11 Rapport commissie-Brouwer-Korf

Wij wijken niet af van de brief. Het zit in dezelfde lijn. Nu mevrouw Strik en de heer Franken daarover doorgaan en er vanmorgen veel opmerkingen over gemaakt zijn, schakel ik even door naar het onderwerp van het privacy impact assessment. Alle woordvoerders hebben daarover gesproken. Zij hebben ook allemaal gesproken over de noodzaak van het hanteren van PIA's. Bij ons is sprake van voortschrijdend inzicht. Misschien dat onze aanvankelijke terughoudendheid nog te veel is beïnvloed door de onbekendheid met de materie; dat wil ik de heer Franken graag meegeven. Ik kan echter zeggen dat het kabinet, gehoord de Kamer, verder wil gaan met de ontwikkeling van PIA's, in elk geval bij de voorbereiding van wetgeving. Overigens zijn wij die weg recentelijk al ingeslagen, want wij hebben daarvoor een leidraad vastgesteld. In de vorige week in werking getreden wijziging van de Aanwijzingen voor de regelgeving verplichten wij tot de opstelling van een informatieparagraaf. Wij zullen het PIA bovendien een plaats geven in het integraal afwegingskader voor wetgeving waaraan de ministeries van V en J en BZK toetsen. In dat opzicht vullen wij het regeerakkoord naar mijn mening goed in en komen wij ook tegemoet aan de wensen die in de Kamer breed leven.

Tegelijkertijd moet ik zeggen dat er geen algemeen aanvaarde methodiek bestaat die op alle denkbare verwerkingen even goed kan worden toegepast.

Ik vind het heel begrijpelijk dat mevrouw Slagter de diepte in wil gaan. Wij verschillen wat dat betreft niet van mening, maar het enkele feit dat wij een en ander hebben opgenomen in de Aanwijzingen voor de regelgeving en dat wij van plan zijn het daarin verder uit te werken, betekent dat het niet alleen voor het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en voor het ministerie van Veiligheid en Justitie geldt, maar ook voor andere ministeries. Mevrouw Slagter moet mij maar niet euvel duiden dat ik nu niet op dit punt met een volledige uitwerking kom.

Ik wil nog wel een kanttekening plaatsen, omdat het verhaal van de PIA's dan is afgerond voor zover het dit beleidsdebat betreft. Wij hebben er in de sfeer van de wetgeving nog maar heel weinig ervaring mee. Die ervaring moeten wij gaan opbouwen. Ik denk dat het wetsvoorstel over de nummerplaatherkenning, de ANPR, voor ons een heel nuttige en noodzakelijke ervaring kan zijn, gezien de opinie in deze Kamer. Laten wij daarover ook gewoon eerlijk zijn. Het gaat er dan om, inzichtelijk te maken wat de consequenties voor de bescherming van persoonsgegevens kunnen zijn. Tegelijkertijd blijf ik wel van mening dat niet elk wetsvoorstel zonder meer in aanmerking komt voor het houden van zo'n PIA. Ik ben dan ook van oordeel dat de mate waarin nieuwe vormen van gegevensverwerking inbreuk maken op de privacy, op zichzelf genomen een zinvol criterium is om te beslissen om wel of geen PIA te houden. Daarmee kom ik een beetje tegemoet aan de vraag van mevrouw Slagter hoe het kabinet hiertegen aankijkt. Wij moeten ook bedenken dat met het houden van een PIA de nodige kosten zijn gemoeid. Dat hebben wij in onze brief van 29 april ook geschreven. Het geldt ook voor de overheid, omdat wij niet altijd alles kunnen voorzien en soms ook advies nodig hebben. De kosten moeten naar ons oordeel in een aanvaardbare verhouding staan tot de risico's die met een PIA in kaart kunnen worden gebracht, laat ik daar ook helder over zijn. Het kostenargument is voor mij doorslaggevend bij de beslissing om niet in de Wbp voor te schijven dat een nieuwe gegevensverwerking buiten de overheidssfeer aan een PIA moet worden onderworpen. Het is in dat kader dat wij hebben opgemerkt dat het houden van een PIA binnen het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting.

Zeker. Ik begrijp echter dat mevrouw Tan nu een beetje afdaalt tot in de details. Dat is haar goed recht. In verband daarmee heb ik echter gezegd dat minister Donner nog even de tijd moet hebben om dit uitgebreid nader te preciseren voor de beide Kamers. Bovendien zit dit in zijn portefeuille. Ik moet dus ook nog de nodige voorzichtigheid betrachten.

Over de toetsing is deze ochtend door alle woordvoerders veel gesproken. Wij zijn daarmee al langer bezig. De toetsing moet vooral in het voortraject worden verricht. Daarom hebben wij een leidraad opgesteld die ambtenaren bewust moet maken van het belang van gegevens, en vooral van de manier waarop zij dat moeten vormgeven. Zeer recentelijk, namelijk vorige week, zijn de aanwijzingen voor de regelgeving van kracht geworden die verplichten tot het opnemen van een informatieparagraaf in de memorie van toelichting. Ik sprak daarover al.

Over de plaats van het PIA heb ik al de nodige opmerkingen gemaakt. Over de horizon- en de evaluatiebepaling hebben mevrouw Strik, de heer Holdijk, maar ook andere woordvoerders vragen gesteld. Wij vinden dat niet in ieder wetsvoorstel een horizonbepaling hoeft te worden opgenomen. Niet voor ieder wetsvoorstel is dat nodig, omdat niet iedere inbreuk op de privacy een zo drastische maatregel rechtvaardigt. Daarin kun je naar ons oordeel heel goed differentiëren. Bovendien moeten wij mijns inziens ook denken aan de gepleegde investeringen in de ICT. Daartoe roep ik ook de Kamer op. Wij kunnen niet zomaar beslissen om letterlijk de stekker uit de ICT te trekken als er vele miljoenen mee zijn gemoeid. Ik zie dat mevrouw Dupuis ook aanwezig is.

Over het delen van gegevens wil ik het volgende opmerken. Wij willen een beter uitgebalanceerde regeling over geheimhoudingsplichten en de betekenis daarvan in relatie tot de privacy. Naar ons oordeel moet meer en intensiever worden samengewerkt tussen toezichthouders en handhavers op verschillende terreinen. Dat is in ieders belang; niet alleen in het belang van de overheid, maar ook in het belang van burgers en ondernemers. Efficiënt toezicht verlaagt de toezichtslast op de samenleving zonder de belangen aan te tasten die dat toezicht moet dienen. Wij lopen daarbij echter wel aan tegen de verschillende regimes over de geheimhouding van gegevens die door verschillende toezichthouders zijn verzameld. Wij zullen echter niet aarzelen om, als het nodig is, daarvoor nieuwe, specifieke wettelijke voorzieningen voor te stellen. Ik zie dit echter niet als het verlaten van het doelbindingsbeginsel, zoals mevrouw Slagter – ik zie haar al opstaan – en mevrouw Strik vrezen. Integendeel. In specifieke wetgeving kunnen wij immers specifieke, nauwkeurig omschreven doeleinden opnemen.

Ik sprak over de samenwerking tussen toezichthouders en handhavers op verschillende terreinen. Dat zijn er uiteraard meer. Ik zal straks de jeugdzorg als voorbeeld noemen. Dat is ook een van de voorbeelden die minister Donner en ik noemen in de brief van 29 april. Op dat terrein moet bijvoorbeeld wel sprake zijn van samenwerking tussen de Inspectie Jeugdzorg en het CBP. Minister Donner en ik gaan samen aan de studie om te bezien of het haalbaar is om de Algemene wet bestuursrecht met een algemene voorziening uit te rusten voor het delen van toezichtgegevens. Ik ben het met de heer Holdijk eens als hij zegt dat hierbij moet worden geselecteerd tussen toezichthouders. Hoe dat zal moeten gebeuren, is een onderwerp van studie. Dat gaat weer de diepte in. Daarvoor hebben wij echt wat meer tijd nodig.

Verder mag het niet zo zijn dat de wetgeving rond gegevensbescherming een excuus is om in zeer uitzonderlijke, levensbedreigende situaties – wij spreken dan van "vitaal belang" – niet de juiste gegevens aan de juiste hulpverleners te verstrekken. Dat wil nu af en toe nog wel eens het geval zijn. Daarom zullen wij de Wbp in dit opzicht gaan verduidelijken. In de Wbp wordt geregeld dat als van een levensbedreigende situatie sprake is, gegevens zo nodig buiten een geheimhoudingsverplichting om mogen worden verstrekt. Er is dus geen sprake van "moeten worden verstrekt". Enkele woordvoerders hebben een opmerking gemaakt over vitaal belang. Met "vitaal belang" doel ik op een situatie waarbij het echt gaat om leven of dood, een situatie waaraan ernstige gezondheidsrisico's verbonden zijn. Het gaat hierbij dus om uitzonderlijke situaties. Deze term komt rechtstreeks uit de richtlijn. Dat biedt naar mijn mening dus al voldoende houvast.

Ik zou ook willen benadrukken dat het hierbij steeds gaat om een afweging in incidentele en afzonderlijke gevallen. Met een beroep op deze regeling kan geen structurele gegevensverstrekking plaatsvinden. De afweging om al dan niet tot informatieverstrekking over te gaan, ligt dus te allen tijde bij de betrokken professional zelf. Het gaat hierbij niet om de zogenaamde mission creep, waarover mevrouw Slagter deze ochtend in haar bijdrage zo treffend sprak en die zij vreest.

