9 Meldplicht datalekken

Aan de beurt is de spreker van de zijde van D66, als eerste spreker van de zijde van de Kamer. Hij heeft een spreektijd van 20 minuten aangevraagd. 

Graag een korte verduidelijking op het amendement op stuk nr. 19, want ik hoorde de heer Schouw zojuist aangeven dat de verplichte tussenstap van de bindende aanwijzing wat hem betreft niet hoeft. Maar als ik het amendement goed begrijp, staat daarin dat het niet-nakomen van een bindende aanwijzing beboetbaar is. Daar wordt die dan toch niet in weggelaten? Of lees ik dat verkeerd? 

Wat ik wil doen, is meegaan in de redenering die de heer Van Wijngaarden namens zijn fractie heeft gevolgd in zijn amendement waar het gaat om ernstig verwijtbare nalatigheid, omdat die begrippen volgens mij een enorme inperking betekenen aan de voorkant van de directe boetebevoegdheid die het College bescherming persoonsgegevens moet hebben vanwege de afschrikwekkende werking. Met andere woorden, daar gaat een preventieve werking van uit. Nu is gepoogd in het amendement van de heer Van Wijngaarden om die preventieve werking aan banden te leggen. Dat vind ik niet verstandig. 

Ik stel het zeer op prijs dat de heer Schouw ingaat op het andere amendement, maar ik had eigenlijk een vraag over dit amendement, te weten het amendement op stuk nr. 19 van hem en de heer Segers. 

U zegt dat uw vraag niet is beantwoord. Laten wij de heer Schouw dan vragen of hij wel meent de vraag te hebben beantwoord. 

Ik dacht dat ik mijn hele setje amendementen bij me had, alleen het amendement op stuk nr. 19 heb ik nu net niet bij me. 

Ik geef het aan u. 

Wat was de vraag? 

Zojuist gaf u aan dat die verplichte tussenstap wat u betreft niet nodig is. Ik lees het zo dat hier staat dat u het beboetbaar wilt maken als die tussenstap, dus die bindende aanwijzing, niet wordt nagekomen. 

Ja, maar verder beperken wij dit niet. Daarom verwees ik net ook naar uw amendement, want u wilt hetzelfde, maar u maakt het heel erg beperkend, waardoor de effectiviteit van het College bescherming persoonsgegevens volgens mij aan banden wordt gelegd. 

U vervolgt uw betoog. 

De verplichte ministeriële goedkeuring geldt voor nieuwe en bestaande richtsnoeren van de toezichthouder. Wat als één van de zes bestaande richtsnoeren niet wordt goedgekeurd? Wat betekent dat dan voor het optreden van het College bescherming persoonsgegevens in het verleden? Kan de staatssecretaris daarop een reactie geven? Hoe lang duurt zo'n goedkeuringstraject en hoe gaan we om met de tussentijdse actualisering van richtsnoeren? 

Wat zijn eigenlijk de Europese implicaties van dit voorstel? Want als ik de reactie van het College bescherming persoonsgegevens goed lees, spreekt dat uit dat het wel duidelijk is dat dit zal leiden tot een infractieprocedure, omdat het goedkeuringsvereiste in strijd is met de onafhankelijkheid van het privacytoezicht. Kan de staatssecretaris dat risico uitsluiten? 

Collega Segers en ik hebben daarvoor een oplossing in de vorm van een amendement om de ministeriële goedkeuring te schrappen en om de schijn van belangenverstrengeling te voorkomen. Graag een reactie op dit punt. 

Dan de meldplicht, want waar gegevens worden verzameld, bestaat het risico op datalekken. Aangezien de dataverzameling spectaculair is toegenomen, zijn de risico's dat het misgaat ook steeds groter. Gegevens van burgers kunnen op straat komen te liggen, worden gehackt, misbruikt of doorverkocht aan derden. Als we persoonsgegevens adequaat willen beschermen en willen optreden als het misgaat, dan is een meldplicht voor datalekken nu en voor de toekomst dus simpelweg noodzakelijk. Mijn fractie begrijpt dan ook niet waarom de staatssecretaris zijn oorspronkelijke wetsvoorstel rigoureus heeft gewijzigd ten nadele van die privacy van burgers. Als wij de meldplicht tot de meest ernstige gevallen beperken, dempen wij de put dus pas als het kalf verdronken is. Een meldplicht heeft nadrukkelijk meerwaarde in die gevallen waarin de ernstige gevolgen nog niet zijn opgetreden, maar wel dreigen. Daarom hebben wij met de fracties van de PvdA en de VVD een amendement ingediend waarmee wij de privacybescherming aanscherpen en tegelijkertijd de meldplicht werkbaar houden voor de gegevensverwerkers. Daarbij hechten wij eraan dat de gegevensverwerkers binnen de organisatie een overzicht bijhouden van ten minste de ernstige inbreuken die ook een meldingsplicht kennen. Zo'n trackrecord houdt de gegevensverwerker scherp op zijn gegevensbeveiliging. Burgers, consumenten en cliënten hebben er recht op om te weten of hun persoonsgegevens veilig zijn, of juist onderhevig aan voortdurende ernstige inbreuken of dreigingen daarvan. De staatssecretaris zal het amendement inmiddels gezien hebben. Wat vindt hij van deze tussenvariant? 

Wij hebben ook een amendement gesteund dat over de versleutelde gegevens gaat. Ik neem aan dat dit dadelijk door een van de indieners zal worden toegelicht. 

Tot slot heb ik nog het punt van de naam. Het College bescherming persoonsgegevens krijgt ook een nieuwe naam, de Autoriteit persoonsgegevens, zo lezen wij tussen neus en lippen door in het wetsvoorstel. Dat is goed. Mijn fractie vraagt al langer om een andere duiding, die beter aansluit bij de stevige positie van een toezichthouder. Zoals wij de Autoriteit Consument & Markt en de Autoriteit Financiële Markten hebben, verdient ook privacy een echte autoriteit. In Europa wordt al langer gesproken over de "autoriteit dataprotectie", een sterke combinatie van positie en kerntaak van de privacytoezichthouder. Wij missen die bescherming echter in het voorstel van de staatssecretaris, terwijl dit juist de essentie is. Mijn fractie stelt dan ook voor om de naam wat scherper te formuleren. Wij zouden het College bescherming persoonsgegevens willen omdopen tot Autoriteit Gegevensbescherming. Dit lijkt ons veel meer aan te sluiten bij de Europese begrippen, de "autoriteit dataprotectie". Bovendien kan er dan geen misverstand over ontstaan, zelfs niet qua naam. 

Ik rond af. Wij hebben lang naar dit wetsvoorstel uitgezien. Het is goed dat het er is. Het is nodig dat er een privacywaakhond met tanden komt, maar er zouden nog twee dingen aan het wetsvoorstel moeten veranderen. Ten eerste zouden wij graag zien dat de ministeriële goedkeuring uit dit wetsvoorstel verdween. Daarvoor hebben de ChristenUnie en D66 een amendement voorbereid. Ten tweede willen wij geen grote beperkingen voor het College bescherming persoonsgegevens om direct over te gaan tot een boete. 

Dat zie ik ook. U hebt gelukkig gepauzeerd. Dat geeft de heer Van Wijngaarden de mogelijkheid om een vraag te stellen. 

Mevrouw Helder zegt dat de drempel voor een melding in het gewijzigde wetsvoorstel wel erg hoog komt te liggen. Wat vindt zij wat dat betreft van het amendement Schouw c.s. op stuk nr. 18, waarin die drempel weer iets wordt verlaagd? In dat amendement staat dat het moet gaan om een datalek dat leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel een datalek dat ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. In dat amendement komt de "kans" dus eigenlijk weer terug. Ik ben benieuwd naar de reactie daarop van mevrouw Helder. 

Ik kan wel ingaan op al die amendementen die op die termen ingaan, of ze willen aanpassen. Het gaat daarin over "aanzienlijke kans", over "verwijtbaar handelen", over "ernstig verwijtbaar handelen" en over "ernstig verwijtbaar nalaten". Daarmee treed je steeds in casuïstiek. Mijn fractie vindt dat het wetsvoorstel dat had moeten voorkomen. Als je vindt dat een toezichthouder tanden moet hebben, moet je met iets komen waarvan duidelijk is dat de toezichthouder daar ook iets mee kan. Mijn vraag hierbij is of je wel kunt aantonen dat er opzettelijk is gehandeld. Er zijn verschillende fracties die die drempel willen aanpassen. Mijn vraag zou ook zijn: kun je wel aantonen dat er willens en wetens verwijtbaar is gehandeld en er verwijtbaar is nagelaten? Ik kan situaties bedenken, maar dit is nu juist een casuïstiek waarvan ik vind dat die in de wet zelf geregeld had moeten zijn, zodat het CBP daarmee aan de slag kan. Het feit dat wij er hier al over aan het discussiëren zijn, geeft wat mijn fractie betreft al aan dat dit is aan te tonen. 

Is mevrouw Helder het dan ook met mij eens dat wij hier als medewetgever de verantwoordelijkheid hebben om alsnog te zorgen voor een tekst waarmee we goed kunnen leven? 

Wij zijn inderdaad medewetgever, maar als er iets komt waarvan je je voordat je hier staat al afvraagt of het doel wel bereikt zal worden — dat is ook mijn inbreng — dan ga ik niet iets amenderen. Dan zou ik met een eigen initiatiefwetsvoorstel komen. Ik vind dat je dan de verantwoordelijkheid zelf maar moet nemen. Mijn fractie vindt wat er gerealiseerd moet gaan worden een positief idee, maar heeft er ernstige vragen bij of dat ook gaat gebeuren. Als we dat allemaal moeten amenderen, mag ik hopen dat de staatssecretaris er dadelijk zijn oordeel over gaat geven. Aan de hand daarvan kan mijn fractie haar standpunt bepalen met een positieve grondhouding. Meer kan ik er niet van maken. 

Voorzitter. Ik was net aan het einde van het voorbeeld. Als de regering het CBP daadwerkelijk tanden wil geven — daar is hij weer — dan moet er iets aan de wet veranderd worden. Collega's proberen dat met een amendement en ik probeer dat met vragen aan de staatssecretaris. Enerzijds komt de regering met een soort van gele kaart in de vorm van een bindende aanwijzing, maar volgens mij heeft het CBP die mogelijkheid al, alleen heet die geen bindende aanwijzing. Anderzijds wordt de uitzondering gecreëerd dat de bindende aanwijzing achterwege mag blijven en meteen een boete mag worden opgelegd. De drempel is dan wel erg hoog, gezien het criterium van opzet. Is de staatssecretaris dit met de PVV eens? Ik hoor daar graag het antwoord op. 

In dat kader heb ik ook aandacht voor de Europese regelgeving — ja, zelfs mijn fractie! — want daar kun je niet omheen. Ook op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data: de algemene verordening gegevensbescherming, ofwel de General Data Protection Regulation. In die verordening staat de algemene verplichting tot het melden van datalekken. Die verordening heeft rechtstreekse werking, dus die hoeft niet te worden omgezet in nationale wetgeving en kan dus het wetsvoorstel dat we vandaag bespreken toch enigszins om zeep helpen. De onderhandelingen over deze verordening lopen nog, maar we weten al dat deze geen onderscheid maakt tussen lekken met en lekken zonder ernstige gevolgen. Het wetsvoorstel doet dat echter wel. Is het dan niet beter om geen onderscheid te maken tussen de gevolgen van het lek en aan te sluiten bij een bredere meldplicht of denkt de staatssecretaris daar anders over? Voor de volledigheid zeg ik erbij — iedereen zal het weten — dat mijn fractie altijd zegt dat je nationaal moet regelen wat je nationaal wilt regelen. Zij vindt dus ook dat de staatssecretaris dat zelf moet doen. 

Hoewel de PVV-fractie het eens is met de regering dat een toezichthouder stevig moet kunnen optreden — ik zei net al dat we een positieve grondhouding jegens het wetsvoorstel hebben — vindt zij het wel merkwaardig dat het CBP de voorwaarde die ik net heb genoemd en die ernstige gevolgen heeft gehad, zelf invult, maar dat het CBP dus ook de instantie is die de boete oplegt. Ofwel: de norminvulling komt te liggen bij de instantie die ook de sanctie oplegt. Dat lijkt een beetje op "wij van WC-Eend …"; u kent het allemaal wel. De PVV wil dan ook weten hoe de staatssecretaris hierover denkt. Ziet hij dat gevaar ook? Zo nee, waarom niet? Is het gevaar voldoende ingekaderd door de verplichte ministeriële goedkeuring van de richtsnoeren die het CBP vaststelt ter invulling van de normen die het zelf handhaaft? We hebben hierover drie dagen geleden een brief gekregen. 

Tot slot heb ik nog een technisch punt. Het voorgestelde artikel 34a, vierde lid van de Wbp bepaalt dat de kennisgeving aan het CBP meer elementen omvat dan een melding van de inbreuk aan de betrokkene, dus wiens gegevens het betreft. Dat gaat vooral om gegevens van technische aard. Volgens de memorie van toelichting stelt dit het CBP beter in staat om het toezicht effectief uit te oefenen. Maar is hiervoor niet meer technische kennis vereist dan het CBP in huis heeft, mede gezien de snelle veranderingen op dit gebied? Zo ja, waarom is er dan geen bijstand geregeld door bijvoorbeeld het Nationaal Cyber Security Centrum? Als de overheid een toezichthouder met tanden wil, dan moet zij er ook voor zorgen dat de kennis hiervoor aanwezig is dan wel goed te raadplegen is op een eenvoudige manier. Is de staatssecretaris dat met de PVV eens? Zo ja, is hij bereid dit te gaan regelen? 

Ik rond af met de samenvatting. Ik kom tot de conclusie dat het wetsvoorstel goedbedoeld is, maar dat het duidelijk op twee gedachten hinkt: meer tanden voor de toezichthouder, maar met de waarschijnlijkheid dat die niet voldoende kan bijten. Om maar een beetje in de beeldspraak te blijven — ik doe ook maar een gooi — zeg ik het volgende. Het lijkt een beetje op die tandjes die je opdraait en die heel leuk stuiteren op je tafeltje, waarna ze eraf vallen. Iedereen vindt dat leuk, maar er gebeurt dus niks, behalve dat we even lol hebben gehad. Dat kan natuurlijk niet de bedoeling zijn. Maar goed, het wetsvoorstel kan op sympathie van de PVV rekenen, zeg ik nog maar eens. Ik wacht het antwoord op de vragen met belangstelling af, alvorens een standpunt te bepalen. 

De vraag is eigenlijk of de SP vindt dat hetgeen de mensen op hun bankrekening hebben staan tot de privésfeer behoort. 

Ik zou menen van wel. 

Hoe verklaart u dan het voorstel van uw collega Merkies om een vermogensregister verplicht te stellen waarin individuen moeten aangeven hoeveel vermogen ze hebben en hoeveel winst ze daarop maken, zoals dat heel onlangs is gedaan? 

Ik heb inderdaad gehoord dat mijn collega Merkies dat voorstel heeft gedaan. Ik vind het lastig om daar nu op deze manier antwoord op te geven. Ik denk dat het goed is dat er ook naar de privacyaspecten wordt gekeken. Dat lijkt me voor de hand liggend. Wij doen dat met heel veel voorstellen. Ik denk dat de heer Van Wijngaarden ook wel weet wat de achtergrond van dat voorstel is, onze fractie kennende. Wij willen natuurlijk iets doen aan de scheve vermogensverdeling in Nederland. Nogmaals, er moet altijd, wat er ook voorgesteld wordt, gekeken worden naar de privacyaspecten. 

