Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 19 maart 2024

Met veel belangstelling heb ik kennisgenomen van het door de leden van de Vaste Commissie
voor Digitale Zaken uitgebrachte verslag inzake dit voorstel van wet. Ik heb goede
nota genomen van de gestelde vragen die door de leden van enkele fracties naar voren
zijn gebracht. In het onderstaande zal ik, mede namens de Minister van Binnenlandse
Zaken en Koninkrijksrelaties, ingaan op de gestelde vragen en gemaakte opmerkingen.

Algemeen

1. Inleiding

1. De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het voorstel
van wet tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming
en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht
(hierna: het wetsvoorstel). Deze leden merken op dat er sinds de invoering van de
Algemene verordening gegevensbescherming (AVG) in mei 2018 op veel terreinen de bescherming
van persoonsgegevens beter is gewaarborgd. Desondanks zijn er al sinds de invoering
van de AVG serieuze vragen gerezen over een groot aantal onderwerpen. Deze leden achten
het van belang dat de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
bij de tijd wordt gehouden en verwelkomen in die zin de voorstellen die omissies herstellen,
dan wel extra duidelijkheden en mogelijkheden bieden. Zij stellen nog een aantal vragen.

De leden van de VVD-fractie kunnen begrijpen dat de regering heeft gekozen de omvang
van dit wetsvoorstel beperkt te houden, omdat het gaat om een verzamelwet, waarvan
de verschillende onderdelen niet van een omvang en complexiteit mogen zijn of dermate
gevoelig, dat ze een afzonderlijk wetsvoorstel rechtvaardigen. Gelet op de hoeveelheid
onderwerpen die raken aan het herstellen van omissies en moderniseringen van het gegevensbeschermingsrecht
die op andere momenten worden behandeld, dringt wel de vraag op in hoeverre het voor
de Tweede Kamer inzichtelijker kan worden gemaakt welke trajecten wanneer worden behandeld.

Kan de regering een overzicht verschaffen van de onderwerpen die verband houden met
gegevensbeschermingsrecht in de voorbereiding van het onderhavige wetsvoorstel of
gelijktijdig naar voren zijn gekomen en die geen plek hebben gekregen in het wetsvoorstel?

Deze leden zouden het op prijs stellen als er ook een inschatting kan worden gegeven
van het tijdspad dat de regering voor ogen staat om de voorstellen uit te werken en
naar de Kamer te sturen. Daarbij vragen de leden ook of de knelpunten die worden omschreven
in de motie Koopmans c.s.1, voor zover ze nog niet zijn opgelost, ook aan bod kunnen komen.

Het gegevensbeschermingsrecht is voortdurend in beweging. Er komen regelmatig nieuwe
onderwerpen naar voren die aandacht behoeven. Dit kan voorkomen naar aanleiding van
actuele ontwikkelingen in de maatschappij, maar ook naar aanleiding van rechterlijke
uitspraken of technologische ontwikkelingen. Ook verdwijnen onderwerpen, die in eerste
instantie een wellicht groot probleem leken. Een voorbeeld hiervan is het vraagstuk
omtrent de bijzondere gegevensverwerking door patiëntenverenigingen, waarover later
in dit verslag meer. Veel onderwerpen zijn ook niet zozeer een probleem van juridische
aard, maar gaan meer over de uitvoering. Zie hierover ook de brief die de Algemene
Rekenkamer op 31 maart 2023 aan uw Kamer zond.2 Dat maakt ook dat niet alle vraagstukken op het terrein van het gegevensbeschermingsrecht
zich meteen al lenen om te worden omgezet in wetgeving. Dat laatste is pas aan de
orde als andere oplossingsrichtingen verkend zijn en geen soelaas bieden.

Een kenmerk van het gegevensbeschermingsrecht is bovendien dat het steeds ingepast
moet worden in de specifieke omstandigheden en thematiek die in sectorwetgeving moet
worden opgepakt. Bij het merendeel van de overheidstaken die uitgevoerd wordt, worden
immers persoonsgegevens verwerkt. Daarbij dient steeds in het concrete geval te worden
afgewogen of de taak van een verwerkingsverantwoordelijk overheidsonderdeel ertoe
noodzaakt deze persoonsgegevens te verwerken. Ook zal deze verwerking zorgvuldig en
conform de eisen van de AVG moeten gebeuren. Dit betekent dat helder en concreet moet
zijn om welke taak het gaat en in welke (sectorale) wetgeving deze taak is neergelegd.

In de brief van 23 januari 2023 van de Autoriteit Persoonsgegevens die zij ook aan
uw Kamer heeft gestuurd, wordt ook een aantal onderwerpen genoemd die verdere uitwerking
behoeven.3 Om die reden zijn zij nog niet meegenomen in dit wetsvoorstel. In deze brief wordt
bijvoorbeeld gevraagd of er in de Uitvoeringswet algemene verordening gegevensbescherming
(UAVG) niet zou moeten worden opgenomen dat de Algemene verordening gegevensbescherming
(AVG) ook zou moeten gelden voor overleden personen. Dit voorstel is het bestuderen
waard, maar nog niet rijp om op dit moment in wetgeving op te nemen. Ten aanzien hiervan
is eerder ook aan uw Kamer gemeld dat dit beter gezamenlijk in Europees verband kan
worden opgepakt. Zie hieromtrent ook de reactie op vraag 16 van het lid Omtzigt.

Ook worden er in diverse andere wetgevingstrajecten voorstellen voor gegevensverwerking
opgenomen. Denk bijvoorbeeld aan het wetsvoorstel Wet gegevensverwerking in samenwerkingsverbanden
dat nu in de Eerste Kamer ligt,4 maar er zijn meerdere andere wetsvoorstellen ingediend die óók zien op verwerking
van persoonsgegevens. Denk bijvoorbeeld aan de Wet coördinatie terrorismebestrijding
en nationale veiligheid,5 het wetsvoorstel voor de Wet gegevensverwerking persoonsgerichte aanpak radicalisering
en terroristische activiteiten6 of de Wet elektronische gegevensuitwisseling in de zorg, die op 1 juli 2023 in werking
is getreden. Dit thema is niet meer weg te denken uit de moderne maatschappij en speelt
in alle gelederen van de samenleving een rol en speelt daardoor een rol bij beleid
en regelgeving van alle departementen.

De bedoeling van onderhavige verzamelwet is om diverse verbeteringen, die niet al
te omvangrijk zijn en waarvan duidelijk is dat die nodig zijn, op te nemen in de UAVG
en enkele andere wetten. Het gaat om wijzigingen die zich lenen voor een verzamelwet,
die naar zijn aard niet te beleidsrijke wijzigingen met zich mee mag brengen. Dit
betekent niet dat er in de toekomst geen wijzigingen meer van de UAVG zullen zijn.
Sterker nog, er wordt al nagedacht over welke mogelijke aanpassingen in een volgende
wijziging van de UAVG dienen te worden meegenomen. Dit is een dynamisch beeld, nu
er als gezegd voortdurend nieuwe wensen en vragen ontstaan omtrent de wenselijkheid
en mogelijkheid van regelgeving op het terrein van persoonsgegevens.

Het is, gezien de omvang van het speelveld en om bovengenoemde redenen, dan ook niet
mogelijk het door de leden van de VVD-fractie verzochte overzicht van knelpunten die
geen plek hebben gekregen in dit wetsvoorstel te geven, maar ik hoop met bovenstaande
toelichting toch enig inzicht te hebben verschaft in de ontwikkelingen binnen dit
rechtsgebied.

2. De leden van de D66-fractie hebben met interesse kennisgenomen van het voorstel
van wet, de memorie van toelichting, het wetgevingsrapport Verzamelwet gegevensbescherming,
het advies van de Raad van State, het nader rapport en de reacties van diverse adviserende
partijen. Deze leden willen de regering nog enkele vragen voorleggen.

De leden van de CDA-fractie vragen aan de regering welke specifieke knelpunten naar
voren zijn gekomen op het gebied van de UAVG waardoor de noodzaak is ontstaan om de
onderhavige Verzamelwet gegevensbescherming in te dienen. Deze leden zien bijvoorbeeld
op bepaalde vlakken een noodzaak om gegevensdeling juist te vergemakkelijken, zoals
wanneer het gaat om het oplossen van zaken omtrent mensenhandel of zorgfraude, maar
vragen daarbij aan de regering welke concrete gevallen zij voor ogen heeft gehad wat
betreft de voorgestelde wetswijziging.

Tijdens de behandeling van de UAVG is toegezegd aan de Tweede Kamer direct na afronding
van dit wetsvoorstel de mogelijkheden te gaan verkennen voor verdere modernisering
en verbetering van het gegevensbeschermingsrecht.7 In een brief van 1 april 2019 is de Tweede Kamer geïnformeerd over het resultaat
van de inventarisatie en in het bijzonder over de punten die in de motie-Koopmans
c.s. waren genoemd en werd aangekondigd dat de Tweede Kamer nader zou worden geïnformeerd
over punten waarvoor een wijziging van de UAVG in voorbereiding is.8

In vervolg daarop is de Tweede Kamer in een brief van 31 oktober 2019 geïnformeerd
over op welke punten al voldoende kon worden beoordeeld dat het wenselijk is de UAVG
of eventueel andere wetgeving aan te passen. Daarvoor zou een wetsvoorstel worden
opgesteld dat in het eerste kwartaal van 2020 in consultatie zou worden gebracht.9 Op 4 juni 2020 is de Tweede Kamer geïnformeerd over het in consultatie gaan van het
wetsvoorstel Verzamelwet gegevensbescherming.10 Naar aanleiding van de consultatie en de daarin verkregen adviezen is het wetsvoorstel
herzien, maar is er niet voor gekozen hele nieuwe onderwerpen toe te voegen.

3. De leden van de CDA-fractie vragen in hoeverre de regering de afweging heeft gemaakt
tussen het doel van de wet en de belangen die hiermee gediend worden, aldus specifieker
de afweging van de proportionaliteit en subsidiariteit van de wet.

Het onderhavige wetsvoorstel is een verzamelwet, waarin verschillende onderwerpen
aan bod komen. Per onderwerp is steeds de afweging gemaakt tussen het doel van het
specifieke voorstel en de belangen die ermee gediend worden enerzijds en de proportionaliteit
en subsidiariteit anderzijds. Dit is ook een vereiste volgens de AVG en het recht
op eerbiediging van de persoonlijke levenssfeer. Overigens is dit niet bij alle onderwerpen
aan de orde, omdat het soms zuiver technische wijzigingen betreft, maar voor zover
het gaat om een extra grondslag voor bijzondere persoonsgegevensverwerking bijvoorbeeld,
wordt hieraan in de memorie van toelichting steeds aandacht besteed.

4. Deze leden vragen ook in hoeverre de onderhavige wet zal gaan leiden tot een hogere
mate van bureaucratie op het gebied van gegevensdeling en privacy. Welke maatregelen
neemt de regering om de bureaucratie zoveel mogelijk in te dammen?

Het wetsvoorstel beoogt juist tot verduidelijking te leiden, door bijvoorbeeld grondslagen
te creëren voor het mogen verwerken van bijzondere persoonsgegevens.

Ik verwacht door dit wetsvoorstel dan ook geen toename van bureaucratie op het gebied
van gegevensdeling en privacy. Het gaat om uitwerking en invulling van de AVG en een
verbetering van het gegevensbeschermingsrecht, en niet om een verregaande aanpassing.
Daar waar meer mogelijkheden voor verwerking van bijvoorbeeld bijzondere persoonsgegevens
worden geregeld in dit wetsvoorstel, worden uiteraard ook eisen gesteld aan de voorwaarden
waaronder deze mogen worden verwerkt en worden, conform de eisen die de AVG stelt,
passende waarborgen opgenomen.

Juist de huidige situatie leidt regelmatig tot knelpunten in de praktijk en tot bureaucratie
of belemmering in de taakuitvoering. Dit is bijvoorbeeld het geval bij accountants.
Deze mogen nu in het kader van een wettelijk verplichte accountscontrole geen bijzondere
persoonsgegevens verwerken, hetgeen leidt tot het niet goed kunnen uitvoeren van hun
taken. De bijzondere persoonsgegevens dienen nu nog te worden geanonimiseerd door
de organisatie die gecontroleerd wordt, hetgeen werk met zich meebrengt en capaciteit
vergt. De accountant moet vervolgens meer moeite doen om de controle goed uit te voeren.
Dit wetsvoorstel brengt daarin verandering en biedt een grondslag voor bijzondere
persoonsgegevensverwerking, waaraan uiteraard wel zorgvuldigheidseisen gesteld worden.
Het gaat immers om een verdergaande inbreuk op de persoonlijke levenssfeer bij de
verwerking van bijzondere persoonsgegevens. Hier dienen voldoende waarborgen om die
persoonlijke levenssfeer te beschermen in acht te worden genomen. Bij ieder voorstel
in deze wet dat leidt tot een inbreuk op de persoonlijke levenssfeer, is steeds afgewogen
of dit noodzakelijk is of voldoende waarborgen in acht worden genomen. De mate van
bureaucratie die gepaard gaat met de inbreuk is bij ieder voorstel afgewogen. De AVG
gaat uit van evenredigheid: hoe vergaander de inbreuk, hoe zwaarder de waarborgen.

5. De leden van de CDA-fractie vragen aan de regering of zij in kaart kan brengen
hoe de UAVG zich verhoudt tot de uitvoeringswetten van de AVG in andere Europese lidstaten.
Verschilt de UAVG van Nederland op bepaalde vlakken van de uitvoeringswetten van de
AVG in andere Europese lidstaten en brengt de UAVG van Nederland een andere toepassing
en uitvoering teweeg dan in andere Europese lidstaten?

Op welke vlakken de UAVG verschilt met uitvoeringswetten in andere lidstaten, vergt
een rechtsvergelijkend onderzoek. Dat zou het bestek van een verzamelwet te boven
gaan. In zijn algemeenheid kan hierover worden gezegd dat de UAVG per definitie verschilt
van uitvoeringswetten in andere Europese lidstaten. Bij de totstandkoming van de AVG
is immers ook beoogd om lidstaten op onderdelen zelf keuzes te laten maken voor invulling
op nationaal niveau. Dit hebben de lidstaten dan ook gedaan. In Nederland is ervoor
gekozen om zoveel mogelijk tegen de voorganger van de UAVG te volgen, namelijk de
Wet bescherming persoonsgegevens (WBP). Veel van wat in de UAVG geregeld is, was ook
geregeld in de WBP, behalve waar de AVG echt een andere regeling vereist.

Iedere lidstaat kan derhalve eigen keuzes maken, zij het dat deze dienen te blijven
binnen de ruimte die de AVG daarvoor toekent.

6. De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van
het wetsvoorstel Verzamelwet Gegevensbescherming. Deze leden begrijpen dat met dit
wetsvoorstel de nodige wijzigingen worden doorgevoerd om het gegevensbeschermingsrecht
te actualiseren. Daarover hebben zij nog enkele vragen.

De leden van de SP-fractie hebben kennisgenomen van de voorgenomen wijziging van de
UAVG en hebben hierover nog een enkele opmerking en vragen. Deze leden begrijpen dat
deze verzamelwet er niet op ziet grote inhoudelijke wijzigingen aan te brengen, maar
merken desalniettemin op dat zij het betreuren dat het noodzakelijk debat over artikel 41
niet gevoerd wordt. Zij zien dat in de praktijk dit betekent dat mensen nog steeds
essentiële informatie wordt onthouden door instanties die een beroep doen op dit artikel.
De regering geeft aan dat, zoals het advies van de Autoriteit Persoonsgegevens (AP)
luidt, de gevolgen van het schrappen van deze bepaling niet te overzien zijn. De regering
geeft tevens aan dat er «wel naar aanleiding van de opmerkingen en suggesties van
de AP zal worden bezien of er voldoende aanleiding is om alsnog tot wijziging in de
door de AP voorgestelde zin moet worden overgegaan. Dit vergt echter tijd.» Kan er
aangegeven worden hoe hierover wordt nagedacht en op welke termijn hierover geïnformeerd
kan worden? Wat is er sinds de wijziging in 2020 van dit voorstel gebeurd op dit terrein?

Het debat over artikel 41 van de UAVG moet zonder meer gevoerd worden. Wanneer deze
discussie onderdeel wordt van dit wetsvoorstel, dreigt hierdoor verdere vertraging.
Het heeft daarom mijn voorkeur om op een later moment terug te komen op de mogelijkheden
tot wijziging van artikel 41. De gedachtenvorming kan dan worden voortgezet, zonder
dat het onderhavige wetsvoorstel verder vertraging oploopt. Over een tijdpad kan ik
op dit moment, gelet op de complexiteit van dit vraagstuk, nog geen uitspraken worden
gedaan.

Overigens is de regeling van het huidige artikel 41 met nadruk een vangnetbepaling.
De rechten van betrokkenen kunnen slechts worden beperkt, indien dit in een bepaald
geval noodzakelijk en evenredig is ter waarborging van de in artikel 23 van de AVG
genoemde doelstellingen. Door de verwerkingsverantwoordelijke die een beroep doet
op dit artikel, zal dit moeten worden aangetoond.

Er is hierbij sprake van gelaagdheid van de regelgeving, omdat ook in sectorspecifieke
regelingen voorschriften kunnen worden opgenomen.

7. De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van
het wetsvoorstel wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming
en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht.
Deze leden hebben behoefte aan het stellen van nadere vragen.

De leden van de SGP-fractie hebben kennisgenomen van de wijziging van de Uitvoeringswet
Algemene verordening gegevensbescherming en enkele andere wetten in verband met het
stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben
nog enkele vragen over het wetsvoorstel.

De leden van de Volt-fractie hebben kennisgenomen van het wetsvoorstel Verzamelwet
gegevensbescherming. Deze leden merken daarbij op dat na vijf jaar AVG gebleken is
dat de Europese verordening een meerwaarde heeft voor de bescherming van persoonsgegevens
en privacy voor EU-burgers. Om de bescherming van Nederlandse EU-burgers scherper
te krijgen, zien zij dit voorstel als een stap in de goede richting. Over het voorstel
hebben zij nog wel enkele vragen.

Het lid Omtzigt heeft kennisgenomen van het voorstel van wet tot Wijziging van de
Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in
verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet
gegevensbescherming).

2. Hoofdlijnen van het voorstel

8. De leden van de VVD-fractie vragen of de regering ten aanzien van het onderwerp
cross-sectorale gegevensdeling de laatste stand van zaken schetsen en op welke termijn
de regering bereid is om een voorstel te doen om cross-sectorale gegevensuitwisseling
mogelijk te maken, voorzien van adequate waarborgen voor privacy? Zij vragen daarnaast
of de regering bereid is hierover in contact te treden met in elk geval VNO-NCW, MKB-Nederland,
de Politie en de AP?

Graag verwijs ik u naar onderdeel 4. van de kabinetsreactie op het evaluatierapport
UAVG «Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid»
die op 18 september 2023 aan uw Kamer is gezonden.11 Zoals daaruit volgt, wordt op dit moment met publieke en private partijen de noodzaak
van gegevensdeling ten behoeve van criminaliteitsbestrijding in kaart gebracht. De
resultaten van deze verkenningen zal de Minister van Justitie en Veiligheid zo spoedig
mogelijk met uw Kamer delen.

9. De leden van de VVD-fractie vragen eveneens in hoeverre naar aanleiding van voorstellen
van de European Data Protection Board (EDPB) inmiddels voorstellen worden voorbereid
die bevorderen dat in lidstaten meer geharmoniseerd omgaan met interpretatievraagstukken
rondom de AVG, en of de regering in de kabinetsreactie op de evaluatie van de UAVG
expliciet kan ingaan op de wijze waarop toezicht en handhaving kan worden geharmoniseerd.

Op 4 juli 2023 heeft de Europese Commissie een voorstel voor een verordening gepresenteerd,
mede naar aanleiding van een wens daartoe van de EDPB, waarin procedureregels zijn
vastgelegd voor grensoverschrijdende zaken.12 Dit voorstel is gericht op een meer consequente interpretatie en toepassing van de
AVG. In de kabinetsreactie op de evaluatie door het WODC van de UAVG is niet ingegaan
op vraagstukken van Europese harmonisering, omdat dit niet het onderwerp van de evaluatie
was.

10. De leden van de D66-fractie vragen waarom de regering er niet voor kiest om de
waarborgen ten aanzien van het inperken van rechten van betrokkenen niet in sectorale
wetgeving te regelen, zoals de AP voorstelt, maar ervoor kiest om dit later in de
UAVG te regelen? Tevens vragen de leden van D66 of het niet mogelijk is dit artikel
toch te herzien?

Zoals ook hiervoor bij de beantwoording van de vragen van de SP over dit onderwerp
is aangegeven, wordt bezien op welke wijze het beste tegemoet kan worden gekomen aan
de opmerkingen die de AP bij het huidige artikel 41 UAVG heeft gemaakt. Alle mogelijkheden
worden daarbij meegenomen, zowel het regelen in de UAVG als het opnemen in sectorale
wetgeving.

11. De leden van de CDA-fractie vragen of er inmiddels een reactie is op de evaluatie
van de UAVG en of deze evaluatie aanleiding heeft gegeven alsnog wijzigingen op te
nemen.

Deze is op 18 september 2023 aan uw Kamer gestuurd, zie ook het antwoord op vraag
8 van de VVD. Er zijn specifiek naar aanleiding van deze evaluatie geen extra wijzigingen
in onderhavig wetsvoorstel opgenomen, omdat dat niet meer in te passen was in het
wetgevingsproces. Er had dan bijvoorbeeld opnieuw advies aan de AP moeten worden gevraagd.
Dit zou nog meer vertraging hebben betekend. Wel waren enkele punten uit de evaluatie
al opgenomen in het wetsvoorstel. Dit geldt bijvoorbeeld voor de wijziging van artikel 1
van de UAVG, waarin de definitie van het begrip persoonsgegevens van strafrechtelijke
aard wordt aangepast.

12. De leden van de SGP-fractie constateren dat de UAVG «beleidsneutraal» moest zijn
en tot een nadere invulling op de AVG moest dienen. Deze leden overwegen dat in de
praktijk de UAVG stringenter wordt uitgevoerd en uitgelegd dan de AVG verplicht. Zij
constateren dat het zorgdomein geen gegevens met het justitiedomein meer durft te
delen en andersom uit angst om de AVG te overtreden. De leden van deze fractie vrezen
dat de AVG en UAVG té stringent worden uitgelegd en dat dit niet dient ter bescherming
van de privacy van burgers, maar eerder een belemmering in de uitvoering vormt. Deze
leden vragen de regering of hierop gereflecteerd kan worden en vragen de regering
hoe aan deze partijen en bestuursorganen de juiste handvaten worden meegegeven om
de AVG en UAVG te implementeren.