Ik kan mevrouw Slagter toezeggen dat wij dit zeker zullen meenemen in onze overwegingen. Zij heeft zeker gelijk dat bij de jeugdzorg nu al informatie kan worden uitgewisseld tussen de jeugdzorg en bijvoorbeeld politie-instanties. Dat is mogelijk. Zij weet echter ongetwijfeld ook dat dit in de praktijk soms maar mondjesmaat gebeurt. Dat heeft niet zozeer te maken met de juridische mogelijkheden, als wel met de cultuur binnen sommige organisaties. Tegen die problemen loop ik als staatssecretaris verantwoordelijk voor de jeugdbescherming en de jeugdreclassering, toch nog wel regelmatig aan.

Ik kom op het toezicht. Wij zullen ook zorgen voor een belangrijke kwalitatieve versterking van het toezicht op de bescherming van persoonsgegevens. Zwaarte en aard van het bestaande sanctie-instrumentarium zijn niet meer van deze tijd. Volgens mij bestaat daarover in deze Kamer brede consensus. Wij zullen dus voorstellen om oplegging van een bestuurlijke boete mogelijk te maken voor overtreding van de materiële normen van de Wbp. Met name de hoogte van de boetes die het CBP oplegt, dient voldoende afschrikwekkend te zijn. Ik kan ronduit stellen dat de regering het eens is met wat de voorzitter van het College bescherming persoonsgegevens daarover heeft opgemerkt. Je moet niet aan boetes van miljarden denken, de orde van grootte waar mevrouw Slagter aan denkt als zij het heeft over Nelie Kroesachtige boetes. Die voorzie ik dan ook niet. Over de hoogte van de boetes zelf hebben wij nog geen definitief besluit genomen. Hierop komen wij graag terug in het wetsvoorstel zelf. Dan is dat ook een punt van afweging met de beide Kamers van het parlement. Daarin zullen wij onze keuzen ook nader toelichten en onderbouwen. Op voorhand kan ik de Kamer al wel een aantal factoren meegeven waarmee rekening zal worden gehouden bij het bepalen van de boetehoogte. Er zal onder meer worden gekeken naar boetes in vergelijkbare andere wetten en boetecategorieën uit het Wetboek van Strafrecht. Het lijkt logisch om naar die aansluiting te zoeken.

Ik zie geen aanleiding om de huidige taakomschrijving van het CBP te verruimen en om het CBP om te vormen tot een ICT-autoriteit waar diverse sprekers, onder andere mevrouw Dupuis, om hebben gevraagd. Dit kabinet zet graag in – dat blijkt ook een beetje uit onze brief van 29 april – op kwalitatieve versterking van de bevoegdheden van het CBP in combinatie met een uitbreiding van de materiële privacywaarborgen in de Wbp. Dat is naar ons oordeel belangrijker dan het steken van energie in een data-autoriteit. Wat het huidige takenpakket van het CBP betreft, wetgevingsadvisering en handhaving, is er volgens ons op dit moment geen aanleiding om daar verandering in te overwegen. De EU-privacyrichtlijn schrijft deze verdeling voor. Ik roep dat nog een keer in herinnering. Ik vind echt dat die taken een zinvolle combinatie zijn. Dat wordt door het College bescherming persoonsgegevens ook niet betwist. Dat geeft men zelf ook aan. Het College zit soms wel knel door al die taken. Het lijkt mij daarom dat wij de ervaringen van het CBP bij de handhaving moeten zien te vertalen in zinvolle wetgevingsadviezen. Dat lijkt mij heel verstandig. Die rol neemt het CBP graag op zich. Wij zouden dat ook graag zien voortgezet.

Ik kan er nu al over opmerken dat wij ons wel moeten realiseren dat sommige zaken niet onomstotelijk altijd op elk moment vaststaan. In mijn gesprekken met de voorzitter van het College bescherming persoonsgegevens heb ik gemerkt dat hij ook inziet dat het openbaren van gegevens op elk moment buitengewoon schadelijk kan zijn als situaties feitelijk toch anders blijken te liggen. De heer Staal zei daar vanmorgen ook iets over toen hij de situatie rond KPN aanhaalde. Hij zei er in zijn bijdrage over dat zaken in de praktijk, als je het wat beter bekijkt, soms net iets anders blijken te liggen. Die overtuiging heeft het college zelf ook. Om die reden moeten wij niet in elke fase van het proces op dezelfde manier omgaan met de openbaarmaking. Wij zullen deze kwestie bij de herijking van de Wbp meenemen. Wij zullen dan bezien in hoeverre de openbaarmaking in alle verschillende fasen van het proces een rol moet blijven spelen.

Dan de gegevensbescherming. Wij willen ons bij het privacybeleid in algemene zin niet beperken tot de uitvoering van het regeerakkoord alleen. Dat heeft men waarschijnlijk ook gemerkt aan onze brief van 29 april. Wij zullen zorgdragen voor uitbreiding van de waarborgen die de Wbp biedt. Zo zullen wij een algemene meldplicht gaan introduceren voor datalekken. Verschillende sprekers hebben op diverse manieren gevraagd naar het burgerperspectief in die voorstellen. Wat doet het kabinet om de burger meer empowerment te geven? Er is in de samenleving een groeiende vraag waar te nemen naar meer transparantie door verantwoordelijken. Daar moeten wij goed naar kijken. Natuurlijk moeten in de sfeer van bijvoorbeeld de strafvordering onderzoeksbelangen vaak prevaleren boven transparantie. Dat lijkt soms onontkoombaar, maar op andere terreinen ligt het heel anders. ICT biedt steeds steeds meer mogelijkheden tot gecompliceerde verwerkingen. Dat is goed voor bedrijven en burgers, maar de complicaties van de verwerkingen benemen het zicht op hetgeen met persoonsgegevens gebeurt nu soms iets te veel. De recente gebeurtenissen rondom Google Street View, Playstation van Sony en de verkoop van locatiegegevens door TomTom zijn daarvan toch een illustratie. Verantwoordelijken kunnen door het bieden van meer transparantie over hun verwerkingen het evenwicht tussen de voor- en nadelen van zo'n verwerking herstellen. Wij komen daarom met voorstellen om de algemene transparantieverplichtingen te preciseren en een specifieke transparantieverplichting te introduceren voor bijvoorbeeld het profilen.

Zeker. Als het gaat om het bewustzijn van de dienaren van de overheid, dan heeft mevrouw Dupuis zeker een punt. Als het gaat om privacybescherming en het ontwerpen van systemen, dan moet dat goed tussen de oren zitten. Ik kom daar bij de individuele beantwoording op terug, maar ik heb mevrouw Dupuis wel horen spreken over empowerment. Ik heb dat per ongeluk bij de andere onderwerpen gevoegd.

De verplichtingen stellen de burger in staat om zelf zijn verantwoordelijkheid te nemen en zelf te bepalen hoever hij wil gaan met het prijsgeven van zijn persoonsgegevens. Hij kan zelf ook bepalen of hij zijn rechten van inzage, correctie en verzet wil uitoefenen. Natuurlijk is er meer mogelijk, vooral bij de vormgeving van de rechten die ik zojuist noemde, maar dat vergt een wijziging van de richtlijn. De Kamer weet dat de Europese Commissie daarmee bezig is. Wij zijn in afwachting daarvan.

Over de systeemverantwoordelijkheid van de overheid, ook voor gegevensverwerking buiten het eigenlijke overheidsdomein, zijn indringende vragen gesteld. We kunnen als overheid niet de verantwoordelijkheid overnemen van bedrijven die de laatste jaren over een grote informatiemacht zijn komen te beschikken. Die macht kan ook economisch worden ingezet, maar overheid en bedrijfsleven hebben hun eigen verantwoordelijkheden. Ik wil het bedrijfsleven noch de overheid de mogelijkheid ontzeggen om gebruik te maken van hetgeen de techniek biedt. Wel merk ik op dat bedrijven en overheid zich gewoon aan de wet moeten houden. Bedrijven en overheid moeten transparantie betrachten en verzoeken om inzage en correctie, zeker als het verzoek om correctie een wijziging van onjuiste gegevens betreft, behoorlijk behandelen. Daar moet adequaat, snel en transparant op worden gereageerd.

Zeker. Dat is precies de reden waarom ik zojuist zei dat wij graag datgene afwachten waarmee de Commissie bezig is. Tijdens de vergaderingen van de Europese Raad in Brussel, waar ik zelf een aantal keren heen ben gegaan wanneer het onderwerp privacy op de agenda stond, dringen wij er ook iedere keer op aan dat wij dit soort zaken EU-breed, voor alle 27 lidstaten, regelen en dat niet elke lidstaat dit voor zich gaat doen. In dat laatste geval krijg je namelijk wel te maken met concurrentieverstoring. Ik wil niet heel veel reclame maken voor het regeerakkoord, maar daarin staat echt meer over privacy dan in eerdere regeerakkoorden. Men kan er dan ook zeker van zijn dat de inzet van het kabinet erop is gericht om datgene wat er over dit onderwerp in het regeerakkoord staat, ook in Europees verband te realiseren. Ik realiseer me dat ik in een andere hoedanigheid, als woordvoerder van een oppositiefractie, heel wat jaren geleden heb gezegd dat je niets te vrezen hebt als je niets hebt te verbergen – die tekst herinner ik me nog goed – maar dat betekent niet dat ik me als staatssecretaris niet gebonden zou voelen aan het regeerakkoord. Men kan er dus van op aan dat het de inzet van het kabinet is om dit te realiseren.

