Handeling

Datum publicatieOrganisatieVergaderjaarVergadernummerDatum vergadering
Eerste Kamer der Staten-Generaal2010-2011nr. 27, item 11

11 Rapport commissie-Brouwer-Korf

Aan de orde is de voortzetting van het beleidsdebat over de rol van de overheid bij digitale dataverwerking en -uitwisseling in het kader van het rapport van de commissie-Brouwer-Korf.

De voorzitter:

Ik geef het woord aan de staatssecretaris van Veiligheid en Justitie.

De beraadslaging wordt hervat.

Staatssecretaris Teeven:

Voorzitter. Ik mag als eerste van de bewindspersonen het woord voeren in dit interessante debat. Na mij zal collega Donner aan het woord komen, die vooral het vraagstuk van de e-overheid voor zijn rekening zal nemen. Ik zal ingaan op alles wat min of meer direct samenhangt met de Wet bescherming persoonsgegevens. Ik zal mijn beantwoording beginnen met een algemeen gedeelte. Tijdens dit algemene gedeelte zal ik ook ingaan op vragen van de leden. Daarna zal ik ingaan op de afzonderlijke beschouwingen.

Er wordt stevig gedebatteerd over privacy. Dat gebeurt al een aantal jaren, dus dat is niet nieuw, zowel binnen als buiten het parlementair verband. Naar het oordeel van de regering is dat een bewijs voor een gezonde democratie, maar tevens een reden om stil te staan bij de aard van dit debat. Als ik kijk naar de inhoud van het debat, dan constateer ik dat in het debat over privacy vaak, niet altijd, maar vaak wel, sprake is van tegenover elkaar liggende standpunten. Nu is dat eigen aan de aard van het debat, maar de waarde van het debat komt tot uitdrukking in de weging van de argumenten die ter ondersteuning van de standpunten worden aangevoerd. Die argumenten horen uiteindelijk beslissend te zijn voor de uitkomst van het debat. Dat kan alleen als de argumenten overtuigingskracht hebben en daarnaast de overtuigingskracht van die argumenten wordt gewogen en uiteindelijk wordt erkend. Het laatste wordt in het privacydebat wel eens een beetje miskend. Men graaft zich soms iets te veel in – dat geldt soms ook voor standpunten van de regering – en heeft niet altijd werkelijk aandacht voor de standpunten van de andere partij.

Collega Donner en ik zijn de Kamer erkentelijk voor het feit dat het debat vandaag zeer behoorlijk kan worden gevoerd, in alle openheid. Wij zijn ook erkentelijk voor de argumenten die de Kamer vanmorgen in eerste termijn heeft aangedragen.

Het lijkt mij verstandig om over privacy te debatteren op een manier die volledig recht doet aan de aard van het onderwerp. Dat onderwerp is geen kwestie van ergens voor of tegen zijn, maar een kwestie van zorgvuldig afwegen van belangen en het zorgvuldig toetsen aan de grondrechten. Daaraan is zeker ook een morele dimensie verbonden. Mevrouw Dupuis sprak daar vanmorgen over in haar betoog. Ik zie haar nu niet in de zaal, maar ik neem aan mevrouw Duthler onze boodschap wel kan overbrengen. De regering deelt het standpunt dat er ook een morele dimensie aan verbonden is, maar dat zien wij met name in het licht van de positie van het individu an sich, want de positie van het individu is in het privacydebat buitengewoon cruciaal.

Omdat gegevensverwerking nooit een doel op zich is, is ook privacy geen absoluut recht. Gegevensverwerking dient altijd een achterliggend doel. Alle sprekers hebben daar in eerste termijn uitgebreid over gesproken. De daarmee verbonden noodzaak om het doel af te wegen tegen de inbreuk op de privacy, is de kern van het privacyrecht. Dat doel kan een algemeen belang zijn. Dat vergt dat wij bijvoorbeeld bijhouden op welk adres iemand in Nederland woont, of wie er door een rechter ooit zijn bestraft. Het doel kan ook van commerciële aard zijn. Dat vergt dat bij verkoop van producten of diensten vaststaat wie de tegenpartij is. Voor de verkoop van een vliegticket is het onontbeerlijk dat de naam van de passagier vaststaat. Voor de levering van telecommunicatiediensten is het onontbeerlijk dat telefoonnummers en IP-adressen vaststaan. Wij kunnen – dat moeten wij ons heel goed realiseren en dat doet de Kamer naar mijn oordeel ook, als ik goed heb geluisterd – in een samenleving niet functioneren zonder de verwerking van persoonsgegevens. Dit betekent dat wij, wie wij ook zijn, tot op zekere hoogte – ik kom daar aanstonds nog uitgebreid op terug – altijd moeten leven met inbreuken op onze privacy. Dat kan zolang de afweging in abstracto door de wetgever en in concreto door de verantwoordelijken goed en behoorlijk wordt verricht. Ik zou bijna zeggen dat het deelnemen aan een samenleving ontegenzeggelijk leidt tot inbreuken. Dat is onontkoombaar.

Het gaat er ook om dat bij de onvermijdelijke afweging tussen het belang van de bescherming van de persoonlijke levenssfeer en alle andere belangen zorg wordt gedragen voor waarborgen voor de bescherming van de persoonlijke levenssfeer. Die waarborgen vinden wij in onze wetgeving, primair in de Wet bescherming persoonsgegevens. In deze wet vinden wij de algemene beginselen voor de verwerking van persoonsgegevens, een bijzonder regime voor de verwerking van bijzondere persoonsgegevens, rechten van betrokkenen, een onafhankelijke toezichthouder en waarborgen voor de rechtsbescherming. In bijzondere wetgeving kunnen wij die waarborgen nader invullen, op maat snijden en verduidelijken. Dat is precies waar de heer Franken vanmorgen om heeft gevraagd. Hij heeft gevraagd of wij, als wij met wetten naar de Kamer komen, die wetten op maat kunnen snijden. Wij denken daarom dat het voor de kwaliteit van het debat over privacy goed zou zijn als er meer aandacht wordt gegeven aan de context rond de afweging van belangen en wij ook kunnen spreken over de kwaliteit van de waarborgen die de wet biedt. Daarmee valt naar ons oordeel veel te winnen. Het kabinet wil daaraan een bijdrage leveren. Collega Donner en ik hebben dat willen aangeven in de brief met de bijbehorende notitie die de Kamer van ons heeft ontvangen op 29 april jongstleden.

In het regeerakkoord heeft het kabinet ingezet op een tweezijdige benadering. Enerzijds zullen wij verdergaan met het verwerken van persoonsgegevens als dit in het algemeen belang is. Wij zullen dat onder andere doen met cameratoezicht en voertuigherkenning, via ANPR. Anderzijds zullen wij er zorg voor dragen dat voorgenomen maatregelen inzake de opslagkoppeling en verwerking van persoonsgegevens zo veel mogelijk worden voorzien van een horizonbepaling en dat zij bij de voorbereiding nadrukkelijk worden getoetst aan effectiviteit. Privacy impact assessments worden daarbij nadrukkelijk niet uitgesloten.

Over de toetsing is vanochtend door alle woordvoerders veel gesproken. Wij zijn daar al geruime tijd mee bezig.

Mevrouw Strik (GroenLinks):

De staatssecretaris zei een beetje omfloerst dat de regering privacy impact assessments niet uitsluit. Kan hij wat duidelijker aangeven in welke gevallen de regering voornemens is een privacy impact assessment uit te voeren en in welke gevallen niet?

Staatssecretaris Teeven:

Ik kom daar later in mijn betoog nog uitgebreid op terug; ik ben nu nog bezig met mijn inleiding. Wat de regering daarmee van plan is, zal mevrouw Strik niet tegenvallen.

De heer Franken (CDA):

Voordat dat "niet tegenvallen" op maat wordt gesneden, wil ik graag van de staatssecretaris horen dat hij daarmee afwijkt van de brief en dat er sprake is van een zekere vorm van een toezegging aan de Kamer.

Staatssecretaris Teeven:

Wij wijken niet af van de brief. Het zit in dezelfde lijn. Nu mevrouw Strik en de heer Franken daarover doorgaan en er vanmorgen veel opmerkingen over gemaakt zijn, schakel ik even door naar het onderwerp van het privacy impact assessment. Alle woordvoerders hebben daarover gesproken. Zij hebben ook allemaal gesproken over de noodzaak van het hanteren van PIA's. Bij ons is sprake van voortschrijdend inzicht. Misschien dat onze aanvankelijke terughoudendheid nog te veel is beïnvloed door de onbekendheid met de materie; dat wil ik de heer Franken graag meegeven. Ik kan echter zeggen dat het kabinet, gehoord de Kamer, verder wil gaan met de ontwikkeling van PIA's, in elk geval bij de voorbereiding van wetgeving. Overigens zijn wij die weg recentelijk al ingeslagen, want wij hebben daarvoor een leidraad vastgesteld. In de vorige week in werking getreden wijziging van de Aanwijzingen voor de regelgeving verplichten wij tot de opstelling van een informatieparagraaf. Wij zullen het PIA bovendien een plaats geven in het integraal afwegingskader voor wetgeving waaraan de ministeries van V en J en BZK toetsen. In dat opzicht vullen wij het regeerakkoord naar mijn mening goed in en komen wij ook tegemoet aan de wensen die in de Kamer breed leven.

Tegelijkertijd moet ik zeggen dat er geen algemeen aanvaarde methodiek bestaat die op alle denkbare verwerkingen even goed kan worden toegepast.

Mevrouw Slagter-Roukema (SP):

Op het gevaar af dat ik op zaken vooruit loop, maar ik werd getriggerd door de opmerking van de staatssecretaris over het ministerie van Justitie en dat van Binnenlandse Zaken, terwijl meerdere sprekers vanmorgen hebben benadrukt dat het voor alle ministeries belangrijk is. Ik zou dus nog wel wat meer toelichting hebben op de manier waarop het kabinet een en ander gaat vormgeven. Aan de andere kant begrijp ik ook wel dat het een beetje ingewikkeld is om het nu allemaal uit de mouw te schudden, dus mogelijk kan de staatssecretaris toezeggen dat wij op korte termijn een schrijven krijgen waarin dit plan wat meer handen en voeten krijgt, zodat wij weten waarover het precies gaat.

Staatssecretaris Teeven:

Ik vind het heel begrijpelijk dat mevrouw Slagter de diepte in wil gaan. Wij verschillen wat dat betreft niet van mening, maar het enkele feit dat wij een en ander hebben opgenomen in de Aanwijzingen voor de regelgeving en dat wij van plan zijn het daarin verder uit te werken, betekent dat het niet alleen voor het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en voor het ministerie van Veiligheid en Justitie geldt, maar ook voor andere ministeries. Mevrouw Slagter moet mij maar niet euvel duiden dat ik nu niet op dit punt met een volledige uitwerking kom.

Ik wil nog wel een kanttekening plaatsen, omdat het verhaal van de PIA's dan is afgerond voor zover het dit beleidsdebat betreft. Wij hebben er in de sfeer van de wetgeving nog maar heel weinig ervaring mee. Die ervaring moeten wij gaan opbouwen. Ik denk dat het wetsvoorstel over de nummerplaatherkenning, de ANPR, voor ons een heel nuttige en noodzakelijke ervaring kan zijn, gezien de opinie in deze Kamer. Laten wij daarover ook gewoon eerlijk zijn. Het gaat er dan om, inzichtelijk te maken wat de consequenties voor de bescherming van persoonsgegevens kunnen zijn. Tegelijkertijd blijf ik wel van mening dat niet elk wetsvoorstel zonder meer in aanmerking komt voor het houden van zo'n PIA. Ik ben dan ook van oordeel dat de mate waarin nieuwe vormen van gegevensverwerking inbreuk maken op de privacy, op zichzelf genomen een zinvol criterium is om te beslissen om wel of geen PIA te houden. Daarmee kom ik een beetje tegemoet aan de vraag van mevrouw Slagter hoe het kabinet hiertegen aankijkt. Wij moeten ook bedenken dat met het houden van een PIA de nodige kosten zijn gemoeid. Dat hebben wij in onze brief van 29 april ook geschreven. Het geldt ook voor de overheid, omdat wij niet altijd alles kunnen voorzien en soms ook advies nodig hebben. De kosten moeten naar ons oordeel in een aanvaardbare verhouding staan tot de risico's die met een PIA in kaart kunnen worden gebracht, laat ik daar ook helder over zijn. Het kostenargument is voor mij doorslaggevend bij de beslissing om niet in de Wbp voor te schijven dat een nieuwe gegevensverwerking buiten de overheidssfeer aan een PIA moet worden onderworpen. Het is in dat kader dat wij hebben opgemerkt dat het houden van een PIA binnen het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting.

Mevrouw Slagter-Roukema (SP):

Ik wil graag nog enige toelichting. De staatssecretaris had het over "buiten de overheidssfeer", maar vanmorgen ging het ons toch met name over gegevensverwerking en -koppeling binnen de overheidssfeer. Voor wetsvoorstellen die daarop betrekking hebben, zou in elk geval wel een PIA verplicht gesteld moeten worden. Ik viel een beetje over de woorden "buiten de overheidssfeer" en vroeg mij af of de staatssecretaris die met opzet zo gebruikte.

Staatssecretaris Teeven:

Gelet op de Aanwijzingen voor de regelgeving is het mogelijk om het binnen de overheidssfeer in ieder geval aan te geven. Voor de wetsvoorstellen waarbij een en ander een rol speelt, zouden wij het moeten meenemen. Buiten de overheidssfeer zouden wij het wettelijk moeten verplichten. Ik heb in de brief aangegeven – en dat herhaal ik vandaag – dat het kabinet die weg vooralsnog niet op wil. Wij doen er echter wel onderzoek naar. Het is niet zo dat wij het bij voorbaat geheel uitsluiten.

De heer Franken (CDA):

Wij spraken eerst over PIA's voor wetgeving. Daarvan zegt de staatssecretaris: dat gaan wij doen, tenzij er alleen maar in de marge sprake is van een privacyproblematiek.

Staatssecretaris Teeven:

Of als het tot overbodige bureaucratische rompslomp leidt.

De heer Franken (CDA):

Wij zijn redelijke mensen. Daarna zei u dat het voor het mkb te veel problemen geeft. Dat kan ik mij voorstellen, maar daarbij praten wij niet over wetgeving, maar over uitvoering. Bij het mkb zal het niet zo noodzakelijk zijn, maar wel wanneer er grote systemen worden neergezet, die in Nederland steeds meer worden geplaatst, waarbij dergelijke onderwerpen een belangrijke rol zouden kunnen spelen. Ik heb het niet over het mkb, maar over grote systemen, met name overheidssystemen.

Staatssecretaris Teeven:

Het is zeker zo dat een en ander bij grote overheidssystemen een zekere rol zou kunnen spelen. Ik wil nog wel gezegd hebben dat het College bescherming persoonsgegevens en de ondernemers lange tijd met elkaar in overleg zijn geweest over de ontwikkeling van PIA's. Dat weet de heer Franken ook. Dat overleg is alweer enige tijd geleden door de ondernemers afgebroken, juist wegens het kostenaspect. De intentie van het kabinet is dat er in de overheidssfeer mee zal worden gewerkt als het noodzakelijk is. Ik zal daarover straks nog enkele opmerkingen maken. Daarom hebben wij de Aanwijzingen voor de regelgeving aangepast. Buiten de overheidssfeer zijn wij in gesprek met de andere partners. Wij hebben het dan niet over wetgeving, maar over de uitvoering met betrekking tot grote systemen.

