Verslag van een schriftelijk overleg over de reactie op nadere adviezen over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS) (Kamerstuk 35447-21)
Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)
Verslag van een schriftelijk overleg
Nummer: 2023D07163, datum: 2023-02-22, bijgewerkt: 2024-02-19 10:56, versie: 5
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-35447-22).
Gerelateerde personen:- Eerste ondertekenaar: P.H. van Meenen, voorzitter van de vaste commissie voor Justitie en Veiligheid (Ooit D66 kamerlid)
- Mede ondertekenaar: A.M. Brood, griffier
- Beslisnota bij Kamerbrief inzake verslag van een schriftelijk overleg over de reactie op nadere adviezen over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS) (Kamerstuk 35447-21)
- Aanbiedingsbrief
Onderdeel van kamerstukdossier 35447 -22 Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden).
Onderdeel van zaak 2023Z03048:
- Indiener: D. Yesilgöz-Zegerius, minister van Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2023-02-23 13:25: Aansluitend: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2023-03-16 14:30: Procedurevergadering (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2023-04-20 11:05: Tweeminutendebat Reactie op nadere adviezen Wetsvoorstel gegevensverwerking door samenwerkingsverbanden (35447-22) (Plenair debat (tweeminutendebat)), TK
- 2023-05-11 14:00: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2022-2023 |
35 447 Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)
Nr. 22 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 22 februari 2023
De vaste commissie voor Justitie en Veiligheid heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Justitie en Veiligheid over de brief van 17 december 2021 over het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS) (Kamerstuk 35 447, nr. 21).
De vragen en opmerkingen zijn op 18 februari 2022 aan de Minister van Justitie en Veiligheid voorgelegd. Bij brief van 20 februari 2023 zijn de vragen beantwoord. In de antwoorden wordt ook verwezen naar het concept-Besluit gegevensverwerking door samenwerkingsverbanden (hierna: concept-BGS). Hiermee wordt uitvoering gegeven aan verplichtingen uit het wetsvoorstel en worden zorgpunten geadresseerd van uw Kamer, de Afdeling advisering van de Raad van State en de Autoriteit Persoonsgegevens. De tekst van het concept-BGS is gelijktijdig met de publicatie van deze antwoorden beschikbaar op www.internetconsultatie.nl/bgs. Tegelijk met de consultatiefase vinden de uitvoeringstoetsen plaats.
De voorzitter van de commissie,
Van Meenen
De griffier van de commissie,
Brood
1. | Inleiding | 3 |
2. | Nadere adviezen over WGS | 3 |
2.1 | De mogelijkheid om bij amvb nieuwe samenwerkingsverbanden te regelen | 3 |
Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon | 3 | |
Vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen | 3 | |
Vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties | 5 | |
Vraag 3 (D66) – definitie spoed | 5 | |
Vraag 4 (SP) – over definitie spoed overleggen met de Kamers | 5 | |
Vraag 5 (SP) – afzien van voorgenomen aanpassing | 5 | |
Vraag 6 (VVD) – amvb met voorhangprocedure | 5 | |
Vraag 7 (CDA) – amvb met voorhangprocedure | 6 | |
Vraag 8 (D66) – novelle | 6 | |
Vraag 9 (SP) – verhouding tot aangenomen amendement-Van Nispen | 6 | |
Vraag 10 (CDA) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting | 7 | |
Vraag 11 (VVD) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting | 8 | |
2.2 | Startpunt van de gegevensverwerking verduidelijken | 8 |
Vraag 12 (PvdA) – verdenking of ander startpunt | 8 | |
Vraag 13 (SP) – massasurveillance, vereiste van verdenking | 8 | |
Vraag 14 (Volt) – massasurveillance | 9 | |
2.3 | Transparantie en rechten van betrokkene | 9 |
Vraag 15 (SP) – transparantie op casusniveau | 9 | |
Vraag 16 (D66) – verplichting tot zoveel mogelijk motiveren | 10 | |
Vraag 17 (Volt) – rechten van burgers en transparantie | 11 | |
2.4 | Voorkomen van discriminatie | 12 |
Vraag 18 (Volt) – waarborgen tegen discriminatie | 12 | |
Vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering | 14 | |
Vraag 20 (D66) – voorkomen van discriminatie t.a.v. seksuele gerichtheid | 15 | |
Vraag 21 (SP) – verplichting tot zoveel mogelijk motiveren | 15 | |
Vraag 22 (PvdA) – aanscherpingen regels AI ter voorkoming discriminatie | 16 | |
2.5 | Overige vragen naar aanleiding van de adviezen | 16 |
Vraag 23 (VVD) – afbakening iCOV inzake markttoezicht en inning overheidsvorderingen | 16 | |
Vraag 24 (SP) – gegevensdeling tussen samenwerkingsverbanden | 17 | |
Vraag 25 (PvdA) – toets door onafhankelijke bestuurlijke autoriteit bij verstrekking aan derden | 18 | |
Vraag 26 (SP) – verstrekkingsplicht wijzigen in bevoegdheid | 19 | |
Vraag 27 (D66) – toegang van private partijen tot gegevens | 19 | |
3. | Waarborgen | 20 |
Vraag 28 (D66) – normering waarborgen bij amvb | 20 | |
Vraag 29 (D66) – doelbinding | 23 | |
Vraag 30 (Volt) – beginselen van doelbinding en dataminimalisatie | 24 | |
Vraag 31 (Volt) – proportionaliteit en subsidiariteit van gegevensdeling | 24 | |
4. | Geautomatiseerde gegevensanalyse | 24 |
Vraag 32 (D66) – zelflerende algoritmes | 24 | |
Vraag 33 (PvdA) – menselijke tussenkomst bij geautomatiseerde gegevensanalyse | 25 | |
Vraag 34 (PvdA) – verbod op algoritmen met onnavolgbare, oncontroleerbare uitkomsten | 26 | |
Vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse | 26 | |
Vraag 36 (Volt) – controle op risico-indicatoren geautomatiseerde gegevensanalyse | 27 | |
Vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI | 27 | |
Vraag 38 (Volt) – algoritmetoezichthouder | 28 | |
Vraag 39 (Volt) – algoritmeregisters | 28 | |
5. | Toezicht | 28 |
Vraag 40 (D66) – toezicht | 28 | |
Vraag 41 (D66) – capaciteit AP | 29 | |
6. | Overig | 29 |
Vraag 42 (VVD) – gegevensuitwisseling in Italië | 29 | |
Vraag 43 (SP) – reactie op brief Amnesty International | 30 | |
Vraag 44 (Volt) – betekenis WGS voor rechtmatigheid | 31 | |
Vraag 45 (Volt) – tijdpad amvb | 31 |
1. Inleiding
De leden van de VVD-fractie hebben met interesse kennisgenomen van de reactie van de Minister op de nadere adviezen over de Wet gegevensverwerking door samenwerkingsverbanden. Zij stellen nog enkele vragen.
De leden van de D66-fractie hebben kennisgenomen van de reactie op nadere adviezen over het wetsvoorstel WGS en hebben hier nog enkele vragen over.
De leden van de CDA-fractie hebben kennisgenomen van de brief inzake reactie op nadere adviezen over het wetsvoorstel WGS. Deze leden zien de noodzaak om knelpunten in de gegevensuitwisseling weg te nemen bij een brede aanpak van ondermijnende criminaliteit en te kunnen zorgen voor een effectief preventieve aanpak via Zorg en Veiligheidshuizen, mits voldoende zorgvuldig vormgegeven en voorzien van stevige waarborgen voor bescherming van persoonsgegevens. Deze leden vinden het goed dat nader advies is gevraagd aan AP, de Afdeling en het College voor de Rechten van de Mens om dit te garanderen. Wel hebben zij over de adviezen en de reactie daarop nog enkele vragen.
De leden van de SP-fractie hebben de reactie van de Minister op de aanvullende adviezen van de AP en de Afdeling advisering van de Raad van State (hierna: de Afdeling) aandachtig gelezen. Zij hebben hierover nog enkele vragen.
De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van de voorliggende brief. Zij hebben met name vragen ten aanzien van de risico’s op ongelijke behandeling en discriminatie.
De Volt-fractie heeft de kennisgenomen van de nadere adviezen over het wetsvoorstel WGS.
2. Nadere adviezen over WGS
2.1 De mogelijkheid om bij amvb nieuwe samenwerkingsverbanden te regelen
Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon
Vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen
De leden van de VVD-fractie vragen naar een nadere motivering voor het voornemen om de mogelijkheid om bij algemene maatregel van bestuur (AMvB) overige samenwerkingsverbanden te regelen, nagenoeg volledig te schrappen. Dit klemt voor deze leden te meer, omdat in het coalitieakkoord is afgesproken, om criminaliteit goed aan te kunnen pakken, dat het belangrijk is dat verschillende partijen (lokaal) beter kunnen samenwerken en gegevens uitwisselen. Kan de Minister motiveren waarom is gekozen alleen nog bij spoed tijdelijk bij AMvB overige samenwerkingsverbanden onder de WGS te laten vallen?
Dit voornemen houdt verband met de voorlichting van de Afdeling advisering van de Raad van State.1 De Afdeling advisering vindt dat de wezenlijke elementen van nieuwe samenwerkingsverbanden op het niveau van de formele wet dienen te worden vastgelegd, gelet op de vereisten van artikel 10 van de Grondwet, bezien in het licht van het legaliteitsbeginsel en het primaat van de wetgever. Daarom luidt het advies om de mogelijkheid om bij amvb overige samenwerkingsverbanden op te richten, te beperken tot tijdelijke spoedsituaties. Indien een samenwerkingsverband in geval van spoed tijdelijk bij amvb geregeld zou moeten worden, mag volgens de Afdeling advisering worden verwacht dat de wezenlijke elementen uiteindelijk alsnog op het niveau van de formele wet worden vastgelegd («tijdelijke delegatie»). De Afdeling advisering suggereert als alternatief om het wetsvoorstel aan te nemen onder de voorwaarde dat een separaat daartoe strekkend reparatiewetsvoorstel op termijn wordt ingediend.
Naar aanleiding hiervan heeft de toenmalige Minister van Justitie en Veiligheid in zijn Kamerbrief van 17 december 2021 geschreven dat hij bereid is om toe te zeggen dat de artikelen 3.1 tot en met 3.3, die de mogelijkheid regelen om nieuwe samenwerkingsverbanden bij amvb te regelen, niet in werking zullen treden, en dat een wetsvoorstel wordt ingediend waarmee die artikelen worden aangepast.2 Ik volg mijn ambtsvoorganger hierin.
Zoals aangekondigd in de brief van de Minister van Justitie en Veiligheid van 17 december 2021 zal de aanpassing van de artikelen 3.1 tot en met 3.3 inhouden dat uitsluitend in geval van spoed een nieuw samenwerkingsverband bij amvb kan worden geregeld en dat in dat geval zo spoedig mogelijk een wetsvoorstel moet worden ingediend om het betreffende samenwerkingsverband alsnog in de wet te regelen. Dit betreft «tijdelijke delegatie». Volgens aanwijzing 2.39 van de Aanwijzingen voor de regelgeving betekent tijdelijke delegatie dat na de plaatsing van de amvb in het Staatsblad zo spoedig mogelijk een wetsvoorstel wordt ingediend. Indien een van de beide Kamers der Staten-Generaal het wetsvoorstel verwerpt, wordt de amvb onverwijld ingetrokken. Wordt het voorstel tot wet verheven, dan wordt de amvb ingetrokken op het tijdstip van inwerkingtreding van die wet.
De bevoegdheid tot tijdelijke delegatie is gewenst met het oog op gevallen waarin de totstandkoming van een wet in formele zin niet kan worden afgewacht. Tijdelijke delegatie is hiervoor een oplossing, omdat hierbij de voorschriften tijdelijk bij amvb kunnen worden vastgesteld. De mogelijkheid om tijdelijk een samenwerkingsverband bij amvb te regelen biedt dus een oplossing voor spoedgevallen, voor de tijd die nodig is ter overbrugging om een wetswijziging tot stand te brengen om het betreffende samenwerkingsverband in de WGS zelf te regelen.3
Vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties
Kan de Minister nader toelichten hoe zij spoed definieert met betrekking tot artikelen 3.1 tot en met 3.3 en kan zij daarbij voorbeelden geven van spoedsituaties?
Voor tijdelijke delegatie kan volgens aanwijzing 2.39 van de Aanwijzingen voor de regelgeving aanleiding zijn indien met betrekking tot een materie die op zich regeling bij wet behoeft, «snelle interventie is geboden of anticipatie op nieuwe maatregelen moet worden voorkomen». Tijdelijke delegatie mag dus alleen in die gevallen waarin «de totstandkoming van een wet niet kan worden afgewacht». Vanwege het onvoorzienbare karakter van de omstandigheden waarin van deze bevoegdheid gebruik gemaakt zou kunnen worden, valt een nadere concretisering van het criterium spoed niet goed te geven.
Gedacht kan worden aan een samenwerkingsverband ten behoeve van het voorkomen of bestrijden van een ernstige vorm van criminaliteit – bijvoorbeeld cybercrime – dat de bevoegdheid mist om gemeenschappelijke casusanalyses of data-analyses te verrichten. Om die tijdig en adequaat te kunnen regelen, zou het samenwerkingsverband dan tijdelijk in een amvb kunnen worden geregeld.
Vraag 3 (D66) – definitie spoed
Wat betekent «zo spoedig mogelijk» in de context van een spoed samenwerkingsverband dat vervolgens in de wet geregeld moet worden? Kan de Kamer zich nog uitspreken over deze termijn?
Verwezen wordt naar het antwoord op de vorige vraag. Uw Kamer kan zich uitspreken over deze termijn bij gelegenheid van de behandeling van het wetsvoorstel tot aanpassing van de artikelen 3.1 tot en met 3.3.