De leden van de SGP-fractie constateren dat ook binnen bestuursorganen, zoals gemeenten,
gegevens niet gedeeld kunnen worden tussen verschillende afdelingen waar dit voor
de invoering van de AVG wel het geval was. Zorgwekkende constateringen wat betreft
de veiligheid van gezinssituaties kunnen vanuit de Wet maatschappelijke ondersteuning
(WMO) niet gedeeld worden met het juridische domein.

Deze leden vragen de regering of de AVG niet strenger wordt toegepast dan nodig en
vragen de regering hoe voorkomen wordt dat stringente toepassing deze hulp in de weg
staat.

De leden van de SGP-fractie wijzen terecht op de problemen die gesignaleerd worden
bij het delen van gegevens tussen bijvoorbeeld het zorgdomein en het justitiedomein,
maar ook binnen bestuursorganen, zoals gemeenten. Het meer structureel oplossen van
knelpunten in gegevensdeling heeft de aandacht. Het is nodig deze knelpunten goed
te inventariseren en analyseren en toe te werken naar oplossingen. Niet alleen is
er daar nog meer tijd voor nodig, maar het staat ook niet vast dat deze problematiek
voortvloeit uit de tekst van de UAVG en de AVG. Andere oorzaken liggen veelal ten
grondslag aan deze problemen, uiteenlopend van capaciteitsproblemen, gebrek aan kennis
van het recht, of handelingsverlegenheid. Waar zou blijken dat juridische grondslagen
voor een rechtmatige gegevensdeling ontbreken, zal door de wetgever worden beoordeeld
of daarin moet worden voorzien.

13. De leden van de SGP-fractie constateren dat ook binnen het veiligheidsdomein tegen
de stringente toepassing van de AVG en UAVG wordt gelopen. Gegevens van veiligheidsdiensten
worden niet gedeeld met opsporingsdiensten, waardoor onderzoek opnieuw moet plaatsvinden.
Dit is zeer inefficiënt en kan ook grote veiligheidsrisico’s met zich meebrengen.

Deze leden vragen de regering of de uitzonderingsmogelijkheden van zwaarwegend algemeen
belang standaard gelden als de nationale veiligheid in het geding is of wanneer er
sprake is van een mogelijk veiligheidsincident waardoor gegevens tussen diensten gedeeld
kunnen worden. De leden van de SGP-fractie vragen tevens of binnen de opsporingsdiensten
niet gemakkelijker gegevens gedeeld moeten kunnen worden in het belang van veiligheid
en efficiëntie in de opsporing. Deze leden stellen een algemene uitzonderingsgrond
voor ten behoeve van veiligheidsdiensten en vragen de regering om hierop te reflecteren.

De leden van de SGP-fractie vragen hier naar het delen van gegevens door veiligheidsdiensten
met de opsporingsdiensten. De AVG is echter niet van toepassing op activiteiten die
buiten de werking van het Unierecht vallen, zoals verwerkingen van persoonsgegevens
in het kader van de nationale veiligheid (artikel 2 AVG). Ook de UAVG is niet van
toepassing op verwerkingen van persoonsgegevens voor zover daarop de Wet op de inlichtingen-
en Veiligheidsdiensten 2017 (Wiv 2017) van toepassing is (artikel 3 UAVG). De verstrekking
van persoonsgegevens door inlichtingen- en veiligheidsdiensten aan opsporingsdiensten
wordt door de Wiv 2017 beheerst. Ook verwerkingen door opsporingsdiensten vallen niet
onder de AVG. Op het delen van persoonsgegevens binnen de opsporingsdiensten is de
Richtlijn gegevensbescherming politie en Justitie van toepassing.13 Deze richtlijn is geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële
en strafvorderlijke gegevens (Wjsg). Onderhavige verzamelwet ziet niet op inhoudelijke
wijzigingen van deze wetgeving. Overigens is in de Wpg een ruime regeling opgenomen
over het ter beschikking stellen van persoonsgegevens, waarbij het in beginsel verplicht
is om politiegegevens te verstrekken aan personen die overeenkomstig de Wpg zijn geautoriseerd
voor het verwerken van politiegegevens. Dit geldt zolang deze gegevens binnen de opsporingsdiensten
blijven. Op grond van de Wiv 2017 verrichten de korpschef en de politiechefs van de
eenheden en de commandant van de Koninklijke Marechaussee (KMar) werkzaamheden voor
de inlichtingen- en veiligheidsdiensten en delen ambtenaren van politie en de KMar
onverwijld gegevens die van belang kunnen zijn voor de diensten aan hen mee.14 Op grond van artikel 24 Wpg is een regeling getroffen voor rechtstreeks geautomatiseerde
verstrekking van politiegegevens aan de inlichtingen- en veiligheidsdiensten.

14. De leden van de SGP-fractie constateren dat ook in het schulden-en armoedebeleid
gegevensdeling moeizaam verloopt. Deze leden wijzen op de expliciete toestemming die
burgers moeten geven alvorens gegevens gedeeld mogen worden. Met name in dit domein
kan vanuit gevoelens van schaamte een zekere drempel bestaan om aan te kloppen bij
hulporganisaties.

Deze leden vragen de regering of onderzocht wordt hoe eenmalige expliciete toestemming
voldoende is voor het delen van gegevens tussen organisaties zodat burgers hier niet
steeds mee geconfronteerd worden.

Het verlenen van toestemming is geregeld in artikel 4 onder 11 van de AVG en aldaar
gedefinieerd als elke vrije, specifieke en geïnformeerde en ondubbelzinnige wilsuiting
waarmee de betrokkene een bepaalde verwerking van zijn persoonsgegevens aanvaardt.
De EDPB heeft in richtsnoeren toegelicht hoe dit volgens hem moet worden uitgelegd.
De verwerkingsverantwoordelijke moet ook kunnen aantonen dat de toestemming is verleend.
In artikel 7 van de AVG zijn de voorwaarden voor toestemming opgenomen. Deze behelzen
onder meer dat de betrokkene goed moet zijn geïnformeerd over waarvoor hij toestemming
verleent en dat als er voor meerdere doelen toestemming wordt gevraagd dit duidelijk
moet zijn voor de betrokkenen. Als voldaan wordt aan deze voorwaarden, kan er voor
meerdere verwerkingen eenmalig toestemming worden verleend. Wel kan de toestemming
ieder moment worden ingetrokken, hetgeen de grondslag toestemming niet altijd een
geschikte grondslag maakt. Ook mag er geen sprake zijn van een «wanverhouding» tussen
de verwerkingsverantwoordelijke en de betrokkene. Hiervan is als snel sprake bij verwerkingen
van persoonsgegevens van burgers door overheden of binnen een arbeidsrelatie. De toestemming
wordt dan niet geacht vrijelijk te zijn verleend, omdat er iets van afhangt voor de
betrokkene, vooral wanneer sprake is van een uitkeringsrelatie.

Net als de leden van de SGP-fractie zie ik dat mensen een zekere drempel kunnen voelen
om hulp te zoeken, terwijl het zo belangrijk is om financiële problemen snel aan te
pakken. Op grond van de Wet gemeentelijke schuldhulpverlening is het mogelijk om signalen
over betalingsachterstanden op de vaste lasten zonder toestemming van betrokkene aan
de gemeente te sturen. De gemeente is dan verplicht om iemand een hulpaanbod te doen.
Bovendien biedt de Wet gemeentelijke schuldhulpverlening de mogelijkheid om onder
voorwaarden experimenten in te richten met andere, aanvullende signalen.

Het kabinet zet binnen de Aanpak geldzorgen, armoede en schulden in op intensivering
van vroegsignalering, zodat mensen met (financiële) problemen eerder in beeld komen
en naar hulpverlening kunnen worden verwezen.15 Over de voortgang van de Aanpak geldzorgen, armoede en schulden wordt periodiek aan
uw Kamer gerapporteerd. De tweede voortgangsrapportage is op 19 december 2023 aan
uw Kamer aangeboden.16

15. De leden van de SGP-fractie constateren dat de Belastingdienst een belangrijke
partner is voor opsporingsinstanties en veiligheidsdiensten wat betreft crimineel
vermogen. Deze leden constateren tevens dat de Belastingdienst onder een vergrootglas
ligt en terughoudend is met het delen van cruciale informatie. Zij overwegen dat de
AVG de burger moet beschérmen tegen het onrechtmatig delen van gegevens, niet de crimineel
moet beschermen ten kóste van die bezorgde burger. De leden vragen de regering wat
kan worden gedaan om te bevorderen dat cruciale informatie in het opsporingsonderzoek
tijdig en afdoende wordt gedeeld. Kunnen de opsporings-en veiligheidsdiensten niet
weer op basis van vertrouwen samenwerken om criminelen aan te pakken? Kan de regering
met een duidelijk werkplan komen met oog voor de knelpunten in de AVG waarin voorop
staat wat wel kan?

Het normenkader van de AVG stemt nagenoeg overeen met de oude privacyrichtlijn (EU-richtlijn
95/46/EG) en de Wet bescherming persoonsgegevens. Het is dus niet zo dat de AVG veel
strenger is dan de oude regelgeving of dat veel minder zou mogen. Er is binnen de
kaders van de AVG veel mogelijk, mits het zorgvuldig geregeld wordt. De AVG kent zes
limitatieve grondslagen op grond waarvan rechtmatig persoonsgegevens verwerkt kunnen
worden.17 Tevens mag verwerking van persoonsgegevens slechts voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden (doelbinding) en dient die verwerking ter
zake dienend en beperkt te zijn tot wat noodzakelijk is voor die doeleinden (dataminimalisatie).
De AVG biedt de lidstaten op grond van artikel 6, vierde lid, in samenhang met artikel 23,
eerste lid de bevoegdheid om een wettelijke grondslag in het leven te roepen die verdere
verwerking van persoonsgegevens mogelijk maakt voor andere doelen dan die waarvoor
de gegevens oorspronkelijk zijn verzameld indien dat noodzakelijk is voor een zwaarwegend
algemeen belang. In het Wetsvoorstel gegevensbescherming in samenwerkingsverbanden
(WGS) dat op 17 december 2020 door uw Kamer is aanvaard en nu voorligt in de Eerste
Kamer wordt deze mogelijkheid toegepast. De WGS beschrijft welke gegevens er door
deelnemers mogen worden gedeeld en binnen het samenwerkingsverband mogen worden verwerkt,
voor welke doeleinden dat mag plaatsvinden en welke waarborgen daarvoor gelden. Verder
wordt verwezen naar het antwoord op bovenstaande vraag van de SGP of de AVG niet strenger
wordt toegepast dan nodig.

16. Het lid Omtzigt leest dat op hoofdlijnen er sprake is van vrij technische verbeteringen
en aanvullingen die in beginsel bijdragen aan verduidelijking van de UAVG. Met name
het regelen van de bevoegdheden van curatoren (in faillissement) kan bijdragen aan
het doorstarten van ondernemingen en daarmee de werkgelegenheid en positie van werknemers.

Wel is het lid Omtzigt benieuwd hoe de regering denkt over het voorstel van de AP
in haar reactie op het wetsvoorstel d.d. 26 januari 2023 om ook gegevens van overledenen
onder de werking van de AVG te brengen? Zal dit wetenschappelijk onderzoek en verwerking
door erfgenamen niet onnodig hinderen?

De AVG is niet van toepassing op persoonsgegevens van overledenen. Dat neemt niet
weg dat het recht op bescherming van de persoonlijke levenssfeer wel kan worden ingeroepen
wanneer mede de privacy van nabestaanden wordt geraakt. De vraag of de persoonsgegevens
van overledenen onder de werking van de AVG moeten worden gebracht, is een vraagstuk
dat op Europees niveau moet worden besproken. Het verwerken van persoonsgegevens van
overledenen valt onder de digitale nalatenschap van een overledene. Gezien de bij
uitstek grensoverschrijdende vraagstukken die aan de orde zijn bij de digitale nalatenschap
is het van belang dat hierin op Europees niveau tot regelgeving wordt gekomen. Bij
de bespreking van het verwerken van persoonsgegevens van overledenen zal ook moeten
worden betrokken welke effecten dit heeft op het doen van (medisch) wetenschappelijk
onderzoek. Voor de verwerking door erfgenamen geldt dat de digitale nalatenschap,
net als de goederen en schulden in een nalatenschap, moet worden afgewikkeld, wat
een zware wissel trekt op de erfgenamen. De vraag in hoeverre persoonsgegevens van
overledenen onder de werkingssfeer van de AVG de verwerking door erfgenamen hindert,
zal ook moet worden betrokken in het kader van het regelen van de digitale nalatenschap.

17. De AP stelt in dezelfde brief voor bedrijven een rechtsingang bij de rechter te
verschaffen waardoor degenen die concurrentievervalsing ervaren een actie hebben tegen
andere bedrijven die zich niet aan de AVG houden en hierdoor ten onrechte voordeel
behalen. Hoe beoordeelt de regering dit voorstel?

Dit voorstel wordt door de AP gedaan, onder meer naar aanleiding van een uitspraak
van de voorzieningenrechter d.d. 3 februari 2021.18 De vraag die aan de rechtbank is voorgelegd is of concurrenten ook een beroep kunnen
doen op schending van de AVG. De voorzieningenrechter oordeelt dat dit niet het geval
is, deze bevoegdheid wordt enkel toegekend aan de toezichthouder en betrokkenen. Dit
omdat de AVG bedoeld is de fundamentele rechten van natuurlijke personen te beschermen
en niet de belangen van concurrenten. Er loopt nog een bodemprocedure in deze zaak
en ik wil daarop niet vooruitlopen.

18. En hoe beoordeelt de regering het voorstel van de AP bij UAVG mogelijk te maken
dat burgers actief geïnformeerd worden over het gebruik van algoritmes?

Passende waarborgen zijn inderdaad een essentiële voorwaarde voor het gebruik van
geautomatiseerde besluitvorming door overheidsorganen. De mogelijkheden van bezwaar
en beroep zijn niet het enige regulerend kader voor de inzet van geautomatiseerde
besluitvorming. Zo bepalen de Grondwet en het EVRM dat een inbreuk op een recht alleen
is toegelaten indien deze wettelijk is geregeld en noodzakelijk en proportioneel is.
Ook verbiedt het non-discriminatierecht het maken van een (ongerechtvaardigd) onderscheid.
Verder stelt het bestuursrecht regels aan besluitvorming, zoals de motivering ervan
en het toepassen van hoor en wederhoor. De overheid dient deze juridische kaders te
allen tijde in acht te nemen, ook bij geautomatiseerde besluitvorming. In dit verband
zijn er verschillende stappen gezet om te zorgen voor aanvullende waarborgen. Allereerst
heeft het kabinet het implementatiekader «Verantwoorde inzet van algoritmen» gepresenteerd.19 Het wordt daardoor voor overheden duidelijker hoe zij in de praktijk invulling kunnen
geven aan hun verplichtingen en welke instrumenten daarvoor beschikbaar zijn. Daarnaast
geldt al langer het uitgangspunt dat overheidsorganisaties in beginsel geen algoritmen
hanteren die te complex zijn om redelijkerwijs te kunnen worden uitgelegd, in elk
geval niet indien het gebruik van algoritmen rechtsgevolgen of een aanmerkelijke impact
heeft op burgers, bedrijven of (groepen in) de samenleving. Dit uitgangspunt is neergelegd
in de richtlijnen voor het gebruik van algoritmen door overheden.20 Het kabinet wil zo transparant, consistent en controleerbaar mogelijk zijn bij de
geautomatiseerde uitvoering van wet- en regelgeving. Zo wordt gewerkt aan een algoritmeregister,
waarin begrijpelijke informatie wordt opgenomen over tenminste hoog risico algoritmes.21 Met betrekking tot de uitlegbaarheid van algoritmes wijs ik er ook graag op dat de
ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties
mogelijkheden onderzoeken om de individuele transparantie van algoritmegebruik bij
besluitvorming in de zin van de Awb te bevorderen. In de preconsultatie van het voorstel
voor de Wet versterking waarborgfunctie Awb heeft een expertsessie plaatsgevonden
over dit onderwerp en zijn vragen aan uitvoeringsinstanties voorgelegd. De inbreng
uit de preconsultatie heeft geleid tot verdere vragen en oplossingsrichtingen. Ter
gelegenheid van de internetconsultatie van dit wetsvoorstel worden uitvoeringsinstanties,
decentrale overheden, de rechtspraak, andere belanghebbenden en belangstellenden uitgenodigd
deze vragen te beantwoorden en nader op het onderwerp algoritmische besluitvorming
te reflecteren.

19. Het lid Omtzigt merkt op dat regelmatig blijkt dat de Staat een beperkte uitleg
van de AVG hanteert waar het gaat om inzage door betrokkenen in, en een kopie verkrijgen
van, documenten die zij nodig hebben voor het beoordelen van hun rechtspositie of
het handhaven van hun rechtspositie tegenover de Staat. Zo worden documenten waarin
code 88 (fraudeur) van de Belastingdienst voorkomt of een toelichting waarom iemand
als fraudeur wordt aangemerkt niet ter inzage gegeven. Het lid Omtzigt vraagt of de
regering vindt of het, mede tegen de achtergronden van de misstanden die in de Toeslagenaffaire
aan het licht zijn gekomen, niet op de weg van de regering ligt om in de UAVG een
ondubbelzinnige regeling op te nemen, die waarborgt dat een betrokkene inzage in en
afschrift van alle documenten krijgt die van invloed kunnen zijn op zijn rechtspositie
als de betrokkene oordeelt dat zulks het geval is. Dit lid verzoekt bij de beantwoording
op deze vraag de uitspraken HvJEU 20 december 2017 zaak C-434/16 (Nowak) en 12 januari
2023 zaak C-154/21 (Österreichische Post) te betrekken.

De zaak Nowak ziet op de vraag wat onder persoonsgegevens moet worden verstaan, in die casus ging
het om schriftelijke antwoorden op een beroepsexamen en de opmerkingen van de examinator.
Het HvJEU heeft in deze casus geoordeeld dat die onder het begrip persoonsgegevens
moeten worden geschaard. In de zaak Österreichische Post oordeelt het Hof dat het in de AVG geregelde recht van inzage van de betrokkene,
indien hij daarom verzoekt, zich noodzakelijkerwijs moet uitstrekken tot de vermelding
van de specifieke ontvangers aan wie zijn persoonsgegevens worden verstrekt. De verzoeken
om inzage die een verwerkingsverantwoordelijke ontvangt, moeten worden beoordeeld
aan de hand van deze criteria, ook door de (rijks)overheid.

De concrete vraag die het lid Omtzigt stelt over duidelijkheid omtrent welke stukken
moeten worden verstrekt is inmiddels ook door het Hof beantwoord in de zaak C-487/21 (Österreichische Datenschutzbehörde et CRIF, d.d. 4 mei 2023). Hierin bepaalt het Hof dat het recht om van de verwerkingsverantwoordelijke een
kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de
betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden
gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit
documenten of zelfs van volledige documenten of databankuittreksels die onder meer
die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk
is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten
daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening
moet worden gehouden met de rechten en vrijheden van anderen.

Het Hof merkt verder op dat de term «kopie» niet naar een document als dusdanig verwijst,
maar naar de persoonsgegevens die het bevat en dat die volledig moeten zijn. De «kopie»
moet dus alle persoonsgegevens bevatten die worden verwerkt. Wanneer de volledige
uitoefening van het recht van inzage van de persoonsgegevens en de rechten of vrijheden
van anderen met elkaar in conflict komen, moeten de betrokken rechten tegen elkaar
worden afgewogen. Voor zover mogelijk moet ervoor worden gekozen de persoonsgegevens
te verstrekken op een wijze die geen afbreuk doet aan de rechten of vrijheden van
anderen. Daarbij moet er rekening mee worden gehouden dat deze overwegingen er niet
toe mogen leiden dat de betrokkene alle informatie wordt onthouden.

Het komt mij voor dat de door het lid Omtzigt gewenste duidelijkheid met deze laatste
uitspraak van het Europese Hof gegeven wordt. Het is daarom niet noodzakelijk om een
ondubbelzinnige regeling in de UAVG op te nemen.

3. Advies en consultatie

20. De leden van de VVD-fractie stellen in algemene zin dat de memorie van toelichting
niet tot nauwelijks in gaat op enkele onderdelen uit adviezen van geconsulteerde organisaties.

Ook al is het doel van het wetsvoorstel niet om te voorzien in een uitputtende lijst
van ingrijpende wijzigingen en keuzes om sommige onderwerpen pas later in andere trajecten
te behandelen, toch zou het voor de begrijpelijkheid van deze keuzes goed zijn om
waar mogelijk toch te reageren op de gedane voorstellen van geconsulteerde organisaties.

Met name waar het gaat om de adviezen van VNO-NCW en MKB-Nederland en de politie vragen
deze leden of de regering hier alsnog nader op in kan gaan en of het College van Procureurs-Generaal
ook is geconsulteerd bij het wetsvoorstel, en zo ja, wat hun reactie was.

Er is voor gekozen om niet op alle consultatiereacties afzonderlijk in te gaan, omdat
het een veelheid van reacties betrof, die elkaar niet zelden overlapten. Waar nodig
en mogelijk is in de artikelsgewijze toelichting wel gereageerd op de consultatiereacties.
De leden van de VVD-fractie verwijzen de adviezen van VNP-NCW en MKB-Nederland, de
politie en het OM. Om met de laatste te beginnen: het College van Procureurs Generaal
is, zoals gebruikelijk, uitgenodigd een advies uit te brengen, maar heeft ervoor gekozen
dat niet te doen.

Ten aanzien van de adviezen van VNO-NCW en MKB-Nederland wordt het volgende opgemerkt.

Door deze organisaties zijn bij de internetconsultatie verschillende punten naar voren
gebracht. Het voert te ver om op elk daarvan hier in te gaan, maar de belangrijkste
zijn als volgt geadresseerd. Allereerst vroeg VNO-NCW om meer duidelijkheid en rechtszekerheid
met betrekking tot de uitzonderingsgrond voor de verwerking van biometrische gegevens
(artikel 29 UAVG). Daaraan is tegemoet gekomen, door in de toelichting bij het wetsvoorstel
meer situaties te vermelden waarin van een zwaarwegend algemeen belang sprake is.
Verder had VNO-NCW suggesties bij artikel 41 UAVG. Naar aanleiding hiervan is besloten
dat er nog nadere bestudering noodzakelijk is ten aanzien van artikel 41 UAVG en de
opmerkingen zullen worden meegenomen bij de hiervoor genoemde besluitvorming over
dit artikel. Voorts stelde VNO-NCW ten aanzien van het verlenen van toestemming door
jongeren, (artikel 5 UAVG) een uniforme leeftijdsgrens voor, zowel voor het geven
en intrekken van toestemming en het uitoefenen van de rechten van een betrokkene.
Dit voorstel is niet opgevolgd. Verwezen wordt naar de toelichting bij artikel 1,
onderdeel d, waarin de wijziging van artikel 2 UAVG is opgenomen en naar de vragen
met betrekking tot dit artikel in deze nota naar aanleiding van het verslag onder
nummer 36 tot en met 39. Tot slot werden enkele knelpunten uit de praktijk naar voren
gebracht. Deze punten dateren nog uit 2019 en zijn voor een groot deel al ter hand
genomen en opgelost. Daarover bestaat contact tussen mijn departement en VNO-NCW.
Op het punt van het cross-sectoraal delen van fraudegegevens, is verder ingegaan bij
de beleidsreactie op het WODC-evaluatieonderzoek naar de UAVG.22

21. Specifiek vragen de leden van de VVD-fractie aandacht voor het volgende. Deze
leden lezen in het advies van de Korpschef uit mei 2020 dat er bij de politie een
sterke behoefte bestaat om het mogelijk te maken dat persoonsgegevens die worden verwerkt
voor een zuiver persoonlijk of huishoudelijke activiteit beter kunnen worden verstrekt
aan de politie, met een beperking van de verplichtingen voor een verwerkingsverantwoordelijke.

