Verslag (initiatief)wetsvoorstel (nader) : Verslag

Nr. 6
VASTGESTELD

Ontvangen 12 februari 2024

De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van
bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal
hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel
voldoende voorbereid.

Inhoudsopgave

I

ALGEMEEN

00

1.

Inleiding

00

2.

Hoofdlijnen van het wijzigingsprotocol

00

3.

Uitvoering van het wijzigingsprotocol

00

4.

Verwerking van persoonsgegevens op grond van de Wiv 2017

00

5.

Advies en consultatie

00

II

ARTIKELSGEWIJZE TOELICHTING

00

ALGEMEEN

1. Inleiding

De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van
de zogenaamde Conventie 108. Zij onderstrepen het belang van het actualiseren van
wetgeving rondom persoonsgegevens. De snelheid waarmee de wereld digitaliseert dwingt
wetgevers om ertoe om altijd aansluiting te blijven vinden tussen de meest moderne
technieken en het recht van mensen op regie over hun eigen data. Over de aanpassingen
geregeld in deze wet hebben de fractieleden vragen en opmerkingen.

Met enige verbazing lezen de leden van deze fractie dat wijzigingen aan de onderliggende
wet, die meer dan twintig jaar geleden zijn voorgesteld, nog altijd niet in werking
zijn getreden. Slechts dertig van de deelnemende partijen hebben dit geratificeerd.
Welke partijen hebben dit nog niet gedaan? Welk perspectief is er op de implementatie
van deze wijzigingen? Welke gevolgen heeft het dat er nog altijd partijen zijn die
dit niet hebben gedaan?

Eveneens zijn de leden verbaasd dat het verdrag uit 1981 nog moet worden goedgekeurd
voor Aruba, Curaçao en Sint-Maarten. Kan de regering toelichten waarom dit nog niet
is gebeurd? De kaders voor het omgaan met persoonsgegevens komen voort uit het beschermen
van universele mensenrechten. Die dienen in heel het Koninkrijk gelijk te zijn, dus
sporen de leden aan om zo snel mogelijk de datawetgeving in alle delen van Nederland
te harmoniseren. Zij volgen hierin de lijn van de Autoriteit Persoonsgegevens. Wanneer
kunnen de leden verwachten dat een dergelijke harmonisatie is gelukt? Wat is er nodig
aan middelen, onderzoek en regelgeving om de rijkswet succesvol te implementeren,
zo vragen de leden van deze fractie.

De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben enkele
vragen.

2. Hoofdlijnen van het wijzigingsprotocol

De leden van de GroenLinks-PvdA-fractie begrijpen dat wetten die zien op gegevensverwerking
enige flexibiliteit vereisen om de voortgang van digitale technologie bij te benen.
Hoe toekomstbestendig is de geactualiseerde wet? Welke gevolgen heeft het dat er nog
lang gebruik is gemaakt van een verouderd verdrag uit 1981? Heeft de regering concrete
voorbeelden waarin het verdrag wegens haar ouderdom schuurde met nieuwere regelgeving?

Ook lezen deze leden dat het wijzigingsprotocol betrekking heeft op de bevoegdheden
van de EU. Hoe ziet Europa erop toe dat het verdrag door al haar lidstaten succesvol
wordt geïmplementeerd? Hoe treedt zij op als lidstaten dit niet doen? Bovendien heeft
de wijziging van Conventie 108 betrekking op de verwerking van persoonsgegevens door
veiligheidsdiensten en defensie. Wat vraagt het van lidstaten om deze wijzigingen
door te voeren? Zijn alle partijen hiertoe uitgerust, vooral gezien de onstabiele
internationale situatie die veel vraagt van onze veiligheidsdiensten en militaire
diensten?

De leden lezen dat het wijzigingsprotocol de bepaling uit artikel 3, betreffende het
uitsluiten van sectoren of activiteiten van het verdrag, schrapt. Dit vinden de leden
een terechte wijziging; veilige verwerking van persoonsgegevens dient immers in de
hele breedte plaats te vinden. Kunt u concrete voorbeelden noemen van sectoren en
activiteiten die door verdragspartijen zijn uitgesloten? Heeft Nederland wel eens
een dergelijke uitzondering gemaakt? Ook lezen de leden dat het wijzigingsprotocol
het niveau van de gegevensbescherming verhoogt en de bescherming van bijzondere persoonsgegevens
versterkt. Kunt u dit uitgebreider toelichten?

