Handeling

Datum publicatieOrganisatieVergaderjaarVergadernummerDatum vergadering
Tweede Kamer der Staten-Generaal2014-2015nr. 51, item 9

9 Meldplicht datalekken

Aan de orde is de behandeling van: 

  • - het wetsvoorstel Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp) ( 33662 ).

De algemene beraadslaging wordt geopend. 

De voorzitter:

Aan de beurt is de spreker van de zijde van D66, als eerste spreker van de zijde van de Kamer. Hij heeft een spreektijd van 20 minuten aangevraagd. 

De heer Schouw (D66):

Voorzitter, dank u wel dat ik aan de beurt ben. 

De meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid is een belangrijk wetsvoorstel voor de bescherming van persoonsgegevens en eindelijk ligt het er. Eindelijk, want het heeft wel héél erg lang geduurd voordat het kabinet met zijn belofte uit het regeerakkoord over de brug kwam. Ondertussen is de noodzaak voor zowel een meldplicht als een boetebevoegdheid voor het College bescherming persoonsgegevens spectaculair gegroeid. De technologische ontwikkelingen vliegen ons om de oren. Informatie wordt steeds belangrijker en maakt ons leven steeds gemakkelijker, maar we betalen daarvoor ook een prijs. Steeds meer van onze persoonsgegevens worden opgevraagd, vastgelegd en uitgewisseld. Ze geven veel bloot van wie we zijn, wat we doen, wanneer en zelfs met wie. De grip op die eigen gegevens over wie wat over je weet of te weten kan komen, verliezen heel veel burgers steeds vaker. Dat is zorgelijk, want het recht op een eigen levenssfeer is in onze vrije samenleving een grondrecht van bijna 17 miljoen mensen. Een grondrecht verdient het om serieus genomen te worden en om beschermd te worden tegen misbruik en onzorgvuldigheid. 

Partijen die hechten aan die gegevensbescherming riepen de staatssecretaris dan ook meerdere malen op: treuzel nou niet langer en kom met een boetebevoegdheid, geef de privacywaakhond ook tanden. Dat is namelijk het meest kernachtige waarom we hier vandaag bij elkaar zijn, namelijk om de privacywaakhond tanden te geven. Te vaak gaat het mis en te vaak worden regels niet nageleefd of kan de toezichthouder onvoldoende handhaven. De grote vraag is nu natuurlijk of met het onderhavige wetsvoorstel aan die lang gekoesterde wens tegemoet wordt gekomen. Regelt dit wetsvoorstel nu een slagvaardige toezichthouder die daadkrachtig kan optreden met een noodzakelijke en uitvoerbare meldplicht? Heeft de boetebevoegdheid de gewenste afschrikwekkende, preventieve werking? 

Alles overziend, vreest de fractie van D66 dat het nog niet zo ver is. De staatssecretaris presenteert een privacywaakhond die wordt uitgerust met een klappergebitje. Het klappert maar het bijt nog niet echt door. Het is als — ik probeer mij een beetje in de taal van de staatssecretaris te verplaatsen — een politieagent die met de handen op de rug gebonden de boeven moet vangen. En de staatssecretaris weet zelf dat dat niet werkt. Ik wil het daarom achtereenvolgens hebben over de boetebevoegdheid, de ministeriële goedkeuring, de meldplicht en niet te vergeten de naamswijziging van het College bescherming persoonsgegevens. 

Eerst die boetebevoegdheid. Het hele idee van de boetebevoegdheid is dat van een robuust extern toezicht. Dat zeg ik een organisatie als de FNV na, die er een indringende brief over heeft gestuurd naar deze Kamer. Stevige handhaving van de regels van de Wet bescherming persoonsgegevens zodat die wet niet uitgroeit tot een wassen neus, achterhaald door technologie of ondermijnd door slechte handhaving. Het strafrecht als beschermheer van privacy, als stok achter de deur verdwijnt met dit voorstel wat meer naar de achtergrond, want alle heil wordt gezocht in de bestuurlijke boete. Op zichzelf is dat prima, maar welk heil moet daarvan komen als niet onmiddellijk een bestuurlijke boete opgelegd kan worden en als er eerst in vrijwel alle gevallen een bindende aanwijzing moet worden gegeven? Verliest de toezichthouder dan niet die stevigheid als gegevensverwerkers weten dat zij er eerst met een waarschuwing van af kunnen komen? Dat is volgens mij fout nummer één in het huidige wetsvoorstel. De bindende aanwijzing die altijd nodig is voordat een boete kan worden opgelegd, moet eruit. 

Wat is eigenlijk nodig voor opzet in bestuursrechtelijke zin? Wanneer is een inbreuk zo ernstig dat de toezichthouder meteen een boete mag opleggen? En mag de toezichthouder straks ook rekening houden met de aard van een overtreding, de kenmerken van een overtreding, de mate van verwijtbaarheid of herhaalde overtredingen? Stel nou dat het om gegevens van kwetsbare groepen gaat, zoals kinderen. Is het dan ernstiger? Als de overtreder als hoofdactiviteit gegevensverwerking heeft, en op dit terrein dus geen onbekende is, is het dan ernstiger? Hoe weegt de mate van onzorgvuldigheid, onachtzaamheid of onoordeelkundig handelen mee? En wat als de overtreder bij herhaling de privacywet overtreedt? 