Ik begrijp dat deze drie voorbeelden passen binnen het begrip "ernstig verwijtbare nalatigheid". Begrijp ik dat goed? 

Ja, dat is naar onze overtuiging het geval. Die opsomming van voorbeelden is natuurlijk niet uitputtend, maar ik wil hier ook niet vervallen in een eindeloze verhandeling van allerlei casuïstiek. 

Ik vind dat de voorbeelden nogal willekeurig overkomen. De heer Van Wijngaarden zegt erg gemakkelijk: dat valt hieronder. We zijn bezig met een wetsbehandeling. Er is een amendement van de Partij van de Arbeid en de VVD waarmee wordt geprobeerd om een wat willekeurige formulering in die wet te brengen. Mijn vervolgvraag luidt: als die drie voorbeelden er kennelijk wel onder vallen, wat valt er dan niet onder? Waar ligt de scheidslijn tussen ernstig verwijtbare nalatigheid en gewone verwijtbare nalatigheid? 

Het is in de eerste plaats van belang dat er op het niveau van de formele wet duidelijkheid komt over de situaties waarvan wij zeggen dat die eronder zouden moeten vallen. Daar geven wij hier criteria voor. Daarover staat een uitleg in de toelichting. Voor het overige zal het CBP moeten doen wat het altijd doet, namelijk dit uitwerken in richtsnoeren en publiceren. 

Ik sta de heer Schouw bij uitzondering een derde keer toe. 

Dat is nu precies waar ik naartoe wil. Er zit iets dubbelhartigs in. De heer Van Wijngaarden zegt dat het Cbp dat in richtlijnen moet uitwerken, omdat we dat hebben afgesproken. Maar waarom zou je dan aan de voorkant, via zo'n vage formulering waarmee je alle kanten op kunt, de zaak toch complex en ingewikkelder maken? Dat begrijp ik niet, omdat we hier dadelijk ook nog over de verdere uitwerking in richtsnoeren kunnen praten. Dus waarom moet dit nu aan de voorkant worden gecompliceerd? 

U noemt dat complicerend, ik stel dat het een verbetering is van de rechtszekerheid doordat je op het niveau van de formele wet duidelijkheid creëert over het type situaties dat hieronder valt. Ik verwijs u naar de toelichting in het amendement. Het moet gaan om gevolgen van grof, aanzienlijk, onzorgvuldig, onachtzaam, dan wel onoordeelkundig handelen. Dat is een brede set aan criteria. De verdere invulling daarvan zal zoals altijd door het Cbp zelf moeten worden gegeven. Door dit op het niveau van de formele wet te regelen, komen we ook tegemoet aan de kritiek van de Raad van State, die zei dat dit op het niveau van de formele wet moet worden geregeld om het rechtszekerheidsbeginsel in te bouwen. Bovendien wordt het wetsvoorstel daardoor ook kansrijker in de Eerste Kamer, want wij voelen er niets voor om een heel vage bevoegdheid te creëren. Vandaar de heldere toelichting in het amendement. 

De heer Schouw heeft natuurlijk een punt, maar wat ik eigenlijk mis in de toelichting van de heer Van Wijngaarden is het vijfde lid van artikel 66, namelijk waar hij met mevrouw Oosenbrug beoogt een boete te kunnen opleggen bij niet-nakoming van de bindende aanwijzing. Heb ik het goed begrepen dat het niet-nakomen van de bindende aanwijzing eigenlijk een boetewaardig feit op zich is? Of moet ik het zo zien dat die boete wordt opgelegd voor de onderliggende gedraging? Graag krijg ik daarop een toelichting. 

Voor niet-nakoming van de bindende aanwijzing ligt een amendement, dat net ook al is toegelicht. Dus daarmee wordt dat punt geadresseerd. 

Dat is dan duidelijk. Dan heb ik misschien nog wel een suggestie voor de heer Van Wijngaarden en mevrouw Oosenbrug. Collega Van Nispen zei net dat je als het misgaat bijvoorbeeld de beelden kunt vernietigen. Maar er zijn natuurlijk ook andere voorbeelden te bedenken, namelijk dat het College bescherming persoonsgegevens zegt: "u moet veiligheidsmaatregelen nemen, u moet de slachtoffers compenseren of ze anderszins tegemoetkomen. Als u dat niet doet, kunt u in dit amendement zien dat u daarvoor een boete krijgt". Zou het niet beter zijn om bijvoorbeeld aan een bindende voorwaarde een voorwaardelijke boete op te leggen? Dat moet niet maar het zou dan wel kunnen. Dan is het transparanter, dan valt het beter en dan weet je ook waarvoor je die boete krijgt, namelijk dat je lekt, dat je zorgt voor problemen door middel van een datalek. Eigenlijk moet je daarvoor een boete krijgen, maar dan zegt het Cbp dat je de kans krijgt om het op te lossen of in ieder geval herhaling te voorkomen. Doe je dat niet, dan moet je alsnog die boete betalen. Dan is het veel duidelijker voor het bedrijf waarvoor men het doet en waarvoor men ook probeert het herstel te plegen dan te zeggen dat je de norm hebt overschreden en niet hebt geluisterd naar de heer Kohnstamm en dat je daarom die boete krijgt. Dat lijkt me dan veel zuiverder. Wat vindt u van dit idee? 

Volgens mij wordt de heer Oskam op zijn wenken bediend met dit wetsvoorstel, omdat juist dit wetsvoorstel in beginsel zegt: we geven een bindende aanwijzing met als doel dat het datalek wordt gedicht, niet om een boete op te leggen. Dan is het lek hersteld en volgt er helemaal geen boete. Alleen in de heel ernstige gevallen is er ook een lik-op-stukbeleid nodig, daarover zijn we het volgens mij ook allemaal eens. 

Mijnheer Oskam, ook voor u maak ik een uitzondering. Als je er eenmaal aan begint, moet je consequent zijn. 

Sorry, voorzitter, maar dit vraagt om een reactie. Materieel komt het natuurlijk op hetzelfde neer, het is alleen de onderliggende gedachte, namelijk dat op fout gedrag een boete hoort. Het Cbp krijgt de mogelijkheid om voorwaarden en termijnen te stellen. Als je niet aan die voorwaarden voldoet, zou het logisch zijn dat die boete wordt geëffectueerd. Maar ik vind het iets anders dan wanneer je zegt: je luistert niet naar het Cbp en daarom krijg je een boete. Dat zou minder goed voelen dan mijn voorstel. 

Wat wij hier zien, is toch een verschil van inzicht tussen de heer Oskam en mij. Hij zegt dat op fout gedrag een boete hoort. Ik zeg dat je fout gedrag moet omzetten in goed gedrag. Het is ook de rol van het CBP als deskundig toezichthouder om dat te stimuleren en daartoe aan te zetten. Als iemand onverhoopt echt hardleers is — ik denk dat dat in de praktijk niet zo heel vaak zal voorkomen — dan is er die stok achter de deur van de boete. 

Ik probeer de ratio te achterhalen achter de formulering die is gekozen in het amendement op stuk nr. 16, over de boetebevoegdheid. Daarin is gekozen voor de formulering dat het moet gaan om een gevolg van ernstig verwijtbare nalatigheid. Wat betekent dat precies? We hebben nu een aantal casussen voorbij horen komen. Als er wordt gesproken van nalatigheid, valt handelen daar dan ook onder? Als je iets nalaat, is er iets wat je niet doet. Maar valt handelen er ook onder? Wat is het verschil tussen "ernstig verwijtbaar" en "verwijtbaar"? Iets kan verwijtbaar zijn, maar als het niet ernstig verwijtbaar is, mag er geen boete worden opgelegd. Wat is precies de ratio achter deze formulering? 

Ik denk dat wij ontzettend voorzichtig moeten zijn met het creëren van een te ruime en te gemakkelijke lik-op-stukboetebevoegdheid. Het is een beetje de klassieke vraag van het Juvenalis Dilemma: wie bewaakt de bewakers? Het CBP is onze bewaker en wij moeten het CBP bewaken. Ik denk dus dat we voorzichtig moeten zijn met het creëren van een te ruime algemene lik-op-stukboetebevoegdheid, vandaar de toevoeging van het woord "ernstig". Het moet niet zomaar verwijtbaar zijn, maar het moet ernstig verwijtbaar zijn. Ik heb twee casussen genoemd in aanvulling op de casus van het VU medisch centrum. Dit is dus de ratio achter de toevoeging van het woord "ernstig". 

Het is mij niet helder waar we de grens overgaan wat betreft verwijtbare nalatigheid of verwijtbaar handelen. Nogmaals vraag ik: is dat hetzelfde? Waar houdt dat op en begint ernstig verwijtbare nalatigheid? Kan de heer Van Wijngaarden dat helder schetsen? Kan hij daarbij meenemen dat het CBP zegt: hier kunnen wij moeilijk mee uit de voeten? Waarom zouden we niet wachten op beleidsregels, die we inderdaad nog kunnen bespreken? Waarom zouden we het niet de vrijheid geven om tanden te ontwikkelen? Bij zo'n belangrijk onderwerp en zo'n belangrijke waarde als privacy, hebben we immers een goede waakhond nodig. 

Maar er is ook nog een andere waarde, namelijk de waarde van rechtszekerheid. Ik heb daar net op gewezen. Je moet ervoor oppassen dat je van die waakhond een pitbull maakt die je te pas en te onpas op iedereen kunt afsturen. 

Wat betreft het punt van nalaten: nalaten is ook een vorm van handelen. Dank voor die vraag! In de toelichting staat ook: "dat wil zeggen het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen". Met nalaten wordt dus ook handelen bedoeld. 

Ik had nog een andere vraag, voorzitter. 

Omdat het hierbij gaat om een verheldering van een amendement, geef ik wat extra ruimte, dus ook aan u. 

Ik had de heer Van Wijngaarden nog gevraagd: schets nou eens precies waar verwijtbaar handelen ophoudt en ernstig verwijtbaar handelen begint. 

Voor het precieze antwoord op die vraag hebben we natuurlijk het CBP. Anders zou ik het bij wijze van spreken in mijn eentje kunnen gaan doen. Ik hoorde net dat daar 150 mensen zijn. Die zitten daar niet voor niks. Het is juist hun deskundigheid om dat soort zaken te beoordelen. 

Mijnheer Van Wijngaarden, was u aan het einde van uw termijn? 

Nee, ik wilde eigenlijk naar een afronding gaan. 

Gaat u verder. 

Ik rond af. De bescherming van persoonsgegevens is niet toevallig een grondrechtelijke aangelegenheid. Dat is een extra reden, die ook de Raad van State heeft aangegeven, om zaken op het niveau van de formele wet te regelen. Artikel 10 van de Grondwet draagt ons als wetgever op om de persoonlijke levenssfeer te beschermen. Dit wetsvoorstel is uiteindelijk een afgeleide van die opdracht. De kernvraag bij privacy is misschien wel het beste gesteld door hoogleraar Koops van de Universiteit Tilburg, hoewel ik weet dat je tegenwoordig "Tilburg University" moet zeggen van de universiteit. Volgens deze hoogleraar is de vraag: wat mogen anderen van ons weten? Over die vraag moet je zo veel mogelijk zelf beslissen. Privacy is een pijler van de rechtsstaat en staat daarom terecht in de Grondwet. Zonder privacy belanden wij in een samenleving waarin de ene mens is onderworpen aan de informatiemacht van de andere. Dit wetsvoorstel helpt zo'n maatschappij te voorkomen. Er moet ergens een plek zijn waar je niet wordt bespied. Waar je alleen met jezelf kunt zijn, of intiem met een ander, waarover je geen verantwoording schuldig bent en waarbij je vrij bent van andermans morele oordelen. Een plek waar je onbevangen jezelf kunt zijn, geheimen kunt koesteren en ongezien in je dagboek kunt schrijven. Privacy is daarvoor de waarborg. 

De VVD verraadde zichzelf net een beetje. De heer Van Wijngaarden zei: wij hebben helemaal geen behoefte aan een pitbull. Dat is interessant, want de Partij van de Arbeid roept nu in allerlei persberichten "wij hebben nu echt een pitbull met tanden". De heer Van Wijngaarden zegt: ik heb een beetje listig amendement ingediend om er een schoothondje van te maken, want ik ben bang dat er te pas en te onpas wordt opgetreden. Dank voor de openhartigheid. Dank ook voor het eerlijke motief voor dit amendement. De VVD-fractie heeft helemaal geen behoefte aan een College bescherming persoonsgegevens dat kan doorbijten. Mijn vraag is hoe de heer Van Wijngaarden het in zijn hoofd haalt om in dezelfde zin over die pitbull te zeggen dat er anders te pas en te onpas boetes zullen worden uitgedeeld. Dat begrijp ik niet. Wij hebben allemaal brieven gekregen van het College bescherming persoonsgegevens, waarin het college heel precies aangeeft onder welke condities het dit wil doen. Uit welke alinea heeft de heer Van Wijngaarden gelezen dat het CBP te pas en te onpas boetes wil gaan uitdelen? 

Ik heb niet gezegd dat het CBP dat zal doen of wil doen. Ik heb gezegd dat, op het moment dat je een te ruime algemene bevoegdheid creëert om lik-op-stukboetes uit te delen, het CBP dit kan doen. Wij hebben als wetgever enerzijds de taak om er op te letten dat de macht van een toezichthouder scherp genoeg is om te kunnen doorbijten. Een waakhond met tanden is prima, daar zijn wij het allemaal over eens en daarom verruimen wij de lik-op-stukboetebevoegdheid. Anderzijds hebben wij de plicht — daartoe aangespoord door de Raad van State — om erop te letten dat wij die macht niet onnodig groot maken. De kern van het wetsvoorstel is nu juist dat je eerst de bindende aanwijzing hebt, in de trant van: probeer uw leven te beteren en probeer het datalek te dichten. Als het echt niet lukt en als je je plicht verzaakt, is een boete mogelijk. Voor de heel ernstige gevallen is de lik-op-stukboete bedoeld. 

Mijn conclusie is echt niet anders dan dat met dit amendement het College bescherming persoonsgegevens aan de ketting wordt gelegd, dat dit ook de diepste wens is van de VVD en dat de Partij van de Arbeid zo naïef is geweest om haar handtekening daaronder te zetten. Naar aanleiding van deze kwestie heeft het College bescherming persoonsgegevens een brief gestuurd. Ik vraag aan de heer Van Wijngaarden of deze brief voor hem niet voldoende waarborgen biedt dat het College bescherming persoonsgegevens niet zal overgaan tot het te pas en te onpas uitdelen van boetes. Is hij het met mij eens dat je dit niet kunt afleiden uit die brief, met die intentie van het college? 

De heer Schouw gebruikt grote woorden. Dat mag hij doen, maar ik constateer dat er een amendement ligt, met een heldere toelichting, dat zorgt voor een waakhond met tanden, dat niet verder gaat dan nodig is en dat ook past binnen het karakter van het wetsvoorstel. De privacy gaat ons allen aan het hart. Er is in dit parlement niet één partij die het monopolie heeft op privacy, dus het staat ook andere partijen vrij om op dit punt voorstellen te doen. 

Mijn collega Schouw had zojuist wel een punt. Maar ik heb een andere vraag. Mijn vraag is of informatie over vermogensverdeling in Nederland, die niet tot personen is te herleiden, valt onder de Wet bescherming persoonsgegevens. Met andere woorden: zijn dat persoonsgegevens? 

Dat lijkt mij een goede vraag om aan het CBP te stellen. 

