Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de uitvoering van de motie van het lid Marijnissen c.s. over een voorstel hoe binnen overheidsinstellingen vervuilde data worden opgeruimd (Kamerstuk 35510, nr. 21) en de motie van het lid Klaver c.s. over opzetten van een algoritmeregister (Kamerstuk 35510, nr. 16) (Kamerstuk 26643, nr. 978).

Nr. 1147
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 3 april 2024

De vaste commissie voor Economische Zaken en Klimaat heeft een aantal vragen en opmerkingen
aan de Minister van Economische Zaken en Klimaat voorgelegd over de brief van 27 januari
2024 inzake de uitvoering van de motie van het lid Marijnissen c.s. over een voorstel
hoe binnen overheidsinstellingen vervuilde data worden opgeruimd (Kamerstuk 35 510, nr. 21) en de motie van het lid Klaver c.s. over opzetten van een algoritmeregister (Kamerstuk
35 510, nr. 16) (Kamerstuk 26 643, nr. 978).

De vragen en opmerkingen zijn op 17 maart 2023 aan de Minister van Economische Zaken
en Klimaat voorgelegd. Bij brief van 3 april 2024 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Stoffer

De griffier van de commissie, Nava

Vragen en opmerkingen vanuit de fracties en antwoord/reactie van de Minister

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de onderhavige
stukken en hebben hier enkele vragen en opmerkingen over.

De leden van de VVD-fractie onderschrijven het belang van een juiste uitvoering van
de moties.

Vraag 1

De leden van de VVD-fractie lezen dat er door een organisatiewijziging op het Ministerie
van Economische Zaken en Klimaat (EZK) van sommige directoraten-generaal (DG’s) nog
geen informatie bekend is over het gebruik van afkomstgerelateerde gegevens, omdat
deze DG’s gedurende het onderzoek nog in oprichting waren. Is de Minister voornemens
om deze nieuwe DG’s nog te onderzoeken, zodat er inzage verschaft kan worden in het
gebruik van afkomstgerelateerde indicatoren binnen het Ministerie van EZK?

Antwoord 1

Ja, deze organisatieonderdelen zullen op twee manieren worden onderzocht: enerzijds
door het doorlichten van het verwerkingenregister op het gebruik van afkomst gerelateerde
indicatoren in verwerkingen, anderzijds doordat zij onderdeel zijn van de aanpak voor
het vullen van het algoritmeregister waarbij hoog risico AI-systemen en impactvolle
algoritmen in kaart worden gebracht en worden getoetst. Onderdeel van deze toetsing
is het uitvoeren van een Privacy Impact Assessment en een mensenrechtentoets.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met belangstelling kennisgenomen van de onderhavige
stukken. Deze leden vinden het van groot belang dat persoonsgegevens op een juiste
manier worden gehanteerd en dat hier kritisch naar wordt gekeken ter uitvoering van
de moties. Deze leden wensen de Minister nog een enkele vraag voor te leggen.

Vraag 2

De leden van de D66-fractie vragen de Minister verder te verduidelijken wat er nu
met deze rapportage gaat gebeuren. Zij lezen dat de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties (BZK) heeft aangegeven, naar aanleiding van de verworpen
motie van het lid Van Baarle c.s. over een externe toets op de uitkomsten van de opruimactie
van discriminerende algoritmen (Kamerstuk 26 643, nr. 827), de mogelijkheden voor een externe toets te verkennen met de Auditdienst Rijk. Wat
is hiervan de stand van zaken?

Antwoord 2

De externe toets door de Auditdienst Rijk is gestart in Q1 2024 en loopt door tot
en met Q2 in 2024 waarna rapportage door de Auditdienst Rijk zal volgen.

Vraag 3

De leden van de D66-fractie lezen dat de gefaseerde aanpak bij het Ministerie van
EZK door de organisatieonderdelen zelf is uitgevoerd. Is deze aanpak verschillend
van andere ministeries? Hoe wordt geborgd dat deze aanpak de beoogde resultaten behaald?
Vindt er nog een controle plaats door bijvoorbeeld (het team van) de Chief Information
Officer?

Antwoord 3

Nee, de gevolgde aanpak is niet verschillend van andere ministeries. Deze aanpak is
afgestemd met de interdepartementale projectgroep die werd gecoördineerd door het
Ministerie van BZK. Binnen het Ministerie van EZK is een projectleider aangesteld
vanuit de departementale CIO Office. Alle organisatieonderdelen hebben een contactpersoon
aangewezen voor het opleveren van de gevraagde informatie. Tussentijds is met deze
personen afgestemd over de voortgang en het resultaat. Het door de contactpersonen
aangeleverde resultaat is gecontroleerd door de Chief Privacy Officer van het Ministerie
van EZK.

