26 643 Informatie- en communicatietechnologie (ICT)

32 761 Verwerking en bescherming persoonsgegevens

Nr. 543 VERSLAG VAN EEN ALGEMEEN OVERLEG

Vastgesteld 22 juni 2018

De vaste commissie voor Justitie en Veiligheid heeft op 30 mei 2018 overleg gevoerd met de heer Dekker, Minister voor Rechtsbescherming, over:

  • de brief van de Minister van Veiligheid en Justitie d.d. 11 november 2016 met het kabinetsstandpunt over WRR-rapport «Big Data in een vrije en veilige samenleving» (Kamerstukken 26 643 en 32761, nr. 426);

  • de brief van de Minister van Veiligheid en Justitie d.d. 5 december 2016 over de toezegging inzake de berichtgeving in de Volkskrant van 30 september 2016 en 1 oktober 2016 waarin beweerd wordt dat de telefoon- en chatcommunicatie van duizenden Nederlanders in handen zou zijn gekomen van het Australische technologiebedrijf Appen (Kamerstukken 26 643 en 32 761, nr. 430);

  • de brief van de Staatssecretaris van Veiligheid en Justitie d.d. 31 mei 2017 over de gevolgen Algemene verordening gegevensbescherming voor de Autoriteit Persoonsgegevens en meldingen datalekken (Kamerstuk 32 761, nr. 112);

  • de brief van de Staatssecretaris van Veiligheid en Justitie d.d. 12 juni 2017 met de reactie op verzoek commissie over het persbericht van de Autoriteit Persoonsgegevens (AP) van 16 mei 2017 waarin zij aangeeft dat Facebook in strijd handelt met de privacywetgeving (Kamerstuk 32 761, nr. 113);

  • de brief van de Minister van Veiligheid en Justitie d.d. 5 oktober 2017 inzake het rapport «De bescherming van persoonsgegevens. Acht Europese landen vergeleken» (Kamerstuk 32 761, nr. 115);

  • de brief van de Minister van Justitie en Veiligheid d.d. 26 maart 2018 over de algemene bewaarplicht voor telecommunicatiegegevens ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige criminaliteit (dataretentie) (Kamerstuk 34 537, nr. 7);

  • de brief van de Minister voor Rechtsbescherming d.d. 24 mei 2018 met de reactie op het verzoek van het lid Verhoeven, gedaan tijdens de Regeling van werkzaamheden van 12 april 2018, over zorgbedrijven die informatie over surfgedrag naar Facebook sturen (Kamerstukken 26 643 en 32 761, nr. 537).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Van Meenen

De griffier van de commissie, Hessing-Puts

Voorzitter: Van Meenen

Griffier: Schoor

Aanwezig zijn zeven leden der Kamer, te weten: Buitenweg, Van Dam, Helder, Koopmans, Van Meenen, Van Nispen en Verhoeven,

en de heer Dekker, Minister voor Rechtsbescherming.

Aanvang 14.37 uur.

De voorzitter:

We gaan iets verlaat, maar daar zijn heel goede redenen voor, van start met het algemeen overleg over big data en de bescherming van persoonsgegevens. Ik heet de Minister en zijn ambtenaren van harte welkom, net als uiteraard ook de griffier en in het bijzonder de leden, de mensen op de publieke tribune en elders, en de ondersteuning. We gaan er een mooi algemeen overleg van maken, dat zal duren tot ongeveer 17.30 uur. We hanteren spreektijden van vier minuten. De interrupties hoeven we niet te beperken. Ik zou zeggen: als u drie interrupties heeft gehad, zullen we daarna eens bekijken of er nog meer mogelijk is. Als u dat met mij eens bent, geef ik als eerste het woord aan mevrouw Helder van de PVV.

Mevrouw Helder (PVV):

Dank u wel, voorzitter. Mijn eerste punt gaat over het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid, dat zich hoofdzakelijk op big data binnen het veiligheidsdomein richt, en daarmee op de controlerende taak van de overheid. Big data biedt kansen, maar gebruikmaken ervan bevat ook risico's. De verdere ontwikkeling van het gebruik van big data moet dan ook gepaard gaan met de «gelijktijdige ontwikkeling van effectieve waarborgen om risico's in passende mate te beperken», zo schrijft de Minister. Mijn fractie is dat met hem eens.

Wat mij betreft luiden de belangrijkste actiepunten als volgt. Ten eerste zal het kabinet bezien of de wettelijke basis voor het uitvoeren en het gebruiken van data-analyses versterking behoeft. Ten tweede zal het kabinet onderzoeken met hoeveel toezicht en rechterlijke toetsing er voldoende inzicht kan worden gegeven in gebruikte algoritmen en analysemethoden. Toen ik dit AO voorbereidde, was er nog geen inzicht in de stand van zaken. Inmiddels hebben we een brief ontvangen. In de bijlage van de brief van 24 mei staat dat een werkgroep een generieke bepaling in de uitvoeringswet van de Algemene verordening gegevensbescherming, de UAVG, voorbereidt, inzake geautomatiseerde verwerking van persoonsgegevens op basis van profilering. Daarnaast is de werkgroep bezig met «een aanwijzing voor de regelgeving met eisen aan profilering in sectorale wetten». Kan de Minister nader ingaan op die twee punten? De AVG is net in werking getreden en de impact daarvan is nog niet duidelijk. Waarom nu al een generieke bepaling voorbereiden? Wat wordt bedoeld met een «aanwijzing voor sectorale wetgeving»? Welke wetgeving zal er aangepast moeten worden?

Dan kom ik bij het rapport van onderzoeksbureau Andersson Elffers Felix over de consequenties van de AVG voor het verwachte extra budget dat nodig is voor de Autoriteit Persoonsgegevens, de AP, om haar taak als toezichthouder te kunnen uitoefenen. Er zijn drie scenario's uitgewerkt: scenario laag is 12 miljoen, midden 16 miljoen en hoog 22 miljoen. In de bijlage van de brief van 24 mei wordt bevestigd dat de AP er 7 miljoen bij krijgt. Dat is maar liefst 5 miljoen minder dan het laagste scenario. Gisteren heeft de Minister in het vragenuur aangegeven dat voorlopig voldoende te vinden, omdat verwacht wordt dat de ergste drukte zal afnemen naarmate de AVG haar beslag krijgt. Mijn fractie is daar niet zo zeker van, dus is er een escape voor het geval het bedrag van 7 miljoen inderdaad veel te laag of te laag blijkt te zijn?

Voorzitter, dat is een bruggetje naar mijn derde punt, namelijk Facebook, want dat overtreedt de voormalige Wet bescherming persoonsgegevens, en nu dus de AVG, onder meer door gebruikers onvolledig te informeren over het gebruik van persoonsgegevens. De AP zal te zijner tijd de uitkomst van haar onderzoek naar de beëindiging van de overtredingen c.q. de uitkomst van haar besluitvorming inzake handhavende maatregelen openbaar maken. Kan er al een stand van zaken worden gegeven?

Tot slot. Het dateert alweer van december 2016 dat het Europese Hof van Justitie heeft geoordeeld dat het bewaren van telecommunicatiegegevens ten behoeve van het voorkómen van strafbare feiten en het bestrijden van criminaliteit aan het doel van het algemeen belang beantwoordt. Maar de richtlijn is ongeldig verklaard, omdat de inmenging in de genoemde rechten niet nauwkeurig is omkaderd door bepalingen die waarborgen dat de inmenging daadwerkelijk beperkt is tot het strikt noodzakelijke. Als gevolg hiervan moet het wetsvoorstel Wet aanpassing bewaarplicht telecommunicatiegegevens ingrijpend worden aangepast. De in het wetsvoorstel opgenomen verplichting tot het bewaren van verkeers- en locatiegegevens moet beperkt worden tot een aangepaste regeling met betrekking tot uitsluitend gebruikersgegevens. De collega van de Minister heeft aangegeven dat het voornemen is om een nota van wijziging nog dit jaar voor advies voor te leggen aan de Afdeling advisering van de Raad van State. Het wetsvoorstel is voor politie en justitie heel hard nodig voor de opsporing. Helaas wordt het een meerjarig traject. Daar is helaas niets aan te veranderen, maar gaat het dan wel lukken om de wijziging nog dit voorjaar naar de Raad van State te sturen? Er wordt gesproken van een voornemen, maar dat is wat mijn fractie betreft niet voldoende.

Dank u wel.

De voorzitter:

Ik dank u zeer. Dan is het woord aan de heer Koopmans van de VVD.

De heer Koopmans (VVD):

Dank u wel, voorzitter. Gisteren hebben we het al in detail gehad over de Autoriteit Persoonsgegevens, dus laat ik ingaan op het grote onderwerp van vandaag, big data. Er is geen vaste definitie, dus iedereen kan het concept big data voor eigen doeleinden interpreteren. Mede daarom is het zowel ongrijpbaar populair als een ongrijpbaar angstbeeld. Je kunt er veel goede dingen mee doen, maar ook slechte dingen. Goed is dat je de veiligheid kunt bevorderen, de bedrijfsefficiency kunt vergroten, de medische wetenschap kunt verbeteren en nog heel veel meer. Maar er zijn ook risico's, zoals discriminatie op grond van profiling, het onverzekerbaar worden van categorieën mensen door het vooraf identificeren van probleemgevallen en het «chilling effect» op individuen doordat mensen gaan leven met het idee dat ze altijd geanalyseerd worden.

Big data en privacy is dus een groot en ingewikkeld onderwerp, dat een ruime en zorgvuldige blik verdient, zelfs binnen de vier minuten spreektijd in dit algemeen overleg. Daarom heb ik een aantal grotere en een paar specifieke vragen. De kabinetsreactie op het WRR-rapport noemt een aantal aparte vervolgstappen, maar komt er ook een totaalvisie? Is dat nuttig? Zo ja, komt die er dan?

Mijn tweede vraag. Er wordt snel verondersteld dat big data geanonimiseerd of gecategoriseerd is. Is dat terecht? Wat is er bijvoorbeeld anoniem aan «een rossige bewindsman»?

Mijn derde vraag. De focus ligt nu vooral op het gebruik door overheid en grote bedrijven. Die kunnen we daar via de wet en de toezichthouders ook op aanspreken. Maar in hoeverre moeten we ons ook richten op gebruik van big data door kleine spelers? Hoe kan hier effectief toezicht op worden gehouden?

Mijn vierde vraag. Wat is de stand inzake wifitracking door bedrijven, organisaties en personen? Is het anonimiseren daarvan realistisch als het gaat om mensen die in de winkel direct voor je staan?

Mijn vijfde vraag. Hoe kan effectief toezicht worden gehouden op het grotendeels vrije gebruik van big data ten behoeve van wetenschap en journalistiek?

Mijn zesde vraag. Hoe wordt gezorgd voor praktische bescherming van databestanden? Het delen maar ook het stelen van gegevens kan gemakkelijk en ongezien gebeuren. Er zijn mogelijkheden voor het doen van meldingen en het indienen van klachten bij de Autoriteit Persoonsgegevens, maar die zijn dan van beperkte waarde. Is er niet meer mogelijk? Steeds vaker lijken bedrijven bovendien gehackt te worden. China, Rusland en Noord-Korea hebben kennelijk legers van hackers in dienst. Daarnaast kan het zijn dat ook criminele organisaties of amateurs, zoals schoolkinderen, inbreken. Kan Nederland zich daar effectief tegen beschermen?

Daarmee kom ik bij mijn zevende en laatste vraag. Hoe goed is Nederland daadwerkelijk beveiligd tegen bigdataspionage door bijvoorbeeld andere landen? Veel consumentenproducten, bedrijven en overheidsdiensten delen gegevens met organisaties in het buitenland, die vaak niet zo beschermend zijn of kunnen zijn met hun databezit. Zijn wij in de praktijk in Nederland voldoende beschermd? Of hebben bijvoorbeeld de Amerikaanse NSA en de Chinese overheid toegang tot de data van onze iPhone of onze Huawei-tablets, of tot de door China mogelijk opgekochte lantarenpalen in diverse Nederlandse gemeenten? Ik weet dat Huawei sinds 2013 actief in de gaten wordt gehouden door de Britse antispionagedienst. Is de Nederlandse regering zich voldoende bewust van de gevaren, en wat doet zij eraan?

Dank u wel, voorzitter.

De voorzitter:

Ik dank u zeer. Het woord is aan mevrouw Buitenweg van GroenLinks.

Mevrouw Buitenweg (GroenLinks):

Dank u wel, meneer de voorzitter. De ontwikkelingen rond big data gaan razendsnel, maar ik heb wel het idee dat de politiek maar wat langzaam vooruitschokt op dit onderwerp. We bespreken vandaag het rapport van de WRR, Big data in een vrije en veilige samenleving, dat ruim twee jaar geleden is geschreven. De kabinetsreactie was er al eerder, zo'n anderhalf jaar geleden, en daarin staan een flink aantal voorstellen die het kabinet van plan is te gaan bewerkstelligen. Mijn eerste vraag aan de Minister is als volgt. De toenmalige Minister had zo'n tien actiepunten. Aan welke van deze tien actiepunten is inmiddels vervolg gegeven? Ze omvatten verschillende onderzoeken, onder andere naar de transparantie van algoritmen. Zoals collega Koopmans zei: big data biedt heel veel mogelijkheden, ook voor de veiligheid en sociale veiligheid in Nederland, maar tegelijkertijd heeft het dreigingen in zich, bijvoorbeeld doordat de overheid onvoldoende afstand houdt van burgers of omdat verkeerde conclusies worden getrokken.

De ontwikkelingen gaan razendsnel, bijvoorbeeld in het SyRI-systeem, het Systeem Risico Indicatie, dat het Ministerie van Sociale Zaken hanteert. Daarmee wordt op basis van gecombineerde bestanden en algoritmen gekeken wie een potentieel fraudeur is, die je er dan moet uitpikken. De Raad van State sprak destijds al van een vergaande beperking van de persoonlijke levenssfeer vanwege het feit dat mensen getarget worden als potentieel fraudeur. Maar inmiddels gaan we steeds verder, dus het doel waarvoor die gegevens eerst gecombineerd werden, verschuift steeds verder. Ik zag dat de gemeente Capelle aan den IJssel die database en al die algoritmes nu ook gebruikt voor de «spontane nalevingsbereidheid van de regelgeving» – ik ben benieuwd wat dat inhoudt – of het tegengaan van verloedering. Zo gebruiken we dat middel toch voor steeds meer doeleinden. Het gevolg is overigens dat er nu een rechtszaak loopt van burgers die zich hiertegen willen verweren. De WRR hamert erop dat er vooral transparantie moet zijn over de data en over de algoritmes die gebruikt worden. Van SyRI heeft het kabinet gezegd dat de risicomodellen geheim moeten zijn. Maar wie toetst dan of daar geen bias in zit en of de algoritmes deugen die gebruikt zijn?

In New York is door de burgemeester het initiatief genomen om te komen tot een actieplan. Hij heeft een taskforce ingesteld om te kijken of de algoritmes die gebruikt worden in New York allemaal wel deugen. Ze worden getoetst door wetenschappers, maar er wordt ook gekeken of zij mensen niet discrimineren op basis van leeftijd, ras, religie, burgerschap, status en dergelijke. Wat vindt u van zo'n taskforce, die er echt voor gaat zorgen dat de algoritmes die door de publieke diensten gebruikt worden, zo veel mogelijk openbaar zijn? Ik snap heus dat openbaarheid niet altijd kan wanneer de veiligheid in het geding is, maar ze moeten wel zo veel mogelijk openbaar zijn. En als ze niet openbaar kunnen, moeten ze op een andere wijze kunnen worden getoetst.

In het regeerakkoord van het vorige kabinet stond nog dat de bescherming van persoonsgegevens het uitgangspunt is, en dat inbreuken door de overheid moeten zijn voorzien van een horizonbepaling en moeten worden geëvalueerd. De reden hiervoor is dat je van tevoren vaak niet kunt zien of bigdatatoepassing hier wel effectief is. Wat vindt de Minister van zo'n horizonbepaling?

De WRR stelt dat het van belang is dat de burgerorganisaties in juridische procedures meer mogelijkheden moeten hebben, dus dat hun positie moet worden versterkt en verstevigd. De Minister heeft dat vertaald door te zeggen: laten we de dialoog versterken. Maar dat was niet de vraag. De vraag was of je hun positie moet verstevigen, zodat zij ook meer collectieve acties op een bepaald aantal gebieden kunnen voeren, namens ons allemaal als burgers, omdat privacy niet alleen iets individueels is maar ook iets collectiefs, zoals China altijd heel goed laat zien.

Vorige week hebben we een hoorzitting gehouden, onder andere met Facebook. Heel veel van onze data zijn in handen van Amerikaanse bedrijven. Tegelijkertijd stimuleert de overheid dat wij onze gegeven aan die bedrijven geven. Zo heeft bijvoorbeeld de politie een politie-WhatsApp. Wordt er wel eens over nagedacht op welke wijze wij dat nou moeten stimuleren? Moeten we niet eerder stimuleren dat gegevens in ieder geval binnen het Europese domein komen, waarin we ook wat meer Europese eisen kunnen stellen? Zeker omdat data toch het nieuwe goud is voor de nieuwe economieën, is de vraag hoe we voorkomen dat juist dat nieuwe goud telkens weer ergens anders gedolven wordt en dat wij over een bepaald aantal jaren dat nieuwe goud niet meer in handen hebben.

De voorzitter wil dat ik afrond. Laat ik nog één ding zeggen. Er is altijd gezegd dat je op basis van algoritmes geen besluit met een effect mag nemen. Er moet altijd nog sprake zijn van een menselijke tussenkomst. Maar hoe wezenlijk moet die menselijke tussenkomst zijn? Neem PNR. Vergt het feit dat je gecheckt wordt op een vliegveld een menselijke tussenkomst? Want het kan wel degelijk vervelend zijn als jij er elke keer uitgehaald wordt. Of zegt de Minister: nee, dat stelt allemaal niet zoveel voor. Dus wanneer is menselijke tussenkomst nou echt nodig? En kunt u dat aan de hand van het PNR-voorstel toelichten?