Kortom, welke ruimte biedt het wetsvoorstel aan al die overwegingen die het opleggen van boetes juist zorgvuldiger moeten maken in plaats van rigide? Mijn fractie stelt voor dat we de bindende aanwijzing als tussenstap niet verplicht stellen, en dat we de boetebevoegdheid niet uitsluitend ophangen aan begrippen als "opzet" en "ernstig verwijtbare nalatigheid", zoals opgenomen in het amendement van de Partij van de Arbeid en de VVD. Dat voorstel doen we samen met de fractie van de ChristenUnie. De bevoegdheden moeten namelijk zorgvuldig en adequaat worden toegepast. Daarbij geldt primair dat mensen straks precies moeten weten wat de regels zijn en wat ze kunnen verwachten als ze de regels niet opvolgen. Dat halen zij niet uit de wet. Dat kan dadelijk alleen maar gebaseerd zijn op de richtsnoeren en beleidsregels van het College bescherming persoonsgegevens. Die zijn daarvoor cruciaal. 

Mijn grote vrees is dat als we de wet nu te nauw formuleren door in de wettekst allerlei beperkingen op te nemen over wanneer het College bescherming persoonsgegevens direct kan overgaan tot een boete, het noodzakelijke maatwerk onnodig wordt beperkt en allerlei vormen van juridisering ontstaan die mijn fractie niet wil. Mijn fractie wil dus van de staatssecretaris weten wat nu precies het bezwaar is als we de escalatieladder van de boetebevoegdheid regelen in de beleidsregels, en het wetsvoorstel vrijhouden van enige inperking op dat punt. De rechter kan het College bescherming persoonsgegevens tot de orde roepen als de norm niet voldoende duidelijk wordt of kenbaar was voor betrokkene. Dat zijn naar de opvatting van mijn fractie toch de waarborgen voor correcte, zorgvuldige, kenbare en voorziene toepassingen. Graag hoor ik de reactie van de staatssecretaris. 

Het andere punt is de ministeriële goedkeuring. Daar hebben we in de schriftelijke voorbereiding ook al uitgebreid over gecorrespondeerd. Richtsnoeren en beleidsregels van de toezichthouders behoeven instemming van twee ministers. Dat is een aangelegen punt. Met de boetebevoegdheid heeft het College bescherming persoonsgegevens straks de normstelling en de bestraffing in één hand. Dat is natuurlijk een aandachtspunt. De vraag is hoe je dat nou wettelijk gaat regelen. Kunnen ministers die verantwoordelijk zijn voor de privacywetgeving betrokken zijn bij nadere normstellingen door een nationale toezichthouder waar de ministers zelf ook onder vallen? Met andere woorden: kan de minister regels goedkeuren of vaststellen waar hij zich als overheidsorgaan eigenlijk ook zelf aan moet houden? Dat lijkt mijn fractie een beetje een gewrongen constructie. Hoe gaat de staatssecretaris straks de onafhankelijkheid van de toezichthouder precies waarborgen als deze ministers bemoeienis krijgen met de toepassing van privacynormen? 

De heer Van Wijngaarden (VVD):

Graag een korte verduidelijking op het amendement op stuk nr. 19, want ik hoorde de heer Schouw zojuist aangeven dat de verplichte tussenstap van de bindende aanwijzing wat hem betreft niet hoeft. Maar als ik het amendement goed begrijp, staat daarin dat het niet-nakomen van een bindende aanwijzing beboetbaar is. Daar wordt die dan toch niet in weggelaten? Of lees ik dat verkeerd? 

De heer Schouw (D66):

Wat ik wil doen, is meegaan in de redenering die de heer Van Wijngaarden namens zijn fractie heeft gevolgd in zijn amendement waar het gaat om ernstig verwijtbare nalatigheid, omdat die begrippen volgens mij een enorme inperking betekenen aan de voorkant van de directe boetebevoegdheid die het College bescherming persoonsgegevens moet hebben vanwege de afschrikwekkende werking. Met andere woorden, daar gaat een preventieve werking van uit. Nu is gepoogd in het amendement van de heer Van Wijngaarden om die preventieve werking aan banden te leggen. Dat vind ik niet verstandig. 

De heer Van Wijngaarden (VVD):

Ik stel het zeer op prijs dat de heer Schouw ingaat op het andere amendement, maar ik had eigenlijk een vraag over dit amendement, te weten het amendement op stuk nr. 19 van hem en de heer Segers. 

De voorzitter:

U zegt dat uw vraag niet is beantwoord. Laten wij de heer Schouw dan vragen of hij wel meent de vraag te hebben beantwoord. 

De heer Schouw (D66):

Ik dacht dat ik mijn hele setje amendementen bij me had, alleen het amendement op stuk nr. 19 heb ik nu net niet bij me. 

De voorzitter:

Ik geef het aan u. 

De heer Schouw (D66):

Wat was de vraag? 

De heer Van Wijngaarden (VVD):

Zojuist gaf u aan dat die verplichte tussenstap wat u betreft niet nodig is. Ik lees het zo dat hier staat dat u het beboetbaar wilt maken als die tussenstap, dus die bindende aanwijzing, niet wordt nagekomen. 

De heer Schouw (D66):

Ja, maar verder beperken wij dit niet. Daarom verwees ik net ook naar uw amendement, want u wilt hetzelfde, maar u maakt het heel erg beperkend, waardoor de effectiviteit van het College bescherming persoonsgegevens volgens mij aan banden wordt gelegd. 

De voorzitter:

U vervolgt uw betoog. 

