Bescherming persoonsgegevens en digitale grondrechten

De voorzitter:

Ik open hierbij de vergadering. Aan de orde is het commissiedebat Bescherming persoonsgegevens en digitale grondrechten. Hartelijk welkom aan de staatssecretaris van Justitie en Veiligheid, de heer Struycken, en de staatssecretaris van BZK, de heer Szabó. Van de zijde van de Kamer zijn aanwezig mevrouw Dral van de VVD, de heer Valize van de PVV, de heer Van Nispen van de SP, de heer Six Dijkstra van NSC en mevrouw Kathmann van GroenLinks-PvdA. Ik stel voor in de eerste termijn van de Kamer vier interrupties in tweeën toe te staan. We gaan kijken hoe dat loopt, ook wat betreft de tijd, en zien of we daar soepel mee kunnen omgaan. Ik geef als eerste het woord aan mevrouw Dral.

Mevrouw Dral (VVD):

Dank u wel, voorzitter. Als commissie beschikken we inmiddels over de evaluatie van de door de Autoriteit Persoonsgegevens ingestelde onafhankelijke Begeleidingscommissie Evaluatie Autoriteit Persoonsgegevens. Mede met het oog op die evaluatie het volgende. De VVD vindt het belangrijk dat de privacy binnen onze samenleving effectief wordt beschermd. De Autoriteit Persoonsgegevens, die ik verder "de AP" zal noemen, is hierbij toezichthouder. Ondanks dat het budget van de AP jarenlang exponentieel groeide, blijkt dat de AP er bij dit toezicht regelmatig onhoudbare beleidsopvattingen op nahoudt. Die hebben vervolgens geleid tot jarenlange procedures met, afgezien van de hoge boete die die AP oplegt, hoge kosten aan de kant van de toezichthouder en aan de kant van degene die de boete krijgt.

Een voorbeeld. Bij de kwestie van de KNLTB heeft de AP het begrip "gerechtvaardigd belang" over een periode van vijf jaar op een manier uitgelegd waarvan juridisch onderlegd Nederland al voorzag hoe het Hof van Justitie van de Europese Unie daarop zou reageren. Ondertussen was de tennisbond gedwongen om, afgezien van een hoge boete, vanaf 2019 hoge proceskosten voor zijn rekening te nemen bij de rechtsgang naar het Hof. Deze benadering van de AP leidt tot handelingsverlegenheid in de samenleving. Óf men durft gegevens niet meer te delen óf men gebruikt het als excuus om gegevens niet te delen. Dit heeft nadelige gevolgen. Relevant onderzoek ten behoeve van de samenleving stagneert bijvoorbeeld en het verkrijgen van een noodzakelijk integraal beeld komt als gevolg van handelingsverlegenheid niet tot stand. Voorbeelden daarvan zijn te vinden bij de politie, het Openbaar Ministerie, de zorg, de jeugdzorg, het bankwezen en ondernemers in het algemeen. Vitale processen en relevante informatiebehoeften lopen te vaak vast.

Voor de VVD is de conclusie dat er meer balans nodig is tussen de bescherming van de privacy aan de ene kant en het mogelijk houden van gegevensdeling in het kader van een maatschappelijk belang aan de andere kant. Dat kan door meer risicogebaseerd te gaan kijken, dus met een betere afweging of de gegevensdeling wel echt een risico teweegbrengt en of er geen zwaarwegende andere belangen of andere fundamentele rechten zijn. De AP zet naar eigen zeggen namelijk bij twijfel de bescherming van de burger voorop. Overweging 4 van de AVG stelt echter expliciet dat de bescherming van persoonsgegevens geen absolute gelding heeft, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen. Artikel 9 van de AVG noemt verder een zwaarwegend algemeen publiek belang als mogelijke wettelijke uitzonderingsgrond.

De huidige houding van de AP is verder vooral nadruk leggen op wat níét kan. Dat het anders kan blijkt bijvoorbeeld in Groot-Brittannië, waar de Britse AP een benadering kiest van: zo kan het. De VVD is van mening dat de tot nu toe ontstane handelingsverlegenheid, vanwege de risico's ervan, snel moet worden teruggedrongen. Mijn vraag aan de staatssecretaris is dan ook nader onderzoek te doen op welke terreinen handelingsverlegenheid zich met name voordoet en welke risico's dit met zich meebrengt, en de uitkomsten hiervan voor de zomer aan de Kamer te rapporteren.

Begin oktober heeft Offlimits bij de AP een handhavingsverzoek gedaan inzake deepfakeporno. In 2024 kwam in het nieuws dat tussen 70 en 80 bekende Nederlandse vrouwen slachtoffer zijn geworden. Er is inmiddels onderzoek gedaan naar één specifieke website. Deze website heeft rond de 17 miljoen bezoekers per maand, waarvan ruim 9 miljoen unieke bezoekers. Daarvan komen circa 300.000 unieke bezoekers uit Nederland. Op 16 januari 2025, dus drie maanden later, ontving Offlimits een bevestiging dat de AP zich buigt over de vraag hoe de AP haar tijd en middelen op een effectieve en efficiënte manier kan inzetten om de bredere problematiek die in dit handhavingsverzoek wordt aangekaart, te adresseren. De AP hoopt Offlimits binnen drie maanden te informeren over wat dit betekent voor de behandeling van het handhavingsverzoek. De VVD kwalificeert deepfakeporno als een zeer ernstige zaak, waarop met slagvaardigheid moet worden geacteerd. Vanmorgen was in het AD te lezen dat de desbetreffende website eindelijk offline is gehaald. Goed nieuws, maar in de ogen van de VVD heeft dit te lang geduurd. Is de staatssecretaris het met mij eens dat dit soort zaken met een veel hogere prioriteit moeten worden aangepakt?

De VVD is verder van mening dat de onafhankelijk gepositioneerde AP zich voor een juiste afweging breed moet kunnen laten informeren. In de visie van de VVD kan het helpen als de betrokken minister niet meer uitsluitend op voordracht van de AP maar ook eigenstandig leden kan aanstellen bij de raad van advies. Dit is nu wettelijk nog niet mogelijk. In combinatie met de aanbeveling uit de evaluatie om de taak van de raad van advies op te vatten als die van een raad van toezicht kan dit het zelfcorrigerend vermogen van de AP verder ondersteunen. Ik verneem graag van de staatssecretaris hoe hij dit ziet.

De AP kondigde in de reactie op de evaluatie een verbeterplan aan en zal regelmatig communiceren over de voortgang. Is de staatssecretaris voornemens de Kamer periodiek te informeren over de voortgang van dit verbeterplan en de effecten van de verbeterstappen op de partijen waarop toezicht wordt gehouden?

Dank u wel, voorzitter.

Mevrouw Dral (VVD):

U bent mij voor, wat mijn tweede termijn betreft, want daarin zal ik iets zeggen over onze rol in de Kamer.

De heer Valize (PVV):

Voorzitter, dank voor het woord. Op de agenda staan maar liefst 21 brieven ter behandeling, in vijf minuten. Gelukkig gaat het merendeel over de Uitvoeringswet Algemene Verordening Gegevensbescherming, de UAVG, die voortvloeit uit de Europese General Data Protection Regulation, de GDPR. Maar een groot aantal brieven gaat ook over de toezichthouder hierop, de Autoriteit Persoonsgegevens, de AP.

Voorzitter. In december 2020 ontving de Tweede Kamer het onderzoeksrapport The influence of (technical) developments on the concept of personal data in relation to the GDPR. Het onderzoeksrapport van het Tilburg Institute for Law, Technology and Society in opdracht van het Wetenschappelijk Onderzoek- en Datacentrum gaat over welk effect huidige en toekomstige technische ontwikkelingen op het gebied van anonimisering, pseudonimisering, aggregatie en identificatie van gegevens hebben op het gegevensbeschermingskader en de bescherming van de verschillende soorten gegevens. Het toenmalige kabinet zag naar aanleiding van dit onderzoek geen reden om dit kader te wijzigen, zoals het op 24 april 2024 liet weten. Daar zit bijna anderhalf jaar tussen, anderhalf jaar om te zeggen: leuk, maar we gaan er niets mee doen.

Voorzitter. De PVV wil daarom graag van de staatssecretaris van JenV weten waarom een grootschalig onderzoek wordt uitgevoerd dat vervolgens onder in de lade verdwijnt om het er maar niet meer over te hebben. Zo is er bijvoorbeeld ook niets gedaan met de aangedragen reguleringsalternatieven in hoofdstuk 6. Daarin werd, om maar twee voorbeelden te noemen, voorgesteld dat er een einde zou kunnen worden gemaakt aan het onderscheid tussen anonieme en niet-anonieme gegevens of dat een minder breed concept zou kunnen worden gehanteerd dan de huidige definitie van het begrip persoonsgegevens, om een duidelijk onderscheid te maken tussen persoonsgegevens en geanonimiseerde gegevens.

Voorzitter. Er zijn ook brieven die ingaan op de naleving van de AVG door overheden. Dit werd onderzocht door Pro Facto en Hooghiemstra & Partners in opdracht van het Wetenschappelijk Onderzoek- en Datacentrum, waarbij geconstateerd werd dat niet altijd voorafgaand aan de verwerking van persoonsgegevens een beoordeling van de AVG-aspecten werd doorgevoerd. AVG-vragen en uitdagingen werden te laat of zelfs niet herkend en data protection impact assessments zijn niet altijd op orde. Het toenmalige kabinet wees in zijn reactie op reeds lopende maatregelen en verwees naar de Autoriteit Persoonsgegevens, waar het haar taakuitvoering betrof. Het nieuwe kabinet schreef in zijn regeerprogramma in te zetten op de versterking van de positie van de functionaris gegevensbescherming en op de ontwikkeling van rijksbreed beleid. Mijn vraag aan de staatssecretaris is hoe dit eruitziet. Wat zijn de concrete doelstellingen en de daarbij horende acties? Ook wil de PVV graag weten of het kabinet de uitkomsten van het onderzoek bespreekt met de AP en welke concrete afspraken daarover gemaakt zijn dan wel gemaakt worden.

Voorzitter. Er is ook een evaluatie van de Uitvoeringswet Algemene verordening gegevensbescherming, UAVG, geweest. Ook deze evaluatie is in opdracht van het WODC door Pro Facto en Hooghiemstra & Partners uitgevoerd. Deze evaluatie schetst een regeling in ontwikkeling die bestaat uit open normen die zich in de praktijk niet altijd eenvoudig laten toepassen. Een aantal voorstellen zijn door het toenmalige kabinet meegenomen in het wetsvoorstel Verzamelwet gegevensbescherming. Het debat hierover staat op de shortlist. Inmiddels is er ook een tweede Europese evaluatie van de General Data Protection Regulation geweest. Hoe past deze evaluatie daarin?

Voorzitter. Ook staat er een evaluatie van de AP op de lijst. Deze evaluatie, in opdracht van diezelfde AP, ging met name in op de normuitleg van het begrip "gerechtvaardigd belang", volgend op een tweetal boetebesluiten. De restrictieve interpretatie hiervan leidt al langer tot discussies. Het kabinet acht de onduidelijkheid onwenselijk. De AP zal de normuitleg aanpassen. Hij die betaalt, bepaalt, luidt het gezegde. Het is dus discutabel dat de AP opdrachtgever is van dit onderzoek. Hoe staat de staatssecretaris hiertegenover? Wie gaat in het vervolg opdracht hiertoe geven?

Voorzitter. Maar de PVV wil ook graag weten of er onderzocht kan worden of de uitzonderingen die geboden worden in de GDPR wel voldoende zijn verankerd in de UAVG. Het Centraal Archief Bijzondere Rechtspleging is immers een goed voorbeeld van waar dit niet het geval is. Overweging 158 kon hierbij van betekenis zijn, maar was niet verankerd in de uitvoeringswet.

Voorzitter, tot slot de voorlopige vaststelling autoriteiten ter bescherming van grondrechten onder de Europese AI-verordening: het vaststellen van toezichthouders die nu al krachtens het Unierecht een taak hebben in het toezicht op de bescherming van de grondrechten, waaronder het recht op non-discriminatie en de bescherming van de persoonsgegevens. Het kabinet geeft aan dat de lijst een levend document is en kan worden aangepast. De PVV zou graag vernemen hoe dit invulling gaat krijgen en op welke termijn de Kamer hierover uitsluitsel krijgt. Wat zal de onderlinge samenwerkingsruimte zijn tussen de verschillende organisaties? Zal hier één organisatie coördinerend zijn of handelt elke grondrechtenautoriteit zelf proactief?

Voorzitter. Daarmee ben ik aan het einde van mijn termijn gekomen. Dank.

De heer Valize (PVV):

Waar het hier om gaat, is dat de AP zelf een onderzoek heeft laten uitvoeren. De opdrachtgeving ligt dan ook bij de AP. Dat kan leiden tot discussies. Ik zeg niet dat het rapport niet klopt. Er zijn sterke conclusies getrokken. Het rapport is dan wel uitgevoerd door een externe partij, maar het is ook kritisch op de AP. Ik zeg dus niet dat het per definitie slecht is. Maar ik vraag wel aan het kabinet of het wenselijk is, want het kan in ieder geval een schijn wekken. Nogmaals, het gezegde is: wie betaalt, bepaalt.

De heer Valize (PVV):

Ja, dat risico is dan zeker aanwezig. Je zou er feitelijk gewoon een andere autoriteit op moeten zetten. Misschien kan de Auditdienst Rijk daar iets in betekenen. Maar daarom vraag ik ook aan het kabinet om daarop te reflecteren.

De heer Van Nispen (SP):

Dank u wel, voorzitter. Digitale grondrechten, de bescherming van persoonsgegevens: dat is niet abstract; dat gaat om mensen en om de waarborgen voor mensen om ervoor te zorgen dat hun grondrechten gerespecteerd worden. Als je dat niet goed doet, dan kan het tot dikke ellende leiden voor mensen en tot verminderd vertrouwen in de overheid.

Zie bijvoorbeeld het toeslagenschandaal. Daarbij zijn op grove wijze grondrechten geschonden. Dat was het gevolg van structurele tekortkomingen in de uitvoering, zoals een gebrek aan waarborgen bij risicoprofilering. Daardoor kon het gebeuren dat alleenstaande ouders met een buitenlandse achtergrond en een laag inkomen keihard zijn aangepakt door de Belastingdienst. Ook in de sociale zekerheid ging het fout. Mensen in wijken die we ook wel "probleemwijken" noemen, werden vaker gecontroleerd op fraude. De parlementaire enquêtecommissie zei: dat kan weer gebeuren. En het gebeurt weer, of eigenlijk nog steeds. Een recent voorbeeld is het Regionaal Informatie en Expertise Centrum, waarbij exclusief gecontroleerd werd in de Turkse gemeenschap en in bepaalde wijken omdat men daar meer fraude veronderstelde.

