Antwoord schriftelijke vragen : Antwoord op vragen van de leden Verhoeven en Van Beukering-Huijbregts over het bericht 'Politie en COA 'overtreden privacywet' met delen persoonlijke data asielzoekers'

Antwoord van Minister Grapperhaus (Justitie en Veiligheid) en van Staatssecretaris
Broekers-Knol (Justitie en Veiligheid) (ontvangen 22 september 2020). Zie ook Aanhangsel
Handelinging, vergaderjaar 2019–2020, nr. 3663

Vraag 1

Bent u bekend met het bericht «Politie en COA «overtreden privacywet» met delen persoonlijke
data asielzoekers»?1

Antwoord 1

Ja.

Vraag 2

Gebruikt de politie deze persoonsgegevens bij proactieve controles? Hoe verhoudt zich
dit tot het handelingskader proactief controleren waarin de politie stelt dat onderscheid
maken op basis van afkomst zonder objectieve rechtvaardiging niet is toegestaan?2

Antwoord 2

Nee, deze persoonsgegevens worden niet gebruikt bij proactieve controles zoals in
het Handelingskader proactief controleren is omschreven.

Vraag 3

Wordt de verkregen data gebruikt in het Criminaliteits Anticipatie Systeem (CAS) of
andere predictive policingsystemen? Welke toetsingskaders gebruikt de politie om te voorkomen dat deze systemen
etnisch profileren in de hand werken?

Antwoord 3

Nee, de verkregen data worden niet in het Criminaliteits Anticipatie Systeem verwerkt.

Vraag 4

Waarom heeft de politie vooraf persoonsgegevens van groepen mensen nodig om te handhaven
op incidenten?

Antwoord 4

Het houden van toezicht op de naleving van de Vreemdelingenwet 2000 is onderdeel van
de algemene politietaak naast het opsporen van strafbare feiten, handhaven van de
openbare orde en hulpverlening. Hiervoor mag de politie persoonsgegevens gebruiken.

De politie heeft gegevens en inlichtingen nodig om op basis van artikel 1 Politiewet
2012, in het kader van taken ten dienste van de justitie, uitvoering te geven aan
wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000. De politie
heeft vooraf geen persoonsgegevens van groepen mensen nodig om te handhaven op incidenten.

Vraag 5

Bent u het eens dat er geen juridische basis is voor de betreffende overeenkomst tussen
het Centrum Opvang Asielzoekers (COA) en de politie?

Antwoord 5

De juridische basis voor het verstrekken van gegevens en inlichtingen door het COA
aan de politie, is gelegen in artikel 107 van de Vreemdelingenwet 2000. Als de politie
om die gegevens en inlichtingen vraagt, is het COA verplicht die te verstrekken.

Omdat naar het oordeel van COA en politie geen twijfel mag zijn over de rechtmatigheid
van deze uitwisseling van persoonsgegevens, doet, in opdracht van het COA, momenteel
een externe partij onderzoek hiernaar. In afwachting van de uitkomsten van de externe
toetsing heeft het bestuur van het COA op 16 juli jl. besloten het delen van persoonsgegevens
met de politie per direct op te schorten. Wij zullen uw Kamer zo snel mogelijk informeren
over de uitkomst van deze externe toetsing. Aan de hand van de resultaten van de externe
toetsing en een actualisatie van de Data Protection Impact Assessment (DPIA) van het
COA over het verstrekken van gegevens en inlichtingen aan de politie zullen het COA
en de politie de gemaakte afspraken opnieuw bezien en bekijken of deze aanpassingen
behoeven.

Vraag 6

Is er een Data Protection Impact Assessment (DPIA) uitgevoerd over deze overeenkomst?
Kunt u deze naar de Kamer sturen?