Mevrouw Strik (GroenLinks):

Er wordt veel gesproken over het verschil tussen privacy impact assessments en privacy by design. Ik neem aan dat de staatssecretaris, als hij het heeft over grote systemen waar ook het bedrijfsleven in moet investeren, verlangt dat het systeem zo wordt ingericht, dat het zo privacyvriendelijk mogelijk is. Je moet echter toch onderzoek doen om te bezien hoe je een systeem zo kunt inrichten dat je dit kunt waarborgen? Ik weet niet of je dat per se een PIA moet noemen, maar het kan ook onderdeel zijn van het privacy by designcriterium.

Staatssecretaris Teeven:

Al langere tijd worden er gesprekken gevoerd tussen ondernemers en het CBP. Die gesprekken zijn enige maanden geleden afgebroken. De ondernemers hebben zich daaruit teruggetrokken. Wij moeten proberen die zaken weer op gang te krijgen, want het is belangrijk dat de sociale partners, de ondernemers, maar ook anderen, daaraan deelnemen. Het kabinet ziet het belang daarvan ook wel in, want alles wat je in de voorfase kunt regelen, hoef je achteraf niet te repareren. Daarover zijn wij het met elkaar eens. In het regeerakkoord hebben wij beschreven wat wij met privacy by design in de overheidsorganisatie willen, namelijk dat wij daarmee willen gaan werken bij grote informatiseringssystemen. Het is niet zo dat wij dit allemaal aan het bedrijfsleven gaan opleggen.

Mevrouw Strik (GroenLinks):

Kunt u uitleggen welke eisen u dan aan het bedrijfsleven stelt? Wanneer moeten ook bedrijven privacy by design waarborgen en wanneer niet?

Staatssecretaris Teeven:

Ook in het bedrijfsleven leeft de overtuiging dat het noodzakelijk is om de privacy een belangrijke rol te geven en er op een verantwoorde wijze mee om te gaan. Dat was ook de bedoeling van de gesprekken die gaande waren. Wij waren in gesprek om te bezien of ook het bedrijfsleven zou gaan werken met de privacy impact assessments, als men zou overgaan tot het installeren van bepaalde informatiesystemen.

Mevrouw Strik (GroenLinks):

Het is een puur vrijblijvende uitwisseling. U verzoekt het bedrijfsleven om het te doen, maar als men nee zegt, houdt de rol van de overheid op. Ziet u het zo?

Staatssecretaris Teeven:

Ik denk dat het op dit moment zo is dat de overheid dit niet oplegt. Dat heb ik ook geschreven in de brief van 29 april. Wij willen het dus niet wettelijk gaan verplichten, maar in het regeerakkoord staat dat privacy by design wel een belangrijk uitgangspunt is van dit kabinet. Dat geldt niet alleen voor overheidsprojecten, maar ook voor het particuliere bedrijfsleven.

Mevrouw Strik (GroenLinks):

Ik kom daar nog op terug.

Mevrouw Tan (PvdA):

In de verschillende inbrengen zijn allerlei verschillende instrumenten genoemd. Het PIA is het meest expliciet aan de orde geweest: in het WRR-rapport, in onze schriftelijke ronde en in de beantwoording door het kabinet. Het is dus niet toevallig dat aan de hand van het PIA deze discussie zich ontspint. Vindt de staatssecretaris ook dat er beweging zit in de opvatting van de regering over het toepassen van het PIA? Ik hoor althans dat hierover nu iets ruimhartiger wordt geformuleerd dan in de brief van 29 april. Vervolgens worden alle bestaande instrumenten om de zaak beter te waarborgen bezien. Dat geldt niet alleen voor systemen bij de overheid, maar ook voor systemen elders, dus niet bij de overheid. Op grond van het overleg zal de regering de Kamer nog laten weten wat wel en wat niet met welke partners op de verschillende onderdelen zal worden gedaan. Begrijp ik de staatssecretaris op deze manier goed?

Staatssecretaris Teeven:

Mevrouw Tan weet uiteraard dat de regering nog uitgebreid zal reageren op het WRR-rapport. Minister Donner zal hierover de nodige opmerkingen maken. Wij hebben daarop nog niet gereageerd, dus die reactie heeft de Kamer nog van het kabinet tegoed. Er moet ook nog het nodige onderzoek worden gedaan. Zeker in een beleidsdebat als dat van vandaag, moeten wij mijns inziens niet helemaal tot in de diepte afdalen. Mevrouw Tan weet ook dat in het regeerakkoord staat dat de regering bereid is om, als dat noodzakelijk is, met de PIA's te gaan werken. Die bereidheid hebben wij zeker als het gaat om de overheid.

Mevrouw Tan (PvdA):

Betekent dit dat wij nu al, tijdens dit debat, het een en ander kunnen uitwisselen, maar dat wij later een overzicht zullen krijgen van de manieren waarop de regering denkt om te gaan met de verschillende instrumenten, zowel binnen de overheid als daarbuiten? Dat overzicht zullen wij krijgen in het traject van de nadere reactie op het WRR-rapport, een reactie die dus nog zal komen.

Staatssecretaris Teeven:

Dat klopt, zeker als het gaat over iOverheid, maar ook daarbuiten. De Kamer is er volgens mij nog niet met de brief van 29 april. De uitgangspunten van het kabinet op dit punt kent zij nu echter. Eerst kende zij alleen de uitgangspunten voor zover die in het regeerakkoord stonden. Wat daarin stond, was erg smal. Wij hebben dat verdiept in de brief van 29 april met de notitie. Daaraan vast zit nog het nodige onderzoek. Mevrouw Tan spreekt over een nadere reactie op het WRR-rapport, maar volgens mij moet het kabinet nog komen met een eerste reactie op dat rapport. Er is nog geen eerste reactie. Wij hebben wel de vragen van de Kamer beantwoord. Wij zijn ook uitgebreid ingegaan op het privacybeleid. Het WRR-rapport hebben wij echter nog niet uitgebreid becommentarieerd. Dat commentaar heeft de Kamer dus nog tegoed.

Mevrouw Tan (PvdA):

Voor de goede orde zeg ik dat het helder is dat in de brief wordt aangekondigd dat er een reactie komt op het WRR-rapport. Niettemin staat er in deze brief ook dat de regering daarin alvast wil ingaan op een aantal hoofdzaken. Daarom heb ik dit geformuleerd zoals ik deed.

Staatssecretaris Teeven:

Zeker. Ik begrijp echter dat mevrouw Tan nu een beetje afdaalt tot in de details. Dat is haar goed recht. In verband daarmee heb ik echter gezegd dat minister Donner nog even de tijd moet hebben om dit uitgebreid nader te preciseren voor de beide Kamers. Bovendien zit dit in zijn portefeuille. Ik moet dus ook nog de nodige voorzichtigheid betrachten.

Over de toetsing is deze ochtend door alle woordvoerders veel gesproken. Wij zijn daarmee al langer bezig. De toetsing moet vooral in het voortraject worden verricht. Daarom hebben wij een leidraad opgesteld die ambtenaren bewust moet maken van het belang van gegevens, en vooral van de manier waarop zij dat moeten vormgeven. Zeer recentelijk, namelijk vorige week, zijn de aanwijzingen voor de regelgeving van kracht geworden die verplichten tot het opnemen van een informatieparagraaf in de memorie van toelichting. Ik sprak daarover al.

Over de plaats van het PIA heb ik al de nodige opmerkingen gemaakt. Over de horizon- en de evaluatiebepaling hebben mevrouw Strik, de heer Holdijk, maar ook andere woordvoerders vragen gesteld. Wij vinden dat niet in ieder wetsvoorstel een horizonbepaling hoeft te worden opgenomen. Niet voor ieder wetsvoorstel is dat nodig, omdat niet iedere inbreuk op de privacy een zo drastische maatregel rechtvaardigt. Daarin kun je naar ons oordeel heel goed differentiëren. Bovendien moeten wij mijns inziens ook denken aan de gepleegde investeringen in de ICT. Daartoe roep ik ook de Kamer op. Wij kunnen niet zomaar beslissen om letterlijk de stekker uit de ICT te trekken als er vele miljoenen mee zijn gemoeid. Ik zie dat mevrouw Dupuis ook aanwezig is.

Over het delen van gegevens wil ik het volgende opmerken. Wij willen een beter uitgebalanceerde regeling over geheimhoudingsplichten en de betekenis daarvan in relatie tot de privacy. Naar ons oordeel moet meer en intensiever worden samengewerkt tussen toezichthouders en handhavers op verschillende terreinen. Dat is in ieders belang; niet alleen in het belang van de overheid, maar ook in het belang van burgers en ondernemers. Efficiënt toezicht verlaagt de toezichtslast op de samenleving zonder de belangen aan te tasten die dat toezicht moet dienen. Wij lopen daarbij echter wel aan tegen de verschillende regimes over de geheimhouding van gegevens die door verschillende toezichthouders zijn verzameld. Wij zullen echter niet aarzelen om, als het nodig is, daarvoor nieuwe, specifieke wettelijke voorzieningen voor te stellen. Ik zie dit echter niet als het verlaten van het doelbindingsbeginsel, zoals mevrouw Slagter – ik zie haar al opstaan – en mevrouw Strik vrezen. Integendeel. In specifieke wetgeving kunnen wij immers specifieke, nauwkeurig omschreven doeleinden opnemen.

Mevrouw Slagter-Roukema (SP):

Ik wil graag een kleine verheldering. Ik begrijp niet helemaal wat staatssecretaris Teeven bedoelt met "verschillende toezichthouders". In mijn beleving is het CBP dé toezichthouder. Ik begrijp dus niet goed wat hij met "verschillende toezichthouders" bedoelt.

Staatssecretaris Teeven:

Ik sprak over de samenwerking tussen toezichthouders en handhavers op verschillende terreinen. Dat zijn er uiteraard meer. Ik zal straks de jeugdzorg als voorbeeld noemen. Dat is ook een van de voorbeelden die minister Donner en ik noemen in de brief van 29 april. Op dat terrein moet bijvoorbeeld wel sprake zijn van samenwerking tussen de Inspectie Jeugdzorg en het CBP. Minister Donner en ik gaan samen aan de studie om te bezien of het haalbaar is om de Algemene wet bestuursrecht met een algemene voorziening uit te rusten voor het delen van toezichtgegevens. Ik ben het met de heer Holdijk eens als hij zegt dat hierbij moet worden geselecteerd tussen toezichthouders. Hoe dat zal moeten gebeuren, is een onderwerp van studie. Dat gaat weer de diepte in. Daarvoor hebben wij echt wat meer tijd nodig.

Verder mag het niet zo zijn dat de wetgeving rond gegevensbescherming een excuus is om in zeer uitzonderlijke, levensbedreigende situaties – wij spreken dan van "vitaal belang" – niet de juiste gegevens aan de juiste hulpverleners te verstrekken. Dat wil nu af en toe nog wel eens het geval zijn. Daarom zullen wij de Wbp in dit opzicht gaan verduidelijken. In de Wbp wordt geregeld dat als van een levensbedreigende situatie sprake is, gegevens zo nodig buiten een geheimhoudingsverplichting om mogen worden verstrekt. Er is dus geen sprake van "moeten worden verstrekt". Enkele woordvoerders hebben een opmerking gemaakt over vitaal belang. Met "vitaal belang" doel ik op een situatie waarbij het echt gaat om leven of dood, een situatie waaraan ernstige gezondheidsrisico's verbonden zijn. Het gaat hierbij dus om uitzonderlijke situaties. Deze term komt rechtstreeks uit de richtlijn. Dat biedt naar mijn mening dus al voldoende houvast.

Ik zou ook willen benadrukken dat het hierbij steeds gaat om een afweging in incidentele en afzonderlijke gevallen. Met een beroep op deze regeling kan geen structurele gegevensverstrekking plaatsvinden. De afweging om al dan niet tot informatieverstrekking over te gaan, ligt dus te allen tijde bij de betrokken professional zelf. Het gaat hierbij niet om de zogenaamde mission creep, waarover mevrouw Slagter deze ochtend in haar bijdrage zo treffend sprak en die zij vreest.

Mevrouw Slagter-Roukema (SP):

Ik wil daarop inderdaad toch nog even wijzen. Als je dit op deze manier in de Wbp inbouwt, vrees ik dat het risico van mission creep by design groot is. Juist op het voorbeeld dat de staatssecretaris geeft, hebben allerlei beroepsgroepen alweer gereageerd. Men vindt dat men eigenlijk de wetswijziging niet nodig heeft, omdat dit allang kan. De Wet op de jeugdzorg biedt deze mogelijkheid. Ik weet als huisarts zelf ook dat ik bij een conflict van plichten informatie kan delen als er een vitaal belang op het spel staat. Het is dus de vraag of wij niet het paard van Troje binnenhalen als wij dit op deze manier in dit wetsvoorstel regelen. Wellicht moeten wij hierover nu niet inhoudelijk discussiëren. Toch is het mijns inziens van belang dat de staatssecretaris en de minister dit meenemen in hun overwegingen.

Staatssecretaris Teeven:

Ik kan mevrouw Slagter toezeggen dat wij dit zeker zullen meenemen in onze overwegingen. Zij heeft zeker gelijk dat bij de jeugdzorg nu al informatie kan worden uitgewisseld tussen de jeugdzorg en bijvoorbeeld politie-instanties. Dat is mogelijk. Zij weet echter ongetwijfeld ook dat dit in de praktijk soms maar mondjesmaat gebeurt. Dat heeft niet zozeer te maken met de juridische mogelijkheden, als wel met de cultuur binnen sommige organisaties. Tegen die problemen loop ik als staatssecretaris verantwoordelijk voor de jeugdbescherming en de jeugdreclassering, toch nog wel regelmatig aan.

Ik kom op het toezicht. Wij zullen ook zorgen voor een belangrijke kwalitatieve versterking van het toezicht op de bescherming van persoonsgegevens. Zwaarte en aard van het bestaande sanctie-instrumentarium zijn niet meer van deze tijd. Volgens mij bestaat daarover in deze Kamer brede consensus. Wij zullen dus voorstellen om oplegging van een bestuurlijke boete mogelijk te maken voor overtreding van de materiële normen van de Wbp. Met name de hoogte van de boetes die het CBP oplegt, dient voldoende afschrikwekkend te zijn. Ik kan ronduit stellen dat de regering het eens is met wat de voorzitter van het College bescherming persoonsgegevens daarover heeft opgemerkt. Je moet niet aan boetes van miljarden denken, de orde van grootte waar mevrouw Slagter aan denkt als zij het heeft over Nelie Kroesachtige boetes. Die voorzie ik dan ook niet. Over de hoogte van de boetes zelf hebben wij nog geen definitief besluit genomen. Hierop komen wij graag terug in het wetsvoorstel zelf. Dan is dat ook een punt van afweging met de beide Kamers van het parlement. Daarin zullen wij onze keuzen ook nader toelichten en onderbouwen. Op voorhand kan ik de Kamer al wel een aantal factoren meegeven waarmee rekening zal worden gehouden bij het bepalen van de boetehoogte. Er zal onder meer worden gekeken naar boetes in vergelijkbare andere wetten en boetecategorieën uit het Wetboek van Strafrecht. Het lijkt logisch om naar die aansluiting te zoeken.

