Verslag van een algemeen overleg, gehouden op 13 juni 2019, over bescherming persoonsgegevens
Verwerking en bescherming persoonsgegevens
Verslag van een algemeen overleg
Nummer: 2019D27347, datum: 2019-07-16, bijgewerkt: 2024-02-19 10:56, versie: 4
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-32761-148).
Gerelateerde personen:- Eerste ondertekenaar: P.H. van Meenen, voorzitter van de vaste commissie voor Justitie en Veiligheid (Ooit D66 kamerlid)
- Mede ondertekenaar: P.F.L.M. Tielens-Tripels, griffier
Onderdeel van kamerstukdossier 32761 -148 Verwerking en bescherming persoonsgegevens.
Onderdeel van zaak 2019Z06423:
- Indiener: S. Dekker, minister voor Rechtsbescherming
- Volgcommissie: vaste commissie voor Binnenlandse Zaken
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2019-04-04 12:40: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2019-04-10 14:30: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2019-06-13 14:00: Bescherming persoonsgegevens (Algemeen overleg), vaste commissie voor Justitie en Veiligheid
- 2019-06-13 14:00: Bescherming persoonsgegevens (Algemeen overleg), vaste commissie voor Justitie en Veiligheid
- 2019-06-20 14:35: Aansluitend aan de stemmingen: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2018-2019 |
32 761 Verwerking en bescherming persoonsgegevens
Nr. 148 VERSLAG VAN EEN ALGEMEEN OVERLEG
Vastgesteld 16 juli 2019
De vaste commissie voor Justitie en Veiligheid heeft op 13 juni 2019 overleg gevoerd met de heer Dekker, Minister voor Rechtsbescherming, over:
– de brief van de Minister voor Rechtsbescherming d.d. 1 april 2019 inzake eerste ervaringen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) (Kamerstuk32 761, nr. 132);
– de brief van de Minister voor Rechtsbescherming d.d. 7 juni 2019 inzake bescherming van de horizontale privacy (Kamerstuk34 926, nr. 8);
– de brief van de Minister voor Rechtsbescherming d.d. 11 juni 2019 inzake Autoriteit Persoonsgegevens – eerste ervaringen met de AVG en middelen (Kamerstuk32 761, nr. 135);
– de brief van de Minister voor Rechtsbescherming d.d. 11 juni 2019 inzake beleidsreactie onderzoek «Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding» (Kamerstukken17 050 en 32 761, nr. 576).
Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de commissie,
Van Meenen
De waarnemend griffier van de commissie,
Tielens-Tripels
Voorzitter: Futselaar
Griffier: Schoor
Aanwezig zijn zes leden der Kamer, te weten: Buitenweg, Van Dam, Futselaar, Van Gent, Van Nispen en Verhoeven,
en de heer Dekker, Minister voor Rechtsbescherming.
Aanvang 14.03 uur.
De voorzitter:
Welkom bij dit algemeen overleg van de vaste commissie voor Justitie en Veiligheid over de bescherming van persoonsgegevens. Een bijzonder welkom voor de Minister voor Rechtsbescherming. Ik stel een spreektijd van vier minuten per fractie voor, en twee interrupties in tweeën. We gaan van start met de heer Van Gent van de fractie van de VVD.
De heer Van Gent (VVD):
Dank u wel, voorzitter. We zijn op een moment ruim een jaar na de invoering van de UAVG en ook een jaar nadat mijn fractiegenoot en voorganger Sven Koopmans zijn initiatiefnota over onderlinge privacy heeft ingediend. Dit zijn ook de twee onderwerpen die ik in dit overleg aan de orde wil stellen.
Om met het laatste te beginnen: we waren blij dat de Minister zeer onlangs met een brief kwam in reactie op de initiatiefnota van de heer Koopmans over bescherming van de horizontale privacy. Daarin lezen we onder andere dat er een voorstel gaat komen over de strafbaarstelling van wraakporno. Daar zijn we heel blij mee, maar ik wil toch een kritische noot kraken. We hadden namelijk ook op andere onderdelen toch wat meer actie verwacht. Er worden wel een aantal onderzoeken aangekondigd, maar op een aantal onderdelen verwachten we wat meer van het kabinet. Ik noem het voorbeeld van de rechter die met een spoedprocedure schadelijke content van internet kan verwijderen. Dat duurt vaak wel zes weken. Ik noem ook de slachtofferhulp. Uiteraard is er vaak hele adequate psychologische hulp, maar juist als het gaat om het stoppen van de publicatie van beelden op internet, zou wat technische hulp heel welkom zijn. Dat gaat om expertise die heel veel burgers niet hebben. Ik noem ook maatregelen die misschien wel te nemen zijn tegen de verkoop van allerlei materiaal waarmee je kunt spioneren. Dat geldt zowel voor software als voor hardware. Daar zouden wij graag ook nog actie van de Minister op zien. Komt er zo'n actie? Wil de Minister overwegen om met een verzamelwet horizontale privacy te komen? Misschien is dat wel een goede aanpak in dezen.
Dan de AVG. Ik stel voorop dat we in ieder geval kunnen constateren dat de inwerkingtreding van de AVG tot heel veel bewustwording over privacy en het beheer van persoonsgegevens heeft geleid. Dat juichen we heel erg toe. Maar wij lezen ook heel veel reacties in de media en heel veel mensen hebben zich tot ons gewend – ik neem aan dat mijn collega's ook die ervaring hebben – waarin we toch nog wel allerlei problemen zien. Het geeft een beetje de indruk dat zowel private als publieke partijen een zekere angst hebben – ik heb de woorden «AVG-angst» en «AVG-koorts» gelezen – voor de boetes en voor reputatieschade. Dat laatste is vaak nog veel problematischer dan een boete. We lezen ook dat overheidsdiensten klaarblijkelijk niet altijd meer gegevens kunnen uitwisselen, hetgeen tot problemen leidt in de fraudebestrijding en de criminaliteitsbestrijding, maar ook in de dienstverlening in algemene zin.
De Minister schrijft in zijn evaluatie – dat zijn geluiden die we ook bij de AP horen – dat heel veel nog voortkomt uit onwetendheid en dat vaak veel meer mogelijk is dan gedacht wordt. Dat kan zo zijn, maar ik wil toch één voorbeeld noemen uit de vele voorbeelden die ons bereikt hebben. Misschien is er her en der toch wat meer aan de hand. Het gaat om het Integraal Kankercentrum Nederland, dat al 30 jaar patiëntgegevens verzamelt ten behoeve van onderzoek en preventie. Ze zijn in contact getreden met de AP met de vraag onder welke condities ze die gegevens konden blijven verzamelen. Dat heeft tot een hele briefwisseling geleid. Aan de ene kant wordt gezegd dat het om wetenschap gaat, waarvoor natuurlijk weer aparte normen gelden. De gegevens zijn ook anoniem. Desondanks zegt de AP: je zou toestemming aan alle patiënten moeten vragen. Ik kan mij voorstellen dat dat toch heel lastig is. Met andere woorden, deze casus laat zien dat we misschien toch wel af en toe doordraven en dat er misschien wel sprake is van een zekere AVG-verkramping.
De VVD wil bij de AVG de volgende uitgangspunten hanteren. Ik ben nieuwsgierig hoe de Minister daartegen aankijkt.
De voorzitter:
U moet wel kort met dit uitgangspunten zijn, want u bent vrijwel door uw tijd heen.
De heer Van Gent (VVD):
De wet is een levend document, waar voortdurend aan gewerkt moet worden. De AVG heeft als doel het vrije verkeer van data met inachtneming van de bescherming van persoonsgegevens. Dat vrije verkeer van data staat voorop. De AVG mag in onze optiek geen «kan niet, mag niet»-wet zijn. Er zou voortdurend een belangenafweging moeten worden gemaakt tussen de risicobeheersing van privacyschending en andere maatschappelijke belangen, zoals veiligheid en volksgezondheid.
Wij zien dat de AP een hele centrale positie inneemt. Dat is deels ook voorgeschreven in de wet. De autoriteit vervult een veelvoud aan rollen: voorlichter, toezichthouder, beoordelaar van klachten en handhaver. Het is logisch dat de AP heeft gepleit voor een vergroting van de capaciteit. Dat lijkt me in dezen ook van belang, maar als de verplichte evaluatie van de AVG in mei 2020 wordt uitgevoerd, moet ook de rol en de positie van de AP worden meegenomen.
De voorzitter:
Dank u, meneer Van Gent. Dan geef ik het woord aan mevrouw Buitenweg van de fractie van GroenLinks.
Mevrouw Buitenweg (GroenLinks):
Dank u wel, meneer de voorzitter. Ik ben wat complimenteuzer dan mijn voorganger. Ik wil de Minister heel hartelijk danken voor zijn brief van 7 juni. Ik vind dat hij daarin een visie laat zien, bij vlagen zelfs een hele liberale visie, en dat zien we niet vaak. Ik zou zeggen: mijn hartelijke complimenten daarvoor.
In die brief maakt de Minister onder andere duidelijk dat privacy niet strijdig is met veiligheid, maar er ook voorwaardelijk aan kan zijn. Privacy is belangrijk om je als mens te ontwikkelen zoals je zelf wil, met een eigen identiteit en in relatie tot anderen. Natuurlijk is privacy ook niet heilig. Het is niet onbegrensd. Inbreuken kunnen, mits noodzakelijk, proportioneel en effectief. Voldoende privacy is wel essentieel voor mensen in een goed functionerende democratische rechtsstaat. «Hear, hear», zou ik willen zeggen.
Ik vind het wel opvallend dat we deze wijze woorden lezen in een brief over horizontale privacy: de privacy tussen burgers onderling en tussen burgers en bedrijven. Ik heb het veel minder gehoord toen we beslissingen namen over een PNR-systeem, waarbij gegevens van vliegtuigpassagiers langdurig worden opgeslagen, of bij het systeem dat de overheid hanteert om fraude op te sporen, het Systeem Risico Indicatie (SyRI). Dezer dagen voert de FNV samen met de bewoners van de Rotterdamse wijken Hillesluis en Bloemhof actie tegen SyRI. Ik citeer een van de organisatoren: «Bewoners worden bij voorbaat gewantrouwd op basis van algoritmen die hen beoordelen met een verhoogde kans op fraude. Waarvan en waarom, dat wordt niet duidelijk.» Vindt de Minister niet ook dat inzichtelijk moet zijn waarom bepaalde adressen als hoogrisicoadres worden aangemerkt?
Terecht zegt de Minister dat hij de mogelijkheden voor collectieve actie wil verbeteren. Ook dat vind ik echt een goed punt in de brief, maar hoort daar ook niet bij dat sprake moet zijn van openbaarheid van algoritmes of in ieder geval van de mogelijkheid dat de algoritmes door iemand worden beoordeeld? Zou een bank klanten mogen beoordelen op een verhoogde kans op fraude? Zou een bank mensen met een bepaalde postcode extra mogen checken zonder duidelijk te maken waarom het juist om deze mensen uit deze gebieden gaat? De Minister wil niet dat mensen op basis van een bepaald profiel van producten of diensten worden uitgesloten of daarvoor hogere prijzen moeten betalen, maar mag je wel een grotere verantwoording van hun financiële positie vragen op basis van hun profiel, en de toegang dus bemoeilijken? Ik hoor het graag.
Over de evaluatie van de AVG valt veel te zeggen. Ik wil er één punt uithalen: dat van de kinderen onder de 16 jaar. De Tweede Kamer heeft vorig jaar besloten dat kinderen tot 16 jaar aan hun ouders toestemming moeten vragen voor het online gebruiken van hun persoonsgegevens. Wij wilden die leeftijd verlagen naar 13, maar daar is toen niet toe besloten. De Minister zegt over de mogelijkheid om die leeftijd te verlagen dat dat een keuze is die nog boven de markt hangt. Om een goede afweging te maken, wil hij de relevante stakeholders erbij betrekken. Nou is mijn vraag heel simpel: vindt de Minister de groep van 13- tot 16-jarigen een relevante stakeholder? Zo ja, hoe wil hij hen daarbij betrekken?
De Autoriteit Persoonsgegevens heeft veel werk op haar bordje. We kennen allemaal het rapport van AEF van een paar jaar geleden, waarin drie verschillende mogelijke ontwikkelingen werden beschreven met de daarbij passende budgetten. Klopt het, zo zou ik de Minister willen vragen, dat met de ongeveer 10.000 telefonische verzoeken om informatie, de ongeveer 26.000 klachten, de 24.000 datalekken enzovoorts, enzovoorts de vraag naar optreden van de AP op dit moment hoger is dan in het hoogste scenario?
Ben ik daarmee aan het eind van mijn spreektijd, voorzitter?
De voorzitter:
Ik wil wel enige ruimte geven, want dat heb ik bij uw voorganger ook gedaan en er zijn niet zo heel veel leden.
Mevrouw Buitenweg (GroenLinks):
Ik wil eigenlijk alleen nog een vraag stellen over die smart cities. Ik heb begrepen dat er een code digitaal bestuur gaat komen. Dat vind ik heel goed. Staan daar ook uitgangspunten in, zoals dat mensen moeten weten welke informatie over hen verzameld wordt, bijvoorbeeld bij dat wifitracking? Op vragen die ik aan de Minister heb gesteld, zei hij dat hij daar weinig informatie over had. Feit is dat burgers zelf er ook weinig informatie over hebben. Als zij zich moeten kunnen verweren en iets niet willen, dan moeten ze wel weten dat iets gebeurt. Op welke wijze wil de Minister bevorderen dat burgers echt goed op de hoogte zijn van de informatie die over hen verzameld wordt, ook via dat wifitracking?
De voorzitter:
Dank u wel. Dan is het woord aan de heer Van Nispen van de SP.
De heer Van Nispen (SP):
Dank u wel, voorzitter. In eerdere jaren begonnen we zo'n debat over de bescherming van persoonsgegevens met de opmerking: data is het nieuwe goud. Dat is eigenlijk alweer een achterhaalde uitspraak. Data is natuurlijk nog steeds goud. Het is alleen niet zo nieuw meer. We weten dit allemaal. De persoonlijke gegevens van mensen worden met de dag belangrijker. De Algemene verordening gegevensbescherming, de AVG, is inmiddels een jaar in werking. Door de inwerkingtreding kon privacy rekenen op veel aandacht. Het belang van een zorgvuldige omgang met persoonsgegevens stond hoog op de agenda. Ik ben het met de Minister eens dat dit allemaal winst is.
De verwachting was ook dat de AVG tot veel vragen zou leiden. Dat blijkt een terechte verwachting te zijn geweest. Sterker nog, die AVG heeft heel veel vragen, zorgen en zelfs lichte paniek opgeleverd. Nu schrijft de Minister: vaak is er meer ruimte dan wordt aangenomen. Dan is toch de vraag: hoe kan dat? Waarom zijn er zo veel misverstanden ontstaan en waarom zijn die niet voorkomen? Die gingen over kerkdiensten, over schoolfoto's; noem het allemaal maar op. Hoe kijkt de Minister hierop terug? Hebben we dit allemaal goed aangepakt? Nog steeds leven er heel veel vragen. Er is nog steeds volop behoefte aan goede voorlichting. Lukt het de Autoriteit Persoonsgegevens deze taak te vervullen? Loopt ze daarbij tegen grenzen aan?
Het is nu medio 2019. We kregen een brief dat medio 2019 een webportaal, de Privacywijzer, gereed zou zijn. Dat klinkt goed, maar dan is toch mijn vraag: wanneer is dat dan? En hoe verhoudt dit portaal zich precies tot de Autoriteit Persoonsgegevens? Dat werd mij niet helemaal duidelijk.
Ik wil aansluiten bij de vragen die mevrouw Buitenweg al stelde over de capaciteit. Er is in het afgelopen jaar ontzettend veel op de Autoriteit Persoonsgegevens afgekomen. Die autoriteit moet een privacywaakhond met tanden zijn. Samen met D66 heeft de SP eerder een motie ingediend over de capaciteit en middelen van de Autoriteit Persoonsgegevens in relatie tot haar extra taken en bevoegdheden. Daarom de vraag aan de Minister: is het voldoende? Kan de autoriteit wel de privacywaakhond zijn die wij vragen? Volgens mij moet het eerlijke antwoord zijn dat dit niet het geval is.
