Voorzitter: Buitenweg

Griffier: Jansma

De voorzitter:

Goedemorgen bij deze bijeenkomst, een rondetafelgesprek van de tijdelijke commissie Digitale toekomst. Ik weet dat zo meteen in ieder geval nog één collega komt, maar er waren wat problemen met de treinen.

De voorzitter:

Heel hartelijk welkom aan de genodigden, onder wie de heer Van Zwol van de Afdeling advisering van de Raad van State. U bent ook al eerder bij ons geweest. Een aantal mensen zijn deze keer in de reprise. Ook een hartelijk welkom aan professor Leenes van de Universiteit Tilburg. Aan de kant van de collega's zie ik mevrouw Van Weerdenburg van de PVV, de heer Van Otterloo van 50PLUS en de heer Middendorp van de fractie van de VVD. Mijn naam is Kathalijne Buitenweg van GroenLinks en ik ben uw voorzitter.

We hebben een aantal zaken eigenlijk al eerder besproken. Op basis daarvan hebben we als commissie bekeken welke vragen we nog hadden. We hebben zo meteen bijvoorbeeld een blok met toezichthouders. Daarbij willen we alle verschillende toezichthouders eens even naast elkaar leggen. Aan u hebben we ook nog wat specifieke vragen gesteld, met name de vraag of er een sluitend wettelijk kader is voor de toepassing van digitale technologieën. U heeft ook al de nodige zaken op papier gezet, maar we stellen u graag in de gelegenheid om ook nog een inleiding van vijf minuten te houden. Dat frist het bij ons ook nog weer eventjes op. Mag ik u als eerste het woord geven?

De heer Van Zwol:

Dank u wel, voorzitter. Nogmaals, het is een voorrecht om met u het gesprek te mogen vervolgen. Ter inleiding kort een paar punten, ook voortbouwend op de stukken die de Raad van State schriftelijk heeft ingebracht. Uw hoofdvraag is of er een sluitend wettelijk kader is. Het eerste punt dat de Raad van State heeft gemaakt in het ongevraagde advies van 2017 is dat je ook heel veel kan bereiken buiten nieuwe wet- en regelgeving. Met betrekking tot de actualiteit van de discussie over algoritmen zegt ons advies: geef in besluiten door overheidsorganisaties aan de burgers aan welke beslisregels daarin zijn gehanteerd en welke data daarbij zijn gebruikt. Daar heb je op zich geen nieuwe wet- en regelgeving voor nodig. Die aanbeveling kunnen grote uitvoerende diensten, van Belastingdienst tot UWV en wat dies meer zij, gewoon uitvoeren. Dat is één.

Twee. Het punt dat wij hebben gemaakt in samenwerking met het Ministerie van Binnenlandse Zaken, dat wij u ook schriftelijk hebben doen toekomen, is dat het niet alleen gaat om de vraag: nieuwe wetten of bestaande wetten? Wij vragen ook aandacht voor het wetgevingsproces als zodanig. Het is een misverstand dat wet- en regelgeving eindigt bij plaatsing in het Staatsblad. Daarna vindt er een vertaling plaats in beslisregels, algoritmen en de nieuwe vorm van de beleidsregels. Dat is in de praktijk voor uitvoeringsorganisaties en voor burgers van enorm veel betekenis. Dus ook het wetgevingsproces als zodanig vergt aandacht, zeker ook omdat de rol van beide Kamers eigenlijk ook ophoudt bij plaatsing in het Staatsblad. Maar een belangrijk deel missen we tegenwoordig. Dat was altijd al zo met het fenomeen beleidsregels, maar onder invloed van de digitalisering is dat moment van vertaling na het Staatsblad steeds belangrijker en omvangrijker geworden.

Dan toch uw hoofdvraag: is er een wettelijk sluitend kader? Het antwoord daarop is nee. De vraag is wat je daaraan kunt doen. Als je wilt verbeteren, zou ik de aandacht ook willen vestigen op bestaande wetgeving, de Wet digitale overheid en de Algemene wet bestuursrecht. In de Algemene wet bestuursrecht is het mogelijk om de positie van burgers en andere rechthebbenden vis-à-vis het gebruik van data en beslisregels te verbeteren. De Algemene wet bestuursrecht is laatstelijk gewijzigd voor het invoegen van het onderdeel elektronisch berichtenverkeer met de overheid. Dat is op zich ordelijk en netjes gedaan. Bij het advies destijds heeft de Afdeling advisering van de Raad van State de mogelijkheid geopperd om überhaupt de Awb systematisch wat meer up-to-date te brengen op het punt van de digitalisering. Dus is er een sluitend wettelijk kader op dat punt? Nee. Is er een mogelijkheid om er wat aan te doen? Ja, namelijk de bestaande Awb. Dat scheelt een hele hoop. Je hoeft geen nieuwe wet te verzinnen. Dat is één.

Twee. Als het niet gaat om reguleringsvragen met betrekking tot de positie van de burger en persoonsgegevens maar over de digitale infrastructuur en de vraag welke spelregels daarbij gelden, dan hebben we op zich de goede Wet digitale overheid. Maar ook die zou je kunnen zien als een basiswet die verder uit te breiden is. Dus ik zou ook adviseren om te kijken welke hoofdstukken je als het ware wilt toevoegen aan de Wet digitale overheid. Dan hoef je geen nieuwe wet te maken. Je kunt op basis van een bestaande wet uitbreiden. Dat kan sneller. Je voegt het in in een bestaande systematiek.

Mijn slotopmerking of suggestie is de volgende. Het gaat niet alleen over een sluitend wettelijk kader, maar vervolgens ook over de beoordeling van hoe het werkt in de praktijk. Het actuele voorbeeld van SyRI geeft aan dat dit een belangrijk vraagstuk is. Er wordt her en der ook wel gesuggereerd dat je, als je de werking van de wetten, zeg maar de controle op de wetten, wilt verbeteren, misschien moet kijken naar nieuwe toezichtinstanties en dergelijke en dat je dat in een wet moet verankeren. Ik aarzel om daar gelijk ja op te zeggen, omdat het nogal wat is om nieuwe instituties op te richten. Daar is ook weer nieuwe wetgeving voor nodig.

Er bestaan ook al instituties die hun werk doen, zoals de Autoriteit Persoonsgegevens, in zekere zin ook de Algemene Rekenkamer, de Nationale ombudsman en de Raad van State in beide afdelingen. U kent ongetwijfeld het fenomeen van de rechtseenheidskamer. Wanneer we in de rechtspraak verschillende kolommen hebben, maar we een en ander op sommige punten toch bij elkaar willen brengen, gaan we niets nieuws oprichten, maar gaan we onder de figuur van de rechtseenheid als het ware virtueel bestaande instituties bij elkaar brengen om zich te buigen over bepaalde afwegingen. Je zou ook kunnen vragen aan bestaande autoriteiten en hoge colleges om in samenwerking – een beetje à la het idee van de rechtseenheidskamer – dingen te bezien met betrekking tot het toepassen van wetgeving op het gebied van de digitalisering. Mocht na verloop van tijd uit de opgedane ervaring voortvloeien dat je ook nieuwe instituties wilt oprichten, dan is dat prima. Dan moet die discussie kunnen worden aangegaan. Maar op deze manier zou je snel aan de slag kunnen, zonder dat je je op een weg begeeft die nog niet beproefd is.

Dus kort en goed, met de Awb, de WDO en het fenomeen samenwerking door bestaande instituties kun je op korte termijn al flinke stappen nemen om het wettelijke kader meer sluitend te maken en het ook meer sluitend te laten functioneren.

De voorzitter:

Dank u wel voor uw heel heldere uiteenzetting. Het was bijzonder om te zien dat er bij een van de voorstellen gelijk wat geschoven werd bij, denk ik, de toezichthouders, maar daar gaan we het zo meteen verder over hebben. Heel hartelijk dank hiervoor. Dan geef ik graag het woord aan de heer Leenes.

De heer Leenes:

Geachte voorzitter, leden van de commissie. Dank voor uw uitnodiging om mijn bescheiden licht te laten schijnen over vragen rond de digitale toekomst. Telkens wanneer zich een nieuwe technologie voordoet of een nieuwe technologie dreigt door te breken, doet zich de vraag voor: hebben we een sluitend wettelijk kader, of hebben we nieuwe wetgeving nodig voor dit fenomeen? We zien dat op dit moment bij dingen als AI en robotica. Dat zijn dan gelijk heel grote vragen. Het is dan ook erg moeilijk om een algemeen antwoord te geven op de vraag of er wel of geen sluitend wettelijk kader is. Het antwoord zou dus veel genuanceerder moeten zijn: van nee via misschien tot ja. Daar zijn wat voorbeelden van.

Het recht is een redelijk coherent bouwwerk, dat over de loop der eeuwen opgebouwd is. Sommige onderdelen daarvan zijn tamelijk robuust en zeer goed toegesneden op nieuwe ontwikkelingen zoals AI. Denk aan het eigendomsrecht en het aansprakelijkheidsrecht. Ik denk dat we op dat soort punten op korte termijn niet echt veel aanpassing behoeven, zeker niet in het licht van de toepassingen zoals we die nu kennen. Op andere terreinen is het antwoord op de vraag of het kader toereikend is, eerder: misschien. Het gegevensbeschermingsrecht, dat pas aangepast is, dreigt de law of everything te worden, omdat vrijwel alle nieuwe technologieën om de verwerking van data draaien en bijna alle data uiteindelijk persoonsgegevens lijken te worden. Het aangescherpte gegevensbeschermingsrecht, de AVG in Nederland, biedt heldere en aangescherpte kaders waarbinnen de verwerking van persoonsgegevens kan en mag plaatsvinden. Sommige nieuwe elementen binnen de AVG, zoals de rechten en plichten rond geautomatiseerde besluitvorming, behoeven misschien enige aanscherping.

Een ander punt waarvoor dat ook geldt, is de vraag of sterk gedistribueerde toepassingen zoals internet of things – wat een behoorlijk ongedefinieerd begrip is – daar netjes, helder en handig onder geregeld zijn. Internet of things is typisch een ondoorzichtige wirwar van partijen waarbij de formele verantwoordelijkheid voor het reilen en zeilen soms bij partijen ligt die eigenlijk geen controle hebben over wat er gebeurt.

Een ander punt waarop we mogelijk aanscherping behoeven, betreft de sociale media. Deze hebben zich in de afgelopen jaren tot serieuze media ontwikkeld, maar ze onttrekken zich grotendeels aan de verantwoordelijkheden die wel gelden voor de traditionele media. Het gaat bij sociale media immers om publiek geproduceerde informatie en de platformen achten zichzelf daarbij slechts een doorgeefluik. Het gegevensbeschermingsrecht neemt in deze context de rol van het mediarecht gedeeltelijk over, maar de vraag is of dat wel wenselijk en voldoende is.

Ook op het gebied van technologieontwikkeling in het algemeen geldt dat deze doorgaans plaatsvindt door grote Amerikaanse technologiereuzen. De invloed van deze partijen op Nederlandse en Europese burgers is groot. Persoonsgegevens in individuele en geaggregeerde vorm leveren steeds vaker dominante posities op in steeds nieuwe datamarkten. Het mededingingsrecht wordt hier samen met het dataprotectierecht in stelling gebracht om het zich snel ontwikkelende landschap te reguleren. De vraag hier is: zijn dit wel de meest geschikte instrumenten om vraagstukken die zich eigenlijk bevinden op het vlak van vrijheid van meningsuiting en beïnvloeding te reguleren?

Op sommige terreinen denk ik dat het antwoord op de vraag of het kader toereikend is «nee» is, en daar zal wel degelijk iets moeten gebeuren. De eerder geschetste kaders zijn krachtig, maar het is niet onverstandig om op een aantal punten heldere keuzes in wetgeving te verankeren. Als voorbeeld noem ik gezichtsherkenning. In veel gevallen laat de AVG gezichtsherkenning niet toe. In strikte zin is er dan ook geen additionele wetgeving nodig. Gezichtsherkenning is echter typisch een technologie op een glijdend vlak. Van het een rollen we haast onvermijdelijk in een surveillancemaatschappij met grote broer en miljoenen kleine broertjes en zusjes. Scherpe kaders zijn dan, denk ik, gewenst.

In de geschreven bijdrage noem ik drie wegen voorwaarts, of eigenlijk drie dingen die ik zou willen aanbevelen. In de eerste plaats maak ik in veel discussies mee dat hoewel we een duidelijk kader hebben, met name met betrekking tot het gegevensbeschermingsrecht, dat voor de mensen die het moeten toepassen eigenlijk helemaal niet zo duidelijk is. Zelfs een begrip als «persoonsgegevens» is dan bijzonder ingewikkeld. Zelfs welwillenden wordt het dan erg lastig gemaakt om binnen de lijnen te opereren. Ik denk dat we daarvoor goede handvatten van de toezichthouders nodig hebben.

In de tweede plaats denk ik dat scherpere regels zonder handhaving, zeker in de Nederlandse context, niet erg zinvol zijn. Handhaving moet wel degelijk worden aangescherpt.

In de derde plaats ontbreekt het aan een duidelijke visie waar we in de data-economie naartoe willen gaan. De abstracte kaders vanuit de Europese waarden zijn duidelijk, maar we lijken, misschien vanuit een angst om economisch de boot te missen, soms wat laks om te gaan met deze basiswaarden.

De voorzitter:

Heel hartelijk dank, ook voor uw uitgebreide paper. Ik kijk naar de collega's of er vragen zijn.

Mevrouw Van Weerdenburg (PVV):

Ik heb goed geluisterd. De heer Van Zwol zegt dat bestaande wet- en regelgeving misschien aan te passen is en dat je dan niet iets heel nieuws uit de grond hoeft te stampen. Daar heb ik wel sympathie voor. Aan de andere kant denk ik: als je iets nieuws moet creëren waarbij toezichthouders moeten gaan samenwerken, als je een nieuwe zuil maakt, of wat dan ook, dan komt dat wel heel erg over als de ultieme Nederlandse polderoplossing. Ik vraag me af of dat wel even gestroomlijnd kan zijn als een nieuwe entiteit, die dan echt daarvoor opgericht is en misschien minder stroperig of minder bureaucratisch opereert.

De heer Van Zwol:

Mijn suggestie probeert juist dat te vermijden. Stel je nou voor dat je een nieuwe toezichthouder op het gebied van algoritmen zou inrichten. Hoe kun je dat knippen ten opzichte van de rol en functie van de Autoriteit Persoonsgegevens? In algoritmen worden data gebruikt en, zoals professor Leenes terecht benadrukt, de meeste data zijn wel terug te leiden naar persoonsgegevens. Dus dan krijg je een heel moeilijke situatie tussen een nieuwe toezichthouder en een bestaande autoriteit. Of je krijgt heel moeilijke discussies over de fasering. Een Rekenkamer kan achteraf controleren hoe algoritmen gebruikt zijn door overheidsorganisaties, terwijl bijvoorbeeld een Raad van State juist bij de voorbereiding van wetgeving naar hetzelfde fenomeen kijkt, maar dan in een andere fase. Als je dan een nieuwe toezichthouder benoemt, in welke fase gaat die dan zitten? Krijg je dan overlap? Dus ik sluit niet uit dat je uiteindelijk ooit wel uitkomt op nieuwe vormen, maar met mijn suggestie om snel van start te gaan, is het als het ware eerst te oefenen. Dat fenomeen van dat type oefenen kennen we ook op andere terreinen die elkaar raken en overlappen. Dus vandaar de suggestie. Juist om dat te vermijden.

Mevrouw Van Weerdenburg (PVV):

Ik ben ook wel benieuwd hoe de heer Leenes daarover denkt. Ik moet eerlijk zeggen dat de analogie met bijvoorbeeld een stuk software een beetje bij mij naar boven komt. Je kunt voor nieuwe toepassingen workarounds erin gaan programmeren, maar soms is het uiteindelijk op de lange termijn toch beter om de tijd te nemen om van begin af aan een heel nieuw stuk software te creëren. Misschien kan de heer Leenes daar iets over zeggen.

De heer Leenes:

Ik denk dat ik me bij staatsraad Van Zwol aansluit, in die zin dat het goed zou zijn om een toezichthouder op algoritmen te hebben. Maar ik zou dat zien als een functie die belegd wordt binnen verschillende onderdelen. De toezichthouder op persoonsgegevens, de Autoriteit Persoonsgegevens, zal daar een centrale rol in spelen. Als je het hebt over algoritmen en met name over geautomatiseerde besluitvorming, dan komt dat op zo veel terreinen terug dat je automatisch op het werkvlak van de verschillende toezichthouders komt. Dus ik denk dat ze daarin gezamenlijk op zouden moeten trekken, maar dat je dat wel kunt benoemen als een functie van toezicht op algoritmen.

De heer Van Otterloo (50PLUS):

Ik vond de suggestie van een rechtseenheidskamer, ook omdat die virtueel is, wel aardig van toepassing in dit verband, maar ik zou dan willen weten hoe die in werking treedt. Op welk moment signaleert iemand dat er problemen zijn en dat er actie nodig is die over de verschillende autoriteiten, toezichthouders, heen gaat? Wie doet dat?