Ik zie geen aanleiding om de huidige taakomschrijving van het CBP te verruimen en om het CBP om te vormen tot een ICT-autoriteit waar diverse sprekers, onder andere mevrouw Dupuis, om hebben gevraagd. Dit kabinet zet graag in – dat blijkt ook een beetje uit onze brief van 29 april – op kwalitatieve versterking van de bevoegdheden van het CBP in combinatie met een uitbreiding van de materiële privacywaarborgen in de Wbp. Dat is naar ons oordeel belangrijker dan het steken van energie in een data-autoriteit. Wat het huidige takenpakket van het CBP betreft, wetgevingsadvisering en handhaving, is er volgens ons op dit moment geen aanleiding om daar verandering in te overwegen. De EU-privacyrichtlijn schrijft deze verdeling voor. Ik roep dat nog een keer in herinnering. Ik vind echt dat die taken een zinvolle combinatie zijn. Dat wordt door het College bescherming persoonsgegevens ook niet betwist. Dat geeft men zelf ook aan. Het College zit soms wel knel door al die taken. Het lijkt mij daarom dat wij de ervaringen van het CBP bij de handhaving moeten zien te vertalen in zinvolle wetgevingsadviezen. Dat lijkt mij heel verstandig. Die rol neemt het CBP graag op zich. Wij zouden dat ook graag zien voortgezet.

Mevrouw Strik (GroenLinks):

Voorzitter. Ik heb nog een ander puntje over de verschillende taken van het CBP. Ik heb geen probleem met wetgevingsadvisering, toezicht en handhaving. Die zaken kunnen goed samengaan, maar het CBP adviseert bedrijven ook vaak over de manier waarop men met privacy moet omgaan. Dat kan soms bijten, als een advies is gegeven, met de handhaving als achteraf blijkt dat een en ander toch in strijd is met de regels. Is er geen mogelijkheid om die taak onder te brengen in bijvoorbeeld een soort helpdesk of instituut met een bredere adviserende taak op het gebied van de uitvoering?

Staatssecretaris Teeven:

Ik kom daar nog over te spreken, want ik ga nog op die helpdesk in. Wij willen dat namelijk gaan doen, maar ik kan mevrouw Strik nog wel een beetje geruststellen op dit punt. Ik ga ervan uit dat zij dit al weet, maar het College bescherming persoonsgegevens heeft er vanwege de werkdruk voor gekozen om het geven van dit soort adviezen tot een minimum te beperken. Die prioriteit is al gesteld, wat overigens niet wil zeggen dat er een gat valt als het gaat om het verstrekken van adviezen aan het bedrijfsleven. Je zou kunnen stellen dat het bedrijfsleven dan maar naar de advocatuur toe moet voor dit soort adviezen, daar waar men ook verstand heeft van privacywetgeving, maar wij denken dat er nog een andere oplossing is, namelijk de helpdesk. Een aantal leden heeft daarvan gezegd dat de formatie ervoor minimaal is, maar daar ga ik nog iets over zeggen.

Mevrouw Slagter-Roukema (SP):

Hoe staat het met de openbaarheid van de adviezen van het CBP? Het CBP zegt daar zelf over dat het soms moeite heeft onderzoeksresultaten openbaar te krijgen. Zegt de staatssecretaris daar ook nog iets over?

Staatssecretaris Teeven:

Ik kan er nu al over opmerken dat wij ons wel moeten realiseren dat sommige zaken niet onomstotelijk altijd op elk moment vaststaan. In mijn gesprekken met de voorzitter van het College bescherming persoonsgegevens heb ik gemerkt dat hij ook inziet dat het openbaren van gegevens op elk moment buitengewoon schadelijk kan zijn als situaties feitelijk toch anders blijken te liggen. De heer Staal zei daar vanmorgen ook iets over toen hij de situatie rond KPN aanhaalde. Hij zei er in zijn bijdrage over dat zaken in de praktijk, als je het wat beter bekijkt, soms net iets anders blijken te liggen. Die overtuiging heeft het college zelf ook. Om die reden moeten wij niet in elke fase van het proces op dezelfde manier omgaan met de openbaarmaking. Wij zullen deze kwestie bij de herijking van de Wbp meenemen. Wij zullen dan bezien in hoeverre de openbaarmaking in alle verschillende fasen van het proces een rol moet blijven spelen.

Dan de gegevensbescherming. Wij willen ons bij het privacybeleid in algemene zin niet beperken tot de uitvoering van het regeerakkoord alleen. Dat heeft men waarschijnlijk ook gemerkt aan onze brief van 29 april. Wij zullen zorgdragen voor uitbreiding van de waarborgen die de Wbp biedt. Zo zullen wij een algemene meldplicht gaan introduceren voor datalekken. Verschillende sprekers hebben op diverse manieren gevraagd naar het burgerperspectief in die voorstellen. Wat doet het kabinet om de burger meer empowerment te geven? Er is in de samenleving een groeiende vraag waar te nemen naar meer transparantie door verantwoordelijken. Daar moeten wij goed naar kijken. Natuurlijk moeten in de sfeer van bijvoorbeeld de strafvordering onderzoeksbelangen vaak prevaleren boven transparantie. Dat lijkt soms onontkoombaar, maar op andere terreinen ligt het heel anders. ICT biedt steeds steeds meer mogelijkheden tot gecompliceerde verwerkingen. Dat is goed voor bedrijven en burgers, maar de complicaties van de verwerkingen benemen het zicht op hetgeen met persoonsgegevens gebeurt nu soms iets te veel. De recente gebeurtenissen rondom Google Street View, Playstation van Sony en de verkoop van locatiegegevens door TomTom zijn daarvan toch een illustratie. Verantwoordelijken kunnen door het bieden van meer transparantie over hun verwerkingen het evenwicht tussen de voor- en nadelen van zo'n verwerking herstellen. Wij komen daarom met voorstellen om de algemene transparantieverplichtingen te preciseren en een specifieke transparantieverplichting te introduceren voor bijvoorbeeld het profilen.

Mevrouw Dupuis (VVD):

Voorzitter. Ik wijs de staatssecretaris erop dat ik niet heb gesproken, hoewel ik het een heel goed idee vind, over de empowerment van burgers, maar over empowerment van de dienaren van de overheid. Komt hij daar nog op terug?

Staatssecretaris Teeven:

Zeker. Als het gaat om het bewustzijn van de dienaren van de overheid, dan heeft mevrouw Dupuis zeker een punt. Als het gaat om privacybescherming en het ontwerpen van systemen, dan moet dat goed tussen de oren zitten. Ik kom daar bij de individuele beantwoording op terug, maar ik heb mevrouw Dupuis wel horen spreken over empowerment. Ik heb dat per ongeluk bij de andere onderwerpen gevoegd.

De verplichtingen stellen de burger in staat om zelf zijn verantwoordelijkheid te nemen en zelf te bepalen hoever hij wil gaan met het prijsgeven van zijn persoonsgegevens. Hij kan zelf ook bepalen of hij zijn rechten van inzage, correctie en verzet wil uitoefenen. Natuurlijk is er meer mogelijk, vooral bij de vormgeving van de rechten die ik zojuist noemde, maar dat vergt een wijziging van de richtlijn. De Kamer weet dat de Europese Commissie daarmee bezig is. Wij zijn in afwachting daarvan.

Over de systeemverantwoordelijkheid van de overheid, ook voor gegevensverwerking buiten het eigenlijke overheidsdomein, zijn indringende vragen gesteld. We kunnen als overheid niet de verantwoordelijkheid overnemen van bedrijven die de laatste jaren over een grote informatiemacht zijn komen te beschikken. Die macht kan ook economisch worden ingezet, maar overheid en bedrijfsleven hebben hun eigen verantwoordelijkheden. Ik wil het bedrijfsleven noch de overheid de mogelijkheid ontzeggen om gebruik te maken van hetgeen de techniek biedt. Wel merk ik op dat bedrijven en overheid zich gewoon aan de wet moeten houden. Bedrijven en overheid moeten transparantie betrachten en verzoeken om inzage en correctie, zeker als het verzoek om correctie een wijziging van onjuiste gegevens betreft, behoorlijk behandelen. Daar moet adequaat, snel en transparant op worden gereageerd.

Mevrouw Tan (PvdA):

Voorzitter. Daar ging het de PvdA ook om. Natuurlijk hebben bedrijven een eigen verantwoordelijkheid, maar die vullen ze altijd in binnen de kaders van de wet. De overheid bepaalt via wetgeving hoe het maatschappelijk verkeer in goede banen wordt geleid. Daartoe behoort onder meer dit soort dingen. De staatssecretaris heeft gesproken over de transparantieplicht en over de mogelijkheid om te corrigeren. De vraag is nu hoever de overheid erin wil gaan om het zich tot taak te rekenen de grote macht die bedrijven inmiddels hebben gekregen wat meer aan banden te leggen.

Staatssecretaris Teeven:

Een van de redenen waarom dit kabinet zeer geïnteresseerd is in het standpunt van de Europese Commissie, is de volgende. Als een nationale overheid dit te ver doorvoert en bepaalde zaken zeer stringent aan banden gaat leggen, anders dan andere lidstaten van de Europese Unie, zou dat een verstoring van de concurrentieverhoudingen kunnen betekenen. Als Nederland daarin veel verder gaat dan andere lidstaten zou dat bijvoorbeeld kunnen leiden tot het vertrek van bedrijven. Die zouden naar het buitenland kunnen gaan.

Mevrouw Strik (GroenLinks):

Regering en bedrijfsleven hebben ieder een eigen verantwoordelijkheid, zo werd gezegd. Het is echter de overheid die de regie voert in het kader van wetgeving of verplichtingen die worden opgelegd. De staatssecretaris sprak over mogelijke concurrentievervalsing doordat er in Nederland strengere eisen worden gesteld. Maar het is natuurlijk ook een idee om op Europees niveau te gaan pleiten voor bepaalde verplichtingen voor het bedrijfsleven en voor overheden om de systemen aan bepaalde waarborgen te laten voldoen.

Staatssecretaris Teeven:

Zeker. Dat is precies de reden waarom ik zojuist zei dat wij graag datgene afwachten waarmee de Commissie bezig is. Tijdens de vergaderingen van de Europese Raad in Brussel, waar ik zelf een aantal keren heen ben gegaan wanneer het onderwerp privacy op de agenda stond, dringen wij er ook iedere keer op aan dat wij dit soort zaken EU-breed, voor alle 27 lidstaten, regelen en dat niet elke lidstaat dit voor zich gaat doen. In dat laatste geval krijg je namelijk wel te maken met concurrentieverstoring. Ik wil niet heel veel reclame maken voor het regeerakkoord, maar daarin staat echt meer over privacy dan in eerdere regeerakkoorden. Men kan er dan ook zeker van zijn dat de inzet van het kabinet erop is gericht om datgene wat er over dit onderwerp in het regeerakkoord staat, ook in Europees verband te realiseren. Ik realiseer me dat ik in een andere hoedanigheid, als woordvoerder van een oppositiefractie, heel wat jaren geleden heb gezegd dat je niets te vrezen hebt als je niets hebt te verbergen – die tekst herinner ik me nog goed – maar dat betekent niet dat ik me als staatssecretaris niet gebonden zou voelen aan het regeerakkoord. Men kan er dus van op aan dat het de inzet van het kabinet is om dit te realiseren.

Een aantal woordvoerders heeft vanmorgen gesproken over het recht om te worden vergeten. In Europees verband wordt er momenteel over dat recht gesproken in het kader van de herziening van de privacyrichtlijn. Alle senatoren hebben het daarover vanmorgen gehad vanuit de gedachte van een grotere zeggenschap voor de burger over de eigen gegevens. Een van de maatregelen waaraan de Europese Commissie denkt, is het expliciteren van het recht om te worden vergeten; dat zou een goede zaak zijn, zou ik bijna zeggen. We moeten met zijn allen echter wel goed helder hebben wat hieronder wordt verstaan. Het recht om te worden vergeten houdt concreet in het verplicht wissen van persoonsgegevens na afloop van een bewaartermijn of na het intrekken van de toestemming voor die gegevensverwerking door de betrokkene. Over het recht op vergeten heeft het kabinet in het BNC-fiche opgemerkt dat het vragen oproept. De gedachte erachter is sympathiek, maar ik vraag me af of het zal lukken om het recht om vergeten te worden geloofwaardig te regelen. Ik ben ook zeer benieuwd wat de Europese Commissie over dit onderwerp zal voorstellen. Men kan ervan uitgaan dat wij die voorstellen met een positieve instelling zullen bezien, mede gezien de breed gedeelde opvattingen daarover in deze Kamer.

Wij hebben tot nu toe enkele algemene uitgangspunten bediscussieerd, maar ook in de sfeer van de feitelijke maatregelen staan wij niet stil. Als staatssecretaris van Veiligheid en Justitie heb ik ook verantwoordelijkheden voor het ingewikkelde grensvlak tussen de justitiële jeugdzorg en de rechtshandhaving. Juist op dat terrein doen zich toepassingsvragen voor rond de Wbp die voor professionals op de werkvloer niet altijd gemakkelijk te beantwoorden zijn. Daarvoor is ondersteuning nodig; een aantal woordvoerders sprak daar zojuist al over. Daarom is er bij het ministerie van Veiligheid en Justitie een servicecentrum in opbouw om op zulke vragen antwoord te geven en om de uitvoeringspraktijk in staat te stellen om de Wbp goed toe te passen. Mevrouw Tan en mevrouw Strik heb ik daarover in positieve zin horen spreken.

Een aantal woordvoerders uitte zorgen over de formatie voor dit centrum. De relatief geringe formatie houdt verband met de opzet van het centrum. Wij willen een specifieke groep professionals faciliteren. Bij die opzet past de aangegeven formatie op dit moment. Voor een algemene maatschappelijke informatieplicht zie ik buiten hetgeen het CBP doet geen mogelijkheden. Als dit goed werkt, moeten wij natuurlijk wel bekijken of wij dit kunnen uitbreiden naar andere mensen die om adviezen vragen.

Mevrouw Tan (PvdA):

Hoe zit het dan met de toezegging dat er een servicepunt komt waar de burger niet alleen terechtkan met vragen en voor adviezen en steun, maar waar de burger ook terechtkan als er fouten zijn gemaakt in gevallen waarin een normale burger de bureaucratie niet kan doorgronden en daarin verdwaalt? Burgers hebben daarbij hulp nodig van deskundigen, die ook doorzettingsmacht hebben, om gedaan te krijgen dat die registratiefouten worden hersteld.

Staatssecretaris Teeven:

Dit brengt me terug op een onderwerp waarover wij eerder hebben gesproken. De wetgeving die wij nu gaan ontwerpen moet zo zijn dat onjuiste gegevens kunnen worden gecorrigeerd als er in een informatieadministratie onjuiste gegevens van een individu zijn opgenomen en dat de verantwoordelijke hierop kan worden aangesproken. Het is aan ons om er bij de uitwerking van de wijziging van de Wbp voor te zorgen dat die correctiemogelijkheid handen en voeten krijgt en dit niet een loos iets wordt, waarbij de burger verdwaalt in de bureaucratie, zoals mevrouw Tan terecht zei.