Het is voor deze leden op basis van de memorie van toelichting niet duidelijk hoe
dit advies is opgevolgd.

Het advies van de korpschef hing samen met het toenmalige onderdeel van het wetsvoorstel
«Bijzondere persoonsgegevens en gegevens van strafrechtelijke aard in bevel, vordering,
aangifte of klacht» (art. 1, onder 1, tweede onderdeel en N, derde onderdeel). Dit
onderdeel is naar aanleiding van het advies van de AP komen te vervallen. Daarmee
is tevens het door de politie opgebrachte zorgpunt verdwenen.

22. Hetzelfde geldt voor het advies van de Korpschef om een betere grondslag te creëren
om het beheer van meldkamers beter uit te voeren en daartoe artikel 30, derde lid
onder a van de UAVG te wijzigen. Kan de regering hier een reactie op geven?

Dit onderwerp komt regelmatig terug op de agenda van het Bestuurlijk Meldkamer Beraad
en Strategisch Meldkamer Beraad en wordt door alle betrokken partijen in het meldkamerdomein
belangrijk gevonden. Voor het beantwoorden van de vraag of de Landelijke Meldkamer
Samenwerking (hierna LMS) in het kader van haar beheertaak verwerkingen verricht als
verwerkingsverantwoordelijke is een werkgroep opgericht. De werkgroep bestaat uit
medewerkers van mijn ministerie, het Ministerie van Volksgezondheid, Welzijn en Sport
en de meldkamerpartijen politie, veiligheidsregio’s en ambulancezorg. Deze werkgroep
analyseert welke taken onder de beheertaak van de LMS vallen, welke gegevens hierbij
horen en welke verwerkingen. Mocht uit deze analyse blijken dat er verwerkingen zijn
te benoemen die de LMS uitsluitend in het kader van haar beheertaak verricht, dan
moet bezien worden of hier een grondslag voor bestaat of dat dit deze alsnog gecreëerd
moet worden.

23. Verder adviseerde de Nederlandse Orde van Advocaten (NOvA) om het wetsvoorstel
aan te vullen nu de Wet Homologatie Onderhands Akkoord (WHOA) inmiddels in werking
is getreden.

Kan de regering aangeven waarom het niet nodig is naar aanleiding daarvan nader te
specificeren hoe gegevensverwerking kan plaatsvinden.

Op 1 januari 2021 is de Wet homologatie onderhands akkoord (WHOA) in werking getreden.
De WHOA is een nieuw onderdeel van de Faillissementswet (Fw) en helpt ondernemers
om bij dreigende insolventie een akkoord met de schuldeisers en aandeelhouders tot
stand te brengen waarbij de schulden worden gesaneerd en een faillissement wordt voorkomen.
De WHOA introduceert twee nieuwe insolventiefunctionarissen: de herstructureringsdeskundige
en de observator. Een herstructureringsdeskundige kan in een WHOA-traject worden aangewezen
om een akkoord voor te bereiden en aan de betrokken schuldeisers en aandeelhouders
voor te leggen (artikel 371 Fw). De ondernemer kan ook zelf een akkoord voorbereiden,
zonder dat er een herstructureringsdeskundige wordt aangewezen. In dat geval heeft
de rechtbank de mogelijkheid om een observator aan te stellen, die in het belang van
de gezamenlijke schuldeisers toezicht houdt op de totstandkoming van het akkoord (artikel 379
Fw). In de memorie van toelichting is al opgemerkt dat in de artikelen 371, 376 en
380 Fw een voldoende nauwkeurige taakomschrijving is opgenomen voor de herstructureringsdeskundige
respectievelijk de observator.23 Vooral artikel 371, zevende tot en met het negende lid, Fw is in dit verband relevant.
Hierin is – kort gezegd – het volgende geregeld.

Als de herstructureringsdeskundige dit nodig heeft om zijn taak te kunnen vervullen:

– mag hij boeken, bescheiden en andere gegevensdragers van de schuldenaar raadplegen,
en

– zijn de schuldenaar – of zijn bestuurders, aandeelhouders en commissarissen – en degenen
die in dienst zijn van de schuldenaar, verplicht hem alle inlichtingen te verschaffen.

De herstructureringsdeskundige mag de verkregen informatie alleen met derden delen
voor zover dit nodig is om toepassing te kunnen geven aan de WHOA-regeling. In artikel 380,
vierde lid, Fw is bepaald dat voor de observator eenzelfde regeling geldt. In concrete
zin betekent dit dat de herstructureringsdeskundige persoonsgegevens mag verwerken
voor zover dat nodig is in het kader van:

– het aanbieden van een akkoord aan de schuldeisers en aandeelhouders van een schuldenaar,
of een aantal van hen (artikelen 371, eerste lid, en 375 Fw);

– het indienen van een verzoek bij de rechtbank tot het afkondigen of verlengen van
een afkoelingsperiode (artikel 376 Fw);

– het indienen van een verzoek bij de rechtbank tot het geven van een tussentijds rechterlijk
oordeel (artikel 378 Fw);

– het ter stemming aan de schuldeisers en aandeelhouders voorleggen van een akkoord
(artikel 381 Fw);

– het opmaken en in kennis stellen van de schuldeisers en de aandeelhouders van een
verslag betreffende de uitkomst van de stemming (artikel 382 Fw);

– de indiening van een verzoek bij de rechtbank tot homologatie van het akkoord (artikel 383
Fw), en

– het in kennis stellen van de schuldeisers en de aandeelhouders van de beschikking
van de rechtbank waarin is bepaald op welk moment het homologatieverzoek wordt behandeld
(artikel 383, vijfde lid, Fw).

Daarnaast geldt voor de observator dat hij persoonsgegevens mag verwerken voor zover
dat nodig is in het kader van het houden van toezicht op de totstandkoming van het
akkoord en, indien aan de orde, het op de hoogte stellen van de rechtbank van ontwikkelingen
die in dat kader plaatsvinden (artikel 380 Fw). Met genoemde bepalingen is voorzien
in een duidelijk kader voor verwerking van gegevens door de in de WHOA geregelde deskundigen.

Advies Autoriteit persoonsgegevens en samenhangende reacties

24. De leden van de VVD-fractie lezen dat er aanvankelijk mede naar aanleiding van
de motie Koopmans c.s.24 een grondslag in het wetsvoorstel was opgenomen op grond waarvan onder meer verenigingen
voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van
hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. Naar
aanleiding van een opmerking van de AP is deze grondslag geschrapt, omdat de AP aangaf
dat van een zwaarwegend algemeen belang op dit moment niet blijkt. De regering schrijft
hierbij dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment
sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van
gezondheidsgegevens, naast de al mogelijke grondslag uitdrukkelijke toestemming. Waarop
baseert de regering deze stelling? Op basis van welke informatie en gesprekken kan
de regering dit op dit moment concluderen? Als er geen noodzaak is voor uitbreiding,
waarom wordt dan nog verder hierover gesproken met de betrokken partijen?

De AP geeft in haar advies een aantal redenen om geen wettelijke grondslag te creëren
voor verenigingen voor cliëntenbelangen in de zorg- en welzijnssector. De belangrijkste
is dat toestemming voor een verwerking als deze nu juist gepast lijkt. Immers, de
betrokkene kiest er zelf voor om lid te worden van zo’n vereniging en kan dan ook
uitdrukkelijke toestemming geven voor het verwerken van zijn gezondheidsgegevens door
die vereniging. Dan is een wettelijke grondslag niet noodzakelijk. Omdat op dit moment
niet blijkt dat er zwaarwegende redenen zijn om wel een dergelijke grondslag te creëren,
is daarmee de noodzaak hiervoor niet aanwezig. Deze noodzaak is wel vereist voor het
creëren van een grondslag. De AP merkt ook op dat een zodanige wettelijke grondslag
tot gevolg kan hebben dat bijzondere persoonsgegevens tegen de wil van de betrokkene
zouden kunnen worden verwerkt, hetgeen niet gewenst is. Het Ministerie van Volksgezondheid,
Welzijn en Sport heeft op verschillende momenten contact gehad met diverse cliëntenverenigingen
over een diversiteit van onderwerpen. In 2018, toen de AVG net van kracht was, leek
dit mogelijk tot problemen te kunnen leiden, maar in de praktijk zijn hiervoor geen
signalen. Op het moment dat echter uit gesprekken met betrokken partijen zou blijken
van concrete problemen, die van zwaarwegend algemeen belang zijn, waardoor de noodzaak
voor een dergelijke grondslag wel aanwezig is, kan deze alsnog worden overwogen.

25. De leden van de VVD-fractie begrijpen het verzoek van de AP om een voorziening
te treffen om voor bepaalde activiteiten een tarief in rekening te kunnen brengen,
zoals bijvoorbeeld het aanvragen van een vergunning of het aanvragen van een voorafgaande
raadpleging.

Nu dit niet in het onderhavige wetsvoorstel wordt geregeld en dit onderwerp voor het
kabinet nog een nadere afweging vergt, wordt dit onderwerp ook betrokken in de gesprekken
over de financiering van de AP? Deze leden vragen of de regering bij gesprekken over
de taken, bevoegdheden en capacitaire uitdagingen ook aan de orde komt welke mogelijkheden
er zouden zijn om tarieven in rekening te brengen voor diensten die de AP levert en
hoe dit in de praktijk het beste vorm kan worden gegeven.

Artikel 57, derde lid, van de AVG bepaalt dat elke toezichthoudende autoriteit haar
taken kosteloos verricht voor de betrokkene. Dit verzet zich tegen kostendoorberekening
aan betrokkenen voor de taken die voortvloeien uit de AVG. Tarifering door de AP zou
dan hoogstens aan de orde kunnen zijn voor taken uit hoofde van andere wetgeving.
De toezichthouder kan op grond van het vierde lid van artikel 57 AVG wel, wanneer
verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve
karakter, op basis van de administratieve kosten een redelijke vergoeding aanrekenen
of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit
om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

26. Alhoewel de AVG niet van toepassing is op de verwerking van persoonsgegevens van
overleden personen, kunnen lidstaten hier wel regels voor opnemen. De leden begrijpen
de keuze om eerst te bezien of een probleem met betrekking tot de verwerking van gegevens
van overleden personen niet eerst kan worden opgelost door de markt zelf, bijvoorbeeld
via voorlichting, tools en specifieke dienstverlening. Wordt dit onderwerp ook betrokken
bij de gesprekken op EU-niveau over een herschikte verordening? En zo ja, wanneer
wordt de Kamer hier nader over geïnformeerd?

Zie voor het antwoord hierop het antwoord dat is gegeven op vraag 16 van het lid Omtzigt.

27. De leden van de D66-fractie lezen dat de AP heeft gesuggereerd te overwegen om
de mogelijkheid te benutten die de UAVG in artikel 80, tweede lid, biedt. Het betreft
de mogelijkheid om maatschappelijke organisaties onafhankelijk van de opdracht van
een betrokkene een klacht te kunnen laten indienen als die organisatie van oordeel
is dat rechten van betrokkenen zijn geschonden. De regering heeft aangegeven de noodzaak
niet te zien dit in te voeren.

Heeft de regering onderzocht of bij maatschappelijke organisaties de behoefte bestaat
aan deze mogelijkheid? Zo ja, wat is daar uitgekomen?

Uit het advies van de AP over dit wetsvoorstel blijkt dat deze wens onder meer bestaat
bij de Consumentenbond en de AP geeft in overweging om te bezien of benutting van
de ruimte die de AVG op dit punt biedt alsnog wenselijk is. De AVG biedt in artikel 80,
eerste lid, al de mogelijkheid dat een maatschappelijke organisatie namens betrokkenen
(onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele
procedure kan starten (tot schadevergoeding) tegen de verantwoordelijke of verwerker.
Er is op dit moment geen noodzaak dit ook mogelijk te maken zonder opdracht van de
betrokkene. Een maatschappelijke organisatie kan in Nederland wel op grond van art. 3:305a
BW met een collectieve actie een verklaring voor recht vorderen. Sinds de inwerkingtreding
van de Wet afwikkeling massaschade in collectieve actie (WAMCA) per 1 januari 2020
is daarnaast het collectief vorderen van schadevergoeding mogelijk. Er is in het kader
van dit wetsvoorstel niet nader onderzocht of en in welke mate bij maatschappelijke
organisaties behoefte bestaat aan deze mogelijkheid, maar dat er een evidente noodzaak
voor bestaat is niet gebleken nu er, zeker na de invoering van de WAMCA, voldoende
mogelijkheden tot uitoefening van collectief actierecht bestaan. Meer voorbeelden
dan dat van de Consumentenbond noemt de AP niet in haar advies.

28. De leden van de D66-fractie hebben ook kennisgenomen van het onderdeel over digitale
nalatenschap. De regering geeft aan dat zij het te vroeg vindt voor wettelijke maatregelen
hierover. Eerst zouden de verdere ontwikkelingen en de maatschappelijke discussie
verder moeten worden uitgekristalliseerd. Bovendien heeft volgens de regering een
Europese regeling de voorkeur boven een nationale regeling. De Europese Commissie
heeft aangegeven nut te zien in verder onderzoek naar de noodzaak van nadere regelgeving.
Kan de regering aangeven wat hieromtrent de concrete plannen zijn?

Zoals ook in antwoord op de vraag 16 van het lid Omtzigt is aangegeven, wacht ik de
plannen van de Europese Commissie met belangstelling af en zal aandacht gevraagd blijven
worden voor deze problematiek. Het is niet bekend wat hieromtrent de concrete plannen
zijn.

29. De leden van de CDA-fractie lezen dat in het wetsvoorstel zoals dat in consultatie
is gegaan, een grondslag was opgenomen op grond waarvan onder meer verenigingen voor
cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun
leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. De Autoriteit
Persoonsgegevens (AP) had onder andere opgemerkt dat een wettelijke grondslag tot
gevolg kan hebben dat zelfs tegen de wil van de betrokkene diens bijzondere persoonsgegevens
zouden mogen worden verwerkt. De regering heeft aan deze opmerkingen gevolg gegeven
en de wettelijke grondslag geschrapt, met als reden dat de problemen in de praktijk
niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding
van de grondslag voor de verwerking van gezondheidsgegevens.

Deze leden vragen wat de aanleiding en achterliggende gedachte was om de wettelijke
grondslag in eerste instantie wel op te nemen in het wetsvoorstel, nu blijkt dat er
geen noodzaak toe is.

Zij vragen waarom niet is gekozen voor een opt-out systeem.

Op het moment van inwerkingtreding van de AVG bestond er nog veel onduidelijkheid
over de effecten van de AVG. Dit leidde tot onzekerheid en angst dat er veel niet
meer zou kunnen of mogen. Met de tijd bleek dit veelal mee te vallen en hebben organisaties
een werkwijze gevonden. Dat is ook het geval bij de cliëntenorganisaties. De aanvankelijke
vrees dat er veel problemen zouden ontstaan, is niet bewaarheid geworden. De reden
dat er niet gekozen is voor een opt-out systeem, is dat ook daarvoor geen noodzaak
lijkt te bestaan. Zoals ook op de vragen van de VVD hierover is geantwoord en ook
is aangegeven door de AP, is het geven van uitdrukkelijke toestemming juist in deze
situatie geschikt. Deze kan worden gevraagd bij het lid worden van een dergelijke
vereniging. Nu uitdrukkelijke toestemming een goede grondslag biedt is er daarom ook
geen noodzaak voor het creëren van een opt-out systeem.

30. De leden van de fractie van GroenLinks constateren dat de AP essentieel is in
het realiseren van de beloften van de AVG. Het bevreemdt deze leden dan ook enigszins
dat in deze verzamelwet geen voorstellen worden gedaan om de effectiviteit en slagkracht
van de AP te verbeteren. Deze leden hebben echter het idee dat daar wel aanleiding
toe bestaat. Zo blijkt uit een recent rapport van de Nationale ombudsman25
dat de behandeltermijn van klachten zeer lang is, en dat mensen ook moeilijk reactie
krijgen als de AP besluit geen onderzoek te doen naar aanleiding van hun klacht. Hoe
kijkt de regering naar een algemene verplichting voor de AP om minstens een keer per
drie maanden een klager te informeren over de voortgang van de behandeling, en daarbij
een verwachting te geven wanneer een beslissing op de klacht zal worden genomen? In
het Verenigd Koninkrijk publiceert de toezichthouder Information Commissioner´s Office
(ICO) elk kwartaal een overzicht van alle klachten in machineleesbaar formaat, wanneer
deze zijn ingediend, wanneer er een besluit is genomen, en wat voor besluit er is
genomen. Hoe kijkt de regering naar een dergelijk middel om de Autoriteit Persoonsgegevens
(en eventueel andere toezichthouders) meer publieke verantwoording te geven van hun
activiteiten? Daarnaast vragen de leden van de GroenLinks-fractie zich af of de regering
overwogen heeft om een algemene verplichting in te stellen voor de AP om haar besluiten
op klachten (geanonimiseerd) te publiceren? Deze leden zien toegevoegde waarde in
een dergelijke publicatieplicht, zodat de normuitleg in de klachtbeslissingen van
de AP meer impact kan hebben.

Op grond van artikel 52 van de AVG is de AP volledig onafhankelijk bij de uitvoering
van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig de AVG
zijn toegewezen. Op grond van artikel 77, tweede lid van de AVG informeert de AP de
klager over de voortgang en het resultaat van de klacht. De wijze waarop de AP dit
doet, is echter aan de AP zelf. Het opnemen van een verplichting tot het driemaandelijks
informeren van de klager zou op gespannen voet staan met het onafhankelijke karakter
van de toezichthouder. Hoewel een duidelijk normenkader zonder meer nuttig is, is
het aan de onafhankelijke toezichthouder om te bepalen op welke wijze daaraan vorm
en inhoud gegeven wordt. Ook de keuze tot het (anoniem) publiceren van de klachten
en het resultaat is aan de toezichthouder zelf.

Zoals ook in de reactie van het kabinet op het evaluatieonderzoek van de UAVG is opgenomen
zal wel onderzocht worden of het wenselijk is om een verplichting in de UAVG op te
nemen tot het openbaar maken van boetebesluiten jegens bestuursorganen.26 Ook de AP heeft in de eerdergenoemde brief van 23 januari 2023 gepleit voor een plicht
tot openbaarmaking van door de AP opgelegde sancties.

31. In de memorie van toelichting lezen de leden van de fractie van GroenLinks dat
gezien de mogelijkheden van artikel 3:305a BW sinds de invoering van de Wet afwikkeling
massaschade in collectieve actie (WAMCA), de regering onvoldoende aanleiding ziet
om het mogelijk te maken voor maatschappelijke organisaties om zonder opdracht van
betrokkenen klachten in te dienen bij de Autoriteit Persoonsgegevens, ondanks dat
de AVG hier via art. 80, tweede lid de mogelijkheid toe biedt. Deze leden zien echter
ook naast artikel 3:305a BW nut voor een collectief klachtrecht. Zoals de AP ook zelf
aangeeft, kan van maatschappelijke organisaties verwacht worden dat zij goed onderbouwde
klachten over breed spelende problematiek kunnen indienen. Draagt een collectief klachtrecht
zo niet bij aan een effectieve én efficiënte handhaving van de AVG? Kan de regering
nader ingaan op waarom de bestaande regeling voor collectieve vorderingen als voldoende
middel worden beschouwd voor de bijdrage van maatschappelijke organisaties aan de
handhaving van de AVG?

Zie voor het antwoord op deze vragen van de leden van de GroenLinks-fractie het antwoord
op vraag 27 van de leden van de D66-fractie, waarin wordt toegelicht dat er op dit
moment voldoende mogelijkheden voor collectief actierecht bestaan.

32. Verder zien de leden van de GroenLinks-fractie dat de AP in haar consultatiereactie
stelt dat de werking van art. 42 UAVG momenteel te breed is, en dat deze beperkt zou
moeten worden tot de financiële ondernemingen waar daadwerkelijk een risico op bankrun
bestaat. In reactie hierop schrijft de regering in de memorie van toelichting: «reeds
lang onder de Wft bestaande praktijk [is] dat een financiële onderneming incidenten
wel moet melden aan de financieel toezichthouders, maar niet aan betrokkene. Dit is
niet alleen bij banken te risicovol om dwingend te worden voorgeschreven». Waarom
is de regering van mening dat dit te risicovol is om dwingend voor te schrijven? Uit
welke concrete aanwijzingen blijkt dat het nodig is om zo een grote groep geheel uit
te zonderen van deze meldplicht?

Naar aanleiding van de consultatiereactie van de AP over de werking en reikwijdte
van artikel 42 UAVG heeft de Minister van Financiën samen met De Nederlandsche Bank
(DNB) een eerste verkenning uitgevoerd naar de mogelijkheden om de reikwijdte van
artikel 42 UAVG te beperken. Daaruit is een divers beeld naar voren gekomen dat verder
onderzocht dient te worden. Dit punt kan worden meegenomen in een volgend wetsvoorstel
ter wijziging van de UAVG.

33. De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat artikel 80
lid 1 van de AVG niet de mogelijkheid biedt aan maatschappelijke organisaties om zonder
een opdracht van een betrokkenen een klacht in te dienen. Daarnaast nemen zij kennis
van het advies van de AP en de Consumentenbond om de maatschappelijke organisaties
wel de mogelijkheid te bieden om een klacht zonder opdracht van een betrokkenen via
het bestuursrecht in te dienen. Deze leden achten het wenselijk dat rechten van burgers
zowel via het privaatrecht als het bestuursrecht gewaarborgd kunnen worden. Kan de
regering aangeven waarom dit advies niet is overgenomen?

Zie hiervoor het antwoord op de eerdere vraag 27 van D66 over dit onderwerp, waarin
aangegeven wordt dat er op dit moment voldoende mogelijkheden tot collectief actierecht
bestaan.

