Kamerstuk
| Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
|---|---|---|---|
| Eerste Kamer der Staten-Generaal | 2022-2023 | 36127 nr. D |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
36 127 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data
D VERSLAG VAN EEN NADER SCHRIFTELIJK OVERLEG
Vastgesteld 10 november 2022
De leden van de vaste commissie voor Justitie en Veiligheid1 hebben in haar commissievergadering van 13 september 2022 beraadslaagd over de brief van 12 juli 2022 over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening).2 De leden van de fracties van GroenLinks, SP en PvdA gezamenlijk en de leden van de fractie van de PVV hadden naar aanleiding van de brief nog enkele vervolgvragen.
Naar aanleiding hiervan is op 29 september 2022 een brief gestuurd aan de Minister van Economische Zaken en Klimaat.
De Minister heeft op 8 november 2022 gereageerd.
De commissie brengt bijgaand verslag uit van het gevoerde nader schriftelijk overleg.
De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren
BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR JUSTITIE EN VEILIGHEID
Aan de Minister van Economische Zaken en Klimaat
Den Haag, 29 september 2022
De leden van de vaste commissie voor Justitie en Veiligheid hebben in haar commissievergadering van 13 september 2022 beraadslaagd over uw brief van 12 juli 2022 over het EU-voorstel: Geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening).3 De leden van de fracties van GroenLinks, SP en PvdA gezamenlijk en de leden van de fractie van de PVV hebben naar aanleiding van de brief nog enkele vervolgvragen.
Vragen en opmerkingen van de leden van de fracties van GroenLinks, SP en PvdA
De leden van de voornoemde fracties danken u voor uw antwoorden. Het stemt de leden positief dat de regering op diverse punten de positie van de burgers en het publiek in het algemeen scherp voor ogen heeft. Naar aanleiding van de antwoorden hebben de leden nog enkele vervolgvragen. U geeft aan dat de regering van mening is dat de verhouding tussen de Dataverordening en de AVG op onderdelen nog verder verduidelijkt dient te worden. Kunt u uiteenzetten op welke punten de regering graag verduidelijking ziet en op welke wijze zij zich daarvoor gaat inzetten? Hoe kijkt de regering bijvoorbeeld aan tegen de positie van een betrokkene die geen gebruiker is, zoals een passant die gefilmd wordt door een slimme deurbelcamera?
U geeft in uw brief aan dat de regering op basis van de reactie van de Europese Commissie op het rapport van het European Data Protection Board (EDPB) zal bezien of verdere aanpassingen in de Dataverordening om de gegevensbescherming te verbeteren nodig zijn. Hoe beoordeelt de regering zelf het rapport van het EDPB? En op welke punten onderschrijft de regering het commentaar van het EDPB?
De leden constateren dat de positie van de betrokkene die geen gebruiker is door de conceptverordening vooral wordt overgelaten aan de AVG. Ook zonder toestemming van de betrokkene kunnen uiteindelijk persoonsgegevens uitgewisseld worden en kunnen (geanonimiseerde) gegevens terechtkomen bij een bedrijf of overheid die deze wel weer kan herleiden tot personen. Is de regering voornemens in te zetten op een verbetering van de positie van de betrokkene die geen gebruiker is? Bijvoorbeeld middels een verplichting om de betrokkene te informeren over het delen van data of het uitzonderen van bijzondere persoonsgegevens, wanneer het delen plaatsvindt door een betrokkene die geen gebruiker is?
De leden vragen ook opheldering over de scheidslijn tussen persoonsgegevens en niet-persoonsgebonden gegevens. Veel aspecten van de Dataverordening leunen op het begrip «persoonsgegevens» om extra waarborgen te creëren of op «niet-persoonsgebonden gegevens» om waarborgen weg te laten. De voorgestelde Dataverordening biedt momenteel geen nadere toelichting over wat «niet-persoonsgebonden» gegevens zijn, waardoor er teruggevallen dient te worden op het persoonsgegevensbegrip uit de AVG. Met de huidige jurisprudentie is «persoonsgegevens» een relatief begrip: er is sprake van persoonsgegevens wanneer de verwerker beschikt over de wettige middelen waarmee hij de betrokken persoon kan identificeren.4 Is de regering van mening dat de relativiteit van het begrip persoonsgegevens rechtsonzekerheid met zich mee kan brengen? Wat is de visie van de regering hierop? Specifiek in relatie tot de positie van de betrokkene die geen gebruiker is en de verwerking van gegevens die later gecombineerd kunnen worden tot bijzondere persoonsgegevens.
Het toezicht en de handhaving van de Dataverordening zijn essentieel om de doeleinden te realiseren en de privacy waarborgen daadwerkelijk effect te doen hebben. Met de AVG is een grote stap vooruit gemaakt met duidelijke toezichthouders en potentieel hoge boetes door de keuze voor omzetafhankelijke boetes. Net als de AVG zal de Dataverordening vallen of staan bij effectieve handhaving en toezicht. Waarom vindt de regering het nu nog te vroeg in het proces om te kiezen voor omzetafhankelijke boetes? Zou het niet ook zorgen voor meer rechtszekerheid wanneer aangesloten wordt op de boetesystematiek van de AVG, aangezien het denkbaar is dat een deel van de overtredingen van de Dataverordeningen ook (deels) een overtreding van de AVG zijn? De leden ontvangen hier graag een reflectie op.