Antwoord 6

Het Nationaal Vreemdelingen Informatie Knooppunt (NVIK) van de politie, laat sinds
maart van dit jaar door een extern bureau een DPIA uitvoeren over de gehele vreemdelingenadministratie.
De DPIA wordt naar verwachting in het vierde kwartaal van 2020 afgerond. Er is bij
het NVIK geen deelbare DPIA die specifiek ziet op de uitwisseling van gegevens met
het COA. Door het COA is een DPIA uitgevoerd voor deze overeenkomst, maar deze heeft
plaatsgevonden onder de oude Wet bescherming persoonsgegevens. Op dit moment wordt
de DPIA herijkt, waarbij het resultaat afhankelijk is van de uitkomsten van de onder
vraag 5 genoemde externe toetsing. Wanneer het externe onderzoek gereed is, zullen
we uw Kamer informeren over de externe toetsing en de DPIA’s van het COA toezenden.

Vraag 7

Bent u het eens dat met de overeenkomst zeer gevoelige data wordt verzameld door de
politie over mensen die nergens van verdacht worden? Bent u het eens dat dit een mate
van surveillance creëert over onschuldige mensen die onwenselijk is in Nederland?

Antwoord 7

Zie beantwoording vraag 2, 4 en 5.

Vraag 8

Wanneer wordt deze overeenkomst teruggedraaid en de gedeelde informatie gedeletet?

Antwoord 8

De verstrekking van gegevens en inlichtingen door het COA aan de politie vindt plaats
op grond van artikel 107 van de Vreemdelingenwet 2000. In afwachting van de externe
toetsing heeft het COA in afstemming met de politie het delen van deze gegevens aan
het NVIK opgeschort.

Vraag 9

Kunt u een overzicht geven van alle systemen van de opsporingsdiensten waarbij persoonsgegevens
worden verzameld en daarbij aangeven of er DPIA’s zijn uitgevoerd? Zijn er systemen
die nog gebruikt worden die niet voldoen aan de Algemene verordening gegevensbescherming
(AVG) en/of de Wet politiegegevens (WPG)?

Antwoord 9

Voor het verwerken van persoonsgegevens door hen die met de opsporing zijn belast
is de Wet politiegegevens van toepassing. Hierin staat dat wanneer een bepaald soort
verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen
oplevert, er een «gegevensbeschermingseffectbeoordeling» moet plaatsvinden (artikel
4c Wpg). Er is geen overzicht van alle soorten verwerkingen en dus ook niet of ooit,
indien nodig, een dergelijke beoordeling is uitgevoerd. Wel kan worden gesteld dat
bij bijvoorbeeld de inzet van nieuwe technologieën dit soort beoordelingen standaard
plaatsvinden. Dit is eerder toegelicht in de brief over de inzet van AI en algoritmes
bij de politie3.

Vraag 10

Wat is uw mening over het feit dat het afgelopen jaar is gebleken dat de overheid
op grote schaal – neem bijvoorbeeld Syri, de algoritmes die gebruikt worden door de
reclassering, het Fraude Signaleringsysteem (FSV) van de belastingdienst, het feit
dat een kwart van de gemeenten niet voldoet aan de AVG, DUO dat volgsoftware in e-mails
gebruikte en gegevensuitwisseling tussen politie en COA – niet voldoet aan de AVG
of het Europees Verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden (EVRM)?
Hoe ziet u uw rol ervoor te zorgen dat overheden en overheidsdiensten voldoen aan
de AVG?

Antwoord 10

De overheid dient bij de verwerking van persoonsgegevens in de naleving van de AVG
en het EVRM het goede voorbeeld te geven. Voor zover de overheid daarin niet slaagt,
is dat laakbaar. In gevallen waarin de naleving tekort schiet, dienen dan ook zo spoedig
mogelijk maatregelen te worden getroffen om daar een eind aan te maken. Dat kan, afhankelijk
van het specifieke geval, door bepaalde systemen buiten werking te stellen of door
andersoortige technische of organisatorische maatregelen te nemen. Het is het desbetreffende
bestuursorgaan dat daarvoor verantwoordelijk is en daarop kan worden aangesproken.