Overige consultatiereacties

34. De leden van de Volt-fractie constateren dat in de reactie op het advies van de
Raad van State de regering schrijft dat het begrip «zwaarwegend algemeen belang» een
relatief begrip is. Dat is logisch. Afhankelijk van de specifieke context moet worden
bepaald of in dat specifieke geval sprake is van een zwaarwegend algemeen belang.
Voor zover de regering van mening is dat zij dit begrip niet nader in de wet kan toelichten,
is zij bereid om indicatoren en een wegingskader op te stellen waarmee in de uitvoering
kan worden getoetst of in dat concrete geval sprake is van een zwaarwegend belang
(dat wil zeggen: een algemeen belang dat in die specifieke situatie zodanig is dat
het zwaarder weegt dan het belang van de bescherming tegen inbreuk op de persoonlijke
levenssfeer door het gebruik van bijzondere categorieën van persoonsgegevens)

Het advies van de Raad van State gaat over zwaarwegend algemeen belang in het kader
van de verwerking van bijzondere persoonsgegevens. In artikel 9 van de AVG is bepaald
dat dit verboden is, tenzij er sprake is van een uitzonderingsgrond. Zo’n uitzonderingsgrond
is onder meer dat de verwerking noodzakelijk is in het kader van een zwaarwegend algemeen
belang, op grond van Unierecht of lidstatelijk recht. Dat betekent dat deze uitzonderingsgrond
alleen kan worden ingeroepen als daarvoor een wettelijke grondslag bestaat en daarbij
dit belang is afgewogen. Het gaat hier immers om de verwerking van bijzondere persoonsgegevens
en dus is er sprake van een meer dan geringe inbreuk op de persoonlijke levenssfeer.
In zulke gevallen dient op grond van artikel 10 van de Grondwet bij of krachtens wet
in formele zin te zijn bepaald dat bijzondere persoonsgegevens mogen worden verwerkt.
Bij het opstellen van een dergelijke wettelijke regeling zal dus aandacht moeten worden
besteed aan de vraag of sprake is van een zwaarwegend algemeen belang. In welke precieze
gevallen een verwerkingsverantwoordelijke gebruik kan maken van de uitzondering «zwaarwegend
algemeen belang», is niet in zijn algemeenheid te beantwoorden. Het zal moeten worden
aangetoond dat een belang inderdaad een zwaarwegend algemeen belang is, en dat er
geen andere manier is om het beoogde doel te bereiken dan door middel van de verwerking
van bijzondere persoonsgegevens. In het geval er wettelijk wordt voorgeschreven dat
alsnog per geval een afweging moet worden gemaakt, dan is dit zodanig afhankelijk
van de specifieke omstandigheden van het geval, dat het niet mogelijk is gebleken
daartoe een algemeen geldend wegingskader op te stellen.

35. In hoeverre heeft de regering de opinies van de EDPB (voormalig WP29) betrokken
bij het opstellen van de wettekst?

Bij het opstellen van de wetstekst zijn diverse bronnen en normuitleg betrokken. Het
gaat daarbij niet alleen om opinies van de EDPB, maar ook om normuitleg van de AP,
rechterlijke uitspraken en adviezen van diverse instanties.

ARTIKELSGEWIJZE TOELICHTING

Artikel I. Uitvoeringswet Algemene verordening gegevensbescherming

Onderdeel D

36. De leden van de D66-fractie lezen dat er wordt voorgesteld dat minderjarigen die
de leeftijd van twaalf jaar hebben bereikt voortaan zelf hun toestemming kunnen intrekken
voor het verwerken van persoonsgegevens. De toelichting vermeldt dat het aan de verwerkingsverantwoordelijke
is om hier zorgvuldig mee om te gaan en een goede belangenafweging te maken, waarbij
de wens van de minderjarige om geen toestemming te verlenen zwaar meeweegt. Kan de
regering toelichten waar deze gevraagde zorgvuldigheid bij minderjarigen concreet
uit bestaat en wat het verschil is ten opzichte van meerderjarigen?

Als de minderjarige van twaalf jaar of ouder de toestemming intrekt, dan geldt dit
als volledige intrekking. In dat geval bestaat er geen grondslag meer voor het verwerken
van persoonsgegevens van die minderjarige betrokkene. Het kan echter zijn dat de wettelijk
vertegenwoordiger op grond van het eerste lid van artikel 5 wederom toestemming verleent.
Dan ontstaat de situatie dat de minderjarige zelf niet wil dat zijn persoonsgegevens
worden verwerkt, maar de wettelijke vertegenwoordiger wel. Er is dan een verwerkingsgrondslag,
totdat de toestemming weer wordt ingetrokken. De vraag is of de verwerkingsverantwoordelijke
in dat geval de persoonsgegevens zou moeten willen verwerken. In deze situatie dient
de verwerkingsverantwoordelijke een zorgvuldige belangenafweging te maken. Ik kies
er niet voor om dit nader wettelijk in te kaderen. Het hangt immers van de specifieke
situatie af. Zo lijkt het bijvoorbeeld niet zorgvuldig als bijvoorbeeld een school
tegen de uitdrukkelijke wil van een minderjarige toch beeldmateriaal van de minderjarige
op de website plaatst. Bij toestemming om gegevens door te geven aan een hulpverleningsinstelling
kan, in het belang van het kind, een andere afweging gemaakt worden en kan gebruik
gemaakt worden van de formele toestemming van de wettelijk vertegenwoordiger. Indien
de minderjarige dit echt niet wil, lijkt het voor de hand te liggen met elkaar het
gesprek aan te gaan en op die wijze de nodige zorgvuldigheid in acht te nemen. Het
kan om uiteenlopende situaties gaan, waarbij er een verschil van mening is tussen
de minderjarige en diens wettelijk vertegenwoordiger. Deze verhouding moet niet verder
gejuridificeerd worden.

37. In hoeverre geeft dit ook aanleiding voor een bredere inzet op het gebied van
de verwerking van persoonsgegevens van minderjarigen, bijvoorbeeld door techbedrijven
en/of sociale media platforms? In hoeverre heeft de regering instrumenten om daar
op te sturen?

Dit wetsvoorstel beoogt niet een bredere inzet op het gebied van verwerking van persoonsgegevens
van minderjarigen door techbedrijven te bewerkstelligen. Dit vraagstuk is zeker van
belang, maar dit voorstel introduceert slechts een mogelijkheid voor het intrekken
van toestemming door de minderjarige zelf. Zie ook het antwoord op vraag 41 van de
leden van de Christenuniefractie.

38. De leden van de CDA-fractie lezen dat door de regering minderjarigen tussen 12
en 16 jaar in staat worden geacht om zelfstandig de toestemming in te kunnen en mogen
trekken om persoonsgegevens te verwerken. Deze leden vragen aan de regering of zij
een aantal voorbeelden kan geven van gevallen waarin een minderjarige tussen 12 en
16 jaar zou besluiten om deze beslissing te nemen. Zij vragen daarnaast welke urgentie
is gebleken om tot de aanpassing van dit artikel te komen en dus de beslissing tot
toestemming ook te beleggen bij minderjarigen tussen de 12 en 16 jaar zonder dat de
minderjarige afhankelijk is van de wettelijke vertegenwoordiger.

De leden vragen of de regering ook hier concrete voorbeelden van kan geven.

In het antwoord op de vorige vragen van de leden van de D66-fractie zijn al enkele
voorbeelden genoemd. Er zijn nog meer situaties denkbaar, bijvoorbeeld het gebruik
van persoonsgegevens van kinderen bij enquêtes, bij websites of apps. De aanpassing
van dit artikel is niet zozeer ingegeven door een veelheid aan concrete situaties
waarin minderjarigen vragen om dit middel. Het is vooral een principiële keuze om
meer invloed en zeggenschap te geven aan minderjarigen ouder dan twaalf jaar. Uit
het in de memorie van toelichting genoemde onderzoeksrapport van het WODC blijkt dat
jongeren van deze leeftijd prima in staat zijn deze keuze te maken en ook behoefte
hebben aan meer zeggenschap.27 Dit geldt zeker als het om hun privacy gaat. Het recht op privacy van een minderjarig
kind wordt onder meer beschermd door artikel 16 van het Internationaal verdrag inzake
de rechten van het kind. Het belang van bescherming tegen inmenging in (digitale)
correspondentie, zeker bij oudere kinderen, wordt door het VN Kinderrechtencomité,
UNICEF en andere mensenrechtenorganisaties benadrukt.

39. Door de wijze van formuleren lijkt het erop dat het uitgangspunt is dat de betrokkene
van 12 jaar en ouder, maar jonger dan 16 jaar, de rechten van de betrokkene kan uitoefenen
en dat het daarnaast mogelijk is dat de wettelijk vertegenwoordiger deze uitoefent.
De leden van de CDA-fractie vragen of dit betekent dat bij conflicterende verzoeken
van de betrokkene en van de wettelijk vertegenwoordiger, die van de betrokkene voor
gaat. Deze leden vragen voorts of de betrokkene bijvoorbeeld mag aangeven dat zij
niet wenst dat de wettelijk vertegenwoordiger inzage in haar persoonsgegevens heeft.
Zij begrijpen niet goed waarom de wetgever op deze wijze de wet gebruikt om spanning
te creëren tussen betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk
vertegenwoordigers. Kan de regering aangeven voor welk probleem dit een oplossing
is? En hoeveel concrete gevallen zijn er waarin er spanning bestaat tussen de wensen
van betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers?

In hoeveel andere EU-lidstaten is de leeftijd op deze 12 jaar gesteld?

Het is correct dat, naast de wettelijk vertegenwoordiger, ook de betrokkene tussen
de twaalf en zestien jaar de rechten van betrokkene mag uitoefenen. Hierbij gaat het
onder meer om het recht van inzage en rectificatie. Deze regeling wordt ingevoerd
om tegemoet te komen aan de behoefte van jongeren om meer zeggenschap over hun eigen
persoonsgegevens te hebben en aan de wens te komen tot meer bescherming van persoonsgegevens
van jongeren. Het wetsvoorstel biedt dus de mogelijkheid aan jongeren om zelfstandig
te handelen. Het is de verantwoordelijkheid van de wettelijk vertegenwoordiger, doorgaans
de ouder, om de jongere hierin te begeleiden. Er is daarom niet voor gekozen om de
gezinsverhoudingen verder te juridificeren door de wens van één van beide partijen
de doorslag te laten geven. Er ligt hier daarom een taak en verantwoordelijkheid bij
de wettelijk vertegenwoordiger om in bepaalde gevallen het belang van de minderjarige
tussen 12 en 16 te laten prevaleren ten opzichte van zijn eigen belang. Bij een aanhoudend
verschil van inzicht tussen de wettelijk vertegenwoordiger en de minderjarige heeft
ook de verwerkingsverantwoordelijke hierin een verantwoordelijkheid. Vergelijk in
dit kader de regeling die bestaat in de Wet op de geneeskundige behandelingsovereenkomst
(WGBO). Ook daarin zal de hulpverlener soms een afweging in belangen moeten maken
tussen de minderjarige en zijn wettelijk vertegenwoordiger.

Het is niet mogelijk om aan te geven in hoeveel concrete gevallen de wensen van de
minderjarige en diens wettelijk vertegenwoordiger uiteenlopen, omdat dit niet wordt
bijgehouden. De voorgestelde regeling is ook ingegeven vanwege meer principiële redenen
en onderzoek waaruit in algemene zin blijkt dat jongeren ouder dan twaalf jaar vaak
goed in staat zijn om hun belangen te behartigen en behoefte hebben aan meer zeggenschap
en grip op de verwerking van hun eigen persoonsgegevens. Er is niet onderzocht in
hoeveel andere EU-lidstaten de grens op twaalf jaar is gesteld. Deze grens sluit goed
aan bij andere Nederlandse wetgeving, waar in vergelijkbare situaties vaker de leeftijdsgrens
van twaalf jaar wordt gehanteerd.28

Een hiermee samenhangend punt is het volgende. Op 19 december 2023 is een arrest gewezen
door het Hof Arnhem-Leeuwarden, waaruit blijkt dat er een omissie in de UAVG bestaat
ten aanzien van de mogelijkheid voor minderjarigen die de leeftijd van zestien jaren
hebben bereikt om zelfstandig te kunnen procederen voor de civiele rechter, terwijl
zij dit bestuursrechtelijk wel kunnen.29 Bij nota van wijziging wordt deze lacune hersteld.

40. De leden van de CDA-fractie hebben begrepen dat de AP wordt aangewezen als nationaal
controleorgaan als bedoeld in de Verordening (EU) 2016/794 van het Europees parlement
en de Raad van 11 mei 2016. Deze leden hebben begrepen dat het hier om de zogenaamde
Europol-zaken gaat en vragen of dit klopt. En zo ja, dan vragen deze leden of dit
betekent dat het toezicht op politiegegevens door de AP wordt uitgevoerd op de AVG
in plaats van de Wet politiegegevens (Wpg). En hoe verhoudt zich dit met artikel 35
lid 1 van de Wpg waarin staat dat de AVG niet van toepassing is op «de verwerking
van persoonsgegevens door bevoegde autoriteiten met het oog op voorkoming, het onderzoek,
de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen
met inbegrip van de bescherming tegen en voorkoming van gevaren voor de openbare veiligheid
en het vrije verkeer van die gegevens»? Zij vragen of de AP niet als controleorgaan
dient te worden opgenomen in de Wpg.

Deze vraag van de leden van de CDA-fractie lijkt te zijn gebaseerd op de internetconsultatieversie
van het wetsvoorstel. In artikel XI onder B van het bij de Tweede Kamer ingediende
wetsvoorstel wordt de aanwijzing van de AP als toezichthouder voor Europolzaken opgenomen
in artikel 35, tweede lid van de Wet politiegegevens.

41. De leden van de ChristenUnie-fractie vragen naar de handhaving van het toestemmingsvereiste
voor het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar. Deze leden
denken hierbij onder meer aan het verlenen van toestemming voor gebruik van sociale
media. Betekent het voorliggende voorstel dat er ook strengere eisen kunnen worden
gesteld aan platforms om te controleren dat een gebruiker daadwerkelijk toestemming
heeft en dat er wordt gecontroleerd of een gebruiker daadwerkelijk ouder is dan zestien
jaar?

Dit wetsvoorstel brengt geen verandering aan ten aanzien van het verlenen van toestemming
ten opzichte van de huidige regeling. Het blijft zo dat alleen de wettelijk vertegenwoordiger
toestemming kan verlenen, indien de betrokkene jonger is dan zestien jaar, ook voor
het gebruik van sociale media. Platforms dienen zich dus nu al aan deze regel te houden
en voldoende inspanning te verrichten om dit te controleren. Dit artikel ziet niet
op de vraag of dat gebeurt en of dit voldoende gehandhaafd wordt en ook kan worden.

42. De leden van de ChristenUnie-fractie merken op dat in het coalitieakkoord staat
dat kinderen het recht krijgen om niet gevolgd te worden en dat zij geen dataprofielen
zullen krijgen. Deze leden vragen of dit in voorliggend voorstel reeds afdoende wordt
geborgd. Indien dit in de ogen van de regering nog niet het geval is, vragen zij de
regering aan te geven wanneer wel tot deze borging zal worden overgegaan.

Dit wetsvoorstel ziet niet op dit vraagstuk. Het regelt slechts de wijze van het verlenen
van toestemming. In de Digitaledienstenverordening is in artikel 28 een verbod van
reclame opgenomen op basis van profilering.30 Aanbieders van online platforms mogen geen reclame tonen op hun interface op basis
van profilering zoals gedefinieerd in artikel 4, vierde lid van de AVG, met gebruikmaking
van persoonsgegevens van de afnemer van de dienst wanneer zij zich er met redelijke
zekerheid van bewust zijn dat de afnemer van de dienst minderjarig is.31

43. De leden van de ChristenUnie-fractie hebben kennisgenomen van het plan om de leeftijdsgrens
te veranderen naar 12 jaar voor het intrekken van de toestemming van de wettelijke
vertegenwoordiger. Deze leden vernemen daarnaast de adviezen van de Raad van de Rechtspraak,
de VNO-NCW en de politie om hierbij te waken voor het belanden in een vicieuze cirkel.
Zij vernemen ook het advies van de regering om de relatie tussen kind en wettelijke
vertegenwoordiger niet verder te juridiseren. Toch vragen de leden van de ChristenUnie-fractie
of de regering over deze gang van zaken meer verduidelijking kan geven in de memorie
van toelichting.

In het antwoord op de vragen 36 en 38 van de leden van de D66 en CDA-fractie wordt
ingegaan op deze vragen van de ChristenUnie-fractie. Aanvullend kan hieraan wordt
toegevoegd dat er geen advies van de regering is over dit onderwerp. Er is juist de
keuze gemaakt om de verhouding tussen de wettelijk vertegenwoordiger en de jongere
niet verder te juridificeren en die keuze is toegelicht in de memorie van toelichting
en in antwoord op de eerdere vragen. Mocht er overeenstemming blijven ontbreken, dan
dient de oplossing te worden gevonden in goed overleg binnen de omgeving van de betrokkene
en diens wettelijk vertegenwoordigers, in plaats van in regelgeving.

Onderdeel G

44. De leden van de CDA-fractie vragen of het klopt dat er geen (maximale) boete voor
het overtreden van de toe te voegen artikel(en) 10 van de AVG en 31 van de UAVG is
vastgesteld. Deze leden vragen of het niet verstandig is om duidelijk te maken wat
de maximale boetes kunnen zijn bij het overtreden van de toegevoegde feiten uit de
genoemde artikelen.

In het wetsvoorstel zoals dat in consultatie is gegaan, was een wijziging opgenomen
van artikel 18 UAVG, waarin de mogelijkheid werd geregeld om ook aan overheden een
boete te kunnen opleggen voor het maken van een inbreuk op artikel 10 AVG of artikel 31
UAVG. Zoals in de memorie van toelichting bij het ingediende wetsvoorstel is opgenomen,
heeft naar aanleiding van reacties van de Politie en de Vereniging Nederlandse Gemeenten
(VNG) een nadere beoordeling plaatsgevonden en is gebleken dat deze toevoeging niet
noodzakelijk is, omdat er op grond van artikel 17 UAVG reeds een boete kan worden
opgelegd voor het maken van een inbreuk door overheden op artikel 10 AVG of artikel 31
UAVG. Deze boete is gesteld op maximaal 20 miljoen euro of voor een onderneming op
ten hoogste 4% van de totale wereldwijde jaaromzet.

Onderdeel I

45. De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 23a
UAVG, waarin een uitzondering wordt opgenomen op het verbod om bijzondere categorieën
persoonsgegevens te verwerken. De uitzondering uit dit voorgestelde artikel geldt
voor verplichte accountantsopdrachten. Bijzondere categorieën persoonsgegevens zijn:
«persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze
of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken,
en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke
identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking
tot iemands seksueel gedrag of seksuele gerichtheid». Zou de regering kunnen toelichten
wanneer het in het kader van een verplichte accountantscontrole noodzakelijk zou zijn
om deze bijzondere categorieën persoonsgegevens te verwerken?

De verplichte accountantsopdrachten hebben tot doel dat de controlerende accountant
een gevalideerde uitspraak kan doen over het getrouwe beeld, het rechtmatig handelen
of het voldaan hebben aan bepaalde wet- en regelgeving. In een aantal gevallen bestaat
de noodzaak van verwerking van bijzondere categorieën van persoonsgegevens. Er kan
in dit verband worden gedacht aan controleverklaringen bij zorgaanbieders en regelingen
voor het (speciaal) onderwijs of voor nieuwkomers. De accountant kan anders geen gevalideerde
uitspraak doen en moet zich dan van een oordeel onthouden of een oordeel onder beperkingen
afgeven. Het doel van de verplichte accountantsopdracht wordt dan niet behaald. De
accountants zullen de verwerking van bijzondere categorieën van persoonsgegevens (veelal)
beperken tot casusposities die zij op basis van door hen getrokken steekproeven hebben
geselecteerd. Die zijn representatief voor het geheel aan casussen voor de accountantsopdrachten.
De accountants trekken op basis van hun bevindingen bij de geselecteerde casusposities
conclusies over het geheel. De accountants kunnen indien zij de noodzakelijke bijzondere
categorieën van persoonsgegevens niet mogen verwerken het gevraagde oordeel niet geven
en de verplichte accountantsopdracht niet (goed) uitvoeren.

46. In de toelichting staat als voorbeeld genoemd dat bijvoorbeeld gezondheidsgegevens
aan de orde kunnen zijn bij controleverklaringen bij zorginstellingen. De leden van
de D66-fractie vragen of de regering kan aangeven waarom en wanneer deze gezondheidsgegevens
relevant kunnen zijn bij de taak die een accountant dient uit te voeren (los van de
vraag of deze gegevens gepseudonimiseerd zijn).

De zorgaanbieders moeten op grond van artikel 40b van de Wet marktordening gezondheidszorg
een jaarverantwoording openbaar maken. Dat artikel regelt in combinatie met de daarop
berustende Regeling jaarverantwoording WMG een verplichte accountantsopdracht bestaande
uit het doen van onderzoek naar onder andere het getrouwe beeld van de jaarverantwoording.
De accountant kan zonder verwerking van gegevens over gezondheid geen gevalideerde
uitspraak doen over het getrouwe beeld van de jaarverantwoording. Er wordt voor een
nadere toelichting verwezen naar het antwoord op de vorige vraag van de leden van
de D66-fractie.

47. In artikel 29 staat opgenomen dat voor het gebruik van biometrische gegevens een
dubbele noodzakelijkheidstoets wordt ingevoerd. De leden van de D66-fractie zien dit
als een goede stap. Wel moet er duidelijkheid worden verschaft over wat er onder «een
zwaarwegend algemeen belang» wordt verstaan en wat daarbuiten valt. Kan de regering
verder toelichten wanneer het gebruik van deze gegevens noodzakelijk is voor beveiliging
en wanneer niet?

Uit artikel 29 volgt dat per geval een dubbele noodzakelijkheidstoets moet worden
aangelegd; de verwerking van biometrische gegevens moet noodzakelijk zijn om redenen
van zwaarwegend algemeen belang én voor authenticatie- of beveiligingsdoeleinden.
In de toelichting bij dit artikel zijn voorbeelden opgenomen van situaties waarin
deze bepaling kan worden ingeroepen. Dit is gedaan om meer duidelijkheid te creëren
dan de voorbeelden in de memorie van toelichting bij de UAVG. Wanneer het gebruik
van deze gegevens noodzakelijk is voor beveiliging en wanneer niet, zal aan de hand
van deze voorbeelden, de rechtspraak en de normuitleg van de AP per geval moeten worden
onderbouwd en beoordeeld.

48. Wat betreft artikel 23a delen de leden van de D66-fractie de overtuiging van de
AP dat deze specifieke bepalingen mogelijk geen plek hebben in overkoepelende wetgeving
als deze.

Kan de regering een inschatting geven van de regeldruk om dit soort wetgeving uitsluitend
in sectorale wetgeving vast te leggen?

De bestaande formele wetten voor de accountantssector lenen zich niet voor de regeling
van de verwerking van bijzondere categorieën van persoonsgegevens voor de verplichte
accountantsopdrachten. De Wet op het accountantsberoep (Wab) regelt aangelegenheden
met betrekking tot de Nederlandse Beroepsorganisatie van Accountants (NBA), het accountantsregister,
het tuchtrecht en de beroepsopleiding. De Wet toezicht accountantsorganisaties (Wta)
regelt de vergunning van de Stichting Autoriteit Financiële Markten (AFM) voor accountantsorganisaties,
haar openbare register voor vergunninghouders, verplichtingen voor vergunninghouders
en het toezicht op de naleving en de handhaving door de AFM.

