Verslag (initiatief)wetsvoorstel (nader) : Verslag

Nr. 5
VERSLAG

Vastgesteld 26 januari 2024

De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van
bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal
hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel
voldoende voorbereid.

Inhoudsopgave

ALGEMEEN DEEL

2

1.

Inleiding

2

2.

Beleidscontext

3

3.

Datagovernanceverordening

3

3.1

Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen

3

3.2

Databemiddelingsdiensten

5

3.3.

Data-altruïsme

5

3.4.

Internationale datastromen

5

4.

Inhoud uitvoeringswet

5

4.1

Toezicht en handhaving

6

5.

Verhouding tot hoger recht

6

5.1

Bescherming van persoonsgegevens, AVG

6

6.

Uitvoerbaarheid en handhaafbaarheid

7

6.1

Adviescollege Openbaarheid en Informatiehuishouding

7

7.

Overgangsrecht en inwerktreding

7

OVERIG

7

ALGEMEEN DEEL

1. Inleiding

De leden van de PVV-fractie hebben kennisgenomen van de Uitvoering van verordening
(EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese
datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening)
en de bijbehorende documenten. Naar aanleiding hiervan hebben deze leden nog enkele
vragen. Voorts merken de leden op dat de toelichting op het niet navolgen van de door
de Afdeling advisering van de Raad van State gedane aanbeveling inzake de verhouding
tussen de uitvoeringswet en de DGA tot de AVG niet ingaat op de mogelijke tegenstrijdigheden.
Kan een overzicht van deze conflicterende punten worden opgeleverd met de onderbouwing
waarom het prevaleren van de Algemene Verordening Gegevensbescherming tot conflict
zou kunnen leiden?

De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van
de uitvoeringswet. In een datagedreven samenleving vinden zij het van groot belang
om het uitwisselen van gegevens betrouwbaar, transparant en in dienst van de publieke
zaak te laten verlopen. Over de uitvoeringswet hebben de leden enkele opmerkingen
en vragen. De leden zijn van mening dat gevoelige data, indien het wordt hergebruikt,
moeten bijdragen aan de publieke zaak. Zij vinden het niet gepast als bedrijven gevoelige
data hergebruiken om meer winst te maken, omdat mensen dan producten worden verkocht
die tot stand zijn gekomen door hun eigen data. Dat vinden deze leden geen wenselijk
gebruik van persoonsgegevens. Welke financiële prikkels bevat deze uitvoeringswet
voor bedrijven? Hoe mogen private bedrijven gebruik maken van deze data voor economische
winst?

De leden van de VVD-fractie hebben kennisgenomen van de uitvoering van de verordening.
De leden hebben nog enkele vragen en opmerkingen. De leden lezen dat de Raad van State
verschillende opmerkingen en adviezen heeft gemaakt. Hoe leest de regering deze kanttekeningen?
Kunt u hier specifiek ingaan op de kritiek met betrekking tot de voorgestelde verhouding
tussen de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP)?

Voorts vinden de leden van de VVD-fractie het goed om te horen dat bij de verwerking
van persoonsgegevens de regelgeving met betrekking tot persoonsgegevens altijd van
toepassing is. De leden van de VVD-fractie vragen zich af in hoeverre de AI-verordening
invloed heeft op wat er nu voor ligt. Kan de regering hier nader op ingaan?

De leden van de NSC-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover
enkele vragen en opmerkingen.

De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover
enkele vragen en opmerkingen.

De leden van de BBB-fractie hebben met interesse de stukken gelezen en hebben over
een aantal onderdelen vragen.

De leden van de BBB-fractie vragen waarom ervoor is gekozen om geen internetconsultatie
over dit wetsvoorstel te houden. Welke afwegingen zijn hiervoor gemaakt?

De leden van de SP-fractie hebben kennisgenomen van de (uitvoering van) de verordening
en hebben enkele vragen hierover.

2. Beleidscontext

De leden van de GroenLinks-PvdA-fractie lezen dat het begrip «data» niet altijd duidelijk
gedefinieerd is in beleidsinitiatieven. Welke definitie van «data» hanteert de regering
in deze uitvoeringswet?

De leden van de D66-fractie vragen of de regering kan toelichten in hoeverre het uiteindelijke
resultaat van de Uitvoeringswet datagovernanceverordening verschilt met de inzet als
opgenomen in het BNC-fiche en of de regering deze verschillen kan toelichten.