De heer Schouw (D66):

De verplichte ministeriële goedkeuring geldt voor nieuwe en bestaande richtsnoeren van de toezichthouder. Wat als één van de zes bestaande richtsnoeren niet wordt goedgekeurd? Wat betekent dat dan voor het optreden van het College bescherming persoonsgegevens in het verleden? Kan de staatssecretaris daarop een reactie geven? Hoe lang duurt zo'n goedkeuringstraject en hoe gaan we om met de tussentijdse actualisering van richtsnoeren? 

Wat zijn eigenlijk de Europese implicaties van dit voorstel? Want als ik de reactie van het College bescherming persoonsgegevens goed lees, spreekt dat uit dat het wel duidelijk is dat dit zal leiden tot een infractieprocedure, omdat het goedkeuringsvereiste in strijd is met de onafhankelijkheid van het privacytoezicht. Kan de staatssecretaris dat risico uitsluiten? 

Collega Segers en ik hebben daarvoor een oplossing in de vorm van een amendement om de ministeriële goedkeuring te schrappen en om de schijn van belangenverstrengeling te voorkomen. Graag een reactie op dit punt. 

Dan de meldplicht, want waar gegevens worden verzameld, bestaat het risico op datalekken. Aangezien de dataverzameling spectaculair is toegenomen, zijn de risico's dat het misgaat ook steeds groter. Gegevens van burgers kunnen op straat komen te liggen, worden gehackt, misbruikt of doorverkocht aan derden. Als we persoonsgegevens adequaat willen beschermen en willen optreden als het misgaat, dan is een meldplicht voor datalekken nu en voor de toekomst dus simpelweg noodzakelijk. Mijn fractie begrijpt dan ook niet waarom de staatssecretaris zijn oorspronkelijke wetsvoorstel rigoureus heeft gewijzigd ten nadele van die privacy van burgers. Als wij de meldplicht tot de meest ernstige gevallen beperken, dempen wij de put dus pas als het kalf verdronken is. Een meldplicht heeft nadrukkelijk meerwaarde in die gevallen waarin de ernstige gevolgen nog niet zijn opgetreden, maar wel dreigen. Daarom hebben wij met de fracties van de PvdA en de VVD een amendement ingediend waarmee wij de privacybescherming aanscherpen en tegelijkertijd de meldplicht werkbaar houden voor de gegevensverwerkers. Daarbij hechten wij eraan dat de gegevensverwerkers binnen de organisatie een overzicht bijhouden van ten minste de ernstige inbreuken die ook een meldingsplicht kennen. Zo'n trackrecord houdt de gegevensverwerker scherp op zijn gegevensbeveiliging. Burgers, consumenten en cliënten hebben er recht op om te weten of hun persoonsgegevens veilig zijn, of juist onderhevig aan voortdurende ernstige inbreuken of dreigingen daarvan. De staatssecretaris zal het amendement inmiddels gezien hebben. Wat vindt hij van deze tussenvariant? 

Wij hebben ook een amendement gesteund dat over de versleutelde gegevens gaat. Ik neem aan dat dit dadelijk door een van de indieners zal worden toegelicht. 

Tot slot heb ik nog het punt van de naam. Het College bescherming persoonsgegevens krijgt ook een nieuwe naam, de Autoriteit persoonsgegevens, zo lezen wij tussen neus en lippen door in het wetsvoorstel. Dat is goed. Mijn fractie vraagt al langer om een andere duiding, die beter aansluit bij de stevige positie van een toezichthouder. Zoals wij de Autoriteit Consument & Markt en de Autoriteit Financiële Markten hebben, verdient ook privacy een echte autoriteit. In Europa wordt al langer gesproken over de "autoriteit dataprotectie", een sterke combinatie van positie en kerntaak van de privacytoezichthouder. Wij missen die bescherming echter in het voorstel van de staatssecretaris, terwijl dit juist de essentie is. Mijn fractie stelt dan ook voor om de naam wat scherper te formuleren. Wij zouden het College bescherming persoonsgegevens willen omdopen tot Autoriteit Gegevensbescherming. Dit lijkt ons veel meer aan te sluiten bij de Europese begrippen, de "autoriteit dataprotectie". Bovendien kan er dan geen misverstand over ontstaan, zelfs niet qua naam. 

Ik rond af. Wij hebben lang naar dit wetsvoorstel uitgezien. Het is goed dat het er is. Het is nodig dat er een privacywaakhond met tanden komt, maar er zouden nog twee dingen aan het wetsvoorstel moeten veranderen. Ten eerste zouden wij graag zien dat de ministeriële goedkeuring uit dit wetsvoorstel verdween. Daarvoor hebben de ChristenUnie en D66 een amendement voorbereid. Ten tweede willen wij geen grote beperkingen voor het College bescherming persoonsgegevens om direct over te gaan tot een boete. 