De verplichte accountantsopdrachten zijn verspreid over een groot aantal sectorspecifieke
wettelijke voorschriften. Het gaat niet alleen om formele wetten maar ook om algemene
maatregelen van bestuur, ministeriële regelingen en verordeningen van decentrale overheden
en om verordeningen van instellingen van de Europese Unie. Het is niet alleen vanuit
praktisch oogpunt maar ook vanuit juridisch oogpunt ongewenst dat elke materiële wetgever
een eigen afweging maakt over de mogelijkheid tot en de inhoud van de verwerking van
bijzondere categorieën van persoonsgegevens. De verwerking van bijzondere categorieën
van persoonsgegevens vraagt gezien het ingrijpende karakter daarvan om een uniforme,
inhoudelijke regeling op het niveau van de formele wet. Een regeling verspreid over
de betrokken diverse sectorspecifieke formele wetten zou voor wat betreft de materiële
inhoud neerkomen op herhaling van de regeling in het voorgestelde artikel 23a UAVG.
Eenzelfde inhoudelijke regeling verspreid over talloze formele wetten in plaats van
de uniforme regeling in de UAVG leidt tot onnodige regeldruk.

49. Dit artikel regelt dat het verbod om bijzondere categorieën van persoonsgegevens
te verwerken niet van toepassing is wanneer de verwerking noodzakelijk is voor een
door een accountant te verrichten wettelijk voorgeschreven controle. Gemeenten hebben
bij de leden van de CDA-fractie aangegeven dat dit praktische vragen oproept, bijvoorbeeld
voor overeenkomsten tussen gemeenten en zorgverleners.

Deze leden vragen of in de wettelijke voorschriften per voorgeschreven controle aangegeven
wordt welke bijzondere categorieën van persoonsgegevens noodzakelijk zijn.

Deze leden vragen of het vaststellen van deze categorieën en de noodzakelijkheid een
afweging voor de verstrekker is. Of zal een ander orgaan hier nadere invulling aangeven?

Wie bepaalt de noodzakelijkheid: de zorgverlener, de opdrachtgever of de accountant?
En wie van deze partijen is verantwoordelijk voor pseudonimisering van de persoonsgegevens?
En in hoeverre wordt hiervoor gewerkt met een Trusted Third Party? De leden van deze
fractie vragen of de regering op deze onderdelen meer duidelijkheid wil verschaffen.

De UAVG vormt een uitwerking van de AVG. De toepassing van de UAVG kan dan ook alleen
in combinatie met de AVG plaatsvinden. Op grond van artikel 5, eerste lid, onderdeel c,
AVG, dient de verwerking van persoonsgegevens beperkt te blijven tot wat noodzakelijk
is voor de verwerkingsdoeleinden. Uit de materiële inhoud van het desbetreffende wettelijke
voorschrift vloeit voort welke categorieën van bijzondere persoonsgegevens bij de
betrokken verplichte accountantsopdracht, gezien de vereiste noodzakelijkheid, wel
en niet voor verwerking in aanmerking komen.

De accountant bepaalt de noodzakelijkheid van de te verwerken persoonsgegevens voor
de uitvoering van de verplichte accountantsopdracht. De accountant kan vanzelfsprekend
de verstrekking van de noodzakelijke persoonsgegevens niet afdwingen. Hij zal zonder
de noodzakelijke persoonsgegevens de opdracht niet goed kunnen uitvoeren, hetgeen
consequenties heeft voor de opdrachtgever. Het gevolg van het niet goed kunnen uitvoeren
van de opdracht, is bijvoorbeeld dat hij zich van een oordeel moet onthouden of een
oordeel onder beperkingen moet afgeven. De opdrachtgever van de accountant, is verantwoordelijk
voor de vereiste pseudonimisering van persoonsgegevens waarop het medisch beroepsgeheim
rust. Die opdrachtgever is degene op wie de wettelijke verplichting tot het laten
uitvoeren van de accountantsopdracht rust. De opdrachtgever van de accountant moet
de pseudonimisering (laten) uitvoeren. Hij hoeft daarvoor geen Trusted Third Party
(TTP) in te schakelen, er zijn ook andere ondernemingen beschikbaar die de pseudonimisering
kunnen uitvoeren.

50. De leden van de CDA-fractie lezen dat pseudonimisering inhoudt dat de persoonsgegevens
niet meer door de accountant aan een specifieke betrokkene gekoppeld kunnen worden
zonder het gebruik van aanvullende gegevens en dat de accountant niet over deze gegevens
beschikt.

Deze leden vragen of dit in lijn is met de richtlijnen van Europese toezichthouders
ten aanzien van het begrip «anonieme gegevens». Zij vragen bovendien waarom een verwerkingsgrondslag
nodig is als de accountant louter toegang heeft tot anonieme gegevens. De leden vragen
of de regering dit punt wil verhelderen in de toelichting.

De begrippen «anonimiseren» en «pseudonimiseren» zijn, net als andere begrippen uit
de AVG, autonome Europeesrechtelijke begrippen die slechts op Europees niveau kunnen
worden uitgelegd. Het is dus niet aan een lidstaat om deze criteria te verduidelijken
of nader in te vullen. Er is op 26 april 2023 een arrest gewezen door het gerecht
(in eerste aanleg) van het Hof van de Europese Unie, waarin het Hof (in overweging
104 e.v.) oordeelt dat de verstrekker van niet direct identificeerbare gegevens dient
te onderzoeken of de ontvanger over wettelijke en in de praktijk uitvoerbare middelen
beschikt om toegang te krijgen tot de aanvullende informatie die nodig is om de gegevens
wel te identificeren.32 Alleen als dat het geval is kunnen deze gegevens als persoonsgegevens in de zin van
de AVG worden beschouwd. De EDPB werkt overigens ook aan nieuwe richtlijnen over dit
onderwerp.

51. De leden van de fractie van GroenLinks onderschrijven het voorstel om de gegevensbescherming
bij de krijgsmacht meer algemeen te regelen. Wel roept het mogelijk maken van ad hoc
besluiten naast een algemene regeling vragen op. In de memorie van toelichting wordt
benadrukt dat er op deze manier meer maatwerk per missie geleverd kan worden.

Deze leden vragen wel wat voor uitzonderingen de regering verwacht te moeten (kunnen)
maken per missie en waarom dat niet kan worden verwerkt in een algemene regeling.
Daarnaast vragen zij wat de afweging was om te kiezen voor een ministeriële regeling
in plaats van een algemene maatregel van bestuur.

In antwoord op de vraag van de fractie van GroenLinks bevestig ik dat uitgangspunt
moet zijn dat de uitzonderingen in de algemene regeling staan en dat hiernaast in
beginsel niet dan wel bij hoge uitzondering een ad hoc besluit tot stand wordt gebracht.
Dat is dan juist voor een situatie die niet voorzienbaar is. De gevallen die voorzienbaar
zijn, kunnen in de algemene regeling worden opgenomen. Het valt echter niet uit te
sluiten dat voor een bepaalde missie nog een aanvullende uitzondering moet worden
gemaakt. Vanuit de gedachte dat de totstandbrenging van een ad hoc-besluit dan naar
verwachting sneller is gerealiseerd en meer maatwerk biedt dan aanpassing van de algemene
regeling, is er voor gekozen de uitzonderingsmogelijkheid bij ad hoc besluit te handhaven.

Met betrekking tot de keuze voor een ministeriële regeling kan worden opgemerkt dat
dit een bestendiging betreft van de bestaande situatie. Zoals ook in de memorie van
toelichting bij de UAVG is verwoord, laten de omstandigheden waarin de krijgsmacht
in militaire operaties soms moet functioneren niet toe dat de bepalingen van de (U)AVG
onverkort worden toegepast en werd het door de wetgever wenselijk geacht om de Minister
van Defensie de bevoegdheid te geven om op de (U)AVG een uitzondering te maken als
er sprake is van daadwerkelijke operationele inzet van de krijgsmacht. De mogelijkheid
voor de Minister van Defensie om in het geval van militaire operaties af te wijken
van de reguliere wettelijke privacybepalingen bestaat in de kern al sinds de inwerkingtreding
van de Wet bescherming persoonsgegevens uit 2002 en de AVG laat dit ook toe.

52. Ter nadere invulling van de wettelijke regeling van de benoemingsvereisten van
de Autoriteit Persoonsgegevens wordt voorgesteld om dit bij gedelegeerde wetgeving
vast te stellen. De leden van de fractie van GroenLinks vragen of er naast de reeds
in de memorie van toelichting genoemde voorbeelden zoals ervaring, opleiding en achtergrond,
nog andere benoemingsvereisten zijn die het kabinet overweegt in te stellen voor leden
van de AP. Deze leden vragen verder hoe gangbaar het is in Nederland bij andere onafhankelijke
autoriteiten, en in andere lidstaten bij hun gegevensbeschermingsautoriteiten, om
dergelijke kwalificatievereisten bij gedelegeerde regelgeving vast te stellen.

Het is nog niet duidelijk welke specifieke benoemingsvereisten in de regeling zullen
worden opgenomen. Vooralsnog wordt gedacht aan de in de memorie van toelichting opgenomen
eisen. Het is niet bekend of in andere lidstaten ook kwalificatievereisten bij gedelegeerde
regelgeving zijn vastgesteld. In België zijn de benoemingsvereisten opgenomen in de
Wet tot oprichting van de Gegevensbeschermingsautoriteit.33 De vereisten voor de voorzitter zijn opgenomen in de UAVG zelf.

53. Het wetsvoorstel houdt enkele uitzonderingen op het verwerken van bijzondere gegevens
in voor accountants, met een beroep op redenen van zwaarwegend algemeen belang. Uiteraard
erkennen de leden van de fractie van GroenLinks het algemene belang van de wettelijk
verplichtte accountantscontroles, maar voor het verwerken van bijzondere persoonsgegevens
op grond van artikel 9, tweede lid, sub g AVG is een zwaarwegend algemeen belang vereist.
Net zoals de Raad van State vragen deze leden of er in zo een algemene zin gesteld
kan worden dat er sprake is van redenen van zwaarwegend algemeen belang, voor alle
wettelijk verplichte accountantscontroles en voor alle categorieën bijzondere persoonsgegevens.

De verplichte accountantsopdrachten dienen een grote variëteit aan belangen in het
maatschappelijk verkeer die zich ook uitstrekt tot andere gebruikers dan enkel de
opdrachtgever. De accountants vervullen met de verplichte accountantsopdrachten een
taak van zodanig groot algemeen belang dat de wetgever heeft verzekerd dat die taak
ook wordt uitgevoerd. De wetgever stelt een accountantsopdracht niet lichtvaardig
verplicht gezien de met de opdracht gemoeide kosten en andere regeldrukgevolgen. De
accountant moet indien de wetgever de keuze voor verplichtstelling heeft gemaakt,
de desbetreffende opdracht ook goed kunnen uitvoeren. Het voorgestelde artikel 23a
AVG bewerkstelligt dat. De uitvoering van een verplichte accountantsopdracht vergt
een gecombineerde toepassing van het wettelijk voorschrift voor de verplichtstelling,
het voorgestelde artikel 23a UAVG en de AVG. De verwerkingen voor bij wettelijk voorschrift
verplichte accountantsopdrachten zijn dan ook noodzakelijk om redenen van zwaarwegend
algemeen belang. De vrijwillige accountantsopdrachten vormen daarentegen geen redenen
van zwaarwegend algemeen belang.

54. Is het niet denkbaar dat met het voorgestelde artikel 23a UAVG er schijnzekerheid
wordt geboden, omdat bij gebrek aan een zwaarwegend algemeen belang in een concreet
geval, de verwerking alsnog in strijd met de AVG kan zijn?

De leden van de fractie van GroenLinks merken terecht op dat het voorgestelde artikel 23a
UVAG moet passen binnen de reikwijdte van artikel 9, tweede lid, onderdeel g, AVG,
om werking te kunnen hebben. In het antwoord op de vorige vraag van de leden van de
fractie van GroenLinks is uiteengezet dat verwerking voor een accountantsopdracht
waarvan de wetgever via verplichtstelling zeker wil stellen dat die wordt uitgevoerd,
noodzakelijk is om redenen van zwaarwegend algemeen belang.

55. Waarom is er niet voor gekozen om per wettelijke verplichting tot het laten doen
van een accountantscontrole, aan te geven welke bijzondere gegevens verwerkt mogen
worden? In een dergelijke constructie is het ook mogelijk om per geval de vereiste
passende en specifieke maatregelen vast te stellen die nodig zijn om de verwerking
van de bijzondere persoonsgegevens rechtmatig te laten zijn in het licht van artikel 9,
tweede lid, sub g AVG.

De verplichte accountantsopdrachten zijn verspreid over een groot aantal sectorspecifieke
wettelijke voorschriften. Het gaat niet alleen om formele wetten maar ook om algemene
maatregelen van bestuur, ministeriële regelingen en verordeningen van decentrale overheden
en om verordeningen van instellingen van de Europese Unie. Het is niet alleen vanuit
praktisch oogpunt maar ook vanuit juridisch oogpunt ongewenst dat elke materiële wetgever
een eigen afweging maakt over de mogelijkheid tot en de inhoud van de verwerking van
bijzondere categorieën van persoonsgegevens. De verwerking van bijzondere categorieën
van persoonsgegevens vraagt gezien het ingrijpende karakter daarvan om een uniforme,
inhoudelijke regeling op het niveau van formele wet.

56. De leden van de fractie van GroenLinks vragen zich ook af of deze uitzonderingen
niet te breed zijn. Is het überhaupt nodig voor accountants om alle categorieën bijzondere
persoonsgegevens te verwerken?

De accountants mogen voor de uitvoering van een verplichte accountantsopdracht niet
alle categorieën van bijzondere persoonsgegevens verwerken. Het voorgestelde artikel 23a
UAVG vormt een invulling van de AVG. De AVG vergt voor een verwerking van bijzondere
categorieën van persoonsgegevens die noodzakelijk is om redenen van zwaarwegend algemeen
belang een grondslag in EU-recht dan wel lidstatelijk recht. Het voorgestelde artikel 23a
UAVG voorziet in dat lidstatelijk recht. De toepassing van de UAVG kan dan ook alleen
in combinatie met de AVG plaatsvinden. Op grond van artikel 5, eerste lid, onderdeel c,
AVG, dient de verwerking van persoonsgegevens, beperkt te blijven tot wat noodzakelijk
is voor de verwerkingsdoeleinden. Uit de materiële inhoud van de opdracht en het desbetreffende
wettelijke voorschrift vloeit voort welke categorieën van bijzondere persoonsgegevens
bij de betrokken verplichte accountantsopdracht wel en niet voor verwerking in aanmerking
komen. Het voorgestelde artikel 23a UAVG geeft de accountants kortom geen vrijbrief
voor het gebruik van alle categorieën van bijzondere persoonsgegevens bij de uitvoering
van de verplichte accountantsopdrachten.

57. En waarom is er niet voor gekozen om bij deze uitzondering een algemene verplichting
voor anonimisering of pseudonimisering van de gegevens in kwestie te eisen, als passende
maatregel om het privacyrecht te eerbiedigen in de zin van art. 9, tweede lid onder g
AVG?

De uitvoering van een aantal verplichte accountantsopdrachten vergt wel directe identificatie
van de betrokkenen. Een algemene verplichting voor anonimisering of pseudonimisering
heeft tot gevolg dat de betrokken accountants de bovenbedoelde verplichte accountantsopdrachten
niet goed kunnen uitvoeren. Een algemene verplichting tot anonimisering of pseudonimisering
roept daarnaast ook nog andere uitvoeringsvragen op, zo is door de beroepsorganisatie
van accountant NBA aangeven in de consultatiereactie. Zo moet voor accountants duidelijk
zijn dat de gegevens betrouwbaar zijn, dat toezichthouders deze gegevens accepteren
en wat accountants moeten doen als de organisatie de gegevens niet gepseudonimiseerd
kan aanleveren. Voor medische gegevens wordt dit probleem niet voorzien, omdat die
meestal al apart zijn geregistreerd, vanwege het bijzondere beschermingsregime op
grond van de WGBO.

58. Kan de regering aangeven in welke gevallen het noodzakelijk is voor accountants
om (niet-geanonimiseerde of niet-gepseudonimiseerde) persoonsgegevens waaruit ras
of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen,
of het lidmaatschap van een vakbond blijken, te verwerken?

Het is niet mogelijk dit uitputtend te beantwoorden. Vanwege de verscheidenheid aan
organisaties die een verplichte accountantscontrole moeten laten doen, is het voor
verschillende categorieën van bijzondere persoonsgegevens denkbaar dat die verwerkt
moeten kunnen worden. Hierbij kan gedacht worden aan regelingen voor de subsidiëring
van politieke partijen op grond van de Wet financiering politieke partijen, regelingen
voor het (speciaal) onderwijs of nieuwkomers of betaling van vakbondscontributie uit
te brutoloon. Overigens werken accountants doorgaans met steekproeven, dus slechts
de bijzondere categorieën van persoonsgegevens die in de steekproef terecht komen,
worden verwerkt.

59. De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van
het waarborgen van het medische beroepsgeheim. Waarom wordt er echter in het voorgestelde
artikel 23a, tweede lid UAVG ingezet op pseudonimisering van de medische gegevens
bij een accountantscontrole, en niet op anonimisering? En wie is uiteindelijk verantwoordelijk
voor het realiseren van de pseudonimisering?

De accountant moet bij de uitvoering van de verplichte accountantsopdracht wel gegevens
uit verschillende bestanden met elkaar in verband kunnen brengen. Hij hoeft daarbij
weliswaar niet de identiteit van de betrokken(en) vast te stellen maar het dient wel
vast te staan dat de persoonsgegevens betrekking hebben op dezelfde betrokken(en).
De accountant hoeft dus niet te weten wie die betrokkenen zijn maar alleen dat het
om dezelfde betrokkenen gaat. Het met elkaar in verband brengen van gegevens uit verschillende
bestanden is mogelijk bij pseudonimisering maar niet bij anonimisering.

De pseudonimisering kan ertoe kan leiden dat de betrokken persoonsgegevens anonieme
gegevens voor de accountant zijn geworden. De accountant verwerkt dan geen persoonsgegevens
meer voor de uitvoering van de opdracht. De omslag van persoonsgegeven naar anonieme
gegevens doet zich voor indien de accountant niet over de in de praktijk uitvoerbare
middelen beschikt om toegang te krijgen tot de aanvullende gegevens die nodig zijn
voor heridentificatie van de betrokken(en). De heridentificatie door de accountant
is zonder de in de praktijk uitvoerbare middelen redelijkerwijs niet mogelijk. Het
gerecht (in eerste aanleg) van het Hof van de Europese Unie heeft in het eerder in
vraag 50 genoemde arrest van 26 april 2023 het bovenbedoelde criterium bepaald, daarbij
voortbordurend op het Breyer-arrest van het Hof van Justitie van de Europese Unie
van 19 oktober 2016.34 De opdrachtgever van de accountant is verantwoordelijk voor de pseudonimisering en
moet die (laten) uitvoeren. Die opdrachtgever is degene op wie de wettelijke verplichting
tot het laten uitvoeren van de accountantsopdracht rust.

Onderdeel K

60. Het is voor de leden van de VVD-fractie op grond van de memorie van toelichting
niet duidelijk welk probleem wordt opgelost door het introduceren van de nieuwe dubbele
noodzakelijkheidstoets. Kan de regering daarop in gaan? Welke voorbeelden van gegevensverwerking
zijn er in de rechtspraktijk geweest die aanleiding hebben gegeven voor deze wijziging?
En hebben onze buurlanden ook een dergelijke dubbele noodzakelijkheidstoets geïntroduceerd?
De complexiteit die voorgestelde wijziging mogelijk met zich meebrengt, leidt mogelijk
tot nog meer voorzichtigheid bij organisaties bij de inzet van biometrische gegevens,
wat op zichzelf al een knelpunt is dat ook wordt gesignaleerd in de evaluatie van
de UAVG.35
Deze leden vragen naar een reactie van de regering hierop.

Wat nieuw is in de voorgestelde wijziging van artikel 29 UAVG, is daarin niet meer
alleen staat dat verwerking van biometrische gegevens toegestaan kan zijn wanneer
dat noodzakelijk is voor de authenticatie of beveiligingsdoeleinden, maar dat uitdrukkelijk
ook wordt gemeld dat die verwerking noodzakelijk moet zijn omwille van een zwaarwegend
algemeen belang. Daardoor zit er niet langer licht tussen artikel 9, lid 2, onder g,
AVG en artikel 29 UAVG.

Artikel 29 UAVG stoelt namelijk op de mogelijkheid die artikel 9, eerste lid, onder g,
AVG, biedt om bij lidstatelijk recht een uitzondering te maken op het verbod om biometrische
gegevens met het oog op de unieke identificatie van een persoon te verwerken. Die
uitzondering dient volgens artikel 9 AVG noodzakelijk te zijn om redenen van zwaarwegend
algemeen belang. Zoals de toenmalige Minister voor Rechtsbescherming schreef in de
Kamerbrief van 31 oktober 2019,36 heeft de Europese Commissie zich kritisch erover uitgelaten dat artikel 29 UAVG geen
verwijzing kent naar het voornoemde zwaarwegende algemeen belang zoals neergelegd
in artikel 9, eerste lid, onder g AVG. De voorbeelden en uitleg, zoals opgenomen in
de artikelsgewijze toelichting van artikel 29 UAVG, vond de Commissie niet afdoende.
Om tegemoet te komen aan deze kritiek is ervoor gekozen om in artikel 29 UAVG expliciet
het zwaarwegend algemeen belang te benoemen. Het gaat hier dus louter om een verduidelijking
van de wettekst en geen verzwaring van het toetsingskader.

Daarnaast zijn in de toelichting bij dit artikel meer voorbeelden opgenomen van situaties
waarin deze bepaling kan worden ingeroepen. Dit is mede gedaan zo gedaan naar aanleiding
van de daartoe door VNO-NCW en MKB-Nederland geuite wens in consultatie om meer duidelijkheid
te creëren dan de summiere voorbeelden in de memorie van toelichting bij de UAVG.
Bij de voorbeelden kan gedacht worden aan bedrijven of sectoren waarbinnen zich processen
afspelen, waarvan de verstoring bijvoorbeeld schade kan toebrengen aan de volksgezondheid,
het milieu of de voedselvoorziening. Veiligheid in het algemeen of belangen als efficiëntie
of kostenbesparing vallen er dus niet onder.