De voorzitter:
Meneer Van Nispen, voordat u verdergaat, is er een interruptie voor u van de heer Van Gent.
De heer Van Gent (VVD):
Is mijn collega van de SP net als de VVD van mening dat een uitbreiding van de capaciteit, waarvan sprake is, vooral moet worden ingezet voor voorlichting? Zoals u ook constateerde, liggen daar klaarblijkelijk nog de grootste hiaten.
De heer Van Nispen (SP):
Het is allebei ontzettend belangrijk. Ik heb geconstateerd dat de autoriteit heel goed en heel belangrijk werk doet. Zeker in het eerste jaar was er ongelofelijk veel voorlichting nodig. Ik had liever gezien dat er nog meer mogelijk was geweest. Dat had mogelijk wat gedoe voorkomen. Dus ja, dat vind ik wel. Aan de andere kant vind ik, nu we meer dan een jaar onderweg zijn, niet dat we van de Autoriteit Persoonsgegevens moeten vragen om vooral niet te handhaven. Ik denk dat het bij evidente schendingen van privacy wel degelijk belangrijk is dat met name grote bedrijven de duidelijkheid krijgen dat er bij overtredingen sancties kunnen en moeten volgen. Ik constateer dat de wij hier de Autoriteit Persoonsgegevens nog niet de slagkracht hebben gegeven waarvan ik denk dat die wel nodig is.
De heer Van Gent (VVD):
Ik sluit aan bij mijn vorige vraag. Het is duidelijk: de verwarring en onbekendheid zitten niet bij de grote bedrijven. Bij het mkb kost het vaak enorm veel administratieve belasting om bedrijven privacyproof te maken. Daar is heel veel verwarring over, bijvoorbeeld als het gaat om gegevens over zieke werknemers. Zou een ondersteunende rol van de AP dan niet heel welkom zijn, in ieder geval voor brancheverenigingen? Want het moet daarbij natuurlijk niet gaan om alle individuele bedrijven. Maar juist voor het mkb, dat vaak zeer van goede wil is, kost het best veel moeite. Ik heb het dus niet over de Googles of andere grote bedrijven, maar juist over het mkb.
De heer Van Nispen (SP):
Ik heb inderdaad geen medelijden met de grote jongens, met de Googles en de Facebooks. Daar mag het er wat mij betreft hard op. Maar het punt is dat ik er niet over ga. De Autoriteit Persoonsgegevens is onafhankelijk. Ik wil hier wel sympathie uitspreken voor het mkb. Ik heb daar zo ook nog een concrete casus over, zoals u er een had op medisch vlak. Maar juist voor de kleinere ondernemer is de voorlichtende taak evident belangrijker dan dat er bij een eerste overtreding een sanctie wordt opgelegd. Volgens mij kun je dus heel veel wegnemen door goede voorlichting te geven. De wetgeving moet duidelijk zijn. Bepaalde knelpunten benoemen we hier en proberen we nog aan te passen. Als die willens en wetens worden overtreden, kunnen we niet zeggen: we sanctioneren niet. Dan ben je niet geloofwaardig. Maar we moeten zorgen dat de wet op orde is. Die kan volgens mij beter. We moeten zorgen dat de voorlichting perfect is. Daarmee heeft u een terecht punt. Maar ja, dan moeten er sancties kunnen volgen. Ik constateer wel dat de scenario's voor de Autoriteit Persoonsgegevens niet worden gehaald. De Minister komt wel met extra geld, maar het is heel vervelend om te moeten zeggen dat dit niet voldoende is. De reële cijfers voor 2018 en de eerste helft van 2019 laten zien dat het budget nu gewoon te krap is. De investering van de Minister is onvoldoende om beheerst te groeien naar wat eigenlijk nodig zou zijn. Voor dit jaar is er nog een gat van 3,5 miljoen euro. Weet de Minister dit? Wat gaat hij hiermee doen? Neemt de Minister de scenario's serieus, die op zijn verzoek en op verzoek van de Autoriteit Persoonsgegevens zijn gemaakt? Gaat hij die ook naleven?
De voorzitter:
Meneer Van Nispen, ik heb sterk het gevoel dat u verder bent gegaan met uw betoog. Zie ik dat goed?
De heer Van Nispen (SP):
Ik moet bekennen, voorzitter, dat u mij goed kent; dat klopt.
De voorzitter:
Dan loopt de tijd weer.
De heer Van Nispen (SP):
Dank u. Kortom, de vraag aan de Minister is de volgende. We moeten groeien naar de sterkte die objectief is vastgesteld in de scenario's. De Minister kan vandaag zeggen dat hij de scenario's niet gelooft en dat hij het dus niet doet, of de Minister moet zeggen wat het groeipad daarnaartoe is. Dat hoor ik graag van hem.
De Minister schrijft in zijn visie dat er een haalbaarheidsstudie komt naar een snelle, laagdrempelige procedure om privacyschendingen op internet snel te beëindigen en slachtoffers beter te ondersteunen. Ik heb hier eerder een motie over ingediend. Het is heel goed dat nu wordt gezegd: daar gaan we mee aan de slag. Waarom moest dit zo lang duren, is dan toch de vriendelijke vraag aan de Minister: waarom nu pas een haalbaarheidsstudie en nog geen concrete maatregelen? Ik ben het wat dat betreft wel eens met de VVD: er worden vooral heel veel onderzoeken aangekondigd.
Bij de behandeling van de Algemene verordening gegevensbescherming in de Kamer vroeg ik aandacht voor artikel 30, lid 5, dat de registerplicht regelt. Ik vroeg toen of het echt voor alle bedrijven nodig was om aan de registerplicht te voldoen, ook voor het mkb. Wat is nou eigenlijk het nut van een register voor de slager om de hoek, als het gaat om 30 mensen die in zijn buurt vlees bestellen voor de barbecue in de zomer of om het bijhouden van een salarisadministratie voor zijn vijf personeelsleden? Moet dat nou echt allemaal? Het gaat dus om niet-risicovolle verwerkingen; laat dat duidelijk zijn. De Minister wilde daar toen weinig mee doen. Maar nu horen wij toch van ondernemers, met name in het mkb, dat dit wel tot problemen leidt. Het is een voorbeeld, maar dit soort dingen leiden dus gewoon tot problemen. Is de Minister bereid om dit punt mee te nemen in de evaluatie, en om gevonden knelpunten ook in EU-verband te bespreken? Dat moet mogelijk tot bijstelling van die verordening leiden.
Bij criminaliteitsbestrijding draait het om de informatiepositie en om gegevensdeling, maar te vaak horen wij klachten over wat er allemaal niet kan en niet zou mogen. Van de andere kant, van de Autoriteit Persoonsgegevens of nu ook weer in de brief van de Minister horen en lezen wij dat het allemaal wel mee lijkt te vallen. Ondernemers mogen van de Minister best een zwarte lijst maken om elkaar voor fraudeurs te waarschuwen, mits het zorgvuldig gebeurt. Dat geldt bijvoorbeeld ook voor alle partijen betrokken bij de bestrijding van georganiseerde criminaliteit: burgemeesters, politie, Openbaar Ministerie, FIOD. De bescherming van persoonsgegevens hoeft die aanpak niet in de weg te zitten, horen we steeds. Ik begin mij wel af te vragen welke taak beide ministers hier nu echt voor zichzelf zien. Laten wij het aan de bedrijven over om elkaar te waarschuwen voor fraude?
De voorzitter:
Tot slot.
De heer Van Nispen (SP):
Laten we aan de gemeentes over wat er wel en niet gedeeld mag worden bij de bestrijding van georganiseerde criminaliteit? De SP ziet het echt als een overheidstaak om slachtoffers te beschermen. Dat is een nationaal belang. Daarom doe ik een dringend beroep op de Minister om hierover nadrukkelijker mee te denken, zowel met de ondernemers die zo'n fraudepreventielijst willen maken, als met de gemeentes die in de praktijk tegen knelpunten aanlopen. Wat kan, wat mag en wat vinden wij met elkaar wenselijk?
Ik hoop dat een collega van mij het punt van de wifitracking meeneemt. Anders kan de Minister daar misschien toch op reageren.
De voorzitter:
We kijken verwachtingsvol naar de heer Van Dam. Dat is sowieso altijd een goed idee. Ik geef het woord dus aan de heer Van Dam van het CDA.
De heer Van Dam (CDA):
Voorzitter, dank u wel. We zijn nu ruim een jaar bezig met de AVG. Ook in mijn kring heb ik veel bezorgde geluiden gehoord over de afkondigingen die niet meer van de kansel gedaan konden worden, de sportverenigingen die onder een enorm administratief juk moesten buigen en noem het allemaal maar op. Ik heb het stuk gelezen over met een kanon op een mug schieten. Maar we moeten ook heel reëel zijn. Natuurlijk zijn dat problemen, maar die zaken moeten zich ontwikkelen. Tegelijkertijd is mijn afdronk, als we het vergelijken met bijvoorbeeld Amerika, China of dat soort omgevingen, dat we ermee gezegend zijn dat we in Europa de AVG hebben. In de afweging van alle belangen waren we er met z'n allen misschien toch echt wel aan toe dat de privacy wat pregnanter in beeld kwam. Ik wil niet zeggen dat alle problemen al zijn opgelost, maar ik denk toch dat dit statement er moet zijn. Misschien is wel het beste bewijs daarvan dat wij vandaag een AO hebben over privacy zonder dat D66 aanwezig is. Dat is toch bijzonder? Het mag in de annalen. Wat is hier aan de hand? Ik dacht: kunnen wij wel beginnen? Maar dat is de situatie. Ik wil maar zeggen: natuurlijk, er zijn heel veel problemen te overwinnen, maar er is ook heel veel winst behaald. Ik denk dat we met de AVG een slag dieper zijn gegaan, zowel als het gaat om de Autoriteit Persoonsgegevens als om al die mensen die dit opgepakt hebben in bedrijven, in vrijwilligersorganisaties en weet ik wat niet allemaal. Het stond misschien ook in de vorige wet, maar we zijn het gaan doen. Hoewel het ook leidt tot ongemak, moeten we dat toch ook constateren met elkaar.
Ik wil drie punten naar voren brengen in de tien minuten die mij volgens mij gegeven zijn. In de eerste plaats wil ik weten hoe de Minister aankijkt tegen de brief van GGZ Nederland, dat uitdrukkelijk vraagt om een wettelijke basis voor het delen van informatie in de forensische zorg, bijvoorbeeld met de politie of anderen. Het wordt nu allemaal per geval bekeken. Ik kan me niet onttrekken aan de indruk dat de Minister daar recent ook wel wat debatten over heeft gevoerd. Ik vind dit onderwerp heel belangrijk. Ik weet dat er een wetsvoorstel aankomt over gegevensdeling als het gaat om het strafrecht en andere dingen, maar volgens mij ziet die wet niet primair op dit onderwerp. Het maatschappelijk belang van dit onderwerp is zeer groot. Daar hoeven we elkaar niks over te vertellen.
Een tweede punt is de crosssectorale gegevensdeling. Ik dank de Minister voor het rapport van de firma Considerati, waarin wordt gekeken hoe in Engeland Cifas geregeld is en of dat in Nederland ook zou kunnen. Ik dank hem ook voor de beleidsreactie, maar ik zal heel eerlijk zeggen dat ik het een buitengemeen bleke beleidsreactie vond. Ik zou me kunnen voorstellen dat deze Minister van VVD-huize best aan criminaliteitsbestrijding wil doen. In de brief van de Minister staan alle letters op de goede plek, maar het is op zich toch een heel goed teken dat ondernemers in het bedrijfsleven zelf verantwoordelijkheid willen nemen om binnen de grenzen van de AVG boeven van hun erf te houden? Dat is ook voor alle andere consumenten een voordeel. In Engeland besparen ze op jaarbasis een miljard pond, gewoon door pure criminaliteit buiten de deur te houden, met toezicht door een ombudsman en een verbinding met de politie. En laten we wel wezen. Ik weet dat er, onder andere door het Verbond van Verzekeraars, een poging is gewaagd om hier iets aan te doen en bij de AP een vergunning aan te vragen. Dat heeft het Verbond van Verzekeraars tonnen gekost aan juridisch advies en juridische ondersteuning. Maar van deze brief druipt niet het enthousiasme om dat maar eens in brede zin, zoals in Engeland, te doen. Let wel: in Engeland zijn ze 20 of 30 jaar bezig geweest om van een bescheiden initiatief te komen tot wat het nu is. Ik vraag de Minister uitdrukkelijk om zelf meer een positie in te nemen en te zeggen wat hij hiervan vindt, dus gewoon politiek, en toch te kijken of we niet in de nieuwe wet gegevensdeling of in de UAVG een wettelijke basis kunnen vinden. Ik denk namelijk dat we dit puntje niet op het bord van de AP moeten leggen, want we weten dat dat bord al heel vol is. Aan dit onderwerp zitten ook echt politieke aspecten, die zich lenen voor een behandeling in wetsverband. Daarom vraag ik de Minister uitdrukkelijk om daarover iets te zeggen in zijn termijn.
Tot slot, voorzitter, want ik zie u al zenuwachtig naar de klok kijken. Onlangs stond in Politico Europe – niet direct mijn lijfblad, maar je moet ook weleens wat buiten de deur lezen – een verhaal over het toezicht van de Ierse persoonsgegevensautoriteit op bijvoorbeeld Facebook en Google. Al die bedrijven zitten historisch gezien in Ierland. Los van het feit dat er veel economische banden zijn tussen die bedrijven en de Ierse overheid, vanwege werkgelegenheid, financiën enzovoorts, is het een klus voor de Ierse autoriteit om maar eens even al die bedrijven te controleren, want dat doen ze ook voor ons. Ik heb in dat kader twee vragen. In de eerste plaats wil ik graag weten, misschien niet nu maar dan op een later moment, hoe de Minister aankijkt tegen de invulling van die rol in Ierland. Dat is natuurlijk superingewikkeld, want dan moet je het hebben over de autoriteiten daar. Maar in het stelsel is het daar neergelegd. Kunnen ze dat aan? Zou je dat niet veel meer op Europees niveau moeten doen? Dat is me nogal een klus.
Daar past een tweede vraag bij. Om welke vergelijkbare internationale bedrijven, waarvan de Nederlandse Autoriteit Persoonsgegevens ook melding maakt, gaat het voor Nederland? Ik zou graag een lijst willen zien. Wij willen dat ze in Ierland hun werk doen. Zo vind ik ook, mede in relatie tot de discussie of de autoriteit daartoe is uitgerust, dat wij zicht moeten hebben op welke in Nederland gevestigde internationale bedrijven onze Nederlandse Autoriteit Persoonsgegevens toezicht moet uitoefenen. Ik vraag dus uitdrukkelijk om een overzicht daarvan.
Dank u wel.
De voorzitter:
Dank, meneer Van Dam. Ik zie een interruptie van de heer Van Gent.
De heer Van Gent (VVD):
Als ik zie hoe redelijk actief de AP hierin is, heb ik me ook weleens afgevraagd hoe het in Italië of Griekenland zou zijn. Het is immers een Europese richtlijn. U geeft nu het voorbeeld van Ierland. Hoor ik u een pleidooi houden voor een Europese toezichthouder? Dat vind ik een stap verder. Want dat zou de consequentie kunnen zijn als je zegt dat de Ieren het zelf niet aankunnen.
De heer Van Dam (CDA):
Als CDA'er ligt het woord «subsidiariteit» mij voor in de mond, dus dat je iets organiseert op het level waar het hoort. Meestal wordt dat begrip toegepast om uit te leggen waarom we dingen niet op rijksniveau maar op gemeentelijk of provinciaal niveau moeten doen, maar die subsidiariteitsvraag heeft natuurlijk ook een keerzijde: is het reëel om het in dit geval op het niveau van het land Ierland te leggen, terwijl die bedrijven in heel Europa belangen hebben? Er is ook nog een economisch belang tussen de Ierse overheid en die bedrijven. Daar moeten we ook duidelijk over zijn. Wij hebben ook een economisch belang bij brievenbusmaatschappijen. Dat is een onderdeel van de discussie. Ik vind dat we die vraag als Europese burgers mogen stellen. Ik wil er niet meteen naartoe gaan dat het op Europees niveau moet, want dan is maar de vraag wie dat zou moeten doen. Maar ik vind wel dat wij als dagelijkse gebruikers van social media die vraag moeten stellen en het in beeld moeten hebben.