Daarnaast vragen de leden zich – los van de huidige fase in het proces – af of de regering omzetafhankelijke boetes passend vindt voor de Dataverordening? En zo nee, welke andere boetesystematiek geniet dan de voorkeur? U geeft aan dat de inrichting van het toezicht op de verordening of de boetesystematiek nog niet kan worden gekozen omdat het voorstel nog in onderhandeling is en dat deze keuzes pas kunnen worden gemaakt als het voorstel klaar is. Is de regering bereid om voorstellen te doen inzake een door Nederland gewenste boetesystematiek, net zoals Nederland op andere vlakken voorstellen doet in deze fase?
U gaf in de beantwoording ook aan dat de regering kritisch is over de zeer algemene grondslag voor overheden om gegevens op te vragen. Bedoelt de regering daarmee ook dat het soort gegevens dat opgevraagd kan worden te breed is? Wil de regering inzetten op gedeeltelijke of volledige beperking voor overheden om (bijzondere) persoonsgegevens in de zin van de AVG op te vragen, inclusief een beperking om gegevens die – samen met gegevens die de verzoekende overheidsdienst reeds heeft – gecombineerd kunnen worden tot (bijzondere) persoonsgegevens?
Een mogelijkheid om overheden te nopen tot voorzichtigheid met dataverzoeken, zou een verplichte transparantie in deze verzoeken zijn. Denkbaar is om een nationaal of EU-breed register in te stellen met welke overheid van welke datahouder welke gegevens opgevraagd heeft. Vindt de regering een dergelijk instrument een nuttige extra waarborg in het voorgestelde stelsel? Zo ja, zou de regering hierop in willen zetten in de onderhandelingen? Zo nee, waarom niet?
Ziet de kritiek van de regering op de zeer algemene grondslag van hoofdstuk vijf ook op welke overheidsdiensten gegevens op kunnen vragen? Zo ja, ziet de regering er dan wat in om een uitgebreider stelsel te maken van welke overheidsinstanties welk type gegevens op kunnen vragen, bijvoorbeeld door slechts in sectorspecifieke wetgeving beperkte grondslagen voor dataverzoeken op te nemen? En meer specifiek, hoe verhoudt hoofdstuk vijf van het voorstel zich tot de bevoegdheden van inlichtingendiensten? Is het mogelijk dat inlichtingendiensten – van Nederland of andere lidstaten – (bijzondere) persoonsgegevens opvragen via de Dataverordening? Zo nee, wilt u dit punt dan verduidelijken? Zo ja, krijgen toezichthouders voldoende handvatten om ook inlichtingendiensten voldoende te controleren? Als dit nog niet het geval is, is de regering dan bereid om hierop in te zetten in de onderhandelingen?
U geeft aan dat de regering de mogelijkheden verkent om burgers digitaal bewuster te maken over datadeling. De leden van de GroenLinks-, SP- en PvdA-fracties achten het net als de regering van groot belang dat er vanuit de overheid meer op dit voor velen onbekende terrein wordt voorgelicht. Naast de verwijzing van de regering naar bibliotheken en gemeenten vragen de leden u wat de regering vanuit Rijkswege hieraan gaat doen? Gaat zij ook bij de Europese Commissie voorstellen doen om de kennis van Europeanen te vergroten?
Net als de leden maakt ook het EDPB zich zorgen over de versnippering van het toezicht. De regering vindt versnippering van toezicht een belangrijk aandachtspunt, maar kan tegelijkertijd niet toezeggen dat het toezicht op de gehele Dataverordening bij één autoriteit wordt belegd, terwijl het EDPB dit juist betoogt. Het waarborgen van samenhang in het toezicht, coördinatie tussen de betrokken toezichthouders en de opbouw van expertise bij toezichthouders blijven volgens de regering wel aandachtspunten voor het brede pakket aan digitaliseringswetten dat in EU-verband wordt opgesteld. Anderzijds ziet de regering geen noodzaak om een nieuwe autoriteit op te richten voor het toezicht in het kader van de Dataverordening. De verschillende hoofdstukken van de Dataverordening bevatten uiteenlopende maatregelen die diverse doelen beogen. Het beleggen van toezichtstaken bij verschillende toezichthouders kan mogelijk juist bijdragen aan de effectiviteit van toezichtstaken, aldus de regering. Kunt u toelichten waarom dit een voordeel kan opleveren?
Speelt de regering weleens met de gedachte om de diverse toezichthouders op termijn deels of geheel samen te voegen en het toezicht aan te passen aan de tijd? Is de regering het ermee eens dat meer toezichthoudende taken ook gepaard moeten gaan met meer middelen om de taak naar behoren uit te voeren?