Dat er meer voorzichtigheid komt bij organisaties bij de inzet van biometrische gegevens,
acht ik op zichzelf geen slechte ontwikkeling. De verwerking van biometrische gegevens
om iemand te identificeren, is per slot van rekening een verwerking van bijzondere
persoonsgegevens. Bijzondere persoonsgegevens zijn door hun aard gevoelig en worden
daarom door de wetgever extra beschermd. Het verwerken van bijzondere persoonsgegevens
is dan ook verboden, tenzij is voldaan aan strenge voorwaarden. Juist bij biometrische
gegevens is dit van groot belang.

61. De leden van de CDA-fractie lezen in de toelichting dat een verwerkingsverantwoordelijke
een «actieve toets» moet doen om te beoordelen of ook in het specifieke geval wel
aan het vereiste «noodzakelijk voor een zwaarwegend algemeen belang» is voldaan, voordat
een beroep kan worden gedaan op de uitzondering op het verbod om biometrische gegevens
te verwerken.

Deze leden vragen wat precies wordt bedoeld met zo’n actieve toets, en wat een verwerkingsverantwoordelijke
moet doen om te kunnen aantonen dat deze actieve toets daadwerkelijk heeft plaatsgevonden?
Zij hebben begrepen dat er behoefte bestaat in het veld aan nadere duidelijkheid en
rechtszekerheid met betrekking tot de vraag in welke gevallen de uitzondering kan
worden toegepast. Vindt de regering niet dat dit niet iets is om aan de toezichthouder
over te laten, maar afweging vanuit beleid vereist? Zij vragen daarom om verduidelijking
in de memorie van toelichting (MvT) inzake (a) controle op toegangsbevoegdheden op
vitale en gevaarlijke locaties, zoals bedrijven uit de vitale infrastructuur; (b)
beveiliging van vertrouwelijke informatie, waaronder persoonsgegevens, alsmede het
netwerk van de organisatie; (c) beveiliging van supermarkten en andere winkels; (d)
controle op identiteit in het kader van de Wet Ketenaansprakelijkheid en (e) beveiliging
van geld of andere waardevolle zaken.

De leden vragen of de regering bereid is om in de memorie van toelichting duidelijkheid
te verschaffen zodat bijvoorbeeld bedrijven meer duidelijkheid vooraf hebben.

Een veelgehoorde wens bij de toelichting van artikel 29 UAVG luidde dat – behalve
het voorbeeld van de kerncentrale – er meer voorbeelden zouden worden gegeven van
gevallen waarop deze uitzondering kan worden toegepast, zodat de praktijk nadere duidelijkheid
en rechtszekerheid heeft over de situaties waarin de uitzondering kan worden toegepast.
Aan deze wens is tegemoetgekomen. Naar mijn oordeel is hiermee een goede balans gevonden
tussen meer duidelijkheid en tegelijk ruimte voor de rechtspraktijk zich terzake te
ontwikkelen. Wanneer alle mogelijke gevallen zouden worden beschreven waarin artikel 29
UAVG kan worden ingeroepen, ligt het gevaar op de loer van overregulering en weinig
ruimte voor praktische toepassing.

62. De leden van de fractie van GroenLinks delen de zorgen die zijn geuit door het
Rathenau Instituut in zijn consultatiereactie omtrent de gebrekkige regeling van bepaalde
categorieën van intieme gegevens die worden verzameld. Het onderhavige voorstelt tracht
iets meer duidelijkheid te scheppen door aanscherping van artikel 29, maar laat nog
steeds veel aan de praktijk over. Ook is er geen voorafgaande toetsing of de verwerking
van dergelijke intieme persoonsgegevens rechtmatig kan zijn. Hoe kijkt de regering
tegen de suggestie van het Rathenau Instituut om de verwerking van biometrische gegevens
in de publieke ruimte geheel te verbieden, en daarbuiten dit afhankelijk te stellen
van een vergunning?

Op basis van het bestaand juridisch kader kan gezichtsherkenningstechnologie, in het
bijzonder in openbare ruimten, alleen in een beperkt aantal gevallen worden ingezet.
Onder de AVG is het verwerken van bijzondere persoonsgegevens (waaronder biometrische
gegevens, zoals bij de inzet van gezichtsherkenning) in beginsel immers al verboden.
Voor een verdergaand verbod zie ik geen aanleiding. Er moet ruimte blijven voor uitzonderingssituaties
waarbinnen voldaan kan zijn aan de voorwaarden om een degelijke wijze van verwerking
te rechtvaardigen.

63. Deelt de regering de mening dat, omdat de voorbeelden die steeds genoemd zijn
waar biometrische authenticatie daadwerkelijk de inhoudelijke toets van artikel 29
zal kunnen overleven zo gering zijn, een dergelijk vergunningsstelsel maar een beperkte
extra last zal zijn voor een kleine groep organisaties?

Zoals geantwoord op de vorige vraag ben ik van mening dat een vergunningenstelsel
bovenop het verwerkingsverbod van bijzondere persoonsgegevens uit de AVG niet zinvol
is.

64. Hoe vaak denkt de regering dat binnen het voorgestelde kader het rechtmatig kan
zijn om biometrische gegevens te verwerken in de publieke ruimte?

Dit zal niet vaak het geval zijn. Gezichtsherkenning in de hier bedoelde zin kan alleen
bij «uitdrukkelijke toestemming» of wanneer noodzakelijk voor beveiligings- en authenticatiedoeleinden
vanwege een zwaarwegend algemeen belang.

65. Daarnaast vragen de leden van de fractie van GroenLinks of het voor de toelaatbaarheid
van de verwerking meeweegt welk type biometrische gegevens wordt verwerkt. En wat
wordt concreet bedoeld met het begrip «werkprocessystemen», dat ingevoegd wordt in
artikel 29 om duidelijker te maken waar biometrische gegevens voor authenticatie gebruikt
mogen worden?

De essentie van artikel 29 is dat per voorkomend geval een dubbele noodzakelijkheidstoets
wordt aangelegd; de verwerking van biometrische gegevens moet noodzakelijk zijn om
redenen van zwaarwegend algemeen belang én voor authenticatie- of beveiligingsdoeleinden.
Welk type biometrische gegevens speelt daarbij geen rol. Met het begrip «werkprocessystemen»
wordt gedoeld op systemen die voor beveiligings- of authenticatiedoeleinden worden
gebruikt.

Onderdeel M

66. De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 30a
van de UAVG. Dit artikel geeft uitzonderingen op het verbod om gegevens over gezondheid
te verwerken. Er wordt voorgesteld in artikel 30a een specifieke regeling op te nemen
met betrekking tot de overdracht van dossiers door hulpverleners. De voorgestelde
regeling bevat ook de bepaling dat de betrokkene in beginsel wordt geïnformeerd over
de overdracht van zijn of haar dossier. Uit de memorie van toelichting blijkt dat
bewust niet is gekozen voor het vragen van toestemming aan de betrokkene. Onder het
kopje «gegevensbeschermingseffectbeoordeling» wordt als een van de belangrijkste risico’s
genoemd dat een medisch dossier tegen de wil van een patiënt wordt overgedragen. Is
de regering van oordeel dat dit risico kan worden weggenomen door in de wettelijke
bepaling wél toestemming van de betrokkene te vereisen?

Wat is het bezwaar tegen het opnemen van de hoofdregel dat toestemming van de betrokkene
moet worden gevraagd?

Persoonsgegevens in medische dossiers zijn gegevens over de gezondheid en mogen slechts
worden verwerkt indien daarvoor een grondslag als bedoeld in artikel 9, tweede lid,
AVG bestaat. Een grondslag is bijvoorbeeld door de betrokkene gegeven uitdrukkelijke
toestemming37 of een bij Unierecht of lidstaatrechtelijk recht gemaakte uitzondering.38 In artikel 30, derde lid, UAVG wordt een uitzondering geregeld. In het voorgestelde
artikel 30a, eerste lid, UAVG wordt deze uitzondering verder uitgewerkt door te regelen
dat ook de overdracht van dossiers door hulpverleners met het oog op het voldoen aan
de beheer- en bewaarplicht onder deze uitzondering valt.

Bij het overdragen van medische dossiers is tevens sprake van een doorbreking van
het medisch beroepsgeheim.39 In de voorgestelde artikelen 30a, vijfde lid, en 30b, tweede lid, in samenhang met
het voorgestelde artikel 30a, vijfde lid, UAVG zijn doorbrekingsgronden voor het medisch
beroepsgeheim opgenomen.

Er is niet gekozen voor het vragen van uitdrukkelijke toestemming aan de betrokkene,
omdat uit de inbreng van partijen is gebleken dat dit in de praktijk vaak onuitvoerbaar,
onmogelijk of niet wenselijk is. Het gaat immers vaak om een groot aantal dossiers
(denk aan het faillissement van het MC Slotervaart ziekenhuis) of het kan gaan om
situaties waarin er geen juiste contactgegevens (meer) zijn van de betrokkene (bijvoorbeeld
als de betrokkene is overleden) of het zeer vervelend zou zijn als medische gegevens
per ongeluk bij derden terecht zouden komen (bijvoorbeeld bij patiënten met een psychische
aandoening en er door oude adresgegevens de kans bestaat dat er medische gegevens
naar het verkeerde adres worden gestuurd). Alhoewel het vragen van toestemming van
de betrokkene het risico wegneemt dat een medisch dossier tegen de wil van de patiënt
wordt overgedragen, brengt dit dus andere risico’s met zich mee die zwaarder wegen.

Patiënten hebben er namelijk een groot belang bij dat medische dossiers worden bewaard
en beheerd. Het risico dat een dossier tegen de wil van de patiënt wordt overdragen
wordt bovendien zoveel mogelijk gemitigeerd door in het wetsvoorstel voor te stellen
dat de betrokkene over de overdracht moet worden geïnformeerd of dat tijdig zo breed
mogelijke kenbaarheid moet worden gegeven aan de overdracht, bijvoorbeeld via (plaatselijke)
media. Dit sluit aan bij de huidige praktijk. Niet is gebleken dat dit tot grote bezwaren
leidt, omdat patiënten door deze informatie hun rechten kunnen uitoefenen. Daarnaast
is een absolute voorwaarde dat op de personen die de dossiers overdragen of bewaren
en beheren een geheimhoudingsplicht rust. Zo wordt geborgd dat uiterst voorzichtig
wordt omgegaan met de medische gegevens.

De hierboven genoemde bezwaren tegen het vragen van uitdrukkelijke toestemming van
de betrokkene maken dat de regering van oordeel is dat op die manier het risico dat
een medisch dossier tegen de wil van een patiënt wordt overdragen, niet kan worden
weggenomen.

67. Deelt de regering de mening dat het overdragen van medische gegevens aan niet-hulpverleners
een sterke afbakening vereist?

De voorgestelde artikelen 30a en 30b UAVG regelen de overdracht van dossiers door
hulpverleners aan andere hulpverleners respectievelijk de overdracht van dossiers
door niet-hulpverleners aan hulpverleners. Medische gegevens zouden in beginsel alleen
moeten kunnen worden overdragen aan hulpverleners.

Alleen in de situatie dat door de hulpverlener niet goed is geregeld dat de verantwoordelijkheid
voor het beheren en bewaren van medische dossiers wordt overgenomen door een andere
hulpverlener, kunnen er medische dossiers bij een niet-hulpverlener terecht komen.
Bijvoorbeeld een curator (in geval van faillissement) of erfgenaam of een in het testament
aangewezen executeur (in geval van overlijden). Het voorgestelde artikel 30b UAVG
maakt het mogelijk dat deze niet-hulpverlener de medische dossiers alsnog kan overdragen
aan een hulpverlener. De hiervoor genoemde informatie- of bekendmakingsplicht en geheimhoudingsplicht
borgen dat voorzichtig met de medische gegevens wordt omgegaan.

68. De leden van de D66-fractie lezen ook dat de Koninklijke Nederlandsche Maatschappij
tot bevordering der Geneeskunst (KNMG) heeft aangegeven dat op dit moment in de praktijk
bij overname niet vooraf toestemming aan patiënten wordt gevraagd. Vindt de regering
dit een goede reden om geen toestemming te vereisen in de nieuwe wettelijke regeling?

In de huidige praktijk worden patiënten door hulpverleners geïnformeerd en gewezen
op hun rechten wanneer dossiers worden overgedragen aan een opvolger, maar wordt inderdaad
niet vooraf expliciet om toestemming gevraagd. Reden hiervoor is dat het vragen van
toestemming vaak onuitvoerbaar, onmogelijk of onwenselijk is (zie de reactie op vraag
66 over onderdeel M voor een aantal voorbeelden). De redenen die ten grondslag liggen
aan deze praktijk waarbij geen toestemming aan de betrokkene wordt gevraagd, maken
het wenselijk om dit in de voorgestelde artikelen over te nemen.

69. Verder wordt in de toelichting nadrukkelijk aandacht gevraagd voor de «gevoeligheid»
van de betreffende gegevens. Om die reden heeft de regering de hierboven benoemde
informatieplicht voorgesteld. Is de regering niet van oordeel dat een vereiste om
toestemming te vragen meer recht doet aan de gevoeligheid van de gegevens dan een
informatieplicht?

Persoonsgegevens in medische dossiers zijn gegevens over de gezondheid. Deze gegevens
zijn gevoelig en de AVG bepaalt daarom dat dit bijzondere persoonsgegevens zijn. Verwerking
van deze gegevens is alleen toegestaan indien daarvoor een grondslag als bedoeld in
artikel 9, tweede lid, AVG bestaat. In de voorgestelde artikelen is hieraan voldaan
door bij lidstaatrechtelijk recht een uitzondering te maken. In de reactie op vraag
66 over onderdeel M is met voorbeelden omschreven waarom er niet is gekozen voor het
vragen van uitdrukkelijke toestemming. Hieruit volgt dat het vragen van toestemming
aan de betrokkenen gezien de gevoeligheid van de gegevens juist niet passend is. Dit
rechtvaardigt ook de doorbreking van het medisch beroepsgeheim.

Het risico dat een dossier tegen de wil van de patiënt wordt overdragen wordt zoveel
mogelijk gemitigeerd door in het wetsvoorstel te bepalen dat de betrokkene over de
overdracht moet worden geïnformeerd of dat tijdig zo breed mogelijke kenbaarheid moet
worden gegeven aan de overdracht. Daarnaast geldt er voor de personen die de dossiers
overdragen of bewaren en beheren een geheimhoudingsplicht. Op deze manier wordt zoveel
mogelijk recht gedaan aan de gevoeligheid van de gegevens.

Een vereiste om toestemming te vragen doet dus niet meer recht aan de gevoeligheid
van de gegevens dan een informatieplicht.

70. De leden van de D66-fractie lezen in de voorgestelde regeling dat nadere regels
hieromtrent kunnen worden gesteld bij ministeriële regeling van de Minister van Volksgezondheid,
Welzijn & Sport (VWS). Kan de regering toelichten waarom is gekozen voor een nadere
invulling bij ministeriële regeling?

Een ministeriële regeling geeft de nodige flexibiliteit. Een ministeriële regeling
maakt het daarnaast mogelijk om gedetailleerd per situatie te kunnen bepalen wanneer
op welke wijze invulling wordt gegeven aan de voorgestelde artikelen 30a, eerste tot
en met derde lid, en 30b, eerste en tweede lid. Bij de vormgeving van nadere regels
over werkprocessen ten aanzien van de methode van overdracht, bewaarplicht of bekendmaking
kan dan bijvoorbeeld rekening gehouden worden met omvang (groot aantal dossiers),
doelgroep (GGZ) en/of situatie (dossiers zijn in beheer bij bepaalde hulpverlener,
erfgenaam of curator).

71. Dit artikel biedt een verruiming van het verbod om gezondheidsgegevens te verwerken
voor een stichting, vereniging of andere instantie zonder winstoogmerk werkzaam op
het gebied van de volksgezondheid en waarvan de verwerking van bijzondere persoonsgegevens
onlosmakelijk verbonden is met de doelstelling van die organisaties. Het gaat hier
om gezondheidsgegevens.

De leden van de CDA-fractie zouden graag een toelichting hebben hoe in het voorgestelde
artikel «passende waarborgen» worden ingevuld. Bovendien willen deze leden dat duidelijk
wordt welke partijen precies worden bedoeld met «andere instantie». Deze leden vragen
verder of de regering wil bevestigen dat gegevensuitwisseling verplicht digitaal gaat
en verwijzen daarvoor naar de Wet elektronische gegevensuitwisseling in de zorg (Wegiz).

Ook deze vragen van de CDA-fractie zien op het wetsvoorstel zoals dat in consultatie
is gebracht. Naar aanleiding van het advies van de AP dat het vereiste van uitdrukkelijke
toestemming bij een verwerking als deze in beginsel juist gepast lijkt, is, zoals
ook in de memorie van toelichting wordt onderbouwd, dit voorstel dan ook niet opgenomen
in het voorstel dat is ingediend.

72. De leden van de CDA-fractie vragen in hoeverre met dit wetsvoorstel invulling
wordt gegeven aan de motie van de leden Van den Berg en Van der Staaij (Kamerstuk
39 925 XVI, nr. 53).

Er wordt met dit wetsvoorstel geen invulling aan deze motie gegeven. Op 13 april 2023
is aan beide Kamers der Staten-Generaal een brief toegezonden inzake heroriëntatie
grondslagen40. In die brief is uitvoering gegeven aan het deel van de motie van de leden Van den
Berg en Van der Staaij, waarin de regering wordt verzocht in kaart te brengen bij
welke wetgeving Nederland afwijkt van andere landen doordat er een andere interpretatie
van de AVG wordt gehanteerd.41

73. Deze leden vragen of de criteria voor het anonimiseren van patiëntgegevens worden
verduidelijkt. Zij constateren namelijk dat er geen richtlijnen vanuit de Autoriteit
Persoonsgegeven (AP) bestaan en slechts zeer beperkte richtlijnen vanuit de European
Data Protection Board (EDPB) over wanneer data dusdanig gedeïdentificeerd zijn dat
men ze onder de UAVG als geanonimiseerd kan beschouwen. De leden van de CDA-fractie
zien dat dit in de praktijk leidt tot grote verschillen tussen partijen over de definitie
van «anoniem» en lastige gesprekken tussen partijen.

De begrippen «anonimiseren» en «pseudonimiseren» zijn, net als andere begrippen uit
de AVG, autonome Europeesrechtelijke begrippen, die slechts op Europees niveau kunnen
worden uitgelegd. Het is dus niet aan mij om deze criteria te verduidelijken of nader
in te vullen. Ook hier is het eerder in vraag 45 en 52 genoemde arrest van het gerecht
van de Europese Unie van 26 april 2023, waarin het Hof, o.a in overweging 104 e.v.,
oordeelt dat de verstrekker van niet direct identificeerbare gegevens dient te onderzoeken
of de ontvanger over wettelijke en in de praktijk uitvoerbare middelen beschikt om
toegang te krijgen tot de aanvullende informatie die nodig is om de gegevens wel te
identificeren. Alleen als dat het geval is kunnen deze gegevens als persoonsgegevens
in de zin van de AVG worden beschouwd. De EDPB werkt overigens ook aan nieuwe richtlijnen
over dit onderwerp.

74. De leden van de CDA-fractie vragen of nader beschreven kan worden wat de definitie
is van «onevenredige inspanning» op basis waarvan toestemming vragen niet noodzakelijk
zou zijn. Deze leden verwijzen daarvoor ook naar de brief van 23 februari 202342
betreffende het verzoek uitstel plenaire behandeling Wet zeggenschap lichaamsmateriaal,
waarin staat: «Het vragen van toestemming voor het nader gebruik van herleidbaar lichaamsmateriaal
en voor secundair gebruik van zorggegevens zou formeel al praktijk moeten zijn op
basis van de bestaande regelgeving (UAVG en Wet op de geneeskundige behandelovereenkomst,
WGBO). De meeste ziekenhuizen gaan evenwel uit van een geen-bezwaar-systeem». Waar
toestemming gevraagd zou moeten worden, is dat niet gebeurd. De leden van de CDA-fractie
vragen hoe op een praktische en realistische manier vorm wordt gegeven aan «toestemming»
zoals vereist vanuit de UAVG en WGBO.

Het is lastig een definitie te geven van het begrip «onevenredige inspanning» omdat
de invulling hiervan afhangt van de exacte omstandigheden van het geval. Zeker in
een algemene wet als de UAVG is het niet mogelijk dit nader te concretiseren. Het
gaat hier om een zogenaamde «open norm», waarvan het niet wenselijk is dit op wetgevingsniveau
nader te concretiseren. Dit zal moeten gebeuren in de rechtspraktijk.

75. De leden van de CDA-fractie vragen daarnaast of de regering wil toelichten of
er wordt aangegeven wat partijen zouden moeten doen als een betrokkene de toestemming
intrekt en de gegevens geanonimiseerd (niet meer herleidbaar) verstrekt zijn aan een
derde partij. Deze leden vragen verder of de regering nader wil toelichten hoe dit
artikel zich verhoudt tot het voorstel van de European Health Data Space (EHDS).

Op het moment dat de gegevens geanonimiseerd zijn verstrekt aan een derde partij en
dus niet meer herleidbaar zijn tot een identificeerbare natuurlijk persoon, is er
geen sprake van persoonsgegevens en is de AVG niet van toepassing. Voor dergelijke
gegevensverwerking is dan ook geen toestemming op grond van de AVG vereist.

76. De leden van de CDA-fractie constateren, gelet op bovenstaande vragen, dat er
nog enige onduidelijkheid is als het gaat om het delen van patiëntgegevens met andere
partijen dan zorginstellingen (met name commerciële instellingen). Deze leden willen
hiervan een voorbeeld noemen. Leveranciers worden tijdens de inkoop van medische apparatuur
gevraagd om middels voorbeeldgegevens van andere zorginstellingen (beelden van werkelijke
patiënten) de kwaliteit van medische apparatuur aan te tonen. Hierbij is echter de
leverancier afhankelijk van zorginstellingen om dit te faciliteren, waarbij zorginstellingen
tegen de bovenstaande onzekerheden aanlopen en daarom niet altijd meewerken. Dit betekent
dat leveranciers dergelijke gegevens met name uit het buitenland moeten halen. Dit
geldt ook voor het beschikbaar stellen van gegevens ten behoeve van educatie van zorgprofessionals
in het gebruik van medische apparatuur. De leden van de CDA-fractie vragen of de regering
de mening deelt dat dit onwenselijk is en of de regering zich wil inspannen om mogelijke
onduidelijkheid weg te nemen.

