinus, inspecteur-generaal Inspectie JenV

– mevrouw Van Dijk, directeur-hoofdinspecteur Agentschap Telecom

De voorzitter:

Ik heropen dit rondetafelgesprek met een hele tafel vol mensen van toezichthoudende
instanties. Wij hebben er als tijdelijke commissie Digitale toekomst inderdaad voor
gekozen om jullie allemaal uit te nodigen. Een deel van jullie hebben we al eerder
gezien, in gesprekken met vragen over toezichthouders. Maar op een gegeven moment
hadden we het idee dat iedereen zei dat hij toezichthouder was op al deze instanties.
Toen dachten we: wie houdt er nou precies toezicht en waaruit blijkt dat dan? Want
het is één ding om die bevoegdheid te hebben, maar het is natuurlijk ongelofelijk
belangrijk dat die ook wordt uitgeoefend. Toen dachten we: als we u nou allemaal uitnodigen,
krijgen we het beeld in één keer helemaal compleet. Dat is dus de bedoeling van vandaag.

Heel hartelijk welkom. Fijn dat u er allemaal kunt zijn. Volgens mij is er ook tegen
u gezegd dat u nog even de tijd hebt om een korte toelichting te geven, hoewel u ook
allemaal stukken heeft ingestuurd, die we naast elkaar hebben neergelegd. Ik geef
graag als eerste het woord aan de heer Wolfsen van de Autoriteit Persoonsgegevens.

De heer Wolfsen:

Dank u wel. Mevrouw de voorzitter, geachte leden, fijn dat we hier weer mogen zijn;
zo voelen we dat altijd. Het is mooi om hier te gast te kunnen zijn en over dit belangrijke
onderwerp met u van gedachten te kunnen wisselen. Fijn ook dat u er zo grondig aandacht
voor heeft. Ook wij hebben een kort pamfletje gemaakt als voorbereiding op deze bijeenkomst.
Dat hebt u allemaal gelezen. Dan vraag je je altijd af: wat zal ik er nog eens uitpakken
en uitlichten? Sommige vragen behoeven, denk ik, wat minder aandacht. Wie doet wat,
overlap, leemtes, toereikende bevoegdheden: dat soort dingen zijn over het algemeen
wel redelijk helder, denk ik. De afstemming tussen ons onderling gaat over het algemeen
ook wel goed; dat hebben we in eerdere bijeenkomsten ook tegen u gezegd. Een mooi
voorbeeld – dat vind ik zelf althans – is het toezicht op de fintechbedrijven, die
nieuw zijn. Je zou kunnen zeggen dat het de nieuwe banken zijn; ik zeg het wat huiselijk
allemaal. Daar hebben DNB, ACM, AFM en wij natuurlijk ook mee te maken. In een eerdere
rondetafel hebben we al eens gezegd hoe mooi die afstemming loopt. We zijn er allemaal
een beetje van en iedereen heeft zijn eigen invalshoek. Dat loopt in de praktijk eigenlijk
wel goed; we kunnen er straks misschien wat meer over zeggen. Daarover ben ik ook
wel aangenaam verrast, terwijl ik daar in het begin wat somberder over was, maar die
afstemming loopt in de praktijk gewoon goed, zowel tussen de medewerkers als tussen
de bestuurders. Dat is dus een voorbeeld.

Bij de zorg speelt natuurlijk hetzelfde. Politie en justitie zijn zich een beetje
aan het ontwikkelen. Wat zij verwerken, zijn bijna allemaal persoonsgegevens en wij
zijn toezichthouder op alles wat niet bij een rechter komt. De Inspectie Justitie
en Veiligheid is dat uiteraard ook. Wat de inspectie doet, hoeven wij niet te doen
en omgekeerd. Dat is zich nog wat aan het ontwikkelen. Burgers zijn ook nog een beetje
aan het ontdekken dat wij daar een toezichthoudende rol hebben, maar ook dat gaat
in de start goed.

Dan pak ik er in steekwoorden nog een paar dingen uit waarvan ik denk dat het misschien
wel goed is om daar nog wat accent op te leggen in de inleiding. U had ook een grote
vraag, vond ik, namelijk: hoe ziet het er over tien jaar uit? Dat vond ik een hele
grote vraag, want alles wat met automatisering en applicaties te maken heeft, gaat
sneller en goedkoper en wordt kleiner, en dat gaat kwadratisch. We zitten op dat vlak
nog maar in de middeleeuwen, denk ik. You ain't seen nothing yet. Dat gaat echt heel
snel. Daar moeten we ons heel goed bewust van zijn. Alles wordt tegenwoordig een computer.
Ik had laatst een interview met een journalist over connected cars, over een nieuwsbericht
met als kop: Man van de weg geraakt in z'n zelfsturende auto. Die kop is natuurlijk
fout. De bestuurder was gewond geraakt. De kop zou moeten zijn: computer verwondt
gebruiker. Het is nu een computer die van de weg raakt en een gebruiker die gewond
raakt. Dan zie je mensen denken: o ja, je auto, maar ook je telefoon, je tv en je
koptelefoon zijn natuurlijk computers. Dat zijn allemaal computers, dat is allemaal
eindapparatuur. Daar zitten allemaal algoritmes in, dus daar worden allemaal persoonsgegevens
door verwerkt. Die bewustwording komt nu wel, maar ontwikkelt zich langzaam.

We hebben vandaag toevallig een normenkader voor het omgaan met algoritmes naar buiten
gebracht; dat lag er al een tijdje, maar dat viel nu mooi samen. In de vorige bijeenkomst
is daar al het nodige over gezegd: als je een algoritme ontwikkelt – eigenlijk geldt
het voor elke applicatie – moet dat by design privacyvriendelijk zijn, vanzelfsprekend.
De standaardinstellingen moeten privacyvriendelijk zijn. Als wat je daarbinnen verwerkt,
moet rechtmatig, behoorlijk en transparant zijn. Dat zijn maar drie woorden, maar
die zijn cruciaal. «Rechtmatig» is misschien nog het makkelijkst, maar in «behoorlijk»
– daar is in de vorige bijeenkomst het nodige over gezegd – zit ook dat je niet mag
discrimineren. Dat is niet behoorlijk, dat is niet fair, dat is niet eerlijk. «Transparant»
is dat je ook transparant moet zijn over hoe het programma gecodeerd is, hoe de programmeerregels
eruitzien. Dat is bij de klassieke algoritmen wat makkelijker, maar bij zelflerende
algoritmen, die je traint op basis van informatie, is dat al wat lastiger. Dat is
fundamenteel.

Door de combinatie die nu gaande is van eindapparatuur – alles is eindapparatuur –
en biometrie en medische gegevens – gezichtsherkenning kwam al aan bod – vervaagt
de grens tussen «fantastisch dat dit gebeurt», zeker in de medische hoek, en «bloedlink,
wat hier gaande is»; die zaken komen steeds dichter bij elkaar. Zo ben je eerlijk
een sollicitant aan het selecteren op basis van een algoritme, maar zo ben je aan
het discrimineren, als er een vooroordeel of een verkeerde programmeerregel in zit.
Zo ben je eerlijke verkiezingen aan het organiseren, en zo ben je ze aan het manipuleren.
Zo denk je «een verdachte moet worden aangehouden op basis van feiten en omstandigheden
die we vooraf zien», en zo maak je een algoritme waarbij je zegt: iemand uit die wijk,
met die achtergrond, is een verdachte. Correlatie en causaliteit vervallen totaal.
SyRI is daar het meest cynische voorbeeld daarvan; het is al genoemd. Daar moeten
wij ons buitengewoon bewust van zijn.

Daarom hebben we ook gezegd – daar zal ik mee afsluiten, mevrouw de voorzitter – dat
wij hier als toezichthouder op zullen focussen. Wij bevorderen en bewaken natuurlijk
alles wat met dit belangrijke grondrecht te maken heeft. Bijna alles is tegenwoordig
te vertalen in persoonsgegevens. Er is natuurlijk datahandel. Dat is vanzelfsprekend.
Daar verlies je het meest de grip op je gegevens. Er is ook een digitale overheid,
waar ook steeds meer digitale toepassingen plaatsvinden. Dat heeft alles te maken
met algoritmen en AI, omdat de ontwikkelingen daar nu het snelst gaan. Daar heeft
men het minste grip op. Als Nederlands burger moet je je kunnen verdedigen als er
beslissingen over jou worden genomen. Als die transparantie niet goed wordt toegepast,
is dat – ik zeg het toch een beetje zwaar vandaag – het begin van het einde van de
rechtsstaat, want dan wordt er wat over jou beslist, zonder dat je weet waarom, en
je kunt je er niet meer tegen verdedigen. Dan geraken we ver van huis, mevrouw de
voorzitter.

De voorzitter:

Dank u wel, meneer Wolfsen. Dan geef ik het woord aan de heer Keppels, directeur van
Bestuur, Beleid en Communicatie van de Autoriteit Consument & Markt. Het woord is
aan u.

De heer Keppels:

Dank u wel, mevrouw de voorzitter. Het is inderdaad een genoegen om hier te zijn.
Waarop zien wij toe en waaruit blijkt dat? Die vragen hoorde ik net. Wij zijn de marktbrede
toezichthouder op de Nederlandse economie. Wij zijn markttoezichthouder. Onze missie
is om markten goed te laten werken voor mensen en bedrijven. Dat doen we in bepaalde
gereguleerde sectoren, zoals telecom, energie en openbaar vervoer, maar ook in de
rest van de economie, op basis van bijvoorbeeld de Mededingingswet, de consumentenbeschermingsregels
en voor de telecomsector bijvoorbeeld de Telecomwet. Dat doen we dus ook in de digitale
economie, op basis van de huidige normen. De meeste normen zijn vrij open en onafhankelijk
van techniek geformuleerd.

Ik zal voorbeelden geven waaruit blijkt dat we dat doen. We doen nu onderzoek naar
de App Store van Apple. We hebben onderzoek gedaan naar videostreaming door YouTube,
Netflix, Facebook en Videoland. We inventariseren op dit moment de rol van Big Tech
in de betaalmarkt, dus bijvoorbeeld van Apple Pay. We hebben met andere toezichthouders
in de rest van Europa actie ondernomen tegen bepaalde praktijken van reisplatforms,
zoals Booking.com en Expedia. We doen nu onderzoek naar algoritmes die prijzen zetten.
We hebben in de afgelopen jaren allerlei boetes en lasten onder dwangsom uitgedeeld
aan webwinkels, grote telecombedrijven en grote reisorganisaties, omdat ze online
hun prijzen niet duidelijk vermelden, of de regels voor netneutraliteit niet naleven,
of niet doen wat ze online beloven. Dat kan allemaal op basis van de huidige normen,
die open zijn.

Soms merken we ook dat we ze moeten expliciteren: dat we duidelijk moeten maken hoe
die norm in een nieuwe situatie met nieuwe technologie moet worden uitgelegd. We zagen
bijvoorbeeld dat de mogelijkheden om onlinegedrag te beïnvloeden enorm toenemen, vanwege
de hoeveelheid data en vanwege het feit dat er voortdurend experimenten worden uitgevoerd.
Van een bepaalde website of app zijn soms wel 2.000 varianten tegelijkertijd actief.
Dan kunnen ze ons als consument steeds makkelijker krijgen waar ze ons hebben willen,
en dat kan zomaar ook in onze valkuil zijn. Daarom willen we duidelijk maken waar
die grenzen liggen, ook online: waar gaat online verleiden over in online misleiden?
Daar zijn we vorige week mee naar buiten gekomen. Dat is als de wet open genoeg is,
maar dat is niet altijd zo. Er komen gelukkig soms ook, als dat nodig is, normen bij,
bijvoorbeeld over software-updates. Gezichtsherkenning kwam net al voorbij.