Kom op! Dit kan niet. De heer Van Wijngaarden heeft mij zojuist de spiegelbeeldige vraag gesteld en ik heb geprobeerd die vraag naar eer en geweten te beantwoorden. Nu weigert hij echter een antwoord op mijn vraag te geven. Ik zal het maar meteen zeggen: de heer Van Wijngaarden hoeft niet bang te zijn dat de SP en GroenLinks exact willen weten wat er op zijn bankrekening staat, of wat hij waar dan ook aan vermogen heeft. Hij hoeft dus straks niet bibberend naar huis te gaan, want het voorstel van GroenLinks en de SP, waarover hij zojuist een vraag stelde, gaat niet over persoonsgegevens. Ik neem aan dat hij dat wel wist, dus de poging om ons in een verkeerd daglicht te stellen, is mislukt. 

Mijnheer Van Wijngaarden, wilt u hierop nog reageren? 

Ik heb gisteren geen voorstel gedaan om een vermogensregister op te richten waarin dat allemaal wordt bijgehouden. Ik heb nu niets anders gedaan dan de vraag stellen die ik gesteld heb. 

Het zou de heer Van Wijngaarden sieren om toe te geven dat het vermogensregister van de SP niet op persoonsniveau te herleiden is, dus dat het niets van doen heeft met persoonsgegevens en dat het slechts gaat over informatie over vermogensverdeling in Nederland. Het siert hem niet dat hij nu de indruk blijft wekken dat dit anders zou zijn. 

Mijnheer Van Wijngaarden, heeft u behoefte aan een reactie? 

Nee. Ik vind het veel te kort door de bocht om hier even te constateren dat dit het geval is, dus dat het vermogensregister aan de privacy-eisen voldoet. Ik denk dat wij daar het CBP voor hebben. 

U bent daarmee aan het eind gekomen van uw termijn. Ik geef het woord aan de heer Segers, die heeft ingeschreven voor tien minuten spreektijd. 

Dank, mijnheer Segers. Dan geef ik het woord aan de heer Oskam, die eveneens heeft ingeschreven voor tien minuten. 

De heer Oskam gaf net aan dat hij de punten die de Raad van State heeft aangedragen zeer serieus neemt. Maar hoe verhoudt het zinnetje "tenzij het college dit niet redelijk acht", zo'n algemene formulering, zich enerzijds tot het lex certabeginsel en anderzijds tot het punt dat de grondwetgever de wetgever heeft opgedragen om hier duidelijkheid in te creëren? 

Het CDA staat natuurlijk ook voor duidelijkheid en wil ook graag duidelijkheid creëren, maar we zijn met elkaar aan het kijken hoe dit zich gaat zetten. Het CBP heeft een brief gestuurd waarin staat wanneer het denkt een boete te moeten opleggen en noemt de criteria daarvoor. De heer Schouw noemde dit punt al. Het is een zoektocht. Het CDA is ook voor het idee dat de minister mee moet kijken, zodat het van twee kanten bekeken wordt, want dan heeft de Kamer ook invloed. Maar het moet zich zetten. Eigenlijk is het CBP een soort rechter die zegt: deze normschending is er geweest; hoe gaan we die het beste oplossen? Ik heb net gezegd wat het doel daarvan is. We proberen natuurlijk zo veel mogelijk die schade te voorkomen, dus het is prima als er een bindende aanwijzing komt waarin staat welke veiligheidsmaatregelen moeten worden genomen zodat het in de toekomst niet meer kan gebeuren of dat de gedupeerden gecompenseerd moeten worden. Het voorbeeld van grove normschendingen is al eerder genoemd. Als een databeheerder bewust gegevens verkoopt terwijl hij weet dat dit niet kan, dan moet diegene flink worden aangepakt. Dan zijn wij voor lik-op-stuk. De zinsnede van de redelijkheid heeft betrekking op de toetsing in volle omvang door het CBP. Laat dat de feiten en omstandigheden, de normschending en de gevolgen tegen elkaar afwegen en bekijken of een boete noodzakelijk is. Dat is het idee. Ik denk dat daar niks onduidelijk aan is. 

Maar daarmee negeert het CDA toch gewoon de aanmaning van de Raad van State, die heeft gezegd dat de grondwetgever de wetgever opdraagt om op het niveau van de formele wet zo veel mogelijk duidelijkheid te creëren? Met deze zin negeert het CDA die toch? 

Nee, ik negeer die niet. Ik heb gezegd dat wij positief waren over het advies van de Raad van State om niet alles bij het CBP neer te leggen en dat er ook nog een ministeriële verantwoordelijkheid in zit — lees: ook voor de Kamer — maar dat wil niet zeggen dat wij die grondwettelijke principes met voeten treden. Zo is het niet. 

Voorzitter. Ik gaf een aantal voorbeelden waarin het CBP maatwerk zou kunnen leveren. Ik noem de situatie dat gegevens tijdelijk zijn kwijtgeraakt zonder dat die achteraf inzichtelijk blijken te zijn geweest voor derden, dus dat er verder geen consequenties aan zitten. In dergelijke situaties menen wij dat het passender is dat het CBP kiest voor een bindende aanwijzing. Indien die niet wordt opgevolgd, kan het CBP alsnog de bestuurlijke boete opleggen. In het amendement van de heer Van Wijngaarden en mevrouw Oosenbrug zou dat zijn vanwege het overtreden of het niet-naleven van de bindende aanwijzing, maar wat mij betreft zou het beter zijn om aan zo'n bindende aanwijzing een voorwaardelijke boete op te leggen. Soms gaat het zelfs verder. Soms is een bindende aanwijzing — dit voorbeeld gaf Van Nispen ook — eigenlijk helemaal niet meer van toepassing omdat de schade al is hersteld of omdat er al maatregelen zijn genomen. Het CBP kan dan een bindende aanwijzing geven, maar die heeft in dat geval geen functie. Wat wel een functie kan hebben is om een voorwaardelijke boete op te leggen. Dat kan nu niet. Niemand heeft daar een amendement over ingediend en het wetsvoorstel ziet er ook niet op, maar ik vraag de staatssecretaris wel of hij dat een goed idee vindt. Wat dat betreft is er nog wel een tussenoplossing te bedenken. 

Het CDA zegt erg voor duidelijkheid te zijn. Daar ben ik blij om, want er worden wel wat dingen onduidelijk voor mij. De heer Oskam geeft het voorbeeld van een situatie waarin er wel gegevens gelekt zijn, maar er geen derden bij kunnen. Hoe moet ik dat voor mij zien? Het probleem is juist dat je, als er een hack plaatsvindt waarbij persoonsgegevens op welke manier dan ook gecompromitteerd worden, nooit zeker weet of die naar buiten zijn gebracht of binnen het bedrijf zijn gebleven. Waar leggen we dan de grens? Hoe duidelijk kun je dat vastleggen in wetgeving? 

Ik zal het heel beeldend maken. Een medewerker van XS4ALL krijgt inzage in gegevens die hij eigenlijk niet mag zien. Hij meldt dat aan zijn baas en doet er verder niks mee. De baas meldt het vervolgens aan het CBP. Als er geen bloed uitgevloeid is, kan het CPB het daarbij laten of een aanwijzing geven dat het niet meer gebeurt. Dat soort zaken. 

Dan gaat het niet over datalekken, maar over iets wat intern in een bedrijf gebeurt. Dat is iets heel anders dan wanneer er van buitenaf een aanval plaatsvindt of een hack. Het kan ook dat een usb-stickje in een envelop, onversleuteld, verstuurd wordt via de post en verdwijnt. Dat kan bij TPG Post ergens onder een kast terecht zijn gekomen, maar het kan ook door iemand meegenomen zijn. Dat weten we niet. Waar ligt die grens? Wanneer kunnen we wel zeggen dat die aanwijzing of die boete verdiend is? Hoe krijg je die wetgeving dan wel duidelijk? 

Ik heb hier geen transactielijst waarbij je zegt: als je 5 cm naar links gaat, krijg je zoveel. Ik vind dat dit aan het college is. Ik vind dat we maatwerk moeten maken. We kunnen natuurlijk allerlei voorbeelden bespreken, maar er zijn veel meer voorbeelden te bedenken. De techniek schrijdt voort. Er gaat van alles gebeuren. Dit hele proces is in ontwikkeling. Het CBP zal ook moeten bekijken hoe het daarmee omgaat. Dadelijk wordt door het CBP een vorm van jurisprudentie gemaakt die we nauwlettend zullen volgen, maar ik ga niet zeggen dat iemand die 5 cm naar links gaat, wel een boete krijgt en bij 4 cm niet. Dat is echt aan het CBP. 

U vroeg collega Van Wijngaarden om helderheid over de amendementen die wij hebben ingediend, maar mijn conclusie is dat dit eigenlijk op hetzelfde neerkomt. Mijn collega Van Wijngaarden zei ook: laat het CBP dat op sommige momenten bepalen. U zegt eigenlijk precies hetzelfde. Dat is geen vraag, maar een conclusie van mij. 

Dan maak ik er een vraag van. Mevrouw Oosenbrug heeft het niet goed begrepen. Ik bedoelde aan de heer Van Wijngaarden te vragen waarvoor het CBP die boete geeft op grond van het amendement op stuk nr. 16, lid 5. De heer Van Wijngaarden heeft daarover duidelijkheid geschapen, door te zeggen dat dit komt doordat dat bedrijf of die organisatie de aanwijzing van het CBP niet heeft opgevolgd. Dat is duidelijk. Om het amendement beter te maken heb ik gezegd dat je het ook vorm kunt geven als een voorwaardelijke boete als je geen bindende aanwijzing wilt geven. Dan geef je toch tools om ellende in de toekomst te voorkomen. Stel dat ik als directeur van een bedrijf bij het CBP moet komen, figuurlijk gezegd. Het CBP zegt dan: joh, je hebt buiten de boot gevist, om het zo maar te zeggen — dat is een verkeerde uitdrukking, maar u snapt wel wat ik bedoel — je moet eigenlijk een boete betalen, maar het is de eerste keer, je hebt veiligheidsmaatregelen genomen, je bent er zelf mee gekomen of je hebt schade vergoed of mensen gecompenseerd, in dat geval laten we het bij iets voorwaardelijks. Je kunt ook het amendement van mevrouw Oosenbrug en de heer Van Wijngaarden nemen en zeggen: je hebt die norm overtreden, je hebt niet geluisterd naar het CBP en daarom moet je €810.000 of €400.000 of €20.000 betalen, dat kan allemaal. Ik denk dat het transparanter is om te zeggen: dat staat erop, dat vinden wij het waard, maar als je ervoor zorgt dat het niet meer gebeurt of als je luistert naar die aanwijzing dan ga je vrijuit. Dat lijkt me beter. 

Ik was bij de voorbeelden van maatwerk. Er is ook nog de last onder dwangsom, zoals collega Van Nispen heeft gezegd. Het amendement dat ik net heb besproken, zou in combinatie met het wetsvoorstel goed kunnen uitpakken. Bedrijven en organisaties worden door de dreiging van een hoge boete geprikkeld om alles in het werk te stellen om privacygerelateerde schade te voorkomen. Daarnaast wordt duidelijk of het CBP boetes kan opleggen bij alle tekortkomingen. Soms valt erover te twisten of deze zulke ernstige gevolgen hebben gehad of een zodanige normschending zijn dat er een boete op moet komen. 

Ik heb nog een vraag aan de staatssecretaris over het amendement op stuk nr. 16. Is het niet beter om bij het systeem dat wij hebben bedacht, er toch een voorwaardelijke boete in te fietsen en deze eventueel te koppelen aan die bindende aanwijzing? Het is ook mogelijk dat er geen bindende aanwijzing moet worden gegeven, maar dat een voorwaardelijke boete op zijn plaats zou zijn. 

Dank meneer Oskam, ook voor het verrijken van het Nederlands met een nieuwe uitdrukking. 

Volgens mij is mevrouw Oosenbrug al voorbij het omstreden amendement op stuk nr. 16, maar daarover heb ik een paar vragen. De heer Van Wijngaarden heeft onthuld waarom hij dit gemaakt heeft. Hij wil geen pitbull maken van de privacywaakhond. Het mag geen pitbull worden en dus wordt het ingeperkt met een listig amendement waarin gesproken wordt over ernstig verwijtbare nalatigheid en nog een aantal van die inperkingen. Wat vindt mevrouw Oosenbrug van zo'n kwalificatie van de heer Van Wijngaarden? 

Ik heb andere dingen gehoord in de woorden van de heer Van Wijngaarden dan de woordvoerder van D66. Ik heb dit amendement mede ingediend omdat het de boetebevoegdheid ruimer maakt dan in het oorspronkelijke wetsvoorstel. Er worden juist tanden gegeven aan het schoothondje — het wetsvoorstel dat nu voorligt — en geen tanden weggehaald, zoals de heer Schouw suggereert. Het is niet aan mij om er een pitbull of een bouvier van te maken. 

Ik kan wel helpen. Een bejaarde pitbull heeft geen tanden meer, dat maakt iedereen weer blij. De heer Van Wijngaarden heeft het echt zo gezegd: ik heb dit gemaakt, omdat ik er geen pitbull van wil maken. Het moet wel redelijk blijven, zei hij. De heer Van Wijngaarden heeft voorbeelden genoemd waarvan hij denkt dat ze onder de formulering vallen. Ik heb ook enkele voorbeelden bedacht. Ik wil ze mevrouw Oosenbrug voorhouden met de vraag of ze vallen onder de definitie van ernstig verwijtbare nalatigheid. Het eerste voorbeeld gaat over de medewerkers van een ziekenhuis. Zij hebben toegang tot alle elektronische patiëntendossiers, ongeacht hun directe behandelrelatie. Het gaat om honderden medewerkers. Is dit een geval van ernstig verwijtbare nalatigheid? 

Aangezien ik wat ervaring heb als systeembeheerder en inmiddels weet hoe het er bij veel bedrijven aan toegaat met het uitdelen van inlognamen en wachtwoorden, zou ik dit niet direct een ernstig verwijtbare nalatigheid noemen. Ik zou wel heel graag zien dat het CBP de rode kaart trekt en zegt dat dit niet meer kan. Het gaat niet alleen over de zorg, maar over heel veel bedrijven alsmede over gemeenten. Dit gebeurt op dit moment overal en ik vind dat persoonlijk, vanuit mijn achtergrond als systeembeheerder, ernstig nalatig. Als ik vanuit de wet naar de taak van het CBP kijk, dan zeg ik nee. Er zal eerst een rode kaart moeten worden getrokken. Er zal eerst moeten worden uitgelegd waarom dit niet goed is. 

Mijnheer Schouw, ik weet niet hoeveel voorbeelden u hebt, maar anders gaat het heel lang duren. 

Nog heel even verder met dit voorbeeld en dan houd ik echt op, hoor. Het gebeurt dus al een jaar in dat ziekenhuis, ze hebben het allemaal verzwegen en iedereen zit in die patiëntendossiers te rommelen. Uiteindelijk komt het college er via een klokkenluider achter. Zegt de Partij van de Arbeid dat dit niet zo ernstig is dat er direct een boete gegeven mag worden, maar dat er eerst een waarschuwing gegeven moet worden? Begrijp ik dat goed? 

Ja. Er zijn nog geen duidelijke richtsnoeren hiervoor. Datzelfde probleem is er op gemeenteniveau. Ook daarbij hebben we de minister gevraagd om strikter op te treden. Mijn fractie kiest ervoor om eerst een waarschuwing te laten geven. U gaat een stuk verder. Ik vind het een ander verhaal als ze ook in die dossiers rommelen of rotzooien of andere dingen doen. Dan moet er wel een boete tegenover staan. Dan gaat het namelijk veel verder. Het gaat om de wijze waarop men omgaat met inloggegevens. Een secretaresse kan bijvoorbeeld in bestanden die eigenlijk alleen beschikbaar zouden mogen zijn voor de directeur. Daarvoor moet er een rode kaart komen. Dat gebeurt ook in ziekenhuizen. Op dit moment hebben heel veel secretaresses gewoon de inlogcodes van de psychiaters of van wie dan ook om bestanden toe te voegen of te verwijderen. Als we dat niet meer willen, moeten daar duidelijke richtlijnen voor komen. 