Vraag 4 (SP) – over definitie spoed overleggen met de Kamers
Kan voorts worden verduidelijkt in wat voor gevallen er sprake kan zijn van dusdanige «spoed» dat een wetsvoorstel niet eerst aan de Kamers kan worden voorgelegd? Kan ook worden verduidelijkt wat met «spoed» wordt bedoeld en wie beslist over wanneer iets precies spoedige inwerkingtreding rechtvaardigt? Is de Minister het met deze leden eens, dat hierover op zijn minst overleg zal moeten worden gevoerd met de Kamers? Zo nee, waarom niet?
Er is een wetsvoorstel nodig om dit te regelen in de artikelen 3.1 tot en met 3.3 van het wetsvoorstel. Hierover wordt overleg gevoerd met uw Kamer bij gelegenheid van de behandeling van dat wetsvoorstel.
Vraag 5 (SP) – afzien van voorgenomen aanpassing
Is de Minister bereid om af te zien van het voornemen om bij spoed per AMvB nieuwe samenwerkingsverbanden in het leven te roepen? Zo nee, waarom niet?
Zoals is toegelicht in antwoord op vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen, acht ik de bevoegdheid tot tijdelijke delegatie gewenst in gevallen waarin de totstandkoming van een wet in formele zin niet kan worden afgewacht.
Vraag 6 (VVD) – amvb met voorhangprocedure
Is het voor wat betreft het verschaffen van mogelijkheden voor verschillende partijen om op lokaal niveau beter te kunnen samenwerken, in sommige gevallen een AMvB met een voorhangprocedure niet voldoende? In welke van de ons omringende landen is telkens een nieuwe wetswijziging vereist en in welke landen kunnen samenwerkingsverbanden bij lagere regelgeving (zoals bij AMvB met voorhang onder de werking) worden toegevoegd onder bestaande wetgeving met daarin adequate waarborgen voor proportionaliteit en doelbinding?
Ik volg het advies van de Afdeling advisering dat het aanwijzen van nieuwe samenwerkingsverbanden materie is die op zichzelf regeling bij wet behoeft, daargelaten de vraag in hoeverre artikel 10 van de Grondwet ruimte laat om dit bij amvb te regelen en daargelaten of dan sprake zou moeten zijn van een voor- of nahangprocedure.
Uit omringende landen is geen informatie bekend over (wetgevingsprocedures omtrent) samenwerkingsverbanden die vergelijkbaar zijn met de WGS-samenwerkingsverbanden.
Vraag 7 (CDA) – amvb met voorhangprocedure
De leden van de CDA-fractie lezen dat de AP adviseert de mogelijkheid tot het aanwijzen van nieuwe samenwerkingsverbanden bij AMvB te schrappen. De Afdeling adviseert deze mogelijkheid te beperken tot tijdelijke spoedsituaties. Dit laatste advies neemt de Minister over. Deze leden begrijpen de argumentatie dat een samenwerkingsverband bij voorkeur bij wet moet worden geregeld, maar zij zien ook wel degelijk mogelijkheden voor een zorgvuldig proces bij AMvB, bijvoorbeeld met toevoeging van een (verzwaarde) voorhangprocedure. Hoe kijkt de Minister naar zo’n mogelijkheid?
Verwezen wordt naar het antwoord op de vorige vraag.
Vraag 8 (D66) – novelle
De leden van de D66-fractie achten het een belangrijke stap dat de Minister de artikelen 3.1 tot 3.3, die het creëren van nieuwe samenwerkingsverbanden bij AMvB regelen, niet in werking zal laten treden. Voor de aan het woord zijnde leden is deze stap echter alsnog te beperkt, nu de toegezegde wijziging van het wetsvoorstel nog niet voorligt en dus niet beoordeeld kan worden. De aan het woord zijnde leden vragen waarom er niet voor een novelle wordt gekozen om dit omstreden onderdeel direct uit het wetsvoorstel te halen zolang het wetsvoorstel nog in behandeling is? Strookt de keuze voor een novelle niet beter met het verankeren van waarborgen zoals proportionaliteit in de wet zelf in plaats van met een toezegging?
Bij de voorgenomen aanpassing van de artikelen 3.1 tot en met 3.3 van de WGS is niet gekozen voor een novelle, maar voor een wetsvoorstel dat procedureel geen afhankelijkheid kent met het onderhavige wetsvoorstel. Daarmee hoeft in de tussentijd het wetsvoorstel dat die drie artikelen aanpast de behandeling van het onderhavige wetsvoorstel niet op te houden. Ik deel de opvatting van de Afdeling advisering dat zo op korte termijn recht kan worden gedaan aan het belang om de gegevensverwerking binnen bestaande samenwerkingsverbanden van een toereikende wettelijke grondslag te voorzien.4
Vraag 9 (SP) – verhouding tot aangenomen amendement-Van Nispen
De leden van de SP-fractie hebben altijd zeer kritisch gekeken naar de WSG. Uiteindelijk hebben deze leden dan ook tegen dit wetsvoorstel gestemd. Het feit dat zelfs na stemming in de Tweede Kamer de negatieve adviezen over dit wetsvoorstel nog steeds binnen blijven komen, sterkt deze leden in de gedachte dat dit wetsvoorstel, in zijn huidige vorm, niet wenselijk is.
Gelukkig schrijft de Minister nu wel dat zij voornemens is het huidige hoofdstuk 3 uit de WSG te schrappen. Met dat hoofdstuk zou het mogelijk zijn om, per AMvB, nieuwe samenwerkingsverbanden in het leven te roepen. De leden van de SP-fractie zagen eerder nog hun amendement (Kamerstuk 35 447, nr. 10) dat precies hierop zag weggestemd worden door de Kamer, maar zij zijn blij dat de regering, na forse kritiek van de AP, dit hoofdstuk nu toch schrapt.
Minder te spreken zijn de leden van de SP-fractie over het voornemen van de regering om bij «spoed» een nieuw samenwerkingsverband te kunnen optuigen per AMvB, waarna dan wel zo snel als mogelijk de Kamer zich moet buigen over een nieuw wetsvoorstel waarin dat nieuwe samenwerkingsverband zijn grondslag dan vindt.
Deze leden vragen hoe dit voornemen zich verdraagt met het aangenomen amendement van het lid Van Nispen waarin duidelijk wordt gesteld dat het parlement een uitbreiding van een samenwerkingsverband vooraf goed moet keuren (Kamerstuk 35 447, nr. 11).
Het aangenomen amendement van het lid Van Nispen (Kamerstukken 35 447, nr. 11) heeft een zware nahangprocedure geïntroduceerd voor de aanwijzing bij amvb van nieuwe deelnemers aan de samenwerkingsverbanden die zijn geregeld in hoofdstuk 2 van het wetsvoorstel. Het amendement heeft de artikelen 3.1 tot en met 3.3 van het wetsvoorstel niet gewijzigd, waarin de mogelijkheid is opgenomen om bij amvb nieuwe samenwerkingsverbanden aan te wijzen. Het amendement staat dan ook los van het voornemen om met een nieuw wetsvoorstel de artikelen 3.1 tot en met 3.3 aan te passen.
Vraag 10 (CDA) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
Wat deze leden betreft zijn er nog andere samenwerkingsverbanden met eenzelfde doelstelling als die van de huidige samenwerkingsverbanden, die in de toekomst logischerwijs onder deze regeling kunnen worden gebracht. Daarbij denken zij in het bijzonder aan het ECTF en het LMIO. De leden van de CDA-fractie vragen de Minister waarom deze samenwerkingsverbanden niet reeds aanvullend zijn opgenomen in het wetsvoorstel, gezien een eerdere toezegging van de Minister te kijken of deze samenwerkingsverbanden kunnen toetreden tot het wetsvoorstel. Ook vragen deze leden de Minister om nadere toelichting hoe zij «spoed» definieert met betrekking tot de te wijzigen artikelen 3.1 tot en met 3.3 van de WGS. Is de Minister van mening dat het ECTF en het LMIO wel onder de spoedbepaling kunnen vallen?
Zoals toegelicht in de nota naar aanleiding van het verslag,5 is bij de keuze van de samenwerkingsverbanden die in het wetsvoorstel zijn opgenomen, getoetst aan drie criteria: 1.) er wordt samengewerkt voor essentiële maatschappelijke vraagstukken zoals omschreven in het wetsvoorstel, 2.) het samenwerkingsverband heeft een bestendig karakter, en 3). er is sprake van juridische knelpunten op het gebied van gezamenlijke gegevensverwerking die in de weg staan van een optimale, nog effectievere samenwerking van deze samenwerkingsverbanden en die een oplossing via wetgeving behoeven.
Bij de Electronic Crimes Taskforce (ECTF) en het Landelijk Meldpunt Internetoplichting (LMIO) werken onder meer politie en het openbaar ministerie samen met enkele private partijen op het gebied van respectievelijk digitale bankfraude en internetoplichting. Dit zijn «ernstige vormen van criminaliteit» in de zin van artikel 3.1 WGS, zodat het mogelijk is om bij amvb de gegevensverwerking van deze samenwerkingsverbanden te regelen. In de voorgenomen spoedbepaling zal dat niet anders zijn. Aan het eerste criterium is daarmee voldaan. Beide samenwerkingsverbanden bestaan al geruime tijd en hebben daarmee een bestendig karakter.
Dat het ECTF en LMIO op enig moment onder de WGS worden gebracht, sluit ik niet uit. Op dit moment is het evenwel te vroeg om daarop een voorschot te nemen. Dit hangt onder meer af van de exacte knelpunten in de onderlinge gegevensverstrekking en in hoeverre sprake is
van gezamenlijke gegevensverwerking. De gedachtenvorming hierover is nog niet afgerond.
Vraag 11 (VVD) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting
Tot slot vragen deze leden de Minister bestaande samenwerkingsverbanden zoals de Electronic Crimes Taskforce (ECTF) en het Landelijk Meldpunt Internetoplichting (LMIO) snel duidelijkheid te geven. Tijdens eerder debat werd toegezegd te bezien of deze samenwerkingsverbanden onder de wet zouden kunnen vallen. Kan de Minister aangeven of deze samenwerkingsverbanden in elk geval onder de spoedregeling komen te vallen?
Ik verwijs naar het antwoord op de vorige vraag.
2.2 Startpunt van de gegevensverwerking verduidelijken
Vraag 12 (PvdA) – verdenking of ander startpunt
De leden van de PvdA-fractie lezen dat de Minister stelt dat het vraagstuk van het startpunt van de gegevensverwerking door samenwerkingsverbanden los staat van de onschuldpresumptie. Deze leden menen dat dit wellicht formeel juist is in de zin van dat de onschuldpresumptie geen beginsel is dat aan het recht op bescherming van persoonsgegevens ten grondslag ligt. Daarbij voert de Minister aan dat het niet zo is dat uitwisseling van gegevens het toekennen van schuld impliceert. Dat laatste moge waar zijn, maar ergens moet er toch aanleiding zijn om gegevens over iemand te gaan uitwisselen. Kan dat startpunt een vermoeden zijn dat een persoon zich schuldig heeft gemaakt aan een strafbaar feit? Zo nee, wat kan dan nog meer dat startpunt zijn?
In het Besluit gegevensverwerking door samenwerkingsverbanden (BGS) wordt het startpunt van de gegevensverwerking zoveel mogelijk geconcretiseerd met nadere criteria waaraan een signaal, casus of verzoek moet voldoen om aanleiding te kunnen zijn voor gezamenlijke gegevensverwerking ten behoeve van het doel van het samenwerkingsverband. Om aan gegevensverwerking binnen een samenwerkingsverband toe te komen, is onder meer vereist dat er duidelijke en objectieve aanwijzingen zijn voor risico’s met het oog op de doelen van het samenwerkingsverband. Dat hoeft geen verdenking van een strafbaar feit te zijn. Er kan sprake zijn van een integrale aanpak van gesignaleerde risico’s die mede bestuursrechtelijk of privaatrechtelijk van aard is.
Vraag 13 (SP) – massasurveillance, vereiste van verdenking
De leden van de SP-fractie vragen speciale aandacht voor het feit dat de AP erop wijst dat, door de vele bevoegdheden die de samenwerkingsverbanden krijgen, het gevaar van massasurveillance op de loer ligt. Zeker als gegevens van mensen gedeeld worden zónder dat daar een concrete verdenking aan ten grondslag ligt. Klopt het dat de Minister zich op het standpunt stelt dat van massasurveillance geen sprake kan zijn, omdat de samenwerkingsverbanden geen interventiebevoegdheden hebben? Kan zij voor deze leden verduidelijken waarom bij massasurveillance per se sprake moet zijn van directe interventie? En ziet de Minister ook in dat, of er nou wel of geen interventie plaatsvindt, het een feit is dat, als je niet als startpunt pakt dat alleen gegevens verwerkt en gedeeld mogen worden van mensen die concreet ergens verdacht van worden, je wel degelijke de situatie krijgt dat de gegevens van onschuldige mensen (mensen die niet concreet van een strafbaar feit verdacht worden) worden gedeeld en verwerkt? Zo nee, waarom niet? Het klopt toch ook dat de gegevens die door de samenwerkingsverbanden worden gedeeld, daarna door de individuele instanties die betrokken zijn bij het samenwerkingsverband wel degelijk gebruikt kunnen worden om latere interventies op te baseren?