Eigenlijk is onze ervaring dat de Europese wetgever, en de Nederlandse wetgever, de
laatste jaren alert en responsief is op ons terrein, digitale uitdaging, en in ons
toezichtsdomein. Maar dat is ook wel nodig, want er moeten af en toe nieuwe normen
komen. Een voorbeeld van iets waar wij nu voor pleiten, is een instrument waarmee
je vooraf kunt ingrijpen in de mededingingssfeer, in plaats van achteraf, na jarenlange
procedures, iets te corrigeren met een boete. Dat noemen we een ex ante-reguleringsinstrument.
Daar pleiten we samen met EZK voor. Dat zou heel relevant zijn in het digitale domein,
en dan vooral bij bijvoorbeeld digitale platformen met een poortwachtersfunctie. Daar
vinden we ook wel gehoor voor. Woensdag komt de Europese Commissie met haar plannen.
Er zijn versies gelekt waaruit blijkt dat hier echt gehoor voor is. Dat zou ons erg
helpen.

Tot slot. Volgens ons is samenwerking ongelofelijk belangrijk. De heer Wolfsen noemde
al een voorbeeld. Een ander voorbeeld waar we in het digitale domein samenwerken met
de NZa is ICT in de zorg. Partijen hebben zorgen over de afhankelijkheid van bepaalde
digitale platforms in de zorg. Het tweede is investeren in capaciteit. Dat doen wij
volgens mij allemaal. We doen dat voor een deel ook gezamenlijk. We hebben een datatraineeship
samen met AFM en de NZa. We werken met DNB, AFM, politie en justitie samen om digitale
capabilities te versterken. Dat is ongelofelijk belangrijk, omdat we allemaal de stap
moeten zetten, net zoals de consument, net zoals de wetgever. Dat doen we dus ook.

Dank u wel.

De voorzitter:

Hartelijk dank voor uw toelichting. Dan geef ik het woord aan de heer De Groot, hoofd
Strategie, Beleid en Internationale Zaken bij de Autoriteit Financiële Markten. Aan
u het woord.

De heer De Groot:

Dank u wel, mevrouw de voorzitter, en dank dat ook de AFM de gelegenheid krijgt om
inbreng te leveren op dit belangrijke onderwerp. Wij zijn de gedragstoezichthouder
voor de financiële markt. Onze missie is om bij te dragen aan duurzaam financieel
welzijn in Nederland. We hebben ook in onze jaarlijkse trendzichtrapportage, waarin
we ingaan op risico's voor de financiële sector, de laatste jaren aandacht besteed
aan de digitalisering, zowel voor 2019 als voor 2020. Daarin gaan we ook wat dieper
in op de retailkant van financiële dienstverlening. Ik probeer vandaag wat kleur te
geven aan waar die digitalisering ons toezicht raakt. Dat zal een combinatie zijn
van kansen en risico's. Het is logisch dat we het als toezichthouders hier aan tafel
vooral over de risico's hebben, maar we moeten niet vergeten dat digitalisering op
het gebied van financiële markten ook allerlei kansen biedt, die het leven voor consumenten
vergemakkelijken.

De risico's die ontstaan, betreffen natuurlijk ook financiële cybercriminaliteit.
Dat is iets waar financiële instellingen natuurlijk vaak voor worden gebruikt. We
moeten er alert op zijn dat dat wordt tegengegaan. Als het gaat over de klanten, dan
kun je dat ook zien in het kader van zorgplicht. Dat begrip wordt veel gebruikt in
het gedragstoezicht. We kijken of die technologische ontwikkelingen ook inderdaad
in het klantbelang worden ingezet. Dat betekent dat wij ons vaak zullen richten op
het zorgvuldig gebruik van klantdata, en ook op waardeketens en risico's van de IT-intensieve
bedrijfsvoering. We hebben als AFM daarvoor verschillende aanpassingen in de organisatie
gedaan: een programma datagedreven toezicht, een fintechteam, een team digitaal onderzoek
en ook een team dat zich bezighoudt met de operationele processen en IT, om daarin
met deze risico's rekening te kunnen houden.

Als we dan kijken naar de bevoegdheden van toezichthouders, waar net ook al het een
en ander over gezegd is, dan denk ik dat de samenwerking over het algemeen goed verloopt.
Er is wel één ding dat wij willen noemen. Dat is namelijk dat wij niet altijd gegevens
kunnen uitwisselen. De Europese financieeltoezichtregelgeving verbiedt ons om vertrouwelijke
informatie uit te wisselen met bijvoorbeeld de AP. Dat is iets wat alleen op Europees
niveau aangepast kan worden, maar wat soms in de praktijk wel een sta-in-de-weg is.
Ik kan u een voorbeeld noemen van waar de bevoegdheden nog niet helemaal afdoende
zijn voor de AFM om altijd te kunnen ingrijpen, want in de meeste gevallen is dat
wel zo. Het informatiegebruik door Big Techs is al eerder genoemd. Financiële instellingen
maken daarvan gebruik, maar verliezen ook het zicht. Die gebruiken de data van Big
Tech om marketing op een bepaalde manier in te steken. Er worden zoekmachines en zoektermen
gebruikt waar we niet altijd zicht op hebben. De macht ligt dan in handen van de Big
Techs en dat is niet altijd in het belang van de consument. Dat is ook vaak grensoverschrijdend
en daarom lastig om aan te pakken.

Dat grensoverschrijdende is een wat algemener aspect dat ik zou willen noemen. In
Europa hebben we een paspoortsysteem voor financiële dienstverlening. Consumenten
in Nederland worden in toenemende mate geconfronteerd met digitale vormen van dienstverlening,
waarbij de operaties van de bedrijven zich niet primair in Nederland bevinden. Die
bedrijven kunnen gebruikmaken van allerlei jurisdicties en daar dan toch een legitieme
uitstraling aan geven. Je kunt bijvoorbeeld klanten bellen vanuit Cyprus met een 020-nummer.
Het nationale mandaat blijft dus vaak achter of wordt gecompliceerder door de internationale
regels die daarvoor zijn, met een home- en hosttoezichthouder. Wij werken daaraan
en willen daar ook in het Europese kader aan werken. Wij hebben dat punt ook genoemd
in het kader van de Europese kapitaalmarktunie.

Ik wil nog zeggen dat het normenkader voor ons over het algemeen voldoende is. Wij
proberen eigenlijk binnen de normenkaders die wij hebben in de interpretaties dat
specifieke element van digitalisering een plek te geven; dat is net ook al een keer
genoemd. Een voorbeeld daarvan is het rapport dat we hebben gepubliceerd over artificiële
intelligentie. We hebben aan bedrijven in de verzekeringssector, die zich daar natuurlijk
ook allemaal mee bezighouden, een aantal vragen meegegeven. Dat zijn normen en vragen
die ze zichzelf zouden moeten stellen, van het type: wat voor beleid heb je op artificiële
intelligentie? Maar het is bijvoorbeeld ook de vraag die net al aan de orde kwam:
in hoeverre voorkom je nu dat er sprake is van discriminatie? Die vraag wordt dan
gesteld.

Er zijn twee terreinen waarvan we denken dat er nog niet voldoende regelgeving is.
Dat is voornamelijk de blockchaintechnologie, waar waarschijnlijk nadere regelgeving
nodig is. We hebben vorig jaar ook samen met de Nederlandse bank een paper uitgebracht
over crypto's, dus daar zal ik dan ook naar verwijzen.

Dank u wel.

De voorzitter:

Dank u wel. U nodigt vast uit om een vraag te stellen. Dat is heel slim, bij zo'n
inleiding. Mensen denken nu al: wat wil hij dan met die blockchains? Maar dat komt
dan straks vanzelf bij de vragenronde. Dat is echt heel slim. Dank u wel. Dan geef
ik het woord aan de heer Gelderman. Hij is divisiedirecteur Toezicht Beleid bij De
Nederlandsche Bank.

De heer Gelderman:

Dank u wel, mevrouw de voorzitter. Net als de vorige sprekers is het me een genoegen
om hier te zijn. Fijn dat u ons uitgenodigd heeft. Digitalisering raakt ons allemaal
en zeker ook DNB. Het is ook een plezier om uw vragen te beantwoorden. Dat hebben
we deels gedaan in een positiepaper. Dat ga ik hier niet voorlezen; dat zou erg saai
worden. Ik wil er wel drie punten uitlichten. Daarna wil ik misschien nog even op
de vorige sprekers ingaan.

Die drie punten zijn de volgende. Allereerst zitten wij hier als toezichthouder op
de financiële sector, op de integriteit van de financiële sector, als prudentieel
toezichthouder op de financiële degelijkheid van de financiële sector, en minder vanuit
een consumentenperspectief dan de eerdere sprekers. We zitten hier ook als toezichthouder
op een sector die ongelofelijk ICT-intensief is. Een bank, een verzekeraar, een betaalinstelling:
het is de facto een geautomatiseerd systeem met nog een klein beetje chartaal geld
ernaast. Dat maakt ook dat we van dag tot dag te maken hebben met de dingen die bij
u op de agenda staan. Wij kunnen eenvoudigweg onze taak niet meer uitvoeren zonder
te kijken naar modellen, naar algoritmes, naar datagebruik en naar cybersecurity.
We doen dat dus ook al. Het impliceert ook een ander iets, dat ook in de vorige sessie
tussen de regels door ter sprake kwam: mocht er een aparte toezichthouder komen of
wat dan ook, dan is het niet mogelijk om die taak eruit te lichten. Wij focussen op
de financiële processen van een financiële instelling, en niet separaat op de andere
onderdelen.

Dan het tweede element dat ik uit wil lichten. Mijn eerste punt klinkt allicht een
beetje alsof wij op onze lauweren rusten en denken: we doen het allemaal al goed.
Ik zou niet zeggen dat we het slecht doen, maar we constateren wel echt dat er een
stroomversnelling is en dat we een tandje bij moeten zetten. De ontwikkelingen in
de sector gaan steeds sneller en sneller. Er komen steeds meer partijen. De Europese
paspoorten, waar Johan naar verwees, leiden er ook toe dat er steeds meer buitenlandse
partijen actief zijn in Nederland. Wij moeten investeren in de capaciteit van onze
mensen en in de capaciteit van onze systemen. Wij zijn dan ook heel blij dat we het
afgelopen jaar van het Ministerie van Financiën de mogelijkheid hebben gekregen om
die investeringen te doen middels een uitbreiding van ons budget. Dat hebben we echt
nodig om die aansluiting te houden, om ervoor te zorgen dat wij geen risico's missen
en ook om ervoor te zorgen dat wij innovatie niet nodeloos in de weg staan.

Een derde punt dat ik uit wil lichten, is het feit dat wij naar onze processen kijken.
Maar daarmee dekken wij natuurlijk niet de hele wereld af die uw interesse heeft.
We dekken niet het privacyterrein af – dat is goed belegd bij de AP – en we dekken
niet de niet-financiële sector af. Er zijn uitdagingen buiten ons terrein en vanzelfsprekend
hebben die uw terechte aandacht. Er zijn ook uitdagingen – er is er ten minste één –
waarvoor wij ons wel verantwoordelijk voelen, maar waarbij wij twijfels hebben of
we die verantwoordelijkheid ook kunnen waarmaken. Wij denken eigenlijk dat we die
niet voor de Nederlandse financiële sector kunnen waarmaken, niet binnen Nederland
en misschien op dit moment zelfs ook niet binnen Europa. Dat is nog niet een acuut
risico, maar dat is gerelateerd aan cloudcomputing. Wij zijn zeker niet tegen cloudcomputing.
We zien risico's, maar we zien ook voordelen. Op het niveau van individuele instellingen
zijn die risico's en voordelen heel goed af te wegen om ervoor te zorgen dat er geen
dingen fout gaan. Wat we niet kunnen, is systeembreed naar de risico's kijken. Op
het moment dat we een tendens krijgen in de wereld waarbij instellingen, zowel in
de financiële sector als daarbuiten, in toenemende mate cloudcomputing gebruiken en
de cloudproviders in toenemende mate geconcentreerd raken, dan krijg je het risico
dat zo'n cloudaanbieder door hackers of financiële problemen niet kan functioneren
en een groot gedeelte van de economie geraakt wordt. Dat is in onze beleving een zaak
die nog een beetje buiten de radar is. Misschien gaat een van mijn collega's daar
iets geruststellends over zeggen; dat zou mij genoegen doen. Dat wat betreft mijn
drie punten.