De voorzitter:

Dank u wel. Mijnheer Verhoeven, het woord is aan u.

De heer Verhoeven (D66):

Dank u wel, voorzitter. Het is iedereen wel bekend dat de AVG in werking is getreden. We hadden er gisteren al een debat over in het vragenuur. Toen ging het vooral over de situatie bij de toezichthouder, maar er speelt natuurlijk nog wel wat meer. Zo is er bijvoorbeeld het bericht dat tien van de twaalf ministeries nog niet gereed zouden zijn of nog niet zouden voldoen. Kan de Minister zeggen hoe het ervoor staat en hoeveel ministeries inmiddels voldoen? Waar moeten de puntjes op de i worden gezet en waar zijn echt nog de grote achterstanden aan de orde? Ik ben ook benieuwd naar de mening van de Minister over het feit dat na twee jaar voorbereidingstijd ministeries zelf ook nog steeds niet aan de AVG voldoen. Graag een reactie daarop.

De rest van de tijd zou ik ook aandacht willen vragen voor datgene wat in het WRR-rapport staat: big data en de algoritmes, de rekenformules die op steeds grotere schaal worden toegepast om conclusies te trekken op basis van data. Die data worden verwerkt op een manier die door mensen bedacht wordt met aannames van mensen. De voorgaande spreker zei ook al dat de inzichten niet altijd duidelijk zijn. Ze kunnen heel veel nuttige toepassingen opleveren: schoonmaakdiensten kunnen efficiënter worden ingezet, reparaties van vuilnisauto's kunnen beter gecontroleerd worden, de veiligheid kan verbeterd worden en fraude kan aangepakt worden. Maar de risico's zijn evident, zoals door de WRR ook wordt benadrukt. Het kan echt het leven van iemand sterk beïnvloeden. Iemand kan in een situatie terechtkomen waar hij niet in hoort te zijn op basis van een conclusie van een computer. De intransparantie van de systemen is gewoon een groot probleem. We kunnen niet controleren of de systemen de risico's voldoende ondervangen of dat eraan gesleuteld wordt op een manier die de risico's kleiner maakt. Systemen kunnen discrimineren. Fouten in datasets kunnen grote gevolgen hebben. Dat kunnen ook gewoon fouten zijn op basis van oude datasets. Het recht op een eerlijk proces, zo schrijft de WRR, kan ook onder druk komen te staan.

Wat D66 betreft moet het gebruik van big data en algoritmes zowel democratisch als technisch controleerbaar zijn. Democratisch gaat het over de waarde en de wenselijkheid van bepaalde algoritmes, dus wat wij daar als maatschappij, als samenleving van vinden. Technisch gaat het dan veel meer over de toepassingen en de operationalisering. Dat is een ander niveau, maar ook daar moet controle mogelijk zijn. Transparantie is een heel belangrijk beginpunt. Wat D66 betreft moeten overheden aangeven welke data gebruikt worden; dat is het eerste. Twee: ze moeten aangeven hoe de rekenformule precies werkt en in elkaar zit, maar ook hoe die uitpakt. Ten derde moeten algoritmes ook technisch gecontroleerd worden, bijvoorbeeld door middel van een audit. Volgens mij is dat ook wat op dit moment in New York gebeurt.

Ik heb een aantal vragen aan de Minister. Allereerst zegt hij dat door overheden desgewenst informatie over de onderliggende logica, de rekenformule – het algoritme dus – verschaft moet kunnen worden. Met SyRI, het systeem dat door dit kabinet natuurlijk ook gebruikt wordt, gebeurt dat bijvoorbeeld niet. Op welke wettelijke basis, is mijn eerste vraag, kunnen overheden besluiten om de werking van een algoritme toch geheim te houden? Twee: is de Minister het eens dat democratische én technische controle van nieuwe technologie noodzakelijk is om het menselijk en behapbaar te houden? Drie: hoe wil hij die democratische controle vormgeven? Vier: is de Minister het ermee eens dat er ook technische controle moet zijn, in aansluiting op de vraag van mevrouw Buitenweg? Ik krijg graag een reactie hierop. De Minister wil stimuleren dat overheidsdiensten transparanter zijn over big data-analyses. Hoe gaat de Minister dat doen? Welk doel stelt hij zichzelf? Is transparantie niet iets wat gewoon moet worden afgedwongen in plaats van dat je die als wenselijk beschouwt?

Tot slot, voorzitter, als het nog mag nog kort iets over de implementatie bij de rijksoverheid van de door de Minister geformuleerde uitgangspunten, zoals transparantie. De Minister schrijft dat het bespreken van de uitgangspunten binnen het CIO-Beraad, het chief information officiers-beraad, van de verschillende ministeries voldoende is. Voor D66 is dat niet voldoende. Wij zouden uitgangspunten als transparantie graag op politiek niveau behandeld zien worden en niet op ambtelijk niveau. Uiteindelijk ligt de democratische component van de rekenformules en de wenselijkheid ervan op politiek niveau. Is de Minister bereid om zijn uitgangspunt ook in de ministerraad te bespreken en zijn collega's te stimuleren – want zij zijn te controleren door de Kamer – om transparanter daarover te zijn?

Dank u wel.

De voorzitter:

Ik dank u zeer. Het woord is aan de heer Van Nispen van de Socialistische Partij.

De heer Van Nispen (SP):

Het verzamelen en verwerken van big data kan ons leven op sommige vlakken makkelijker maken, maar ook ik denk dat we ons telkens af moeten blijven vragen wat daartegenover staat. Want tegenover al die mogelijkheden komen ook risico's om de hoek kijken. Er zijn inmiddels veel relevante vragen gesteld over transparantie bij de overheid, over het openbaar maken van algoritmes, over de risico's van profilering en bijvoorbeeld ook over geautomatiseerde besluitvorming. De wet zegt dat die alleen in heel specifieke gevallen mag. Maar hoe weten we nou dat die geautomatiseerde besluitvorming op grote schaal plaatsvindt? Heeft de toezichthouder daar wel zicht op? Worden regeltjes niet omzeild doordat ergens in dat proces een persoon op de knop «OK» heeft gedrukt, zodat voldaan is aan de voorwaarde van menselijke tussenkomst? Kan de Minister beloven dat bijvoorbeeld het afgeven van een verzekering altijd echt substantieel mensenwerk zal blijven en niet het werk van een algoritme en een robot die een besluit neemt?

Afgelopen vrijdag is de Algemene verordening gegevensbescherming ingegaan, onze nieuwe aangescherpte privacywet dus. Dat heeft veel aandacht opgeleverd voor onze privacy. Dat is op zichzelf winst, het belang van een zorgvuldige omgang met persoonsgegevens. Maar er is het beeld ontstaan dat heel veel scholen, kleine bedrijven en sportverenigingen hier toch wat problemen en zorgen bij hadden. Ze hadden het er lastig mee om aan de privacyregels te voldoen. Hoe ziet de Minister dit nou? Had de voorlichting niet nog wat beter kunnen zijn, iets meer op maat gesneden voor al die organisaties die soms toch wel lichtelijk in paniek zijn? Soms zijn ze dat omdat ze er gewoon te laat mee begonnen zijn, maar soms toch ook omdat ze gewoon echt het antwoord niet wisten op toch vrij voor de hand liggende vragen. Hadden wij bij deze belangrijke wijziging dus niet nog veel actiever vanuit de overheid moeten informeren wat precies de aangescherpte verplichtingen wel of niet inhouden? Heeft de Autoriteit Persoonsgegevens de taak op dat vlak wel genoeg kunnen oppakken en heeft zij die genoeg opgepakt? Hoe zit het met de slagkracht van de Autoriteit Persoonsgegevens? Zijn er voldoende middelen om actief voorlichting te geven en toezicht te houden? We hebben het gisteren ook gezegd: de autoriteit krijgt er met de invoering van de AVG fors extra taken bij, terwijl het budget daarbij fors achterblijft. We hebben het daar al vaker over gehad. Het is fors minder dan de scenario's die door onderzoeken zijn vastgesteld. De SP vindt dat onze privacywaakhond niet alleen moet afschrikken en moet kunnen blaffen, maar dat die ook stevig moet kunnen bijten als dat nodig is. De vraag is dus echt of dit wel met de huidige middelen en de bezetting kan. Gisteren is de Minister ook ingegaan op de onrust bij de Autoriteit Persoonsgegevens naar aanleiding van de uitgebreide reportage in Het Financieele Dagblad daarover en vragen van collega Van Dam. Het Financieele Dagblad is niet bepaald een krant van geruchten en chocoladeletters, dus hoe weten we nou dat de analyse van de Minister, dat het allemaal wel meevalt, echt klopt? Onrust kunnen we op dit belangrijke moment gewoon echt niet hebben.

Socialmediabedrijven verwerken enorme hoeveelheden persoonsgegevens. Te vaak gaat dat niet goed. Terecht ligt bijvoorbeeld Facebook onder vuur, maar dan komt er een sorry en een belofte om het beter te gaan doen in de toekomst, waarvan je je af kunt vragen hoe welgemeend dat is. Moeten zij echt wakker liggen van de toezichthouders, die vanaf nu in theorie heel hoge boetes kunnen opleggen? Want als dat niet zo is, hebben we volgens mij wel een groot probleem. De SP ziet dat dit soort bedrijven consumenten niet duidelijk en volledig informeren. Dat is ook niet zo gek, want daar hebben ze helemaal geen belang bij. Data zijn geld en hoe meer data, hoe meer geld. Ze willen voornamelijk zo veel mogelijk data. Hoe meer mensen precies weten wat Facebook met hun data doet, hoe groter het gevaar dat mensen zich afkeren van dat platform. Zo simpel is het volgens mij. Facebook heeft dus geen belang bij een goed geïnformeerde consument. Nu zien we – onder andere de Consumentenbond wijst daarop – dat Facebook de nieuwe regelgeving aangrijpt om zoiets als gezichtsherkenning te introduceren. Dat mocht eerder niet, maar wordt nu onder het mom van toestemming wel breed uitgerold en aan de man gebracht. Kan de Minister daar eens op ingaan? Wat vindt hij van de manier waarop toestemming wordt gevraagd aan consumenten? Daar komt nog eens bij dat Facebook niet alleen gigantisch veel data verzamelt van zijn gebruikers, maar ook van niet-gebruikers. Die groep mensen heeft per definitie geen toestemming gegeven aan Facebook voor het maken van profielen op basis van hun gegevens. Toch doet Facebook dat. Hoe denkt de Minister dat in de toekomst effectief tegen dit soort praktijken kan worden opgetreden?

Elk bedrijf heeft de plicht om uit te leggen welke gegevens het verzamelt, hoe het dat doet, met wie de gegevens gedeeld kunnen worden et cetera, maar toch doet elk bedrijf dit op een andere manier. Zou het denkbaar zijn dat we hier toch iets meer sturing op kunnen laten plaatsvinden door de overheid, zodat mensen altijd op dezelfde manier geïnformeerd worden en dus ook weten hoe ze ergens ja of nee tegen kunnen zeggen en waar ze precies al dan niet mee instemmen? Kan de Minister in ieder geval de belofte doen dat de overheid zelf zo veel mogelijk gebruikmaakt van privacyvriendelijke diensten, dus diensten die een zo klein mogelijke privacyinbreuk met zich meebrengen en voor de gemiddelde gebruiker ook echt begrijpelijk zijn?

De voorzitter:

Dank u wel. Ten slotte de heer Van Dam van het CDA.

De heer Van Dam (CDA):

Voorzitter. Wat is de bigger picture achter big data? Ik zal meteen een waarschuwing uiten, want dit wordt een nogal stevig CDA-verhaal over waarden en normen. U kunt de zaal nog verlaten, mocht u daar behoefte aan hebben.

We hebben inmiddels verschillende rapporten, die vandaag aan de orde zijn, van de WRR en reacties daarop. We hebben hoorzittingen en rondetafelgesprekken gehouden over artificiële intelligentie, social media en wat dies meer zij. Er ligt ook een rapport van het Rathenau Instituut: «Opwaarderen. Borgen van publieke waarden in de digitale samenleving.» Volgens mij ligt dat nog voor bij de commissie BZK.

Voorzitter. Het lijkt wel alsof de techniek ons inhaalt, alsof we vanuit incidenten over dit soort dingen praten, alsof we geen basishouding hebben. We moeten zorgen, niet alleen als overheid, maar ook als politiek, dat we in een regiepositie komen. Corien Prins, voorzitter van de WRR, sprak erover tijdens de rondetafel over artificiële intelligentie: de kern van het recht is normatief, techniek is belangrijk, data zijn belangrijk, maar de afweging en het besluit zitten in het normatieve. Dat geldt wellicht niet alleen voor het recht, maar ook voor het bestuurlijk handelen. We moeten doen wat het Rathenau Instituut bepleit. We moeten de publieke waarden en mensenrechten in de digitale samenleving juridisch borgen. Wat mij betreft doen we dat op een manier die agile is – om ook eens een moderne term te gebruiken – en die meebuigt met de materie. We moeten dat doen met betrokkenheid van jongeren, die vooral hiermee in hun eigen toekomst geconfronteerd gaan worden, en met betrokkenheid van professionals. Dan gaat het om de combinatie van waarden en normen. We zullen moeten bedenken welke nieuwe waarden er zijn of welke oude waarden hier betrekking op hebben. Ik noem een voorbeeld: de waarde van waarheid, het recht dat daaruit voortvloeit om naspeurbare informatie te krijgen van de media of de overheid. We hebben het al gehad over de waarde van transparantie: het kunnen achterhalen hoe algoritmes in elkaar zitten. Dat is misschien ook wel van belang voor de rechter om uiteindelijk te checken hoe een besluit tot stand is gekomen. Het gaat ook om de waarde van menselijke tussenkomst, die bijvoorbeeld bij iets als e-Court een belangrijke rol kan spelen vanuit die waarden. Wat voor normen gelden daar? Zo kan ik nog wel een tijdje doorgaan met de waarden, die moeten leiden tot normen.

In de beleidsreactie op het rapport van de WRR zegt het kabinet het ook: er moet een heldere wettelijke basis komen voor het uitvoeren van data-analyses, maar er is veel meer waar een heldere, wettelijke en daarmee ethische kant aan big data, artificiële intelligentie enzovoorts moet komen. Wat gebeurt er op dit terrein? Er is een Digicommissaris en er is een interdepartementale werkgroep. Ik heb begrepen dat er onlangs twaalf Ministers in het Catshuis hebben gezeten om hierover na te denken. Maar wat betekent dit voor de waardenkant van de digitale samenleving? Wordt daaraan gewerkt? Wordt er gesleuteld aan de Algemene wet bestuursrecht om algemene beginselen van behoorlijk digitaal bestuur te formuleren?

Mevrouw Buitenweg (GroenLinks):

Ik vind het best een inspirerend verhaal over waarden en over dat het van belang is om ook in deze digitale tijd de waarden overeind te houden. Maar wat vindt het CDA zelf bijvoorbeeld van de transparantie als we het hebben over SyRI, het Systeem Risico Indicatie, waarbij op basis van algoritmen bekeken wordt wie potentieel een fraudeur is, zonder dat die algoritmen openbaar zijn? Vindt de CDA-fractie dat die algoritmen wel openbaar moeten zijn of in ieder geval transparant en toetsbaar?

De heer Van Dam (CDA):

Ik moet u zeggen: ik heb hier een briefje met aantekeningen liggen en daar staat SyRI op, omdat ik me daar nog eens even nader in moet verdiepen. De echte werking daarvan ken ik niet, maar in zijn algemeenheid wil ik – als dat in uw vraag besloten ligt – het graag met u eens zijn dat mensen wel naspeurbaar moeten krijgen waarom ze wel of niet in een bepaald systeem staan. Wat dat betreft denk ik dat ik daar een end in mee zou kunnen gaan.

Mevrouw Buitenweg (GroenLinks):

Dan wacht ik het inderdaad af tot de naspeuringen van de heer Van Dam zijn standpunt verder hebben aangescherpt en dan wil ik daar graag nog eens op terugkomen. Hier is nu ook een rechtszaak over. Veel mensen staan op zo'n lijst vanwege een combinatie van allerlei gegevensbestanden, waardoor zij gezien worden als het type «mogelijke fraudeur». Het op die lijst staan heeft wel degelijk consequenties. Ik kom er later graag nog eens op terug bij de heer Van Dam.

De voorzitter:

Gaat u verder, meneer Van Dam.

De heer Van Dam (CDA):

Voorzitter. Ik was gebleven bij mijn pleidooi om tot een soort algemene beginselen van behoorlijk digitaal bestuur te komen. Zou het ook niet zinnig zijn dat er één kabinetslid komt dat hier primair de kar trekt? Of is dat al aan de orde? Kan de Minister daar wat duidelijkheid over geven? Het is evident dat ik al langer bepleit dat er een aparte commissie komt in deze Kamer die zich daarmee bezighoudt, maar ik denk dat het handiger is om eerst een kabinetslid in beeld te hebben voordat wij ons daarop richten.

De heer Verhoeven (D66):

Wat voor soort kabinetslid bedoelt de heer Van Dam precies? Een Minister voor ...?

De heer Van Dam (CDA):

Nee. Ik denk aan een bestaand lid van het kabinet dat toeziet en regie voert op de bovenliggende thema's of, zo u wilt, onderliggende thema's, die eigenlijk betrekking hebben op alles in onze digitale samenleving, zowel op wat er in de markt gebeurt als bij de overheid. Ik zie niet één wet voor me of zo, maar er kan bijvoorbeeld een aanvulling nodig zijn in de Grondwet of in de Algemene wet bestuursrecht. Het gaat om dat soort dingen. Dat is wat ik voor mij zie.

