Preview document (🔗 origineel)

---

Verzamelwet gegevensbescherming

Verzamelwet gegevensbescherming

Aan de orde is de behandeling van:

• het wetsvoorstel Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming) (36264).

De voorzitter:
Ik heropen de vergadering. Aan de orde is het wetsvoorstel Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht, ook wel Verzamelwet gegevensbescherming genoemd, Kamerstuk 36264.

De algemene beraadslaging wordt geopend.

De voorzitter:
Ik heet de leden van harte welkom. We hebben vandaag zes sprekers bij dit debat. Ik heet uiteraard de staatssecretaris wederom van harte welkom en de mensen die dit debat op de publieke tribune of elders volgen.

Het gaat vandaag over wetgeving, dus is er geen maximum aan interrupties. We hebben zes sprekers, maar een aantal van hen heeft lange spreektijden aangemeld. Ik attendeer de leden er alvast op dat we gaan schorsen voor de dinerpauze nadat de hele eerste termijn is geweest. Het is dus aan u hoe laat dat wordt.

Dat gezegd hebbende, nodig ik de eerste spreker van de zijde van de Kamer uit, en dat is de heer Valize namens de PVV.

De heer Valize (PVV):
Voorzitter, dank voor het woord. Regelmatig spreken wij in onze mooie commissie over de AVG, de Algemene verordening gegevensbescherming, in Europa breed bekend als de GDPR, languit General Data Protection Regulation. Vandaag staat op de agenda de wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht, aan de Kamer toegekomen in december 2022; in het kort de Verzamelwet gegevensbescherming geheten.

Voorzitter. Een verzamelwet dus. Meerdere doorgaans apolitieke inhoudelijke wijzigingen die ook verschillende wetten kunnen bestrijken, waarvoor geldt dat de opgenomen onderwerpen een zekere samenhang moeten hebben, alsook dat ze in beginsel niet een dusdanig complex karakter hebben dat ze een zelfstandig wetstraject rechtvaardigen. Uitgezonderd daarvan zijn verzamelwetten die een technisch karakter hebben, zoals het herstellen van fouten en het doorvoeren van technische aanpassingen. Meestal is zo'n verzamelwet niet spannend. Het gaat om de spreekwoordelijke puntjes op de i. Zo ook dit voorstel, lijkt het.

Voorzitter. Ik neem u toch even mee, want er zijn een aantal significante voorgestelde wijzigingen. De voorliggende verzamelwet bevat 23 wijzigingsvoorstellen voor de UAVG en daarnaast een wijziging voor 11 andere wetten, ten dele technisch of verhelderend van aard, maar toch springen er een aantal punten in het oog. Ik noem de toestemming van minderjarigen, de verwerking van bijzondere persoonsgegevens door accountants, het gebruik van biometrische gegevens, de samenstelling van de Autoriteit Persoonsgegevens en de overdracht van medische dossiers.

Voorzitter. Ik zoom in op de verwerking van bijzondere persoonsgegevens door accountants. Dat is toch wel ingrijpend maar ook urgent. Deze had een zelfstandig wetstraject kunnen doorlopen. In 2019 werd al een versoepeling aangekondigd. Er is dus heel erg veel tijd overheen gegaan. Een vraag aan de staatssecretaris: waarom was er geen zelfstandig wetstraject te rechtvaardigen?

Voorzitter. We hebben het best vaak over de AVG. Deze wet had als doel om te voorkomen dat persoonsgegevens eenvoudigweg verspreid konden worden. Immers, bij persoonsgegevens gaat het om personen. Die zijn herleidbaar. Dit raakt eenieder. Echter, het betreft een Europese verordening. Die is dus meteen van toepassing op ons mooie kikkerlandje. Een aantal punten onder de AVG moesten de EU-landen zelf in de nationale wetgeving verankeren, de Uitvoeringswet AVG, de UAVG, in ons geval. Deze regelt onder andere de instelling en inrichting van de Autoriteit Persoonsgegevens als nationaal toezichthouder alsook hun bevoegdheden voor bestuurlijke boetes.

Voorzitter. Nog even terug in de tijd. De UAVG werd op 13 maart 2018 aangenomen door de Tweede Kamer. De PVV stemde als enige fractie tegen de voorgestelde uitvoeringswet. De PVV heeft zich altijd uitgesproken tegen Europese regeldrift en de invloed die de EU uitoefent op nationale wetgeving en op bedrijven. De GDPR is een voorbeeld van die steeds verdergaande bemoeienis van de EU in nationale particuliere aangelegenheden.

Voorzitter. Tijdens het algemeen overleg over big data en de bescherming van persoonsgegevens, informatie- en communicatietechnologie, gehouden op 30 mei 2018, waarschuwde de PVV reeds voor de drukte waarmee de AP te maken zou krijgen. Een vooruitziende blik, zo blijkt. Want momenteel is de Autoriteit Persoonsgegevens niet in staat om haar taken adequaat uit te voeren. Dat blijkt uit haar jaarverslag alsook uit haar eigen evaluatie door Berenschot. De verbreding van haar missie en de verschuiving van de focus maken het lastig om de juiste prioriteiten te stellen. Een vraag aan de staatssecretaris: hoe draagt de Verzamelwet gegevensbescherming bij aan de oplossing?

Voorzitter. De wet is er nu eenmaal, en in het hoofdlijnenakkoord heeft de PVV zich gecommitteerd aan de Europese wet- en regelgeving. We houden ons aan onze afspraken. We zijn immers goed voor onze handtekening. Soms doet dat pijn. Maar nu krijgen we bijval uit onverwachte hoek. Ineens was er namelijk het Draghi-rapport. Laat dat rapport nu exact het probleem aanstippen. Het rapport benadrukt dat Europese regelgeving, waaronder de GDPR, de AVG en de UAVG, innovatie belemmert. Meer exact schreef Draghi in zijn rapport over de ambities van de AVG en de AI Act. Hun complexiteit en het risico op overlappingen en inconsistenties kunnen de ontwikkelingen op het gebied van AI, door actoren uit de EU-industrie, ondermijnen. Hij concludeert verder in zijn rapport dat de regels moeten worden versoepeld. Mooi; beter laat dan nooit.

Voorzitter. Ook de Europese Commissie erkent dit. Op 13 maart jongstleden kondigde de EU-Commissaris Michael McGrath aan dat de Europese Commissie overweegt de AVG te simplificeren. Dit is inmiddels bevestigd. Dit vloeit rechtstreeks voort uit datzelfde Draghi-rapport.

Maar er is meer goed nieuws. De staatssecretaris wilde tijdens het commissiedebat van 18 maart jongstleden over het onderwerp bescherming persoonsgegevens en digitale grondrechten wel de toezegging doen dat op het moment dat er een bredere visie van de UAVG ter hand wordt genomen, er samen met de Kamer opnieuw zal worden gekeken naar de aanbevelingen uit het onderzoeksrapport "The influence of (technical) developments on the concept of personal data in relation to the GDPR" en overigens ook naar de analyse van de sectorale wetgeving, ook op basis van buitenlandse wetgeving die gebruikt is om van alle uitzonderingen in de AVG gebruik te kunnen maken. Dat laatste was overigens ook een adviespunt van de Raad van State, dat hiermee wel opvolging krijgt.

Ook stelde de staatssecretaris voor om, nadat we de verzamelwet zo snel mogelijk en zo beperkt mogelijk hebben behandeld, te beginnen met een traject voor de aanpassing van de UAVG en om in dat kader ook aandacht te besteden aan uitzonderingen die er zijn, waarbij met name de Duitse uitvoeringswet nog inspiratie zou kunnen bieden om meer gebruik te maken van de uitzonderingen die de AVG toelaat. Dat zou daar dus onderdeel van kunnen uitmaken, evenals de aanbevelingen die zijn gedaan in het voornoemde rapport, in de zin dat we ermee aan de slag gaan als onderdeel van de bredere revisie van de UAVG. Er komt dus een revisie, zowel vanuit de EU alsook vanuit het kabinet. Mooi.

Voorzitter. Tot slot nog een tweetal laatste punten waar ik graag wat aandacht voor wil vragen. We hebben onlangs bij de commissie Onderwijs, Cultuur en Wetenschap de Archiefwet behandeld zien worden. We zijn geconfronteerd met weer een voorbeeld waar het niet helemaal ging zoals het moest wat betreft de UAVG, namelijk het debacle rondom het CABR, het Centraal Archief Bijzondere Rechtspleging. Kan de staatssecretaris garanderen dat dergelijke misvattingen niet voorkomen bij partijen die niet vallen onder de Archiefwet? Denk bijvoorbeeld aan heemkundekringen, genealogische genootschappen, geschied- en oudheidkundige genootschappen et cetera. Zij beschikken ook vaak over dossiers dewelke zij hebben opgebouwd en publiceren. We willen niet zien dat diezelfde incidenten zich voordoen bij deze stichtingen, die een duidelijk maatschappelijk belang dienen. Hiervoor zal ik in de tweede termijn een motie indienen, maar ik hoor gaarne de reflectie van de staatssecretaris hierop.

Dan het tweede en laatste puntje, voorzitter. Dat betreft de vraag hoe de staatssecretaris ertegenover staat om in de UAVG te verankeren dat bij totstandkoming van de normuitleg door een toezichthouder een traject wordt doorlopen waarbij het concept eerst ter consultatie wordt aangeboden, waarna de normuitleg met adequate onderbouwing definitief kan worden vormgegeven. Dit kwam in december al naar voren bij het rondetafelgesprek. De AP gaf daar al aan: iedere beslissing is normuitleg voor ons, voor een rechter; dat is allemaal normuitleg. Maar er werd wel aangegeven dat ze, als het meer bedrijven raakt — wel een kleine kring, omdat het anders te massaal is — er wel aandacht aan willen geven indien het versterkt wordt. Met andere woorden, de AP nodigt de overheid uit om eisen te stellen aan de normuitleg. Je wilt natuurlijk wel zo'n gang naar de rechter voorkomen. Zo ook met de consultatieplicht bij de totstandkoming van de normuitleg, zoals ook door de partijen geopperd werd bij dat rondetafelgesprek. Hoe kijkt de staatssecretaris hiernaar? Past dit dadelijk bij de revisie van de UAVG? Want de normuitleg treft in veel gevallen de belangenafweging. Dat kan mooi aangepakt worden. Immers, wanneer is er sprake van een aanmerkelijk belang?

Ik zie dat er een interruptie aankomt, maar ik heb nog één klein paragraafje. Ik begrijp dat het goed is als ik dat even afmaak. Kan de staatssecretaris toezeggen te zullen onderzoeken welke kaders gesteld moeten worden aan de consultatieplicht ten behoeve van een normuitleg door een toezichthouder die meerdere marktpartijen kan raken en dat hij met een voorstel tot implementatie terug zal komen bij de Kamer?

Daarmee ben ik aan het eind van mijn betoog, voorzitter. Waarvoor dank.

De voorzitter:
Kijk eens aan. U had de heer Krul al zien staan, die een interruptie voor u heeft namens het CDA.

De heer Krul (CDA):
Een uiterst interessant betoog; laat me dat meteen vooropstellen. Het is natuurlijk zo dat de AVG verantwoordelijk is voor heel veel opennormendefinieerkwesties. Daar is altijd heel veel onduidelijkheid over. Natuurlijk worden er wel stappen gezet. Tegelijkertijd — dat zegt de heer Valize ook terecht — wordt de wetgever uitgenodigd om daarvoor kaders te stellen. Zou het goed zijn om als wetgever ook in deze wet het kader mee te geven richting in dit geval de Autoriteit Persoonsgegevens, die de uitvoerder is voor ons: wees transparant in het beleid dat je voert als het gaat om het definiëren van die open normen?

De heer Valize (PVV):
Dat is een goede vraag van de heer Krul. Als u mij goed heeft gehoord, ging de laatste vraag over de toezegging om te onderzoeken of er kaders gesteld moeten worden. De vraag is of hij dat wil doen. Daar komt hij dan mee terug naar de Kamer. Dan kunnen we daar nog verder over debatteren om te kijken in hoeverre de Kamer daar nog kaders aan toe moet voegen.

De voorzitter:
Ik zie dat er een vervolgvraag is.

De heer Krul (CDA):
Dat is het mooie aan het zijn van Kamerlid. Dat is namelijk precies iets wat in ons instrumentarium zit. De wet ligt nu voor, dus als we iets willen, dan hebben we nu de kans om de wet te amenderen. Wij hebben daar ook een voorstel voor gedaan. Ik zeg ook meteen volledig schuldbewust richting de collega's dat we ietwat laat waren. Maar net op dit punt kunnen we bij deze verzamelwet best een heel mooi punt toevoegen dat de AP ook uitnodigt om duidelijk te zijn over de omgang met de open normen. Als wetgever hebben wij er ook een verantwoordelijkheid in om dat goed te regelen in onze wet. Ik zou de heer Valize willen uitnodigen om er straks in de schorsing eens goed naar te kijken, want ik denk dat we exact hetzelfde zeggen. Maar wij denken dat het nu kan.

De heer Valize (PVV):
Dank voor de uitnodiging, zeg ik via de voorzitter. Ik zal er uitgebreid naar kijken.

De voorzitter:
Als het goed is, is het amendement rondgedeeld en heeft iedereen dit gekregen. Dan is er nog een interruptie van mevrouw Kathmann namens GroenLinks-PvdA.

Mevrouw Kathmann (GroenLinks-PvdA):
Het feit dat de grootste regeringspartij van Nederland staat te springen om de revisie van de UAVG en het idee dat er misschien maar wat regels weg moeten, gaan wat mij betreft een beetje kort door de bocht. We zitten inderdaad een beetje in een AVG-slot. Dat klopt. Maar gaat het aanpassen van de regelgeving wat de PVV betreft om het verminderen van bureaucratie en om de duidelijkheid van de regels of gaat het erom dat we regels, die wel degelijk heel veel mensen in Nederland beschermen, gaan schrappen?

De heer Valize (PVV):
Het gaat met name om de bureaucratische regels die eraan gekoppeld zijn. De regeldruk moet gewoon zo ver mogelijk omlaag. De herijking of de packagedeal waar de Europese Unie mee wil komen gaat daar als het goed is ook op aanslaan, exact volgens dat rapport van Draghi.

De voorzitter:
Dank u wel. U was zo volledig dat mevrouw Kathmann haar vervolgvraag laat zitten, dus dank daarvoor. Ik dank u ook voor uw inbreng namens de PVV. Ik kijk of de heer Van Waveren naar voren kan komen om het woord te voeren namens Nieuw Sociaal Contract.

De heer Van Waveren (NSC):
Dank u wel, voorzitter. Ik vervang vanavond mijn collega Six Dijkstra, die helaas afwezig is. Hij heeft ook al een amendement ingediend. Ik zal dat straks toelichten. Maar ik begin met wat nadere vragen over de duiding van twee thema's, twee artikelen die in de wet voorgesteld worden. Dan licht ik een amendement toe en dan licht ik een amendement toe dat we niet ingediend hebben. Ik vraag me wel af of dat in de toekomst misschien verstandig is. Dat zal straks vanzelf blijken.

Ik begin met de eerste vraag. In de verzamelwet is opgenomen dat bij ministeriële regeling regels worden opgesteld over de kwalificaties en procedures voor benoemingen van leden van de Autoriteit Persoonsgegevens. Kan de staatssecretaris nader ingaan op wat de noodzaak was om deze delegatiegrondslag toe te voegen en kan hij ingaan op de vraag waarom het vorige artikel 7 van de UAVG niet volstond? Dat kunnen we namelijk niet rechtstreeks opmaken uit de memorie van toelichting. Welke op te stellen regels voor de kwalificaties en procedures ziet hij voor zich? Wie stelde deze voorheen op en tegen welke wettelijke beperkingen werd daarbij aangelopen?

Voorzitter. Dan het tweede blokje. Dat gaat over de wettelijke bepaling onder artikel 29 van de UAVG, die wordt aangescherpt. Daarbij geldt dat het verbod op het verwerken van biometrische gegevens van een persoon niet van toepassing is indien de verwerking noodzakelijk is voor beveiligingsdoeleinden. Dit is slechts toegestaan voor zover dit noodzakelijk is vanwege een zwaarwegend algemeen belang; daar staat dan nog een nadere detaillering bij. Het is goed dat die lat hoog ligt en gelegd wordt. De impact van het lekken van een vingerafdruk of een irisscan is vele malen groter dan de impact van het lekken van een wachtwoord of een pincode. Een wachtwoord kun je eenvoudig wijzigen, maar een vingerafdruk niet. Hoe wordt dit zwaarwegend algemeen belang bepaald, vraag ik de staatssecretaris. Welke norm geldt hier in het algemeen voor? De Autoriteit Persoonsgegevens spreekt illustratief over de beveiliging van een kerncentrale of van staatsgeheime informatie. Sluit de regering zich bij die norm aan of wil ze die misschien verbreden? Behouden betrokkenen bijvoorbeeld het recht om te weigeren hun biometrische gegevens als authenticatiemiddel te gebruiken voor locaties waarbij geen sprake is van een zwaarwegend algemeen belang, als ze bijvoorbeeld een vingerafdruk moeten afgeven om door de poortjes van de sportschool te gaan? In het licht van de discussie over AI-surveillance in supermarkten: gaat de staatssecretaris actief voorkomen dat er een situatie gecreëerd wordt waarin mensen niet meer worden toegelaten tot winkels zonder biometrische identificatie, zoals gezichtsherkenning vooraf? Stel dat een persoon geen uitdrukkelijke toestemming wil geven voor het verwerken van biometrische gegevens voor toegang, zoals in het voorbeeld van de sportschool van zonet. Heeft de beheerder van een locatie dan het recht om die persoon de toegang te ontzeggen? Of moet hij diegene een minder invasief alternatief aanbieden, zoals een menselijke controle? Zouden onder "bepaalde plaatsen" volgens de staatssecretaris ook openbare plaatsen kunnen vallen? Kan hij toelichten wanneer dit het geval zou kunnen zijn? En blijft hij waarborgen dat het mensen is toegestaan om zich vrijelijk en anoniem te bewegen in de openbare ruimte zonder biometrische surveillance?

Voorzitter. Dat waren mijn vragen over artikel 29. Dan ga ik door met het amendement. Dat regelt een wettelijke plicht voor de Autoriteit Persoonsgegevens om onherroepelijk opgelegde bestuurlijke boetes te openbaren. Dit draagt wat ons betreft bij aan een transparanter bestuur en duidelijke communicatie over de normen die de AP hanteert. Ik hoop daarom ook dat andere partijen dit amendement zullen steunen. Ik ben benieuwd naar de appreciatie vanuit het kabinet. Ik zeg erbij: het gaat hier expliciet om sancties die onherroepelijk zijn opgelegd en daarmee dus niet in hoger beroep tenietgedaan kunnen worden. Uitzonderingsgronden voor openbaarmaking zijn gelijk aan de gronden die zijn opgenomen in de Wet op het financieel toezicht. Hoewel veel boetes nu al openbaar zijn, geeft de AP ook aan behoefte te hebben aan een wettelijke verankering. Nu worden ze namelijk bij herhaling geconfronteerd met langdurige juridische procedures gericht tegen de voorgenomen openbaarmaking van sanctiebesluiten. Het helpt als er een duidelijke grondslag is voor openbaring. Nieuw Sociaal Contract beoogt deze te creëren middels het amendement op stuk nr. 9.

Voorzitter, tot slot. We hebben overwogen — ik kondigde het al aan — om nog een ander amendement in te dienen om het niet aanstellen van een wettelijke vertegenwoordiger in de EU-zone conform artikel 27 van de AVG strafbaar te stellen onder de Wet op de economische delicten, in lijn met het voorstel van de Autoriteit Persoonsgegevens. We hebben dit uiteindelijk niet gedaan, omdat de nieuwe strafbaarstelling een vrij fors middel is waarbij het niet passend zou zijn om die op dit moment in een verzamelwet op te nemen. Maar we zouden wel graag zien dat het op termijn bewerkstelligd wordt. De noodzaak komt voort uit een casus als die van Clearview, waarin een AI-bedrijf de wet overtrad door privacygevoelige informatie van het internet te halen en deze te gebruiken om zijn model voor gezichtsherkenning te trainen. De Autoriteit Persoonsgegevens heeft dit bedrijf een boete van 30,5 miljoen euro opgelegd. Maar Clearview AI is niet van plan deze te betalen. Omdat het geen wettelijke vertegenwoordiging in de EU-zone heeft, komt het straffeloos weg met het schenden van de privacywetgeving. Dat kost Nederlandse burgers, los van het schenden van de privacy en de moeite en inzet die het de AP gekost heeft, nu dus ook nog de boete van 30,5 miljoen euro die we als overheid mislopen. Een strafrechtelijk instrumentarium zou helpen om bedrijven als Clearview AI in de toekomst alsnog verantwoordelijk te houden. Daarom zou ik graag van de staatssecretaris horen hoe hij aankijkt tegen het opnemen van een aparte strafbaarstelling voor het niet aanstellen van een wettelijk vertegenwoordiger. Hoe zou dit het meest effectief wettelijk gerealiseerd kunnen worden, misschien ook wel op welke termijn?

Daarmee ben ik aan het einde van mijn bijdrage, voorzitter. Dank u wel.

De voorzitter:
Dank u wel, meneer Van Waveren. Ik zie geen interrupties, dus u was kennelijk heel erg helder. Dank daarvoor. Het amendement waarnaar u verwees, is al eerder rondgezonden, dus ik ga ervan uit dat alle leden daar kennis van hebben kunnen nemen. Dan gaan we door naar mevrouw Kathmann van de fractie van GroenLinks-PvdA, die ons maar liefst 25 minuten lang gaat vermaken. We zijn benieuwd, mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):
Voorzitter. Ik heb het proberen in te korten. Laat ik maar gelijk beginnen. We spreken helaas veel te weinig over privacywetgeving. Dat hebben we ook gemerkt aan de rondetafel die we hebben georganiseerd. Daardoor dacht heel Nederland: dit is hét moment waarop alles moet gebeuren. Die 25 minuten zijn dus eigenlijk heel kort. Ik zal ook nog eens snel praten.