Het verdrag voert enkele nieuwe rechten in, waaronder het recht dat er geen besluiten
over je mogen worden gemaakt door een geautomatiseerde verwerking van persoonsgegevens.
Gezien de wijzigingen uit 2018 stammen en met name kunstmatige intelligentie de afgelopen
jaren heel snel haar entree heeft gemaakt op allerlei werkplekken en maatschappelijke
functies, vragen de leden zich af of dit gewijzigde verdrag bepaalt dat ook AI-applicaties
geen besluiten mogen maken over personen. Ziet u in het verdrag verder nog punten
die kwetsbaar zijn om snel te verouderen ten opzichte van nieuwe technologie? Is er
met de verdragspartijen afgesproken wanneer een nieuwe actualisatie van het verdrag
noodzakelijk is? Hoe wordt dat beoordeeld?

De leden van voornoemde fractie lezen met enige twijfel dat het verdrag vrijheid kent
voor deelnemers om de bepalingen om te zetten in nationaal beleid. Hoewel het lidstaten
uiteraard vrij staat om democratisch tot eigen kaders te komen waarbinnen zij omgaan
met de gegevens van inwoners, vinden de leden het ook van belang dat er een duidelijke
ondergrens is waar minstens aan voldaan moet worden om burgers goed te beschermen.
Vindt u dat dit verdrag een dergelijke ondergrens stelt? Hoe veel vrijheid hebben
deelnemende partijen om af te zien van verdragsbepalingen? Hoe groot is die vrijheid
met betrekking tot de nationale inlichtingen- en veiligheidsdiensten, die volgens
de leden een extra verantwoordelijkheid dragen om secuur met persoonsgegevens om te
gaan?

In de memorie van toelichting staat dat het evaluatiemechanisme nog wordt uitgewerkt
in de Raad van Europa. Wanneer is dat proces rond? Acht de regering het van belang
dat het evaluatiemechanisme nog voor de implementatie van dit verdrag wordt afgerond?
Nationale autoriteiten worden aangewezen om «besluiten te nemen met betrekking tot
schendingen van het verdrag». Wat voor besluiten bedoelt de regering daarmee?

Het Aanvullende Protocol treedt buiten werking zodra het wijzigingsprotocol in werking
treedt. Geldt dat per land, of moeten alle verdragspartijen het wijzigingsprotocol
implementeren voordat het Aanvullende Protocol in z’n geheel komt te vervallen? Ook
blijft de EU aansporen om het wijzigingsprotocol zo snel mogelijk te ratificeren.
Welke verdragspartijen lopen hiermee achter? Hoe dwingend is de EU in haar aansporingen?
Heeft zij een deadline gesteld voor implementatie of is het geheel vrijblijvend?

Het belang van het wijzigingsprotocol wordt duidelijk in de tegenstrijdige verplichtingen
die soms gelden bij het hanteren van het oude verdrag, zo lezen de leden. Heeft de
regering concrete voorbeelden van zulke tegenstrijdige verplichtingen? Heeft dit eerder
in de praktijk tot problemen geleid?

De leden hebben enige twijfel bij de volgende claim dat het gemoderniseerde verdrag
«een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit
voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen
tegen andere fundamentele rechten, vrijheden en belangen.» Deze leden zien de verantwoordelijke
omgang met persoonsgegevens juist als integraal onderdeel van fundamentele rechten
en vrijheden. Welke ondergrens stelt het gemoderniseerde verdrag aan het afwegen van
die belangen? Hoe wordt het hoge niveau van veiligheid gewaarborgd als verdragspartijen
het recht op de persoonlijke levenssfeer makkelijk op zij zetten voor andere belangen?
Hoe rijmt de flexibele toepassing met de bewering dat «het wijzigingsprotocol een
belangrijke bijdrage [kan] leveren aan de wereldwijde versterking van het recht op
privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens»? Dit
klopt toch alleen als het verdrag zo breed mogelijk omarmd wordt en wereldwijd wordt
geïmplementeerd? In hoeverre is deelname aan het verdrag vrijblijvend? Welke sancties
worden er genomen als landen het verdrag niet implementeren? Welke voordelen heeft
het voor een niet-deelnemende partij om toe te treden tot het verdrag? Welke nadelen
kleven daar aan, zo vragen de leden van voornoemde fractie.