Ik vind het amendement wel duidelijk. Ik kijk altijd liever naar de tekst. De uitleg moet daarbij passen. Ik heb de woorden van collega Van Wijngaarden in mijn achterhoofd, maar de tekst is duidelijk. Na de uitleg van mevrouw Van Oosenbrug begrijp ik het echter niet meer. Volgens mij vult zij de definitie van een rode kaart nu heel anders in. Een rode kaart betekent toch: stop acuut, boete en hatseflats? 

Er is een verschil. De bindende aanwijzing is voor mij de rode kaart. Misschien gebruik ik de term "bindende aanwijzing" verkeerd. Dan is er ook nog de boete. 

Met een rode kaart bedoelt u dus een bindende aanwijzing? 

Dan bedoel ik de bindende aanwijzing. Sorry. 

Dan begint het voor mij duidelijk te worden. Ze kunnen nu al een gele kaart geven. Zo heb ik het begrepen. Een bindende aanwijzing lees ik ook als een gele kaart, want daar moet eerst aan voldaan worden. Als het niet gebeurt, krijg je inderdaad een rode kaart. In het wetsvoorstel is er echter ook de mogelijkheid om in bepaalde gevallen, als er sprake is van opzet, acuut een rode kaart uit te delen. Dan ben je dus meteen aan de beurt. Ik begrijp dat de rode kaart, dus het meteen aan de beurt zijn, waarvan sprake is in het amendement, ook de bedoeling is als er sprake is van ernstig verwijtbare nalatigheid. Heb ik dat goed begrepen? 

Als de rode kaart een boete is, dan wel. Even voor de helderheid: ik heet niet Van Oosenbrug. Die "Van" mag eraf. Ik heet gewoon Oosenbrug, maar de hele Kamer begint dit nu al over te nemen. 

Ik zal het proberen. Ik heb een vraag voor mevrouw Oosenbrug. Vertrouwt de PvdA het aan het College bescherming persoonsgegevens toe om zelf de afweging te maken om in een bepaald geval direct een boete te geven zonder dat deze wordt voorafgegaan door een bindende aanwijzing? Ik ben daar oprecht benieuwd naar. 

Ik vertrouw het CBP zeker. Ik vraag de minister wel waarom die ministeriële toetsing nodig is. Ik weet niet of ik dat al gevraagd heb of dat ik dat nog ging vragen. Waarom moet die ministeriële toetsing ertussen? Bedoelt u dat? 

Nee. Dat is natuurlijk ook een interessant punt, maar daar komt u dan nog op. Het gaat mij om het amendement op stuk nr. 16, dat u samen met de heer Van Wijngaarden hebt ingediend, versus het amendement op stuk nr. 19 van de heer Schouw en de heer Segers. Het verschil is dat er volgens u eerst sprake moet zijn van een bindende aanwijzing en dat het CBP pas daarna een stevige boete mag opleggen. Zo lees ik het amendement. Mijn collega's van de ChristenUnie en D66 zeggen echter dat het aan het college zelf is om te beoordelen of het in bepaalde gevallen terecht zou zijn om het direct te doen, zonder tussenkomst van die aanwijzing. 

Ik ben even heel snel de toelichting aan het lezen. Volgens mij zeggen wij hetzelfde. Met het amendement wordt geregeld dat het College bescherming persoonsgegevens geen bindende aanwijzing hoeft te geven aan de overtreder alvorens het een bestuurlijke boete kan opleggen. Ik begrijp de verwarring dus niet helemaal, maar misschien heb ik zelf het amendement dan niet heel helder. Dat is wat ik voor ogen had: geef het CBP nu het gereedschap om ervoor te zorgen dat het dit zelf kan bepalen. Als er dus een grove … Wacht, ik moet wel de juiste woorden gebruiken. Als er een ernstig verwijtbare nalatigheid is, zoals in het geval van het ziekenhuis waar camera's naar binnen gereden worden — dat voorbeeld is al honderd keer genoemd — waarbij je weet dat je een enorme schending van de privacy pleegt, hoor je daar gelijk voor beboet te worden. 

Ik concludeer dat er echt een belangrijk verschil zit tussen het amendement op stuk nr. 16 en dat op stuk nr. 19. Ik denk dat het goed is om daar nog even heel goed naar te kijken. Het amendement op stuk nr. 19, van de ChristenUnie en D66, maakt het toch echt een stuk scherper. In mijn ogen — zo zie ik het — geven we daarmee meer vertrouwen aan het College bescherming persoonsgegevens om maatwerk toe te passen. 

Dank u voor de tip. Ik denk dat wij hierna nog even met elkaar moeten kijken of wij nog verder kunnen komen. Ik kan nu nog niet zeggen dat het een beter dan het ander is. 

Ik was gebleven bij de vraag aan de staatssecretaris of hij navraag heeft gedaan bij de Europese Commissie over de Europese privacyrichtlijn. Kan hij bevestigen dat het onthouden van goedkeuring terughoudend gebruikt zal worden, mede door de beperkte gronden "strijd met de wet" en "strijd met het algemeen belang"? Hoe wordt de Kamer geïnformeerd over het eventueel weigeren van goedkeuring aan een beleidsregel van het CBP? 

Het nu introduceren van de wetgeving heeft het risico in zich dat er in de toekomst aanpassingen nodig zullen zijn doordat er gewerkt wordt aan nieuwe Europese regelgeving voor privacy, waarin regels voor een meldplicht en boetes opgenomen worden. 

Goedkeuring is een belangrijk punt. Ik geloof dat mevrouw Oosenbrug dat in haar inbreng al heeft aangekaart. De Partij van de Arbeid zit op de wip als het gaat om de goedkeuring. Het is mij niet helemaal helder wat de opvatting van de PvdA is. Kan het voor de PvdA nog twee kanten op: wel goedkeuring door de minister of geen goedkeuring door de minister, zoals wordt beoogd in het amendement van collega Segers? Zijn beide opties nog open? 

Op dit moment staan beide opties voor mij nog open. Ik heb iets met wetgeving over de ANPR (Automatic Number Plate Recognition), zoals sommige mensen misschien wel weten; ik weet dat daarover een vraag is gesteld. De vraag is inderdaad: kan de minister van V en J daarover wel een eerlijk advies geven aan het CBP? Die vraag wilde ik stellen en heb ik dan bij dezen gesteld. Daar zit voor mij namelijk wel de pijn. Hoe onafhankelijk ben je dan nog? Dat wil ik heel graag weten. Dat wil ik graag horen van de staatssecretaris in dit debat, net als de reactie op het amendement van de heer Segers. Ik moet zeggen dat de wipwap wel wat meer doorslaat naar de ene kant dan naar de andere kant, maar ik wil graag eerst een duidelijk antwoord. 

Ik denk dat het antwoord van de staatssecretaris zal zijn: ja, dat kan ik. Dat kunnen we voorspellen. Zit er niet een wat meer principiële kant aan? Bij heel veel toezichthouders — het is nu eenmaal niet anders geregeld — liggen normstelling en handhaving in één hand. Dat zie je ook bij de Autoriteit Financiële Markten en nog een paar van die instellingen. Zou het niet logisch zijn om die lijn consistent door te trekken? 

Ja, maar toch wil ik het debat openhouden. Daarvoor voeren we een debat met elkaar. Daarin wil ik vragen kunnen stellen aan de staatssecretaris en daarop wil ik gewoon antwoord krijgen. Aan de hand daarvan en met de visie van mijn fractie erachter, zullen wij daar in tweede termijn zeker op terugkomen. In eerste termijn ga ik echter nog niet zeggen naar welke kant de wipwap doorslaat, juist om het debat op een open manier te kunnen blijven voeren. 

Als onafhankelijkheid belangrijk is, dan hebben we maar twee smaken: of je bent onafhankelijk, of je bent het niet. Als je die onafhankelijkheid echt in de wet wilt onderstrepen, is het natuurlijk wel de vraag of je die ministeriële regeling niet moet doorknippen. 

Er zijn ook kanttekeningen gemaakt in de trant van "stop je op een gegeven moment niet te veel macht bij een partij?" Daar heb ik gewoon vragen over. Volgens mij zijn daar meer vragen over gesteld. Ik ben echt oprecht benieuwd naar het antwoord daarop. Voor mij blijft het een afweging. Wat weegt op een gegeven moment zwaarder? Is dat echt die onafhankelijke positie — wij zijn daar heel erg mee bezig ook bij andere toezichthouders — of moet het toch toezicht op de toezichthouder worden, of hoe je het dan ook noemt? Je hebt al Train de Trainer. Dan heb je vast ook wel iets als "wie let er op de opletter?" Ik snap het amendement van de heer Segers dus. Ik sta daar heel sympathiek tegenover, maar ik wil toch graag de beantwoording van de staatssecretaris afwachten voordat ik zeg welke weg mijn fractie kiest. 

Mijnheer Segers, ik geloof niet dat er op dit moment een beslissing komt, maar wellicht hebt u toch een vervolgvraag. 

Nee, ik heb geen vervolgvraag, maar ik wil wel graag het belang dat de PvdA-fractie hecht aan die onafhankelijke positie, markeren. Het is van belang dat het CBP echt in de positie is om volwaardig toezicht te kunnen uitoefenen, ook op de ministeries waar we het over hebben. Dat markeer ik even en in de tweede termijn gaan we daar verder over in debat. 

Daarom gaf ik ook dat sprekende voorbeeld van ANPR. Dat gaat mij erg aan het hart. 

Vervolgt u uw betoog, mevrouw Oosenbrug. 

Ik kom op de Europese regelgeving voor privacy. Wij vinden dat deze wetgeving lang genoeg op zich heeft laten wachten en wij waarderen de keuze van het kabinet om niet te wachten op deze traag vorderende Europese regels. De PvdA is van mening dat we met dit wetsvoorstel een stap vooruit zetten in de bescherming van persoonsgegevens. 

Daarmee is een einde gekomen aan de eerste termijn van de Kamer. 

De heer Schouw op dit punt. Alweer? Sorry, het knopje staat uit. 

Als het maar geen opzet is, voorzitter! 

Even om mijn onafhankelijkheid te bewijzen, ik vind het fijn dat er een mededeling komt dat de voorzitter van het college dat van mening is, maar dat vindt de fractie van D66 op zichzelf geen overtuigend argument. Dus ik vraag de staatssecretaris toch om daar wat inhoudelijker op in te gaan. Ik denk namelijk dat ik een parallelliteit zag met de naamgeving in Europa. 

Dat heb ik gehoord. Er zijn dus praktische voorbereidingen die al een tijdje lopen op grond waarvan je zou moeten zeggen dat je het niet moet doen, maar ik zal zo dadelijk op de wat meer principiële vraag van de heer Schouw ingaan. Ik dacht het even zo te kunnen oplossen, maar dat is iets te snel. 

Een tussenopmerking. Er is naar gekeken. Het blijkt statisticiteit te zijn, dus gebruik het voetpedaal, is het advies van de technische dienst. 

De staatssecretaris noemde praktische dingen. Betekent dat dat de letters er al zijn, dus dat de Kamer eigenlijk geen keuze meer heeft? Moet ik dat zo zien? 

Nee, zeker niet. De Kamer heeft natuurlijk altijd een keuze, maar bij een onderwerp als dit kan ik me voorstellen dat het college daar wel over nadenkt en misschien ook wat voorbereidingen treft. Je kunt natuurlijk altijd een andere keus maken in het wetgevingstraject. What's in a name, maar daar hangt soms wel wat aan vast. Ik zal straks op de principiële kant ingaan. 

Ik kom tot een algemene opmerking over de meldplicht datalekken. Verschillende woordvoerders hebben gevraagd waarom er een nota van wijziging is ingediend nadat het wetsvoorstel al was ingediend. Ik heb in het schriftelijk verslag moeten constateren dat verschillende fracties kritisch waren over het oorspronkelijke wetsvoorstel. Ik noem even wat punten van kritiek die terugkomen in het verslag. Men vond de begrippen vaag en algemeen. Zo haalden op dit punt een aantal fracties ook de kritiek van de Afdeling advisering van de Raad van State aan, die erop wees dat het een meldplicht betreft door straffen te handhaven. Bij de meldplicht voor datalekken laat dit kabinet zich in ieder geval leiden door een risicogerichte benadering. Nieuwe verplichtingen als deze moeten een reëel doel dienen en geen onnodige administratieve en toezichtslasten genereren. 

De nieuwe verplichtingen moeten het Cbp ook in staat stellen om waar nodig op te treden en moeten de burgers in de gelegenheid stellen zo snel mogelijk maatregelen te nemen in het geval van een belangrijk datalek. Daarom is het ook belangrijk dat in zekere mate van een drempel wordt ingebouwd om de meldplicht ook echt effectief te laten zijn. Het voorstel legt de grens bij incidenten die daadwerkelijk ernstige nadelige gevolgen hebben voor de bescherming van de persoonlijke levenssfeer. Die grens is natuurlijk niet in beton gegoten; laat dat helder zijn. Ik heb in eerste termijn goed geluisterd. Ik constateer dat bij een aantal fracties de wens leeft om die grens enigszins te verruimen. Ik zal daar bij de bespreking van de amendementen op terugkomen. 

Ik kom op de boetebevoegdheid. Bij de uitbreiding van de bevoegdheid van onze nationale autoriteit om overtredingen te bestraffen met forste boetes, staat het kabinet niet alleen voor een toezichthouder met tanden. Die formulering is vanavond al een aantal keren langsgekomen in het kader van de verschillende uitdrukkingsvormen van honden. Ook is er een systeem waarin van de verantwoordelijke geen onmogelijke inspanning kan worden verwacht om uit te puzzelen of hij zij wel of niet aan de wet voldoet. Zoals ook uit de evaluatie van de Wet bescherming persoonsgegevens is gebleken, is de Wbp voor de praktijk een heel lastige wet, met algemeen geformuleerde normen, ook wel "open normen" of "vage normen" genoemd. 

Dat levert ook spanning op met het rechtszekerheidsbeginsel, zoals dat in artikel 16 van de Grondwet is vervat maar ook in artikel 7 van het EVRM en artikel 15 van het Internationaal Verdrag inzake burgerrechten en politieke rechten. Onder anderen de heer Van Wijngaarden heeft daar aandacht voor gevraagd. De Raad van State heeft dit ook geconstateerd. Om die spanning weg te nemen, heeft het kabinet gemeend dat de checks-and-balances moeten worden verstevigd. Daarbij spelen twee "nieuwe" aanvullende instrumenten een rol, namelijk de bindende aanwijzing als in beginsel — ik zeg er altijd nadrukkelijk bij "als in beginsel" — een tussenstap voor het opleggen van een bestuurlijke boete en de ministeriële goedkeuring van door het college op te stellen richtsnoeren waarin het de normen uitlegt en interpreteert en waarvan overtreding met een bestuurlijke boete kan worden bestraft. Het gaat hierbij om instrumenten waartoe de Raad van State heeft geadviseerd. Daarbij is nadrukkelijk benadrukt dat het om een grondwettelijke aangelegenheid gaat, waarin de wetgever een bijzondere verantwoordelijkheid draagt. Ik denk dat we met de amendementen wel een oplossing hebben. Ik kom zo direct tot de bespreking van de amendementen. Ik denk dat we er wel uitkomen. Ik denk ook dat we de grondwettelijke insteek van de Raad van State ook wel voldoende kunnen stutten. 