De voorzitter:
De heer Van Gent is daarmee tevreden. Daarmee eindigt de eerste termijn van de Kamer. Ik wil de Minister graag een kwartier schorsing geven, tot 14.45 uur.
De vergadering wordt van 14.30 uur tot 14.53 uur geschorst.
De voorzitter:
We gaan verder met het algemeen overleg Bescherming persoonsgegevens. Ik meld dat tot onze vreugde nu ook de heer Verhoeven van D66 is aangeschoven. Met die opmerking geef ik het woord aan de Minister voor Rechtsbescherming.
Minister Dekker:
Het voelt vertrouwd om nu ook de heer Verhoeven erbij te hebben, als verrijking aan dit debat en als voorvechter voor het thema privacy.
Voorzitter. Ik moet eerlijk bekennen dat mijn wenkbrauwen enigszins fronsten toen ik gisteren de krant opensloeg. Daarin deed een van de bazen van Facebook, Sheryl Sandberg, de oproep dat overheden nu echt moeten opschieten met de regelgeving op het gebied van privacy. Toen dacht ik: het moet niet veel gekker worden! Tegelijkertijd merk ik, ook in gesprekken met Amerikaanse collega's, dat er heel erg naar Europa wordt gekeken om te zien wat wij hier doen op het gebied van de GDPR en het uitrollen van de AVG. Het privacybewustzijn is hier veel groter dan daar. Soms zitten we in een soort strijd. Aan de ene kant hebben we het gevoel dat we in de digitalisering, met de opkomst van grote bedrijven, hier en daar de slag wat hebben gemist, kijkend naar waar de top tien van grote techbedrijven vandaan komen. Aan de andere kant lopen we op het thema «de omgang met de bescherming van persoonsgegevens» wel weer voor op onze Amerikaanse collega's. Het is goed om daarover door te praten.
Vandaag hebben we het over de AVG, waar ik zo even kort bij wil stilstaan. Vervolgens zoom ik iets meer in op wat we naast de AVG breder kunnen doen op het gebied van privacy, specifiek horizontale privacy, omdat dit ook als thema in het regeerakkoord is uitgelicht. Dat betekent niet dat verticale privacy er plotseling helemaal niet meer toe doet, maar wij zien wel dat discussies nu ook gaan over de vraag hoe een sterke overheid ervoor kan zorgen dat jouw privacy beschermd wordt ten opzichte van andere individuen of bedrijven. Vroeger gingen veel discussies over privacy over de vraag hoe je de overheid enigszins in toom houdt.
Laat ik met de AVG beginnen. Dan sluit ik me aan bij de, zoals ik ze maar even heb opgevat, gematigd positieve woorden van de heer Van Dam. Hij zei: er is het afgelopen jaar veel gedoe geweest over wat het betekent en dat het bij sportverenigingen, kerken en kleine bedrijven vooral gevoeld werd als een last, maar nu zijn we een jaar verder en beginnen dingen uit te trillen; nog niet helemaal, maar toch. Het ziet ernaar uit dat het twee dingen heeft opgeleverd. Aan de ene kant een groter bewustzijn over de persoonsgegeven waarmee je te maken hebt, wat vraagt dat je er op een veilige en goede manier mee omgaat. Je zou ook moeten nadenken over wat je mag en moet delen, en over de voorwaarden waaronder dat gebeurt. Aan de andere kant weten ook kleine organisaties steeds meer wat er van hen wordt verwacht. Ze hebben manieren gevonden om daar op een praktische manier mee om te gaan, naar aanleiding van goede voorlichting, niet alleen van de AP, maar ook van verschillende ministeries en brancheorganisaties. Ik wil echt een groot compliment maken aan, noem ze maar op, bijvoorbeeld VNO-NCW, MKB-Nederland, NOC*NSF en de grote sportkoepels. Er is enorm veel gedaan om al die leden en hun achterbannen erbij te betrekken. Een groot compliment daarvoor.
Met de brief hebben wij geprobeerd om inzicht te bieden in waar de knelpunten zitten, in de reële knelpunten waar we misschien nog eens even over door moeten denken en in welke dingen we kunnen oplossen door meer en betere voorlichting. Want ook daar is nog veel te doen. Ik herken de privacykramp waarnaar de heer Van Nispen verwijst. Hij vroeg waar ik denk dat die vandaan komt. Voor een deel was die er door nieuwe wetgeving en nieuwe ontwikkelingen. Daar was heel veel aandacht voor. Daardoor hebben heel veel bedrijven zich afgevraagd wat er op hen zou afkomen, zeker kleine bedrijven die niet standaard een privacy officer of een juridisch medewerker in dienst hebben die dat een-twee-drie voor hen kan vertalen. Voor een ander deel – ik ben voorzichtig – kwam er met de AVG een industrie op gang van organisatieadviseurs en juridisch adviseurs die vooral ook doembeelden probeerden neer te zetten: kijk uit voor nieuwe wet- en regelgeving, een autoriteit met tanden en heel hoge boetes. Daardoor is de angst of de kramp misschien ook wel een beetje aangewakkerd. Vaak gingen dat soort verhalen gepaard met een hulpaanbod: kijk uit, dit komt er op u af, maar als u ons inhuurt kunnen wij u helpen. Op onderdelen is dat juridisch advies ook wel weer goed, want zeker bij middelgrote bedrijven moest er echt wel wat veranderen. Daar zijn dus ook goede dingen gebeurd. Ik denk dat dit een verklaring is voor wat we het afgelopen jaar hebben gezien.
Er blijven een aantal reële dingen over. Voor een deel zit het in de regelgeving waarvoor Nederland afhankelijk is van Europa. Neem bijvoorbeeld het punt dat de heer Van Nispen aanhaalde over de registerplicht voor kleine ondernemers. Er staat een soort exceptie in de AVG, maar dan wordt er gezegd: zodra de gegevensdeling structureel wordt, zoals in de gevallen die hij zojuist noemde al gauw gebeurt, heb je wel degelijk een registratieplicht. Dan is de vraag of er nog werkelijk een exceptie is voor de kleine bedrijven, of dat die er de facto niet is. Wij zien in de praktijk dat die exceptie betrekkelijk weinig voorstelt. Wij vragen ons dus ook af of dat de bedoeling was van de Europese regelgeving. Wij zullen dit soort dingen straks bij de evaluatie die Europees moet plaatsvinden uiteraard aankaarten. Ik geef onmiddellijk zelf mee dat wij voor een wijziging afhankelijk zijn van andere lidstaten, omdat dit gebakken zit in de Europese verordening zelf. Mijn voorganger Stef Blok heeft destijds wel gezegd: het is goed dat we hiermee omgaan. Hij heeft toen ook in Brussel aangekaart dat we niet al te lang zouden moeten wachten met de eerste evaluatie. Als er reële knelpunten zijn, is het goed om die snel op te pakken.
Voor een ander deel zit het in het stukje UAVG, onze uitvoeringswet, waarvoor discretionaire ruimte bestaat voor individuele lidstaten. Mevrouw Buitenweg maakte een punt over de leeftijdsgrens: wanneer mogen minderjarigen zelf toestemming geven voor de verwerking van persoonsgegevens? Aanvankelijk was in Europa de neiging om dat bij 13 jaar te leggen. Daar was veel weerstand tegen van sommige landen, die vonden dat het hoger moest zijn. Toen heeft Brussel in al zijn wijsheid... Of nee, we zijn er zelf onderdeel van, dus toen hebben we allemaal in al onze wijsheid gezegd: we laten het variabel zijn. Ik zie twee dingen ontstaan. Ten eerste een lappendeken in Europa, waardoor heel veel bedrijven zich afvragen hoe ze er op een ordentelijke manier mee moeten omgaan. In Nederland is de discussie ook waar wij de lat leggen. We hebben ervoor gekozen om in de UAVG zo dicht mogelijk en beleidsluw aan te sluiten bij de Wet bescherming persoonsgegevens. Daarin stond de leeftijd op 16. Wij zijn, met wat hulp van buiten, aan het kijken of het naar 13 zou moeten, of iets daartussenin. Er zitten twee kanten aan dat verhaal. Je kunt zeggen dat ook minderjarigen recht hebben op een bepaalde mate van privacy, dus waarom geef je ze daar niet op jongere leeftijd een say in, ook als het gaat om formele toestemming? Aan de andere kant zijn er ouders die zeggen: als die toestemming formeel bij mijn kind van 13 ligt, dan kan ik het niet terugroepen als ik het niet wil of niet verantwoord vind. In dat spanningsveld begeven we ons. Wij voeren gesprekken met stakeholders. Ik zal de suggestie van mevrouw Buitenweg oppakken om daar ook de doelgroep zelf in mee te nemen, dus de 13- tot 16-jarigen.
Dan zijn er nog dingen die in onze ogen kunnen binnen de wet- en regelgeving, maar die wel iets extra's vragen. De heer Van Dam kaartte het punt aan van zwarte lijsten en van bedrijven die onderling fraude willen bestrijden en daarvoor dingen moeten kunnen uitwisselen, maar waarvoor dan wel wat nodig is.
De voorzitter:
Een interruptie van de heer Van Dam.
De heer Van Dam (CDA):
Ik wil toch iets zeggen over het begrip «zwarte lijst». Ik heb dat heel bewust niet gebruikt. Bij zwarte lijsten heb ik het idee van een oude lijst die jarenlang bij de kassa ligt en waarop iemand staat die ooit in het verleden iets gedaan heeft maar wat intussen allemaal weer veranderd is. Dat begrip zou je niet moeten plakken op wat Cifas in Engeland doet. Ik zou de Minister willen vragen om de woorden «zwarte lijst» hier dus niet meer aan te verbinden. Ik heb dat zelf inmiddels ook geleerd. «Zwarte Cross» heeft misschien nog een positieve duiding, maar een zwarte lijst heeft iets naars en beduimelds. Sterker nog, het systeem in Engeland bewerkstelligt ook dat mensen die bijvoorbeeld kwetsbaar zijn als ze online aankopen doen, beschermd worden tegen zichzelf. Het is dus meer dan een zwarte lijst. Ik wil de Minister dus eigenlijk vragen om die woorden hier niet meer op te plakken. Dat is niet alleen maar een semantisch dingetje.
De voorzitter:
Dank u, meneer Van Dam. Ook voorzitters hanteren weleens een zwarte lijst als het gaat om het misbruiken van spreektijden.
Minister Dekker:
Ik ga op zoek naar een alternatief. Mocht ik straks in de discussie de term toch nog een keer gebruiken, vergeeft u het mij dan. Soms slaan we in het gemak dingen plat. Maar de heer Van Dam heeft natuurlijk helemaal gelijk: de lijst is veel geavanceerder en veel genuanceerder dan dat. Ik wilde het punt maken dat private partijen onder de AVG wel degelijk onderling gegevens kunnen uitwisselen die nodig zijn om fraude te bestrijden, maar dat dit iets extra's vraagt. Dat is de vergunningsroute. Overigens ligt er op dit moment een aanvraag van de financiële sector, van banken en het verzekeringswezen, om dat te doen. Ik kan niet vooruitlopen op die toetsing, die wordt gedaan door de AP. Daarmee geef ik maar even aan dat de route ook wel wordt bewandeld, overigens met hulp van ons departement, omdat wij dat zeer toejuichen. Ik reken het mezelf aan dat de heer Van Dam zegt: we zien wel de formeel-juridische route uitgerold in de brief, maar wordt dat met enthousiasme toegejuicht en kunnen mensen bij beide ministers terecht als het gaat om dat soort initiatieven? Het antwoord is ronduit: ja. Wij willen meedenken en meehelpen. Wij hebben ook het idee dat het aanbod van de Autoriteit Persoonsgegevens is om mee te denken en mee te helpen. Dat is nooit een garantie voor een succesvolle toetsing, maar wel voor het helder aangeven aan welke voorwaarden zo'n aanvraag zou moeten voldoen om de toets der kritiek te kunnen doorstaan. Het heeft sterk mijn voorkeur om eerst te kijken of de mogelijkheden in de wet kunnen worden benut. Ik ben er zelfs positief over gestemd. Mocht dat bij een evaluatie niet het geval blijken te zijn, dan kun je die wet alsnog wijzigen. Maar de wet wijzigen terwijl de inkt bij wijze van spreken nog niet droog is, vind ik wel heel erg op de zaken vooruitlopen. Van onze kant is er dus hulp en denken we mee om partijen ook bij privaat-privaatinitiatieven te helpen.
Twee is dat we ook publiek-privaat bezig zijn met het maken van allerlei extra wettelijke grondslagen om de uitwisseling van gegevens meer mogelijk te maken. U kunt binnenkort het wetsvoorstel gegevensuitwisseling samenwerkingsverbanden verwachten. Dat maakt het voor de zogeheten RIEC's, die bezig zijn met het tegengaan van zware criminaliteit en ondermijning, mogelijk om tussen overheden en bedrijven informatie uit te wisselen.
De voorzitter:
Voor u verdergaat, zie ik een interruptie van de heer Van Gent van de VVD.
De heer Van Gent (VVD):
Ik had dat wetsvoorstel in voorbereiding ook gezien. De AVG biedt de mogelijkheid om ruimte te scheppen voor bijvoorbeeld criminaliteitsbestrijding. Mijn vraag is dan heel concreet: zou dat ook niet voor andere sectoren moeten? Ik heb het Integraal Kankercentrum Nederland al genoemd. Zouden die ook niet via wetgeving, bijvoorbeeld binnen de sector zorg, een wettelijke basis kunnen krijgen om gegevens te krijgen?
Minister Dekker:
Ik ken dat individuele geval niet, dus ik kan dat ook moeilijk beoordelen. Ik weet ook niet precies wat er speelt. Als er sprake is van een wetenschappelijk instituut of de vergaring van persoonsgegevens ten behoeve van academisch werk, dan zit er een exceptie in de wet die dit mogelijk maakt. Kennelijk is daar hier geen sprake van, want is er discussie met de AP op dit vlak. Zeker waar het gaat om zorggegevens, die geen normale persoonsgegevens maar buitengewone persoonsgegevens zijn, en die dus zwaarder tellen, moet je daar wel voorzichtig mee zijn. Ik kan dus niet een-twee-drie zeggen dat het hierop ook van toepassing is.
De heer Van Gent (VVD):
Ik ken de situatie van het instituut ook niet van haver tot gort. Het is in ieder geval geen commerciële instelling. Maar zou het in algemene zin voor dergelijke instellingen, die actief zijn op wetenschappelijk gebied en waarover klaarblijkelijk wel vragen zijn, mogelijk zijn om via sectorale wetgeving wel een wettelijke basis te krijgen? Dat gebeurt in feite nu ook bij justitie als het gaat om de wet die u net heeft toegelicht.
Minister Dekker:
Los van de wenselijkheidsvraag is het antwoord daarop bevestigend. Er wordt heel vaak gezegd: er kan weinig binnen de AVG. Nee, de AVG zegt: er kan heel veel, zolang er een wettelijke grondslag is. Dus als de wetgever vindt dat de uitwisseling van persoonsgegevens nodig is en daar een wettelijke grondslag voor maakt, dan kan er heel veel. Dan zal bij de totstandkoming van die regelgeving ook de wenselijkheidsvraag wel aan de orde komen. We zijn nu bezig met heel veel wettelijke grondslagen. Het wetsvoorstel gegevensdeling samenwerkingsverbanden maakt via een wettelijke grondslag een aantal dingen op het gebied van veiligheid en openbare orde mogelijk. Daar moeten we een discussie over hebben: vindt u dat niet te ver gaan, vindt u het terecht en proportioneel? Maar het is een route om ervoor te zorgen dat er meer kan dan het strikte kader van de AVG.
De voorzitter:
Gaat u verder.