De heer Van Zwol:

Ik denk dat je tegelijkertijd twee dingen moet regelen. Ten eerste, het werkt dan zo dat elk van de afzonderlijke autoriteiten en andere instellingen – een inspectie of een Hoog College van Staat – de taak heeft om op het moment dat ze ergens tegen aanlopen waarvan ze zeggen «hé, dat overstijgt mijn domein», zelf de zaak aan te brengen bij zo'n eenheidskamer. Het tweede is dat je moet opschrijven op welke manier anderen – dat kunnen burgers zijn maar dat kunnen ook overheidsinstanties zijn – het recht hebben om als het ware een zaak aanhangig te maken. Ik maak één aantekening. Het idee is dan niet om te treden in de bevoegdheden van individuele casussen, dus een individuele klacht bij de AP, bij de Ombudsman of bij een inspectie. Dat moet zijn loop hebben. Dus dat moet je juist niet met elkaar verbinden. Dat doet een rechtseenheidskamer ook niet. Die gaat ook niet op individuele casussen zitten. Je moet je met elkaar richten op de overstijgende rechtsvragen. Er ligt dus een plicht bij de deelnemers in de Kamer om aan te brengen wat aangebracht moet worden, en je moet goed regelen wie daar zelfstandig iets aanhangig kan maken. Daar maak je een soort reglement van met elkaar. U brengt terechte punten op.

De heer Van Otterloo (50PLUS):

Ik vind het een prima suggestie. Je moet het alleen bestand maken tegen territoriumdrift. Iedereen wil het namelijk graag. Wij hebben er tenminste al enige ervaring mee dat iedereen zich toezichthouder waant op de algoritmen, en wij denken: hoe dan en op welk moment? Ik vind de suggestie om in ieder geval in te zetten op een reglement en niet op een aparte autoriteit dus inderdaad het overwegen waard.

De voorzitter:

De heer Van Middendorp.

De heer Middendorp (VVD):

Dank, voorzitter. Middendorp.

De voorzitter:

Middendorp, sorry.

De heer Middendorp (VVD):

Dank voor de inleidingen. Ik heb twee vragen. We moeten ook uitkijken dat we niet in enorme semantische discussies terechtkomen, want een toezichthouder kan ook virtueel geregeld worden via de rechtseenheidskamer met bijvoorbeeld, zoals ik net hoorde, een Hoog College van Staat of een inspectie. Dat zal toch een soort nieuw gremium worden en dat vind ik ook niet zo erg; ik vind dat een goede suggestie. Daar moeten we verder naar kijken.

Ik maak nog wel een opmerking over het volgende. Er zijn een aantal dingen gezegd over hoe die toezichthouders zich dan tot elkaar gaan verhouden. Als ik kijk naar DNB en de AFM, die toezicht houden in de financiële sector, dan zie ik daar ook allerlei overlap. Ik maak me dus iets minder zorgen over het idee op zich dat toezichthouders zich tot elkaar moeten verhouden. Maar omdat het allemaal nieuw is, is het wel een uitdaging. Daar dus graag uw reflectie op. Is dat misschien toch niet zo ernstig als zonet gezegd werd?

Ten tweede hoor ik u beiden eigenlijk geen enkele keer de term «Europese regelgeving» noemen. Ik ben wel benieuwd of u daar nog iets over zou kunnen zeggen in het licht van wat u ons zonet allemaal geadviseerd heeft.

De heer Leenes:

Ik heb inderdaad de term «Europese regelgeving» niet in de mond gehad, maar het is natuurlijk wel duidelijk dat de AVG een-op-een Europese regelgeving is. Ik denk inderdaad dat de speelruimte die Nederland heeft om zelfstandig dingen te regelen, zeker op dit vlak, betrekkelijk is. Het heeft namelijk weinig zin om dit op kleine schaal te doen. Het komt dus bijna automatisch op Europees niveau terecht, en een hoop van de regelgeving op de terreinen waarover we het hebben, komt ook uit Europa. Ik denk dat dat ook de juiste plaats is om dit te laten ontstaan.

De heer Middendorp (VVD):

Wat zegt dat dan over de grip die de Tweede Kamer heeft op die regelgeving voor bijvoorbeeld algoritmen?

De heer Leenes:

Nou ja, die is in zekere zin beperkt, omdat je binnen de kaders moet blijven van wat de AVG zegt over geautomatiseerde besluitvorming. Daarover staat natuurlijk het een en ander in de AVG, en dat is het kader waarbinnen je ruimte zal moeten proberen te zoeken om dingen aan te scherpen. Maar het kan niet zo zijn dat je daarop een radicaal andere koers vaart dan wat de GDPR en de AVG zeggen.

De heer Van Zwol:

Misschien in aansluiting daarop: natuurlijk is het Europees recht belangrijk, want het legt primair de normen vast, het «wat». Ik denk dat je als lidstaat grotere ruimte hebt om ook een eigen invulling te geven aan het «hoe». Want gegeven eventuele Europese wetgeving op het gebied van de normen waaraan algoritmen kunnen voldoen, waren mijn twee voorbeelden juist gericht op het «hoe». In de Awb kun je regelen hoe burgers die denken dat ze in bezwaar en beroep moeten gaan, dat kunnen doen op een geordende manier. In een Wet digitale overheid zou je dus ook kunnen vastleggen hoe in besluiten door de overheid, of dat nou een vergunning is of een belastingaanslag, in de beschikking aan de burger de beslisregel wordt uitgelegd en hoe wordt uitgelegd welke data zijn gehanteerd. Dus daar ligt ook echt nog wel een rol voor de nationale wetgever.

De voorzitter:

Dank u wel. Nog een aanvullende vraag?

De heer Middendorp (VVD):

Dan ben ik wel benieuwd hoe ik me dat moet voorstellen. Want in die AVG/GDPR moet je op zoek naar de ruimte, heb ik gehoord. Dat is een vrij strak kader. Dus gaat zo'n soort AVG voor normen waar algoritmen aan moeten voldoen er ooit komen tussen de 27 lidstaten?

De heer Leenes:

Nou ja, wat een beetje onduidelijk is in de GDPR, is in hoeverre er een plicht is tot het uitleggen van de logica achter beslissingen. Ik denk dat je daar wel degelijk op nationale schaal stappen in kunt zetten en meer verplichtend kunt optreden. Hoe dat dan plaats moet vinden is een andere vraag. Een van de mogelijkheden is een toezichthouder op algoritmen. Je kunt ook zeggen: nee, er moet gewoon een duidelijke uitleg komen van hoe beslissingen tot stand komen. Dat past binnen het kader van de GDPR.

De heer Van Zwol:

Ter aanvulling: zo ontwikkelt zich ook de Nederlandse jurisprudentie. De Nederlandse bestuursrechter – het woord «SyRI» is al gevallen – wijst erop dat je dat dan goed moet motiveren en moet uitleggen. Dus ook als er op Europees niveau een AVG-achtige normering van algoritmen komt – hoewel inderdaad zoals professor Leenes terecht zegt de overlap tussen algoritmen en persoonsgegevens/data heel erg groot is, maar goed, dat is ook een vraag van wetgevingstechnische aard – dan nog is er een motivatieplicht. De Nederlandse rechter benadrukt het belang daarvan nu al. Dus ook als er geen aanvullende Europese regelgeving komt, is er al de plicht voor de Nederlandse overheid om dat te doen.

De heer Verhoeven (D66):

U gaf een aantal voorbeelden van technologie, waarbij u aangaf of er wel, niet of enigszins sprake was van een sluitend wettelijk kader. Bij gezichtsherkenning zei u dat dat niet het geval was. Betekent dat dan ook dat er in de tussentijd allerlei dingen gebeuren waar we dus eigenlijk als politiek helemaal geen grip op hebben? Hoe koppelt u die analyse dus aan de praktijksituatie? Dat zou mijn eerste vraag zijn, aan de heer Leenes. Mag ik nog een vraag stellen, voorzitter?

De voorzitter:

Ja.

De heer Verhoeven (D66):

Aan de heer Van Zwol wil ik het volgende vragen. U had het over de beslisregels nadat een wet gepubliceerd is. U noemde daarbij in één adem het woord «algoritme». Dat vond ik opvallend, want mijn brein zegt dat het nog steeds op een hele papieren, stapsgewijze manier gaat. Maar ik herinner me van de vorige keer al dat u iets zei als: dat gaat veel vaker via automatische beslisregels. Kunt u daar wat meer over zeggen? Dat heb ik namelijk helemaal niet scherp op het netvlies.

En als laatste, als het nog mag, vraag ik: hoe moet dat dan? Hoe moet je die bestaande wetten zoals Awb en WDO dan uitbreiden op een snelle manier? Want het klinkt inderdaad als een snelle route naar nieuwe wetgeving, maar het klinkt nog steeds ook als iets wat wel weer een hele stap kan zijn. Je bent dan namelijk ook gewoon de wet aan het wijzigen. Dat zijn mijn drie vragen.

De heer Leenes:

Een kleine kanttekening. Ik heb niet gezegd dat gezichtsherkenning niet geregeld zou zijn. Gezichtsherkenning past namelijk buitengewoon goed binnen de AVG en is betrekkelijk duidelijk geregeld. Maar ondertussen zie je in de praktijk dat, cru gezegd, iedereen maar wat aan het doen is. De kaders zijn er dus, alleen ontspoort het zonder handhaving enigszins. Ik denk dat het zou helpen om veel duidelijker aan te geven: dit kan wel en dit kan niet.

De heer Verhoeven (D66):

En hoe moet dat dan, dat aangeven?

De heer Leenes:

Dat zou aanvullende wetgeving kunnen zijn. Het kan ook dat de toezichthouder duidelijker uitleg geeft aan de kaders van dit moment en daarop handhaaft. Ik denk dat dat de twee opties zijn op dit moment.

De heer Van Zwol:

Misschien veroorzaak ik wat verwarring, want ik gebruik «beslisregels» en «algoritmen» vaak door elkaar. Ik zie algoritmen als beslisregels die met behulp van IT, digitale techniek, worden vormgegeven en uitgevoerd. Een beslisregel kan heel eenvoudig zijn. Een beslisregel kan heel complex zijn, uit heel veel verschillende stappen bestaan en heel veel verschillende data gebruiken, maar hij kan ook heel simpel zijn. Dat geldt ook voor de geautomatiseerde vorm, het algoritme. Een algoritme kan een heel simpel zijn, maar het kan ook heel, heel complex zijn. Wat er gebeurt bij veel typen wetgeving is het volgende. Misschien kan uw griffie ook nog eens kijken naar de achtergrondstukken die wij laatstelijk samen met BZK hebben opgestuurd. Er is een wet, en een Belastingdienst, een IND of een UWV moet die gaan uitvoeren. Het is al sinds jaar en dag zo dat er vaak handboeken werden gemaakt op papier, met beleidsregels waarin stond hoe men het moest interpreteren en hoe de wet moest worden uitgelegd. Want ja, de wet zegt dit, maar je hebt daarbinnen misschien nog acht verschillende typen gevallen. Er zijn dan vragen als: hoe moet je het interpreteren, hoe leg je een woord uit, en wat doe je in de gevallen die net niet in de wet zijn beschreven? Daardoor kreeg je dus al die grote beleidsregels.

Een belangrijke ontwikkeling in het bestuursrecht en de bestuursrechtspraak is natuurlijk dat beleidsregels op een gegeven moment erkend zijn als van belang voor burgers, voor rechthebbenden, en dat je op grond van beleidsregels dus ook bezwaar en beroep kunt instellen. Wat tegenwoordig gebeurt, is dat de grote diensten proberen om wetten – maar dat geldt ook voor vooral AMvB's en ministeriële regelingen, dus sluit de lagere regelgeving niet uit – niet meer te vertalen in dikke papieren handboeken, maar eigenlijk in een soort metaprogrammaatjes die ze al vertalen in termen van beslisregels. Dan wordt de tekst van een AMvB of een wet eigenlijk omgezet in nog steeds herkenbare Nederlandse woorden, op een aan de ene kant eenvoudige maar aan de andere kant ook veel meer gespecificeerde manier. Die eerste vertaling vormt dan de basis voor een tweede vertaling, namelijk in programmeertaal, iets wat bijna niemand meer kan lezen. Die eerste stap, de vertaling van regeltekst naar beslisregeltekst, zou je in theorie nog op papier kunnen doen. De laatste natuurlijk niet; dat is de crux, dat het programmeertaal is die we in een computer kunnen stoppen. Maar je ziet dat er ook voor die eerste stap allemaal hulpprogrammaatjes zijn. Daarom hebben wij samen met het Ministerie van BZK die casussen van de Belastingdienst en de IND goed uitgezocht en als bijlage bij ons stuk gestuurd. Nadat u als wetgever uw werk heeft gedaan en het Staatsblad is verschenen, gaat het wetgevingsproces dus nog echt flink door.

De voorzitter:

Dank u wel. Ik wil zelf nog een vraag stellen naar aanleiding hiervan. Ik weet dat ik zelf aan Minister Dekker heb gevraagd of ik dan de vertaalslag kon zien. Hij zegt: nee, dat hoeft niet, want de oorspronkelijke wet is helder, en op de vertaalslag heb je dan geen recht. Ik vind dat nog wel interessant. Waarop kan je je dan baseren om zo'n vertaalslag te kunnen zien, nog los van de derde slag, naar de computer? Daar ben ik wel benieuwd naar.

Ik heb ook nog een vraag aan de heer Leenes. U had het over sociale media en de maatregelen die daar genomen moeten worden. Daar worstel ik zelf heel erg mee, want aan de ene kant wil je dat dat ook gehandhaafd wordt. Er is niet alleen sprake van nepnieuws, maar ook van erg beledigende teksten. Aan de andere kant is het ook weer lastig om bedrijven te laten handhaven, maar voor een rechterlijke instantie zou het weer te veel werk zijn. Naar wat voor soort regels bent u dan op zoek voor de sociale media?

De heer Leenes:

Dat is een hele goede vraag. Op dit moment zie je dat socialemediabedrijven heel erg terughoudend zijn en zeggen: «Wij willen niet handhaven; dat is aan de rechter. Daar moeten we niks mee doen.» Aan de andere kant kan je natuurlijk niet zeggen dat het geheel vrij is wat dergelijke organisaties doen. Ze kiezen voor bepaalde activiteiten en bepaalde bedrijfsmodellen die daarachter zitten. Ik denk dat je wel degelijk mag zeggen dat daar een verantwoordelijkheid ligt om uitvoering te geven aan de kaders waarbinnen je moet opereren. Het merkwaardige is dat die mediabedrijven veel minder moeilijk over doen over auteursrechthandhaving dan over de vrijheid van meningsuiting en privacyinbreuken. Hoe je dat moet reguleren en of je dat voldoende kunt doen met handhaving, is de vraag. Je hebt hier ook te maken met Amerikaanse bedrijven; dat maakt de discussie nog eens extra moeilijk. In Amerika gaat de vrijheid van meningsuiting nog heel veel verder dan hier in Europa. Daarmee zitten we dus een beetje in een spagaat als het gaat om de vraag hoe je dit nu moet aanpakken binnen onze kaders. Natuurlijk is er sowieso een zekere terughoudendheid om in te grijpen op vrijheid van meningsuiting, ook in Nederland. In het mediarecht is er ook een behoorlijke terughoudendheid op dat punt. Eerlijk gezegd weet ik het antwoord op deze vraag dus niet goed.

De voorzitter:

That makes two of us.

De heer Van Zwol:

Is de wettekst helder? Nee, vaak niet. Stel dat je opschrijft: «Als een belastingplichtige een vergissing ontdekt, moet hij terstond de Belastingdienst daarvan in kennis stellen.» Dat lijkt een heel heldere wetsregel, maar als je gaat nadenken, denk je: ja, maar wat is dan «een vergissing»? Wat versta je daaronder? En wat is «terstond»? En hoe moet dat «in kennis stellen» in zijn werk gaan? Sinds jaar en dag is het dus gebruikelijk dat mensen gaan nadenken wat dat soort regels, die op zich helder Nederlands zijn, nou precies betekenen. Onder welke omstandigheden is «terstond» binnen twee dagen en in welke omstandigheid is twee weken ook wel goed, omdat iemand op vakantie was of zo? Dan krijg je dus hele boeken met uitleg daarover. En op die boeken met uitleg kun je je bij de bestuursrechter wel degelijk beroepen.