Ik wil even aansluiten bij de punten die de voorgangers van de AP en de AFM maakte.
Ik herken helemaal het beeld dat Aleid Wolfsen zojuist schetste. We zaten hier anderhalf
jaar geleden voor PSD2. Toen begon de samenwerking. Die was soms nog wat onwennig.
Nu zien we dat de mensen elkaar echt weten te vinden. In het bestuurlijk overleg hebben
we een goede manier gevonden om informatie met elkaar uit te wisselen, dus dat is
echt tevredenstellend. Ik herken ook het punt dat Johan de Groot van de AFM zojuist
maakte. Er zijn grenzen aan onze gegevensuitwisseling en daar lopen we af en toe tegen
aan. We zijn wel heel blij dat de grens voor fintech, waar u ook over sprak, bij de
implementatie van PSD2 door u, het Ministerie van Financiën, is weggenomen en dat
we goed gegevens uit kunnen wisselen. Dat doen we ook van dag tot dag.

Daar wilde ik het bij laten. Dank u wel.

De voorzitter:

Dank u wel. Dat was een helder verhaal. Dank u. Dan geef ik het woord aan de heer
Korvinus. Hij is inspecteur-generaal van de Inspectie JenV.

De heer Korvinus:

Ja, al sinds 1 januari van dit jaar. Als u afgelopen zaterdag gekeken heeft naar hoe
het zit met de onafhankelijkheid, dan voldoe ik in ieder geval aan de aanbeveling
van de heer Velders, namelijk dat ik niet uit de ambtelijke kring afkomstig ben maar
uit het veld. Hij beschouwde dat als een intrinsieke meerwaarde voor de positie van
inspecteur-generaal. Ik denk overigens dat mijn buurvrouw ook zo'n bijzondere kwalificatie
heeft van echte onafhankelijkheid.

De voorzitter:

En de rest?

De heer Korvinus:

Ik laat dit rusten. Ik laat het aan anderen om daarop te reageren, want u heeft gezegd
dat we vooral opmerkingen moesten maken die intrigeren. Ik probeer om daaraan mijn
bijdrage te leveren.

De Inspectie Justitie en Veiligheid houdt toezicht op de kwaliteit van de taakuitvoering
op het brede terrein van Justitie en Veiligheid: politie, nationale veiligheid, migratieketen,
crisis- en rampenbeheersing, sanctietoepassing en instellingen in de jeugdketen. Voor
zover het om de crisis- en de rampenbeheersing gaat, houden wij ook nog toezicht op
het domein in Caribisch Nederland. Daar kijken we ook naar. Het is dus een heel mooi
en breed pakket. De heer Gelderman zei dat toezicht slechts uit te oefenen is in een
volstrekt gedigitaliseerde omgeving, waarin je automatisch allerlei dingen ook via
die weg moet aanpakken. De justitiële omgeving kenmerkt zich wat minder door een algehele
doordringing van een perfect lopende automatisering en processen die eigenlijk als
vanzelf digitaal in elkaar vallen. Daar is nog veel meer sprake van enig ontwikkelproces.
Dat is ook wel een beetje te vertalen naar mijn inspectie. Ik ben in januari binnengekomen
en tegelijk met mij kwamen er een paar collega's bij die wij als versterking op het
digitale domein hebben aangetrokken.

Als u kijkt naar ons geschrift, dan zult u zien dat we met een aantal dingen doende
zijn, maar dat we ook heel erg aan het begin staan van allerlei activiteiten die we
nog nader gaan ondernemen. Wat u verder zult hebben gelezen, is dat we bijna alle
partijen die hier aan tafel zitten, maar ook andere partijen, hebben genoemd als partijen
waarmee we samenwerken. We hebben een coördinerende rol op het gebied van de weerbaarheid
van de digitale, vitale processen. We werken samen met het Agentschap Telecom om dat
op een goede manier invulling te geven. Onze rol ligt wat meer in het veiligheidsdomein
en bij alle aspecten die daarbij komen kijken, terwijl wij op het gebied van techniek
vooral kijken naar het Agentschap Telecom. In de sfeer van de persoonsgegevensverwerking
kijken we wat meer vanuit onze blik. We weten welke taak bij de Autoriteit Persoonsgegevens
ligt. We kijken voortdurend wie wat moet gaan oppakken en hoe we samen kunnen afstemmen
dat we dat we op een goede manier doen.

Daarmee haak ik aan op de eerste vraag van de heer Van Otterloo, die zei: als er wat
gebeurt, wie doet dan wat? Als het in ons domein ligt, dan is het op dit moment een
beetje onze stijl dat we daar aandacht voor vragen en dat we met elkaar bespreken
wie wat oppakt en hoe we daar invulling aan gaan geven. Daarmee beoog ik enig antwoord
te geven op uw vraag.

Dank u wel.

De voorzitter:

Dank u wel. Dan geef ik als laatste het woord aan mevrouw Van Dijk, directeur-hoofdinspecteur
van het Agentschap Telecom. Verschillende mensen hebben al iets gezegd over de telecomsector,
waar zij actief in zijn. Ik ben dus heel erg benieuwd naar uw eigen bijdrage en hoe
u die ziet in verhouding tot wat de anderen daarover hebben gezegd. Het woord is aan
u.

Mevrouw Van Dijk:

Dank u wel. Met de naam «Agentschap Telecom» hebben we gelijk iets te pakken, want
die naam doet eigenlijk geen eer aan wat wij doen. Wij gaan niet meer alleen over
dat koperen telefoondraadje. Ik zou «autoriteit in de digitale infrastructuur» een
betere titel vinden. Dat is het domein van het Agentschap Telecom. Om dat even te
visualiseren: het is maart, dus dan dwarrelt die blauwe envelop weer bij iedereen
door de brievenbus om belastingaangifte te doen. Ik zal dat procesje even doornemen:
je zit achter je computer en je maakt online verbinding via een telecomprovider met
een internetdienst om toegang te krijgen via het netwerk van de telecomprovider tot
de website van de Belastingdienst. Het gaat om al die stapjes. Vervolgens moet je
je elektronisch identificeren: ik ben wie ik ben. Je vult je aangifte in en vervolgens
sluit je die af met een elektronische handtekening. De zaak wordt opgeslagen op een
server in een cloud. Dan maak je als burger gebruik van de digitale infrastructuur.
Op al die stappen houden wij toezicht. Wij houden toezicht, met name in de telecomsector,
in de energiesector, op alle IT-netwerken, op alle apparatuur die van die netwerken
gebruikmaakt, op elektronische identiteiten en op de cloud. Per 2021 zijn wij beoogd
om NCCA te worden, zoals dat zo mooi heet: National Cybersecurity Certification Authority.
We werken uiteraard heel nauw samen met justitie op dit punt, en niet alleen met justitie,
maar ook in de inspectieraad, waar alle inspectiediensten bijeenzitten om dat onderwerp
met elkaar te bespreken en bijeen te pakken.

De legitimatie voor wat wij doen, zit in de Telecomwet. Die geeft ons handvatten in
de Wet beveiliging netwerk- en informatiesystemen, de Wbni, de Cybersecurity Act,
de Wet digitale overheid en in de eIDAS-verordening, met name als we het hebben over
elektronische identificatie. Nogmaals, op al die technieken houden wij toezicht. Wij
hebben dus verstand van alle verbindingen daartussen en de ketenrisico's die je loopt.
Wij zeggen niets over het gebruik, de privacy of de toepassing ervan. Dat is echt
het domein van de vakdepartementen of van de andere toezichthouders, bijvoorbeeld
als het de privacy betreft. Daar waar het de veiligheid betreft, hebben we een hele
goede samenwerking met justitie, die daar beleidsmatig coördinerend op is. Maar zodra
het gaat om het in kaart brengen van de ketenrisico's van die techniek, dan zijn wij
van de partij en kunnen wij onze kennis en expertise inbrengen.

Ik pleit voor drie dingen. Ik pleit in ieder geval voor het handhaven van het huidige
toezichtstelsel, maar ook voor meer samenwerking. Ik pleit voor shared responsibility.
Dat moeten we veel meer laten zien bij beleid, uitvoering en toezicht, maar ook met
de markt en, waar dat kan, ook de burger zelf. Ik pleit ook voor het stappen zetten
in Europa om proactief toezicht te kunnen houden op de digitaleserverproviders, de
clouddiensten. Wij houden daar toezicht op, maar dat kunnen we alleen nog maar reactief.
Dat is een zorgpunt. 50% van de clouddiensten is in buitenlandse handen. Wat gebeurt
er met die data? Daar zal de Autoriteit Persoonsgegevens ook wat van vinden. Daar
zouden wij meer grip op moeten krijgen.

Ik pleit ook voor een verkenning naar artificial intelligence, zoals wij en ook anderen
die doen. Dan doel ik niet op het gebruik daarvan, maar veel meer op de techniek.
Dat gaat over het automatisch configureren van instellingen. Hoe loopt dat? Hoe gaat
dat? Ook kunnen wij onze expertise inbrengen bij het routeren van het internetverkeer,
ook ten behoeve van andere toezichthouders of beleid van andere vakdepartementen.

De voorzitter:

Dank u wel. Daarmee hebben we een heel palet voorgeschoteld gekregen van allerlei
verschillende toezichthouders en de samenwerking daartussen. Ik denk dat daar vast
vragen over zijn bij de collega's.

Mevrouw Van Weerdenburg (PVV):

Zoals we hebben kunnen horen, werken jullie allemaal heel goed samen. Aan de andere
kant kunnen jullie niet altijd alle gegevens uitwisselen met elkaar. Om het even wat
minder abstract te maken zat ik te denken aan een voorbeeldje, bijvoorbeeld Apple
Pay. We hoorden net dat de ACM daar onderzoek naar heeft gedaan of nog onderzoek naar
doet. Op een gegeven moment wordt zoiets gelanceerd en zit iedereen via internet naar
dat Apple Event te kijken. Volgens mij werd dat minder dan vijf jaar geleden gelanceerd.
Wat gebeurt er op dat moment? Wie gaat welk onderzoek doen? Wat is de volgorde? En
wie heeft er allemaal mee te maken?

De voorzitter:

Aan wie was de vraag gericht?

Mevrouw Van Weerdenburg (PVV):

Eigenlijk aan iedereen die daar iets mee gedaan heeft. Hoe gaat dat traject? Als Apple
Pay wordt gelanceerd, wie komt er dan in actie?

De heer Keppels:

Wij als ACM doen twee onderzoeken op dit moment. Er loopt een onderzoek naar de komst
van Big Tech naar de betaalmarkt op het verzoek van het Ministerie van Financiën.
Daarin kijken we naar de huidige marktstructuur, hoe die wordt en welke risico's daaraan
zitten wat betreft afhankelijkheden, mogelijk misbruik, toetreding en innovatie. Dat
soort dingen. Daarover hebben we uiteraard onmiddellijk contact met AFM en DNB.

Een tweede onderzoek dat wij doen, is of Apple in de App Store niet voorwaarden hanteert
waarmee misbruik wordt gemaakt. Het is soms moeilijk om door de App Store heen te
gaan. Dat gaat dan over de tarieven die zij rekenen voor betalingen en de ruimte die
zij bieden om buiten de app om betalingen te doen. Ook daarover hebben wij contact
met AFM en DNB. Dit is vanuit een zorg die binnen ons mandaat valt. Dat sluit mooi
aan op het mandaat van AFM en DNB. We houden elkaar op de hoogte.