Zoals geantwoord op de vorige vraag zal het BGS regels bevatten waarin het startpunt van de gegevensverwerking wordt geconcretiseerd met nadere criteria waaraan een signaal, casus of verzoek moet voldoen. Er moet onder meer sprake zijn van voldoende duidelijke en objectieve aanwijzingen van risico’s met het oog op de doelen van het samenwerkingsverband. Dit maakt dat er ook volgens de redenering van de AP geen sprake is van massasurveillance, want de AP stelt dat «de eis van duidelijke en objectieve aanwijzingen naar het oordeel van de AP in feite ook de garantie [vormt] voor het waarborgen van de onschuldpresumptie in ruime zin en het verschil [vormt] met «mass surveillance» maatregelen».6
Daarbij merk ik nog op dat het niet zo hoeft te zijn dat het strafrecht zal worden ingezet. Een bestuursrechtelijke interventie of interventie met zorg kan ook aan de orde zijn.
Tot slot benadruk ik dat de WGS en het BGS een reeks aan nieuwe en belangrijke waarborgen bevat om de bescherming van persoonsgegevens te versterken. Ook deze waarborgen zorgen ervoor dat geen sprake kan zijn van massasurveillance.
Vraag 14 (Volt) – massasurveillance
Het argument van de Minister dat van massasurveillance geen sprake kan zijn omdat het wetsvoorstel geen bevoegdheid geeft tot het inwinnen of vergaren van nieuwe gegevens, maar alleen tot uitwisseling van gegevens waarover reeds rechtmatig wordt beschikt, is niet overtuigend. Juist het koppelen van datasets kan tot nieuwe informatie leiden. Dat lijkt ook juist het doel van het wetsvoorstel te zijn. Deze uitwisseling creëert de mogelijkheid om nieuwe gegevens te maken. De leden van de Volt-fractie ontvangen graag een reflectie van de Minister op dit punt.
In aanvulling op het vorige antwoord merk ik op dat één van de redenen waarom onder het wetsvoorstel geen sprake kan zijn van massasurveillance erin gelegen is dat het wetsvoorstel geen grondslagen creëert om bij derden gegevens te vergaren. Hierdoor gaat het wetsvoorstel alleen over uitwisseling van gegevens tussen de deelnemers, binnen de waarborgen en voorwaarden uit het wetsvoorstel en de amvb. Bestuursorganen die gegevens hebben over ernstige en ondermijnende criminaliteit moeten die gegevens kunnen uitwisselen met elkaar en soms ook met private partijen, zodat zij effectief kunnen optreden. Zoals de Afdeling advisering van de Raad van State in haar voorlichting over de WGS terecht opmerkt, is gegevensverwerking onmiskenbaar een belangrijk instrument om ernstige en ondermijnende criminaliteit tegen te gaan: «In die zin vormt niet alleen bescherming van persoonsgegevens, maar ook effectieve misdaadbestrijding rechtsstatelijk handelen.»7
2.3 Transparantie en rechten van betrokkene
Vraag 15 (SP) – transparantie op casusniveau
De AP vraagt, volgens de leden van de SP-fractie, terecht aandacht voor het recht dat een betrokkene heeft op transparantie van zijn of haar gegevens en de manier waarop die gegevens zijn verwerkt. Deze leden vragen hoe de Minister wil waarborgen dat altijd te achterhalen is hoe, wanneer, waarom en door wie gegevens zijn verwerkt, zodat de betrokkene daarover uitputtend geïnformeerd kan worden op specifiek casusniveau. Deze leden doelen dus niet op een algemeen jaarverslag waarin in algemene zin verantwoord wordt hoe gegevens verwerkt zijn. Deze leden vragen hier specifiek naar, omdat zij hebben gezien dat bijvoorbeeld bij het schandaal van de toeslagenaffaire, betrokkenen tot op de dag van vandaag geen inzicht hebben in basale vragen zoals waarom zij op een zwarte lijst zijn gekomen, op basis van welke gegevens, etc.
Ten aanzien van de verwerking van persoonsgegevens door de samenwerkingsverbanden is de AVG leidend, en daarin is transparantie het uitgangspunt: artikel 14 van de AVG verplicht de deelnemers van het samenwerkingsverband, als gezamenlijke verwerkingsverantwoordelijken, in beginsel om betrokkenen te informeren over onder andere het feit dat gegevens over betrokkene worden verwerkt en voor welke doeleinden. De algemene uitzonderingen uit de AVG en de Uitvoeringswet AVG gelden ook voor wat betreft de verwerkingen die plaatsvinden in de samenwerkingsverbanden onder de WGS. Een relevante uitzondering doet zich onder meer voor als het verstrekken van de informatie de doeleinden van de gegevensverwerking zou doorkruisen of bij de doorkruising van opsporings- en toezichtbelangen. Indien deze uitzondering vervalt, bijvoorbeeld na afronding van een gezamenlijk project, moet de informatieplicht alsnog worden nagekomen. In de WGS zijn geen aanvullende uitzonderingsgronden opgenomen.
Verder is voorzien in de aanwijzing van een contactpunt voor elk samenwerkingsverband, waar betrokkenen op toegankelijke wijze hun recht op inzage van hun persoonsgegevens kunnen uitoefenen, evenals hun andere rechten op grond van de AVG, zoals het recht op correctie. In het kader van transparantie en rechtszekerheid richting burgers is het van belang dat er één contactpunt komt dat de behandeling van verzoeken van betrokkenen coördineert en afhandelt. Dit is uitgewerkt in artikel 1.1 van het concept-BGS. Daarin is ook bepaald dat op de website van het samenwerkingsverband de naam en contactgegevens van het contactpunt moeten worden vermeld.
Vraag 16 (D66) – verplichting tot zoveel mogelijk motiveren
Is de Minister het eens dat transparantie en controleerbaarheid van groot belang zijn om misbruik van gegevens en misstanden te voorkomen? Waarom wordt de verplichting tot transparantie richting burgers niet verankerd in het wetsvoorstel maar pas later per AMvB geregeld?
Wat houdt de plicht tot «zo veel mogelijk motiveren» precies in? Betekent dit dat alle indicatoren en gebruikte informatie op basis waarvan een uitkomst tot stand is gekomen gecommuniceerd moeten worden? Zo nee, welk type gegevens hoeft niet verstrekt te worden en waarom?
Ik onderken het belang van transparantie en controleerbaarheid om misbruik van gegevens en misstanden te voorkomen. Artikel 5, eerste lid, van de AVG verplicht ertoe om persoonsgegevens te verwerken op een wijze die transparant is (transparantiebeginsel). Het wetsvoorstel en de onderliggende amvb vergroten de voorzienbaarheid en daarmee de transparantie door de verwerkingen door de samenwerkingsverbanden een wettelijk kader te geven. Daarnaast wordt de transparantie op de volgende wijzen gewaarborgd:
De verplichting tot transparantie richting burgers is geregeld in artikel 14 van de AVG, zoals toegelicht in het antwoord op de vorige vraag.
Artikel 1.1 van het concept-BGS wijst een contactpunt aan per samenwerkingsverband dat betrokkenen uit eigen beweging informeert en waar zij op toegankelijke wijze hun rechten kunnen uitoefenen op grond van de AVG, zoals het inzagerecht.
Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet een samenwerkingsverband op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica. Hierop wordt nader ingegaan in de beantwoording van vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse.
Samenwerkingsverbanden moeten jaarverslagen publiceren met daarin een verantwoording van de effectiviteit en bruikbaarheid van de gegevensverwerking (artikel 1.12 WGS).
De naleving van deze verplichtingen kan worden gecontroleerd in de verplichte onafhankelijke privacy audits, door de functionarissen voor gegevensbescherming en de AP.
De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling advisering van de Raad van State van 18 november 2021.8 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog. Het gaat dan onder meer om het antwoord op de vraag van welke partijen de informatie afkomstig is op basis waarvan de resultaten tot stand zijn gekomen. Deze informatie heeft de ontvanger nodig om de informatie te kunnen wegen: voor het vervolgonderzoek door de ontvanger van een resultaat, is vereist dat bekend is wat de input is geweest, zodat de ontvanger zich een beeld kan vormen van de betrouwbaarheid en volledigheid daarvan.
Vraag 17 (Volt) – rechten van burgers en transparantie
Voorts zal het wetsvoorstel het mogelijk maken om binnen een groot netwerk van overheden en bedrijven informatie over burgers te delen. Zit hier ook informatie bij waarvan burgers zelf niet eens weten dat deze informatie over hen bestaat? Zo ja, op welke manier zullen burgers worden geïnformeerd over de verwerking van deze informatie, waaronder begrepen persoonsgegevens?
Hoe worden zij in staat gesteld om hun rechten met betrekking tot gegevensverwerking in dit geval op een effectieve manier uit te oefenen?
Voor het antwoord op de eerste deelvragen wordt verwezen naar het antwoord op vraag 15 (SP) – transparantie op casusniveau.
Door middel van het aanwijzen van een contactpunt per samenwerkingsverband worden betrokkenen in staat gesteld om hun rechten met betrekking tot gegevensverwerking op een effectieve manier uit te oefenen. Op de verwerking van persoonsgegevens die plaatsvinden onder de gezamenlijke verwerkingsverantwoordelijkheid van deelnemers op grond van de WGS zijn onverkort de rechten en plichten uit de AVG van toepassing. Een betrokkene kan een beroep doen op de rechten die de AVG hem al geeft, zoals het recht op inzage, het recht op rectificatie, het recht op gegevenswissing en het recht op beperking van de verwerking (artikelen 15–18 AVG). Zo kan een betrokkene onder meer verifiëren welke categorieën persoonsgegevens over hem worden uitgewisseld en voor welke doeleinden (artikel 15, eerste lid, onder a en b, AVG).
Ook voor samenwerkingsverbanden die zijn opgenomen in de WGS geldt de informatieverplichting op grond van artikel 14 AVG, die verplicht om betrokkenen bepaalde informatie te verschaffen over de verwerking van hen betreffende persoonsgegevens. Zo raken burgers op de hoogte van het feit dat gegevens over hen worden verwerkt en worden zij ook in staat gesteld om hun rechten te kunnen uitoefenen.
Per samenwerkingsverband zal een contactpunt ingericht worden waar burgers terecht kunnen om hun rechten op grond van de AVG uit te oefenen, zoals hun inzage- en correctierecht. Het contactpunt coördineert dergelijke verzoeken. In artikel 1.1 van het concept-BGS is per samenwerkingsverband uitgewerkt welke deelnemer het contactpunt vormt. Wie het contactpunt is, moet tevens bekend worden gemaakt op de website van het samenwerkingsverband.
Burgers kunnen bij het contactpunt ook verzoeken om onjuiste gegevens te rectificeren. Dit moet gebeuren door de deelnemende partij die de betreffende gegevens heeft ingebracht. Het contactpunt zal correctieverzoeken coördineren.
Indien een betrokkene het niet eens is met het besluit op zijn verzoek, dan kan diegene terecht bij het contactpunt voor bezwaar en vervolgens bij de bestuursrechter voor beroep. Immers, de schriftelijke beslissing van een bestuursorgaan (het contactpunt) op een dergelijk verzoek is een besluit in de zin van de Algemene wet bestuursrecht volgens artikel 34 van de Uitvoeringswet AVG. Dit betekent dat bestuursrechtelijke rechtsbescherming openstaat.
De naleving van de rechten op grond van de AVG kan verder worden gecontroleerd in de verplichte onafhankelijke privacy audits, door de functionarissen voor gegevensbescherming en de AP.
2.4 Voorkomen van discriminatie
Vraag 18 (Volt) – waarborgen tegen discriminatie
Het wetsvoorstel brengt naast oplossingen ook nieuwe problemen, waaronder een groot risico op discriminatie. Zo waarschuwt het College voor de Rechten van de Mens dat er een vertekend beeld kan ontstaan over de mate waarin mensen met een bepaalde achtergrond betrokken zijn bij de problematiek waarop de samenwerkingsverbanden zich straks zullen richten. Dat kan leiden tot overmatige controle van deze groep. Dat is discriminerend. Het wetsvoorstel bevat nog onvoldoende waarborgen tegen discriminatie. Een deel zal afhangen van de uitvoering, maar deze leden zijn van mening dat er onvoldoende waarborgen worden getroffen om discriminatie te voorkomen. Hoe weegt de Minister het voortzetten van het wetsvoorstel tegenover het risico op discriminatie?
Het discriminatieverbod geldt voor elk overheidsonderdeel. Dat betekent dat ook onder de WGS geen ongerechtvaardigd onderscheid mag worden gemaakt. Daarnaast is een verwerking waar discriminatie aan ten grondslag ligt, strijdig met de normen van het gegevensbeschermingsrecht. De AVG, WGS en het concept-BGS bevatten daar bovenop extra waarborgen om discriminatie tegen te gaan.
Op grond van artikel 9, eerste lid, AVG mogen geen gegevens worden verwerkt over ras of etnische afkomst. Artikel 1.9 concept-BGS voegt daaraan toe dat ook geen gegevens over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene onvermijdelijk is.
In artikel 1.14 van het concept-BGS is uitgewerkt dat de leden van de rechtmatigheidsadviescommissie, waarin deskundigen advies uitbrengen over de rechtmatigheid van gegevensverwerkingen door het samenwerkingsverband, er zorg voor dienen te dragen dat in de rechtmatigheidsadviescommissie aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Bovendien is in artikel 1.17 van het concept-BGS uitgewerkt dat medewerkers die ingezet worden in het samenwerkingsverband opleidingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek. Het tegengaan van (onbewuste) discriminatie komt bij deze beide onderdelen aan de orde.