Mevrouw Tan (PvdA):

Om de WRR te citeren, zowel het rapport als wat is gezegd tijdens de expertmeeting waarop meerdere collega's en ik hebben gewezen: het probleem is juist dat er per individu nu zó veel databestanden zijn waarin gegevens over die persoon zijn opgenomen en dat er aan die databestanden ook weer zó veel organisaties hangen, dat het erg moeilijk lijkt om daarin, vanuit de situatie zoals die is gegroeid, met nieuwe regels een ordening aan te brengen. De bestaande situatie brengt immers al erg veel risico's met zich mee, temeer als je daar de kwestie van de koppelingen bij optelt.

Staatssecretaris Teeven:

De problemen die mevrouw Tan terecht signaleert wil ik zeker niet zomaar even van tafel vegen. Wij moeten ons echter wel realiseren dat dit nu in opbouw is. Ook is op dit moment het CBP nog verantwoordelijk voor de maatschappelijke advisering. Aan die verantwoordelijkheid geeft het CBP op dit moment minder invulling, maar het heeft die nog wel. Bij de implementatie hiervan zullen wij dus moeten bekijken waar wij het zwaartepunt zullen leggen. Komt dit bij de servicedesk te liggen of blijft er nog een taak voor het CBP?

Mevrouw Tan (PvdA):

Wij hebben nog een tweede termijn. Nu volsta ik ermee te verwijzen naar het debat dat wij hier hebben gevoerd bij de invoering van het algemene burgerservicenummer in juli 2007. De toenmalige staatssecretaris heeft toen niet alleen toegezegd dat er over vier jaar een evaluatie zou komen, maar ook dat er een instantie met doorzettingsmacht zou komen om burgers hierbij te helpen.

Staatssecretaris Teeven:

Hiervoor verwijs ik naar collega Donner. Hij zal hierop zo dadelijk uitgebreid ingaan. Wellicht geeft zijn antwoord mevrouw Tan nog meer input voor haar tweede termijn.

Voorzitter. Een andere wijze van vormgeven van privacybescherming waarop het kabinet inzet, is privacy by design. Zoals men heeft kunnen zien, staat dat ook zo in het regeerakkoord. Dit is een goede manier om privacybescherming concreet vorm te geven in informatiesystemen waarin persoonsgegevens worden verwerkt; ook de heer Franken wees hierop. Door toepassing van privacy by design wordt gegevensbescherming van meet af aan ingebakken in het systeemontwerp. Zij wordt van het begin af aan meegenomen. Het kabinet wil de toepassing van privacy by design stimuleren en onder anderen mevrouw Strik heeft daarvoor steun uitgesproken. Daarvoor is wel noodzakelijk kennis van de kansen en belemmeringen voor die toepassing. Het ministerie van Economische Zaken, Landbouw en Innovatie heeft TNO gevraagd om hiernaar onderzoek te doen. Mevrouw Slagter en de heer Franken hebben daarnaar gevraagd. TNO is in april van start gegaan met dit onderzoek. Het zal een aantal resultaten opleveren: een online survey naar de drijvende en remmende krachten van privacy by design, een kosten-batenanalyse van privacy by design en een internationale vergelijking. Een aantal woordvoerders heeft er al over gesproken: in hoeverre zijn andere landen ons nu al vooruit als het gaat om privacy by design in het systeemontwerp? Tevens zal het rapport aanbevelingen bevatten over de instrumenten die de overheid zou kunnen inzetten om het gebruik van privacy by design te stimuleren. Het onderzoek wordt naar verwachting eind 2011 door TNO opgeleverd. Ik zeg toe dat ik mijn collega van EL&I zal verzoeken om het aan beide Kamers tegelijk toe te sturen.

Over de wetgeving zal bij de Kamer de vraag zijn gerezen, misschien naar aanleiding van de brief en de bijbehorende notitie van 29 april, wat het kabinet concreet gaat doen. Wij zullen rond de zomer een wetsvoorstel, waaraan we nu al werken, in consultatie sturen en er met belanghebbenden, waaronder uiteraard het CBP, over gaan spreken. De inhoud op hoofdlijnen van het wetsvoorstel hebben wij in de brief van 29 april uiteengezet. We zijn dan in staat om in de herfst van dit jaar het wetsvoorstel naar de ministerraad te sturen. We moeten daarbij echter wel goed met Brussel communiceren, om te voorkomen dat we de Commissie onnodig voor de voeten gaan lopen. Zoals de Kamer weet, is er een nieuwe privacyrichtlijn in voorbereiding. We zullen er goed op letten.

In dit algemene gedeelte maak ik toch een aantal opmerkingen over de motie-Franken, want het is een belangrijke motie en alle sprekers hebben in eerste termijn gesproken over de criteria die in de motie staan. De heer Franken heeft nogmaals onder de aandacht gebracht dat de Kamer de regering vijf criteria heeft meegegeven waaraan de nieuwe wetgeving moet worden getoetst. Dat zijn prima criteria. Naar het oordeel van het kabinet werden die criteria ook al gebruikt bij het epd. Ik zeg het nogmaals: naar het oordeel van het kabinet werden die criteria ook al gebruikt bij het ontwerpen van het epd en het ekd. Collega Donner en ik willen de motie op dit moment dan ook nog niet omarmen. Op zich staan er allemaal dingen in waar wij best mee kunnen leven. We zullen er in de reactie op het WRR-rapport zeker op terugkomen. Ik zou de heer Franken dan ook willen vragen om de motie op dit moment aan te houden, afwachtende de reactie die door collega Donner zal worden gegeven op het WRR-rapport.

Voordat ik inga op de afzonderlijke vragen wil ik, mede namens de minister van Volksgezondheid, Welzijn en Sport, nog een paar opmerkingen maken over het epd.

De voorzitter:

Mag ik de staatssecretaris vragen hoe lang hij nog denkt het woord te zullen voeren? We hebben nog een kleine nacht te gaan en de minister weet ook van wanten.

Staatssecretaris Teeven:

Ik zal het zo kort mogelijk houden. Ik kan nog wat vragen overslaan, op het gevaar af dat de leden dan naar voren lopen omdat hun vragen niet zijn beantwoord. Ik zal voortmaken.

Namens de minister van VWS wil ik afstand nemen van een aantal uitlatingen over privacyschendingen bij het landelijke epd. Onder meer tijdens het debat met de Eerste Kamer op 15 maart jongstleden en in een brief aan de Eerste Kamer van 22 maart jongstleden is de minister van VWS uitgebreid ingegaan op de gang van zaken rondom de totstandkoming van het landelijk epd. Daar zou ik naar willen verwijzen. Naar het oordeel van het kabinet is het CBP nauw betrokken geweest bij het wetgevingstraject. Naar ons oordeel zijn met het CBP afspraken gemaakt over zijn toezichthoudende taken. Met het toezichtkader epd is het toezicht op het landelijk epd adequaat en bovendien naar de wens van het CBP en de IGZ ingevuld.

Ten aanzien van het ontwerp van het landelijk epd is naar het oordeel van het kabinet de nodige transparantie betracht. Ik zeg dit ook naar aanleiding van de inbreng van een aantal leden van vanmorgen. De keuzes die zijn gemaakt, hebben in alle openheid en met betrokkenheid van belanghebbenden plaatsgevonden. Het gehele ontwerp is door diverse partijen geaudit en geanalyseerd alvorens definitief gekozen is voor de bouw en implementatie. Over de voortgang van de implementatie is vanaf 2006 per kwartaal aan het parlement gerapporteerd. Ik heb dat onlangs tijdens een werkbezoek aan het CBP ook nog eens met de leden van het college besproken: hoe is dat nu eigenlijk precies gegaan met het epd? Ik had als verantwoordelijk staatssecretaris daar niet zo veel kennis van. Dit is in lijn met de terugkoppeling die ik heb gekregen.

Van een contra legem handelen, zoals mevrouw Dupuis stelt, is naar het oordeel van de regering geen sprake geweest, maar dat heeft mijn collega van VWS de Kamer ook al laten weten. Dat er, zoals mevrouw Slagter stelt, sprake zou zijn geweest van een foutieve en misleidende introductiebrief, wekt bij de regering enige verbazing, aangezien de desbetreffende brief destijds is voorgelegd aan de Tweede Kamer en ook expliciet aan de Eerste Kamer. Mijn collega van VWS heeft tijdens het mondeling overleg met de Eerste Kamer op 10 mei jongstleden inzake het landelijk epd toegezegd een onafhankelijk onderzoek te laten uitvoeren naar het besluitvormingsproces rondom de totstandkoming van het landelijk epd, waarbij zowel het beleidsmatige als het politieke besluitvormingsproces tegen het licht zal worden gehouden. Voor zover de uitkomsten van dit onderzoek nuttige aanbevelingen bevatten met betrekking tot het algemene privacybeleid, zie ik die met belangstelling tegemoet. Mevrouw Slagter heeft daar ook naar gevraagd.

Ik zal nu een beetje staccato heen gaan door de specifieke vragen die zijn gesteld, omdat mijn collega van BZK inderdaad ook nog wel de nodige tijd nodig zal hebben.

Mevrouw Tan heeft gevraagd hoe de overheid het toezicht op bedrijven en op de rechten van burgers op inzicht in, controle op en toegang tot opslag van eigen gegevens heeft geborgd. Waar kunnen burgers terecht? Ik heb het eigenlijk al gezegd: die borging zit in de Wbp. Bedrijven moeten voldoen aan de Wbp. Er is nog steeds sprake van toezicht en handhaving door het CBP. Daarom zijn wij wel van plan de transparantieverplichtingen aan te scherpen en de handhaving door het CBP te versterken met een bestuurlijke boete.

Mevrouw Tan (PvdA):

Voorzitter, ik weet dat we in tijdnood zitten. Bij de beantwoording van suggesties over het CBP heeft de staatssecretaris aangegeven vooralsnog uit te gaan van de huidige status quo, maar dit is nu juist een pijnpunt. Ik neem aan de signalen die het CBP geeft over onderbezetting daar mede aanleiding toe zijn, maar hoe het ook zij, er zijn natuurlijk ook signalen uit de samenleving over slechte bereikbaarheid. Daar heb ik ook iets over gezegd. De staatssecretaris verwijst naar het CBP als instantie waar individuele burgers terecht kunnen voor hulp, steun, advies en wat dies meer zij, maar dat staat op gespannen voet met de huidige situatie.

Staatssecretaris Teeven:

Mevrouw Tan signaleert een knelpunt; daar zal ik niet omheen draaien. Dat knelpunt is er. We hebben op dit moment niet veel geld om er ogenblikkelijk een enorme verbetering in aan te brengen, zeker niet als het over capaciteit gaat. Dat betekent dat ik met de leden van het CBP heb gesproken over de prioritering. Die is uiteraard in eerste instantie volledig hun eigen verantwoordelijkheid. In antwoord op vragen van mevrouw Strik zeg ik dat het CBP ervoor heeft gekozen om deze taak iets naar de achtergrond te plaatsen. Daar is men ook een beetje toe gedwongen door bijvoorbeeld een aantal grote onderzoeken die een zeer grote capaciteit vragen. Dat is onontkoombaar.

Over de systeemverantwoordelijkheid, waar mevrouw Tan en de heer Staal naar hebben gevraagd, heb ik gesproken.

Mevrouw Tan heeft nog gewezen op het initiatiefwetsvoorstel van Amerikaanse senatoren voor privacybescherming. Daarbij moeten we wel bedenken dat het Amerikaanse privacyrecht echt anders in elkaar zit dan het Europese. In de Verenigde Staten bestaat alleen een algemene privacywetgeving die tegen de overheid kan worden ingeroepen. Algemene wetgeving die geldig is voor het bedrijfsleven ontbreekt. Het is dus gefragmentariseerd. Het is een andere zaak. Tegelijkertijd roep ik in herinnering dat we in Europa in het kader van de herziening van de privacyrichtlijn wel met dit onderwerp bezig zijn. Laten wij dat even afwachten, dan kunnen wij daarbij nationaal aansluiten.

Mevrouw Tan en mevrouw Slagter hebben gevraagd of ik meer wil doen om inzicht te verkrijgen in het aantal databanken waarvan de overheid gebruik maakt, ook al is dat arbeidsintensief. Ik zal daarover kort zijn. Om die reden wil ik dat verwerpen, juist omdat dit analyseren en dit bij elkaar vegen een bijzonder arbeidsintensief karakter heeft. Ik neem de vraag van mevrouw Slagter echter zeer serieus en daarom zeg ik haar ook dat ik mij afvraag wat dit inzicht kan opleveren en kan bijdragen aan het proces van gegevensverwerking. Ik vind belangrijk dat elke individuele gegevensverwerking vooraf van een privacytoets wordt voorzien. Dat kan een wetgevingstoets zijn bij een wettelijke maatregel, maar het kan ook een toetsing zijn in het kader van de melding van een gegevensverwerking bij de functionaris voor de gegevensbescherming. Ik denk dat dit belangrijker is dan het op elkaar stapelen van dat soort zaken.

Over de mankracht van het servicecentrum hebben wij gesproken. Mevrouw Tan en de heer Franken hebben het onderwerp profiling aangestipt. Zij hebben gevraagd naar de visie van de regering op dit onderwerp. Wij wijzen het gebruik als zodanig niet af, maar erkennen wel het risico op privacyschending bij profiling, juist vanwege het gebruik van etiketten. Wij gaan ons in eerste instantie richten op het vergroten van transparantie bij profiling, zeg ik tot de heer Franken. Over dat onderwerp is vorig jaar in de Raad van Europa een resolutie vastgesteld die wij in wetgeving gaan omzetten. Wanneer verantwoordelijken verplicht worden gesteld profielen openbaar te maken, wordt duidelijk welke stereotype beelden worden gebruikt om te bepalen welke beslissingen er worden genomen in verband met de betrokkenen. Aangezien profiling gewoon een vorm van gegevensverwerking is, is de betrokkene in de positie de rechten van inzage, correctie en verzet uit te oefenen.

Mevrouw Tan heeft gevraagd naar andere bevoegdheden van het CBP. Daarop zetten wij niet in, maar wel op versterking van de handhaving door het CBP. Mevrouw Tan en mevrouw Slagter hebben nog gevraagd naar onze plannen met betrekking tot de versterking van dat toezicht. Ik denk dat ik daarover ook heb gesproken.

Tot slot heeft mevrouw Tan gevraagd of er aanleiding is voor een nadere beschouwing over veiligheid en privacy naar aanleiding van recente bevindingen over biometrische gegevens en de bevindingen van het CBP over naleving van de voorschriften door opsporingsdiensten bij het bevragen van gebruikersgegevens over telecommunicatie. Nee, de bevindingen van het CBP geven daartoe op dit moment naar ons oordeel geen aanleiding. Er zijn geen grove privacyschendingen geconstateerd. Wel zijn er tekortkomingen gesignaleerd bij de administratieve procedures rond die CIOT-bevragingen. De opsporingsdiensten is opgedragen dat ze per 1 mei jongstleden in control moesten zijn, om dat woord maar te gebruiken. Ze hebben aangegeven thans inderdaad in control te zijn. In de maanden mei en juni worden zes quick scans uitgevoerd om de juistheid van die in-controlverklaringen te controleren, want wij gaan er niet blind op af.