Het gaat om die werkwijze. Op basis van de onderbuik vindt men het een goed idee om het zo te doen. Er is een gebrek aan besef van de risico's en een gebrek aan kennis van de wetten, regels en waarborgen om discriminatie te voorkomen en grondrechten te waarborgen. Als je dat niet goed doet, krijg je een tunnelvisie. Als je er bijvoorbeeld voor kiest om alleen groene auto's op de snelwegen te controleren op snelheidsovertredingen, dan moet je niet raar opkijken als daar uiteindelijk uitkomt dat alleen bestuurders van groene auto's te hard rijden. Zo werkt het natuurlijk niet, maar zo werkt het wel in wijken als je het op deze manier doet. Je moet de risico's op discriminatie onderkennen en tegengaan, maar dat komt niet doordat er allemaal racisten in de uitvoering zitten. Juist niet. Heel veel mensen hebben vooroordelen en daarom moet je waarborgen inbouwen om zo discriminatie in de uitkomst te voorkomen.

Dit probleem zou weleens groter kunnen worden. Als je bezuinigt op ambtenaren en op de uitvoering, zoals dit kabinet van plan is, dan kan er meer verwacht worden van digitale toepassingen, bijvoorbeeld van risicogericht toezicht. Dat kan wat de SP betreft alleen als er voldoende kennis is over de mogelijkheden en de potentiële risico's van digitale toepassingen. Zolang die kennis er niet is, moet je er niet aan beginnen. Graag een reactie van de bewindspersonen. Delen zij dit uitgangspunt? In welke domeinen en sectoren is deze kennis volgens de bewindspersonen wél aanwezig om dit veilig en verantwoord te kunnen doen met behulp van toepassingen zoals algoritmes en AI?

Ook de kwaliteit van data is vaak problematisch. Er zitten fouten of niet-bevestigde fraudesignalen in. Omdat er zo veel gegevens gedeeld worden, werken die fouten en vooroordelen overal door waar men met die vervuilde data werkt. Erkennen de bewindspersonen dat en hoe voorkomen we dat? Het is echt op veel plekken een zooitje. Zie bijvoorbeeld de gegevensverwerking bij de politie. Ik verwijs naar het artikel van Follow the Money van afgelopen weekend. 11 miljoen Nederlanders worden door de politie geautomatiseerd gevolgd in de Basisregistratie Personen. 11 miljoen! Het aantal afnemersindicaties, een soort abonnement op een persoon, van de politie is totaal uit de hand gelopen. De gegevens worden nooit verwijderd. De politie overtreedt hiermee diverse wetten. Ze weten intern al tien jaar dat dit onrechtmatig is, getuige allerlei quotes uit stukken op basis van de Wet open overheid. De politie waarschuwt er zelf voor dat al die gegevens kunnen leiden tot onterechte of oneigenlijke combinaties van gegevens over mensen. Dat betekent mogelijk ook onterechte signaleringen of onterechte verdenkingen. Graag een reactie.

Hieruit blijkt dat heel veel mensen geen grip meer hebben op hun gegevens. Je hebt formeel het recht op inzage en correctie, maar je weet helemaal niet wat je niet weet. Daarnaast weten mensen vaak niet waar ze terechtkunnen, bijvoorbeeld als het gaat om een samenwerkingsverband en om gegevens die reeds massaal gedeeld zijn. Zie dat dan nog maar eens recht te zetten. Hoe zien de bewindspersonen dat? Wat kunnen zij concreet doen om de rechtsbescherming te versterken? Ik vraag de staatssecretaris Rechtsbescherming: waar kan een mens terecht?

Dat zou bijvoorbeeld bij de Autoriteit Persoonsgegevens kunnen zijn. Ik blijf bijzonder ontevreden over wat dit kabinet met de AP doet, maar wel om een hele andere reden dan de VVD, die hier vijf minuten heeft gemopperd over die onafhankelijke toezichthouder. We weten uit allerlei onderzoeken dat het budget fors moet stijgen om de wettelijke taken goed uit te kunnen voeren, om de rechtsbescherming te versterken en om de naleving van grondrechten te verbeteren, maar dit kabinet laat dat doelbewust na, ondanks allerlei waarschuwingen. Ik vind dat ongelofelijk in deze tijden, waarin de digitalisering doorgaat en hier en daar misschien wel doorslaat. We weten dat goed toezicht juist heel hard nodig is. Waarom zouden we de waakhond dan geen tanden geven? Ik hoop niet dat de reden daarvoor is dat de regering er dan zelf weleens last van zou kunnen hebben. Wanneer gaat de regering de Autoriteit Persoonsgegevens eindelijk echt versterken? Graag een uitgebreide reactie hierop.

De heer Van Nispen (SP):

Op zich is het wel interessant dat een onderzoek dat door de AP is gevraagd en betaald juist zulke scherpe conclusies oplevert, zeg ik in antwoord op mijn buurman. Volgens mij zit daar niet echt het probleem. Maar dat was de vraag niet. Mevrouw Dral zei: ik noem een aantal feiten op. Nou, ik heb het wel beschouwd als vijf minuten een beetje mopperen op de Autoriteit Persoonsgegevens. Dat doet de VVD eigenlijk al jaren hier in het parlement. Je mag inderdaad, terecht, vragen stellen over de tennisbond. Iedereen mag hier vragen stellen. Maar dat voorbeeld hoor ik al jaren. Dat hoorde ik al van twee of drie woordvoerders voor mevrouw Dral. Dat gaat inderdaad over het gerechtvaardigd belang. Je kunt de vraag stellen of het goed is dat persoonsgegevens van mensen die lid zijn van een sportvereniging bijvoorbeeld ook gebruikt worden voor reclames, voor commercieel gebruik. Dat is inderdaad een discussie. Daar kun je vragen over stellen. Maar mijn punt is het volgende. Je kunt wel zo afgeven op een onafhankelijke toezichthouder, maar ik vind dat je als VVD een beetje de schijn tegen hebt. Je hebt in eerste instantie ook aan de wieg gestaan van het hele toeslagenschandaal. We hebben gezien dat daarin meerdere grondrechten zijn geschonden, onder andere het recht op bescherming van persoonsgegevens. Je bent vervolgens niet bereid om te investeren in de Autoriteit Persoonsgegevens, terwijl meerdere onderzoeken objectief laten zien dat dat nodig is om de wettelijke taken uit te kunnen voeren. En dan ga je hier wel vijf minuten mopperen of "vragen stellen". Je mag natuurlijk vragen stellen. Maar ik vind dat je dan een beetje aan het mopperen bent op de onafhankelijke toezichthouder. Ik vind het veel verstandiger om te zeggen dat we dit kabinet gezamenlijk eens de opdracht gaan geven om te investeren en om de Autoriteit Persoonsgegevens gewoon fatsoenlijk in staat te stellen om haar wettelijke taken uit te voeren. Die zijn ontzettend belangrijk in onze rechtsstaat.

De heer Van Nispen (SP):

Ik vind het altijd wel heel makkelijk om een uitvoeringsorganisatie of zelfs een grondrechtenautoriteit onder te financieren en dan te zeggen: dan moeten ze maar beter prioriteren. Dan haal je er één ding uit waardoor je kunt zeggen "kijk eens met wat voor onzin ze zich bezighouden" en dat is dan een soort legitimatie om ze niet het juiste budget te geven. Dat is wat de VVD al jaren doet. Als je je realiseert dat de Autoriteit Persoonsgegevens, een hele belangrijke autoriteit, die toeziet op de naleving van grondrechten, klein is in vergelijking met de andere autoriteiten in Nederland en gewoon met veel minder mensen steeds meer taken moet gaan doen ... Ja, het budget is een heel klein beetje gestegen de afgelopen jaren. Het is absoluut niet exponentieel gestegen, zoals mevrouw Dral zei. Dat is echt faliekante onzin. Er is wel wat bij gekomen. Dat komt doordat er heel veel taken bij zijn gekomen, mevrouw Dral. Nog steeds kan de Autoriteit Persoonsgegevens haar wettelijke taken niet uitvoeren. Een van de taken is bijvoorbeeld het adviseren over wetgeving, waar wij dankbaar gebruik van maken als Tweede Kamer. Daarbij ziet zij toe op de naleving van grondrechten. Een taak is bijvoorbeeld het verlenen van vergunningen aan bedrijven, die soms jaren moeten wachten tot ze een vergunning krijgen om een bepaalde activiteit te kunnen ontplooien. Dat is nogal irritant als je een mkb'er bent, zeg ik even tegen de VVD. Maar een taak is bijvoorbeeld ook het opleggen van boetes als het ergens hartstikke verkeerd gaat. Een taak is ook het scherp houden van onze eigen overheid. Volgens mij zijn dat ontzettend belangrijke taken, die alleen maar gegroeid zijn de afgelopen jaren. Het budget is niet navenant meegestegen.

De heer Van Nispen (SP):

Ik vergeleek het met andere autoriteiten in Nederland met vergelijkbare taken. En dan is het weer heel erg klein. Als er één partij is die steeds opgekomen is voor slachtoffers van die afschuwelijke deepfakeporno, is het wel mijn partij. Natuurlijk mag je daar vragen over stellen. Daar zitten we helemaal niet verschillend in. Maar ik vind het nogal makkelijk om daar de ondergefinancierde en onderbezette Autoriteit Persoonsgegevens de schuld van te geven, terwijl wij nota bene moties hebben moeten indienen om te zorgen dat de politie snel aan de slag ging, nee, om te zorgen voor een laagdrempelig meldpunt voor de slachtoffers ervan, zodat alles binnen een paar uur offline kon worden gehaald. Die heeft de VVD volgens mij ook gesteund. Je kunt dit niet alleen maar aan de Autoriteit Persoonsgegevens overlaten en hen dan vervolgens verwijten dat het heel lang duurt, als je ze eerst ondergefinancierd hebt, zodat ze te weinig capaciteit hebben. We hebben inmiddels ook een autoriteit die niet bevoegd was op dit thema, omdat het ging om volwassen slachtoffers. Dat is allemaal hartstikke gecompliceerd. Dit is een afschuwelijk voorbeeld; daar heeft mevrouw Dral helemaal gelijk in. Maar dat kun je niet alleen de Autoriteit Persoonsgegevens verwijten, als je ze niet de wettelijke middelen en de capaciteit geeft om handelend op te treden. En ja, ook de tennisbondzaak ken ik vrij goed. Dat is heel vervelend geweest voor de tennisbond. Dat ging om heel veel contributiegeld. Maar ik sla een beetje aan op de algehele toon van de VVD. Ik vind dat gemopper op een onafhankelijke toezichthouder die je onderfinanciert. Dat voorbeeld van de tennisbond heb ik nu inmiddels zo'n 36 keer gehoord van de VVD, denk ik. Ik vind het prima. Dat moeten we vooral blijven doen. Ik heb er ook weleens kritische vragen over gesteld, omdat ik de KNLTB goed ken en hun positie ook begrijp. Maar ik vind het niet zo sterk om steeds met dat voorbeeld te komen. Dat moest me even van het hart.

De heer Six Dijkstra (NSC):

Dank u wel, voorzitter. Ik zou voor mijn eerste punt graag willen terugkomen op een vraag die nog uitstond bij het debat van vorige donderdag over ICT-migratie naar het buitenland, waarbij de staatssecretaris Digitalisering de Kamer, met alle respect, een klein beetje met een kluitje in het riet heeft gestuurd en de Kamer heeft doorverwezen naar zijn collega, de staatssecretaris Rechtsbescherming. Dat heeft te maken met de data van Nederlanders en de Nederlandse overheid die opgeslagen staat in Amerikaanse systemen. Ik ben heel blij dat vandaag, ruim een uur geleden, een aantal moties zijn aangenomen om onze onafhankelijkheid van grote Amerikaanse techbedrijven serieus af te bouwen. Maar mijn zorg leeft nog steeds als het gaat om de data die daar opgeslagen staat, en vooral om de vertrouwelijkheid daarvan.

Het EU-U.S. Data Privacy Framework, dat moet borgen dat gegevens van Europese landen en Europese personen in Amerika niet zomaar ingezien worden, hoewel de Amerikaanse wetgeving, de CLOUD Act en de inlichtingenwet, ervoor zorgt dat Amerika wel vérgaande bevoegdheden heeft om die data in te zien, staat dus onder druk. Het kabinet heeft in de schriftelijke beantwoording aangegeven dat het denkt dat het nog juridisch houdbaar is. Maar de toezichthouder op dat framework, de Privacy and Civil Liberties Oversight Board, is in de eerste week dat president Trump aan de macht was, ontmanteld. Mijn concrete vraag aan de staatssecretaris is hoe juridisch houdbaar deze overeenkomst nog is. Welke risico's ziet hij vanwege het ontmantelen van de toezichthouder? Wat betekent dat voor onze strategie ten aanzien van digitale autonomie en de opslag van data in de cloud?

Voorzitter. Voor mijn tweede punt zou ik graag willen ingaan op het algoritme van Preselect Recidive, dat ik eerder in een debat ook heb aangestipt. De staatssecretaris is met een brief gekomen; dank daarvoor. Het is een uitgebreide brief, waarin heel veel vragen worden beantwoord. Ik ben ook blij dat hij is ingegaan op mijn vraag over de voorwaarden van de AP.

Ik heb wel een aantal vervolgvragen. De staatssecretaris geeft aan dat alle instrumenten van het algoritme periodiek worden geëvalueerd. Daarbij wordt een termijn van ongeveer vijf jaar gehanteerd. Maar aangezien de staatssecretaris in de brief ook aangeeft dat de accuratesse van het algoritme door de tijd heen best wel veranderd is, vind ik een termijn van vijf jaar best lang. Dus mijn vraag is hoe die termijn tot stand is gekomen. Zou de staatssecretaris willen overwegen om het mogelijk wat frequenter te doen?

De tweede vraag is als volgt. De staatssecretaris geeft aan dat hem bekend is dat er in het verleden op lokaal niveau gebruik is gemaakt van de uitkomsten van Preselect Recidive op een andere wijze dan waarvoor die bedoeld is, wat dus in strijd is met de AVG. Kan hij dat toelichten? In welke gevallen zijn die oneigenlijk gebruikt? Welke gevolgen heeft dat gehad? Wat betekent dat voor de rechten van betrokkenen?