De heer Verhoeven (D66):

Dat is heel interessant, hoor. Ik ben ook heel blij dat het denken bij het CDA over dit onderwerp nu echt van de eerste naar de tweede versnelling gegaan is. Misschien begint de derde versnelling ook wel in de buurt te komen als u zo doorgaat, meneer Van Dam. Dat is hartstikke positief. U heeft het nu even over wetten en waarden. Die zijn hartstikke belangrijk. In wetten staan alle waarden vastgelegd en de normen die daaronder liggen ook. Het gaat nu even om de bewindspersoon. Wilt u een al bestaande bewindspersoon deze belangrijke portefeuille toedelen en diegene breed en integraal over verschillende ministeries en andere structuren heen dit onderwerp laten oppakken? Het zou fantastisch nieuws zijn als u daarvoor bent.

De heer Van Dam (CDA):

Ik heb de vraag duidelijk gesteld. Ik wil vooral van de Minister weten welk zicht hij op dit moment heeft op wat er op dit vlak gebeurt in het kabinet. Ik heb helemaal niet zo veel behoefte om er al meteen een enorme invulling aan te geven, want ik wil het kabinet vooral zelf de ruimte geven om daar invulling aan te geven. Dat geldt ook voor de Kamer. Wij zijn allemaal binnen onze eigen commissie ongelofelijk druk bezig met de dingen die zich voordoen. We hebben in de Kamer een commissie voor Europese Zaken, die los van wat wij in de commissies aan Europese richtlijnen en verordeningen enzovoorts behandelen, daarboven ook thema's in de gaten houdt. Ik kan mij heel wel voorstellen dat wij als Kamer op dit heel belangrijke onderwerp van digitalisering hier uiteindelijk ook naartoe gaan. In die hoek moet u het zoeken.

De voorzitter:

Meneer Koopmans op ditzelfde punt.

De heer Koopmans (VVD):

Ik denk dat de heer Van Dam al meteen zijn antwoord heeft. Als ik hem goed begrijp, zoekt hij naar een Minister die zich grensoverschrijdend bezighoudt met digitalisering in al haar aspecten. Daarvoor hebben we de Minister voor Rechtsbescherming, Sander Dekker. Nog beter, hij is ook nog de Minister van waarden en normen, want hij is tenslotte Minister voor Rechtsbescherming. Ik denk dus dat het verzoek al is ingediend bij de formatie.

De voorzitter:

En dat is ook uw vraag, of de heer Van Dam dat ook zo ziet?

De heer Koopmans (VVD):

Nou, dit was eigenlijk een mededeling, een geruststelling.

De voorzitter:

Meneer Van Dam, u kunt nog reageren.

De heer Van Dam (CDA):

Ik constateer dat de heer Koopmans hier de Minister al te hulp komt, terwijl ik zou zeggen: laat vooral de Minister eerst zelf daar een antwoord op geven. Dan kan hij daarna die hulp misschien nog inroepen.

De voorzitter:

U ging afronden volgens mij.

De heer Van Dam (CDA):

Ja, ik ben zo vrij om door te gaan. Ik rond ook af. Afsluitend bepleit het CDA eigenlijk dat er een soort bill of rights komt – dat bedoel ik niet in een heel materiële vorm – ten aanzien van publieke waarden en daaruit voortvloeiende normen op het terrein van de digitale samenleving. Die bill of rights moet toonaangevend worden en moraliteit verschaffen bij ontwikkelingen op het vlak van digitalisering, robotisering en big data, zodat wij vóór de kar komen. Gisteren was dat ook een beeldspraak die we gebruikten bij de Autoriteit Persoonsgegevens. Het gaat erom dat we niet in allerlei regeltjes terechtkomen, maar juist een aantal waarden ontwikkelen die ook begrepen worden, niet alleen door onszelf maar ook door de markt, bij het ontwikkelen van producten en bij burgers in de zin van waar ze wel of geen rekening mee moeten houden. Ik krijg graag een reactie van de Minister daarop.

De voorzitter:

Die gaan we straks horen, maar eerst is er nog een interruptie van mevrouw Helder.

Mevrouw Helder (PVV):

Ik dacht: laat ik nou eerst het hele betoog afwachten. Daar zaten toch nog wel wat antwoorden in. Ik heb de heer Van Dam horen zeggen: de codificatie, of het juridisch borgen van waarden en normen of de menselijke waarden. Mijn vraag was of de heer Van Dam dan de Grondwet wil aanvullen, maar nou heeft hij het afrondend over een soort bill of rights. Daar kan ik in die zin best in meegaan, maar ik hoor de heer Van Dam ook zeggen dat we voor de kar moeten komen. Dan zie ik wel twee aspecten waarover ik antwoorden wil horen van een partij die nauw in de coalitie zit, want volgens mij moet je daar wel veel deskundigheid voor hebben. De overheid staat er nou niet echt om bekend dat ze veel deskundige personen in dienst heeft op het gebied van ICT. Dan denk ik: er moeten deskundige personen komen, die dan misschien zo'n portefeuille-overstijgende Minister moeten ondersteunen. Volgens mij moet die daar volledig voor vrij gemaakt worden. Is de heer Van Dam dan ook bereid om binnen de coalitie te pleiten voor wat ik denk wat nodig is: meer mensen en meer geld om die portefeuille-overstijgende Minister hierbij van dienst te kunnen zijn, en daarmee dus ook de Kamer?

De heer Van Dam (CDA):

Dank u wel voor de vraag, mevrouw Helder. Ik deel alleen niet uw opinie dat wij binnen de overheid niet zouden beschikken over kwalitatief hoogwaardige mensen. Dat is één ding. Een tweede ding: ik vraag me af of je nou voor het formuleren van waarden en daaruit voortvloeiende normen allemaal hoogwaardige mensen... Daar zijn we gewoon zelf bij. Ik denk gewoon dat er ook al heel veel is, dat het juist nodig is dat die dingen bij elkaar gebracht worden en dat we er met z'n allen schreeuwend behoefte aan hebben om weg te komen van telkens aan de achterkant zeggen: goh, e-Court klopt niet, Facebook deugt niet et cetera Het is aan ons om regie te nemen en om richting te geven aan dit debat. Daarom bepleit ik dat we die waarden identificeren en dat we daaruit een aantal normen laten voortkomen, waardoor we veel meer sturend zijn op dit onderwerp. Ik denk niet dat we onszelf moeten declassificeren in het in staat zijn om dat voor elkaar te brengen.

Mevrouw Helder (PVV):

Afrondend. Ik ben het met de heer Van Dam eens dat het aan ons is om de regie te nemen, maar het voorbeeld van e-Court, waarbij we er achteraf achter komen dat het toch niet helemaal is zoals we het hadden bedoeld... Ik weet nog dat voormalig Minister van der Steur daar een grote lans voor brak. Dan denk ik: er zijn inmiddels toch wel dingen die we toen ook hadden kunnen weten, voordat we e-Court introduceerden. Sommigen hebben het volgens mij zelfs een verkapte bezuinigingsmaatregel genoemd. Ik ben het dus voor een groot deel eens met de heer Van Dam, maar ik denk dat er nog heel wat haken en ogen aan zitten, ook financieel.

De voorzitter:

Dank u wel. Wilt u daar nog op reageren? Nee. Dan is er nog een interruptie van de heer Verhoeven.

De heer Verhoeven (D66):

Mijn tussenvraag ging over dat voorstel van die bewindspersonen. Dat wachten we dan even af. Ik heb ook een meta-interruptie, als u het mij toestaat, voorzitter.

De voorzitter:

Nou, als dat maar niet bedoeld is in de zin dat het een hele lange wordt.

De heer Verhoeven (D66):

Nee, ik zal dat echt proberen. Het gaat over die waarden. Aan de ene kant zegt de heer Van Dam heel erg te leunen op die waarden. Dat is heel mooi, maar je hebt universele waarden, waarden waar bijna iedereen in Nederland of in Europa het wel over eens is, maar je hebt ook wat meer politiek gekleurde waarden, de CDA-waarden om het zo maar te zeggen. Dat zijn niet de D66-waarden. Als je dat dan moet gaan vertalen in technologische verandering, wordt het alweer ingewikkelder. Daar kunnen we later over praten. Ik sla aan op het woord «agile» dat de heer Van Dam gebruikte. We hebben de neiging om Engelse woorden te gebruiken. Misschien mag ik het vertalen naar het woord «lenig». De lenigheid die de heer Van Dam blijkbaar zoekt in de manier waarop we moeten omgaan met de nieuwe technologie en de implementatie daarvan, vind ik juist in schril contrast staan met de wat stugge en stroeve manier waarop de CDA-fractie naar bepaalde waarden en het daaraan vasthouden kijkt, alsof die waarden niet kunnen veranderen in de tijd. Zou de heer Van Dam daar eens op in kunnen gaan? Dus op veranderende waarden en lenige technologie.

De heer Van Dam (CDA):

Ja, ik snap wat u wilt. Laat ik vooropstellen dat ik dit toch wat meer doe vanuit de inhoud en niet vanuit het directe politieke. Ik constateer dat er allerlei dingen zijn waaraan ook wij als commissie aandacht besteden, in hoorzittingen, in vragen, in incidenten die zich voordoen. Wij reageren als politiek vaak op incidenten; laten we wel wezen. Ik constateer na verloop van tijd dat wij eigenlijk meer richting moeten geven aan die discussie. Wat dat betreft ben ik het helemaal eens met uw opmerking net dat dat niet alleen een ambtelijk proces moet zijn, maar ook een politiek proces. Je moet dus met elkaar in discussie komen over die waarden. Dan kijk ik als CDA'er inderdaad heel anders aan tegen een aantal dingen dan dat u als D66'er dat doet. Dat maakt ons land zo mooi, want uit die discussie komt altijd wat, en dat is dan het houvast dat wij aan het land kunnen bieden. Ik laat uw waardering van het CDA-standpunt graag aan u, want ik ga daar niet in mee. Het gaat mij echt om dat debat, en het gaat mij erom dat wij echt ons werk doen en onze verantwoordelijkheid daarin nemen. Ik hoop dat u dat toch met mij deelt.

De heer Verhoeven (D66):

Ik deel een deel van uw antwoord en een deel niet, maar ik maak het dan graag één slag concreter. Ik vind het richting geven vanuit de politiek aan de wenselijkheid van bepaalde gevolgen van technologie een hele goeie. Uiteindelijk kunnen we dat dan op basis van 76 of meer Kamerzetels tot meerderheden laten komen. Die vinden dan met elkaar dat er een bepaalde waarde is waarbinnen technologie moet blijven. Maar dan is mijn vraag, bijvoorbeeld over die rechtspraak, de volgende. U bent daar overigens met collega Groothuizen druk mee bezig geweest; heel goed. Vindt u dan ook dat bijvoorbeeld alle algoritmes en andere geautomatiseerde besluitvorming in de rechtspraak gewoon openbaar en achterhaalbaar moeten zijn? Want dat zou dan de waarde «transparantie en controleerbaarheid» kunnen zijn. Hoe ziet u dit dan als concreet voorbeeld? Dus als eerste verkenning om eens te kijken of we dan ook bepaalde waarden concreet naar iets kunnen vertalen, want daar moeten we dan wel met elkaar toe in staat zijn.

De heer Van Dam (CDA):

Ik heb aan de Minister gevraagd hoe dat op dit moment loopt in het kabinet, wat daar de voorzet voor is. Ik vind het buitengemeen interessant dat daar waar ik een algemeen thema probeer te agenderen en ik ook probeer te agenderen hoe wij als politiek, oprecht bedoeld in gezamenlijkheid, daarmee om moeten gaan, meneer Verhoeven mij naar één dingetje wil brengen en mij daar een uitspraak over wil ontlokken. Dat kennen we ook bij hem. Maar het gaat mij echt om het bredere verhaal.

De voorzitter:

U krijgt zo het woord, meneer Verhoeven.

De heer Van Dam (CDA):

Dit debat gaat niet over e-Court. U weet net zo goed als ik dat de Hoge Raad daar nog een uitspraak over moet doen en dat er van alles ligt. Zelf ben ik in oprechtheid ook nog bezig om te kijken hoe dat zit. Daar gaat het me nu niet om. Daar heb ik gewoon nog geen opinie over. Het gaat mij om de manier waarop wij met dit onderwerp omgaan. Daarvan vind ik dat we een breder verhaal moeten neerzetten.

De heer Verhoeven (D66):

Ik zal niet ingaan op de suggestie van oprecht en onoprecht, want ik denk dat ik vragen ook heel oprecht kan stellen. Dit is een onderwerp waar ik al best lang mee bezig ben. Algemene visies op dit onderwerp vind ik heel interessant, maar uiteindelijk gaat het om politieke boter bij de vis en concreetheid: kunnen we het ook tot iets brengen? Vandaar dat ik het wat concreter maakte. Ik zal daar niet op doorgaan.

Meneer Van Dam, ik vind het hartstikke goede initiatieven, maar mijn enige punt luidt als volgt. Als je als politiek bepaalde waarden voorop wilt stellen en op basis daarvan technologie en de gevolgen daarvan wilt beoordelen op «wel of niet wenselijk voor de samenleving», dan zul je uiteindelijk tot een niveau moeten komen waarop het ook echt over mensen, mensenlevens en concrete situaties gaat. Dan kun je niet op het abstracte niveau blijven van «de normen en waarden» en «de technologie». Uiteindelijk zul je naar het niveau moeten dat mensen raakt. Daartoe zou ik u dan willen oproepen. Dat is dan mijn oprechte vraag aan u: of u daartoe bereid bent, zonder gelijk te doen alsof dat politieke polarisatie is, want dat is het niet.

De voorzitter:

Meneer Van Dam, ten slotte.

De heer Van Dam (CDA):

Ik ben het volledig met de heer Verhoeven eens dat het daartoe moet leiden. Maar daaraan gaat dan wel die discussie over de waarden vooraf en niet het eindproduct of ik in zaak A of B er wat van vind. Ik bepleit dat we juist vanuit die waarden tot normen komen. Dat hoeft voor mij geen traject van zestien jaar te zijn. Er zijn hele concrete zaken die hier spelen. Ik ben het er helemaal mee eens dat je uiteindelijk concreet moet worden. Maar let wel, ik bepleit hier geen staatscommissie, zoals door een van de sprekers bij de hoorzitting werd gedaan. Ik bepleit ook geen traject van tig jaar. Ik vraag gewoon aan de Minister wat er op dit moment al loopt binnen het kabinet. Misschien loopt er al meer, waarop gewoon kan worden aangesloten.

De voorzitter:

Dan is er nog een interruptie op dit punt, van mevrouw Buitenweg.

Mevrouw Buitenweg (GroenLinks):

Alleen heel kort. Op zich deel ik wel en vind ik het ook interessant wat de heer Van Dam wil, namelijk een wat bredere discussie: rustig vanuit waarden kijken wat we willen, ook om grip te krijgen op dit ingewikkelde onderwerp. Tegelijkertijd denk ik dat het er wel om gaat dat er nu ook al steeds keuzes worden gemaakt. Ik had het over Siri. Ik heb het natuurlijk over zaken als PNR, over heel erg veel besluiten die al door de overheid worden genomen en waar algoritmes wel degelijk al een rol spelen. Over e-Court hadden we een discussie bij het AO over de rechtspraak. Toen had ik weinig enthousiasme voor een voorstel om het transparant te doen. We kunnen dus ook niet zeggen «ineens komen er big data op ons af en laten we de boel nu eerst even gaan bekijken», want ondertussen gaat de overheid door. Laat ik mijn concrete vraag stellen. Wat vindt de heer Van Dam ervan dat bijvoorbeeld burgerrechtenorganisaties – als hij toch een wat breder debat wil – wat meer in de positie worden gesteld om namens de samenleving processen aan te spannen, zoals ook de WRR heeft voorgesteld? De WRR zei dat grote dataverwerkingsprojecten het individu overstijgen in aard en omvang en dat het niet alleen om individuele rechten gaat. Is dat een onderdeel van de grotere metadiscussie waar hij wil over wil nadenken en waar hij brood in ziet?

De heer Van Dam (CDA):

Als we met elkaar gaan definiëren – wat ik hoop – wat de waarden zijn die rond de digitale samenleving spelen, dan lijkt me de betrokkenheid van burgerorganisaties op dat vlak zeer nuttig en zeer van belang. In welke vorm dat dan moet, zover ben ik nog niet, maar natuurlijk moeten zij daarin betrokken worden.

Mevrouw Buitenweg (GroenLinks):

Dat vind ik op zich heel hoopgevend, alleen was «betrokken worden» en «we gaan in dialoog» een beetje het mantra van dit kabinet. Het punt was eigenlijk om ze meer rechten te geven, echt een soort collectieve rechten, om daar waar ze denken dat het wringt, bijvoorbeeld zo'n Siri, een proces te starten, omdat de impact op de samenleving – niet per se op een individu – groot is en getoetst moet worden. We willen met z'n allen natuurlijk wel voorkomen dat er een soort sociaalkredietsysteem gaat ontstaan zoals we dat in China kennen.

De voorzitter:

Meneer Van Dam, ten slotte.

De heer Van Dam (CDA):

Ik vind het zelf vrij moeilijk om, als je een discussie over waarden begint, op voorhand al bepaalde partijen die daaraan meedoen bepaalde rechten te geven om zich erover uit te spreken. Misschien begrijp ik het niet helemaal goed, hoor. Nogmaals, ik bepleit vooral dat ik van de Minister wil horen wat er op dit vlak – de normen- en waardendiscussie – in de boezem van het kabinet speelt en welke mogelijkheden hij ziet om te zorgen dat we met z'n allen meer die structurele discussie voeren en niet alleen aan de achterkant de incidenten bespreken, hoe terecht ook.

De voorzitter:

Ik dank u zeer. Daarmee komt er een einde aan ... O, de heer Van Nispen heeft ook nog een interruptie op dit punt. Nou, dan hebben we iedereen gehad, geloof ik. Het is bijna een apart AO!