Data is het nieuwe goud. Data is de motor van onze moderne samenleving. Al die data is niet iets abstracts. Het zijn kleine stukjes informatie over wie we zijn, wat we doen en wat we willen. Het zijn puzzelstukjes die, als je ze samenbrengt, je hele leven in beeld brengen: je thuisadres, je gezinssamenstelling en je huishoudboekje. Een voor een dingen die de overheid, maar ook het bedrijfsleven van je weten. Dat is een enorme kans, maar ook een groot gevaar. Het kan je helpen omdat hierdoor betere dienstverlening op gang kan komen. Ideaal gezien valt er een administratieve last van je schouders. Maar vaak is het niet behulpzaam. Integendeel, als de privacy van mensen niet beschermd wordt, zijn de gevolgen groot. Het leed van het toeslagenschandaal heeft dat bewezen. Daarom zijn er goede regels nodig.

Dat brengt mij meteen bij de wet. GroenLinks-PvdA organiseerde samen met Nieuw Sociaal Contract een rondetafelgesprek over deze wet. Uit de hoeveelheid reacties en de scherpte van de deelnemers werd wel duidelijk dat er iets groots gaande is. De Autoriteit Persoonsgegevens, privacyjuristen, bedrijven, uitvoerders en overheden: ze zaten allemaal aan tafel. Hun waslijst aan verbeterpunten was enorm. GroenLinks-PvdA kreeg er ook onrustige handen van, moet ik bekennen. Een verzamelwet die alles bundelt: dat moest wel hét moment zijn om al die problemen meteen op te lossen. Maar de gedachte "dat gaan we eens effe lekker fiksen" bleek veel te simpel. Niks gaat simpel in Den Haag. En dat is maar goed ook, zeker als het over privacywetgeving gaat.

Eerst moet gezegd dat deze wet al veel te lang op de plank ligt. Daar is de Kamer zelf ook schuldig aan; dat geef ik meteen toe. Hierdoor toont de politiek zich te vaak een vertragende factor en niet de betrouwbare partner die de snelheid van de digitaliserende wereld bij kan houden. GroenLinks-PvdA wil daarom vaart maken en kan instemmen met de technische wijzigingen in de wet. Wel heb ik nog een hoop vragen en die ga ik punt voor punt even af.

Ik begin met een van de grote dilemma's in privacywetgeving, namelijk hoe specifiek we het willen en kunnen maken. Je hebt in eerste instantie de Uitvoeringswet Algemene verordening gegevensbescherming, de UAVG, die alle andere wetten overstijgt. Dan heb je nog sectorale wetgeving die specifiek regels oplegt voor bepaalde sectoren. In de verzamelwet is besloten om accountants die worden gevraagd om een wettelijke taak uit te voeren, uit te zonderen van het verbod op het verwerken van bijzondere persoonsgegevens. Dit was ook het advies van de Raad van State. In dit specifieke geval kom ik best een eind mee in de uitleg van het kabinet. Er wordt duidelijk uitgelegd waarom de uitzondering wordt gemaakt in de UAVG en niet in de sectorale wetgeving. Maar GroenLinks-PvdA waakt ervoor om te veel uitzonderingen in de UAVG op te nemen. Mijn fractie wil meer weten over hoe u tot dit besluit bent gekomen. Hoe bepaalt het kabinet of een nieuwe grondslag moet worden vastgelegd in de UAVG, in sectorale wetgeving of in een hele nieuwe wet? Hoe komt het kabinet tot de conclusie dat er niks anders op zit dan een uitzondering in de UAVG aan te brengen en niet in sectorspecifieke wetten?

Net als alle wetten is de verzamelwet in consultatie geweest. Dat betekent dat iedereen feedback mag geven op de wet. Dat heeft men gretig gedaan. Net zoals we in het rondetafelgesprek zagen, is de verzamelwet al snel het kapstokje geworden om veel meer privacyproblemen aan de kaak te stellen. In de reactie op die kritiek zegt het kabinet steeds dat voor zulke grondige aanpassingen nieuwe wetgeving nodig is en dat sommige dingen te verstrekkend zijn om zomaar in een verzamelwet te vatten. Daar heb ik wel wat vragen over. Wanneer is een uitzondering of nieuwe grondslag verstrekkend genoeg om een nieuwe wet te rechtvaardigen? Welke punten kunnen dan wel in de verzamelwet worden gezet?

Wat betreft de kwaliteit van deze wet heeft GroenLinks-Partij van de Arbeid ook bezwaren tegen het almaar toevoegen van nieuwe regels die worden uitgewerkt met algemene maatregelen van bestuur. Dat betekent dat sommige regels pas achteraf worden toegevoegd door de minister, zonder dat de Kamer daar iets over zegt. In de verzamelwet zien we er daar nog een paar van terug. Daarover heb ik de volgende vragen. Kan de staatssecretaris mij uitleggen welke nieuwe grondslagen er voor algemene maatregelen van bestuur zijn toegevoegd in de verzamelwet? Welk doel dienen ze en hoe gaat het kabinet deze maatregelen uitwerken? Waarom kiest het kabinet ervoor om deze punten achteraf te verduidelijken en niet meteen in de wet of in de memorie van toelichting van de wet op te nemen? Hoe maakt het kabinet de afweging tussen de noodzaak om achteraf nieuwe regels toe te kunnen voegen en het belang van de Kamer om wetgeving te controleren? De uitwerking van wetten verdient een Tweede Kamer die op kracht is en kritisch kan meekijken. Het verstoppen van belangrijke delen van wetten in algemene maatregelen van bestuur maakt dat best moeilijk. Is de staatssecretaris het met mij eens dat het lastig is om wetgeving te controleren, als veel daarvan met algemene maatregelen van bestuur wordt uitgewerkt? Is de staatssecretaris het dan ook met mij eens dat juist de uitwerking op het gebied van privacy essentieel is voor een goed functionerende wet? Hoe gaat de staatssecretaris de Kamer in staat stellen om het vervolg op de verzamelwet alsnog goed te controleren?

Een tijd geleden ging ik op bezoek bij bedrijven die onder andere controles doen op witwassen bij andere bedrijven en bestuurders. Eigenlijk helpen ze ons hele mkb door te onderzoeken of zakendoen met bepaalde bedrijven oké is of niet. Met hele slimme technologie doen zij belangrijke checks om te zien of klanten en partners wel te vertrouwen zijn en hoe zij hun bedrijf hebben ingericht. Dit is niet alleen van groot belang bij investeren, maar bijvoorbeeld ook bij maatschappelijk verantwoord ondernemen. Regels die voor deze bedrijven belangrijk zijn, zoals de algemene maatregelen van bestuur die zouden volgen op de Opendatarichtlijn en die beloofd zijn bij de Wet beperking toegang UBO-registers, blijven echter heel lang liggen. Wat gaat de staatssecretaris doen om sneller duidelijkheid te geven over algemene maatregelen van bestuur op het gebied van privacy? Is hij het met GroenLinks-Partij van de Arbeid eens dat het uitblijven van die maatregelen zorgt voor rechtsonzekerheid? Hoe kunnen organisaties de wet volgen, als niet duidelijk is hoe die wet moet worden geïnterpreteerd? Moet de waakhond dat grijze gebied maar invullen of wat anders? Ik zeg dit, maar tegelijkertijd wil ik ook even duidelijk maken dat ik niet overal een voorhangprocedure aan wil plakken. Ik zag de staatssecretaris even kijken, maar nee, want dan krijgen we weer hetzelfde. Dan gaan we weer vertragend werken. We moeten daar dus toch een andere list op verzinnen.

Over wetgeving controleren gesproken: ik kom op mijn volgende technische punt, namelijk de rechten van jongeren. Juriste Frederike van der Jagt noemde dit in het rondetafelgesprek en haar punt is mij bijgebleven. Het gaat om de wijziging van artikel 5 van UAVG. Tot je 16de moeten volwassenen namens jou toestemming geven voor verwerking van je persoonsgegevens. Meestal is dat een ouder of een andere vertegenwoordiger, maar door de wijziging van de wet mogen tieners tussen 12 jaar en 16 jaar zelf kiezen voor het intrekken van die toestemming, los van hun vertegenwoordiger. Hartstikke mooi, want ook jongeren zijn de baas over hun eigen data! Maar het schuurt ook. In de Algemene wet bestuursrecht staat dat je pas vanaf je 18e naar de civiele rechter kunt stappen. Daarmee dreigt er een rare situatie te ontstaan. Je kunt als tiener zelf de toestemming voor de gegevensverwerking intrekken, maar consequenties daaraan verbinden, moet echt samen met de ouders. GroenLinks-Partij voor de Arbeid wil dat jongeren die steeds meer te maken krijgen met de online leefwereld, op de hoogte zijn van het beroep dat zij kunnen doen op hun rechten. Kan de staatssecretaris uitleggen hoe hij het voor zich ziet dat tieners tussen de 12 jaar en 16 jaar straks toestemming kunnen intrekken? Voor wat voor diensten geldt dit? Wat verandert er in de praktijk? Hoe gaat het kabinet ervoor zorgen dat jongeren op de hoogte zijn van dit recht, zodat ze weten dat ze zelf de baas zijn over hun eigen data? Vallen 17-jarigen straks niet buiten de boot met deze wijziging? Waar kunnen zij zich op beroepen? Kan de staatssecretaris reageren op het punt van mevrouw Van der Jagt? Waarom sluit de bevoegdheid om naar de civiele rechter te kunnen stappen niet aan op de wijziging van de Verzamelwet?

In het rondetafelgesprek kwam ook artikel 29 van de UAVG ter sprake. Dat was een punt van jurist Gerrit-Jan Zwenne. Dat artikel gaat over het verbod op het verwerken van biometrische gegevens. Dit is symbolisch voor hoe vaag privacywetgeving soms kan zijn, want het is nu niet duidelijk of dit alleen geldt voor identificatie, dus de opsporing van iemand, of ook voor verificatie, dus kijken of iemand wel is wie hij zegt dat hij is; een grijs gebied dus. Dit verdient opheldering. Hoewel de AVG niet helemaal ingekleurd hoort te worden door de wetgever, is dit wel zo'n punt waar we wat mee moeten. Kan de staatssecretaris duidelijk maken of het gewijzigde artikel 29 van de UAVG, het verwerkingsverbod voor biometrische gegevens, betrekking heeft op verificatie en identificatie van personen, of slechts op een van beide? Als de staatssecretaris dat niet duidelijk kan maken, kan hij dan uitleggen hoe hij van plan is om dit grijze gebied wel in te kleuren? Wie is daarvoor verantwoordelijk?

Een ander punt dat wel overwogen is, maar uiteindelijk niet in de verzamelwet is gekomen, is het regelen van je digitale nalatenschap. Bij onze geboorte staat helaas één ding vast: we gaan een keertje dood. Dan blijft er een dataspoor van ons achter. Net als volgens de Alliantie Digitaal Samenleven, de Consumentenbond en het Netwerk Mediawijsheid is het volgens GroenLinks-Partij van de Arbeid hoog tijd om hier te spreken over digitale nalatenschap. Iedereen die een dierbare verliest, moet de tijd hebben om te rouwen, zonder stress over het verwijderen van Facebookaccounts of het verwijderen van andere gegevens online. Het kabinet vindt het te vroeg om daar als overheid wat van te vinden en laat dit nu aan marktpartijen over. Ik heb een paar vragen hierover. Kan de staatssecretaris uitleggen waarom Nederland geen regels maakt over wat er moet gebeuren met data van een overleden persoon? Kan de staatssecretaris meer vertellen over wat andere landen op dit gebied doen? Wat zou hij Europees willen regelen en hoe gaat de staatssecretaris dat bereiken?

GroenLinks-Partij van de Arbeid heeft nog één laatste oproep over deze wet, maar dat is meteen ook wel de belangrijkste. Er is nog altijd sprake van fundamentele rechtsongelijkheid in ons Koninkrijk. Terwijl we hier zitten te debatteren over punten en komma's zijn de CAS-landen en de BES-eilanden compleet uitgezonderd van sterke privacywetgeving. Dat vind ik eerlijk gezegd gewoon niet kunnen. Privacy is een grondrecht, maar eentje die blijkbaar niet verder strekt dan onze Europese grens. GroenLinks-Partij van de Arbeid wil rechtsbescherming zo veel mogelijk gelijktrekken. We wachten al te lang op een consensusrijkswet die het privacyrecht beschermt.

GroenLinks-Partij van de Arbeid pleit voor een boetebevoegdheid en een hoger budget voor de CBP BES, de commissie die toezicht houdt op de bescherming van persoonsgegevens op Bonaire, Sint-Eustatius en Saba. Ook moet er zo snel mogelijk een duurzaam en gelijkwaardig gesprek gevoerd worden met vertegenwoordigers van Curaçao, Aruba en Sint-Maarten om te bepalen of en hoe Europees Nederland van dienst kan zijn en een bijdrage kan leveren aan een effectief privacybeleid en goed toezicht. Kan de staatssecretaris uitleggen wat de tijdlijn is voor de effectieve bescherming van persoonsgegevens van Caribische Nederlanders? Wanneer is die volgens het kabinet voldoende? Hoe vaak heeft de staatssecretaris contact met de CAS-landen en de BES-eilanden over de bescherming van persoonsgegevens? Wat is de rol van deze staatssecretaris of zijn collega's om daarin te ondersteunen? Binnen welke tijd wordt de Wet bescherming persoonsgegevens BES in lijn gebracht met de AVG? Is dit ook de wens van de vertegenwoordigers van de BES-eilanden?

Het mag duidelijk zijn dat privacywetgeving voor GroenLinks-Partij van de Arbeid geen achterafje is, maar iets waar de politiek zich tegenaan moet bemoeien. Dat gebeurt veel te weinig. Dat komt gewoon doordat het technisch en ingewikkeld is. Als we dan één keer in de zoveel tijd een debat hebben, dan hebben organisaties en bedrijven het idee dat alles afhangt van dat ene moment. Dat zei ik net al. Want die denken: als het dan niet gebeurt, dan zitten we nog altijd vast in dat AVG-slot, dat vele organisaties en bedrijven in Nederland ervaren. Ik snap wel dat je dan een keiharde lobby start richting de Kamer, want je wil met de beste bedoelingen dingen voor elkaar krijgen en anders zit je weer jarenlang vast.

In die terechte lobby wordt er vaak naar de Autoriteit Persoonsgegevens gewezen als boeman, soms terecht, maar vaak ook onterecht. In de eerste plaats wil ik dat wij hier allemaal een hand in eigen boezem steken, ook ik. Ik vraag iedereen in de Kamer, maar in het bijzonder ook aan het kabinet, om dat te doen. Nederland is handelingsverlegen. Alle hakken gaan in het zand als de AVG om de hoek komt kijken. Nederland zit dus wel degelijk op een AVG-slot. Als we daarvan af willen, dan zijn in de eerste plaats de wetgever en de medewetgever aan zet. Dan snap ik dat in deze spannende geopolitieke tijden iedereen gaat roepen om deregulering, en ik roep mee, maar wel met een kanttekening. Regeldruk neem je niet weg door wetten te slopen, maar door duidelijkheid te scheppen en bureaucratie weg te nemen. Zeker bij privacywetgeving moeten we zorgvuldig zijn, want iedereen die ons belobbyt, heeft een belang bij stevige privacywetgeving. Het gaat ook om hun rechten, hun data en de cyberveiligheid van hun bedrijf.

De voorzitter:
U heeft een interruptie van de heer Krul namens het CDA.

De heer Krul (CDA):
Ik vind het bijna jammer om in te breken, want het was een mooi stukje van het betoog, waar ik wel op aansla. Ik ben het helemaal eens met mevrouw Kathmann dat we af moeten van dat AVG-slot. Een van de dingen die we zien, is dat heel veel organisaties aan de voorzichtige kant gaan zitten uit angst dat ze in overtreding zijn, vanwege het feit dat er vanuit de Autoriteit Persoonsgegevens onduidelijkheid geschept wordt over het handhavingsbeleid en over het definiëren van open normen. Zouden wij daar als wetgever niet wat aan moeten doen, bijvoorbeeld door kaders te scheppen voor hoe de AP moet omgaan met die opennormendiscussies en het definiëren van ingewikkelde begrippen als "gerechtvaardigd belang" en "zwaarwegend belang"? Op die manier kunnen we misschien ook wat doen richting de organisaties die nu handelingsverlegen zijn, zoals mevrouw Kathmann het zo mooi omschrijft.

Mevrouw Kathmann (GroenLinks-PvdA):
Ik wil in de eerste plaats wel gezegd hebben dat die handelingsverlegenheid dus niet alleen maar komt door de rol die de AP speelt. Die komt daar voor een deel zeker ook door, maar uit de evaluatie van de AP komen een aantal aanbevelingen die allemaal worden overgenomen. De aanbeveling van de heer Krul is daar onderdeel van. De staatssecretaris heeft in het debat dat we eerder hebben gehad ook toegezegd dat er zwaar gemonitord gaat worden hoe de aanbevelingen geïmplementeerd worden door de AP en of dat succesvol is. Dan kunnen we bijsturen. Ik ben het er dus mee eens, maar volgens mij gaat dat dus ook al gebeuren.

De voorzitter:
Een vervolgvraag.

De heer Krul (CDA):
Maar het gebeurt nu niet. Uit die evaluatie blijkt gewoon dat heel veel organisaties in onduidelijkheid zitten vanwege het feit dat de AP niet duidelijk genoeg communiceert. Dat geeft de AP trouwens zelf ook aan; ze belooft wel beterschap, maar tegelijkertijd zijn daar geen kaders voor, omdat we die niet hebben meegegeven. Begrijp ik nu goed dat mevrouw Kathmann zegt: wij moeten daar als wetgever van afblijven en dat vooral bij de AP zelf laten, en dan kunnen we over een tijdje zien of het hen gelukt is opvolging te geven aan al die aanbevelingen uit het evaluatierapport?

Mevrouw Kathmann (GroenLinks-PvdA):
Ik ben het helemaal eens met de heer Krul dat de normuitleg beter moet en dat de AP daar transparanter over moet zijn. Maar ik heb het idee dat we dat nu geborgd hebben met die evaluatie en het traject dat het kabinet daar nu op zet. Dat het nu nog niet gebeurt — dat is namelijk waar; dat heeft de AP zelf ook toegegeven — komt ook doordat die evaluatie net uit is en doordat al die aanbevelingen recentelijk pas zijn overgenomen. Ik ben heel benieuwd naar de inbreng van de heer Krul straks, en of hij dat misschien nog wettelijk wil borgen. Dan ga ik daar zeker naar kijken.

De voorzitter:
Kijk eens aan. Vervolgt u uw betoog.

Mevrouw Kathmann (GroenLinks-PvdA):
Dan rest nog de vraag: hoe komen we uit dat moeras? Kunnen we vol kiezen voor innovatie, datadeling in de zorg en goede dienstverlening van de overheid, zonder de AVG te slopen? Hoe doen we iets aan die regeldruk? Ik zei het al: het kan eigenlijk allemaal wel, maar dan moeten we, als wetgever en medewetgever, wel eerst naar onszelf kijken. In de commissie Digitale Zaken doen we dat al, en daarvoor kijk ik in het bijzonder even naar mijn collega's Valize en Dral van de PVV en de VVD. Samen met GroenLinks-Partij van de Arbeid denken zij na over een betere behandeling van privacywetgeving. Als GroenLinks-Partij van de Arbeid zien wij het traject als volgt voor ons. Het is nog niet in beton gegoten, want we zijn er nog mee bezig, maar ik vind het belangrijk om transparant te zijn over wat we voor ogen hebben.

Het gesprek met politieke dienstverleners, waarin het ministerie van Justitie en Veiligheid 40 knelpunten in de gegevensdeling heeft opgehaald, vind ik een prachtvoorbeeld van hoe we zo'n traject zouden kunnen voltrekken. GroenLinks-Partij van de Arbeid stelt voor dat het ministerie elk jaar een aantal van die gesprekken voert met verschillende sectoren. Het doel is om daarmee een zo compleet mogelijk beeld te krijgen van de knelpunten in de uitvoering van privacywetgeving. Het uitgangspunt is dan altijd het verduidelijken van wetgeving of het maken van specifiekere grondslagen, en niet het afzwakken van de broodnodige bescherming. Werk die gesprekken uit tot sectorale knelpuntenbrieven — of bedenk een leukere naam.

We vragen daarna aan de Autoriteit Persoonsgegevens en een gebalanceerde delegatie van privacyjuristen om de knelpunten te beoordelen en de juiste vorm te bedenken voor hoe we de wensen in wetgeving kunnen omzetten. Deze brief leggen we ter consultatie voor, zodat alle organisaties de kans hebben om zich uit te spreken. De knelpuntenbrief inclusief juridische analyse wordt vervolgens besproken in een notaoverleg in de Kamer. Dat lijkt me iets voor de commissie Digitale Zaken en Grondrechten. Hier maken we het dan politiek. We kunnen ons dan punt voor punt uitspreken over de aanbevelingen, en geven het kabinet het politieke mandaat om bepaalde punten uit te werken.

Zo'n notaoverleg is ook een goed moment om de algemene maatregelen van bestuur te bespreken. Leg ons maar uit in een brief hoe de wetgeving verder is uitgewerkt, zodat we daar een debat over kunnen voeren. Zo houdt de Kamer grip op privacywetgeving. Ook kunnen we cybersecurityexperts en privacywaakhonden vragen om te signaleren welke nieuwe beschermingen er nodig zijn en om de zere plekken aan te wijzen waar de actualiteit onze wetgeving inhaalt. Op basis van het notaoverleg, of misschien pas na een paar van die overleggen, verwerkt het kabinet de gedragen voorstellen tot een wetswijziging, die netjes behandeld wordt.

Het voordeel hiervan is dat de Kamer en de samenleving aan het roer staan. We hoeven dan niet af te wachten tot het kabinet het nodig vindt om een nieuwe privacywet voor te leggen waar we vervolgens allemaal op gaan schieten. GroenLinks-Partij van de Arbeid wil dit land heel snel van het AVG-slot halen zonder privacy geweld aan te doen. Ik wil dat Nederland de privacy een keertje proactief beschermt, in plaats van achteraf. Ik wil ook dat de AVG gaat werken zoals die eigenlijk bedoeld is: als een "kan"-wet en niet als een "nee, dat kan niet"-wet. Ik geloof oprecht dat zo'n nieuwe werkwijze dat mogelijk maakt, door onze mouwen op te stropen, regie te nemen en tegelijkertijd zorgvuldig te zijn. Zie dit voorstel maar eerst gewoon als een oprechte poging. Het is een eerste poging, want we moeten het natuurlijk nog verder uitwerken.