Je kunt je ook voorstellen dat we dat allemaal samenvoegen, maar voordat je naar een
algoritme of app gaat kijken, moet je ook een soort motivatie hebben in de zin dat
het een probleem moet zijn dat je moet willen oplossen. Je kan niet alleen maar naar
de techniek kijken. Je moet het in combinatie doen met een bepaalde sectordeskundigheid,
een bepaalde drive om problemen op te lossen. Dat verklaart dat we soms allemaal naar
dezelfde partijen kijken, maar wel vanuit een andere invalshoek.

Mevrouw Van Weerdenburg (PVV):

Maar wie geeft er dan toestemming aan zo'n dienst?

De heer Gelderman:

Zal ik ook een poging ondernemen om wat te zeggen? Dat gaat uw leven niet overzichtelijk
maken, vrees ik. We hebben als centrale bank een verantwoordelijkheid voor de goede
werking van het betalingsverkeer. Vanuit die bevoegdheid kijken wij naar alle vormen
van betalingsverkeer in Nederland. Dat is niet uw eigenlijke vraag, maar die wil ik
ook even benoemd hebben. Op het moment dat een bank besluit – dat is hoe het in ons
achterhoofd werkt – zaken te gaan doen met Apple Pay, dan moet die bank zijn processen
op een verantwoorde wijze inrichten. Die moeten hackproeven doorstaan. Die moeten
een hele set aan IT-beveiligingsregels naleven. Dus wij keuren niet op dat moment
Apple Pay goed. We gaan wel bij Nederlandse banken die zaken doen met Apple Pay, kijken
of de processen daaromtrent goed ingeregeld zijn. Dat kan best even tijd kosten. Dan
is het denkbaar dat Apple Pay een vergunning als PSD2-aanbieder zal aanvragen. Op
het moment dat dat gebeurt, gaan wij de vergunningsaanvraag beoordelen. Dan schakelen
wij met de AP. We hebben een periodiek beraad met de vier toezichthouders die hier
om tafel zitten. Daar praten wij elkaar bij over dit soort zaken in de hoop dat wij
het kunnen meenemen in ons beoordelingsbesluit als de AP grote privacyproblemen ziet
bij die instelling.

Dat is alleen op het moment dat ze zo'n vergunning aanvragen. In andere situaties
hebben wij geen directe rol om naar een partij als Apple Pay te kijken. Het kan ook
zijn dat een partij ervoor kiest een vergunning aan te vragen in een ander land van
de Europese Unie. Dan kom je op iets wat raakt aan wat Johan de Groot van de AFM zojuist
zei. Die partij hebben we dan vanwege hun paspoortrechten te accepteren. Dan staan
wij buitenspel. Althans, dat is een wat groot woord, want we kijken nog steeds naar
de banken waar we zelf toezicht op houden. Maar we hebben dan geen rol meer. Die rol
ligt dan bij de buitenlandse autoriteit, met een controlerende rol voor de EBA als
het een betaalinstelling is, en voor de EBA, het SSM of de ECB als het een bank is.

De voorzitter:

Jullie zijn met z'n vieren onderdeel van dat beraad, maak ik hieruit op. Ik zie allemaal
handen gaan. Overigens vind ik het ook fijn als het niet alleen gaat over wat er goed
gaat. Het is ook weleens fijn om te horen wat er niet goed gaat. Dat moet ook vooral
helder worden. Dit is wel een beetje het moment daarvoor.

De heer De Groot:

Ik heb net wel genoemd wanneer dat voor ons het geval is. In dit geval richten wij
ons op vergunningverleners. Wat dat betreft werkt het hetzelfde als bij DNB. Die vergunningverlener
kan dus de bank zijn of een betaaldienstverlener. Alleen, het verschil is dat wij
met andere normen daarnaar kijken. DNB kijkt als toezichthouder naar een aantal prudentiële
normen en wij richten ons, kort gezegd, op hoe het is gesteld met het belang van de
klant.

De heer Wolfsen:

Als laatste misschien. Als die vergunning is verleend, als iemand dat mag gaan doen,
als er persoonsgegevens in het spel zijn, als iemand aarzelt of daar wel rechtmatig
mee is omgegaan – rechtmatig, behoorlijk en transparant; dat is de trits waarvan ik
het plezierig zou vinden als u die zou onthouden, want zo simpel is het eigenlijk –
als iemand daar vragen over heeft of als wij ambtshalve twijfels hebben of dat wel
goed gaat, dan kunnen wij daar onderzoek naar doen. Als je het even platslaat, dan
moet een burger zich eigenlijk afvragen of hij een bepaalde verwerking via toestemming
of een contract wel heeft gewild, heel simpel gezegd. Of er moet een wet zijn op basis
waarvan dat mag. Dat kan een wet van u zijn of een Europese. En de vraag is: is het
goed beveiligd? Is die verantwoordingsplicht goed? Zo kijken wij ernaar. Dan kunnen
wij beboeten of dat soort dingen, maar de bank of de AFM kan bijvoorbeeld ook de vergunning
intrekken. Zo werken wij samen. Dat werkt in de praktijk – sorry, mevrouw de voorzitter –
goed.

De heer Verhoeven (D66):

Kunt u het alle vier vanuit uw invalshoek om een bepaalde reden op een bepaald moment
tegenhouden? U heeft het de hele tijd over uw eigen invalshoek. Kunt u het alle vier
tegenhouden op het moment dat iets vanuit uw invalshoek niet in de haak blijkt te
zijn? Heeft u daar alle vier de bevoegdheid voor of moet dat uiteindelijk toch via
één van jullie vier toezichthouders lopen?

De heer Wolfsen:

Heel strak even. U noemde de vergunningverlening al even. Daar gaat De Nederlandsche
Bank over. Maar als wij heftige schendingen zien, dan kunnen wij per dag een verwerking
stilleggen. Wij kunnen acuut een verwerkingsverbod opleggen. Als wij zien dat er iets
heftig misgaat, dan kunnen wij voor Nederland een verwerkingsverbod opleggen. Wij
kunnen niet de vergunning intrekken, want de vergunning is door anderen verleend.
We kunnen beboeten en dat soort dingen – dat is wat meer reactief – en wij kunnen
het verwerkingsverbod bijvoorbeeld inzetten.

De heer De Groot:

Wij kunnen ook ons hele handhavingsinstrumentarium inzetten, behalve het intrekken
van een vergunning.

De voorzitter:

Dat snap ik. Voor mijn begrip: kunnen jullie alle drie zorgen dat zo'n vergunning
er niet komt? Dat is uiteindelijk de vraag.

De heer Gelderman:

Nee, dat kan niet ieder van ons drieën, maar ieder kan wel binnen zijn instrumentarium
bevoegdheden uitoefenen. De AP kan op een gegeven moment zeggen: ik heb bezwaren tegen
de verwerking. Dan heeft een instantie nog steeds een vergunning, maar kan die zijn
werk niet meer doen. De AFM kan zeggen: ik vind dat de consumentenbelangen hier niet
op een juiste wijze worden behartigd, dat consumenten vals worden voorgelicht. En
de AFM kan een aanwijzing, een last onder dwangsom aan de instelling opleggen – ik
weet niet precies hoe jullie escalatieladder eruitziet, maar ik vermoed net als bij
ons – en zeggen: corrigeer dit, anders gaat u per dag dat u in overtreding bent, een
boete betalen. Wij hebben als ultimum remedium dat wij de vergunning in kunnen trekken,
maar dat is echt het ultimum remedium. Wij beginnen ook met aanwijzingen en lasten
onder dwangsom op het moment dat wij zien dat er tekortkomingen zijn.

De heer Keppels:

Men kan beboeten als er misbruik wordt gemaakt van de machtspositie. Men kan dan ook
een last onder dwangsom opleggen. Wat wij graag willen, is dat wij preventief al iets
kunnen doen voordat er een overtreding is, voordat er misbruik is. Dat kunnen wij
nog niet.

De voorzitter:

Wat is dat preventieve dan? Kunt u dat nog even toelichten? Is dat dus de mogelijkheid
om zo'n vergunning niet te geven? Heeft datgene wat u wilt, dan iets te maken met
het verlenen van die vergunning?

De heer Keppels:

Nee, dat heeft niets met die vergunning te maken, want daar zijn wij niet de instantie
voor. Wij kunnen wel een gedraging stoppen. Dat kan natuurlijk heel ver gaan. Dat
kan bij wijze van spreken, net als bij het stoppen van een verwerking, betekenen dat
een bedrijf niet meer verder kan op die manier.

De heer Van Otterloo (50PLUS):

Het is altijd goed om te horen dat iedereen blij is om hier te zijn!

De voorzitter:

Ik heb dat niet gezegd!

De heer Van Otterloo (50PLUS):

Ik had net het idee van een happy bunch tegenover me. Maar er was er één waarvan ik
al uit de stukken begreep dat hij er net iets anders over dacht, niet over het hier
zijn, maar wel over de tevredenheid over de open normen. Dat was de Inspectie JenV.
Ik zou toch graag meer van die kant willen horen. Wat zou er vanuit die verantwoordelijkheid
in dat belang dan gedaan moeten worden om ook een vorm van tevredenheid, zoals de
rest die heeft over die open norm en die open formulering in de wetgeving, tot stand
te brengen?

De heer Korvinus:

Ik weet niet of wij zo snel op het niveau terecht gaan komen dat u hier beluisterde.
Wij zijn vooral een toezichthoudende inspectie. Als wij op een gegeven moment iets
constateren waarvan wij zouden vinden dat het echt moet stoppen, hebben wij daar in
ieder geval op dit moment geen instrumentarium voor. In de wet die toezicht moet houden
op de beveiliging van netwerken en informatiesystemen, behoren wij niet tot degenen
die hier bevoegdheden op mogen uitoefenen. Als het gaat over normering, zullen wij
voor een deel werkende weg gaan kijken hoe we daaraan nadere invulling moeten geven.
In veel van de domeinen waar wij actief zijn, zullen de «nood-sub-propcriteria» een
rol spelen, namelijk de noodzakelijkheid, de subsidiariteit en de proportionaliteit.
Daar zullen we eigenlijk altijd wel op toetsen, maar dat zijn tegelijkertijd ook redelijk
open normeringen waarmee we aan de slag zullen moeten gaan. Er zal dus nog wel het
een en ander moeten gebeuren. We zullen waarschijnlijk werkende weg steeds meer komen
met zaken waarvan wij vinden dat er misschien iets moet gaan gebeuren.

De heer Van Otterloo (50PLUS):

Ik heb daarstraks een vraag gesteld over hoe het zit met groepen. De AVG richt zich
sterk op individuen. We hebben in de vorige sessie gehoord dat daar nog wel een gat
zit. U heeft ook een bepaalde verantwoordelijkheid als u vindt dat bepaalde groepen
worden benadeeld. De vraag, die ik even bij beide partijen neerleg, is wat er zou
moeten wijzigen teneinde zo'n gat dat geconstateerd wordt, toch te kunnen dichten.

De heer Wolfsen:

Een beetje hardop denkend: het klopt dat het recht op gegevensbescherming, naast het
recht op privacy en het recht op eigendom, een van de grondrechten van mensen is.
Dat richt zich in beginsel altijd op individuen: op de vrije mens in een vrije wereld
die zich vrij moet kunnen bewegen en vrij moet kunnen leven. Dat is eigenlijk het
uitgangspunt van grondrechten. Dat geldt natuurlijk generieker, zoals ik al zei. Als
je bijvoorbeeld een algoritme ontwikkelt waar een codeerregel in zit die – laat ik
het neutraal zeggen – discriminerend werkt, dan werkt die vaak discriminerend voor
grote groepen. Als je een algoritme ontwikkelt om sollicitatiebrieven te selecteren
of leningen te verstrekken of dat soort dingen, kan één programmeerregel voor hele
groepen discriminerend werken. Dan is onze redenering dat dat niet behoorlijk is,
dat het unfair is en niet eerlijk is, en dus onrechtmatig is. Dan is het natuurlijk
gericht op het individu, maar het discrimineert een hele grote groep mensen. In die
zin is het dus een beetje kip-of-ei. Ik weet niet of ik het ermee eens ben dat de
AVG niet op groepen ziet, vanwege de redenering die ik net noemde. Dat is het grote
gevaar van – toch een beetje jargon – het verschil tussen causaliteit en correlatie,
dus dat meer cynische voorbeeld dat ik al noemde. Het hoort zo te zijn dat je verdachte
bent als je op basis van feiten en omstandigheden verdacht bent en niet dat iemand
denkt: nou, ik ga eens even alle dossiers van mensen die in de gevangenis zitten,
in een computer stoppen en kijken of daar dingen in zitten die correleren – een bepaalde
auto, een bepaalde achtergrond, een bepaalde leeftijd, man/vrouw – en iedereen die
er dan uit komt, is dus verdachte. Dat kan dus niet. Die grote gevaren zijn er momenteel.
Dan heb je het wel over groepen en individuen, maar in mijn beleving is dat redeneren
over dezelfde norm.