Nou zie je twee dingen gebeuren bij digitalisering. Eén: die vertaling, die dus altijd al plaatsvindt bij beleidsregels, vindt nu voor een deel plaats in de vorm van geautomatiseerde beslisregels, algoritmen. Dat gaat dus op een andere manier, grootschaliger en sneller. Daar zitten ook weer voor- en nadelen aan. Het voordeel van een zekere ambiguïteit in wetsteksten is dat je de weerbarstigheid van de praktijk ook een rol kunt laten spelen. In een wet kun je opschrijven: «De gemeente zal naar billijkheid bezien of ...» Maar als je die billijkheid in beleidsregels vast gaat stellen, gaat het al wat minder in de richting van billijkheid; dan worden het alweer subregeltjes. En als je die vervolgens gaat automatiseren, worden die subregeltjes ook weer zonder nadenken – ik zeg het even scherp – toegepast. Ik zeg dus niet dat enige ambiguïteit in regels verkeerd is. Alleen, ze bestaan. Ze bestaan voluit. En zelfs wanneer ze wel heel duidelijk lijken ... Het bekendste voorbeeld is dat van een 80 of 100 km/u-grens. We weten allemaal dat daarbij in de uitvoering toch een zekere marge wordt genomen voordat er een boete wordt uitgeschreven. Dat is allemaal een vertaling in beleidsregels. Dat wordt allemaal geautomatiseerd, en je kunt er echt beroep op doen bij een rechter.

De voorzitter:

Heeft een van de collega's nog een vraag?

De heer Verhoeven (D66):

Ik had nog gevraagd hoe het zit met de uitbreiding van die algemene wetten, dus de Algemene wet bestuursrecht, de Wet digitale overheid et cetera.

De heer Van Zwol:

De Afdeling advisering heeft bij het wetsvoorstel waarmee het elektronisch berichtenverkeer in de Awb is opgenomen – ik herhaal: dat is ordelijk gebeurd, dus daar hadden wij geen kritiek op – al de suggestie gedaan om de Awb wat systematischer te bezien als het gaat om het digitale verkeer met de overheid. Je kunt elementen van ons ongevraagd advies van eind 2017 ook gewoon in de Awb invoegen. Bij ons, en ook wel bij andere instanties, denk ik, liggen er dus echt wel ideeën die je met een redelijk tempo zou kunnen uitvoeren. U heeft gelijk dat ook een wijziging van de wet natuurlijk een normaal wetgevingsproces is van begin tot eind. Maar het kan normaliter natuurlijk wel wat meer a tempo worden doorlopen. Het grote voordeel is dat je geen nieuwe structuren ernaast creëert. Ook voor de kenbaarheid van de wet is het goed als het op een aantal plekken wordt gedaan. Dat geldt ook voor de Wet digitale overheid; sterker nog, het Ministerie van BZK beoogt ook dat dat een basiswet is die uit te breiden is. Het grote voordeel is: je creëert geen nieuwe structuren ernaast. Het is ook voor de kenbaarheid van de wet goed als het op een aantal plekken wordt gedaan. Dat geldt ook voor de Wet digitale overheid. Sterker nog, het Ministerie van BZK beoogt ook om dat een basiswet te doen zijn die uit te breiden is.

De heer Van Otterloo (50PLUS):

Ik heb nog een vraag aan de heer Leenes. In de een-na-laatste alinea in de paper duidt u er ook op dat de AVG wel heel sterk op individueel niveau geregeld is en niet op groepsniveau, ook niet in de verwijzing. Kunt u zeggen wat zo'n sterkere uitbreiding in de praktijk zou betekenen voor het wetgevingsproces?

De heer Leenes:

Ik denk dat de uitbreiding in eerste instantie vooral zal moeten zitten in het procesrecht, waarmee je ook groepen de mogelijkheid geeft om actie te ondernemen tegen misstanden in het kader van gegevensverwerking. Het is wat lastiger te zeggen wat de effecten zouden moeten zijn op wetgeving. De AVG spreekt bijvoorbeeld wel over profilering als onderdeel van gegevensverwerking, wat natuurlijk gebruikt kan worden in geautomatiseerde besluitvorming. Je zou daar nog sterker kunnen aanzetten dat het ook gaat over groepsprofielen en niet zozeer over profielen die toegepast worden op individuen. Maar ik denk dat het er op korte termijn meer in zit dat groepsbelangen een weg vinden in de rechtspraak, dat we daar handen en voeten aan geven.

De voorzitter:

Is het zo dat privacy veel meer, naast dat het een individueel recht is, ook gezien moet worden als een groepsrecht?

De heer Leenes:

Jazeker. Het gegevensbeschermingsrecht is primair ingestoken op individueel niveau, maar privacy en dataprotectie zijn niet hetzelfde. Ze overlappen elkaar wel, maar privacy heeft ook een heel sterk groepselement. Een democratie gaat onderuit op het moment dat we privacy niet serieus nemen, en dat is toch echt op groepsniveau.

De voorzitter:

Nog iemand? Ik zie iedereen de papieren doornemen. De heer Verhoeven.

De heer Verhoeven (D66):

Ik was nog wel aan het nadenken over een vraag, maar ik heb die nog niet meteen paraat. Ik weet niet of dat een bestaande vorm is in het parlementaire discours. O ja, ik heb toch een vraag.

Ik begrijp heel goed dat de Awb en de WDO wetten zijn die in een bepaalde hoek zitten. We hebben bedacht om deze bijeenkomsten te houden – eerst met u en straks ook nog met alle toezichthouders – omdat de Kamer een aantal voorbeelden heeft, waarover zij met een vorm van bezorgdheid spreekt, van nieuwe technologieën waarbij we eigenlijk geen enkele grip hebben op wat er allemaal in de praktijk gebeurt. Ik noem altijd het voorbeeld van de camera's die bij de Jumbo worden opgehangen. Dat is voor mij het meest concreet. Er worden camera's met gezichtsherkenningstechnologie bij de Jumbo opgehangen. Ik denk als politicus dat dat onwenselijk is. Dat is één. Nou kan dat nog een mening van mij zijn, maar ik denk ook dat het onwettig is. Dat denk ik. Vervolgens is de vraag wie dat moet toetsen en aan welke wet dat wordt getoetst. Ik denk niet dat we dan uitkomen bij de Awb en de WDO. Dan zitten we natuurlijk in een hele andere hoek; dan zitten we in de hoek van de AVG en de Autoriteit Persoonsgegevens. Ik snap dat je de Algemene wet bestuursrecht en de Wet digitale overheid kunt uitbreiden om een bepaald domein van digitaliseringsvraagstukken op te lossen, maar hoe doen we dat dan bij die componenten als gezichtsherkenning en discriminerende algoritmes? Moeten we daar dan dezelfde systematiek toepassen door de AVG uit te breiden of moeten we het dan op een andere manier doen? Naar mijn gevoel is de basis die daar ligt smaller. Het is nog niet helemaal coherent geformuleerd, maar dat is een beetje mijn zoektocht. Er zijn verschillende domeinen van vraagstukken en in dit domein lijkt me minder een basis te liggen om op voort te borduren. Dat is eigenlijk de vraag.

De heer Leenes:

Het is heel duidelijk dat mijn buurman uit het bestuursrecht en het openbaar bestuur komt en dat mijn inbreng vooral gebaseerd is op de horizontale relatie tussen bedrijven en burgers en burgers onderling. Omdat de Awb gebaseerd is op de algemene beginselen van behoorlijk bestuur en gericht is op besluiten, en omdat besluiten gemotiveerd moeten zijn, heeft de Awb een sterk ontwikkelde traditie van het voorkomen van willekeur. Die beginselen van behoorlijk bestuur kun je natuurlijk gedeeltelijk best wel overhevelen naar de private context. De handvatten die de AVG daarvoor biedt, zijn alleen maar dat je in verzet kunt komen tegen een beslissing en dat je kunt vragen om de logica van een beslissing. Maar wat staat ons in de weg om veel meer van het denken vanuit het bestuursrecht daarin te weven en eisen te stellen aan op wat voor manier beslissingen uitgelegd moeten worden?

De voorzitter:

Nu hebben we toch een coherent antwoord op deze vraag die zoekend was, maar goed geformuleerd eindigde. Een vraag van de heer Middendorp. Dat is de laatste vraag.

De heer Middendorp (VVD):

Dat is natuurlijk uitermate interessant. Het is mij nog steeds niet helemaal duidelijk of er nu verwacht wordt dat er een aparte richtlijn uit Europa komt, maar laten we die maar even terzijde schuiven en aannemen dat we dat in Nederland zelf gaan doen. Ik hoor u eigenlijk zeggen dat als je op hoog niveau dat soort nieuwe normen en regels wilt gaan maken, er op bepaalde niveaus eigenlijk geen verschil is of je voor de algoritmegebruikende instelling – of dat nu een overheidsinstelling is of misschien wel een bedrijf – in één keer een kader maakt om deze instelling aan te pakken. Het zijn natuurlijk bepaalde basisnormen. Hoorde ik u dat net zeggen of is dat te kort door de bocht?

De heer Leenes:

Ik denk dat dat iets te kort door de bocht is. De overheid gaat uit van het legaliteitsbeginsel. Op basis daarvan mogen we verwachten dat besluiten op een bepaalde manier genomen worden. Die normen gelden niet in een private context. Maar je kunt natuurlijk wel een deel van die normen overhevelen naar de private context. Eigenlijk gaat het over fairness en redelijkheid en non-discriminatie. De ideeën kunnen elkaar gewoon heel goed overlappen. Dus ik denk dat je dan in een uitvoeringswet een aantal dingen kunt regelen rond de uitleg van geautomatiseerde beslissingen.

De voorzitter:

Daarmee zijn we aan het einde gekomen van het eerste onderdeel van dit rondetafelgesprek. Ik wil de aanwezigen heel erg danken voor hun bijdrage.

De voorzitter:

Ik heropen dit rondetafelgesprek met een hele tafel vol mensen van toezichthoudende instanties. Wij hebben er als tijdelijke commissie Digitale toekomst inderdaad voor gekozen om jullie allemaal uit te nodigen. Een deel van jullie hebben we al eerder gezien, in gesprekken met vragen over toezichthouders. Maar op een gegeven moment hadden we het idee dat iedereen zei dat hij toezichthouder was op al deze instanties. Toen dachten we: wie houdt er nou precies toezicht en waaruit blijkt dat dan? Want het is één ding om die bevoegdheid te hebben, maar het is natuurlijk ongelofelijk belangrijk dat die ook wordt uitgeoefend. Toen dachten we: als we u nou allemaal uitnodigen, krijgen we het beeld in één keer helemaal compleet. Dat is dus de bedoeling van vandaag.

Heel hartelijk welkom. Fijn dat u er allemaal kunt zijn. Volgens mij is er ook tegen u gezegd dat u nog even de tijd hebt om een korte toelichting te geven, hoewel u ook allemaal stukken heeft ingestuurd, die we naast elkaar hebben neergelegd. Ik geef graag als eerste het woord aan de heer Wolfsen van de Autoriteit Persoonsgegevens.

De heer Wolfsen:

Dank u wel. Mevrouw de voorzitter, geachte leden, fijn dat we hier weer mogen zijn; zo voelen we dat altijd. Het is mooi om hier te gast te kunnen zijn en over dit belangrijke onderwerp met u van gedachten te kunnen wisselen. Fijn ook dat u er zo grondig aandacht voor heeft. Ook wij hebben een kort pamfletje gemaakt als voorbereiding op deze bijeenkomst. Dat hebt u allemaal gelezen. Dan vraag je je altijd af: wat zal ik er nog eens uitpakken en uitlichten? Sommige vragen behoeven, denk ik, wat minder aandacht. Wie doet wat, overlap, leemtes, toereikende bevoegdheden: dat soort dingen zijn over het algemeen wel redelijk helder, denk ik. De afstemming tussen ons onderling gaat over het algemeen ook wel goed; dat hebben we in eerdere bijeenkomsten ook tegen u gezegd. Een mooi voorbeeld – dat vind ik zelf althans – is het toezicht op de fintechbedrijven, die nieuw zijn. Je zou kunnen zeggen dat het de nieuwe banken zijn; ik zeg het wat huiselijk allemaal. Daar hebben DNB, ACM, AFM en wij natuurlijk ook mee te maken. In een eerdere rondetafel hebben we al eens gezegd hoe mooi die afstemming loopt. We zijn er allemaal een beetje van en iedereen heeft zijn eigen invalshoek. Dat loopt in de praktijk eigenlijk wel goed; we kunnen er straks misschien wat meer over zeggen. Daarover ben ik ook wel aangenaam verrast, terwijl ik daar in het begin wat somberder over was, maar die afstemming loopt in de praktijk gewoon goed, zowel tussen de medewerkers als tussen de bestuurders. Dat is dus een voorbeeld.

Bij de zorg speelt natuurlijk hetzelfde. Politie en justitie zijn zich een beetje aan het ontwikkelen. Wat zij verwerken, zijn bijna allemaal persoonsgegevens en wij zijn toezichthouder op alles wat niet bij een rechter komt. De Inspectie Justitie en Veiligheid is dat uiteraard ook. Wat de inspectie doet, hoeven wij niet te doen en omgekeerd. Dat is zich nog wat aan het ontwikkelen. Burgers zijn ook nog een beetje aan het ontdekken dat wij daar een toezichthoudende rol hebben, maar ook dat gaat in de start goed.

Dan pak ik er in steekwoorden nog een paar dingen uit waarvan ik denk dat het misschien wel goed is om daar nog wat accent op te leggen in de inleiding. U had ook een grote vraag, vond ik, namelijk: hoe ziet het er over tien jaar uit? Dat vond ik een hele grote vraag, want alles wat met automatisering en applicaties te maken heeft, gaat sneller en goedkoper en wordt kleiner, en dat gaat kwadratisch. We zitten op dat vlak nog maar in de middeleeuwen, denk ik. You ain't seen nothing yet. Dat gaat echt heel snel. Daar moeten we ons heel goed bewust van zijn. Alles wordt tegenwoordig een computer. Ik had laatst een interview met een journalist over connected cars, over een nieuwsbericht met als kop: Man van de weg geraakt in z'n zelfsturende auto. Die kop is natuurlijk fout. De bestuurder was gewond geraakt. De kop zou moeten zijn: computer verwondt gebruiker. Het is nu een computer die van de weg raakt en een gebruiker die gewond raakt. Dan zie je mensen denken: o ja, je auto, maar ook je telefoon, je tv en je koptelefoon zijn natuurlijk computers. Dat zijn allemaal computers, dat is allemaal eindapparatuur. Daar zitten allemaal algoritmes in, dus daar worden allemaal persoonsgegevens door verwerkt. Die bewustwording komt nu wel, maar ontwikkelt zich langzaam.

We hebben vandaag toevallig een normenkader voor het omgaan met algoritmes naar buiten gebracht; dat lag er al een tijdje, maar dat viel nu mooi samen. In de vorige bijeenkomst is daar al het nodige over gezegd: als je een algoritme ontwikkelt – eigenlijk geldt het voor elke applicatie – moet dat by design privacyvriendelijk zijn, vanzelfsprekend. De standaardinstellingen moeten privacyvriendelijk zijn. Als wat je daarbinnen verwerkt, moet rechtmatig, behoorlijk en transparant zijn. Dat zijn maar drie woorden, maar die zijn cruciaal. «Rechtmatig» is misschien nog het makkelijkst, maar in «behoorlijk» – daar is in de vorige bijeenkomst het nodige over gezegd – zit ook dat je niet mag discrimineren. Dat is niet behoorlijk, dat is niet fair, dat is niet eerlijk. «Transparant» is dat je ook transparant moet zijn over hoe het programma gecodeerd is, hoe de programmeerregels eruitzien. Dat is bij de klassieke algoritmen wat makkelijker, maar bij zelflerende algoritmen, die je traint op basis van informatie, is dat al wat lastiger. Dat is fundamenteel.

Door de combinatie die nu gaande is van eindapparatuur – alles is eindapparatuur – en biometrie en medische gegevens – gezichtsherkenning kwam al aan bod – vervaagt de grens tussen «fantastisch dat dit gebeurt», zeker in de medische hoek, en «bloedlink, wat hier gaande is»; die zaken komen steeds dichter bij elkaar. Zo ben je eerlijk een sollicitant aan het selecteren op basis van een algoritme, maar zo ben je aan het discrimineren, als er een vooroordeel of een verkeerde programmeerregel in zit. Zo ben je eerlijke verkiezingen aan het organiseren, en zo ben je ze aan het manipuleren. Zo denk je «een verdachte moet worden aangehouden op basis van feiten en omstandigheden die we vooraf zien», en zo maak je een algoritme waarbij je zegt: iemand uit die wijk, met die achtergrond, is een verdachte. Correlatie en causaliteit vervallen totaal. SyRI is daar het meest cynische voorbeeld daarvan; het is al genoemd. Daar moeten wij ons buitengewoon bewust van zijn.