Ik heb toch een paar vragen aan de staatssecretaris. Is hij bereid om samen met ons die nieuwe werkwijze vorm te geven? Wat is zijn plan om Nederland van het AVG-slot te halen? Ik kijk uit naar de beantwoording.

De voorzitter:
Dank u wel, mevrouw Kathmann. Nog even bevlogen als altijd op dit onderwerp! Ik herinner me nog veel debatten in de commissie voor Digitale Zaken. Het is heel goed dat u zo volhoudt. Tegen de staatssecretaris zeg ik: u heeft de ambtenaren niet voor niets meegenomen, met al deze vragen. We wensen ze succes.

De volgende spreker van de zijde van de Kamer is mevrouw Dral, die haar inbreng komt doen namens de VVD.

Mevrouw Dral (VVD):
Dank u wel, voorzitter. De VVD vindt het belangrijk dat de privacy binnen onze samenleving effectief wordt beschermd. De VVD vindt het echter ook belangrijk dat er daarbij een goede balans is tussen bescherming van gegevens aan de ene kant en het delen van noodzakelijke gegevens aan de andere kant. Die balans is in de visie van de VVD inmiddels een beetje zoek. Daardoor worden er minder gegevens gedeeld dan zou kunnen. Dat heeft regelmatig negatieve gevolgen. Om een goede balans aan te brengen of te herstellen, spelen in ieder geval de Kamer, het kabinet en de Autoriteit Persoonsgegevens een rol.

De Autoriteit Persoonsgegevens, de AP, is toezichthouder. Het blijkt dat de AP er bij dit toezicht regelmatig minder goed navolgbare beleidsopvattingen op nahoudt. Dit brengt handelingsverlegenheid in de samenleving teweeg. Of men durft gegevens niet meer te delen, of men gebruikt het als excuus om gegevens niet te delen. Dit heeft nadelige gevolgen, bijvoorbeeld bij relevant onderzoek voor de samenleving of voor het ontwikkelen van een noodzakelijk integraal beeld. Dit speelt bijvoorbeeld bij de politie, het OM, de jeugdzorg, het bankwezen en ondernemers. Voor de VVD is de conclusie dat meer balans nodig is tussen de bescherming van privacy aan de ene kant en het mogelijk blijven van gegevensdeling in het kader van het maatschappelijk belang aan de andere kant. Met name de handelingsverlegenheid moet worden teruggedrongen.

De VVD vindt allereerst dat de AP het toezicht anders moet vormgeven. De onlangs uitgevoerde evaluatie van de AP heeft geresulteerd in een aantal behoorlijk kritische aanbevelingen, onder andere dat de AP zich opener moet opstellen in het contact. Omdat er inmiddels onzekerheid wordt geconstateerd in de samenleving over wat wel en niet mag van de AP, is het wenselijk dat de AP prioriteit geeft aan de vaststelling van een duidelijk handhavings- en normenoverdragingsbeleid en ook aan een vorm van communicatie en informatie die sterker rekening houdt met het eigen karakter van de eigen identiteit van partijen waar de communicatie zich op richt. Er moet bij de AP naar Brits voorbeeld veel meer een houding van "zo kan het wel" gaan ontstaan. De VVD is van mening dat de AP de aanbevelingen uit de evaluatie met voortvarendheid moet opvolgen om de handelingsverlegenheid terug te dringen. De AP heeft naar aanleiding van de evaluatie een verbeterplan aangekondigd. De VVD vindt het belangrijk dat de Kamer periodiek wordt geïnformeerd over de voortgang en de effectiviteit van dat verbeterplan. Ik overweeg een motie van deze strekking in te dienen.

De VVD constateert verder dat er steeds vaker sprake is van een ernstige online inbreuk op de privacy. Het is belangrijk dat daartegen voortvarend kan worden opgetreden. Bij kinderpornografisch en terroristisch materiaal is dit inmiddels geregeld. Voor het overige moet op dit moment worden teruggevallen op een algemene bevoegdheid in boek 5, artikel 31, tweede lid van de Algemene wet bestuursrecht. Daarbij is het echter altijd de vraag of een situatie voldoende spoedeisend was om de inzet te rechtvaardigen. Mocht de rechter dat achteraf anders zien, dan kan dat leiden tot een verplichting tot schadevergoeding aan de kant van de toezichthouder. Om bij ernstige online inbreuken snel te kunnen optreden is volgens de VVD een wettelijke grondslag nodig die buiten twijfel stelt dat ernstige kennelijke inbreuken op de bescherming van de persoonsgegevens in beginsel zodanig spoedeisend kunnen worden geacht dat zij ook onmiddellijke beëindiging door optreden rechtvaardigen, zonder dat dit een risico op schadeclaims achteraf creëert bij de toezichthouder. De VVD wil in dit verband dan ook graag breed verkennen of een dergelijke wettelijke grondslag mogelijk is en hoe die zou moeten worden geformuleerd. Daarbij moet ook worden betrokken bij welke toezichthouder de handhaving kan worden belegd en hoe dit in het bestaand bestel moet worden ingepast. Ook hierover overweeg ik een motie in te dienen.

Bij de vermindering van de handelingsverlegenheid is het ook belangrijk dat we volgens de vereiste wettelijke grondslagen in artikel 6, onder c van de AVG duidelijk zijn over welke gegevens er gedeeld mogen worden en met wie. Dit blijkt in de praktijk vaak nog niet het geval. Deze lacune moet verholpen worden. Gezien het aantal al bestaande wettelijke grondslagen, is het nogal een operatie. Het helpt al als hiermee rekening wordt houden bij het maken van nieuwe wettelijke grondslagen en de meest prangende gevallen van onduidelijke huidige wettelijke grondslagen worden aangepast. De AP heeft in november 2024 een brief aan de Kamer verzonden met daarin het overzicht van 30 wettelijke grondslagen die aanpassing behoeven.

De VVD vindt het allereerst belangrijk om uit te zoeken op welke terreinen handelingsverlegenheid zich voordoet en welke risico's dat met zich meebrengt. De VVD vindt het vervolgens wenselijk dat het kabinet naar aanleiding van een dergelijke inventarisatie, maar ook uit zichzelf, jaarlijks een wetsvoorstel voorlegt waarin staat welke wettelijke grondslagen dienen te worden aangepast, en daarbij een overzicht van de AP betrekt. De VVD vindt het verder belangrijk dat de staatssecretaris hierbij een voortrekkersrol op zich neemt. De AVG speelt een rol op alle terreinen binnen onze samenleving. Dat werkt fragmentatie in de hand, die kan worden tegengegaan door overzicht te houden via een voortrekkersrol. De Kamer kan dan vervolgens, op voorstel van de staatssecretaris, prioriteren welke grondslagen als eerste moeten worden aangepast. Ook in dit verband overweeg ik een motie in te dienen.

Dank u wel, voorzitter.

De voorzitter:
Dan heeft u voor u vertrekt nog een interruptie van de heer Krul. Ja, u doet dat keurig, meneer Krul. U probeert iedere keer aan het eind van een betoog te zitten, en toch verrast u nog de collega's.

De heer Krul (CDA):
Zeker. We proberen het debat ook een beetje levend te houden met elkaar, voorzitter.

De voorzitter:
Desalniettemin, de heer Krul.

De heer Krul (CDA):
Ik ben even benieuwd. Ik vind het interessant, maar ik denk dat ik het net niet helemaal begreep. De VVD stelt voor om elk jaar een wetsvoorstel naar de Kamer te doen komen met over welke onderwerpen al dan niet … Zou mevrouw Dral dat iets kunnen verduidelijken?

Mevrouw Dral (VVD):
Ik denk dat ik moet beginnen met het overzicht. Ik geef ook aan dat het een enorme operatie is, omdat het over heel veel departementen gaat. Maar ik denk dat het, gezien we hier al zo lang over praten, wel belangrijk is dat we eerst gewoon een heel goed overzicht hebben van al die knelpunten. Het is namelijk gewoon te veel werk en het is niet realistisch om te denken dat we dat allemaal in één keer kunnen doen. Ik denk dus dat we iedere keer moeten kijken en dat we dan een tijdstip moeten nemen om te zeggen: oké, dit is nu belangrijk; dit gaan we prioriteren. Dan zit daar natuurlijk tijd tussen. Zoals ik net zei, kunnen we niet alles tegelijkertijd. Ik denk dus dat je dat iedere keer stapsgewijs moet doen en dat we daar dan als Kamer, doordat er een goed overzicht van die knelpunten is, elke keer goed in kunnen prioriteren.

De voorzitter:
Dank u wel voor uw inbreng namens de VVD. De heer Krul gaat snel zijn papieren halen, want hij is de volgende spreker van de zijde van de Kamer. Hij heeft natuurlijk al een aankondiging gedaan over zijn amendement, dus we zijn benieuwd. Dan kijk ik of de collega's het met u levendig gaan maken, meneer Krul.

De heer Krul (CDA):
Ik ga mijn best doen, voorzitter. Laat ik positief beginnen. Het ATR heeft geen extra regeldruk in dit wetsvoorstel gezien. Dat is mooi, want meestal zijn dit soort wetsbehandelingen een beetje paradoxaal: we stoppen er allemaal inbrengen in van fracties die pleiten voor minder regeldruk, en we lopen met een paar extra regels de deur uit. Laten we hopen dat dat vandaag niet per se het geval is. Ik heb een aantal vragen over onderdelen van de wet. Dat gaat dan specifiek over de leeftijd, de verlaging van 16 naar 12, en het biometrische. Vervolgens heb ik een blokje over cookies en de AP.

Voorzitter. Ik begin maar gelijk met de wet, het voorstel om de leeftijd voor het intrekken van de toestemming voor verwerking van persoonsgegevens te verlagen van 16 naar 12 jaar. Deze wijziging komt voort uit de principiële keuze om meer invloed en zeggenschap te geven aan minderjarigen ouder dan 12 jaar. Deze keuze kan het CDA volgen. Ik heb wel nog enkele praktische vragen. Met deze wijziging ontstaat namelijk de situatie dat zowel het kind als de wettelijke vertegenwoordiger, meestal de ouder, de toestemming kan intrekken. Mevrouw Kathmann had het daar ook al over. Dat kan tot conflicten leiden. Wie heeft dan de beslissende stem? De wetgever kiest ervoor om dat niet te regelen, omdat de gezinsverhoudingen dan te veel zouden worden gejuridificeerd. Maar stel dat een ouder en kind er niet uit komen. Ligt de beslissing dan bij de verwerker, zoals de school of zorginstelling? Ik ben benieuwd of de staatssecretaris iets meer kan vertellen over hoe dit in de praktijk gaat werken, misschien met een voorbeeld of twee erbij. Waarom 12 en niet 11 of 13? Volgens mij is het belangrijk om deze grens zo uniform mogelijk te maken, zowel in vergelijking met andere Nederlandse wetgeving als in vergelijking met wat andere Europese landen doen. Kan de staatssecretaris iets zeggen over welke leeftijdsgrenzen andere lidstaten hanteren? Hoe zet hij zich in om dit in Europese verband zo uniform mogelijk te maken?

Voorzitter. Dan de aanpassingen met betrekking tot de verwerking van biometrische gegevens. Er geldt een uitzondering waarbij biometrische gegevens wel verwerkt mogen worden als de betrokkenen daarvoor uitdrukkelijk toestemming hebben gegeven of als er sprake is van een zwaarwegend algemeen belang. Er bleek op dit punt behoefte te zijn aan verduidelijking. Maar het CDA mist de verduidelijking over de inzet van gezichtsherkenning bij ordeverstorende acties, zoals bij het tegengaan van voetbalgeweld en de handhaving van stadionverboden. Biedt dit wetsvoorstel ruimte om gezichtsherkenning in zulke situaties in te zetten of juist niet? Ik verwijs ook naar de aangenomen motie-Boswijk, waarin gevraagd is om onderzoek te doen naar dit punt. Hoe staat het met de uitvoering van die motie, vraag ik de staatssecretaris. Kan de staatssecretaris garanderen dat deze wetswijziging de inzet van gezichtsherkenning in zulke situaties in ieder geval niet uitsluit? De Kamer heeft namelijk specifiek gevraagd heeft om daar onderzoek naar te doen.

Voorzitter. In de Uitvoeringswet AVG zijn ook de taken en bevoegdheden van de toezichthouder, de AP, vastgelegd. Dit is anders dan bijvoorbeeld bij de ACM en het ATR, die een aparte instellingswet hebben waarin hun taken en bevoegdheden zijn beschreven. Daarom is het goed om bij deze wetsbehandeling ook stil te staan bij de taakuitoefening door de AP. Daar valt namelijk gewoon heel veel over te zeggen.

Voorzitter. Er is een brede evaluatie naar het functioneren van de AP afgerond en er is een aantal stappen in gang gezet. Een van de allerbelangrijkste punten is dat het beleid van de Autoriteit Persoonsgegevens op het gebied van handhaving en normuitleg, veel onduidelijkheid met zich meebrengt. Met andere woorden: het is voor burgers, verenigingen en bedrijven vaak niet helder wat nou wel en niet mag. Daarbij verloopt het contact met de AP stroef, worden de contacturen steeds verder ingeperkt en is er geen open dialoog of consultatie met de samenleving. Dat moet anders. Dat erkent de AP zelf ook. Onafhankelijk toezicht moet altijd samengaan met publieke verantwoording. Bij de AP speelt juist ook mee dat het gaat om vergaande Europese regelgeving. De daaruit voortvloeiende institutionele inbedding dreigt de uitoefening van deze bevoegdheden uit de nationale staatsrechtelijke structuur te onttrekken. De Raad van State wijst nadrukkelijk op dit risico. Dat kan ertoe leiden dat de ministeriële verantwoordelijkheid in het geding komt. Denk bijvoorbeeld aan het feit dat de minister geen beleidsregels kan opleggen aan de AP, maar wel aan de ACM.

De AP ziet toe op de naleving van vaak algemeen geformuleerde regels die gelden voor de hele samenleving, van de publieke sector tot private bedrijven, burgers en het maatschappelijk middenveld. De AP heeft enorm veel taken: uitvoering, toezicht, sanctionering, geschilbeslechting en pseudoregelgeving. De AP heeft ook zeer ruime bevoegdheden ten aanzien van de invulling van wettelijke open normen. Het afleggen van verantwoording over de uitvoering van deze taken en de daarbij komende bevoegdheden, is van groot maatschappelijk belang. Burgers, bedrijven en het maatschappelijk middenveld moeten kunnen zien wie van de overheid waarop aanspreekbaar is. Dat geldt ook voor toezichthouders zoals de AP.

Als we willen dat de AP meer en betere publieke verantwoording aflegt over de uitvoering van haar taken, dan moet zij dat zelf doen of moet dat worden vastgelegd in de UAVG. Op het eerste punt zien we inderdaad goede voornemens. Wij stellen voor om dat ook in de UAVG vast te leggen, zodat wij hierin onze verantwoordelijkheid als wetgever nemen. Het gaat dan niet alleen om consultatie, maar ook om beleid rondom handhaving en normuitleg. Dat moet gewoon openbaar.

Wij hebben daarvoor een amendement ingediend. Ik citeer maar even: "Onafhankelijk toezicht en publieke verantwoording kunnen heel goed samengaan, mits de toezichthouder bereid is om zich open te stellen voor opbouwende kritiek en andere inbreng vanuit de samenleving. Daaraan kan de wetgever bijdragen door het scheppen van de juiste voorwaarden in de wettelijke regelgeving die aan het toezicht ten grondslag ligt." Dat zijn niet mijn woorden, maar dat zijn de woorden van Peter Hustinx, voormalig voorzitter van de Europese Toezichthouder voor Gegevensbescherming, die dat schreef in het Nederlands Juristenblad, in 2023 al. Ik ben benieuwd of de staatssecretaris misschien in een andere rol dat blad nog weleens gelezen heeft. We leggen in het amendement vast dat het beleid geconsulteerd moet worden. De AP heeft een zeer brede rol in de samenleving, omdat de bescherming van privacy door alle sectoren en lagen van de samenleving heen gaat. Het is belangrijk dat de AP zich openstelt voor opbouwende kritiek en geluiden vanuit de samenleving. Dan wordt de taakuitoefening van de AP beter, maar wordt er ook steviger draagvlak vanuit de samenleving gecreëerd. Dat is in ieders belang.

Tot slot heb ik een vraag over het toezicht op cookies. Daar moeten veel en veel meer acties op ondernomen worden, net als op het digitale toezicht in brede zin. De AP heeft in een recente brief gevraagd om ervoor te zorgen dat het toezicht op cookies ook bij de Autoriteit Persoonsgegevens komt te liggen, in plaats van bij de ACM, omdat het toezicht hierop bij de ACM geen prioriteit zou hebben. De AP geeft aan dat dit afgestemd is met de ACM, maar dat er wel een wetswijziging nodig is. Mijn vraag aan de staatssecretaris is: klopt het dat deze afstemming ertoe geleid heeft dat dat toezicht op cookies bij de AP zou moeten komen te liggen? Zo ja, is de staatssecretaris bereid om de benodigde wetswijziging hiervoor in gang te zetten? Voor het CDA is belangrijker dan de vraag bij wie het ligt dat het toezicht hierop echt wordt opgepakt. Het moet gewoon gebeuren. Als het bij de AP komt te liggen, hebben we dan ook de garantie dat de AP het kan oppakken? Er komen nu al veel signalen over capaciteitsproblemen.

Tot slot. Dit wetsvoorstel ligt er al een tijdje, maar de ontwikkelingen gaan ook heel snel. Ook hierover heeft de AP een brief gestuurd, met de vraag om enkele extra bepalingen in de UAVG te regelen. Volgens mij ziet het amendement van NSC op een van deze punten. Specifiek gaat mijn vraag over de vraag van de AP om haar de mogelijkheid te geven een toezeggingsbesluit te kunnen nemen. De gedachte is dat je daarmee van tevoren meer preventief kunt ingrijpen en organisaties nog voor ze de overtreding begaan kunt bijsturen. Hoe kijkt de staatssecretaris hiernaar? Heeft hij overwogen om dit nog mee te nemen in deze wet?

Dank u wel.

De voorzitter:
Dank u wel, meneer Krul, voor uw inbreng namens het CDA. Ik zie de laatste spreker van de zijde van de Kamer in dit debat al opveren en naar voren komen lopen. Dat is de heer El Abassi namens DENK.

De heer El Abassi (DENK):
Voorzitter, dank. We gaan weer door met de marathon.

Nederland kampt met data-obesitas. De honger naar onze gegevens is onverzadigbaar. Van de politie tot gezondheidsorganisaties, van Chinezen tot Amerikaanse bedrijven: iedereen jaagt op onze data. Net zoals we obesitas als een ernstig signaal zien, moeten we deze datahonger ook serieus nemen. De drang naar steeds meer toegang tot steeds meer van onze gegevens door steeds meer partijen mag niet normaal worden. Het schuurt met onze grondrechten, zoals vastgelegd in de Grondwet, het EVRM en het EU-Handvest. De AVG is een cruciale mijlpaal in de bescherming van onze persoonsgegevens. Dat moet benoemd en erkend worden.

Maar de huidige verzamelwet roept juist twijfels op. Onze privacy staat namelijk onder barstende druk. Deze wet lijkt eerder te verklaren waarom die druk noodzakelijk is, dan aan te geven hoe we die druk kunnen verminderen met z'n allen.

Neem bijvoorbeeld de uitzondering op het verbod op het verwerken van bijzondere persoonsgegevens wegens een zwaarwegend algemeen belang. Ik hoorde die net al langskomen. De Raad van State wijst er niet alleen op dat deze uitzondering te vaak wordt aangehaald in de verzamelwet, maar ook dat dit wordt gedaan zonder dat het zwaarwegend algemeen belang altijd evident is. Is de minister het ermee eens dat dit dit te vaag en onwenselijk is? Ik zie namelijk niet dat de regering er zelf veel aan hecht om deze normen en uitzonderingen af te bakenen en te concretiseren. De regering doet deze ernstige kwestie veeleer simpelweg af door te zeggen dat het niet mogelijk is gebleken om een algemeen geldend wegingskader op te stellen voor wat een zwaarwegend belang voor een uitzondering zou kunnen zijn.

De regering kiest er met andere woorden voor om "zwaarwegend belang" vaag te houden, omdat het concreet maken ook nog eens lastig zou zijn. Dat is verbijsterend. De regering schuift deze verantwoordelijkheid dus als een hete aardappel door naar de rechtspraak en de rechtspraktijk, om op termijn een concretere definitie eraan te verbinden. Niet omdat het onmogelijk is voor de regering, maar omdat het lastig is. Waarom voert de staatssecretaris deze taak niet zelf uit, zou ik hem willen vragen. Waarom delegeert hij zijn taak zowel in tijd als in functie, terwijl hij de aangewezen persoon is om deze normen concreter in dit stadium in te vullen?

Erkent de staatssecretaris bovendien dat hij met zo'n houding bij voorbaat uitgaat van onvermijdelijk misbruik van deze norm en dat hij misbruik eigenlijk op de koop toeneemt, totdat de rechtspraak het rechttrekt? Is dat goed en verantwoord bestuur volgens hem, wanneer het op onze fundamentele rechten aankomt? Is dat hoe je met burgers omgaat? We zien ook dat veel van deze besluiten over onze gegevens in bulk worden genomen. De verleiding is daarbij helaas vaak groot om het te delegeren aan algoritmes.

Dat is enerzijds aanlokkelijk vanwege de grote efficiëntie van algoritmes. Anderzijds weten we ook hoe faliekant fout dit kan gaan. Daarom maak ik me ook zorgen, zeker als fundamentele rechten in het geding zijn. Ik hoef het woord "toeslagenmisdaad" maar te noemen en iedereen hier weet waar ik het over heb. Kan de staatssecretaris garanderen dat bij een zwaarwegend belang, waar fundamentele rechten in het geding kunnen komen, besluiten door mensen worden genomen, onderbouwd en onafhankelijk getoetst? Wordt met andere woorden de menselijke maat volgens de staatssecretaris gewaarborgd? Zo ja, waar blijkt dat uit? Ik kan het niet teruglezen.