De staatssecretaris geeft aan dat de risicoselectie kenbaar is gemaakt aan een deel van de jongeren, terwijl de AP aangeeft dat die eigenlijk aan alle betrokkenen kenbaar moet worden gemaakt. Kan de staatssecretaris nader aangeven aan wie de risicoselectie niet kenbaar is gemaakt, wat de gevolgen daarvan zijn voor de rechtsbescherming van die personen en waarom die keuze gemaakt is?

Mijn laatste vraag op dit punt. De toetsingscommissie die hier onderzoek naar heeft gedaan, wijst op het risico van tunnelvisie wanneer Preselect Recidive niet wordt gebruikt, waarmee de rechtsgelijkheid in het geding komt. Kan de staatssecretaris daar nog een nadere toelichting op geven?

Voorzitter. Mijn volgende punt gaat over AI-surveillance. "Supermarkten experimenteren volop met AI-surveillance", kopte Trouw vorige week. Dat gaat dan voornamelijk over de manier waarop er gemonitord wordt of consumenten in een supermarkt al dan niet stelen. Daar leven best wel zorgen over in de samenleving. Als mensen het gevoel hebben dat ze gemonitord worden in hun gedrag terwijl ze niets verkeerd doen, dan doet dat wel wat met de veiligheidsbeleving van mensen. Vooropgesteld: mijn partij zegt niet bij voorbaat dat dit nooit mag. Ik geloof ook wel dat als je AI goed inzet, het best kansen biedt en soms ook een bias kan wegnemen die mensen zouden kunnen hebben. Maar het is wel een kwestie van toepassing. Er zit nogal verschil tussen het monitoren van gedrag en bepaalde handelingen die mensen verrichten, bijvoorbeeld of ze iets in hun tas stoppen, of het monitoren van supermarktbezoekers zelf, mogelijk met gezichtsherkenningssoftware of de voorstadia daarvan.

Mijn vragen aan de staatssecretaris. Heeft hij zicht op welke AI-surveillance momenteel wordt toegepast in winkels, waaronder supermarkten? Welke waarborgen gelden daarvoor? Valt dit onder het strengste regime van de AI Act, namelijk dat voor hoogrisicosystemen, of niet noodzakelijk, en wanneer is die grens bereikt? Hoe kijkt hij aan tegen de opmerking van de Consumentenbond dat er betere bescherming moet zijn voor klanten? Daaronder valt: goed duidelijk maken dat AI gebruikt wordt in de supermarkt, uitleggen hoe dat werkt en de klant de mogelijkheid geven om bezwaar te maken.

Voorzitter. Dat was het van mijn kant. Dank u wel.

De heer Six Dijkstra (NSC):

Het is terecht dat de heer Van Nispen de opmerking maakt dat het moeilijk is om hier ter plekke te zeggen: we moeten extra geld vrijmaken. De ene keer lukt dat beter dan de andere keer. Wij vinden dat de AP in elk geval voldoende budget moet hebben. Het is ons ook wel duidelijk dat het nu niet per se overloopt als het gaat om budgetten. We zijn blij dat er wat stijging is geweest, maar de heer Van Nispen wijst er terecht op dat er ook een toename in taken is geweest. Ik denk, zeker als het gaat om nader toezicht houden, politietaken, CTER, dingen die ook door de Ombudsman zijn aangekaart, dat het wel belangrijk is dat de AP daartoe goed geëquipeerd is. Het lijkt mij goed dat de punten die uit de evaluatie naar voren zijn komen, opgevolgd worden en dat de AP daar ook welwillend tegenover staat.

Ik wil ook even ingaan op uw eerdere interruptiedebatje met de heer Valize. Het lijkt mij een terechte vraag om te stellen wie de evaluatie van de AP doet. Ik zou zelf ook wel wat voelen voor een gedeeld opdrachtgeverschap van het kabinet en AP of voor een sterkere raad van toezicht. Dat zijn allemaal zaken die wat ons betreft bespreekbaar zijn. Dat laat onverlet dat de AP een belangrijke speler is in het beschermen van digitale grondrechten die overvloeien in het fysieke domein, en dat we die gewoon hard nodig hebben.

De heer Six Dijkstra (NSC):

Ik refereer aan een antwoord dat de staatssecretaris Digitalisering heeft gegeven bij het debat van donderdag, of eigenlijk een gebrek aan een antwoord, waarin hij zei: bespreek dat dinsdag maar. Ik vind het een beetje flauw. Het was gewoon de orde van het debat, dus het kon ook daar besproken worden. Maar ik vind het wel een belangrijk punt, dus daarom wilde ik het hier aanhalen. Het is verder niet gerelateerd aan een brief of iets van eerder, maar ik hoop dat we vandaag wel een bevredigend antwoord krijgen over die risico's. Verder valt AI-surveillance binnen digitale grondrechten. Ik denk dat je dat vrij duidelijk onder die definitie kan scharen.

Mevrouw Kathmann (GroenLinks-PvdA):

Dank, voorzitter. Ik wil me op de eerste plaats aansluiten bij het pleidooi van de heer Van Nispen dat de AP meer budget moet krijgen. De AP moet gewoon haar wettelijke taken kunnen uitvoeren en eigenlijk nog meer, want ergens in het rijtje met een dak boven je hoofd en een recht op gelijke behandeling staat ook je recht op privacy in de Grondwet. Artikel 10 is het, geschreven in 1983, toen de eerste mobiele telefoon op de markt kwam, die zo groot was als een baksteen.

Inmiddels draait onze hele samenleving op data. Overal wordt jouw informatie verzamelt, verspreidt en verkocht. "Surveillancekapitalisme" kun je het eigenlijk noemen. Online diensten kunnen doen alsof ze gratis zijn, maar sluizen eigenlijk jouw hele hebben en houden door als verdienmodel. Ook de overheid doet gezellig mee. Dat is ons nu wel duidelijk geworden na het toeslagenschandaal — de heer Van Nispen had het er al over — en na de grove schendingen van je rechten door de Belastingdienst, DUO en de politie. Privacy is een recht dat pas wordt ingekleurd als het te laat is. Er moet van alles fout gaan voordat de politiek wakker schrikt en de ergste schendingen van je rechten stopzet. Maar het gebeurt eigenlijk nog steeds elke dag.

De Autoriteit Persoonsgegevens is de waakhond die de privacy beschermt. Onder zijn aanvoering komen we er steeds weer achter dat onze privacy wordt geschonden en snappen we ook dat de politiek daar wat aan moet doen. In veel gesprekken met dienstverleners, experts, bedrijven en de AP zelf is het GroenLinks-Partij van de Arbeid duidelijk geworden dat er dingen beter kunnen. Met de evaluatie in de hand kunnen we aan de slag.

Twee punten haal ik daar nu even uit. Ten eerste. Breng de Autoriteit Persoonsgegevens onder bij het ministerie van Binnenlandse Zaken. Grondrechten beschermen is namelijk het doel. Het doel is niet repressie. Kunnen de staatssecretarissen eigenlijk uitleggen waarom de AP bij Justitie en Veiligheid is belegd en niet bij Binnenlandse Zaken? Deelt het kabinet mijn zorgen dat de afhankelijkheid van Justitie en Veiligheid de onafhankelijkheid van de AP onder druk zet, omdat JenV ook weleens onderzocht wordt? Heeft het kabinet weleens overwogen om de AP bij een ander ministerie onder te brengen en waarom is dat niet gebeurd? Kun u vooraf aan de plenaire behandeling van de Verzamelwet gegevensbescherming een uitgebreide reactie geven op deze aanbeveling? Dat is dan een informatieverzoek.

Ten tweede. We mogen van de Autoriteit Persoonsgegevens echt vragen om transparanter te zijn, om het openbaar te maken als er preventieve gesprekken worden gevoerd, en om bij sancties uitleg te geven over hoe de AP die heeft bepaald. Is het kabinet het ermee eens dat sancties vanuit de AP openbaar uitgelegd moeten worden en dat er ook moet worden laten zien welke preventieve acties er vooraf zijn genomen? Wat doet het kabinet om de AP in staat te stellen om vaker organisaties vooraf te helpen in plaats van achteraf te handhaven?

Ja, er zijn verbeteringen nodig, maar GroenLinks-Partij van de Arbeid vindt het volstrekt onterecht dat politici, ministeries en bedrijven alleen maar naar de AP wijzen als grote boosdoener. Als datawetgeving niet deugt, dan moet je eigenlijk naar de echte verantwoordelijken kijken. Die zitten hier in dit zaaltje. Dat zijn bewindspersonen. Dat zijn ook Kamerleden als medewetgevers. Het is onze taak om duidelijk te maken wat wel en niet mag. Er zijn genoeg wetten die de privacy ook in het digitale tijdperk vastleggen, met de AVG voorop. Dan zijn er ook nog allerlei sectorale wetten waarin per sector staat hoe gegevens wel en niet mogen worden gebruikt. Toch schieten we op allebei de terreinen tekort. Begin 2024 is er met publieke dienstverleners en met de AP aan tafel een overzicht gemaakt van knelpunten in de gegevensdeling. Daar kwamen zo'n 40 voorstellen uit met punten die beter kunnen in datawetgeving. Dat is dus huiswerk voor de wetgever en de medewetgever. Kent u dat overzicht en heeft u gevolg gegeven aan dat overzicht?

Tot slot kijk ik mijn collega-Kamerleden aan in plaats van het kabinet. Als de wetgever tekortschiet, moeten wij in actie komen. GroenLinks-Partij van de Arbeid pleit voor een nieuwe werkwijze waarin we het medewetgevende handwerk zelf gaan doen, met twee à drie keer per jaar wetgevingsoverleggen waarin we de bewindspersonen en de Autoriteit Persoonsgegevens uitnodigen om samen alle knelpunten van uitvoerders en bedrijven door te nemen en te bespreken. We kunnen gelijk beginnen met de 40 knelpunten van vorig jaar. De aanpassingen die de politiek wil, kunnen dan snel in wijzigingswetten worden vastgelegd. Ziet het kabinet de mogelijkheid voor zo'n nieuwe werkwijze? Hoe kunnen we ervoor zorgen dat privacy niet door jurisprudentie, maar met goede wetgeving vooraf al beschermd kan worden?

Dat is mijn allergrootste oproep: we moeten privacywetgeving weer politiek maken. Persoonsgegevens beschermen is een kwestie van grondrechten en dus knetterpolitiek. Vingerwijzen naar de AP is makkelijk, maar we zijn hier met z'n 150'en allemaal verantwoordelijk.

Mevrouw Kathmann (GroenLinks-PvdA):

Dat is een hele goeie vraag. Ik heb het niet goed uitgelegd, denk ik, want ik ken meneer Van Nispen ik als een goeie luisteraar. Het gaat er juist om dat we het zorgvuldig gaan doen. Op dit moment hebben we de AVG. Dat is een eigenlijk een "kan"-wet, maar wij horen hier de hele tijd dat iedereen het ervaart als een "kan niet"-wet. Hij is juist bedoeld als iets waardoor we dingen kunnen, omdat we burgers op een hele goeie, zorgvuldige manier beschermen. We vergeten alleen steeds de zorgvuldigheid. Die zorgvuldigheid moeten we in sectorale wetgeving doen. Eigenlijk moeten we overzichten van knelpunten hebben. Vaak zitten daar ook rode draden in. Vervolgens moeten we kijken waar we het in sectorale wetgeving laten liggen. Vervolgens moeten we de uitzondering daar vastleggen. Zo is het voor iedereen veel duidelijker. Voor de AP is het dan veel duidelijker hoe ze moet handhaven. We maken dan heel erg expliciet: dit is een "kan"-wet, dus dit kan. Op het moment dat het ook echt kan, gaat bij bedrijven uiteindelijk de hele handelingsverlegenheid eraf.

Mevrouw Kathmann (GroenLinks-PvdA):

Dat is eigenlijk precies waar ik het over heb. Ik ben het er in ieder geval mee eens dat we die uitzonderingen niet zorgvuldig genoeg hebben vastgelegd. Door mensen die er wél heel veel verstand van hebben — het is heel technisch; ik begrijp het ook niet altijd allemaal — heb ik me laten uitleggen dat we die zorgvuldigheid in sectorale wetgeving moeten vastleggen. Zo wordt het voor iedereen klip-en-klaar wanneer er een uitzondering aan de hand is. Dat moeten we gewoon beter doen. Schijnbaar kunnen ze dat bijvoorbeeld in Frankrijk veel beter en sneller dan wij. Wij laten het nu na. Ik hoop dat we iets kunnen optuigen waardoor we het wél gaan doen. Mensen ervaren het bijna als een AVG-slot. Daar kunnen we dan vanaf.

De voorzitter:

Ik heropen de vergadering voor de eerste termijn van de zijde van het kabinet. Ik sta wederom vier interrupties in tweeën toe. Als eerste geef ik het woord aan de staatssecretaris van Justitie en Veiligheid.

Staatssecretaris Struycken:

Voorzitter, dank u wel. De bescherming van persoonsgegevens is een grondrecht. Zoals mevrouw Kathmann expliciet vermeldde, staat dat al sinds de jaren tachtig vermeld in artikel 10, tweede en derde lid van de Nederlandse Grondwet. Een grondrecht dat bovendien iedereen raakt: burgers, bedrijven, organisaties, overheden. De relevantie neemt steeds verder toe. Met de toename van het gebruik van de informatietechnologie neemt ook de hoeveelheid verwerkte persoonsgegevens toe, en dan zijn waarborgen dus hard nodig. Het belangrijkste instrument om de verwerking van persoonsgegevens in goede banen te leiden, is de Algemene verordening gegevensbescherming. De AVG is alweer zes jaar van kracht, samen met in Nederland de Uitvoeringswet Algemene verordening persoonsgegevens. Deze wet treft voor Nederland meer specifieke regelingen; daarin is de Autoriteit Persoonsgegevens, de AP, aangewezen als onafhankelijk toezichthouder op de toepassing van de AVG.

De AVG heeft tot doel een eerlijke, veilige en transparante verwerking van persoonsgegevens, waarbij individuele burgers de controle houden over hun persoonsgegevens, en tegelijk het gegevensverkeer niet onnodig wordt gehinderd. In overweging 4 bij de AVG staat immers: "De verwerking van persoonsgegevens moet in dienst staan van de mens, en hoewel de bescherming van persoonsgegevens essentieel is, is het geen absoluut recht." Er moet immers een balans zijn — dat is het woord dat herhaaldelijk door mevrouw Dral is gebruikt — tussen het gebruik ervan en de bescherming van grondrechten, ook overigens in verhouding tot de andere grondrechten.