Dataminimalisatie is een essentieel begrip in de AVG. Hoe kijkt de regering ernaar om deze norm ook op te nemen in de Dataverordening? Zou de regering hier op in willen zetten in de onderhandelingen?
Vragen en opmerkingen van de leden van de fractie van de PVV
In de beantwoording op de vragen van de fractie van de PVV stelt u op bladzijde 12 en 13: «Bij algemene noodsituaties kunnen overheden onder de Dataverordening alleen data opvragen wanneer een noodsituatie is uitgeroepen volgens de daarvoor bestemde nationale of internationale procedures. Het kabinet deelt uw zorg dat dit onvoldoende waarborgen biedt. Bovendien is de definitie van «uitzonderlijke noodzaak» onder de Dataverordening breder dan alleen het reageren op noodsituaties. Deze definitie is ruim en abstract geformuleerd waardoor het voorstel een te algemeen grondslag voor het opvragen van gegevens biedt. Het voorstel bevat momenteel te weinig waarborgen om te voorkomen dat overheden naar eigen inzicht gegevens opvragen. Het kabinet deelt ook uw zorg dat dit tot disproportionele inperking van grondrechten kan leiden. Het voorstel moet op dit onderdeel worden verbeterd. Het kabinet zal hier voorstellen toe doen in de onderhandeling.»
Kunt u de leden te zijner tijd zo gedetailleerd mogelijk het onderhandelingsproces doen toekomen, met uitgebreid aandacht voor de Nederlandse standpunten, de behaalde en niet behaalde resultaten (met voor laatstgenoemde een toelichting waarom zaken eventueel niet zijn behaald) en alle activiteiten die zijn ondernomen om Nederlandse zorgen zo nadrukkelijk mogelijk in beeld te brengen? De leden van de fractie van de PVV ontvangen hier graag een gemotiveerd antwoord op.
De leden van de vaste commissie voor Justitie en Veiligheid zien uw reactie – bij voorkeur binnen vier weken – met belangstelling tegemoet.
De voorzitter van de vaste commissie voor Justitie en Veiligheid, De Boer
BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Eerste Kamer der Staten-Generaal
Den Haag, 8 november 2022
Hierbij zend ik uw Kamer, mede namens de Minister voor Rechtsbescherming en de Staatssecretaris van Koninkrijksrelaties en Digitalisering, de antwoorden op de vragen van de leden van de fracties van GroenLinks, SP en PvdA gezamenlijk en de leden van de fractie van de PVV over het EU-voorstel voor een dataverordening (171430.02U, ingezonden 29 september 2022).
De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens
171430.02U
Vragen en opmerkingen van de leden van de fracties van GroenLinks, SP en PvdA
1
U geeft aan dat de regering van mening is dat de verhouding tussen de Dataverordening en de AVG op onderdelen nog verder verduidelijkt dient te worden. Kunt u uiteenzetten op welke punten de regering graag verduidelijking ziet en op welke wijze zij zich daarvoor gaat inzetten? Hoe kijkt de regering bijvoorbeeld aan tegen de positie van een betrokkene die geen gebruiker is, zoals een passant die gefilmd wordt door een slimme deurbelcamera?
Antwoord
Het kabinet heeft in de onderhandelingen over het voorstel verschillende voorstellen gedaan om de verhouding tussen de Dataverordening en de Algemene verordening gegevensbescherming (AVG) te verduidelijken. Het kabinet vindt het hierbij belangrijk dat duidelijk is dat de Dataverordening geen afbreuk doet aan het bestaande niveau van gegevensbescherming dat de AVG biedt. Situaties waarbij de betrokkene niet de gebruiker van een internet-of-things(IoT)-product is hebben daarbij in het bijzonder de aandacht omdat de controle over datatoegang in de Dataverordening bij gebruikers van internet-of-things(IoT)-producten en datahouders ligt.
Daarom is in lijn met de inzet van het kabinet onder andere verder verduidelijkt dat de Dataverordening geen afbreuk doet aan de AVG en andere gegevensbeschermingswetgeving. Ook is nu expliciet benoemd dat de gebruiks- en toegangsrechten uit hoofdstuk 2 van de Dataverordening geen afbreuk mogen doen aan de gegevensbeschermingsrechten van anderen, waaronder betrokkenen.
Ten aanzien van het aangehaalde voorbeeld kan ik melden dat het de verantwoordelijkheid van de eigenaar of gebruiker is om ervoor te zorgen dat een eventueel geplaatste slimme deurbel zo is afgesteld dat deze alleen het eigen terrein en bezittingen filmt. In sommige gevallen grenst de voordeur aan de openbare weg. Hierbij is het van belang dat eigenaar of gebruiker de rechten van anderen zo min mogelijk schendt om onder omstandigheden een beroep te kunnen doen op gerechtvaardigd belang artikel 6 lid 1 onder f van de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft aangegeven dat dergelijke apparatuur slechts onder omstandigheden gebruikt mag worden5.