Verder zijn in dit kader van belang de aanvullende waarborgen bij geautomatiseerde gegevensanalyses (artikel 1.9 WGS). Deze waarborgen zijn mede bedoeld om – in lijn met overweging 71 bij de AVG – discriminatie, fouten en vooroordelen tegen te gaan in algoritmen die bij een geautomatiseerde analyse worden gebruikt:
Artikel 1.9, eerste lid, verplicht de deelnemers om voor adequate en uniforme technische en organisatorische maatregelen zorg te dragen die de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de juistheid en de volledigheid van de te verwerken gegevens bevorderen. De deelnemers moeten de gehanteerde methode dus toetsen op feitelijke juistheid en kwaliteit. Wat de kwaliteit van de gegevens zelf betreft, volgt hieruit dat iCOV gegevens alleen mag gebruiken als deze van voldoende kwaliteit zijn. ICOV geeft hieraan invulling door uitgebreid te toetsen of de data van voldoende kwaliteit zijn en of zij geschikt zijn om betrouwbaar te koppelen met data van andere deelnemers, alvorens de gegevens voor rapportages te gebruiken.9
Artikel 1.9, tweede lid, regelt de verplichting om een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse uitsluitend aan een deelnemer of derde te verstrekken na menselijke tussenkomst, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.
Artikel 1.9, derde lid bevat de verplichting tot uitleg op toegankelijke wijze aan het publiek over de gehanteerde patronen, indicatoren en andere onderliggende logica.
Artikel 1.9, zesde lid, regelt een verbod op algoritmen waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. De analyse moet dus op zodanige wijze plaatsvinden dat de uitkomsten navolgbaar en controleerbaar zijn.
Bij de toegestane geautomatiseerde gegevensanalyse – namelijk bij iCOV – bevatten artikel 2.9 tot en met 2.12 van het concept-BGS bovendien de volgende aanvullende waarborgen:
Vooraf moet advies worden gevraagd aan de rechtmatigheidsadviescommissie over onder meer de gehanteerde indicatoren, verwerkingsmethode en gegevens. Dit geschiedt aan de hand van een door deelnemers van iCOV op te stellen productbeschrijving. Daarin moeten zij het thema, de indicatoren en de methode beschrijven en verantwoorden.
Er mogen uitsluitend gevalideerde indicatoren worden gebruikt. Ze moeten zijn gecontroleerd op geldigheid en juistheid, rekening houdend met vertekening (bias), navolgbaarheid, betrouwbaarheid en representativiteit van de gegevens; de deelnemers dienen er zorg voor te dragen dat de indicatoren objectief en nauwkeurig zijn.
Er moet voldoende aanleiding zijn voor de geautomatiseerde gegevensanalyse, bestaande uit duidelijke en objectieve aanwijzingen inzake onrechtmatig financieel gewin.
De deelnemers dienen te zorgen voor een representatieve onderzoeksgroep en moeten aandacht hebben voor het risico van vooringenomenheid.
De gehanteerde methode moet uitlegbaar, navolgbaar en controleerbaar zijn.
Over de toepassing van deze waarborgen moet periodiek worden gerapporteerd aan de rechtmatigheidsadviescommissie.
Vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering
Een ander probleem dat de leden van de Volt-fractie zien, is de mogelijkheid om gebruik te maken van geautomatiseerde gegevensanalyses, zoals risicoprofilering. Kan de Minister aangeven op welke manier zal worden omgegaan met risicoprofilering, met name, welke maatregelen getroffen zullen worden om het risico op discriminatie te voorkomen?
Er zal gevolg worden gegeven aan de aanbevelingen die de Afdeling advisering in haar voorlichting heeft gedaan ten behoeve van een zorgvuldig gebruik van algoritmes. Naast het investeren in professionaliteit en (juridische) deskundigheid op de werkvloer en een cultuur waarin kan en mag worden afgeweken van algoritmische uitkomsten, heeft de Afdeling advisering benadrukt dat afwegingskaders van belang zijn om te bevorderen dat algoritmen zorgvuldig en met respect voor relevante grondrechten tot stand worden gebracht.10 In zijn algemeenheid heeft het kabinet, net als het vorige, veel aandacht voor het zorgvuldige gebruik van algoritmes. Er zijn afwegingskaders en hulpmiddelen ontwikkeld, die bouwstenen vormen van het op te stellen implementatiekader «inzet van algoritmen». De inzet van het kabinet is om binnen deze instrumenten prioritering aan te brengen en deze te stroomlijnen, zodat in alle fasen van de levenscyclus van algoritmische toepassingen praktische handvatten worden geboden.11 Enkele van deze afwegingskaders zijn:
Het Kwaliteitskader Big Data, dat is opgesteld door de politie en het OM.12 Dit wordt gebruikt voor het toetsen van big data toepassingen aan onder andere rechtmatigheid en ethiek.
De Handreiking AI-systeemprincipes voor non-discriminatie, getiteld «non-discriminatie by design».13 Dit is een praktische handreiking waarin stap voor stap wordt uitgelegd hoe organisaties kunnen voorkomen dat hun algoritmes discrimineren. In de handreiking is een vertaalslag gemaakt van essentiële juridische kaders naar operationele ontwerpprincipes. De handreiking is opgesteld in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties door een team van onderzoekers van de universiteiten van Tilburg en Eindhoven, Vrije Universiteit Brussel en het College voor de Rechten van de Mens. De handreiking geeft tien regels waarmee volgens de opstellers misstanden zoals bij de kindertoeslagen kunnen worden voorkomen.
Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmen (IAMA).14 Dit impact assessment kan een organisatie gebruiken om in de gehele levenscyclus van algoritmische systemen de risico’s voor mensenrechten in kaart te brengen. Het IAMA is in opdracht van het vorige kabinet door de Universiteit Utrecht ontwikkeld.
De richtlijnen voor het toepassen van algoritmes door de overheid uit de brief van 8 oktober 2019.15
Vraag 20 (D66) – voorkomen van discriminatie t.a.v. seksuele gerichtheid
De leden van de D66-fractie lezen over de zorgen bij de AP dat discriminatie een risico vormt door het gebrek aan transparantie en dus oncontroleerbaarheid van de gebruikte gegevens bij een beslissing. De Minister geeft aan dat dit niet toegestaan is onder de AVG. De Minister verwijst naar het niet opnemen van persoonsgegevens over etniciteit, ras en nationaliteit. Is dit een uitputtende opsomming? Waarom is seksuele gerichtheid daar niet aan toegevoegd, gezien het grondwetswijzigingsvoorstel dat in tweede lezing in de Kamer ligt? De aan het woord zijnde leden horen graag met welke instrumenten en verankerde waarborgen de naleving van de AVG op dit punt dan wordt verzekerd.
Volgens artikel 9, eerste lid, AVG vallen ook gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid onder de term bijzondere categorieën van persoonsgegevens. Hieruit volgt dat de verwerking van dergelijke gegevens ook onder de WGS in principe verboden is. Dit behoeft derhalve geen afzonderlijke vermelding in het wetsvoorstel.
Met betrekking tot de verwerking door de RIEC’s van gegevens over seksueel gedrag en seksuele gerichtheid maakt het wetsvoorstel een uitzondering voor zover de verwerking van die gegevens noodzakelijk is met het oog op de bestrijding van mensenhandel en de onderzoeken in dat kader naar illegale prostitutie en uitbuiting (artikel 2.21 WGS). Deze uitzondering is toegestaan op grond van artikel 9, tweede lid, onder g, van de AVG omdat deze nodig is voor een zwaarwegend algemeen belang. Artikel 2.15 van het concept-BGS verduidelijkt dat het uitsluitend gaat om persoonsgegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid wanneer de verwerking noodzakelijk is voor onderzoeken in het kader van bestrijding van mensenhandel, illegale prostitutie en uitbuiting, in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard. Hiermee wordt deze gegevenscategorie uit artikel 2.21 WGS scherper afgebakend en in overeenstemming gebracht met datgene wat volgens artikel 23, onder c, van de Uitvoeringswet AVG reeds is toegestaan.
Artikel 1.14 van het concept-BGS stelt buiten twijfel dat de deelnemers zorgdragen dat in de rechtmatigheidsadviescommissie ook aandacht moet zijn voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Elke deelnemer houdt bovendien zelfstandig de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving, daaronder begrepen het verbod op discriminatie.
Vraag 21 (SP) – verplichting tot zoveel mogelijk motiveren
Een motie van leden van de SP- en GroenLinks-fracties riep de regering op om te verduidelijken op welke manieren de samenwerkingsverbanden verplicht worden discriminatie en andere mensenrechtenschendingen te voorkomen en hoe hier toezicht op gehouden wordt (Kamerstuk 35 447, nr. 17). De leden van de SP-fractie zijn, na het lezen van de kabinetsreactie op de nadere adviezen over de WGS, op dit punt allerminst gerustgesteld. Deze leden lezen dat de regering voornemens is om per AMvB te regelen dat samenwerkingsverbanden bij de verstrekking van resultaten aan deelnemers of derden, zoveel mogelijk moeten motiveren op basis van welke informatie de uitkomst tot stand is gekomen. Deze leden vragen waarom dit gegeven niet gewoon in de wet is vastgelegd. Voorts vragen deze leden waarom de Minister kiest voor de zinsnede «zoveel mogelijk moeten motiveren». Is de Minister het met deze leden eens dat samenwerkingsverbanden gewoon uitputtend moeten motiveren op basis van welke informatie een uitkomst tot stand is gekomen, en dus niet «zoveel mogelijk»? Zo nee, waarom niet?
De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling advisering van de Raad van State van 18 november 2021.16 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog.
Het is van belang dat traceerbaar is op basis waarvan sturingsinformatie of een interventieadvies tot stand is gekomen. Het gaat dan onder meer om het antwoord op de vraag van welke partijen de informatie afkomstig is op basis waarvan de resultaten tot stand zijn gekomen. Deze informatie heeft de ontvanger nodig om de informatie te kunnen wegen: voor het vervolgonderzoek door de ontvanger van een resultaat, is vereist dat bekend is wat de input is geweest, zodat de ontvanger zich een beeld kan vormen van de betrouwbaarheid en volledigheid daarvan. Bepaalde uitzonderingsgronden, zoals het opsporings- en vervolgingsbelang, kunnen zich verzetten tegen het verstrekken van (bepaalde aspecten van) de motivering. Om die reden is in artikel 1.8, tweede lid, van het concept-BGS de zinsnede «voor zover mogelijk» opgenomen.
Vraag 22 (PvdA) – aanscherpingen regels AI ter voorkoming discriminatie
Wat is de stand van zaken met betrekking tot de aanscherping van beleid en regelgeving omtrent algoritmen en artificiële intelligentie (AI) zoals aangekondigd in de brief van 10 juni 2021 (Kamerstuk 26 643, nr. 765)? In hoeverre zijn er reeds aanscherpingen gedaan die ook van belang zijn voor het tegengaan van risico’s op discriminerende gevolgen van de WGS? Welke nog niet doorgevoerde aanscherpingen van het beleid en regelgeving omtrent algoritmen en AI kunnen nog beter zorgen voor het tegengaan van risico’s op discriminerende gevolgen van de WGS?
Met de Kamerbrief publieke controle op algoritmen is uw Kamer op 7 oktober 2022 geïnformeerd over de wijze waarop het kabinet wil omgaan met de inzet van algoritmen.17 Daarin is toegelicht dat het kabinet werkt aan één implementatiekader «inzet van algoritmen» dat overheidsorganisaties adviseert de nodige waarborgen in acht te nemen. Hierin vindt onder meer stroomlijning, prioritering en concretisering plaats van bestaande hulpmiddelen als het Impact Assessment voor Mensenrechten bij de inzet van Algoritmen (IAMA) en de handreiking non-discriminatie by design. Op die instrumenten is nader ingegaan in antwoord op vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering.
2.5 Overige vragen naar aanleiding van de adviezen
Vraag 23 (VVD) – afbakening iCOV inzake markttoezicht en inning overheidsvorderingen
De leden van de VVD-fractie hebben kennisgenomen van het voornemen van de Minister naar aanleiding van het advies van de Autoriteit Persoonsgegevens (AP) in de AMvB te bepalen dat iCOV gegevens op grond van de WGS uitsluitend mag verwerken voor de subsidiaire doelstellingen inzake markttoezicht en inning van overheidsvorderingen als dit gerelateerd is aan de primaire doelstellingen. Deze leden hebben zorgen over deze afbakening, te meer omdat binnen de infobox Crimineel en Onverklaarbaar Vermogen (iCOV) stemmen opgaan tegen deze afbakening. Kunnen deze zorgen van iCOV worden gedeeld met de Kamer? Hoe en op welk moment dienen de organisaties van iCOV te bepalen welke informatie wel en niet kan worden gedeeld binnen het samenwerkingsverband? Zijn alle uitvoeringsconsequenties in kaart gebracht van deze afbakening?
Zoals vermeld in de brief van 17 december 2021, wordt voor alle daarin aangekondigde voornemens nog een uitvoeringstoets gedaan ten tijde van de (internet)consultatie over de amvb.18
Inmiddels heeft iCOV vanuit uitvoeringsperspectief een aantal opmerkingen gemaakt over het aangehaalde voornemen. Voor iCOV en haar leden is niet helder waarom een onderscheid zou moeten worden gemaakt tussen «primaire doelstellingen» (het in kaart brengen van crimineel en onverklaarbaar vermogen en het bestrijden van witwas- of fraudeconstructies) en «secundaire doelstellingen» (goed markttoezicht en het innen van overheidsvorderingen). Ieder van deze doelstellingen heeft naar de mening van iCOV op zichzelf voldoende gewicht om een inbreuk op de privacy te rechtvaardigen en het is juist de integraliteit van de databevragingen die een toegevoegde waarde heeft, voor zowel bestuursrechtelijke als strafrechtelijke interventies.