De voorzitter:

Meneer Korvinus, wilde u nog iets toevoegen?

De heer Korvinus:

Wij kennen natuurlijk in onze wetgeving wel de mogelijkheid om je, als vereniging
of groep die zich gezamenlijk getroffen voelt door regelgeving die op individuen is
gericht, daartegen teweer te stellen. Uiteindelijk is de SyRI-uitspraak een voorbeeld
waarbij een aantal personen en/of organisaties zich met elkaar verenigd hebben en
zeiden: dit accepteren we niet. Dan zie je vervolgens dat de rechter, conform de Europese
regelgeving voor de rechten van de mens, gaat bekijken of deze inperking noodzakelijk
is vanwege het belang dat er ligt bij het opsporen van dit type fout gedrag. De rechter
zegt dan: ja, dat kan bepaalde vormen van gegevensuitwisseling in beginsel noodzakelijk
maken. Het tweede is: als je bekijkt wat je ermee beoogt te bereiken en het resultaat
dat je tot op heden hebt bereikt, dan valt het niet in de proportionaliteit. Ook in
de subsidiariteitstoets valt het af, omdat de wijze waarop ermee is omgegaan niet
acceptabel is. Zo zou ik me dus zeer wel kunnen voorstellen, ook ten aanzien van de
AVG, dat er activiteiten gaan plaatsvinden bij het min of meer stelselmatig ontdekken
van wat er fout gaat, als wij er niet al eerder voor zorgen dat ook degenen die het
raakt, daarover geïnformeerd worden en de gelegenheid krijgen om hun gedrag aan te
passen. Want volgens mij is dat wel degelijk wat ook de AP nu signaleert. Die legt
ook onderwerpen terug. Dat kan over het individu gaan, maar er zit natuurlijk ook
een zekere mate van systematiek achter. Het is natuurlijk ook logisch voor degene
die dan geadresseerd wordt, om daar wat mee te gaan doen.

De heer Middendorp (VVD):

Dank voor alle inleidingen. Ik heb twee vragen. Een tijdje geleden heeft een grote
Nederlandse financiële instelling aangekondigd om betaalgegevens te gaan gebruiken
om daar een winstmodel achter te plakken. Dat is alweer tien jaar geleden, denk ik.
Dat is allemaal niet doorgegaan. Ik vroeg me eigenlijk af – met name gericht aan de
heer van DNB maar misschien ook aan anderen – of er inmiddels, want de tijd schrijdt
voort, bedrijven actief zijn die misschien veel intensievere bedrijfsmodellen baseren
op deze persoonsgegevens, zoals die bank tien jaar geleden wilde. Het is heel duidelijk
dat je bepaalde stukken niet zomaar uit het huidige toezichtkader kunt halen. Dat
begrijp ik heel goed. Als ik het goed begrijp, zijn er een aantal dingen die de ACM
mag doen. Geldt het stilleggen van gegevensverwerking door de Autoriteit Persoonsgegevens
ook voor bijvoorbeeld buitenlandse partijen? Dat is daar erg aan gerelateerd, denk
ik.

Mijn tweede punt is het volgende. Wij zijn toch op zoek naar kaders en wij kijken
niet vanuit de silo die op telecom of de hele digitale infrastructuur toezicht houdt.
Wij kijken gewoon of er kaders te maken zijn die eigenlijk voor iedereen gelden, voor
algoritmegebruikende instellingen. In het vorige gesprek werd meer vanuit de overheid
gekeken. Hier wordt meer vanuit de niet-overheid gekeken. Hoe kijkt u daartegen aan?
Zijn er een aantal dingen die wij als Kamer kunnen doen om meer grip te krijgen op
bijvoorbeeld het gebruik van algoritmen, in de zin van «dit is wat algoritmegebruikende
instellingen wel of niet zouden moeten doen», dus om een kader te scheppen? Het kan
natuurlijk heel breed geformuleerd zijn. Dat hoeven geen specifieke regels te zijn.
Maar zijn daar ideeën over? Het interessante is natuurlijk dat de Autoriteit Persoonsgegevens,
in tegenstelling tot heel veel andere toezichthouders, over overheid én niet-overheid
gaat.

De voorzitter:

Aan veel mensen zijn vragen gericht. Ik begin met de heer Gelderman.

De heer Gelderman:

Dank voor de vraag. Het gebruik van betaalgegevens is iets waar we recent nog in een
publicatie aandacht voor hebben gevraagd. Wij zien dat consumenten gelukkig meer vertrouwen
hebben in banken dan in de rest van de wereld met betrekking tot het op een verantwoorde
wijze gebruiken en bewaren van gegevens. Dat vinden wij een heel groot goed. Wij zitten
er dan ook heel nadrukkelijk op dat het vertrouwen niet wordt beschaamd. Op het moment
dat banken tekortschieten in de beveiliging of privacygevoelige zaken gebruiken, hebben
wij ook een rol, vanuit een integere en beheerste bedrijfsvoering. Je moet het vertrouwen
van die klanten niet kwijtraken; ze moeten niet bij je weglopen omdat je dat vertrouwen
beschaamt.

Parallel daaraan speelt wel iets – daar doelt u volgens mij ook op – namelijk dat
in de context van PSD2 banken in een aantal omstandigheden verplicht zijn om gegevens
te delen met derde partijen. Een aantal banken wil daar graag een slot op zetten,
maar de implementatie van de PSD2-richtlijn in de Nederlandse wetgeving verbiedt dat.
Dus op het moment dat een bank dat slot erop wil zetten, zeggen wij: nee, de wetgever
heeft toch uit concurrentieoverwegingen en om de markt open te breken besloten dat
er wel ruimte is en u, beste bank, mag dat niet doen en voldoet dan niet aan de PSD2-vereisten.
Op het moment dat een consument aan een PSD2-aanbieder, waar in Europa die ook zit,
toestemming heeft gegeven om de gegevens van zijn bank in te lezen, kan die PSD2-aanbieder
die set gegevens inlezen. Hij moet wel voldoen aan allerlei eisen op het gebied van
de Algemene verordening gegevensverwerking.

Uw tweede vraag ging over kaders voor het algoritmegebruik. Dat is een worsteling,
die enigszins aansluit op wat de heer Van Zwol in de eerdere sessie zei. Wij zijn
op zich niet degenen die als autoriteit in den brede beleid op algoritmegebruik gaan
uitvaardigen. Wij hebben wel nadrukkelijk de discussie met de sector willen openen
met een document dat we gepubliceerd hebben – dit zijn de SAFEST-principles – over
het verantwoord gebruik van algoritmes, waarbij onder andere rekening moet worden
gehouden met fairness, en met ethische overwegingen. We gaan dat gesprek met de sector
dus wel aan. Wij zijn niet degenen die hier aan het eind van de dag beleidsregels
gaan uitvaardigen. Ik denk dat dat aan het eind van de dag op Europees niveau potentieel
in generieke zin gaat gebeuren. Wat we daarnaast in toenemende mate zien is dat, als
wij als toezichthouders in Europees verband nieuwe richtlijnen uitvaardigen, zoals
we nu bijvoorbeeld doen op het punt van kredietverlening, daar bijna automatisch een
paragraaf over big data, privacy en algoritmes in staat, met eisen dat men niet blind
mag vertrouwen op een model, aangezien er altijd een menselijke component in moet
zitten. Op die manier wordt het weer ingebed in ons dagelijkse proces.

De voorzitter:

Zijn er anderen die daar iets dringends aan toe te voegen hebben?

De heer Wolfsen:

Even in het algemeen hierop aansluitend: algoritmes en applicaties zijn van alledag;
daar moet echt iedereen zich mee bezighouden. Als dat niet gebeurt, zeker in bedrijven,
hebben we het begin van de volgende crisis te pakken. In 2008/2009/2010 wisten banken
niet meer wat er in hun bank gebeurde en wat ze verhandelden. Dat heeft onder andere
geleid tot de bankencrisis. Als bedrijven of overheidsinstellingen nu niet weten wat
er met automatisering en algoritmes in hun bedrijven of hun overheidsinstellingen
gebeurt, durf ik te zeggen dat dat het begin van de volgende crisis is. Het is tegenwoordig
eigenlijk onverantwoord als in een groot totaal gedigitaliseerd bedrijf, een zorginstelling
of een overheidsinstelling in de leiding geen CFO is, in relatie met de controller.
Het hebben van een CFO is doodnormaal. Er moet ook iemand in de leiding en het toezicht
zitten die de digitale wereld snapt. Anders is dat het begin van de volgende crisis.

De heer Middendorp vroeg of er veel handel in data plaatsvindt. Ja, er vindt handel
plaats in fietsen, in auto's en ook in data. Bij fietsen en auto's is dat best goed
geregeld. Als dat illegaal plaatsvindt, noemen we dat diefstal, heling of verduistering.
Bij de datawereld is dat inmiddels ook goed geregeld, daar is dat inmiddels ook onrechtmatig.
Maar de bewustwording dat je niet zomaar mag handelen in data is nog niet overal doorgedrongen.
Dat mag natuurlijk, maar alleen met onvoorwaardelijke toestemming van betrokkenen,
of als sprake is van contractering. Dat moet nog goed doordringen. Een bank mag alles
doen, maar met mijn toestemming, of op basis van een contract. Heel mooi: de Nederlandse
banken doen het ontzettend goed, maar ze hebben ook de rijkste informatie over ons
van heel Europa, omdat wij het meest digitaal betalen.

Wat kan de Kamer nog doen? Consumentenbescherming bijvoorbeeld. Een van de dingen
die al goed geregeld is – daar zijn misverstanden over – is het volgende. Je kunt
niet via algemene voorwaarden je grondrechten wegcontracteren, om maar eens een voorbeeld
te noemen. Het is nu geregeld in een Europese richtlijn, en dat is mooi. In een eerder
gesprek werd al gerefereerd aan biometrie. Biometrie mag je gebruiken, ook als je
solliciteert, maar alleen als het vrijwillig is. Biometrie is verboden, tenzij het
vrijwillig is of de wetgever het mogelijk maakt. U zou kunnen denken, bijvoorbeeld
bij sollicitaties, dat het daar vrij mag zijn. Maar dat willen we toch niet. U kunt
dan regelend optreden. U zou misschien ook nog iets kunnen doen aan het volgende,
en dan denk ik vooral aan het strafrecht. Het is best gek, als ik mijn oude fiets
aan de buurman geef die ermee aan de haal gaat, dat dat dan evident strafbaar is in
het strafrecht. Maar heeft hij alle persoonsgegevens van mij, waar ikzelf veel meer
aan hecht dan aan mijn oude fiets, dan is dat goed geregeld in de AVG, maar daar dreigt
niet het gevang voor degene die daar onrechtmatig mee verder gaat. De oude en de nieuwe
wereld schuren daar nog een beetje. Daar zou u ook nog wat kunnen doen.