Het belang van de AVG is in de afgelopen jaren meer dan eens gebleken, als er weer een nieuwe technologische toepassing verscheen, die op de een of andere manier met persoonsgegevens te maken heeft. In het regeerprogramma van dit kabinet is dan ook expliciet benoemd dat burgers erop moeten kunnen vertrouwen dat op een juiste manier wordt omgegaan met hun persoonsgegevens. Hun rechten moeten worden beschermd en het toezicht daarop moet voldoende geborgd zijn. Dat geldt zeker voor het verwerken van persoonsgegevens door de overheid, want de overheid — dat ben ik gaarne eens met de sprekers — behoort hier een voorbeeldfunctie te hebben.

De lessen uit de parlementaire enquête Fraudebeleid en Dienstverlening sluiten aan bij het WODC-onderzoek naar de naleving van de AVG door overheden. De onderzoeksbureaus concludeerden ten eerste dat tijdsdruk en ten tweede dat de dominantie van de doelstelling een verstorende rol kunnen spelen bij het beoordelen van AVG-gerelateerde aspecten. Het accent ligt dan op de doelmatige uitvoering van primaire processen en primaire taken van de overheid, waardoor de aandacht voor de gegevensbeschermingsvraagstukken in dat verband er soms bij in schiet.

Soms gebeurt dat met goede intenties, ook nu weer. Het kabinet is druk bezig om de schuldhulpverlening te verbeteren. Daar zien we weer een behoefte om meer gegevens beschikbaar te krijgen, uit te wisselen en aan elkaar te koppelen. Ik zie het ook in een ander groot dossier in mijn portefeuille, de jeugdbescherming, waar we er vanuit de wens om kinderen te beschermen, opnieuw van uitgaan dat het opportuun en wenselijk is om meer gegevens uit te wisselen en te delen tussen meer organisaties. Dus we zien het elke keer weer. Vanzelfsprekend zijn dit allemaal goede beleidsintenties en is dit onderdeel van een verbetering van de taakuitvoering, maar het is dus van belang dat in een vroeg stadium gegevensbeschermingsvraagstukken worden opgepakt en risico's worden meegenomen in de beleidsvorming, zodat we niet weer achteraf constateren dat er in het proces onvoldoende rekening mee is gehouden. Wij moeten dus als overheid het goede voorbeeld geven. Daarmee wil ik nogmaals ook het goede werk van het lid Van Nispen en zijn parlementaire enquêtecommissie Fraudebeleid en Dienstverlening onderschrijven. Want in hoofdstuk 7 van dat rapport wordt helder uiteengezet hoe dat mis kan gaan bij de vormgeving van beleid.

Tegelijkertijd moeten we oppassen dat de angst voor het tekortschieten in de naleving niet de overhand krijgt. Het is de handelingsverlegenheid die door diverse leden van uw Kamer ter sprake is gebracht. Het fenomeen dat we breed zien in de samenleving komt neer op: liever niets doen dan iets fout doen. Ik hoop dat we de komende tijd relatief veel vooruitgang kunnen boeken als het gaat om een minder verkrampte omgang met de AVG. Daar kan overigens ook de Autoriteit Persoonsgegevens zelf bij helpen in het kader van haar voorlichtende taak. Ik begrijp dat dat ook het voornemen is.

Een belangrijk signaal dat hiermee verband houdt, werd eerder afgegeven door de Staatscommissie rechtsstaat. Overheidsorganisaties voelen zich mede door onzekerheid over de wettelijke mogelijkheden en door een strikte interpretatie van de AVG geremd om samen te werken. Dit kan de dienstverlening aan de burger belemmeren of, nog erger, de bescherming van kinderen in risicovolle situaties hinderen. Samen met mijn collega van Binnenlandse Zaken, staatssecretaris Szabó, wil ik onderzoeken waar het wringt bij de proactieve samenwerking in het belang van burgers en hoe we de terechte zorgen van de staatscommissie kunnen adresseren, zodat het handelingsperspectief wordt verruimd en de handelingsverlegenheid wordt verminderd. Mevrouw Kathmann gebruikte hier een prachtig beeld voor: de AVG is een "kan"-wet en niet een "kan niet"-wet.

Doordat gegevensverwerking zo'n belangrijk deel van ons leven is geworden, of we het nou leuk vinden of niet, moet dit beleidsterrein in beweging blijven. Dat stelt ook de Europese Commissie in haar tweede evaluatie van de verordening eerder dit jaar, waarin zij ook schrijft dat op een aantal gebieden verdere vooruitgang moet worden geboekt. Dan valt vooral te denken aan beter functionerend toezicht, ook binnen organisaties en bedrijven. De functionaris gegevensbescherming, ofwel de FG, vervult daarin een belangrijke taak. De borging van de kwaliteit en de versterking van de positie van de functionaris gegevensbescherming zijn essentieel voor een betere naleving van de AVG door bedrijven, organisaties en overheden. Om daarop verder vooruitgang te boeken, zet het kabinet in op het versterken van de positie van de functionaris gegevensbescherming. Een ander voorbeeld van een thema waarbij gegevensbescherming een belangrijke rol speelt, is de geautomatiseerde besluitvorming door de overheid, waarover wij op 28 januari met uw Kamer gesproken hebben.

Waar we ons verder voor willen inzetten — daarna kom ik tot het vermelden van de blokjes — is meer grip op internationale gegevensbescherming en het enkel inzetten van gezichtsherkenning onder strikte voorwaarden. Het is dus van belang dat we blijven bezien of nationale wet- en regelgeving op dit moment voldoende passend en bij de tijd is. Daartoe behoort niet alleen het wetsvoorstel Verzamelwet gegevensbescherming, dat hopelijk spoedig plenair door uw Kamer zal worden behandeld, maar ook de inzet om in het Caribische deel van het Koninkrijk te komen tot een geharmoniseerd niveau van gegevensbescherming.

Staatssecretaris Struycken:

Dit thema komt op allerlei manieren terug in de vragen die ik nog ga beantwoorden, maar kort gezegd is het antwoord: dat zijn ten minste vier partijen. Dat is, als het goed is, om te beginnen de functionaris gegevensbescherming. Dat is ten tweede de Autoriteit Persoonsgegevens, op twee manieren: door een voorlichtende taak, maar ook door een controlerende toezichthoudende taak, de handhaving. Dat is ook normzettend, normbevestigend en normverduidelijkend. Ten derde zijn wij dat, uw Kamer en de regering. Mevrouw Kathmann vestigde er terecht aandacht op dat de wetgeving die wij maken, een belangrijk onderdeel is. En ten vierde is het de Europese Commissie, die vanuit Europees perspectief moet blijven werken aan betere regelgeving. Ik zie dus vier partijen naast elkaar, die ieder op hun eigen manier hun verantwoordelijkheid kunnen nemen, een taak hebben, om te voorkomen dat partijen niet handelen omdat ze niet weten waar ze aan toe zijn. Ik kom daar op allerlei manieren op terug bij de beantwoording van de vragen.

Staatssecretaris Struycken:

Ik zal beginnen met een aantal opmerkingen die de AVG en de UAVG betreffen. Dan kom ik bijvoorbeeld ook op de tennisbond. Daarna zal ik toch nog terugkomen op het bredere stelsel, de samenwerkingsverbanden en de FG's. Dan zal ik aandacht besteden aan de FG. Tot slot heb ik een categorie overig, waar onder andere de andere onderzoeken, zoals het onderzoek van Offlimits inzake deepfakeporno, en Preselect Recidive in zitten.

Dan ga ik nu verder met een aantal onderwerpen uit het eerste blok. Ik begin met het punt dat mevrouw Dral maakte, de uiting die zij geeft aan een zeker ongenoegen, een zekere onvrede of frustratie naar aanleiding van de besluitvorming van de AP inzake de KNLTB. Ik ben het er geheel mee eens, zoals ik ook al zei, dat handelingsverlegenheid een probleem is en nadelige gevolgen kan hebben. Ik zie, ook als gevolg van de uitspraak in deze procedure van een aantal jaren, dat de AP in het kader van haar voorlichtende taak zich verder wil gaan inspannen voor een minder verkrampte omgang met de AVG, en dat mensen zich minder laten leiden door angst. Mevrouw Dral wijst terecht op overweging 4 van de AVG, want de AVG moet erop gericht zijn ook het vrije verkeer van persoonsgegevens, zij het binnen duidelijke kaders, te waarborgen.

Het arrest van het Europese Hof van Justitie inzake de tennisbond, van 4 oktober, past geheel in de terechte wens die door Kamerlid Dral is verwoord om meer risicogericht op te treden. Althans, zij heeft de wens dat de Autoriteit Persoonsgegevens dat gaat doen. Per geval moet, zoals het Hof bepaalde, worden bezien welk belang zwaarder weegt: dat van de verwerkingsverantwoordelijke of van degene wier gegevens worden verwerkt. De Autoriteit Persoonsgegevens heeft op haar website inmiddels de vermelding geplaatst dat een belangrijk deel van de eerder gegeven normuitleg op dit punt niet meer actueel is. Ook dergelijke publicaties, in dit geval vanuit de AP, kunnen helpen om in de toekomst handelingsverlegenheid verder terug te brengen. Een dergelijke verduidelijking van het beoordelingskader zal op termijn helpen om die handelingsverlegenheid eruit te krijgen.

Staatssecretaris Struycken:

Voorzitter. Mevrouw Kathmann wees op de publieke dienstverleners en het rapport uit 2024, over 40 knelpunten. Deze knelpunten zijn vermeld in de brief van 22 mei 2024. Wat betreft de aanpak binnen het domein van Justitie en Veiligheid is in 2024 de taskforce gegevensdeling opgericht. Die richt zich voornamelijk op de zware ondermijnende criminaliteit en de kind- en gezinsbescherming. Die taskforce gegevensdeling zal in samenspraak met de betrokken stakeholders mogelijke interventies op casusniveau analyseren, synthetiseren en formuleren, die vervolgens zo veel mogelijk worden vertaald naar structurele verbeteringen. Uw Kamer is door de minister van Sociale Zaken en Werkgelegenheid, als coördinerend minister van Werk aan Uitvoering, in de afgelopen maanden in een brief nader geïnformeerd over de aanpak van de knelpunten die door het Netwerk van Publieke Dienstverleners zijn aangeleverd. Deze knelpunten staan dus op de radar en zijn erg van belang gebleken voor verdere uitwerking, vormgeving en aanpassing van het recht.

Staatssecretaris Struycken:

Ik echo verschillende elementen van de opmerking van mevrouw Kathmann. Ten eerste moeten we uitkijken voor de regelreflex, zeker waar het concrete, specifieke casuïstiek betreft. In het algemeen is het altijd een afweging tussen algemene beginselen of principes en hele gedetailleerde technische regels. Ik zet even mijn pet van verantwoordelijke voor de kwaliteit van de wetgeving op als ik zeg dat dat geldt voor alle regelgeving. Ik vind het een uitdaging om erachter te komen waarmee de toegankelijkheid van het recht nou meer is gediend: met hele grote hoeveelheden hele gedetailleerde regels of met beginselmatige regelgeving? Daar is nu geen antwoord op, maar dat is voortdurend een balans. Ik denk dat we die ook hier in dit deel van het recht moeten blijven zoeken als wij, de regering met uw Kamer, nadenken over nieuwe wetgeving en het herzien van wetgeving. Dat is één algemeen antwoord. Het tweede is dat er in die knelpunten inderdaad een aantal rode draden zitten. Die staan centraal in het werken van de taskforce. In ieder geval binnen Justitie en Veiligheid wordt er op die basis gewerkt met die knelpunten. Mevrouw Kathmann refereerde ook aan het fenomeen van sectorale wetgeving. Daar kom ik straks nog even op terug.

Staatssecretaris Struycken:

Mijn analyse is misschien een fractie anders. Ik denk dat we hier nu juist te maken hebben met complexe regelgeving, die er niet voor niks is. Het is niet voor niks dat die complex is, want die luistert heel nauw. Ik denk dat mijn interpretatie van de situatie waarin we nu verkeren niet zozeer is dat de regelgeving niet deugt, maar meer dat de complexiteit alsmede de angst voor handhaving met zich meebrengen dat men overmatig voorzichtig is. Een van uw leden refereerde eraan dat het ook kan zijn dat het soms nog weleens als een excuus wordt gebruikt om niks te doen, onder het mom van: het mag misschien niet, dus we doen het maar niet. Maar dat zal niet de normale situatie zijn. Ik geloof echt dat wijziging van de regelgeving hier nu niet per se de eerste stap zou moeten zijn, maar ik geloof veel meer in voorlichting over de toepassing van die regels en over wat er binnen bestaande kaders wel kan. Ik zie echt dat daar de grootste slag te maken is.

Staatssecretaris Struycken:

Eigenlijk denk ik dat het zo gezien niet wezenlijk afwijkt van elke andere situatie waarin je je als justitiabele, als bedrijf of als burger, hebt te verhouden tot de wet. Ik denk niet dat de Autoriteit Persoonsgegevens het goede adres is. Ik aarzel of die in concrete gevallen een adviserende rol zou moeten nemen, want dat verdraagt zich slecht met de controlerende, handhavende taak die de autoriteit ook heeft. De adviserende rol van de autoriteit moet beperkt blijven tot algemene advisering. In de versterking van de functionaris gegevensbescherming hebben we een grote slag te maken. Ik heb dat ergens in een mapje zitten, maar ik kan zeggen dat 15 mei een belangrijke dag wordt. Misschien worden u en uw Kamer ook uitgenodigd, voorzitter, want dan gaan we het Nationaal Register voor FG's in werking stellen. Dat is een onderdeel van een veel bredere kwaliteitsslag met betrekking tot de functionarissen gegevensbescherming. Dat is dus een traject dat ertoe moet leiden dat die FG's beter geëquipeerd, beter opgeleid en beter getraind zijn om duiding te geven aan het toepasselijk regelgevend kader. Dus die FG's zullen daar op termijn een belangrijke rol in kunnen en zelfs moeten spelen.

We hadden het over de vier spelers. We noemden nog de Europese Commissie en de rijksoverheid, maar bij geen van beide zie ik een loket zitten. Ten vijfde is er natuurlijk ook gewoon juridische bijstand in de vorm van een advocaat. Uiteindelijk is het ook gewoon advies krijgen over wat de wet in jouw situatie behelst. Daar is dus nog een vijfde actor als het gaat om het reduceren van handelingsverlegenheid. Maar dat voedt elkaar natuurlijk. Naarmate FG's, naarmate de voorlichtende rol van de AP en naarmate wij als wetgever een duidelijke richting geven, zal het voor advocaten makkelijker worden om te weten wat de betreffende cliënt wel of niet kan doen.