De door de vorige Minister gekozen lijn zou volgens zijn Kamerbrief van 17 december 2021 tot gevolg hebben dat in de toekomst vanuit de doelstellingen van markttoezicht en de inning van overheidsvorderingen alleen nog iCOV-bevragingen kunnen worden gedaan wanneer dat tevens nodig is met het oog op het in kaart brengen van onverklaarbaar of crimineel vermogen of met het oog op het bestrijden van witwas- of fraudeconstructies. ICOV wijst erop dat een dergelijke al te nauwe invulling tot gevolg kan hebben dat toezichthouders het zicht verliezen op nieuwe vormen van wederrechtelijk handelen of op het misbruik van financiële en fiscale systematische zwaktes, en zodoende achter de feiten aanlopen.
Een werkbare interpretatie is volgens iCOV dat bevragingen onder de WGS mogelijk blijven ten behoeve van onderzoeken en fenomeenanalyses die erop gericht zijn om gedragingen in kaart te brengen, waarbij op buitenwettelijke wijze financieel gewin wordt behaald. Hiervan kan ook sprake zijn in de bestuursrechtelijke onderzoeken en themascans van de markttoezichthouders. Invordering vormt het sluitstuk binnen een integrale aanpak waar crimineel en onverklaarbaar vermogen wordt opgespoord en in kaart gebracht, aldus iCOV: immers, pas als een vordering daadwerkelijk geïnd wordt, loont misdaad niet. ICOV stelt verder voor om de begrenzing van de aanvragen te zoeken in het formuleren van criteria voor de aanvragen, waaronder een proportionaliteitstoets en het hanteren van bepaalde ondergrenzen.
Om de voornoemde zorgen weg te nemen zijn in het concept-BGS deze alternatieve afbakeningsvoorstellen van iCOV overgenomen. In paragraaf 2.2 van het concept-BGS zijn werkbare criteria geformuleerd die de zorg bij iCOV wegnemen dat de integrale benadering en samenwerking tussen strafrechtelijke en bestuursrechtelijke handhavers die nodig is voor een effectieve aanpak van criminele netwerken, wordt aangetast. In de artikelen 2.8 en 2.11 van het concept-BGS is opgenomen dat een verzoek van een deelnemer om een rapportage slechts in behandeling wordt genomen bij duidelijke en objectieve aanwijzingen dat op onrechtmatige wijze financieel gewin is of wordt behaald. Een gegevensverwerking door iCOV moet dus altijd verband houden met het op onrechtmatige wijze behalen van financieel gewin. Daarnaast bevat paragraaf 2.2 van het concept-BGS concrete minimumgrenzen en andere criteria waaraan moet worden voldaan, vooraleer kan worden toegekomen aan gegevensverwerking door iCOV.
Vraag 24 (SP) – gegevensdeling tussen samenwerkingsverbanden
Met het amendement van het lid Yesilgöz-Zegerius is het mogelijk geworden om ook gegevens tussen samenwerkingsverbanden te delen (Kamerstuk 35 447, nr. 14). Dat vonden de leden van de SP-fractie destijds al een onzalig idee en dat vinden zij nog steeds. Zeker nu deze leden lezen dat de AP oproept tot het schrappen van deze mogelijkheid. Toch zegt de Minister hierover in reactie op de AP slechts dat het voornemen van de regering is om bij AMvB de gegevensverstrekking tussen de samenwerkingsverbanden nader te clausuleren door deze zoveel mogelijk te beperken tot hit/no hit bevraging. Deze leden vragen of deze hits/no hits dan vervolgens wel weer gebruikt kunnen worden om verdere stappen te ondernemen? Stel, er komt een hit uit de bevraging, kan de Minister schetsen wat een samenwerkingsverband daar dan precies aan heeft? Wat kan zij met het gegeven dat er een hit of geen hit is?
Nadat een samenwerkingsverband op grond van artikel 1.7, achtste lid, van het wetsvoorstel vaststelt dat een betrokkene tevens bekend is bij een ander samenwerkingsverband (een hit), mogen beide samenwerkingsverbanden gegevens uitwisselen over welke deelnemers in beide samenwerkingsverbanden bij de betreffende gegevensverwerking betrokken zijn of zijn geweest (artikel 1.10, eerste lid, onder a, concept-BGS). Na een hit mogen een Zorg- en Veiligheidshuis en een Regionaal Informatie- en Expertisecentrum gegevens uitwisselen die noodzakelijk zijn om afspraken over interventies van de deelnemers in de beide samenwerkingsverbanden op elkaar af te stemmen (artikel 1.10, eerste lid, onder b). Hetzelfde geldt voor een Regionaal Informatie- en Expertisecentrum en het Financieel Expertisecentrum (artikel 1.10, eerste lid, onder c).
Vraag 25 (PvdA) – toets door onafhankelijke bestuurlijke autoriteit bij verstrekking aan derden
De leden van de PvdA-fractie lezen dat de AP adviseert om bij verstrekking van gegevens door het samenwerkingsverband aan derden te voorzien in de waarborg van een voorafgaande toets door een onafhankelijke bestuurlijke autoriteit. De AP baseert zich daarbij volgens de Minister ten onrechte op bindend advies van het Hof van Justitie. Het moge zo zijn dat dat advies inderdaad in het verband van de WGS niet van belang is, maar dat neemt niet weg dat volgens de AP niet vaststaat dat de rechtmatigheidsadviescommissies onafhankelijk genoeg zijn en dat er een onafhankelijke bestuurlijke autoriteit nodig is om een voorafgaande toets te doen voor de verstrekking van gegevens aan derden. Kan de Minister hier inhoudelijk op ingaan? Waarom komt de Minister niet tegemoet aan dit advies van de AP?
Graag verwijst de regering naar onderdeel 9 (Toets door onafhankelijke bestuurlijke autoriteit bij verstrekking aan derden) van de bijlage bij de Kamerbrief van 17 december 2021. Zoals daarin is gemotiveerd, gaat de vergelijking met de situatie waarover het bindend advies van het Hof van Justitie gaat, niet op, zodat hieruit geen conclusies behoeven te worden overgenomen. Dat laat onverlet dat het wenselijk is dat de rechtmatigheidsadviescommissie een stevige positie krijgt en dat een eventuele afwijking van een advies moet worden gedocumenteerd en gerapporteerd.
Daarom wordt de positie van de rechtmatigheidsadviescommissies verder versterkt in het concept-BGS:
Een rechtmatigheidsadviescommissie is bevoegd rechtstreeks te adviseren aan de bestuurders van de deelnemers in het bestuurlijk gremium dat het samenwerkingsverband aanstuurt, zonder tussenkomst van een managementteam van een samenwerkingsverband. Dit is in artikel 1.13, tweede lid, van het concept-BGS opgenomen. Hierin komt de onafhankelijke rol tot uiting.
De bestuurlijke gremia van waaruit het samenwerkingsverband wordt bestuurd mogen uitsluitend beargumenteerd afwijken van een advies van de rechtmatigheidsadviescommissie (artikel 1.13, zesde lid, van het concept-BGS). Dit betekent dat de bestuurders moeten motiveren waarom wordt afgeweken van het betreffende advies en welke risico-inschatting zij daaraan verbinden. Dit moet worden gedocumenteerd en gerapporteerd aan de rechtmatigheidsadviescommissie en de coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband. Dit is opgenomen in artikel 1.13, zesde lid, van het concept-BGS. Het is van belang te zorgen voor transparantie, dat afwijking van de adviezen traceerbaar is, en dat later door de (coördinerend) functionaris voor gegevensbescherming of in de privacy audits kan worden onderzocht hoe de afwijking heeft uitgepakt.
De leden van de rechtmatigheidsadviescommissie moeten beschikken over relevante deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel 1.14, eerste lid, van het concept-BGS). Het is immers van belang dat organisaties leden aanwijzen die een bepaalde zwaarte/functie hebben zodat zij in staat zijn adviezen uit te brengen die wellicht niet altijd in lijn liggen met de bestuurlijke wens, maar echt sec zien op de rechtmatigheid van hetgeen voorvalt.
Vraag 26 (SP) – verstrekkingsplicht wijzigen in bevoegdheid
Net als de AP nu, vroegen de leden van de SP-fractie bij de plenaire behandeling van de WGS aandacht voor het gegeven dat deelnemers aan samenwerkingsverbanden door de regering worden verplicht om gegevens te delen. Zij kunnen slechts besluiten géén gegevens te delen als zij daar zwaarwegende redenen voor hebben. Deze leden vragen, wederom, waarom dit nodig is. Ziet de Minister het risico dat, zeker door de beperkte mogelijkheid tot het niet delen van gegevens (namelijk slechts bij zwaarwegende redenen) de mogelijkheid tot het leveren van maatwerk uit het oog verloren wordt? Is zij alsnog bereid om het verstrekken van gegevens optioneel in plaats van verplicht te maken of in ieder geval het gedeelte «zwaarwegend» te laten vallen? Zo nee, waarom niet?
Zoals opgemerkt in punt 11 van de bijlage bij de Kamerbrief van 17 december 2021, kan dit advies niet worden overgenomen, om de redenen die zijn genoemd in de memorie van toelichting19 en de nota naar aanleiding van het verslag.20 Voor een verstrekkingsplicht is gekozen om te benadrukken dat de samenwerking niet vrijblijvend kan zijn, maar de plicht is niet absoluut: iedere deelnemer heeft enige beoordelingsruimte bij het bepalen welke gegevens noodzakelijk zijn voor het samenwerkingsverband, en kan wegens zwaarwegende redenen afzien van verstrekking.
Vraag 27 (D66) – toegang van private partijen tot gegevens
De leden van de D66-fractie vernemen dat de AP zeer kritisch is over het delen van gegevens met private partijen. De Minister verwijst enkel naar nog te verschijnen AMvB’s om deze zorgen weg te nemen. Waarom wordt dit niet opgenomen in het wetsvoorstel? Acht de Minister de wel opgenomen beperkingen niet veel te vaag en te allesomvattend, zoals «indien het doel van het samenwerkingsverband redelijkerwijs niet kan worden bereikt zonder deelname van deze private partij (…)»? Wie ziet erop toe dat hieraan wordt voldaan? Hoe kan worden bewezen dat het desbetreffende doel wél mogelijk was zonder de tussenkomst van een private partij als deze al deel uit maakt van het samenwerkingsverband? Is dit überhaupt te bewijzen volgens de Minister?
In deze vraag is gedoeld op artikel 1.3, derde lid, WGS, dat bepaalt dat aanwijzing van een private partij als deelnemer kan geschieden, indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij en indien tevens overheidsinstanties of overheidsorganen deelnemen. Artikel 1.3, derde lid, WGS is een randvoorwaarde voor aanwijzing van private partijen als deelnemer, maar biedt geen grondslag voor samenwerkingsverbanden om zelf private partijen toe te voegen. De deelnemers aan de samenwerkingsverbanden zijn de bij of krachtens de WGS aangewezen overheidsinstanties, overheidsorganen en private partijen, aldus artikel 1.3, eerste lid, WGS. Indien (al dan niet private) deelnemers worden toegevoegd bij amvb, moet zowel een voorhangprocedure als een bijzondere nahangprocedure worden gevolgd, als gevolg van het amendement van het lid Kuiken21 en het amendement van het lid Van Nispen22. Dit is opgenomen in de artikelen 2.3, 2.11, 2.19 en 2.27 WGS. Dit bewerkstelligt dat uw Kamer tweemaal de kans krijgt om zich uit te spreken over de aanwijzing van nieuwe (al dan niet private) deelnemers bij amvb, en een dergelijke aanwijzing kan tegenhouden. In het concept-BGS worden alleen bij het FEC private deelnemers toegevoegd (artikel 2.2), om te zorgen dat de private partijen die nu al in het FEC participeren dat kunnen blijven doen. Dit betreft bij ministeriële regeling aan te wijzen banken, waarmee publiek-private samenwerking nodig is ten behoeve van het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering. Voor een nadere toelichting op de beperkingen voor deelname van private partijen wordt verwezen naar het antwoord op vraag 69 van de D66-fractie in de nota naar aanleiding van het verslag.23
Een belangrijke randvoorwaarde is verder dat de resultaten van de gegevensverwerking door het samenwerkingsverband uitsluitend mogen worden gebruikt voor doeleinden die verenigbaar zijn met het doel van het samenwerkingsverband (artikel 1.7 WGS, tweede lid, aanhef en onder b). Zoals toegelicht in de nota naar aanleiding van het verslag, is hiervan doorgaans uitsluitend sprake indien de private partij een publiek belang behartigt, bijvoorbeeld door publiek-private samenwerking om criminaliteit aan te pakken.24 Daarbij is opgemerkt dat commerciële doeleinden daarentegen onverenigbaar zijn met de doeleinden van de samenwerkingsverbanden die worden aangewezen bij of krachtens dit wetsvoorstel.25
3. Waarborgen
Vraag 28 (D66) – normering waarborgen bij amvb
Allereerst willen deze leden benadrukken dat het belang wordt ingezien van gegevensuitwisseling tussen instanties. De leden van de D66-fractie maken zich echter met name zorgen over de wettelijke normering, die nog vrijwel geheel bij AMvB moet plaats vinden. Acht de Minister dit geen risico voor transparantie en rechtszekerheid? Dit staat ook in tegenstelling tot het in december jl. vastgestelde coalitieakkoord (bijlage bij Kamerstuk 35 788, nr. 77) waarbij is vastgelegd dat waarborgen bij gegevensuitwisselingen in de wet verankerd moeten worden. Tevens stelt het coalitieakkoord dat de overheid zelf het goede voorbeeld moet geven door dataminimalisatie. De leden vragen de Minister te reflecteren op hoe het huidige voorliggende wetsvoorstel dat nu in de Eerste Kamer ligt zich verhoudt tot het coalitieakkoord.