Voorzitter. Dan transactiemonitoring. Onder deze wet kunnen financiële instellingen geautomatiseerd transacties blokkeren. Dit draagt wederom bij aan de efficiency, maar de praktijk heeft inmiddels ook al duidelijk de schaduwkant aangetoond. Het wordt eens tijd dat we daar wat tegen gaan doen. Mensen en organisaties met een islamitisch klinkende naam worden buitenproportioneel vaak gediscrimineerd door financiële instellingen. Dit is geen hypothetische situatie meer. Er hebben al meerdere zaken voor het College voor de Rechten van de Mens plaatsgevonden en de conclusie is helaas snoeihard: financiële discriminatie van moslims is helaas aan de orde van de dag hier in Nederland.

Voorzitter. En toch zie ik niets, maar dan ook niets in het wetsvoorstel dat dit probleem adresseert. Waarom? Het lijkt wel alsof we onze ogen hiervoor willen sluiten. Dit is het minste wat ik in deze wet terug had willen lezen. Kan de staatssecretaris uitleggen hoe hij voorkomt dat deze wet de financiële discriminatie van moslims verder in de hand werkt, door gegevensdeling juist te vergemakkelijken? Hoe voorziet deze wet in waarborgen om de mogelijk geautomatiseerde discriminatie van personen op basis van nationaliteit, etniciteit, religie en andere gronden tegen te gaan, zoals we die nu veelvuldig zien bij financiële instellingen? Gaat deze verzamelwet het bestaande probleem bij financiële instellingen niet alleen maar vergroten? Dat is namelijk wat ik hierin zie.

Voorzitter. DENK hamert op deze punten omdat de digitalisering van de samenleving veel sneller gaat dan de doorsneeburger kan bijbenen. Mensen hebben namelijk doorgaans het gevoel dat ze geen keuze hebben. Ze moeten hun gegevens afstaan en hebben geen flauw benul wat ermee gebeurt, wie ze opslaat en waarom het zo noodzakelijk is dat iedereen maar bij hun persoonsgegevens kan blijven komen. Het ergste is dat veel van de instanties en organisaties die aan het hunkeren zijn naar onze gegevens, dat zelf ook niet altijd goed kunnen verklaren. Toch lijkt alles, ook deze verzamelwet, onverkort in dienst te staan van hoe grote organisaties en bedrijven steeds makkelijker en vrijer gegevens van burgers met elkaar kunnen delen, op basis van een wettelijke grondslag.

Voorzitter. Wat DENK betreft gaan we hier echt te lichtvoetig mee om. Daarom heb ik een aantal vragen en ben ik benieuwd of de staatssecretaris hier ook op kan reageren. Gaat de staatssecretaris ervoor zorgen dat de Autoriteit Persoonsgegevens meer tanden krijgt? Gaat hij ervoor zorgen dat de Autoriteit Persoonsgegevens schadevergoedingen kan opleggen bij schendingen van fundamentele rechten? En wanneer rechten van burgers worden geschonden, moet de Autoriteit Persoonsgegevens slagkracht hebben om zowel het respect van de schender als het vertrouwen van de slachtoffers van dataschennis te winnen. Dit zou de getroffenen direct recht doen en organisaties scherper houden.

In het verlengde daarvan wil ik de staatssecretaris ook vragen, hoeveel extra budget hij bereid is om de Autoriteit Persoonsgegevens te geven om de capaciteitsproblemen aan te pakken. Het kost uiteindelijk toch altijd geld. Is hij het ermee eens dat de Autoriteit Persoonsgegevens haar onderzoeken sneller en effectiever kan uitvoeren met meer budget? Extra financiering is namelijk essentieel, niet alleen voor betere handhaving voor de Autoriteit Persoonsgegevens zelf, maar op de lange termijn ook om bedrijven sneller duidelijkheid te geven over hun verplichtingen. Daar wachten ze nu altijd te lang op. Is de minister het eens dat de versterking van de Autoriteit Persoonsgegevens daarom een cruciale voorwaarde is? En kan de positie van de functionaris gegevensbescherming worden versterkt door bijvoorbeeld een verplichte interne toezichthouder te eisen bij bedrijven en organisaties die veelvuldig met persoonsgegevens willen werken?

Voorzitter. Organisaties moeten wat DENK betreft intern beter gecontroleerd worden op hun omgang met persoonsgegevens. Zij moeten daar beter mee omgaan als ze aangeven hier noodzakelijkerwijs gebruik van te moeten maken. Een verplichte functionaris gegevensbescherming kan zorgen voor meer transparantie en verantwoordelijkheid, zodat burgers niet aan het kortste eind trekken. Dat willen we hier in dit huis hopelijk allemaal niet. Welke waarborgen uit de verzamelwet moeten bedrijven bovendien verplichten om gegevens anoniem op te slaan en de privacy van burgers te beschermen bij datalekken? Datalekken blijven een risico, zoals ook, neem ik aan, de staatssecretaris heel goed weet. Bedrijven moeten daarom verplicht worden om gegevens effectief te anonimiseren, zodat bij een lek de impact minimaal is. Ten slotte mijn laatste vraag: kan de staatssecretaris hierop reageren en vertellen hoe hij dit in de wet heeft geregeld of wil gaan regelen?

Voorzitter, dank u wel.

De voorzitter:
Dank u wel, meneer El Abassi, voor uw inbreng namens DENK. Ik zie geen verdere interrupties. Dat betekent dus dat we aan het einde zijn gekomen van deze termijn van de zijde van de Kamer.

Ik kijk heel even naar de klok. Er zijn best wat vragen gesteld en ik wil de schorsing combineren met de dinerpauze. Ik zou willen voorstellen om tot 20.00 uur te schorsen. Ik kijk heel even naar de staatssecretaris: die zie ik knikken. Dan schors ik tot 20.00 uur.

Daarbij wil ik de staatssecretaris nog wel vragen om ook de appreciatie van de drie amendementen mee te nemen. Dat helpt namelijk altijd wel om te beoordelen of er nog aanvullende moties nodig zijn in de tweede termijn van de zijde van de Kamer.

Ik schors tot 20.00 uur. Eet smakelijk, allemaal.

De vergadering wordt van 18.54 uur tot 20.00 uur geschorst.

De voorzitter:
Ik heropen de vergadering. Aan de orde is de wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht, oftewel de Verzamelwet gegevensbescherming (36264).

We hebben voor de dinerpauze de eerste termijn gehad van de zijde van de Kamer. Er zijn inmiddels drie amendementen ingediend. Er zijn ook behoorlijk wat vragen op de staatssecretaris afgevuurd. Hij staat al klaar om die vragen allemaal te gaan beantwoorden. Daartoe geef ik hem het woord.

Staatssecretaris Struycken:
Dank u wel, voorzitter. Het verheugt mij dat wij nu, na een technische briefing in maart van het jaar 2023 en een rondetafelgesprek in december 2024, dit voorstel plenair kunnen behandelen. Toepassing van de AVG en de bijbehorende wet- en regelgeving wordt vaak complex gevonden. Het gevoel bestaat dat er weinig kan. Er werd door uw Kamer vandaag gerefereerd aan "het AVG-slot", terwijl de AVG een kan-wet zou moeten zijn in de beleving. "Handelingsverlegenheid" is hier een kernwoord. Als oplossing wordt vaak gesuggereerd om zo veel mogelijk te regelen en vast te leggen in de Uitroeringswet AVG of in sectorale wetgeving. Als wetgeving nodig is, dan moet en zal die uiteraard tot stand komen. Ik weet dat veel collega-bewindspersonen drukdoende zijn met wet- en regelgeving, ieder op hun eigen terrein. In vrijwel ieder wetsvoorstel bevindt zich tegenwoordig wel een passage over het verwerken en het delen van persoonsgegevens. Dat is onvermijdelijk en goed.

Toch moet ik ook waarschuwen voor wat ik in het commissiedebat van 18 maart al noemde: de regelreflex. Wetgeving zal namelijk niet altijd de gewenste oplossing bieden en leidt in ieder geval tot meer regeldruk. Regeldruk is iets wat we nou juist een halt willen toeroepen. De ervaring leert dat bij het creëren van grondslagen ook discussies ontstaan over de waarborgen. Meer gedetailleerde regels kunnen dan ook juist weer tot verlamming leiden. Wel zal iets gedaan moeten worden aan de genoemde handelingsverlegenheid door betere voorlichting vanuit de overheid, vanuit de Autoriteit Persoonsgegevens, maar ook vanuit de functionarissen gegevensbescherming. Daarom zetten wij in, zoals ik in het commissiedebat ook toelichtte, op het versterken van de functionaris gegevensbescherming, zodat ook meer kennis beschikbaar komt binnen de organisaties en daarmee nauwe kennis van de primaire processen in die organisaties. Terughoudendheid wordt lang niet altijd veroorzaakt, en dus ook lang niet altijd opgelost, door wetgeving. Het is vaak een kwestie van onzekerheid, onervarenheid of onduidelijkheid over de eigen taakuitvoering en heel soms ook van gemakzucht.

Een ander belangrijk punt van aandacht dat ik beluisterde in uw bijdragen zijn de rol van en de taakvervulling door de Autoriteit Persoonsgegevens. U zult begrijpen dat mij daar, gelet op de onafhankelijkheid van de Autoriteit Persoonsgegevens, terughoudendheid past. Ik heb echter goed gehoord wat de heer Krul naar voren bracht. Dat is een duidelijke uiteenzetting van de situatie. Hij gaf weer wat de samenleving van de autoriteit verwacht en mag verwachten. Maar het is ook van belang te constateren dat de Autoriteit Persoonsgegevens heeft toegezegd dat zij regelmatig zal gaan communiceren over de verbeteracties die zij inzet en de voortgang daarvan. Ook zal zij periodiek verantwoording afleggen. Als het gaat over de taken en de bevoegdheden van de Autoriteit Persoonsgegevens, over de positie van de Autoriteit Persoonsgegevens in ons staatsrechtelijk bestel en ook over het budget van de Autoriteit Persoonsgegevens, zijn dat allemaal onderwerpen waarop ik terugkom in de aangekondigde Kamerbrief, die reageert op de evaluatie die in opdracht van de AP is uitgevoerd en het reflectierapport dat de AP daarbij heeft gevoegd. Ik heb aangekondigd die Kamerbrief nog voor het meireces te sturen. Maar ik vind het van belang om ook met de Autoriteit Persoonsgegevens zelf daarover te kunnen spreken, dus ik verwacht een aantal weken meer daarvoor nodig te hebben. Maar dat zal nog voor het zomerreces zijn.

Ik gaf het al aan: als het nodig is, moet wetgeving tot stand worden gebracht. Ook door uw Kamer wordt voortdurend aandacht gevraagd voor nieuwe inzichten, uitspraken en ontwikkelingen die zich zullen blijven voordoen in het dynamische rechtsgebied van het gegevensbeschermingsrecht in een steeds veranderende samenleving met steeds nieuwe technologieën. De verzamelwet die we vandaag behandelen zal zeker niet het laatste voorstel tot wijziging van de Uitvoeringswet AVG zijn.

Een brede verzamelwet, zoals we vandaag behandelen, is echter niet de vorm die ik nogmaals zou willen voorstellen. De verzamelwet zoals we die nu op tafel hebben, is niet een verzamelwet in de zin van een wet die enkele technische correcties aanbrengt. Het is een beleidsinhoudelijke verzamelwet die raakt aan de beleidsverantwoordelijkheid van veel andere bewindspersonen. Zo'n wet is complex, vraagt veel afstemming en ziet ook op sectoren waar ik als verantwoordelijk bewindspersoon voor dit wetsvoorstel onvoldoende zicht op heb. Daarom denk ik dat we niet opnieuw zouden moeten kiezen voor een brede verzamelwet, zoals we thans behandelen, maar zouden we moeten kiezen voor een regelmatige actualisering van de Uitvoeringswet AVG, met de focus daarop. Het gaat dan dus om de algemene wet en niet ook over andere wetgeving die in essentie sectorale wetgeving is. Ik kom daar straks nog even op terug.

Voorzitter. Ik heb een aantal blokjes. Ik begin met wat ik de wetgevingssystematiek heb genoemd, dus de algemene vragen die naar voren zijn gebracht over de keuzes die we hebben als het gaat om wetgevingssystematiek. Dan ga ik in op twee specifieke thema's. Ten eerste is dat het gebruik van biometrische gegevens in verband met de problematiek van het zwaarwegende belang. Beide zijn gekoppeld aan artikel 29 van de uitvoeringswet. Dan de problematiek van jongeren en leeftijd — één kernelement van de verzamelwet. Dan komen er nog een aantal andere inhoudelijke privacyonderwerpen die verband houden met deze wet en die ik nog niet genoemd heb. Dan heb ik nog een aantal overige vragen en sluit ik af met een appreciatie van de drie amendementen.

Wat de wetgevingssystematiek betreft: de problematiek van het AVG-slot. Mevrouw Kathmann heeft daar uitvoerig aandacht voor gevraagd. Ik maakte in mijn inleiding al duidelijk dat ik de mening deel dat handelingsverlegenheid nu een groot probleem is. De handelingsverlegenheid is schadelijk en onwenselijk. Deze zet de AVG in een verkeerd daglicht en creëert maatschappelijke problemen. Deze werkt verlammend en dat is een slechte zaak. Maar zo is de AVG nooit bedoeld. Laten we elke keer weer vooropstellen dat de AVG is bedoeld als een regeling die het vrije verkeer van persoonsgegevens bevordert en consumenten in verband daarmee beschermt. Overweging 4 van de AVG benadrukt niet voor niets dat de verwerking van persoonsgegevens in dienst moet staan van de mens. Deze stelt duidelijk dat hoewel de bescherming van persoonsgegevens essentieel is, het geen absoluut recht is en dat het recht in balans moet zijn met de andere grondrechten. Dit moet allemaal in lijn met het evenredigheidsbeginsel zijn.

In zekere zin zou je kunnen zeggen dat we beter moeten leren roeien met de riemen die we hebben. Dat klinkt negatief, maar dat is een andere manier om te zeggen dat er vaak meer mogelijk is dan gedacht wordt. Met de riemen die we hebben komen we een heel end, alleen moeten we daar meer ruimte aan geven. Grondslagen voor gegevensverwerking worden soms onnodig restrictief geïnterpreteerd. Met de verwerkingsgrondslag toestemming lijkt ook meer te kunnen dan lange tijd verondersteld werd. We moeten dan ook blijven kijken naar de beste oplossingen. Nadenken over nieuwe wetgeving en het herzien van wetgeving zijn daar een onderdeel van, maar dat is niet de enige manier.

Wat betreft de aanpak van de knelpunten die het Netwerk van Publieke Dienstverleners ervaart, is de minister van Sociale Zaken en Werkgelegenheid de coördinerend minister voor het project Werk aan Uitvoering. Ik noem die knelpunten omdat het een belangrijk voorbeeld is van een document waarin die knelpunten zijn gesignaleerd. Die moeten sectoraal worden opgepakt.

Mevrouw Kathmann had een algemene vraag. Zij vroeg wanneer een grondslag of uitzondering verstrekkend genoeg is om een nieuwe wet te rechtvaardigen. Hoe bepalen we nou of een grondslag of uitzondering in de UAVG of in een sectorwet thuishoort? Wat hoort wel en niet thuis in een verzamelwet? Of een uitzondering of een grondslag in een sectorwet of in de UAVG moet worden opgenomen, hangt af van het onderwerp. Als dit hoort bij een bepaalde sector, dan past deze het beste in sectorwetgeving, want dan kunnen bepalingen ook het beste worden toegesneden op het betreffende rechtsgebied of het maatschappelijk veld. Er zijn ook thema's die de sectorwet overstijgen, zoals het gebruik van bijzondere persoonsgegevens ten behoeve van statistiek of van wetenschappelijk of historisch onderzoek. Dat zijn dus onderwerpen die typisch aan de UAVG behoren. Ook kan er voor een UAVG gekozen worden als er nog geen sectorwet bestaat, zoals bij het gebruik van bijzondere persoonsgegevens door de reclassering. Maar het blijft een keuze, een afweging. Het antwoord op de vraag waar dit het beste bij past, is niet altijd evident.

De heer Valize vroeg hoe ik verder wil. Tijdens het debat op 18 maart heb ik al begrip gevraagd voor de beperking in de reikwijdte van het voorstel dat we vandaag bespreken. Dat betekent eigenlijk dat we de verleiding moeten weerstaan om hier extra onderwerpen in op te nemen, om vertraging te vermijden. Maar ik heb u toen toegezegd dat we gaan werken aan een brede revisie van de UAVG. De onderwerpen die toen en vandaag aan de orde zijn gekomen en de onderwerpen die ook besloten liggen in de eerdere adviezen van de Raad van State en van de Autoriteit Persoonsgegevens en anderen zijn voor zover niet opgenomen in deze verzamelwet, en ook de onderwerpen die bij de rondetafel aan de orde zijn gekomen zijn allemaal onderwerpen die we met elkaar moeten agenderen voor een nadere revisie — ik noem het nu een actualisering — van de UAVG. Daarbij moeten we, conform de suggestie van de heer Valize, uiteraard goed kijken wat er in andere Europese lidstaten gebeurt met de AVG om daar inspiratie aan te ontlenen, ook als het gaat om grondslagen en uitzonderingen.

Mevrouw Kathmann doet een voorstel voor hoe verder te gaan. Dat is een voorstel aan uw Kamer. Het is in eerste instantie dus aan uw Kamer om te bepalen hoe u hiermee verder wilt, maar ik spreek gaarne mijn bereidheid uit om mij daar ook op te richten. Een aandachtspunt is de vraag wat waar thuishoort. Ik gaf al aan dat dit typisch wetgeving betreft waarvoor iedere bewindspersoon in zijn domein een eigen verantwoordelijkheid draagt. Het is een onderwerp dat inmiddels in vrijwel elke wet een plaats hoort te krijgen en daarmee ook een sectorspecifieke toepassing moet krijgen.

Ik ben gaarne bereid om over de Uitvoeringswet AVG en ook over andere wetten die tot mijn portefeuille behoren in gesprek te gaan met de relevante sectoren om knelpunten in kaart te brengen en indien nodig uit te werken en ze dan voor te leggen aan uw Kamer. Dat kan onderdeel zijn van een cyclisch proces van actualisering. Het lijkt me een goede zaak dat we streven naar het periodiek inventariseren van knelpunten en van tijd tot tijd kiezen voor actualisering. Ik noem dat nu niet een verzamelwet, om de redenen die ik heb genoemd, maar een actualisering van de UAVG, de algemene wet die tot mijn portefeuille behoort. Daartoe span ik mij gaarne in. Daarmee doe ik eigenlijk ook impliciet de suggestie dat de Kamer een vergelijkbare afspraak moet maken met de andere bewindspersonen van de betreffende departementen om de knelpunten in de sector te inventariseren. Het is niet realistisch voor mij om daar een coördinerende rol in te vervullen door de knelpunten van al die andere ministeries te inventariseren en die allemaal tezamen hier neer te leggen.

Mevrouw Kathmann (GroenLinks-PvdA):
Ik was aan het begin heel blij met het antwoord, want toen dacht ik: hé, hoor ik daar nu toch iets over een coördinerende functie? Want we hebben wel een probleem: het feit dat ieder departement eigenlijk aan de lat staat om dit goed te regelen, maakt dat we het niet regelen. Als we van dat AVG-slot af willen, zal er een bepaalde mate van coördinatie moeten zijn om van dat AVG-slot af te komen. Dus is er nog een stap te maken of kan er in ieder geval een soort coördinatie zijn, zodat we het hier bij elkaar brengen? We kunnen ook meerdere bewindspersonen uitnodigen. Misschien kunnen dat niet alle bewindspersonen zijn, maar met vier komen we misschien al heel ver. Zijn dat wel stappen die we zouden kunnen zetten?

Staatssecretaris Struycken:
Ik kan me voorstellen dat het van belang is dat we een breed beeld houden op alle knelpunten die worden gesignaleerd, maar het op gang houden van het proces om die knelpunten te inventariseren … Er is nog een andere reden waarom ik het van belang vind dat iedere bewindspersoon daar zelf verantwoordelijkheid voor neemt en ook op aangesproken wordt, ook vanuit uw Kamer, want het moet een onderdeel worden: gegevensbescherming is een onvermijdelijk onderdeel van alles wat er gebeurt op het vlak van wetgeving. De vraag moet op tafel liggen bij elke bewindspersoon. Ik denk dat het, zeker waar het sectorgebonden is en waar het dus sectorale wetgeving betreft, ook het beste behandeld kan worden in de betreffende Kamercommissie, waar de affiniteit met de sector het grootst is. Ik denk dus dat er ook een belang mee gemoeid is dat vanuit uw Kamer maar dus ook vanuit de andere commissies binnen uw Kamer die actualisering van relevante wetgeving op basis van een inventarisatie van knelpunten plaatsvindt in een dialoog tussen uw Kamer en elke bewindspersoon afzonderlijk.

Dan blijft nog een beetje de vraag over ten aanzien van de helikopterfunctie, het zien wat er overal gebeurt en kijken of daar lijnen in zitten en of er misschien ook een overkoepelend instrument nodig is. Ik kan me voorstellen dat wij de vinger wel aan de pols houden, maar ik aarzel erover of ik die coördinerende taak vanuit mijn departement waar kan maken, ook omdat de eigen verantwoordelijkheid van de bewindspersoon om die verantwoording rechtstreeks in relatie tot uw Kamer te nemen, dan verloren gaat.

De voorzitter:
U heeft nog een interruptie van mevrouw Dral, VVD.

Mevrouw Dral (VVD):
U zegt dat iedere bewindspersonen zelf verantwoordelijk is, maar deze discussie wordt al jaren gevoerd en niemand neemt die verantwoordelijkheid. Ik denk dat het, als we dit echt goed willen kunnen oplossen, juist heel belangrijk is dat er een overzicht van al die knelpunten komt, want dit is in de hele samenleving een probleem. Op het moment dat we een goed overzicht hebben, kunnen we ook goed prioriteren. Ik gaf al aan dat we het niet allemaal tegelijkertijd kunnen doen, maar ik denk dat het wel heel belangrijk is dat iemand een voortrekkersrol neemt. Volgens mij is het goed dat de Kamer in ieder geval één groot overzicht krijgt van al deze problematiek en dat het daarna weer naar andere departementen gaat, maar ik denk dat we ergens moeten beginnen om een goed overzicht te krijgen.