De voorzitter:

Ik zie dat nog twee mensen iets willen zeggen: eerst de heer Keppels en daarna mevrouw
Van Dijk. O, ik begrijp dat de heer Middendorp nog een aanvullende vraag heeft. Laten
we eerst nog de aanvullende vraag doen. Die kan dan misschien nog worden meegenomen.
Ik wijs er wel op dat het allemaal nog wel een beetje vlot moet.

De heer Middendorp (VVD):

Misschien kan ik de heer De Groot een voorzet geven. De heer Gelderman zegt in gesprek
te zijn met de eigen sector over het specifieke punt hoe je algoritmes gebruikt. De
heer Wolfsen zei vanuit de AP dat dit het begin van de volgende crisis kan zijn. Want
als die instellingen – ik noem dat maar even voor het gemak «algoritmegebruikende
instellingen» – zelf niet weten wat de risico's van het algoritmegebruik zijn voor
mensen, hoe je die risico's mitigeert en hoe die interne bedrijfsprocessen geregeld
zijn, dan gaat dat mis. Die dingen samen nemende: dat spreekt mij ontzettend aan.
Ik heb daar zelf een initiatiefnota over geschreven. Ik noem het voorbeeld van de
heer De Groot om de financiële sector te laten rapporteren over wat ze doen. Dat gaat
om bijvoorbeeld de derivatenposities en asset-backed securities; ik weet niet welke
u noemde. In 2008–2012 wist men in de financiële sector niet waar men aan toe was,
omdat er niet over werd gerapporteerd. Daar zit nog iets als het gaat om communiceren
met de samenleving, rapportages maken. Dat leg ik maar even aan u voor, in aansluiting
op uw antwoord net. Is daar niet ook wat te winnen, naar analogie van de financiële
sector die de heer Wolfsen net zelf opbracht?

De heer De Groot:

Om meteen op het laatste punt in te gaan: dat sluit aan bij het onderzoek dat we gezamenlijk
naar de verzekeringssector hebben gedaan. In eerste instantie zeggen we tegen de verzekeraars:
leg maar eens uit wat je beleid is. Hoe houd je rekening met allerlei zaken of die
al of niet duurzaam zijn? Dan komen we in de sfeer van «leidt dat niet tot een volgende
crisis?», maar ook van «in welke mate zijn die in het belang van de klanten?». Dat
punt wilde ik in antwoord op uw eerdere vraag aanvullen. Of het gebruik van data in
het belang van de klant is, wisselt per situatie. Soms vragen we dat juist wel. Bij
overkreditering zegt men dan: probeer rekening te houden met de kenmerken van het
individu. Maar als het gaat om dynamic pricing van verzekeraars, moet dat juist weer
niet. Ik denk dat dat ook van belang is als u nadenkt over hoe je dat verder gaat
inrichten qua toezicht en normen. Het is afhankelijk van de sectorspecifieke context.
Daar maakt het dus wel uit wat het belang van de klant is en wat de norm is die je
als toezichthouder zou willen hanteren.

De heer Keppels:

De heer Middendorp vraagt of wij ook buitenlandse partijen kunnen aanpakken. Dat kan.
Op het gebied van mededinging kunnen wij dat, maar kan ook de Europese Commissie dat.
Als zij vinden dat het meer iets voor hen is, kunnen zij dat ook naar zich toe halen.
Op het gebied van consumentenbescherming kan de Europese Commissie dat niet en zouden
wij het eigenlijk best gezond vinden als zij dat ook kunnen, want dan kunnen zij pan-Europese
problemen oplossen en dan kunnen de lidstaten zich op de iets minder grensoverschrijdende
problemen richten.

Ik maak wel een kanttekening. Er zijn buitenlandse partijen uit zwakke jurisdicties
waar wij in theorie wel wat mee kunnen, maar waar wij in de praktijk toch niet goed
de vinger achter krijgen. Dan proberen wij ze hier te verstoren, door het telefoonnummer
in te trekken en dat soort zaken.

Mevrouw Van Dijk:

Kort ter aanvulling: als bedrijven AI inzetten als technologie ten behoeve van de
continuïteit of ten behoeve van de cyberveiligheid, dan valt dat onder ons reguliere
toezicht. Echter, voor generiek toezicht, waarbij je moet denken aan de transparantie,
de veiligheid en de auditeerbaarheid, moet er nog wetgeving komen. Daar is Europa
ook heel druk mee doende en ook daarbij is het van belang op Europees niveau invloed
uit te oefenen om dat te bewerkstelligen. Dus ik houd nogmaals een pleidooi om dat
in Europees verband op te pakken. Overigens komt het werk dat wij doen voor 99,9%
uit Europa. Bij de eerste ronde valt dat wat weg, maar voor velen van ons geldt dat
de beïnvloeding van wat we bereiken met name dáár zit, natuurlijk ook voor de Tweede
Kamer.

De heer Verhoeven (D66):

Mevrouw Van Dijk van het Agentschap Telecom noemde een aantal wetten op basis waarvan
zij als organisatie toezicht houdt op de digitale infrastructuur. Dat is weer anders
dan een aantal toezichthouders die eigenlijk op basis van één wet toezicht houden.
Kunt u aangeven hoe dat dan in de praktijk werkt, met verschillende wetten? Ik ben
daar heel erg in geïnteresseerd. Dat lijkt mij een bredere toezichtstaak te zijn,
maar misschien is dat wel helemaal niet zo. Misschien kunt u nog iets vertellen over
de verschillende wetten die een rol spelen in uw toezicht op de digitale infrastructuur.

Ik vind uw opmerking over de digitale infrastructuur heel terecht, want het agentschap
heet inderdaad Agentschap Telecom, maar de digitale infrastructuur is natuurlijk een
heel belangrijk, steeds kwetsbaarder geheel aan het worden, waar we dus ook bepaalde
eisen aan willen stellen. Daarvoor bent u dan in hoofdzaak de toezichthouder. Klopt
dat? Dat zou mijn eerste vraag zijn. Dus ik ben nog even op zoek naar uw manier van
toezicht houden ten opzichte van een aantal toezichthouders die wat meer op basis
van één wet werken. Dat is in mijn ogen toch weer een andere vorm. Klopt dat?

Dan ook iets richting de heren Gelderman en De Groot. Ik heb niet zo heel veel ervaring
met de financiële markten; ik heb daar de afgelopen tijd in mijn Kamerlidmaatschap
weinig tot niets mee gedaan. Van een afstand kijkend zou mijn gevoel zijn dat u best
dicht op elkaar zit. Ik heb nooit helemaal goed het onderscheid tussen DNB en AFM
kunnen maken. Dat begint vandaag te komen, dankzij uw toelichting. Zijn er ook weleens
momenten geweest dat dat onderscheid op de een of andere manier niet helemaal goed
uit de verf kwam, of dat het zoeken was wie het moest doen? Kunt u daar toch ook een
voorbeeld van geven?

De heer Van Zwol zei dat we niet zomaar een nieuwe toezichthouder op het gebied van
algoritmes moeten instellen, want dan krijg je weer allerlei vraagstukken. Dat snap
ik op zich wel, maar ik vind dat De Nederlandsche Bank en de Autoriteit Financiële
Markten toch vrij dicht bij elkaar zitten. Daarom ben ik er een beetje benieuwd naar
hoe dit in het verleden is ontstaan en hoe het nu functioneert: of het problemen oplevert,
of dat het allemaal heel duidelijk gescheiden is. Als het heel duidelijk gescheiden
is, dan zou dat wat mij betreft ook met een algoritmetoezichthouder in de toekomst
zo kunnen zijn.

De voorzitter:

Dank u wel. En is het toeval dat ze dan ook hier naast elkaar zitten?

De heer Verhoeven (D66):

Dat is toeval. Want toeval bestaat wel.

De voorzitter:

Dat is waar. Ik geef als eerste het woord aan mevrouw Van Dijk.

Mevrouw Van Dijk:

Dank u wel, meneer Verhoeven. Dat klopt. Wij hebben een aantal grondslagen waaruit
wij toezicht uitoefenen. Ik heb ze net even heel kort aangestipt. Van oudsher is de
Telecomwet het meest bekend. Maar als je kijkt naar het hele werk in de zin van toezicht
houden, dan was het Agentschap Telecom van oudsher met name bekend van de verdeling
van frequenties in de ether. Maar inmiddels zijn ook space, de ruimte, satellieten
in de ruimte en de frequentieruimte onderwerpen waar we ons mee bezighouden. Dat is
dus een breed spectrum. Op basis van de Telecomwet, de Wet beveiliging netwerken en
informatiesystemen die ik al heb genoemd, de Cybersecurity Act, de eIDAS-verordening
en de Wet digitale overheid houden wij toezicht.

We hebben in die zin ook diverse opdrachtgevers, diverse departementen waarmee we
afspraken maken. Een mooi voorbeeld is op het gebied van cybersecurity, om dat maar
eens aan te halen. Daarbij werken we nauw samen met de Inspectie Veiligheid en Justitie,
die een coördinerende rol heeft in het samenstellen van het inspectiebeeld op dit
gebied. Maar, zoals gezegd, het onderwerp digitalisering komt in alle vakdepartementen
en ook bij alle toezichthouders voor. Het is dus van ongelofelijk belang dat over
de toepassing en het gebruik wordt nagedacht, maar met name over die digitale kant,
dus de verbindingen. Daar hebben wij verstand van, want bij het internet of things
heb je het over artificial intelligence en de cloud. Dat is een driehoek, onlosmakelijk
met elkaar verbonden. Je kan alleen maar praten met elkaar door telecom. Dan kom je
weer terug bij het Agentschap Telecom. Van al die verbindingen hebben wij verstand
en daarvan kunnen wij de ketenrisico's in kaart brengen.

Dat is even hoe het werkt. Ik hoop dat dit voldoende inzicht geeft.

De voorzitter:

Ik kijk even naar de heer Verhoeven. Is dat voldoende inzicht?

De heer Verhoeven (D66):

Jazeker. Mag ik nog één korte aanvullende vraag stellen? U noemt de drie-eenheid cloud,
internet of things en artificial intelligence. Ik denk dat u dan bedoelt dat data
steeds meer uit die IoT-apparaten wordt gegenereerd, dat de verwerking daarvan via
algoritmes en artificial intelligence verloopt en dat de opslag daarvan in de cloud
gebeurt. U zegt dus eigenlijk dat dat een soort driehoek is waarbinnen allerlei data
fluctueert; die driehoek is eigenlijk de digitale infrastructuur. Dat is een ongelofelijk
in ontwikkeling zijnd geheel met ongelofelijk veel private aanbieders en buitenlandse
partijen. Bent u dan degene die dat op een kritische manier bekijkt? Hoewel ik gevoelsmatig
denk dat daar ook heel veel andere toezichthouders bij betrokken zijn. Hoe gaat dat
dan?

Mevrouw Van Dijk:

Storing, dekking, continuïteit, veiligheid en sinds kort ook cybersecurity zijn allemaal
thema's waar wij naar kijken. Dus dekkingsgraden, storing, continuïteit en überhaupt
de beschikbaarheid van de infrastructuur, en uiteindelijk ook de vertrouwenskant – digitaal
vertrouwen – zijn thema's waarop wij acteren, maar altijd vanuit de techniek bekeken.

Misschien moet ik nog één ding aanvullen. U zei dat die wereld zo in ontwikkeling
is. Dat is absoluut het geval. De digitale transitie gaat snel en daarom kunnen we
ook niet meer te werk gaan zoals we vroeger, klassiek dachten: er gebeurt iets, we
maken wetgeving, beleid, uitvoering en dan toezicht. Het is echt iets wat we met elkaar
steeds meer moeten gaan verbinden. Dat vraagt dus ook in die zin een andere rol van
de toezichthouder: agenderend, signalerend en ook veel meer aan de voorkant, met open
normen, samen met bedrijven en ook de markt; niet klassiek nalevingstoezicht, een
vinkje zetten en iemand een draai om de oren geven. Deze digitale wereld, met inderdaad
ook heel veel inmenging van grote buitenlandse bedrijven, vraagt er juist om ook heel
nauw bij elkaar die ontwikkelingen te volgen. Dus dat is nog even een appel op shared
responsibility.