Allereerst is van belang dát de waarborgen nu vastgelegd worden, zodat duidelijk is voor de deelnemers aan de samenwerkingsverbanden en de burger, waar de samenwerkingsverbanden aan moeten voldoen. Dat veel van de waarborgen bij amvb worden uitgewerkt, doet daaraan niet af. Artikel 10 van de Grondwet staat de wetgever ook toe om regels met betrekking tot de beperking van het recht op eerbiediging van de persoonlijke levenssfeer bij of krachtens de wet te stellen. De hoofdelementen van de gezamenlijke gegevensverwerking voor de samenwerkingsverbanden zijn opgenomen in de formele wet: het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij onder welke randvoorwaarden mogen verwerken, en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. De Afdeling advisering stelt in haar voorlichting dat het gewijzigde voorstel nu wel diverse wezenlijke elementen en begrenzingen van de wettelijke regeling op het niveau van de formele wet bevat, als het gaat om de in het wetsvoorstel zelf geregelde samenwerkingsverbanden. Volgens de Afdeling advisering doet daaraan niet af dat bepaalde aspecten bij amvb nader geregeld worden, want de grondwetgever heeft in artikel 10, eerste lid, van de Grondwet delegatie toegestaan.26 Gelet op de behoefte uit de praktijk aan flexibiliteit acht ik het wenselijk om bepaalde aspecten bij amvb nader te regelen.27
Dat er bij amvb nadere regels worden gesteld, laat onverlet dat de transparantie en rechtszekerheid worden bevorderd doordat er sprake is van slechts één amvb, te weten het concept-BGS. Deze kent dezelfde indeling en volgorde als de WGS. In de toelichting wordt telkens de samenhang met de betreffende artikelen uit de WGS vermeld. Uiteraard is van belang dat er passende opleidingen en trainingen plaatsvinden zodat elke deelnemer de waarborgen in de amvb kent. Daartoe verplicht artikel 1.17 van het concept-BGS. Een nadere uitwerking in de amvb zorgt ervoor dat er flexibel ingespeeld kan worden op ontwikkelingen op het gebied van informatieverwerking, data-analyse en waarborgen rondom dataverwerkingen. De ontwikkelingen op deze gebieden gaan snel.
De WGS en het BGS bevatten een reeks aan nieuwe en belangrijke waarborgen om de bescherming van persoonsgegevens te versterken. Hiermee is tevens beoogd om invulling te geven aan het coalitieakkoord. Deze waarborgen – weergegeven in het onderstaande schema – hebben grote toegevoegde waarde, of het nu gaat om dataminimalisatie of de andere basisbeginselen van gegevensverwerking uit de AVG.
Toezicht en rechtmatigheid | |
Rechtmatigheidsadviescommissies voor de structurele beoordeling van nieuwe en gewijzigde verwerkingen en met aandacht voor het tegengaan van discriminatierisico’s | Art. 1.8, zesde lid, WGS en art. 1.13, 1.14, 1.15 concept-BGS |
Onafhankelijke privacy audits voor rechtmatigheidscontrole, waarvan de resultaten aan de AP moeten worden gezonden | Art. 1.10 WGS en art. 1.18 concept-BGS |
Coördinerend functionaris gegevensbescherming | Art. 1.4, tweede lid, WGS |
Uitsluitend verstrekking van rechtmatig verwerkte gegevens | Art. 1.5 concept-BGS |
Onafhankelijk toezicht en handhaving door de AP i.v.m. naleving WGS, BGS en AVG (o.a. corrigerende maatregelen, bestuursdwang, dwangsom of bestuurlijke boetes) | Art. 6, derde lid, 15, 16, 18 Uitvoeringswet AVG, art. 58 en 83 AVG, art. 5:32 Awb |
Dataminimalisatie en opslagbeperking | |
Limitatieve opsomming welke categorieën gegevens de deelnemers gezamenlijk mogen verwerken | Art. 2.4, 2.12, 2.22, 2.30 WGS en art. 2.15 concept-BGS |
Termijn voor vernietiging of anonimisering van de verwerkte persoonsgegevens: 5 jaar, met beperkte uitzondering | Art. 1.8, zevende lid, WGS en art. 1.16 concept-BGS |
Geen gegevens over nationaliteit, met beperkte uitzondering | Art. 1.9 concept-BGS |
Doelbinding | |
Omschrijving doeleinden samenwerkingsverbanden, telkens met koppeling aan noodzaak voor de taken van deelnemers | Art. 2.2, 2.10, 2.17, 2.25 WGS |
Passende organisatorische maatregelen voor doelbinding | Art. 1.8, vijfde lid, WGS |
Gegevensverwerking uitsluitend toegestaan na duidelijke en objectieve aanwijzingen van risico’s in verband met het doel van het samenwerkingsverband | Art. 2.4, 2.8, 2.11, 2.16 en 2.20 concept-BGS |
Verstrekking resultaten mag alleen voor verenigbaar doel | Art. 1.7 WGS |
Kwaliteit en juistheid | |
Plicht tot opleidingen en trainingen over gegevensverwerking | Art. 1.17 concept-BGS |
Verplichting om zorg te dragen voor juiste persoonsgegevens | Art. 5, eerste lid, onder a, AVG |
Verplichting voor deelnemer om de bij een signaal, verzoek of casus te verstrekken gegevens vooraf te toetsen op juistheid en kwaliteit | Artikel 1.6 concept-BGS |
Verantwoordelijkheidsverdeling voor correctie onjuistheden en terugmeldingsplicht van onjuistheden aan de bronhouder | Art. 1.7 concept-BGS |
Verplichting tot toetsen feitelijke juistheid en kwaliteit van gegevens die bij het resultaat worden verstrekt | Art. 1.8, eerste lid, concept-BGS |
Motiveringsplicht op basis van welke informatie sturingsinformatie of een interventieadvies tot stand komt | Art. 1.8, tweede lid, concept-BGS |
Verplichting om de resultaten periodiek te evalueren op bruikbaarheid en effectiviteit | Art. 1.7, vierde en vijfde lid, WGS |
Integriteit en vertrouwelijkheid | |
Verplichting tot adequaat beveiligingsniveau | Art. 32 AVG |
Vereisten aan de screening van medewerkers | Art. 1.8, derde lid, WGS en art. 1.11 concept-BGS |
Binding aan Baseline Informatiebeveiliging Overheid (BIO) | Art. 1.8, achtste lid, WGS |
Limitatieve omschrijving van degenen die autorisaties krijgen tot de systemen | Art. 1.8, tweede lid, WGS |
Plicht tot periodieke beoordeling van de autorisaties | Art. 1.8, achtste lid, WGS en §9.2.5, 9.2.5.2 en 9.2.5.3 BIO |
Verplichting tot logging, zodat controleerbaar is of de gegevensverwerking rechtmatig is, onder meer in de audits. | Art. 1.8, vierde lid, WGS en art. 1.12 concept-BGS |
Geheimhoudingsplicht | Art. 1.11 WGS |
Aanwijzing contactpunt voor nakoming meldplicht datalekken | Art. 1.3 concept-BGS |
Transparantie | |
Informeren betrokkene over gegevensverwerking | Art. 14 AVG |
Een contactpunt dat betrokkenen informeert | Art. 1.3 concept-BGS |
Jaarverslag van het samenwerkingsverband, met daarin een verantwoording van de effectiviteit en bruikbaarheid van de gegevensverwerking | Art. 1.12 WGS |
Rechtsbescherming | |
Aanwijzing van een contactpunt binnen het samenwerkingsverband waar betrokkenen hun rechten op grond van hoofdstuk III AVG kunnen uitoefenen, zoals verzoeken om inzage, correctie of gegevenswissing | Art. 1.4, vierde lid, WGS en art. 1.2 concept-BGS |
Mogelijkheid bezwaar/beroep tegen besluit van contactpunt op AVG-verzoek (doeltreffende voorziening in rechte) | Art. 1.2 concept-BGS, art. 34 Uitvoeringswet AVG, hfd. 8 Awb en art. 79 AVG |
Mogelijkheid van een klacht bij de AP (handhavingsverzoek) | Art. 77 AVG |
Aanvullende waarborgen bij geautomatiseerde gegevensanalyse | |
Plicht tot adequate, uniforme technische en organisatorische maatregelen voor de kwaliteit, juistheid en volledigheid | Art. 1.9, eerste lid, WGS |
Verplichting tot menselijke tussenkomst vóórdat een resultaat van de analyse wordt verstrekt, waarbij het wordt getoetst op zorgvuldigheid van wijze van totstandkoming | Art. 1.9, tweede lid, WGS |
Verplichting tot uitleg over gehanteerde patronen, indicatoren of andere onderliggende logica | Art. 1.9, derde lid, WGS |
Verplichting tot pseudonimisering | Art. 1.9, vijfde lid, WGS en art. 2.12 concept-BGS |
Verbod op algoritmes waarvan de uitkomsten niet navolgbaar en controleerbaar zijn | Art. 1.9, zesde lid, WGS |
Nadere waarborgen geautomatiseerde gegevensanalyse iCOV | Art. 2.9 – 2.12 concept-BGS |
Vraag 29 (D66) – doelbinding
De leden van de D66-fractie lezen dat de AP stelt dat de Algemene verordening gegevensbescherming (AVG) uitzonderingen op het doelbindingsbeginsel slechts beperkt toelaatbaar zijn, zoals ook door de wetgever herhaaldelijk is bevestigd. Mensen verstrekken gegevens gericht op een bepaald doel en verwachten dan ook dat (volgens de wet) de gegevens niet zomaar voor andere doeleinden worden gebruikt. In het coalitieakkoord is vastgelegd dat voor gegevensuitwisseling grondslagen met de juiste waarborgen, waarbij expliciet doelbinding wordt genoemd, verankerd moeten worden in de wet. Is de Minister het eens dat de abstracte formulering van zowel categorieën als precisering hiervan per AMvB op deze wijze niet voldoen aan de afspraken gemaakt in het coalitieakkoord? Is de Minister het met de aan het woord zijnde leden eens dat er onvoldoende specificering en inkadering zit aan het doel waarvoor gegevens gebruikt morgen worden, en dat dus van het doelbindingsbeginsel nog nauwelijks kan worden gesproken? Zo nee, is de Minister het dan eens dat deze waarborgen te beperkt zijn verwerkt in het wetsvoorstel zelf, maar steunen op nog nadere invulling?
Zoals de Afdeling advisering in haar voorlichting heeft onderkend, is een zeker abstractieniveau bij de doelomschrijvingen onvermijdelijk. Daarom is een zorgvuldige uitvoeringspraktijk cruciaal om in concrete gevallen telkens te bezien of en op welke wijze aan het doelbindingsbeginsel kan worden voldaan.28 De gezamenlijke gegevensverwerking door een samenwerkingsverband moet te allen tijde passen binnen de in het wetsvoorstel omschreven doelomschrijvingen. Die doelomschrijvingen vergen mede dat de gezamenlijke gegevensverwerking noodzakelijk is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers.29 Bij amvb zijn nadere preciseringen voorzien van de gegevensverwerkingen, onder meer voor wat betreft de concretisering van het startpunt van de gegevensverwerking in elk samenwerkingsverband. Gegevensverwerking is uitsluitend toegestaan na objectieve en duidelijke aanwijzingen van risico’s in verband met het doel van het samenwerkingsverband. Waar mogelijk zijn ook de te verstrekken categorieën persoonsgegevens geconcretiseerd (artikel 2.15 concept-BGS). Wanneer alle voorwaarden en waarborgen in samenhang worden bezien, zie ik voldoende specificering en inkadering van het doel waarvoor gegevens mogen worden gebruikt.
Daarbij moet tevens worden bedacht dat de eisen die de AVG stelt aan de verwerking van persoonsgegevens onverkort gelden onder de WGS. Bij elke verwerking van persoonsgegevens moeten de deelnemers van een samenwerkingsverband toetsen of de verwerking noodzakelijk is met het oog op het doel waarvoor zij gezamenlijk gegevens mogen verwerken. Elke separate persoonsgegevensverwerking moet voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking. Onderdeel daarvan is ook dat in ieder geval in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband, alsook welke deelnemers op welk moment betrokken moeten worden en dus in een voorkomend geval gerechtigd zijn gezamenlijk gegevens te verwerken.
Vraag 30 (Volt) – beginselen van doelbinding en dataminimalisatie
Het blijft ook nog onduidelijk waar de grenzen van het doelbindingsbeginsel en het beginsel van minimale gegevensverwerking ligt met betrekking tot de samenwerkingsverbanden. Kan de Minister dit nader toelichten?
Verwezen wordt naar het antwoord op de beide vorige vragen.
Vraag 31 (Volt) – proportionaliteit en subsidiariteit van gegevensdeling
Tot slot zouden deze leden van de Volt-fractie graag van de Minister horen op welke manier de gegevensdeling, die wordt opgetuigd via de WGS, concreet bijdraagt aan de gestelde doelen van het wetsvoorstel. Deze leden verzoeken om daarbij specifiek in te gaan op de evenredigheid. Is het middel proportioneel? Welke andere middelen kunnen worden ingezet om het doel te bereiken en waarom worden die niet gebruikt?
De eisen die de AVG stelt aan de verwerking van persoonsgegevens gelden onverkort onder de WGS. Bij elke verwerking van persoonsgegevens moeten de deelnemers van een samenwerkingsverband toetsen of de verwerking noodzakelijk is met het oog op het doel waarvoor zij gezamenlijk gegevens mogen verwerken. Elke separate persoonsgegevensverwerking moet voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking. Onderdeel daarvan is ook dat in ieder geval in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband, alsook welke deelnemers op welk moment betrokken moeten worden en dus in een voorkomend geval gerechtigd zijn gezamenlijk gegevens te verwerken.
4. Geautomatiseerde gegevensanalyse
Vraag 32 (D66) – zelflerende algoritmes
Het gebruik van zelflerende algoritmes kan grote impact hebben op kwetsbare groepen. Betekent «een zorgvuldig gebruik van algoritmes» dat er altijd een menselijke beoordeling is voordat er een uitkomst wordt vastgesteld?