Staatssecretaris Struycken:

De heer Valize vroeg, nu we het hebben over evaluatie van wetgeving, hoe de evaluatie van de UAVG zich verhoudt tot de tweede Europese evaluatie van de GDPR. Ik noemde al dat de UAVG, de uitvoeringswet, de ruimte invult die onder de AVG bestaat voor lidstaten om specifieke nationale regelingen te treffen. Het WODC heeft al in 2022 het evaluatierapport uitgebracht over de effecten en de uitvoering van de UAVG in de praktijk. Om de effectiviteit van de AVG te waarborgen voert de Europese Commissie vanaf 2020 elke vier jaar een eigen evaluatie uit. Het is deze evaluatie die onlangs voor de tweede keer is gepubliceerd. Het gaat dus om verschillende evaluaties, die weliswaar allemaal zien op gegevensbescherming, maar waarvan de ene ziet op de AVG en de andere op de UAVG. Daarbij zijn er natuurlijk belangrijke raakvlakken, maar ze zijn wel complementair aan elkaar.

De heer Valize vroeg ook naar de problematiek van de Archiefwet en de uitzonderingen die er zijn en wees op overweging 158. De UAVG biedt inderdaad verschillende mogelijke uitwerkingen. Hoofdstuk 3 van de UAVG regelt de uitzonderingen die wij in Nederland op basis van het Nederlandse recht hebben gekozen. Overweging 158 stelt dat de lidstaten moeten kunnen bepalen dat persoonsgegevens voor archiveringsdoeleinden verder mogen worden verwerkt, bijvoorbeeld met het oog op het verstrekken van specifieke informatie over het politiek gedrag onder voormalige regimes, genocide, misdaden tegen de menselijkheid, met name de Holocaust, of oorlogsmisdaden. Het doen van wetenschappelijk of historisch onderzoek wordt op grond van artikel 5 van de AVG geacht in overeenstemming te zijn met het oorspronkelijke doel.

In artikelen 24 en 33 van de UAVG is een uitzondering opgenomen op het verbod om bijzondere of strafrechtelijke persoonsgegevens te verwerken. Deze mogen gebruikt worden voor wetenschappelijk of historisch onderzoek. Daaronder valt ook onderzoek naar de Holocaust en onderzoek in oorlogsarchieven. Er is echter nog geen specifieke wetgeving in Nederland met betrekking tot de openbaarmaking van archieven voor deze doeleinden. De Archiefwet is dus bepalend. Zoals bij de behandeling van de nieuwe Archiefwet aan uw Kamer is medegedeeld, zal de minister van Onderwijs, Cultuur en Wetenschap met een wetsvoorstel komen om het mogelijk te maken dat het Centraal Archief Bijzondere Rechtspleging toch toegankelijk wordt voor een breed publiek. Dit doen we dus naar aanleiding van een waarschuwingsbrief van de Autoriteit Persoonsgegevens. De minister van OCW zal dit punt dus verder voeren.

Ik kom ...

Staatssecretaris Struycken:

Ik kan niet in algemene zin beoordelen in welke mate er van uitzonderingen nog geen gebruik is gemaakt. Ik denk ook dat dat beter kan worden gedaan vanuit de problematiek die zich voordoet. Maar laat ik in algemene zin volstaan met het antwoord dat we daar binnenkort bij de herziening van de UAVG door middel van de verzamelwet — dat zal niet de laatste fase zijn — steeds opnieuw naar zullen willen kijken met uw Kamer, om te kijken of we het maximale doen om mogelijk te maken wat mogelijk zou moeten kunnen zijn onder de AVG.

Staatssecretaris Struycken:

Nee, daar waar die uitzonderingen nu niet hun weerslag hebben gekregen in de UAVG, zal de evaluatie van de UAVG als zodanig dat, eng beschouwd, niet meenemen. Maar ik denk dat een evaluatie van de UAVG altijd zal plaatsvinden in het licht van de behoeften zoals die zich in de samenleving hebben gemanifesteerd. De reflectie zal dan ook direct zien op de ruimte die er wel degelijk onder de AVG zou kunnen worden geboden. Dus dat nemen we zeker mee, ook daar waar het de evaluatie van de UAVG betreft. Ik heb nu geen beeld van de uitzonderingen die nog niet gebruikt zijn, maar ik zal daar waar daar ruimte voor is, kijken of we dat overzicht alsnog kunnen maken.

Ik kom nu op de vraag van mevrouw Kathmann over de spanning die er bestaat tussen wetgeving vooraf en jurisprudentie achteraf. We hadden het er al even over. Een belangrijk element van het antwoord is dat de AVG en de UAVG technologieneutrale regelgeving beogen te zijn, in algemene termen gesteld, enigszins vanuit de beginselen, zodat bij nieuwe technologieën de bescherming in beginsel nog steeds passend zou moeten kunnen zijn. Er is dus ruimte voor rechtsontwikkeling en dat komt mede doordat die wetgeving die ruimte biedt. De jurisprudentie van het Europees Hof zal daarbij dan ook een grote rol spelen om te duiden welke ruimte er in de wetgeving zit. Ik denk dat jurisprudentie achteraf altijd en onvermijdelijk een belangrijke rol zal spelen en zal blijven spelen — dat moeten we ook willen — om invulling te geven aan de ruimte die er binnen dat brede technologieneutrale kader bestaat. Ik aarzel erover of we dat steeds met nadere wetgeving moeten dichtregelen. Rechters plegen namelijk goed in staat te zijn richting te geven op een manier die stap voor stap de rechtsontwikkeling stut.

Mevrouw Kathmann bracht in dit kader ook de suggestie op om regelmatiger bijeen te komen in de Kamer in een WGO, drie keer per jaar, en dan te overwegen om tot nadere wetgeving te komen. Het is aan uw Kamer om daar vorm aan te geven. Uiteraard zullen wij daaraan deelnemen als ons dat wordt verzocht. De gedachte om regelmatig te toetsen wat nodig is, lijkt me opportuun. Of dat ook elke keer moet leiden tot wetgeving is uiteraard de vraag, maar die vraag zal dan centraal staan in dat overleg.

Mevrouw Kathmann noemde één element dat ik even expliciet wil maken. Zij suggereerde dat ook de Autoriteit Persoonsgegevens dan onderdeel uitmaakt van het overleg. Daar aarzel ik over. Ik geef in overweging dat dat voor de Autoriteit Persoonsgegevens misschien een moeilijke rol is, omdat ze dan onderdeel wordt van een wetgevende activiteit, terwijl de autoriteit natuurlijk primair een handhavende verantwoordelijkheid heeft. Het is misschien niet wezenlijk anders dan de rechterlijke macht vragen om bij een wetgevingsoverleg aan te schuiven. Dat punt geef ik uw Kamer dus in overweging om nader te doordenken.

Staatssecretaris Struycken:

Tegen het principe van sectorale wetgeving heb ik geen bezwaar. Die is er ook al; die kennen we in Nederland natuurlijk ook. Die dekt misschien niet alles, maar het is ook de vraag in hoeverre dat zou moeten. Het is goed om te kijken naar andere landen, zoals Frankrijk. Daar kan de Autoriteit Persoonsgegevens overigens een adviserende rol bij spelen. Maar het principe van het kijken in hoeverre we met sectorale wetgeving de lacunes kunnen vullen, lijkt me uitstekend.

Voorzitter. Dan kom ik in dit eerste blokje tot mijn laatste antwoord, ook op een vraag van mevrouw Kathmann. Zij bracht namelijk nog een ander belangrijk onderwerp op, en dat is de openbaarheid van sancties die de AP treft op basis van haar handhavende taak. Het publiceren van sanctiebesluiten door de Autoriteit Persoonsgegevens past naar mijn oordeel inderdaad binnen de inspanningsverplichting tot actieve openbaarmaking, uit de Wet open overheid, artikel 3.1. Volgens de eigen beleidsregels van de Autoriteit Persoonsgegevens voor openbaarmaking geldt al jarenlang een plicht om sanctiebesluiten te publiceren.

Ook volgens de Afdeling bestuursrechtspraak van de Raad van State past het bij de taak van een toezichthouder, zoals de Autoriteit Persoonsgegevens, dat boetebesluiten worden gepubliceerd. Die boetebesluiten geven inzicht in het tot stand komen van sancties en kunnen een waarschuwende functie hebben voor burgers. Het is een waarschuwing tegen de overtreder die de boete heeft gekregen. Dat vergt wel dat er per geval een belangenafweging wordt gemaakt, maar volgens de vaste jurisprudentie weegt het belang van openbaarmaking vrijwel altijd zwaarder dan bijvoorbeeld de dreigende reputatieschade voor de overtreder. Het leidt alleen tot een uitzondering als en zolang er ernstige twijfels zijn over de rechtmatigheid van het sanctiebesluit. Zo werd bijvoorbeeld de publicatie van een sanctiebesluit van de AP opgeschort door de voorzieningenrechter van de rechtbank Midden-Nederland, vanwege twijfels over de uitleg van de term "gerechtvaardigd belang". Zorgvuldigheid is dus geboden. Dat kan betekenen dat publicatie uitgesteld wordt.

De wet bepaalt ook dat de overtreder vooraf om zijn zienswijze moet worden gevraagd, dat hij bezwaar kan maken tegen het besluit, en dat hij naar de voorzieningenrechter kan stappen wanneer hij bezwaar maakt tegen onmiddellijke publicatie. Maar ik onderschrijf het standpunt dat zo'n boetebesluit uiteindelijk, conform de regelgeving, gepubliceerd moet worden, behoudens zeer uitzonderlijke omstandigheden. Die boetebesluiten — en dan herneem ik mijn antwoord op een van de allereerste interrupties — zijn namelijk, net als uitspraken van rechters, richtinggevend en daarmee een oplossing voor het probleem van de handelingsverlegenheid.

Voorzitter. Ik kom op het bredere stelsel, maar ik zie dat ik al vermeld heb dat dit kabinet het voornemen heeft om ook in te zetten op versterking van de functionaris gegevensbescherming. Dat is een kwaliteitsimpuls waarmee het inhoudelijk niveau en de positionering van de FG worden verbeterd. Er wordt op dit moment gewerkt aan de ontwikkeling van de zogenaamde toetstermen en kwaliteitsnormen. Er wordt daarnaast gewerkt aan een gedragscode. Het register dat er zal komen, zal zo meer cohesie creëren tussen de FG's. Dat zal leiden tot verdere professionalisering. Wat het kabinet betreft is dat een heel belangrijk additioneel fundament voor betere duiding en betere toepassing van dit recht, en daarmee ook voor het verlichten van de kramp, om het zo maar even te noemen.

Wat rijksbreed beleid betreft: dit kabinet streeft naar de ontwikkeling van een rijksbrede richtlijn voor onlinemonitoring, bijvoorbeeld voor overheidsorganisaties die de sociale media monitoren. Hierover hebben de eerste gesprekken plaatsgevonden. Het verdere vervolg is gericht op het schetsen van de contouren van de richtlijn, waarbij ook stakeholders in kaart worden gebracht. Zo kan er met hun input tot een zorgvuldig kader worden gekomen. Daarover zal ook de Autoriteit Persoonsgegevens worden gevraagd te adviseren.

Voorzitter. De heer Van Nispen stelde een vraag met betrekking tot de zogenaamde samenwerkingsverbanden. Op de verwerking van persoonsgegevens door een samenwerkingsverband zijn de rechten en verplichtingen uit de AVG van toepassing, zoals het recht op inzage, het recht op rectificatie en het recht op gegevensuitwisseling. Elk samenwerkingsverband dat onder de Wet gegevensverwerking door samenwerkingsverbanden, de WGS, komt te vallen, krijgt een contactpunt waar burgers terechtkunnen om hun rechten op grond van de AVG uit te oefenen. Dit contactpunt moet burgers ook op eigen initiatief informeren over de gegevensverwerking. Als de betrokkene het oneens is met hoe het contactpunt omgaat met zijn rechten, kan de burger bezwaar maken bij het contactpunt. Ook kan de betrokkene naar de rechter stappen als hij meent dat zijn rechten zijn geschonden. Verder kan de betrokkene, zoals in alle gevallen, een klacht indienen bij de Autoriteit Persoonsgegevens. Als een deelnemer tot een interventie overgaat, geldt de gebruikelijke rechtsbescherming. Wanneer een deelnemer bijvoorbeeld een bestuurlijke boete oplegt, geldt naast de AVG de rechtsbescherming uit de Algemene wet bestuursrecht. Overigens moet een deelnemer ook zelf feitenonderzoek doen voordat hij overgaat tot een interventie. De informatie uit het samenwerkingsverband kan slechts als aanleiding daartoe dienen.

Ik kom op de vragen met betrekking tot de AP, de Autoriteit Persoonsgegevens. Velen van u hebben gerefereerd aan de evaluatie die de Autoriteit Persoonsgegevens zelf heeft laten uitvoeren, waarbij zij als opdrachtgever heeft opgetreden. De Autoriteit Persoonsgegevens heeft dit rapport naar uw Kamer gestuurd met daarbij een reflectie, zoals dat wordt genoemd. In het vorige commissiedebat heb ik uw Kamer geïnformeerd over het feit dat deze evaluatie op korte termijn was te verwachten. Ik heb toen toegezegd dat wij voor het meireces met een reactie daarop zouden komen. Veel van de door uw Kamer gestelde vragen met betrekking tot die evaluatie zullen daarin terugkomen. Dat kan mede de vraag omvatten of de AP zelf opdrachtgever zou moeten, kunnen of mogen zijn. Ik gebruik met opzet al die werkwoorden in één zin. U weet dat de toenmalige minister voor Rechtsbescherming in een brief aan uw Kamer helder heeft gemaakt dat het standpunt van het kabinet is dat het opdrachtgeverschap van elke zbo-evaluatie bij de bewindspersoon hoort te liggen en niet bij de te onderzoeken zbo. Dat is nu niet zo gelopen. Een onderdeel van de reactie op de evaluatie die we naar uw Kamer gaan sturen, is dat we daar een nader standpunt over gaan innemen, want het principiële argument van de Autoriteit Persoonsgegevens ligt nog open op tafel, namelijk dat de bewindspersoon, het kabinet, uit hoofde van het Europees recht niet de opdrachtgever mag zijn. Daar moeten we nog een ei over leggen.

Staatssecretaris Struycken:

Wij komen hierop terug, maar het is misschien niet schadelijk om het debat nu al deels te voeren. Nogmaals, in anticipatie op het standpunt dat wij hier als kabinet over zullen innemen, merk ik in algemene zin op dat voor alle zbo's geldt dat het zelfstandige en in belangrijke mate onafhankelijke organen zijn. Die zijn niet voor niks als zbo opgetuigd. Desalniettemin is in de Kaderwet zbo's bepaald dat daar waar het gaat om de evaluatie of het zbo doeltreffend en doelmatig opereert, de beheerder, de opdrachtgever, het kabinet is.