Mevrouw Helder (PVV):

Voorzitter. Naar aanleiding van een aantal incidenten waarbij door een inbreuk op de beveiliging van websites persoonsgegevens vrijkwamen, met nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen, is de staatssecretaris gekomen met het wetsvoorstel dat wij vandaag bespreken. In het wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens, de Wbp. Op dit moment geldt de beveiligingsverplichting van artikel 13 Wbp. Die bepaling verplicht de verantwoordelijke om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De voorgestelde meldplicht van datalekken staat in nauw verband met deze beveiligingsverplichting. Is de beveiliging doorbroken, dan bestaat er in een aantal gevallen namelijk een meldplicht voor diegene die verantwoordelijk is voor het beheer en/of de verwerking van de persoonsgegevens. De klemtoon bij deze meldplicht ligt op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Bij een ernstige inbreuk op de getroffen maatregelen ter beveiliging van persoonsgegevens moet de verantwoordelijke, dus degene die de gegevens verwerkt, op grond van het voorgestelde artikel 34a die inbreuk melden bij de toezichthouder, dus het College bescherming persoonsgegevens. De meldplicht geldt alleen in geval van een inbreuk die ernstige nadelige gevolgen heeft voor de bescherming van de persoonsgegevens. 

Verder komt er een uitbreiding van de boetebevoegdheid van het College bescherming persoonsgegevens, het CBP. Volgens het wetsvoorstel kan het CBP een bestuurlijke boete gaan opleggen van maximaal €450.000, maar wel met de voorwaarde dat eerst een bindende aanwijzing is gegeven, met daarbij een termijn waarbinnen de aanwijzing moet worden opgevolgd. Een boete mag alleen in uitzonderingsgevallen terstond, dus meteen en zonder waarschuwing of zonder bindende aanwijzing, worden opgelegd als sprake is van een willens en wetens gepleegde opzettelijke overtreding van de Wbp. De PVV heeft het belang van de bescherming van persoonsgegevens hoog in het vaandel staan en vindt dat inbreuk op de beveiliging dan ook zo veel mogelijk dient te worden voorkomen. Als er dan toch sprake is van zo'n inbreuk, moet er natuurlijk zo snel mogelijk worden gemeld. Mijn fractie kijkt daarom positief naar het wetsvoorstel. Toch heeft zij nog een aantal vragen voor de staatssecretaris alvorens zij een definitief standpunt kan innemen. 

De eerste vraag is de volgende. In het oorspronkelijke wetsvoorstel gold als voorwaarde voor de meldplicht dat het daarbij moet gaan om een ernstige inbreuk waarvan redelijkerwijs kan worden aangenomen dat hij leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens. In de nota van wijziging is dat veranderd. Nu is de voorwaarde dat sprake moet zijn van een inbreuk met ernstige nadelige gevolgen. Als we dit letterlijk lezen, betekent dit volgens mijn fractie dat de drempel voor de meldplicht is verhoogd. Er is geen sprake meer van "een aanmerkelijke kans", maar van "ernstige gevolgen hebbend". Ik concludeer daaruit dat de gevolgen zich al moeten hebben voorgedaan. Zo lees ik het. Klopt dat en, zo ja, waarom is dit veranderd? Juist de meldplicht zou stimulerend moeten werken bij het op een juiste manier beveiligen van persoonsgegevens. De PVV vindt dat die stimulans voor een deel wegvalt als er alleen nog maar bij ernstige nadelige gevolgen gemeld hoeft te worden. Is de staatssecretaris dat met de PVV eens? 

Ik kom bij mijn tweede vraag. Het CBP moet volgens de regering "voldoende tanden hebben" als toezichthouder. Daarom is in het wetsvoorstel bepaald dat het CBP in een aantal gevallen niet eerst een bindende aanwijzing hoeft te geven. Het CBP hoeft dan dus niet te waarschuwen, mag meteen tot actie overgaan en kan direct een boete of zelfs een stevige boete opleggen. Ik zei eerder al dat dit alleen is toegestaan als er sprake is van een opzettelijke overtreding van de Wbp. Dit lijkt echter enigszins op een dode letter, want het bewijzen van opzet of van willens en wetens handelen, lijkt mij in de praktijk nagenoeg onmogelijk. Het enige voorbeeld dat ik nu zo snel kan bedenken, is het voorbeeld dat we enige tijd geleden zagen waarbij patiënten van het VUmc bij aankomst op de eerste hulp — zij waren dus ook nog in een zwakke positie — werden gefilmd zonder dat zij daar vooraf toestemming voor hadden gegeven. 

Ik zie dat de heer Van Wijngaarden wil interrumperen. 

De voorzitter:

Dat zie ik ook. U hebt gelukkig gepauzeerd. Dat geeft de heer Van Wijngaarden de mogelijkheid om een vraag te stellen. 

De heer Van Wijngaarden (VVD):

Mevrouw Helder zegt dat de drempel voor een melding in het gewijzigde wetsvoorstel wel erg hoog komt te liggen. Wat vindt zij wat dat betreft van het amendement Schouw c.s. op stuk nr. 18, waarin die drempel weer iets wordt verlaagd? In dat amendement staat dat het moet gaan om een datalek dat leidt tot een aanzienlijke kans op ernstige nadelige gevolgen, dan wel een datalek dat ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. In dat amendement komt de "kans" dus eigenlijk weer terug. Ik ben benieuwd naar de reactie daarop van mevrouw Helder. 