Staatssecretaris Struycken:
Mijn vrees is dat het een veel grotere klus is dan het lijkt om die knelpunten te inventariseren. Dat moeten de verschillende bewindspersonen en ministeries echt zelf doen, want het betekent ook dat er gepraat moet gaan worden met de organisaties die in het veld op dat vlak actief zijn. Als die rol neergelegd wordt bij één bewindspersoon — dat zou misschien de staatssecretaris Rechtsbescherming kunnen zijn — en als je die knelpunten echt goed wil inventariseren, moet ik gaan praten met al die verschillende organisaties in het veld bij Onderwijs of bij Sociale Zaken. Dat is niet realistisch; dat kan ik met mijn mensen niet waarmaken. Het is bovendien van belang dat de minister van Onderwijs of de minister van Sociale Zaken zelf met die organisaties gaat praten in het licht van de vraag wat de knelpunten zijn. Daar moeten ze zelf over rapporteren aan uw Kamer. Dan moeten ze mij een kopie sturen, zodat ik het wel op een rij kan leggen. Dat ben ik gaarne met u eens, maar ik kan niet de verantwoordelijkheid dragen om per ministerie in het veld de knelpunten te gaan analyseren. Dat moeten ze zelf doen.

De voorzitter:
Een vervolgvraag.

Mevrouw Dral (VVD):
Ik snap dat de staatssecretaris dat niet allemaal zelf gaat doen, maar jullie zitten regelmatig bij elkaar en volgens mij kan er toch besproken worden dat iedereen daar zijn verantwoordelijkheid neemt en dat u dat dan verzamelt en met ons deelt. Het gaat er echt om dat we dit doen na al die jaren, want dat is echt het probleem. Dat merk je ook in de samenleving. Volgens mij willen we dit allemaal oplossen. Maar volgens mij kun je alleen maar iets oplossen op het moment dat de verantwoordelijkheid wordt gepakt en er eerst wordt gekeken waar de problemen zitten. Dan kunnen we goed prioriteren. Volgens mij is dat de volgorde. Ik begrijp dat u dat niet allemaal alleen kunt doen, maar volgens mij kunt u wel uw collega's vragen om dat voor een bepaalde datum te doen en te inventariseren, om dat daarna in één groot overzicht aan de Kamer te geven.

Staatssecretaris Struycken:
Mij is verzekerd dat dat een hele grote klus is. Maar ik zie het belang er wel van. Ik onderschrijf ook dat we op een punt zijn gekomen dat er iets moet gebeuren. De tijden zijn veranderd. Ik hoorde mevrouw Dral zeggen: we praten hier al jaren over. We zijn nu een paar jaar verder. Ik denk dat de actualiteit en de urgentie van het onderwerp duidelijker is geworden, mede dankzij de Autoriteit Persoonsgegevens. Het staat meer op de radar, ook doordat het in sommige sectoren in toenemende mate wordt ervaren als een belasting; dat is de regeldrukproblematiek. Het onderwerp heeft een veel grotere urgentie gekregen in het veld en de maatschappij, maar daarmee ook op de verschillende departementen. Ik denk dus dat er wel wat veranderd is en dat de tijd rijp is om op een nieuwe manier invulling te geven aan die taak. Daar wil ik graag over meedenken. Misschien moet dat onderdeel zijn van het vervolgtraject waarin wij met elkaar nadenken over de manier waarop we dit het beste kunnen aanvliegen. Ik kan me voorstellen dat ik, zoals ik zei, een vinger aan de pols houd. Maar als ik de motor en gangmaker moet zijn om er binnen al die departementen vóór een bepaalde datum voor te zorgen dat er met al die uitvoeringsorganisaties is gepraat … Laat ik het anders zeggen, voorzitter. De tucht van de Kamer werkt beter dan de tucht van de staatssecretaris Rechtsbescherming. Misschien is dat een andere manier om het te zeggen. Nu kijk ik naar mevrouw Kathmann, maar dat is toeval.

De voorzitter:
Ik zie in ieder geval een glimlach op de gezichten.

Staatssecretaris Struycken:
Het is evident dat het van belang is. Ik houd niet op met nadenken hierna. We moeten hierover doordenken, want het is duidelijk dat de knelpunten, en met name het inventariseren van de knelpunten in het veld, cruciaal zijn om het AVG-slot los te krijgen.

Voorzitter. De heer Valize vroeg terecht aandacht voor het Draghi-rapport. Het Draghi-rapport heeft op dit moment een grote invloed op ons denken binnen de Europese Unie. Bij elke reis die ik naar Brussel maak, staat het Draghi-rapport en de inhoud en boodschap daarvan, heel centraal. Dat raakt ook in heel belangrijke mate aan de wind die in Europa waait waarbij heel kritisch wordt gekeken naar regeldruk. Dat gaat over onnodige regeldruk aanpakken en over dereguleren in sommige opzichten. Tegelijkertijd is het ook onderdeel van het regeerprogramma, waarmee de heer Valize bekend is. De minister van Economische Zaken heeft in december jongstleden het Actieprogramma Minder Druk Met Regels gepresenteerd. We zien zowel in Nederland als in Brussel, in de Europese Unie, een inzet op verminderde regeldruk. Dan ligt de AVG boven op het bureau, met name ook bij het mkb, als wetgeving die grootschalig, complex en ingewikkeld is.

De Europese Commissie wil inderdaad de administratieve lasten op allerlei manieren aanpakken. De benadering die in Europa wordt gekozen zijn de Omnibuspakketten. De Europese Commissie heeft inderdaad aangekondigd in dat kader te gaan beoordelen in hoeverre de Europese digitale wetgeving nog aansluit bij de behoefte. Dan volgt een Omnibus voor digitale regelgeving. Ik denk dat het erg van belang is dat wij vanuit Den Haag, mede met de kritische blik van de Kamer, goed gaan volgen wat die Omnibus behelst. Het moet wel een evenwichtig pakket blijven waarin de balans tussen bescherming en gegevensverwerking blijft bestaan.

De voorzitter:
Er is een interruptie van de heer Krul, CDA.

De heer Krul (CDA):
Pleit de staatssecretaris, als hij in Brussel bij zijn collega's is, dan ook expliciet voor een herziening van de GDPR, van de UAVG? Proeft de staatssecretaris bij zijn collega's dat die GDPR, los van de Omnibus, inderdaad expliciet rijp is voor revisie?

Staatssecretaris Struycken:
Ja, ik proef dat zeker. Dit is een thema dat op allerlei punten terugkomt en ook in verschillende contexten, bijvoorbeeld als het gaat om de regeldruk voor het bedrijfsleven in Europa of als het gaat om gegevensuitwisseling in de strafrechtketen. Het thema van het faciliteren van gegevensuitwisseling in de zin van eenvoudiger maken, staat eigenlijk bij elk onderdeel op de agenda.

De voorzitter:
Vervolgt u uw betoog.

Staatssecretaris Struycken:
De heer Valize vroeg nog naar een consultatieplicht, dus naar de verankering van de komst van een consultatieplicht voor normuitleg die meerdere partijen raakt. Ik vind deze suggestie het onderzoeken waard. Ik ben bereid om hierover in gesprek te gaan met de Autoriteit Persoonsgegevens. Consultatie over normuitleg is al gangbaar en verplicht in bijvoorbeeld het Europees Comité voor gegevensbescherming, ook wel EDPB, waarin de Europese gegevensbeschermingstoezichthouders samenwerken. Ik verwijs naar artikel 70, lid 4 van de AVG. Ook hebben gegevensbeschermingstoezichthouders, een lang woord, in diverse Europese lidstaten hiermee al positieve ervaringen. Ik kan nu niet vooruitlopen op de uitkomst van het onderzoek, maar het opnemen van een consultatieplicht in de UAVG komt mij op voorhand niet onmogelijk voor. Ik vind het dus een goed idee. Het voorgaande laat onverlet dat de normuitleg aan de Autoriteit Persoonsgegevens is, maar die rolverdeling hoeft niet te worden aangetast door een verplichting voor de Autoriteit Persoonsgegevens om de nodige kennis te vergaren over de relevante feiten door middel van consultaties en die consultaties mee te nemen in de belangenafweging.

De heer Valize stelde ook een andere vraag met betrekking tot wetgevingssystematiek, namelijk waarom we de bijzondere persoonsgegevensverwerking door accountants nou in deze verzamelwet hebben opgenomen. Laten we vaststellen dat het van belang is dat deze belangrijke kwestie goed geregeld wordt. De inschatting was destijds, een paar jaar geleden dus, dat het opnemen van deze grondslag in dit wetsvoorstel het snelst tot resultaat zou leiden, maar het had evenzeer in een zelfstandig wetstraject geregeld kunnen worden. Op dit moment heeft het geen meerwaarde om dit nu nog uit de verzamelwet te lichten, want het gaat er natuurlijk vooral om dat het nu snel geregeld wordt. Op dit moment is aanvaarding van de verzamelwet de snelste route. Achteraf bezien was een andere keuze een aantal jaren geleden echter goed denkbaar geweest en misschien ook beter.

Mevrouw Kathmann vroeg mij uit te leggen welke nieuwe bepalingen zijn toegevoegd, waarin een regeling wordt gedelegeerd naar een algemene maatregel van bestuur. Het wetsvoorstel kent twee nieuwe delegatiebepalingen. Ten eerste worden in de Wet op het financieel toezicht bij AMvB nadere regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van cliënten in geval van het blokkeren of opschorten van betalingstransacties. Dat is het artikel met letter X van het wetsvoorstel strekkende tot wijziging van artikel 3:17 van de Wft. De tweede nieuwe delegatiebepaling is de ministeriële regeling ten aanzien van de benoeming van de leden van de Autoriteit Persoonsgegevens. Er is ook één delegatiebepaling geschrapt. Dat is de delegatiebepaling van artikel 46, die ziet op de verwerking van het nationaal identificatienummer. De achterliggende vraag is natuurlijk of het nodig is om dit bij AMvB te doen. In deze gevallen wordt dat wenselijk geacht om voldoende flexibiliteit te houden, zodat er later sneller en makkelijker invulling kan worden gegeven aan de uitwerking van deze regeling. Het kader wordt nu in de wet geregeld, maar voor de uitwerking die misschien wat meer technisch en wat minder principieel is, kiezen we voor een AMvB.

Mevrouw Kathmann vroeg ook nog waarom we dit niet gewoon op dit moment uitwerken in de wet of in de memorie van toelichting. Doorgaans gaat het om een technische uitwerking of nadere waarborgen, maar het kan ook gaan om zaken die wat sneller moeten kunnen worden aangepast, zoals dat persoonsgegevens moeten kunnen worden gedeeld met nieuwe organisaties. Niet alles is te voorzien op het moment van het opstellen van de wet en de memorie van toelichting, zeg ik nu in algemene zin. Maar uiteraard verdient het de voorkeur dat wat wel duidelijk is in ieder geval meteen wordt meegenomen in de memorie van toelichting. Maar ik heb in dit wetsvoorstel geen concrete voorbeelden waarin dat achterwege is gebleven.

Mevrouw Kathmann stelde ook nog een andere vraag, over de controle. Eigenlijk is dat een vraag over de controle op regelingen die in een AMvB zijn opgenomen. Ik volsta nu met de opmerking dat AMvB's altijd in internetconsultatie worden gebracht en worden voorgelegd aan de Raad van State. Als ze over gegevensverwerking gaan, worden ze ook voorgelegd aan de Autoriteit Persoonsgegevens. Ze zijn dus vroegtijdig openbaar, ook voor de Kamer. Er zijn natuurlijk voorbeelden van situaties waarin de Kamer naar aanleiding daarvan de bewindspersoon naar de Kamer heeft geroepen.

Dit waren mijn opmerkingen over wat ik maar even "de algemene wetgevingssystematiek" genoemd heb.

De voorzitter:
Ik kijk heel even rond of er nog antwoorden op vragen gemist worden. Dat is niet zo. Dan gaan we door naar het tweede blokje.

Staatssecretaris Struycken:
Ja. Dat betreft een specifiek maar wel belangrijk onderwerp: het gebruik van biometrische gegevens en de problematiek van het zwaarwegend belang.

De vraag van de heer Van Waveren, mede namens de heer Six Dijkstra, was of betrokkenen het recht behouden om te weigeren dat hun biometrische gegevens als authentificatiemiddel gebruikt worden voor locaties, zonder dat er sprake is van een zwaarwegend belang. Het voorbeeld van de sportschool is aansprekend. Ja, betrokkenen behouden het recht dat te weigeren. Artikel 29 UAVG geldt, zoals u weet, alleen indien het verwerken van biometrische gegevens noodzakelijk is om redenen van zwaarwegend algemeen belang voor beveiligings- of authentificatiedoeleinden. Wanneer van zo'n zwaarwegend algemeen belang geen sprake is, zoals in een sportschool, dan blijft toestemming van de betrokkene vereist. Die toestemming moet duidelijk, actief en in vrijheid zijn gegeven. Dat betekent dus ook dat iemand niet voor het blok mag worden gezet. Als er, zoals in het voorbeeld, alleen via toegangspoortjes met gebruikmaking van biometrische gegevens toegang kan worden verkregen tot de sportschool, dan is er dus niet voldaan aan de vereisten die wij stellen ter invulling van het begrip "toestemming". Degenen die niet door de poortjes willen omdat er dan gebruik wordt gemaakt van biometrische gegevens moet dus een alternatief worden geboden om toch toegang te krijgen.

Een variant op die vraag werd ook gesteld door de heer Van Waveren. Die ziet op biomedische gegevens om toegang te krijgen tot winkels. De Autoriteit Persoonsgegevens heeft in haar brief van 5 juni 2020 de supermarkten gewezen op de regels voor gezichtsherkenning in winkels. Het wettelijk kader staat niet toe dat zonder uitdrukkelijke toestemming gezichtsherkenning wordt gebruikt voor toelating van mensen tot supermarkten. Het is niet aan mij om dat actief te voorkomen. Elke verwerkingsverantwoordelijke, zo ook de supermarkten, moet zelf de regels naleven. Zo nodig houdt de Autoriteit Persoonsgegevens daarop toezicht.

De heer Krul vroeg in dit verband naar gezichtsherkenning in voetbalstadions. Hij stelde die vraag in verband met de verzamelwet. Het wetsvoorstel, de verzamelwet, kent geen specifieke regels over gezichtsherkenning bij voetbalstadions. Hiervoor gelden dus de algemene regels. In de voortgangsbrief veilig en gastvrij betaald voetbal van 15 januari 2025 is de minister van Justitie en Veiligheid ingegaan op de motie-Boswijk over een plan om met meer en slimmere camera's rond de stadions relschoppers op de radar te krijgen. Graag verwijs ik u daarnaar.

Mevrouw Kathmann stelde een vraag in verband met de term "verificatie". Artikel 9 van de AVG verbiedt de verwerking van biometrische persoonsgegevens wanneer die worden gebruikt met het doel een natuurlijke persoon op unieke wijze te identificeren. De normuitleg van de Autoriteit Persoonsgegevens houdt in dat dit ziet op zowel identificatie als verificatie van één persoon. Dat sluit aan bij overweging 51 van de AVG, die stelt dat biometrische gegevens niet mogen worden verwerkt wanneer zij unieke identificatie of authentificatie van een natuurlijke persoon mogelijk maken. Het betreft hier dus een Europeesrechtelijke definitie die in de verordening is vastgelegd. Dan is het aan de toezichthouders en aan het Hof van Justitie van de Europese Unie om deze begrippen uit te leggen en eventuele onduidelijkheid daarover weg te nemen. Dus: het kabinet volgt de lijn van de Autoriteit Persoonsgegevens totdat een rechter anders heeft beslist.

De heer Van Waveren vroeg hoe het zwaarwegend algemeen belang wordt bepaald. De Autoriteit Persoonsgegevens spreekt van de beveiliging van een kerncentrale of van staatsgeheime informatie. De vraag was of de regering hierbij aansluit of dat de regering die norm wil verbreden. De norm zelf wordt niet verbreed, maar wel verduidelijkt. De kritiek bij het oude artikel 29 UAVG luidde dat er, behalve het voorbeeld van een kerncentrale, meer voorbeelden zouden moeten worden gegeven. Daaraan is tegemoetgekomen in de memorie van toelichting bij deze verzamelwet die we vandaag bespreken. Als voorbeelden zijn nu ook genoemd de bedrijven of diensten uit de vitale infrastructuur, zoals telecommunicatie of energievoorziening, en bedrijven met veel risico's door de aanwezigheid van grote hoeveelheden gevaarlijke stoffen. Een uitputtend totaaloverzicht valt niet te geven, maar met de nieuwe voorbeelden krijgt de praktijk wel nadere duidelijkheid, duiding en rechtszekerheid over de situaties waarin de uitzondering kan worden toegepast, uiteraard onder voorbehoud van het oordeel van de rechter hierover.

De heer El Abassi vroeg naar het verschil tussen algemeen belang en zwaarwegend algemeen belang. Daartussen is geen scherp onderscheid. Bij zwaarwegend algemeen belang is er sprake van een algemeen belang dat zwaarder weegt dan het belang van de bescherming tegen een inbreuk op de persoonlijke levenssfeer door het gebruik van bijzondere categorieën van persoonsgegevens. In de verzamelwet hebben we dit nader gewogen door dit waar nodig te koppelen aan de uitvoering van een bij wettelijk voorschrift voorgeschreven verplichting of een bij wet gemarkeerde uitvoering van een taak van algemeen belang.

Ik geef twee voorbeelden. Bij accountantsopdrachten gelden de bij wettelijk voorschrift verplicht gestelde accountantsopdrachten als zwaarwegend algemeen belang. De vrijwillig gegeven accountantsopdrachten vallen hier echter buiten. Het tweede voorbeeld betreft faillissementssituaties. De faillissementscurator beheert en vereffent de boedel in het algemeen belang, om daarmee te komen tot een ordelijke afweging en betaling van de schuldeisers. Daarvoor zal soms ook de verwerking van bijzondere gegevens nodig zijn. Denk aan het ontvangen van een strafrechtelijke boete die is gericht aan de failliet, maar wordt geopend door de curator krachtens de last tot het openen van de post, artikel 14 van de Faillissementswet.

De heer El Abassi vroeg ook nog of ik mij niet te makkelijk van mijn taak afmaak en of ik deze doorschuif naar de rechtspraak. Eigenlijk raakt zijn vraag fundamenteel aan de verhouding van de wetgever tot de rechter als het gaat om het interpreteren, en misschien ook het vormen, van het recht. Het gegevensbeschermingsrecht bestaat voor een deel uit open normen die zich in de praktijk moeten zetten. Dat geldt voor het gegevensbeschermingsrecht, maar niet alleen daar; dat geldt voor het hele recht, en zeker voor het privaatrecht. Zo is er in de loop van de jaren meer helderheid gekomen over de toepassing van een aantal bepalingen, door de jurisprudentie en in dit geval ook door de toezichthouders — dat geldt niet voor het gewone privaatrecht, maar wel hier — al dan niet op Europees niveau. "Zwaarwegend belang" is een begrip dat afhankelijk is van de specifieke omstandigheden van het geval. Het is dus niet mogelijk gebleken daartoe een algemeen geldend wegingskader op te stellen. Maar uiteraard moeten bij de toepassing ervan altijd de beginselen in acht worden genomen: de beginselen van behoorlijk bestuur en het beginsel van non-discriminatie. Ook zal altijd moeten worden aangetoond dat het belang inderdaad een algemeen zwaarwegend belang is.

Voorzitter. Dan kom ik nu op een punt inzake jongeren.

De voorzitter:
Voor u dat doet, heeft u nog een interruptie van de heer Van Waveren.

De heer Van Waveren (NSC):
Ik wil dat algemeen zwaarwegend belang toch wat verder inkaderen. Ik had ook de vraag gesteld of het openbare plaatsen zouden kunnen zijn die daartoe behoren. Ik kan me voorstellen dat er op het ministerie van de staatssecretaris zelf spullen liggen … Die worden wel afgescheiden; er is natuurlijk een toegangscontrole. Zou dat een plaats zijn die hier op een gegeven moment onder zou kunnen vallen? Ik zoek eigenlijk toch naar iets meer houvast: hoe definiëren we dit? Ik kan me dus voorstellen dat erover nagedacht is om hier bijvoorbeeld ook het regime van de veiligheidsscreeningen op toe te passen. Want wanneer dat van toepassing is, heb je ook een zwaarwegend algemeen belang. En dan laat je er dus ook een ander regime op los om te bepalen waar dat speelt.

Staatssecretaris Struycken:
Ik blijf dicht bij de voorbeelden die ik heb genoemd, die in de memorie van toelichting zijn genoemd. Ik wil daarbij niet een nieuw perspectief schetsen door ook andersoortige voorbeelden te hanteren. Ik markeer dat het dan gaat, zoals ik heb genoemd, om bedrijven of diensten uit de vitale infrastructuur. Dat is het ministerie van Justitie en Veiligheid in beginsel niet. Telecommunicatie en energievoorziening zijn dat wel. Het gaat ook om bedrijven met veel risico's door de aanwezigheid van grote hoeveelheden gevaarlijke stoffen, maar dat geldt gelukkig ook niet voor het ministerie van Justitie en Veiligheid. Ik onderken wel dat er afdelingen zijn waar extra veiligheidsmaatregelen van belang zijn, maar ik denk dat dat nou juist weer interessante voorbeelden zijn die daar wat verder vanaf zitten. Dit is natuurlijk casuïstiek. Casuïstiek is belangrijk, is de basis van rechtspraak, maar ik wil me houden bij de analogieën en de voorbeelden die zijn genoemd. Maar ik nam wel de vrijheid om te zeggen dat ik vermoed dat het voorbeeld dat de heer Van Waveren naar voren brengt, daar wat te ver vanaf zit.

De heer Van Waveren (NSC):
Maar met voorbeelden gaat het wel leven. Daardoor gaan we elkaar begrijpen: wat wordt er met de wet bedoeld? Laat ik dan naar die vitale infrastructuur gaan kijken. Je kunt je voorstellen dat het meterkastje in de straat of het verdeelstation niet vitale infrastructuur wordt, maar een centraal verdeelstation waarvan een hele provincie afhankelijk is misschien wel. Dus bij welk tussenverdeelstation komt de knip dan te liggen? Ik kan me voorstellen — dat scheelt de staatssecretaris en mij een interruptie, voorzitter — dat je dan zegt: het is uiteindelijk aan de werkgever of de eigenaar van de infrastructuur om dat op een gegeven moment af te gaan wegen. Maar ik denk het van belang is om hier met elkaar een beeld van te hebben: hoe ver reikt dat zwaarwegend belang?