De heer Van Nispen (SP):

Ik heb ook nog een vraag aan de woordvoerder van het CDA met het stevige normen- en waardenverhaal. Uit het feit dat ik ben blijven zitten, heeft u kunnen afleiden dat het me ondanks de waarschuwing toch erg boeide. Ik constateer dat de heer Van Dam het nu liever niet heeft over, zoals hij het zelf noemde, allerlei dingen en incidenten – dat is zijn goed recht – maar meer richting wil geven aan de discussie door normen en waarden te identificeren en de vraag op te werpen of we daarover niet de discussie zouden moeten voeren. Mijn vraag aan de heer Van Dam luidt als volgt. Een heleboel zaken en een heleboel beginselen liggen toch allang vast. We hadden de Wet bescherming persoonsgegevens. We hebben de uitgebreide discussie gevoerd over de Uitvoeringswet Algemene verordening gegevensbescherming. Principes als doelbinding en menselijke tussenkomst zijn toch allemaal niet nieuw? Volgens mij voeren wij die discussie voortdurend. Ik wil er best over nadenken of het zinvol is om die op een wat abstracter niveau te voeren, maar eerlijk gezegd betwijfel ik dat en heb ik het er bijvoorbeeld juist liever over of wij wel voldoende toezichtmogelijkheden hebben om aan te pakken wat er op dit moment niet deugt. Als Facebook echt ferm de fout in gaat, hebben we dan voldoende mogelijkheden om dat stevig aan te pakken, et cetera? Is de heer Van Dam dat ook met mij eens, zonder mij er dan van te beschuldigen dat ik het over allerlei dingetjes en incidenten wil hebben?

De heer Van Dam (CDA):

Ik beschuldig u nergens van. Als ik andere mensen daarvan beschuldigde, dan spijt het me zeer dat ik dat gedaan heb. Ik verwijs toch naar het rapport van het Rathenau Instituut. Ik doe dat met enige voorzichtigheid, omdat het niet geagendeerd staat voor dit AO, maar volgens mij kennen veel mensen het wel, omdat het bij de rondetafel aan de orde is geweest. Dat heet «Opwaarderen – Borgen van publieke waarden in de digitale samenleving». Een ander rapport van het Rathenau Instituut is «Mensenrechten in het robottijdperk». Ik wil het graag met u eens zijn dat het, als je het hebt over die waarden, weleens zo zou kunnen zijn dat er geen enkele waarde bij hoeft, dat die waarden eigenlijk al in onze manier van samenleven aanwezig zijn. Maar ik denk dat er vanuit die waarden in de mogelijkheden van de digitalisering wel andere normen spelen. Het geautomatiseerd kunnen beslissen over dingen brengt andere normen met zich mee uit dezelfde waarden van menselijkheid, transparantie, eerlijkheid en dat soort zaken. Ik ben dus ook heel erg benieuwd of wij op nieuwe waarden komen, maar het zou best kunnen zijn dat die er al zijn. Op dat normenvlak denk ik wel degelijk dat er nieuwe normen zijn, net zoals er nu in artikel 22 van de AVG een norm is geformuleerd. Daarin staat dat er niet alleen maar geautomatiseerd over je beslist mag worden. Dat is een norm die voortkomt uit inzicht in onze digitale samenleving. Zo zie ik het een beetje.

De heer Van Nispen (SP):

Ik vraag me dan toch af of ik het niet helemaal goed begrijp of dat de heer Van Dam de vraag niet helemaal heeft beantwoord. Hij geeft het voorbeeld van geen automatische besluitvorming zonder menselijke tussenkomst. Over die norm hebben we gediscussieerd. Dat was niet heel uitgebreid, maar dat hadden we nog uitgebreider kunnen doen. Dat moment was er wel. Mijn vrees is een beetje dat als we nu de vraag opwerpen of we daar niet een grotere discussie over moeten voeren, we daar dan heel veel tijd mee kwijt zijn. Ik vind dat prima; als het maar ergens toe leidt. En dat laatste betwijfel ik juist, omdat wij dus al een heleboel normen, afspraken en regels hebben. Het komt volgens mij aan op ingrijpen en handhaven als het niet deugt. Maar goed, misschien is dit een herhaling. Maar ik ben toch benieuwd naar de reactie.

De voorzitter:

Het laatste woord is aan de heer Van Dam.

De heer Van Dam (CDA):

Het laatste woord is meestal aan de verdachte, maar goed.

Mag ik één voorbeeld geven, over de inzichtelijkheid van algoritmes? Daar is ook al eerder iets over gezegd door collega's. Als een beslissing op basis van een algoritme tot stand is gekomen, heeft een rechter dan bij wijze van spreken recht op inzicht in hoe die beslissing tot stand is gekomen? Dat hebben wij niet in onze regelgeving vastgelegd. Dat is voor mij een voorbeeld waarvan ik denk: daar zouden we het wel met elkaar over moeten hebben, vanuit de waarde transparantie. Daar kun je verschillend over denken, maar dat zijn regels waarvan je volgens mij kunt zeggen: als je dat niet een keer substantieel bekijkt, bepaal je dat elke keer apart. En dat is volgens mij waar we van weg moeten blijven, want dat geeft ook geen duidelijkheid aan de buitenwereld.

De voorzitter:

Ik dank u zeer. Daarmee komt er een einde aan de eerste termijn van de zijde van de Kamer.

De vergadering wordt van 15.26 uur tot 15.50 uur geschorst.

De voorzitter:

Het woord is aan de Minister voor Rechtsbescherming.

Minister Dekker:

Voorzitter, dank u wel. Vroeger hoorde je nog weleens dat iemand zei: ik heb helemaal niets te verbergen. Gek genoeg hoor je dat de laatste tijd steeds minder vaak. Ik denk dat dat ook te maken heeft met dat de wereld om ons heen verandert. Waar vroeger discussies over privacy gingen over of de politie camera's mag inzetten op straat, is privacy nu echt iets wat ook je huis in komt, omdat je gewoon vanachter je computer bezig bent met het invoeren en weggeven van heel veel van je persoonlijke gegevens, omdat dat soms heel handig en heel nuttig is en omdat je gebruik wil maken van diensten. De laatste tijd hebben we ook wel gezien – neem het schandaal rond Facebook – dat er grote gevaren zijn als het gaat om de beveiliging van die informatie en het misbruik ervan.

Als ik terugkijk op de afgelopen weken, waarin er natuurlijk heel veel te doen is geweest rond de AVG, dan denk ik aan de ene kant dat het goed is dat er nu duidelijke regulering is die ook geharmoniseerd is. Niet in alle landen en lidstaten aparte regels met aparte autoriteiten, maar één regime voor heel Europa. Misschien nog wel veel belangrijker is dat die hele discussie geleid heeft tot een veel groter bewustzijn van het belang om zorgvuldig met privacy om te gaan, zoals aan de kant van de consument. We hebben allemaal de mailtjes gehad. Het was het gesprek van de dag bij de koffieautomaat. Iedereen was ermee bezig, viel mij op, gewoon binnen ons eigen ministerie, maar ook aan de kant van bedrijven. Ik was vorige week bij de Rabobank. Ik vond het indrukwekkend om te zien wat die allemaal gedaan heeft om compliant te worden met de nieuwe regels. Uiteindelijk moet de AP natuurlijk kijken of het allemaal netjes is gegaan, maar als ik zo even in één, twee uur kon zien wat het allemaal heeft betekend, al die medewerkers die getraind zijn, dan zag ik: iets wat voorheen een bijzaak was, is echt verworden tot een hoofdzaak, een belangrijk iets. Daarbij wordt ook gezegd: dit moeten we eigenlijk met z'n allen gewoon goed geregeld hebben. Het is in het verkeer tussen bedrijven en consumenten, tussen overheden en burgers namelijk belangrijk dat er sprake is van vertrouwen. Daar gaat denk ik een deel ook van dit AO over.

Een ander aansprekend gevolg van de AVG is dat we zien dat bedrijven in het gereedkomen voor de AVG een enorme schoonmaak hebben gedaan. Het was geloof ik een onderzoek van IBM dat aangaf dat 70% van de 1.500 onderzochte bedrijven in de aanloop naar 25 mei jongstleden heel veel data, waarvan ze zichzelf misschien ook afvroegen wat ze er eigenlijk mee deden en die concludeerden ze niet meer nodig te hebben, nu inderdaad hebben opgeruimd. Dat is alleen maar goed.

Voorzitter. Ik zou de vragen langs drie lijnen willen beantwoorden. Ik zou willen beginnen met de AVG, de vragen die daarover gesteld zijn en de Autoriteit Persoonsgegevens. Dan ronden we even het debat af dat we gister bij het vragenuurtje zijn begonnen. Dan wilde ik «m iets breder trekken naar big data in zijn algemeenheid, waarbij ik een korte drieslag wil maken. Eén, breed: normen en waarden en visies op big data. Twee: wat betekent dat nou concreet als je het doorvertaalt naar normen? Drie: hoe staat het überhaupt met een aantal concrete dossiers die lopen? Dan zou ik willen afsluiten met de zorg die ik bij een aantal van u hoorde over de echt grote techbedrijven, de Facebooks en de Googles, en hoe wij ons als overheid kunnen wapenen of kunnen opstellen tegen grote bedrijven die een zetel hebben aan de andere kant van de grote plas.

Laat ik beginnen met de AVG. De implementatie daarvan heeft hier en daar inspanningen gevergd en ook best wel wat rumoer gegeven. Voor een deel kan ik daar ook wel begrip voor opbrengen, maar voor een deel ook niet. De AVG brengt inderdaad nieuwe verplichtingen met zich mee die je als organisatie, groot en klein, misschien niet op een achternamiddag hebt ingevuld, maar voor een belangrijk deel gaat de slag die je moet maken toch ook over oude verplichtingen. Als bedrijven zeggen dat ze heel veel extra's moesten doen, was er misschien ook wel een beetje sprake van achterstallig onderhoud. Belangrijker is het besef dat privacy een groot goed is en dat oog daarvoor hoort bij modern ondernemerschap.

Hebben we dan voldoende geholpen? Voor een goede implementatie is er veel gedaan op het gebied van voorlichting. Het Ministerie van Justitie en de Autoriteit Persoonsgegevens hebben daaraan gewerkt. Ik zie heel veel branche- en koepelorganisaties die voor hun achterban en hun leden allerlei tools en dingen hadden ontwikkeld. Je kon als brancheorganisatie echt even laten zien waar je meerwaarde lag. Ik denk dat dat alleen maar heel erg goed is. Tegelijkertijd realiseer ik me dat voorlichting misschien wel nooit genoeg is. Als je in het drukke bestaan – je zou je winkel maar moeten runnen en iedere dag vroeg open moeten en 's avonds de boel weer moeten opruimen – dan ook wat moet doen om gereed te komen voor die AVG; dat komt er nog eens een keer extra bovenop. Dus we hebben veel gevraagd, ondanks dat de voorlichting er wel was en die ook van een goede kwaliteit was.

Hoe zit het met de overheid zelf? Ook wij hebben heel erg hard moeten werken om gereed te komen voor de AVG. Laat ik het even vertalen naar mijn eigen ministerie. Elk onderdeel heeft een functionaris voor gegevensbescherming. We hebben verbeteringen van privacyreglementen doorgevoerd. Procedures hebben nu de aandacht. Er zijn heldere privacyverklaringen opgesteld. In het verwerkingsregister worden alle verwerkingen opgenomen. Of we helemaal compliant zijn? Dat is uiteindelijk een uitspraak die de Autoriteit Persoonsgegevens moet doen. Het zou ook gek zijn als ik zeg dat het allemaal in orde is en daarover later discussie ontstaat. Sterker nog, ik denk dat er onderdelen zijn waar we ook in de komende tijd het been bij zullen moeten trekken. En ik denk dat het iets is wat nooit af is. Het is net als met onderhoud. Je kan het een grote beurt geven, maar daarna moet je ook wel weer doorpakken om de volgende klus te klaren. Met andere woorden, het is een continu proces. Ik denk dat er op het gebied van Justitie nog wel het een en ander te verbeteren valt. We hebben natuurlijk ook kunnen lezen over de Belastingdienst, met hele ingewikkelde systemen en processen, waar ook heel erg hard gewerkt is en echt grote verbeterslagen zijn doorgevoerd, maar we moeten hier en daar misschien zelf ook nog wel een tandje bij schakelen.

Voorzitter. Dan de Autoriteit Persoonsgegevens, die hier natuurlijk op moet toezien. Als je niet volledig voldoet aan de wet, dan loop je natuurlijk in theorie de kans dat de Autoriteit Persoonsgegevens komt en je een tik op de vingers geeft. Ze heeft ook veel meer tanden gekregen. Dat gezegd hebbende, de Autoriteit Persoonsgegevens is een redelijke handhaver en heeft niet dit weekend al op de stoep gestaan bij allerlei voetbal- en korfbalverenigingen om te zeggen «u heeft de boel nog niet helemaal op orde». Waar hard wordt gewerkt om de boel op de rails te krijgen en de intenties goed zijn, houdt de Autoriteit Persoonsgegevens daar natuurlijk rekening mee. Net zo goed geldt: als je er met de pet naar gooit en helemaal niets hebt gedaan, maar je wel heel veel gegevens hebt en je het gewoon goed had moeten regelen, dan krijg je natuurlijk wel een zware dobber aan ze.

Er zijn vragen gesteld, ook gister al, over of de Autoriteit Persoonsgegevens zelf voldoende is toegerust. Voor een deel loopt dat langs het geld, waar mevrouw Helder een terechte vraag over stelde. AEF heeft drie scenario's gemaakt. We hebben gekozen voor het minimale scenario. Zelfs daarvan hebben we gezegd: we gaan niet direct aan de bovenkant van de bandbreedte zitten, maar iets daaronder, ook vanuit het idee dat een organisatie moet groeien. Het is sowieso ingewikkeld om allerlei vacatures te vervullen. We moeten ook maar eens even aanzien hoe de dingen uitpakken. Als, wanneer het stof is neergedaald, blijkt dat er toch meer capaciteit nodig is of dat de aanvragen toch groter zijn dan we hadden verwacht, dan moeten we daar gewoon het gesprek over aangaan, heb ik al eerder aangegeven. Dus dat is het geld.

Door die hele groei en die hele reorganisatie verandert een organisatie ook. De heer Van Dam vroeg gister: houden we de vinger aan de pols van hoe het daar loopt? De heer Van Nispen had het over het FD. Het zal best zo zijn dat er af en toe iets niet goed gaat of dat er eens iemand vertrekt op een vervelende manier. Dat sluit ik helemaal niet uit. Alleen het generale beeld dat in het FD werd neergezet, dat er een soort massale leegloop is en dat niemand meer wil werken bij de Autoriteit Persoonsgegevens, kan ik echt gewoon volstrekt niet thuisbrengen. Ook als ik gewoon kijk naar de cijfers en naar het verloop, naar de mensen die zijn binnengebracht en hoe kundig die mensen zijn, denk ik echt dat we de Autoriteit Persoonsgegevens daarmee tekortdoen. Ik heb hier serieus over gesproken met Aleid Wolfsen, als voorzitter van het college. Die is er ook heel open in. Hij heeft aangegeven: het heeft mijn volle aandacht; we zijn hier ook steeds mee bezig, we moeten die organisatie ook verder opbouwen. Daarom was ik blij dat hij zelf ook aangaf om uiterlijk over een jaar, als we dus even bezig zijn onder de AVG, aan de buitenwereld te vragen hoe er tegen de Autoriteit Persoonsgegevens aangekeken wordt. Zijn we voldoende behulpzaam? Hoe wordt onze expertise gewaardeerd? Zijn we een stevige autoriteit, zoals we zouden moeten zijn? Ik vind dat een juist traject waar ik vertrouwen in heb.

De heer Van Dam (CDA):

Ik heb nog wel een vraag naar aanleiding van het mondelinge vragenuur gisteren. Waardering voor wat u zeker vandaag allemaal op de mat legt, maar ik vond de beantwoording over de uitbreiding naar een derde lid niet helemaal helder. Ik heb dus zelf nog even in de Uitvoeringswet AVG gekeken, in artikel 7, lid 3. Daar zie ik dat de voorzitter bij koninklijk besluit op voordracht van de Minister wordt benoemd. Heb ik daarmee goed begrepen dat u ook een actieve rol hebt bij het al dan niet benoemen van een derde lid?

De voorzitter:

«U» is in dit geval de Minister, en niet de voorzitter, om het allemaal nog wat ingewikkelder te maken.

Minister Dekker:

Nee, zeker, dat klopt. Er is betrokkenheid van mijn ministerie bij de procedure. Het ministerie is formeel de vacaturehouder. Dat betekent ook dat mensen van mijn ministerie in de selectiecommissie zitten en ik daar uiteindelijk natuurlijk over wordt bijgepraat. In die zin heb ik er een rol in.

De voorzitter:

De heer Van Nispen, hetzelfde punt.

De heer Van Nispen (SP):

Toch over de capaciteit. We hebben deze discussie zeker eerder gevoerd. De Minister zei net: we hebben ervoor gekozen om onder de bandbreedte te gaan zitten. Mijn fractie vindt dat toch echt geen gelukkige keuze. Dat breng ik ook in verband met de wijze waarop veel mensen toch een beetje in paniek waren. Dat heeft allerlei oorzaken. Sommige mensen waren te laat begonnen met de implementatie van de AVG. Ja, er was bij sommigen achterstallig onderhoud, waardoor wat ze allemaal moesten doen heel veel leek. Maar de voorlichting had denk ik toch ook wel beter gekund. Misschien was dat te voorkomen geweest door eerder te beginnen met het uitbreiden van de capaciteit bij de Autoriteit Persoonsgegevens. Mijn concrete vraag is de volgende. Ik hoorde net de Minister zeggen: het is nu ook wel lastig in deze markt om aan voldoende deskundige mensen te komen. Was dat te voorkomen geweest door daar eerder te beginnen met het zoeken naar die mensen en het uitbreiden van de capaciteit? En wat zijn eigenlijk de factoren volgens de Minister? Waarom is het zo lastig om aan voldoende deskundige mensen te komen? Dan kunnen we namelijk ook na gaan denken over de oplossingen daarvoor.