Mevrouw Helder (PVV):

Ik kan wel ingaan op al die amendementen die op die termen ingaan, of ze willen aanpassen. Het gaat daarin over "aanzienlijke kans", over "verwijtbaar handelen", over "ernstig verwijtbaar handelen" en over "ernstig verwijtbaar nalaten". Daarmee treed je steeds in casuïstiek. Mijn fractie vindt dat het wetsvoorstel dat had moeten voorkomen. Als je vindt dat een toezichthouder tanden moet hebben, moet je met iets komen waarvan duidelijk is dat de toezichthouder daar ook iets mee kan. Mijn vraag hierbij is of je wel kunt aantonen dat er opzettelijk is gehandeld. Er zijn verschillende fracties die die drempel willen aanpassen. Mijn vraag zou ook zijn: kun je wel aantonen dat er willens en wetens verwijtbaar is gehandeld en er verwijtbaar is nagelaten? Ik kan situaties bedenken, maar dit is nu juist een casuïstiek waarvan ik vind dat die in de wet zelf geregeld had moeten zijn, zodat het CBP daarmee aan de slag kan. Het feit dat wij er hier al over aan het discussiëren zijn, geeft wat mijn fractie betreft al aan dat dit is aan te tonen. 

De heer Van Wijngaarden (VVD):

Is mevrouw Helder het dan ook met mij eens dat wij hier als medewetgever de verantwoordelijkheid hebben om alsnog te zorgen voor een tekst waarmee we goed kunnen leven? 

Mevrouw Helder (PVV):

Wij zijn inderdaad medewetgever, maar als er iets komt waarvan je je voordat je hier staat al afvraagt of het doel wel bereikt zal worden — dat is ook mijn inbreng — dan ga ik niet iets amenderen. Dan zou ik met een eigen initiatiefwetsvoorstel komen. Ik vind dat je dan de verantwoordelijkheid zelf maar moet nemen. Mijn fractie vindt wat er gerealiseerd moet gaan worden een positief idee, maar heeft er ernstige vragen bij of dat ook gaat gebeuren. Als we dat allemaal moeten amenderen, mag ik hopen dat de staatssecretaris er dadelijk zijn oordeel over gaat geven. Aan de hand daarvan kan mijn fractie haar standpunt bepalen met een positieve grondhouding. Meer kan ik er niet van maken. 

Voorzitter. Ik was net aan het einde van het voorbeeld. Als de regering het CBP daadwerkelijk tanden wil geven — daar is hij weer — dan moet er iets aan de wet veranderd worden. Collega's proberen dat met een amendement en ik probeer dat met vragen aan de staatssecretaris. Enerzijds komt de regering met een soort van gele kaart in de vorm van een bindende aanwijzing, maar volgens mij heeft het CBP die mogelijkheid al, alleen heet die geen bindende aanwijzing. Anderzijds wordt de uitzondering gecreëerd dat de bindende aanwijzing achterwege mag blijven en meteen een boete mag worden opgelegd. De drempel is dan wel erg hoog, gezien het criterium van opzet. Is de staatssecretaris dit met de PVV eens? Ik hoor daar graag het antwoord op. 

In dat kader heb ik ook aandacht voor de Europese regelgeving — ja, zelfs mijn fractie! — want daar kun je niet omheen. Ook op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data: de algemene verordening gegevensbescherming, ofwel de General Data Protection Regulation. In die verordening staat de algemene verplichting tot het melden van datalekken. Die verordening heeft rechtstreekse werking, dus die hoeft niet te worden omgezet in nationale wetgeving en kan dus het wetsvoorstel dat we vandaag bespreken toch enigszins om zeep helpen. De onderhandelingen over deze verordening lopen nog, maar we weten al dat deze geen onderscheid maakt tussen lekken met en lekken zonder ernstige gevolgen. Het wetsvoorstel doet dat echter wel. Is het dan niet beter om geen onderscheid te maken tussen de gevolgen van het lek en aan te sluiten bij een bredere meldplicht of denkt de staatssecretaris daar anders over? Voor de volledigheid zeg ik erbij — iedereen zal het weten — dat mijn fractie altijd zegt dat je nationaal moet regelen wat je nationaal wilt regelen. Zij vindt dus ook dat de staatssecretaris dat zelf moet doen. 

Hoewel de PVV-fractie het eens is met de regering dat een toezichthouder stevig moet kunnen optreden — ik zei net al dat we een positieve grondhouding jegens het wetsvoorstel hebben — vindt zij het wel merkwaardig dat het CBP de voorwaarde die ik net heb genoemd en die ernstige gevolgen heeft gehad, zelf invult, maar dat het CBP dus ook de instantie is die de boete oplegt. Ofwel: de norminvulling komt te liggen bij de instantie die ook de sanctie oplegt. Dat lijkt een beetje op "wij van WC-Eend …"; u kent het allemaal wel. De PVV wil dan ook weten hoe de staatssecretaris hierover denkt. Ziet hij dat gevaar ook? Zo nee, waarom niet? Is het gevaar voldoende ingekaderd door de verplichte ministeriële goedkeuring van de richtsnoeren die het CBP vaststelt ter invulling van de normen die het zelf handhaaft? We hebben hierover drie dagen geleden een brief gekregen. 

Tot slot heb ik nog een technisch punt. Het voorgestelde artikel 34a, vierde lid van de Wbp bepaalt dat de kennisgeving aan het CBP meer elementen omvat dan een melding van de inbreuk aan de betrokkene, dus wiens gegevens het betreft. Dat gaat vooral om gegevens van technische aard. Volgens de memorie van toelichting stelt dit het CBP beter in staat om het toezicht effectief uit te oefenen. Maar is hiervoor niet meer technische kennis vereist dan het CBP in huis heeft, mede gezien de snelle veranderingen op dit gebied? Zo ja, waarom is er dan geen bijstand geregeld door bijvoorbeeld het Nationaal Cyber Security Centrum? Als de overheid een toezichthouder met tanden wil, dan moet zij er ook voor zorgen dat de kennis hiervoor aanwezig is dan wel goed te raadplegen is op een eenvoudige manier. Is de staatssecretaris dat met de PVV eens? Zo ja, is hij bereid dit te gaan regelen? 