Staatssecretaris Struycken:
Dat is natuurlijk altijd aardig. Hoe groot moet het meterkastje zijn? Hoeveel mensen worden erdoor bediend? Misschien kan dat een factor zijn. Ik denk dat je het altijd in verhouding moet blijven zien. Het is een weging, een afweging, met een bepaalde proportionaliteit en dergelijke. Ik denk dat het bij vitale infrastructuur niet om elk meterkastje gaat. Ik ga even terug naar waar het om gaat. Het gaat om het gebruik van biometrische gegevens in het kader van toegang tot een meterkast die meer doet dan alleen maar de wijk, denk ik. Ik denk dus dat die term "vitale infrastructuur" — het woord "vitaliteit" zit daarin — ons op het spoor zet dat uitval daarvan een grootschalige impact heeft op een groot deel van de samenleving. De afbakening zoek ik dan dus in de impact die die infrastructuur heeft. Vandaar de toevoeging "vitaal".

De voorzitter:
Tot slot op dit punt.

De heer Van Waveren (NSC):
Hiermee komen we volgens mij een stap verder in met elkaar begrijpen waarvoor het bedoeld is. Ik laat dit even op me inwerken. Dan kom ik er in de tweede termijn misschien nog op terug of we dat nader met elkaar moeten vastleggen.

Staatssecretaris Struycken:
Voorzitter. Dan kom ik bij de jongeren.

De voorzitter:
Oké, u vervolgt uw betoog.

Staatssecretaris Struycken:
Dat betreft de leeftijdsgrens.

De voorzitter:
Ja.

Staatssecretaris Struycken:
Dat was een vraag van mevrouw Kathmann en de heer Krul. Op grond van artikel 5 van de uitvoeringswet, de UAVG, moet de wettelijk vertegenwoordiger van een kind tot 16 jaar toestemming geven. Dat blijft ongewijzigd. In het nieuwe artikel 5, dus het artikel 5 dat we door middel van de verzamelwet die we vandaag bespreken, willen wijzigen, worden jongeren van 12 tot en met 15 jaar, dus tot 16 jaar, als zelfstandig genoeg gezien om een eventueel door de wettelijk vertegenwoordiger gegeven toestemming in te kunnen trekken. Dat ziet dus op de mogelijkheid van intrekking, als die jongeren van 12 tot 16 jaar echt niet willen dat hun persoonsgegevens worden gebruikt. Het gaat hier dus alleen om de grondslag "toestemming". Het kan zijn dat er andere grondslagen zijn voor gegevensverwerking, zoals een wettelijke plicht, een overeenkomst, een algemeen belang, een vitaal belang of een gerechtvaardigd belang. Dan geldt artikel 5 niet.

Er is voor gekozen, zoals uiteengezet in de memorie van toelichting en de nota naar aanleiding van het verslag, om de gezinsverhoudingen niet verder te juridificeren. Uiteindelijk moet de verwerkingsverantwoordelijke, net als bij het medisch beroepsgeheim, samen met de wettelijke vertegenwoordiger en de minderjarige bepalen om wel of geen persoonsgegevens te verwerken ingeval de minderjarige de toestemming intrekt maar de ouders vervolgens die toestemming weer wel geven. Het belang van het kind moet hier centraal staan. Een concreet voorbeeld is een school die foto's wil plaatsen op de website. Vanaf 16 jaar is de jongere zelf verantwoordelijk voor zowel het geven als het intrekken van toestemming.

Wat nu als men er niet met elkaar uit komt? Zoals gezegd is het primair een probleem dat moet worden opgelost binnen de gezinsverhoudingen, maar het is natuurlijk denkbaar dat men er niet goed uit komt. Uiteindelijk is het ook de beslissing van de gegevensverwerker. Op het moment dat deze achtereenvolgens toestemming krijgt van een vertegenwoordiger, de toestemming wordt ingetrokken en de toestemming opnieuw wordt verleend, moet de verwerker zich de vraag stellen of er eigenlijk wel toestemming is. Uiteindelijk lost het zich dus op in de verwerker, die tot de conclusie moet komen dat er kennelijk geen toestemming is. Maar hopelijk komt het niet zover en wordt het binnen het gezin opgelost.

Ik merk ten slotte nog op, in antwoord op een vraag van mevrouw Kathmann, dat de nota van wijziging op dit punt een aanpassing brengt. In het nieuwe artikel 5 wordt een regeling opgenomen over zelfstandig bij de civiele rechter procederen door 16- en 17-jarigen. Dat is uitzonderlijk, maar daar hebben we door middel van de nota van wijziging in willen voorzien. 16- en 17-jarigen worden dus op basis van deze bijzondere regel bevoegd en in staat gesteld om zelfstandig bij de civiele rechter te procederen over deze kwestie.

De voorzitter:
Mevrouw Kathmann, ik dacht al dat ik u moeilijk zag kijken.

Mevrouw Kathmann (GroenLinks-PvdA):
Ik heb een verduidelijkende vraag. We zeggen steeds dat het zo technisch en complex is. Bij de rondetafel die we hebben georganiseerd zei een jurist eigenlijk ook dat het zo onduidelijk is. Ik heb niet het idee dat we nu meer duidelijkheid hebben verschaft, want ik begrijp het eigenlijk niet zo goed. De 12- tot 16-jarigen hebben zo dus de kans om de toestemming in te trekken, maar als hun ouders of anderen zeggen "nee, dat is niet waar", dan hebben ze dat eigenlijk helemaal niet.

Staatssecretaris Struycken:
Als ik het nu even uit mijn hoofd samenvat, is de vernieuwing van de verzamelwet dat de categorie van 12- tot 16-jarigen de toestemming kan intrekken, dus de toestemming die door de wettelijk vertegenwoordiger is gegeven. Dan rijst de vraag: wat nou als die wettelijk vertegenwoordiger opnieuw toestemming geeft? Dan is er dus een conflict tussen de vertegenwoordiger en de minderjarige. Hoe lost zich dat dan op? Daar zijn twee antwoorden op. Het eerste antwoord is: idealiter komen ze er met elkaar uit. We wilden geen regeling waarin de intrekking door de minderjarige enerzijds dan wel de toestemming van de vertegenwoordiger anderzijds zwaarder weegt. Dat hebben we niet willen regelen, want dat zou betekenen dat we juridificeren wat er in de gezinsverhouding plaatsvindt. Dat heeft niet de voorkeur. Maar ik heb eraan toegevoegd dat als we in een situatie terechtkomen waarin de vertegenwoordiger en de minderjarige in de groep van 12 tot 16 er niet met elkaar uit komen en er dus een cascade van toestemmingsverlening en -intrekking is, de verwerker zich de vraag moet stellen of er wel toestemming is, want kennelijk is men het er dan niet over eens. Dat lost het probleem op een andere manier op in situaties waarin men er binnen het gezin niet uit komt.

De voorzitter:
Een vervolgvraag.

Mevrouw Kathmann (GroenLinks-PvdA):
Maar is het dan niet gewoon zo dat als de gegevensverwerker er baat bij heeft om die toestemming te hebben, die het dan zo interpreteert dat die die heeft?

Staatssecretaris Struycken:
Kijk, ze moeten vaststellen of er toestemming is, want anders doen ze iets wat niet mag. Er zijn omstandigheden, zoals deze, waarbij die toestemming kennelijk dubieus en controversieel is. Er komt een moment dat ze zich daar niet meer op kunnen beroepen. Ik begrijp natuurlijk dat het kan voorkomen dat er situaties zijn waarin die verwerker graag door wil gaan met wat die doet, op basis van een verleende toestemming. Maar goed, dan gaat het over het te goeder trouw uitvoering geven aan de regelgeving daar waar een grondslag wordt gekozen, terwijl er redenen zijn om aan te nemen dat die grondslag er in dit geval niet is. Dat voorkom je dus niet echt. De minderjarige die die toestemming dus heeft willen intrekken en dat heeft kunnen doen op basis van de nieuwe verzamelwet, heeft op zo'n moment een verhaal. Die heeft een standpunt ten opzichte van de verwerker. Als die minderjarige 16 of 17 jaar is, heeft die ook nog de mogelijkheid om daar zelf over te gaan procederen.

De voorzitter:
Vervolgt u uw betoog. We waren bij …

Staatssecretaris Struycken:
Tot zover de jongeren.

De voorzitter:
Dan gaan we door naar privacy.

Staatssecretaris Struycken:
Dat zijn een aantal andere inhoudelijke onderwerpen die opgebracht zijn en in meer of mindere mate verband houden met de verzamelwet.

Eerst de vraag van de heer Valize die betrekking had op de Archiefwet en in het bijzonder op het Centraal Archief Bijzondere Rechtspleging. De Archiefwet ziet inderdaad alleen op archieven van de overheid. Mijn collega, de minister van OCW, heeft net een wetsvoorstel over het oorlogsarchief ter consultatie gebracht, omdat er een omissie in het archief bleek te zijn voor publicatie op internet van deze dossiers. Partijen die niet onder de Archiefwet vallen, zijn gehouden aan de algemene regels van de AVG ten aanzien van archieven. Er zal dan moeten worden bezien of de publicatie van persoonsgegevens op internet noodzakelijk is voor de taken van een dergelijk archief en of er een gerechtvaardigd belang is voor zo'n particulier archief. De overheid kan dan geen beroep doen op zo'n gerechtvaardigd belang, dus daarom is daarvoor expliciet bij overheidsarchieven wetgeving noodzakelijk.

De voorzitter:
Voor u vervolgt: u heeft een interruptie van de heer El Abassi namens DENK.

De heer El Abassi (DENK):
Ik ga het toch proberen. Als we het hebben over het begrip "zwaarwegend algemeen belang", dan hoor ik de staatssecretaris twee voorbeelden noemen. Die twee voorbeelden komen uit de memorie van toelichting. Volgens mij is dat juist precies het probleem. Het probleem is dat er maar twee voorbeelden in de memorie van toelichting te vinden zijn. De vereisten voor uitzonderingen zijn volgens de AVG dat die duidelijk, specifiek en wettelijk geregeld moeten zijn. Dan is het slechts benoemen van voorbeelden in een toelichting klaarblijkelijk niet voldoende. Ik zou de staatssecretaris dus willen vragen waarom hij het niet gewoon, zoals aanbevolen wordt, concreet wil opnemen in de wet.

Staatssecretaris Struycken:
Dit raakt aan de vragen waarmee we begonnen zijn, de algemene wetgevingssystematiek, de vraag in hoeverre je open normen moet hanteren of niet, en de vraag in hoeverre je alles dicht moet regelen. Het is onvermijdelijk dat je een norm stelt en daarbij voorbeelden, casuïstiek hanteert om invulling te geven aan die norm. De voorbeelden moeten richting geven, en dat doen ze. Ik denk dat het geen realistisch uitgangspunt is om alles dicht te regelen, om alles specifiek te hebben geregeld.

De voorzitter:
Is er een vervolgvraag? Nee. Dan gaan we door met de beantwoording.

Staatssecretaris Struycken:
Een ander onderwerpje betreft de benoeming van de leden van de Autoriteit Persoonsgegevens.

Een vraag van de heer Van Waveren was: was het nou noodzakelijk om een delegatiegrondslag toe te voegen aan artikel 7 van de uitvoeringswet? Voor de voorzitter van de Autoriteit Persoonsgegevens is reeds in de uitvoeringswet geregeld dat deze moet voldoen aan de eisen waaraan ook rechters moeten voldoen. Er was nog niet in de wet geregeld dat er ook eisen kunnen worden gesteld aan de overige leden. Op grond van de AVG, de verordening zelf dus, zijn lidstaten wel gehouden om vereiste kwalificaties voor alle leden op te stellen. Dat blijkt uit artikel 54, eerste lid, sub b. Deze vereisten voor de andere leden zijn op dit moment in beleidsregels vastgelegd, maar deze zullen in de toekomst in een ministeriële regeling worden vastgelegd, want dat sluit beter aan bij de eis in de AVG dat dit bij wet dient te geschieden. Omdat de AVG een materieel wetgevingsbegrip kent, omvat dit wetgevingsbegrip in de AVG ook lagere regelgeving, zoals een ministeriële regelgeving. Een beleidsregel, zoals we die nu kennen, volstaat echter niet.

De heer Van Waveren vroeg ook waar we aan moeten denken. Gedacht kan worden aan benoemingseisen ten aanzien van relevante ervaring, opleiding of achtergrond. Voor zover het de benoeming van een lid betreft dat mede belast wordt met de portefeuille bedrijfsvoering, is relevante ervaring op dat gebied vereist.

De voorzitter:
Voor u vervolgt heeft u een interruptie van de heer Van Waveren.

De heer Van Waveren (NSC):
Die beschrijving stond inderdaad ook in de memorie van toelichting. Begrijp ik het goed dat de staatssecretaris niet voornemens is om het materieel wat te veranderen en met name de beleidsregels wil omzetten naar een AMvB? Of wil hij dit moment ook aangrijpen om andere eisen te stellen aan de leden?

Staatssecretaris Struycken:
Dit gaat echt alleen om het creëren van een wettelijke basis, zoals in de AVG wordt vereist. Het uitgangspunt is dus niet dat de beleidsregels ook inhoudelijk gewijzigd worden, in ieder geval niet in het kader van de verzamelwet.

Tijd voor cookies. De heer Krul vroeg naar toezicht op cookies. Het klopt dat de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt hebben aangegeven dat het goed zou zijn om het toezicht op cookies uitsluitend bij de Autoriteit Persoonsgegevens te beleggen. De minister van Economische Zaken heeft hierover een brief ontvangen. Aanpassing van de Telecommunicatiewet is noodzakelijk om de Autoriteit Persoonsgegevens tot enig toezichthouder te kunnen maken. Deze wet valt onder de beleidsverantwoordelijkheid van de minister van Economische Zaken. De minister heeft laten weten welwillend te staan tegenover de wens van de ACM, maar er is nog wel enig overleg nodig alvorens een definitief besluit tot wijziging van de wet kan worden genomen. Dat overleg moet natuurlijk ook zien op wat ervoor nodig is om deze additionele taken uit te kunnen voeren. Ik vertrouw erop dat de AP invulling gaat geven wat betreft de garantie dat het toezicht ook echt wordt opgepakt, zeker ook nu in goed overleg is vastgesteld dat de Autoriteit Persoonsgegevens deze taak goed op zich zou kunnen nemen.

De heer Krul (CDA):
Heel kort. Kan de staatssecretaris een beetje schetsen hoe dat proces eruitziet? Er wordt nu gekeken welke wijziging van de Telecommunicatiewet er nodig is. Wanneer gaan we dat ongeveer merken?

Staatssecretaris Struycken:
Dat ligt dus bij de minister van Economische Zaken. Ik weet niet welk tijdspad hij in gedachten heeft. Ik noemde niet voor niks dat dit een extra taak voor de Autoriteit Persoonsgegevens is. Aangezien ik in de komende tijd in gesprek zal zijn met de autoriteit over de taken van de autoriteit en de benodigde middelen, zal dit daarbij ook aan de orde komen. Zodra hier meer duidelijkheid over is, zal ik u berichten of de minister van Economische Zaken verzoeken uw Kamer op de hoogte te brengen. Aan de vraag ligt natuurlijk een gevoel van urgentie ten grondslag; dat onderken ik.

De voorzitter:
Dat staat genoteerd.

Staatssecretaris Struycken:
Voorzitter. De heer El Abassi vroeg of de Autoriteit Persoonsgegevens schadevergoedingen kan opleggen bij schending van fundamentele rechten. Er bestaan al ruime schadevergoedingsmogelijkheden, zowel voor de burger jegens overheden alsook voor consumenten jegens private partijen. Er lijkt daarom geen lacune in de mogelijkheden voor schadevergoedingen onder de AVG. De heer El Abassi refereert met het voorstel kennelijk aan een schadevergoedingsmaatregel. Dat is een maatregel in het strafrecht. Het zou nieuw zijn in het bestuursrecht dat een dergelijke maatregel uit het strafrecht wordt overgenomen. Dat vergt wel veel meer overdenking. Voor een schadevergoedingsmaatregel in het strafrecht zijn specifieke redenen, bijvoorbeeld dat van het slachtoffer van een misdrijf niet kan worden gevergd dat zij achter de schadevergoeding van de dader aan gaan. Maar een van de vragen in dit kader zal zijn of dit ook opgaat bij bestuursrechtelijke handhaving door de Autoriteit Persoonsgegevens.

De voorzitter:
Er is een interruptie van de heer Krul.

De heer Krul (CDA):
Excuses, maar ik kom toch nog even terug op het vorige punt, ook om een beetje leven in de brouwerij te brengen. Het CDA is gewoon uiterst kritisch op het uitbreiden van het takenpakket van de AP op het moment dat we van tevoren niet weten wat daarvoor nodig is. We zien dat andere wettelijke taken, zoals het afhandelen van klachten, ontzettend achterlopen. In 2020 was de AP nog zes uur per dag beschikbaar. Inmiddels is dat acht uur per week. Ik wil daar echt voor waken. Ik vind het best opvallend dat er, zonder dat we weten wat ervoor nodig is, een brief komt waarin staat: deze grote taak gaat naar de AP. Mijn zorg is een beetje de volgende. Als we van tevoren zeggen dat we dat een goed idee vinden en dat we dat gaan doen, maar als we dan achteraf gaan kijken wat ervoor nodig is, zal het uiteindelijk betekenen dat weer andere taken minder pregnant opgepakt kunnen worden. Als de staatssecretaris toch in gesprek gaat met de AP, zou ik hem die voorzichtigheid dus graag willen meegeven.

Staatssecretaris Struycken:
De aarzeling, de bedenking, ligt in lijn met de algemene interventie in eerste termijn van de heer Krul. Die onderschrijf ik volledig. Dat was een belangrijke interventie. Die zag weliswaar niet op de verzamelwet die vandaag voorligt, maar wel op een cruciaal element van de gegevensbescherming in Nederland. Het is voor u allen evident dat er een discussie is met de Autoriteit Persoonsgegevens over de taken, de invulling ervan, de doeltreffendheid van de wijze waarop zij haar taken uitvoert en, in verband daarmee, de benodigde middelen. Die discussie gaan we de komende weken en maanden met de autoriteit voeren en ook met uw Kamer. In dat licht is het inderdaad cruciaal dat we het niet zomaar, zonder goede overdenking, laten gebeuren dat de autoriteit een nieuwe taak op zich neemt. Er moet hier helderheid over bestaan om misverstanden te voorkomen, zowel in mijn relatie tot de Autoriteit Persoonsgegevens alsook in mijn relatie tot uw Kamer en misschien ook wel in uw relatie tot de autoriteit. Ik dank de heer Krul dat hij hier de aandacht voor vraagt.

De heer El Abassi vroeg ook nog naar transactiemonitoring en naar de problematiek van discriminatie. De verzamelwet waarover wij vandaag spreken behelst mede een wijziging van de Wet financieel toezicht, maar dat is slechts een kleine wijziging ten aanzien van transactiemonitoring. Een account wordt geblokkeerd als er bijvoorbeeld situaties zijn waarin met de bankpas van een cliënt in het buitenland een bedrag wordt gepind, terwijl met diezelfde bankpas enkele minuten eerder nog is gepind bij de pinautomaat in de woonplaats van de cliënt van de bank. Dan is er een sterke aanwijzing voor fraude ten nadele van de bankpashouder. Op grond van deze wijziging is geen discriminatie mogelijk. Dit voorstel ziet niet op het tegengaan van discriminatie. Het is ook niet beoogd om met deze wijziging bestaande problemen van financiële discriminatie tegen te gaan. Verder verwijs ik voor wat de Wft betreft naar mijn collega van Financiën.

Voordat ik de amendementen ga appreciëren, kom ik nog tot enige andere onderwerpen.

Terecht vroeg mevrouw Kathmann, als ik me niet vergis, aandacht voor de Caribische landen en de BES. In verband met de AVG zijn de Caribische landen en Caribisch Nederland, BES, te beschouwen als derde landen. Voor de verwerking van persoonsgegevens bestaan uiteenlopende beschermingsniveaus. Dit levert in de praktijk belemmeringen op bij het delen van gegevens tussen de landen, zowel binnen het Caribisch deel van het Koninkrijk, alsook tussen het Caribisch deel enerzijds en het Europese deel van het Koninkrijk anderzijds. Het Justitieel Vierpartijen Overleg, dat bekend staat onder de afkorting JVO, is een halfjaarlijks overleg tussen de vier ministers van Justitie, namelijk van Aruba, Curaçao, Sint-Maarten en Nederland. Daarin is in 2021 afgesproken om gezamenlijk te komen tot een consensusrijkswet, die voor het Caribisch deel van het Koninkrijk zal gaan gelden. Dat omvat dan mede de BES. De consensusrijkswet zal een geharmoniseerd beschermingsniveau voor de uitwisseling van persoonsgegevens binnen het Koninkrijk realiseren, om zo structureel gegevens uit te kunnen wisselen. In Caribisch Nederland geldt nu de Wet bescherming persoonsgegevens BES, die dan zal worden vervangen door de beoogde consensusrijkswet. Een interlandelijke projectgroep waarin alle landen zijn vertegenwoordigd, buigt zich over deze wettekst en de bijbehorende memorie van toelichting. Er worden ook tussentijdse uitvoeringstoetsen gehouden.

Uit de uitwisseling binnen de projectgroep blijkt dat de BES graag een geharmoniseerd beschermingsniveau wil bereiken. Mijn collega, minister Van Weel van Justitie, neemt vanuit zijn portefeuille twee keer per jaar deel aan het JVO, waarin deze wet wordt besproken. Als staatssecretaris Rechtsbescherming ben ik inhoudelijk bij de consensusrijkswet betrokken. De ambitie is om de hele consensusrijkswet, inclusief de memorie van toelichting, in het JVO van januari 2026 voor te kunnen leggen. Daarna kan de wet in consultatie gaan. Gelet op de omvang van de beoogde consensusrijkswet maar ook de complexiteit van de materie en de beleidsmatige en inhoudelijke keuzes die daarbij gezamenlijk door die vier landen worden gemaakt, in het licht van de omstandigheden in de verschillende landen, moet ik zeggen dat deze planning nog wel met enige onzekerheden is omgeven. Maar het heeft de aandacht.