Vraag 4

De Minister geeft aan dat zij niet kan uitsluiten dat bijvoorbeeld beleidsregels,
registraties in oude systemen of zeldzame uitzonderingssituaties buiten het zicht
van de inventarisatie zijn gebleven. Zij geeft aan dat er adequate actie op wordt
ondernomen indien dit op een later moment toch wordt geconstateerd. Kan de Minister
uitdiepen wat deze «adequate actie» behelst?

Antwoord 4

Op het moment dat uitzonderingssituaties worden geconstateerd moet worden ingegrepen
op het onderliggende werkproces. Waar nodig en mogelijk worden direct activiteiten
gestopt. In dat geval wordt een plan van aanpak gemaakt en uitgevoerd voor het aanpassen
van het onderliggende werkproces zodat het onrechtmatig/oneigenlijk gebruik van afkomstgerelateerde
gegevens kan worden weggenomen en moeten betrokkenen worden geïnformeerd. Hiermee
wordt de lijn van het Motie#21 onderzoek gevolgd.

In het verkorte plan van aanpak van het Ministerie van EZK dat is opgesteld voor het
Motie#21 onderzoek is het volgende opgenomen over de acties die volgen op het moment
dat onwettig/oneigenlijk gebruik van afkomst gerelateerde persoonsgegevens in risicomodellen
wordt aangetroffen:

«Indien afkomst gerelateerde indicatoren in risicomodellen worden aangetroffen en
het vermoeden bestaat dat deze onwettig of oneigenlijk zijn, dan worden deze allereerst
daarop getoetst. Vervolgens worden zo snel mogelijk plannen van aanpak opgesteld om,
indien van toepassing:

• (vervuilde) data en risicomodellen te rectificeren of te wissen

• de onderliggende processen aan te passen

• de betrokkenen te informeren»

Deze wijze van handelen sluit aan op de afspraken die interdepartementaal in het Motie#21
onderzoek gemaakt zijn en de acties zijn daarmee adequaat.

Vragen en opmerkingen van de leden van de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van de onderhavige stukken en hebben
hierover enkele vragen.

Vraag 5

De leden van de SP-fractie vragen of de Minister kan toelichten waarom niet alle zelfstandige
bestuursorganen (zbo’s) en/of rechtspersonen met een wettelijke taak (rwt’s) in tabel
85 van de departementale begroting van EZK voor 2023 zijn betrokken in het onderzoek.
Welke organisaties zijn niet meegenomen, omdat ze niet onder de Kaderwet zelfstandige
bestuursorganen vallen?

Antwoord 6

In de reikwijdte van het Motie#21 onderzoek zijn opgenomen: het kerndepartement, de
agentschappen en de organisatieonderdelen die vallen onder de Kaderwet zelfstandige
bestuursorganen. De reikwijdte qua organisatieonderdelen van het Motie#21 onderzoek
is aangegeven in het verkorte plan van aanpak van het Ministerie van EZK dat eind
2021 door BZK/CIO Rijk naar de Tweede Kamer is verzonden. In tabel 85, zoals gesteld
in de vraag, zijn een aantal organisatieonderdelen opgenomen die vallen buiten deze
kaderwet.

De hier volgende opsomming is afkomstig uit tabel 85 uit 2023 waar de vraag naar verwijst.
Het Motie#21 onderzoek ziet echter op de situatie van 2022. Redenerende vanuit deze
tabel zijn de volgende organisatieonderdelen niet in de reikwijdte van het Motie#21
onderzoek opgenomen geweest:

• Edelmetaal Waarborg Nederland

• Examinerende instanties als bedoeld in artikel 19 van de Examenregeling frequentiegebruik
2008

• Keuringsinstanties als bedoeld in artikel 10.3 Telecommunicatiewet

• Raad voor de Accreditatie

• Stichting COVA

• TNO

• VSL

• De in het kader van de Metrologiewet art. 11 en 12 aangewezen instanties en erkende
keurders

• Waarborg Holland

Tijdens het uitvoeren van het Motie#21 onderzoek zijn door de verwerkingsverantwoordelijken
geen verwerkingen van persoonsgegevens gesignaleerd die terugslaan op het uitvoeren
van Rijksbeleid waarbij de hier opgenomen organisatieonderdelen zijn betrokken.