2
U geeft in uw brief aan dat de regering op basis van de reactie van de Europese Commissie op het rapport van het European Data Protection Board (EDPB) zal bezien of verdere aanpassingen in de Dataverordening om de gegevensbescherming te verbeteren nodig zijn. Hoe beoordeelt de regering zelf het rapport van het EDPB? En op welke punten onderschrijft de regering het commentaar van het EDPB?
Antwoord
In het verslag van de formele Telecomraad van 3 juni 20226 ben ik uitgebreid ingegaan op het commentaar van de AP en de EDPB op de Dataverordening. Ik onderschrijf dat in het oorspronkelijke voorstel de verhouding tussen de AVG en de Dataverordening op onderdelen te onduidelijk was en dat er onduidelijkheid bestond over de voorgestelde bevoegdheid voor publieke instanties om gegevens op te vragen bij «uitzonderlijke noodzaak» en de bijbehorende risico’s. Dit laatste onderwerp blijft een punt van aandacht voor het kabinet. Zoals in het antwoord op vraag 1 omschreven is de verhouding tussen de AVG en de Dataverordening op een aantal punten verduidelijkt. Het verdere gebruik van persoonsgegevens onder de Dataverordening moet altijd conform de AVG plaatsvinden. Het kabinet ziet dan ook vooralsnog geen reden om in aanvulling op de AVG verdere verwerking van persoonsgegevens in de Dataverordening verder te begrenzen. Het kabinet deelt ook de lezing van de EDPB dat coördinatie in het toezicht van belang is, maar dat de gegevensbeschermingsautoriteiten per definitie als coördinator moeten worden aangewezen onderschrijft het kabinet niet. Het kabinet is nog in gesprek met toezichthouders over de inrichting van het toezicht.
3
De leden constateren dat de positie van de betrokkene die geen gebruiker is door de conceptverordening vooral wordt overgelaten aan de AVG. Ook zonder toestemming van de betrokkene kunnen uiteindelijk persoonsgegevens uitgewisseld worden en kunnen (geanonimiseerde) gegevens terechtkomen bij een bedrijf of overheid die deze wel weer kan herleiden tot personen. Is de regering voornemens in te zetten op een verbetering van de positie van de betrokkene die geen gebruiker is? Bijvoorbeeld middels een verplichting om de betrokkene te informeren over het delen van data of het uitzonderen van bijzondere persoonsgegevens, wanneer het delen plaatsvindt door een betrokkene die geen gebruiker is?
Antwoord
De AVG is het primaire wetgevende kader voor de bescherming van persoonsgegevens in de Europese Unie. De AVG blijft onverminderd van kracht voor partijen die data verwerken op basis van de Dataverordening. In lijn met de inzet van het kabinet is nu expliciet opgenomen dat de gebruiks- en toegangsrechten uit hoofdstuk 2 van de Dataverordening geen afbreuk mogen doen aan de gegevensbeschermingsrechten van anderen. Persoonsgegevens mogen dus alleen verwerkt worden als aan de verplichtingen uit de AVG wordt voldaan en de verwerking in lijn is met de gegevensbeschermingsrechten van alle betrokkenen. Aanvullend, in lijn met de kabinetsinzet, is in de Dataverordening opgenomen dat partijen die gegevens ontvangen de betrokkene (ook als ze geen gebruiker zijn) op geen enkele manier mogen misleiden of manipuleren.
4
De leden vragen ook opheldering over de scheidslijn tussen persoonsgegevens en niet-persoonsgebonden gegevens. Veel aspecten van de Dataverordening leunen op het begrip «persoonsgegevens» om extra waarborgen te creëren of op «niet-persoonsgebonden gegevens» om waarborgen weg te laten. De voorgestelde Dataverordening biedt momenteel geen nadere toelichting over wat «niet-persoonsgebonden» gegevens zijn, waardoor er teruggevallen dient te worden op het persoonsgegevensbegrip uit de AVG. Met de huidige jurisprudentie is «persoonsgegevens» een relatief begrip: er is sprake van persoonsgegevens wanneer de verwerker beschikt over de wettige middelen waarmee hij de betrokken persoon kan identificeren. Is de regering van mening dat de relativiteit van het begrip persoonsgegevens rechtsonzekerheid met zich mee kan brengen? Wat is de visie van de regering hierop? Specifiek in relatie tot de positie van de betrokkene die geen gebruiker is en de verwerking van gegevens die later gecombineerd kunnen worden tot bijzondere persoonsgegevens.
Antwoord
De maatregelen uit de Dataverordening zelf maken weinig onderscheid tussen persoonsgegevens en niet persoonsgegevens. Dat er meer waarborgen voor de bescherming van persoonsgegevens zijn komt grotendeels voort uit het feit dat de AVG onverminderd van kracht blijft daar waar persoonsgegevens worden verwerkt. De belangrijkste waarborgen voor bescherming van persoonsgegevens staan niet in de Dataverordening zelf, maar volgen uit de AVG. De meeste referenties aan persoonsgegevens in de Dataverordening betreffen verduidelijkingen over de verhouding tussen de Dataverordening en de AVG en de principes in die verordening.