Ik sta overigens niet afwijzend tegenover een iets andere invulling van het instrumentarium — dat zullen de leden ook merken — indien de Kamer dat in meerderheid mocht wensen, zolang maar wordt voldaan aan het rechtszekerheidsbeginsel. Er zijn op dit punt een aantal amendementen ingediend. Ik wil die amendementen nu bespreken, omdat we bij de bespreking van die amendementen al een groot aantal vragen kunnen beantwoorden. Ik houd daarbij de volgorde van de nummering aan. 

Allereerst kom ik op het amendement op stuk nr. 13 van de heren Segers en Schouw. Dat amendement regelt dat het voorgestelde artikel 67 van de Wet bescherming persoonsgegevens inzake de goedkeuring van richtsnoeren zou komen te vervallen. Ik constateer dat in de visie van de indieners de Europese onafhankelijkheidseis voor de toezichthouder in de weg zou staan van de ministeriële goedkeuring van de richtsnoeren van de toezichthouder, waarmee deze uitleg geeft aan de materiële normen van de wet waarvan overtreding door diezelfde toezichthouder met een bestuurlijke boete kan worden bestraft. Ik denk dat het hierbij echt gaat om de checks-and-balances. Het is heel belangrijk om te constateren, dat de normstelling en de bestraffing als gevolg daarvan in belangrijke mate in één hand komen te liggen. Je kunt vragen zetten bij de wenselijkheid hiervan. 

Dat ook de ministers onder het toezicht van het College bescherming persoonsgegevens vallen, is op zichzelf een terechte constatering van de indieners, maar een formeel beletsel is het niet. De ministers mogen zich namelijk niet bemoeien met de taakuitoefening door het College bescherming persoonsgegevens. Dat verandert ook door het wetsvoorstel niet. Ik denk dat het in dit concrete geval wel mogelijk is om een andere invulling te geven aan dit geheel, in de zin dat wij niet kiezen voor de ministeriële goedkeuring sec, maar dat wij een en ander op een andere manier invulling geven. Ik zou daartoe eigenlijk het volgende willen voorstellen, geconstateerd hebbende dat in de Kamer bezwaren leven tegen het vereiste van de ministeriële goedkeuring. Ook bij het College bescherming persoonsgegevens leven daartegen bezwaren. Laten wij naar alternatieven kijken, in de trant van: hoe kunnen wij het dan anders oplossen met dit amendement? Dan denk ik dat zou kunnen worden volstaan met de verplichting voor het College bescherming persoonsgegevens om, voorafgaand aan de vaststelling van beleidsregels, in overleg te treden met de ministers van Binnenlandse Zaken en van Veiligheid en Justitie. 

Daarmee is de onafhankelijkheid van het college gegarandeerd, want het college stelt zelf de beleidsregels vast, zonder dat daarvoor goedkeuring is vereist. Er is wel sprake van systeemverantwoordelijkheid van de ministeries. De heer Van Wijngaarden zei dat je als systeemverantwoordelijke ook naar de toezichthouder moet kijken. Hij noemde dat "bewaking" van de toezichthouder. Ik zou het de systeemverantwoordelijkheid van de departementen noemen. De betrokkenheid van de beide ministeries is gegarandeerd door het overleg in het voortraject. In de afgelopen vier jaar dat ik heb mogen werken met de voorzitter en het bestuur van het College bescherming persoonsgegevens is dat overleg altijd op een goede wijze verlopen. Ik heb geen enkele aanleiding om te denken dat wij op deze wijze — als het amendement in deze zin zou kunnen worden gewijzigd — geen recht zouden kunnen doen aan de betrokkenen. Wij kunnen dan recht doen aan wat de indieners, de heren Schouw en Segers, hebben beoogd en wij kunnen recht doen aan de systeemverantwoordelijkheid die er bij beide departementen voor het college bestaat. Ik doe dus het voorstel aan de indieners om het amendement in deze zin te wijzigen. Dan laat ik uiteraard het oordeel aan de Kamer, maar dan sta ik er zeer positief tegenover. 

De staatssecretaris zegt terecht dat de vaststelling van de beleidsregels een verantwoordelijkheid is en blijft van het college. Dat was inderdaad het oogmerk. Als wij elkaar zo naderen, denk ik dat het goed werkbaar is. Wij zullen het amendement in die zin aanpassen. 

Dan kom ik op het amendement-Van Wijngaarden c.s. op stuk nr. 14. De zorgen van de indieners betreffen het onder de meldplicht houden van adequaat versleutelde persoonsgegevens. Waar praten wij over? Het gaat om e-mailberichten en creditcard- en bankgegevens. De heer Van Wijngaarden zei het al, maar ook anderen hebben het genoemd. Ik dacht dat ook mevrouw Helder daar aandacht aan heeft besteed. De heer Oskam noemde een voorbeeld van wat er in de Verenigde Staten heeft plaatsgevonden. In de toelichting op het amendement wordt gesproken van situaties waarin ontsleuteling een reële dreiging vormt. In dat geval zijn er risico's voor de persoonlijke levenssfeer van de getroffen personen. De beperking tot een reële dreiging lijkt mij van belang. Van het college kan immers niet worden verlangd dat het toekomstige technologische ontwikkelingen kan voorspellen. Dat lijkt een stap te ver. Mocht er een reële dreiging zijn, dan is het wel goed dat het college een melding aan de getroffen personen kan afdwingen om hen te waarschuwen en te informeren over de nadeelbeperkende maatregelen. Dat is de bevoegdheid die is opgenomen in artikel 34a onder lid 7. Daarvoor is het nodig dat er eerst een melding aan het college wordt gedaan. Ik sta positief tegenover dit amendement en laat het oordeel erover graag aan de Kamer over. 

Ik kom bij het amendement op stuk nr. 16, ingediend door de heer Van Wijngaarden en mevrouw Oosenbrug. Over dit amendement heeft de Kamer in de eerste termijn veel gediscussieerd. In het amendement worden in feite twee dingen geregeld. Ten eerste wordt geregeld dat het College bescherming persoonsgegevens geen bindende aanwijzing hoeft te geven aan de overtreder voor de overtredingen waarvoor de zwaarste boete kan worden opgelegd, niet alleen indien de overtreding opzettelijk dan wel voorwaardelijk opzettelijk is begaan, maar ook indien de overtreding het gevolg is van ernstig verwijtbare nalatigheid. Ten tweede wordt in het amendement een vereenvoudiging van de handhaving geregeld, omdat ook het niet-nakomen van een bindende aanwijzing zelfstandig beboetbaar wordt gesteld. Eerder heb ik al aangegeven dat ik de uitzondering op de verplichting om eerst een bindende aanwijzing te geven juist heb opgenomen met het oog op de rechtszekerheid en de slagvaardigheid van het College bescherming persoonsgegevens. Zo nodig kan dus meteen een rode kaart — mevrouw Helder sprak daar bij interruptie over — worden getrokken. Dat zit ook in het amendement op stuk nr. 16. Die rode kaart moet meteen kunnen worden getrokken, om de slagvaardigheid van het College bescherming persoonsgegevens niet onnodig te belemmeren. 

Het lijkt mij belangrijk om te constateren dat er sprake is van een versterking — zo lees ik het amendement althans — van het lik-op-stukkarakter in de situaties van ernstig verwijtbare nalatigheid die hier worden genoemd. Dan praten wij over iets grofs, iets aanzienlijk onzorgvuldigs, iets onachtzaams, dan wel over onoordeelkundig handelen. Dat sluit aan bij de benadering die ik in het wetsvoorstel had voorzien. Ik sta derhalve positief tegenover het amendement op stuk nr. 16. Het oordeel over dit amendement laat ik aan de Kamer. 

In het amendement op stuk nr. 17, ingediend door de heer Oskam, wordt iets soortgelijks geregeld als in het eerste deel van het amendement op stuk nr. 16: de uitzondering voor het geven van een bindende aanwijzing voor het opzettelijk begaan van een overtreding wordt aangevuld met de bevoegdheid van het College om de bindende aanwijzing ook in het geval van opzet achterwege te laten, indien het College dit redelijk acht. Ik denk dat dit overbodig is, omdat het amendement op stuk nr. 16 in combinatie met het oorspronkelijke wetsvoorstel dit al mogelijk maakt. Van belang vind ik wat de indiener van het amendement heeft gezegd over "opzet". Vanavond viel in deze zaal de term "willens en wetens". In dat geval is er sprake van volledige opzet. Als wij in het kader van deze wetgeving spreken over "opzet", praten wij echter ook over de situatie die in het strafrecht is omschreven als "voorwaardelijke opzet", waarbij een overtreder redelijkerwijze wist of had kunnen vermoeden, of de aanmerkelijke kans had kunnen aanvaarden, dat door zijn handelen of nalaten ernstige nadelige gevolgen hadden kunnen plaatsvinden. Die omschrijving, die norm zit ook begrepen in het wetsvoorstel. Dat is breder dan wat ik sommige leden heb horen zeggen over "willens en wetens". Daar heeft de indiener van het amendement op stuk nr. 17 een punt. Ik meen dat de heer Oskam ook zei dat dit eronder moet vallen. Nu, dit valt eronder. Zo moeten wij de wet ook uitleggen. 

Dat moet er zeker onder vallen. Het amendement is ingediend omdat er veel discussie was over wat het CBP moet doen, wat het kan doen en wat de mogelijkheden zijn. Vandaar dat wij hebben gezegd dat wij moeten kijken naar de redelijkheid en moeten kiezen voor de overall-toets op basis waarvan wij alles afwegen. De staatssecretaris heeft een en ander nu uitgelegd. Ik snap zijn conclusie dat het amendement overbodig is, maar wij willen toch nog eens benadrukken wat wij bedoelen, omdat daar zo veel discussie over was. 

Ik ben blij met de uitleg van de heer Oskam. Het vierde lid van artikel 66 bevat ook een uitzondering op de verplichte tussenstap van de bindende aanwijzing. Daarmee is overigens niet gezegd dat de bevoegdheid niet meer zou bestaan; daarmee is alleen gezegd dat de verplichting vervalt. Het college kan daar dus nog steeds voor kiezen. Ook als wellicht te bewijzen valt dat er sprake is van voorwaardelijke opzet en een directe boete tot de mogelijkheden behoort, kan het College bescherming persoonsgegevens ervoor kiezen om met een bindende aanwijzing te werken. Het college kan daarbij een termijn stellen waarbinnen de overtreding moet worden beëindigd. Als de aanwijzing wordt opgevolgd, is de boete niet meer nodig. 

Ik moet misschien nog wel iets zeggen over een andere suggestie die door de indiener is gedaan. Die had betrekking op iets wat we in het strafrecht kennen, het opleggen van een voorwaardelijke boete. Stel iemand meldt een datalek, maar heeft zelf al allerlei maatregelen genomen om het lek te beëindigen. Om te voorkomen dat het lek nog een keer voorkomt, leg je dan een boete op met een proeftijd van een aantal jaren. Ik moet zeggen dat de Algemene wet bestuursrecht zich daartegen verzet. Ik verwijs uw Kamer daarvoor naar de behandeling van de vierde tranche van de Algemene wet bestuursrecht, de Handelingen 2003-2004, pagina 133 en 134, waarin nadrukkelijk is opgenomen dat een voorwaardelijke boete zich niet verdraagt met het stelsel van het bestuursrecht. Een voorwaardelijke boete behoort niet tot de mogelijkheden. De heer Oskam noemde het zelf ook al. Toen hij met dat op zich sympathieke argument kwam, zei hij: misschien kun je dat ook op een andere wijze ondervangen. Ik wist dat ook niet uit mijn hoofd, maar ben erop gewezen dat dit in de vierde tranche van de Algemene wet bestuursrecht is uitgezonderd. Maar de last onder dwangsom is natuurlijk in feite een instrument dat je op deze wijze ook zou kunnen gebruiken. Dat kan dezelfde uitwerking hebben als het opleggen van een voorwaardelijke boete. Daar wil ik nog wel op wijzen. 

Ik heb nog een klein formeel puntje. U hebt het amendement op stuk nr. 17 nog niet van een kwalificatie voorzien. 

Ik heb uitgelegd dat het amendement op stuk nr. 16 een aantal zaken al regelt, in combinatie met het wetsvoorstel. Ik denk dat het amendement op stuk nr. 17 overbodig is in dit geval. Ik heb geprobeerd dat toe te lichten. 

Dan kom ik op het amendement op stuk nr. 18, ingediend door de heer Schouw c.s. In dat amendement wordt geregeld dat het bereik van de meldplicht wordt verruimd door incidenten die leiden tot een aanmerkelijke kans op ernstige nadelige gevolgen eveneens onder het bereik van de meldplicht te brengen. De protocolplicht blijft overigens beperkt tot de aan het college gemelde lekken. Dat moeten we nadrukkelijk zien. Ik zie dit amendement als een verruiming en als een stimulans om bij incidenten met potentieel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens de toezichthouder daarvan in kennis te stellen. Mocht nadien blijken dat het loos alarm was, wat uiteraard kan voorkomen, dan kan die melding altijd achteraf worden ingetrokken. Wat wel belangrijk is, is dat die meldplicht ook in verruimde vorm enige clausulering bevat, zodat niet elk potentieel datalek, klein en groot, gemeld gaat worden. Dat is gezien de bredere reikwijdte van de Wet bescherming persoonsgegevens ook niet de bedoeling. Ik sta positief tegenover dit amendement en ik laat het oordeel over dit amendement graag over aan uw Kamer. 

Ik kom op het amendement op stuk nr. 19 van de leden Schouw en Segers. Over dit amendement hebben de leden in eerste termijn uitgebreid gesproken. Eigenlijk regelt ook dit amendement twee dingen, maar dan in een net iets andere vorm. Het amendement regelt dat het college niet gebonden is aan enigerlei wettelijke verplichting om voorafgaand aan het opleggen van een bestuurlijke boete van de zwaarste categorie een bindende aanwijzing te geven. Het CBP is bevoegd om een bindende aanwijzing te geven en kan daarbij een termijn stellen. Daarnaast regelt het amendement, net als het amendement op stuk nr. 16, een vereenvoudiging van de handhaving door het CBP, omdat ook niet-nakoming van een bindende aanwijzing zelfstandig bestuurlijk beboetbaar wordt gesteld. 

Wat dit amendement doet, is een discretionaire bevoegdheid toedelen aan het college om voorafgaand aan het opleggen van een bestuurlijke boete een bindende aanwijzing op te leggen. Er is dus geen sprake meer van een verplichting in bepaalde gevallen. Die bindende aanwijzing is natuurlijk een normconcretiserend besluit, waarin het college in een individueel geval nog eens precies uitlegt wat de normen van de Wet bescherming persoonsgegevens betekenen. Die normconcretisering is, denk ik, vanuit het perspectief van bedrijven en organisaties belangrijk. Ik ben dat eens met degenen die daar opmerkingen over hebben gemaakt. In tal van situaties kan er discussie ontstaan over de vraag hoe de normen van de Wet bescherming persoonsgegevens precies moeten worden uitgelegd. Dat hangt ook samen met het algemene en abstracte karakter van de normen. Dat is al bij de evaluatie van de Wet bescherming persoonsgegevens in 2009 geconstateerd. 