De heer Franken heeft terecht veel aandacht gevraagd voor identiteiten. Hij heeft ook gevraagd hoe dynamisch geconstrueerde identiteiten bij profiling zijn. Dat verschilt van geval tot geval. Daarbij komt dat een rationeel handelende verantwoordelijke ook zelf initiatieven neemt om profielen van tijd tot tijd bij te stellen als de ontwikkelingen daarom vragen. Wij gaan ons daarom nu vooral richten op vergroting van transparantie bij profiling, zoals is aangegeven in eerdere antwoorden op vragen.

De heer Franken heeft verder gevraagd of er twijfels bestaan over privacybescherming bij cloud computing die de maatschappelijke acceptatie kunnen aantasten. Ook de heer Staal heeft daarover opmerkingen gemaakt. Zo pessimistisch ben ik niet, zeg ik tot de heer Franken. Van het bedrijfsleven hoor ik eigenlijk heel positieve geluiden. Wel moeten wij letten op de vraag naar het toepasselijk recht. Dat is allesbepalend, voor zowel de aansprakelijkheid van de ISP's als het privacyregime en het strafrecht. Daarom moet primair in EU-verband een oplossing worden gezocht. Naar ons oordeel is het zinloos om alleen Nederland stappen te laten zetten. Dit vraagstuk ligt echt op tafel in Brussel. Het is echter zo gecompliceerd dat ik wil waarschuwen voor al te optimistische verwachtingen over een oplossing van dit probleem.

De heer Franken heeft verder gevraagd of de regering, ik zou bijna willen zeggen "nogmaals wil bevestigen" – in de vraag staat "bevestigen" – dat zij netneutraliteit onderschrijft en niet gaat filteren. Hij weet uiteraard dat de minister van Buitenlandse Zaken daarover enige tijd geleden in buitenlands verband opmerkingen heeft gemaakt, ik meen bij het bijwonen van de G8. De regering gaat uit van vrijheid en verantwoordelijkheid, van vrijheid van meningsuiting ook op het net, maar behoudens ieders verantwoordelijkheid voor de wet. Kinderporno en schending van het auteursrecht, om een paar voorbeelden te noemen die ik uit mijn eigen portefeuille vrij goed ken, moeten worden vervolgd. Van voorafgaand censureren kan geen sprake zijn, laat ik daarover volstrekt duidelijk zijn.

De heer Franken heeft heel terecht gewezen op het voortschrijden van de techniek, die nieuwe mogelijkheden kan bieden voor opsporing. Daarvoor kan worden gewezen op de inzet van camera's waarmee gebeurtenissen kunnen worden vastgelegd of het afnemen van DNA-materiaal van personen, waarmee verbanden kunnen worden gelegd met ernstige misdrijven. "De techniek", zei hij, "is niet altijd behulpzaam voor de opsporing." Het komt ook voor dat technische ontwikkelingen de opsporing juist bemoeilijken. Daarvoor wijs ik bijvoorbeeld op de ontwikkeling van internettelefonie die soms versleuteld plaatsvindt, waardoor het aftappen wordt bemoeilijkt. Wij weten niet wat de toekomst ons op dat terrein zal brengen, zodat ik wat voorzichtig moet zijn met uitspraken over de wenselijkheid van nieuwe opsporingsbevoegdheden. Dat zou mij in de toekomst nog wel eens kunnen achtervolgen. Maar ik ben het wel geheel met de heer Franken eens dat opsporingsbevoegdheden zo veel mogelijk techniekonafhankelijk moeten worden geformuleerd. Daarmee kan worden voorkomen dat de wettelijke regels te snel verouderen.

De heer Franken heeft ook gewezen op de centrale opslag van vingerafdrukken. Daarbij ging het niet om een nieuwe bevoegdheid, maar om het bijeenbrengen van gegevens.

De heer Franken heeft voorts gewezen op de ontwikkeling van het zogenaamde spoofen, waarbij gebruik wordt gemaakt van de identiteit van een andere persoon. Hij wil van de regering horen wat wij tegen deze gedragingen denken te ondernemen en wel tegen de achtergrond dat identiteitsfraude in de VS wordt gezien als snelst groeiende vorm van misdaad. Hij heeft ook gevraagd naar de voorlichting aan burgers en de strafbaarstelling van bepaalde gedragingen. De regering onderkent dat identiteitsfraude in Nederland helaas niet alleen een fictie is, maar ook een harde realiteit. Die identiteitsfraude is niet alleen voorbehouden aan het gebruik van internet, maar komt ook voor in de niet-virtuele wereld. De precieze omvang van het verschijnsel identiteitsfraude is niet bekend. In opdracht van de minister van Binnenlandse Zaken en Koninkrijksrelaties wordt op basis van de bestaande bronnen onderzoek verricht naar de omvang van de identiteitsfraude. Dit onderzoek zal naar verwachting medio 2011 gereed zijn. Ik ga ervan uit dat minister Donner de heer Franken daarover volledig zal informeren.

Mevrouw Slagter heeft mede namens de fractie van de Partij voor de Dieren een specifieke vraag gesteld over de randvoorwaarden bij digitaliseringsprojecten van de overheid. Zij heeft een zestal criteria genoemd, die grotendeels terugkomen in de motie-Franken. Over die motie heb ik al het nodige opgemerkt. Zeker bij kwesties als het gebruik van PIA's, van effectiviteitstoetsing vooraf, waaronder juridische toetsing, versterking van de positie van de burger en versterking van de bevoegdheden van de toezichthouder, ziet deze regering heel wel dat deze zaken moeten worden meegenomen, zeker als de overheid overgaat tot privacywetgeving.

Mevrouw Slagter heeft gevraagd of de samenleving veiliger is geworden door gegevensverwerking. De overheid heeft de mogelijkheid om gebruik te maken van gegevensverwerking als beleidsinstrument. Ik ben van mening dat de overheid die mogelijkheid ook moet gebruiken. Het omgekeerde, niets doen, is geen optie. Wij moeten ons ook realiseren dat wij in een tijd leven met beperkte financiële middelen en met beperkte opsporings- en vervolgingscapaciteit. Een groot aantal uwer wil aan tal van zaken daarvan prioriteit geven. Dat betekent dat wat handjes en hersens normaal genomen doen, soms ook kan worden gedaan door automatiseringssystemen. Wij moeten die zaken dus niet bij voorbaat uitsluiten.

Mevrouw Slagter heeft gevraagd, in hoeverre de overheid met al die gekoppelde databestanden criminelen in de kaart speelt. Dat is een kwestie van goede beveiliging. Door bestanden te koppelen en niet te integreren tot een soort supergegevensbestand, worden die risico's beperkt. Segmentering en compartimentering zijn beveiligingsprincipes die bij de rijksdienst breed worden toegepast. Het basisbeveiligingsniveau bij de rijksdienst is juist gebaseerd op de vertrouwelijkheid van de persoonsgegevens.

Ik dank mevrouw Slagter voor het cadeau dat we van haar kregen, namelijk het boek De Kluizenaar. Ik ben er inmiddels in begonnen, maar ik ben nog niet heel ver gekomen. Ze moet dus nog geen vragen gaan stellen. Op de achterflap las ik dat het een spannend, maar ook ontluisterend verhaal betreft. Ik weet niet of collega Donner al verder is gekomen, maar dat horen we dan wel. Er zit een spanningsveld in tussen de beginselen van de rechtsstaat, en de verdergaande technologische ontwikkelingen. Het is geschreven door een praktijkman, wat als ingrediënt voor een zeer interessant boek klinkt. Ik begrijp dat het eerste exemplaar is overhandigd aan de voorzitter van het CBP, en bij hem lijkt het mij in zeer goede handen. Volgens mij heeft hij het ook nog niet uit, want ik heb hem er de vorige week niet over gehoord, toen ik op werkbezoek was bij het CBP. Ik zal hem er bij gelegenheid nog eens over aanspreken!

De heer Holdijk heeft mede namens de ChristenUnie een aantal vragen gesteld. De regering denkt aan een onderzoek naar de mogelijkheid van het regelen van gegevensverstrekking tussen toezichthouders in de Awb. De heer Holdijk vroeg aan welke toezichthouders ik denk. Dat is natuurlijk een van de vragen die moet worden beantwoord, maar het is evident dat niet iedere BOA, parkeerwachter of tramcontroleur vanzelfsprekend recht op alle gegevens heeft. De belangen van bijvoorbeeld fraudebestrijding vergen dat gegevens systematisch worden verdeeld. We kunnen differentiëren, bijvoorbeeld in degenen die geautoriseerd worden in het raadplegen van gegevens. Wij zijn op zoek naar een goede formulering in de wet om dat belang te dienen, en tegelijkertijd te letten op de bescherming van alle gegevens.

De heer Holdijk vroeg hoe de doelbinding in samenwerkingsverbanden wordt verzekerd. Daar zie ik verschillende mogelijkheden voor. De belangrijkste twee zie ik in een gerichte aanpassing van de bestaande bijzondere wetgeving die onderlinge gegevensverstrekking voor bij die wet aan te wijzen doelen rechtvaardigt. Ook is mogelijk dat de wet een bestendig samenwerkingsverband uitdrukkelijk benoemt. Je zou kunnen denken aan joint investigating teams. Verder zou je kunnen toestaan dat in dat verband voor een bij die wet aangewezen doel die gegevens worden verwerkt.

Mevrouw Dupuis heeft het belang van empowerment van professionals benadrukt, waarbij zij vroeg hoe de overheid het privacybesef bij ambtenaren gaat vergroten. Ik wijs op maatregelen als de ontwikkeling van het Servicecentrum privacy en veiligheid op mijn ministerie. Uitgangspunt daarbij is dat professionals zelf de afweging moeten maken, wanneer gegevens wel en wanneer niet moeten worden gedeeld met anderen. Naar ons oordeel kan die professional zelf alleen tot die afweging komen, want alleen de professional is van de precieze individuele omstandigheden op de hoogte. Als voorbeelden van andere initiatieven van de overheid om het privacybesef binnen de overheid te vergroten, noem ik de Leidraad afstemming wetgeving op de Wbp, die de Kamer in een bijlage bij de schriftelijke vragen heeft ontvangen, maar ook de versterkte juridische toetsing aan de grondrechten en de Wbp in het kader van de wetgevingstoets en de verplichte aanwezigheid van een informatieparagraaf in de memorie van toelichting.

Ik had de bijdrage van mijn collega van VWS reeds met de Kamer gedeeld.

De heer Staal vroeg hoe wij aankijken tegen cloudcomputing, uit een oogpunt van privacy. Dit is een van de moeilijkste vragen waarvoor collega Donner en ik staan. Dit betreft de vraag naar het recht dat op de verantwoordelijke voor de cloud van toepassing is. Welk recht laat je daarop los? We moeten constateren dat door de wereldwijde omvang van dit verschijnsel er een noodzaak begint te ontstaan om de verschillende rechtssystemen in de VS, Azië en Europa enigszins op elkaar af te stemmen, en elkaar te vinden bij het formuleren van de gemeenschappelijkheden en de minimumwaarborgen. Maar dat zie ik wel als een taak van de EU. Ik denk dat dat niet op een heel korte termijn is geregeld, hoewel ik de heer Staal en mevrouw Strik wel wil toezeggen dat de regering bij de spaarzame bezoeken aan Brussel daarop zal aandringen.

Mevrouw Strik had de vraag of het opdringerige veiligheidsbeleid ons niet dreigt te verstikken. Zij vraagt dat aan iemand die in 2007 nog de spreuk bezigde "als je niets te verbergen hebt, heb je niets te vrezen". Dat maakt mijn antwoord niet op voorhand geloofwaardig, maar ik probeer het toch. Ik ben het niet met haar eens. Ik vind dat wij in het kader van het veiligheidsbeleid gebruik moeten kunnen maken van het instrument gegevensverwerking, en alle technologische ontwikkelingen die er zijn. Dat kan heel efficiënt zijn, bijvoorbeeld als het gaat om opsporingswerk, waar we handjes kunnen missen, die we dan ergens anders kunnen inzetten. Maar we moeten wel voldoende oog hebben voor de waarborgen van de betrokkenen. Er dient op behoorlijke wijze een juridische toetsing van de voorgenomen maatregelen plaats te vinden, wat naar mijn mening op dit moment ook gebeurt.

Mevrouw Strik vroeg of het gevaar van een onbeperkte hoeveelheid gegevensverwerking niet is dat er nog meer langs elkaar heen wordt gewerkt, of de profilering niet vaak te grof is, waardoor we ons doel voorbij schieten en of profilering geen stigmatisering in de hand werkt. Daar hoort eigenlijk ook de vraag bij of de techniek niet leidend is, terwijl de inhoud leidend zou moeten zijn. Ik ben het niet eens met de stelling van mevrouw Strik dat in het huidige privacydebat techniek de norm is. Naar mijn mening wordt daarmee tekort gedaan aan de nodige initiatieven op het terrein van privacytoetsing. Juist om de door mevrouw Strik genoemde effecten en onnodige inbreuken op de privacy te voorkomen is het goed, vooraf een gedegen juridische toetsing te verrichten bij de invoering van een maatregel waarin doelbinding, proportionaliteit en ook subsidiariteit – dat woord hoort bij select before you collect – worden meegenomen. In de leidraad voor het afstemmen van de wetgeving op de Wbp worden daar al de nodige handvaten voor geboden. De vraag is alleen – dat wil ik mevrouw Strik wel toegeven – of we ons altijd bij die wetgeving op alle ministeries voldoende bewust zijn daarvan. Ook in de toetsing zullen wij daarvoor aandacht vragen.

Mevrouw Strik (GroenLinks):

U zegt dat u niet te ver gaat, en dat het nu zorgvuldig gaat. Maar tegelijkertijd geeft u een aantal verbeteringen aan die eraan zitten te komen. Maar geeft u dan niet toch een beetje toe dat die verbeteringen noodzakelijk zijn, omdat het systeem nu te grof is en soms zijn doel voorbij schiet? Hoe kunt u waarborgen dat die profielen waarmee wordt gedatamined zo verfijnd worden dat je voorkomt dat mensen daarin onnodig worden meegesleurd die er niets mee te maken hebben?

Staatssecretaris Teeven:

Bij de de opstelling van regelgeving moeten we ervoor zorgen dat select before you collect, dus het subsidiariteitsbeginsel, wordt meegenomen. Als we door de bomen het bos niet meer zien, zoals u dat terecht uitdrukt, dan hebben we er helemaal niets aan. Bij dataminen en profilen bestaat dat risico wel. Als de reactie op het WRR-rapport door collega Donner is afgerond, zullen we moeten bekijken hoe we de tweede stap kunnen maken. Ik stel voor dat ik daarop in tweede termijn terugkom.

De vergadering wordt enkele ogenblikken geschorst.

Voorzitter: Van der Linden

De voorzitter:

Ik dank de heer Van den Berg voor het waarnemen van het voorzitterschap.

Ik geef het woord aan de minister van Binnenlandse Zaken en Koninkrijksrelaties met het verzoek om het Duitse spreekwoord "in der Beschränkung zeigt sich der Meister" waar te maken.