Daarom hebben we ook gezegd – daar zal ik mee afsluiten, mevrouw de voorzitter – dat wij hier als toezichthouder op zullen focussen. Wij bevorderen en bewaken natuurlijk alles wat met dit belangrijke grondrecht te maken heeft. Bijna alles is tegenwoordig te vertalen in persoonsgegevens. Er is natuurlijk datahandel. Dat is vanzelfsprekend. Daar verlies je het meest de grip op je gegevens. Er is ook een digitale overheid, waar ook steeds meer digitale toepassingen plaatsvinden. Dat heeft alles te maken met algoritmen en AI, omdat de ontwikkelingen daar nu het snelst gaan. Daar heeft men het minste grip op. Als Nederlands burger moet je je kunnen verdedigen als er beslissingen over jou worden genomen. Als die transparantie niet goed wordt toegepast, is dat – ik zeg het toch een beetje zwaar vandaag – het begin van het einde van de rechtsstaat, want dan wordt er wat over jou beslist, zonder dat je weet waarom, en je kunt je er niet meer tegen verdedigen. Dan geraken we ver van huis, mevrouw de voorzitter.

De voorzitter:

Dank u wel, meneer Wolfsen. Dan geef ik het woord aan de heer Keppels, directeur van Bestuur, Beleid en Communicatie van de Autoriteit Consument & Markt. Het woord is aan u.

De heer Keppels:

Dank u wel, mevrouw de voorzitter. Het is inderdaad een genoegen om hier te zijn. Waarop zien wij toe en waaruit blijkt dat? Die vragen hoorde ik net. Wij zijn de marktbrede toezichthouder op de Nederlandse economie. Wij zijn markttoezichthouder. Onze missie is om markten goed te laten werken voor mensen en bedrijven. Dat doen we in bepaalde gereguleerde sectoren, zoals telecom, energie en openbaar vervoer, maar ook in de rest van de economie, op basis van bijvoorbeeld de Mededingingswet, de consumentenbeschermingsregels en voor de telecomsector bijvoorbeeld de Telecomwet. Dat doen we dus ook in de digitale economie, op basis van de huidige normen. De meeste normen zijn vrij open en onafhankelijk van techniek geformuleerd.

Ik zal voorbeelden geven waaruit blijkt dat we dat doen. We doen nu onderzoek naar de App Store van Apple. We hebben onderzoek gedaan naar videostreaming door YouTube, Netflix, Facebook en Videoland. We inventariseren op dit moment de rol van Big Tech in de betaalmarkt, dus bijvoorbeeld van Apple Pay. We hebben met andere toezichthouders in de rest van Europa actie ondernomen tegen bepaalde praktijken van reisplatforms, zoals Booking.com en Expedia. We doen nu onderzoek naar algoritmes die prijzen zetten. We hebben in de afgelopen jaren allerlei boetes en lasten onder dwangsom uitgedeeld aan webwinkels, grote telecombedrijven en grote reisorganisaties, omdat ze online hun prijzen niet duidelijk vermelden, of de regels voor netneutraliteit niet naleven, of niet doen wat ze online beloven. Dat kan allemaal op basis van de huidige normen, die open zijn.

Soms merken we ook dat we ze moeten expliciteren: dat we duidelijk moeten maken hoe die norm in een nieuwe situatie met nieuwe technologie moet worden uitgelegd. We zagen bijvoorbeeld dat de mogelijkheden om onlinegedrag te beïnvloeden enorm toenemen, vanwege de hoeveelheid data en vanwege het feit dat er voortdurend experimenten worden uitgevoerd. Van een bepaalde website of app zijn soms wel 2.000 varianten tegelijkertijd actief. Dan kunnen ze ons als consument steeds makkelijker krijgen waar ze ons hebben willen, en dat kan zomaar ook in onze valkuil zijn. Daarom willen we duidelijk maken waar die grenzen liggen, ook online: waar gaat online verleiden over in online misleiden? Daar zijn we vorige week mee naar buiten gekomen. Dat is als de wet open genoeg is, maar dat is niet altijd zo. Er komen gelukkig soms ook, als dat nodig is, normen bij, bijvoorbeeld over software-updates. Gezichtsherkenning kwam net al voorbij.

Eigenlijk is onze ervaring dat de Europese wetgever, en de Nederlandse wetgever, de laatste jaren alert en responsief is op ons terrein, digitale uitdaging, en in ons toezichtsdomein. Maar dat is ook wel nodig, want er moeten af en toe nieuwe normen komen. Een voorbeeld van iets waar wij nu voor pleiten, is een instrument waarmee je vooraf kunt ingrijpen in de mededingingssfeer, in plaats van achteraf, na jarenlange procedures, iets te corrigeren met een boete. Dat noemen we een ex ante-reguleringsinstrument. Daar pleiten we samen met EZK voor. Dat zou heel relevant zijn in het digitale domein, en dan vooral bij bijvoorbeeld digitale platformen met een poortwachtersfunctie. Daar vinden we ook wel gehoor voor. Woensdag komt de Europese Commissie met haar plannen. Er zijn versies gelekt waaruit blijkt dat hier echt gehoor voor is. Dat zou ons erg helpen.

Tot slot. Volgens ons is samenwerking ongelofelijk belangrijk. De heer Wolfsen noemde al een voorbeeld. Een ander voorbeeld waar we in het digitale domein samenwerken met de NZa is ICT in de zorg. Partijen hebben zorgen over de afhankelijkheid van bepaalde digitale platforms in de zorg. Het tweede is investeren in capaciteit. Dat doen wij volgens mij allemaal. We doen dat voor een deel ook gezamenlijk. We hebben een datatraineeship samen met AFM en de NZa. We werken met DNB, AFM, politie en justitie samen om digitale capabilities te versterken. Dat is ongelofelijk belangrijk, omdat we allemaal de stap moeten zetten, net zoals de consument, net zoals de wetgever. Dat doen we dus ook.

Dank u wel.

De voorzitter:

Hartelijk dank voor uw toelichting. Dan geef ik het woord aan de heer De Groot, hoofd Strategie, Beleid en Internationale Zaken bij de Autoriteit Financiële Markten. Aan u het woord.

De heer De Groot:

Dank u wel, mevrouw de voorzitter, en dank dat ook de AFM de gelegenheid krijgt om inbreng te leveren op dit belangrijke onderwerp. Wij zijn de gedragstoezichthouder voor de financiële markt. Onze missie is om bij te dragen aan duurzaam financieel welzijn in Nederland. We hebben ook in onze jaarlijkse trendzichtrapportage, waarin we ingaan op risico's voor de financiële sector, de laatste jaren aandacht besteed aan de digitalisering, zowel voor 2019 als voor 2020. Daarin gaan we ook wat dieper in op de retailkant van financiële dienstverlening. Ik probeer vandaag wat kleur te geven aan waar die digitalisering ons toezicht raakt. Dat zal een combinatie zijn van kansen en risico's. Het is logisch dat we het als toezichthouders hier aan tafel vooral over de risico's hebben, maar we moeten niet vergeten dat digitalisering op het gebied van financiële markten ook allerlei kansen biedt, die het leven voor consumenten vergemakkelijken.

De risico's die ontstaan, betreffen natuurlijk ook financiële cybercriminaliteit. Dat is iets waar financiële instellingen natuurlijk vaak voor worden gebruikt. We moeten er alert op zijn dat dat wordt tegengegaan. Als het gaat over de klanten, dan kun je dat ook zien in het kader van zorgplicht. Dat begrip wordt veel gebruikt in het gedragstoezicht. We kijken of die technologische ontwikkelingen ook inderdaad in het klantbelang worden ingezet. Dat betekent dat wij ons vaak zullen richten op het zorgvuldig gebruik van klantdata, en ook op waardeketens en risico's van de IT-intensieve bedrijfsvoering. We hebben als AFM daarvoor verschillende aanpassingen in de organisatie gedaan: een programma datagedreven toezicht, een fintechteam, een team digitaal onderzoek en ook een team dat zich bezighoudt met de operationele processen en IT, om daarin met deze risico's rekening te kunnen houden.

Als we dan kijken naar de bevoegdheden van toezichthouders, waar net ook al het een en ander over gezegd is, dan denk ik dat de samenwerking over het algemeen goed verloopt. Er is wel één ding dat wij willen noemen. Dat is namelijk dat wij niet altijd gegevens kunnen uitwisselen. De Europese financieeltoezichtregelgeving verbiedt ons om vertrouwelijke informatie uit te wisselen met bijvoorbeeld de AP. Dat is iets wat alleen op Europees niveau aangepast kan worden, maar wat soms in de praktijk wel een sta-in-de-weg is. Ik kan u een voorbeeld noemen van waar de bevoegdheden nog niet helemaal afdoende zijn voor de AFM om altijd te kunnen ingrijpen, want in de meeste gevallen is dat wel zo. Het informatiegebruik door Big Techs is al eerder genoemd. Financiële instellingen maken daarvan gebruik, maar verliezen ook het zicht. Die gebruiken de data van Big Tech om marketing op een bepaalde manier in te steken. Er worden zoekmachines en zoektermen gebruikt waar we niet altijd zicht op hebben. De macht ligt dan in handen van de Big Techs en dat is niet altijd in het belang van de consument. Dat is ook vaak grensoverschrijdend en daarom lastig om aan te pakken.

Dat grensoverschrijdende is een wat algemener aspect dat ik zou willen noemen. In Europa hebben we een paspoortsysteem voor financiële dienstverlening. Consumenten in Nederland worden in toenemende mate geconfronteerd met digitale vormen van dienstverlening, waarbij de operaties van de bedrijven zich niet primair in Nederland bevinden. Die bedrijven kunnen gebruikmaken van allerlei jurisdicties en daar dan toch een legitieme uitstraling aan geven. Je kunt bijvoorbeeld klanten bellen vanuit Cyprus met een 020-nummer. Het nationale mandaat blijft dus vaak achter of wordt gecompliceerder door de internationale regels die daarvoor zijn, met een home- en hosttoezichthouder. Wij werken daaraan en willen daar ook in het Europese kader aan werken. Wij hebben dat punt ook genoemd in het kader van de Europese kapitaalmarktunie.

Ik wil nog zeggen dat het normenkader voor ons over het algemeen voldoende is. Wij proberen eigenlijk binnen de normenkaders die wij hebben in de interpretaties dat specifieke element van digitalisering een plek te geven; dat is net ook al een keer genoemd. Een voorbeeld daarvan is het rapport dat we hebben gepubliceerd over artificiële intelligentie. We hebben aan bedrijven in de verzekeringssector, die zich daar natuurlijk ook allemaal mee bezighouden, een aantal vragen meegegeven. Dat zijn normen en vragen die ze zichzelf zouden moeten stellen, van het type: wat voor beleid heb je op artificiële intelligentie? Maar het is bijvoorbeeld ook de vraag die net al aan de orde kwam: in hoeverre voorkom je nu dat er sprake is van discriminatie? Die vraag wordt dan gesteld.

Er zijn twee terreinen waarvan we denken dat er nog niet voldoende regelgeving is. Dat is voornamelijk de blockchaintechnologie, waar waarschijnlijk nadere regelgeving nodig is. We hebben vorig jaar ook samen met de Nederlandse bank een paper uitgebracht over crypto's, dus daar zal ik dan ook naar verwijzen.

Dank u wel.

De voorzitter:

Dank u wel. U nodigt vast uit om een vraag te stellen. Dat is heel slim, bij zo'n inleiding. Mensen denken nu al: wat wil hij dan met die blockchains? Maar dat komt dan straks vanzelf bij de vragenronde. Dat is echt heel slim. Dank u wel. Dan geef ik het woord aan de heer Gelderman. Hij is divisiedirecteur Toezicht Beleid bij De Nederlandsche Bank.

De heer Gelderman:

Dank u wel, mevrouw de voorzitter. Net als de vorige sprekers is het me een genoegen om hier te zijn. Fijn dat u ons uitgenodigd heeft. Digitalisering raakt ons allemaal en zeker ook DNB. Het is ook een plezier om uw vragen te beantwoorden. Dat hebben we deels gedaan in een positiepaper. Dat ga ik hier niet voorlezen; dat zou erg saai worden. Ik wil er wel drie punten uitlichten. Daarna wil ik misschien nog even op de vorige sprekers ingaan.

Die drie punten zijn de volgende. Allereerst zitten wij hier als toezichthouder op de financiële sector, op de integriteit van de financiële sector, als prudentieel toezichthouder op de financiële degelijkheid van de financiële sector, en minder vanuit een consumentenperspectief dan de eerdere sprekers. We zitten hier ook als toezichthouder op een sector die ongelofelijk ICT-intensief is. Een bank, een verzekeraar, een betaalinstelling: het is de facto een geautomatiseerd systeem met nog een klein beetje chartaal geld ernaast. Dat maakt ook dat we van dag tot dag te maken hebben met de dingen die bij u op de agenda staan. Wij kunnen eenvoudigweg onze taak niet meer uitvoeren zonder te kijken naar modellen, naar algoritmes, naar datagebruik en naar cybersecurity. We doen dat dus ook al. Het impliceert ook een ander iets, dat ook in de vorige sessie tussen de regels door ter sprake kwam: mocht er een aparte toezichthouder komen of wat dan ook, dan is het niet mogelijk om die taak eruit te lichten. Wij focussen op de financiële processen van een financiële instelling, en niet separaat op de andere onderdelen.

Dan het tweede element dat ik uit wil lichten. Mijn eerste punt klinkt allicht een beetje alsof wij op onze lauweren rusten en denken: we doen het allemaal al goed. Ik zou niet zeggen dat we het slecht doen, maar we constateren wel echt dat er een stroomversnelling is en dat we een tandje bij moeten zetten. De ontwikkelingen in de sector gaan steeds sneller en sneller. Er komen steeds meer partijen. De Europese paspoorten, waar Johan naar verwees, leiden er ook toe dat er steeds meer buitenlandse partijen actief zijn in Nederland. Wij moeten investeren in de capaciteit van onze mensen en in de capaciteit van onze systemen. Wij zijn dan ook heel blij dat we het afgelopen jaar van het Ministerie van Financiën de mogelijkheid hebben gekregen om die investeringen te doen middels een uitbreiding van ons budget. Dat hebben we echt nodig om die aansluiting te houden, om ervoor te zorgen dat wij geen risico's missen en ook om ervoor te zorgen dat wij innovatie niet nodeloos in de weg staan.

Een derde punt dat ik uit wil lichten, is het feit dat wij naar onze processen kijken. Maar daarmee dekken wij natuurlijk niet de hele wereld af die uw interesse heeft. We dekken niet het privacyterrein af – dat is goed belegd bij de AP – en we dekken niet de niet-financiële sector af. Er zijn uitdagingen buiten ons terrein en vanzelfsprekend hebben die uw terechte aandacht. Er zijn ook uitdagingen – er is er ten minste één – waarvoor wij ons wel verantwoordelijk voelen, maar waarbij wij twijfels hebben of we die verantwoordelijkheid ook kunnen waarmaken. Wij denken eigenlijk dat we die niet voor de Nederlandse financiële sector kunnen waarmaken, niet binnen Nederland en misschien op dit moment zelfs ook niet binnen Europa. Dat is nog niet een acuut risico, maar dat is gerelateerd aan cloudcomputing. Wij zijn zeker niet tegen cloudcomputing. We zien risico's, maar we zien ook voordelen. Op het niveau van individuele instellingen zijn die risico's en voordelen heel goed af te wegen om ervoor te zorgen dat er geen dingen fout gaan. Wat we niet kunnen, is systeembreed naar de risico's kijken. Op het moment dat we een tendens krijgen in de wereld waarbij instellingen, zowel in de financiële sector als daarbuiten, in toenemende mate cloudcomputing gebruiken en de cloudproviders in toenemende mate geconcentreerd raken, dan krijg je het risico dat zo'n cloudaanbieder door hackers of financiële problemen niet kan functioneren en een groot gedeelte van de economie geraakt wordt. Dat is in onze beleving een zaak die nog een beetje buiten de radar is. Misschien gaat een van mijn collega's daar iets geruststellends over zeggen; dat zou mij genoegen doen. Dat wat betreft mijn drie punten.

Ik wil even aansluiten bij de punten die de voorgangers van de AP en de AFM maakte. Ik herken helemaal het beeld dat Aleid Wolfsen zojuist schetste. We zaten hier anderhalf jaar geleden voor PSD2. Toen begon de samenwerking. Die was soms nog wat onwennig. Nu zien we dat de mensen elkaar echt weten te vinden. In het bestuurlijk overleg hebben we een goede manier gevonden om informatie met elkaar uit te wisselen, dus dat is echt tevredenstellend. Ik herken ook het punt dat Johan de Groot van de AFM zojuist maakte. Er zijn grenzen aan onze gegevensuitwisseling en daar lopen we af en toe tegen aan. We zijn wel heel blij dat de grens voor fintech, waar u ook over sprak, bij de implementatie van PSD2 door u, het Ministerie van Financiën, is weggenomen en dat we goed gegevens uit kunnen wisselen. Dat doen we ook van dag tot dag.

Daar wilde ik het bij laten. Dank u wel.

De voorzitter:

Dank u wel. Dat was een helder verhaal. Dank u. Dan geef ik het woord aan de heer Korvinus. Hij is inspecteur-generaal van de Inspectie JenV.