Ik rond af met de samenvatting. Ik kom tot de conclusie dat het wetsvoorstel goedbedoeld is, maar dat het duidelijk op twee gedachten hinkt: meer tanden voor de toezichthouder, maar met de waarschijnlijkheid dat die niet voldoende kan bijten. Om maar een beetje in de beeldspraak te blijven — ik doe ook maar een gooi — zeg ik het volgende. Het lijkt een beetje op die tandjes die je opdraait en die heel leuk stuiteren op je tafeltje, waarna ze eraf vallen. Iedereen vindt dat leuk, maar er gebeurt dus niks, behalve dat we even lol hebben gehad. Dat kan natuurlijk niet de bedoeling zijn. Maar goed, het wetsvoorstel kan op sympathie van de PVV rekenen, zeg ik nog maar eens. Ik wacht het antwoord op de vragen met belangstelling af, alvorens een standpunt te bepalen. 

De heer Van Nispen (SP):

Voorzitter. Ik vervang vandaag mijn collega Gesthuizen, die door omstandigheden niet aanwezig kan zijn. 

Het recht op bescherming van de persoonlijke levenssfeer is een heel belangrijk grondrecht. De SP is een groot voorstander van het invoeren van de meldplicht datalekken, omdat het voor betrokkenen van wie persoonsgegevens worden gelekt, van groot belang is om hiervan op de hoogte gesteld te worden. Dan kunnen zij zelf maatregelen nemen om zich te beschermen tegen inbreuk op hun privacy en beducht zijn voor identiteitsfraude. Het is ook goed dat geregeld wordt dat een datalek ook wordt gemeld aan het College bescherming persoonsgegevens, onze privacywaakhond. 

Het invoeren van de meldplicht moet gaan bijdragen aan behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Dat is hard nodig. Op dit moment hebben veel mensen onvoldoende vertrouwen in een zorgvuldige omgang met hun persoonsgegevens. Zij hebben vaak het gevoel niet te weten waar hun persoonsgegevens blijven. Wat wordt er over mij verzameld? Wie kan daarbij? Zijn die gegevens wel veilig? 

Nogmaals, het is goed dat er een meldplicht voor datalekken wordt ingevoerd, maar we spreken vandaag wel over een afgezwakte wet. Eerst moest een datalek nog bij het College bescherming persoonsgegevens gemeld worden als redelijkerwijs kon worden aangenomen dat het lek leidt tot een aanmerkelijke kans op nadelige gevolgen. Maar omdat de regering deze normering achteraf wat vaag achtte, moeten de gevolgen inmiddels ernstig nadelig zijn, waardoor het wetsvoorstel ernstig nadelig is afgezwakt. 

Er ligt nu een amendement van de heer Schouw c.s. op stuk nr. 18 om dit aan te passen. Mijn fractie staat daar in beginsel positief tegenover, al gaat het wellicht nog niet ver genoeg. We moeten namelijk voorkomen dat een stimulans om te zorgen voor een veilige en dus beveiligde omgeving wegvalt. Bij nadelige gevolgen die niet als ernstig kunnen worden gekwalificeerd, heeft een instantie niets te vrezen van het CBP. De betrokkene of het slachtoffer heeft echter des te meer te vrezen van de gevolgen van die datalekken. 

Bovendien ontstaat er misschien een beetje een gekke situatie, als ik de bepalingen in artikel 34a goed lees en begrijp. Slachtoffers moeten wel door instanties en bedrijven die te maken hebben met datalekken geïnformeerd worden als er waarschijnlijk sprake is van ongunstige gevolgen. Deze drempel is minder hoog. Dit leidt ertoe dat een datalek wel aan de betrokkene moet worden gemeld, maar niet aan het College bescherming persoonsgegevens. Waar heb je dan nog een toezichthouder voor? 

Het CBP schrijft hierover zelf dat de melding het karakter krijgt van de put die gedempt wordt wanneer het kalf reeds verdronken is, zoals al is gezegd. De preventieve rol die voor de toezichthouder in het oorspronkelijke wetsvoorstel was weggelegd, is na de nota van wijziging geheel verdwenen. Wat vindt de staatssecretaris van deze situatie? Is dat niet gek? Als dit niet de bedoeling is, kan hij dan toelichten hoe we deze artikelen dan wel zouden moeten lezen? 

Het College bescherming persoonsgegevens kan partijen nog wel opdragen om de betrokkene te informeren, maar dat zou onder het nieuwe wetsvoorstel geen enkele zin meer hebben. Een melding met ernstig nadelige gevolgen is bij voorbaat, en dus eigenlijk altijd, een ongunstig gevolg. De betrokkene moet dan al op de hoogte worden gebracht. Het probleem is juist dat het CBP zelf niet op de hoogte wordt gesteld van een melding met "slechts" ongunstige gevolgen, die niet ernstig zijn. Een partij wordt dan niet gestimuleerd om te leren van eventueel gemaakte fouten. De toezichthouder wordt immers niet meer in de gelegenheid gesteld om te beoordelen of de getroffen technische beschermingsmaatregelen afdoende zijn? 