Minister Donner:

Voorzitter. Tijdens de eerste termijn van de Kamer in dit debat over de digitale uitwisseling van persoonsgegevens en de relatie met de privacy van burgers is een grote verscheidenheid aan onderwerpen ter sprake gekomen. Ik zal proberen mijn antwoord te reduceren tot een aantal specifieke aspecten.

De inbreng die de senatoren vanochtend hebben geleverd, berustte op een groot aantal rapporten en op de onderkenning dat wij in de afgelopen jaren niet alleen een informatiesamenleving zijn binnengestapt, maar in wezen ook een nieuwe samenleving hebben gecreëerd met kwetsbare kanten door databestanden en de wijze waarop met informatie wordt omgegaan. Dat betreft niet alleen vraagstukken van privacy. Vanochtend zijn ook vragen over identiteitsfraude aan de orde gekomen. Mevrouw Tan heeft gewezen op de oorzaken en de verschillende mechanismen.

In de loop van 2007 en 2008 zijn wij in een crisis terechtgekomen waarbij diezelfde technieken van informatie-uitwisseling betrokken waren. Er is inderdaad een breder vraagstuk aan de orde. Het was vanochtend duidelijk dat bij diverse leden van de Kamer een gevoel van onbehagen en zelfs onrust heerste over de thema's van het debat van vandaag. Ik zal niet in staat zijn om dat gevoel van onrust en onbehagen weg te nemen. Er zijn in de samenleving verschillende onderwerpen aan de orde. Tegelijkertijd moeten wij constateren dat wij te maken hebben met een brede ontwikkeling van nieuwe technieken voor het opslaan, verwerken en combineren van gegevens en voor communicatie. Het is een verandering die niet minder ingrijpend is dan indertijd de uitvinding van de boekdrukkunst. Zo kun je het ook zien. Het belangrijkste verschil is dat de veranderingen toen enige eeuwen vergden en nu in enkele jaren plaatsvinden. Daardoor zijn ze ook veel breder.

Ik wijs er overigens op dat de reactie van overheid en autoriteiten op dat moment niet anders was dan nu: hoe houden wij de regie? De overheid heeft geprobeerd de regie te houden door te werken met vergunningen voor de boekdrukkers. De kerk heeft het geprobeerd met de index, met als ambitie om voor ieder boek dat werd gedrukt al op voorhand zorgvuldig te controleren of het wel geschikt was voor de samenleving. Dat was een soort impact assessment. De index bestaat nog steeds, maar de ontwikkeling is sinds die tijd doorgegaan. Zij onttrok zich namelijk aan iedere regie door overheid en kerk.

Wij constateren ook dat veel van de opmerkingen die vanochtend zijn gemaakt, berusten op de teneur "heeft de overheid de zaak nog wel onder controle?", "heeft de overheid nog wel de regie?" en "waar gaan wij heen?" Ik denk dat het antwoord op die vraag nog steeds positief is; dat geldt althans voor het eigen handelen van de overheid. Gaat het om de ontwikkelingen daarbuiten, dan ben ik pessimistischer. Daarom denk ik ook dat ik het gevoel van onbehagen niet weg zal kunnen nemen. De overheid is bij deze ontwikkeling namelijk niet de enige speler. Zij is zelfs niet de belangrijkste speler in deze arena. De ontwikkelingen op dit terrein gaan razendsnel en zij doen zich vooral wereldwijd voor. Dat is ook hier aan de orde gekomen; in het Engels heet het "cloud computing", maar ik zou het "wolken rijden" willen noemen. Dat heb ik in de Tweede Kamer ook zo aangeduid. Dat laat al zien dat de manier waarop een aantal processen plaatsvinden, volstrekt ongrijpbaar is. Die zijn niet meer door nationale wetgeving en nationale regels te beheersen. Het is zelfs de vraag of ze door internationale regels te beheersen zijn, want ook als wij in Europa een aantal voorzieningen treffen, moeten wij constateren dat de ontwikkelingen heel eenvoudig, ongrijpbaar voor iedereen en buiten het bereik van welke Europese autoriteit dan ook plaatsvinden.

Het is een misvatting om te denken dat de Nederlandse overheid zelfstandig in staat is of moet zijn om de risico's van de digitale datastromen te beheersen en, bovenal, vooraf onder controle te krijgen, juist omdat er op mondiaal niveau sprake is van grensoverschrijdende technologische ontwikkelingen. Dat is ook de essentie van de constateringen die zijn gedaan in het WRR-advies. Wij zijn in wezen in een andere soort omgeving terechtgekomen. Bovendien hebben wij niet alleen te maken met een e-overheid, maar ook met een e-samenleving. De heer Holdijk wees daar vanochtend al op.

Wij kunnen met onze wetgeving of met onze systemen niet de wereld in de hand houden. Aan de ene kant kunnen wij de overheid op tal van wijzen aan banden leggen met het oog op de bescherming van de privacy, maar aan de andere kant hebben wij juist een krachtige overheid nodig om diezelfde burgers te beschermen tegen hetgeen andere actoren in dit veld doen, een overheid die in staat is om te kunnen inzien wat de gevaren en de risico's zijn, een overheid die zelf over de mogelijkheden moet beschikken om daartegen op te treden. Wij zitten wat dat betreft dus met een dilemma. Aan de ene kant is het mogelijk om tal van zaken aan banden te leggen, maar aan de andere kant is het dan de vraag wie ons dan moet beschermen. Men heeft namelijk niets aan een overheid die niets kan.

Dat laat onverlet dat wij een nieuw vraagstuk hebben – ik zal niet zeggen "een nieuw probleem" – waarop een antwoord gevonden moet worden. Dat antwoord zal nu juist niet zijn het zoeken naar en het krijgen van regie en beheersing. Het zal inderdaad ook gaan om de vraag hoe wij mensen tegen de ontwikkeling kunnen wapenen en hoe wij hen in staat kunnen stellen om die ontwikkeling aan te pakken. In die zin is de ontwikkeling van de wetgeving in Amerika door de senatoren Kerry en McCain – hoe vinden wij beginselen voor de bescherming van de burger – interessant. Dat geldt zeker als die binnen een land, een markt, plaatsvindt zoals de Verenigde Staten. Dat biedt een basis, niet zozeer om grip te krijgen, maar wel om mensen te wapenen tegen ontwikkelingen, net zoals wij ons geleidelijk aan ook hebben gewapend tegen alles wat via de boekdrukkunst over ons wordt uitgestort.

Mevrouw Slagter-Roukema (SP):

Denkt de minister dat zo'n initiatief als in Amerika ook een plaats zou kunnen hebben binnen onze democratie?

Minister Donner:

Ik twijfel er niet aan dat het binnen onze democratie ook een plaats zou kunnen hebben, maar wat is de impact daarvan binnen onze democratie? Mevrouw Slagter vraagt om een impact assessment. Daarbij gaat het niet alleen om de eventuele systemen die wij introduceren; wij moeten dan ook een impact assessment maken van wat wij met wetten kunnen doen op dit terrein. Als ontwikkelingen die binnen een land als de Verenigde Staten plaatsvinden, aanslaan in andere landen – zo zullen wij in deze tijd zeker moeten bekijken hoe die aanslaan in Aziatische landen – dan beginnen wij een basis te krijgen om meer grip te krijgen op het geheel.

Mevrouw Slagter-Roukema (SP):

Dit vind ik iets al te afwachtend, hoewel dat wel weer past bij de persoonlijkheid van deze minister. Maar misschien heb ik mijn vraag niet scherp genoeg gesteld. Hoe zou de minister het vinden als ook in ons land zo'n initiatief wordt genomen? Hoe zou de regering daarmee omgaan?

Minister Donner:

Meer in het algemeen geldt ook op een aantal andere punten waarover vragen zijn gesteld, dat dit nu net de substantie is van wat met het WRR-rapport aan de orde is gesteld, namelijk: hoe moeten wij met elkaar omgaan en hoe kunnen wij functioneren in de mondiale samenleving, die wij met zijn allen gecreëerd hebben? Op dit moment kan ik nog geen antwoord geven op de vraag of het zin zou hebben om dat in Nederland te doen. Het impact assessment van wetgeving die wij op dit moment zelf opstellen, nog los van alle effecten die die wetgeving mogelijk heeft op bedrijven die hier gevestigd zijn, zal weinig impact hebben bij de techniek waar wij het over hebben. Immers, met één druk op de knop verplaatst alles wat er gebeurt, zich naar een andere jurisdictie en onttrekt het zich aan onze wetgeving.

Mevrouw Tan (PvdA):

De minister begon zijn betoog met de boekdrukkunst en de polsstok van de overheid. Hij stelde dat het niet zit in sturing en regie, maar in wat ik dan maar "empowerment" van de burger noem. De minister gebruikte daar een netter Nederlands woord voor. In dat kader legt hij de link met het initiatiefwetsvoorstel van de Amerikaanse senatoren Kerry en McCain. Dat wetsvoorstel is niet alleen vanwege zijn inhoud illustratief; de Partij van de Arbeid heeft het ook aangehaald vanwege de politieke impact die daaruit spreekt. Het gaat om een bipartiet wetsvoorstel van Amerikaanse senatoren. Die positionering in het staatsbestel is een andere dan die van ons Nederlandse senatoren. Dat die Amerikaanse senatoren met zijn tweeën zo'n initiatiefwetsvoorstel indienen geeft aan wat het politieke klimaat is in de Verenigde Staten als het gaat om dit soort zaken, in vergelijking met het politieke klimaat hier. Dan kom ik op het voorbeeld van empowerment. Als de polsstok van de overheid niet oneindig is, hoe kunnen wij dan via empowerment van de burger komen tot verbetering?

Minister Donner:

Wij moeten nu oppassen dat wij niet meteen allerlei verbindingen aanbrengen aan de wijze waarop dit wetsvoorstel in de Verenigde Staten aan de orde wordt gesteld. Ik constateer net als mevrouw Tan dat dit een bipartiet voorstel is. Dat is werkzaam in een tweepartijenstelsel zoals men dat kent in de Verenigde Staten. Tegelijkertijd geldt dat voor meer wetgeving in de Verenigde Staten omdat het staatsbestel in de Verenigde Staten een wezenlijk andere is, waarin alle wetgeving altijd in het congres zijn oorsprong vindt en begint en dan ook door de senatoren wordt gedragen. Ons systeem van een regering die in de Kamer wetgeving indient, is vreemd aan de scheiding van machten zoals die in de Verenigde Staten geldt. De president kan per boodschap bepaalde wetten naar het Congres sturen, maar die zullen daar gedragen moeten worden door personen. Dit is een wezenlijk ander systeem. We moeten oppassen om aan die procedure bijzondere consequenties te verbinden.

Ik geef echter toe dat we met de veranderingen die we in gang hebben gezet in een ander soort problematiek terechtkomen. Het is dan ook logisch om te bekijken hoe we daar grip op kunnen krijgen. Het effect ervan – er werd gewezen op de situatie die zich heeft ontwikkeld in Noord-Afrika – laat zien dat we in een totaal ander soort samenleving zijn terechtgekomen. Tegelijkertijd moet ik ook vaststellen dat ik nog betwijfel of de ontwikkeling van de techniek op dit terrein al aan een rijpheid is gekomen die het mogelijk maakt om een overzicht te krijgen over de vraag hoe we dit probleem aan kunnen pakken. Toen de Wet persoonsregistraties werd ontwikkeld, waar ik zelf als ambtenaar in de jaren tachtig bij betrokken was en die in de jaren negentig tot stand is gekomen, dachten we dat we het hele verschijnsel nog konden beheersen via regelingen van de persoonsregistraties. Dat was namelijk overzichtelijk. Dat waren die computers. Voordat de wet door de Kamer was, hadden we al kleinere computers gekregen en tegenwoordig heeft iedereen zo'n ding in zijn binnenzak zitten met talloze persoonsregistraties, waarvan je niet weet waar ze opgeslagen zijn vanwege de gerealiseerde verbindingen. Hoe die ontwikkeling verdergaat en wat de mogelijkheden ervan zijn, moet nog duidelijk worden. Dat betekent niet dat ik rustig wil afwachten. Zo moet de Kamer mij niet beluisteren, maar we weten nu niet wat de volle omvang is. Dat we in een ander speelveld zijn terechtgekomen, is duidelijk. Daarom hadden we niet onmiddellijk binnen een maand een reactie op het WRR-rapport paraat. Dat zou ook geen recht doen aan de problematiek die in dat rapport aan de orde wordt gesteld. De leden krijgen die reactie zonder meer, maar ik kan nu niet voor de vuist weg reageren en zeggen dat we het zus of zo doen en dat het daarmee rond is.

De voorzitter:

Met het oog op de tijd wil ik de leden vragen slechts korte interventies te plegen. Ook wil ik de minister vragen die zeer kort te beantwoorden zodat we ons enigszins aan het tijdschema kunnen houden. De voorzitter blijft zitten tot het eind, daarover hoeven de leden zich geen zorgen te maken, maar de tijd die we nu nemen, komt er straks bij. Ik hoop niet dat de leden vermoeidheidsverschijnselen gaan vertonen. Tegen de voorzitter leggen zij het sowieso af, dat kan ik op voorhand zeggen. Ik wil nu dus graag afspreken om korte interventies te plegen en die zeer kort en bondig te beantwoorden. Ik ben er namelijk bang voor dat we beschouwing op beschouwing en vraag op vraag krijgen met in de beschouwingen weer nieuwe vragen. Dan zitten we hier nog heel lang.

Mevrouw Dupuis (VVD):

Ik hoor het mea non culpa van de minister als het gaat om de beschermende taak van de overheid inzake de privacy van de burgers. Ik heb het in mijn bijdrage ook gehad over het feit dat de overheid zelf deel van het probleem is door het initiatief te nemen voor zaken als het eld, het ekd en het epd. Gaat de minister daar nog wat over zeggen?

Minister Donner:

Dat was ik niet van plan, want ik meen dat de staatssecretaris daar uitvoerig op ingegaan is. Uiteraard kunnen we bij tal van in gang gezette wetgevingsprocessen aan het eind constateren dat we ervan afzien. Dat betekent echter niet dat ze daarom niet opgestart hadden moeten worden.

De voorzitter:

Ik wil de Kamer erop wijzen dat we vanavond nog een tweede termijn hebben. Urgente vragen kunnen per interruptie gesteld worden en als de Kamer het idee heeft niet voldoende aan haar trekken te zijn gekomen, kan de rest in tweede termijn.

Mevrouw Tan (PvdA):

Ja, ik heb een heel korte vraag ter afronding van de gedachtewisseling van zo-even. De minister wijst op de beperkte stuurbaarheid. Juist de verwijzing naar wat in andere landen gebeurt – de minister verwees naar Noord-Afrika, ik verwees naar de Arabische lente – laat zien dat de oplossing mijns inziens gelegen is in een kanteling naar de empowerment van de burger.

Minister Donner:

Ik bestrijd ook niet dat dit ook een element zal zijn van het geheel, maar het is niet alleen dat. Wij zullen ook nieuwe wegen moeten vinden voor de regels die tussen burgers gelden. Ons burgerlijk recht is ontwikkeld mede op basis van de boekdrukkunst en de mogelijkheid dat wij contracten konden sluiten. Hadden wij een andere ontwikkeling gehad, hadden wij dit nog steeds in steen moeten beitelen, dan kan ik u garanderen dat wij een ander Burgerlijk Wetboek hadden gehad.