Minister Dekker:

Ik denk dat beide punten niet het gevolg zijn van een tekort aan geld. Ik vond de voorlichting die de Autoriteit Persoonsgegevens gaf uitstekend. Ik wil alleen maar aangeven dat je heel goede voorlichting kunt hebben, maar dat die het niet gaat regelen voor bedrijven. Uiteindelijk zijn het de bedrijven en instellingen zelf die het moeten doen. Dat betekent dat je er tijd voor moet vrijmaken. Je moet je bedrijfsprocessen veranderen. Soms moet je een nieuw softwarepakket kopen om up-to-date te geraken. Dat vraagt inzet van uren en soms geld. En dat is lastig; dat begrijp ik ook wel. Je zal maar een kleine ondernemer zijn en dit moeten doen. Ik hoor vanuit kleine bedrijven en vanuit verenigingen en scholen dat ze dat de grootste slag vinden. In mijn ogen heeft het niet zozeer gelegen aan een gebrek aan voorlichting.

Het tweede is die krapte in de arbeidsmarkt. Die is tweeërlei. Ik denk dat het in de aantrekkende economie nu breed steeds moeilijker wordt om heel goede mensen te vinden. Daarin is de Autoriteit Persoonsgegevens niet anders dan heel veel ministeries en grote bedrijven, die nu echt hun best moeten doen om talent aan te trekken. Specifiek voor deze sector kwam daar nog het vereiste bij dat je een gegevensfunctionaris aantrok, vanwege de extra eisen die de AVG bracht voor de grotere instellingen en de instellingen die met veel persoonsgegevens werken. Dat waren allemaal extra personen die werden aangetrokken. Laat ik een voorbeeld geven. Een van de mensen die vertrokken is bij de Autoriteit Persoonsgegevens is gegevensfunctionaris van de NS geworden. Er werd hier en daar ook gewoon aan mensen getrokken. Dat is niet zo heel erg gek. Zeker als je al een aantal jaren voor de Autoriteit Persoonsgegevens hebt gewerkt, vind ik het ook niet heel raar dat je eens een overstap maakt naar een andere organisatie. Het is dus een beetje de arbeidsmarktkrapte in zijn algemeenheid en specifiek op dit thema, omdat het hot is en omdat de vraag naar mensen die hier iets mee moeten doen groter is geworden.

De heer Van Nispen (SP):

Dat is op zichzelf wel begrijpelijk, maar de conclusie blijft toch dat dit wel zorgelijk is, vooral als we zien dat het nog niet boetes regent. Dat zou ik ook niet willen; het is terecht dat dat niet gebeurt. Maar er staat bijvoorbeeld een brief op de agenda waarin de Autoriteit Persoonsgegevens Facebook onderzoekt. Mevrouw Helder had het daar ook over. Dat was al jaren terug. Wij hebben vorige week een rondetafelgesprek gehad, waarin we het ook hebben gehad over allerlei schandalen rondom Facebook. Facebook is vandaag ook weer genoemd. Het is volop in de actualiteit. Maar even los daarvan: de Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder. Ze moet vooral haar werk goed doen. De Minister hoeft wat mij betreft niet te reageren op casussen. Maar we hebben een privacywaakhond met tanden nodig, die juist ook voldoende is opgewassen tegen de grote techbedrijven. Ik heb gisteren al gezegd dat bij de Autoriteit Persoonsgegevens in totaal 120 mensen – dat is een heel kleine toezichthouder – bezig zijn met het controleren van het werk van 25.000 mensen die alleen al bij Facebook zo veel mogelijk data verzamelen. Dat is wel een contrast. En dan heb ik er nog maar één genoemd, zeg ik tegen de heer Verhoeven, die naast mij al zit te brommen. Dit even ter illustratie. We hebben een heel kleine toezichthouder. Ik maak me daar wel degelijk zorgen over als ik zie wat sommige grote techbedrijven doen als het gaat om activiteiten die de privacy schenden, ook van mensen in Nederland.

Minister Dekker:

Ik voel helemaal mee met de heer Van Nispen. Hij vraagt zich terecht af: zit daar nou voldoende menskracht om die taak goed uit te voeren? Ik zet daar graag tegenover dat bij het vroegere College bescherming persoonsgegevens 50 man zaten. Bij de autoriteit zitten er nu 120 of 130. Dat is echt een forse uitbreiding van de organisatie. Er ligt ook een internationaal vergelijkend onderzoek met een aantal andere Europese landen. Als ik het internationaal vergelijk, als ik bekijk of Nederland nu in de pas loopt als het gaat om de expertise en omvang van de toezichthouder, dan zie ik dat we eigenlijk toch wel behoren tot de kopgroep van een land of zeven, acht, wat betreft de uitrusting van de autoriteit en het op orde hebben van de regelgeving. Er zijn ook een aantal landen die hun hele UAVG-regelgeving überhaupt nog niet door het parlement hebben geloodst. Dat gezegd hebbende denk ik dat we er goed voor staan. Tegelijkertijd houden we een vinger aan de pols. Ik vind dit niet het goede moment om het te doen, omdat de Autoriteit Persoonsgegevens ook nog heel veel benaderd wordt met vragen, en we nu door een soort invoeringstermijn gaan. Maar over een jaar zou het stof toch een beetje moeten zijn neergedwarreld en zou je moeten kijken hoeveel klachten er binnenkomen, hoeveel onderzoeken er lopen, en of de capaciteit afdoende is om die taak waar te maken.

De voorzitter:

Gaat u verder. Pardon, er is nog een vraag van mevrouw Helder op dit punt.

Mevrouw Helder (PVV):

Dit is eigenlijk een beetje een voortzetting van de terechte interruptie van collega Van Nispen. Op de website van het AD stond net dat vier landen een schadevergoeding claimen voor Facebookgebruikers. Het komt er eigenlijk op neer dat ze € 200 per persoon van Facebook willen vorderen voor misbruik van persoonsgegevens. De Nederlandse Consumentenbond is aan het bestuderen of die zich hierbij aan kan sluiten. Nou is dat natuurlijk iets anders dan het toezicht dat de Autoriteit Persoonsgegevens uitvoert, maar ik wil toch eigenlijk wel een beetje voorkomen dat de Autoriteit Persoonsgegevens hiermee op achterstand komt te staan. Ik vraag het dus ook maar aan de Minister.

Minister Dekker:

Ik ken het artikel niet, maar ik vind het interessant. Ik verdiep me daar graag in. Misschien is het een goed idee om daarnaar te kijken.

Voorzitter. Dan ga ik naar big data. De WRR heeft alweer enige tijd terug een in mijn ogen heel mooi rapport afgeleverd, dat ook een mooie balans heeft gevonden. Aan de ene kant laat het zien welke kansen big data oplevert. Dat is echt geweldig om te zien. Ik ben iedere keer weer gefascineerd als ik zie hoe bijvoorbeeld het werk van politie en hulpdiensten met data-analyse effectiever kan worden gemaakt, of als ik in grote steden kijk wat de hotspots zijn en waar zich dingen gaan voordoen. Ik was laatst zelfs bij een aantal wetenschappers die lieten zien dat er in Flevoland werd geëxperimenteerd op basis van gegevensdata en verkeersdata. Ze konden bij wijze van spreken voorspellen waar op enig moment een ongeluk zou plaatsvinden, zodat er alvast een ambulance vooruit kon worden gestuurd. Dat klinkt heel erg gek, maar er werd een ambulance vooruitgestuurd omdat de kans heel groot was dat zich bij een combinatie van een aantal factoren incidenten zouden voordoen. Het is toch fascinerend om te zien welke kansen big data biedt. Dat vind ik echt fascinerend.

Aan de andere kant: dit hilarische ... Ja, ik had een ander voorbeeld moeten nemen.

De voorzitter:

Ik denk dat de commissie erg benieuwd is of dat ongeluk nou heeft plaatsgevonden of niet.

Minister Dekker:

Dat is de volgende stap. Dit is nog maar het begin. Aan de andere kant zitten er natuurlijk risico's aan big data. Daar moeten we ons ook bewust van zijn.

Laat ik beginnen bij het grote thema. Als je het hebt over deze ontwikkelingen, zou je dan niet moeten komen met één overkoepelende visie en één bewindspersoon die het totale spectrum overziet? Ik ben daar niet onmiddellijk heel enthousiast over. Waarom? Omdat alles wat met digitalisering en big data te maken heeft zo veel terreinen beslaat, dat het ingewikkeld is om het bij één bewindspersoon neer te leggen. Net als het internet raakt het ons allemaal. Big data raakt het Ministerie van Justitie, met thema's als de verwerking van persoonsgegevens. Het raakt het Ministerie van Volksgezondheid, als het gaat om de kansen en de bedreigingen die er daar zijn. Het raakt het Ministerie van Onderwijs. Het raakt eigenlijk alle ministeries. Het kabinet heeft wel gezegd: we vinden het goed om met een overkoepelende visie op digitalisering te komen om al die punten bij elkaar te halen, zodat er voor de Kamer in ieder geval een breed overzicht ontstaat van wat we doen op dat vlak. Op economisch gebied gaat het om kansen benutten. Als overheid gebruiken we het om onze eigen dienstverlening te verbeteren. Op het gebied van veiligheid gaat het om de harde kant van veiligheid. Dat valt onder Minister Grapperhaus als het gaat om cyber. Ik houd mij samen met collega Ollongren meer bezig met een aantal ethische vraagstukken rond dataverwerking en digitalisering. Ik denk dus dat we het met z'n allen gaan doen, maar we komen straks wel met een totaal verhaal.

Mevrouw Buitenweg (GroenLinks):

Ik zal maar één van mijn twee interrupties gebruiken, althans ik zal geen antwoord vragen, in de hoop dat u enigszins coulant wilt zijn, voorzitter. Dit is namelijk ook een verhelderende vraag. Wat is dan de rol van Minister Keijzer, sorry, Staatssecretaris Keijzer? Die doet digitalisering. Is dat geen overkoepelende functie?

Minister Dekker:

Ja, zij is daar ook bij betrokken. Zij is zelfs de trekker van die totaalstrategie, geloof ik. Maar zij doet dat met name vanuit haar verantwoordelijkheid naar de industrie en de sector toe. Dat gaat om het onderdeel economische kansen benutten: hoe zorgen we voor voldoende ICT'ers om bedrijven te helpen? Wat kunnen we doen om een aantrekkelijk vestigingsklimaat te hebben? Wat doen we bijvoorbeeld met de uitrol van mobiele datanetwerken en de overstap van 4G naar 5G? Dat zit dus heel erg op het economische terrein. Als het meer gaat om de veiligheidsonderdelen, dan zitten een aantal van die vraagstukken natuurlijk wat minder bij Economische Zaken en veel meer bij Justitie, en soms bij Binnenlandse Zaken, als het gaat om democratische vraagstukken.

De heer Van Dam (CDA):

Laat ik mijn tweede vraag stellen; dan bent u ook van mij af. Ik hoor de Minister spreken over iets wat er nog aan zit te komen, en ook over het feit dat hij zich met de ethische aspecten daarvan bezighoudt. Zou hij iets specifieker kunnen zeggen wanneer er dan iets aan zit te komen, en in hoeverre dat ethische wellicht in de buurt komt van mijn pleidooi voor dat waarden-en-normenverhaal?

Minister Dekker:

We werken er heel erg hard aan om nog voor de zomer met een strategie naar buiten te gaan. Dat ethische verhaal gaat eigenlijk over publieke waarden, over de vraag hoe digitalisering zich nou verhoudt tot die publieke waarden, en of dat wellicht extra waarden vraagt of aanpassing of uitwerking daarvan. Dat is een onderdeel dat daarin wordt geagendeerd. Dat zit er dus zeker in. De vraag is: brengt digitalisering nu nieuwe waarden met zich mee? Dan wordt het echt interessant. Dan gaan we de diepte in. De waarden die voor een deel verankerd zijn in onze Grondwet, het gelijkheidsbeginsel, de vrijheid van meningsuiting en noem maar op, zijn haast techniekneutraal. Die zouden ook in de digitale wereld moeten gelden. Dan is de vraag alleen hoe je dat doorvertaalt naar normen. Dat deed de heer Van Dam interessant, vond ik. Je hebt waarden, en je hebt ook een nieuwe realiteit en technologische ontwikkelingen. Wat moet je dan doen om discriminatie te voorkomen? Hoe bied je gelijke kansen in een steeds verder digitaliserende wereld? Hoe zorg je voor een eerlijk proces en een eerlijke behandeling als mensen straks misschien veel meer ondersteund worden door machines of gedigitaliseerde processen? Dat is de doorvertaling naar normen. Als je die doorvertaling naar normen maakt, wordt het ook alweer heel sectorspecifiek. Neem de journalistiek, onder de verantwoordelijkheid van collega Slob bij het Ministerie van Onderwijs. Daar is de vraag: hoe zorg je voor vrije nieuwsgaring? Dat is echt weer een ander iets dan mijn eigen onderwerp, waar de vraag is: hoe zorg je voor een goede bescherming van persoonsgegevens?

De voorzitter:

Heeft u nog een vraag, meneer Van Dam? Nee? Dan ga ik naar meneer Verhoeven.

De heer Verhoeven (D66):

Dit is wel een interessante discussie, maar ik wil de Minister nog iets vragen. We hebben het nu de hele tijd over waarden. Volgens mij zijn de grootste vraagstukken die voortkomen uit de nieuwe mogelijkheden die nieuwe technologieën bieden, heel erg gebaseerd op de wijze waarop je verschillende waarden tegen elkaar afweegt. De bekendste discussie in dat opzicht is die over veiligheid versus privacy. Iedereen vindt privacy belangrijk en iedereen vindt veiligheid belangrijk, als je ernaar vraagt. Maar op het moment dat we ze moeten gaan afwegen, in een systeem waarin overheden met allerlei nieuwe technieken veel meer data kunnen verzamelen en verwerken om meer van mensen te weten te komen die misschien een aanslag gaan plegen, dan krijg je een discussie. Dan blijkt dat CDA en D66 heel ver uit elkaar kunnen liggen, maar het op andere momenten juist heel erg met elkaar eens zijn. Gaat het kabinet ook op die manier de diepte in? Anders komt het een beetje neer op: we hebben een waarde; daar koppelen we nieuwe normen aan en daar doen we een beetje technologie bij, huppakee, klaar. Dan is het geen discussie. Dan is het niks. Het gaat om de weging van verschillende waarden die tot nieuwe dilemma's in de samenleving leiden. Dat zou wat mij betreft de diepte zijn die echt tot een waardige en waardevolle discussie leidt over waarden.

Minister Dekker:

Ja, ik denk zeker dat ook wij als kabinet over dat soort dingen nadenken en uitspraken zullen doen. Het wordt natuurlijk altijd spannend zodra het wordt geconcretiseerd. Net zomin als dat we hier theoretisch de discussie kunnen beslechten over de vraag wat belangrijker is, veiligheid of privacy, zal het in de digitale wereld, zolang het een theoretische discussie blijft, niet onmiddellijk tot een uitkomst leiden. Het is toch altijd de vraag of je in de «oude wereld» bereid bent om camera's in de openbare ruimte toe te staan om het werk van de politie makkelijker te maken of dat je dit een te sterke inbreuk op de persoonlijke levenssfeer vindt. Dan wordt het concreet. Dan denk ik ook dat partijen er anders over zullen denken. Datzelfde geldt natuurlijk ook in de digitale wereld. Hoever ben je bereid te gaan om met geautomatiseerde analyses, datavergaring en koppeling van data een bijdrage te leveren aan het voorkomen van bijvoorbeeld fraude? En wanneer vind je dat dit een inbreuk is op? Ik denk dus dat die discussie zich materialiseert in de specifieke thema's, onderwerpen. Want ook in de generieke wet- en regelgeving die we nu hebben, zijn ze nevengeschikt. Kijk naar onze Grondwet: daar staan ze allemaal in. Ook dan zijn ze soms tegenstrijdig. Er is geen voorkeur aangebracht waardoor het ene artikel of de ene waarde altijd boven de andere gaat.

De voorzitter:

Gaat u verder.

Minister Dekker:

Voorzitter. Van de visie, het grote vraagstuk, de waarden, naar de vraag hoe dat concreet uitwerkt in een aantal zaken. Laat ik bijvoorbeeld een antwoord geven op de vraag die de heer Koopmans stelde. Hoe wordt gezocht naar de praktische bescherming van databestanden? Het delen en stelen van gegevens kan, als je niet oppast, ook makkelijk ongezien gebeuren. Dit vraagt iets van twee partijen, allereerst van degene die zijn gegevens geeft of die gebruikmaakt van bepaalde apps, door gebruik te maken van de mogelijkheid die je hebt om een en ander te beveiligen. Denk aan een goed wachtwoord, desnoods in twee of drie stappen. Ook daar valt nog echt wel wat aan te verbeteren. Het gaat om het voorlichten van mensen: let op, het is makkelijk om bij je in te breken. Dat gebeurt nu ook met voorlichtingscampagnes. Dat is heel erg belangrijk.

Aan de andere kant vraagt het van degene die de data beheert dat het op een zorgvuldige manier gebeurt. Gevoelige gegevens worden in het algemeen versleuteld. Het is de verantwoordelijkheid van de dataeigenaren om erop toe te zien dat dit ook daadwerkelijk gebeurt.

De rijksoverheid heeft een beveiligingsstelsel ingericht dat op hoofdlijnen langs een aantal lijnen loopt. Zo is er het Voorschrift Informatiebeveiliging Rijksdienst. Dat stelt het uitvoeren van een risicoanalyse, bijvoorbeeld van informatiesystemen, verplicht. Dan is er eenzelfde richtlijn die toeziet op bijzondere informatie. Die regelt dat de beveiliging van informatie met een hoger rubriceringsniveau nog zwaarder is geregeld. Denk aan een staatsgeheim. Het Rijk heeft een best practice met maatregelen voor informatiebeveiliging, de Baseline Informatiebeveiliging Rijksdienst, ontwikkeld. Die is gebaseerd op de internationale ISO-norm. Rijksbreed is de toepassing van die BIR, die informatiebeveiliging, ook als een minimumvereiste opgenomen.