Dan kom ik op de vraag van mevrouw Kathmann met betrekking tot overleden personen waarvoor wij nog geen regeling hebben. Want inderdaad, blijkens overweging 27 is de AVG niet van toepassing op gegevens van overleden personen. Lidstaten mogen wel regels vaststellen over de verwerking van persoonsgegevens, maar daar hebben de meeste EU-lidstaten geen gebruik van gemaakt en Nederland ook niet. Over het onderwerp is uw Kamer eerder geïnformeerd naar aanleiding van een onderzoek van de Universiteit van Amsterdam. Dat onderzoek was uitgevraagd door het ministerie van Justitie en Veiligheid en het ministerie van Binnenlandse Zaken.

De signalering van dit onderwerp door uw Kamer vormt voor mij een duidelijke aansporing om het werk op dit terrein voort te zetten. De vraag in hoeverre de AVG zou moeten gelden voor overleden personen is echter een complex vraagstuk met vele kanten, zoals blijkt uit die eerdere onderzoeken. Er is vooralsnog geen consensus over een probleemdefinitie en ook niet over de richting waarin een wettelijke regeling zou moeten gaan.

Het blijkt dat de regelingen die in verschillende Europese landen bestaan en daarin voorzien, nogal uiteenlopen. In sommige landen ligt de regie bij de nabestaanden, in andere landen bij de overledenen. Dat klinkt gek maar het kan doordat de overledenen bij leven richtlijnen kunnen opstellen die dan bepalend zijn. Er zijn echter ook tussenvormen en dat maakt dat zich er nog weinig eenvormigheid aandient. Een volgende stap zou kunnen zijn om bij andere landen te peilen wat hun ervaringen zijn met deze regels, alvorens in Nederland nadere invulling te geven aan deze materie. Hoe hoog we dit onderwerp op de agenda willen zetten, in overleg met uw Kamer, is natuurlijk ook een kwestie van prioritering.

Mevrouw Kathmann (GroenLinks-PvdA):
Niet de minste partijen, zoals de Alliantie Digitaal Samenleven, de Consumentenbond en ook Mediawijsheid, signaleren wel degelijk dat nabestaanden problemen ervaren. Dat betreft gewoon concrete dingen, zoals dat je bijvoorbeeld een digitale nalatenschap niet kan erven, of dat je van je eigen account vaak gebruiker bent en niet eigenaar. Soms is het fijn als je wel eigenaar bent, want dan kan je het ook aan iemand anders overdoen bijvoorbeeld. Daarmee is niet gezegd dat dat per se moet, maar de partijen die ik net noemde weten heel concreet waar de zorgen van mensen liggen. Het zou fijn zijn als de staatssecretaris in ieder geval met deze partijen in gesprek zou willen gaan en dat we dan als Kamer bijvoorbeeld een brief krijgen over hun inventarisatie van de problemen omtrent de digitale nalatenschap.

De voorzitter:
Kunt u dat mevrouw Kathmann toezeggen?

Staatssecretaris Struycken:
De problemen zijn denk ik wel duidelijk, alleen de oplossingsroutes zijn nogal divers. Er dient zich nog geen consensus aan en we hebben ook geen duidelijk precedent in een ander land. Het is een onderwerp dat aandacht verdient, dat is wel zeker. En het staat dus ook op de lijst van onderwerpen die aandacht verdienen binnen het ministerie. Ik merk wel op dat onze capaciteit niet onbeperkt is. Ik refereer niet voor niets aan prioriteit. Misschien moeten we in een volgend overleg dat we met elkaar zullen hebben en waarin we knelpunten inventariseren, ook met elkaar vaststellen welke onderwerpen zich het eerste aandienen voor een nadere regeling. Ik kan echter wel toezeggen dat we het onderwerp op de agenda houden en dat we kijken in hoeverre we met betrekkelijk beperkte capaciteit toch snel een inventarisatie van het probleem kunnen maken. Ik denk dat we ook ons licht moeten opsteken in andere landen. Maar ik wil geen toezeggingen doen die mij nopen op korte termijn aan andere onderwerpen niet de aandacht te geven die ze verdienen.

De voorzitter:
Dat is helder. Dan heeft u nog een interruptie van de heer El Abassi.

De heer El Abassi (DENK):
Ik ga het nog een keer proberen. Ik dacht de minister te horen zeggen dat deze wet niet voorziet in het tegengaan van discriminatie. Volgens mij raakt het aanbrengen van wijzigingen in de AVG per definitie de bescherming tegen discriminatie. Sterker nog, artikel 9 van de AVG verbiedt in beginsel de verwerking van bijzondere persoonsgegevens, waaronder ras, etniciteit en religie. Dat is juist om discriminatie te voorkomen. Nou besluit deze wet een aantal elementen mee te nemen die een uitzondering op artikel 9 vormen. Als je artikel 9 buiten beschouwing laat, dan zou je toch verwachten dat je gewoon wel voldoende waarborgen creëert om discriminatie tegen te gaan, zou ik de staatssecretaris willen vragen.

Staatssecretaris Struycken:
Ik heb de heer El Abassi goed gehoord. Hij heeft heel veel belangrijke onderwerpen genoemd en daarbij steeds de vraag gesteld: waar in de verzamelwet wordt dit geregeld? Het antwoord is natuurlijk: dit wordt niet in de verzamelwet geregeld. Dat wordt geregeld in de AVG en in de UAVG. Deze verzamelwet brengt een klein aantal, niet slechts technische wijzigingen aan. Het is een 23-tal wijzigingen, waarvan een deel enige beleidsinhoud heeft, maar die steeds beperkt van omvang zijn. Dus de verzamelwet betreft op dit specifieke punt dat de heer El Abassi naar voren brengt, de transactiemonitoring, slechts een kleine wijziging. Het bredere kader van artikel 9 en van alle andere regelgeving, ook van de grondrechten, blijft uiteraard onverkort van toepassing. Vandaag gaat het om de verzamelwet. Die doet heel erg weinig in deze context, noch in negatieve, noch in positieve zin. Dat geldt ook voor heel veel andere onderwerpen die de heer El Abassi in zijn eerste termijn heeft genoemd.

De voorzitter:
Een vervolgvraag.

De heer El Abassi (DENK):
Dan kunnen we dit toch gewoon in de verzamelwet opnemen? Zelfs al zou de staatssecretaris besluiten om dat niet te doen, dan nog: we nemen maatregelen, we maken uitzonderingen op artikel 9, en we hebben nergens waarborgen gecreëerd. Dat moet maar ergens gebeuren. Dat is toch heel onzorgvuldig, zou ik de staatssecretaris nog een keer willen vragen.

Staatssecretaris Struycken:
Zo zou ik het niet willen zeggen. De waarborgen zijn er. Deze verzamelwet verandert daarin niets, ook niet in de waarborgen die er al wel zijn.

De voorzitter:
Vervolgt u uw betoog.

Staatssecretaris Struycken:
Voorzitter. Ik denk dat ik hiermee op het punt ben gekomen dat alle vragen zijn beantwoord. Dan kom ik nu op de appreciatie van de drie amendementen.

De voorzitter:
Ja. Het amendement op stuk nr. 8, van GroenLinks-PvdA.

Staatssecretaris Struycken:
Van de heer Bushoff, inderdaad, op nr. 8. Dat betreft een bijzondere situatie, namelijk in de context van faillissement, als de faillissementscurator patiëntendossiers overdraagt. De essentie is dat de overdracht van dossiers kosteloos geschiedt.

Voorzitter. Ik deel het uitgangspunt dat een patiënt zelf recht moet hebben op kosteloze afgifte van het patiëntdossier, al dan niet met tussenkomst van een nieuwe zorgverlener, naar wie het dossier moet overgaan. Kosteloze overdracht van medische dossiers is reeds gewaarborgd via de professionele standaarden voor zorgverleners, waar zij zich aan moeten houden, op grond van de WGBO en de Wkkgz. Ook de faillissementscurator moet zich hieraan houden. In dat opzicht is het amendement overbodig.

Ik zie nog twee andere bezwaren, met name in de context van faillissement. De curator is op grond van de Faillissementswet belast met het beheer en de vereffening van de boedel. Een curator moet een vergoeding kunnen blijven vragen voor door de curator gemaakte kosten tijdens het faillissement van een zorginstelling of een zorgpraktijk. Ik heb het dan over een vergoeding voor de kosten in verband met het beheer gedurende het faillissement. Daar komt bij dat het in het belang van de schuldeisers is dat er door de curator ook een goodwillvergoeding gevraagd kan worden van de koper. Als dat niet zo is, dan zal de kans op een doorstart van ondernemingen in de zorgsector kleiner worden. Dat is ongunstig, want een doorstart door een nieuwe investeerder kan in het belang zijn van de schuldeisers en ook van de patiënten.

In dit licht, omdat het deels overbodig is en deels misschien misverstanden wekt ten aanzien van redelijke vergoedingen die de curator moet kunnen vorderen, wil ik dit amendement dus ontraden.

De voorzitter:
Dan noteren we "ontraden" bij het amendement op stuk nr. 8.

Dat leidt tot een vraag van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):
Ik heb toch weer een verduidelijkende vraag. Het kan ook echt zijn dat het aan mij ligt bij AVG-wetgeving. Het amendement is overbodig, maar er kan ook een misverstand bestaan, zegt de staatssecretaris, als een vergoeding gevraagd kan worden. Dat begrijp ik eigenlijk niet. Volgens mij biedt de wet nu gewoon de mogelijkheid om kosten te vragen, alleen gebeurt dat vaak niet. Dit amendement vraagt om dat te schrappen, omdat patiëntendossiers, hoe dan ook, gratis overgedragen moeten kunnen worden. Als er nog ergens een wetsbepaling is waarin staat dat het wel kan, dan moeten we die gewoon niet meer doen. Dan is dat ook maar duidelijk.

Staatssecretaris Struycken:
De overdracht aan de patiënt die er zelf om vraagt, is kosteloos. Dus als dat bedoeld is met het amendement … "Het overdragen van dossiers geschiedt kosteloos", dat is de tekst die het amendement beoogt toe te voegen. Als het de overdracht aan de patiënt zelf is, is die kosteloos op basis van allerlei redenen. Daarmee is het amendement overbodig. Dan over de situatie waarin er sprake is van overdracht aan een andere partij; ik zal maar zeggen de investeerder, de zorginstelling of de praktijk die een andere praktijk die in faillissement verkeert wil overnemen. Dat is immers ook een vorm van overdracht, door de faillissementscurator aan de koper. Ik wil dan wel heel duidelijk hebben dat de kosten die de curator heeft gemaakt voor het beheer van die dossiers vergoed worden en dat dit amendement niet in de weg staat aan een eventuele goodwillbetaling door de koper. Dat is in het belang van de schuldeisers. Op beide punten kan dit amendement een misverstand in het leven roepen. Daarom denk ik per saldo dat ik het moet ontraden.

De voorzitter:
Dan noteren we "ontraden", al was het maar omdat de appreciatie "overbodig" alleen voor moties is en niet voor amendementen gebruikt kan worden.

Staatssecretaris Struycken:
Dat klopt, dus het is "ontraden".

De voorzitter:
Ja. Dan het amendement op stuk nr. 9.

Staatssecretaris Struycken:
Dat is het amendement van de heer Six Dijkstra. Ook hiervoor geldt dat ik het eens ben met de strekking van het amendement. Handhavingsbesluiten van de Autoriteit Persoonsgegevens moeten zo veel mogelijk openbaar zijn. Dat is omdat daar precedentwerking van uitgaat. Dat helpt om de uitleg van de norm duidelijker te maken. De Autoriteit Persoonsgegevens zelf suggereert ook om deze verplichting op te nemen in de wet. Ik heb wel een aantal zorgen van wetstechnische aard. Er moeten uitzonderingen op deze verplichtingen mogelijk zijn, ook op basis van de privacy van de betrokkenen of de bescherming van bedrijfsvertrouwelijke gegevens. Ook kunnen er mogelijk belangen van de Staat of van de opsporing in het geding zijn. Verder moet de rechtsbescherming van betrokkenen goed zijn geregeld. Nu dit niet in het amendement is meegenomen, moet ik het in z'n huidige vorm wegens technische onvolkomenheden ontraden. Gezien de strekking, die ik onderschrijf, zou ik na aanpassingen — daarvoor bied ik ambtelijke bijstand aan — tot "oordeel Kamer" kunnen komen. Maar zoals het amendement nu luidt, is de appreciatie "ontraden".

De voorzitter:
Dan noteren we voor nu "ontraden", maar ik zie de heer Van Waveren naar voren komen, waarschijnlijk om te kijken of er wat ruimte zit in het aanbod. Toch?

De heer Van Waveren (NSC):
Zeker. Van het aanbod van bijstand maken we graag gebruik. Die bijstand benutten we graag. Misschien voor de volledigheid vraag ik of de staatssecretaris kan toezeggen dat hij de appreciatie over het definitieve amendement ook nog even naar de Kamer wil sturen, want dan kan ook de rest van de Kamer daar kennis van nemen op dat moment.

Staatssecretaris Struycken:
Ik ben voornemens — dat geldt ook voor het amendement op stuk nr. 10, dat ik nu ga behandelen — om … Voor zowel het amendement op stuk nr. 9 als dat op stuk nr. 10 geldt op vergelijkbare wijze dat ik het ontraad op technische gronden, maar de strekking onderschrijf. Voor beide amendementen geldt — ik zal dat voor het amendement op stuk nr. 10 nu gaan toelichten — dat als het aangepast wordt, ik schriftelijk uw Kamer zal berichten dat ik de appreciatie van "ontraden" naar "oordeel Kamer" wijzig. Vooralsnog is dat voor de administratie, ook voor het amendement op stuk nr. 10, ontraden, waarbij ik opmerk dat ik het uitgangspunt onderschrijf. Het handhavingsbeleid moet duidelijk en kenbaar zijn en publicatie daarvan is wenselijk. Dat gebeurt al. De AP, de Autoriteit Persoonsgegevens, kent boetebeleidsregels. Onlangs zijn die gepubliceerd, namelijk op 14 januari 2025, in de Staatscourant. Een wettelijke verplichting heeft daarom beperkte meerwaarde, maar het is goed gebruik ook de organisatie te consulteren. Ik wil dus kijken of ik nog overleg met de AP kan hebben voordat ik dit amendement omarm. Dat wil ik op korte termijn doen. Na overleg met de Autoriteit Persoonsgegevens zal ik het amendement, als het rekent op enthousiasme, ook bij mij, willen wijzigen. Maar daarover bericht ik uw Kamer schriftelijk.

De heer Krul (CDA):
Dat aanbod ga ik natuurlijk sowieso niet afslaan. Maar dan vraag ik toch even het volgende. Ik begrijp dat de staatssecretaris zegt: dit is ingrijpend voor de organisatie of dit kan ingrijpend zijn voor de Autoriteit Persoonsgegevens, dus ik vind het niet meer dan netjes dat ik de autoriteit daar ook over consulteer. Maar ik denk dat dat wel losstaat van de principiële vraag of wij als wetgever in de relatie tussen onafhankelijk toezicht en het afleggen van publieke verantwoording dit soort kaders niet ook gewoon wettelijk zouden moeten kunnen borgen, los van de vraag of de AP dat wel of niet zelf al zou gaan doen, want deze heeft aangekondigd meer met consultaties te gaan werken. Maar er zit natuurlijk ook een soort principiële laag onder, zou ik willen zeggen.

Staatssecretaris Struycken:
Die principiële laag onderken ik en die onderschrijf ik ook, dus ik denk dat we die kant op moeten.

De voorzitter:
Dan heb ik als voorzitter nog een vraag in aanloop naar de stemmingen. Ik hoorde u volgens mij zeggen — wellicht heb ik dat verkeerd begrepen — dat u nog overlegt met de AP. Het is natuurlijk wel belangrijk dat we over de amendementen hebben kunnen stemmen voordat we over de wet stemmen. Misschien kunt u daar nog een termijn bij benoemen, want dat maakt wel uit voor de Kamerleden in hun weging van de wet.

De heer Krul (CDA):
Als het niet zou lukken voor de stemmingen, dan kan ik alvast aankondigen dat het CDA zal gaan vragen om de stemmingen met een weekje of tot na het reces uit te stellen, zodat we daar de tijd voor hebben. Ik wil namelijk wel graag dat dit zorgvuldig gebeurt.

Staatssecretaris Struycken:
Dit raakt aan dingen waar ik niet over ga, namelijk de orde van uw Kamer en de vraag wanneer er gestemd gaat worden, mede in het licht van het reces. Mijn verwachting was dat de stemming over het amendement na het reces zou plaatsvinden. Daarom deed ik de suggestie dat ik eerst …

De voorzitter:
Dat is goed om te weten. Maar dan is het ook goed dat de Kamer dat weet. Dan kan zij ook beoordelen of dat met deze wet wel of niet wenselijk is. Dat laat ik aan de collega's. Maar dan weten we in ieder geval dat dat gesprek niet voor het reces zal plaatsvinden. Heeft meneer Van Waveren hier nog een vraag over?

De heer Van Waveren (NSC):
Volgens mij gaat de staatssecretaris afronden, maar ik had nog een vraag openstaan over de mogelijkheid van de strafbaarstelling van het niet hebben van een wettelijke vertegenwoordiger in de EU. Ik weet niet of die vraag ergens op een briefje is blijven liggen, maar het is zonde als we daar pas in de tweede termijn aan toekomen.

De voorzitter:
Ik ga even kijken of de staatssecretaris daar nu op kan antwoorden. Anders vrees ik wel dat het in de tweede termijn moet.

Staatssecretaris Struycken:
Ik zou daar graag straks op terugkomen.

De voorzitter:
Dan noteren we die voor de tweede termijn. Over de tweede termijn gesproken: ik constateer dat de staatssecretaris klaar is met zijn termijn. Ik kijk even rond of er behoefte is aan een tweede termijn aan de zijde van de Kamer. Ik zie iedereen knikken. Dan zou ik willen voorstellen om meteen door te gaan. We starten in dezelfde volgorde als in de eerste termijn van de zijde van de Kamer. We beginnen met de heer Valize namens de PVV.

De heer Valize (PVV):
Voorzitter, dank voor het woord. Dank ook aan de staatssecretaris voor de beantwoording van de vragen. Dank aan alle Kamerleden voor hun inbreng. Het was weer een zeer mooie, enerverende ervaring.

Ik heb maar één motie, maar niet een onbelangrijke.

De Kamer,

gehoord de beraadslaging,

constaterende dat partijen als heemkundekringen, geschied- en oudheidkundige genootschappen, genealogische genootschappen en dergelijke, die een groot maatschappelijk belang dienen, niet per definitie onder de Archiefwet vallen;

constaterende dat de in de Archiefwet opgenomen overwegingen uit de GDPR niet gelden voor partijen die niet onder de Archiefwet vallen;

overwegende dat de Autoriteit Persoonsgegevens strikte handhaving toepast op deze wetgeving;

verzoekt de regering om in gesprek te gaan met partijen als heemkundekringen, geschied- en oudheidkundige genootschappen, genealogische genootschappen en dergelijke over de risico's/problemen die worden ervaren betreffende het mogelijk in strijd handelen met de AVG;

verzoekt de regering om een analyse van deze gesprekken te maken met een voorstel om de uit de analyse voortgekomen knelpunten die raken aan mogelijke overtreding van de AVG op te lossen, en hierover te rapporteren aan de Kamer,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Valize.

Zij krijgt nr. 11 (36264).

Dank u wel voor uw inbreng en uw motie. Dan gaan we door naar de heer Van Waveren. Hij spreekt namens Nieuw Sociaal Contract.

De heer Van Waveren (NSC):
Dank u wel, voorzitter. Dank aan de staatssecretaris voor de beantwoording. Op mijn laatste vraag zie ik het antwoord straks graag nog tegemoet. Voor het overgrote deel was het duidelijk, maar ik wil toch nog even verder doorgaan over die biometrische gegevens, om ook in de casuïstiek te snappen wat er gaat gebeuren. We formuleren beveiligingsdoeleinden en een zwaarwegend algemeen belang. In de toelichting zien we bijvoorbeeld ook luchthavens en zeehavens staan. Stel dat we dat ook op het spoor toepassen, en stel dat er daar een dreiging gezien wordt of dat er sprake is van onveiligheid op het spoor. Dan hebben we beveiligingsdoeleinden en kritische infrastructuur. Zouden we dan in een situatie kunnen belanden waarbij het ov alleen op die manier toegankelijk wordt, in plaats van met de toegangspoortjes en de ov-chipkaart, waarbij geen sprake is van persoonsidentificatie? Of denk bijvoorbeeld aan de vertrekhal van Schiphol. Luchthavens worden niet voor niets specifiek benoemd in de memorie van toelichting. Dat zou voor mijn fractie toch wel een grote zorg opleveren, omdat dat openbare plekken zijn waar je niet dat regime van biometrische gegevens zou willen hebben. Zoals wij het nu lezen, is dat misschien niet de bedoeling, maar is dat ook niet uitgesloten. Als de staatssecretaris zegt "we houden dat open; dat kan per keer afgewogen worden en moet in de rechtspraktijk gaan blijken", dan kan ik me voorstellen dat wij er toch behoefte aan hebben om aan de voorkant iets scherpere kaders op te stellen. Graag nog een nadere duiding en reflectie op dat punt.

Daarmee ben ik aan het einde van mijn bijdrage, voorzitter.

De voorzitter:
Dank u wel voor uw bijdrage. Dan gaan we door naar mevrouw Kathmann van GroenLinks-PvdA.