De voorzitter:

Ik ben niet de tweede vraag vergeten, maar we gaan deze nog eventjes laten uitbenen
door de heer Van Otterloo. Ik heb nog een vraag en de heer Wolfsen had ook nog een
opmerking.

De heer Van Otterloo (50PLUS):

Een feitelijke vraag. DNB heeft zorgen over de cloud, namelijk over dat daar heel
veel in zit. Hoeveel overleg heeft u beiden al gevoerd over dat probleem?

De voorzitter:

Ik ga zelf ook een vraag stellen, want anders komen we daar niet meer aan toe. U had
het erover dat ook de routering van internet uw taak is. Dat snap ik, want dat gaat
ook over de protocollen en dergelijke die zorgen voor een bepaalde route. Maar over
die routering zijn ook weleens zorgen geweest dat juist als grotere bedrijven op een
gegeven moment wat meer macht krijgen, ook op internet, zij misschien ook mede kunnen
bepalen hoe de routes verlopen van bepaalde data, met weer allerlei gevolgen voor
datalekken. Hoe kijkt u daartegen aan? Hoe zit het dan ineens met de taakverdeling?

De heer Wolfsen:

In die zin is ons leven redelijk overzichtelijk, mevrouw de voorzitter. Zodra er digitale
bestanden worden verwerkt en er persoonsgegevens in zijn verwerkt, zijn wij er altijd
van. Dus in die zin leven wij in een redelijk digitale wereld. Zodra er persoonsgegevens
en bestanden in het spel zijn, zijn wij er altijd van. Dat geldt natuurlijk ook voor
anderen. Daarom zeggen we als er bijvoorbeeld bij Justitie wat aan de hand is en de
inspectie het zelf oppakt: prima. Dan vinden we dat heel fijn. Als ze het niet doen,
dan grijpen wij in.

De heer Verhoeven (D66):

We hebben dit bijeengeroepen omdat de interactie tussen de toezichthouders interessant
was. Ik zag de heer Korvinus een beweging maken waarvan ik wil weten wat hij bedoelt.

De heer Korvinus:

Wij werken op dit domein voortdurend samen. We kijken ook even wie het nu oppakt en
wat we oppakken en gaan dan na of het dekkend is. Als er nog een gedeelte is dat wat
meer in de sfeer van de Autoriteit Persoonsgegevens ligt, dan gaat zij ermee aan de
slag. En wij kijken dan wat meer naar de inrichtingsvragen die er vervolgens achter
wegkomen. Wij zeggen dan: waardoor is het gekomen en hoe gaan we het in de toekomst
voorkomen? Er is dus eigenlijk voortdurend een soort slag met elkaar.

De voorzitter:

U zegt: wij gaan erover zodra er persoonsgegevens in het spel zijn, maar de vraag
is: wanneer weet u of er persoonsgegevens in het spel zijn? Dat is natuurlijk het
hele probleem met de routering. Er werd ook gezegd: het is van groot belang dat bedrijven
weten hoe hun bedrijfsvoering is, want anders hebben we weer de volgende crisis. Maar
mijn these is dat heel veel telecombedrijven werkelijk geen idee hebben hoe de routering
van allerlei berichten gaat, ook omdat het deels uitbesteed is. Hoe weet u dat hier
een probleem zit?

De heer Wolfsen:

Dat begint aan het begin. Wat u terecht zegt, mevrouw de voorzitter: in een bedrijf
moet je weten wat daar gebeurt. Het is te vergelijken met een bankencrisis. Je moet
je daarover informeren. Dus als je contracteert met een andere partij, moet je weten
waar je over contracteert en wat er gebeurt. Als er twijfel over is of iemand bij
ons klaagt, dan kunnen we er onderzoek naar doen en dan kunnen wij erin gaan duiken.
Wij kunnen overal bij en we hebben overal toegang toe, behalve tot de geheime dienst
natuurlijk, de AIVD. Maar verder kunnen we altijd overal bij en overal in. Dan moet
je natuurlijk wel goede «techies» hebben, zoals de Engelsen zeggen, om dat goed te
gaan onderzoeken. Ik ben het met u eens dat het op zich theoretisch goed gedekt is,
maar de executie, de uitvoering daarvan is af en toe best een puzzel. Daarom ben ik
er steeds meer voor om die werelden van afzonderlijke toezichthouders niet uit elkaar
te trekken, maar juist bij elkaar te brengen. Dus de wereld van de technologen en
de normatieve, morele wereld moet je bij elkaar leggen. Anders zijn het gescheiden
verantwoordelijkheden. Het is zo verweven met ons dagelijks leven. Bijvoorbeeld de
leiding in een zorginstelling kan niet zeggen: ik ben van de zorg en ga over goede
zorg, maar de technologie is bij de technologie-afdeling. Dat kan tegenwoordig niet
meer. Je moet het dus zo dicht mogelijk op elkaar zetten. Dat is de kern van je business.
Vandaar ook mijn pleidooi dat er bij de leiding en bij het toezicht, ook bij het interne
toezicht, deskundigheid moet zijn in die digitale wereld. Anders gebeurt er wat u
zegt: dan weet je niet meer wat er feitelijk gebeurt.

Maar ik ga terug naar de vraag. Zodra er persoonsgegevens in het spel zijn, er bestanden
zijn en er wat wordt verwerkt en zodra er een lek is of het niet goed beveiligd is,
dan zijn wij ervan. Wij zijn er sowieso altijd van. Dat maakt ons leven overzichtelijk,
maar het dwingt je wel om heel goed af te stemmen met andere toezichthouders, want
die kunnen ook heel veel doen; dat is vanzelfsprekend.

Mevrouw Van Dijk:

Ik kom even kort op de vraag of wij met De Nederlandsche Bank overleg hebben gehad
over clouddiensten. Het antwoord daarop is nee, tenminste ik kan het mij niet herinneren.
Ik ben sinds vorig jaar augustus op deze positie, dus wellicht is het voor die tijd
gebeurd, maar in ieder geval heb ik daar geen weet van. Het issue met de clouddiensten
is dat ook in Europees verband moet worden afgesproken hoe we daar toezicht op kunnen
houden. Op dit moment kan dat alleen nog maar reactief, dus als er een incident is
waarvan we denken: goh, daarbij moeten we ingrijpen. Maar proactief kan dat nog niet.

De voorzitter:

Ik zie de vinger van de heer Gelderman. Daarna kunt u naadloos overgaan naar uw verhouding
tot de AFM.

De heer Gelderman:

Die wilde ik inderdaad meteen meenemen. Uw observatie is correct, mevrouw Van Dijk.
Misschien hebben we overleg gehad, maar dat heeft geen hoge vorm gehad. Ik denk dat
de kern bij de cloudproblematiek is dat het op dit moment gelukkig nog niet bestaat.
Maar het kan wel bestaan en er is een lacune in wet- en regelgeving. Als wij een clouduitbesteding
van een bank, een verzekeraar of een pensioenfonds beoordelen, dan is een van onze
criteria: bent u in staat om, als er problemen ontstaan bij de provider, de dienstverlening
binnen een aanvaardbare termijn bij een andere provider in te kopen? Op het moment
dat er nog maar één provider in Europa zou zijn, hebben we een probleem. Op het moment
dat een aantal heel grote instellingen bij dezelfde provider zitten, hebben we een
probleem. Dan moet je denken over dingen als proactief toezicht en standaardisatie
om dat op te lossen.

Dan onze verhoudingen. Er zit een tweetal componenten aan de ontstaansgeschiedenis
van DNB en AFM. De ene component is een heel banale, maar ik wil hem toch niet onbenoemd
laten. In aanloop naar de financiële crisis, toen er op een gegeven moment problemen
waren in het VK, is er geconstateerd dat er een dreiging is dat gedragstoezicht en
consumententoezicht prudential supervision verdringen. Er zijn zo veel individuele
dossiers die betrekking hebben op consumentenbescherming, dat het prudentieel toezicht
het onderspit delft. Die constatering is in het VK gedaan en die is bij de inrichting
van het twinpeaksmodel in Nederland ter harte genomen.

Er is ook een conceptuelere reden. Die houdt in dat wij potentieel een belangenconflict
hebben. Meneer De Groot noemde net de consumentenbescherming en het potentieel maken
van overmatige winsten. Vanuit een prudentieel perspectief is het in theorie heel
erg aantrekkelijk als iemand overmatige winsten maakt, want dat is goed voor de financiële
gezondheid. Daarom is er bewust voor gekozen die twee functies uit elkaar te hebben.
In de praktijk werkt dat in 90% van de gevallen goed. Er zijn twee aandachtspunten.
De ene ziet u denk ik ook al als u heeft geluisterd naar de eerdere woorden van de
heer De Groot: juist op het terrein van IT en ICT komen we elkaar heel vaak tegen.
Dat ziet u ook tot uiting komen. In het rapport over AI bij verzekeraars en in het
rapport over cryptocurrencies treden wij samen op. Op het moment dat wij bij een beleggingsinstelling
of een beleggingsonderneming een ICT-onderzoek doen, doen wij dat samen met de AFM.
Wij opereren dan dus heel erg samen.

Een tweede uitdaging is de aansluiting op het Europese toezicht. In Nederland hebben
we de volgende verdeling gekozen: 90% van de dossiers die de collega's van de AFM
behandelen, valt onder ESMA en 90% van de dossiers die wij bij DNB behandelen, valt
onder EBA. Maar bij tijd en wijle gaat er iemand van DNB mee naar ESMA en gaat er
iemand van de AFM mee naar EBA, om te zorgen dat we daar de zaken goed afhechten.
Dat gaat in mijn ervaring in heel goed overleg.

De voorzitter:

Ik hoop maar dat u hetzelfde verhaal heeft, meneer De Groot.

De heer De Groot:

Ik heb één aanvulling, namelijk dat de belangen van het gedragstoezicht en het prudentieel
toezicht soms een ander soort ingrijpen vereisen. Continuïteit is het sleutelwoord
voor het prudentieel toezicht, terwijl bij de gedragstoezichthouder soms de behoefte
kan ontstaan om in te grijpen, juist om de conflicten expliciet te maken en de toezichthouders
te dwingen om met elkaar in gesprek te gaan, bijvoorbeeld over beleggingsverzekeringen.
Dan gaat het bijvoorbeeld over de vraag: ga je nu aandringen op individuele compensatie
of wil je de verzekeraar behoeden tegen een te grote claim? Die discussie moet expliciet
worden gemaakt. Als je dat niet doet, zal het risico juist zijn dat het gedragstoezicht
het onderspit delft. De toezichthouders in Europa hebben nog verschillende modellen
van toezicht. Het Engelse is het belangrijkste voorbeeld van een verandering in de
laatste jaren. De laatste jaren, na de kredietcrisis, waarbij ervoor is gekozen om
ook de scheiding tussen prudentieel toezicht en gedragstoezicht te maken. Degenen
die daarmee begonnen zijn, zijn de Australiërs.

De voorzitter:

Ik wil zelf nog een vraag stellen. Er is een rapport geweest over het verzekeringswezen.
Jullie hebben natuurlijk allemaal ook jaarverslagen en dergelijke. Is het een goed
idee dat er jaarlijks een rapport komt waarin een aantal van de bovenliggende thema's
die hier allemaal aan raken, aan ons gepresenteerd worden? Dan worden wij vanuit de
Tweede Kamer niet alleen maar hapsnap met allerlei verschillende rapporten geconfronteerd,
maar dan worden wij er wat geconcentreerder mee geconfronteerd. Of is er al een voorbeeld
hiervan, misschien ook uit het buitenland? Wie o wie?

De heer Keppels:

Ik ken wel voorbeelden uit Nederland. Neem de zorgverzekeringsmarkt, de ACM samen
met de NZa, en de AFM, DNB. Dat gebeurt en ze kunnen dat meer doen. Daar kan ik mij
best iets bij voorstellen.