Sinds 2013 zijn voor de verwerking van persoonsgegevens binnen de Rijksdienst het uitvoeren van privacy-impactassessments verplicht. Dat levert dus ook al een soort inzicht op in alle risico's die er zijn. De Rijksdienst heeft in 2017 een AVG-compliant versie daarvan uitgegeven. Daar is ook weer een update van gegeven. Daarna komt de hele trits van de dingen die ik zonet noemde, dus de dingen die wij doen vanuit het Ministerie van Justitie en de dingen die nu door de AVG gevraagd worden, zoals de functionaris gegevensbescherming, de beveiligingsambtenaar, de corporate information security officer en een CIO, en de hele trits om dat proces in ieder geval intern te bewaken.

Hoe goed zijn we dan beveiligd tegen spionage door andere landen?

De heer Koopmans (VVD):

Excuus van mijn kant, maar ik merk dat de Minister doorgaat naar het volgende element. Dank voor de beantwoording van mijn vraag over het delen en stelen in het algemeen en vervolgens specifiek bij het Rijk. Maar ik vraag ook aandacht voor alle andere organisaties en bedrijven, personen zelfs, die data verzamelen. Ik geloof graag dat het Rijk daar heel goede waarborgen voor heeft, maar hoezeer letten wij er ook op dat Albert Heijn dat doet? Of de visvereniging? Er zijn zo veel organisaties die er misschien niet zo veel aandacht voor hebben. Maar los van de aandacht zijn er misschien ook niet genoeg instrumenten om te zorgen dat deze organisaties hun data goed beveiligd hebben. Dat is mijn vraag.

Minister Dekker:

Maar daarvoor geldt met de nieuwe AVG wel een zwaarder vereiste. De Autoriteit Persoonsgegevens ziet daarop toe. In ieder geval is er de mogelijkheid om daar waar er sprake is van verwaarlozing of onzorgvuldig handelen, zeer hoge boetes op te leggen. Dus voor organisaties die met veel persoonsgegevens te maken hebben is er dus zeker een heel groot belang om het goed te regelen. Als het fout gaat, als er sprake is van privacy-lekken hebben ze ook de plicht om dat te melden en te corrigeren. De wet schrijft dus niet tot op detailniveau voor hoe iedere organisatie dat moet doen. Ik gaf net even een inkijkje in hoe wij het hebben geregeld. Maar linksom of rechtsom, het maakt mij niet zo vreselijk veel uit, als het maar gebeurt.

De voorzitter:

De heer Koopmans nog? Nee.

Minister Dekker:

Voorzitter. Het opzettelijk stelen van gegevens is zeker een zorg. Dat zit heel erg op het terrein van cybersecurity, waar mijn collega zich mee bezighoudt. In de dreigingsrapporten en de dreigingsrapportage zie je dat al langer wordt aangegeven dat er statelijke actoren zijn die zich schuldig maken aan spionage, soms met een economisch motief en soms met een meer politiek motief. Dat vraagt dat we heel erg kritisch zijn op de beveiliging van producten van sommige leveranciers. Hoe zit het daarmee? Kaspersky is daar denk ik een goed voorbeeld van. Mijn collega heeft daarover gezegd dat we die als overheid in ieder geval niet meer gaan gebruiken. Maar ook bij de apparaten in the Internet of Things, in de manier hoe de dingen verbonden worden, is het belangrijk om te kijken of je een en ander kunt standaardiseren en aan bepaalde eisen kunt voldoen.

In de agenda die Ferd Grapperhaus onlangs heeft gepresenteerd, zit ook een roadmap voor het digitaal veilig maken van hard- en software, om in ieder geval het risico op welbewuste inbraak en diefstal van gegevens verder te minimaliseren.

De heer Koopmans (VVD):

Mag ik het zo concreet vragen: moeten degenen die een tablet hebben gekocht veronderstellen dat de Chinese overheid weet waar die tablet op dit moment in hun woonkamer in Zoetermeer ligt? Of laat ik niet Zoetermeer zeggen, maar een andere onverdachte plaats noemen: Deventer. Ik weet niet of de Minister een iPhone of een Samsung of iets anders heeft, maar moeten we ervan uit gaan – stel dat het een iPhone is – dat de NSA ook op ieder moment kan weten waar de Minister zijn telefoon heeft liggen? Of is dat niet zo?

Minister Dekker:

Dan ga ik een beetje buiten mijn ... Dan ga ik speculeren en dat lijkt me juist bij dit soort onderwerpen onverstandig. Ik zou het wel hoogst ongewenst vinden als dit het geval is. Als wij het vermoeden hebben van dit soort dingen, weet ik zeker dat de diensten, de NCTV en andere diensten die zich hiermee bezighouden, daar natuurlijk scherp op zullen zijn.

De heer Koopmans (VVD):

Ik vroeg het een beetje buiten de orde, want de individuele data van de iPhone van de Minister zijn natuurlijk niet big data. Maar in mijn eerdere bijdrage noemde ik ook de lantaarnpalen, die naar ik heb begrepen door diverse gemeenten worden verkocht. Die worden dan op de een of andere manier geleased door instellingen of consortia, die dat bijvoorbeeld samen doen met – ik noem het maar weer – Huawei. Ik wil niet specifiek bedrijven verdacht maken, maar toch. Hierdoor worden de data over wie er langs een lantaarnpaal loopt, met zijn telefoon met wifitracking of zo, opgeslagen. Die worden dan ergens met een bedrijf gedeeld en gaan dan mogelijk naar het land waar dat bedrijf zit. Dat is wel big data. Mijn vraag is dan toch of we daar een bigdatazorg over moeten hebben. Zo ja, hoe worden we dan beschermd?

Minister Dekker:

Voor wifitracking is er een wettelijk kader. Daar houdt de AP toezicht op. Iedereen moet daaraan voldoen. U vraagt naar dingen die in het geheim gebeuren, die eigenlijk niet mogen. Dan is er bij wijze van spreken echt sprake van spionage. Als we daar weet van hebben, moeten de desbetreffende veiligheidsdiensten daarop handelen. Als we er weet van zouden hebben, denk ik niet dat ik het hier zou zeggen, maar dan zijn er wel andere mensen mee bezig. Ik zie uw punt. We lezen ook allemaal terug, voor een deel ook in onze eigen rapportages, dat hier wel zorgen zitten. Maar goed, de heer Koopmans kan niet van mij verwachten dat ik er in een algemeen overleg eens openlijk over ga speculeren.

De voorzitter:

Gaat u verder.

Minister Dekker:

Voorzitter. Mevrouw Buitenweg stelde een vraag over Europa versus Amerika. Moeten we mensen niet zelf stimuleren om hun data te beschermen? De grote databedrijven vallen namelijk mogelijk niet onder de AVG. Ik geloof dat dat het was.

Mevrouw Buitenweg (GroenLinks):

Mag ik de vraag herformuleren?

De voorzitter:

Dat mag. Gaat uw gang.

Mevrouw Buitenweg (GroenLinks):

Het gaat mij om het volgende. De grote datagiganten zijn in Amerikaanse of Chinese handen. Mijn vraag is of er weleens wordt nagedacht over een strategie om te zorgen dat datgene wat het nieuwe goud genoemd wordt, of het goud van de nieuwe economieën, ook in Europese handen blijft. Ik heb deze vraag ook aan premier Rutte gesteld bij het debat over de Europatop. Denkt het kabinet hier ook over na, voordat we alle gegevens bij Amerikaanse bedrijven laten landen?

Minister Dekker:

Dat is wel iets waarover wordt nagedacht. Laat ik een voorbeeld uit mijn vorige leven pakken. In de wetenschap wordt veel met data-analyse gewerkt. Veel van onze discussies in de Competitiveness Council, de Raad Concurrentievermogen, gingen over de vraag of we in Europa niet ook een eigen cloud, een dataopslagvoorziening, zouden moeten hebben om over bepaalde cruciale data zelf het eigenaarschap, de zeggenschap, te behouden. Daar wordt dus zeker over gesproken, maar dat heeft er niet onmiddellijk toe geleid dat we op Europees grondgebied een eigen grote dataopslagfabriek gaan ontwikkelen. Ik zat even te zoeken naar aanleiding van uw Whatsappideeën, over de politie die een Whatsappgroep gaat maken. Dat zijn natuurlijk heel handige tools die een bijdrage kunnen leveren. Gebruikers moeten instemmen met wat ze wel of niet willen delen. Dat voldoet aan de AVG. Ik vraag me dan af wat het risico is als we dat zouden doen. Dat is een beetje hoe ik erin zit.

Mevrouw Buitenweg (GroenLinks):

Ik zeg niet dat het gelijk om allerlei heel geheime, grootse data gaat, maar het risico bestaat dat op een gegeven moment heel veel data in handen van bedrijven zijn die niet onder de Europese ordening vallen. Wat betekent dat op de langere termijn? Het is heel goed om te weten dat daarover gesproken wordt in de Raad Concurrentievermogen. Ik hoop dat opnieuw bekeken wordt wat we daar eigenlijk van vinden. In Europa wordt momenteel ook gesproken over het Meerjarig Financieel Kader. Willen we toch niet meer gaan investeren in een eigen opslag op Europese bodem? Ik zeg niet dat de Amerikanen permanent de hele tijd in alle data aan het inbreken zijn, maar wel dat het op een gegeven moment uit je handen is. Wat is de betekenis daarvan voor onze economie in 2050? Dat is iets waar het kabinet juist nu al over moet gaan nadenken.

Minister Dekker:

Ik weet zeker dat wij bereid zijn om daarover na te denken. Het spannende of ingewikkelde hieraan is natuurlijk dat het geen overheidstaak is om die datastorage te doen. Ook in Amerika gaat het om private bedrijven die een dienst aanbieden. Ik vind het dus heel jammer dat Europa voor een deel misschien de slag heeft gemist om goede en grote tegenhangers daarvan op zijn grondgebied te hebben, maar in heel veel van dit soort discussies ging het er vaak om dat we op ons eigen grondgebied ook wel een Amazon, een Google met grote warehouses en cloudvoorzieningen zouden willen hebben. Maar om dat nou door een overheid te laten faciliteren en te laten opzetten, is ook weer een enorme stap. De overheid is immers geen bedrijf. Daar zit wel de spanning.

De voorzitter:

Gaat u verder.

Minister Dekker:

Dan de vraag over kleine en grote spelers in relatie tot big data. Er zijn heel grote bedrijven die heel weinig persoonlijke gegevens verwerken en er zijn heel kleine bedrijven die met heel veel persoonlijke gegevens werken. Het mooie aan de AVG vind ik zelf dat zij uitgaat van een risicogericht en risicogestuurd regime: naarmate je meer verwerkt, moet je ook meer doen, los van hoe groot je bent.

Ook het gebruik van data voor wetenschap en journalistiek valt onder de AVG. De AVG bevat de verplichting dan wel de mogelijkheid om voor deze doeleinden een aantal uitzonderingen of afwijkingen vast te stellen. Die zijn ook opgenomen in de uitvoeringswet die we onlangs hebben aangenomen. Bij de verwerking van data voor journalistieke doeleinden geldt dus niet het recht om een eenmaal gegeven toestemming in te trekken. Dat zou interfereren met het idee van vrije nieuwsgaring. Bij het verwerken voor wetenschappelijke doeleinden geldt bijvoorbeeld niet het recht op inzage. De autoriteit houdt ook toezicht op de verwerking voor deze doeleinden en het is aan haar als volledig onafhankelijk toezichthouder om te bepalen of dat ook echt effectief is.

Dan transparantie. Hoe moet dat worden geregeld of afgedwongen? Alle woordvoerders stelden daar een aantal vragen over. Het uitgangspunt, dat ook ik onderschrijf, is dat algoritmes zo transparant mogelijk zijn. De overheid kan hierbij het voortouw nemen en zelf zo transparant mogelijk zijn, met in ieder geval de algoritmes die ze zelf gebruikt. De verschillende departementen moeten daarvoor zelf passende maatregelen treffen. Qua eisen aan transparantie van algoritmes staat het in ieder geval de aanbestedende overheidsdiensten vrij om eisen te stellen aan bedrijven als het gaat om het bieden van transparantie in de formules en algoritmes die ze gebruiken. Daarbij verwijs ik graag naar een datatoolbox die bij het Ministerie van Justitie is ontwikkeld met onder andere een aantal richtlijnen die eraan moeten bijdragen dat algoritmes die de overheid gebruikt ook voldoende inzichtelijk zijn voor toezichthouders en rechterlijke controle. Daarnaast zal de circulaire «inzicht in algoritmen» worden opgesteld, die informatie geeft over voldoende inzicht in algoritmes.

De heer Verhoeven (D66):

Was dit het over algoritmes? Dan zou ik graag een vraag willen stellen.

De voorzitter:

Ja, ga uw gang.

De heer Verhoeven (D66):

De Minister heeft dat al geschreven, maar hij zegt nu ook mondeling tegen Kamerleden dat het zo veel mogelijk moet en dat het bij het aanbesteden vrijstaat om dit te doen. Ik ben op zoek naar iets absolutere bewoordingen, want hier gaat het toch wel om een vrij fundamenteel onderdeel van de discussie, namelijk de controleerbaarheid van en de grip op besluitvorming die deels of geheel geautomatiseerd plaatsvindt. Een aantal woordvoerders heeft het voorbeeld van SyRI genoemd. Ik vind toch dat we hier een iets steviger standpunt over moeten innemen. Ik begrijp best dat dat allemaal in stappen gaat en dat het allemaal ingewikkeld is, maar het voorbeeld van New York, dat ook mevrouw Buitenweg aanhaalde, vond ik wel interessant. Ik had in de afgelopen week een discussie met wat mensen die ook dat voorbeeld van New York aanhaalden; dat wordt dus blijkbaar op meerdere fronten genoemd. Zou de Minister daar dus iets verder op in willen gaan?

Minister Dekker:

Dit is een terrein dat we zelf nog aan het verkennen zijn. Het voorbeeld van New York, aangehaald door mevrouw Buitenweg, vind ik interessant. Ik ken het niet, maar ik ben heel nieuwsgierig en bereid om te kijken wat het is en of we daarvan kunnen leren.

Bij het transparanter maken van algoritmen gaat het vaak om heel ingewikkelde digitale besluitvormingsformules. Dat is precies het punt, maar dat heeft wel zijn nut: hoe beter de algoritmes worden, hoe ingewikkelder ze worden, zeker met kunstmatige intelligentie. Omdat algoritmen daarbij weer zullen veranderen omdat ze zelf leren, wordt het alleen maar ingewikkelder. Transparantie als uitgangspunt: ja, maar in de praktijk zul je zien dat het een ingewikkelde kwestie is en in ieder geval voor de doorsneeburger misschien ook wel deels ondoorgrondelijk is. Dat laat onverlet dat je van toezichthouders en rechters, als dat soort zaken in het geding zijn, wel bepaalde kennis mag veronderstellen zodat ze dat kunnen toetsen.

Twee is dat er gevallen zijn waarin algoritmen worden gebruikt waarbij het misschien niet wenselijk is om daar openheid over te geven. De AVG biedt daar ook een grondslag voor. Artikel 23 geeft de ruimte om de transparantie te beperken, bijvoorbeeld met het oog op toezicht en handhaving. Daar is in onze ogen bij SyRI sprake van, hoewel daarover nu debat ontstaat en er volgens mij inmiddels een zaak loopt.

De voorzitter:

Dit zou uw derde interruptie zijn, mevrouw Buitenweg, maar de heer Verhoeven is nog bezig.

Mevrouw Buitenweg (GroenLinks):

Ik heb er twee gehad.

De voorzitter:

Ik dacht dat u nog een keer wilde. Dat mag, maar ik wijs u wel op de tijd. Over drie kwartier moeten we dit wel beëindigen. Meneer Verhoeven, gaat u verder.

De heer Verhoeven (D66):

Ik had toch nog een vervolgvraag?

De voorzitter:

Zeker. Ga uw gang.

De heer Verhoeven (D66):

U was al weer zover vooruit, voorzitter. Zo ken ik u. Ik wilde hierover nog iets aan de Minister vragen. Ik snap heus wel wat hij zegt. Ik merk ook wel in de reactie op het WRR-rapport en in de debatten dat het kabinet hier serieus mee bezig is. In de jaren tachtig hebben psychologen zeer overtuigend aangetoond: experts hebben allemaal meningen, maar eigenlijk kun je veel beter naar kale feiten kijken, die op de juiste manier rubriceren, want dan krijg je betere voorspellingen. Psychologisch onderzoek uit de jaren tachtig heeft dat overtuigend aangetoond. Dat was toen fantastisch; dan hoefden we niet meer naar de meningen van experts te luisteren, dan konden we eindelijk naar data gaan luisteren. Nu, dertig jaar later, zijn we zo ver dat ik denk dat de formules die gemaakt worden niet alleen heel complex zijn, zoals de Minister terecht stelt, maar dat er ook heel veel menselijke, vooringenomen aannames in zitten, die leiden tot discriminatie, uitsluiting, biases, zoals dat in de psychologie wordt genoemd. We zijn dus van de meningen van experts naar de vooringenomenheid van de programmeurs gegaan. De klepel is dus weer te ver naar de andere kant doorgeslagen en we moeten weer een klein beetje terug. De Minister is nu in de positie om die klepel een beetje terug te laten slaan.

De voorzitter:

Kunt u uw vraag stellen?

De heer Verhoeven (D66):

Ik wil de Minister oproepen om daar echt serieus mee aan de slag te gaan, en meer te doen dan – ik zeg het netjes – circulaires op te stellen en de woorden «staat vrij» en «verkennen» enzovoorts te gebruiken.