Waarom heeft de staatssecretaris het wetsvoorstel zo afgezwakt op dit punt? De oorspronkelijke formulering dat moet worden gemeld indien redelijkerwijs kan worden aangenomen dat het leidt tot een aanmerkelijke kans op nadelige gevolgen, is niet gestuit op kritiek van het College bescherming persoonsgegevens. Dat kan er dus mee werken of in ieder geval de uitwerking vastleggen in richtsnoeren, zoals het altijd doet. Bovendien hebben we de meldplicht in artikel 11, 3a, lid 1 van de Telecommunicatiewet, waarin wordt gesproken over nadelige gevolgen. Hier is niets ernstigs aan. Het woordje "ernstig" komt daar niet in voor. Waarom heeft de staatssecretaris hier niet bij aangesloten? 

Ik kom op het volgende punt: de versleuteling van gegevens. Het lekken van versleutelde gegevens hoeft namelijk ook niet te worden gemeld. Dat is toch vreemd? Versleutelde gegevens zijn immers ook gewoon te ontsleutelen en niet per se onbruikbaar. Het werkt volgens de SP ook preventief als duidelijk is dat dergelijke datalekken moeten worden gemeld. Het is goed dat hierover het amendement op stuk nr. 14 is ingediend. Ik had dezelfde vraag als mevrouw Helder. Het CPB moet richtsnoeren opstellen over encryptie. Waarom wordt het Nationaal Cyber Security Centrum hier niet voor gevraagd? Dat heeft toch de expertise hiervoor? 

Nu de inbreuk op de beveiliging. In dit wetsvoorstel wordt gesproken over datalekken naar aanleiding van een inbreuk op de beveiliging. Wat is "inbreuk op de beveiliging" eigenlijk? Uit de antwoorden van de staatssecretaris heb ik begrepen dat elk datalek hieronder valt, omdat niemand zo dom is om zijn netwerk of systeem niet te beveiligen. Maar wat als iemand wel zo onverstandig is? Of er is dan geen sprake van een inbreuk op de beveiliging, maar slechts van onbevoegde toegang. De staatssecretaris blijft hier naar de mening van mijn fractie een beetje vaag over. Hij stelt dat dergelijke voorbeelden het wettelijke kader van de bescherming van persoonsgegevens te buiten gaan. Dat is dus ook als de onbevoegde toegang leidt tot ernstige nadelige gevolgen voor betrokkenen. Gaat dat dan ook de werking van dit wetsvoorstel te buiten? Neem bijvoorbeeld ziekenhuispersoneel dat het wachtwoord weet van een arts en zo onbevoegd alle medische dossiers kan inzien. Er is dan geen beveiliging doorbroken, maar het kan zeker ernstige nadelige gevolgen hebben. Een ander voorbeeld is een werkgever die zichzelf onbevoegd toegang verschaft tot de computer van zijn werknemer om informatie te verzamelen voor het ontslag van die werknemer. Weer een ander voorbeeld zijn medische gegevens. Graag een uitgebreide toelichting op dit punt. Wanneer is er sprake van een inbreuk op de beveiliging? 

Bedrijven en instanties die te maken hebben met een datalek hoeven dit niet bij te houden, hoe vaak het ook gebeurt. Dat maakt het voor het CBP lastig om overzicht te houden en om controle uit te oefenen. Het kan dit onmogelijk allemaal zelf bijhouden. Ook op die manier wordt toezicht houden lastiger. Graag een reactie op dit punt. Volgens mij biedt het amendement van de leden Schouw c.s. op stuk nr. 18 hier een oplossing voor. Graag hoor ik de staatssecretaris hierover. 

Ook de SP wil graag weten hoe deze wet zich verhoudt tot de Europese verordening bescherming persoonsgegevens. In deze verordening wordt gesproken van een inbreuk in verband met persoonsgegevens, maar niet van ernstige nadelige gevolgen. Deze verordening is nog niet in werking getreden, maar wat als dat wel gebeurt? Welke consequenties heeft dat voor deze wet? 

Nog enkele opmerkingen over de bestuurlijke boete en de bindende aanwijzing. De SP dringt al geruime tijd aan op een privacywaakhond met scherpe tanden; dus op een ruimere boetebevoegdheid. Het CBP krijgt nu een bestuurlijkeboetebevoegdheid. De SP is daar blij mee, maar is dat niet helemaal met de manier waarop deze werkt. Een boete mag alleen direct worden opgelegd als er sprake is van een willens en wetens gepleegde opzettelijke overtreding van de Wet bescherming persoonsgegevens. Is die op deze manier geen dode letter geworden? Brengt dit geen onhaalbare bewijslast mee? Waarom alleen bij opzet? Als een soort tussenoplossing wordt op advies van de Raad van State een bindende aanwijzing mogelijk. Waar is dat voor nodig? Is het op die manier geen dode letter? We hebben namelijk al de last onder dwangsom. Ik zou denken dat het College Bescherming Persoonsgegevens een rode kaart moet kunnen geven en niet alleen een gele kaart. Ik had hetzelfde voorbeeld willen geven van het VUmc en de televisieopnames, maar dat is al uitgebreid beschreven. Het was niet met opzet gedaan, maar het was wel bijzonder slordig. Het CBP zou dan graag een bestuurlijke boete opleggen, want het kwaad is als geschied. De regering zou dan op grond van dit wetsvoorstel zeggen dat er eerst een bindende aanwijzing moet worden gegeven. Wat wil je dan nog opleggen? Dat ze de camerabeelden vernietigen? Die privacyschending kan dan niet meer ongedaan worden gemaakt. Er is geen directe boetebevoegdheid voor ernstige overtredingen waarbij geen opzet in het spel is. Wij denken dat dat wel goed zou zijn. Waarom kiest de staatssecretaris er niet voor om de boete mogelijk te maken als vaststaat of het zeer waarschijnlijk is dat de overtreder wist of had moeten weten dat hij de wet overtrad, dan wel dat hij zodanig onzorgvuldig, onachtzaam en onoordeelkundig handelde dat overtreding het onvermijdelijke gevolg zou zijn? Mocht dat dan niet zo zijn, hebben we altijd nog de last onder dwangsom. De bindende aanwijzing heeft bovendien alleen meerwaarde naast het andere instrumentarium, als een last onder dwangsom dus nog te vergaand is. Het College bescherming persoonsgegeven is nu verplicht het op te leggen. In ons voorstel zou het CBP dat zelf mogen bepalen. Ik hoor graag een reactie op dit idee. 