Vraag 6

Genoemde leden vragen wanneer de Minister van EZK verwacht informatie te ontvangen
over het rechtmatig en eigenlijk gebruik van afkomstgerelateerde indicatoren van DG’s
in oprichting. Is de Minister voornemens de Kamer te informeren over de uitkomst hiervan?

Antwoord 6

Ik verwacht deze informatie uiterlijk in Q4 van 2024 te ontvangen. Ik zal hierover
de Kamer informeren.

Vraag 7

De leden van de SP-fractie vragen of medeoverheden rijksbeleid van het Ministerie
van EZK uitvoeren? Zo ja, zijn deze medeoverheden betrokken in dit onderzoek?

Antwoord 7

Tijdens het uitvoeren van het Motie#21 onderzoek zijn door de verwerkingsverantwoordelijken
geen verwerkingen van persoonsgegevens gesignaleerd die terugslaan op het uitvoeren
van het Rijksbeleid waarbij andere medeoverheden zijn betrokken.

Vraag 8

Kan de Minister preciezer toelichten waarom zij beeldmateriaal buiten de scope van
dit onderzoek heeft gehouden?

Antwoord 8

Bij het Ministerie van EZK wordt in het verwerkingsregister vastgelegd of er beeldmateriaal
wordt verwerkt in een bepaalde verwerking van persoonsgegevens. Deze verwerkingen
worden altijd getoetst volgens het privacybeleid van het ministerie. Dit vormt een
waarborg dat er bij beeldmateriaal geen persoonsgegevens worden verwerkt die onderdeel
zijn van de reikwijdte van het Motie#21 onderzoek, zoals bijvoorbeeld gebruik in risicomodellen.

Vraag 9

In hoeverre sluit dit aan bij de rijksbrede aanpak van de uitvoering van de moties?

Antwoord 9

Er is afstemming geweest met de interdepartementale werkgroep, hiermee is de aanpak
ook gecoördineerd opgepakt.

Vraag 10

Wat bedoelt de Minister met de zin « [...] en het is, redelijkerwijs, ook niet te
voorzien dat iemand deze data zal gebruiken om afkomstgerelateerde gegevens in te
zetten om onderscheid te maken»?

Antwoord 10

De essentie is hierbij dat het verkregen beeldmateriaal niet mag worden gebruikt om
onderscheid te maken. Wanneer het wordt gebruikt voor opsporing zijn er wettelijke
waarborgen die ervoor zorgen dat persoonsgegevens alleen noodzakelijk, proportioneel
en subsidiair worden gebruikt.

Vraag 11

De leden van de SP-fractie vragen of de Minister kan toelichten waarom zij onderscheid
maakt tussen het verwerken van afkomstgerelateerde gegevens en het mogelijk verwerken
ervan? Kan de Minister per organisatieonderdeel waar afkomstgerelateerde gegevens
mogelijk worden verwerkt aangeven of ze ook daadwerkelijk worden verwerkt?

Antwoord 11

Per organisatieonderdeel is aangegeven welke afkomstgerelateerde gegevens worden vastgelegd
en voor welke doelen deze gegevens mogelijk kunnen worden gebruikt voor de uitvoering
van de wettelijke taken. Met de toevoeging «mogelijk» wordt aangegeven dat als in
een specifiek geval het bewaren van bijvoorbeeld een kopie van een paspoort niet noodzakelijk
is, de hierop aanwezige gegevens dus niet worden vastgelegd.

Vragen en opmerkingen van de leden van de PvdA- en GroenLinksfracties

De leden van de PvdA- en GroenLinksfracties hebben met interesse kennisgenomen van
de onderhavige stukken en zijn verheugd daarin te lezen dat bij de inventarisatie
geen gebruik van afkomstgerelateerde indicatoren is geconstateerd. Deze leden willen
de Minister nog enkele vragen stellen over de brief.

Vraag 12

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat met «betrokken»
organisatieonderdelen gesprekken zijn gevoerd voor begeleiding en instructies over
het inventariseren, beoordelen en opruimen van onrechtmatig of onbehoorlijk verwerkte
data. Over welke organisatieonderdelen gaat het dan en over welke niet? Hoe zien deze
gesprekken eruit? Waar kunnen medewerkers terecht als zij het onrechtmatige gebruik
van afkomstgerelateerde data ontdekken? Zijn medewerkers erover ingelicht waar zij
deze informatie in dat geval kunnen melden?