Vanuit het zorgveld zijn er veel signalen dat er in de huidige situatie onvoldoende
sprake is van (legitiem) beschikbare Nederlandse gezondheidsdata voor hergebruik.
Dit komt onder andere door de verschillende interpretaties van de wet- en regelgeving
die van toepassing is op het gebruik van (bijzondere) persoonsgegevens voor secundair
gebruik, bijvoorbeeld voor het testen en trainen van algoritmes als voor het beoordelen
van de kwaliteit van medische apparatuur. In een brief van 13 april 2023 is de Tweede
Kamer reeds geïnformeerd over de strategie voor secundair datagebruik.43 Hieruit volgt dat het veld meer duidelijkheid zal worden geboden over de toepassing
van de juridische kaders voor het secundair gebruik van gezondheidsgegevens. Daarnaast
wordt databeschikbaarheid bevorderd en waar nodig en opportuun zal nationale regelgeving
hiervoor worden aangepast. Naar verwachting zal een groot deel van de onduidelijkheid
al weggenomen worden na de inwerkingtreding van verordening betreffende de Europese
ruimte voor gezondheidsgegevens (EHDS). In het op 3 mei 2022 gepresenteerde Commissievoorstel
voor de verordening betreffende de Europese ruimte voor gezondheidsgegevens (COM(2022)
197 final) is in artikel 34 een lijst opgenomen met doeleinden waarvoor elektronische
gezondheidsgegevens voor secundair gebruik kunnen worden verwerkt. Onder punt f van
artikel 34 van het Commissievoorstel is opgenomen dat toegang tot gezondheidsgegevens
verleend kan worden voor «ontwikkelings- en innovatieactiviteiten voor producten en diensten die bijdragen
tot de volksgezondheid of sociale zekerheid, of tot het waarborgen van een hoog kwaliteits-
en veiligheidsniveau van de gezondheidszorg, geneesmiddelen of medische hulpmiddelen».

Onderdeel P

77. De leden van de CDA-fractie zouden graag willen weten hoe de regering aankijkt
tegen het voorstel van het Platform Bijzondere Opsporingsdiensten (Platform BOD) om
in de memorie van toelichting expliciet op te nemen dat in het geval er gebruik wordt
gemaakt van artikel 41 lid 2 onder h er geen melding aan de AP nodig is.

De reactie van het platform BOD’s was een reactie op het consultatievoorstel. Zoals
in de memorie van toelichting is aangegeven, is, gezien de reacties op dit voorstel
in de Verzamelwet, besloten de voorgestelde verplichtingen niet door te voeren. Er
was enerzijds de reactie van de AP, die een meer fundamentele herziening voorstelt
van dit hele artikel en anderzijds de overige reacties, onder meer van het platform
BOD, die daarentegen juist wijzen op de onwenselijkheid van het geven van redenen
voor beperking van rechten, bij bijvoorbeeld fraudeonderzoek, en op de hoge administratieve
lasten die deze voorstellen met zich meebrengen. Vervolgens is, naar aanleiding van
opmerkingen van de Afdeling advisering van de Raad van State, besloten artikel 41
van de UAVG pas te wijzigen na nader onderzoek. Het concept wetsvoorstel is hierop
aangepast.

Onderdeel R

78. Het wetsvoorstel beoogt de uitzonderingen voor archivering van het algemeen uit
te breiden, zodat deze ook geldt voor andere archiefbewaarplaatsen dan die genoemd
in artikel 1, onderdeel f van de Archiefwet 1995. De leden van de fractie van GroenLinks
onderschrijven uiteraard het belang van het goed functioneren van de in de memorie
van toelichting genoemde archieven, maar is wel bezorgd dat de voorgestelde aanpassing
mogelijk tot meer onduidelijk kan zorgen. In de rechtspraak is nu al onduidelijkheid
over wanneer art. 45 UAVG van toepassing is44. Deze leden zijn bezorgd dat de voorgestelde tekst ertoe kan leiden dat bijvoorbeeld
een zelfstandig bestuursorgaan (zbo) of gemeente zichzelf gaat zien als een publiek
toegankelijke instelling die een beroep kan doen op de uitzondering van art. 45, lid 1
UAVG zoals wordt voorgesteld, om zo de rechten die betrokkenen hebben ingevolge de
AVG kunnen beperken. Kan de regering bevestigen dat overheden die de persoonsgegevens
in kwestie verwerken voor het uitvoeren van hun taak – en niet primair bezig zijn
met archivering – geen beroep kunnen doen op art. 45 UAVG zoals wordt voorgesteld?
En kan de regering bevestigen dat art. 45 UAVG alleen van toepassing is op persoonsgegevens
nadat deze over zijn gebracht naar een archiefbewaarplaats?

Artikel 45, eerste lid, van de UAVG is enkel van toepassing indien sprake is van archiefcollecties
van blijvende waarde voor het algemeen belang, die worden beheerd (i) door archiefbewaarplaatsen
in de zin van de Archiefwet 1995 of (ii) door – kortgezegd – andere voor het publiek
toegankelijke instellingen die geen winstoogmerk hebben en waarvan de activiteiten
in hoofdzaak uit publieke middelen worden bekostigd. Met het vereiste dat sprake moet
zijn van «archiefcollecties van blijvende waarde voor het algemeen belang» wordt mede
tot uitdrukking gebracht dat het niet kan gaan om documenten die nog voor de primaire
taakvervulling worden gebruikt. Artikel 45, eerste lid, is daarom inderdaad uitsluitend
van toepassing ten aanzien van persoonsgegevens die voor blijvende bewaring berusten
bij een archiefbewaarplaats in de zin van de Archiefwet of bij een andere publiek
toegankelijke archiefinstelling. Om dit te verduidelijken zal dit worden aangepast
in het wetsvoorstel bij nota van wijziging.

Onderdeel T

79. De leden van de VVD-fractie vragen naar een uitputtende lijst van de adviescolleges
en commissies (met bijvoorbeeld peildatum 1 februari 2023) waar deze bepaling op van
toepassing zal zijn. Ook vragen deze leden of er nog instellingsbesluiten moeten worden
gewijzigd naar aanleiding van deze nieuwe bepalingen.

Er is geen uitputtende lijst van adviescolleges waar deze bepaling op van toepassing
zal zijn. Dit zal ook pas relevant zijn na inwerkingtreding van dit wetsvoorstel.
Omdat het hier gaat om tijdelijke adviescolleges en commissies, is het maar de vraag
voor welke huidige tijdige commissies dit te zijner tijd aan de orde zal zijn. Tegen
de tijd dat dit wetsvoorstel in werking treedt, kan de Tweede Kamer geïnformeerd worden
voor welke commissies en adviescolleges dit artikel relevant is en of het noodzakelijk
is dat instellingsbesluiten moeten worden gewijzigd. Het is overigens zo dat dergelijke
adviescolleges en commissies nu op grond van hun taak wel gewone persoonsgegevens
mogen verwerken, en bijzondere persoonsgegevens slechts mogen verwerken voor zover
daarvoor uitdrukkelijke toestemming is verleend door de betrokkene. Dat is in veel
gevallen voldoende.

80. De leden van de fractie van GroenLinks onderschrijven het voornemen om een duidelijke
regeling te geven voor de verwerking van persoonsgegevens door tijdelijke commissies
en adviescolleges. Wel vragen deze leden zich af of er, zeker met betrekking tot het
verwerken van bijzondere persoonsgegevens, voldoende effectieve waarborgen aanwezig
zijn.

In dit artikel wordt verplicht gesteld dat tijdelijke commissies en adviescolleges
passende waarborgen opnemen. Bijzondere en strafrechtelijke persoonsgegevens mogen
bovendien pas verwerkt worden, indien dit noodzakelijk is in het kader van een zwaarwegend
algemeen belang. Dit moet worden opgenomen in de instellingsregeling. Tevens moet
blijken dat het vragen van uitdrukkelijke toestemming aan de betrokkenen, onmogelijk
is, of een onevenredige inspanning vergt. In veel gevallen zal er wel uitdrukkelijke
toestemming gevraagd kunnen worden en is dat de grondslag voor de verwerking van de
bijzondere persoonsgegevens. Denk bijvoorbeeld aan de situatie dat personen zich vrijwillig
melden bij een onderzoekscommissie en toestemming aan de commissie geven om hun gegevens
te verwerken ten behoeve van het onderzoek.

Pas als deze toestemming niet mogelijk is, bijvoorbeeld omdat niet duidelijk (meer)
is waar betrokkenen zich bevinden, of zich in het buitenland bevinden, zoals bijvoorbeeld
het geval kan zijn bij onderzoek naar buitenlandse adoptie, dan mogen de bijzondere
en strafrechtelijke persoonsgegevens van deze betrokkene op grond van dit wetsvoorstel
toch verwerkt worden, mits er voldoende waarborgen in de instellingsregeling zijn
opgenomen. Het hangt af van de aard van de tijdelijke commissie of adviescollege welke
waarborgen getroffen moeten worden, dat kan niet in algemene zin worden voorgeschreven.
Overigens zijn er ook al verplichtingen die sowieso al gelden op grond van de AVG,
zoals voldoende beveiliging van de gegevens en dataminimalisatie. Ook is expliciet
bepaald dat in het verslag verantwoording wordt afgelegd over de wijze waarop deze
gegevens zijn verwerkt.

81. Klopt het dat er, omdat er gekozen is voor een nahangprocedure, in het huidige
voorstel geen bindende toets vooraf is aan de voorwaarden van het voorgestelde art. 47a,
derde lid UAVG?

Een nahangprocedure houdt in dat een besluit pas in werking treedt nadat deze is overgelegd
aan één of beide Kamers der Staten-Generaal en er geen opmerkingen zijn gemaakt over
het voorstel. Dat wordt niet voorgesteld in dit artikel. In dit artikel wordt, zoals
ook in artikel 6, tweede lid van de Kaderwet adviescolleges is geregeld ten aanzien
van de instelling van een adviescollege voor de eenmalige advisering over een bepaald
vraagstuk, slechts voorgeschreven dat de instellingsregeling of besluit wordt medegedeeld
aan beide Kamers der Staten-Generaal.

Er is inderdaad geen bindende toets door de Kamers vooraf. Het is zaak dat de Staten-Generaal
op de hoogte zijn van de instelling, taakstelling en doelstelling van een tijdelijk
adviescollege of commissie, maar het is niet nodig dat een regeling over persoonsgegevens
vooraf wordt getoetst door het parlement. Dit verhoudt zich ook niet met het uitgangspunt
van het gegevensbeschermingsrecht, waarin verplichtingen veelal in de AVG en eventuele
uitvoeringsregelgeving zijn neergelegd en er een verantwoordingsplicht bestaat voor
de verwerkingsverantwoordelijke. Uiteraard is de AP, als toezichthouder, bevoegd toezicht
te houden.

82. Is de regering het er mee eens dat het vanwege de tijdelijkheid van deze organen
wenselijk zou zijn om van te voren duidelijkheid te verschaffen over of met de instellingsregeling
daadwerkelijk voldaan wordt aan de voorwaarden van art. 47a, derde lid UAVG?

Het is nu juist de bedoeling om met dit voorstel meer duidelijkheid en transparantie
vooraf te verschaffen over de verwerking van persoonsgegevens, en dan met name bijzondere
en strafrechtelijke persoonsgegeven, door tijdelijke commissies en adviescolleges.
Het gaat er dan vervolgens om dat de wijze van verwerking ook conform de regeling
plaatsvindt. Een commissie die van zins is bijzondere persoonsgegevens te gaan verwerken,
zal moeten kunnen aantonen dat er sprake is van een zwaarwegend algemeen belang, en
dat het vragen van uitdrukkelijke toestemming onmogelijk is of een onevenredige inspanning
vergt. Hierbij zal ook voldaan moeten worden aan alle overige vereisten die gelden
op grond van de AVG en de UAVG.

83. Zal de Autoriteit Persoonsgegevens of de Raad van State daartoe vooraf geconsulteerd
worden wanneer overwogen wordt om een tijdelijke commissie of adviescollege uit te
zonderen van het verbod op het verwerken van bijzondere persoonsgegevens of persoonsgegevens
van strafrechtelijke aard? Zo ja, is dat dan wettelijk verankerd? Zo nee, waarom is
ervoor gekozen om dat niet te doen?

Er is niet in voorzien dat voordat een tijdelijke commissie of adviescollege bijzondere
en strafrechtelijke persoonsgegevens mag gaan verwerken de Raad van State geconsulteerd
wordt. Dat hoeft ook niet; dit is slechts vereist bij wetgeving in formele zin of
algemene maatregelen van bestuur en daarvan is hier geen sprake. Op basis van artikel 36,
vierde lid van de AVG is het in dat geval wel verplicht om de AP om advies te vragen.

84. De leden van de ChristenUnie-fractie hebben kennisgenomen van het advies van de
Raad van State, waarin wordt gesteld het begrip «zwaarwegend algemeen belang» beter
te concretiseren. Deze leden vernemen dat het zwaarwegend algemeen belang niet is
geconcretiseerd, noch in het wetsartikel zelf (art. 47a) noch in de memorie van toelichting.
Zij vragen of de regering kan uitleggen waarom dit zwaarwegend algemeen belang niet
verder is geconcretiseerd.

Zoals in het nader rapport ook is aangegeven, is het niet altijd makkelijk het onderscheid
tussen een algemeen belang en een zwaarwegend algemeen belang exact te maken, ook
omdat de maatschappelijke opvattingen hierover zich al naar gelang de ontwikkelingen
in de samenleving kunnen wijzigen. Bij een zwaarwegend algemeen belang is er sprake
van een algemeen belang dat zodanig is dat het zwaarder weegt dan het belang van de
bescherming tegen inbreuk op de persoonlijke levenssfeer waarvan sprake is bij de
verwerking van bijzondere persoonsgegevens. Het is daarmee een begrip dat zich niet
goed leent voor concrete definiëring en dat bij uitstek in de rechtspraktijk bepaald
wordt. Het enkele bestaan van een zwaarwegend algemeen belang betekent overigens nog
niet dat een verwerking is toegestaan; zo zal er ook altijd een scherpe afweging ter
zake van proportionaliteit en subsidiariteit moeten worden gemaakt, waarbij ook de
noodzaak van de gegevensverwerking nadrukkelijker moet worden onderbouwd.

Dit geldt ook in geval van tijdelijke adviescommissies. Juist bij dit artikel is het
lastig om een nadere concretisering van het zwaarwegend algemeen belang te maken,
omdat op dit moment niet is te voorzien voor welke situaties een dergelijke commissie
zal worden ingesteld. Vaak gaat dit om urgente maatschappelijke kwesties. Er moet
natuurlijk daarnaast ook een noodzaak zijn om, zonder toestemming van de betrokkenen,
die bijzondere persoonsgegevens te verwerken. Dit was bijvoorbeeld het geval bij de
commissie die onderzoek deed naar interlandelijke adoptie in het verleden. Er zal
op het moment dat duidelijk is wat precies de taak van zo’n commissie is, moeten worden
afgewogen of daarmee een zwaarwegend algemeen belang gepaard gaat én of het noodzakelijk
is dat daarvoor bijzondere of strafrechtelijke persoonsgegevens worden verwerkt. Dit
moet worden getoetst aan voornoemde eisen van proportionaliteit en subsidiariteit,
met andere woorden zal beoordeeld moeten worden of de inbreuk op de persoonlijke levenssfeer
in verhouding staat tot de taak van zwaarwegend algemeen belang. Dus ook daarin zal
meewegen hoe zwaarwegend deze taak beoordeeld wordt. De subsidiariteit houdt in dat
beoordeeld moet worden of het doel redelijkerwijze niet bereikt kan worden op een
wijze die minder inbreuk op de persoonlijke levenssfeer maakt. En overigens geldt
dit alleen als het onmogelijk of onredelijk bezwarend is om uitdrukkelijke toestemming
te vragen van betrokkenen. Vaak zal dat laatste namelijk wel mogelijk zijn, bijvoorbeeld
als een commissie werkt op basis van vrijwillige meldingen van personen. Uiteraard
dient er dan wel voldaan te worden aan de eisen die aan het geven van toestemming
worden gesteld en moet het voor het betrokkene duidelijk te zijn wat er met zijn of
haar gegevens gebeurt.

85. Het lid Omtzigt vraagt zich af of het mogelijk is onder de werking van artikel 47a
een tijdelijke commissie in te stellen die uit onafhankelijke wetenschappelijke onderzoekers
bestaat met een specifieke onderzoeksopdracht?

Vaak hebben wetenschappers zitting in een dergelijke onderzoekscommissie. Het moet
echter wel gaan om een commissie of adviescollege, die een taak van algemeen belang
uitvoert, dan wel, in het geval van bijzondere persoonsgegevens, van zwaarwegend algemeen
belang. Het is daarmee uitdrukkelijk iets anders dan zuiver onafhankelijk wetenschappelijk
onderzoek. Hiervoor bestaat overigens in artikel 24 van de UAVG al een uitzondering
op het verwerkingsverbod van bijzondere persoonsgegevens.

Overigens regelt artikel 47a niet de instelling van tijdelijke commissies en adviescolleges,
maar slechts de eisen die gelden voor het geval ze (bijzondere en strafrechtelijke)
persoonsgegevens willen gaan verwerken.

86. Is het dan ook mogelijk dat de opdracht van deze commissie onderzoek naar een
medisch wetenschappelijk vraagstuk uitvoert?

Het voorgestelde artikel geeft geen extra mogelijkheden voor het instellen van commissies.
Het gaat om tijdelijke adviescolleges en tijdelijk ingestelde commissies conform de
Wet vergoedingen tijdelijke adviescolleges en commissies. Een adviescollege heeft
krachtens het publiekrecht tot taak de regering te adviseren over algemeen verbindende
voorschriften of te voeren beleid45. Een commissie kan een bredere taakstelling hebben, maar moet wel zijn ingesteld
bij of krachtens de wet, koninklijk besluit of ministeriele regeling46. Het zal afhangen van het medisch wetenschappelijke vraagstuk of het voor de hand
ligt dit uit te laten voeren door een commissie als bedoeld in deze wet.

Artikel II. Faillissementswet

87. De leden van de D66-fractie lezen in de toelichting dat de taak van de curator
of bewindvoerder in de loop der jaren is veranderd en uitgebreid. Volgens de regering
hoort daar een nieuwe, heldere bepaling omtrent de verwerking van persoonsgegevens
door curatoren of bewindvoerders bij. Onder omstandigheden mogen zij ook bijzondere
categorieën persoonsgegevens verwerken.

Kan de regering toelichten wat de veranderde taakopvatting van curatoren of bewindvoerders
voor gevolgen heeft voor de verwerking van persoonsgegevens door deze beroepsgroepen?
Kan worden gespecificeerd wat in het kader van de verwerking van persoonsgegevens
bijvoorbeeld eerst niet aan de orde was en thans wel?

De hoofdtaak van de curator is van oudsher – kort gezegd – het beheren en vereffenen
van het vermogen van de schuldenaar (hierna: de faillissementsboedel). De opbrengst
die daarbij gerealiseerd wordt, verdeelt de curator onder de schuldeisers (artikelen 14,
23, 68, 70 en 192 Fw). De curator doet ook onderzoek naar de oorzaken van het faillissement
en beziet in dit verband wat er in de aanloop van de faillietverklaring is voorgevallen.
Het is mogelijk dat de curator constateert dat er voorafgaand aan het faillissement
rechtshandelingen zijn verricht waardoor de schuldeisers zijn benadeeld. De curator
kan deze rechtshandelingen dan vernietigen en er op die manier voor zorgen dat de
daarmee gemoeide gelden terugvloeien naar de faillissementsboedel (artikel 42 e.v.
Fw). De taak van de curator is in de loop der jaren verder ontwikkeld. Deels is dit
een automatisch gevolg van economische en maatschappelijke veranderingen. De bedrijven
van nu zien er heel anders uit dan ten tijde van de inwerkingtreding van de Faillissementswet.
Zo opereren ondernemingen steeds vaker internationaal. Ook heeft de privatisering
ertoe geleid dat private partijen activiteiten zijn gaan uitoefenen die voorheen door
de overheid zelf werden opgepakt en waarmee maatschappelijke belangen gediend worden,
zoals ziekenhuizen en energiebedrijven. De werkzaamheden die een curator tijdens het
faillissement moet verrichten, zijn daardoor ook veranderd. Daarnaast hebben wetswijzigingen
gezorgd voor aanpassingen in het takenpakket van de curator. Zo wordt sinds de inwerkingtreding
van de Wet versterking positie curator op 14 juli 2017 van de curator verwacht dat
hij ook oog heeft voor eventuele onregelmatigheden in aanloop naar of tijdens het
faillissement. De curator heeft daarbij ook een aanvullend instrumentarium gekregen
om een en ander te traceren en redresseren. Daartoe zijn de inlichtingen- en medewerkingsverplichtingen
voor de schuldenaar en voor degenen die nauw bij de schuldenaar betrokken zijn, verruimd
en is er een verplichting geïntroduceerd voor derden die over de administratie van
de schuldenaar beschikken om die aan de curator over te leggen (artikelen 105 e.v.
Fw).47 Als de curator onregelmatigheden constateert, dient hij de rechter-commissaris hier
vertrouwelijk over te informeren. Als de rechter-commissaris dit nodig acht, dient
de curator vervolgens melding te maken of aangifte te doen bij de bevoegde instanties
(artikel 68, tweede lid, Fw). Verder zijn uitspraken van de civiele en de bestuursrechtelijke
rechter ook van invloed geweest op de taakopvatting van de curator. Uit de jurisprudentie
van de Hoge Raad is gevolgd dat de curator ook rekening dient te houden met (zwaarwegende)
belangen van maatschappelijke aard, zoals de continuïteit van de onderneming en behoud
van werkgelegenheid.48 Daarbij komt dat bedrijven onderworpen kunnen zijn aan bijzondere wet- en regelgeving,
die specifiek in het leven is geroepen om bepaalde maatschappelijke belangen te waarborgen,
zoals milieuwetgeving. Uit de rechtspraak van de Afdeling bestuursrechtspraak van
de Raad van State en van het College van Beroep voor het bedrijfsleven volgt dat in
faillissement op de curator een eigen, zelfstandige verplichting kan rusten tot naleving
van die milieuwetgeving.49 De genoemde ontwikkelingen hebben ertoe geleid dat de taak van de curator in de loop
der jaren is veranderd en uitgebreid. Dit kan meebrengen dat de curator nu werkzaamheden
moet verrichten, die voorheen niet aan de orde waren. Daarbij kan het ook gaan om
nieuwe werkzaamheden waarbij de verwerking van persoonsgegevens nodig is.

88. De leden van de fractie van GroenLinks hebben begrip voor het voorstel van de
regering om een duidelijkere regeling te treffen voor de verwerking van persoonsgegevens
door curatoren en (Wsnp-)bewindvoerders. Echter is het voor hen niet volledig duidelijk
in hoeverre het huidige voorstel hiervoor de juiste oplossing is. In hoeverre is er
uit de praktijk gebleken dat er te veel onduidelijkheid is over het verwerken van
persoonsgegevens bij faillissement, surseance en schuldsanering? Blijkt er uit de
rechtspraak dat hier problemen ontstaan? En hoe pakken andere lidstaten de problematiek
die in deze situaties kan ontstaan op?