Onze rol is ervoor te zorgen dat het algemene wettelijk kader waarbinnen persoonsgegevens
worden beschermd op orde is en dat algemene beleidsmaatregelen worden getroffen om
aan de verdere bescherming van persoonsgegevens bij te dragen. Een voorbeeld van dat
laatste is de ontwikkeling van richtlijnen voor het gebruik van algoritmes door overheden.4 Dat een overheid of overheidsdienst aan de AVG voldoet, is de verantwoordelijkheid
van de desbetreffende bestuursorganen zelf. Het is de rol van de vertegenwoordigende
organen, de Autoriteit persoonsgegevens (AP) en de rechter om erop toe te zien dat
dit ook daadwerkelijk gebeurt.

Vraag 11, 12

Kunt u ingaan op het onderzoek van Argos over het feit dat een kwart van gemeenten
niet zou voldoen aan de AVG? Welke stappen onderneemt u concreet om ervoor te zorgen
dat gemeenten de privacy van mensen serieus neemt?5

Vanaf wanneer kunt u garanderen dat alle gemeenten volgens de (privacy)wet werken?

Antwoord 11, 12

Het is aan de colleges van B&W om ervoor te zorgen dat hun gemeentelijke diensten
de AVG naleven. Zij kunnen daarop worden aangesproken door de gemeenteraad. Op de
naleving van de AVG wordt ook toegezien door de AP, die zo nodig handhavend kan optreden.
Voor ons is op dit punt geen specifieke rol weggelegd. Het is daarom ook niet aan
ons om vanaf enig moment te garanderen dat alle gemeenten overeenkomstig de AVG persoonsgegevens
verwerken.

Vraag 13

Hoeveel meldingen van schending van persoonsgegevens krijgt de Autoriteit Persoonsgegevens
(AP)elk jaar? Kunt u aangeven in hoeverre de AP in staat is al die meldingen te onderzoeken?
Welke concrete stappen onderneemt u om ervoor te zorgen dat de AP voldoende middelen
heeft om haar wettelijke taak goed uit te kunnen voeren?

Antwoord 13

Volgens de AP zijn in 2019 in totaal ruim 27.800 klachten ontvangen. Ongeveer een
derde van die klachten (9.000 stuks) betrof volgens de AP klachten in de zin van artikel
77 van de AVG, waarbij de indiener een klacht heeft over de verwerking van zijn of
haar eigen persoonsgegevens. Dit zijn de klachten die de AP verplicht dient af te
handelen. De andere klachten zijn klachten die bijvoorbeeld anoniem zijn, over iemand
anders dan de melder zelf gaan of algemeen zijn. De AP is niet verplicht die klachten
te behandelen, maar doet dat wel omdat ze volgens de AP belangrijk zijn voor haar
onderzoekstaak. Die klachten leiden niet automatisch tot een individueel onderzoek.
De wachttijd voor de behandeling van klachten was volgens de laatste meting van de
AP zes maanden.

Naast klachten ontvangt de AP ook meldingen van datalekken. In 2019 waren dat er volgens
de AP bijna 27.000. Bij 1.180 datalekmeldingen heeft de AP naar aanleiding van de
melding actie ondernomen richting de organisatie die het datalek heeft gemeld. Naast
datalekmeldingen ontvangt de AP ook klachten en signalen die betrekking hebben op
datalekken. Naar aanleiding hiervan zijn nog circa 70 acties ondernomen richting de
organisaties waar het datalek plaatsvond.

De AP en het Ministerie van JenV zijn een gezamenlijk extern onderzoek gestart naar
de grondslagen van de financiering van de AP, de omvang van het budget en de risico’s
behorende bij verschillende scenario’s. Dit onderzoek is uitgebreid en kijkt bijvoorbeeld
ook naar mogelijke efficiencyverbetering en omvat een vergelijking met de toerusting
van collega-privacytoezichthouders in Europa. Het onderzoek kost meer tijd dan vooraf
werd verwacht. De resultaten worden in het najaar van 2020 verwacht.