Mevrouw Kathmann (GroenLinks-PvdA):
Dank, voorzitter. Ik wil vooral de staatssecretaris hartelijk bedanken voor de beantwoording. Zoals ik eigenlijk aan het begin al zei, kan GroenLinks-Partij van de Arbeid zich prima vinden in de technische wijzigingen die in deze wet staan. Ik kon me ook vinden in wat de staatssecretaris in een eerder debat aan de Kamer vroeg, namelijk: "Zullen we nou alsjeblieft niet al te veel wijzigingen doorvoeren in deze verzamelwet? Want hierin gaan we ook gewoon een boel grondslagen borgen en noem maar op." Dat heb ik gehoord en daar wil ik me ook heel graag aan houden. Daarom dienen we samen met de VVD één motie in — die zal mevrouw Dral zo meteen indienen — om een proces op te tuigen. Als we deze wet aannemen, zijn we er namelijk nog niet. Dat is wel een beetje de afdronk van dit debat. We moeten echt heel hard aan de bak om Nederland van het AVG-slot te halen. Ik snap dat de staatssecretaris zegt: we moeten prioriteiten aanbrengen en we zijn een beetje onderbezet, bijvoorbeeld als het gaat over digitale nalatenschap of een tijdlijn voor het in lijn brengen van de privacywetgeving in de CAS en de BES. Maar GroenLinks-Partij van de Arbeid heeft echt haast met het van het slot halen van Nederland. Niet alleen bedrijven die innoveren hebben last. Overheden hebben last en mensen hebben last als we dit niet gewoon beter en versneld gaan doen. Daarom ben ik in ieder geval blij met de motie die straks zal worden ingediend. Ik hoop dat we gewoon een goed wetgevingsproces kunnen inzetten om Nederland van het AVG-slot te halen.

De voorzitter:
Dank u wel, mevrouw Kathmann, voor uw inbreng. Dan gaan we door naar mevrouw Dral. We zijn nu natuurlijk allemaal nieuwsgierig naar de motie.

Mevrouw Dral (VVD):
Dank u wel, voorzitter. Dank aan de staatssecretaris voor de beantwoording. Ik heb drie moties; ik zal ze voorleggen.

De Kamer,

gehoord de beraadslaging,

constaterende dat de Begeleidingscommissie Evaluatie Autoriteit Persoonsgegevens aanbeveelt dat de AP een verbeterplan opstelt over het functioneren van de AP in relatie tot de partijen waarop toezicht gehouden wordt of waarmee wordt samengewerkt;

verzoekt de regering om de AP te verzoeken de Kamer tweemaal per jaar te informeren over de voortgang van het verbeterplan en de effecten van de verbeterstappen op de partijen waarop toezicht gehouden wordt of waarmee wordt samengewerkt,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Dral.

Zij krijgt nr. 12 (36264).

De Kamer,

gehoord de beraadslaging,

constaterende dat zich online ernstige inbreuken in de bescherming van persoonsgegevens voordoen met deepfake;

overwegende dat de ernst van de inbreuken zodanig is dat sneller handhaven en een daartoe adequate wettelijke grondslag dringend nodig zijn bij de aanpak van deepfakewebsites;

overwegende dat tevens belangrijk is te bepalen hoe snellere handhaving in het bestaande bestel moet worden ingepast, gelet op de bestaande taken en bevoegdheden van het OM, politie en AP;

verzoekt de staatssecretaris onderzoek te doen naar hoe een snellere notice- and-take-downprocedure zo snel mogelijk en waar technisch mogelijk binnen een uur kan worden ingericht bij zeer ernstige inbreuken op privacy door deepfakes;

verzoekt de staatssecretaris hierbij tevens in kaart te brengen of voor ernstige inbreuken op de privacy een aanvullende wettelijke grondslag vereist is die het mogelijk maakt sneller tot handhaving over te gaan en tevens te bepalen bij wie dit het beste kan worden belegd: bij OM/politie, de AP of de ACM als handhaver van de DSA,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Dral en Michon-Derkzen.

Zij krijgt nr. 13 (36264).

Voordat u naar de volgende motie gaat, heeft u een interruptie van de heer Krul, naar ik aanneem over de vorige motie.

De heer Krul (CDA):
Nee, voorzitter, behalve dat ik het indienen van deze motie niet netjes vind en zeker niet vind passen bij deze wetsbehandeling, maar ik heb een vraag over de eerste motie. Ik kan me voorstellen dat mevrouw Dral ook niet wil dat de AP met andere dingen bezig is dan de kerntaken, want dat is volgens mij in ieders bijdrage een beetje teruggekomen. Ik wil even checken of het inderdaad zo is dat er straks niet allerlei administratieve rompslomp bij moet komen omdat de AP minimaal twee keer per jaar aan de Kamer moet rapporteren. Hoe ziet zij dat voor zich? Kan dat schriftelijk of is dat echt in een gesprek? Ik wil gewoon die checkvraag stellen.

Mevrouw Dral (VVD):
Wat mij betreft kan dat gewoon schriftelijk en het gaat dus echt over het verbeterplan naar aanleiding van de aanbevelingen die uit het evaluatierapport zijn voortgekomen.

De voorzitter:
Dan heeft u een interruptie van mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):
Ik zou graag aan mevrouw Dral willen vragen of zij ook vindt dat de motie om zo'n proces in gang te zetten en ook de rol die de AP daarin speelt, een beetje in lijn zijn met het amendement van de heer Krul zelf om meer inzicht te krijgen in de werkwijze van de AP en dat de AP zich daardoor ook veel meer van die proactieve kant kan laten zien in de zin van: als we het nou op deze manier doen, kan het wél.

Mevrouw Dral (VVD):
Zeker. Dat heb ik ook in mijn eerste termijn gezegd: het moet veel meer gaan over wat wél kan in plaats van wat er niet kan.

De voorzitter:
Uw derde motie.

Mevrouw Dral (VVD):
Dank u wel, voorzitter.

De Kamer,

gehoord de beraadslaging,

constaterende dat in veel gevallen de volgens de AVG vereiste wettelijke grondslagen niet voldoende duidelijk zijn over welke gegevens er gedeeld mogen worden en met wie;

constaterende dat zich dit voordoet binnen alle sectoren van de samenleving en leidt tot handelingsverlegenheid, waardoor gegevens niet of niet tijdig worden gedeeld;

constaterende dat dit ook zeer nadelige gevolgen heeft bij relevant onderzoek voor de samenleving of voor het ontwikkelen van een noodzakelijk integraal beeld;

overwegende dat het aanpassen en creëren van de sectorale grondslagen een omvangrijke operatie is, die bij uitstek expertise van vakdepartementen vergt;

verzoekt de staatssecretaris Rechtsbescherming als stelselverantwoordelijke voor bescherming van persoonsgegevens, in samenspraak met de AP en onafhankelijke privacyjuristen, te onderzoeken wanneer gegevensdeling noodzakelijk is, maar nu niet kan plaatsvinden omdat (sectorale) wettelijke grondslagen onvoldoende zijn toegesneden op de mogelijkheden die de AVG biedt, en vervolgens de Kamer hierover te informeren en een voorstel te doen hoe het adresseren van deze leemten kan worden geprioriteerd,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Dral en Kathmann.

Zij krijgt nr. 14 (36264).

Dank u wel, mevrouw Dral, voor uw inbreng namens de VVD. Dan gaan we door naar de heer Krul namens het CDA.

De heer Krul (CDA):
Voorzitter. Ik dank de staatssecretaris voor een uitermate inhoudelijk debat. Het is complexe wetgeving met grote implicaties voor een evident belangrijk onderwerp, namelijk de bescherming van persoonsgegevens. We hadden vier onderwerpen in de eerste termijn: biometrie, leeftijdsverlaging, cookies en de rol van de Autoriteit Persoonsgegevens. En het gebeurt niet vaak, maar de staatssecretaris heeft vier op een rij gescoord. Eigenlijk konden al zijn antwoorden ons namelijk wel bekoren.

Maar toch even over de AP. Het is de rol van de wetgever om de relatie tussen onafhankelijk toezicht en publieke verantwoording met kaders vorm te geven. Dat doen we met kaders die recht doen aan het grote maatschappelijke belang van publieke verantwoording. Het zijn immers taken met vergaande bevoegdheden. Een van die kaders is bijvoorbeeld geregeld in artikel 59 van de GDPR, dat erin voorziet dat de Autoriteit Persoonsgegevens een jaarverslag publiceert. Dat dit wettelijk geborgd is vanuit de Europese regelgeving betekent natuurlijk niet dat de autoriteit dat zonder die bepaling niet zou doen. Het is immers nuttig om een jaarverslag te publiceren. Evenmin deponeer ik de stelling dat de AP niet bereidwillig zou zijn om consultaties te houden of haar handhavingsbeleid openbaar te maken. Dat staat los van de discussie. Het gaat om de rol die wij als wetgever spelen. Ik denk dat wij in overleg met de staatssecretaris en met de ondersteuning die geboden is, wel tot een mooie oplossing kunnen komen.

Tot slot één vraag. Die had ik ook in een motie kunnen gieten, maar ik denk dat dat gewoon niet nodig is. Het ging al kort over de GDPR. De heer Valize had het er al over vanwege Draghi. Er is een Europese wind die voor deregulering pleit. De staatssecretaris gaf ook aan dat hij dat proeft in de overleggen met zijn collega's daar. Maar ik vraag het toch even heel concreet. Is de staatssecretaris bereid om het gesprek specifiek over de revisie van de GDPR te voeren, dus los van de algemene wind die waait rondom deregulering, en daarin eens te proeven bij zijn collega's of die revisie nou ook echt wenselijk en mogelijk is? Ik kan nu een motie indienen die de staatssecretaris de opdracht geeft om een kopgroep of een coalition of the willing te vormen. Dat hoeft allemaal niet, maar dit stamt uit 2018 en de wereld gaat zo ontzettend snel. We zien het ook bij de DSA. Die is hier pas net in werking getreden en we hebben het al over de DSA 2.0. Ik denk dat we op tijd moeten zijn, ook met zo'n GDPR. Zou de staatssecretaris dus eens bij zijn Europese collega's kunnen bepleiten dat dat stukje wet- en regelgeving wordt herzien?

De voorzitter:
We gaan zo luisteren naar de staatssecretaris, maar niet dan nadat ik de heer El Abassi het woord heb gegeven voor zijn inbreng namens DENK.

De heer El Abassi (DENK):
Voorzitter. Het gaat regelmatig fout bij de overheid, met alle gevolgen van dien. We hebben dat gezien met de datalekken bij de GGD, waarbij persoonsgegevens verkocht werden. We hebben het ook gezien bij de FSV, waar ze werkten met zwarte lijsten. We hebben het gezien bij Siri. We hebben het gezien bij de toeslagenmisdaad. En zo kunnen we wel even doorgaan. We moeten dat bij onze persoonsgegevens, en met name bij deze wet, echt voorkomen z'n allen. Vandaar mijn eerste motie.

De Kamer,

gehoord de beraadslaging,

constaterende dat de Autoriteit Persoonsgegevens bij schendingen van de AVG wel sancties kan opleggen, maar geen schadevergoeding kan toekennen aan benadeelde burgers;

overwegende dat het voor veel slachtoffers van privacyovertredingen juridisch en financieel moeilijk is om zelf naar de rechter te stappen;

verzoekt de regering te onderzoeken hoe de AP in passende gevallen ook een schadevergoedingsmaatregel kan opleggen, en de Kamer hierover te informeren,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid El Abassi.

Zij krijgt nr. 15 (36264).

De heer El Abassi (DENK):
Voorzitter. We hebben het even gehad over artikel 22 en artikel 23 en de uitzondering die gemaakt wordt ten opzichte van artikel 40. Artikel 40 en 41 zijn in strijd met artikel 22 en 23. Ze zijn niet voldoende concreet. Vandaar dat ik kom met de volgende motie.

De Kamer,

gehoord de beraadslaging,

constaterende dat gegevensdeling discriminatoire uitwerkingen kan hebben indien er niet vooraf duidelijke waarborgen daartegen zijn;

constaterende dat er voor de AVG geen sterke waarborgen tegen discriminerend gebruik van gegevensdeling bestaan, maar dat het probleem van discriminatie middels persoonsgegevens zich al meerdere keren heeft voorgedaan;

verzoekt de regering regels te stellen die helpen bij het tegengaan van verboden onderscheid op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, seksuele gerichtheid, burgerlijke staat, handicap, chronische ziekte of leeftijd,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid El Abassi.

Zij krijgt nr. 16 (36264).

De heer El Abassi (DENK):
Voorzitter. Mijn korte inleiding van zonet hoort bij de volgende motie. Mijn excuses daarvoor.

De Kamer,

gehoord de beraadslaging,

constaterende dat artikel 40, tweede lid, en artikel 41 van de Uitvoeringswet AVG (UAVG) uitzonderingen formuleren op de bescherming tegen geautomatiseerde besluitvorming en de beperking van privacyrechten;

overwegende dat deze bepalingen volgens dẹ Autoriteit Persoonsgegevens onvoldoende concreet en voorzienbaar zijn en daardoor niet voldoen aan de eisen van artikel 22 en 23 van de Algemene verordening gegevensbescherming (AVG);

verzoekt de regering deze bepalingen te herzien en zodanig aan te passen dat zij volledig in overeenstemming zijn met de AVG en passende waarborgen bieden voor de bescherming van fundamentele rechten,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid El Abassi.

Zij krijgt nr. 17 (36264).

De heer El Abassi (DENK):
Dan mijn laatste motie, voorzitter.

De Kamer,

gehoord de beraadslaging,

constaterende dat na de Raad van State de nationale waakhond over de persoonsgegevens ook forse kritiek heeft gehad op de Verzamelwet gegevensbescherming;

constaterende dat de Autoriteit Persoonsgegevens daar een viertal aanbevelingen toe heeft verstrekt die bijdragen aan het beter inrichten van het systeem, namelijk:

• het verplicht openbaar maken van sanctiebesluiten;

• het verplicht aanstellen van functionarissen gegevensbescherming in grote bedrijven;

• de Autoriteit Persoonsgegevens de mogelijkheid geven om een schadevergoedingsmaatregel op te leggen;

• de Autoriteit Persoonsgegevens de mogelijkheid geven om bij alle overtredingen van de Richtlijn gegevensbescherming bij rechtshandhaving op dezelfde manier te handhaven als bij overtredingen van de AVG;

verzoekt de regering om deze aanbevelingen over te nemen, en de Kamer te informeren over de uitvoering ervan,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid El Abassi.

Zij krijgt nr. 18 (36264).

De heer El Abassi (DENK):
Dank u wel, voorzitter.

De voorzitter:
Dank u wel, meneer El Abassi, voor uw inbreng namens DENK. Dan zijn we hiermee aan het einde gekomen van de tweede termijn van de zijde van de Kamer. De staatssecretaris heeft aangegeven tien minuutjes nodig te hebben. Ik rond het even af, dus dan schors ik tot 21.50 uur.

De vergadering wordt van 21.39 uur tot 21.57 uur geschorst.

De voorzitter:
Ik heropen de vergadering. Aan de orde is nog steeds — ik moet het er even bij pakken, want het is een lange zin — de Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht oftewel de Verzamelwet gegevensbescherming (36264). We hebben net de tweede termijn van de zijde van de Kamer gehad. Daarin zijn acht moties ingediend en een aantal vragen gesteld. Er was ook nog een vraag overgebleven van de eerste termijn. De staatssecretaris staat klaar om die vragen te beantwoorden en de moties te appreciëren. De staatssecretaris.

Staatssecretaris Struycken:
Voorzitter. Ik beantwoord eerst de vraag van de heer Van Waveren met betrekking tot de strafbaarstelling van de verplichting uit artikel 27. In het algemeen geldt dat we terughoudend moeten zijn met het introduceren van wettelijke strafbepalingen. Daar komt hier meer in het bijzonder bij dat het de enige AVG-overtreding zou worden die naast bestuurlijk beboetbaar ook strafbaar zou worden. Op dit moment staat voor mij onvoldoende vast of een dergelijke strafbaarstelling ook toegevoegde waarde zou hebben. Een strafbaarstelling als zodanig doet nog niet zo veel. Dat veronderstelt ook de handhaving daarvan, vervolging dus, en het veronderstelt bovendien dat het in de casus die de heer Van Waveren schetste, ook wat doet. Een strafveroordeling in Nederland zou namelijk nog niet betekenen dat, in het voorbeeld dat de heer Van Waveren schetste, er ook buiten Europa daarmee verhaal zou kunnen worden genomen. Uit een ander dossier, namelijk dat van de illegale aanbieders van online kansspelen, weet ik hoe complex deze problematiek is. Op dit moment is dus onvoldoende duidelijk of strafbaarstelling voldoende toegevoegde waarde zou hebben. Tot zover de eerste vraag van de heer Van Waveren.

De tweede vraag van de heer Van Waveren betrof de nadere duiding in verband met biometrische gegevens en de openbare ruimte. Het antwoord is dat deze toepassing niet aan de orde is en niet is toegestaan. Het gaat om rechtmatige toegang tot bepaalde gebouwen, diensten en informatie- of werkprocessen. Het gaat niet om de openbare ruimte, dat wil zeggen de voor publiek toegankelijke ruimte. Het is dus niet toegestaan in de openbare ruimte. Ik zie de heer Van Waveren knikken en dat lucht mij op, want dat betekent dat hij niet verder duikt in de casuïstiek die altijd buitengewoon interessant, maar vanuit deze positie bezien ook een beetje gevaarlijk is.

Dan kom ik bij de motie op stuk nr. 11 van het lid Valize. Deze krijgt oordeel Kamer.

De voorzitter:
Motie 11: oordeel Kamer.

Staatssecretaris Struycken:
Motie 12: oordeel Kamer.

De voorzitter:
Motie 12: oordeel Kamer.

Staatssecretaris Struycken:
Motie 13: oordeel Kamer.

De voorzitter:
Motie 13: oordeel Kamer.

Staatssecretaris Struycken:
Met de motie op stuk nr. 14 heb ik even zitten worstelen, mede in het licht van het debat dat we hierover in mijn eerste termijn hebben gevoerd. Ik heb daarin benadrukt dat ik weliswaar verantwoordelijk ben voor het stelsel van de AVG en de UAVG, maar ook dat het van belang is dat de verantwoordelijkheid voor sectorale gegevensverwerkingswetgeving blijft bij de betrokken onderscheiden bewindspersonen. Als ik de motie zo kan lezen dat ik voor het terrein waar ik verantwoordelijk voor ben, namelijk de AVG en de UAVG, op grond van een jaarlijkse inventarisatie bij partijen in het veld, zoals genoemd in de motie, in samenspraak met uw commissie kan bezien of en, zo ja, in een actualiseringsvoorstel een wijziging moet worden opgenomen, dan kan ik de motie oordeel Kamer geven. Maar dat is dan met deze interpretatie.

De voorzitter:
Ik kijk heel even naar de indieners.

Mevrouw Dral (VVD):
Ik denk dat dit een goed begin is. We gaan nog met elkaar in gesprek daarover, dus ik denk dat dit voor een aftrap heel goed is.

Staatssecretaris Struycken:
Gaarne. Op die basis: oordeel Kamer.

De voorzitter:
Dan noteren we dat en wijzen we mensen er wel op om de Handelingen goed te lezen.

Staatssecretaris Struycken:
Dan kom ik op de vier moties van de heer El Abassi. De eerste is de motie op stuk nr. 15. Die betreft een schadevergoedingsmaatregel. Zoals ik toelichtte is dit ongebruikelijk, is het slecht in te passen en zijn er voldoende alternatieven. Op die basis ontraad ik de motie.

De voorzitter:
Ontraden onder verwijzing naar het debat.

Staatssecretaris Struycken:
De motie op stuk nr. 16 is overbodig, want dat is beleid binnen de bestaande kaders.

De motie op stuk nr. 17 verzoekt mij bepalingen te herzien en aan te passen. Deze bepalingen zullen worden bezien in het kader van de actualisering van de UAVG, maar ik kan niet onderschrijven dat ze ook zullen worden herzien en aangepast. Dat is onderdeel van de analyse die we gaan maken bij de eerstvolgende actualisering van de UAVG. Dus gezien dit dictum wil ik 'm ontraden.

De strekking van beide moties ondersteun ik wel.

De voorzitter:
We noteren "ontraden" bij de motie op stuk nr. 17. Dan zijn we bij de laatste motie, de motie op stuk nr. 18.

Staatssecretaris Struycken:
De motie op stuk nr. 18 noemt een viertal aanbevelingen die zouden moeten worden overgenomen. Een daarvan is de schadevergoedingsmaatregel; de motie daarover heb ik ontraden. De vierde aanbeveling is erg complex. Van de eerste heb ik in het licht van de discussie over het amendement gezegd dat ik daar gevolg aan kan geven, maar de combinatie van de vier maakt dat ik ook deze motie moet ontraden.

De voorzitter:
We noteren bij de motie op stuk nr. 18 ook "ontraden".

Ik kijk nog heel even rond bij de leden. Ik zie de heer Krul naar voren komen lopen. Ik dacht ook dat hij nog een vraag gesteld had in zijn inbreng. Ik had het CDA namelijk ook genoteerd.

De heer Krul (CDA):
Ik was benieuwd in hoeverre de staatsecretaris de missionaire opdracht op zich wil nemen om … Het gaat over de GDPR. Ik zie hem al knikken.

Staatssecretaris Struycken:
Ik herinner me nu de vraag. Het spijt me dat ik daar niet op gereflecteerd heb. Inderdaad, ik zal specifiek in verband met de GDPR navraag doen. In Brussel is het altijd de vraag op welke deur je moet kloppen. Meestal betekent dat dat je op heel veel verschillende deuren moet kloppen, maar het aardige is dat je vroeg of laat iemand tegenkomt bij wie je aan het goede adres bent. Ik zal dus specifiek in het licht hiervan en van de ervaringen die we in Nederland hebben, specifiek aandacht vragen voor revisie van de AVG.

De voorzitter:
Dank u wel daarvoor.

De algemene beraadslaging wordt gesloten.

De voorzitter:
Ik wil de leden erop attenderen — ik kijk in het bijzonder naar de heer Krul, want hij heeft al aangeboden het voortouw hierin te nemen — dat deze moties, de amendementen en de wet wel op de stemmingslijst komen, dus dat er een separaat verzoek moet worden gedaan om dat uit te stellen. Ik zeg het maar even voor de volledigheid, want dat kan kennelijk niet rechtstreeks in dit debat; dat moet daarna nog. Wilt u dat nog doen?

Ik dank u allen voor uw betrokkenheid, uw aanwezigheid en de inbrengen. Uiteraard dank ik ook de staatssecretaris en de mensen die dit debat gevolgd hebben. Ik sluit de vergadering voor vandaag.

Sluiting

Sluiting 22.05 uur.

ONGECORRIGEERD STENOGRAM Verslag TK 76 - 2024-2025 Aan ongecorrigeerde verslagen kan geen enkel recht worden ontleend. Uit ongecorrigeerde verslagen mag niet letterlijk worden geciteerd.