Minister Dekker:
Het is een mooi bruggetje naar wat dat de heer Van Dam aanhaalde over de forensische zorg. Daar geldt hetzelfde voor. Er kan heel veel met de uitwisseling tussen bijvoorbeeld ggz-instellingen of forensischezorginstellingen en politie, als er maar een wettelijke grondslag is. Ik ga graag het gesprek aan met GGZ Nederland om te zien waar dit dan zit. Wij zijn zelf bezig om links en rechts dit soort grondslagen aan te brengen. Volgende week hebben we een debat over de Wet straffen en beschermen. Daar zit een grondslag in om bijvoorbeeld op het gebied van re-integratie veel meer uit te wisselen met gemeenten. Gister had mijn collega Hugo de Jonge hier een discussie over de Wet zorg en dwang, waarin een bepaling is opgenomen dat er in het kader van de Wet verplichte ggz informatie kan worden gedeeld tussen de zorgsector en de politie. Dat zijn dus stuk voor stuk manieren om gegevensuitwisseling mogelijk te maken. We proberen die er nu in te bouwen en in te hangen. Die krijgt u allemaal voorgeschoteld. Dat gaat dus om wettelijke grondslagen. Los daarvan heb ik tegen de heer Van der Staaij in het debat over Michael P. gezegd dat we ook nog wel een soort bredere verkenning willen doen naar waar op het snijvlak van justitie en zorg precies de knelpunten zitten. We constateren dat het daaraan ontbroken heeft. Zo kunnen we preventief te werk gaan.
Voorzitter, dat was het als het gaat om de AVG. Ik twijfel nog een beetje. De heer Van Gent gaf een soort voorschot over uitgangspunten die wat hem betreft leidend zijn als je de wet gaat evalueren. Ja, een wet is een levend document. Daarbij moeten we voor een deel ons werk doen in Brussel en, voor een smaller deel, hier in Nederland. Maar het denken staat nooit stil. Zijn tweede punt is dat datamobiliteit daarbij het uitgangspunt is. Daar ben ik zelf wat kritischer op, want de AVG zegt juist: het gaat over persoonlijke gegevens; de uitwisseling daarvan moet níét het uitgangspunt zijn, maar minimalisatie moet het uitgangspunt zijn. De AVG zegt daarnaast dat jij zelf over je eigen gegevens gaat en dat iemand die pas mag delen na jouw toestemming. Ik denk dat dit het grote winstpunt is van die wet. Natuurlijk moet je daarbij steeds een belangenafweging maken, bijvoorbeeld tussen privacy en veiligheid, maar dat is geen belangenafweging die je zomaar moet neerleggen bij een individuele instantie, waarbij je er dan maar op mag hopen dat dit goed gebeurt. Voor een deel moet die belangenafweging in het parlement plaatsvinden door het maken van wettelijke grondslagen op basis waarvan je die gegevens zou mogen uitwisselen.
De heer Van Gent (VVD):
We weten dat de EU graag vrij verkeer bevordert. Je kunt de AVG interpreteren als: vrij verkeer van data moet zo veel mogelijk mogelijk zijn, mits met oog voor de privacy en het gegevensbelang. Het is een attitude, maar je kan er zo naar kijken. Privacy is belangrijk, en gegevensbescherming ook, maar het vrije verkeer van data is dat ook. Als je het omgekeerde vooropstelt, «doe maar zo min mogelijk vrij verkeer van data», krijg je al heel snel een schending van persoonsgegevens. Juist het vrije verkeer van data is volgens mij een uitgangspunt van de AVG.
Minister Dekker:
Ik ben bang dat we daarover van mening verschillen. Het zijn niet zomaar data; het gaat om persoonsgegevens. Bijvoorbeeld in mijn vorige klus was ik altijd een groot voorstander van open data en open access om wetenschappelijke data zo veel mogelijk en zo vrij mogelijk te delen. Ik ben hier veel terughoudender in, want het gaat hier gewoon om uw adresgegevens, om bsn-nummers, om medische gegevens. Het gaat om dingen die vooral niet zomaar moeten worden gedeeld, tenzij je daar toestemming voor geeft, tenzij het noodzakelijk is voor het vervullen van wettelijk opgedragen taken of tenzij er excepties zijn in de wettelijke grondslagen dat veiligheid zwaarder telt, waardoor die dingen wel mogen worden gedeeld. Wat wel een groot voordeel is van de AVG, is dat het geharmoniseerd is in Europa. Vroeger had je 27, 28 lidstaten met allemaal hun eigen beschermingsregime. Daardoor was het onduidelijk wat je beschermingsniveau was als je een ticket kocht bij een Letse vliegtuigmaatschappij, die net even andere wet- en regelgeving had. Als je vervolgens allerlei ongewenste e-mail kreeg, was het onduidelijk waar je precies naartoe moest en moest je naar de Letse autoriteit toe om je recht te halen. Dat is vele malen makkelijker gemaakt. We hebben nu één set aan wet- en regelgeving, die geldt voor heel Europa. Nederlandse burgers en bedrijven kunnen gewoon bij de Nederlandse autoriteit terecht met hun vragen en klachten. Dus op het punt van de harmonisatie zijn de heer Van Gent en ik het volledig met elkaar eens.
Ik maak even een overstap naar de Autoriteit Persoonsgegevens. Dat is de toezichthouder op die hele set aan wet- en regelgeving. Eerst maar even de systematiek. Dat heeft te maken met de harmonisatie. De heer Van Dam vroeg hoe we ertegen aankijken dat in plaats van een centrale Europese autoriteit de Ierse autoriteit het onderzoek doet naar bijvoorbeeld Facebook. In de systematiek van de AVG is het een heel bewuste keus geweest om er niet de zoveelste grote Europese instantie van te maken, zoals we die op een aantal andere gebieden wel kennen, maar om juist dichtbij voor bedrijven en voor burgers een loket te hebben waar ze terechtkunnen. Als u een klacht heeft over een bedrijf in Spanje, kunt u gewoon naar de Nederlandse Autoriteit Persoonsgegevens. Zij heeft contact met de Spaanse autoriteit. Daar wordt het onderzoek gedaan. U krijgt het vervolgens teruggemeld. Voor bedrijven die in Nederland zijn gevestigd – er is geen lijst; dat zijn alle Nederlandse bedrijven – geldt hetzelfde: die vallen onder het toezicht van de Nederlandse autoriteit. Omdat Facebook is gevestigd in Ierland en er even terug dat grote incident was rond Cambridge Analytica, is er toen gezegd dat het de Ierse autoriteit is die daar onderzoek naar doet. Wat is het mechanisme? Als het niet binnen een land kan worden opgelost, is er altijd het verkeer tussen de landen. Als het zelfs nog groter wordt, is er een Europese raad waarbinnen de dingen worden besproken en waarin ook de Nederlandse voorzitter van de Autoriteit Persoonsgegevens een zetel heeft. Sinds zeer kortgeleden is hij vicevoorzitter van die council.
Is de Autoriteit Persoonsgegevens voldoende toegerust met geld en middelen? In mijn ogen wel, hoewel we daar natuurlijk wel steeds de vinger aan de pols moeten houden. Bij Voorjaarsnota is het budget weer wat verder gestegen. Er zijn denk ik weinig organisaties in Nederland die kunnen bogen op zo'n snelle groei als de Autoriteit Persoonsgegevens. Het budget is gegroeid van een kleine 8 miljoen in 2016 naar zo'n 18,5 miljoen in 2019. Dat is meer dan een verdubbeling. Daar staan natuurlijk ook extra taken tegenover, zal de heer Van Nispen meteen zeggen. Dat ben ik met hem eens. Er zijn ook wat onderzoeken gedaan naar wat voor een soort groeiscenario's je moet aanhouden. Dat is het rapport waarnaar ik verwees. In dat rapport had je een minimumscenario, een middenscenario en een hoog scenario. We zitten net onder het minimumscenario. Ik geloof dat het minimumscenario uitging van een groei naar zo'n 19,5 miljoen. We zitten nu op 18,5 miljoen. Mijn kritiek is steeds geweest dat bij dat soort van scenariodenken wordt gewerkt met heel veel aannames. Laten we nu ook eens in de praktijk kijken hoe die aannames uitpakken. Wij zagen daarom dit jaar noodzaak voor groei. Die hebben we geaccordeerd.
De heer Van Nispen zegt dat er een tekort is dit jaar. Dat zou ik heel vreemd vinden, want de Autoriteit Persoonsgegevens weet – het is een zbo – van jaar tot jaar met welk budget ze moeten werken en uit moeten komen. Net als voor iedere andere organisatie ga ik ervan uit dat de Autoriteit Persoonsgegevens wel gewoon binnen het budget blijft. Als er een probleem ontstaat, komen ze bij ons en moeten ze dat bespreken. Daar moeten we scherp op zijn.
De voorzitter:
Dit leidt tot een interruptie van de heer Van Nispen.
De heer Van Nispen (SP):
We hadden dus scenario's toen we onder andere de wet bespraken. Daar hield de Minister zich niet helemaal aan. Daar hebben we het toen over gehad. De heer Verhoeven en ik hebben vervolgens een motie ingediend. Maar de vinger aan de pols is er dus geweest, want die scenario's zijn recent bijgewerkt. De Minister zegt dat hij niet alleen naar scenario's wil kijken, maar ook naar de realiteit. Dat ben ik met de Minister eens. Maar ook die cijfers zijn er nu. Dus volgens mij is de vinger aan de pols gehouden. Mijn vraag aan de Minister is of hij die meest actuele scenario's en die realistische cijfers kent. Wat is er het afgelopen jaar allemaal gedaan en wat is er in de eerste helft van 2019 allemaal gedaan? Erkent de Minister dat hij, ook als je het toetst aan de praktijk, daar nog steeds onder zit? Dan zegt het mij niet zoveel dat de Autoriteit er vergeleken met andere organisaties relatief veel geld bij heeft gekregen. We vragen ook ontzettend veel van haar, qua voorlichting, qua handhaving en noem het maar op. Zij heeft veel extra taken gekregen. Dus die vergelijking met andere organisaties zegt mij dus heel weinig. Ik wil van de Minister weten of hij die meest actuele scenario's kent en of hij bereid is om die aan de Kamer te sturen, inclusief het groeipad wat de Minister zelf voor ogen heeft qua budget voor de Autoriteit Persoonsgegevens.
Minister Dekker:
Ik ken die scenario's zelf niet. Het zou best kunnen dat ze beschikbaar zijn binnen mijn eigen organisatie, maar in ieder geval zijn die scenario's niet in opdracht van mij gemaakt. Het kan natuurlijk best zijn dat de AP zelf allerlei scenario's maakt, maar dat vind ik echt wel van een iets andere orde. Bij het maken van begrotingen en het toebedelen van budgetten heb je altijd te maken met het maken van keuzes en met schaarste, bijvoorbeeld als het gaat om de politie, het Openbaar Ministerie, de rechterlijke macht. Dat geldt ook voor de Autoriteit Persoonsgegevens. Als je vraagt «zou je ook meer willen», is het antwoord eigenlijk standaard: ja. Dan heb je iets meer ruimte en kan je iets meer met je capaciteiten doen. Dat zijn ook de gesprekken die ik voer met de AP. Dus het is geen openeinderegeling. De AP moet gewoon voldoen aan het budget dat zij ieder jaar krijgt. Daar ben ik ook een beetje streng op, want anders gaat het echt helemaal mis. Ik vraag dat ook van andere organisaties. En natuurlijk voeren we daar een open gesprek. Als ze zeggen «we hebben toch wel heel veel extra werk, wij zitten met een aantal knelpunten», dan gaan we daarover aan tafel zitten. Dan wegen we die knelpunten. Dan kijk ik ook naar de knelpunten die ik heb bij al die andere organisaties en uiteindelijk komen we dan tot een afweging. Dat heeft voor dit jaar, bij deze Voorjaarsnota, geleid tot een extra toevoeging van 3,5 miljoen euro.
De heer Van Nispen (SP):
Maar laten we nou niet onze privacywaakhond gaan wegzetten als een rupsje-nooit-genoeg. Wij hebben er in de Kamer met elkaar voor gekozen dat er extra taken zijn en dat we dit onderwerp ongelooflijk belangrijk vinden. Er zijn scenario's. Daar ging de Minister dan nog onder het minimum zitten. Daar was ik het niet mee eens, maar dat is gebeurd. Maar inmiddels hebben we reële, objectieve, bijgewerkte scenario's en reële cijfers over hoe het er nu voorstaat. En dan zegt de Minister: ja, maar ik heb geld toegevoegd, maar dat benadert het ook niet. Dus ik wil graag dat de Minister met een brief komt waarin hij die scenario's aan de Kamer stuurt, met het groeipad dat hij zelf voor ogen heeft, en dan inderdaad met een rechtvaardiging van waarom de Minister zegt: desalniettemin vind ik dat we dit toch niet gaan doen. Dat zou ik dan graag van de Minister willen weten. Dat de Autoriteit moet groeien, hebben we afgesproken en dat weten we allemaal. Dat moet beheerst gaan. Je kunt niet in één keer een organisatie verdubbelen; dat snappen we ook allemaal. Maar langzamer groeien dan volgens die realistische scenario's en de objectief vastgestelde cijfers is volgens mij onverantwoord, gelet op het belang dat we hier allemaal hechten aan de bescherming van persoonsgegevens. Dus mogen we die scenario's van de Minister ontvangen met het groeipad dat hij voor ogen heeft?
Minister Dekker:
Naar mijn beste weten heeft mijn ministerie geen scenario's laten maken. Nee, wij hebben geen scenario's laten maken, dus die kan ik u ook niet toe laten komen. Dus dat vind ik een beetje een ingewikkelde.
De voorzitter:
Ik geloof dat meneer Van Nispen nog even wil verduidelijken wat hij precies wil.
De heer Van Nispen (SP):
Kan het zijn dat de scenario's in opdracht van de Autoriteit Persoonsgegevens zijn gemaakt, dat het weer gaat om AEF? Kan de Minister uitzoeken of er realistische scenario's zijn, vanuit het ministerie dan wel vanuit de Autoriteit Persoonsgegevens? En is hij bereid om zich daarin te verdiepen? Dat is eigenlijk de vraag die ik hier wil stellen.
Minister Dekker:
Dat is een andere vraag. Dat kan ik wel doen. Het kan best zo zijn dat de AP daar het een en ander aan heeft gedaan. Maar nogmaals, daar ben ik ook wel een beetje kritisch op, want het is niet een soort «u vraagt, wij draaien» als ik vraag aan het Openbaar Ministerie «hoeveel geld heb je nodig», als ik vraag aan of aan de politie «hoeveel geld heb je nodig» of als ik vraag aan de rechterlijke macht «hoeveel geld heb je nodig». Wij moeten keuzes maken bij het maken van onze rijksbegroting. Dat betekent ook dat we er in die keuzes nu voor hebben gekozen om wat extra geld naar de AP te laten gaan en naar een hele hoop andere dingen niet. Natuurlijk bent u dan kritisch: is dat genoeg? Prima, dat debat gaan we straks hebben bij de Voorjaarsnota en bij de Miljoenennota. Maar ik kijk ook naar andere dingen, niet alleen maar naar verdelingsvraagstukken binnen mijn Justitiebegroting. Ik zou bijvoorbeeld ook wel willen weten hoe dan de Nederlandse AP zich verhoudt tot de andere autoriteiten in Europa, ook een beetje qua groei. Dus ik zal nagaan of er wellicht bij de AP dit soort dingen zijn gedaan, maar ik zet daar dan ook wel mijn eigen studies naast.
De voorzitter:
Krijgen wij dat in een brief? Want dat was volgens mij expliciet waar de heer Van Nispen om vroeg.
Minister Dekker:
Het lijkt mij zinvol dat wij dat voor de begrotingsbespreking in het najaar doen, want dan zal dit thema aan snee komen.
De voorzitter:
Dank u wel. Gaat u verder. O, mevrouw Buitenweg.
Mevrouw Buitenweg (GroenLinks):
Ik weet niet of mijn vraag over de Autoriteit Persoonsgegevens nog wordt beantwoord.
De voorzitter:
Zullen we anders de Minister eerst verder laten gaan over de Autoriteit Persoonsgegevens en achteraf kijken of er nog onbeantwoorde vragen zijn? Dat lijkt me het meest... Tenzij de Minister zelf zegt: ik was aan het einde van de AP.
Minister Dekker:
Ik zit even te kijken welke vragen ik nog had.