Het is van belang dat de burger — velen hebben dat genoemd in het kader van de rechtszekerheid — in een aantal gevallen nadere duidelijkheid krijgt alvorens met een zeer forse boete te worden geconfronteerd. Dat weegt bij bestuurlijke bestraffing extra zwaar naar het oordeel van het kabinet, zeker als normhandhaving en bestraffing in één hand zijn. Als die extra duidelijkheid niet nodig is omdat een verantwoordelijke heel goed weet wat er van hem wordt verwacht, dan is de bindende aanwijzing niet nodig. Daarom is in artikel 66, lid 4, het opzettelijk handelen, inclusief voorwaardelijke opzet, meegenomen. Als het amendement op stuk nr. 16 wordt aangenomen, geldt dit ook voor het ernstig nalatig handelen. In de optiek van de regering is het echt de verantwoordelijkheid van de wetgever in formele zin om die afweging te maken en niet die van de onafhankelijke toezichthouder middels een beleidsregel. Tegen de vereenvoudiging van de handhaving, het tweede onderdeel van het amendement, bestaat uiteraard geen bezwaar. Het tweede deel is ook geregeld in het amendement op stuk nr. 16, maar het eerste gedeelte van het amendement van de heren Schouw en Segers moet ik ontraden. 

Ik kom nu toe aan de beantwoording van de vragen. De heer Schouw sprak over een evaluatie binnen vijf jaar na inwerkingtreding. De evaluatie moet zich op een aantal dingen richten. Ik noem de naleving van de meldplicht, de toepassing van het college van de boetebevoegdheid in de praktijk, de uitwerking op de bescherming, de hanteerbaarheid van de administratieve lasten en de nalevingskosten voor de bedrijven en organisaties die ermee te maken krijgen. Het wetsvoorstel zelf bevat in artikel IVa een evaluatieplicht die inhoudt dat er een evaluatie moet worden uitgevoerd op de meldplicht datalekken en de boetebevoegdheid binnen één jaar na het van toepassing worden van de komende EU-verordening. Tussen het van kracht worden en van toepassing worden van de verordening zit naar de inschatting van het kabinet een implematietermijn van ongeveer twee jaar. De gedacht achter de evaluatieplicht in het wetsvoorstel is dat wij lering kunnen trekken uit de nationale ervaringen met de meldplicht en de verruimde boetebevoegdheid ten behoeve van het toezicht en de handhaving door het CBP. De heer Schouw was nog niet in de zaal toen ik het eerder zei en daarom herhaal ik dat de vaststelling en inwerkingtreding van de verordening zeker niet voor 2016 wordt verwacht, gelet op een aantal onderwerpen die op dit moment in discussie zijn binnen een aantal lidstaten en het Europees Parlement. In het allergunstigste geval zou een evaluatie eind 2016 kunnen plaatsvinden of anders in 2017. 

Ik begrijp dat wij pas goed kunnen evalueren nadat de Europese verordening in werking is getreden. Dan kunnen wij de wetswijziging vergelijken met wat in de Europese verordening wordt geregeld. Het valt een beetje tegen qua onderhandelingsproces. Het gaat nog wel even duren. Is het dan niet goed om toch zelf een termijn van een aantal jaar te kiezen, zoals wij dat ook bij andere wetten doen en het niet af te laten hangen van enkel het in werking treden van die verordening? Het is interessant om te weten hoe deze wet gaat uitpakken. Ik heb daar specifiek naar gevraagd met het oog op de capaciteit van het CBP. 

Het is een beetje onzeker. Aanvankelijk dacht ik dat het snel zou gaan met die verordening, maar na de laatste informele raad in Letland en gezien het standpunt van de Commissie en het Europees Parlement aan de ene kant en het standpunt van de overgrote meerderheid van de lidstaten aan de andere kant, verwacht ik dat er nog een aantal harde noten te kraken zijn in 2015. Daarom denk ik dat het goed is om te zeggen dat we deze wet binnen vijf jaar zouden moeten evalueren als hij in 2015 in werking zou treden. Ik ga er daarbij dus even van uit dat de wet nog dit jaar in werking zou treden. Die evaluatie binnen vijf jaar zou dan dus sowieso moeten gebeuren, los van wat er in Europa gebeurt, omdat het volgens mij wel belangrijk is om te bekijken waar de omissies en de problemen zitten. Ik denk dat de heer Schouw en de heer Van Nispen hierin wel gelijk hebben: ook los van de verordening zou je moeten bezien hoe dit op nationaal niveau uitwerkt. Wat kunnen we ervan leren? Dat zal natuurlijk veelvuldig gebeuren in het regulier overleg dat ik met de voorzitter van het College bescherming persoonsgegevens heb. Dat zullen wij ook tussentijds bezien, maar ik zal de Kamer daarover ook rapporteren. Wat is de uitwerking? Hoeveel meldingen in het kader van de meldplicht datalekken zijn er? Volgens mij is het goed om dat ook te registreren. Ik denk dat een totale evaluatie na vijf jaar een redelijke termijn is. 

Ik kom op de reikwijdte van de meldplicht. In eerste instantie sloot de tekst van het wetsvoorstel aan bij de meldplicht uit artikel 11.3a van de Telecommunicatiewet. Wat ik hierover ga zeggen, is misschien ook nog even een toelichting bij het amendement op stuk nr. 19. Dit hoort daar eigenlijk ook nog bij. In de Telecommunicatiewet wordt er eigenlijk van uitgegaan dat in beginsel elk datalek moet worden gemeld, ongeacht de impact. Daarom ontbreekt in de Telecommunicatiewet ook het woord "ernstige". Daarbij moet je je wel bedenken dat de meldplicht voor de Telecommunicatiewet uitsluitend geldt voor aanbieders van openbare elektronische communicatiediensten, dus telecomaanbieders. Het wetsvoorstel waarover wij nu spreken, ziet op iedereen die persoonsgegevens verwerkt. Dat kunnen particulieren zijn, zzp'ers, plaatselijke sportclubs, kleine bedrijven, maar ook wereldwijd opererende multinationals die in Nederland zijn gevestigd. De reikwijdte van deze meldplicht is dus vele malen groter dan de meldplicht van de Telecommunicatiewet. Zonder een nadere afbakening zou de handhaving van deze meldplicht vrijwel onbeheersbaar worden. Vandaar dat in het wetsvoorstel, maar volgens mij ook in de amendementen, staat dat het moet gaan om datalekken met ernstige gevolgen. 

Laat ik eens een voorbeeld noemen. Een en ander betekent bijvoorbeeld dat het in beginsel niet hoeft te worden gemeld als de ledenlijst van de plaatselijke korfbalvereniging op straat is komen te liggen, maar wel als derden zich onrechtmatig toegang hebben verschaft tot de patiëntgegevens van een plaatselijk ziekenhuis. Dat voorbeeld is vanavond al langsgekomen. Waar zou je nou naar moeten kijken en wat zou je nou moeten meenemen bij de beoordeling of er sprake is van ernstige nadelige gevolgen? Volgens mij is het goed dat we dat bij deze wetsbehandeling aan de orde hebben. Ik zou graag enige reflectie daarover horen van de leden van de Kamer, hetzij in een interruptie, hetzij in de tweede termijn. Volgens het kabinet zou je daarbij kunnen denken aan de aard en de omvang van het datalek. Je zou kunnen denken aan de aard van de gelekte persoonsgegevens. Je zou ook kunnen denken aan de mate waarin technische beschermingsmaatregelen zijn getroffen. Mevrouw Oosenbrug noemde een aantal voorbeelden uit haar oude werkkring. Zelfs als er patiëntgegevens van slechts één huisarts op straat komen te liggen, kan er al sprake zijn van ernstige gevolgen. In zo'n geval gaat het immers dan wel niet om veel gegevens, maar wel om heel gevoelige gegevens. Dan is de omvang van het datalek weer niet van belang. Je moet dus ook nog een verschil maken tussen enerzijds aard en omvang, en anderzijds gevoeligheid. Dat kan op zich ook weer met elkaar cumuleren, maar ook kunnen die zaken los van elkaar omstandigheden zijn die je mee moet laten wegen. 

Komt het ledenbestand van die plaatselijke korfbalvereniging op straat te liggen, dan zal er dus niet snel sprake zijn van ernstige nadelige gevolgen, maar dat zou anders kunnen zijn als het daarbij gaat om een ledenbestand waarin specifiek is opgenomen wie van die leden betalingsachterstanden hebben. Dan zou een en ander weer anders kunnen liggen, want dat zijn weer meer gevoelige gegevens. Het gaat naar mijn mening dus om de omstandigheden van het geval. Een aantal leden heeft gezegd: dat moeten we nu echt aan het college laten. Naar mijn mening bevatten het wetsvoorstel en de amendementen die ik vanavond heb omarmd een werkbare, evenwichtige afbakening van de meldplicht. Ik zie op dit moment achter de rug van de heer Schouw, die bij de interruptiemicrofoon staat, de voorzitter van het college op de publieke tribune instemmend knikken. 

Dit zou iets kunnen uitlokken, maar dat laat ik even. De staatssecretaris vroeg om reflectie en hij noemde een paar dingen. Ik houd hem ook even twee dingen voor die ik in mijn inbreng ook aan de orde heb gesteld. Ik doel op de positie hierbij van kwetsbare groepen, bijvoorbeeld van gehandicapten of jongeren. Telt een datalek waarbij het over zulke groepen gaat volgens de staatssecretaris zwaarder mee dan wanneer het gaat om mensen zoals hij en ik? 

Het is goed dat de heer Schouw daarvoor aandacht vraagt. Er zijn mensen in de samenleving die zich niet kunnen beschermen en daarom extra kwetsbaar zijn. Zij zijn afhankelijk van anderen die hen moeten beschermen. In het verleden zijn er ook gevallen geweest waarin onzorgvuldig, ernstig nalatig en opzettelijk onzorgvuldig met hen is omgegaan. Zeker als het mensen betreft die zichzelf niet goed kunnen beschermen, bijvoorbeeld omdat ze niet bij machte of niet voldoende toerekeningsvatbaar zijn om erover na te denken, kan dat een omstandigheid zijn die met zich brengt dat de gegevens extra gevoelig zijn ten opzichte van die van andere personen. In een individuele casus kunnen de kring van te beschermen personen en de gevoeligheid feitelijke omstandigheden zijn die van invloed zijn. 

Dan nog een tweede punt. Ik heb het voorbeeld genoemd van bedrijven en organisaties die als kerntaak hebben om gegevens te verwerken. Als die in de fout gaan, moet dat dan zwaarder of anders tellen dan wanneer het bijvoorbeeld gaat om een groentehal, die een andere kernactiviteit heeft? 

Ik denk dat iedereen met dit wetsvoorstel te maken kan krijgen. Voor degenen die belast zijn met de verwerking van gegevens mag een extra mate van zorgvuldigheid worden verwacht. Ik kan mij voorstellen dat bij herhaling — dat noemen we in het strafrecht recidive — ten aanzien van die personen de gevoeligheid of in ieder geval de verwijtbaarheid eerder een rol kan gaan spelen. 

Dat is heel mooi. Begrijp ik goed dat de voorbeelden die we nu met elkaar bespreken, hun weerslag moeten zien te vinden in de richtlijnen? 

Ik denk dat het college bij uitstek de autoriteit is in dezen. De heer Oskam zei het heel treffend: het is een maat voor het opbouwen van jurisprudentie waardoor je na een periode van vijf jaar inzicht krijgt in wat het college de norm acht die gehandhaafd moet worden. Er zijn individuele casussen mogelijk, bijvoorbeeld een huisarts of een kinderdagverblijf, waarin op die wijze de jurisprudentie wordt gevormd. Dat is wel iets wat het college moet gaat doen. Dat is immers de toezichthouder die we daarvoor hebben aangesteld. 

De staatssecretaris geeft mooie voorbeelden, maar om het scherp te krijgen heb ik nog even een ander voorbeeld. Stel dat er geen daadwerkelijke schending van de privacy plaatsvindt. Er is een lek of een veiligheidsprobleem, maar de gegevens worden niet door derden ingezien en dat staat ook vast. Kan die omstandigheid meewegen? Zou het CBP voorzichtig moeten zijn om in dat soort gevallen een boete op te leggen? 

Hierover heb ik al iets gezegd bij de bespreking van het amendement op stuk nr. 17. Ook mevrouw Oosenbrug heeft daar iets over gezegd. Als iemand constateert dat er een fout is gemaakt of als iemand constateert dat hij op onjuiste wijze is omgegaan met gegevensbestanden, maar hij zelf al herstel heeft gepleegd, dan kan dat uiteraard een omstandigheid zijn voor het college om te zeggen: dat leidt niet tot een bestraffing. Dat zou heel goed kunnen. 

Dat is actief optreden. Stel dat er een fout is, een veiligheidslek, waardoor gegevens op straat kunnen komen. Die gegevens zijn niet ingezien door derden. Het is bijvoorbeeld tijdig opgepakt door de politie of de gegevens zijn anderszins kwijtgeraakt. In elk geval heeft niemand die gegevens gezien. Is dat een omstandigheid die in het voordeel van die organisatie kan meewegen? 

Ik denk daar even over mee. Het is belangrijk om dit met elkaar te duiden. Het is van belang of degene die betrokken is bij het gegevenswerk, of hij zelf die fout ontdekt en herstelt of dat los van de wil van de gegevensverzamelaar de fout wordt hersteld door een derde. Dat is dan toch net weer iets anders. Dat zijn allemaal zaken die het college zal moeten wegen. Daarvoor zal het de richtsnoeren en de beleidslijnen moeten opstellen. In de praktijk zal elke casus individueel moeten worden beoordeeld. 

De staatssecretaris vraagt om een reflectie op dit onderwerp: in welke casus wel en in welke niet? Dat geeft al aan, terwijl ik hier luister naar mijn collega's, hoe complex de materie is. Wat is wel een privacyschending en wat niet? Het begint nu een beetje te zweven. Ik denk dat we weer even terug moeten naar de basis. Op het moment dat er buiten jouw schuld om een hack wordt gepleegd en gegevens worden gestolen, dan heb je die meldplicht. Daar zijn we ontzettend blij mee. Het gaat mij persoonlijk te ver om vervolgens een boete op te leggen omdat iemand gehackt is. Diegene meldt het en heeft zijn systemen op orde. We weten inmiddels: hoe goed je het systeem ook beschermt, there is always a bigger fish. Er wordt altijd gekeken of men toch het systeem in kan. Waar leg je dan de grens? Ik zou toch kijken of het bedrijf dat de gegevens moet verwerken er alles aan heeft gedaan om ervoor te zorgen dat die goed beschermd zijn, via encryptie, een goede firewall of andere mogelijkheden, die ik niet op zal noemen. Of heeft men gedacht toen er extra geld te besteden was: we kopen een mooi bureau voor de directeur en we laten het systeem nog even met touwtjes aan elkaar hangen? Ik denk dat dit eerder de discussie is dan dat je het per casus gaat bekijken. Het gaat om de grondhouding bij het verwerken van persoonsgegevens. 

Ik dank mevrouw Oosenbrug voor de reflectie. Ik heb de mate genoemd waarin technische beschermingsmaatregelen zijn genomen. Dat is bij uitstek iets wat kan bijdragen aan het oordeel of er sprake is van ernstige nadelige gevolgen. Andere punten zijn de omvang van het datalek, de aard van de gelekte gegevens en vooral de gevoeligheid daarvan. Ik denk dat wij er als wetgever in die vorm over moeten spreken. Er zijn heel duidelijke voorbeelden voorgelegd. Als je een gegevensbestand hebt van mensen die zichzelf niet kunnen beschermen, als je daar onzorgvuldig mee omgaat en als dat ernstige nadelige gevolgen heeft, dan kan dat een omstandigheid zijn die extra meeweegt, zoals de heer Schouw naar voren bracht. Dit is wel iets wat uiteindelijk casuïstisch moet worden ingevuld, dat ben ik met de heer Oskam en vele anderen eens. 