De heer Franken (CDA):

Juist om straks in de tweede termijn tijd te besparen, wil ik graag inhaken op iets wat de minister zojuist heeft gezegd, dan kunnen wij dit meteen afdoen. In zekere zin heeft hij zich gelaten uitgelaten over het feit dat er ontwikkelingen zijn die wij niet in de hand hebben, die in het buitenland plaatsvinden. Hij zei: mijn arm reikt niet verder dan hij lang is. Ik wijs er echter op dat er juist op dit gebied internationaal allerlei zaken heel snel geweldig kunnen worden geregeld. De domeinnaamregistratie is een heel goed voorbeeld. De staat California – niet eens de Verenigde Staten van Amerika – is hier met een paar mensen mee begonnen en wereldwijd was het in buitengewoon korte tijd op orde. Wij moeten, denk ik, niet afwachtend blijven. Ook een Nederlandse overheid kan via de contacten die zij in het buitenland heeft en via contacten met het bedrijfsleven ondersteunend en snel resultaten boeken.

Minister Donner:

Ik stel ook niet dat wij een gelaten, afwachtende houding moeten hebben. Ik geef alleen aan – daar reageerde ik namelijk op – dat de ondertoon van veel van de interventies van vanochtend er een was van regie: hoe kunnen wij op voorhand ontwikkelingen sturen door zorgvuldigheid te betrachten, door te kiezen, door heel zorgvuldig te overwegen wat er wel en niet nodig is? Ik constateer – dat is ook de kern van het WRR-rapport – dat de som van al deze zorgvuldigheid aan het begin niet betekent dat wij een zorgvuldige samenleving hebben.

Dat laat onverlet dat op tal van punten snelle interventies mogelijk zijn. Ik geef een ander voorbeeld: de snelheid waarmee wij biometrische gegevens in paspoorten hebben opgenomen. Snelheid heeft voor- en nadelen. Het enige wat ik tegen mevrouw Tan zei, is dat het daarom niet zo is dat je onmiddellijk een reactie kunt schrijven op het WRR-rapport, want dan beperkt deze zich tot de paar aanbevelingen die men daarin doet, terwijl men de substantie miskent. Ik wijs er overigens op dat de Kamerleden vanochtend veel rapporten hebben genoemd, maar vergeten zijn om het laatste rapport op dit terrein te noemen, namelijk De digitale overheid, de preadviezen van de Nederlandse Vereniging voor Bestuursrecht, die deze week worden behandeld. Er is een stroom van publicaties over dit onderwerp. Ook in deze publicatie is mevrouw Prins aan het woord. Dat wilde ik aangeven met betrekking tot de hele ontwikkeling.

Mevrouw Dupuis wierp de vraag op: is de overheid zelf een betrouwbare speler op dit terrein? Ik denk dat het antwoord daarop positief is. Uiteraard kan men wijzen op fouten die gemaakt zijn bij de ontwikkeling van de ICT. Binnen het bedrijfsleven is dat niet anders geweest. Inderdaad, aan het begin zijn wij vaak uitgegaan van verwachtingen, maar dat geeft slechts aan dat in een democratie een overheid niet wijzer is dan de algemene publieke opinie. Als de leden der Kamers zeggen dat wij dit moeten opnemen, dat wij hiervan een bestand moeten maken en dat wij dit nu allemaal heel zorgvuldig en gedetailleerd kunnen regelen, dan kan de overheid niet zeggen: ja, maar over vijf jaar kijken wij er anders tegenaan, dus laten wij het maar niet doen. Nee, het is een van de elementen van een democratie dat een overheid daarin mee beweegt. Ik bestrijd echter de stelling dat de overheid op dit moment maar wat doet en de gedane voorstellen niet overweegt. De staatssecretaris heeft daar reeds op gewezen. Er vindt een beoordeling plaats van het nut en de noodzaak, alleen al vanwege de investeringen. Ik meen ook dat bij de uitwisseling van gegevens nog steeds het systeem geldt dat het doel van de registraties en ieder gebruik daarvan moet worden toegestaan.

Er wordt hier veel gesproken over function creep. Uiteraard is het zo dat die discussie hier gevoerd wordt, als wij een systeem hebben dat ook voor andere doeleinden gebruikt kan worden. Meestal eindigt de discussie dan met de constatering dat het systeem wellicht voor een ander doel gebruikt kan worden, als wij het dan toch hebben. Dat is het verschijnsel waarover wij het hebben. De keerzijde is dat wij anders voor ieder nieuw probleem een nieuwe registratie zouden opstellen. Ik weet niet of wij dan geruster zouden zijn. Ik wijs in dit kader op de feitelijke ontwikkeling van nu. Op een aantal terreinen werken wij met grote databestanden waar voor verschillende functies uit geput kan worden. Zo zal de informatie over de belastingen vermoedelijk op een goed moment gebruikt kunnen worden. Zo kunnen de databestanden van het burgerservicenummer en de GBA voor verschillende doeleinden gebruikt worden. In die zin is er dus tal van ontwikkelingen.

Dit sluit ook aan bij het gegeven dat wij het niet over één instantie hebben als wij over de overheid spreken, maar over een veelheid van organen die wij mede uit het oogpunt van zorgvuldigheid vaak nog gescheiden houden. In die zin moeten wij oppassen met het beeld van één monolithische overheid. Wat is daarbinnen de verantwoordelijkheid van de minister van Binnenlandse Zaken? Die richt zich met name op een aantal algemene bestanden: de GBA, het burgerservicenummer en andere algemene voorzieningen alsmede op de brede vragen vanuit de Grondwet over de bescherming van de privacy en de maatregelen die op dat terrein nodig zijn.

Ik kom nu op het WRR-rapport dat hier uitvoerig besproken is. Mag ik voorstellen dat ik kortheidshalve niet probeer om nog verder op de inhoud daarvan in te gaan, omdat, zoals is vastgesteld, de Kamer nog een reactie krijgt van het kabinet? Het is nu wel makkelijk om een paar punten daaruit te halen, maar uit het oogpunt van volledigheid zou dat niet juist zijn. Dit is evenzo de achtergrond van het feit dat wij in de brief van 29 april niet diep zijn ingegaan op de specifieke aanbevelingen in het rapport. Ik zal in alle gevallen de Kamer toezeggen dat ik de vragen die hier vanochtend aan de orde zijn geweest evenals de verschillende zorgen die tot uitdrukking zijn gekomen, zal meenemen bij het opstellen van de reactie op het WRR-rapport.

Mevrouw Dupuis en anderen hebben gewezen op het privacybewustzijn van ambtenaren, althans het grotere bewustzijn van het feit dat wij geleidelijk aan in een ander speelveld aan het komen zijn. Waarschijnlijk is het een volstrekt juiste constatering dat nog niet iedereen zodanig van dit bewustzijn is doordrongen als de schrijvers van het WRR-rapport. Zou dit wel zo zijn, dan hadden wij ook geen behoefte aan WRR-rapporten op dit terrein. Dit is proces is nu gaande. Ik kan de leden der Kamer garanderen dat tegen de tijd dat de laatste ambtenaar, het laatste Kamerlid en de laatste minister het bewustzijn heeft zoals in het WRR-rapport gevraagd wordt, de ontwikkelingen al weer zo veel verder zijn dat wij nog steeds van een achterstand in bewustzijn spreken. Dat is echter onderdeel van het proces waarin we zitten.

Ik kom op de suggesties voor het instellen van een aantal nieuwe instituten die vanochtend aan de orde kwamen, mede aan de hand van het WRR-rapport. Ik zeg niet dat je dit wel of niet moet doen, maar ik stel vast dat het om een ontwikkeling gaat die niet met het instellen van een aantal instituten is op te lossen. Het grootste gevaar is zelfs dat met het instellen van nieuwe instituten het idee ontstaat dat wij het hebben geregeld en dat wij er niet meer op hoeven te letten. Ik zeg dat ook omdat wij bijvoorbeeld in eenzelfde discussie in deze Kamer bij de regeling van het burgerservicenummer, mede op aandringen van de Eerste Kamer het burgerservicepunt is ingesteld voor alle problemen met en klachten over het burgerservicenummer; fouten of dubbele nummers. Dat is vanochtend ook uitvoerig aan de orde gekomen. Dat servicepunt heeft in alle jaren van zijn bestaan niet meer dan 26 klachten gekregen. Ik zal daar straks nog iets uitvoeriger op ingaan.

Een ander punt dat wij ingesteld hebben, is het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten. Bij dat meldpunt zijn in een jaar tijd 100 meldingen binnengekomen, waarvan verreweg de meeste betrekking hadden op de particuliere sector, maar niet op fouten of fraude met betrekking tot overheidsbestanden. We moeten dus ervoor oppassen niet iedere keer een nieuw instituut in te stellen. In mijn reactie op het WRR-rapport zal ik daar nader op ingaan, maar dit moest mij even van het hart gelet op het belang dat er vanochtend aan gehecht werd.

Mevrouw Tan (PvdA):

Ik heb alle begrip voor een fundamentele reactie op het WRR-rapport op een later moment. Dat heb ik volgens mij ook gezegd in mijn inbreng namens de PvdA-fractie. Dat rapport is namelijk op 15 maart aan de minister aangeboden. De PvdA-fractie heeft juist sterk gepleit voor het niet alsmaar opnieuw instellen van instituties, waaraan misschien ook nog eens te veel tijd wordt besteed. Bij de meldingen van de minister over het functioneren van meldpunten komt de vraag naar voren hoeveel burgers op de hoogte zijn van het bestaan van die meldpunten, hoeveel burgers zich realiseren welke problematiek daarbij aan de orde is en waar zij allemaal waarvoor terecht kunnen. Dat blijft voor ons een grote vraag, ook als wij nu worden geconfronteerd met die geringe aantallen.

Minister Donner:

Dat is onderdeel van het bezien en het evalueren zoals mevrouw Tan heeft gevraagd. Er is toegezegd om dit meldpunt na vier jaar te evalueren. Tegelijkertijd onderstreept dit hetgeen ik net gezegd heb, namelijk het grote gevaar dat wij denken dat het punt geregeld is met het instellen van een meldpunt. Wij hebben er inderdaad meer belang bij om burgers bewust te maken van de problematiek. Het effect van bewust maken ligt vooral in het feit dat je antwoorden moeten hebben op de vraag wat je moet doen met de problemen die je vaststelt. De heer Staal ging daarop in met zijn opmerkingen over de vraag in hoeverre je burgers bewust maakt. Anders laat je alleen maar de onrust toenemen en heb je geen effectief antwoord op de problematiek en de achterdocht die je opwekt. Dat gegeven neem ik mee.

Ik kom op een aantal vragen die mij zijn gesteld. Mevrouw Tan is ingegaan op de problematiek van de openbaarheid van bestuur. Zij meende, vermoedelijk op basis van berichtgeving die van anderen van mijzelf afkomstig was, dat ik bepleit zou hebben om de openbaarheid van bestuur te beperken in het belang van de kosten. Dat geeft aan dat niet alleen bij de gegevensstroom een probleem met de juistheid bestaat, maar ook breder. Ik heb deze opmerkingen namelijk niet gemaakt. Ik had het gevoel dat bij sommige berichtgeving over mijn rede de waarschuwing paste die men vroeger wel in romans aantrof: iedere overeenkomst met de werkelijkheid berust op toeval. Ik heb de rede bij me, dus als iemand deze wil lezen, is dat mogelijk. Dat er applaus op volgde, is helemaal niet zo vreemd; ik vond het zelf ook een redelijk goede rede. Sommigen wilden haar echter blijkbaar niet horen. Overigens zal ik de Tweede Kamer binnenkort een brief sturen over de openbaarheid van bestuur.

Verder heeft mevrouw Tan gevraagd naar de foutpercentages bij de Belastingdienst. Zij stelde dat men 75% foutloze dossiers voldoende achtte. Zij bracht dit in verband met bestanden. Dat is een fundamentele fout. De foutpercentages waarover het gaat, betreffen een regeling bij de Belastingdienst die stelt dat een behandelend ambtenaar, wanneer hij een aangifte controleert, verslag moet doen van zijn bevindingen en beslissingen en dat verslag aan zijn dossier moet toevoegen. De Algemene Rekenkamer constateerde dat die verslaglegging tekortschiet. Er zit overigens verbetering in, maar in elk geval sloeg de 75% op die verslaglegging. Ik weet uit mijn ervaring als voormalig minister van Sociale Zaken en Werkgelegenheid, toen ik verantwoordelijk was voor premie- en belastingheffing en de totale systematiek, dat de geldende normen 98% tot 100% juistheid van gegevens eisen. Anders zou het systeem inderdaad niet kunnen werken, want dan weet je van geen enkel gegeven of het juist is. Nogmaals, dat zijn dus heel verschillende zaken.

Ik heb zojuist al iets gezegd over het punt van mevrouw Tan over de verschillende termijnen die gelden voor de toezeggingen van de staatssecretaris met betrekking tot het burgerservicenummer. De eerste toezegging, uit 2007, betreft het functioneren van het burgerservicepunt en de instantie met doorzettingsmacht. Zoals gezegd zijn er 26 meldingen gedaan van vermoede fouten. Bij het natrekken van deze meldingen is gebleken dat in geen van de gemelde gevallen daadwerkelijk sprake was van een fout. Geen van deze zaken is dus ook met een zienswijze doorgestuurd naar het CBP. Er is toegezegd om dit burgerservicepunt na vier jaar te evalueren. De evaluatie zal eind dit jaar plaatsvinden. Ik verwacht dat het daarna verder zal lopen.

De tweede toezegging betreft een toezegging uit november vorig jaar over het overkoepelend beoordelingskader. Naar verwachting zal dat kader eind volgend jaar bij de Eerste Kamer komen. Het gaat echter om twee verschillende toezeggingen; vandaar de verschillende termijnen.

Mevrouw Tan heeft verder gevraagd in hoeverre de centrale positie van de rijks-CIO's, de hoofdgegevenspersonen, voldoende tegenwicht kan bieden bij de gebruikelijke valkuilen. Ik wijs erop dat ik in februari van dit jaar de Kamer nog heb gerapporteerd over de ervaringen met het functioneren van de CIO's. Er is een aantal aanvullende maatregelen en aanscherpingen aangegeven, maar tot dusver moet worden geconstateerd dat de functionaris werkt.

In het verlengde hiervan wijs ik op het volgende. Een van de conclusies is dat ook bij dit soort ICT-projecten minder naar absolute waarborgen aan het begin van het project moet worden gezocht. Het accent is in de afgelopen twee jaar verschoven naar de kwaliteitsbewaking tijdens de uitvoering van de projecten. Dit gebeurt onder andere door het uitvoeren van gateway reviews, waarbij getoetst wordt of de kwaliteit van het project voldoende is om aan een volgende fase te beginnen. De nadruk is dus meer komen te liggen op het proces en minder op de absolute waarborgen aan het begin waarbij alles wordt afgewogen. Dat moet ook gebeuren, maar dat biedt niet de garanties die men daarin zocht.