Het kabinet laat momenteel door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) onderzoek verrichten naar hoe de invulling van het begrip «persoonsgegeven» in de AVG verandert door nieuwe technische mogelijkheden waarmee eerder anonieme gegevens toch tot individuen kunnen worden herleid. Hiermee wordt naar verwachting duidelijkheid verschaft over de reikwijdte van het begrip in de AVG en daarmee over de mate waarin deze verordening burgers bescherming biedt. Het kabinet verwacht nog dit jaar de resultaten van het onderzoek.7
5
Het toezicht en de handhaving van de Dataverordening zijn essentieel om de doeleinden te realiseren en de privacy waarborgen daadwerkelijk effect te doen hebben. Met de AVG is een grote stap vooruit gemaakt met duidelijke toezichthouders en potentieel hoge boetes door de keuze voor omzetafhankelijke boetes. Net als de AVG zal de Dataverordening vallen of staan bij effectieve handhaving en toezicht. Waarom vindt de regering het nu nog te vroeg in het proces om te kiezen voor omzetafhankelijke boetes? Zou het niet ook zorgen voor meer rechtszekerheid wanneer aangesloten wordt op de boetesystematiek van de AVG, aangezien het denkbaar is dat een deel van de overtredingen van de Dataverordeningen ook (deels) een overtreding van de AVG zijn? De leden ontvangen hier graag een reflectie op.
6
Daarnaast vragen de leden zich – los van de huidige fase in het proces – af of de regering omzetafhankelijke boetes passend vindt voor de Dataverordening? En zo nee, welke andere boetesystematiek geniet dan de voorkeur? U geeft aan dat de inrichting van het toezicht op de verordening of de boetesystematiek nog niet kan worden gekozen omdat het voorstel nog in onderhandeling is en dat deze keuzes pas kunnen worden gemaakt als het voorstel klaar is. Is de regering bereid om voorstellen te doen inzake een door Nederland gewenste boetesystematiek, net zoals Nederland op andere vlakken voorstellen doet in deze fase?
Antwoord op vraag 5 en 6
De Dataverordening bevat hoofdstukken met uiteenlopende doelstellingen. Voor zover het voorstel ziet op persoonsgegevens is de boetesystematiek van de AVG, inclusief omzetafhankelijke boetes van toepassing. Het voorstel bevat ook onderdelen die niet direct met de AVG of algemene gegevensbeschermingsvraagstukken te maken hebben. Zo bevat het voorstel hoofdstukken met betrekking tot het beter mogelijk maken van overstappen tussen dataverwerkingsdiensten, het beter beschermen van niet-persoonlijke data tegen onwettige overheidstoegang uit derde landen en het mogelijk maken voor gebruikers van IoT-producten om hun data te gebruiken en delen. Voor deze verschillende onderdelen is niet noodzakelijkerwijs dezelfde boetesystematiek als in de AVG wenselijk.
Ik onderschrijf dat in het algemeen de omzet van een bedrijf een relevante factor kan zijn bij het bepalen van de hoogte van een boete. Het huidige voorstel laat ruimte aan lidstaten om de hoogte van boetes te relateren aan de omzet. Lidstaten worden niet verplicht omzet mee te nemen in de hoogte van boetes. Een reden om een omzetgerelateerde boete op te leggen is onder andere dat de boete dan pas een afschrikwekkende werking heeft, omdat het ook om zeer grote ondernemingen zal gaan die onder de werking van de Dataverordening vallen. Ik zal er daarom voor pleiten dat voor de onderdelen waar deze afschrikwekkende werking van belang is in het voorstel wordt opgenomen dat in alle lidstaten de omzet een factor moet zijn in de bepaling van de hoogtes van de boetes, zodat een gelijk speelveld wordt gecreëerd binnen de interne markt.
7
U gaf in de beantwoording ook aan dat de regering kritisch is over de zeer algemene grondslag voor overheden om gegevens op te vragen. Bedoelt de regering daarmee ook dat het soort gegevens dat opgevraagd kan worden te breed is? Wil de regering inzetten op gedeeltelijke of volledige beperking voor overheden om (bijzondere) persoonsgegevens in de zin van de AVG op te vragen, inclusief een beperking om gegevens die – samen met gegevens die de verzoekende overheidsdienst reeds heeft – gecombineerd kunnen worden tot (bijzondere) persoonsgegevens?
Antwoord
Als een publieke instantie in geval van «uitzonderlijke noodzaak», zoals het reageren op een openbare noodsituatie, een specifieke taak in het publiek belang niet kan uitvoeren zonder specifieke persoonsgegevens kan de overdracht van persoonsgegevens onder voorwaarden en conform de AVG gerechtvaardigd zijn.