Naar aanleiding van de vragen van de fractie van GroenLinks ga ik graag nader op de
achtergrond van het voorstel in. Naar aanleiding van artikelen in de literatuur en
gesprekken met vertegenwoordigers uit de praktijk, werd duidelijk dat curatoren steeds
vaker worstelen met de verplichtingen die voortvloeien uit gegevensbeschermingswetgeving.50 Zo is bijvoorbeeld onduidelijk of en onder welke voorwaarden zij persoonsgegevens
in faillissementsverslagen mogen vermelden en hoe zij met persoonsgegevens in faillissementsboedels
moeten omgaan. De voorgestelde wijzigingen beogen duidelijkheid te verschaffen. Na
raadpleging van de Commissie insolventierecht, het adviescollege op het terrein van
insolventiewetgeving, werd duidelijk dat ook behoefte bestaat aan een specifieke regeling
voor de bewindvoerder bij schuldsanering natuurlijke personen en voor de bewindvoerder
in surseance. Een (informele) consultatie van belangenorganisaties bevestigde deze
behoefte. Aan die behoefte is met aanvulling van het wetsvoorstel gevolg gegeven.
Mij is niet bekend hoe andere lidstaten hierin te werk gaan.

89. Daarnaast vragen de leden van de fractie van GroenLinks zich af hoe de lijsten
met vooraf aangewezen noodzakelijke handelingen (art. 68a lid 2, art. 215b lid 2 en
art. 316a lid 2 Fw zoals voorgesteld) tot stand zijn gekomen. Is er gekozen voor handelingen
die essentieel zijn in de relevante insolventieprocedures, of is er gekeken voor welke
handelingen doorgaans geen andere verwerkingsgrondslag in de AVG te vinden is? Ook
wordt voorgesteld om het mogelijk te maken om bij AMvB deze lijsten aan te kunnen
passen. Waarom wordt dit, mede in het licht van de voorlichting van de Raad van State
inzake voorhangprocedures en AMvB’s (Kamerstuk 35 957, nr. 14), voorgesteld, terwijl de lijst ook bij wetswijziging aangepast kan worden? Hoe zijn
toekomstig toe te voegen handelingen anders dan degene die nu voorgesteld worden,
dat zij zonder parlementaire tussenkomst binnen de reikwijdte van de respectievelijke
eerste leden moeten kunnen worden gebracht?

Bij het samenstellen van de lijsten is inderdaad gekeken welke handelingen nodig zijn
om een failliete boedel (of surseance respectievelijk schuldsanering) naar behoren
te beheren en te vereffenen. Daarbij is met name gekeken naar handelingen die niet
direct zijn te herleiden tot de letter van de faillissementswet, zoals de verkoop
van bedrijfsonderdelen (vgl. artikel 68a, tweede lid, onderdeel i) of naar handelingen
die meer gegevensverwerkingen veronderstellen dan de wettelijke bepaling doet vermoeden
(denk aan het faillissementsverslag onder artikel 68a, tweede lid, onderdeel d). Gelet
op de voortdurende ontwikkelingen binnen het faillissementsrecht en de daaruit voortvloeiende
mogelijkheid dat in de nabije toekomst een handeling moet worden toegevoegd die thans
nog onbekend is, is de mogelijkheid opgenomen om bij AMvB handelingen toe te voegen.
Dit biedt naar mijn oordeel een goede balans tussen rechtszekerheid en flexibiliteit,
mede gelet op de tijdsduur om een wetswijziging te realiseren. Gelet op het technische
karakter van de lijst en het feit dat de hoofdlijnen in de voorgestelde wettelijke
bepalingen zijn opgenomen, is naar mijn opvatting het niveau van een AMvB passend,
ook in het licht van de door de Raad van State gegeven voorlichting.51

90. Ook vragen de leden van de fractie van GroenLinks of er, zeker met betrekking
tot de verwerking van bijzondere persoonsgegevens, geen rol ligt voor (extra) toezicht
of inmenging van de rechter-commissaris in de respectievelijke insolventieprocedure?
Wat is de rol van de rechter-commissaris in het faillissement, surseance en schuldsanering
met betrekking tot de verwerking van persoonsgegevens in het huidige voorstel? Kan
de regering duiden wat het verschil is tussen de «redenen van zwaarwegend algemeen
belang» in de zin van artikel 9, tweede lid, sub g AVG en «dringend maatschappelijk
belang» in de zin van de voorgestelde artikelen 68a, derde lid, sub a en 316a, derde
lid, sub a Fw? Ontstaat hier niet het risico dat het begrip «dringend maatschappelijk
belang» anders wordt ingevuld dan «zwaarwegend algemeen belang» waardoor er strijd
ontstaat met de AVG?

Toezicht op de verwerking van persoonsgegevens, ook verwerking van persoonsgegevens
door de curator of bewindvoerder, vindt plaats door de AP en niet door de rechter-commissaris.
Reden hiervoor is dat de AP gespecialiseerd is in het gegevensbeschermingsrecht en
bij de uitvoering van de AVG is aangewezen als algemene toezichthouder op verwerking
van persoonsgegevens. De rechter-commissaris houdt toezicht op het beheer en de vereffening
van de boedel door de curator en het ligt niet in de rede om hem een extra taak te
geven ten aanzien van specifiek het toezicht op gegevensverwerking. De rechtbank heeft
wel de mogelijkheid om een curator te ontslaan, onder meer op verzoek van een schuldeiser
of op verzoek van de rechter-commissaris. In de praktijk gaat de rechtbank alleen
op zwaarwegende gronden tot ontslag over. In dat kader is wel denkbaar dat het onzorgvuldig
omgaan met persoonsgegevens door de curator of schending van wettelijke verplichtingen
inzake gegevensverwerking kan leiden tot ontslag van de curator in faillissement.
Zo overwoog de Rechtbank Rotterdam dat een voldoende ernstige inbreuk op het privéleven
van betrokkenen door publicatie van persoonsgegevens door de curator een grond voor
ontslag zou kunnen opleveren.52 Het voorgaande geldt uiteraard ook voor de bewindvoerder in surseance en de bewindvoerder
in WSNP.53

Naar aanleiding van de vragen van GroenLinks over de verschillen tussen «redenen van
zwaarwegend algemeen belang» en «dringend maatschappelijk belang» ga ik graag nader
op de betekenis van deze begrippen in. Gekozen is voor de termen «dringend maatschappelijk
belang» in de Faillissementswet als nadere invulling van het begrip «zwaarwegend algemeen
belang» in de zin van de AVG. Deze termen zijn opgenomen wanneer de curator gegevensbestanden
moet overdragen waarin bijzondere persoonsgegevens voorkomen. Deze overdracht kan
alleen aan de orde kan zijn, wanneer sprake is van een dringend maatschappelijk belang,
zoals de in de toelichting genoemde overdracht van een leerlingenbestand als een school
tijdens het schooljaar failliet gaat. De bestanden moeten dan kunnen worden overgedragen
aan een andere school, zodat de leerlingen hun schooljaar aldaar kunnen voortzetten.
In zo’n geval is dan tevens sprake van een «zwaarwegend algemeen belang». Beoogd is
om in ieder geval de overdracht van bijzondere gegevens voor puur commerciële redenen
uit te sluiten.

91. Als laatste vragen de leden van de fractie van GroenLinks of en in hoeverre de
voorgestelde verwerkingsgrondslag niet eerder meer onduidelijkheid schept, omdat het
doelbindingsprincipe en andere fundamentele beginselen van de AVG mogelijk in de weg
kunnen staan van de verwerking van de persoonsgegevens door de curator of (Wsnp-)bewindvoerder?
In de reactie schrijft de regering ook dat de taak van de curator of bewindvoerder
van een zodanig zwaarwegend algemeen belang is, dat bijzondere categorieën van persoonsgegevens
verwerkt moeten kunnen worden. De leden van de Volt-fractie kunnen deze opvatting
volgen, maar vragen de regering om toe te lichten of de regering van mening is dat
de taak op zich voldoende rechtvaardiging geeft voor de grondslag. Gaat het niet juist
om dat een curator of bewindvoerder de ruimte krijgt om af te wegen of er sprake is
van een zwaarwegend belang, maar dat de rol op zich geen rechtvaardiging is voor een
verwerkingsgrondslag?

Met deze nieuwe grondslag voor verwerking van persoonsgegevens in faillissement, surseance
en WSNP wordt duidelijkheid geschapen en dit wordt ondersteund door de reacties vanuit
de praktijk en de wetenschap. De leden van de fracties van Volt en GroenLinks wijzen
er terecht op dat de verwerkingsgrondslag slechts één van de aspecten is die gegevensverwerking
rechtmatig maakt. Daarnaast zullen fundamentele beginselen en principes zoals doelbinding,
gegevensverwerkingsminimalisatie, transparantie en recht op juiste gegevensverwerking
in acht moeten worden genomen. Ik begrijp – en onderschrijf – dan ook graag de strekking
van de woorden van de leden van de Volt-fractie in dit verband: de curator mag niet
vanwege zijn taak automatisch in alle gevallen persoonsgegevens verwerken maar zal
per geval zorgvuldig moeten afwegen onder meer voor welke doel hij gegevens verwerkt,
of dit doel gerechtvaardigd is en of de te verwerken persoonsgegevens ook echt allemaal
noodzakelijk zijn voor het te bereiken doel.

92. Het lid Omtzigt leest dat het artikel 68a lid 2 sub h vermeldt «met inbegrip van
het geven van inzage in gegevens aan derden in het kader van een mogelijke verkoop
[...] van de bedrijfsactiviteiten». In de memorie van toelichting wordt uitgelegd,
dat deze bepaling de verkoop van een onderneming beoogt mogelijk te maken door het
met de onderneming overdragen van persoonsgegevens toe te staan. Dit lid steunt dit
beoogde doel maar merkt op dat het niet uit de wetstekst volgt. In de eerste plaats
wordt het woord «gegevens» gebruikt waar in het wetsontwerp consequent naar «persoonsgegevens»
wordt verwezen. In de tweede plaats wordt gesproken over inzage in het kader van een
mogelijke verkoop van bedrijfsactiviteiten, waar waarschijnlijk «overdracht in het
kader van een verkoop van bedrijfsactiviteiten» wordt bedoeld.

Zoals het nu geformuleerd is lijkt het zich te beperken tot het verstrekken van inzage
en niet het ter beschikking stellen van persoonsgegevens. Waarbij de aanduiding dat
het een mogelijke verkoop betreft de indruk wekt dat het uitsluitend om een voorbereidingshandeling
gaat.

Als sprake is van een faillissement van een schuldenaar die voor de faillietverklaring
een onderneming dreef, wordt door de curator doorgaans altijd bezien of er mogelijkheden
zijn om de onderneming van de failliet in faillissement («going concern») te verkopen, waarna de koper de bedrijfsactiviteiten voortzet (hierna: overgang van
onderneming). Een dergelijk verkooptransactie levert vrijwel altijd een hogere boedelopbrengst
op dan bij een losse («piecemeal») verkoop van de activa behorend tot de faillissementsboedel. Het is dan van belang
dat de koper ook in staat wordt gesteld om het personeel dat op het moment van de
faillietverklaring werkzaam was bij de onderneming, na de overgang van de onderneming
een baan aan te bieden. In dat kader zal de curator de persoonsgegevens van het personeel
beschikbaar moeten kunnen stellen. Het voorgestelde artikel 68a, eerste en tweede
lid, onderdeel i, Fw biedt hiervoor een wettelijke grondslag. In artikel 68a, eerste
lid, Fw is bepaald dat «de curator persoonsgegevens kan verwerken voor zover dit bij of krachtens de wet
noodzakelijk is voor het beheer en de vereffening van de boedel [...].» Vervolgens is in artikel 68a, tweede lid, onder i, Fw bepaald dat hieronder
«in ieder geval is begrepen gegevensverwerking in het kader van de vervreemding van
goederen, bedoeld in artikel 101, alsmede de voorbereiding van een verkoop van het
bedrijf van de gefailleerde aan derden met inbegrip van het geven van inzage in gegevens
aan derden in het kader van een mogelijke verkoop, dan wel, in het kader van een ordentelijke
afwikkeling van de bedrijfsactiviteiten». De verkoop van een onderneming valt daarbij onder de «vervreemding van goederen, bedoeld in artikel 101».

93. Op grond van artikel 68a lid 3 sub a wordt het de curator toegestaan bijzondere
persoonsgegevens te verwerken in gevallen als bedoeld in artikel 68a lid 2 sub a,
c, f, h en j, maar artikel 68a lid 2 sub i. wordt niet genoemd. Is het de bedoeling,
zo vraagt het lid Omtzigt, dat in geval van overdracht van een onderneming bijzondere
persoonsgegevens niet mee mogen worden overgedragen door de curator? In sommige gevallen
zal artikel 30a hier een oplossing kunnen bieden, maar niet in alle gevallen. Denk
bijvoorbeeld aan het klantenbestand van een handelsonderneming in medische hulpmiddelen.
Welke overwegingen hebben ten grondslag gelegen aan het uitzonderen van het onder i.
bepaalde en kan de regering overwegen het onder i. bepaalde alsnog toe te voegen?

Het lid Omtzigt wijst hier terecht op een onvolkomenheid in de regeling. Zoals uit
de toelichting bij het derde lid, onderdeel h, volgt, is het bij een verkoop (en overdracht)
van een onderneming in beginsel mogelijk om ook bijzondere gegevens, strafrechtelijke
gegevens en het burgerservicenummer over te dragen. Dergelijke informatie kan soms
nodig zijn om een onderneming succesvol aan een derde partij over te dragen, zoals
ook verder in de toelichting is beschreven. Onderdeel i had hier zowel in onderdeel a,
b als in onderdeel c van het derde lid opgenomen moeten zijn. Deze onvolkomenheid
is ontstaan toen het onderdeel h, waarbij – kort gezegd – zowel de verwerking van
gegevens in het kader van voortzetting van bedrijfsactiviteiten, als bij de verkoop
van bedrijfsactiviteiten – was opgenomen, omwille van de duidelijkheid werd gesplitst
in twee afzonderlijke onderdelen. Verzuimd is toen om deze splitsing ook in het derde
lid door te voeren. Ik ben de heer Omtzigt erkentelijk voor zijn opmerkzaamheid en
zal deze onvolkomenheid bij nota van wijziging herstellen.

Artikel X. Wet op het financieel toezicht

94. De leden van de fractie van GroenLinks vragen of het niet meer voor de hand had
gelegen om de wettelijke verankering van transactiemonitoring door financiële instellingen
mee te nemen in het Wetsvoorstel plan van aanpak witwassen (Kamerstuk 36 228).

Het wettelijk verankeren van de transactiemonitoring past niet goed bij het wetsvoorstel
Plan van aanpak Witwassen. Want hoewel in beide wetsvoorstellen bepalingen zijn op
genomen over transactiemonitoring, is het doel echt anders. Het wetsvoorstel Plan
van aanpak Witwassen heeft als doel om witwassen aan te pakken, en ziet dan ook op
mogelijkheden voor gezamenlijke transactiemonitoring. Het voorstel voor wijziging
van de Wft in dit wetsvoorstel ziet meer op bescherming van de betrokkene tegen diefstal
van zijn rekeningtegoeden. Overigens maakt het voor de werking van het voorstel geen
verschil in welk wetstraject de behandeling plaatsvindt. Indien het wordt aangenomen,
zal het artikel deel gaan uitmaken van de Wft.

Overig

95. De leden van de CDA-fractie zien dat binnen instellingen voor gezondheidszorg,
maar ook binnen zorgnetwerken, zorgketens en overige samenwerkingsverbanden, een grote
behoefte bestaat om patiëntgegevens te (kunnen) gebruiken voor verschillende vormen
van onderzoek naar de kwaliteit van de geleverde zorg. Nu de focus steeds meer komt
te liggen op zogenaamde «uitkomstgerichte zorg» wordt deze behoefte alleen maar groter.
Deze leden willen graag een duidelijke uiteenzetting hoe de onderhavige wet zich verhoudt
tot de Wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) in verband
met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten
behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken.
Zij constateren verder dat de Commissie Governance van Kwaliteitsregistratie (commissie
Van der Zande) in haar eindrapport onder andere heeft aangegeven dat op dit moment
een verwerkingsgrondslag voor het gebruik van gezondheidsgegevens voor dergelijk onderzoek
ontbreekt. Deze leden vragen in hoeverre deze wijziging van de UAVG kan worden benut
om een grondslag voor deze vormen van gegevensgebruik te creëren dan wel te verduidelijken
wat het bestaande kader is voor de verwerking van persoonsgegevens in het kader van
kwaliteitsregistraties en te bevestigen dat dit kader voldoende is.

Zoals in het begin van deze nota naar aanleiding van het verslag ook is opmerkt, gaat
het bij dit wetsvoorstel in de eerste plaats om een verbetering en aanvulling van
de UAVG en er worden enkele wijzigingen ten aanzien van gegevensverwerking in andere
wetten meegenomen, vooral die waar onduidelijkheden bestonden of kleinere omissies
aan licht waren gekomen. Er zijn nog vele vraagstukken en wetsvoorstellen die ook
zien op gegevensverwerking, maar toch niet in dit wetsvoorstel worden meegenomen.

De vragen die de leden van de CDA-fractie hier stellen zijn belangrijk, maar dienen
eerder in het kader van de behandeling van de voorgestelde wijziging van de Wet kwaliteit,
klachten en geschillen zorg (Wkkgz) te worden behandeld dan in het kader van voorliggend
wetsvoorstel. Immers, dit wetsvoorstel ziet niet op een wijziging van de Wkkgz. Iedere
sectorale wet, waarin bepalingen omtrent verwerking van persoonsgegevens worden opgenomen,
zal in moeten gaan op de verhouding met hoger recht en algemene regelingen. In paragraaf 5
van de memorie van toelichting bij het wetsvoorstel tot wijziging van de Wkkgz is
hier ook op ingegaan.54

96. Met betrekking tot artikel 47 UAVG hebben de leden van de fractie van GroenLinks
nog enkele vragen. Momenteel kan het inzagerecht (art. 15 AVG) worden uitgezonderd
bij openbare registers, zonder dat het nodig is dat de wettelijke regeling van het
desbetreffende register voorziet in inzage van de gegevens door de betrokkene (art. 47,
eerste lid UAVG). Ook is het voor betrokkenen praktisch niet mogelijk om te achterhalen
wie hun persoonsgegevens geraadpleegd hebben uit de registers. Hoe zou de regering
het voorstel beoordelen om ook «inzage» toe te voegen aan de bij wet te regelen bijzondere
procedures genoemd in art. 47, eerste lid UAVG?

In artikel 47, eerste lid van de UAVG wordt artikel 15 van de AVG, waarin het recht
op inzage is geregeld, reeds genoemd en daarmee is al geregeld dat er een bijzondere
procedure nodig is.

97. En ziet de regering wellicht een taak voor de beheerders van openbare registers
om redelijke maatregelen te nemen opdat de ontvangers van persoonsgegevens uit de
desbetreffende registers ook daadwerkelijk de verplichtingen uit artikel 14 AVG naleven?

De ontvangers van gegevens uit openbare registers dienen, voor zover zij onder de
werking van de AVG vallen en dus verwerkingsverantwoordelijke zijn voor de verwerking
van persoonsgegevens onder de AVG, zich al te houden aan artikel 14 AVG en aan alle
andere artikelen in de AVG. Ik zie niet goed voor me hoe de beheerders van openbare
registers zouden moeten nagaan of de ontvangers zich wel houden aan de AVG. Dat is
een toezichtstaak die is neergelegd bij de AP en eventueel bij een functionaris voor
de gegevensbescherming, als de ontvangende organisatie die heeft.

98. De leden van de fractie van GroenLinks delen ook de geuite zorgen door het Rathenau
Instituut over de verwerking van genetische gegevens. Het Rathenau Instituut pleit
voor een (de facto) verbod op commerciële DNA-analyses, specifiek als het gaat om
direct-to-consumer DNA-analyses. Dit omdat de privacy hierbij vaak niet goed gewaarborgd
is, en omdat genetische gegevens per definitie ook betrekking hebben op mensen die
genetisch verwant zijn aan de persoon die zijn gegevens afstaat. Ook kunnen genetische
gegevens, als deze bijvoorbeeld uitlekken, niet worden herroepen zoals dat kan met
een wachtwoord. Hoe kijkt de regering naar de probleemanalyse van het Rathenau Instituut?
Ziet de regering voordelen in commerciële DNA-analyses, en wegen deze op tegen de
nadelen, waaronder grote privacyrisico’s voor klanten van deze DNA-analyses en de
genetische aanverwanten van de klanten? Het Rathenau Instituut constateert dat in
Duitsland en Frankrijk direct-to-consumer DNA-analyses de facto verboden zijn. Hoe
gaan andere lidstaten van de EU om met deze problematiek?

Het Rathenau Instituut heeft zijn zorgen geuit over commerciële DNA-analyse in haar
reactie op de Verzamelwet. Ook dit is een onderwerp dat zeker mijn de belangstelling
heeft, maar het is niet meegenomen in deze verzamelwet, omdat dit een nieuw onderwerp
is waarin diverse beleidskeuzes moeten worden gemaakt. Dit zou een te majeure wijziging
betekenen van de UAVG om in dit wetstraject mee te nemen.

99. Het Rathenau Instituut constateert ook dat DNA-tests gebruikt worden door sommige
werkgevers om (potentiële) werknemers te beoordelen.

Acht de regering een dergelijke praktijk wenselijk en verenigbaar met de AVG en huidige
UAVG? Zo nee, deelt de regering de mening dat het vanuit een rechtszekerheidsperspectief
wellicht wenselijk is om expliciet in de UAVG op te nemen dat dit verboden is?

Dit vraagstuk valt buiten dit wetsvoorstel. Er zijn, zoals hiervoor ook aangegeven,
nog vele vraagstukken en wetsvoorstellen die ook zien op gegevensverwerking, maar
niet in dit wetsvoorstel worden meegenomen. Er is in het kader van dit wetsvoorstel
derhalve niet onderzocht wat de praktijk is ten aanzien van het gebruiken van DNA-tests
door werkgevers en of deze in strijd is met de AVG of de UAVG. Er staan de betrokkenen
die hier mee te maken krijgen overigens diverse rechtsmiddelen ter beschikking, zoals
het indienen van een klacht bij de AP of eventueel naar de rechter gaan.

100. Als laatste constateren de leden van de fractie van GroenLinks dat de regering
in de memorie van toelichting niet heeft gereageerd op paragraaf 1.3 inzake gezondheidsgegevens
van de consultatiereactie van het Rathenau Instituut. Aangezien deze leden de zorgen
delen die door het Rathenau Instituut worden geuit, vragen zij de regering om hier
alsnog op in te gaan.

Het Rathenau Instituut stelt vragen over de interpretatie van de UAVG en de WGBO en
hoe deze zich tot elkaar verhouden in het kader vooral van medisch data-onderzoek.
Deze vragen zijn zeker van belang en worden ook bezien, vooral bij het Ministerie
van VWS. Het zijn echter geen onderwerpen die in het kader van dit wetsvoorstel voorliggen.
Hier zal dus op een ander moment en een ander kader op worden teruggekomen.

De Minister voor Rechtsbescherming, F.M. Weerwind