In de UAVG zijn wat betreft dit zbo, dus de Autoriteit Persoonsgegevens, een aantal bepalingen uit die kaderwet buiten toepassing verklaard, juist om de onafhankelijkheid van de AP verder te versterken. Het staat ook buiten kijf dat de AP in haar handhavende taak volstrekt onafhankelijk is, zoals we dat ook kennen bij de rechterlijke macht. Het standpunt dat voor de Autoriteit Persoonsgegevens niet de reguliere zbo-evaluatie geldt, is problematisch en misschien ook niet terecht. De AVG biedt ruimte aan een nationale invulling van het toezicht op de doeltreffendheid en de doelmatigheid van de taakuitvoering. De UAVG, die daarin voorziet, biedt additionele waarborgen om de onafhankelijkheid van de Autoriteit Persoonsgegevens te waarborgen. In dat licht geef ik u mee dat de discussie niet per se moet uitvallen in het voordeel van een ongebruikelijke benadering waarbij de minister niet langer een rol heeft als opdrachtgever bij de evaluatie op deze punten en — dat voeg ik daar dan aan toe — daarop dus ook niet meer door uw Kamer aanspreekbaar is. Dat is namelijk wel een keerzijde van de medaille.

Staatssecretaris Struycken:

Dit nemen we zeker mee. De reflectie van de AP op de evaluatie die de AP heeft laten uitvoeren komt in die evaluatie komt ook aan de orde. De reflectie geeft daar een andere interpretatie aan, dus dit zal er zeker onderdeel van zijn. Het is evident dat het opportuun is dat we met de Autoriteit Persoonsgegevens op één lijn komen. Dit principiële verschil van inzicht raakt ook de mate waarin wij de evaluatie en de analyses kunnen doen die nodig zijn om ook te spreken met uw Kamer over het budget voor de AP.

Staatssecretaris Struycken:

Ik heb de toezegging gedaan dat we voor het meireces komen met een kabinetsreactie op het evaluatierapport dat de Autoriteit Persoonsgegevens met uw Kamer heeft gedeeld. Die kabinetsreactie zal dus mede ingaan op de vraag of de uitgevoerde evaluatie in dit geval kan volstaan als een zbo-evaluatie, zoals voorgeschreven in de kaderwet, en, zo niet, wat we nog verder nodig hebben om de benodigde analyses te maken. Die brief hebben wij dus toegezegd voor het meireces en vandaar gaan we verder.

Staatssecretaris Struycken:

Er zijn meer vragen gesteld over de Autoriteit Persoonsgegevens, bijvoorbeeld de vraag van mevrouw Dral of de staatssecretaris een rol kan krijgen bij de benoemingen in de raad van advies. Dat is al mogelijk. De UAVG bepaalt in artikel 7, lid 9 dat de leden worden benoemd door de minister op voordracht van de voorzitter van de AP. Maar daar gaat wel een bredere vraag achter schuil over de mate van betrokkenheid van de bewindspersoon en daarmee indirect ook van uw Kamer bij de uitwerking van de taken en de verantwoordelijkheden van de Autoriteit Persoonsgegevens. Het is dus eigenlijk een deel van het bredere debat over hoe de Autoriteit Persoonsgegevens zich verhoudt tot de overheid, tot het kabinet en in het verlengde daarvan tot uw Kamer.

Staatssecretaris Struycken:

U heeft gelijk. Artikel 7 van de UAVG bepaalt nu dat de leden van de raad van advies worden benoemd door de minister op voordracht van de voorzitter van de Autoriteit Persoonsgegevens. Nu versta ik mevrouw Dral beter, want de suggestie is dat dat niet alleen op voordracht van de Autoriteit Persoonsgegevens gebeurt, maar dat de bewindspersoon ook zelf eigenstandig iemand aanstelt. Het heet thans nog "raad van advies", maar ik zag dat de evaluatie adviseert om de taken van die raad van advies verder te versterken, zodat die gaat lijken op een raad van toezicht. Het is inderdaad denkbaar dat die raad komt te bestaan uit verschillende geledingen en dat de voordrachten door verschillende partijen worden gedaan. Dat is een hele nieuwe manier van het vormgeven van de governance van de Autoriteit Persoonsgegevens, maar die raakt natuurlijk breder aan de rol die wij aan de Autoriteit Persoonsgegevens willen toekennen en aan de rol die zij heeft vanuit de Europese regelgeving.

Voorzitter. Dan komen we nu bij het blokje overig. Ik begin met een onderwerp dat de heer Valize naar voren heeft gebracht. Op de convocatie staat inderdaad een groot aantal brieven, sommige van geruime tijd geleden. Ik weet niet of dit het laatste commissiedebat is waarin ik de erfenissen van mijn voorganger mag wegwerken. In het eerste commissiedebat werd gezegd dat het een beetje een geleende fiets is waar je als bewindspersoon op rijdt als je het beleid van je voorganger nog moet uitleggen. Dat geldt misschien inderdaad ook hier, bij het WODC-onderzoek The influence of (technical) developments on the concept of personal data in relation to the GDPR. Dat onderzoek heeft een belangrijk inzicht opgeleverd, namelijk dat de technologische ontwikkelingen op dat moment geen aanleiding gaven om het gegevensbeschermingskader als zodanig te wijzigen. Met andere woorden, de technologische ontwikkelingen werden toen, en worden volgens mij nu nog steeds, mogelijk geacht binnen het kader. Ik noemde het al even: een van de belangrijke sterke kanten van de AVG is dat zij technologieneutraal is vormgegeven. De analyse was toen, en is volgens mij ook nu, dat dat werkt. In zoverre is dit een zinvol onderzoek geweest en is het niet in een la verdwenen. Soms is een negatief antwoord ook een zinvol antwoord, namelijk het antwoord dat het niet nodig was om de wet aan te passen met het oog op nieuwe technologische ontwikkelingen.

Dan kom ik bij iets van een geheel andere orde, namelijk de relatie tot de Verenigde Staten en de gegevensuitwisseling. Dit onderwerp is vorige week donderdag ter sprake gekomen. Het voornemen bestond om voorafgaande aan dat debat een brief aan uw Kamer te sturen. Dat is uiteindelijk pas gisteren gelukt. Dus in de brief van gisteren, 17 maart, gaan we in op de belangrijkste elementen. We constateren in die brief dat de Europese Commissie veel aandacht hiervoor heeft. Dat is mede op grond van artikel 45, dat de Commissie verantwoordelijk maakt voor het zogenaamde adequaatheidsbesluit. De Commissie is op basis van de informatie die zij heeft ingewonnen, tot de conclusie gekomen dat er op dit moment geen aanleiding is om aan te nemen dat de executive order zal worden ingetrokken. Daar komt nog bij dat de analyse van de Commissie is dat het ontslag van bepaalde leden van de Amerikaanse toezichthouder nog geen onmiddellijke afbreuk doet aan het Data Privacy Framework. Die toezichthouder heeft de taak om de werking van het framework te monitoren en jaarlijks te evalueren. Die taakvervulling komt niet meteen in het gedrang nu een aantal leden van die toezichthouder is ontslagen, want de analyse is dat die toezichthouder zijn taken kan blijven uitvoeren, zelfs zonder het voorgeschreven quorum. Het heeft de volle aandacht van de Europese Commissie. Ik verwijs u graag nader naar de brief die we pas gisteren aan uw Kamer hebben doen toekomen.

Dan kom ik op de toepassing van AI door supermarkten, naar aanleiding van het recente bericht daarover in een van de landelijke dagbladen. Daarbij gaat het over AI-surveillance en met name de software daarvoor, die supermarkten in staat stelt te monitoren of er misschien een veiligheidsrisico is, dat wil zeggen: of er een risico op diefstal is. Het is lastig om deze ontwikkeling goed op waarde te schatten, want wij kennen de precieze feiten niet. In de openbare informatie is terug te vinden dat een bedrijf dat dergelijke systemen aanbiedt aan supermarkten, de technologie omschrijft als gesture-detectie, dus detectie van opvallende bewegingen, en dus niet als gezichtsherkenning. Desalniettemin begrijp ik dat dit zorgen oproept. Een onverantwoorde ontwikkeling of inzet van kunstmatige intelligentie kan namelijk inderdaad schadelijk zijn, ook voor het vertrouwen van burgers.

Het belangrijkste instrument dat we nu hebben om daarvoor te waken, is de AVG, die eisen stelt aan de verwerking van persoonsgegevens. Maar als het gaat om AI en persoonsgegevens, dan moet er een geldige juridische grondslag zijn, zoals toestemming of een gerechtvaardigd belang op basis van artikel 6 van de AVG. De verwerking van bijzondere persoonsgegevens, zeer privacygevoelige gegevens die betrekking hebben op bijvoorbeeld ras, etnische afkomst, politieke opvattingen, religie en gezondheid, biometrie et cetera, is verboden op grond van artikel 9. Dat is u zeker bekend.

De Franse toezichthouder, de CNIL, heeft geoordeeld dat de software van een Frans bedrijf, geheten Veesion — dat bedrijf levert software die supermarkten en winkels kunnen gebruiken om gedrag te detecteren — in strijd is met de AVG, omdat de software in strijd met artikel 21 opereert. Artikel 21 is de bepaling die het recht om bezwaar te maken tegen verwerking, heeft gecodificeerd. Ik volsta met te melden dat we deze ontwikkelingen uiteraard op de voet volgen, met name vanuit het perspectief van de AVG en de vraag of het stelsel nog voldoende is toegerust.

Staatssecretaris Struycken:

In de taakverdeling tussen mij en de Autoriteit Persoonsgegevens is het primair de taak en de verantwoordelijkheid van de Autoriteit Persoonsgegevens om nader onderzoek te doen. Ik wil dat onderzoek niet doorkruisen door daar zelf in te gaan interfereren. Ik ben er zeker van dat de autoriteit, mede in het licht van de Franse uitspraak, dit op de radar heeft en daarover zal rapporteren als blijkt dat dit op grote schaal ook in Nederland voorkomt. Het is mij niet bekend dat dat zo is.

Voorzitter. Dan was er nog een vraag van een heel andere orde, denk ik, over deepfakeporno en Offlimits. Terecht werd opgemerkt dat dit een zeer ernstige zaak is, omdat het mensen, misschien nog meer dan andere verwerking van persoonsgegevens, zeer raakt in de persoonlijke levenssfeer. Het is bovendien strafbaar om dit te doen, op basis van artikel 254ba — de letter b van Bernard en de letter a van Anton — van het Wetboek van Strafrecht. Het is ook strijdig met de AVG wanneer die deepfake zonder toestemming is gemaakt. Het is dus van groot belang dat er primair wordt ingezet op bewustwording en hulpverlening. Tijdens het commissiedebat Zeden en (on)veiligheid van vrouwen op 3 april aanstaande zal er gelegenheid bestaan om ook hierover in gesprek te gaan met mijn collega, de staatssecretaris van Justitie en Veiligheid, mevrouw Coenradie.

U bent bekend met het kader voor het in behandeling nemen van klachten door de Autoriteit Persoonsgegevens. Ik signaleer dat u heeft toegelicht dat het hier lang duurt. Een verzoek aan de Autoriteit Persoonsgegevens tot handhaving dient binnen een redelijke termijn te worden beantwoord. Dat wil zeggen: in beginsel niet meer dan acht weken. De Awb voorziet in de mogelijkheid om de autoriteit of de handhavende instantie in gebreke te stellen op grond van artikel 4:17. Dat in algemene zin wat betreft het handelen van de Autoriteit Persoonsgegevens.

Dan kom ik op de vraag van de heer Van Nispen. Die betrof materie die strikt genomen niet binnen mijn portefeuille valt, maar desalniettemin probeer ik een antwoord te geven op de constatering dat de politie heel veel persoonsgegevens gebruikt uit de Basisregistratie Personen. Het probleem dat de politie te veel mensen volgde, is bekend. Aan verbetering is de afgelopen jaren gewerkt door de politie in samenwerking met het ministerie van Binnenlandse Zaken, met name met de Rijksdienst voor Identiteitsgegevens. In december van het afgelopen jaar zijn door de RvIG ruim 8 miljoen geplaatste afnemersindicaties verwijderd. Daarmee is het abonnement van de politie op de BRP, op de gegevens van die personen, zoals dat wordt genoemd, komen te vervallen. De BRP staat los van de signalering.

Dan weer een ander onderwerp: Preselect Recidive. We hebben daar eerder over gesproken, in het vorige commissiedebat. De heer Six Dijkstra vraagt of ik iets kan zeggen over de termijn van vijf jaar voor de evaluatie. Die termijn van vijf jaar is de termijn die wordt gehanteerd door het WODC en het CBS. Deze termijn biedt ook de mogelijkheid om voldoende respondenten, in dit geval jongeren, te verzamelen waarbij het instrument is afgenomen, om voldoende uitspraken te kunnen doen. Het verhogen van de frequentie verkleint de kans dat er voldoende gegevens zijn om relevante conclusies te trekken, maar ik weet dat er wel tussentijdse monitoring plaatsvindt. Dit betreft dus specifiek het instrument Preselect Recidive.

De heer Six Dijkstra vroeg ook nadere informatie over het gebruik hiervan, in vervolg op de brief die ik daarover naar uw Kamer heb gestuurd. Ik heb begrepen dat de scores van de Preselect Recidive in enkele gevallen op lokaal niveau zijn gebruikt bij persoonsgerichte aanpakken. Jongeren zijn op basis van deze scores besproken in lokale ketenoverleggen, waarin vervolgens werd bekeken of er aanvullende inzet voor deze jongeren nodig was. Echter, Preselect Recidive mag uitsluitend worden gebruikt op het ZSM-overleg, en niet voor andere doeleinden. De politie heeft maatregelen genomen wanneer dit niet werd nageleefd.

De heer Six Dijkstra vroeg in het bijzonder ook naar de betekenis van de mededeling in de brief dat risicoselectie slechts aan een deel van de jongeren kenbaar wordt gemaakt. Het betreft jongeren voor wie de Raad voor de Kinderbescherming geen onderzoek doet of jongeren met een Halt-afdoening. Deze jongeren worden nu niet geïnformeerd. De reden is dat de uitkomst van de Preselect Recidive ook niet verder gebruikt wordt bij deze jongeren. Bij de implementatie van de aangepaste versie van dit instrument, uiterlijk eind dit jaar, zullen alle jongeren worden geïnformeerd.