Antwoord 12

Met alle in de reikwijdte van het Motie#21 onderzoek benoemde organisatieonderdelen
zijn één op één gesprekken gevoerd met de, voor het onderzoek, door de organisatieonderdelen
aangewezen contactpersonen. Daarbij is het doel van het onderzoek toegelicht en zijn
instructies meegegeven voor de uitvoering van het onderzoek. Waar nodig zijn aanvullende
afspraken gemaakt over de voortgang en zijn vragen beantwoord.

DG Economie & Digitalisering en DG Groningen & Ondergrond zijn niet in het onderzoek
meegenomen omdat deze organisatieonderdelen pas later in 2022 zijn opgericht. Over
het organisatieonderdeel Nationaal Coördinator Groningen is door het Ministerie van
BZK gerapporteerd.

Medewerkers konden bevindingen melden bij de privacy contactpersonen en bij de functionaris
gegevensbescherming.

Vraag 13

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat dataminimalisatie
een blijvend aandachtspunt moet zijn en dat bij een aantal gegevensverwerkingen, die
niet zien op afkomstgerelateerde indicatoren, is geconstateerd dat het beginsel van
dataminimalisatie continue aandacht behoeft. Hoe gaat de Minister erop toezien dat
op dataminimalisatie toegezien blijft worden.

Antwoord 13

Dataminimalisatie is een vast onderdeel van de Planning en Control cyclus van het
beheer en onderhoud op de verwerkingen in het verwerkingenregister. Dat geeft de waarborg
dat er toezicht blijft op dataminimalisatie.

Om het beginsel van dataminimalisatie toe te passen moeten organisaties door veranderende
omstandigheden blijvend verwerkingen actualiseren om alleen de minimale gegevens die
nodig zijn voor een verwerking te gebruiken.

Vraag 14

Bij welke gegevensverwerkingen is geconstateerd dat het beginsel van dataminimalisatie
aandacht behoeft? Wat heeft de Minister op die plekken exact geconstateerd?

Antwoord 14

In meer algemene zin is geconstateerd dat het beheer en onderhoud van de informatie
die is opgenomen in het verwerkingenregister soms onvoldoende aandacht krijgt. Er
is niet geconstateerd dat er in de praktijk bovenmatig gegevens worden verwerkt.

Vraag 15

Welke actie is de Minister voornemens daarop te ondernemen?

Antwoord 15

Hier verwijs ik naar het eerder gegeven antwoord bij vraag 13. Dataminimalisatie is
een vast onderdeel van de Planning en Control cyclus van het beheer en onderhoud op
de verwerkingen in het verwerkingenregister. Dat geeft de waarborg dat er toezicht
blijft op dataminimalisatie.

Om het beginsel van dataminimalisatie toe te passen moeten organisaties door veranderende
omstandigheden blijvend verwerkingen actualiseren om alleen de minimale gegevens die
nodig zijn voor een verwerking te gebruiken.

Vraag 16

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat uit de «grondige
en integere» inventarisatie geen gebruik van afkomstgerelateerde indicatoren is geconstateerd,
maar ook dat beleidsregels, registraties in oude systemen en zeldzame uitzonderingssituaties
mogelijk niet in de inventarisatie zijn meegenomen. Daarmee wordt onvoldoende uitvoering
gegeven aan de aangenomen motie van het lid Klaver c.s. over het opzetten van een
algoritmeregister (Kamerstuk 35 510, nr. 16), waarin de regering wordt verzocht het gebruik van afkomstgerelateerde kenmerken
in alle risicomodellen, -profielen, -systemen, -selectie en zwarte lijsten die binnen
het overheidswezen gebruikt worden volledig uit te sluiten. Wat gaat de Minister doen
om uit te sluiten dat er op welke wijze dan ook onrechtmatig gebruik wordt gemaakt
van afkomstgerelateerde kenmerken? Is de Minister voornemens de inventarisatie uit
te bereiden zodat het risico op discriminerende algoritmen op basis van afkomstgerelateerde
kenmerken volledig uit te sluiten is?

Antwoord 16

Om onrechtmatig gebruik van afkomstgerelateerde kenmerken uit te sluiten blijft het
ministerie het huidige privacybeleid handhaven. Aanvullend bereidt het ministerie
toezicht op algoritmen en AI voor volgens nog op te leveren BZK kaders en aansluitend
op toekomstige EU wetgeving zoals AI ACT. Zoals afgesproken in de Werkagenda Waardengedreven
Digitalisering is het ministerie gestart met de inventarisatie en registratie van
hoog-risico AI systemen en impactvolle algoritmen in het publieke algoritmeregister.
Deze maatregelen (zullen) zorgen voor een waarborg in het verantwoord omgaan met persoonsgegevens
in combinatie met algoritmen en AI binnen het Ministerie van EZK.