Minister Dekker:

Het is niet zo dat we het erbij laten; we staan niet stil. In antwoord op het WRR-rapport heeft mijn voorganger aangegeven, en wij zetten dat voort – op al die tien punten in het proces is echt voortgang geboekt – dat wij graag een aantal uitgangspunten verder uitwerken: uitlegbaarheid, auditeerbaarheid, zodat er toezicht gehouden kan worden, verantwoording, validatie, de kwaliteit van data die gebruikt wordt. Want als daar al fouten in zitten, heb je al onmiddellijk een bias. Daarmee is op dit moment een brede werkgroep bezig, waarvan ik verwacht dat die rond de zomer met een eerste uitwerking en de aanwijzing van een aantal van die voorwaarden komt. Dan zijn we weer een stapje verder in het beantwoorden van de vraag hoe je dat soort dingen omzet in normen.

Verder ligt er een uitspraak van de Afdeling bestuursrechtspraak van de Raad van State in de zogeheten PAS-zaak, die in ieder geval voor de overheid heeft aangegeven dat keuzes die eventueel met algoritmen zijn gemaakt voldoende inzichtelijk moeten zijn om getoetst te kunnen worden. Wat dat betreft ligt er dus ook een rechtelijke uitspraak die ons aanzet en ons dwingt om hier concrete meters in te maken.

De voorzitter:

Mevrouw Buitenweg, u weet zeker dat u uw derde interruptie gaat gebruiken? Gaat uw gang.

Mevrouw Buitenweg (GroenLinks):

Ik vind het gewoon niet goed genoeg. De Minister zegt: we doen heus wel wat, we zijn er heus wel mee bezig en we gaan ernaar kijken. Twee jaar geleden zijn die tien actiepunten geformuleerd, waaronder: «Het kabinet zal onderzoeken hoe voor toezicht en rechterlijke toetsing voldoende inzicht kan worden gegeven in gebruikte algoritmen en analysemethoden». Dan moet er toch zo langzamerhand iets op tafel liggen? Het gaat wat mij betreft ook niet alleen om een rechter, want ook als burger moet je natuurlijk begrijpen wat nou tot een bepaald besluit heeft geleid. Ik hoef toch niet eerst elke keer naar een rechter te gaan om te begrijpen waarom de gemeente of de rijksoverheid tot een bepaald besluit is gekomen? Ik wil dus een agenda met wat u nu aan het onderzoeken bent, omdat ik denk dat we hier een veel strakkere regie op moeten voeren. Zie het voorbeeld van New York, waar we een andere keer op terug kunnen komen. Een van de zaken is dat we onderzoeken hoe de besluitvormingsprocessen voor het publiek begrijpelijk kunnen worden gemaakt, omdat dat een taak is van de overheid. Als we vertrouwen willen houden, moeten mensen begrijpen hoe wij tot besluiten kunnen komen. Ik wil dus eigenlijk een overzicht. De Minister heeft dat gegeven in verband met het modern ouderschap. Misschien is het ook in dit verband goed als de Minister op een rijtje zet wat hij, in welke tijdsspanne, aan het onderzoeken is.

Minister Dekker:

Laat ik dit doen. Aan de ene kant begrijp ik het ongeduld van mevrouw Buitenweg, maar aan de andere kant geef ik net aan dat we verwachten dat die werkgroep rond de zomer – die lijkt buiten al aangebroken – met een aantal concrete aanwijzingen komt hoe je een aantal van die waarborgen kunt omzetten in wettelijke regelingen. Daar kom ik dus sowieso mee terug. Ik vind het helemaal niet erg om dan meteen ook te zeggen wat de voortgang is op al die andere punten die uit dat WRR-rapport voortvloeien. Dus laat ik die gelegenheid maar direct benutten.

De voorzitter:

Gaat u verder.

Minister Dekker:

Voorzitter. Dan zijn er nog een aantal heel specifieke vragen gesteld over lopende dossiers. Mevrouw Helder stelde de vraag welke sectorale wetgeving moet worden aangepast om data-analyse te regelen. Dat valt niet vooraf precies te zeggen. Het ligt voor de hand om algemene bepalingen op te nemen in de UAVG. Als in aanvulling daarop een regeling moet worden getroffen voor een bepaald beleidsterrein, moet de wetgeving die voor dat beleidsterrein geldt worden aangepast. Dat is ook de manier waarop het op dit moment gebeurt. Zo bevatten de AVG en de UAVG de algemene regels over de verwerking van persoonsgegevens en bevat bijvoorbeeld de VWS-wetgeving nadere regels over de verwerking van medische gegevens. Dat is steeds de lijn.

Mevrouw Helder vroeg ook waarom er in de UAVG nu al een nadere regeling moet worden opgenomen over data-analyse. De AVG biedt die ruimte om hierover regels te stellen. Dat is nog niet gedaan. Dat heeft ermee te maken dat we bij de invoering van de UAVG gekozen hebben voor een beleidsneutrale implementatie. In de tweede plaats is op dit moment nog niet helder hoe die regels precies ingevuld zouden moeten worden. Dat is ook een beetje het vraagstuk van de schuivende panelen waar ik het zojuist over had.

Wanneer is bij geautomatiseerde individuele besluitvorming menselijke tussenkomst nodig? Die vraag was mede ingestoken vanuit PNR. In veel gevallen gaat het om de uitoefening van gebonden bevoegdheden op basis van objectieve, in de wettelijke regeling vastgestelde kenmerken. Denk bijvoorbeeld aan het volledig geautomatiseerde proces waarin een camera een snelheidsovertreding constateert, het kenteken vastlegt en die gegevens doorgeeft, waarna men een envelop op de mat vindt. In dergelijke gevallen voegt menselijke tussenkomst voorafgaand aan de beslissing niet zo vreselijk veel toe. Wel moet het uiteraard ook mogelijk blijven om achteraf beroep en bezwaar in te stellen. Als op bepaalde algemene kenmerken of groepskenmerken wordt geprofileerd, dus niet specifiek op het individu maar op de groep, zal wel altijd menselijke tussenkomst vereist zijn, al was het maar om zogeheten false positives uit te sluiten. Voor PNR gelden weer specifieke waarborgen, die in de regeling zitten die u vast met mijn collega Grapperhaus gaat bespreken.

Mevrouw Helder vroeg of het nog gaat lukken om de nota van wijziging inzake het wetsvoorstel bewaarplicht naar de Raad van State te sturen. Ik kan aangeven dat daar ongelofelijk hard aan wordt gewerkt en dat collega Grapperhaus nog steeds zijn best doet om die nota van wijziging inderdaad nog dit voorjaar naar de Raad van State te sturen, maar harde garanties in het leven bestaan natuurlijk nooit.

Wat gebeurt er met aanbeveling 10 van de WRR over uitbreiding van de rechterlijke toetsing van burgers en belangenorganisaties? De WRR constateert dat individuele burgers en belangenorganisaties te weinig mogelijkheden hebben om waar het om de toepassing van big data gaat, een uitspraak van de rechter te vragen als er sprake is van individuele schade. De WRR adviseert om met het oog hierop de positie van burgers en belangenorganisaties te versterken. Daartoe is het WODC in stelling gebracht. Dat besteedt weer een onderzoek uit bij de universiteit van Tilburg om te kijken wat er kan. De verwachting is dat dit onderzoek dit najaar gereed is. In dat onderzoek wordt gekeken of de mogelijkheid bestaat om knelpunten die zijn ontstaan door technologische toepassingen aan de rechter voor te leggen, ook in die gevallen waarin onduidelijk is of en, zo ja, in welke mate een belang wordt geschaad. Daarbij wordt ook gekeken naar rechtsvormen in andere landen die als inspiratie kunnen dienen voor de Nederlandse praktijk.

Voorzitter. Tot slot zijn er een aantal vragen gesteld over de grote techbedrijven, zoals Facebook, Google en Microsoft, als het gaat om de verwerking van persoonsgegevens. Het zijn ontegenzeggelijk allemaal heel nuttige diensten die worden verleend, maar met de hoeveelheid aan data die daarbij wordt gebruikt, zitten daar ook weer risico's aan vast. Ik heb vorige week met een aantal van deze bedrijven om tafel gezeten om van hen te horen wat ze hebben gedaan om klaar te komen voor de AVG, maar ook over een aantal dingen die er nog aan zitten te komen. Wat betekent bijvoorbeeld de steeds verdere doordringing van spraak- en gezichtsherkenning voor persoonsgegevens en onze privacy? Met welke dilemma's worden wij straks geconfronteerd? Dat is onder andere een thema waar ik later in het najaar op terug zal komen in reactie op de nota van de heer Koopmans.

Specifiek stelde mevrouw Helder de vraag over het onderzoek dat loopt naar Facebook. Daarover heb ik navraag gedaan bij de AP. De autoriteit verwacht binnenkort met nieuws hierover te komen. Maar in de verhoudingen is het denk ik goed dat ik mij daar niet over uitlaat en dat ik daar niet over ga speculeren. Ik weet ook gewoon niet waar ze mee komen. Dat is aan hen. Zo hoort dat. Het betreft overigens een zaak die al eind 2014 is gestart en waar begin 2017 een gedeeltelijke afronding op is gekomen. Dat betekent wel – dat is in de UAVG ook zo geregeld – dat bij lopende zaken nog de oude wetgeving geldt, dus niet de nieuwe AVG. Dit zal onder de oude Wet bescherming persoonsgegevens worden afgewikkeld.

Wat brengt de AVG aan veranderingen voor grote techbedrijven? De belangrijkste verandering is dat ze gewoon ook aan de wet moeten voldoen: de AVG. Dat betekent dat zij toestemming moeten vragen en dat die actief moet worden gegeven. Dat betekent dat stilzwijgend toestemmen of inactiviteit niet gelden als toestemming. Ook reeds aangekruiste vakjes gelden niet als toestemming. Die toestemmingsvraag moet specifiek betrekking hebben op de gegevensverwerking en mag dus niet, zoals vroeger wel gebeurde, worden verstopt in de kleine lettertjes. Het is uiteindelijk aan de autoriteit, desnoods op basis van klachten van burgers, om te kijken of dat goed gebeurt. Als dat niet goed gebeurt, lopen dit soort bedrijven risico's op boetes of andere vormen van handhaving.

Voorzitter. Ik ben volgens mij door het grootste deel of zo niet alle vragen heen.

De voorzitter:

Ik kijk nog even of de commissieleden dat ook zo zien. Ik zie instemmend geknik, maar de heer Van Nispen heeft nog een interruptie.

De heer Van Nispen (SP):

We kunnen alles in de tweede termijn doen, maar ik mis toch nog het antwoord op de vraag of er niet iets meer sturing zou kunnen plaatsvinden. Ik begrijp dat dit een ingewikkeld gebied zou kunnen zijn, hoor. Maar kunnen mensen niet altijd op dezelfde manier geïnformeerd worden, zodat ze weten hoe ze ergens ja of nee tegen kunnen zeggen en waar ze dan precies wel of niet mee instemmen? Ik begrijp dat dit iets van de markt is, maar zou de overheid niet kunnen werken met een soort modellen waardoor het voor mensen wel makkelijker en privacyvriendelijker wordt? Welke rol ziet de Minister daarbij voor de overheid?

Minister Dekker:

Dit is interessant en relevant. Ze moeten het in ieder geval allemaal goed doen. Ik weet niet of het goed is als de overheid precies gaat voorschrijven hoe dat moet gebeuren. Laat ik een voorbeeld geven. Ik zat vorige week met die grote bedrijven om tafel. Aan tafel werd zo ongeveer opgeboden over wie het beste, het meest klantvriendelijke en het meest inzichtelijke privacydashboard had. Ik denk dat dit drie, vier jaar geleden ondenkbaar was geweest. Er wordt nu ook echt gezien, ook op dit onderdeel, dat het erom gaat dat je dit zo goed en zo gebruikersvriendelijk mogelijk moet proberen te maken. Enige concurrentie maakt dit misschien ook wel beter. Aan de andere kant – daar voel ik wel met u mee – kan het soms enorm helpen, bijvoorbeeld als het gaat om het recht op vergetelheid, dat toch een ingewikkeld proces is, om met die bedrijven om tafel te gaan om te bespreken of dit niet een op de andere manier kan worden geprotocolleerd. Kunnen we dat niet op zo'n manier doen dat burgers dat ook weten en snel een ingang hebben, zodat dit een beetje gestandaardiseerd verloopt? Dit is wel degelijk onderwerp van gesprek. Ik kreeg ook wel de indruk dat in ieder geval deze bedrijven er wel oren naar hadden om daar eens met ons over door te praten, zodat het wel op de een of andere manier kan worden geüniformeerd. Ik weet dat dit niet een soort richtlijn is met het antwoord: we gaan het wel doen of we gaan het niet doen. Maar ik zeg het om even te laten zien dat de wet de wet is. Zij moeten dat zo inzichtelijk en goed mogelijk doen. Laat ze mekaar daar ook maar een beetje op uitdagen. Maar bijvoorbeeld bij het uitvoeren van bepaalde rechten, zoals het recht op vergetelheid, kan men het wel iets systematiseren.

De heer Van Nispen (SP):

Als de Minister voorzichtig zegt dat hij zich daar wat bij kan voorstellen, kan hij er dan op enige termijn op terugkomen in brieven naar de Kamer wat dit denkproces heeft opgeleverd wat betreft toestemming? Het kan er wel op lijken dat men tegen elkaar opbiedt en dat de een nog privacyvriendelijker is dan de ander, maar ik moet nog zien hoe dat gaat in de praktijk. Laten we het denken niet stilzetten en de Minister toch vragen om daar op een later moment nog op terug te komen.

Minister Dekker:

Dat doe ik heel graag. Ik denk dat het geschikte moment daarvoor het najaar is, wanneer ik een wat uitgebreidere brief schrijf over horizontale privacy.

De voorzitter:

Dank u wel. Dan komt daarmee een einde aan de eerste termijn van de zijde van de Minister. Ik kijk even of er nog behoefte is aan een tweede termijn. Die behoefte is er, hoewel niet bij mevrouw Helder. Maar zelfs als die tweede termijn er toch is, voert zij daarin niet het woord. Dan de heer Koopmans. Anderhalve minuut heeft u.

De heer Koopmans (VVD):

Ik heb veel minder nodig, voorzitter. Ik dank de Minister voor de beantwoording van de vragen. Hij triggerde mij alleen om weer een nieuwe vraag te stellen naar aanleiding van de laatste beantwoording. Hij herinnerde mij aan de rondetafel die wij vorige week hadden met onder meer Facebook en Google. Daarin had ik nog een discussie over de toestemming: wat betekent het nou als je toestemming geeft voor de data? Wat ik wilde, bleek maar niet door te dringen, als ik zo vrij mag zijn. Ik wilde onder meer dat als je toestemming geeft, er ook een soort verloopdatum aan zit. Dat is in tegenstelling tot wat er nu gebeurt: als je eenmaal toestemming hebt gegeven, is die voor eeuwig. Die data kunnen altijd gebruikt worden. Je zou bijvoorbeeld kunnen zeggen dat na drie jaar, na tien jaar of na welke relevante termijn ook het recht op het houden van die data vervalt. Kan de Minister dat meenemen in zijn gesprekken? Is dat mogelijk ook een basis voor nadere regelgeving?

Dank u wel, voorzitter.

De voorzitter:

Dat levert u dan weer een interruptie van mevrouw Buitenweg op.

Mevrouw Buitenweg (GroenLinks):

Ik vind het een heel interessante suggestie van de collega. Misschien heeft hij eerder ook meegewerkt aan de totstandkoming van het regeerakkoord tussen de PvdA en de VVD, want daarin stond dat ook inbreuken door de overheid zouden moeten zijn voorzien van een horizonbepaling en dat er dan moet worden geëvalueerd. Die big data worden op een gegeven moment gebruikt, ook met het idee dat die misschien interessante patronen opleveren. Je weet dat alleen niet altijd van tevoren. Is de positie van de VVD nog steeds dat er een horizonbepaling van bijvoorbeeld vijf jaar moet zijn voor zo'n project?

De heer Koopmans (VVD):

Helaas begrijp ik mevrouw Buitenweg niet helemaal. Het gaat mij niet om inbreuken. Mijn vraag aan de Minister is of er een soort vervaldatum is in te bouwen voor gegeven toestemmingen. Dat lijkt mij een logische manier om de data en de privacy van mensen extra te beschermen.

De voorzitter:

Toch even terug naar mevrouw Buitenweg, zodat zij nog iets beter kan uitleggen wat zij wil weten.

Mevrouw Buitenweg (GroenLinks):

Ik denk dat de heer Koopmans het wel degelijk begreep, maar hij het niet wilde begrijpen. Ik greep zijn punt alleen aan om hem een andere vraag te stellen. Voorheen vond ook het kabinet van VVD en PvdA dat juist bij het bouwen van systemen en het aanleggen van databestanden de bescherming van persoonsgegevens het uitgangspunt moet zijn – ik lees even voor uit het toenmalige coalitieakkoord – en dat inbreuken door de overheid moeten zijn voorzien van een horizonbepaling en worden geëvalueerd; einde citaat. Dat is een ontzettend leuk idee. Vindt de VVD dat ook?

De heer Koopmans (VVD):

Mevrouw Buitenweg kent mij een beetje en weet daarom dat mijn begripsvermogen misschien beperkt is, maar ik heb het hier helemaal niet over inbreuken.

Mevrouw Buitenweg (GroenLinks):

Ik wel!

De heer Koopmans (VVD):

Ik weet ook niet wat een horizonbepaling bij een inbreuk is. Ik wil dat graag nader bestuderen en daarna kom ik graag terug met een antwoord.

De voorzitter:

Prima. Dank u wel. Dan gaan we nu verder met de tweede termijn en is het woord aan mevrouw Buitenweg.

Mevrouw Buitenweg (GroenLinks):

Dank u wel, meneer de voorzitter. De Minister kwam een beetje aarzelend op gang, maar we hebben uiteindelijk de toezegging gekregen – daar ben ik blij mee – dat we duidelijk krijgen welke onderzoeken er worden gedaan en wanneer die worden afgerond. Ik denk dat dit goed is. Daarin gaat het onder andere over de transparantie van de algoritmen. Die is heel belangrijk. Er werd gezegd dat die bij SyRI niet openbaar gemaakt kunnen worden en dat die niet getoetst kunnen worden. Maar wat zijn dan de criteria daarvoor? En wie toetst dat dan wel?

