De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van de zogenaamde Conventie 108. Zij onderstrepen het belang van het actualiseren van wetgeving rondom persoonsgegevens. De snelheid waarmee de wereld digitaliseert dwingt wetgevers om ertoe om altijd aansluiting te blijven vinden tussen de meest moderne technieken en het recht van mensen op regie over hun eigen data. Over de aanpassingen geregeld in deze wet hebben de fractieleden vragen en opmerkingen.

Met enige verbazing lezen de leden van deze fractie dat wijzigingen aan de onderliggende wet, die meer dan twintig jaar geleden zijn voorgesteld, nog altijd niet in werking zijn getreden. Slechts dertig van de deelnemende partijen hebben dit geratificeerd. Welke partijen hebben dit nog niet gedaan? Welk perspectief is er op de implementatie van deze wijzigingen? Welke gevolgen heeft het dat er nog altijd partijen zijn die dit niet hebben gedaan?

Eveneens zijn de leden verbaasd dat het verdrag uit 1981 nog moet worden goedgekeurd voor Aruba, Curaçao en Sint-Maarten. Kan de regering toelichten waarom dit nog niet is gebeurd? De kaders voor het omgaan met persoonsgegevens komen voort uit het beschermen van universele mensenrechten. Die dienen in heel het Koninkrijk gelijk te zijn, dus sporen de leden aan om zo snel mogelijk de datawetgeving in alle delen van Nederland te harmoniseren. Zij volgen hierin de lijn van de Autoriteit Persoonsgegevens. Wanneer kunnen de leden verwachten dat een dergelijke harmonisatie is gelukt? Wat is er nodig aan middelen, onderzoek en regelgeving om de rijkswet succesvol te implementeren, zo vragen de leden van deze fractie.

De leden van de GroenLinks-PvdA-fractie begrijpen dat wetten die zien op gegevensverwerking enige flexibiliteit vereisen om de voortgang van digitale technologie bij te benen. Hoe toekomstbestendig is de geactualiseerde wet? Welke gevolgen heeft het dat er nog lang gebruik is gemaakt van een verouderd verdrag uit 1981? Heeft de regering concrete voorbeelden waarin het verdrag wegens haar ouderdom schuurde met nieuwere regelgeving?

Ook lezen deze leden dat het wijzigingsprotocol betrekking heeft op de bevoegdheden van de EU. Hoe ziet Europa erop toe dat het verdrag door al haar lidstaten succesvol wordt geïmplementeerd? Hoe treedt zij op als lidstaten dit niet doen? Bovendien heeft de wijziging van Conventie 108 betrekking op de verwerking van persoonsgegevens door veiligheidsdiensten en defensie. Wat vraagt het van lidstaten om deze wijzigingen door te voeren? Zijn alle partijen hiertoe uitgerust, vooral gezien de onstabiele internationale situatie die veel vraagt van onze veiligheidsdiensten en militaire diensten?

De leden lezen dat het wijzigingsprotocol de bepaling uit artikel 3, betreffende het uitsluiten van sectoren of activiteiten van het verdrag, schrapt. Dit vinden de leden een terechte wijziging; veilige verwerking van persoonsgegevens dient immers in de hele breedte plaats te vinden. Kunt u concrete voorbeelden noemen van sectoren en activiteiten die door verdragspartijen zijn uitgesloten? Heeft Nederland wel eens een dergelijke uitzondering gemaakt? Ook lezen de leden dat het wijzigingsprotocol het niveau van de gegevensbescherming verhoogt en de bescherming van bijzondere persoonsgegevens versterkt. Kunt u dit uitgebreider toelichten?

Het verdrag voert enkele nieuwe rechten in, waaronder het recht dat er geen besluiten over je mogen worden gemaakt door een geautomatiseerde verwerking van persoonsgegevens. Gezien de wijzigingen uit 2018 stammen en met name kunstmatige intelligentie de afgelopen jaren heel snel haar entree heeft gemaakt op allerlei werkplekken en maatschappelijke functies, vragen de leden zich af of dit gewijzigde verdrag bepaalt dat ook AI-applicaties geen besluiten mogen maken over personen. Ziet u in het verdrag verder nog punten die kwetsbaar zijn om snel te verouderen ten opzichte van nieuwe technologie? Is er met de verdragspartijen afgesproken wanneer een nieuwe actualisatie van het verdrag noodzakelijk is? Hoe wordt dat beoordeeld?