Mevrouw Buitenweg (GroenLinks):
Misschien kan ik dat dan toch verduidelijken. Het gaat erom dat ik gewoon een feitelijke vraag had gesteld. Er waren inderdaad die drie scenario's van AEF, waarbij in het hoogste scenario ook werd meegegeven om hoeveel telefoontjes het dan ongeveer zou gaan. Mijn feitelijke vraag was: klopt het dat de hoeveelheid telefoontjes, klachten, datalekken en dergelijke die er op dit moment zijn, eerder correspondeert met het hoogste scenario dan met het laagste scenario, en dat zelfs overtreft?
Minister Dekker:
Ik zou dat niet durven zeggen.
De voorzitter:
Ik geloof dat mevrouw Buitenweg buiten de microfoon zegt dat ze toch hecht aan die informatie en vraagt of die haar op de een of andere manier kan bereiken.
Minister Dekker:
Dat lijkt me handig om mee te nemen in de brief waar de heer Van Nispen naar vroeg.
Mevrouw Buitenweg (GroenLinks):
Dit heeft gewoon te maken met hoe het afgelopen jaar is gegaan. Ik denk dat dit voor ons ook echt van belang is, want eerder is steeds gezegd: we moeten niet te hard van stapel lopen, we moeten allemaal ingroeien. Maar als we nu zien dat de cijfers eerder correspondeerden met het hoogste niveau dan met het lagere, dan is dat voor ons belangrijke informatie en moet die ook feitelijk aanwezig zijn. Dan denk ik dat we déze informatie echt wel voor het zomerreces kunnen krijgen.
Minister Dekker:
Het hoeft niet te wachten, als het allemaal beschikbaar is, tot de begroting, maar dat is in ieder geval het moment waarop we het gaan bespreken. Het gaat over feitelijke informatie, dus dat kunnen we allemaal prima nagaan. Het punt dat ik steeds heb gebruikt, is: jongens, we zitten ook in een overgangsjaar. Dus wat zeggen nou de aantallen telefoontjes in het jaar dat de AVG ingaat? Dat je dan heel veel telefoontjes hebt, vind ik eerlijk gezegd niet zo heel erg gek. Maar zegt dat ook wat over wat de Autoriteit Persoonsgegevens structureel kan verwachten? Zijn er wellicht efficiëntere manieren om met je communicatie om te gaan, dus ook kijken naar slimmer, efficiënter werken? Dat zijn de vragen die ik steeds stel, want anders wordt het een soort openeinderegeling. Er zijn maar heel weinig organisaties in Nederland die op zo'n manier worden gefinancierd.
De voorzitter:
Ik vraag toch even een verduidelijking voor de toezeggingenlijst. Want mevrouw Buitenweg vroeg volgens mij expliciet: voldoen die cijfers nu aan het hoogste scenario, kunt u daar informatie over geven? Dat zou volgens haar wel voor de zomer moeten kunnen. De Minister heeft al gezegd: die informatie leveren we natuurlijk aan. Ik wil wel graag weten op welke termijn hij denkt die informatie te kunnen aanleveren.
Minister Dekker:
Dat weet ik niet, want daarvoor ben ik afhankelijk van de Autoriteit Persoonsgegevens. Het lijkt mij dat we deze discussie straks hebben bij de Miljoenennota en dat het dan op tafel moet liggen.
Mevrouw Buitenweg (GroenLinks):
Ik vrees dat ik het daarmee zal moeten doen en, als het kan, inderdaad eerder. Ik vind het van belang om reëel te zijn. Ik snap ook wel de overweging van de Minister dat het geen openeinderegeling moet zijn, maar ik wil gewoon feitelijk weten: klopt dit nou een beetje met eerdere scenario's en dat het dan vooral aan de hoge kant zit? Want dat betekent natuurlijk ook iets voor de verantwoordelijkheid die wij uiteindelijk moeten nemen. Dan is het: zo snel mogelijk, en in ieder geval ruim voor de Miljoenennota.
Minister Dekker:
U krijgt van mij die informatie voordat we de discussie hebben over het budget voor de komende jaren, met alle kanttekeningen die ik er nu bij plaats, namelijk dat dat niet het enige is waar we naar moeten kijken, dat er ook keuzes moeten worden gemaakt in de Justitiebegroting of de hele rijksbegroting en dat we ook moeten vergelijken hoe het budget zich verhoudt ten opzichte van andere autoriteiten in Europa. Wat zijn de mogelijkheden voor de Autoriteit Persoonsgegevens om het ook efficiënter te doen? Wat is de eenmalige invoeringslast die je op je krijgt in zo'n eerste jaar? Ik vind wat dat betreft zo'n eerste jaar moeilijk representatief voor wat we kunnen verwachten op de langere termijn. Ik kan het allemaal meenemen in die brief; dan heeft u in ieder geval de achtergrond.
De voorzitter:
Dank u wel. Gaat u verder dat uw betoog.
Minister Dekker:
Ik kom op de horizontale privacy. Want we hebben het vandaag niet alleen maar over de AVG en het toezicht daarop, maar we trekken dat ook breder. Mevrouw Buitenweg zei: ja, leuk, horizontale privacy, maar vergeet je dan niet wat? Natuurlijk, verticale privacy is minstens zo belangrijk. Ze haalde daarbij zelf het voorbeeld aan van SyRI. Ik kan daar nu niet te veel over zeggen omdat dat ook onder de rechter is. Maar misschien wel wat over het algemene principe wat je nu kunt doen met algoritmes als het gaat om het in kaart brengen van risicogroepen. Daar liggen inmiddels ook een aantal uitspraken, namelijk dat het maken van besluiten op geautomatiseerde profiling, in ieder geval zonder tussenkomst van menselijk handelen, niet mag. Sommige systemen die bestaan, nemen geen besluiten op basis van kenmerken maar duiden waar risico's zitten, zodat je vervolgens gerichter kunt kijken naar hoe je daarmee omgaat.
Mevrouw Buitenweg (GroenLinks):
Daarmee komen we inderdaad op een belangrijk punt. Wat is een besluit? Als het besluit nou is dat op basis van een algoritme ergens iemand veel steviger aan de tand gevoeld wordt over de financiële situatie, dan wil dat nog niet zeggen dat een product of een uitkering niet toegekend wordt. Maar het is wel degelijk een handeling van de overheid om bij de ene groep meer controle uit te oefenen dan bij de andere groep. Dat op zichzelf kan ook nog weer stigmatiserend of verzwarend werken. Mijn vraag aan de Minister is: is dat een besluit, wat dus niet volledig automatisch genomen kan worden, dat van bepaalde mensen meer informatie gevraagd wordt op basis van een algoritme, zonder tussenkomst dus van menselijk handelen?
Minister Dekker:
Het formele antwoord is: dat is geen besluit in de zin van de Algemene wet bestuursrecht, waar bij bestuursbesluiten ook altijd beroep en bezwaar geldt, met alle mitsen en maren. Dus dat is in die formele zin geen besluit. Dat is natuurlijk ook steeds de discussie met bepaalde groeperingen die kritisch zijn op deze ontwikkelingen, waarvan ook van de kant van de overheid wordt gezegd: ja, maar is wat we nu doen, voor een deel geautomatiseerd, heel veel anders dan dat er bijvoorbeeld op een koopavond hier in de Haagse Spuistraat meer politie op straat loopt dan op een donderdagochtend? Dat heeft niet alleen maar te maken met de hoeveelheid personen die daar rondlopen, maar ook met het extra risico op een koopavond dat er meer gedoe is. Dus het maken van risicotaxaties en het werken met profilering – kijken waar de risico's groter zijn, in welke wijken, bij welke doelgroepen et cetera – deden wij ook voordat de computer werd uitgevonden, zal ik maar zeggen.
Mevrouw Buitenweg (GroenLinks):
Mag nou bijvoorbeeld een bank meer vragen aan iemand omdat hij uit een bepaalde wijk komt, een bepaalde postcode heeft? Mag dan gevraagd worden om meer verantwoording, omdat we namelijk weten dat in een bepaalde wijk meer mensen in de schulden of wat dan ook zitten? Dan zegt de Minister: ja, maar er is nog niet een besluit genomen over een hypotheek. Dat is een besluit dat bestuursrechtelijk hout snijdt. Maar van het extra vragen aan mensen om zich te verantwoorden zegt de Minister: dat is geen besluit. Geldt nu alleen voor de overheid dat dat geen besluit is, of geldt dat ook voor een bank? Mag een bank op basis van een postcode meer vragen aan de een dan aan de ander?
Minister Dekker:
We gaan nu twee dingen door elkaar halen. Ik heb het over overheidsbesluiten en over systemen die de overheid gebruikt. Het andere deel ziet erop hoe private partijen hiermee omgaan. Als u een contract wilt aangaan met uw bank, dan is uw bank ook in bepaalde mate vrij wanneer ze dat contract aangaat. In principe mag je daarbij niet discrimineren, dus het mag niet zo zijn dat, als u een gelijk geval bent als iemand anders, gezegd wordt: maar u woont in die straat – de verkeerde straat, zeg ik maar – en dan kunt u bij ons geen klant worden. Dat mag niet. Wel kunnen er objectieve redenen zijn om een onderscheid te maken. Een bank of een verzekeraar mag een verzekering weigeren omdat ze zeggen: ja, maar u heeft in het verleden wel heel veel aanrijdingen gehad. Of: u heeft zich schuldig gemaakt aan een bepaald misdrijf, waardoor wij het risico te hoog vinden. Dat zijn andere grondslagen, op basis waarvan je wel dat onderscheid mag maken.
Mevrouw Buitenweg (GroenLinks):
Dat is niet wat ik vroeg.
De voorzitter:
Kort, want ik wil dit punt wel afronden. Het wordt anders een grote hypothetische discussie op een gegeven moment.
Mevrouw Buitenweg (GroenLinks):
Het is zeker geen hypothetische discussie. Dit is vrij cruciaal. De vraag is niet of iemand geen klant mag worden, want dat begrijp ik. Dat is namelijk een besluit, waarbij ook inderdaad de Algemene wet gelijke behandeling van toepassing is. Er mag niet gediscrimineerd worden, niet direct, niet indirect. Dus dat snap ik. Maar het gaat erom of je extra iets mag vragen – dat mensen zich extra verantwoorden of allerlei extra financiële gegevens overleggen – voorafgaand aan het besluit. Maar het vergt wel degelijk een extra handelen. Mag je onderscheid maken dat je van de ene burger meer verantwoording vraagt dan van de ander op basis van bijvoorbeeld een postcode?
Minister Dekker:
Even kort ruggespraak. Volgens mij mag dat. Je mag alleen geen ongerechtvaardigd besluit nemen, waarbij je zegt: op diezelfde informatie nemen we bij u een ander besluit dan bij een ander. Maar als het gaat om de informatievergaring, de vraag om het overleggen van documenten of informatie voordat een contract wordt aangegaan, wordt dat in ieder geval niet belet. Ook niet door de AVG.
De voorzitter:
Minister, vervolgt u uw betoog.
Minister Dekker:
Horizontale privacy, breder dan alleen de AVG. Wij zeggen dat als je daar werk van wilt maken, dat wat meer vraagt in het risicobewustzijn van mensen. Dat is eigenlijk preventief, dus laat nou gewoon zien wat mensen weggeven als ze iedere keer op dat knopje drukken. Ten tweede, zorg voor meer mogelijkheden en praktische leidraden: wat kun je doen als je het gevoel hebt dat je belangen worden geschaad? Het idee van zo'n privacywijzer. Vergelijk dat maar met de ConsuWijzer, waarin ook tips en adviezen staan, leidraden waar consumenten mee aan de slag kunnen. Op andere onderdelen is er meer nodig op het gebied van normering door de overheid.
De heer Van Gent zegt – ik vat het maar op als opbouwende kritiek – dat het hartstikke goed is dat een aantal dingen worden gedaan, maar waarom kost een aantal daarvan nou zo veel tijd? Dat heeft er ook mee te maken dat een aantal dingen al veel verder zijn uitgekristalliseerd en op een aantal punten ook gewoon meer tijd kosten. Zo is strafbaarstelling van wraakporno iets waaraan een hele lange tijd werd gewerkt en wat wel in de pijplijn zat. Dat is inmiddels voorgereden. Maar laat ik een ander voorbeeld geven dat hij aanhaalt: spyware. Dat is een heel ander verhaal. Als je daar in de wet- en regelgeving wat zou willen doen, komen er allerlei vragen op. Wanneer is er sprake van spyware? Is het effectief om dat te gaan reguleren, wetende dat er ook gewoon heel veel over de grens besteld wordt? Dan kun je het dus in Nederland wel verbieden, maar schiet je daar nou heel veel mee op? Zou je dat niet Europeesrechtelijk moeten doen? Heeft het gezien het vrije verkeer van goederen zin om in Nederland een verbod op te leggen, terwijl je het bij wijze van spreken over de grens wel kan halen? Stuk voor stuk vragen die wel iets meer denkwerk vragen. Dat is niet een kwestie van even twee zinnetjes typen en dan heb je een wet.
Hetzelfde geldt ook voor het ex parte verbod. Wij hebben een verkenning gedaan. We komen niet heel veel landen tegen waarbij al een heel laagdrempelige mogelijkheid bestaat om ook niet-strafbaar materiaal snel te laten verwijderen. Ik vind het idee heel erg goed. Het stond in de initiatiefnota van de collega van de heer Van Gent. De heer Van Nispen heeft het ook al een keer aangekaart. Maar dat vraagt dat wij nu gaan kijken of we kunnen leren van andere landen. Het antwoord daarop is: zeer beperkt tot nee. Dan moeten we dat dus zelf gaan verzinnen en dan kom je op allerlei vragen. Hoe groot is de doelgroep? Wat zou je precies willen reguleren? Wat kun je doen om bijvoorbeeld te achterhalen wie het uiteindelijk heeft geplaatst, zodat het niet alleen snel verwijderd wordt, maar je slachtoffers ook de mogelijkheid biedt om eventueel schade te verhalen bij derde partijen?
Ik zal er straks uitvoeriger bij u op terugkomen dat er ook een burgerinitiatief op dit vlak is om internetpesten tegen te gaan, ik geloof van Peter R. de Vries. Daarbij zou eigenlijk hetzelfde mechanisme gebruikt kunnen worden om er wat tegen te doen. Daarvan hebben wij juridisch uitgepuzzeld waar je naar zou moeten kijken. Dus de vragen liggen eigenlijk op tafel. Wat er nu nodig is, is die vragen van een antwoord te voorzien en in te vullen.
Ook dat vergt gewoon weer tijd, want het is echt pionierswerk. Dus hoe groot is de doelgroep? Zou je daar een gerechtelijke procedure van willen maken? Zou je het willen onderbrengen bij een toezichthouder? En natuurlijk de hamvraag, de vraag naar de kosten: hoe gaan we het met z'n allen financieren? Vragen we een eigen bijdrage van mensen? Is het kostendekkend? Of moet je hier uiteindelijk ook ruimte voor zoeken binnen de begroting? Dat hangt weer samen met de vraag naar de wenselijkheid: ben je bereid om dat met z'n allen te betalen? Dat zijn de vragen waar wij nu tegen aanlopen en die wij van antwoorden willen voorzien. Dat willen we in het komend jaar ook echt in gang zetten, zodat we dat in de loop van 2020 ook aan u kunnen voorschotelen en we die discussie iets beter geïnformeerd kunnen voeren.
De heer Van Gent (VVD):
Mijn kritiek is altijd constructief bedoeld. Pionieren kost inderdaad meer tijd, maar we zijn natuurlijk graag op meer terreinen een gidsland. Ik interpreteer het antwoord van de Minister in ieder geval zo dat hij wel de ambitie heeft om dit echt ter harte te nemen en op te pakken.
Minister Dekker:
Absoluut. Maar om even een voorbeeld te geven: het ene kan snel en het andere vergt echt meer uitzoekwerk. Daarom ook uw suggestie om tot een soort brede wet horizontale privacy te komen. Daar ben ik niet onmiddellijk enthousiast over, juist omdat dat een wet is die heel lang op zich zal laten wachten, terwijl heel veel onderdelen nu al heel snel gerealiseerd kunnen worden. Dus ik doe het even praktisch middels een aanpak met verschillende snelheden: wat nu kan, nu doen. Er staan een aantal voorbeelden in. Wat meer uitzoekwerk vraagt, daar nemen we iets meer tijd voor. Zodra het klaar is, kunnen we de discussie voeren over de vraag of we dat willen. Zo ja, dan kunnen we zorgen voor wetgeving.