Als laatste over dit instrument. Dat is overigens ook de laatste vraag die ik zal beantwoorden. Althans, in eerste instantie. De heer Six Dijkstra vraagt terecht aandacht voor Preselect Recidive, want het betreft potentieel heel veel mensen, onder wie jonge mensen. Het is dus ook goed dat we daar veel aandacht voor hebben, met name wat betreft het risico van tunnelvisie. Er kan van tunnelvisie sprake zijn als iemand een bepaald beeld heeft van een jongere en zijn situatie en dat beeld lastig kan aanpassen, ondanks andere informatie. De gemaakte analyse is dat de kans op tunnelvisie groter is bij een professional die geen gebruiker is van het instrument Preselect Recidive. De gestructureerde risicotaxatie die mede op basis van dit instrument wordt gedaan, voorkomt nu juist tunnelvisie. Dat is ook de reden waarom het instrument nog steeds wordt gebruikt, met inachtneming van de waarborgen die daarvoor moeten bestaan onder de AVG, zoals ik uiteen heb gezet in de Kamerbrief.

Voorzitter. Daarmee heb ik mijn vragen beantwoord.

Staatssecretaris Struycken:

Eerst over het eerste punt, want dat is misschien het makkelijkst. Ik zal de minister vragen om daarop terug te komen bij de eerstvolgende gelegenheid. Ik heb die gegevens niet, dus ik kan er beter niks over zeggen. Ik kan beter ook niks zeggen over het budget van de AP, want dat riskeert een verder debat. Het zal zeker onderdeel uitmaken van het vervolg op de kabinetsreactie die wij voor het meireces naar u zullen sturen. U weet dat daar op dit moment geen middelen beschikbaar voor zijn gemaakt. Maar we weten ook dat een goede besteding van middelen van ons vraagt dat wij, zoals we bij elk zbo doen, een goede analyse kunnen maken van wat de "p maal q" heet. Wij onderzoeken of de evaluatie die nu is gemaakt, de benodigde informatie daarvoor bevat. Zo niet, dan zullen we met de AP trachten die informatie toch op tafel te krijgen, zodat we een betere onderbouwing hebben, zoals gebruikelijk is bij zbo's en het uitgeven van gemeenschapsgeld binnen het bestaande takenpakket. Ik heb die toezegging dus uitdrukkelijk niet gedaan. Maar we weten dat we daar, in vervolg op de beleidsreactie, nog uitvoerig met elkaar over zullen spreken.

Staatssecretaris Struycken:

Mag ik u voorstellen dat ik daar in de tweede termijn even op terugkom als de vraag op dat moment nog niet beantwoord is? Ja? Oké.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Ook dank aan de Kamerleden voor hun inbreng in de eerste termijn. Er zijn al veel vragen beantwoord. Ik heb even geteld en volgens mij rest mij nog antwoord te geven op vier gestelde vragen. Maar ik begin, met uw welnemen, even met een korte inleiding. Die is echt kort, maar wel relevant.

De digitale wereld biedt ons veel kansen. Daarbij moeten we wel oog hebben voor de bescherming van onze persoonsgegevens en de naleving van de regels waar we het vandaag over hebben gehad. Zoals mijn collega al aangaf, is dat een belangrijk grondrecht. In het rapport over digitalisering in wetgeving en rechtspraak uit 2021 beveelt de Raad van State aan te zorgen voor mensgerichte inzet van ICT, waarbij rekening wordt gehouden met zowel de individuele burgers als groepen van burgers. Dit sluit aan bij de in voorbereiding zijnde Nederlandse Digitaliseringsstrategie, die een leidraad zal vormen voor wat er volgens het kabinet nodig is om de dienstverlening van de overheid te verbeteren.

Een van de doelen die we met elkaar hebben en willen bereiken, is dat de overheid toegankelijke en passende diensten verleent aan burgers en ondernemers en beleid maakt dat hen centraal stelt, ten dienste van de maatschappelijke taak. Wat de maatschappelijke taak betreft is daarin nog niet meegenomen dat de ambtenaar — enkele Kamerleden weten wat ik nu ga zeggen — ook goed centraal moet komen te staan en goed geëquipeerd kan zijn.

Voorzitter. Wat mij betreft ga ik dan naar de vier vragen die ik wil beantwoorden. De eerste vraag is van de heer Valize: wanneer wordt de lijst met grondrechtenautoriteiten onder AI-verordening aangepast en is er een coördinerende activiteit? De AI-verordening biedt de mogelijkheid om op elk gewenst moment toezichthouders toe te voegen aan de lijst met autoriteiten voor de bescherming van grondrechten. Op dit moment heeft het kabinet geen concrete plannen om de lijst aan te vullen. Echter, dit kan veranderen als dat wenselijk blijkt te zijn. Onder de AI-verordening wordt het toezicht op AI-systemen bij de markttoezichthouders belegd. De betrokken ministeries werken momenteel aan een verdere inrichting van het toezicht. EZ coördineert dit. Daarbij wordt ook de rol van de bestaande grondrechtautoriteiten in het geheel van AI-toezicht verder ingevuld.

Dan een vraag van de heer Van Nispen: hoe denkt het kabinet te waarborgen dat discriminatie niet meer voorkomt en in welke domeinen is wél de kennis aanwezig om dit veilig te doen met behulp van toepassingen als algoritmes en AI? In het Algoritmekader waarover ik meerdere keren met u in de Kamer heb gesproken, zijn er diverse maatregelen en hulpmiddelen te vinden voor overheden die zich richten op een verantwoorde inzet. Dit Algoritmekader geldt als hét kader voor alle overheden om een verantwoorde inzet te borgen. De kennis is dus vanuit de overheid gebundeld in het Algoritmekader. Meer specifiek wil ik hier ook wijzen op het impactassessment voor mensenrechten bij de inzet van algoritmes, ook wel bekend als de IAMA, en de Handreiking non-discriminatie by design. Deze twee instrumenten zijn onderdeel van het Algoritmekader. Echter, de toepassing daarvan kan verschillen per domein, maar ook per AI-toepassing. Hierbij geldt dat het belangrijk is om een risicoafweging te maken. Wat mij betreft doe je dat helemaal aan het begin, dus voordat je een systeem ontwikkelt. Dat is vaak ook de bedoeling hiervan.

Staatssecretaris Szabó:

Per toepassing is dat verschillend. Je kan niet specifiek aangeven bij welke domeinen het beter werkt. Wat betreft ethische kwesties rond algoritmen en het bouwen van systemen, zie ik voor mezelf een rol weggelegd om de instrumenten die er zijn — ik heb er nu twee genoemd, maar er zullen er meer komen en die worden ook binnen mijn eigen ministerie gebruikt — over het voetlicht te brengen bij de mensen die bezig zijn met het ontwikkelen en beschrijven van processen en vervolgens met het bouwen van instrumenten. Daarin zie ik voor mijzelf dus een aanjagende functie. We hebben echter meer dan 2.500 overheidsinstellingen. Een van de mooie dingen van de Nederlandse Digitaliseringsstrategie is dat we in principe met al die overheden aan tafel zitten, dus met het Rijk, de zbo's en de koepelorganisaties zoals het IPO, de VNG, de Unie van Waterschappen. Daardoor kunnen we dit ook bestuurlijk met elkaar bespreken.

Met uw welnemen ga ik door naar de volgende vraag van de heer Van Nispen: kan er vertrouwd worden op data van de overheid en de uitvoering, nu fouten soms als signalen van fraude worden gezien? Als burgers niet weten waar ze terechtkunnen, is er een Meldpunt Fouten in Overheidsregistraties. Dit meldpunt ontvangt ongeveer 1.100 meldingen per jaar. Het kabinet werkt aan de kwaliteit van data bij de overheid, onder meer door gegevens beter vindbaar, koppelbaar en herbruikbaar te maken. Door zo te werken hoeven er minder of geen kopieën gemaakt te worden. Data blijven zoveel mogelijk bij de bron. Dit vergt overheidsbrede afspraken en standaarden. Over de versnelde invoering hiervan maak ik weer afspraken binnen de Nederlandse Digitaliseringsstrategie, waarbij standaardisering op dit soort dossiers hangt boven de vijf tot zes specifieke onderwerpen die we kiezen, zoals cloud en AI. Daar ga ik dus ook heel veel aandacht aan besteden. Wat mij betreft is een afspraak over standaarden een afspraak over standaarden. Daarnaast wordt er vanzelfsprekend gewerkt aan meer ondersteuning en aan het opleiden van ambtenaren, om de kwaliteit van data en verantwoord gebruik ervan te vergroten.

Voorzitter. Dan ga ik door naar de laatste vraag, van de heer Six Dijkstra: wat betekent de situatie rond de houdbaarheid van de EU-U.S. Data Privacy Framework voor onze digitale strategie ten aanzien van digitale autonomie en opslag in de cloud? Die is deels al beantwoord door mijn collega. U refereerde aan het debat van vorige week. Het is terecht dat u deze vraag ook beantwoord wil hebben door de staatssecretaris Digitalisering en Koninkrijksrelaties. Zoals in het debat van vorige week donderdag aangegeven, zal het cloudbeleid worden aangescherpt op het gebied van digitale autonomie. Hierbij ligt de focus onder meer op marktconcentraties, op ongewenste afhankelijkheden en op exitstrategieën voor het cloudgebruik. Daar wordt nu hard aan gewerkt door onze CIO, zoals eerder al is aangegeven. Er moeten vooraf altijd gedegen risicoanalyses worden uitgevoerd en passende veiligheidsmaatregelen worden genomen. De punten die onderdeel zijn van zo'n risicoafweging hebben onder meer te maken met: vendor lock-ins, beveiliging, continuïteit, privacyregels, dataregie, nationale veiligheid en publieke waarden.

Voorzitter. Dan ben ik aan het einde van de beantwoording van de vier vragen die gesteld zijn.

Mevrouw Dral (VVD):

Dank u wel, voorzitter. Dank aan de staatssecretaris voor de beantwoording. Ik was blij om de heer Struycken iets te horen zeggen over een betere balans, een minder krampachtige houding en uiteindelijk minder handelingsverlegenheid. Ik ben blij om te horen dat we daarnaar streven. Ik denk dat dat heel erg belangrijk is voor een heleboel partijen. Die zitten daar ook echt op te wachten. Dank voor deze houding dus.

Dan wil ik graag een tweeminutendebat aanvragen. Ik wil namelijk nog met een aantal moties komen.

Dan kom ik ten slotte nog even terug op een belofte die ik mevrouw Kathmann heb gedaan. Mijn tijd in de eerste termijn was toen namelijk al op. Uit de praktijk blijkt dat de vereiste wettelijke grondslagen — dan gaat het om artikel 6, sub c van de AVG — onvoldoende duidelijk geformuleerd zijn als het gaat om de vraag welke gegevens er gedeeld mogen worden, en met wie. Die lacune moet opgevuld worden. Gezien het aantal reeds bestaande wettelijke grondslagen, is dat nogal een operatie. Het zou helpen als hiermee rekening wordt gehouden bij het maken van nieuwe wettelijke grondslagen en als de meest prangende gevallen wat betreft onduidelijkheid rond huidige wettelijke grondslagen worden aangepast.

Ik realiseer me heel goed dat hierin ook een rol voor de Kamer ligt. Daarom zal de VVD hier bij de behandeling van de Verzamelwet gegevensbescherming op terugkomen.

Dank u wel.

Mevrouw Dral (VVD):

Jazeker, hoor, meneer Van Nispen. Die gaan over een aantal dingen die ik in de eerste termijn heb gezegd, onder andere over de raad van advies en de raad van toezicht. Maar die gaan ook over het feit dat er nu sprake is van een voordracht op aanwijzing. Wij vinden het belangrijk dat er ook eigenstandige leden in kunnen komen, al is dat nu nog niet wettelijk mogelijk. Daar denken we dus aan. Verder vind ik het ook belangrijk dat we het verbeterplan van de AP in de gaten houden en dat we dat ook gerapporteerd krijgen. Ik denk onder andere aan deze moties.

Mevrouw Dral (VVD):

Daar is echt nooit een discussie over geweest bij de VVD, echt nimmer. Maar zoals ik net eigenlijk ook al zei in een interruptie: ik vind dat je, als je het wil verbeteren ... Volgens mij zijn we het er hier aan tafel allemaal over eens dat er dingen niet goed gaan en beter moeten, juist ook voor onze inwoners en onze ondernemers. Om een verbeterslag te kunnen maken, moet je gewoon met elkaar kunnen bespreken wat er aan de hand is en wat er niet goed gaat. Ik denk persoonlijk altijd: hoe zou ik het vinden als ik in die situatie — u zei net iets over de toeslagenaffaire en ik had het over de tennisbond en over deepfakes — zou zitten? Volgens mij moeten we dat als uitgangspunt nemen. Volgens mij komen we daar met elkaar prima uit. De AP moet onafhankelijk blijven, maar ik vind wel dat we er kritisch naar mogen kijken. Zoals ik net in mijn tweede termijn zei, geldt dat ook voor onze eigen rol.

Mevrouw Dral (VVD):

Volgens mij heb ik daar net ook gewoon iets over gezegd in mijn betoog, namelijk dat het mogelijk moet zijn om een aantal leden voor te dragen, maar niet alle. Volgens mij reageerde de heer Struycken met dat hij daar positief tegen aankijkt. Ik denk dat het belangrijk is. Maar ik ben het met u eens. Nogmaals, de AP moet onafhankelijk blijven, maar we moeten met z'n allen wel kritisch naar onze eigen rol en de rol van de AP kunnen kijken.

De heer Valize (PVV):

Voorzitter, dank voor het woord. Ik heb niet zo heel erg veel te zeggen in deze tweede termijn. De staatssecretaris van Justitie en Veiligheid gaf aan te willen kijken welke ruimte en uitzonderingen van de GDPR niet worden ingevuld in de UAVG. Zou de staatssecretaris gewoon willen inventariseren welke niet zijn meegenomen en daarmee terug willen komen bij de Kamer?

Ten tweede zou ik iets willen vragen over het rapport van TILT van de Tilburg University, The influence of (technical) developments on the concept of personal data in relation to the GDPR, waar ik al eerder aan refereerde. Dat betreft ook die fiets waar u aan refereerde. In dat rapport wordt een aantal reguleringsalternatieven genoemd die zijn gevonden in wet en literatuur. Ik noem gewoon even een voorbeeld: "Maak een einde aan het onderscheid tussen anonieme en niet-anonieme gegevens. Als het steeds waarschijnlijker wordt dat gegevens worden gedeanonimiseerd en als niet-persoonsgegevens kunnen worden gebruikt voor ingrijpende gegevensprocessen, kan de keuze om anonieme of niet-persoonsgegevens buiten de reikwijdte van de gegevensbeschermingswetgeving te plaatsen overbodig worden." Dat zijn een aantal goede alternatieven. Ik zou het waarderen als hier serieus naar gekeken wordt. Kan er dan ook geëvalueerd worden op de vraag waarom dat wel of niet past? Zou de staatssecretaris daarop willen reflecteren? Of wil hij in ieder geval met een rapportje daarover komen, zodat er toch even serieus naar deze voorstellen wordt gekeken? Dat staat in hoofdstuk zes van dat onderzoeksrapport.