De heer Korvinus:

Ja, al sinds 1 januari van dit jaar. Als u afgelopen zaterdag gekeken heeft naar hoe het zit met de onafhankelijkheid, dan voldoe ik in ieder geval aan de aanbeveling van de heer Velders, namelijk dat ik niet uit de ambtelijke kring afkomstig ben maar uit het veld. Hij beschouwde dat als een intrinsieke meerwaarde voor de positie van inspecteur-generaal. Ik denk overigens dat mijn buurvrouw ook zo'n bijzondere kwalificatie heeft van echte onafhankelijkheid.

De voorzitter:

En de rest?

De heer Korvinus:

Ik laat dit rusten. Ik laat het aan anderen om daarop te reageren, want u heeft gezegd dat we vooral opmerkingen moesten maken die intrigeren. Ik probeer om daaraan mijn bijdrage te leveren.

De Inspectie Justitie en Veiligheid houdt toezicht op de kwaliteit van de taakuitvoering op het brede terrein van Justitie en Veiligheid: politie, nationale veiligheid, migratieketen, crisis- en rampenbeheersing, sanctietoepassing en instellingen in de jeugdketen. Voor zover het om de crisis- en de rampenbeheersing gaat, houden wij ook nog toezicht op het domein in Caribisch Nederland. Daar kijken we ook naar. Het is dus een heel mooi en breed pakket. De heer Gelderman zei dat toezicht slechts uit te oefenen is in een volstrekt gedigitaliseerde omgeving, waarin je automatisch allerlei dingen ook via die weg moet aanpakken. De justitiële omgeving kenmerkt zich wat minder door een algehele doordringing van een perfect lopende automatisering en processen die eigenlijk als vanzelf digitaal in elkaar vallen. Daar is nog veel meer sprake van enig ontwikkelproces. Dat is ook wel een beetje te vertalen naar mijn inspectie. Ik ben in januari binnengekomen en tegelijk met mij kwamen er een paar collega's bij die wij als versterking op het digitale domein hebben aangetrokken.

Als u kijkt naar ons geschrift, dan zult u zien dat we met een aantal dingen doende zijn, maar dat we ook heel erg aan het begin staan van allerlei activiteiten die we nog nader gaan ondernemen. Wat u verder zult hebben gelezen, is dat we bijna alle partijen die hier aan tafel zitten, maar ook andere partijen, hebben genoemd als partijen waarmee we samenwerken. We hebben een coördinerende rol op het gebied van de weerbaarheid van de digitale, vitale processen. We werken samen met het Agentschap Telecom om dat op een goede manier invulling te geven. Onze rol ligt wat meer in het veiligheidsdomein en bij alle aspecten die daarbij komen kijken, terwijl wij op het gebied van techniek vooral kijken naar het Agentschap Telecom. In de sfeer van de persoonsgegevensverwerking kijken we wat meer vanuit onze blik. We weten welke taak bij de Autoriteit Persoonsgegevens ligt. We kijken voortdurend wie wat moet gaan oppakken en hoe we samen kunnen afstemmen dat we dat we op een goede manier doen.

Daarmee haak ik aan op de eerste vraag van de heer Van Otterloo, die zei: als er wat gebeurt, wie doet dan wat? Als het in ons domein ligt, dan is het op dit moment een beetje onze stijl dat we daar aandacht voor vragen en dat we met elkaar bespreken wie wat oppakt en hoe we daar invulling aan gaan geven. Daarmee beoog ik enig antwoord te geven op uw vraag.

Dank u wel.

De voorzitter:

Dank u wel. Dan geef ik als laatste het woord aan mevrouw Van Dijk, directeur-hoofdinspecteur van het Agentschap Telecom. Verschillende mensen hebben al iets gezegd over de telecomsector, waar zij actief in zijn. Ik ben dus heel erg benieuwd naar uw eigen bijdrage en hoe u die ziet in verhouding tot wat de anderen daarover hebben gezegd. Het woord is aan u.

Mevrouw Van Dijk:

Dank u wel. Met de naam «Agentschap Telecom» hebben we gelijk iets te pakken, want die naam doet eigenlijk geen eer aan wat wij doen. Wij gaan niet meer alleen over dat koperen telefoondraadje. Ik zou «autoriteit in de digitale infrastructuur» een betere titel vinden. Dat is het domein van het Agentschap Telecom. Om dat even te visualiseren: het is maart, dus dan dwarrelt die blauwe envelop weer bij iedereen door de brievenbus om belastingaangifte te doen. Ik zal dat procesje even doornemen: je zit achter je computer en je maakt online verbinding via een telecomprovider met een internetdienst om toegang te krijgen via het netwerk van de telecomprovider tot de website van de Belastingdienst. Het gaat om al die stapjes. Vervolgens moet je je elektronisch identificeren: ik ben wie ik ben. Je vult je aangifte in en vervolgens sluit je die af met een elektronische handtekening. De zaak wordt opgeslagen op een server in een cloud. Dan maak je als burger gebruik van de digitale infrastructuur. Op al die stappen houden wij toezicht. Wij houden toezicht, met name in de telecomsector, in de energiesector, op alle IT-netwerken, op alle apparatuur die van die netwerken gebruikmaakt, op elektronische identiteiten en op de cloud. Per 2021 zijn wij beoogd om NCCA te worden, zoals dat zo mooi heet: National Cybersecurity Certification Authority. We werken uiteraard heel nauw samen met justitie op dit punt, en niet alleen met justitie, maar ook in de inspectieraad, waar alle inspectiediensten bijeenzitten om dat onderwerp met elkaar te bespreken en bijeen te pakken.

De legitimatie voor wat wij doen, zit in de Telecomwet. Die geeft ons handvatten in de Wet beveiliging netwerk- en informatiesystemen, de Wbni, de Cybersecurity Act, de Wet digitale overheid en in de eIDAS-verordening, met name als we het hebben over elektronische identificatie. Nogmaals, op al die technieken houden wij toezicht. Wij hebben dus verstand van alle verbindingen daartussen en de ketenrisico's die je loopt. Wij zeggen niets over het gebruik, de privacy of de toepassing ervan. Dat is echt het domein van de vakdepartementen of van de andere toezichthouders, bijvoorbeeld als het de privacy betreft. Daar waar het de veiligheid betreft, hebben we een hele goede samenwerking met justitie, die daar beleidsmatig coördinerend op is. Maar zodra het gaat om het in kaart brengen van de ketenrisico's van die techniek, dan zijn wij van de partij en kunnen wij onze kennis en expertise inbrengen.

Ik pleit voor drie dingen. Ik pleit in ieder geval voor het handhaven van het huidige toezichtstelsel, maar ook voor meer samenwerking. Ik pleit voor shared responsibility. Dat moeten we veel meer laten zien bij beleid, uitvoering en toezicht, maar ook met de markt en, waar dat kan, ook de burger zelf. Ik pleit ook voor het stappen zetten in Europa om proactief toezicht te kunnen houden op de digitaleserverproviders, de clouddiensten. Wij houden daar toezicht op, maar dat kunnen we alleen nog maar reactief. Dat is een zorgpunt. 50% van de clouddiensten is in buitenlandse handen. Wat gebeurt er met die data? Daar zal de Autoriteit Persoonsgegevens ook wat van vinden. Daar zouden wij meer grip op moeten krijgen.

Ik pleit ook voor een verkenning naar artificial intelligence, zoals wij en ook anderen die doen. Dan doel ik niet op het gebruik daarvan, maar veel meer op de techniek. Dat gaat over het automatisch configureren van instellingen. Hoe loopt dat? Hoe gaat dat? Ook kunnen wij onze expertise inbrengen bij het routeren van het internetverkeer, ook ten behoeve van andere toezichthouders of beleid van andere vakdepartementen.

De voorzitter:

Dank u wel. Daarmee hebben we een heel palet voorgeschoteld gekregen van allerlei verschillende toezichthouders en de samenwerking daartussen. Ik denk dat daar vast vragen over zijn bij de collega's.

Mevrouw Van Weerdenburg (PVV):

Zoals we hebben kunnen horen, werken jullie allemaal heel goed samen. Aan de andere kant kunnen jullie niet altijd alle gegevens uitwisselen met elkaar. Om het even wat minder abstract te maken zat ik te denken aan een voorbeeldje, bijvoorbeeld Apple Pay. We hoorden net dat de ACM daar onderzoek naar heeft gedaan of nog onderzoek naar doet. Op een gegeven moment wordt zoiets gelanceerd en zit iedereen via internet naar dat Apple Event te kijken. Volgens mij werd dat minder dan vijf jaar geleden gelanceerd. Wat gebeurt er op dat moment? Wie gaat welk onderzoek doen? Wat is de volgorde? En wie heeft er allemaal mee te maken?

De voorzitter:

Aan wie was de vraag gericht?

Mevrouw Van Weerdenburg (PVV):

Eigenlijk aan iedereen die daar iets mee gedaan heeft. Hoe gaat dat traject? Als Apple Pay wordt gelanceerd, wie komt er dan in actie?

De heer Keppels:

Wij als ACM doen twee onderzoeken op dit moment. Er loopt een onderzoek naar de komst van Big Tech naar de betaalmarkt op het verzoek van het Ministerie van Financiën. Daarin kijken we naar de huidige marktstructuur, hoe die wordt en welke risico's daaraan zitten wat betreft afhankelijkheden, mogelijk misbruik, toetreding en innovatie. Dat soort dingen. Daarover hebben we uiteraard onmiddellijk contact met AFM en DNB.

Een tweede onderzoek dat wij doen, is of Apple in de App Store niet voorwaarden hanteert waarmee misbruik wordt gemaakt. Het is soms moeilijk om door de App Store heen te gaan. Dat gaat dan over de tarieven die zij rekenen voor betalingen en de ruimte die zij bieden om buiten de app om betalingen te doen. Ook daarover hebben wij contact met AFM en DNB. Dit is vanuit een zorg die binnen ons mandaat valt. Dat sluit mooi aan op het mandaat van AFM en DNB. We houden elkaar op de hoogte.

Je kunt je ook voorstellen dat we dat allemaal samenvoegen, maar voordat je naar een algoritme of app gaat kijken, moet je ook een soort motivatie hebben in de zin dat het een probleem moet zijn dat je moet willen oplossen. Je kan niet alleen maar naar de techniek kijken. Je moet het in combinatie doen met een bepaalde sectordeskundigheid, een bepaalde drive om problemen op te lossen. Dat verklaart dat we soms allemaal naar dezelfde partijen kijken, maar wel vanuit een andere invalshoek.

Mevrouw Van Weerdenburg (PVV):

Maar wie geeft er dan toestemming aan zo'n dienst?

De heer Gelderman:

Zal ik ook een poging ondernemen om wat te zeggen? Dat gaat uw leven niet overzichtelijk maken, vrees ik. We hebben als centrale bank een verantwoordelijkheid voor de goede werking van het betalingsverkeer. Vanuit die bevoegdheid kijken wij naar alle vormen van betalingsverkeer in Nederland. Dat is niet uw eigenlijke vraag, maar die wil ik ook even benoemd hebben. Op het moment dat een bank besluit – dat is hoe het in ons achterhoofd werkt – zaken te gaan doen met Apple Pay, dan moet die bank zijn processen op een verantwoorde wijze inrichten. Die moeten hackproeven doorstaan. Die moeten een hele set aan IT-beveiligingsregels naleven. Dus wij keuren niet op dat moment Apple Pay goed. We gaan wel bij Nederlandse banken die zaken doen met Apple Pay, kijken of de processen daaromtrent goed ingeregeld zijn. Dat kan best even tijd kosten. Dan is het denkbaar dat Apple Pay een vergunning als PSD2-aanbieder zal aanvragen. Op het moment dat dat gebeurt, gaan wij de vergunningsaanvraag beoordelen. Dan schakelen wij met de AP. We hebben een periodiek beraad met de vier toezichthouders die hier om tafel zitten. Daar praten wij elkaar bij over dit soort zaken in de hoop dat wij het kunnen meenemen in ons beoordelingsbesluit als de AP grote privacyproblemen ziet bij die instelling.

Dat is alleen op het moment dat ze zo'n vergunning aanvragen. In andere situaties hebben wij geen directe rol om naar een partij als Apple Pay te kijken. Het kan ook zijn dat een partij ervoor kiest een vergunning aan te vragen in een ander land van de Europese Unie. Dan kom je op iets wat raakt aan wat Johan de Groot van de AFM zojuist zei. Die partij hebben we dan vanwege hun paspoortrechten te accepteren. Dan staan wij buitenspel. Althans, dat is een wat groot woord, want we kijken nog steeds naar de banken waar we zelf toezicht op houden. Maar we hebben dan geen rol meer. Die rol ligt dan bij de buitenlandse autoriteit, met een controlerende rol voor de EBA als het een betaalinstelling is, en voor de EBA, het SSM of de ECB als het een bank is.

De voorzitter:

Jullie zijn met z'n vieren onderdeel van dat beraad, maak ik hieruit op. Ik zie allemaal handen gaan. Overigens vind ik het ook fijn als het niet alleen gaat over wat er goed gaat. Het is ook weleens fijn om te horen wat er niet goed gaat. Dat moet ook vooral helder worden. Dit is wel een beetje het moment daarvoor.

De heer De Groot:

Ik heb net wel genoemd wanneer dat voor ons het geval is. In dit geval richten wij ons op vergunningverleners. Wat dat betreft werkt het hetzelfde als bij DNB. Die vergunningverlener kan dus de bank zijn of een betaaldienstverlener. Alleen, het verschil is dat wij met andere normen daarnaar kijken. DNB kijkt als toezichthouder naar een aantal prudentiële normen en wij richten ons, kort gezegd, op hoe het is gesteld met het belang van de klant.

De heer Wolfsen:

Als laatste misschien. Als die vergunning is verleend, als iemand dat mag gaan doen, als er persoonsgegevens in het spel zijn, als iemand aarzelt of daar wel rechtmatig mee is omgegaan – rechtmatig, behoorlijk en transparant; dat is de trits waarvan ik het plezierig zou vinden als u die zou onthouden, want zo simpel is het eigenlijk – als iemand daar vragen over heeft of als wij ambtshalve twijfels hebben of dat wel goed gaat, dan kunnen wij daar onderzoek naar doen. Als je het even platslaat, dan moet een burger zich eigenlijk afvragen of hij een bepaalde verwerking via toestemming of een contract wel heeft gewild, heel simpel gezegd. Of er moet een wet zijn op basis waarvan dat mag. Dat kan een wet van u zijn of een Europese. En de vraag is: is het goed beveiligd? Is die verantwoordingsplicht goed? Zo kijken wij ernaar. Dan kunnen wij beboeten of dat soort dingen, maar de bank of de AFM kan bijvoorbeeld ook de vergunning intrekken. Zo werken wij samen. Dat werkt in de praktijk – sorry, mevrouw de voorzitter – goed.

De heer Verhoeven (D66):

Kunt u het alle vier vanuit uw invalshoek om een bepaalde reden op een bepaald moment tegenhouden? U heeft het de hele tijd over uw eigen invalshoek. Kunt u het alle vier tegenhouden op het moment dat iets vanuit uw invalshoek niet in de haak blijkt te zijn? Heeft u daar alle vier de bevoegdheid voor of moet dat uiteindelijk toch via één van jullie vier toezichthouders lopen?

De heer Wolfsen:

Heel strak even. U noemde de vergunningverlening al even. Daar gaat De Nederlandsche Bank over. Maar als wij heftige schendingen zien, dan kunnen wij per dag een verwerking stilleggen. Wij kunnen acuut een verwerkingsverbod opleggen. Als wij zien dat er iets heftig misgaat, dan kunnen wij voor Nederland een verwerkingsverbod opleggen. Wij kunnen niet de vergunning intrekken, want de vergunning is door anderen verleend. We kunnen beboeten en dat soort dingen – dat is wat meer reactief – en wij kunnen het verwerkingsverbod bijvoorbeeld inzetten.

De heer De Groot:

Wij kunnen ook ons hele handhavingsinstrumentarium inzetten, behalve het intrekken van een vergunning.

De voorzitter:

Dat snap ik. Voor mijn begrip: kunnen jullie alle drie zorgen dat zo'n vergunning er niet komt? Dat is uiteindelijk de vraag.

De heer Gelderman:

Nee, dat kan niet ieder van ons drieën, maar ieder kan wel binnen zijn instrumentarium bevoegdheden uitoefenen. De AP kan op een gegeven moment zeggen: ik heb bezwaren tegen de verwerking. Dan heeft een instantie nog steeds een vergunning, maar kan die zijn werk niet meer doen. De AFM kan zeggen: ik vind dat de consumentenbelangen hier niet op een juiste wijze worden behartigd, dat consumenten vals worden voorgelicht. En de AFM kan een aanwijzing, een last onder dwangsom aan de instelling opleggen – ik weet niet precies hoe jullie escalatieladder eruitziet, maar ik vermoed net als bij ons – en zeggen: corrigeer dit, anders gaat u per dag dat u in overtreding bent, een boete betalen. Wij hebben als ultimum remedium dat wij de vergunning in kunnen trekken, maar dat is echt het ultimum remedium. Wij beginnen ook met aanwijzingen en lasten onder dwangsom op het moment dat wij zien dat er tekortkomingen zijn.