Een aantal woordvoerders heeft vanmorgen gesproken over het recht om te worden vergeten. In Europees verband wordt er momenteel over dat recht gesproken in het kader van de herziening van de privacyrichtlijn. Alle senatoren hebben het daarover vanmorgen gehad vanuit de gedachte van een grotere zeggenschap voor de burger over de eigen gegevens. Een van de maatregelen waaraan de Europese Commissie denkt, is het expliciteren van het recht om te worden vergeten; dat zou een goede zaak zijn, zou ik bijna zeggen. We moeten met zijn allen echter wel goed helder hebben wat hieronder wordt verstaan. Het recht om te worden vergeten houdt concreet in het verplicht wissen van persoonsgegevens na afloop van een bewaartermijn of na het intrekken van de toestemming voor die gegevensverwerking door de betrokkene. Over het recht op vergeten heeft het kabinet in het BNC-fiche opgemerkt dat het vragen oproept. De gedachte erachter is sympathiek, maar ik vraag me af of het zal lukken om het recht om vergeten te worden geloofwaardig te regelen. Ik ben ook zeer benieuwd wat de Europese Commissie over dit onderwerp zal voorstellen. Men kan ervan uitgaan dat wij die voorstellen met een positieve instelling zullen bezien, mede gezien de breed gedeelde opvattingen daarover in deze Kamer.

Wij hebben tot nu toe enkele algemene uitgangspunten bediscussieerd, maar ook in de sfeer van de feitelijke maatregelen staan wij niet stil. Als staatssecretaris van Veiligheid en Justitie heb ik ook verantwoordelijkheden voor het ingewikkelde grensvlak tussen de justitiële jeugdzorg en de rechtshandhaving. Juist op dat terrein doen zich toepassingsvragen voor rond de Wbp die voor professionals op de werkvloer niet altijd gemakkelijk te beantwoorden zijn. Daarvoor is ondersteuning nodig; een aantal woordvoerders sprak daar zojuist al over. Daarom is er bij het ministerie van Veiligheid en Justitie een servicecentrum in opbouw om op zulke vragen antwoord te geven en om de uitvoeringspraktijk in staat te stellen om de Wbp goed toe te passen. Mevrouw Tan en mevrouw Strik heb ik daarover in positieve zin horen spreken.

Een aantal woordvoerders uitte zorgen over de formatie voor dit centrum. De relatief geringe formatie houdt verband met de opzet van het centrum. Wij willen een specifieke groep professionals faciliteren. Bij die opzet past de aangegeven formatie op dit moment. Voor een algemene maatschappelijke informatieplicht zie ik buiten hetgeen het CBP doet geen mogelijkheden. Als dit goed werkt, moeten wij natuurlijk wel bekijken of wij dit kunnen uitbreiden naar andere mensen die om adviezen vragen.

Hiervoor verwijs ik naar collega Donner. Hij zal hierop zo dadelijk uitgebreid ingaan. Wellicht geeft zijn antwoord mevrouw Tan nog meer input voor haar tweede termijn.

Voorzitter. Een andere wijze van vormgeven van privacybescherming waarop het kabinet inzet, is privacy by design. Zoals men heeft kunnen zien, staat dat ook zo in het regeerakkoord. Dit is een goede manier om privacybescherming concreet vorm te geven in informatiesystemen waarin persoonsgegevens worden verwerkt; ook de heer Franken wees hierop. Door toepassing van privacy by design wordt gegevensbescherming van meet af aan ingebakken in het systeemontwerp. Zij wordt van het begin af aan meegenomen. Het kabinet wil de toepassing van privacy by design stimuleren en onder anderen mevrouw Strik heeft daarvoor steun uitgesproken. Daarvoor is wel noodzakelijk kennis van de kansen en belemmeringen voor die toepassing. Het ministerie van Economische Zaken, Landbouw en Innovatie heeft TNO gevraagd om hiernaar onderzoek te doen. Mevrouw Slagter en de heer Franken hebben daarnaar gevraagd. TNO is in april van start gegaan met dit onderzoek. Het zal een aantal resultaten opleveren: een online survey naar de drijvende en remmende krachten van privacy by design, een kosten-batenanalyse van privacy by design en een internationale vergelijking. Een aantal woordvoerders heeft er al over gesproken: in hoeverre zijn andere landen ons nu al vooruit als het gaat om privacy by design in het systeemontwerp? Tevens zal het rapport aanbevelingen bevatten over de instrumenten die de overheid zou kunnen inzetten om het gebruik van privacy by design te stimuleren. Het onderzoek wordt naar verwachting eind 2011 door TNO opgeleverd. Ik zeg toe dat ik mijn collega van EL&I zal verzoeken om het aan beide Kamers tegelijk toe te sturen.

Over de wetgeving zal bij de Kamer de vraag zijn gerezen, misschien naar aanleiding van de brief en de bijbehorende notitie van 29 april, wat het kabinet concreet gaat doen. Wij zullen rond de zomer een wetsvoorstel, waaraan we nu al werken, in consultatie sturen en er met belanghebbenden, waaronder uiteraard het CBP, over gaan spreken. De inhoud op hoofdlijnen van het wetsvoorstel hebben wij in de brief van 29 april uiteengezet. We zijn dan in staat om in de herfst van dit jaar het wetsvoorstel naar de ministerraad te sturen. We moeten daarbij echter wel goed met Brussel communiceren, om te voorkomen dat we de Commissie onnodig voor de voeten gaan lopen. Zoals de Kamer weet, is er een nieuwe privacyrichtlijn in voorbereiding. We zullen er goed op letten.

In dit algemene gedeelte maak ik toch een aantal opmerkingen over de motie-Franken, want het is een belangrijke motie en alle sprekers hebben in eerste termijn gesproken over de criteria die in de motie staan. De heer Franken heeft nogmaals onder de aandacht gebracht dat de Kamer de regering vijf criteria heeft meegegeven waaraan de nieuwe wetgeving moet worden getoetst. Dat zijn prima criteria. Naar het oordeel van het kabinet werden die criteria ook al gebruikt bij het epd. Ik zeg het nogmaals: naar het oordeel van het kabinet werden die criteria ook al gebruikt bij het ontwerpen van het epd en het ekd. Collega Donner en ik willen de motie op dit moment dan ook nog niet omarmen. Op zich staan er allemaal dingen in waar wij best mee kunnen leven. We zullen er in de reactie op het WRR-rapport zeker op terugkomen. Ik zou de heer Franken dan ook willen vragen om de motie op dit moment aan te houden, afwachtende de reactie die door collega Donner zal worden gegeven op het WRR-rapport.

Voordat ik inga op de afzonderlijke vragen wil ik, mede namens de minister van Volksgezondheid, Welzijn en Sport, nog een paar opmerkingen maken over het epd.

Ik zal het zo kort mogelijk houden. Ik kan nog wat vragen overslaan, op het gevaar af dat de leden dan naar voren lopen omdat hun vragen niet zijn beantwoord. Ik zal voortmaken.

Namens de minister van VWS wil ik afstand nemen van een aantal uitlatingen over privacyschendingen bij het landelijke epd. Onder meer tijdens het debat met de Eerste Kamer op 15 maart jongstleden en in een brief aan de Eerste Kamer van 22 maart jongstleden is de minister van VWS uitgebreid ingegaan op de gang van zaken rondom de totstandkoming van het landelijk epd. Daar zou ik naar willen verwijzen. Naar het oordeel van het kabinet is het CBP nauw betrokken geweest bij het wetgevingstraject. Naar ons oordeel zijn met het CBP afspraken gemaakt over zijn toezichthoudende taken. Met het toezichtkader epd is het toezicht op het landelijk epd adequaat en bovendien naar de wens van het CBP en de IGZ ingevuld.

Ten aanzien van het ontwerp van het landelijk epd is naar het oordeel van het kabinet de nodige transparantie betracht. Ik zeg dit ook naar aanleiding van de inbreng van een aantal leden van vanmorgen. De keuzes die zijn gemaakt, hebben in alle openheid en met betrokkenheid van belanghebbenden plaatsgevonden. Het gehele ontwerp is door diverse partijen geaudit en geanalyseerd alvorens definitief gekozen is voor de bouw en implementatie. Over de voortgang van de implementatie is vanaf 2006 per kwartaal aan het parlement gerapporteerd. Ik heb dat onlangs tijdens een werkbezoek aan het CBP ook nog eens met de leden van het college besproken: hoe is dat nu eigenlijk precies gegaan met het epd? Ik had als verantwoordelijk staatssecretaris daar niet zo veel kennis van. Dit is in lijn met de terugkoppeling die ik heb gekregen.

Van een contra legem handelen, zoals mevrouw Dupuis stelt, is naar het oordeel van de regering geen sprake geweest, maar dat heeft mijn collega van VWS de Kamer ook al laten weten. Dat er, zoals mevrouw Slagter stelt, sprake zou zijn geweest van een foutieve en misleidende introductiebrief, wekt bij de regering enige verbazing, aangezien de desbetreffende brief destijds is voorgelegd aan de Tweede Kamer en ook expliciet aan de Eerste Kamer. Mijn collega van VWS heeft tijdens het mondeling overleg met de Eerste Kamer op 10 mei jongstleden inzake het landelijk epd toegezegd een onafhankelijk onderzoek te laten uitvoeren naar het besluitvormingsproces rondom de totstandkoming van het landelijk epd, waarbij zowel het beleidsmatige als het politieke besluitvormingsproces tegen het licht zal worden gehouden. Voor zover de uitkomsten van dit onderzoek nuttige aanbevelingen bevatten met betrekking tot het algemene privacybeleid, zie ik die met belangstelling tegemoet. Mevrouw Slagter heeft daar ook naar gevraagd.