Kenmerkend voor niet-zelflerende algoritmen is dat de mens zelf specificeert hoe de computer moet werken. Artikel 1.9, zesde lid, WGS verbiedt om algoritmes te hanteren waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. Door onder andere kunstmatige intelligentie volgen zelflerende algoritmes geen vooraf bepaalde set van regels maar maken ze gebruik van zelflerende statistische technieken. Daardoor zijn de beslissingen die een zelflerend algoritme maakt voor de mens haast ondoorgrondelijk. Wanneer gebruik is gemaakt van zelflerende algoritmes is de toets hoe de uitkomsten tot stand zijn gekomen nagenoeg onmogelijk.
Artikel 1.9, tweede lid, van de WGS vereist menselijke tussenkomst voordat een resultaat van een geautomatiseerde gegevensanalyse wordt verstrekt. Voor zover de WGS en de amvb een grondslag bieden voor geautomatiseerde gegevensanalyse – namelijk alleen bij de themarapportages van iCOV – is geen sprake van zelflerende algoritmen of kunstmatige intelligentie, aangezien de mens moet specificeren welke indicatoren worden gebruikt, hoe deze worden toegepast op de data en hoe deze vervolgens weergegeven worden in een rapportage. De algoritmes die iCOV gebruikt zijn beschrijvend van aard. Met andere woorden: iCOV stelt vooraf gedefinieerde ofwel gestandaardiseerde vragen aan de data die een navolgbaar en controleerbaar resultaat opleveren. De gebruikte indicatoren worden door de mens gespecificeerd op basis van wetenschappelijk onderzoek, expertsessies en/of statistische validatie. De mens beslist hoe de indicatoren worden geoperationaliseerd in de data en hoe zij worden weergegeven in de rapportage. Dit volgt uit de artikelen 2.9, tweede lid, en 2.10 van het concept-BGS en artikel 1.9, tweede lid, van het wetsvoorstel (verplichting tot menselijke tussenkomst).
Vraag 33 (PvdA) – menselijke tussenkomst bij geautomatiseerde gegevensanalyse
De leden van de PvdA-fractie lezen dat het wetsvoorstel inzake geautomatiseerde gegevensanalyses onder andere een «verplichting tot menselijke tussenkomst om te controleren op zorgvuldige totstandkoming van resultaten». Kan de Minister concreet aangeven waaruit de menselijke tussenkomst moet gaan bestaan en op welke momenten die moet plaatsvinden?
Geautomatiseerde gegevensanalyse is volgens artikel 1.1 WGS een analyse van persoonsgegevens waarbij tijdens de analyse geen menselijke tussenkomst plaatsvindt.30 De gegevensanalyse wordt dus daadwerkelijk door een geautomatiseerd systeem uitgevoerd. Het wetsvoorstel vereist wel dat er menselijke tussenkomst plaatsvindt in de fase nadat de analyse is voltooid maar voordat de resultaten worden verstrekt aan de deelnemer van het samenwerkingsverband. Daarbij moet gecontroleerd worden op zorgvuldige totstandkoming van de analyse (artikel 1.9, tweede lid, WGS).
Welke vormen van geautomatiseerde gegevensanalyse mogelijk zijn, kan verschillen per samenwerkingsverband en wordt in de amvb nader uitgewerkt.
Alleen aan iCOV geeft het wetsvoorstel de bevoegdheid tot gezamenlijke geautomatiseerde gegevensanalyse (artikel 2.13). Deze bevoegdheid is uitgewerkt in artikel 2.9 tot en met 2.12 van het concept-BGS. Het gaat dan om de geautomatiseerde gegevensanalyse van gegevensbestanden ten behoeve van een iCOV themarapportage, waarbij de analyse van de data door middel van (beschrijvende) algoritmen plaatsvindt en niet alleen door menselijke duiding. De iCOV themarapportage bestaat feitelijk uit een eerste deel, dat geautomatiseerd tot stand is gekomen, en een tweede deel met handmatige hoofdstukken, waarin de rapporteur menselijke duiding geeft. Hierbij wordt ook uitgelegd hoe de resultaten tot stand zijn gekomen. Voordat de rapportage verstrekt wordt, wordt de rapportage door meerdere medewerkers gecontroleerd.
Ook voorafgaand aan de geautomatiseerde gegevensanalyse is voorzien in menselijke tussenkomst. De rechtmatigheidsadviescommissie beoordeelt de te hanteren indicatoren, verwerkingsmethode en gegevens; dit geschiedt aan de hand van een door deelnemers van iCOV op te stellen productbeschrijving. Daarin moeten zij het thema, de indicatoren en de methode beschrijven en verantwoorden (artikel 2.9, tweede lid, concept-BGS).
Vraag 34 (PvdA) – verbod op algoritmen met onnavolgbare, oncontroleerbare uitkomsten
Hoe en door wie wordt het «verbod op algoritmen waarvan de uitkomsten niet navolgbaar en controleerbaar zijn» gehandhaafd? Is de AP de daarvoor aangewezen instantie en heeft die inmiddels wel voldoende capaciteit om deze taak te kunnen uitvoeren?
Artikel 1.9, zesde lid, WGS, verbiedt om algoritmes te hanteren waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. Hierop is allereerst het toezicht van toepassing dat van toepassing is op de naleving van alle bepalingen van het wetsvoorstel, inclusief het toezicht door de AP. Hierop is nader ingegaan in antwoord op vraag 40 (D66) – toezicht en op vraag 41 (D66) – capaciteit AP. Bovendien voorziet het wetsvoorstel in diverse terugkoppelings- en evaluatiemechanismen van de gegevensverwerkingen:
De ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband zijn verplicht ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van die resultaten was (artikel 1.7, vierde lid, wetsvoorstel).
De deelnemers van een samenwerkingsverband moeten een periodieke evaluatie op basis van deze terugkoppeling uitvoeren (artikel 1.7, vijfde lid, wetsvoorstel).
In onafhankelijke privacy audits moet periodiek worden onderzocht of men voldoet aan de AVG en de WGS; de resultaten gaan in afschrift naar de AP (artikel 1.10 wetsvoorstel).
Er moet een jaarverslag worden gepubliceerd met een terugkoppeling over de bruikbaarheid van de resultaten die partijen van het samenwerkingsverband hebben ontvangen (artikel 1.12 wetsvoorstel).
Een evaluatie van de doeltreffendheid en effecten van de wet in de praktijk moet binnen vijf jaar plaatsvinden (artikel 5.1 wetsvoorstel).
De indicatoren worden opgesteld op basis van wetenschappelijke kennis, statistische validatie en expertkennis (artikel 2.10 concept-BGS).
De rechtmatigheidsadviescommissie geeft verplicht advies aan de deelnemers over onder meer de indicatoren en verwerkingsmethode (artikel 2.9, tweede lid, concept-BGS).
Vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse
Hoe wordt de «verplichting tot uitleg op toegankelijke wijze aan het publiek over de gehanteerde patronen, indicatoren en andere onderliggende logica» concreet uitgevoerd en gehandhaafd?
Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet het samenwerkingsverband op toegankelijke wijze op eigen initiatief uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica (artikel 1.9, derde lid, WGS).
«Op toegankelijke wijze» uitleg geven wil zeggen dat men weinig moeite hoeft te doen om toegang tot de informatie te krijgen. Opneming daarvan in een privacystatement op de eigen website met een duidelijke link op de homepage kan daaraan bijdragen.
Concreet betekent dit dat een iCOV-themarapportage pas door de deelnemers aan iCOV kan worden aangevraagd als de vereiste uitleg is gepubliceerd op de website van iCOV. In overleg met de deelnemers en de rechtmatigheidsadviescommissie wordt een tekst opgesteld met de beschrijving van de themarapportage. Om te voorkomen dat criminelen hun gedrag aanpassen als ze weten welke indicatoren gebruikt worden, kan op de website van iCOV geen gedetailleerde beschrijving worden gegeven van de indicatoren. Zoals toegelicht in de nota naar aanleiding van het verslag, betekent artikel 1.9, derde lid, WGS bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, dat variabelen bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd worden. Te denken valt aan het aantal hypotheken op één naam, omdat een groot aantal hypotheken op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie. De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden.31
Of de verplichting tot uitleg wordt nagekomen kan worden onderzocht in de verplichte onafhankelijke privacy audits en door de Autoriteit Persoonsgegevens en de functionarissen voor gegevensbescherming. De Autoriteit Persoonsgegevens kan zo nodig handhavend optreden.
Vraag 36 (Volt) – controle op risico-indicatoren geautomatiseerde gegevensanalyse
Kan de Minister toelichten hoe de Kamer, of de relevante toezichthouder, in staat zal worden gesteld om te controleren welke risico-indicatoren worden gebruikt bij deze geautomatiseerde gegevensanalyse?
Meer gedetailleerde informatie over de gebruikte indicatoren bij geautomatiseerde gegevensanalyse kan in een vertrouwelijke setting met uw Kamer worden gedeeld. De relevante toezichthouder, de Autoriteit Persoonsgegevens, is belast met het toezicht op de naleving van de WGS op grond van de artikelen 6, derde lid, en 15, eerste lid, Uitvoeringswet AVG. Op grond van artikel 5:17 Algemene wet bestuursrecht kan de AP ter uitvoering van haar toezichttaak inzage vorderen van zakelijke gegevens en bescheiden. Dit betekent dat de AP dan kennis kan nemen van een gedetailleerde beschrijving en verantwoording van de gebruikte indicatoren.
Vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI
Vooralsnog is geen uitvoering gegeven aan de moties die zien op het verplichten van algoritmeregisters en blijkt nog te vaak dat uitvoeringsorganisaties onvoldoende zicht hebben op de algoritmes en IT-systemen die worden gebruikt om geautomatiseerde gegevensanalyse uit te voeren. Uit een rapport van de Algemene Rekenkamer blijkt dat vrijwel geen enkel ministerie een goed beeld heeft van de AI die het ministerie zelf gebruikt.32 Kan de Minister toelichten hoe ervoor gezorgd zal worden dat de gegevensverwerking en de gebruikte IT-systemen te controleren zijn?
Het kabinet is bezig met de opzet en inrichting van het algoritmeregister. Daarbij wordt dankbaar gebruik gemaakt van ervaringen met recent opgezette bestaande algoritmeregisters (zoals die van de gemeenten Amsterdam, Utrecht en Rotterdam). Die laten zien dat het belangrijk is om transparant te zijn over het gebruik en de impact van algoritmen en dat het moet gaan om algoritmen met aanmerkelijke impact op burgers. Zoals de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties op 4 juli 2022 aan uw Kamer heeft geschreven, heeft zij met de CIO’s van de Rijksdienst afgesproken dat zij beginnen met het in het kaart brengen van hun algoritmen en maakt zij met medeoverheden en uitvoeringsorganisaties afspraken over eenduidige registratie van algoritmen.33
Zoals nader is toegelicht in de brief publieke controle op algoritmen aan uw Kamer van 7 oktober 2022, vindt de uitwerking van het algoritmeregister komend jaar plaats in nauwe samenwerking met overheden en experts.34 Een registratieverplichting volgt later, want die moet in samenhang bezien worden met de Europese AI verordening die zich op dit moment nog in de onderhandelingsfase bevindt. Deze bevat onder andere een rechtstreeks werkende verplichting voor de aanbieders van hoog-risico AI-systemen om het systeem te registreren in een EU-databank inclusief informatie over het systeem. Deze registratie dient te gebeuren voordat een aanbieder het systeem op de markt brengt of onder eigen naam het systeem in gebruik neemt. Daarnaast is tijdens de raadsonderhandelingen over de AI-verordening, mede door de Nederlandse inzet, ook een registratieverplichting opgenomen voor de gebruikers van hoog-risico AI-systemen.
Volgens het wetsvoorstel en het concept-BGS kan alleen iCOV gebruik maken van geautomatiseerde gegevensanalyse. Voordat rapportages met deze vorm van analyse verstrekt kunnen worden, moet een productbeschrijving opgesteld worden waarin het gehanteerde thema, de indicatoren en de methode worden beschreven en verantwoord (artikel 2.9, tweede lid, concept-BGS). Bovendien moet iCOV op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica. Hiermee is er dus inzicht in de gehanteerde algoritmen.
Vraag 38 (Volt) – algoritmetoezichthouder
Op basis van welke regels moet de nog op te richten algoritme-waakhond toezicht houden?
Dit kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmetoezichthouder die is ondergebracht bij de Autoriteit Persoonsgegevens. Het kabinet beraadt zich nog op de nadere invulling van deze algoritme toezichtstaak. Voor het kerstreces ontvangt u hierover een brief.
Vraag 39 (Volt) – algoritmeregisters
Wanneer wordt gestart met de openbare algoritmeregisters?
Verwezen wordt naar het antwoord op vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI.
5. Toezicht
Vraag 40 (D66) – toezicht
De leden van de D66-fractie horen graag van de Minister hoe het toezicht geregeld is op de WGS.
Het toezicht op de gegevensverwerking bij de samenwerkingsverbanden in de zin van de WGS is op verschillende manieren geborgd:
De in te stellen rechtmatigheidsadviescommissie zal ingevolge het voorgestelde artikel 1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. In het concept-BGS is voorzien dat een rechtmatigheidsadviescommissie moet bestaan uit door de deelnemers aan een samenwerkingsverband benoemde personen met deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel 1.14, eerste lid, concept-BGS).
Op basis van artikel 1.10 van het wetsvoorstel dient periodiek een onafhankelijke privacy-audit plaats te vinden. Zo wordt elk samenwerkingsverband periodiek doorgelicht op compliance met de AVG, de WGS en het BGS. De resultaten van de privacy audits moeten worden toegezonden aan de AP.