De heer Keppels:

Men kan beboeten als er misbruik wordt gemaakt van de machtspositie. Men kan dan ook een last onder dwangsom opleggen. Wat wij graag willen, is dat wij preventief al iets kunnen doen voordat er een overtreding is, voordat er misbruik is. Dat kunnen wij nog niet.

De voorzitter:

Wat is dat preventieve dan? Kunt u dat nog even toelichten? Is dat dus de mogelijkheid om zo'n vergunning niet te geven? Heeft datgene wat u wilt, dan iets te maken met het verlenen van die vergunning?

De heer Keppels:

Nee, dat heeft niets met die vergunning te maken, want daar zijn wij niet de instantie voor. Wij kunnen wel een gedraging stoppen. Dat kan natuurlijk heel ver gaan. Dat kan bij wijze van spreken, net als bij het stoppen van een verwerking, betekenen dat een bedrijf niet meer verder kan op die manier.

De heer Van Otterloo (50PLUS):

Het is altijd goed om te horen dat iedereen blij is om hier te zijn!

De voorzitter:

Ik heb dat niet gezegd!

De heer Van Otterloo (50PLUS):

Ik had net het idee van een happy bunch tegenover me. Maar er was er één waarvan ik al uit de stukken begreep dat hij er net iets anders over dacht, niet over het hier zijn, maar wel over de tevredenheid over de open normen. Dat was de Inspectie JenV. Ik zou toch graag meer van die kant willen horen. Wat zou er vanuit die verantwoordelijkheid in dat belang dan gedaan moeten worden om ook een vorm van tevredenheid, zoals de rest die heeft over die open norm en die open formulering in de wetgeving, tot stand te brengen?

De heer Korvinus:

Ik weet niet of wij zo snel op het niveau terecht gaan komen dat u hier beluisterde. Wij zijn vooral een toezichthoudende inspectie. Als wij op een gegeven moment iets constateren waarvan wij zouden vinden dat het echt moet stoppen, hebben wij daar in ieder geval op dit moment geen instrumentarium voor. In de wet die toezicht moet houden op de beveiliging van netwerken en informatiesystemen, behoren wij niet tot degenen die hier bevoegdheden op mogen uitoefenen. Als het gaat over normering, zullen wij voor een deel werkende weg gaan kijken hoe we daaraan nadere invulling moeten geven. In veel van de domeinen waar wij actief zijn, zullen de «nood-sub-propcriteria» een rol spelen, namelijk de noodzakelijkheid, de subsidiariteit en de proportionaliteit. Daar zullen we eigenlijk altijd wel op toetsen, maar dat zijn tegelijkertijd ook redelijk open normeringen waarmee we aan de slag zullen moeten gaan. Er zal dus nog wel het een en ander moeten gebeuren. We zullen waarschijnlijk werkende weg steeds meer komen met zaken waarvan wij vinden dat er misschien iets moet gaan gebeuren.

De heer Van Otterloo (50PLUS):

Ik heb daarstraks een vraag gesteld over hoe het zit met groepen. De AVG richt zich sterk op individuen. We hebben in de vorige sessie gehoord dat daar nog wel een gat zit. U heeft ook een bepaalde verantwoordelijkheid als u vindt dat bepaalde groepen worden benadeeld. De vraag, die ik even bij beide partijen neerleg, is wat er zou moeten wijzigen teneinde zo'n gat dat geconstateerd wordt, toch te kunnen dichten.

De heer Wolfsen:

Een beetje hardop denkend: het klopt dat het recht op gegevensbescherming, naast het recht op privacy en het recht op eigendom, een van de grondrechten van mensen is. Dat richt zich in beginsel altijd op individuen: op de vrije mens in een vrije wereld die zich vrij moet kunnen bewegen en vrij moet kunnen leven. Dat is eigenlijk het uitgangspunt van grondrechten. Dat geldt natuurlijk generieker, zoals ik al zei. Als je bijvoorbeeld een algoritme ontwikkelt waar een codeerregel in zit die – laat ik het neutraal zeggen – discriminerend werkt, dan werkt die vaak discriminerend voor grote groepen. Als je een algoritme ontwikkelt om sollicitatiebrieven te selecteren of leningen te verstrekken of dat soort dingen, kan één programmeerregel voor hele groepen discriminerend werken. Dan is onze redenering dat dat niet behoorlijk is, dat het unfair is en niet eerlijk is, en dus onrechtmatig is. Dan is het natuurlijk gericht op het individu, maar het discrimineert een hele grote groep mensen. In die zin is het dus een beetje kip-of-ei. Ik weet niet of ik het ermee eens ben dat de AVG niet op groepen ziet, vanwege de redenering die ik net noemde. Dat is het grote gevaar van – toch een beetje jargon – het verschil tussen causaliteit en correlatie, dus dat meer cynische voorbeeld dat ik al noemde. Het hoort zo te zijn dat je verdachte bent als je op basis van feiten en omstandigheden verdacht bent en niet dat iemand denkt: nou, ik ga eens even alle dossiers van mensen die in de gevangenis zitten, in een computer stoppen en kijken of daar dingen in zitten die correleren – een bepaalde auto, een bepaalde achtergrond, een bepaalde leeftijd, man/vrouw – en iedereen die er dan uit komt, is dus verdachte. Dat kan dus niet. Die grote gevaren zijn er momenteel. Dan heb je het wel over groepen en individuen, maar in mijn beleving is dat redeneren over dezelfde norm.

De voorzitter:

Meneer Korvinus, wilde u nog iets toevoegen?

De heer Korvinus:

Wij kennen natuurlijk in onze wetgeving wel de mogelijkheid om je, als vereniging of groep die zich gezamenlijk getroffen voelt door regelgeving die op individuen is gericht, daartegen teweer te stellen. Uiteindelijk is de SyRI-uitspraak een voorbeeld waarbij een aantal personen en/of organisaties zich met elkaar verenigd hebben en zeiden: dit accepteren we niet. Dan zie je vervolgens dat de rechter, conform de Europese regelgeving voor de rechten van de mens, gaat bekijken of deze inperking noodzakelijk is vanwege het belang dat er ligt bij het opsporen van dit type fout gedrag. De rechter zegt dan: ja, dat kan bepaalde vormen van gegevensuitwisseling in beginsel noodzakelijk maken. Het tweede is: als je bekijkt wat je ermee beoogt te bereiken en het resultaat dat je tot op heden hebt bereikt, dan valt het niet in de proportionaliteit. Ook in de subsidiariteitstoets valt het af, omdat de wijze waarop ermee is omgegaan niet acceptabel is. Zo zou ik me dus zeer wel kunnen voorstellen, ook ten aanzien van de AVG, dat er activiteiten gaan plaatsvinden bij het min of meer stelselmatig ontdekken van wat er fout gaat, als wij er niet al eerder voor zorgen dat ook degenen die het raakt, daarover geïnformeerd worden en de gelegenheid krijgen om hun gedrag aan te passen. Want volgens mij is dat wel degelijk wat ook de AP nu signaleert. Die legt ook onderwerpen terug. Dat kan over het individu gaan, maar er zit natuurlijk ook een zekere mate van systematiek achter. Het is natuurlijk ook logisch voor degene die dan geadresseerd wordt, om daar wat mee te gaan doen.

De heer Middendorp (VVD):

Dank voor alle inleidingen. Ik heb twee vragen. Een tijdje geleden heeft een grote Nederlandse financiële instelling aangekondigd om betaalgegevens te gaan gebruiken om daar een winstmodel achter te plakken. Dat is alweer tien jaar geleden, denk ik. Dat is allemaal niet doorgegaan. Ik vroeg me eigenlijk af – met name gericht aan de heer van DNB maar misschien ook aan anderen – of er inmiddels, want de tijd schrijdt voort, bedrijven actief zijn die misschien veel intensievere bedrijfsmodellen baseren op deze persoonsgegevens, zoals die bank tien jaar geleden wilde. Het is heel duidelijk dat je bepaalde stukken niet zomaar uit het huidige toezichtkader kunt halen. Dat begrijp ik heel goed. Als ik het goed begrijp, zijn er een aantal dingen die de ACM mag doen. Geldt het stilleggen van gegevensverwerking door de Autoriteit Persoonsgegevens ook voor bijvoorbeeld buitenlandse partijen? Dat is daar erg aan gerelateerd, denk ik.

Mijn tweede punt is het volgende. Wij zijn toch op zoek naar kaders en wij kijken niet vanuit de silo die op telecom of de hele digitale infrastructuur toezicht houdt. Wij kijken gewoon of er kaders te maken zijn die eigenlijk voor iedereen gelden, voor algoritmegebruikende instellingen. In het vorige gesprek werd meer vanuit de overheid gekeken. Hier wordt meer vanuit de niet-overheid gekeken. Hoe kijkt u daartegen aan? Zijn er een aantal dingen die wij als Kamer kunnen doen om meer grip te krijgen op bijvoorbeeld het gebruik van algoritmen, in de zin van «dit is wat algoritmegebruikende instellingen wel of niet zouden moeten doen», dus om een kader te scheppen? Het kan natuurlijk heel breed geformuleerd zijn. Dat hoeven geen specifieke regels te zijn. Maar zijn daar ideeën over? Het interessante is natuurlijk dat de Autoriteit Persoonsgegevens, in tegenstelling tot heel veel andere toezichthouders, over overheid én niet-overheid gaat.

De voorzitter:

Aan veel mensen zijn vragen gericht. Ik begin met de heer Gelderman.

De heer Gelderman:

Dank voor de vraag. Het gebruik van betaalgegevens is iets waar we recent nog in een publicatie aandacht voor hebben gevraagd. Wij zien dat consumenten gelukkig meer vertrouwen hebben in banken dan in de rest van de wereld met betrekking tot het op een verantwoorde wijze gebruiken en bewaren van gegevens. Dat vinden wij een heel groot goed. Wij zitten er dan ook heel nadrukkelijk op dat het vertrouwen niet wordt beschaamd. Op het moment dat banken tekortschieten in de beveiliging of privacygevoelige zaken gebruiken, hebben wij ook een rol, vanuit een integere en beheerste bedrijfsvoering. Je moet het vertrouwen van die klanten niet kwijtraken; ze moeten niet bij je weglopen omdat je dat vertrouwen beschaamt.

Parallel daaraan speelt wel iets – daar doelt u volgens mij ook op – namelijk dat in de context van PSD2 banken in een aantal omstandigheden verplicht zijn om gegevens te delen met derde partijen. Een aantal banken wil daar graag een slot op zetten, maar de implementatie van de PSD2-richtlijn in de Nederlandse wetgeving verbiedt dat. Dus op het moment dat een bank dat slot erop wil zetten, zeggen wij: nee, de wetgever heeft toch uit concurrentieoverwegingen en om de markt open te breken besloten dat er wel ruimte is en u, beste bank, mag dat niet doen en voldoet dan niet aan de PSD2-vereisten. Op het moment dat een consument aan een PSD2-aanbieder, waar in Europa die ook zit, toestemming heeft gegeven om de gegevens van zijn bank in te lezen, kan die PSD2-aanbieder die set gegevens inlezen. Hij moet wel voldoen aan allerlei eisen op het gebied van de Algemene verordening gegevensverwerking.

Uw tweede vraag ging over kaders voor het algoritmegebruik. Dat is een worsteling, die enigszins aansluit op wat de heer Van Zwol in de eerdere sessie zei. Wij zijn op zich niet degenen die als autoriteit in den brede beleid op algoritmegebruik gaan uitvaardigen. Wij hebben wel nadrukkelijk de discussie met de sector willen openen met een document dat we gepubliceerd hebben – dit zijn de SAFEST-principles – over het verantwoord gebruik van algoritmes, waarbij onder andere rekening moet worden gehouden met fairness, en met ethische overwegingen. We gaan dat gesprek met de sector dus wel aan. Wij zijn niet degenen die hier aan het eind van de dag beleidsregels gaan uitvaardigen. Ik denk dat dat aan het eind van de dag op Europees niveau potentieel in generieke zin gaat gebeuren. Wat we daarnaast in toenemende mate zien is dat, als wij als toezichthouders in Europees verband nieuwe richtlijnen uitvaardigen, zoals we nu bijvoorbeeld doen op het punt van kredietverlening, daar bijna automatisch een paragraaf over big data, privacy en algoritmes in staat, met eisen dat men niet blind mag vertrouwen op een model, aangezien er altijd een menselijke component in moet zitten. Op die manier wordt het weer ingebed in ons dagelijkse proces.

De voorzitter:

Zijn er anderen die daar iets dringends aan toe te voegen hebben?

De heer Wolfsen:

Even in het algemeen hierop aansluitend: algoritmes en applicaties zijn van alledag; daar moet echt iedereen zich mee bezighouden. Als dat niet gebeurt, zeker in bedrijven, hebben we het begin van de volgende crisis te pakken. In 2008/2009/2010 wisten banken niet meer wat er in hun bank gebeurde en wat ze verhandelden. Dat heeft onder andere geleid tot de bankencrisis. Als bedrijven of overheidsinstellingen nu niet weten wat er met automatisering en algoritmes in hun bedrijven of hun overheidsinstellingen gebeurt, durf ik te zeggen dat dat het begin van de volgende crisis is. Het is tegenwoordig eigenlijk onverantwoord als in een groot totaal gedigitaliseerd bedrijf, een zorginstelling of een overheidsinstelling in de leiding geen CFO is, in relatie met de controller. Het hebben van een CFO is doodnormaal. Er moet ook iemand in de leiding en het toezicht zitten die de digitale wereld snapt. Anders is dat het begin van de volgende crisis.

De heer Middendorp vroeg of er veel handel in data plaatsvindt. Ja, er vindt handel plaats in fietsen, in auto's en ook in data. Bij fietsen en auto's is dat best goed geregeld. Als dat illegaal plaatsvindt, noemen we dat diefstal, heling of verduistering. Bij de datawereld is dat inmiddels ook goed geregeld, daar is dat inmiddels ook onrechtmatig. Maar de bewustwording dat je niet zomaar mag handelen in data is nog niet overal doorgedrongen. Dat mag natuurlijk, maar alleen met onvoorwaardelijke toestemming van betrokkenen, of als sprake is van contractering. Dat moet nog goed doordringen. Een bank mag alles doen, maar met mijn toestemming, of op basis van een contract. Heel mooi: de Nederlandse banken doen het ontzettend goed, maar ze hebben ook de rijkste informatie over ons van heel Europa, omdat wij het meest digitaal betalen.

Wat kan de Kamer nog doen? Consumentenbescherming bijvoorbeeld. Een van de dingen die al goed geregeld is – daar zijn misverstanden over – is het volgende. Je kunt niet via algemene voorwaarden je grondrechten wegcontracteren, om maar eens een voorbeeld te noemen. Het is nu geregeld in een Europese richtlijn, en dat is mooi. In een eerder gesprek werd al gerefereerd aan biometrie. Biometrie mag je gebruiken, ook als je solliciteert, maar alleen als het vrijwillig is. Biometrie is verboden, tenzij het vrijwillig is of de wetgever het mogelijk maakt. U zou kunnen denken, bijvoorbeeld bij sollicitaties, dat het daar vrij mag zijn. Maar dat willen we toch niet. U kunt dan regelend optreden. U zou misschien ook nog iets kunnen doen aan het volgende, en dan denk ik vooral aan het strafrecht. Het is best gek, als ik mijn oude fiets aan de buurman geef die ermee aan de haal gaat, dat dat dan evident strafbaar is in het strafrecht. Maar heeft hij alle persoonsgegevens van mij, waar ikzelf veel meer aan hecht dan aan mijn oude fiets, dan is dat goed geregeld in de AVG, maar daar dreigt niet het gevang voor degene die daar onrechtmatig mee verder gaat. De oude en de nieuwe wereld schuren daar nog een beetje. Daar zou u ook nog wat kunnen doen.

De voorzitter:

Ik zie dat nog twee mensen iets willen zeggen: eerst de heer Keppels en daarna mevrouw Van Dijk. O, ik begrijp dat de heer Middendorp nog een aanvullende vraag heeft. Laten we eerst nog de aanvullende vraag doen. Die kan dan misschien nog worden meegenomen. Ik wijs er wel op dat het allemaal nog wel een beetje vlot moet.