Ik zal nu een beetje staccato heen gaan door de specifieke vragen die zijn gesteld, omdat mijn collega van BZK inderdaad ook nog wel de nodige tijd nodig zal hebben.

Mevrouw Tan heeft gevraagd hoe de overheid het toezicht op bedrijven en op de rechten van burgers op inzicht in, controle op en toegang tot opslag van eigen gegevens heeft geborgd. Waar kunnen burgers terecht? Ik heb het eigenlijk al gezegd: die borging zit in de Wbp. Bedrijven moeten voldoen aan de Wbp. Er is nog steeds sprake van toezicht en handhaving door het CBP. Daarom zijn wij wel van plan de transparantieverplichtingen aan te scherpen en de handhaving door het CBP te versterken met een bestuurlijke boete.

Mevrouw Tan signaleert een knelpunt; daar zal ik niet omheen draaien. Dat knelpunt is er. We hebben op dit moment niet veel geld om er ogenblikkelijk een enorme verbetering in aan te brengen, zeker niet als het over capaciteit gaat. Dat betekent dat ik met de leden van het CBP heb gesproken over de prioritering. Die is uiteraard in eerste instantie volledig hun eigen verantwoordelijkheid. In antwoord op vragen van mevrouw Strik zeg ik dat het CBP ervoor heeft gekozen om deze taak iets naar de achtergrond te plaatsen. Daar is men ook een beetje toe gedwongen door bijvoorbeeld een aantal grote onderzoeken die een zeer grote capaciteit vragen. Dat is onontkoombaar.

Over de systeemverantwoordelijkheid, waar mevrouw Tan en de heer Staal naar hebben gevraagd, heb ik gesproken.

Mevrouw Tan heeft nog gewezen op het initiatiefwetsvoorstel van Amerikaanse senatoren voor privacybescherming. Daarbij moeten we wel bedenken dat het Amerikaanse privacyrecht echt anders in elkaar zit dan het Europese. In de Verenigde Staten bestaat alleen een algemene privacywetgeving die tegen de overheid kan worden ingeroepen. Algemene wetgeving die geldig is voor het bedrijfsleven ontbreekt. Het is dus gefragmentariseerd. Het is een andere zaak. Tegelijkertijd roep ik in herinnering dat we in Europa in het kader van de herziening van de privacyrichtlijn wel met dit onderwerp bezig zijn. Laten wij dat even afwachten, dan kunnen wij daarbij nationaal aansluiten.

Mevrouw Tan en mevrouw Slagter hebben gevraagd of ik meer wil doen om inzicht te verkrijgen in het aantal databanken waarvan de overheid gebruik maakt, ook al is dat arbeidsintensief. Ik zal daarover kort zijn. Om die reden wil ik dat verwerpen, juist omdat dit analyseren en dit bij elkaar vegen een bijzonder arbeidsintensief karakter heeft. Ik neem de vraag van mevrouw Slagter echter zeer serieus en daarom zeg ik haar ook dat ik mij afvraag wat dit inzicht kan opleveren en kan bijdragen aan het proces van gegevensverwerking. Ik vind belangrijk dat elke individuele gegevensverwerking vooraf van een privacytoets wordt voorzien. Dat kan een wetgevingstoets zijn bij een wettelijke maatregel, maar het kan ook een toetsing zijn in het kader van de melding van een gegevensverwerking bij de functionaris voor de gegevensbescherming. Ik denk dat dit belangrijker is dan het op elkaar stapelen van dat soort zaken.

Over de mankracht van het servicecentrum hebben wij gesproken. Mevrouw Tan en de heer Franken hebben het onderwerp profiling aangestipt. Zij hebben gevraagd naar de visie van de regering op dit onderwerp. Wij wijzen het gebruik als zodanig niet af, maar erkennen wel het risico op privacyschending bij profiling, juist vanwege het gebruik van etiketten. Wij gaan ons in eerste instantie richten op het vergroten van transparantie bij profiling, zeg ik tot de heer Franken. Over dat onderwerp is vorig jaar in de Raad van Europa een resolutie vastgesteld die wij in wetgeving gaan omzetten. Wanneer verantwoordelijken verplicht worden gesteld profielen openbaar te maken, wordt duidelijk welke stereotype beelden worden gebruikt om te bepalen welke beslissingen er worden genomen in verband met de betrokkenen. Aangezien profiling gewoon een vorm van gegevensverwerking is, is de betrokkene in de positie de rechten van inzage, correctie en verzet uit te oefenen.

Mevrouw Tan heeft gevraagd naar andere bevoegdheden van het CBP. Daarop zetten wij niet in, maar wel op versterking van de handhaving door het CBP. Mevrouw Tan en mevrouw Slagter hebben nog gevraagd naar onze plannen met betrekking tot de versterking van dat toezicht. Ik denk dat ik daarover ook heb gesproken.

Tot slot heeft mevrouw Tan gevraagd of er aanleiding is voor een nadere beschouwing over veiligheid en privacy naar aanleiding van recente bevindingen over biometrische gegevens en de bevindingen van het CBP over naleving van de voorschriften door opsporingsdiensten bij het bevragen van gebruikersgegevens over telecommunicatie. Nee, de bevindingen van het CBP geven daartoe op dit moment naar ons oordeel geen aanleiding. Er zijn geen grove privacyschendingen geconstateerd. Wel zijn er tekortkomingen gesignaleerd bij de administratieve procedures rond die CIOT-bevragingen. De opsporingsdiensten is opgedragen dat ze per 1 mei jongstleden in control moesten zijn, om dat woord maar te gebruiken. Ze hebben aangegeven thans inderdaad in control te zijn. In de maanden mei en juni worden zes quick scans uitgevoerd om de juistheid van die in-controlverklaringen te controleren, want wij gaan er niet blind op af.

De heer Franken heeft terecht veel aandacht gevraagd voor identiteiten. Hij heeft ook gevraagd hoe dynamisch geconstrueerde identiteiten bij profiling zijn. Dat verschilt van geval tot geval. Daarbij komt dat een rationeel handelende verantwoordelijke ook zelf initiatieven neemt om profielen van tijd tot tijd bij te stellen als de ontwikkelingen daarom vragen. Wij gaan ons daarom nu vooral richten op vergroting van transparantie bij profiling, zoals is aangegeven in eerdere antwoorden op vragen.

De heer Franken heeft verder gevraagd of er twijfels bestaan over privacybescherming bij cloud computing die de maatschappelijke acceptatie kunnen aantasten. Ook de heer Staal heeft daarover opmerkingen gemaakt. Zo pessimistisch ben ik niet, zeg ik tot de heer Franken. Van het bedrijfsleven hoor ik eigenlijk heel positieve geluiden. Wel moeten wij letten op de vraag naar het toepasselijk recht. Dat is allesbepalend, voor zowel de aansprakelijkheid van de ISP's als het privacyregime en het strafrecht. Daarom moet primair in EU-verband een oplossing worden gezocht. Naar ons oordeel is het zinloos om alleen Nederland stappen te laten zetten. Dit vraagstuk ligt echt op tafel in Brussel. Het is echter zo gecompliceerd dat ik wil waarschuwen voor al te optimistische verwachtingen over een oplossing van dit probleem.

De heer Franken heeft verder gevraagd of de regering, ik zou bijna willen zeggen "nogmaals wil bevestigen" – in de vraag staat "bevestigen" – dat zij netneutraliteit onderschrijft en niet gaat filteren. Hij weet uiteraard dat de minister van Buitenlandse Zaken daarover enige tijd geleden in buitenlands verband opmerkingen heeft gemaakt, ik meen bij het bijwonen van de G8. De regering gaat uit van vrijheid en verantwoordelijkheid, van vrijheid van meningsuiting ook op het net, maar behoudens ieders verantwoordelijkheid voor de wet. Kinderporno en schending van het auteursrecht, om een paar voorbeelden te noemen die ik uit mijn eigen portefeuille vrij goed ken, moeten worden vervolgd. Van voorafgaand censureren kan geen sprake zijn, laat ik daarover volstrekt duidelijk zijn.

De heer Franken heeft heel terecht gewezen op het voortschrijden van de techniek, die nieuwe mogelijkheden kan bieden voor opsporing. Daarvoor kan worden gewezen op de inzet van camera's waarmee gebeurtenissen kunnen worden vastgelegd of het afnemen van DNA-materiaal van personen, waarmee verbanden kunnen worden gelegd met ernstige misdrijven. "De techniek", zei hij, "is niet altijd behulpzaam voor de opsporing." Het komt ook voor dat technische ontwikkelingen de opsporing juist bemoeilijken. Daarvoor wijs ik bijvoorbeeld op de ontwikkeling van internettelefonie die soms versleuteld plaatsvindt, waardoor het aftappen wordt bemoeilijkt. Wij weten niet wat de toekomst ons op dat terrein zal brengen, zodat ik wat voorzichtig moet zijn met uitspraken over de wenselijkheid van nieuwe opsporingsbevoegdheden. Dat zou mij in de toekomst nog wel eens kunnen achtervolgen. Maar ik ben het wel geheel met de heer Franken eens dat opsporingsbevoegdheden zo veel mogelijk techniekonafhankelijk moeten worden geformuleerd. Daarmee kan worden voorkomen dat de wettelijke regels te snel verouderen.

De heer Franken heeft ook gewezen op de centrale opslag van vingerafdrukken. Daarbij ging het niet om een nieuwe bevoegdheid, maar om het bijeenbrengen van gegevens.