Het kabinet maakt zich vooral zorgen dat de definitie van «uitzonderlijke noodzaak» in de Dataverordening te breed is waardoor overheden naar eigen inzicht en zonder adequate controle (persoons-)gegevens bij bedrijven zouden kunnen opvragen. Om deze risico’s voor fundamentele rechten in te perken acht het kabinet significante verbeteringen noodzakelijk. Het kabinet zet zich er daarom onder andere voor in dat er specifiekere wettelijke grondslagen komen voor eventuele verplichte aanlevering van persoonsgegevens en dat er meer waarborgen komen om onrechtmatige verzoeken te voorkomen, onder andere dat de verzoeken door een onafhankelijke toezichthouder worden getoetst. Ook kan verder worden verduidelijkt dat de verzoeken geen persoonsgegevens mogen betreffen tenzij dit strikt noodzakelijk is om de specifieke «uitzonderlijke noodzaak» te adresseren. Het kabinet voelt zich bij deze inzet gesterkt door de motie van Leijten/Bosman van de Tweede Kamer.8
8
Een mogelijkheid om overheden te nopen tot voorzichtigheid met dataverzoeken, zou een verplichte transparantie in deze verzoeken zijn. Denkbaar is om een nationaal of EU-breed register in te stellen met welke overheid van welke datahouder welke gegevens opgevraagd heeft. Vindt de regering een dergelijk instrument een nuttige extra waarborg in het voorgestelde stelsel? Zo ja, zou de regering hierop in willen zetten in de onderhandelingen? Zo nee, waarom niet?
Antwoord
In het oorspronkelijke voorstel is al een verplichting opgenomen voor publieke instanties om alle dataverzoeken openbaar te maken. Dit is een nuttige waarborg, maar ik acht dit onvoldoende om het risico op onrechtmatige verzoeken te mitigeren. Zoals in de beantwoording op vraag 7 aangegeven zet het kabinet zich ervoor in dat er een specifiekere wettelijke grondslag komt en dat er meer waarborgen tegen onrechtmatige verzoeken komen.
9
Ziet de kritiek van de regering op de zeer algemene grondslag van hoofdstuk vijf ook op welke overheidsdiensten gegevens op kunnen vragen? Zo ja, ziet de regering er dan wat in om een uitgebreider stelsel te maken van welke overheidsinstanties welk type gegevens op kunnen vragen, bijvoorbeeld door slechts in sectorspecifieke wetgeving beperkte grondslagen voor dataverzoeken op te nemen? En meer specifiek, hoe verhoudt hoofdstuk vijf van het voorstel zich tot de bevoegdheden van inlichtingendiensten? Is het mogelijk dat inlichtingendiensten – van Nederland of andere lidstaten – (bijzondere) persoonsgegevens opvragen via de Dataverordening? Zo nee, wilt u dit punt dan verduidelijken? Zo ja, krijgen toezichthouders voldoende handvatten om ook inlichtingendiensten voldoende te controleren? Als dit nog niet het geval is, is de regering dan bereid om hierop in te zetten in de onderhandelingen?
Antwoord
Zoals in de beantwoording van vragen 7 en 8 staat is de primaire zorg van het kabinet dat de grondslag zelf te ruim is en onvoldoende waarborgen bevat. Ook als de bevoegdheid wordt beperkt tot specifieke overheidsinstanties blijft de grondslag te ruim en in teveel gevallen inzetbaar. Binnen de Raad is breed draagvlak voor de gekozen richting van het initiële voorstel van de Europese Commissie. Waarbij een grondslag voor alle publieke instanties wordt voorgesteld die inzetbaar is in gevallen van uitzonderlijke noodzaak. Het kabinet zet zich in om significante verbeteringen te bewerkstelligen om deze bevoegdheid nader te specificeren en van aanvullende waarborgen te voorzien. Het kabinet wil dat de bevoegdheid alleen bij zeer hoge uitzondering en onder strikte voorwaarden kan worden gebruikt en dat de risico’s op het schenden van fundamentele rechten kunnen worden gemitigeerd.
Inlichtingendiensten vallen buiten de werking van de Europese Unie. In het voorstel is expliciet opgenomen dat de verordening niet van toepassing is op situaties met betrekking tot nationale veiligheid. Daarnaast is specifiek voor de bevoegdheid om in gevallen van uitzonderlijke noodzaak gegevens op te vragen in artikel 16 opgenomen dat deze bevoegdheid niet mag worden gebruikt voor het voorkomen, onderzoeken, opsporen en vervolgen van rechtsinbreuken.
10
U geeft aan dat de regering de mogelijkheden verkent om burgers digitaal bewuster te maken over datadeling. De leden van de GroenLinks-, SP- en PvdA-fracties achten het net als de regering van groot belang dat er vanuit de overheid meer op dit voor velen onbekende terrein wordt voorgelicht. Naast de verwijzing van de regering naar bibliotheken en gemeenten vragen de leden u wat de regering vanuit Rijkswege hieraan gaat doen? Gaat zij ook bij de Europese Commissie voorstellen doen om de kennis van Europeanen te vergroten?
Antwoord
Wat betreft de bewustwording over datadeling wordt burgers via het programma Regie op Gegevens inzicht gegeven in welke gegevens gebruikt worden door de overheid om tot een besluit te komen. Onder dit programma wordt daarnaast onder meer gewerkt aan de ontwikkeling van een overzicht waarin de schulden (vorderingen) bij de overheid inzichtelijk zijn voor burgers en ondernemers. Ook wordt er ingezet op de ontwikkeling van Persoonlijke Gezondheidsomgevingen (PGO’s). Door middel van een PGO hebben burgers alle gezondheidsgegevens bij elkaar in een app of website.