De heer Van Nispen (SP):
Mijn kritiek is ook altijd opbouwend en constructief, maar ik heb op dit punt toch ook wel min of meer dezelfde vragen. Die initiatiefnota-Koopmans hebben we een jaar geleden behandeld. Toen hebben we ook de motie aangenomen die de regering eigenlijk deze opdracht gaf. En nu, een jaar later, zijn we in de fase dat het ministerie zelf vragen heeft opgeworpen. Meestal stellen wij de vragen en dan zoekt u de antwoorden erbij, maar nu heeft u zelf de vragen opgeworpen en zijn die nog niet van een antwoord voorzien. Daarom de volgende vraag. Zou u het zomerreces kunnen gebruiken om zo veel mogelijk van die antwoorden te verzamelen en het toch zo te versnellen dat de conceptwet op dit punt – een verzamelwet lijkt me inderdaad minder gelukkig – misschien al eind dit jaar in consultatie kan? Want «in de loop van 2020» vind ik echt te vaag. Dan zou ik graag horen dat het januari 2020 wordt, maar ik vraag wel om ietsje meer snelheid en gevoel van urgentie voor iets waar de Kamer een jaar geleden al toe besloten heeft.
Minister Dekker:
Wij denken toch dat we begin 2020 – dat is al vrij ambitieus – dat onderzoek klaar kunnen hebben.
De voorzitter:
Daar zult u het mee moeten doen, meneer Van Nispen.
Minister, ik zie dat u daar nog best een stapel heeft liggen. Ik verzoek u dus om iets meer vaart te maken.
Minister Dekker:
Ik ga vaart maken. En ik zie ook dat een aantal van die dingen al beantwoord zijn. Dat scheelt.
Mevrouw Buitenweg vroeg naar smart cities. Eén ding moet helder zijn: ook voor al deze initiatieven geldt de AVG. Wat wij willen, is boven op de AVG ervoor zorgen dat dingen die mogen maar misschien niet wenselijk zijn of waarvan je kunt zeggen «als er een lokaal bestuurder bij betrokken is, dan zou je om extra informatie en extra transparantie vragen», in die code voor goed bestuur geregeld worden. Ja, dat omvat ook de vraag hoe burgers, mensen die in die gebieden wandelen, op een goede manier worden geïnformeerd over wat er precies wordt verzameld en wat er precies mee wordt gedaan.
De voorzitter:
Mevrouw Buitenweg, ook kort.
Mevrouw Buitenweg (GroenLinks):
Is de Minister voorstander van een wifi-me-nietregister?
Minister Dekker:
Een wifi-me-nietregister? Bij «wifi me niet» moet ik denken aan de keren dat er bij mij of bij vrienden van mij even geen wifi is en dat dan de totale paniek toeslaat. Ik moet er toch even over nadenken wat daar precies onder wordt verstaan.
Mevrouw Buitenweg (GroenLinks):
Het is natuurlijk een bel-me-nietregister, maar dan dat je niet getrackt kan worden. De vraag is of zo'n wifi-me-nietregister, dat momenteel ontwikkeld wordt, dan alleen voor bedrijven zou moeten gelden of ook voor bijvoorbeeld gemeenten.
Minister Dekker:
Laat ik deze ontwikkeling meenemen, want ik kan me best voorstellen dat u zegt: prima, die wifitracking heeft een functie, maar als mensen dat nou echt niet willen, waarom zou je dat dan niet zoals bij een bel-me-nietregister laten aanvinken? Dus als dat technisch kan, kan ik me voorstellen dat je zoiets meeneemt en daar goede afspraken over maakt. Ik zal dat bespreken met de clubs die hiermee aan de slag gaan.
De voorzitter:
Ik zie ook nog een heel korte interruptie van de heer Van Nispen, die waarschijnlijk iets over wifitracking gaat vragen.
De heer Van Nispen (SP):
Dat heeft hier natuurlijk mee te maken. De Autoriteit Persoonsgegevens zei over wifitracking: «Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt». Zo is het natuurlijk. Maar hoe kan het dan toch aan de orde van de dag zijn dat zo veel gemeenten er wel gebruik van maken? Wordt er dan niet gehandhaafd? Of vindt de Minister dat het tijd is om tegen gemeenten te zeggen: het is eigenlijk niet rechtmatig wat hier gebeurt?
Minister Dekker:
Daar hebben we nou net een autoriteit voor. Als de autoriteit zegt «kan niet, mag niet», dan moet ze handhaven en een boete opleggen.
De heer Van Nispen (SP):
Maar dit is zo'n evident probleem en al die gemeenten gaan desondanks gewoon door. Moeten al die gemeenten nou echt klachten gaan indienen? En moeten al die klachten nou echt behandeld worden? Moeten al die gemeenteraden vragen stellen aan de gemeente in de trant van: houd hier nou eens mee op, want het is toch duidelijk dat dit niet mag? Is dat nou inderdaad de efficiënte weg die de Minister net ook noemde in reactie op mijn vraag over het capaciteitsvraagstuk? Ik ben benieuwd.
Minister Dekker:
Iedereen moet zich houden aan de wet. Dus ook waar sprake is van wifitracking en van allerlei andere smartcity-initiatieven moet dat passen binnen de AVG. Als dat niet het geval is, kan de Autoriteit Persoonsgegevens langskomen en handhaven en beboeten. U haalt nu een uitspraak van de AP aan. Ik ken die uitspraak niet, maar als dat zo is dan zou ik tegen de AP zeggen: dan moet je dat niet alleen maar roepen, maar dan moet je ook een keer je tanden laten zien. Als we je budget verdubbelen, laat dan ook zien waarvoor we dat hebben gedaan. Maar u moet niet aan mij vragen of iets onrechtmatig is of dat ik daarop kan ingrijpen. We hebben straks nou voor bijna 20 miljoen een club die dat voor ons moet gaan doen. Ik kan mij ook heel goed voorstellen dat er ten aanzien van smart cities – dat is ook niet één ding, dat is een verzameling van allerlei initiatieven op lokaal niveau – dingen zijn die wel mogen maar waarvan je je toch kunt afvragen of je die moet willen. Ik vind dat lokale overheden het gesprek daarover moeten aangaan. Ze moeten nadenken over de volgende vragen. Als het wel mag, en je het misschien ook wel wil, wat doe je dan naar je burgers toe om hen daarover te informeren? En wat kun je eventueel doen als men zegt: ik wil daar geen onderdeel van zijn en wil dat het eruit gaat? Of wil je extra aandacht besteden aan het informeren van mensen over wat er precies gebeurt en wat er met die gegevens wordt gedaan?
De voorzitter:
Gaat u verder.
Minister Dekker:
Voorzitter, de bodem is bereikt.
De voorzitter:
Glorieus nieuws. Dank u. Dan gaan wij verder met de tweede termijn van de zijde van de Kamer. Ik stel twee minuten per fractie voor. Ik geef gelijk het woord aan de heer Van Gent van de VVD-fractie.
De heer Van Gent (VVD):
Dank u wel, voorzitter. Ik bedank de Minister ook voor de beantwoording. Ik denk dat het in ieder geval een heel goede discussie was, al is het maar vanwege de vraag hoe we naar de wet kijken, hoe we die interpreteren en hoe we er nu voorstaan. De VVD ziet wel degelijk ook vooruitgang, zeker in de bewustwording, maar we zijn toch wel iets minder optimistisch over de stand van zaken dan de Minister. Wij zien nog steeds veel problemen, vooral bij kleine instellingen en het mkb. Wij denken dus dat daar nog een grote slag te slaan is. Ook denk ik bijvoorbeeld aan de functionaris gegevensbescherming. Daarover is nog niet zo veel gezegd, maar dat is natuurlijk ook een belangrijk onderdeel van de AVG. Een kwaliteitssysteem zou daarin toch veel kunnen betekenen.
Ik heb nog een concrete vraag. Er is de mogelijkheid om gedragscodes bij instellingen en bedrijven op te stellen. Dat is heel goed. Maar er is wat onduidelijkheid over de vraag of het opstellen van zo'n gedragscode er automatisch toe zou moeten leiden dat je daarvoor een toezichthouder moet hebben. Ik begreep dat er wat discussie over was hoe de wet in dezen geïnterpreteerd moet worden. Het is misschien wel handig als we daar duidelijkheid over kunnen scheppen.
Ten aanzien van de horizontale privacy wil ik de Minister graag inspireren tot spoed en daadkracht, in navolging van mijn collega Van Nispen. Uiteraard mag dat nooit ten koste gaan van de zorgvuldigheid. Maar we zijn dus hoopvol gestemd en wachten vol verwachting af.
De voorzitter:
Dank u wel. Dan is het woord aan mevrouw Buitenweg van de fractie van GroenLinks.
Mevrouw Buitenweg (GroenLinks):
Dank u wel, meneer de voorzitter. Ik ben benieuwd naar de reactie van de Minister op het wifi-me-nietregister. Ik vind het leuk dat hij daarnaar gaat kijken. Ik wil hem ook danken voor de toezegging dat hij jongeren wil gaan betrekken bij de vraag of de leeftijdsgrens in de AVG verlaagd moet worden. Ik ben wel benieuwd naar de wijze waarop hij dat gaat doen, maar ik snap dat daar nog even over nagedacht moet worden. Dat hoor ik graag te zijner tijd.
Ik maakte net een punt over de algoritmen. Stel dat iemand met een postcode uit een rijke buurt op basis van een algoritme makkelijk een hypotheek krijgt toegekend en dat aan iemand uit een armere buurt veel meer informatie wordt gevraagd, bijvoorbeeld de loonstrookjes van de laatste vijf jaar; dan is de kans dat die laatste een hypotheek krijgt, kleiner dan die van de eerste. De vraag is of de Minister dat een probleem vindt. In zijn brief schrijft hij dat hij niet wil dat mensen op basis van een bepaald profiel worden uitgesloten van producten of diensten of daarvoor hogere prijzen moeten betalen. Zegt hij hiermee dat het voor deze mensen wel moeilijker mag worden om gebruik te kunnen maken van een product of dienst? Ik snap wel dat het moeilijk is, maar voor mij is het vrij essentieel om hier wat meer inzicht in te krijgen.
Dan was er één vraag niet beantwoord. Die ging over de collectieve actie. Ik vind het heel goed dat daar nu verder naar gekeken wordt, maar ik vraag me ook wel af op welke informatie groepen zich nu kunnen baseren. Je wilt toch juist wat meer inzicht hebben in die algoritmes? Welke stappen wil de Minister daarvoor zetten? Want dan pas kun je weten of er sprake is van verboden onderscheid, in directe dan wel indirecte vorm.
De voorzitter:
Dank u wel. Dan is het woord aan de heer Van Nispen van de SP-fractie.
De heer Van Nispen (SP):
Allereerst de fraudepreventie. Ik zal ook het woord «zwarte lijst» niet meer gebruiken. Ondernemers willen elkaar waarschuwen voor fraude op een zorgvuldige manier, zodat je ook weer van zo'n lijst af kan et cetera, met alle waarborgen die al zijn bedacht. We hebben het hier al jaren over. Er worden al heel lang pogingen gedaan om dit op een zorgvuldige manier vorm te geven, maar het komt niet van de grond. Tot mijn genoegen heeft de Minister nu gezegd: ik wil meedenken en meehelpen. Ik vind het van belang dat de Minister zich ervoor in wil zetten om potentiële slachtoffers van fraude te beschermen en te zorgen dat die fraude niet kan plaatsvinden. Maar we zijn hier al heel lang mee bezig. Wanneer kan de Minister dit dan doen? We gaan hiermee toch hopelijk niet wachten op de evaluatie van de AVG? Want dit is nou juist iets waarvoor de ondernemers en de mensen die hiermee bezig zijn een vergunning gaan aanvragen bij de Autoriteit Persoonsgegevens, dus ik hoop echt dat de Minister zich er actief mee wil gaan bemoeien om te kijken hoe je dit op een juiste, zorgvuldige manier kan vormgeven.
Dan de capaciteit van de Autoriteit Persoonsgegevens. Ja, de Autoriteit Persoonsgegevens moet beheerst groeien, maar we weten nu uit die objectieve scenario's, die de Minister nog niet kent, dat er een te krap budget is en dat de investeringen van de Minister onvoldoende zijn om toe te groeien naar wat nodig is en wat we hier gezamenlijk hebben afgesproken. Ik vind dat jammer. Ik hoop echt dat de brief duidelijkheid gaat geven. Ik hoor graag wat de Minister voor ogen heeft: hoe kan dit wel? Ik roep de Minister op om daar ruimhartig in te zijn, omdat ik denk dat we hier allemaal belang hechten aan de bescherming van persoonsgegevens. De Minister zegt dat hij wil kijken hoe we dingen efficiënter kunnen aanpakken. Dan ben ik wel een beetje verbaasd over het antwoord op de vraag over de wifitracking. Ik vroeg namelijk niet: is het rechtmatig dat gemeentes burgers volgen aan de hand van wifitracking? Dat moet de Autoriteit Persoonsgegevens beoordelen. Maar als de AP heeft vastgesteld dat het in vrijwel geen enkel geval rechtmatig is dat dit gebeurt en als we constateren dat de overheid, namelijk al die gemeentes, hier gewoon mee doorgaat, is de vraag: is dat nou efficiënt? Moeten we er dan niet voor kiezen om dat aan banden te leggen? Misschien kunnen we beginnen met een oproep aan de gemeentes om ervan af te zien, of misschien kan het op een andere wijze, maar ik vind het merkwaardig om het de Autoriteit Persoonsgegevens allemaal maar op te laten lossen.
De voorzitter:
Dank u wel. Dan is het woord aan de heer Van Dam van de fractie van het CDA.
De heer Van Dam (CDA):
Voorzitter, dank u wel. Ik dank de Minister voor zijn antwoorden. Ik zal mijn reacties in tweede termijn even langslopen. In de eerste plaats de crosssectorale gegevensdeling, die wij vroeger aanduidden met een bepaalde term, waarvan ik blij ben dat de Minister die niet meer zal gebruiken. Ik zal zeggen: ik vind het van groot belang dat maatschappelijke organisaties, maar vooral bedrijven, zelf hun verantwoordelijkheid kunnen nemen om criminaliteit te bestrijden. Ik ben er absoluut niet van om mensen uit te sluiten of wat dan ook, maar ik vind dat we bedrijven de mogelijkheid moeten bieden om hun verantwoordelijkheid te nemen. Ik heb er een beetje een hard hoofd in dat het gaat lukken, maar ik zal afwachten hoe de vergunningaanvraag bij de AP loopt en ik zal de wet over gegevensdeling, die eraan komt, afwachten. Maar ik sluit zeker niet uit dat ik dan met een amendement zal proberen om hiervoor in die wet een wettelijke basis te krijgen, omdat ik vind dat wat je op dit vlak doet, ook wel onderdeel is van een hele grote politieke discussie. Ik vind het een beetje moeizaam dat we die dan op het bord van de AP neerleggen. Ik denk namelijk dat er ook politiek heel veel over te zeggen is. Maar ik wacht het af. Dan is mijn routekaart hiervoor in ieder geval helder.
Dan Facebook, Google en dat soort dingen. Ik onderschrijf volkomen hoe de verantwoordelijkheden liggen; dat vind ik heel erg van belang. Maar ik vind het ook van belang dat ik als Nederlandse Facebookgebruiker, als volksvertegenwoordiger die Facebook en Google gebruikt, weet hoe het zit. Ik vind de antwoorden van de Minister op dat punt toch te afhoudend. Ik vind dat wij vanuit Nederland best aan Ierland kunnen vragen: vertel eens, hoe geven jullie daar nou aanvulling aan? Andere landen die hier in Nederland grote bedrijven hebben, mogen ook aan ons vragen: hoe doen jullie dat nou, naar onze burgers toe? Daarom vraag ik een VAO aan, tenzij de Minister... Maar ik wil niet in een soort handel terechtkomen. Ik wil gewoon van dit kabinet weten hoe het de collega's in Ierland vraagt, op een nette, collegiale manier: leg ons nou eens uit hoe jullie invulling geven aan die enorm belangrijke taak, ook voor de burgers in Nederland.