Verder werd gewezen op een door de WRR geconstateerde spagaat tussen de dienstverlening en de privacy. Men vroeg zich af of daarbij wellicht het element van de effectiviteit en de efficiency van het functioneren van de overheid speelde. Ook vroeg men zich af of de regering het beeld herkent waarbij de bestaande informatiseringspraktijk de kwaliteit van de dienstverlening aan de burger dreigt aan te tasten.

Ik deel de zorgen over het ongeremd terugvallen op en gebruikmaken van de mogelijkheden van informatisering. Ons maatschappelijk bestel en ons overheidsbestel zijn echter al veel te afhankelijk van deze systemen geworden om dat nog te kunnen stoppen. Daarom betwijfel ik ook zeer of bij de invoering van dit soort systemen met horizonbepalingen kan worden gewerkt. Bij een regeling zoals de bekende Walvis, waarbij een geautomatiseerd systeem is geïntroduceerd voor de belasting- en premieheffing, kan men na tien jaar niet terugkeren naar papier als het systeem niet bevredigend werkt. Gedurende die tien jaar zal men namelijk die systemen overeind moeten houden. Kortom: op een aantal terreinen zetten wij stappen die onomkeerbaar worden.

Tegelijkertijd betwijfel ik of de informatiseringspraktijk de oorzaak is van een aantal problemen in de dienstverlening. De oorzaak van die institutionalisering is de regelreflex, waarbij we in het geval van een probleem onmiddellijk een oplossing willen hebben, nieuwe regels willen toevoegen en nieuwe verfijningen in het systeem willen doorvoeren. Dat brak ons ook op bij de Walvis. Het systeem kon op den duur niet meer de snelheid bijhouden waarmee de politiek de regels van de belastingheffing veranderde. Wij hebben automatisering geïntroduceerd met de gedachte dat wij dan flexibel zijn en een en ander snel in de tijd kunnen aanpassen. De facto hebben we nu voor iedere wijziging die moet worden doorgevoerd ten minste zes maanden de tijd nodig om alle releases bij te stellen, om te zorgen dat het goed gaat. Bij andere projecten duurt het minstens negen maanden, ook als de wetgever een project afgerond heeft, voordat een project kan worden uitgevoerd, vanwege alle systemen die we daarvoor moeten invoeren. Dat zijn effecten die daarbij gelden.

Doordat wij elektronisch contact kunnen hebben met de overheid, zijn echter juist ook dingen mogelijk geworden. Bijvoorbeeld bij de paspoortuitgifte kan men 24 uur per dag, zeven dagen per week, aanvragen indienen en regelen. Men hoeft niet in de rij voor het loket te staan, maar kan het paspoort afhalen op een afgesproken tijdstip en er dan onmiddellijk mee weglopen. Het is erg gevaarlijk om eenzijdig de nadruk te leggen op gebreken en op verwachtingen die niet helemaal uitkomen en daarmee te constateren dat de dienstverlening als gevolg van de informatisering minder is geworden.

Er is gevraagd naar een reactie op de staatscommissie inzake de Grondwet. Ik wil daar vandaag niet inhoudelijk op ingaan, maar ik kan melden dat het de bedoeling van het kabinet is om daar nog voor het zomerreces op te reageren.

Het rapport van het Rathenau Instituut is in november vorig jaar uitgekomen. Op een groot aantal punten loopt het samen met de bevindingen van het WRR-rapport. Voor zover relevant zal ik de thematiek meenemen in de reactie op het WRR-rapport. Voor het overige zal erop worden ingegaan voor zover dat nodig is.

Er zijn verschillende vragen gesteld over de recente beslissing van het kabinet om af te zien van de opslag van vingerafdrukken die zijn afgenomen met het oog op de paspoorten. Die beslissing berustte op de constatering dat de technische ontwikkeling rond de mogelijkheden om vingerafdrukken voldoende eenduidig te verwerken, niet aan de verwachting heeft voldaan. Dat heeft mij ertoe gebracht om te constateren dat ik systemen van verificatie daarop niet kan laten berusten. Op dit moment heeft het dus geen zin om vingerafdrukken op te slaan. Dat is iets anders dan de vraagstukken van identiteit. Wij hebben wat ruwere biometrische gegevens op een paspoort staan, namelijk de vorm van het gezicht. Ook daarbij wordt inmiddels gewerkt met bepaalde mechanismen van herkenning. Als men zich in het fotohokje beweegt, mag men niet meer glimlachen en moet men zijn hoofd onder een bepaalde hoek houden. Het is onjuist om te constateren dat de ontwikkeling nergens op uitdraait. Nee, er is alleen gebleken dat vingerafdrukken op dit moment onvoldoende precies zijn om te worden gebruikt.

De heer Staal heeft gevraagd naar de kleinschaligheid dan wel de grootschaligheid. Ook die vraag is niet eenduidig te beantwoorden. Als ik een groot bestand kan opdelen in tien kleinere bestanden en elk van die bestanden volledig standalone kan functioneren, dan heb ik de gelegenheid tien keer zo groot gemaakt, maar bij iedere inbraak is de effectiviteit een tiende van wat het anders zou zijn. De kleine bestanden laten wij allemaal onderling communiceren. Dat was ook bij de paspoorten het geval. Daar hebben wij ongeveer 700 kleine bestanden met gegevens. Zij moeten allemaal met elkaar in verbinding staan om op iedere ambassade, wanneer een paspoort wordt aangevraagd, te kunnen weten of al eerder een paspoort is afgegeven. Op dat moment beginnen de risico's naar de andere kant door te slaan en is er reden om tot de conclusie te komen dat we ze in één groot bestand moeten opslaan waar iedereen mee kan communiceren. Dat zijn feitelijke vragen die niet systematisch grootschalig of kleinschalig kunnen worden opgelost.

Mevrouw Strik (GroenLinks):

De minister geeft aan dat vingerafdrukken niet zijn te gebruiken voor verificatie. Zijn de databanken opgeheven? We moesten vier vingerafdrukken afstaan voor het paspoort, twee voor op de chip en twee voor de databank. Betekent dit dan dat twee van de vier zijn vernietigd, voor zover die al zijn afgenomen?

Minister Donner:

Nee, ik denk dat dit een fout is. Overigens heb ik ook op dat punt de Tweede Kamer heel duidelijk beantwoord. Wat betreft de opgeslagen vingerafdrukken gaat het er om vier; er zitten er twee op het paspoort maar alle vier zijn opgeslagen. Die zijn nu decentraal opgeslagen bij gemeenten. Ingevolge de wet zijn ze nu opgeslagen en gemeenten kunnen zich niet zomaar aan de wet onttrekken. Die vingerafdrukken zullen allemaal vernietigd worden. Ook hierbij stuiten wij – overigens zal de Kamer daar nog een brief over krijgen – op de techniek. Het is juridisch eenvoudig te regelen. Het geschiedt namelijk bij ministeriële regeling en de opslagtermijnen voor de vingerafdrukken zullen worden teruggebracht tot de termijn tot de afgifte van het paspoort. Dan moeten ze worden vernietigd. Alleen, om dit in de techniek te realiseren hebben we diverse maanden nodig omdat we de systematiek zo goed gemaakt hebben dat eigenlijk niets uit de paspoortregistratie verwijderd kan worden. Het grote risico was namelijk dat gegevens verloren zouden gaan. We hebben die systematiek zo goed gemaakt, dat het heel moeilijk is om te weten wat we moeten doen om ze weer te verwijderen.

De voorzitter:

Ik geef mevrouw Strik de gelegenheid om nog één vraag te stellen. Daarna zou ik eigenlijk geen interrupties meer willen toestaan, want we zijn nu al drie kwartier over tijd. Ik zou dan ook graag van de minister willen vernemen hoeveel tijd hij nog denkt nodig te hebben, nu we drie kwartier over tijd zijn.

Mevrouw Strik (GroenLinks):

Dan kom ik op mijn laatste concrete vraag. De vingerafdrukken worden vernietigd, hoewel dat nog even kan duren. Dan houden we nog wel de twee vingerafdrukken op de chip in het paspoort – dat is ook een Europese verplichting – maar in feite hebben ze geen enkele functie?

Minister Donner:

Op dit moment zullen die niet gebruikt worden vanwege de constatering dat we de apparatuur nog niet hebben om die op betrouwbare wijze als identificatiemiddel te gebruiken.

De voorzitter:

Ik had ook nog een vraag aan de minister gesteld.

Minister Donner:

Voorzitter, ik ben bijna door mijn antwoorden heen.

De voorzitter:

Dat is een geruststellende gedachte. Ik zou er naar willen streven dat wij voor half tien de eerste termijn van de regering hebben afgerond. Dan kunnen wij de volgenden het bericht geven wanneer zij aanwezig kunnen zijn voor de beantwoording in tweede termijn.

Minister Donner:

Voorzitter. De heer Franken vroeg mij nog of de minister medewerking wil verlenen aan het bevorderen van encryptietechieken om daardoor herroepbare privacy mogelijk te maken. In het overleg met de centrale informatiepersonen van het departement dat in april heeft plaatsgevonden, is dat al voor de rijksdienst vastgelegd. Kortom, de versleuteling van informatie is voor de rijksdienst al in het beleid opgenomen. Dat betekent dat het nog wel in de loop van de tijd gerealiseerd en in de praktijk toegepast moet worden, maar het is dus al onderdeel van het beleid.

De heren Franken en Staal vroegen naar de beveiliging bij cloud computing. Op dat punt is de vraag aan de orde bij wie we die beveiliging moeten aanknopen. Bij dit verschijnsel weet je namelijk niet welke informatie gebruikt wordt. Dat is reden waarom ik in reactie op de motie-Van der Burg onlangs aan de Kamer een brief heb gestuurd over de strategie van de rijksoverheid met betrekking tot cloud computing. Daarin heb ik aangegeven dat het kabinet ervoor kiest om een gesloten rijkswolk te introduceren. Tussen de verschillende bestanden van het Rijk kan er wel gebruikgemaakt worden van het verschijnsel, maar dat zal afgesloten zijn voor het gebruik buiten de rijksbestanden. Overigens, als onderdeel van het realiseren van de compacte overheid zal het aantal rekencentra van de rijksoverheid drastisch worden teruggebracht. Een onderdeel van het streven naar een compacte overheid is juist om op dit punt een betere en overzichtelijkere situatie te creëren. Ik denk dat ik daarmee een antwoord heb gegeven. Voor de risico's die in de samenleving bestaan, hebben wij met deze benadering geen oplossing.

Er is gevraagd of de gevallen van identiteitsfraude te voorkomen zijn. Het kabinet besteedt daar regelmatig aandacht aan en er is een meldpunt voor identiteitsfraude en -fouten. Daarop is de staatssecretaris al ingegaan. Dat meldpunt staat burgers bij als zij identiteitsfraude vermoeden. Ik ging eerder al in op het gebruik dat daarvan is gemaakt.

Op de motie is de staatssecretaris al ingegaan. Juist omdat dit een fundamenteel aspect betreft van hoe wij als rijksoverheid moeten omgaan met het verschijnsel dat ook in het WRR-rapport aan de orde komt, zou het wellicht beter zijn om ook in die context te bespreken of de voorgestelde beginselen hanteerbaar en in het algemeen toepasbaar zijn. Op dit moment heb ik daar geen beeld van, hoezeer die uitgangspunten op het eerste gezicht het reeds door het kabinet gevoerde beleid ook ondersteunen ten aanzien van het weloverwogen omgaan met dit soort verschijnselen; dat heeft de staatssecretaris al aangegeven. Er is op gewezen dat via de aanwijzing voor de wetgevingstechniek elementen daarvan al zijn opgenomen. De vraag of dit breed kan worden geïntroduceerd, moet echter aan de orde komen in de reactie op het WRR-rapport.

Dat brengt mij bij de door mevrouw Slagter genoemde randvoorwaarden voor digitaliseringsprojecten van de overheid. Ook de heer Staal richtte de aandacht op beginselen zoals "select before you collect". In gewoon Nederlands betekent dit "bezint voordat ge begint" of gewoon "kijk even voordat je gaat verzamelen". Dat weet iedere verzamelaar. De Nederlandse taal is veel rijker dan al die domme Engelse termen die wij steeds maar gebruiken. Verschillende van de genoemde randvoorwaarden zijn inmiddels al geborgd in de afspraken over planvorming met betrekking tot grootschalige ICT-projecten. Dat geldt met name voor de noodzaak van een duidelijke doelbinding en een afwegingskader, toezicht in de ontwerpfase, voorkeur voor kleinschaligheid en het vermijden van onnodige complexiteit van de onderwerpen. Meer in het bijzonder vinden die voorwaarden hun weerklank in eisen die wij nu al stellen, namelijk dat er algemene projectinformatie moet zijn, ook over resultaat en sturing, een zakelijke rechtvaardiging, planning en beheersing, informatievoorziening aan de opdrachtgever en de Tweede Kamer en samenwerkingsverbanden. Ik wees er al op dat wij die projecten steeds meer ook tijdens het project bewaken bij het ingaan van een volgende fase, bijvoorbeeld door gateway reviews, audits en adviezen van experts. De staatssecretaris heeft al gezegd hoe de privacy impact assessment zal worden meegenomen. Wij proberen om dit soort punten al zo veel mogelijk op te pakken.

Net als mevrouw Tan heeft mevrouw Slagter het punt gemaakt dat de positie van de burger versterkt moet worden. Ik zou daarover in het algemeen een aantal opmerkingen kunnen maken, maar dat kan specifieker in de reactie op het WRR-rapport.

Mevrouw Slagter heeft ook in het kader van het burgerservicenummer gevraagd naar een duidelijke afbakening van de doelstelling en een heldere afweging van belangen. Er is uitvoerig gesproken over nut en noodzaak van een beoordelingskader. De staatssecretaris heeft aangekondigd dat het brede beoordelingskader er voor het eind van volgend jaar komt. De invoering van het BSN heeft overigens niets veranderd in de waarborgen voor het goed en correct gebruik van het nummer. Het BSN stelt ook geen eisen aan het koppelen van data. Het uitwisselen van gegevens wordt steeds in de afzonderlijke wetten geregeld. Er wordt alleen geregeld dat je het nummer mee moet geven.

Het spreekt voor zich dat het gebruik van het BSN in een specifieke sector, zoals de zorg, door niet-overheidsorganen een specifieke normenkader vereist. Het wetgevingstraject voor het gebruik van het BSN in de zorg was destijds al zo ver gevorderd dat er niet is gekozen voor een apart sectoraal normenkader. Zoals in de brief van 25 augustus 2010 staat, is sinds de invoering van het BSN geen wetgeving ingediend voor nieuw gebruik van het burgerservicenummer. In dat licht binden wij ons dus wel degelijk aan het doel en het gebruik.

De heer Staal vroeg naar de kleinschaligheid. Ik dacht dat ik daarop al had geantwoord. Dat geldt ook voor het punt van mevrouw Strik over de vernietiging van vingerafdrukken.

Voorzitter, ik wil de vijf minuten tot 21.30 uur nog wel volpraten …

De voorzitter:

Ik zal u zeker niet daartoe verzoeken. U bent de voorzitter tegemoetgekomen door voor 21.30 uur uw eerste termijn te beëindigen. Wij wachten even op de staatssecretaris van Infrastructuur en Milieu.

De beraadslaging wordt geschorst.

De vergadering wordt enkele minuten geschorst.