Het tweede gaat over PNR. Dat was een beetje makkelijk. Ja, natuurlijk gaan we erover in discussie met de heer Grapperhaus, maar het is een voorbeeld van semiautomatische besluitvorming. Dat heeft een direct effect op burgers, namelijk dat bepaalde groepen burgers er altijd uitgehaald worden. Vergt dat nog een aparte menselijke afweging of kan dat het gevolg zijn van een algoritme? Dat is wat ik graag van deze Minister voor Rechtsbescherming wil weten.

De voorzitter:

Dank u wel. Dan meneer Verhoeven.

De heer Verhoeven (D66):

Dank u wel, voorzitter. Ik vond het een mooi debat over allerlei filosofische en psychologische waarden en normen en ook abstracties. Ik vind dat de Minister gelijk heeft dat hij zegt dat het pas spannend wordt als je het concreet maakt, want dan heb je het toch over tastbare dingen. Ik vind het wel jammer dat dat door sommige partijen nog een beetje uit de weg werd gegaan, maar ik vind dit ook een mooie eerste stap. Technologie leidt tot nieuwe dilemma's. Die dilemma's hebben een politieke component, want zij gaan over het wegen van verschillende waarden die op een andere manier tegenover elkaar komen te staan. Volgens mij gaat het op die manier. Ik denk dat dat zich het meest heeft gemanifesteerd bij de algoritmes. We hebben daar met z'n allen over gesproken. Dat is winst, want volgens mij deden we dat twee jaar geleden niet. De politiek loopt altijd achter de feiten aan, maar we lopen nu iets minder achter de feiten aan.

Ik wil toch een VAO aanvragen omdat ik graag iets meer scherpte wil op het punt van de algoritmes. Ik snap wat de Minister zegt. Hij gaat voor de zomer een aantal onderzoeken op een rij zetten. Dat vind ik mooi, maar er wordt door heel veel partijen, door gemeenten en onlangs ook weer door de politie, al aangekondigd: we gaan dit doen. Dat gaat ook leiden tot beslissingen waarvan we later, als al die onderzoeken op een rij gezet zijn, misschien wel zeggen: dat zijn geen goede conclusies geweest; er zijn mensen benadeeld. We hebben bij nieuwe technologie al zo vaak gezien dat eerst de voordelen ons verblindden en dat pas daarna de nadelen tot ons kwamen en dat we dan te laat waren. Ik wil dat voorkomen. Ik ga even zoeken naar een motie waarin ik iets van nuance in dit verhaal breng, maar ook iets meer snelheid.

De voorzitter:

Wij wensen u daar veel succes bij. Het is genoteerd. De heer Van Nispen.

De heer Van Nispen (SP):

Geld is niet het probleem, zei de Minister toen ik het over de capaciteitsproblemen bij de Autoriteit Persoonsgegevens had. Ik zie dat toch een klein beetje anders, want we hebben op dit moment echt een heel kleine toezichthouder en die had het al heel erg druk voor de inwerkingtreding van de AVG. Ik zou heel graag willen dat er echt een informatieknooppunt komt dat iedereen weet te vinden en waar iedereen naartoe kan met vragen als «hoe moet ik dit nou uitleggen?» en «hoe moet ik omgaan met de privacy van de mensen van wie ik persoonsgegevens verzamel?». Ook omgekeerd moeten burgers ergens de vraag kunnen stellen waar ze nou precies recht op hebben. Aan de ene kant moet er een informatieknooppunt zijn, maar aan de andere kant moet er natuurlijk ook een waakhond zijn waarvan grote socialmediabedrijven echt iets te vrezen hebben. We zijn daar volgens mij nu nog niet, misschien zelfs nog lang niet, maar we moeten daar wel naartoe.

De Minister zei: we houden de vinger aan de pols en ik kom daar over één jaar op terug. Volgens mij is dat niet zo, want er ligt een motie van D66 en SP waarin staat dat we daar voor het einde van het jaar van de Minister wat over willen horen, dus daar reken ik natuurlijk op. Ik zeg dat omdat ik echt bezorgd ben, onder andere over de manier waarop grote bedrijven met onze persoonsgegevens omgaan. We hebben het gehad over de manier waarop toestemming wordt gevraagd, maar ook over het verzamelen van gegevens van niet-gebruikers. Zo zijn er nog heel veel meer dilemma's, met name over het gebruik van big data. We zijn daar nog lang niet over uitgepraat.

Tot slot heb ik nog de vraag gesteld of de Minister ook kan kijken naar de mogelijkheden dat de overheid zelf zo veel mogelijk gebruik gaat maken van privacyvriendelijke diensten, maar misschien heb ik het antwoord daarop gemist.

Dank u wel.

De voorzitter:

Dank u wel.

De heer Van Dam (CDA):

Voorzitter. Ik vond dat we vanmiddag een waardige discussie hadden, maar waar ik vooral naartoe wil, is een waardevolle discussie. Ik zal mijn punten uit de eerste termijn niet integraal herhalen. Ik ben blij dat de Minister aangeeft dat hij juist op dat ethische vlak met een verhaal komt. Ik hoorde laatst iemand zeggen dat software die in Europa ontwikkeld is in de kern veel privacybestendiger en veel meer op privacy georiënteerd is dan software die ontwikkeld is in Amerika. Ik denk dat dat voor een deel ook raakt aan waar ik het over heb, want dat heeft echt te maken met waardensystemen, met dingen die belangrijk worden gevonden in de samenleving. Ik ga nog eens met collega Verhoeven praten, want ik heb op de een of andere manier het idee dat wij in dezelfde straat lopen, waarbij hij van het ene eind komt en ik van het ander, maar we wel op hetzelfde doel af koersen. Natuurlijk moet een en ander worden geconcretiseerd. Ik begin wat abstracter, maar ik denk dat wij als politiek echt een rol kunnen vervullen door de laag daarboven meer te benoemen en vandaaruit tot concrete dingen te komen, want het zal wel concreet moeten worden.

Tot slot vraag ik de Minister om ook de rapporten van het Rathenau Instituut te betrekken bij die ethische oriëntatie. Ik kijk nog even in hoeverre ik ook in dat VAO op dit vlak nog wil meedoen.

Dank u wel.

De voorzitter:

Dank u. Er is nog een interruptie van de heer Koopmans.

De heer Koopmans (VVD):

Ik hoop dat u en de heer Van Dam het mij vergeven, maar ik was net door mijn spreektijd heen toen het bericht tot mij kwam dat allerlei gegevens van smartwatches die aan kinderen worden gegeven, kennelijk jarenlang beschikbaar zijn geweest. Kinderen konden overal gevolgd worden, niet alleen door hun ouders, maar ook door allemaal hackers. Ik wilde daarom, misschien via de heer Van Dam, vragen: bent u het met mij eens dat dit een grote inbreuk is op de privacyrechten van kinderen en dat dit weer een voorbeeld is van hoe slecht beschermd heel veel producten zijn? Of het dan om big data of little data gaat, dit baart grote zorgen. Dit is ook een van de zorgen die we moeten meenemen in de discussie over de normen die de heer Van Dam hier aanzwengelt.

De voorzitter:

De heer Van Dam. Kort graag.

De heer Van Dam (CDA):

Ja, ik kan mij herinneren dat er een tijdje terug ook speelgoed was dat deze functie had. Ik kan de heer Koopmans zeggen dat ik nog eens zal opzoeken hoe het kabinet toen op dat issue heeft gereageerd. Ik ga die brief ook voor hem kopiëren en ik stuur die in een envelop naar hem toe. Ik denk dat dan in dat antwoord is voorzien.

De voorzitter:

Ik zie dat de heer Verhoeven wil reageren. Is dit ook een interruptie, of gewoon een ...

De heer Verhoeven (D66):

Nou, op vergelijkbare wijze als de heer Koopmans. De heer Koopmans raakt heel goed aan een punt, maar dat is een ander punt, namelijk de Internet of Things-apparaten die niet veilig zijn. In het regeerakkoord staat een uitgebreide passage over de noodzaak om die beter te beveiligen. Dat beveiligen is volgens mij een norm waar iedereen het over eens is, dus dit is al wel gecoverd. Maar dit gaat niet zozeer over big data als wel over onbeveiligde apparaten die op internet worden opgesloten.

De voorzitter:

Goed. We zullen zien of de Minister ook dat antwoord geeft, maar hartelijk dank daarvoor. Ik kijk even naar de Minister. Ik begrijp dat hij om een schorsing van vijf minuten vraagt.

De vergadering wordt van 17.14 uur tot 17.19 uur geschorst.

De voorzitter:

Het woord is aan de Minister voor zijn tweede termijn.

Minister Dekker:

Voorzitter. Ik wil de woordvoerders langslopen, maar niet dan nadat ik mij heb aangesloten bij een opmerking die iedereen wel heeft geplaatst, namelijk dat het ingewikkelde materie is, maar dat het wel goed is om daar eens bij stil te staan. Ik vind dit een uitermate interessant en nuttig debat. Ik vermoed ook dat het nog wel een vervolg gaat krijgen.

De heer Koopmans vroeg: kan de toestemming niet periodiek vervallen? Het antwoord daarop is op dit moment formeel nee, want dat is zo niet geregeld in de AVG. De AVG zegt dat je expliciete toestemming moet geven. Je hebt ook het recht om die toestemming weer in te trekken, maar er is geen termijn aan verbonden. Als je dat wilt veranderen, moet je in feite terug naar Brussel. Mijn voorstel zou zijn om eerst eens te bekijken hoe het nieuwe stelsel uitpakt. Mensen worden nu al vaak gek van het iedere keer weer opnieuw toestemming geven. Misschien is het ook wel fijn als je gewoon toestemming hebt gegeven en je weet dat je die kunt intrekken als je ervan af wilt. Misschien werkt dat ook wel heel goed.

Dit ligt een beetje in het verlengde van wat mevrouw Buitenweg vroeg over die horizonbepaling. Ik vind dat zelf een wat rigide instrument. Over de bewaartermijnen van data zelf is de AVG natuurlijk ook heel helder. Je mag data slechts bewaren en gebruiken zolang als strikt noodzakelijk. Dat is een open norm. Dat zal van geval tot geval verschillen, maar ik verwacht dat er in de jurisprudentie wel uitspraken zullen worden gedaan over wat die noodzakelijke termijn dan is.

Zij stelde ook vragen over twee specifieke systemen, te beginnen met SyRI. Hoe loopt dat dan? Waar vindt de controle plaats? Om te beginnen is dit een wettelijke regeling. De eerste lijn van controle is dus hier, in dit huis. Ik constateer dat de regeling zowel in de Eerste als in de Tweede Kamer met algemene stemmen is aangenomen. Ik hoor mensen daar nu op reageren, maar ik ben niet degene geweest die dat heeft getrokken. Ik zie alleen maar de uitkomst en de manier waarop het is gelopen. Een tweede is dat bij individuele beslissingen de weg naar de rechter altijd openstaat voor mensen. Daar kan dan altijd een toets plaatsvinden.

Dan werd er een vraag gesteld over PNR. Voor PNR staat in de richtlijn de verplichting om bij profilering een menselijke toets te laten plaatsvinden voordat er een hit naar politie, KMar of OM kan worden gestuurd. Daarnaast zijn er nog een aantal andere waarborgen. Biases kunnen in het geautomatiseerde systeem zitten, maar het gebeurt bij mensen natuurlijk ook. Het is niet zo dat dit probleem zich alleen voordoet bij het gebruik van algoritmen, maar we moeten daar natuurlijk wel scherp op zijn, vandaar die tussenkomst. In de richtlijn is ook de plicht opgenomen om een zogeheten whitelist aan te leggen. Dat is eigenlijk een lijst van onterechte hits zodat het systeem ook weer kan leren van zijn eigen werking.

De heer Van Nispen wees mij nog op een motie die er ligt. Dat is een verzoek en u weet dat ik een verzoek van de Kamer altijd zeer serieus neem. Wellicht gaat dat voor de timing dus nog wat uitmaken. Ik vermoed dat zomaar.

Dan het gebruik van privacyvriendelijke diensten door de overheid zelf. Het principe van privacy by design moet eigenlijk al in een heel vroeg stadium worden meegenomen. Wij nemen dat zeer serieus. Het is ook een wettelijk vereiste in de nieuwe AVG, dus wij gaan daar zeker naar leven.

De heer Van Dam vroeg of we de rapporten van het Rathenau ook meenemen. Jazeker. Er zitten een aantal rapporten bij, onder andere over robotisering, die daar zeker heel erg nuttig bij zijn. Als oud-voorzitter van het Rathenau ga ik dat dubbelop doen.

Tot slot had mevrouw Helder nog het antwoord tegoed op de vraag die zij in eerste termijn stelde naar aanleiding van het artikel over de consumentenorganisaties dat zij mij stuurde. Kennelijk zijn er een aantal landen waarin consumentenorganisaties Facebook aansprakelijk stellen. Dat is natuurlijk een civielrechtelijke procedure, waar de overheid buiten staat. Ook in Nederland zouden er instellingen of consumentenbonden kunnen zijn die zeggen «op basis van een onrechtmatige daad stellen wij Facebook verantwoordelijk», maar dat staat helemaal los van het proces en het toezicht van de Autoriteit Persoonsgegevens als handhaver.

De voorzitter:

Mevrouw Buitenweg heeft nog een vraag. Gaat uw gang.

Mevrouw Buitenweg (GroenLinks):

Het laatste is trouwens wel erg interessant, want volgens mij heeft de Hoge Raad in 2010 in Nederland juist wat roet in het eten gegooid voor civielrechtelijke procedures door belangenorganisaties, maar dat komt blijkbaar terug in het WODC-rapport dat we in het najaar krijgen. Ik heb dat hier opgeschreven. Ik wacht dat vol spanning af.

Ik sloeg aan op de opmerking van de Minister over SyRI. Hij zei dat de Kamer daarover ging. We kunnen de hand in eigen boezem steken, want de Kamer heeft er wel over besloten, maar heeft er niet eens over gedebatteerd terwijl het over zoiets belangrijks gaat. Dat ligt aan ons. Maar de Minister heeft eerder gezegd dat algoritmes zo complex zijn en die zouden we nu dan ineens bij politieke besluitvorming wel helemaal kunnen doorzien. Ik denk dat dat ook niet echt het goede antwoord is. Er moet toch ergens een plek zijn waar die heel complexe algoritmes, zelfs als ze per se geheim moeten blijven – wat volgens mij veel te vaak gebruikt wordt en niet echt terecht is – getoetst worden op biases? Er moet toch ergens getoetst worden of ze wel deugdelijk in elkaar zitten? Ik wil toch graag aan de Minister meegeven dat ik hoop dat hij dat ook in die onderzoeken betrekt.

Minister Dekker:

In zijn algemeenheid neem ik dat vraagstuk zeker mee in die onderzoeken. Specifiek heb ik wat gezegd over de gang naar de rechter, die in ieder geval voor individuen altijd openstaat.

De voorzitter:

Mevrouw Helder nog.

Mevrouw Helder (PVV):

Nog even kort over het antwoord dat de Minister net gaf. Dat had ik zelf ook al gezegd, want het is natuurlijk iets anders dan het toezicht. Dat is het bestuursrecht. Ik heb daar wel de opmerking aan gekoppeld dat de Autoriteit Persoonsgegevens een beetje via de achterdeur wordt ingehaald, omdat we nog steeds wachten op het resultaat van dat onderzoek naar Facebook. Maar goed, als de Consumentenbond hiermee aan de slag gaat, zou de Minister dan eventueel wel kunnen bijhouden wat het resultaat daarvan is? Op die manier kunnen we dat dan bij elkaar houden.

Minister Dekker:

Er lopen een aantal onderzoeken. Er loopt een onderzoek van de Autoriteit Persoonsgegevens. Er loopt ook een onderzoek naar aanleiding van het recente schandaal. Volgens mij loopt dat onderzoek bij de Ierse autoriteiten. Onze Autoriteit Persoonsgegevens heeft zich daar in ieder geval bij gevoegd. Wij volgen dat dus zeker. Of dat interfereert, weet ik niet, maar het kan natuurlijk zijn dat de uitkomst van een uitspraak in het bestuursrechtelijke traject wel weer gebruikt wordt in de civiele zaak.

De voorzitter:

Ik dank u zeer. Voordat we aan het einde van dit algemeen overleg komen, wil ik nog een paar dingen met u doornemen. In de eerste plaats is er een verslag algemeen overleg, ook wel een VAO genoemd, aangevraagd door de heer Verhoeven, waarvan hij dus de eerste spreker zal zijn. Er zijn twee toezeggingen gedaan.

Rond de zomer zal een werkgroep rapporteren over waarborgen in wettelijke regelingen. De Minister zal de Kamer hierover informeren en zal daarbij ingaan op de lopende onderzoeken.

De vraag was nog even wanneer dat dan gaat gebeuren.

Minister Dekker:

Ik zal dat in het najaar doen.

De voorzitter:

In het najaar. Prima.

In het najaar komt de Minister ook met een brief over horizontale privacy.

Daarmee komt er een einde aan dit algemeen overleg. Ik dank de Minister, zijn ambtenaren, de leden, de Griffie, de ondersteuning en iedereen die ik vergeten ben. Ik dank uiteraard ook de mensen voor wie we het allemaal doen, de mensen op de tribune en de mensen die dit overleg elders hebben gevolgd. En dat zijn er toch een hoop. De kijkcijfers van deze commissievergaderingen zijn hoog, meneer Verhoeven, heel hoog. Ja, echt. Men is bij Boer zoekt vrouw in paniek, maar dat even terzijde. Ik wens u allen nog een mooie dag toe.

Sluiting 17.29 uur.

Naar boven