Dan mijn laatste vraag. Ik heb niet begrepen of de Minister bereid is – dat heeft hij niet toegezegd – om ook voor de Nederlandse situatie een overzicht te verstrekken van welke grotere internationale bedrijven er zijn. Ik hoorde hem zeggen: die zijn er. Ja, dat wist ik ook al. Maar om een beeld te krijgen van de taken van de Autoriteit Persoonsgegevens zou ik het bijzonder op prijs stellen als die lijst bij gelegenheid – dat mag van mij ook bij een volgend halfjaarbericht – onze kant op komt, als er zicht wordt gegeven op de grote jongens waar de AP mee te maken heeft.
De voorzitter:
Dank u wel. Tot slot is het woord aan de heer Verhoeven van de fractie van D66.
De heer Verhoeven (D66):
Voorzitter. Door een stommiteit heb ik geen inbreng in eerste termijn kunnen leveren. Dat is helemaal teleurstellend omdat ik ook namens de PvdA spreek in dit AO, maar ik ben blij dat ik in tweede termijn nog een paar dingen neer kan leggen, dus dank daarvoor.
Ik sluit me aan bij alles wat gezegd is over de AVG. Als het goed werkt in Europees verband, kun je het laten zien aan de wereld. Het moet ook uitvoerbaar zijn voor kleinere organisaties. Ik sluit me ook aan bij de opmerking van onder anderen de heer Van Nispen over de capaciteit van de Autoriteit Persoonsgegevens en het belang van professioneel en goed toezicht, met voldoende budget en capaciteit. Ik ben benieuwd naar de ontwikkelingen daar.
Ik ben positief over de brief van de Minister en over zijn visie op digitalisering, technologie en het gevaar voor de privacy. Ik vond de richting naar vooral horizontale privacy wel weer wat teleurstellend, want ik vind verticale privacy belangrijker. Dan kom ik ook bij Facebook en Google. Ik had in mijn inbreng willen ingaan op het punt dat de Minister zelf ook maakte over het verzamelen van data door techreuzen en wat er vervolgens allemaal mee gebeurt. Dat is onder andere het profileren van mensen, waardoor ze gepersonaliseerde advertenties krijgen voorgeschoteld. Dat is echt hét verdienmodel van die platforms geworden.
Een aantal zaken leiden daardoor tot problemen, onder andere politieke advertenties. Mijn eerste vraag is: wordt er door de ministers van Binnenlandse Zaken en Justitie en Veiligheid gewerkt aan wetgeving over politieke advertenties? Mijn tweede vraag is: hoe zit het met de handhaving op misleidende advertenties? Want daar zijn er ook heel veel van. Ik denk bijvoorbeeld aan het verhaal van de AFM, die op de bitcoinadvertenties ging handhaven, en aan de rol van de Reclame Code Commissie. Het derde punt op dat gebied is dat je volgens de AVG een dienst moet kunnen gebruiken zonder dat je gevolgd wordt. Dat betekent dus dat je op Facebook moet kunnen zijn zonder dat je gepersonaliseerde advertenties voorgeschoteld krijgt. Maar daar wordt niet op gehandhaafd, terwijl de Autoriteit Persoonsgegevens zegt dat dat uit de AVG voortvloeit. Mijn vraag is dus of daar op dit moment iets aan gedaan wordt door het ministerie en/of door de Autoriteit Persoonsgegevens, omdat je eigenlijk dus gewoon geen gepersonaliseerde advertenties zou moeten kunnen krijgen. Dat is het hele verdienmodel van Facebook.
Ik hoor dat de heer Van Dam een paar rare dingen gezegd heeft over D66 in de eerste termijn, maar ik ben heel blij dat hij een VAO heeft aangevraagd, want ook ik zou graag nog de mogelijkheid hebben om een Kameruitspraak te vragen, onder andere over de punten die gemaakt zijn, misschien wel samen met de SP en GroenLinks, over wifitracking en algoritmes, maar ook over dit punt van de gepersonaliseerde advertenties.
Voorzitter, u bent volgens mij zeer coulant geweest. Dank u wel.
De voorzitter:
Volgens mij heeft de heer Van Dam slechts met respect over D66 gesproken, maar hij wil graag een interruptie plegen.
De heer Van Dam (CDA):
Ik heb daar overigens ook geen persoonsgegevens bij genoemd van betrokken personen dan wel individuen die iets met D66 te maken hebben.
Meneer Verhoeven maakte een aantal opmerkingen over Facebook. We noemen nu specifiek Facebook, maar er zijn ook andere techbedrijven die dit soort dingen doen en in het leven van mensen komen, al dan niet met specifieke advertenties. Ik vroeg me af hoe hij dat afzet tegen mijn pleidooi om hier in Nederland meer te weten te komen over hoe de Ierse autoriteit persoonsgegevens controle uitoefent op Facebook. Ik denk namelijk dat heel veel van de zaken waarover hij vragen heeft, ook in Ierland gerealiseerd moeten worden. Of ziet hij dat anders?
De heer Verhoeven (D66):
Dank voor die vraag. Ik heb ooit gezegd dat Ierland een soort preferred supplier is als toezichthouder van Facebook, omdat zij Facebook natuurlijk binnen hun grenzen hebben en de toezichthouder richting Facebook nog weleens wat makkelijk is geweest in het oogluikend toestaan van een aantal dingen vanwege de locatie van Facebook in Ierland. Ik vond de vraag in die zin heel terecht, maar ik vond het antwoord van de Minister ook wel goed. We hebben nu een AVG die in heel Europa geldt en die wordt nageleefd door toezichthouders. Ik vind absoluut dat Nederland moet weten hoe het toezicht geregeld wordt. Als dat via de eerste toezichthouder loopt, dan vind ik de vraag van de heer Van Dam zeer terecht.
Daarnaast moeten we ook onze eigen blik hebben op en onze eigen handhaving van een aantal zaken die wij onwenselijk vinden op het gebied van de manier waarop Facebook data gebruikt om geld te verdienen over de ruggen van onze consumenten. Ik ben dus heel benieuwd naar de antwoorden van de Minister, maar ook naar de eventuele motie van het CDA hierover. Maar wat mij betreft moet bij Facebook absoluut gehandhaafd worden op alles wat niet binnen de AVG plaatsvindt. En de punten die ik gemaakt heb, zouden hier weleens buiten kunnen vallen, met name het punt over de gepersonaliseerde advertenties. Je moet op Facebook kunnen zijn zonder dat je gevolgd wordt volgens de AVG. Als dat niet kan, dan wordt de AVG op dat punt door Facebook niet nageleefd en dan moeten we daar dus wat mee.
De heer Van Dam (CDA):
Ik denk dat deze techbedrijven op meerdere punten beoordeeld kunnen worden. U noemde zelf al andere autoriteiten dan de Autoriteit Persoonsgegevens. Ik vraag me af of voor de Nederlandse burger, als het gaat om de dingen die hij of zij kan ervaren rond deze social media-applicaties, in voldoende mate helder is wie de toezichthouder is op welke terreinen. Want als het gaat om de AVG, dan heb ik heel goed van de Minister begrepen dat je een brief moet schrijven naar de Benoordenhoutseweg in Den Haag en dat deze uiteindelijk in Ierland uitkomt. Maar dat geldt misschien ook wel voor andere aspecten. Dan moet je misschien wel bij de Autoriteit Financiële Markten zijn of de autoriteit weet ik wie. Ik vraag me af of dat nu voldoende helder is. Misschien dat we daarin samen kunnen optrekken om dat in die motie te verwerken.
De heer Verhoeven (D66):
Nou, heel graag. En ook kort. Er zijn volgens mij een aantal aspecten. Allereerst de politieke advertenties. Daarvan zegt Facebook nu zelf – de Minister memoreerde dat – dat de techbedrijven daar graag regels voor willen. Die zijn er dus nog niet, maar daar wordt wel over gesproken. Volgens mij is nu de afspraak die Facebook met zichzelf gemaakt heeft, dat ze in ieder geval in campagnetijd geen politieke advertenties meer plaatsen die onduidelijk zijn qua afzender en qua betaler. Dat zijn dus de politieke advertenties.
Bij de misleidende advertenties had je afgelopen week het verhaal van de AFM die, volgens mij op instigatie van de Reclame Code Commissie, verzocht heeft om misleidende advertenties weg te halen. Volgens mij is het nu zo geregeld dat de Reclame Code Commissie over misleidende advertenties gaat, maar ik vind dat ze te weinig bevoegdheid hebben om snel te kunnen ingrijpen bij misleidende advertenties op Facebook.
Ten derde het punt dat ik net al noemde: de Autoriteit Persoonsgegevens en/of de Ierse toezichthouder voor de uitvoering van de AVG en het gebruik kunnen maken van een dienst of platform zonder dat je gevolgd wordt via cookies en allerlei profileringstechnieken.
Dat zijn drie verschillende dingen met drie verschillende spelers. De heer Van Dam heeft in die zin gelijk dat het versnipperd is. Ook het toezicht is versnipperd. Dat maakt het voor de burger lastiger om zichzelf daartegen te wapenen. Daar moeten we absoluut wat mee.
De voorzitter:
Meneer Van Dam, u heeft net een VAO aangevraagd, dus het kan ook daar eventueel verder besproken worden.
De heer Van Dam (CDA):
Ik wil puur een ordevoorstel doen. Ik kan me voorstellen dat, door de betrokkenheid van D66 in tweede termijn, de Minister een iets ruimere toezegging wil doen, wat juist op dit punt een VAO kan voorkomen. Daar sta ik zeer voor open. Dat wilde ik alleen nog zeggen.
De voorzitter:
We gaan het merken. Ik schors voor ongeveer vijf minuten. Dat wil zeggen dat we om 16.12 uur verdergaan.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
Wij gaan verder met dit overleg met de tweede termijn van de zijde van de regering. Het woord is aan de Minister voor Rechtsbescherming.
Minister Dekker:
Voorzitter, dank. Het is technische materie. Dat vraagt af en toe even wat uitzoekwerk en discussie, ook aan deze kant van de tafel. Er staan een paar vragen open. Ik hoop dat ik die goed kan beantwoorden.
De eerste vraag is van de heer Van Gent. Hij zegt: prima, er moet nog veel uittrillen in de AVG. Dat ben ik met hem eens. Er zijn ook nog wel een paar dingen, bijvoorbeeld sectoraal, in de relatie tussen werkgevers en werknemers, waarvoor we met Sociale Zaken om tafel zitten, omdat iets voornamelijk in sectorale wetgeving moet worden geregeld, maar wel raakvlakken heeft met de AVG. Ik weet dat mijn collega Van Ark daar heel druk mee bezig is. Voor een ander deel heeft het echt direct betrekking op de AVG, bijvoorbeeld waar het gaat om de gedragscodes. Wij gingen er altijd van uit dat de gedragscode niet verplicht tot het aanstellen van een eigen toezichthouder. Althans, zo lezen wij de AVG. Nu is er een uitspraak geweest van het Europees Comité voor gegevensbescherming waaruit blijkt dat zij eigenlijk vinden dat het anders zit. Daar zijn we vervolgens aan gebonden. Dat is de manier waarop het werkt. Dat laat onverlet dat we straks bij een evaluatie dit soort dingen op tafel kunnen leggen, ook als we dit in Brussel gaan bespreken.
De voorzitter:
Een verhelderende vraag van de heer Van Gent.
De heer Van Gent (VVD):
Als dat nu verplicht is vanwege die uitspraak, kan ik me voorstellen dat bedrijven en instellingen terughoudend zijn bij het opstellen van een gedragscode. Of dat allemaal zo wenselijk is, is dan de vraag.
Minister Dekker:
Dat is precies het punt. Daarom vind ik die uitspraak jammer. Tegelijkertijd is in de checks-and-balances afgesproken dat niet alleen de AP onafhankelijk is, maar ook dit Europees coördinerende comité. Als we dat straks weer anders willen, moeten we daar de regelgeving op aanpassen. Dat is volgens mij de koninklijke weg.
Mevrouw Buitenweg vroeg wanneer je onderscheid mag maken, wanneer je mag profileren en wanneer sprake is van een besluit. Dat is nou zo'n technisch ding. Tenminste, daarmee gaan we heel erg de materie in. De AVG zegt in artikel 22 dat er ook bij private partijen sprake is van een besluit als dat de betrokkenen in aanmerkelijke mate treft. Als dat het geval is, mag je niet profileren zonder menselijke tussenkomst. Dat is het wettelijk kader van de AVG. Diezelfde AVG zegt niet zo vreselijk veel over wat je mag vragen in de aanloop naar een besluit. Volgens mij is dat ook een kwestie die daar deels los van staat. Dat betekent niet dat het volledig regelvrij is. Natuurlijk geldt daar ook allerlei wet- en regelgeving voor. Je mag bij een zorgverzekering bijvoorbeeld niet vragen of iemand rookt of niet. Je mag dat in ieder geval niet laten meetellen in de vaststelling van de premie. Een telefoonmaatschappij mag in een gebied waar heel veel wanbetalers zijn, dan wel weer even nagaan of iemand voldoende in staat is om zijn rekeningen te betalen. Dat is een beetje het gebied waar dit in zit.
Mevrouw Buitenweg (GroenLinks):
De vraag is ook wat wenselijk is. Er mag nu inderdaad soms op basis van postcode onderscheid worden gemaakt omdat de Algemene wet gelijke behandeling rijkdom en vermogen niet erkent als een grond op basis waarvan je een uitzondering kan maken. Dat kopt. Maar dan kijk je alleen naar de Algemene wet gelijke behandeling. Maar vindt de Minister dat die algoritmes wel onderscheid mogen maken op basis van vermogen? Want uiteindelijk zegt hij dus dat dat wel moet kunnen omdat de Algemene wet gelijke behandeling «vermogen» niet als criterium heeft opgenomen. Dan is de stelling van de Minister dat banken en het verzekeringswezen in hun algoritmes een onderscheid mogen maken op vermogen en op rijkdom. Dat vind ik best een stelling.
Minister Dekker:
Het is een ethische discussie. Ik zit een beetje te zoeken, want we gaan al snel de casuïstiek in, maar ik denk dat het in het economisch verkeer niet onterecht is om te vragen naar iemands vermogenspositie: is iemand in staat om straks zijn rekeningen te betalen? Dus als u mij dit met het mes op de keel vraagt, zou ik zeggen: dat zou moeten kunnen. Misschien zijn er uitzonderingsposities als we meer de diepte ingaan, maar ik vind het niet onterecht dat vanuit banken, verzekeraars of telefoonmaatschappijen waarbij abonnementen worden afgenomen, zeggen dat je ook wel moet kunnen kijken of iemand het uiteindelijk kan dragen.
De voorzitter:
Afrondend, mevrouw Buitenweg.
Mevrouw Buitenweg (GroenLinks):
Maar dan gaat het om iets dat bewezen is. Het punt is dat de risicoprofielen vaak gebaseerd zijn op het feit dat je uit een armere buurt komt. Daarmee is helemaal niet gezegd of het op jou persoonlijk van toepassing is. Je kan misschien elke dag keurig je rekeningen betalen, maar op basis van het feit dat je uit een bepaalde buurt komt, kan dan toch een onderscheid worden gemaakt via die algoritmes terwijl jijzelf geen risicovol persoon bent. Dat vind ik problematisch.
Minister Dekker:
Ik zie uw punt. Tegelijkertijd is dan het tegenargument dat ik ernaast wil zetten, dat in zo'n geval aan jou wordt gevraagd om dit te overleggen. Als dan blijkt dat je helemaal geen betalingsprobleem hebt, is er niks aan de hand. Dan krijg je gewoon dat abonnement of die hypotheek.
Mevrouw Buitenweg (GroenLinks):
Ten slotte, echt als laatste: het punt is dat dit aan jou gevraagd wordt terwijl het niet gevraagd wordt aan iemand die in een rijke buurt woont, zich helemaal kapot snuift aan de cocaïne en geen cent meer heeft. Zijn feitelijke vermogen en zijn betaalcapaciteit was misschien beroerder dan die van iemand uit een armere wijk, maar op basis van de groep waarin iemand zit, wordt dan in mijn ogen ten onrechte een onderscheid gemaakt. Iemand uit een rijkere buurt krijgt niet te maken met die check en heeft dus wel makkelijk toegang tot diensten. Ik vind dat een vorm van een onterecht onderscheid.