De heer Middendorp (VVD):

Misschien kan ik de heer De Groot een voorzet geven. De heer Gelderman zegt in gesprek te zijn met de eigen sector over het specifieke punt hoe je algoritmes gebruikt. De heer Wolfsen zei vanuit de AP dat dit het begin van de volgende crisis kan zijn. Want als die instellingen – ik noem dat maar even voor het gemak «algoritmegebruikende instellingen» – zelf niet weten wat de risico's van het algoritmegebruik zijn voor mensen, hoe je die risico's mitigeert en hoe die interne bedrijfsprocessen geregeld zijn, dan gaat dat mis. Die dingen samen nemende: dat spreekt mij ontzettend aan. Ik heb daar zelf een initiatiefnota over geschreven. Ik noem het voorbeeld van de heer De Groot om de financiële sector te laten rapporteren over wat ze doen. Dat gaat om bijvoorbeeld de derivatenposities en asset-backed securities; ik weet niet welke u noemde. In 2008–2012 wist men in de financiële sector niet waar men aan toe was, omdat er niet over werd gerapporteerd. Daar zit nog iets als het gaat om communiceren met de samenleving, rapportages maken. Dat leg ik maar even aan u voor, in aansluiting op uw antwoord net. Is daar niet ook wat te winnen, naar analogie van de financiële sector die de heer Wolfsen net zelf opbracht?

De heer De Groot:

Om meteen op het laatste punt in te gaan: dat sluit aan bij het onderzoek dat we gezamenlijk naar de verzekeringssector hebben gedaan. In eerste instantie zeggen we tegen de verzekeraars: leg maar eens uit wat je beleid is. Hoe houd je rekening met allerlei zaken of die al of niet duurzaam zijn? Dan komen we in de sfeer van «leidt dat niet tot een volgende crisis?», maar ook van «in welke mate zijn die in het belang van de klanten?». Dat punt wilde ik in antwoord op uw eerdere vraag aanvullen. Of het gebruik van data in het belang van de klant is, wisselt per situatie. Soms vragen we dat juist wel. Bij overkreditering zegt men dan: probeer rekening te houden met de kenmerken van het individu. Maar als het gaat om dynamic pricing van verzekeraars, moet dat juist weer niet. Ik denk dat dat ook van belang is als u nadenkt over hoe je dat verder gaat inrichten qua toezicht en normen. Het is afhankelijk van de sectorspecifieke context. Daar maakt het dus wel uit wat het belang van de klant is en wat de norm is die je als toezichthouder zou willen hanteren.

De heer Keppels:

De heer Middendorp vraagt of wij ook buitenlandse partijen kunnen aanpakken. Dat kan. Op het gebied van mededinging kunnen wij dat, maar kan ook de Europese Commissie dat. Als zij vinden dat het meer iets voor hen is, kunnen zij dat ook naar zich toe halen. Op het gebied van consumentenbescherming kan de Europese Commissie dat niet en zouden wij het eigenlijk best gezond vinden als zij dat ook kunnen, want dan kunnen zij pan-Europese problemen oplossen en dan kunnen de lidstaten zich op de iets minder grensoverschrijdende problemen richten.

Ik maak wel een kanttekening. Er zijn buitenlandse partijen uit zwakke jurisdicties waar wij in theorie wel wat mee kunnen, maar waar wij in de praktijk toch niet goed de vinger achter krijgen. Dan proberen wij ze hier te verstoren, door het telefoonnummer in te trekken en dat soort zaken.

Mevrouw Van Dijk:

Kort ter aanvulling: als bedrijven AI inzetten als technologie ten behoeve van de continuïteit of ten behoeve van de cyberveiligheid, dan valt dat onder ons reguliere toezicht. Echter, voor generiek toezicht, waarbij je moet denken aan de transparantie, de veiligheid en de auditeerbaarheid, moet er nog wetgeving komen. Daar is Europa ook heel druk mee doende en ook daarbij is het van belang op Europees niveau invloed uit te oefenen om dat te bewerkstelligen. Dus ik houd nogmaals een pleidooi om dat in Europees verband op te pakken. Overigens komt het werk dat wij doen voor 99,9% uit Europa. Bij de eerste ronde valt dat wat weg, maar voor velen van ons geldt dat de beïnvloeding van wat we bereiken met name dáár zit, natuurlijk ook voor de Tweede Kamer.

De heer Verhoeven (D66):

Mevrouw Van Dijk van het Agentschap Telecom noemde een aantal wetten op basis waarvan zij als organisatie toezicht houdt op de digitale infrastructuur. Dat is weer anders dan een aantal toezichthouders die eigenlijk op basis van één wet toezicht houden. Kunt u aangeven hoe dat dan in de praktijk werkt, met verschillende wetten? Ik ben daar heel erg in geïnteresseerd. Dat lijkt mij een bredere toezichtstaak te zijn, maar misschien is dat wel helemaal niet zo. Misschien kunt u nog iets vertellen over de verschillende wetten die een rol spelen in uw toezicht op de digitale infrastructuur.

Ik vind uw opmerking over de digitale infrastructuur heel terecht, want het agentschap heet inderdaad Agentschap Telecom, maar de digitale infrastructuur is natuurlijk een heel belangrijk, steeds kwetsbaarder geheel aan het worden, waar we dus ook bepaalde eisen aan willen stellen. Daarvoor bent u dan in hoofdzaak de toezichthouder. Klopt dat? Dat zou mijn eerste vraag zijn. Dus ik ben nog even op zoek naar uw manier van toezicht houden ten opzichte van een aantal toezichthouders die wat meer op basis van één wet werken. Dat is in mijn ogen toch weer een andere vorm. Klopt dat?

Dan ook iets richting de heren Gelderman en De Groot. Ik heb niet zo heel veel ervaring met de financiële markten; ik heb daar de afgelopen tijd in mijn Kamerlidmaatschap weinig tot niets mee gedaan. Van een afstand kijkend zou mijn gevoel zijn dat u best dicht op elkaar zit. Ik heb nooit helemaal goed het onderscheid tussen DNB en AFM kunnen maken. Dat begint vandaag te komen, dankzij uw toelichting. Zijn er ook weleens momenten geweest dat dat onderscheid op de een of andere manier niet helemaal goed uit de verf kwam, of dat het zoeken was wie het moest doen? Kunt u daar toch ook een voorbeeld van geven?

De heer Van Zwol zei dat we niet zomaar een nieuwe toezichthouder op het gebied van algoritmes moeten instellen, want dan krijg je weer allerlei vraagstukken. Dat snap ik op zich wel, maar ik vind dat De Nederlandsche Bank en de Autoriteit Financiële Markten toch vrij dicht bij elkaar zitten. Daarom ben ik er een beetje benieuwd naar hoe dit in het verleden is ontstaan en hoe het nu functioneert: of het problemen oplevert, of dat het allemaal heel duidelijk gescheiden is. Als het heel duidelijk gescheiden is, dan zou dat wat mij betreft ook met een algoritmetoezichthouder in de toekomst zo kunnen zijn.

De voorzitter:

Dank u wel. En is het toeval dat ze dan ook hier naast elkaar zitten?

De heer Verhoeven (D66):

Dat is toeval. Want toeval bestaat wel.

De voorzitter:

Dat is waar. Ik geef als eerste het woord aan mevrouw Van Dijk.

Mevrouw Van Dijk:

Dank u wel, meneer Verhoeven. Dat klopt. Wij hebben een aantal grondslagen waaruit wij toezicht uitoefenen. Ik heb ze net even heel kort aangestipt. Van oudsher is de Telecomwet het meest bekend. Maar als je kijkt naar het hele werk in de zin van toezicht houden, dan was het Agentschap Telecom van oudsher met name bekend van de verdeling van frequenties in de ether. Maar inmiddels zijn ook space, de ruimte, satellieten in de ruimte en de frequentieruimte onderwerpen waar we ons mee bezighouden. Dat is dus een breed spectrum. Op basis van de Telecomwet, de Wet beveiliging netwerken en informatiesystemen die ik al heb genoemd, de Cybersecurity Act, de eIDAS-verordening en de Wet digitale overheid houden wij toezicht.

We hebben in die zin ook diverse opdrachtgevers, diverse departementen waarmee we afspraken maken. Een mooi voorbeeld is op het gebied van cybersecurity, om dat maar eens aan te halen. Daarbij werken we nauw samen met de Inspectie Veiligheid en Justitie, die een coördinerende rol heeft in het samenstellen van het inspectiebeeld op dit gebied. Maar, zoals gezegd, het onderwerp digitalisering komt in alle vakdepartementen en ook bij alle toezichthouders voor. Het is dus van ongelofelijk belang dat over de toepassing en het gebruik wordt nagedacht, maar met name over die digitale kant, dus de verbindingen. Daar hebben wij verstand van, want bij het internet of things heb je het over artificial intelligence en de cloud. Dat is een driehoek, onlosmakelijk met elkaar verbonden. Je kan alleen maar praten met elkaar door telecom. Dan kom je weer terug bij het Agentschap Telecom. Van al die verbindingen hebben wij verstand en daarvan kunnen wij de ketenrisico's in kaart brengen.

Dat is even hoe het werkt. Ik hoop dat dit voldoende inzicht geeft.

De voorzitter:

Ik kijk even naar de heer Verhoeven. Is dat voldoende inzicht?

De heer Verhoeven (D66):

Jazeker. Mag ik nog één korte aanvullende vraag stellen? U noemt de drie-eenheid cloud, internet of things en artificial intelligence. Ik denk dat u dan bedoelt dat data steeds meer uit die IoT-apparaten wordt gegenereerd, dat de verwerking daarvan via algoritmes en artificial intelligence verloopt en dat de opslag daarvan in de cloud gebeurt. U zegt dus eigenlijk dat dat een soort driehoek is waarbinnen allerlei data fluctueert; die driehoek is eigenlijk de digitale infrastructuur. Dat is een ongelofelijk in ontwikkeling zijnd geheel met ongelofelijk veel private aanbieders en buitenlandse partijen. Bent u dan degene die dat op een kritische manier bekijkt? Hoewel ik gevoelsmatig denk dat daar ook heel veel andere toezichthouders bij betrokken zijn. Hoe gaat dat dan?

Mevrouw Van Dijk:

Storing, dekking, continuïteit, veiligheid en sinds kort ook cybersecurity zijn allemaal thema's waar wij naar kijken. Dus dekkingsgraden, storing, continuïteit en überhaupt de beschikbaarheid van de infrastructuur, en uiteindelijk ook de vertrouwenskant – digitaal vertrouwen – zijn thema's waarop wij acteren, maar altijd vanuit de techniek bekeken.

Misschien moet ik nog één ding aanvullen. U zei dat die wereld zo in ontwikkeling is. Dat is absoluut het geval. De digitale transitie gaat snel en daarom kunnen we ook niet meer te werk gaan zoals we vroeger, klassiek dachten: er gebeurt iets, we maken wetgeving, beleid, uitvoering en dan toezicht. Het is echt iets wat we met elkaar steeds meer moeten gaan verbinden. Dat vraagt dus ook in die zin een andere rol van de toezichthouder: agenderend, signalerend en ook veel meer aan de voorkant, met open normen, samen met bedrijven en ook de markt; niet klassiek nalevingstoezicht, een vinkje zetten en iemand een draai om de oren geven. Deze digitale wereld, met inderdaad ook heel veel inmenging van grote buitenlandse bedrijven, vraagt er juist om ook heel nauw bij elkaar die ontwikkelingen te volgen. Dus dat is nog even een appel op shared responsibility.

De voorzitter:

Ik ben niet de tweede vraag vergeten, maar we gaan deze nog eventjes laten uitbenen door de heer Van Otterloo. Ik heb nog een vraag en de heer Wolfsen had ook nog een opmerking.

De heer Van Otterloo (50PLUS):

Een feitelijke vraag. DNB heeft zorgen over de cloud, namelijk over dat daar heel veel in zit. Hoeveel overleg heeft u beiden al gevoerd over dat probleem?

De voorzitter:

Ik ga zelf ook een vraag stellen, want anders komen we daar niet meer aan toe. U had het erover dat ook de routering van internet uw taak is. Dat snap ik, want dat gaat ook over de protocollen en dergelijke die zorgen voor een bepaalde route. Maar over die routering zijn ook weleens zorgen geweest dat juist als grotere bedrijven op een gegeven moment wat meer macht krijgen, ook op internet, zij misschien ook mede kunnen bepalen hoe de routes verlopen van bepaalde data, met weer allerlei gevolgen voor datalekken. Hoe kijkt u daartegen aan? Hoe zit het dan ineens met de taakverdeling?

De heer Wolfsen:

In die zin is ons leven redelijk overzichtelijk, mevrouw de voorzitter. Zodra er digitale bestanden worden verwerkt en er persoonsgegevens in zijn verwerkt, zijn wij er altijd van. Dus in die zin leven wij in een redelijk digitale wereld. Zodra er persoonsgegevens en bestanden in het spel zijn, zijn wij er altijd van. Dat geldt natuurlijk ook voor anderen. Daarom zeggen we als er bijvoorbeeld bij Justitie wat aan de hand is en de inspectie het zelf oppakt: prima. Dan vinden we dat heel fijn. Als ze het niet doen, dan grijpen wij in.

De heer Verhoeven (D66):

We hebben dit bijeengeroepen omdat de interactie tussen de toezichthouders interessant was. Ik zag de heer Korvinus een beweging maken waarvan ik wil weten wat hij bedoelt.

De heer Korvinus:

Wij werken op dit domein voortdurend samen. We kijken ook even wie het nu oppakt en wat we oppakken en gaan dan na of het dekkend is. Als er nog een gedeelte is dat wat meer in de sfeer van de Autoriteit Persoonsgegevens ligt, dan gaat zij ermee aan de slag. En wij kijken dan wat meer naar de inrichtingsvragen die er vervolgens achter wegkomen. Wij zeggen dan: waardoor is het gekomen en hoe gaan we het in de toekomst voorkomen? Er is dus eigenlijk voortdurend een soort slag met elkaar.

De voorzitter:

U zegt: wij gaan erover zodra er persoonsgegevens in het spel zijn, maar de vraag is: wanneer weet u of er persoonsgegevens in het spel zijn? Dat is natuurlijk het hele probleem met de routering. Er werd ook gezegd: het is van groot belang dat bedrijven weten hoe hun bedrijfsvoering is, want anders hebben we weer de volgende crisis. Maar mijn these is dat heel veel telecombedrijven werkelijk geen idee hebben hoe de routering van allerlei berichten gaat, ook omdat het deels uitbesteed is. Hoe weet u dat hier een probleem zit?

De heer Wolfsen:

Dat begint aan het begin. Wat u terecht zegt, mevrouw de voorzitter: in een bedrijf moet je weten wat daar gebeurt. Het is te vergelijken met een bankencrisis. Je moet je daarover informeren. Dus als je contracteert met een andere partij, moet je weten waar je over contracteert en wat er gebeurt. Als er twijfel over is of iemand bij ons klaagt, dan kunnen we er onderzoek naar doen en dan kunnen wij erin gaan duiken. Wij kunnen overal bij en we hebben overal toegang toe, behalve tot de geheime dienst natuurlijk, de AIVD. Maar verder kunnen we altijd overal bij en overal in. Dan moet je natuurlijk wel goede «techies» hebben, zoals de Engelsen zeggen, om dat goed te gaan onderzoeken. Ik ben het met u eens dat het op zich theoretisch goed gedekt is, maar de executie, de uitvoering daarvan is af en toe best een puzzel. Daarom ben ik er steeds meer voor om die werelden van afzonderlijke toezichthouders niet uit elkaar te trekken, maar juist bij elkaar te brengen. Dus de wereld van de technologen en de normatieve, morele wereld moet je bij elkaar leggen. Anders zijn het gescheiden verantwoordelijkheden. Het is zo verweven met ons dagelijks leven. Bijvoorbeeld de leiding in een zorginstelling kan niet zeggen: ik ben van de zorg en ga over goede zorg, maar de technologie is bij de technologie-afdeling. Dat kan tegenwoordig niet meer. Je moet het dus zo dicht mogelijk op elkaar zetten. Dat is de kern van je business. Vandaar ook mijn pleidooi dat er bij de leiding en bij het toezicht, ook bij het interne toezicht, deskundigheid moet zijn in die digitale wereld. Anders gebeurt er wat u zegt: dan weet je niet meer wat er feitelijk gebeurt.

Maar ik ga terug naar de vraag. Zodra er persoonsgegevens in het spel zijn, er bestanden zijn en er wat wordt verwerkt en zodra er een lek is of het niet goed beveiligd is, dan zijn wij ervan. Wij zijn er sowieso altijd van. Dat maakt ons leven overzichtelijk, maar het dwingt je wel om heel goed af te stemmen met andere toezichthouders, want die kunnen ook heel veel doen; dat is vanzelfsprekend.

Mevrouw Van Dijk:

Ik kom even kort op de vraag of wij met De Nederlandsche Bank overleg hebben gehad over clouddiensten. Het antwoord daarop is nee, tenminste ik kan het mij niet herinneren. Ik ben sinds vorig jaar augustus op deze positie, dus wellicht is het voor die tijd gebeurd, maar in ieder geval heb ik daar geen weet van. Het issue met de clouddiensten is dat ook in Europees verband moet worden afgesproken hoe we daar toezicht op kunnen houden. Op dit moment kan dat alleen nog maar reactief, dus als er een incident is waarvan we denken: goh, daarbij moeten we ingrijpen. Maar proactief kan dat nog niet.