De functionarissen voor gegevensbescherming van de afzonderlijke deelnemers hebben het recht om te allen tijde de taken uit te voeren die op grond van de privacywetgeving aan hen zijn toebedeeld. In aanvulling daarop wordt ingevolge het voorgestelde artikel 1.4, tweede lid, WGS één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties aangewezen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Dit laat de bevoegdheden van de functionarissen onverlet, maar moet de coördinatie bevorderen van het bestaande toezicht door de functionarissen voor de gegevensbescherming. Zo moeten de deelnemers rapporteren aan de coördinerend functionaris voor de gegevensbescherming, indien zij besluiten af te wijken van een advies (artikel 1.13 concept-BGS).
Het toezicht op de naleving door het samenwerkingsverband van de AVG, de WGS en het BGS valt onder de bevoegdheid van de AP.
Het kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmetoezichthouder die is ondergebracht bij de AP.
Vraag 41 (D66) – capaciteit AP
Gezien een groot deel van de waarborgen later pas ingevuld wordt door middel van AmvB’s, kan de Minister aangeven of de AP voldoende capaciteit heeft voor de gegevensverwerking die op grote schaal zal toenemen met dit wetsvoorstel?
De AP heeft voldoende bevoegdheden om toezicht te houden op de gegevensdeling tussen bestuursorganen onderling. De algehele capaciteit van de AP is naar mijn mening voldoende voor het takenpakket dat zij heeft. Hoe de AP deze capaciteit verdeelt over de verschillende taken en aandachtsgebieden is aan de AP als onafhankelijke toezichthouder. Het budget van de AP bedraagt in 2022 bijna 26 miljoen euro. In het coalitieakkoord is bovendien extra budget voor de AP opgenomen. In 2022 gaat het om 2 miljoen euro extra. Vanaf 2025 gaat het om 8 miljoen euro structureel. De AP kan dit budget naar eigen inzicht besteden over zijn taken.
6. Overig
Vraag 42 (VVD) – gegevensuitwisseling in Italië
Deze leden stellen voorop dat voor een succesvolle aanpak van georganiseerde criminaliteit het cruciaal is dat verschillende instanties gegevens kunnen uitwisselen. Omdat veel verschillende organisaties bij deze gegevensuitwisseling moeten toetsen aan verschillende grondslagen, leidt dat tot vertraging, versnippering en onvolledigheid. Deze leden gaan er dan ook vanuit dat met de Wet gegevensverwerking door samenwerkingsverbanden (WGS) een goede grondslag wordt gecreëerd voor gegevensdeling, uiteraard met daarbij passende waarborgen. Deze leden wijzen hierbij voorts op het coalitieakkoord, waarin is opgenomen dat de aanpak van ondermijning wordt verstevigd door aanpassing van wetgeving, opsporing, straffen, gegevensuitwisseling en detentie, en dat hierbij lessen worden getrokken uit de bestrijding van de maffia in Italië. Kan de Minister aangeven op welke wijze lessen zullen worden getrokken wat betreft de gegevensuitwisseling die plaatsvindt in Italië? Wanneer wordt de Kamer hierover geïnformeerd?
In Italië vindt uitwisseling van informatie ten behoeve van de anti-maffia aanpak veelvuldig plaats. De opsporingsinstanties werken onderling en met het Openbaar Ministerie nauw en veelvuldig samen. Daarvoor zijn de nodige grondslagen voor gegevensdeling opgenomen in sectorale wetgeving, zoals die ook bij ons zijn opgenomen in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Aan de hand van deze wetten kan in de huidige Nederlandse strafrechtspraktijk voldoende. Kijkend naar Italië, valt de winst in Nederland vooral te boeken in het vormgeven van de samenwerking en de gezamenlijkheid van de (opsporings- en vervolgings-) strategie. Vaker dan nu het geval is, zal de focus van de opsporing gericht moeten zijn op het ontmantelen van gehele criminele machtsstructuren en niet enkel het vervolgen van criminelen. Op bestuursrechtelijk vlak wordt in Italië in het kader van de Anti-Maffia Code veelvuldig gebruik gemaakt van domeinoverstijgende informatie en worden vergunnings- en subsidiebeslissingen genomen op basis van gegevens vanuit verschillende overheidsorganisaties. Een soortgelijke aanpak van ondermijning vanuit de bestuursrechtelijke kant kennen wij ook in Nederland, in de vorm van de Wet Bibob en ons LIEC/RIEC-bestel. Gecombineerd met de mogelijkheden die de WGS straks zal kunnen bieden, zullen we op dit vlak niet achterlopen op de Italiaanse wijze van bestuursrechtelijke aanpak van georganiseerde criminaliteit. Over de wijze waarop ik uitwerking zal geven aan de coalitieambitie «Leren van de Italiaanse aanpak», wordt uw Kamer in het voorjaar van 2023 nader geïnformeerd.
Vraag 43 (SP) – reactie op brief Amnesty International
De leden van de SP-fractie wijzen ten slotte op de reactie van Amnesty International Nederland, die afgelopen week bij de Kamer binnenkwam. In de brief benoemt Amnesty International waarom de reactie van de Minister op de kritische adviezen onvoldoende is en niet tegemoetkomt aan de voornemens van het nieuwe kabinet dat «de grondslagen voor gegevensuitwisseling met de juiste waarborgen, zoals doelbinding en proportionaliteit, zijn verankerd in de wet en dat in adequaat toezicht is voorzien». Deze leden vragen of de Minister op de punten kan reageren die Amnesty in haar brief heeft benoemd.
Amnesty International stelt in haar brief aan de Tweede Kamer van 14 februari 2022 (niet gepubliceerd) dat om mensenrechten te beschermen aanpassingen noodzakelijk zijn in de in wet zelf, en dat het regelen van waarborgen niet moet worden uitgesteld tot het moment dat de amvb tot stand komt. In reactie hierop wordt opgemerkt dat. In reactie hierop wordt opgemerkt dat, om te voldoen aan het EVRM, sprake moet zijn van een wettelijk voorschrift in materiële zin. Dat kan ook een amvb zijn, zoals hier aan de orde is. Voor een nadere reactie verwijs ik naar het antwoord op vraag 28 (D66) – normering waarborgen bij amvb. Zoals uit de tabel in dat antwoord blijkt, bevat ook het wetsvoorstel zelf een reeks aan waarborgen, zodat naar mijn mening geen sprake is van uitstel, maar van aanvulling van waarborgen.
Verder stelt Amnesty International dat het doel van de gegevensverwerking niet voldoende specifiek is omschreven. Voor een reactie hierop verwijs ik naar het antwoord op vraag 29 (D66) – doelbinding.
Ook vindt Amnesty International dat de rechten van betrokkenen onvoldoende worden beschermd. Voor een reactie hierop wordt verwezen naar het antwoord op vraag 17 (Volt) – rechten van burgers en transparantie, vraag 15 (SP) – transparantie op casusniveau, vraag 18 (Volt) – waarborgen tegen discriminatie en vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering.
De brief van Amnesty International besluit ermee dat de democratische controle onvoldoende is verankerd bij het aanwijzen van nieuwe samenwerkingsverbanden, omdat het wetsvoorstel niet voorschrijft wanneer sprake is van spoed en wie dat zal beoordelen. Dit is aan bod gekomen in het antwoord op vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties en vraag 4 (SP) – over definitie spoed overleggen met de Kamers.
Vraag 44 (Volt) – betekenis WGS voor rechtmatigheid
In de verschillende brieven van de Minister komt naar voren dat het wetsvoorstel een belangrijke verbetering zal zijn in vergelijking met de huidige situatie. Dat klinkt positief, maar de leden van de Volt-fractie stellen de Minister de vraag wat dat precies betekent. Betekent het dat in de huidige situatie gegevens worden gedeeld zonder grondslag, dus onrechtmatig, of dat de gegevensdeling beter zal worden ingericht, dus in lijn met de AVG en zonder ongeoorloofde inbreuk te maken op grondrechten?
Het wetsvoorstel betekent dat een eind komt aan de situatie waarin gebruik moet worden gemaakt van grondslagen voor bilaterale gegevensverstrekking, met de bijbehorende keerzijden, zoals beschreven in de knelpuntenanalyse uit de memorie van toelichting.35 Zoals toegelicht in de nota naar aanleiding van het verslag, is het de regering niet gebleken dat er op dit moment samenwerkingsverbanden zijn die in strijd met de huidige wetgeving gegevens uitwisselen.36 Wel is het zo dat de bestaande wetgeving onvoldoende rekening houdt met de integrale werkwijze van deze samenwerkingsverbanden, waardoor zij nu kampen met versnippering, onvolledigheid, grote complexiteit in de gegevensuitwisseling, evenals onduidelijkheden omtrent de grondslagen. Daarom creëert het wetsvoorstel WGS heldere grondslagen voor multilaterale gegevensverwerking en voorziet het de huidige gegevensverwerkingen van een duidelijk juridisch kader.
Vraag 45 (Volt) – tijdpad amvb
Er moeten – zo blijkt uit de brief van de Minister – nog veel zaken worden uitgewerkt bij AMvB. Zou de Minister een tijdspad kunnen schetsen waarin wordt aangegeven wanneer deze AMvB’s worden opgesteld, waarbij ook wordt aangegeven wanneer uitvoering zal worden gegeven aan de gegevensdeling in de wet, zodat vooraf volledig duidelijk is onder welke voorwaarden en met welke waarborgen gegevens verwerkt zullen worden.
De amvb gaat gelijktijdig met de verzending van deze antwoorden in consultatie. Aan de gegevensdeling kan uitvoering worden gegeven na aanvaarding van het wetsvoorstel door de Eerste Kamer en na inwerkingtreding van het BGS. Voor dat besluit volgt in de eerste helft van 2023 een voorhangprocedure, advisering door de Afdeling advisering van de Raad van State en voor enkele artikelen een nahangprocedure.
Kamerstuk 35 447, H, blz. 9–10.↩︎
Kamerstuk 35 447, nr. 21, blz. 4.↩︎
Kamerstuk 35 447, nr. 21.↩︎
Kamerstuk 35 447, H, blz. 10.↩︎
Kamerstuk 35 447, nr. 6, beantwoording vraag 3.↩︎
Kamerstuk 35 447, G, blz. 18.↩︎
Kamerstuk 35 447, H, blz. 1 en 7.↩︎
Kamerstuk 35 447, H, blz. 16.↩︎
Zie nota n.a.v. het verslag, Kamerstuk 35 447, nr. 6, antwoord 85, blz. 72 (alinea beginnend met «iCOV beoordeelt de data…»).↩︎
Kamerstuk 35 447, H, blz. 2, 15 en 19↩︎
Dit is gemeld in de beantwoording van vragen van de vaste commissie voor Digitale Zaken van de Tweede Kamer over het rapport Algoritmes getoetst; De inzet van 9 algoritmes bij de rijksoverheid». Zie het antwoord op vraag 32 uit Kamerstuk 26 643, nr. 923.↩︎
Kamerstuk 29 628, nr. 948, bijlage «Kwaliteitskader Big data».↩︎
Zie https://www.tilburguniversity.edu/nl/over/schools/law/departementen/tilt/onderzoek/handreiking of Kamerstuk 26 643, nr. 765, bijlage.↩︎
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2021/02/25/impact-assessment-mensenrechten-en-algoritmes/IAMA.pdf↩︎
Kamerstuk 29 628, nr. 641.↩︎
Kamerstuk 35 447, H, blz. 16.↩︎
Kamerstuk 26 643, nr. 924, §2 «Duidelijke eisen voor overheidsorganisaties» en bijlage.↩︎
Kamerstuk 35 447, nr. 21, blz. 7.↩︎
Kamerstuk 35 447, nr. 3, blz. 11 en 50.↩︎
Zie specifiek de antwoorden 47 en 53, Kamerstuk 35 447, nr. 6.↩︎
Kamerstuk 35 447, nr. 18↩︎
Kamerstuk 35 447, nr. 11↩︎
Kamerstuk 35 447, nr. 6, antwoord 69, blz. 55–57.↩︎
Kamerstuk 35 447, nr. 6, antwoord 159, blz. 124–125.↩︎
Kamerstuk 35 447, nr. 6, antwoord 60, blz. 51.↩︎
Kamerstuk 35 447, H, blz. 9.↩︎
Zie voor een nadere toelichting Kamerstuk 35 447, nr. 6, antwoord 29, blz. 26–27.↩︎
Kamerstuk 35 447, H, blz. 10 en 18.↩︎
Aldus artikelen 2.2, 2.10, 2.17 en 2.25 in samenhang gelezen met 1.6, eerste lid, van het wetsvoorstel.↩︎
Voor nadere toelichting zij verwezen naar de nota van wijziging, Kamerstuk 35 447, nr. 7.↩︎
Kamerstuk 35 447, nr. 6, antwoord 141 en 163, blz. 111–112 en 126–127.↩︎
Trouw, 1 februari 2022, «Geef de burger inzage in de algoritmes die de overheid gebruikt», https://www.trouw.nl/opinie/geef-de-burger-inzage-in-de-algoritmes-die-de-overheid-gebruikt~b08b088b/↩︎
Kamerstukken 33 826 en 26 643, nr. 45, blz. 6.↩︎
Kamerstuk 26 643, nr. 924, inleiding en de paragraaf «Stand van zaken uitvoering motie van het lid Klaver c.s. (Kamerstuk 35 510, nr. 16) en van het lid Dassen c.s. over een (verplicht) algoritmeregister (Kamerstuk 35 925 VII-26)»↩︎
Kamerstuk 35 447, nr. 3, §3.3 (blz. 8–17).↩︎
Kamerstuk 35 447, nr. 6, blz. 19–20.↩︎