De heer Bisschop heeft gevraagd of altijd duidelijk is wanneer passende technische maatregelen zijn genomen. Dan gaat het over versleuteling en encryptie. In artikel 34a, lid 6, wordt de lat voor die passende technische maatregelen heel hoog gelegd. De verwerkte persoonsgegevens moeten onbegrijpelijk of ontoegankelijk zijn gemaakt voor derden die geen recht hebben op kennisneming van die gegevens. Daar kan in de praktijk wel discussie over bestaan, want een adequate versleuteling is natuurlijk altijd afhankelijk van de stand van de techniek en de ontwikkelingen die daarin in de tijd kunnen plaatsvinden. Het CBP zal daar ook richting en duiding aan moeten geven, door die richtsnoeren, maar volstrekte duidelijkheid kunnen we in de wet niet geven, zeg ik tegen de heer Bisschop. 

De heer Segers heeft nog gevraagd hoe die boete in andere landen is geregeld. Hij vroeg ook om een doorkijkje naar de verordening die voorligt. We hebben daar geen uitvoerige studie naar gedaan bij het opstellen van het wetsvoorstel. In 2012 heeft er een beperkt inventariserend onderzoek plaatsgevonden naar de sanctionering van schending van privacyvoorschriften in andere landen. Bestuurlijke boete komt in andere landen veel voor, maar niet in alle 28 landen van de Europese Unie. In de verordening is het instrument van de bestuurlijke boete een enorme vernieuwing, om de handhaving van privacybescherming te versterken. Op grond van de verordening die nu voorligt, die uiteraard nog niet is afgerond, kunnen zeer hoge boetes worden opgelegd. Er is in de JBZ-Raad nog geen algemene overeenstemming over het hoofdstuk van de verordening waarin de sancties worden geregeld. Het is goed om vast te stellen dat daarover nog onderhandelingen plaatsvinden. Dit hoofdstuk is wel geagendeerd door het Letse voorzitterschap en daar zal Luxemburg mee doorgaan. Ik denk dat het Nederlands voorzitterschap daar ook mee door zal moeten gaan. 

De heer Van Nispen vroeg om het wetsvoorstel te vergelijken met de inhoud van de verordening. Ik heb daar al iets over gezegd. Ik denk dat de tekst van het wetsvoorstel wel ruimte bevat om deze ook EU-conform te interpreteren. Dat is eigenlijk ook het antwoord op de vraag van de heer Van Wijngaarden over nationale koppen: nee, die komen er niet op. 

Mevrouw Helder sprak over de meldplicht en wees erop dat de clausulering "tot ernstige nadelige gevolgen" wel in het wetsvoorstel voorkomt, maar niet in de conceptteksten van de Europese verordening. Dat heeft mevrouw Helder juist gezien. In het oorspronkelijke Commissievoorstel van januari 2012 zat nauwelijks enige clausulering. In Europa is het denken echter ook voortgeschreden, niet in het minst onder de invloed van de nationale dataprotectietoezichthouders, die onder aanvoering van de Europese voorzitter op de trom hebben geslagen. Dat heeft ertoe geleid dat er nu in JBZ-verband wordt gewerkt aan een tekst waarin ook beperkende elementen zitten. Niet precies op dezelfde manier als in ons wetsvoorstel, langs iets andere lijnen, maar wel met dezelfde intentie om de plicht op reële privacyrisico's toe te spitsen en geen onnodige lasten op te leggen. 

Mevrouw Oosenbrug heeft mij gevraagd naar de meest recente ontwikkelingen. In Hoofdstuk VI van de verordening, waarin de meldplicht datalekken is opgenomen, is in oktober 2014 wel een algemene benadering vastgesteld. De meldplicht is daarin toegespitst op beveiligingsincidenten die een hoog risico meebrengen op negatieve gevolgen voor de fundamentele rechten en vrijheden van betrokkenen. 

De heer Van Nispen vroeg mij nog naar de infractieprocedure. Eigenlijk is dat nu een beetje achterhaald. Met het amendement dat ik zojuist heb omarmd, hebben we dat risico in feite afgewend. Kijkend naar de verordening moet ik daarover wel opmerken dat de heer Van Nispen, de heer Schouw en anderen die daarover vragen hebben gesteld, wel een punt hadden. Ik merk daarbij op dat de Raad van State, kijkend naar de thans vigerende richtlijn 95/46, heeft gezegd dat artikel 28 van die thans vigerende richtlijn ministeriële goedkeuring mogelijk maakt. Ik heb dit ook gemeld in mijn brief aan de Kamer van 30 januari jongstleden. Ik moet het wel met het College bescherming persoonsgegevens eens zijn dat er risico's bestaan. ik denk dat we die risico's met een wijziging van het amendement-Segers/Schouw hebben beperkt tot nul. Dat is de vaststelling die ik op dit moment kan doen. 

De heer Van Wijngaarden stelde mij een vraag over het publicatiebeleid. Ik proefde bij hem enige kritiek op het publicatiebeleid van het College bescherming persoonsgegevens. Ik heb daar zelf ook weleens wat kritiek op geuit. Ik zie de heer Van Wijngaarden naar de interruptiemicrofoon lopen; heb ik dat dus verkeerd geproefd? 

Voordat de staatssecretaris op de veronderstelde kritiek ingaat, wil ik een en ander corrigeren. Ik heb alleen gewezen op het potentiële effect, het risico op reputatieschade. Soms is dat gewoon onvermijdelijk, maar het vergt wel het nodige om te voorkomen dat dit ontstaat. Ik wilde dat opgehelderd hebben. 

Dan moet ik vaststellen dat ik alleen sta in die kritiek. Maar in antwoord op de vraag: de constatering dat de beleidsregels van het college over actieve openbaarmaking aanpassing behoeven, lijkt mij op zich juist. De bevoegdheid om die beleidsregels vast te stellen, komt uiteraard aan het CBP zelf toe. Ik ben echter zeer bereid om aan het CBP te vragen of het college mij, voorafgaand aan de inwerkingtreding van de wet, in de gelegenheid wil stellen om de Kamer te informeren over de aangepaste beleidsregels op dit punt van de publieke voorlichting. Ik weet zeker dat de voorzitter van het college dat ook wil. 

De heer Van Nispen vroeg verder hoe hij een "inbreuk op beveiliging" moet zien. Het enkele tekortschieten van de beveiliging of een kwetsbaarheid in de beveiliging is op zichzelf geen datalek, maar er kan wel sprake zijn van een overtreding van de beveiligingsplicht die is opgenomen in artikel 13 van de Wet bescherming persoonsgegevens. Het college is dan bevoegd tot de handhaving van de beveiligingsplicht. Bij het recente voorval rond de energiemeter was een journalist met persoonsgegevens van een ander binnengekomen in het systeem waar de meetgegevens waren opgeslagen. Die actie levert dan strikt genomen wel een datalek op. Die journalist heeft daarmee tegelijkertijd een zwakke plek in de beveiliging blootgelegd. Dat is de zogenaamde responsible disclosure die dan plaatsvindt. 

Mevrouw Helder heeft gevraagd — de heer Van Wijngaarden en andere leden hebben dit ook gedaan — of het College bescherming persoonsgegevens voldoende expertise op het technologisch vlak heeft. De snelle technologische ontwikkelingen roepen voortdurend nieuwe vragen op die verband houden met de bescherming van persoonsgegevens. Het gaat dan om de verbinding tussen recht en technologie. Het vraagt ook om kennis op dat snijvlak van recht en technologie. Ik heb alle aanleiding om op dit moment te veronderstellen dat het college zich hiervan bewust is en dat er bereidheid bestaat om bij organisaties die meer knowhow hebben, zoals het Nationaal Cyber Security Centrum, expertise in te winnen. Anderzijds is er bij die organisaties bereidheid om die bijstand te verlenen. 

Mevrouw Oosenbrug vroeg mij op welke wijze gemelde lekken worden gebruikt om lessen uit te trekken en onveiligheid mee te bestrijden. 

Ik kom nog even terug op dat vorige punt. Waaruit bestaat de bereidheid om expertise in te winnen? 

Er is bereidheid bij het college om expertise in te winnen als het daarover geen beschikking heeft en er is bereidheid bij het Nationaal Cyber Security Centrum en andere organisaties, onder meer bij de Nationale Recherche, om het college te informeren over kennis en knowhow die aanwezig is. Er is dus wederzijds bereidheid om technologische kennis uit te wisselen als dit noodzakelijk is. 

Ik hoor de staatssecretaris dus ook onderschrijven dat hij zich heel goed kan voorstellen dat die noodzakelijkheid er is. 

Dat zou kunnen, maar het is uiteraard aan het college om dat te beoordelen. Ik heb wel geverifieerd of er bereidheid is om de expertise, die noodzakelijkerwijze moet worden ingeleend of verkregen, ook aan de andere zijde te verstrekken. Er zijn op dat punt geen belemmeringen. 

Bereidheid is altijd mooi, maar is daartoe ook een mogelijkheid? Ik weet niet hoe het werkt. Is er financiële ruimte of moet die nog gemaakt worden? Als die ruimte er is, is de bereidheid voldoende. Ik wil dat toch nog graag even scherp horen. 

Naar mijn mening zijn er ook structurele gelden bij geplust bij het College bescherming persoonsgegevens. De heer Schouw heeft dit twee jaar geleden nog geregeld. Ik heb geen aanleiding om te veronderstellen dat het budget van het college niet voldoende is. 

Van die andere organisaties ook niet? Ik doelde ook op het NCSC. 

Zeker. Het Nationaal Cyber Security Centrum heeft in de begroting ook een bepaald bedrag opgenomen. Er is absoluut capaciteit, knowhow en kunde aanwezig om de kennis, indien noodzakelijk, met het college te delen. 

Dan kom ik op de vraag van mevrouw Oosenbrug over de lessen die kunnen worden getrokken. Het is de reguliere werkwijze van het college om signalen uit de samenleving te monitoren. Signalen kunnen ook aanleiding zijn om het beleid van het college aan te passen. Dit kan ook het geval zijn bij meldingen van datalekken. Als een bepaald soort lek heel vaak voorkomt, kan dat voor het college aanleiding zijn om er extra aandacht aan te besteden. Er kan ook informatie worden uitgewisseld met andere autoriteiten, ook internationaal. Dit wetsvoorstel geeft het CBP ook de bevoegdheid om afspraken te maken met andere toezichthouders en om samenwerkingsprotocollen vast te stellen. Met de ACM is al een dergelijk samenwerkingsprotocol gesloten. 

Op de werklasteffecten ben ik al ingegaan. De heer Van Nispen heeft gevraagd waarom ik ervan uitga dat die summier zullen zijn. Ik zal het meenemen in de wettelijke evaluatie. Het is een goede zaak om dat ook tussentijds te monitoren. De werklast waarvan ik nu denk dat hij summier is, kan in de komende jaren aanzienlijk toenemen. Je kunt dat niet uitsluiten. Ik denk het niet, maar ik weet dat niet zeker. In het reguliere overleg dat wij halfjaarlijks met het college hebben, zullen wij daarnaar kijken. 

Ik zou nog ingaan op de naamswijziging. Daar heb ik in het begin van mijn termijn al even over gesproken. "Gegevensbescherming" is principieel een veel ruimer begrip dan "persoonsgegevens". Het wetsvoorstel verandert naar mijn oordeel helemaal niets aan de taakopdracht van het college. Primair houdt het toezicht en blijft het toezicht houden op de bescherming van persoonsgegevens. In de verordening wordt ook gesproken over toezichthouders op persoonsgegevens. Ik hecht eraan om dat even te melden. Ik denk dus dat we aan die naamswijziging niets moeten veranderen. 

De heer Segers heeft mij gevraagd wanneer de wet wordt geëvalueerd. De wet en de werking ervan worden binnen één jaar geëvalueerd, maar we hebben net met elkaar besproken dat het goed zou zijn om het binnen vijf jaar te doen. Dit is de hoofdlijn: de verordening treedt binnen een bepaalde periode in werking na de verordening of los daarvan, de verordening treedt niet binnen vijf jaar in werking op nationaal terrein. 

De heer Van Nispen heeft gevraagd waarom de verantwoordelijke zelf geen registratie moet bijhouden van de inbreuk op de beveiliging. De verplichting om binnen de organisatie een registratie bij te houden van alle inbreuken, ernstige of minder ernstige, vormt een behoorlijke administratieve last. Scholen en zzp'ers vallen bijvoorbeeld ook onder de reikwijdte van dit wetsvoorstel. Zo'n registratie moet volgens mij echt een toegevoegde waarde hebben, anders moeten we het niet doen. Ik heb al de algemene beveiligingsverplichting genoemd die in artikel 13 van de Wbp is opgenomen. Daaruit vloeit ook voort dat de verantwoordelijke procedures moet hebben voor het tijdig en effectief behandelen van beveiligingsincidenten. Daar ziet het CBP ook op toe. Ik heb alle respect voor de aandacht die de heer Van Nispen heeft voor dit onderwerp, maar ik vind dat een registratieplicht geen of onvoldoende toegevoegde waarde heeft. 

Voorzitter, ik heb de vragen tot zover allemaal beantwoord. 

Ik kom even terug op de samenwerking en de uitwisseling van informatie met het Nationaal Cyber Security Centrum. De staatssecretaris zegt dat er aan beide kanten bereidheid is om gebruik te maken van elkaars kennis. Heb ik dat goed begrepen? Ik zie de staatssecretaris knikken. Waar ligt de verantwoordelijkheid? Er zou namelijk ook een register moeten worden bijgehouden. Er moeten richtlijnen worden opgesteld. Het is de vraag of het college daarvoor de aangewezen figuur is. 

Ik denk wel dat het college de aangewezen instantie is daarvoor. Dat moeten we met elkaar afspreken. Als het technologische bijstand nodig heeft, kan het met andere instanties samenwerken om die bijstand op peil te krijgen. 

Ik kan me voorstellen dat het college op waardeniveau of op uitgangspuntenniveau richtlijnen kan uitvaardigen en kan zeggen waar een en ander aan moet voldoen. Als het echt om heel specifieke techniek gaat, ligt het volgens mij meer op het bordje van het Nationaal Cyber Security Centrum. Is dat ook de interpretatie van de staatssecretaris? Ik denk dat men daar in de praktijk mee uit de voeten kan. 

We moeten de bevoegdheid laten daar waar zij hoort, bij het college, bij de autoriteit. Als er expertise moet worden ingewonnen, moet het college dat doen. 

Ik dank u voor uw antwoorden in eerste termijn. Wij zijn toegekomen aan de tweede termijn van de zijde van de Kamer, met als eerste spreker de heer Schouw. 

Daarmee bent u, denk ik, aan het einde van uw termijn. 

Nee, dat ben ik nog niet, maar ik zie de heer Van Wijngaarden zo leuk dansen bij de interruptiemicrofoon. 

Dan zullen wij de heer Van Wijngaarden vragen om zijn vraag te stellen. 

Ik dank de heer Schouw voor het compliment. Hij heeft vanavond een hele bloemlezing gegeven waarin allerlei honden de revue passeerden. Hij heeft er net nog een paar aan toegevoegd. Het is belangrijk, ook voor de geschiedenis, om aan te geven dat ook wij een heel assertieve privacywaakhond willen die kan blaffen en bijten. Daarover zijn wij het gewoon eens. Is de heer Schouw nu gerustgesteld, na de interpretatie die de staatssecretaris heeft gegeven aan ons amendement? Ik proefde namelijk nog wat ongerustheid. 