De heer Franken heeft voorts gewezen op de ontwikkeling van het zogenaamde spoofen, waarbij gebruik wordt gemaakt van de identiteit van een andere persoon. Hij wil van de regering horen wat wij tegen deze gedragingen denken te ondernemen en wel tegen de achtergrond dat identiteitsfraude in de VS wordt gezien als snelst groeiende vorm van misdaad. Hij heeft ook gevraagd naar de voorlichting aan burgers en de strafbaarstelling van bepaalde gedragingen. De regering onderkent dat identiteitsfraude in Nederland helaas niet alleen een fictie is, maar ook een harde realiteit. Die identiteitsfraude is niet alleen voorbehouden aan het gebruik van internet, maar komt ook voor in de niet-virtuele wereld. De precieze omvang van het verschijnsel identiteitsfraude is niet bekend. In opdracht van de minister van Binnenlandse Zaken en Koninkrijksrelaties wordt op basis van de bestaande bronnen onderzoek verricht naar de omvang van de identiteitsfraude. Dit onderzoek zal naar verwachting medio 2011 gereed zijn. Ik ga ervan uit dat minister Donner de heer Franken daarover volledig zal informeren.

Mevrouw Slagter heeft mede namens de fractie van de Partij voor de Dieren een specifieke vraag gesteld over de randvoorwaarden bij digitaliseringsprojecten van de overheid. Zij heeft een zestal criteria genoemd, die grotendeels terugkomen in de motie-Franken. Over die motie heb ik al het nodige opgemerkt. Zeker bij kwesties als het gebruik van PIA's, van effectiviteitstoetsing vooraf, waaronder juridische toetsing, versterking van de positie van de burger en versterking van de bevoegdheden van de toezichthouder, ziet deze regering heel wel dat deze zaken moeten worden meegenomen, zeker als de overheid overgaat tot privacywetgeving.

Mevrouw Slagter heeft gevraagd of de samenleving veiliger is geworden door gegevensverwerking. De overheid heeft de mogelijkheid om gebruik te maken van gegevensverwerking als beleidsinstrument. Ik ben van mening dat de overheid die mogelijkheid ook moet gebruiken. Het omgekeerde, niets doen, is geen optie. Wij moeten ons ook realiseren dat wij in een tijd leven met beperkte financiële middelen en met beperkte opsporings- en vervolgingscapaciteit. Een groot aantal uwer wil aan tal van zaken daarvan prioriteit geven. Dat betekent dat wat handjes en hersens normaal genomen doen, soms ook kan worden gedaan door automatiseringssystemen. Wij moeten die zaken dus niet bij voorbaat uitsluiten.

Mevrouw Slagter heeft gevraagd, in hoeverre de overheid met al die gekoppelde databestanden criminelen in de kaart speelt. Dat is een kwestie van goede beveiliging. Door bestanden te koppelen en niet te integreren tot een soort supergegevensbestand, worden die risico's beperkt. Segmentering en compartimentering zijn beveiligingsprincipes die bij de rijksdienst breed worden toegepast. Het basisbeveiligingsniveau bij de rijksdienst is juist gebaseerd op de vertrouwelijkheid van de persoonsgegevens.

Ik dank mevrouw Slagter voor het cadeau dat we van haar kregen, namelijk het boek De Kluizenaar. Ik ben er inmiddels in begonnen, maar ik ben nog niet heel ver gekomen. Ze moet dus nog geen vragen gaan stellen. Op de achterflap las ik dat het een spannend, maar ook ontluisterend verhaal betreft. Ik weet niet of collega Donner al verder is gekomen, maar dat horen we dan wel. Er zit een spanningsveld in tussen de beginselen van de rechtsstaat, en de verdergaande technologische ontwikkelingen. Het is geschreven door een praktijkman, wat als ingrediënt voor een zeer interessant boek klinkt. Ik begrijp dat het eerste exemplaar is overhandigd aan de voorzitter van het CBP, en bij hem lijkt het mij in zeer goede handen. Volgens mij heeft hij het ook nog niet uit, want ik heb hem er de vorige week niet over gehoord, toen ik op werkbezoek was bij het CBP. Ik zal hem er bij gelegenheid nog eens over aanspreken!

De heer Holdijk heeft mede namens de ChristenUnie een aantal vragen gesteld. De regering denkt aan een onderzoek naar de mogelijkheid van het regelen van gegevensverstrekking tussen toezichthouders in de Awb. De heer Holdijk vroeg aan welke toezichthouders ik denk. Dat is natuurlijk een van de vragen die moet worden beantwoord, maar het is evident dat niet iedere BOA, parkeerwachter of tramcontroleur vanzelfsprekend recht op alle gegevens heeft. De belangen van bijvoorbeeld fraudebestrijding vergen dat gegevens systematisch worden verdeeld. We kunnen differentiëren, bijvoorbeeld in degenen die geautoriseerd worden in het raadplegen van gegevens. Wij zijn op zoek naar een goede formulering in de wet om dat belang te dienen, en tegelijkertijd te letten op de bescherming van alle gegevens.

De heer Holdijk vroeg hoe de doelbinding in samenwerkingsverbanden wordt verzekerd. Daar zie ik verschillende mogelijkheden voor. De belangrijkste twee zie ik in een gerichte aanpassing van de bestaande bijzondere wetgeving die onderlinge gegevensverstrekking voor bij die wet aan te wijzen doelen rechtvaardigt. Ook is mogelijk dat de wet een bestendig samenwerkingsverband uitdrukkelijk benoemt. Je zou kunnen denken aan joint investigating teams. Verder zou je kunnen toestaan dat in dat verband voor een bij die wet aangewezen doel die gegevens worden verwerkt.

Mevrouw Dupuis heeft het belang van empowerment van professionals benadrukt, waarbij zij vroeg hoe de overheid het privacybesef bij ambtenaren gaat vergroten. Ik wijs op maatregelen als de ontwikkeling van het Servicecentrum privacy en veiligheid op mijn ministerie. Uitgangspunt daarbij is dat professionals zelf de afweging moeten maken, wanneer gegevens wel en wanneer niet moeten worden gedeeld met anderen. Naar ons oordeel kan die professional zelf alleen tot die afweging komen, want alleen de professional is van de precieze individuele omstandigheden op de hoogte. Als voorbeelden van andere initiatieven van de overheid om het privacybesef binnen de overheid te vergroten, noem ik de Leidraad afstemming wetgeving op de Wbp, die de Kamer in een bijlage bij de schriftelijke vragen heeft ontvangen, maar ook de versterkte juridische toetsing aan de grondrechten en de Wbp in het kader van de wetgevingstoets en de verplichte aanwezigheid van een informatieparagraaf in de memorie van toelichting.

Ik had de bijdrage van mijn collega van VWS reeds met de Kamer gedeeld.

De heer Staal vroeg hoe wij aankijken tegen cloudcomputing, uit een oogpunt van privacy. Dit is een van de moeilijkste vragen waarvoor collega Donner en ik staan. Dit betreft de vraag naar het recht dat op de verantwoordelijke voor de cloud van toepassing is. Welk recht laat je daarop los? We moeten constateren dat door de wereldwijde omvang van dit verschijnsel er een noodzaak begint te ontstaan om de verschillende rechtssystemen in de VS, Azië en Europa enigszins op elkaar af te stemmen, en elkaar te vinden bij het formuleren van de gemeenschappelijkheden en de minimumwaarborgen. Maar dat zie ik wel als een taak van de EU. Ik denk dat dat niet op een heel korte termijn is geregeld, hoewel ik de heer Staal en mevrouw Strik wel wil toezeggen dat de regering bij de spaarzame bezoeken aan Brussel daarop zal aandringen.

Mevrouw Strik had de vraag of het opdringerige veiligheidsbeleid ons niet dreigt te verstikken. Zij vraagt dat aan iemand die in 2007 nog de spreuk bezigde "als je niets te verbergen hebt, heb je niets te vrezen". Dat maakt mijn antwoord niet op voorhand geloofwaardig, maar ik probeer het toch. Ik ben het niet met haar eens. Ik vind dat wij in het kader van het veiligheidsbeleid gebruik moeten kunnen maken van het instrument gegevensverwerking, en alle technologische ontwikkelingen die er zijn. Dat kan heel efficiënt zijn, bijvoorbeeld als het gaat om opsporingswerk, waar we handjes kunnen missen, die we dan ergens anders kunnen inzetten. Maar we moeten wel voldoende oog hebben voor de waarborgen van de betrokkenen. Er dient op behoorlijke wijze een juridische toetsing van de voorgenomen maatregelen plaats te vinden, wat naar mijn mening op dit moment ook gebeurt.

Mevrouw Strik vroeg of het gevaar van een onbeperkte hoeveelheid gegevensverwerking niet is dat er nog meer langs elkaar heen wordt gewerkt, of de profilering niet vaak te grof is, waardoor we ons doel voorbij schieten en of profilering geen stigmatisering in de hand werkt. Daar hoort eigenlijk ook de vraag bij of de techniek niet leidend is, terwijl de inhoud leidend zou moeten zijn. Ik ben het niet eens met de stelling van mevrouw Strik dat in het huidige privacydebat techniek de norm is. Naar mijn mening wordt daarmee tekort gedaan aan de nodige initiatieven op het terrein van privacytoetsing. Juist om de door mevrouw Strik genoemde effecten en onnodige inbreuken op de privacy te voorkomen is het goed, vooraf een gedegen juridische toetsing te verrichten bij de invoering van een maatregel waarin doelbinding, proportionaliteit en ook subsidiariteit – dat woord hoort bij select before you collect – worden meegenomen. In de leidraad voor het afstemmen van de wetgeving op de Wbp worden daar al de nodige handvaten voor geboden. De vraag is alleen – dat wil ik mevrouw Strik wel toegeven – of we ons altijd bij die wetgeving op alle ministeries voldoende bewust zijn daarvan. Ook in de toetsing zullen wij daarvoor aandacht vragen.