In algemene zin legt de verordening (artikel 31, derde lid, onderdeel a) een inspanningsverplichting om burgers bewust te maken van hun digitale rechten en plichten bij de lidstaten. Het kabinet heeft op dit moment geen plannen om op dat onderdeel een wijziging voor te stellen.
Bij de implementatie van de Dataverordening zal ook aan de partijen die onder de verordening zullen vallen over de rechten en verplichtingen uit de verordening worden gecommuniceerd. De manier waarop dit gebeurt en wat daarin de rollen van de ministeries en de verantwoordelijke toezichthouders zullen zijn beziet het kabinet nog.
11
Net als de leden maakt ook het EDPB zich zorgen over de versnippering van het toezicht. De regering vindt versnippering van toezicht een belangrijk aandachtspunt, maar kan tegelijkertijd niet toezeggen dat het toezicht op de gehele Dataverordening bij één autoriteit wordt belegd, terwijl het EDPB dit juist betoogt. Het waarborgen van samenhang in het toezicht, coördinatie tussen de betrokken toezichthouders en de opbouw van expertise bij toezichthouders blijven volgens de regering wel aandachtspunten voor het brede pakket aan digitaliseringswetten dat in EU-verband wordt opgesteld. Anderzijds ziet de regering geen noodzaak om een nieuwe autoriteit op te richten voor het toezicht in het kader van de Dataverordening. De verschillende hoofdstukken van de Dataverordening bevatten uiteenlopende maatregelen die diverse doelen beogen. Het beleggen van toezichtstaken bij verschillende toezichthouders kan mogelijk juist bijdragen aan de effectiviteit van toezichtstaken, aldus de regering. Kunt u toelichten waarom dit een voordeel kan opleveren?
Antwoord
De EDPB betoogt dat nationale coördinatie bij de gegevensbeschermingsautoriteiten van de lidstaten moet worden belegd, niet dat het volledige toezicht op de Dataverordening daar moet worden belegd. Het kabinet onderkent het belang van aanwijzen van één coördinerende toezichthouder, maar kan nog niet uitspreken welke toezichthouder dat in het geval van Nederland zal zijn. We informeren de toezichthouders over de voortgang van de onderhandelingen en zijn ook met hen in gesprek over wat de Dataverordening zal betekenen voor de verschillende toezichthouders.
De Dataverordening bevat verschillende hoofdstukken met uiteenlopende doelen, zoals het beter mogelijk van overstappen tussen dataverwerkingsdiensten, het beter beschermen van niet-persoonlijke data tegen onwettige overheidstoegang uit derde landen en het mogelijk maken voor gebruikers van IoT-producten om hun data te gebruiken en delen. Het is belangrijk dat toezichtstaken die op basis van de Dataverordening aan toezichthouders worden besteed aansluiten bij de bestaande doelen en expertise van toezichthouders. De hoofdstukken vereisen andere kennis en vaardigheden van toezichthouder. Zo vereist de verordening (artikel 31, tweede lid, onderdeel c) dat de bevoegde toezichthouder ervaring heeft met data en elektronische communicatiediensten. Het is voorstelbaar dat niet één toezichthouder alle benodigde kennis en vaardigheden in huis heeft. Dit is de reden dat er wordt gekeken om eventueel de verschillende toezichtstaken bij verschillende toezichthouders te beleggen. Op deze manier kan er op een effectieve manier gebruik gemaakt worden van bestaande expertise en zorgen we dat het toezicht op de Dataverordening aansluit bij bestaande toezichtspraktijken.
12
Speelt de regering weleens met de gedachte om de diverse toezichthouders op termijn deels of geheel samen te voegen en het toezicht aan te passen aan de tijd? Is de regering het ermee eens dat meer toezichthoudende taken ook gepaard moeten gaan met meer middelen om de taak naar behoren uit te voeren?
Antwoord
Het toezichtslandschap voor het digitale domein is volop in ontwikkeling om mee te kunnen gaan met de tijd. Met de verschillende Europese wetsvoorstellen gericht op de digitale economie die de komende jaren van kracht worden komen er diverse nieuwe toezichtstaken bij. Bij het organiseren van deze nieuwe taken op nationaal en Europees niveau is het belangrijk dat het toezicht als geheel samenhangend en consistent is, zowel voor de toezichthouders zelf als voor de ondertoezichtgestelden. Hier houdt het kabinet rekening mee. Momenteel ziet het kabinet, gelet op het belang van samenhang en consistentie, nog geen aanleiding om toezichthouders samen te voegen.
Bij het beleggen van nieuwe toezichtstaken is het altijd belangrijk dat een toezichthouder de capaciteit en de expertise heeft om deze taken naar behoren uit te voeren. Hiervoor kunnen nieuwe middelen beschikbaar worden gemaakt, maar er wordt ook gekeken naar het afschalen van andere taken of het heroverwegen van prioriteiten. Met betrekking tot de Dataverordening zal het kabinet hierover nog met de betrokken toezichthouders in gesprek gaan.