3. Datagovernanceverordening

3.1 Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen

De leden van de GroenLinks-PvdA-fractie steunen de ambitie van de Europese Commissie
om de marktmachtsconcentratie van Big Tech-bedrijven op te breken. Dit achten zij
hard nodig om het speelveld op de digitale markt eerlijker te maken. De leden lezen
dat openbare lichamen verantwoordelijk worden voor het nemen van adequate technische
maatregelen om de gegevensbescherming, privacy en vertrouwelijkheid te borgen. Is
het duidelijk welke maatregelen er minimaal genomen moeten worden door openbare lichamen
om te voldoen aan de verordening? Welke «enkele andere uitzonderingen» bedoelt de
regering bij het verbod op exclusieve overeenkomsten? Waarom zijn deze uitgezonderd?

De leden van de VVD-fractie onderschrijven dat bij datadeling de bescherming van persoonsgegevens,
rechten van derden en wettelijke doelbinding goed geborgd moeten worden. De regering
stelt voor dat onafhankelijke derde partijen een belangrijke rol kunnen spelen in
de technische ondersteuning. Hoe wordt de bescherming van de gegevens bij deze partijen
ingebouwd?

De leden van de VVD-fractie lezen dat openbare lichamen technische maatregelen moeten
nemen om ervoor te zorgen dat de vertrouwelijkheid volledig wordt geborgd. Hoe wordt
deze borging gecontroleerd en hoe lang krijgen deze organisaties om deze aanpassing
door te voeren? Wat zijn de consequenties als niet alle organisaties tijdig aan deze
privacy eisen voldoen? Blijft deze data dan buiten de scope van de verordening?

De leden van de NSC-fractie verzoeken verduidelijking over het centrale contactpunt
binnen Nederland. Kan de regering nader toelichting geven over de instantie die tot
taak heeft om «onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren
van geschikte gegevens», en om «structuren op te zetten om zo openbare lichamen technische
en juridische bijstand te bieden»? In paragraaf 3.1 van de memorie van toelichting
(MvT) lijkt dit contactpunt gelijkgesteld te worden aan het centraal informatiepunt.
Klopt dit, en dient de MvT dan zo gelezen te worden dat het agentschap Logius de rol
toebedeeld zal krijgen van dit contactpunt c.q. informatiepunt, en daarmee zowel de
functie van portaal (data.overheid.nl) als die van algemeen ondersteunend/technisch/juridisch
loket zal krijgen? Zo niet, hoe zullen deze rollen dan ingevuld worden?

De leden van de D66-fractie vragen in hoeverre de veronderstelling klopt dat de Datagovernanceverordening
toeziet op het delen van beschermde gegevens, waar de Open data richtlijn dit doet
op niet-beschermde gegevens.

De leden van de D66-fractie zien graag een toelichting van de regering over hoe «het
algemeen» belang wordt gedefinieerd binnen deze context.

De leden van de BBB-fractie constateren dat de lidstaten één contactpunt moeten oprichten
om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van
geschikte gegevens en structuren moeten opzetten om openbare lichamen technische en
juridische bijstand te bieden. De leden vragen de regering of dit contactpunt eenvoudig
te vinden is voor burgers en bedrijven, en in hoeverre verwacht wordt hoe vaak dit
contactpunt gebruikt gaat worden en of de middelen en capaciteiten van het contactpunt
hierop aansluiten.

De leden van de SP-fractie lezen dat een aantal beschermde categorieën van data, zoals
persoonsgegevens die buiten het toepassingsbeleid van de Open data richtlijn vallen
en data waarop intellectuele-eigendomsrechten van derden rusten, te gevoelig zijn om als open data voor een ieder algemeen
beschikbaar te stellen, maar niet zo gevoelig dat elke vorm van hergebruik principieel
moet worden uitgesloten. De leden zien niet goed voor zich welk beeld de regering
hier probeert te schetsen. In welke gevallen acht de regering het wenselijk om deze
beschermde categorieën van data voor hergebruik beschikbaar te stellen? Hoe groot
is het risico dat persoonsgegevens hierdoor de markt op komen, waardoor een inbreuk
op privacy wordt gemaakt?

De leden van de SP-fractie lezen dat de Europese Commissie ziet dat nieuwe markten
voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde
en betrouwbare manier ontwikkelen. De leden zien ook dat deze markten zijn ontstaan
en uitgegroeid tot gigantische proporties. Alhoewel de leden het nut zien van het
delen van data op altruïstische gronden en het hergebruik van data voor wetenschappelijke-
en onderzoeksdoeleinden of voor andere doeleinden in het publiek belang, hebben zij
fundamentele bezwaren tegen de privatisering van publieke data en verkoop van persoonsgegevens
die plaats kan vinden door deze verordening. Door data voor hergebruik beschikbaar
te stellen aan marktpartijen kan het voorkomen dat publiek gefinancierd onderzoek
wordt gebruikt door marktpartijen en daardoor publieke informatie geprivatiseerd wordt.
De publieke sector heeft hier weinig baat bij. Hoe gaat de regering voorkomen dat
publieke informatie op deze manier geprivatiseerd wordt? Persoonsgegevens worden nu
door grote techbedrijven als Meta, Amazon en Google verzameld, ingezet en verkocht
om zo efficiënt mogelijk te adverteren. Deze verordening creëert ruimte in de markt
voor zogenoemde databemiddelingsbedrijven om ook kleinere bedrijven mee te laten doen.
De verkoop van persoonsgegevens doet afbreuk aan privacy en geeft bedrijven te veel
macht. Faciliteren de Europese Commissie en de regering de verkoop van persoonsgegevens
met deze verordening?