De leden van voornoemde fractie lezen met enige twijfel dat het verdrag vrijheid kent voor deelnemers om de bepalingen om te zetten in nationaal beleid. Hoewel het lidstaten uiteraard vrij staat om democratisch tot eigen kaders te komen waarbinnen zij omgaan met de gegevens van inwoners, vinden de leden het ook van belang dat er een duidelijke ondergrens is waar minstens aan voldaan moet worden om burgers goed te beschermen. Vindt u dat dit verdrag een dergelijke ondergrens stelt? Hoe veel vrijheid hebben deelnemende partijen om af te zien van verdragsbepalingen? Hoe groot is die vrijheid met betrekking tot de nationale inlichtingen- en veiligheidsdiensten, die volgens de leden een extra verantwoordelijkheid dragen om secuur met persoonsgegevens om te gaan?

In de memorie van toelichting staat dat het evaluatiemechanisme nog wordt uitgewerkt in de Raad van Europa. Wanneer is dat proces rond? Acht de regering het van belang dat het evaluatiemechanisme nog voor de implementatie van dit verdrag wordt afgerond? Nationale autoriteiten worden aangewezen om «besluiten te nemen met betrekking tot schendingen van het verdrag». Wat voor besluiten bedoelt de regering daarmee?

Het Aanvullende Protocol treedt buiten werking zodra het wijzigingsprotocol in werking treedt. Geldt dat per land, of moeten alle verdragspartijen het wijzigingsprotocol implementeren voordat het Aanvullende Protocol in z’n geheel komt te vervallen? Ook blijft de EU aansporen om het wijzigingsprotocol zo snel mogelijk te ratificeren. Welke verdragspartijen lopen hiermee achter? Hoe dwingend is de EU in haar aansporingen? Heeft zij een deadline gesteld voor implementatie of is het geheel vrijblijvend?

Het belang van het wijzigingsprotocol wordt duidelijk in de tegenstrijdige verplichtingen die soms gelden bij het hanteren van het oude verdrag, zo lezen de leden. Heeft de regering concrete voorbeelden van zulke tegenstrijdige verplichtingen? Heeft dit eerder in de praktijk tot problemen geleid?

De leden hebben enige twijfel bij de volgende claim dat het gemoderniseerde verdrag «een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen.» Deze leden zien de verantwoordelijke omgang met persoonsgegevens juist als integraal onderdeel van fundamentele rechten en vrijheden. Welke ondergrens stelt het gemoderniseerde verdrag aan het afwegen van die belangen? Hoe wordt het hoge niveau van veiligheid gewaarborgd als verdragspartijen het recht op de persoonlijke levenssfeer makkelijk op zij zetten voor andere belangen? Hoe rijmt de flexibele toepassing met de bewering dat «het wijzigingsprotocol een belangrijke bijdrage [kan] leveren aan de wereldwijde versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens»? Dit klopt toch alleen als het verdrag zo breed mogelijk omarmd wordt en wereldwijd wordt geïmplementeerd? In hoeverre is deelname aan het verdrag vrijblijvend? Welke sancties worden er genomen als landen het verdrag niet implementeren? Welke voordelen heeft het voor een niet-deelnemende partij om toe te treden tot het verdrag? Welke nadelen kleven daar aan, zo vragen de leden van voornoemde fractie.

De leden van de D66-fractie constateren dat er lang over het wijzigingsprotocol is onderhandeld. Wat waren tijdens deze onderhandelingen de punten die de meeste tijd in beslag namen?

De leden van deze fractie willen daarnaast weten in hoeverre een lidstaat kan voorstellen om wijzigingen aan te brengen in de Conventie 108. Welk proces moet dan worden gevolgd, zo vragen zij.