Ik dank de heer Van den Berg voor het waarnemen van het voorzitterschap.

Ik geef het woord aan de minister van Binnenlandse Zaken en Koninkrijksrelaties met het verzoek om het Duitse spreekwoord "in der Beschränkung zeigt sich der Meister" waar te maken.

Wij moeten nu oppassen dat wij niet meteen allerlei verbindingen aanbrengen aan de wijze waarop dit wetsvoorstel in de Verenigde Staten aan de orde wordt gesteld. Ik constateer net als mevrouw Tan dat dit een bipartiet voorstel is. Dat is werkzaam in een tweepartijenstelsel zoals men dat kent in de Verenigde Staten. Tegelijkertijd geldt dat voor meer wetgeving in de Verenigde Staten omdat het staatsbestel in de Verenigde Staten een wezenlijk andere is, waarin alle wetgeving altijd in het congres zijn oorsprong vindt en begint en dan ook door de senatoren wordt gedragen. Ons systeem van een regering die in de Kamer wetgeving indient, is vreemd aan de scheiding van machten zoals die in de Verenigde Staten geldt. De president kan per boodschap bepaalde wetten naar het Congres sturen, maar die zullen daar gedragen moeten worden door personen. Dit is een wezenlijk ander systeem. We moeten oppassen om aan die procedure bijzondere consequenties te verbinden.

Ik geef echter toe dat we met de veranderingen die we in gang hebben gezet in een ander soort problematiek terechtkomen. Het is dan ook logisch om te bekijken hoe we daar grip op kunnen krijgen. Het effect ervan – er werd gewezen op de situatie die zich heeft ontwikkeld in Noord-Afrika – laat zien dat we in een totaal ander soort samenleving zijn terechtgekomen. Tegelijkertijd moet ik ook vaststellen dat ik nog betwijfel of de ontwikkeling van de techniek op dit terrein al aan een rijpheid is gekomen die het mogelijk maakt om een overzicht te krijgen over de vraag hoe we dit probleem aan kunnen pakken. Toen de Wet persoonsregistraties werd ontwikkeld, waar ik zelf als ambtenaar in de jaren tachtig bij betrokken was en die in de jaren negentig tot stand is gekomen, dachten we dat we het hele verschijnsel nog konden beheersen via regelingen van de persoonsregistraties. Dat was namelijk overzichtelijk. Dat waren die computers. Voordat de wet door de Kamer was, hadden we al kleinere computers gekregen en tegenwoordig heeft iedereen zo'n ding in zijn binnenzak zitten met talloze persoonsregistraties, waarvan je niet weet waar ze opgeslagen zijn vanwege de gerealiseerde verbindingen. Hoe die ontwikkeling verdergaat en wat de mogelijkheden ervan zijn, moet nog duidelijk worden. Dat betekent niet dat ik rustig wil afwachten. Zo moet de Kamer mij niet beluisteren, maar we weten nu niet wat de volle omvang is. Dat we in een ander speelveld zijn terechtgekomen, is duidelijk. Daarom hadden we niet onmiddellijk binnen een maand een reactie op het WRR-rapport paraat. Dat zou ook geen recht doen aan de problematiek die in dat rapport aan de orde wordt gesteld. De leden krijgen die reactie zonder meer, maar ik kan nu niet voor de vuist weg reageren en zeggen dat we het zus of zo doen en dat het daarmee rond is.

Ik stel ook niet dat wij een gelaten, afwachtende houding moeten hebben. Ik geef alleen aan – daar reageerde ik namelijk op – dat de ondertoon van veel van de interventies van vanochtend er een was van regie: hoe kunnen wij op voorhand ontwikkelingen sturen door zorgvuldigheid te betrachten, door te kiezen, door heel zorgvuldig te overwegen wat er wel en niet nodig is? Ik constateer – dat is ook de kern van het WRR-rapport – dat de som van al deze zorgvuldigheid aan het begin niet betekent dat wij een zorgvuldige samenleving hebben.

Dat laat onverlet dat op tal van punten snelle interventies mogelijk zijn. Ik geef een ander voorbeeld: de snelheid waarmee wij biometrische gegevens in paspoorten hebben opgenomen. Snelheid heeft voor- en nadelen. Het enige wat ik tegen mevrouw Tan zei, is dat het daarom niet zo is dat je onmiddellijk een reactie kunt schrijven op het WRR-rapport, want dan beperkt deze zich tot de paar aanbevelingen die men daarin doet, terwijl men de substantie miskent. Ik wijs er overigens op dat de Kamerleden vanochtend veel rapporten hebben genoemd, maar vergeten zijn om het laatste rapport op dit terrein te noemen, namelijk De digitale overheid, de preadviezen van de Nederlandse Vereniging voor Bestuursrecht, die deze week worden behandeld. Er is een stroom van publicaties over dit onderwerp. Ook in deze publicatie is mevrouw Prins aan het woord. Dat wilde ik aangeven met betrekking tot de hele ontwikkeling.

Mevrouw Dupuis wierp de vraag op: is de overheid zelf een betrouwbare speler op dit terrein? Ik denk dat het antwoord daarop positief is. Uiteraard kan men wijzen op fouten die gemaakt zijn bij de ontwikkeling van de ICT. Binnen het bedrijfsleven is dat niet anders geweest. Inderdaad, aan het begin zijn wij vaak uitgegaan van verwachtingen, maar dat geeft slechts aan dat in een democratie een overheid niet wijzer is dan de algemene publieke opinie. Als de leden der Kamers zeggen dat wij dit moeten opnemen, dat wij hiervan een bestand moeten maken en dat wij dit nu allemaal heel zorgvuldig en gedetailleerd kunnen regelen, dan kan de overheid niet zeggen: ja, maar over vijf jaar kijken wij er anders tegenaan, dus laten wij het maar niet doen. Nee, het is een van de elementen van een democratie dat een overheid daarin mee beweegt. Ik bestrijd echter de stelling dat de overheid op dit moment maar wat doet en de gedane voorstellen niet overweegt. De staatssecretaris heeft daar reeds op gewezen. Er vindt een beoordeling plaats van het nut en de noodzaak, alleen al vanwege de investeringen. Ik meen ook dat bij de uitwisseling van gegevens nog steeds het systeem geldt dat het doel van de registraties en ieder gebruik daarvan moet worden toegestaan.

Er wordt hier veel gesproken over function creep. Uiteraard is het zo dat die discussie hier gevoerd wordt, als wij een systeem hebben dat ook voor andere doeleinden gebruikt kan worden. Meestal eindigt de discussie dan met de constatering dat het systeem wellicht voor een ander doel gebruikt kan worden, als wij het dan toch hebben. Dat is het verschijnsel waarover wij het hebben. De keerzijde is dat wij anders voor ieder nieuw probleem een nieuwe registratie zouden opstellen. Ik weet niet of wij dan geruster zouden zijn. Ik wijs in dit kader op de feitelijke ontwikkeling van nu. Op een aantal terreinen werken wij met grote databestanden waar voor verschillende functies uit geput kan worden. Zo zal de informatie over de belastingen vermoedelijk op een goed moment gebruikt kunnen worden. Zo kunnen de databestanden van het burgerservicenummer en de GBA voor verschillende doeleinden gebruikt worden. In die zin is er dus tal van ontwikkelingen.

Dit sluit ook aan bij het gegeven dat wij het niet over één instantie hebben als wij over de overheid spreken, maar over een veelheid van organen die wij mede uit het oogpunt van zorgvuldigheid vaak nog gescheiden houden. In die zin moeten wij oppassen met het beeld van één monolithische overheid. Wat is daarbinnen de verantwoordelijkheid van de minister van Binnenlandse Zaken? Die richt zich met name op een aantal algemene bestanden: de GBA, het burgerservicenummer en andere algemene voorzieningen alsmede op de brede vragen vanuit de Grondwet over de bescherming van de privacy en de maatregelen die op dat terrein nodig zijn.

Ik kom nu op het WRR-rapport dat hier uitvoerig besproken is. Mag ik voorstellen dat ik kortheidshalve niet probeer om nog verder op de inhoud daarvan in te gaan, omdat, zoals is vastgesteld, de Kamer nog een reactie krijgt van het kabinet? Het is nu wel makkelijk om een paar punten daaruit te halen, maar uit het oogpunt van volledigheid zou dat niet juist zijn. Dit is evenzo de achtergrond van het feit dat wij in de brief van 29 april niet diep zijn ingegaan op de specifieke aanbevelingen in het rapport. Ik zal in alle gevallen de Kamer toezeggen dat ik de vragen die hier vanochtend aan de orde zijn geweest evenals de verschillende zorgen die tot uitdrukking zijn gekomen, zal meenemen bij het opstellen van de reactie op het WRR-rapport.

Mevrouw Dupuis en anderen hebben gewezen op het privacybewustzijn van ambtenaren, althans het grotere bewustzijn van het feit dat wij geleidelijk aan in een ander speelveld aan het komen zijn. Waarschijnlijk is het een volstrekt juiste constatering dat nog niet iedereen zodanig van dit bewustzijn is doordrongen als de schrijvers van het WRR-rapport. Zou dit wel zo zijn, dan hadden wij ook geen behoefte aan WRR-rapporten op dit terrein. Dit is proces is nu gaande. Ik kan de leden der Kamer garanderen dat tegen de tijd dat de laatste ambtenaar, het laatste Kamerlid en de laatste minister het bewustzijn heeft zoals in het WRR-rapport gevraagd wordt, de ontwikkelingen al weer zo veel verder zijn dat wij nog steeds van een achterstand in bewustzijn spreken. Dat is echter onderdeel van het proces waarin we zitten.