De leden van de SP-fractie lezen dat de openbare lichamen die hergebruik toestaan
zelf technische maatregelen moeten nemen om gegevensbescherming, privacy en vertrouwelijkheid
te waarborgen. De regering geeft als voorbeeld dat een openbaar lichaam kan eisen
dat persoonsgegevens geanonimiseerd zijn. Moeten de leden hieruit concluderen dat
het aan openbare lichamen is om te besluiten of zij persoonsgegevens anonimiseren?
Zo ja, waarom wordt dit niet wettelijk verplicht?

3.2. Databemiddelingsdiensten

De leden van de GroenLinks-PvdA-fractie hebben vragen over de «databemiddelingsdiensten»,
waarvan de definitie nog in ontwikkeling is. De aangedragen voorbeelden van wat wel
en geen databemiddelingsdiensten zijn, vinden de leden verhelderend maar nog niet
concreet genoeg. Kan de regering een concrete definitie geven van een databemiddelingsdienst?
Omvat dit ook bedrijven die een indirecte relatie hebben met de datahouder en de -gebruiker?
Wanneer handelt een databemiddelingsdienst «in het belang van de datasubjecten», zoals
beschreven in de MvT?

De leden van de D66-fractie zien dat in het voorbeeld over de databemiddelingsdiensten
wordt gesproken over een Frans bedrijf. In hoeverre zal toezicht vanuit de lidstaat
(de Nederlandse toezichthouder) mandaat hebben om een Frans (of een ander land binnen
de EU) bedrijf sancties op te leggen?

3.3. Data-altruïsme

De leden van de NSC-fractie hebben een vraag aan de regering over de reikwijdte van
het data-altruïsme. Is het voor de in de Unie erkende organisaties voor data-altruïsme
toegestaan om gegevens die onder deze verordening of onder de Open data richtlijn
door enige instantie tegen vergoeding voor hergebruik beschikbaar zijn gesteld, kosteloos
breder beschikbaar te stellen?

3.4. Internationale datastromen

De leden van de GroenLinks-PvdA-fractie lezen dat de Europese Commissie gedelegeerde
handelingen mag vastleggen voor het overdragen van zeer gevoelige data naar derde
landen. Welke mogelijke voorwaarden betreft dit? Welke rechten heeft de datahouder,
naast het recht om geïnformeerd te worden? Mag de datahouder bezwaar maken?

4. Inhoud uitvoeringswet

De leden van de NSC-fractie verzoeken om toelichting waarom is gekozen om de Minister
van Economische Zaken en Klimaat verantwoordelijk te maken voor de databemiddelingsdiensten
en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voor het hergebruik
van overheidsgegevens en de erkende organisaties voor data-altruïsme.1 Met welke reden is deze knip gemaakt?

De leden van de GroenLinks-PvdA-fractie lezen dat de Minister van Economische Zaken
en Klimaat verantwoordelijk is voor de databemiddelingsdiensten. Op welke manier is
de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties hierbij betrokken?
Ook lezen de leden dat kosten in rekening mogen worden gebracht voor het hergebruiken
van data. Is dat niet in strijd met de bedoeling van de wet, namelijk om data beter
toegankelijk te maken? Onder welke voorwaarden mag er een tarief worden gehanteerd?

De leden van de D66-fractie vragen in hoeverre het klopt het dat de Wet open overheid
(Woo) prevaleert boven deze verordening. Klopt het ook dat de Woo, wat geen intellectueel
eigendom van derden erkent als reden om documenten niet openbaar te maken, blijft
gelden?

4.1 Toezicht en handhaving

De leden van de D66-fractie zien graag een meer uitgebreide toelichting van de regering
waarom het advies van de Raad van State om de verplichte samenwerking tussen de Autoriteit
Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) te schrappen, niet
wordt opgevolgd. In hoeverre wordt de ACM verplicht om het advies van de AP op te
volgen?