De voorzitter:

Ik zie de vinger van de heer Gelderman. Daarna kunt u naadloos overgaan naar uw verhouding tot de AFM.

De heer Gelderman:

Die wilde ik inderdaad meteen meenemen. Uw observatie is correct, mevrouw Van Dijk. Misschien hebben we overleg gehad, maar dat heeft geen hoge vorm gehad. Ik denk dat de kern bij de cloudproblematiek is dat het op dit moment gelukkig nog niet bestaat. Maar het kan wel bestaan en er is een lacune in wet- en regelgeving. Als wij een clouduitbesteding van een bank, een verzekeraar of een pensioenfonds beoordelen, dan is een van onze criteria: bent u in staat om, als er problemen ontstaan bij de provider, de dienstverlening binnen een aanvaardbare termijn bij een andere provider in te kopen? Op het moment dat er nog maar één provider in Europa zou zijn, hebben we een probleem. Op het moment dat een aantal heel grote instellingen bij dezelfde provider zitten, hebben we een probleem. Dan moet je denken over dingen als proactief toezicht en standaardisatie om dat op te lossen.

Dan onze verhoudingen. Er zit een tweetal componenten aan de ontstaansgeschiedenis van DNB en AFM. De ene component is een heel banale, maar ik wil hem toch niet onbenoemd laten. In aanloop naar de financiële crisis, toen er op een gegeven moment problemen waren in het VK, is er geconstateerd dat er een dreiging is dat gedragstoezicht en consumententoezicht prudential supervision verdringen. Er zijn zo veel individuele dossiers die betrekking hebben op consumentenbescherming, dat het prudentieel toezicht het onderspit delft. Die constatering is in het VK gedaan en die is bij de inrichting van het twinpeaksmodel in Nederland ter harte genomen.

Er is ook een conceptuelere reden. Die houdt in dat wij potentieel een belangenconflict hebben. Meneer De Groot noemde net de consumentenbescherming en het potentieel maken van overmatige winsten. Vanuit een prudentieel perspectief is het in theorie heel erg aantrekkelijk als iemand overmatige winsten maakt, want dat is goed voor de financiële gezondheid. Daarom is er bewust voor gekozen die twee functies uit elkaar te hebben. In de praktijk werkt dat in 90% van de gevallen goed. Er zijn twee aandachtspunten. De ene ziet u denk ik ook al als u heeft geluisterd naar de eerdere woorden van de heer De Groot: juist op het terrein van IT en ICT komen we elkaar heel vaak tegen. Dat ziet u ook tot uiting komen. In het rapport over AI bij verzekeraars en in het rapport over cryptocurrencies treden wij samen op. Op het moment dat wij bij een beleggingsinstelling of een beleggingsonderneming een ICT-onderzoek doen, doen wij dat samen met de AFM. Wij opereren dan dus heel erg samen.

Een tweede uitdaging is de aansluiting op het Europese toezicht. In Nederland hebben we de volgende verdeling gekozen: 90% van de dossiers die de collega's van de AFM behandelen, valt onder ESMA en 90% van de dossiers die wij bij DNB behandelen, valt onder EBA. Maar bij tijd en wijle gaat er iemand van DNB mee naar ESMA en gaat er iemand van de AFM mee naar EBA, om te zorgen dat we daar de zaken goed afhechten. Dat gaat in mijn ervaring in heel goed overleg.

De voorzitter:

Ik hoop maar dat u hetzelfde verhaal heeft, meneer De Groot.

De heer De Groot:

Ik heb één aanvulling, namelijk dat de belangen van het gedragstoezicht en het prudentieel toezicht soms een ander soort ingrijpen vereisen. Continuïteit is het sleutelwoord voor het prudentieel toezicht, terwijl bij de gedragstoezichthouder soms de behoefte kan ontstaan om in te grijpen, juist om de conflicten expliciet te maken en de toezichthouders te dwingen om met elkaar in gesprek te gaan, bijvoorbeeld over beleggingsverzekeringen. Dan gaat het bijvoorbeeld over de vraag: ga je nu aandringen op individuele compensatie of wil je de verzekeraar behoeden tegen een te grote claim? Die discussie moet expliciet worden gemaakt. Als je dat niet doet, zal het risico juist zijn dat het gedragstoezicht het onderspit delft. De toezichthouders in Europa hebben nog verschillende modellen van toezicht. Het Engelse is het belangrijkste voorbeeld van een verandering in de laatste jaren. De laatste jaren, na de kredietcrisis, waarbij ervoor is gekozen om ook de scheiding tussen prudentieel toezicht en gedragstoezicht te maken. Degenen die daarmee begonnen zijn, zijn de Australiërs.

De voorzitter:

Ik wil zelf nog een vraag stellen. Er is een rapport geweest over het verzekeringswezen. Jullie hebben natuurlijk allemaal ook jaarverslagen en dergelijke. Is het een goed idee dat er jaarlijks een rapport komt waarin een aantal van de bovenliggende thema's die hier allemaal aan raken, aan ons gepresenteerd worden? Dan worden wij vanuit de Tweede Kamer niet alleen maar hapsnap met allerlei verschillende rapporten geconfronteerd, maar dan worden wij er wat geconcentreerder mee geconfronteerd. Of is er al een voorbeeld hiervan, misschien ook uit het buitenland? Wie o wie?

De heer Keppels:

Ik ken wel voorbeelden uit Nederland. Neem de zorgverzekeringsmarkt, de ACM samen met de NZa, en de AFM, DNB. Dat gebeurt en ze kunnen dat meer doen. Daar kan ik mij best iets bij voorstellen.

De heer Wolfsen:

Ik vind het een goed idee om dat meer af stemmen. Een van de leden vroeg eerder waar de wetgever meer mee kan doen. Wij moeten dat verplichten vanwege onze verplichte wetgevingsadvisering, maar DNB geeft soms ook wetgevingsadviezen. Dat zouden we best gecoördineerd kunnen doen. Dan kunnen we de Kamer ook tips geven waar ze mensen beter zou kunnen helpen. In het begin is al gevraagd waar de Kamer nog meer kan helpen. Nou, ik heb de consumentenbescherming al genoemd. Bijvoorbeeld biometrie mag alleen vrijwillig, maar de Kamer kan toch zeggen: bij sollicitaties, ook al is het vrijwillig, willen wij dat het niet mag. Op dat soort vlakken zouden wij best adviezen aan de Kamer kunnen geven als gezamenlijke toezichthouders over kwesties waar wij tegen aanlopen in de praktijk. Ik vind dat best een goed idee.

De voorzitter:

Ik zag volgens mij ook scepsis, of niet? Nee? Nee!

Mevrouw Van Dijk:

Geen scepsis, maar themagewijs zijn er allerlei onderwerpen nodig. Wij brengen straks over 112 een gezamenlijk onderzoek uit van drie inspectiediensten. Bij mijn weten gebeurt het niet heel vaak dat drie inspectiediensten op één onderwerp zitten en dat vanuit verschillende invalshoeken belichten. Wellicht dat dit in de toekomst smaakt naar meer.

De voorzitter:

Zijn er nog meer vragen? De heer Middendorp.

De heer Middendorp (VVD):

Twee vragen nog. Wat kunnen we doen om als Kamer meer grip te krijgen op de 98,9% of 99,8% die in Europa wordt geregeld? Misschien geldt dat meer voor de telecom, maar volgens mij wordt dat zo langzamerhand een hoog percentage. Wat kunnen wij doen? Ik vind die overkoepelende rapportage ook een goed idee. Daar ben ik ook in geïnteresseerd, maar ik ben ook benieuwd of we niet een stap verder kunnen zetten, ondanks dat dit, zoals de heer De Groot zei, contextueel bepaald is. Ik pleit ervoor, maar ik ben benieuwd of daar bezwaar tegen is van de kant van de insprekers, dat ook algoritmegebruikende instellingen elk jaar zelf met een rapportage komen. Dan kunnen ze ook laten zien dat ze weten wat ze aan het doen zijn. Dat weten ze natuurlijk, maar dan kunnen ze dat ook richting de samenleving communiceren. Dat zou een mooie input kunnen zijn voor de voorgestelde rapportage. De vraag over de 98,9% stel ik aan mevrouw Van Dijk, want zij begon erover. De vraag over de rapportage leg ik neer bij de heer Wolfsen, vooral omdat hij er met andere woorden een soort pleidooi voor hield. Ik vermoed dat ik daarover een positief antwoord krijg.

De voorzitter:

Dat is heel slim, maar je weet het nooit.

Mevrouw Van Dijk:

Geldt voor mij ook dat de heer Middendorp vermoedt dat hij een positief antwoord krijgt?

De heer Middendorp (VVD):

Nee, hoor. Ik zoek naar tips voor grip van de Kamer.

Mevrouw Van Dijk:

Wie ben ik om te zeggen hoe de Kamer haar werk moet organiseren? Ik vind het lastig om daar iets over te zeggen. Heel pragmatisch de tip: er spelen zo veel verordeningen en richtlijnen, misschien kan dat een keer gecoördineerd richting de Kamer, dus niet per vakdepartement, maar een keer overstijgend. Wellicht dat dit tijdig inzicht geeft, maar ik weet niet of dat al gebeurt. Misschien is het een waardeloos voorstel.

De voorzitter:

Aan wat voor type wetgeving moeten we dan denken, want we werken heel erg in gescheiden commissies. Kunt u aangeven wat voor type wetgeving er nu over de verschillende commissies heen gaat, waarvan u zegt: laat we dat gezamenlijk bekijken op het onderwerp dat aan de orde is.

Mevrouw Van Dijk:

Alles op het gebied van digitalisering is overstijgend over alle onderwerpen. Ik doel dus op alle zaken waar het die wetgeving betreft. Het gaat nu bijvoorbeeld over de voorbereiding in Europa rondom de artificial intelligence. Dat zou je gecoördineerd kunnen vragen. Dat is al een mogelijkheid om op dat punt meer inzicht te krijgen in wat dit doet ten aanzien van de verschillende beleidssectoren. Dan kom je ook aan de voorkant te zitten en dat is waar wij de beïnvloeding doen. Het Ministerie van Economische Zaken doet die beïnvloeding samen met «beleid» en «toezicht» in die commissies in Europa op het gebied van standaardisering en certificering, want dat zul je toch Europees moeten afspreken. Dan krijg je als Kamer ook inzicht in de beleidsbeïnvloeding daar.

De heer Wolfsen:

Het idee van de heer Middendorp vind ik helemaal niks ... Nee hoor, grapje. Ik vind dat een goed idee. Hij verwachtte al een bevestigend antwoord. Ik vind dat een goed idee, want in de AVG zit natuurlijk een verantwoordingsplicht, maar die is generiek. Die verdwijnt vaak in algemene jaarverslagen. Je moet het expliciet maken, zoals je ook met financiën doet. Je moet één keer per jaar kijken wat je op dit vlak doet. Ik zeg dat een beetje naar analogie van mijn eerdere opmerking dat, als je dit niet doet, je het begin van de volgende crisis te pakken hebt. Dan weet je namelijk niet wat er in je bedrijf gebeurt. Zo verplicht je mensen om daar toch over na te denken. Ik vind dat een buitengewoon goed idee, want dan sta je er één keer per jaar expliciet bij stil, als bestuur en als toezichthouder in een bedrijf.

Dan wil ik de heer Middendorp op een ander punt nog geruststellen. De Kamer heeft volgens mij meer grip dan hij denkt. We leven in een vrij land en als vrije burger mag je doen wat je wilt. Je mag overal over contracteren. Ik mag de Kamer straks ook mijn medische dossier geven, maar wetgeving gaat heel vaak over de bescherming van zwakkeren tegen sterkeren. Arbeidsrecht, sociale zekerheid, consumentenbescherming, noem maar op. Dat doet de Kamer in beperkte mate hier ook. Bij de algemene voorwaarden mag je je grondrechten niet wegcontracteren. Dat is heel goed, terwijl je wel over die grondrechten mag contracteren. Aan de consumentenkant zou de Kamer nog meer kunnen doen dan nu gebeurt, bijvoorbeeld aan biometrie. Mag je dat wel of niet bij sollicitaties gebruiken? Vrijwillig zou het kunnen, maar je er best iets over regelen. In het strafrecht zou je wat kunnen doen. Je kunt ook iets doen aan de planningsvoorwaarden. Een tijdje geleden was er een hele discussie over de opslag van medische gegevens. Ik zou niet weten wat eraan in de weg staat om aan de Minister van VWS te vragen, maar de Kamer zou het ook kunnen regelen, een vergunning voor een Nederlandse zorginstelling te regelen, als de data maar in Europa blijven. Zo kun je veel meer regelen dan de Kamer nu denkt te kunnen regelen. De verknooptheid van de digitale wereld en de normatieve wereld speelt vaak in de Kamer, want de jurist in de fractie bemoeit zich vaak overal mee omdat wetgeving goed moet zijn geregeld. Zo zouden de digitale deskundigen dat eigenlijk ook moeten doen. Elke wetgeving leidt namelijk tot digitale uitvoering. De heer Van Zwol zei dat in het eerste uur heel mooi: vroeger werd het beleid uitgeschreven op papier en dan was het navolgbaar, maar tegenwoordig wordt het uitgeschreven in codes. Het zit in de computer, maar daardoor is het slechter navolgbaar. Ik zou me als digitale woordvoerder met al die portefeuilles bemoeien – een tip – waar iets tot digitalisering leidt. Dat moeten geen gescheiden werelden zijn.

Als afsluiting, maar dat heb ik in een vorig overleg ook gezegd: de Kamer heeft een fantastische afdeling wetgeving als ondersteuning, maar ze moeten ook een krachtige afdeling digitale wereld als ondersteuning hebben. Ik geef dat als tip, want dit komt regelmatig voor. Neem de PSD2-wetgeving, waar de heer Gelderman het al eerder over had. Die zat in verschillende commissies, maar daardoor dreigde het even mis te gaan. Het is allemaal uitstekend geredresseerd en de Minister van Financiën heeft dat uitstekend opgelost, maar dat kwam omdat het twee verschillende werelden waren. Die werden op een laat moment verknoopt en daardoor is het goed gekomen, maar het kan ook zo maar misgaan.

De voorzitter:

Dank u wel. Ik vrees dat we aan het eind van deze hoorzitting zijn gekomen. Aan het eind is precies aangesneden waar wij het over moeten hebben in onze commissie, maar ik geef eerst de heer Verhoeven nog kort het woord. Staccato, heel snel!

De heer Verhoeven (D66):

Ik vind het zo belangrijk dat we die laatste vijf minuten nog goed gebruiken. Ik heb nog een korte vraag. Er werd in de vorige ronde getwijfeld over een nieuwe toezichthouder, ook door de vertegenwoordiger van de Raad van State: de heer Van Zwol. Is het dan een idee om een aantal toezichthouders samen te voegen tot een soort van gebundelde toezichthouder? Er zijn een aantal opties. Je doet een nieuwe toezichthouder, je voegt een aantal toezichthouders samen of je gaat door met de manier van afstemmen waarvan iedereen zegt dat die heel goed is. Is het een idee om bepaalde toezichttaken samen te bundelen, zoals ook is gebeurd bij de ACM?

De voorzitter:

Het publiek stond al bijna op, zag ik. U moet nog even blijven zitten! De heer Korvinus nog.

De heer Korvinus:

Om op dat laatste te reageren: in antwoord op uw vraag waar wij over tien jaar staan, hebben wij aangegeven dat wij ervan uitgaan dat alle personen en welke inspectie dan ook veel meer netwerkgewijs met elkaar gaan zorgen dat we hier meer als één geheel gaan acteren en elkaars knowhow gaan benutten. In het verlengde daarvan heb ik ook met mijn collega van de Inspectie Veiligheid Defensie gesproken over de knowhow die er op Defensieterrein is en op het terrein van civiel-militaire samenwerking, die zich ook op dit domein wellicht nog verder zou kunnen ontwikkelen. Het doel is niet om het over te nemen, maar wel om elkaar aan te vullen.

De andere opmerking die ik wilde maken, heeft betrekking op de suggestie van meneer Middendorp om uitsluitend over de instellingen die algoritmen gebruiken te rapporteren. Dat lijkt mij een te grote beperking. Het lijkt mij zinvoller dat zij ook de aspecten van cybersecurity en digitale weerbaarheid noteren, omdat je dan even iets breder dat aspect hebt van wat je mogelijk beoogde aan de orde te stellen.

Dank u wel.

De voorzitter:

Het gaat erom dat het in ieder geval om die algoritmes gaat. Er moet dus niet per se zo'n beperking zijn. Wij gaan hard nadenken over alles wat u gezegd heeft. Daarbij hebben we er nota van genomen dat de samenwerking op zich goed loopt, maar soms is het voor ons niet te doorzien wat de bovenliggende thema's zijn. Wij willen kijken hoe we daar toch wat meer uit kunnen halen. Daarover gaan wij in conclaaf. Heel hartelijk dank voor het beantwoorden van de vragen hier en voor alle papers die jullie ons hebben toegestuurd.