De heer Wolfsen:

Ik vind het een goed idee om dat meer af stemmen. Een van de leden vroeg eerder waar
de wetgever meer mee kan doen. Wij moeten dat verplichten vanwege onze verplichte
wetgevingsadvisering, maar DNB geeft soms ook wetgevingsadviezen. Dat zouden we best
gecoördineerd kunnen doen. Dan kunnen we de Kamer ook tips geven waar ze mensen beter
zou kunnen helpen. In het begin is al gevraagd waar de Kamer nog meer kan helpen.
Nou, ik heb de consumentenbescherming al genoemd. Bijvoorbeeld biometrie mag alleen
vrijwillig, maar de Kamer kan toch zeggen: bij sollicitaties, ook al is het vrijwillig,
willen wij dat het niet mag. Op dat soort vlakken zouden wij best adviezen aan de
Kamer kunnen geven als gezamenlijke toezichthouders over kwesties waar wij tegen aanlopen
in de praktijk. Ik vind dat best een goed idee.

De voorzitter:

Ik zag volgens mij ook scepsis, of niet? Nee? Nee!

Mevrouw Van Dijk:

Geen scepsis, maar themagewijs zijn er allerlei onderwerpen nodig. Wij brengen straks
over 112 een gezamenlijk onderzoek uit van drie inspectiediensten. Bij mijn weten
gebeurt het niet heel vaak dat drie inspectiediensten op één onderwerp zitten en dat
vanuit verschillende invalshoeken belichten. Wellicht dat dit in de toekomst smaakt
naar meer.

De voorzitter:

Zijn er nog meer vragen? De heer Middendorp.

De heer Middendorp (VVD):

Twee vragen nog. Wat kunnen we doen om als Kamer meer grip te krijgen op de 98,9%
of 99,8% die in Europa wordt geregeld? Misschien geldt dat meer voor de telecom, maar
volgens mij wordt dat zo langzamerhand een hoog percentage. Wat kunnen wij doen? Ik
vind die overkoepelende rapportage ook een goed idee. Daar ben ik ook in geïnteresseerd,
maar ik ben ook benieuwd of we niet een stap verder kunnen zetten, ondanks dat dit,
zoals de heer De Groot zei, contextueel bepaald is. Ik pleit ervoor, maar ik ben benieuwd
of daar bezwaar tegen is van de kant van de insprekers, dat ook algoritmegebruikende
instellingen elk jaar zelf met een rapportage komen. Dan kunnen ze ook laten zien
dat ze weten wat ze aan het doen zijn. Dat weten ze natuurlijk, maar dan kunnen ze
dat ook richting de samenleving communiceren. Dat zou een mooie input kunnen zijn
voor de voorgestelde rapportage. De vraag over de 98,9% stel ik aan mevrouw Van Dijk,
want zij begon erover. De vraag over de rapportage leg ik neer bij de heer Wolfsen,
vooral omdat hij er met andere woorden een soort pleidooi voor hield. Ik vermoed dat
ik daarover een positief antwoord krijg.

De voorzitter:

Dat is heel slim, maar je weet het nooit.

Mevrouw Van Dijk:

Geldt voor mij ook dat de heer Middendorp vermoedt dat hij een positief antwoord krijgt?

De heer Middendorp (VVD):

Nee, hoor. Ik zoek naar tips voor grip van de Kamer.

Mevrouw Van Dijk:

Wie ben ik om te zeggen hoe de Kamer haar werk moet organiseren? Ik vind het lastig
om daar iets over te zeggen. Heel pragmatisch de tip: er spelen zo veel verordeningen
en richtlijnen, misschien kan dat een keer gecoördineerd richting de Kamer, dus niet
per vakdepartement, maar een keer overstijgend. Wellicht dat dit tijdig inzicht geeft,
maar ik weet niet of dat al gebeurt. Misschien is het een waardeloos voorstel.

De voorzitter:

Aan wat voor type wetgeving moeten we dan denken, want we werken heel erg in gescheiden
commissies. Kunt u aangeven wat voor type wetgeving er nu over de verschillende commissies
heen gaat, waarvan u zegt: laat we dat gezamenlijk bekijken op het onderwerp dat aan
de orde is.

Mevrouw Van Dijk:

Alles op het gebied van digitalisering is overstijgend over alle onderwerpen. Ik doel
dus op alle zaken waar het die wetgeving betreft. Het gaat nu bijvoorbeeld over de
voorbereiding in Europa rondom de artificial intelligence. Dat zou je gecoördineerd
kunnen vragen. Dat is al een mogelijkheid om op dat punt meer inzicht te krijgen in
wat dit doet ten aanzien van de verschillende beleidssectoren. Dan kom je ook aan
de voorkant te zitten en dat is waar wij de beïnvloeding doen. Het Ministerie van
Economische Zaken doet die beïnvloeding samen met «beleid» en «toezicht» in die commissies
in Europa op het gebied van standaardisering en certificering, want dat zul je toch
Europees moeten afspreken. Dan krijg je als Kamer ook inzicht in de beleidsbeïnvloeding
daar.

De heer Wolfsen:

Het idee van de heer Middendorp vind ik helemaal niks ... Nee hoor, grapje. Ik vind
dat een goed idee. Hij verwachtte al een bevestigend antwoord. Ik vind dat een goed
idee, want in de AVG zit natuurlijk een verantwoordingsplicht, maar die is generiek.
Die verdwijnt vaak in algemene jaarverslagen. Je moet het expliciet maken, zoals je
ook met financiën doet. Je moet één keer per jaar kijken wat je op dit vlak doet.
Ik zeg dat een beetje naar analogie van mijn eerdere opmerking dat, als je dit niet
doet, je het begin van de volgende crisis te pakken hebt. Dan weet je namelijk niet
wat er in je bedrijf gebeurt. Zo verplicht je mensen om daar toch over na te denken.
Ik vind dat een buitengewoon goed idee, want dan sta je er één keer per jaar expliciet
bij stil, als bestuur en als toezichthouder in een bedrijf.

Dan wil ik de heer Middendorp op een ander punt nog geruststellen. De Kamer heeft
volgens mij meer grip dan hij denkt. We leven in een vrij land en als vrije burger
mag je doen wat je wilt. Je mag overal over contracteren. Ik mag de Kamer straks ook
mijn medische dossier geven, maar wetgeving gaat heel vaak over de bescherming van
zwakkeren tegen sterkeren. Arbeidsrecht, sociale zekerheid, consumentenbescherming,
noem maar op. Dat doet de Kamer in beperkte mate hier ook. Bij de algemene voorwaarden
mag je je grondrechten niet wegcontracteren. Dat is heel goed, terwijl je wel over
die grondrechten mag contracteren. Aan de consumentenkant zou de Kamer nog meer kunnen
doen dan nu gebeurt, bijvoorbeeld aan biometrie. Mag je dat wel of niet bij sollicitaties
gebruiken? Vrijwillig zou het kunnen, maar je er best iets over regelen. In het strafrecht
zou je wat kunnen doen. Je kunt ook iets doen aan de planningsvoorwaarden. Een tijdje
geleden was er een hele discussie over de opslag van medische gegevens. Ik zou niet
weten wat eraan in de weg staat om aan de Minister van VWS te vragen, maar de Kamer
zou het ook kunnen regelen, een vergunning voor een Nederlandse zorginstelling te
regelen, als de data maar in Europa blijven. Zo kun je veel meer regelen dan de Kamer
nu denkt te kunnen regelen. De verknooptheid van de digitale wereld en de normatieve
wereld speelt vaak in de Kamer, want de jurist in de fractie bemoeit zich vaak overal
mee omdat wetgeving goed moet zijn geregeld. Zo zouden de digitale deskundigen dat
eigenlijk ook moeten doen. Elke wetgeving leidt namelijk tot digitale uitvoering.
De heer Van Zwol zei dat in het eerste uur heel mooi: vroeger werd het beleid uitgeschreven
op papier en dan was het navolgbaar, maar tegenwoordig wordt het uitgeschreven in
codes. Het zit in de computer, maar daardoor is het slechter navolgbaar. Ik zou me
als digitale woordvoerder met al die portefeuilles bemoeien – een tip – waar iets
tot digitalisering leidt. Dat moeten geen gescheiden werelden zijn.

Als afsluiting, maar dat heb ik in een vorig overleg ook gezegd: de Kamer heeft een
fantastische afdeling wetgeving als ondersteuning, maar ze moeten ook een krachtige
afdeling digitale wereld als ondersteuning hebben. Ik geef dat als tip, want dit komt
regelmatig voor. Neem de PSD2-wetgeving, waar de heer Gelderman het al eerder over
had. Die zat in verschillende commissies, maar daardoor dreigde het even mis te gaan.
Het is allemaal uitstekend geredresseerd en de Minister van Financiën heeft dat uitstekend
opgelost, maar dat kwam omdat het twee verschillende werelden waren. Die werden op
een laat moment verknoopt en daardoor is het goed gekomen, maar het kan ook zo maar
misgaan.

De voorzitter:

Dank u wel. Ik vrees dat we aan het eind van deze hoorzitting zijn gekomen. Aan het
eind is precies aangesneden waar wij het over moeten hebben in onze commissie, maar
ik geef eerst de heer Verhoeven nog kort het woord. Staccato, heel snel!

De heer Verhoeven (D66):

Ik vind het zo belangrijk dat we die laatste vijf minuten nog goed gebruiken. Ik heb
nog een korte vraag. Er werd in de vorige ronde getwijfeld over een nieuwe toezichthouder,
ook door de vertegenwoordiger van de Raad van State: de heer Van Zwol. Is het dan
een idee om een aantal toezichthouders samen te voegen tot een soort van gebundelde
toezichthouder? Er zijn een aantal opties. Je doet een nieuwe toezichthouder, je voegt
een aantal toezichthouders samen of je gaat door met de manier van afstemmen waarvan
iedereen zegt dat die heel goed is. Is het een idee om bepaalde toezichttaken samen
te bundelen, zoals ook is gebeurd bij de ACM?

De voorzitter:

Het publiek stond al bijna op, zag ik. U moet nog even blijven zitten! De heer Korvinus
nog.

De heer Korvinus:

Om op dat laatste te reageren: in antwoord op uw vraag waar wij over tien jaar staan,
hebben wij aangegeven dat wij ervan uitgaan dat alle personen en welke inspectie dan
ook veel meer netwerkgewijs met elkaar gaan zorgen dat we hier meer als één geheel
gaan acteren en elkaars knowhow gaan benutten. In het verlengde daarvan heb ik ook
met mijn collega van de Inspectie Veiligheid Defensie gesproken over de knowhow die
er op Defensieterrein is en op het terrein van civiel-militaire samenwerking, die
zich ook op dit domein wellicht nog verder zou kunnen ontwikkelen. Het doel is niet
om het over te nemen, maar wel om elkaar aan te vullen.

De andere opmerking die ik wilde maken, heeft betrekking op de suggestie van meneer
Middendorp om uitsluitend over de instellingen die algoritmen gebruiken te rapporteren.
Dat lijkt mij een te grote beperking. Het lijkt mij zinvoller dat zij ook de aspecten
van cybersecurity en digitale weerbaarheid noteren, omdat je dan even iets breder
dat aspect hebt van wat je mogelijk beoogde aan de orde te stellen.

Dank u wel.

De voorzitter:

Het gaat erom dat het in ieder geval om die algoritmes gaat. Er moet dus niet per
se zo'n beperking zijn. Wij gaan hard nadenken over alles wat u gezegd heeft. Daarbij
hebben we er nota van genomen dat de samenwerking op zich goed loopt, maar soms is
het voor ons niet te doorzien wat de bovenliggende thema's zijn. Wij willen kijken
hoe we daar toch wat meer uit kunnen halen. Daarover gaan wij in conclaaf. Heel hartelijk
dank voor het beantwoorden van de vragen hier en voor alle papers die jullie ons hebben
toegestuurd.

Sluiting 12.28 uur.