Ik kom nog even terug op de honden, voor de feitelijke geschiedenis. De heer Van Wijngaarden is begonnen met het noemen van honden. Hij verklaarde achter het katheder dat de VVD-fractie geen pitbull wil. Dat vond ik overigens een heel opmerkelijke uitspraak, want ik dacht altijd dat de VVD-fractie een waakhond met tanden wilde. Het moest echter geen pitbull worden. Dat heeft mij wel aan het denken gezet, niet alleen over de manier waarop de VVD tegen privacy aankijkt, maar ook over de achtergrond van het amendement van de heer Van Wijngaarden. Ik ben daar wantrouwig over. Ik heb echter net, toen de heer Van Wijngaarden hier even niet was, gezegd dat ik mijn knopen kan tellen. De naam van de PvdA-woordvoerster staat ook onder het amendement en dan heb je een meerderheid; dat snap ik wel. Ik kom hier straks even op terug om te bezien hoe wij hiervoor misschien wat waarborgen kunnen inbouwen. Ik had het echter liever niet gehad. 

Ik sprak over de term "in overleg". Bij mijn weten — ik hoop dat ik het goed zeg en dat ik het wetsvoorstel goed heb begrepen — moeten ook vijf andere richtlijnen dan opnieuw, in overleg met de staatssecretaris, worden besproken. Dat betreft de bestaande richtlijnen, die het CPB nu hanteert. Ik zie de staatssecretaris vragend kijken, maar volgens mijn informatie zouden ook de bestaande richtlijnen uit het oude, nog niet geamendeerde voorstel goedgekeurd moeten worden door de minister. Als we het amendement straks veranderen, betreft de term "in overleg" dan ook de bestaande voorstellen? 

Ik vraag voorts aan de staatssecretaris of bij de verdere invulling van de richtlijnen ook gesproken wordt met de FNV. Het is wel heel bijzonder dat ik dit moet zeggen. Het valt mij op dat vooral geluisterd is naar de kritiek van VNO-NCW. We hebben een brief gekregen van de FNV. Zij schrijft daarin: wij zijn er ook om de werknemers te beschermen; met ons is niet gesproken in het voortraject, terwijl werknemers soms ook last hebben van bazen die hen bespieden. Zij voelen zich daardoor in hun privacy aangetast. Ik wil de staatssecretaris dus aanmoedigen om ook die partij daarbij te betrekken. 

Ten aanzien van de naamgeving wil ik het volgende zeggen. Als je grote dingen regelt, moet je niet zeuren over ondergeschikte zaken, maar ik vind het wel een beetje een gemiste kans. Het wordt nu Autoriteit persoonsgegevens. Het gaat er echter om dat die autoriteit bedoeld is om de persoonsgegevens te beschermen. Dat is de taak: beschermen. Op de een of andere manier had dat tot uitdrukking moeten komen in de naam. Daarmee geef je ook aan wat de activiteit is. Ik vind dat dus een gemiste kans. Ik dien daar geen amendement over in, maar het zou beter zijn om het aspect bescherming in de naam mee te nemen. 

Tot slot kom ik op de evaluatie. Daar is over gesproken. Moet die na drie of vier jaar plaatvinden en vindt die dan plaats in het kader van Europa? Enfin, dat is mij niet helemaal helder. Daarom leg ik samen met de heer Segers, mijn maatje, mijn gelegenheidscollega op dit belangwekkende dossier, de volgende motie voor aan de regering. 

Tegen de heer Van Wijngaarden zeg ik het volgende. Als het amendement dat hij samen met mevrouw Oosenburg heeft ingediend, wordt aangenomen — en dat zal wel — dan valt ook het effect van wat in mijn ogen een beperking is, onder deze evaluatie. We gaan dan echter bekijken hoe dat uitvalt. 

U dank voor het voeren van het woord. 

Ik ben nu voorzitter en geen Kamerlid. Desalniettemin is mijn baan als Kamerlid heel duidelijk. 

Prima. Ik wil het wel markeren, want het laat ook zien dat je soms geduld moet hebben en dat het soms wat langzamer gaat dan je zou willen, maar dat het resultaat er uiteindelijk mag zijn. 

Ik dank de staatssecretaris voor de reactie op het amendement. De aanpassing ligt klaar. Mijn kompaan als het gaat om privacy — laat ik het ook eens op zijn Brits uitspreken — heeft nog wat vragen gesteld over het overleg. Misschien is het goed als de staatssecretaris die vragen beantwoordt voordat we het amendement indienen. Dat ligt namelijk klaar. 

Ik heb een laatste vraag over het overleg tussen het college en het Nationaal Cyber Security Centrum en de versleutelingstechniek. Daar leefden zorgen over bij het college: kunnen wij datgene wat aan ons wordt gevraagd; worden wij niet overvraagd als het gaat om die techniek? De staatssecretaris heeft gezegd dat er over en weer goed overleg moet zijn. Het zou misschien goed zijn om nog eens even met het college om de tafel te gaan zitten en te bespreken hoe er goede werkafspraken kunnen worden gemaakt. Zo kan ook aan dat onderdeel op een goede manier uitvoering worden gegeven. 

Tot slot dank ik de staatssecretaris voor de toezegging om te evalueren. Ik heb op dit punt samen met collega Schouw nog een precisering gegeven. Wellicht komen we daar uit. Als deze wet van wal steekt, laten we hem dan op gezette tijden kritisch tegen het licht houden en bekijken of hij doet wat hij moet doen. 

Mijnheer Segers, nogmaals dank voor het compliment. Dat zeg ik mede namens de heer Schouw, die indertijd medeondertekenaar was en de andere medeondertekenaar. Ik weet niet meer precies wie dat was. Was u ook medeondertekenaar, mevrouw Helder? 

Nee, de heer Elissen. 

Dat was dus de heer Elissen van de PVV. 

Dank u wel. 

De staatssecretaris gaat meteen antwoorden. 

Als je begint met "allemansvriend" is het al ongeloofwaardig. Wij moeten heel precies zijn wat de technische wijzigingen betreft. Die wil ik echt uiterlijk maandag om 12.00 uur hebben. 

Geen enkel probleem. Ik kan toezeggen dat de nota van wijzigingen voor morgenmiddag 17.00 uur in de mailbox van de Kamerleden ligt, zodat men er nog naar kan kijken. Ik zie dat er ook instemmend geknikt wordt in de ambtenarenloge, dus dat gaan wij regelen. 

De heer Schouw heeft mij gevraagd om een reactie op het aangepaste amendement dat op dit moment in concept voor mij ligt. Ook de heer Segers refereerde daaraan. Op grond van het aangepaste amendement zou artikel 67 als volgt luiden: "Het College overlegt voorafgaand aan het vaststellen van een beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen met Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties". Er staat dus inderdaad dat het college overleg pleegt voorafgaande aan het vaststellen van een beleidsregel. Er wordt niet meer of minder bedoeld in het amendement. Voorafgaande aan het vaststellen van beleidsregels gaat de voorzitter van het college in gesprek, maar uiteindelijk beslist het college over de richtsnoeren. Het criterium is ook "na overleg" en niet "in overleg". Er wordt dan ook nadrukkelijk gezegd: "gaat in overleg met". Dat is belangrijk. 

De andere vraag van de heer Schouw betreft de vijf andere richtlijnen die op dit moment al bestaan. De wet heeft geen terugwerkende kracht en geldt dus niet voor reeds vastgestelde richtsnoeren. Daarmee heb ik die vraag meteen beantwoord. 

De heer Schouw heeft ook de motie op stuk nr. 20 ingediend. In deze motie wordt gevraagd om vier jaar na de inwerkingtreding in elk geval een aantal punten te evalueren. Daar bestaat geen bezwaar tegen. Het is een ondersteuning van mijn eerdere verhaal. De evaluatie zou eerder kunnen plaatsvinden, gelet op hetgeen in het wetsvoorstel wordt gezegd over de verordening, maar ik denk dat dit niet het geval zal zijn. Er zal eerder vier jaar dan twee jaar na de inwerkingtreding van de verordening worden geëvalueerd. Dat is mijn schatting. Ik laat het oordeel over deze motie aan de Kamer. Ik heb er geen probleem mee. 

Ik dank mevrouw Helder voor haar opmerkingen en voor het advies dat zij haar fractie over het wetsvoorstel zal geven. Ik deel haar waarneming dat het wetsvoorstel vanavond aan kracht heeft gewonnen. Het is goed om dat vast te stellen. 

De heer Van Nispen sprak over de criteria die van belang zijn in de gevallen waarin sprake is van ernstige gevolgen. Een criterium is de tijdigheid van het melden, want als men niet tijdig meldt, kunnen de gevolgen ernstiger worden. Dat kan een omstandigheid zijn die daarop van invloed is. Een ander criterium is de aard van de gevolgen voor degenen die bescherming behoeven. Als men langer wacht met melden, heeft dat gevolgen voor de slachtoffers en heeft dat ook invloed op de ernst van die gevolgen. Dat geldt eveneens voor de pogingen om de schade te beperken. Dat is in lijn met wat de heer Oskam in zijn bijdrage in eerste termijn opmerkte: als je alles doet om de schade te beperken, zal het college goed moeten nadenken over het komen met een bestraffing. Dat is de andere kant van het verhaal. Het kan dus ook matigend werken op de ernstige gevolgen. 

De heer Van Nispen heeft twee voorbeelden genoemd. Het eerste betrof ziekenhuispersoneel dat het wachtwoord van de arts gebruikt, het tweede betrof een werkgever die zich toegang verschaft tot de computer van een werknemer. In beide gevallen wordt tegen interne voorschriften gehandeld. Ik kan mij niet anders dan voorstellen dat elke zichzelf respecterende werkgever eist dat wachtwoorden niet te simpel mogen zijn. Er is in het eerste voorbeeld niet zozeer sprake van een datalek, maar van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. In de tweede casus, waarin een werkgever zich toegang verschaft tot de computer van een werknemer, ligt de zaak ingewikkelder. Het beoordelen van deze casus hangt af van de omstandigheden, die van geval tot geval kunnen verschillen. Een dergelijke casus zou nu al bij wijze van klacht aan het CBP kunnen worden voorgelegd. Deze casus is heel specifiek en vraagt om een nadere beoordeling door het college. Ook artikel 13 van de bestaande Wet bescherming persoonsgegevens kent al een mogelijkheid om beveiligingsmaatregelen aan de orde te stellen bij het college. 

De heer Van Nispen vroeg nog iets wat ik eigenlijk opvat als verzoek om informatie. Hij noemde de 80 fte's van het college en vroeg hoe de privacywaakhond er in andere landen uitziet. Ik zal dat inventariseren en de Kamer daarover informeren. Het lijkt mij van belang om dat ook mee te nemen bij de evaluatie. Dan verwacht ik in ieder geval de heer Schouw en wellicht ook de heer Van Nispen en anderen weer aan mijn bureau, als die tijd mij nog gegeven is, om bij de begroting weer extra middelen te claimen. 

Dan kom ik bij de SGP-fractie. Ik dank de heer Bisschop voor zijn opmerkingen. De heer Bisschop zei heel terecht: hoe formuleer je het goed? Dat bleek vanavond ook bij de bespreking van de criteria. De heer Van Nispen heeft daar iets over gezegd in tweede termijn, ik heb er zelf in mijn eerste termijn een aantal genoemd. Dat acht ik wel heel belangrijk, ook in de lijn waarlangs het college die richtsnoeren en die beleidsregels gaat vaststellen. Dat zijn dan toch richtsnoeren voor het college, die je vandaag ook als medewetgever meegeeft. Ik denk dat het goed is dat we die formulering scherp krijgen. Dat geldt ook voor de jurisprudentie die het college gaat vormen met dit gewijzigde wetsvoorstel. 

Dank voor de opmerkingen van de heer Van Wijngaarden. Het is goed dat hij een compliment uitdeelde voor de betrokkenheid van het College bescherming persoonsgegevens en de medewerkers daarvan. Wij zeggen op het ministerie weleens, of ik kan beter zeggen: ik zeg op het ministerie weleens, soms tegen mezelf op mijn kamer, soms ook tegen anderen, dat het lobbycircuit goed op orde is. Dat doet echter geen recht aan de betrokkenheid van de werknemers en de voorzitter van het college. Dat heeft de heer Van Wijngaarden wat meer fijntjes verwoord. Ik zal dat voortaan ook proberen te doen in mijn contacten met het college. 

Dan kom ik bij de heer Segers. Ik ben ingegaan op zijn gewijzigde amendementen en de vraagstelling. Het lijkt mij goed om vast te stellen dat uw voorzitter, de heer Recourt, daar niet als voorzitter, maar als Kamerlid een belangrijke bijdrage aan heeft geleverd. In de tussentijd heeft hij ook mij regelmatig opgejaagd. Het is mooi dat dit nu tot resultaat heeft geleid, dus ook van de zijde van het kabinet veel waardering voor het zo nauwlettend volgen van dit onderwerp. 

De heer Segers vroeg mij nog om aandacht te besteden aan de contacten die ik heb, via de minister dan wel rechtstreeks, met deskundigen op technisch gebied, om te borgen dat de bijstand die op sommige momenten aan het college moet worden gegeven, dan ook beschikbaar is. Ik zal daarover in overleg treden met de verantwoordelijken binnen de politiediensten en de Nationale Coördinator Terrorisme en Veiligheid en met de minister, en ik zal uw Kamer van een antwoord op dit punt voorzien. Die toezegging krijgt u van mij. We zullen dat meenemen in de brief aan de heer Van Nispen, waarin ik die inventarisatie maak. 

Dan kom ik bij de heer Oskam en zijn tweede termijn. Dank voor zijn opmerkingen op dit punt en voor zijn bijdrage, die ook de geest weer even heeft gescherpt. We hebben het bestuursrecht niet altijd en elke minuut scherp voor de geest, ik tenminste niet. Dan is het goed om een beetje uitgedaagd te worden om te bezien of er ook nog andere varianten zijn die bijvoorbeeld in het strafrecht wel voorhanden zijn. De heer Oskam heeft nog een motie ingediend, waarin de regering wordt verzocht om het CBP te adviseren in haar richtlijnen rekening te houden met deze omstandigheid. Ik laat het oordeel over deze motie aan uw Kamer. Ik vind die motie een ondersteuning van het beleid dat ik ook de afgelopen jaren al heb gevoerd en ik voel mij van de zijde van het kabinet in ieder geval gesterkt om dit nog eens onder de aandacht van het college te brengen. Ik laat het oordeel over die motie aan de Kamer. 

De heer Oskam vroeg nog om wat voor bedrag het gaat bij de last onder dwangsom. De Algemene wet bestuursrecht stelt als norm dat de bedragen in redelijke verhouding staan tot de zwaarte van het geschonden belang en tot de beoogde werking van de dwangsom. Het zijn dus geen vaste bedragen; zij kunnen in hoogte variëren. 

Ik dank tot slot ook mevrouw Oosenbrug voor haar inbreng. De opmerkingen die zij vanuit haar vorige dienstbetrekking heeft gemaakt, markeren scherp het verschil tussen onvolkomenheden op het terrein van beveiliging en de vraag wat nu een datalek is. Dat was een welkome aanvulling op de discussie van vanavond. Ook op dat punt hebben wij de zaak kunnen aanscherpen. 

Tot zover mijn tweede termijn. 

Ik dank de staatssecretaris en de Kamer voor deze zeer constructieve en positieve avond. Zo kan het ook. 

De stemmingen over de amendementen, het wetvoorstel en de motie zijn aanstaande dinsdag, in dier voege dat de nota van wijziging maandag vóór 12.00 uur bij de Kamer is ingediend.