Vragen en opmerkingen van het lid van de BBB-fractie

Het lid van de BBB-fractie heeft kennisgenomen van de onderhavige stukken. Het lid
van de BBB-fractie heeft een aantal vragen als reactie.

Vraag 17

Het lid van de BBB-fractie leest in de brief dat dataminimalisatie een blijvend aandachtspunt
zal blijven. Hoe gaat het kabinet hier voor de toekomst concreet vorm aan geven, ook
bij bijvoorbeeld andere ministeries en overheidsinstanties?

Antwoord 17

Dataminimalisatie is een vast onderdeel van de Planning en Control cyclus van het
beheer en onderhoud op de verwerkingen in het verwerkingenregister. Dat geeft de waarborg
dat er toezicht blijft op dataminimalisatie.

Om het beginsel van dataminimalisatie toe te passen moeten organisaties door veranderende
omstandigheden blijvend verwerkingen actualiseren om alleen de minimale gegevens die
nodig zijn voor een verwerking te gebruiken.

Vraag 18

Het lid van de BBB-fractie leest ook dat niet geheel kan worden uitgesloten dat beleidsregels,
registraties in oude systemen of zeldzame uitzonderingssituaties buiten het zicht
van de inventarisatie zijn gebleven en dat hier adequate acties op zullen worden ondernomen,
indien dit ontdekt wordt. Het lid van de BBB-fractie begrijpt dat het hier gaat om
acties die in de toekomst nodig kunnen zijn, mochten er situaties buiten de inventarisatie
zijn gebleven, waardoor het niet duidelijk is om wat voor situaties het kan gaan en
welke concrete acties ervoor nodig zouden zijn. Kan de Minister duidelijk maken hoe
het interne proces verloopt indien een situatie aan het licht komt en hoe lang dit
proces ongeveer duurt? Wat zouden adequate acties kunnen omvatten?

Antwoord 18

Het interne proces loopt in zo’n situatie als volgt: op het moment dat uitzonderingssituaties
worden geconstateerd moet worden ingegrepen op het onderliggende werkproces waarin
die situatie zich voordoet. Waar nodig en mogelijk worden direct activiteiten gestopt.
In dat geval wordt een plan van aanpak gemaakt en uitgevoerd voor het aanpassen van
het werkproces zodat het onrechtmatig/oneigenlijk gebruik van afkomstgerelateerde
persoonsgegevens kan worden weggenomen en moeten betrokkenen worden geïnformeerd.
Hiermee wordt de lijn van het Motie#21 onderzoek gevolgd.

In het verkorte plan van aanpak van het Ministerie van EZK dat is opgesteld voor het
Motie#21 onderzoek is het volgende opgenomen over de acties die volgen op het moment
dat onwettig/oneigenlijk gebruik van afkomst gerelateerde persoonsgegevens in risicomodellen
wordt aangetroffen:

«Indien afkomst gerelateerde indicatoren in risicomodellen worden aangetroffen en
het vermoeden bestaat dat deze onwettig of oneigenlijk zijn, dan worden deze allereerst
daarop getoetst. Vervolgens worden zo snel mogelijk plannen van aanpak opgesteld om,
indien van toepassing:

• (vervuilde) data en risicomodellen te rectificeren of te wissen

• de onderliggende processen aan te passen

• de betrokkenen te informeren»

De toetsing dient om te constateren of het vermoeden dat er sprake is onwettig/oneigenlijk
gebruik van afkomstgerelateerde persoonsgegevens inderdaad correct is. De toetsing
vindt plaats op grond van wetgeving en het binnen het Ministerie van EZK gehanteerde
privacybeleid.

Deze stappen zijn op te vatten als de adequate acties waarnaar in de vraagstelling
wordt gerefereerd. Hoe lang het uitvoeren van deze acties duurt hangt af van de complexiteit
van het werkproces, de mate waarin activiteiten in het werkproces direct gestopt kunnen
worden en de termijnen die worden opgenomen in het plan van aanpak. Het is de bedoeling
om een aangetroffen uitzonderingssituatie zo snel mogelijk te melden bij de privacy
contactpersonen en de functionaris gegevensbescherming zodat de hier beschreven acties
in werking kunnen worden gezet.

Deze wijze van handelen sluit aan op de afspraken die interdepartementaal in het Motie#21
onderzoek gemaakt zijn.