De leden van de D66-fractie constateren dat er lang over het wijzigingsprotocol is
onderhandeld. Wat waren tijdens deze onderhandelingen de punten die de meeste tijd
in beslag namen?

De leden van deze fractie willen daarnaast weten in hoeverre een lidstaat kan voorstellen
om wijzigingen aan te brengen in de Conventie 108. Welk proces moet dan worden gevolgd,
zo vragen zij.

3. Uitvoering van het wijzigingsprotocol

De leden van de GroenLinks-PvdA-fractie lezen dat er in de Caribische landen en het
Caribische deel van Nederland wordt gestreefd naar het verhogen van de bescherming
van persoonsgegevens dat «(minimaal) beantwoordt aan de standaarden van het gemoderniseerde
verdrag.» Kunt u toelichten wat de minimale verplichting vanuit het verdrag zou zijn?
Op welke manieren zou er ambitieuzer dan het verdrag gehandeld kunnen worden, zo vragen
de leden van deze fractie.

De leden van de D66-fractie vernemen graag op welke termijn de regering uitvoeringswetgeving
voor het Caribisch deel van het Koninkrijk verwacht met de Tweede Kamer te kunnen
delen. In hoeverre verschillen nu de huidige regelingen in het Caribisch deel van
het Koninkrijk voor het verwerken van persoonsgegevens door veiligheids- en inlichtingendiensten
met die van het Europees deel van het Koninkrijk, zo vragen deze leden.

4. Verwerking van persoonsgegevens op grond van de Wiv 2017

De leden van de Groenlinks-PvdA-fractie merken op dat de Wiv 2017 verplicht dat er
zo spoedig mogelijk, uiterlijk binnen drie maanden, wordt medegedeeld als persoonsgegevens
worden verwerkt. Wordt hier altijd tijdig aan voldaan? Hoe controleert de regering
of deze informatie ook echt «zo spoedig mogelijk» wordt gedeeld, zo willen deze leden
weten.

De leden van de D66-fractie vragen waarom de regering het onnodig acht om de adviserende
rol van de toezichthouders Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten
(CTIVD) en de Toetsingscommissie Inzet Bevoegdheden (TIB) wettelijk vast te leggen.
Kan dit worden toegelicht, zo vragen zij.

5. Advies en consultatie

De leden van de GroenLinks-PvdA-fractie vragen welke rol de bewindspersoon heeft die
toeziet op digitalisering bij de verdere uitwerking, aanpassing en controle op de
Wiv 2017? Hoe blijft de bewindspersoon maximaal betrokken om toe te zien dat de Wiv
2017 voldoet en bijdraagt aan de ambities voor waardengedreven digitalisering?

B. ARTIKELSGEWIJZE TOELICHTING

Artikel 2

De leden van de GroenLinks-PvdA-fractie vragen hoe het doel om elk individu, ongeacht
nationaliteit of woonplaats, goed te beschermen, rijmt met de flexibiliteit die het
verdrag toe laat voor deelnemende landen om zelf de afweging te maken tussen veilige
omgang met persoonsgegevens en andere nationale belangen? Is de regering het met de
leden eens dat dit logischerwijs leidt tot verschillende niveau’s van bescherming
in verschillende landen, zo vragen zij.

Artikel 7

De leden van de GroenLinks-PvdA-fractie merken op dat dit artikel bepaalt dat betrokkenen
volledig geïnformeerd dienen te worden over de verwerking van hun gegevens. Echter,
in acht nemend dat privacy-verklaringen amper worden gelezen, is het toch aannemelijk
dat veel mensen niet volledig geïnformeerd zijn over wat er met hun data gebeurt?
Welke eisen voor toegankelijkheid bepaalt dit artikel? Zijn er standaarden voor het
zo begrijpelijk en duidelijk mogelijk informeren over de verwerking van persoonsgegevens,
zo vragen deze leden.

De fungerend voorzitter van de commissie, Kathmann

De griffier van de commissie, Boeve