Ik kom op de suggesties voor het instellen van een aantal nieuwe instituten die vanochtend aan de orde kwamen, mede aan de hand van het WRR-rapport. Ik zeg niet dat je dit wel of niet moet doen, maar ik stel vast dat het om een ontwikkeling gaat die niet met het instellen van een aantal instituten is op te lossen. Het grootste gevaar is zelfs dat met het instellen van nieuwe instituten het idee ontstaat dat wij het hebben geregeld en dat wij er niet meer op hoeven te letten. Ik zeg dat ook omdat wij bijvoorbeeld in eenzelfde discussie in deze Kamer bij de regeling van het burgerservicenummer, mede op aandringen van de Eerste Kamer het burgerservicepunt is ingesteld voor alle problemen met en klachten over het burgerservicenummer; fouten of dubbele nummers. Dat is vanochtend ook uitvoerig aan de orde gekomen. Dat servicepunt heeft in alle jaren van zijn bestaan niet meer dan 26 klachten gekregen. Ik zal daar straks nog iets uitvoeriger op ingaan.

Een ander punt dat wij ingesteld hebben, is het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten. Bij dat meldpunt zijn in een jaar tijd 100 meldingen binnengekomen, waarvan verreweg de meeste betrekking hadden op de particuliere sector, maar niet op fouten of fraude met betrekking tot overheidsbestanden. We moeten dus ervoor oppassen niet iedere keer een nieuw instituut in te stellen. In mijn reactie op het WRR-rapport zal ik daar nader op ingaan, maar dit moest mij even van het hart gelet op het belang dat er vanochtend aan gehecht werd.

Dat is onderdeel van het bezien en het evalueren zoals mevrouw Tan heeft gevraagd. Er is toegezegd om dit meldpunt na vier jaar te evalueren. Tegelijkertijd onderstreept dit hetgeen ik net gezegd heb, namelijk het grote gevaar dat wij denken dat het punt geregeld is met het instellen van een meldpunt. Wij hebben er inderdaad meer belang bij om burgers bewust te maken van de problematiek. Het effect van bewust maken ligt vooral in het feit dat je antwoorden moeten hebben op de vraag wat je moet doen met de problemen die je vaststelt. De heer Staal ging daarop in met zijn opmerkingen over de vraag in hoeverre je burgers bewust maakt. Anders laat je alleen maar de onrust toenemen en heb je geen effectief antwoord op de problematiek en de achterdocht die je opwekt. Dat gegeven neem ik mee.

Ik kom op een aantal vragen die mij zijn gesteld. Mevrouw Tan is ingegaan op de problematiek van de openbaarheid van bestuur. Zij meende, vermoedelijk op basis van berichtgeving die van anderen van mijzelf afkomstig was, dat ik bepleit zou hebben om de openbaarheid van bestuur te beperken in het belang van de kosten. Dat geeft aan dat niet alleen bij de gegevensstroom een probleem met de juistheid bestaat, maar ook breder. Ik heb deze opmerkingen namelijk niet gemaakt. Ik had het gevoel dat bij sommige berichtgeving over mijn rede de waarschuwing paste die men vroeger wel in romans aantrof: iedere overeenkomst met de werkelijkheid berust op toeval. Ik heb de rede bij me, dus als iemand deze wil lezen, is dat mogelijk. Dat er applaus op volgde, is helemaal niet zo vreemd; ik vond het zelf ook een redelijk goede rede. Sommigen wilden haar echter blijkbaar niet horen. Overigens zal ik de Tweede Kamer binnenkort een brief sturen over de openbaarheid van bestuur.

Verder heeft mevrouw Tan gevraagd naar de foutpercentages bij de Belastingdienst. Zij stelde dat men 75% foutloze dossiers voldoende achtte. Zij bracht dit in verband met bestanden. Dat is een fundamentele fout. De foutpercentages waarover het gaat, betreffen een regeling bij de Belastingdienst die stelt dat een behandelend ambtenaar, wanneer hij een aangifte controleert, verslag moet doen van zijn bevindingen en beslissingen en dat verslag aan zijn dossier moet toevoegen. De Algemene Rekenkamer constateerde dat die verslaglegging tekortschiet. Er zit overigens verbetering in, maar in elk geval sloeg de 75% op die verslaglegging. Ik weet uit mijn ervaring als voormalig minister van Sociale Zaken en Werkgelegenheid, toen ik verantwoordelijk was voor premie- en belastingheffing en de totale systematiek, dat de geldende normen 98% tot 100% juistheid van gegevens eisen. Anders zou het systeem inderdaad niet kunnen werken, want dan weet je van geen enkel gegeven of het juist is. Nogmaals, dat zijn dus heel verschillende zaken.

Ik heb zojuist al iets gezegd over het punt van mevrouw Tan over de verschillende termijnen die gelden voor de toezeggingen van de staatssecretaris met betrekking tot het burgerservicenummer. De eerste toezegging, uit 2007, betreft het functioneren van het burgerservicepunt en de instantie met doorzettingsmacht. Zoals gezegd zijn er 26 meldingen gedaan van vermoede fouten. Bij het natrekken van deze meldingen is gebleken dat in geen van de gemelde gevallen daadwerkelijk sprake was van een fout. Geen van deze zaken is dus ook met een zienswijze doorgestuurd naar het CBP. Er is toegezegd om dit burgerservicepunt na vier jaar te evalueren. De evaluatie zal eind dit jaar plaatsvinden. Ik verwacht dat het daarna verder zal lopen.

De tweede toezegging betreft een toezegging uit november vorig jaar over het overkoepelend beoordelingskader. Naar verwachting zal dat kader eind volgend jaar bij de Eerste Kamer komen. Het gaat echter om twee verschillende toezeggingen; vandaar de verschillende termijnen.

Mevrouw Tan heeft verder gevraagd in hoeverre de centrale positie van de rijks-CIO's, de hoofdgegevenspersonen, voldoende tegenwicht kan bieden bij de gebruikelijke valkuilen. Ik wijs erop dat ik in februari van dit jaar de Kamer nog heb gerapporteerd over de ervaringen met het functioneren van de CIO's. Er is een aantal aanvullende maatregelen en aanscherpingen aangegeven, maar tot dusver moet worden geconstateerd dat de functionaris werkt.

In het verlengde hiervan wijs ik op het volgende. Een van de conclusies is dat ook bij dit soort ICT-projecten minder naar absolute waarborgen aan het begin van het project moet worden gezocht. Het accent is in de afgelopen twee jaar verschoven naar de kwaliteitsbewaking tijdens de uitvoering van de projecten. Dit gebeurt onder andere door het uitvoeren van gateway reviews, waarbij getoetst wordt of de kwaliteit van het project voldoende is om aan een volgende fase te beginnen. De nadruk is dus meer komen te liggen op het proces en minder op de absolute waarborgen aan het begin waarbij alles wordt afgewogen. Dat moet ook gebeuren, maar dat biedt niet de garanties die men daarin zocht.

Verder werd gewezen op een door de WRR geconstateerde spagaat tussen de dienstverlening en de privacy. Men vroeg zich af of daarbij wellicht het element van de effectiviteit en de efficiency van het functioneren van de overheid speelde. Ook vroeg men zich af of de regering het beeld herkent waarbij de bestaande informatiseringspraktijk de kwaliteit van de dienstverlening aan de burger dreigt aan te tasten.

Ik deel de zorgen over het ongeremd terugvallen op en gebruikmaken van de mogelijkheden van informatisering. Ons maatschappelijk bestel en ons overheidsbestel zijn echter al veel te afhankelijk van deze systemen geworden om dat nog te kunnen stoppen. Daarom betwijfel ik ook zeer of bij de invoering van dit soort systemen met horizonbepalingen kan worden gewerkt. Bij een regeling zoals de bekende Walvis, waarbij een geautomatiseerd systeem is geïntroduceerd voor de belasting- en premieheffing, kan men na tien jaar niet terugkeren naar papier als het systeem niet bevredigend werkt. Gedurende die tien jaar zal men namelijk die systemen overeind moeten houden. Kortom: op een aantal terreinen zetten wij stappen die onomkeerbaar worden.

Tegelijkertijd betwijfel ik of de informatiseringspraktijk de oorzaak is van een aantal problemen in de dienstverlening. De oorzaak van die institutionalisering is de regelreflex, waarbij we in het geval van een probleem onmiddellijk een oplossing willen hebben, nieuwe regels willen toevoegen en nieuwe verfijningen in het systeem willen doorvoeren. Dat brak ons ook op bij de Walvis. Het systeem kon op den duur niet meer de snelheid bijhouden waarmee de politiek de regels van de belastingheffing veranderde. Wij hebben automatisering geïntroduceerd met de gedachte dat wij dan flexibel zijn en een en ander snel in de tijd kunnen aanpassen. De facto hebben we nu voor iedere wijziging die moet worden doorgevoerd ten minste zes maanden de tijd nodig om alle releases bij te stellen, om te zorgen dat het goed gaat. Bij andere projecten duurt het minstens negen maanden, ook als de wetgever een project afgerond heeft, voordat een project kan worden uitgevoerd, vanwege alle systemen die we daarvoor moeten invoeren. Dat zijn effecten die daarbij gelden.