Minister Dekker:
Ik zie het punt. Ik zou zeggen: het is heel erg stom van die bank dat ze dat niet vragen bij die andere persoon, want je wilt toch ook weten of die in staat is om z'n rekeningen te betalen. Maar om nou een soort verbod te hebben op het stellen van vragen die in mijn ogen terecht zijn, bijvoorbeeld of iemand zijn termijnen of rekeningen kan betalen als hij een hypotheek of een telefoonabonnement neemt... Dat vind ik geen onterechte vragen voor een bedrijf of een instantie.
De heer Verhoeven (D66):
Van sommige personen wordt dan dus meer gevraagd om hetzelfde resultaat te bereiken. Dat is dus ongelijke behandeling, en ongelijke behandeling is discriminatie. Er is hier sprake van discriminatie, want de ene groep moet meer doen dan de andere groep om hetzelfde resultaat te bereiken, op basis van een voorspelling die gebaseerd is op een algoritme. We hebben het al heel lang over dit onderwerp. We hebben het er hier over gehad, in de commissie Justitie en Veiligheid. We hebben het ook bij Binnenlandse Zaken over dit onderwerp gehad. Ik heb begrepen dat er over twee weken een brief komt na verschillende moties uit de Kamer, die allemaal zijn aangehouden in afwachting van een duidelijke brief van het kabinet over hoe we omgaan met het gebruik van algoritmes, in ieder geval bij de overheid en bij de semipublieke organisaties. De zeer terechte vragen van mevrouw Buitenweg gaan over een heel belangrijk onderdeel met betrekking tot deze vorm van geautomatiseerde besluitvorming. Ik voel wel dat we hier echt met elkaar over moeten spreken nadat die brief er is.
Maar mijn vraag is dus wanneer die brief komt en hoe dat met het VAO zit. Want we kunnen dit onderwerp niet elke keer voor ons uit blijven schuiven. We hebben het hier een jaar geleden ook over gehad, over precies hetzelfde punt. Het gaat om het voorspellen op basis van data en de verwerking van die data via algoritmes, leidend tot consequenties en besluiten voor mensen die verschillend uitpakken. Dat is gewoon een vorm van discriminatie. Daar moeten we als landelijke overheid echt wel een kader voor hebben, anders gebeuren er... Vorige week stond op de NOS-site dat overal in gemeentes en bij overheidsinstanties algoritmes worden gebruikt. Ik noem dat wildgroei zonder kader. Dat is heel gevaarlijk.
De voorzitter:
Duidelijk, meneer Verhoeven. Volgens mij was de concrete vraag aan de Minister: wanneer komt die brief?
Minister Dekker:
Die brief komt voor 1 oktober. Dat is een brief van Justitie en Veiligheid samen met BZK. Ik weet niet over welke brief u het anders hebt, maar deze komt voor 1 oktober. Die brief gaat over het gebruik van algoritmes door overheden. De vraag van mevrouw Buitenweg ging over private partijen, en wat er dan kan binnen een wettelijk kader.
De voorzitter:
Meneer Verhoeven, liefst iets minder een betoog.
De heer Verhoeven (D66):
Daar heeft u gelijk in. Excuses, voorzitter.
Ik had echt begrepen dat die brief voor het zomerreces zou komen. Dat is mij ook herhaaldelijk beloofd door de Staatssecretaris van Binnenlandse Zaken. Ik zou graag horen wat nou de precieze datum van die brief is. Als dat na het zomerreces is, zal ik in ieder geval al mijn eerder ingediende moties, waarvan twee met mevrouw Buitenweg samen, in stemming brengen voor het zomerreces. Want dan heb ik als Kamerlid echt een jaar gewacht op een brief over dit onderwerp. We hebben hier als Kamer herhaaldelijk vanuit de volle breedte aandacht voor gevraagd. Ik zie dat de Minister ook dit punt ziet – dit is geen persoonlijke aanval. Maar dan moet er nu wel echt wat komen.
Minister Dekker:
Ik ben niet bij dat gesprek geweest dat de heer Verhoeven met mijn collega de Staatssecretaris heeft gevoerd. Wij weten niet anders dan dat het 1 oktober is. Ik kan u niet meer toezeggen. Het staat u natuurlijk vrij om allerlei moties in te dienen.
De voorzitter:
Dan stel ik voor dat u verdergaat met uw beantwoording. Heeft u nog een tweede vraag, mevrouw Buitenweg?
Mevrouw Buitenweg (GroenLinks):
Ten slotte. De Minister zegt terecht dat ik ook vroeg naar private partijen. Ik vraag niet alleen naar het bestaande juridische kader, want ik weet dat vermogen niet in de Algemene wet gelijke behandeling staat. Ik vraag wat de regering wenselijk vindt ten aanzien van indirecte discriminatie op basis van uiteindelijk vermogen. Het gaat dus niet alleen om het huidige juridische kader, maar om de vraag wat wij willen. Welk onderscheid moet mogelijk zijn op basis van die algoritmes? Wat vinden wij onwenselijk omdat het een vorm van discriminatie is?
Minister Dekker:
U gebruikt onmiddellijk vrij zware woorden. Ik vind het in kaart brengen van groepen waar extra risico's spelen niet op voorhand discriminatie als uiteindelijk de regels op basis waarvan je een besluit neemt, maar voor iedereen gelden.
De voorzitter:
Mevrouw Buitenweg, u kunt daarover van mening verschillen. Op een gegeven moment moet u ook accepteren dat het antwoord van de regering, een antwoord van de regering is.
Mevrouw Buitenweg (GroenLinks):
Het gaat er om dat iemand ergens woont en wordt gedefinieerd op basis van waar hij woont. Dat vind ik het probleem. Iemand wordt gezien als onderdeel van een fraudegevoelige of problematische groep op basis van de plaats waar hij woont. Ik denk dat wij echt die kant niet op willen.
Minister Dekker:
Laat ik een voorbeeld geven. Een ander voorbeeld, uit de private sector. De hoogte van uw motorrijtuigenverzekering hangt ook af van waar u woont, omdat wij weten dat er in sommige delen van Nederland vaker ongelukken gebeuren en vaker schade wordt gereden. Dat betekent niet dat u vaker schade rijdt, maar u woont in een bepaald deel van Nederland waar dat vaker gebeurt. Ik vind dat er soms gerechtvaardigde redenen kunnen zijn waarom een woonplaatsbeginsel wel degelijk bij dit soort dingen meetelt. U merkt het al, ik ben iets minder rigoureus en rechtlijnig dan mevrouw Buitenweg. Ik wil ook bekijken wanneer het proportioneel is en hoe je het tegen elkaar afweegt. Ik kan me voorstellen dat je soms extra vragen stelt bij bepaalde mensen omdat zij zich ergens begeven, ergens wonen of anderszins tot een doelgroep behoren, als aan het einde van de rit maar heel duidelijk is dat de regels waarop je toetst niet discrimineren. Die regels moeten hetzelfde zijn, of je nu in de Schilderswijk woont of in het Benoordenhout.
De voorzitter:
Gaat u verder met uw beantwoording.
Minister Dekker:
Ik denk dat wij allebei ook iets anders aankijken tegen wifitracking. Dit keer kwam de vraag naar ik meen van de heer Van Nispen. Ook daar hangt het er helemaal vanaf hoe het wordt gebruikt en met welk doel. Het kan een inbreuk op de privacy zijn. Wat mij betreft moet dan de Autoriteit Persoonsgegevens ingrijpen en handhaven, maar dat is misschien niet overal het geval. Soms wordt wifitracking ook gebruikt om te bekijken in welke gebieden het heel erg druk is. Dat gebeurt bijvoorbeeld in de gemeente Amsterdam. De gegevens zijn dan niet herleidbaar tot het niveau van het individu, maar worden op basis van het opvangen van signalen gebruikt voor crowd control. Daar heb ik veel minder moeite mee.
Met andere woorden, laten wij niet alles over een kam scheren. Wij hebben een Autoriteit Persoonsgegevens die kan ingrijpen als het niet voldoet aan de AVG. Ik weet niet waar het vandaan komt dat ze zeggen dat het niet kan of dat er geen voorbeelden zijn te bedenken waar het rechtmatig is. Ik zou de AP willen aanmoedigen om dan maar eens een keer zijn tanden te laten zien.
Dan toch misschien nog even stilstaan bij de vraag van de heer Van Dam over autoriteiten, ook om te zien of wij een VAO kunnen voorkomen. Overigens ben ik altijd beschikbaar. We hebben een principe dat de nationale Autoriteit Persoonsgegevens in the lead is als het gaat om het doen van onderzoek. Daar waar sprake is van grensoverschrijdende gegevensverstrekking geldt het zogeheten coherentiemechanisme. Dat is een soort systematiek waarbij onderling tussen autoriteiten wordt afgestemd. Als verschillende autoriteiten het niet eens worden, dan komt het uiteindelijk in die European Data Protection Board terecht.
Binnen die afspraken zijn er ook mogelijkheden om bijstand te verlenen. Ik geloof dat dit in het geval van Ierland met Facebook gebeurt. Ik geloof dat er een zaak is van Google waarbij Ierland in the lead zou zijn en uiteindelijk is gezegd dat het vanwege de beperkte capaciteit wordt overgebracht naar Frankrijk. Het werk wordt dan gedaan door de Franse autoriteit persoonsgegevens. Op die manier werkt het.
Dan vroeg de heer Van Dam voor welke grote Nederlandse bedrijven de Nederlandse Autoriteit Persoonsgegevens in the lead is. Dat zijn in beginsel de grote bedrijven die hier gevestigd zijn. Als we dan kijken naar bedrijven waar in ieder geval veel klachten over binnenkomen, dan gaat het over dingen als Netflix, TomTom en Uber, die ook hier is gevestigd en onlangs is beboet. Dat zijn de grote bedrijven waar onze nationale autoriteit in the lead is.
De voorzitter:
Voor de helderheid: volgens mij vroeg de heer Van Dam expliciet om een lijst. Is dit de lijst?
Minister Dekker:
Ik zit te zoeken wat de heer Van Dam precies wil. Hij wil een lijst met grote organisaties waar de Autoriteit toezicht op houdt. Mijn antwoord daarop zou zijn dat de Autoriteit Persoonsgegevens toezicht houdt op alle Nederlandse organisaties, groot en klein. Dat is een lange lijst.
De voorzitter:
Zou u het iets kunnen specificeren, meneer Van Dam?
De heer Van Dam (CDA):
Waar het mij om gaat, is dat wij mede naar aanleiding van de wetsbehandeling en sowieso alle stukken die wij hier nu hebben, een bepaald beeld hebben van de activiteiten die de Autoriteit Persoonsgegevens dient te ondernemen in een heel breed palet. Ik kom er steeds meer achter dat dit onderdeel nogal een klus is, dus het mede on behalf van andere landen voor de hele EU die taak uitvoeren. U noemt ook een aantal bedrijven waarvan ik denk: nou, dat is nogal niet wat. Ik wil meer inzicht hebben in dit onderdeel. Het gaat mij helemaal niet om een uitputtende lijst en het mag ook bij een volgende gelegenheid. Ik wil op dit punt meer beeld hebben van over wat voor bedrijven het gaat. Het hoeft geen uitputtende lijst te zijn. Ik begrijp ook dat er iemand bij kan en af kan, maar ik wil meer zicht op die taak hebben, omdat ik vind dat wij in zekere zin als Nederland ook een verantwoordelijkheid hebben naar die andere inwoners van Europa, dat wij die klus goed doen en dat wij bij wijze van spreken de Autoriteit faciliteren om dat goed te kunnen doen. Dat is mijn achterliggende gedachte.
Minister Dekker:
Zal ik dan eens kijken? Ik heb sowieso de brief toegezegd met wat er allemaal op afkomt. Mijn terughoudendheid, ook bij het noemen van deze bedrijven, zit erin dat het feit dat er over een bedrijf wordt geklaagd, niet onmiddellijk betekent dat er sprake is van onrechtmatig handelen. Wat naar buiten komt, is als de AP iemand op de vingers tikt en een boete uitdeelt. Dan is er onderzoek gedaan. Tegelijkertijd zie ik ook wel dat de heer Van Dam zegt dat hij iets meer feeling wil krijgen naar wat voor soort organisaties de AP onderzoek doet. Voor zover dat niet ook al staat in het jaarverslag van de AP, kan ik eens aan haar vragen of zij daar iets meer inzicht in wil geven.
De voorzitter:
Gaat u verder.
Minister Dekker:
Dan is er nog een drietal specifieke vragen van de heer Verhoeven. Eén: hoe zit het met de politieke advertenties? Dat is een onderwerp waar BZK op dit moment onderzoek naar doet. BZK komt daar bij u op terug. Als het gaat om de misleidende advertenties, hebben we inderdaad de Reclame Code Commissie, die daar een oordeel over moet geven.
Twee: hoe zit het vervolgens met de verwijdering van die advertenties en het zorgen dat dit ook stopt? Daarvoor kijk ik even naar rechts. Volgens mij is de AFM in de lead bij verwijdering van content. Na overleg met mijn ambtenaren heb ik besloten om deze specifieke vragen schriftelijk te beantwoorden. Er komen wel heel veel organisaties langs.
Drie: hoe zit het met Facebook en de mogelijkheid om gebruik te maken van Facebook zonder persoonlijke... Dit raakt aan een grotere discussie over de uitleg van de AVG. In de AVG staan gronden zoals noodzakelijk gebruik. De vraag is of daarvan sprake is in dit geval. Sommigen zeggen dat het voor het functioneren van Facebook noodzakelijk is om bepaalde gegevens van iemand te vragen. Die kun je dus niet uitzetten. Als je dat niet wil, moet je maar geen gebruikmaken van Facebook. Anderen hanteren de meer strikte uitleg, namelijk de uitleg die de heer Verhoeven zelf aanhaalde in zijn inbreng. Ik denk dat het heel erg zinvol is als hier in Europa een keer een zaak over is, zodat er jurisprudentie ontstaat over hoe de AVG moet worden uitgelegd. Het gaat hier voor een deel om open normen die ook op basis van uitspraken en casuïstiek zullen moeten worden ingevuld.
Voorzitter. Daarmee kom ik aan het eind van mijn beantwoording.
De voorzitter:
Dank u wel, Minister. Daarmee zijn we aan het einde gekomen van dit overleg.
Tegen mevrouw Buitenweg, die dit net buiten de microfoon vroeg, zeg ik dat er inderdaad een VAO is aangevraagd. Dat blijft vooralsnog in stand. De eerste spreker daarin is de heer Van Dam, want hij heeft het aangevraagd. Dat VAO zal ingepland worden.
Ik heb een aantal toezeggingen genoteerd, waarbij ik van tevoren zeg dat de suggestie is gewekt dat een aantal toezeggingen in dezelfde brief zullen worden verwerkt. Of dat wel of niet gebeurt, laat ik aan de Minister. Ik noteer alleen de toezeggingen.
– De Minister zal nagaan of en, zo ja, door wie de realistische scenario's inzake de AP zijn opgesteld en wat het voorziene groeipad is voor de Autoriteit Persoonsgegevens. Dit zal hij doen voor de begrotingsbehandeling.
– De Minister zal de Kamer informeren over de cijfers met betrekking tot de werkzaamheden van de AP in relatie tot de vooraf verwachte scenario's. Dat zal zo snel mogelijk zijn, maar in ieder geval voor de begrotingsbehandeling, waarbij niet uit te sluiten is dat dit in dezelfde brief komt.
– De Minister zal de Kamer informeren over de grote internationale bedrijven in Nederland waar de AP toezicht op houdt. Hij zal dat doen voor de begrotingsbehandeling. Dat kan dus best weleens dezelfde brief zijn; dat is de lijst van de heer Van Dam.
– De Minister informeert de Kamer over welke organisaties toezicht houden op misleidende advertenties.
Per wanneer krijgen we dat laatste? Kunt u daar iets over zeggen?
Minister Dekker:
Dat laatste is volgens mij meer feitelijk uit te zoeken. Dat kan denk ik op korte termijn. Twee weken.
De voorzitter:
Twee weken.
Hebben we iets belangrijks gemist? Ik hoor niets in de microfoon, dus dan ga ik ervan uit dat dit niet zo is. Ik sluit de vergadering, met dank aan iedereen.
Sluiting 16.42 uur.