Dank u wel.

De heer Van Nispen (SP):

Dank u wel. Er is bij deze staatssecretarissen wat betreft de bescherming van persoonsgegevens en het naleven van grondrechten aan goede bedoelingen en mooie woorden geen gebrek. Maar we weten natuurlijk allemaal: de praktijk is weerbarstiger. Ik wil absoluut niet cynisch zijn, maar ik heb al te veel fout zien gaan. Denk aan het onderzoek naar het toeslagenschandaal, waarbij zo veel mensen vermorzeld zijn. Denk aan het controleren in wijken op basis van foutieve gegevens, waarbij steeds in dezelfde wijken wordt gecontroleerd en er wordt gezegd dat er heel veel fraude is, omdat niet in andere wijken wordt gekeken.

Dat heeft te maken met een paar zaken. In het verleden had dat te maken met een nietsontziende overheid, die bijvoorbeeld financiële belangen vooropstelde. De staatssecretaris zei daar, met iets andere woorden, in een van zijn eerste zinnen ook al iets over. Het heeft soms ook te maken met een gebrek aan kennis. Van de programmeur van de gegevens tot de topambtenaar: iedereen moet weten hoe die regels in elkaar zitten en wat het belang is van de bescherming van persoonsgegevens. Het is soms ook heel complex. Ik denk dat meerderen dat hier ook hebben genoemd, onder wie mevrouw Kathmann.

De handelingsverlegenheid van de staatssecretaris is heel herkenbaar. Dat maken we volgens mij ook mee op allerlei andere ministeries, terreinen en debatten, en ook gewoon in onze persoonlijke omgevingen. Het antwoord van de staatssecretaris Rechtsbescherming op de vraag bij wie je nou terechtkunt — is dat een organisatie, de overheid of een andere instantie? — om te vragen "mag ik dit nou wel of mag ik dit nou niet?" is uiteindelijk: de functionaris gegevensbescherming, en die gaan we versterken. Ik weet nog niet helemaal wat ik daarvan moet vinden. Ik vind het ergens een logisch antwoord, maar tegelijkertijd is het ook kwetsbaar. Gaat die functionaris het voortaan helemaal oplossen? Hoe zorgen we ervoor dat deze persoon zo sterk wordt dat die voortaan snel en goed het juiste antwoord kan geven? Ik blijf daar een beetje op hangen.

Ten slotte moet de Autoriteit Persoonsgegevens echt versterkt worden; daar zijn we van overtuigd. Er komt een beleidsreactie voor het meireces. De staatssecretaris heeft niet gezegd dat hij de Autoriteit Persoonsgegevens gaat versterken, maar wel dat hij nogmaals op dit vraagstuk terugkomt. Ik hoop dat hij dan bijvoorbeeld ook terugkomt op de aanbevelingen van de enquêtecommissie en de onafhankelijke rapporten die er inmiddels liggen, maar ook op de onderbouwing van de Autoriteit Persoonsgegevens zelf, die minutieus heeft aangeduid voor welke taak er hoeveel meer middelen nodig zijn. Ik denk dat de staatssecretaris dat tabelletje kent. Ik hoop echt dat dat onderdeel kan worden van die beleidsreactie die we voor het meireces krijgen. Dan kunnen we daarna dit belangrijke debat vervolgen.

Dank u wel.

De heer Six Dijkstra (NSC):

Dank, voorzitter. Dank ook aan beide staatssecretarissen voor hun beantwoording. Ik had nog één vraag uitstaan waar de staatssecretaris JenV nog op terug zou komen in zijn tweede termijn. Die ging over AI-surveillance.

Ik zou ook nog een laatste opmerking willen maken over de AP en over de onafhankelijkheid van de AP; die zaken zijn wel aan bod geweest, maar zaten niet in mijn eigen spreektekst. Het gaat daar namelijk veel over in dit debat. Een tijd geleden is een motie van mij aangenomen die ik samen met de heer Ceder heb ingediend. In die motie werd gevraagd: maak nou een aparte kaderwet voor autoriteiten. Dat is ook opgenomen in het hoofdlijnenakkoord. Het kabinet is tot nu toe erg terughoudend geweest om daarmee aan de slag te gaan, ook vanwege het feit dat de AP als autoriteit een zbo is. Maar dit is echt een ander soort zbo dan — ik noem maar eens wat — het Centraal Bureau Rijvaardigheidsbewijzen. Ik denk dat het heilzaam zou zijn om wel gewoon een goed en duidelijk wettelijk kader te hebben, waarin zowel de evaluatiebepaling — denk aan de vraag: wie geeft de opdracht voor de evaluatie? — als de borging van het nationaal belang van zo'n autoriteit sterk is opgenomen en waarin ook de verzelfstandiging van de rijksinspecties in een apart wettelijk kader wordt gegoten. Ik zou de staatssecretaris van JenV dus graag willen vragen om daar nog enkele opmerkingen aan te wijden. Dan doel ik op het wettelijk kader voor autoriteiten in algemene zin, en dan misschien in het bijzonder voor de AP.

Mevrouw Kathmann (GroenLinks-PvdA):

Dank, voorzitter. Democratische rechtsstaten zoals die van ons staan echt onder enorme druk in deze tijd. We moeten echt god op de blote knieën danken dat we een Autoriteit Persoonsgegevens hebben. Dat moeten we gewoon keihard koesteren. Ik woon in zo'n wijk. Ik heb weleens samen met mijn buurvrouw zo'n algoritme ingevuld. Zij is Kaapverdiaanse, alleenstaand, en woont in een sociale huurwoning, in iets wat gemarkeerd is als een probleemwijk. Ik heb het ook ingevuld, als witte vrouw die getrouwd is en in een koopwoning woont. Dan krijg je zo'n puntensysteem. De overheid ging haar pakken en mij niet. Dat had allemaal te maken met datgene waarop er geselecteerd wordt. We moeten ons er echt van vergewissen dat mensen daardoor vermorzeld worden in dit land.

Ik ben ongelofelijk blij dat de AP zegt: ja, wij moeten ook de hand in eigen boezem steken; wij nemen al die aanbevelingen over. Wij moeten dan inderdaad goed bekijken wat dat verbeterplan dan gaat worden. Maar we moeten wel een keer ophouden met hier alleen maar praten alsof het de AP zou zijn die Nederland op een soort van AVG-slot zet. Dat is namelijk helemaal niet zo. Kijk naar de sanctielijst: daar bungelen we letterlijk onderaan. Duitsland legt meer dan 3.500 sancties per jaar op. Onze AP legt zeventien sancties op. Daar moeten we ons wel van vergewissen. We kijken steeds naar die casussen waarbij het fout gaat, maar we moeten naar het overkoepelende plaatje kijken. Ik denk dat we heel veel kunnen doen door met die sectorale wetgeving te gaan werken en dit daar beter in te borgen. Dan halen we Nederland van het AP-slot.

Ik wil nog één ding aan de staatssecretaris meegeven, namelijk: als het voor die zelfevaluatie nou een probleem is dat de AP een zbo is, maak er dan een college van! Dat is de Ombudsman ook, net als de Algemene Rekenkamer. Misschien past die rol ook wel veel beter bij de AP. In datgene wat de staatssecretaris nog naar ons doet toekomen, zou ik terug willen zien wat hij daarvan vindt.

De voorzitter:

Ik heropen de vergadering. We zijn toe aan de beantwoording van de vragen in tweede termijn door het kabinet. Ik geef als eerste het woord aan de staatssecretaris van Justitie en Veiligheid.

Staatssecretaris Struycken:

Voorzitter. Diverse vragen zien nog op "hoe verder?", kort gezegd. Althans, zo vat ik het maar even samen. Ik signaleer dat we, hopelijk op korte termijn, samenkomen in de grote zaal voor een plenair debat over de verzamelwet AVG. Dat is in essentie een beperkt wetsvoorstel, omdat het ziet op een beperkt aantal technische aanpassingen. Het is aan uw Kamer om daarmee naar goeddunken om te gaan. Het is verleidelijk om daar allerlei extra dingen in te gaan regelen. Het alternatief is dat, om die wet er nu snel doorheen te krijgen, we de verzamelwet beperkt houden tot de technische aanpassingen die al langere tijd op stapel staan en dat we het voornemen uitspreken om in vervolg daarop verdere aanpassingen van de UAVG in kaart te brengen. Veel van de onderwerpen die ter sprake zijn gekomen, bijvoorbeeld als het gaat om het gebruikmaken van nadere uitzonderingen of om een andere invulling van de raad van toezicht en raad van advies, zijn allemaal aanpassingen van de UAVG. Ook de evaluatie die de AP heeft laten uitvoeren en waarop wij met een beleidsreactie komen, zou kunnen leiden tot aanpassingen.

Mijn voorstel is dat, nadat we de verzamelwet zo snel mogelijk en zo beperkt mogelijk hebben behandeld, we beginnen met een traject voor aanpassingen van de UAVG en dat we in dat kader ook aandacht besteden aan de uitzonderingen die er zijn. De heer Valize vroeg om dat te onderzoeken. Naar onze indruk biedt met name de Duitse uitvoeringswet nog inspiratie om meer gebruik te maken van de uitzonderingen die de AVG toelaat. Dat zou dus onderdeel daarvan kunnen uitmaken, evenals de aanbevelingen die zijn gedaan in het rapport uit 2022. Dat is als onderdeel van een verdere, bredere herziening die veel verder strekt dan de verzamelwet thans in het voorstel doet. Ik hoop dat ik daarmee beide vragen van de heer Valize heb beantwoord, in die zin dat we ermee aan de slag gaan als onderdeel van de bredere revisie van de UAVG naar aanleiding van hetgeen we hebben besproken en ook de evaluatie die de AP heeft laten uitvoeren.

Dan is er nog de vraag over de opmerking van de Consumentenbond. Als ik het goed begrijp, heeft de Consumentenbond erop gewezen dat klanten van supermarkten bescherming verdienen, juist ook met het oog op dit soort software. Ja, daar kunnen we het alleen maar mee eens zijn. Het gaat natuurlijk om een heel grote groep. Juist bij dit soort groepen is het opportuun dat daar veel aandacht aan wordt besteed, dus we ondersteunen de oproep van de Consumentenbond van harte.

Er is nog gevraagd door de heer Six Dijkstra naar de heroverweging naar aanleiding van zijn motie met de heer Ceder om werk te gaan maken van een kaderwet voor autoriteiten. De minister van Binnenlandse Zaken heeft u geïnformeerd in een brief van 3 maart dat zij de uitvoering van de motie ter hand zal nemen en u voor 1 juli van dit jaar nader zal informeren over de mogelijkheden om te komen tot een kaderwet autoriteiten.

De vraag werd ook gesteld of we de keuze voor een zbo moeten heroverwegen. Dat zal niet meekomen in de brief van de minister van Binnenlandse Zaken. Ik zie dat als een onderdeel van de bredere gedachtewisseling over en analyse van de positie van de AP.

Wat mij betreft is dit een opstapje naar mijn slotopmerking, namelijk dat er geen misverstand over mag bestaan wat het belang is van de Autoriteit Persoonsgegevens. Dat is voor mij evident en dat zeg ik ook als lid van het kabinet. Het is een cruciale factor in onze rechtsstaat, overigens net als alle andere toezichthouders. De vraag moet alleen maar zijn: hoe kunnen we op een zo goed mogelijke manier deze autoriteit in staat stellen om te doen wat nodig is, onder andere door heldere regelgeving en door een gedeelde visie op de precieze rol? Er is geen twijfel over dat de Autoriteit Persoonsgegevens op allerlei manieren de overheid ondersteunt, mede door haar te controleren. Dat is ook de wens van dit kabinet.

Ik hoop dat ik hiermee een reflectie heb gegeven op de opmerkingen in de tweede termijn.

Staatssecretaris Struycken:

De reactie die we hebben toegezegd voor het meireces gaat niet over al deze onderwerpen. Die gaat ten eerste en vooral over de evaluatie die de AP heeft laten uitvoeren, meer in het bijzonder over de vraag hoe wij daarop reflecteren en ook over de vraag of het reeds gedane onderzoek kan volstaan als een zbo-evaluatie, en zo niet, wat er aanvullend nodig is om een oordeel te kunnen geven over de doelmatigheid en doeltreffendheid van de uitvoering van de taken, zoals gebruikelijk voor zbo's. Het is een reactie op de evaluatie die de AP heeft laten uitvoeren en de reflectie van de AP daarop, en daarmee is het een basis voor een vervolganalyse van wat nodig is om te komen tot een beoordeling van het benodigde budget en dus ook om te komen tot de informatie waar mevrouw Kathmann in het vorige debat om heeft gevraagd. De brief voorafgaand aan het meireces zal dus niet gaan over een bredere visie op de positie van de AP en een analyse van alles wat door de AP al is vermeld over budgetten, want dat is een vervolg daarop.

Staatssecretaris Struycken:

De beleidsreactie zal een oordeel geven over de vraag of wij de gegevens hebben die ons in staat stellen om de analyse te maken die bij zbo's gebruikelijk is, als het gaat om de verantwoording van de besteding van de gealloceerde middelen. Als dat niet het geval is, zullen we daarbij vermelden welke informatie we nodig hebben. Ik hoop dat we tegen die tijd overeenstemming hebben met de Autoriteit Persoonsgegevens over hoe we die informatie krijgen, voor zover die nog niet beschikbaar zou zijn, op basis van de door de Autoriteit Persoonsgegevens zelf verrichte evaluatie.

Staatssecretaris Struycken:

Ik wil niet de toezegging gaan doen dat we daar gebruik van gaan maken. Ik wil wel de toezegging doen dat we, op het moment dat we een bredere visie van de UAVG ter hand nemen, samen met u opnieuw zullen kijken naar de aanbevelingen uit dat rapport uit 2022 en overigens ook naar de analyse van de sectorale wetgeving, ook op basis van buitenlandse wetgeving, die gebruikt is om van alle uitzonderingen in de AVG gebruik te kunnen maken.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Volgens mij zijn er aan mij in de tweede termijn geen vragen gesteld, maar ik wil de Kamerleden wel danken voor hun inbreng tijdens deze commissievergadering en de voorzitter voor het naar mijn waarneming feilloos voorzitten van deze commissievergadering.