Doordat wij elektronisch contact kunnen hebben met de overheid, zijn echter juist ook dingen mogelijk geworden. Bijvoorbeeld bij de paspoortuitgifte kan men 24 uur per dag, zeven dagen per week, aanvragen indienen en regelen. Men hoeft niet in de rij voor het loket te staan, maar kan het paspoort afhalen op een afgesproken tijdstip en er dan onmiddellijk mee weglopen. Het is erg gevaarlijk om eenzijdig de nadruk te leggen op gebreken en op verwachtingen die niet helemaal uitkomen en daarmee te constateren dat de dienstverlening als gevolg van de informatisering minder is geworden.

Er is gevraagd naar een reactie op de staatscommissie inzake de Grondwet. Ik wil daar vandaag niet inhoudelijk op ingaan, maar ik kan melden dat het de bedoeling van het kabinet is om daar nog voor het zomerreces op te reageren.

Het rapport van het Rathenau Instituut is in november vorig jaar uitgekomen. Op een groot aantal punten loopt het samen met de bevindingen van het WRR-rapport. Voor zover relevant zal ik de thematiek meenemen in de reactie op het WRR-rapport. Voor het overige zal erop worden ingegaan voor zover dat nodig is.

Er zijn verschillende vragen gesteld over de recente beslissing van het kabinet om af te zien van de opslag van vingerafdrukken die zijn afgenomen met het oog op de paspoorten. Die beslissing berustte op de constatering dat de technische ontwikkeling rond de mogelijkheden om vingerafdrukken voldoende eenduidig te verwerken, niet aan de verwachting heeft voldaan. Dat heeft mij ertoe gebracht om te constateren dat ik systemen van verificatie daarop niet kan laten berusten. Op dit moment heeft het dus geen zin om vingerafdrukken op te slaan. Dat is iets anders dan de vraagstukken van identiteit. Wij hebben wat ruwere biometrische gegevens op een paspoort staan, namelijk de vorm van het gezicht. Ook daarbij wordt inmiddels gewerkt met bepaalde mechanismen van herkenning. Als men zich in het fotohokje beweegt, mag men niet meer glimlachen en moet men zijn hoofd onder een bepaalde hoek houden. Het is onjuist om te constateren dat de ontwikkeling nergens op uitdraait. Nee, er is alleen gebleken dat vingerafdrukken op dit moment onvoldoende precies zijn om te worden gebruikt.

De heer Staal heeft gevraagd naar de kleinschaligheid dan wel de grootschaligheid. Ook die vraag is niet eenduidig te beantwoorden. Als ik een groot bestand kan opdelen in tien kleinere bestanden en elk van die bestanden volledig standalone kan functioneren, dan heb ik de gelegenheid tien keer zo groot gemaakt, maar bij iedere inbraak is de effectiviteit een tiende van wat het anders zou zijn. De kleine bestanden laten wij allemaal onderling communiceren. Dat was ook bij de paspoorten het geval. Daar hebben wij ongeveer 700 kleine bestanden met gegevens. Zij moeten allemaal met elkaar in verbinding staan om op iedere ambassade, wanneer een paspoort wordt aangevraagd, te kunnen weten of al eerder een paspoort is afgegeven. Op dat moment beginnen de risico's naar de andere kant door te slaan en is er reden om tot de conclusie te komen dat we ze in één groot bestand moeten opslaan waar iedereen mee kan communiceren. Dat zijn feitelijke vragen die niet systematisch grootschalig of kleinschalig kunnen worden opgelost.

Voorzitter. De heer Franken vroeg mij nog of de minister medewerking wil verlenen aan het bevorderen van encryptietechieken om daardoor herroepbare privacy mogelijk te maken. In het overleg met de centrale informatiepersonen van het departement dat in april heeft plaatsgevonden, is dat al voor de rijksdienst vastgelegd. Kortom, de versleuteling van informatie is voor de rijksdienst al in het beleid opgenomen. Dat betekent dat het nog wel in de loop van de tijd gerealiseerd en in de praktijk toegepast moet worden, maar het is dus al onderdeel van het beleid.

De heren Franken en Staal vroegen naar de beveiliging bij cloud computing. Op dat punt is de vraag aan de orde bij wie we die beveiliging moeten aanknopen. Bij dit verschijnsel weet je namelijk niet welke informatie gebruikt wordt. Dat is reden waarom ik in reactie op de motie-Van der Burg onlangs aan de Kamer een brief heb gestuurd over de strategie van de rijksoverheid met betrekking tot cloud computing. Daarin heb ik aangegeven dat het kabinet ervoor kiest om een gesloten rijkswolk te introduceren. Tussen de verschillende bestanden van het Rijk kan er wel gebruikgemaakt worden van het verschijnsel, maar dat zal afgesloten zijn voor het gebruik buiten de rijksbestanden. Overigens, als onderdeel van het realiseren van de compacte overheid zal het aantal rekencentra van de rijksoverheid drastisch worden teruggebracht. Een onderdeel van het streven naar een compacte overheid is juist om op dit punt een betere en overzichtelijkere situatie te creëren. Ik denk dat ik daarmee een antwoord heb gegeven. Voor de risico's die in de samenleving bestaan, hebben wij met deze benadering geen oplossing.

Er is gevraagd of de gevallen van identiteitsfraude te voorkomen zijn. Het kabinet besteedt daar regelmatig aandacht aan en er is een meldpunt voor identiteitsfraude en -fouten. Daarop is de staatssecretaris al ingegaan. Dat meldpunt staat burgers bij als zij identiteitsfraude vermoeden. Ik ging eerder al in op het gebruik dat daarvan is gemaakt.

Op de motie is de staatssecretaris al ingegaan. Juist omdat dit een fundamenteel aspect betreft van hoe wij als rijksoverheid moeten omgaan met het verschijnsel dat ook in het WRR-rapport aan de orde komt, zou het wellicht beter zijn om ook in die context te bespreken of de voorgestelde beginselen hanteerbaar en in het algemeen toepasbaar zijn. Op dit moment heb ik daar geen beeld van, hoezeer die uitgangspunten op het eerste gezicht het reeds door het kabinet gevoerde beleid ook ondersteunen ten aanzien van het weloverwogen omgaan met dit soort verschijnselen; dat heeft de staatssecretaris al aangegeven. Er is op gewezen dat via de aanwijzing voor de wetgevingstechniek elementen daarvan al zijn opgenomen. De vraag of dit breed kan worden geïntroduceerd, moet echter aan de orde komen in de reactie op het WRR-rapport.

Dat brengt mij bij de door mevrouw Slagter genoemde randvoorwaarden voor digitaliseringsprojecten van de overheid. Ook de heer Staal richtte de aandacht op beginselen zoals "select before you collect". In gewoon Nederlands betekent dit "bezint voordat ge begint" of gewoon "kijk even voordat je gaat verzamelen". Dat weet iedere verzamelaar. De Nederlandse taal is veel rijker dan al die domme Engelse termen die wij steeds maar gebruiken. Verschillende van de genoemde randvoorwaarden zijn inmiddels al geborgd in de afspraken over planvorming met betrekking tot grootschalige ICT-projecten. Dat geldt met name voor de noodzaak van een duidelijke doelbinding en een afwegingskader, toezicht in de ontwerpfase, voorkeur voor kleinschaligheid en het vermijden van onnodige complexiteit van de onderwerpen. Meer in het bijzonder vinden die voorwaarden hun weerklank in eisen die wij nu al stellen, namelijk dat er algemene projectinformatie moet zijn, ook over resultaat en sturing, een zakelijke rechtvaardiging, planning en beheersing, informatievoorziening aan de opdrachtgever en de Tweede Kamer en samenwerkingsverbanden. Ik wees er al op dat wij die projecten steeds meer ook tijdens het project bewaken bij het ingaan van een volgende fase, bijvoorbeeld door gateway reviews, audits en adviezen van experts. De staatssecretaris heeft al gezegd hoe de privacy impact assessment zal worden meegenomen. Wij proberen om dit soort punten al zo veel mogelijk op te pakken.

Net als mevrouw Tan heeft mevrouw Slagter het punt gemaakt dat de positie van de burger versterkt moet worden. Ik zou daarover in het algemeen een aantal opmerkingen kunnen maken, maar dat kan specifieker in de reactie op het WRR-rapport.

Mevrouw Slagter heeft ook in het kader van het burgerservicenummer gevraagd naar een duidelijke afbakening van de doelstelling en een heldere afweging van belangen. Er is uitvoerig gesproken over nut en noodzaak van een beoordelingskader. De staatssecretaris heeft aangekondigd dat het brede beoordelingskader er voor het eind van volgend jaar komt. De invoering van het BSN heeft overigens niets veranderd in de waarborgen voor het goed en correct gebruik van het nummer. Het BSN stelt ook geen eisen aan het koppelen van data. Het uitwisselen van gegevens wordt steeds in de afzonderlijke wetten geregeld. Er wordt alleen geregeld dat je het nummer mee moet geven.

Het spreekt voor zich dat het gebruik van het BSN in een specifieke sector, zoals de zorg, door niet-overheidsorganen een specifieke normenkader vereist. Het wetgevingstraject voor het gebruik van het BSN in de zorg was destijds al zo ver gevorderd dat er niet is gekozen voor een apart sectoraal normenkader. Zoals in de brief van 25 augustus 2010 staat, is sinds de invoering van het BSN geen wetgeving ingediend voor nieuw gebruik van het burgerservicenummer. In dat licht binden wij ons dus wel degelijk aan het doel en het gebruik.

De heer Staal vroeg naar de kleinschaligheid. Ik dacht dat ik daarop al had geantwoord. Dat geldt ook voor het punt van mevrouw Strik over de vernietiging van vingerafdrukken.

Voorzitter, ik wil de vijf minuten tot 21.30 uur nog wel volpraten …