13
Dataminimalisatie is een essentieel begrip in de AVG. Hoe kijkt de regering ernaar om deze norm ook op te nemen in de Dataverordening? Zou de regering hier op in willen zetten in de onderhandelingen?
Antwoord
De Dataverordening doet geen afbreuk aan de AVG en het principe van dataminimalisatie blijft onverminderd gelden. Het is daarom niet nodig de norm nogmaals op te nemen in de Dataverordening zelf. Wel wordt in het voorstel op een aantal punten de verhouding van de verplichtingen uit de Dataverordening tot het principe van dataminimalisatie verduidelijkt. Zo wordt in het voorstel expliciet benoemd dat alle organisaties die gegevens delen, ook onder de Dataverordening, maatregelen moeten nemen om dataminimalisatie te borgen en dat derde partijen alleen toegang mogen krijgen tot de gegevens die noodzakelijk zijn voor het verlenen van de dienst die de gebruiker heeft verzocht.
Vragen en opmerkingen van de leden van de fractie van de PVV
14
In de beantwoording op de vragen van de fractie van de PVV stelt u op bladzijde 12 en 13: «Bij algemene noodsituaties kunnen overheden onder de Dataverordening alleen data opvragen wanneer een noodsituatie is uitgeroepen volgens de daarvoor bestemde nationale of internationale procedures. Het kabinet deelt uw zorg dat dit onvoldoende waarborgen biedt. Bovendien is de definitie van «uitzonderlijke noodzaak» onder de Dataverordening breder dan alleen het reageren op noodsituaties. Deze definitie is ruim en abstract geformuleerd waardoor het voorstel een te algemeen grondslag voor het opvragen van gegevens biedt. Het voorstel bevat momenteel te weinig waarborgen om te voorkomen dat overheden naar eigen inzicht gegevens opvragen. Het kabinet deelt ook uw zorg dat dit tot disproportionele inperking van grondrechten kan leiden. Het voorstel moet op dit onderdeel worden verbeterd. Het kabinet zal hier voorstellen toe doen in de onderhandeling.»
Kunt u de leden te zijner tijd zo gedetailleerd mogelijk het onderhandelingsproces doen toekomen, met uitgebreid aandacht voor de Nederlandse standpunten, de behaalde en niet behaalde resultaten (met voor laatstgenoemde een toelichting waarom zaken eventueel niet zijn behaald) en alle activiteiten die zijn ondernomen om Nederlandse zorgen zo nadrukkelijk mogelijk in beeld te brengen? De leden van de fractie van de PVV ontvangen hier graag een gemotiveerd antwoord op
Antwoord
Ik zal het parlement op de gebruikelijke momenten en conform de afspraken informeren over het onderhandelingsproces op de Dataverordening. Hierin zal ik ook ingaan op de voortgang met betrekking tot de bevoegdheid voor publieke instanties om data op te vragen in geval van «uitzonderlijke noodzaak».
Het kabinet heeft de afgelopen maanden in de onderhandelingen actief ingezet op grondige wijzigingen van dit onderdeel van de Dataverordening. In de onderhandelingen zelf zijn verschillende voorstellen gedaan. In gesprekken met andere lidstaten, de Europese Commissie en Europarlementariërs op zowel ambtelijk als politieke niveau heeft het kabinet steun gezocht voor deze voorstellen. Voor het verwijderen van dit onderdeel van het voorstel of het verwijderen van de grondslag voor gegevensverwerking uit het voorstel is geen draagvlak. Er is brede consensus over de gekozen richting van een bevoegdheid voor het opvragen van gegevens in gevallen van uitzonderlijke noodzaak. Het kabinet zet zich daarom nu in om deze bevoegdheid te vernauwen en van aanvullende waarborgen te voorzien zodat de bevoegdheid alleen bij hoge uitzondering en onder strikte voorwaarden kan worden gebruikt en de risico’s op fundamentele rechten worden gemitigeerd. Het is nog niet duidelijk hoeveel steun er voor deze voorstellen is.
X Noot
1Samenstelling:
Backer (D66), De Boer (GL) (voorzitter), Van Dijk (SGP), Van Hattem (PVV), Rombouts (CDA), Baay-Timmerman (50PLUS), Van den Berg (VVD), arbouw (VVD), Bezaan (PVV), De Blécourt-Wouterse (VVD), Dittrich (D66), Doornhof (CDA), Janssen (SP), Karimi (GL), Meijer (VVD), Nicolaï (PvdD), Otten (Fractie-Otten) (ondervoorzitter), Recourt (PvdA), Rietkerk (CDA), Veldhoen (GL), Van Wely (Fractie-Nanninga), Nanninga (Fractie-Nanninga), Raven (OSF), Karakus (PvdA), Talsma (CU), Hiddema (Fractie-Frentrop) en Krijnen (GL).
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-36127-D.html