De leden van de BBB-fractie lezen in de MvT dat de Autoriteit Consument & Markt (ACM)
wordt aangewezen als toezichthouder. De ACM mag databemiddelingsdiensten sanctioneren,
schorsen en dwangsommen opleggen als die zich niet aan de regels houden. Ook houden
ze toezicht op inbreuken op verplichtingen m.b.t. deze doorgifte van niet-persoonsgebonden
gegevens aan derde landen wanneer deze doorgifte in strijd is met de Europese of nationale
wetgeving. De leden vragen de regering of er rekening mee is gehouden met de vraag,
wanneer databemiddelingsdiensten die zich bevinden in landen waarin boetes frequent
niet betaald worden en sancties worden genegeerd, hoe de ACM hiermee om kan gaan,
en wat mogelijke vervolgstappen zijn? Als de vervolgstap om recht te halen in landen
(waarin databemiddelingsdiensten zich bevinden) mislukt, wat zou dan het gevolg zijn
en hoe beperkt deze wetgeving in een dergelijke situatie? Is er een mogelijkheid om
een register van landen te maken van waaruit databemiddelingsdiensten geen toegang
hebben tot de Nederlandse en Europese data i.v.m. het mogelijk in gevaar brengen van
de nationale veiligheid of grootschalige schending van de privacy?

De leden van de BBB-fractie lezen dat de ACM moet beoordelen of een databemiddelingsdienst
of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan
de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP
echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies
te geven met betrekking tot die voorwaarden uit de verordening die verband houden
met de bescherming van persoonsgegevens. De leden vragen de regering in hoeveel procent
van de gevallen de AVG van toepassing zal zijn bij het beoordelen van een databemiddelingsdienst
of geregistreerde data-altruïstische organisatie? Zou het kunnen dat de AP een grotere
hoeveelheid aanvragen moet gaan beoordelen dan dat nu verwacht wordt, en zo ja, tussen
hoeveel full time equivalent (FTE) schommelt dit en wat betekent dit voor de financiële
lasten voor de toezichthouder?

5. Verhouding tot ander recht

5.1 Bescherming van persoonsgegevens, AVG

De leden van de GroenLinks-PvdA-fractie merken op dat de wet in 2023 geïmplementeerd
had moeten zijn. Ook is er een nauwe samenhang met de Wet implementatie Open data
richtlijn. Welke gevolgen heeft het niet op tijd invoeren van deze wet? Welke risico’s
brengt het met zich mee als deze wet en de Wet implementatie Open data richtlijn niet
tegelijk worden ingevoerd? Vallen er op die manier geen gaten in het beleid?

De leden van de D66-fractie vragen in hoeverre het klopt dat bij tegenstrijdigheid
tussen de verordening en de AVG de laatstgenoemde prevaleert? In hoeverre ondervindt
dit wetsvoorstel last van het gegeven dat de Wet implementatie Open data richtlijn
nog niet is aangenomen? Kan de regering dit toelichten, zo vragen deze leden?

De leden van de BBB-fractie lezen dat een met een publieke taak belaste instelling
er voor kan kiezen om de gegevens in kwestie te anonimiseren, alvorens hergebruik
daarvan toe te staan. Is het gebruik van «reverse engineering» voor geanonimiseerde
persoonsgegevens door middel van kwantum computers als risico meegenomen in deze afweging?

6. Uitvoerbaarheid en handhaafbaarheid

6.1 Adviescollege Openbaarheid en Informatiehuishouding

De leden van de PVV-fractie merken op dat de beantwoording van de inbreng van het
Adviescollege Openbaarheid en Informatiehuishouding (ACOI) niet volledig is verwoord
in de MvT. Derhalve verzoeken de leden alsnog een toelichting op de door het ACOI
gedane voorstellen.

7. Overgangsrecht en inwerktreding

De leden van de NSC-fractie verzoeken de regering om nadere toelichting waarom de
verordening niet op een eerder moment is geïmplementeerd, aangezien de deadline van
24 september 2023 reeds is verstreken.

OVERIG

De leden van de PVV-fractie merken op dat er geen evaluatie zal plaatsvinden. Gezien
de regeldruk nog een onbekende factor is lijkt het voor de hand dat er een evaluatie
zal plaatsvinden. Waarom wordt afgezien van een evaluatie?

De leden van de GroenLinks-PvdA-fractie willen weten hoe vaak de Kamer geïnformeerd
wordt over de vordering op deze wet. Op welke termijn wordt de uitvoering geëvalueerd?

De leden van de vragen D66-fractie hoe er gecontroleerd zal worden dat data niet gebruikt
wordt door de inzet van Artificial Intelligence (AI), bijvoorbeeld bij Large Language
Models?

De fungerend voorzitter van de commissie, Kathmann

Adjunct-griffier van de commissie, Muller