Een volgend argument is dat de conceptprivacyverordening geen verplichting bevat tot het opleggen van een bindende aanwijzing voorafgaand aan het opleggen van een boete. Waarom doen wij dit wel in Nederland? Hoe is dit in andere landen geregeld? Gelet op de vragen die ik hier nu opwerp, zal het niet verbazen dat wij positief staan tegenover het amendement van Schouw en Segers op stuk nr. 19. 

De richtsnoeren die het College bescherming persoonsgegevens maakt, worden op dit moment breed ter consultatie voorgelegd. Ook het ministerie krijgt ze vooraf te zien. Het CBP houdt de eindverantwoordelijkheid. Dit heeft, voor zover ik weet, nooit tot kritiek geleid. De regering eist nu dat ze richtsnoeren van het CBP vooraf kunnen toetsen. Waarom nu deze inmenging? Waar is dit voor nodig? De regering en de Raad van State vinden dat het CBP een verregaande boetebevoegdheid moet krijgen. Bescherming van persoonsgegevens is een grondrecht en daarom zou overheidsinmenging op deze schaal gegrond zijn. De SP ziet dit anders. Het CBP is een onafhankelijke toezichthouder, ook omdat het toezicht houdt op de overheid zelf. Het is de rechter die het CBP kan controleren. Heeft deze volgens de staatssecretaris weleens moeten ingrijpen, waardoor inmenging vooraf nu vereist is? Waarom wordt hier nu voor gekozen? 

Bovendien lijkt dit strijdig met het onafhankelijkheidsvereiste dat is neergelegd in artikel 28 van de Europese privacyrichtlijn en in relevante jurisprudentie van het Europese Hof. Volgens het College bescherming persoonsgegevens zal deze bepaling kunnen leiden tot een inbreukprocedure. Dat is heftig. Wat vindt de staatssecretaris ervan als dit zo zou zijn? Hoe schat hij dat risico in? Zo moet ik het eigenlijk vragen. Ik kan hier alvast melden dat er een amendement is dat onze warme sympathie heeft, het betreft amendement-Segers/Schouw op stuk nr. 13. 

Tot slot enkele opmerkingen over de capaciteit van het College bescherming persoonsgegevens. Het heeft nu ongeveer 125 medewerkers. Dat is niet bijster veel. Hoe zit dit bij toezichthouders, privacywaakhonden, in andere landen? Klopt het dat deze naar verhouding meer capaciteit hebben? Het CBP heeft geadviseerd om op korte termijn de beheersmatige gevolgen van de invoering van de meldplicht in kaart te brengen en de uitkomsten tot uiting te laten komen in het budget van het College bescherming persoonsgegevens. Dit is niet gebeurd. Het CBP heeft het nu al heel druk. De staatssecretaris verwacht dat de gevolgen van dit wetsvoorstel summier zijn. Dit zegt overigens genoeg over de reikwijdte van de meldplicht en de bestuurlijke boete. Wat bedoelt hij met "summier"? Kan hij daar nader op ingaan? Hoe wordt dit in de gaten gehouden? Wanneer wordt het geëvalueerd? Is de regering bereid om bij te schieten als blijkt dat het college, door de invoering van deze wet, niet uitkomt met de huidige hoeveelheid mensen? 

Ik heb gelezen dat wij, een jaar na inwerkingtreding van de Europese verordening gegevensbescherming, een verslag krijgen over de doeltreffendheid en de effecten van deze wet in de praktijk. Het eerste probleem is volgens mij dat wij niet weten wanneer dat zal zijn, want de onderhandelingen gaan nog niet razendsnel. Ik druk mij dan nog voorzichtig uit. De tweede vraag is of er bij dat verslag op dat moment ook echt wordt gekeken naar de capaciteit van het College bescherming persoonsgegevens en of die aansluit bij de hoeveelheid mensen die er zijn in verhouding tot de hoeveelheid werk die dit wetsvoorstel heeft opgeleverd. 

De heer Van Wijngaarden (VVD):

De vraag is eigenlijk of de SP vindt dat hetgeen de mensen op hun bankrekening hebben staan tot de privésfeer behoort. 

De heer Van Nispen (SP):

Ik zou menen van wel. 

De heer Van Wijngaarden (VVD):

Hoe verklaart u dan het voorstel van uw collega Merkies om een vermogensregister verplicht te stellen waarin individuen moeten aangeven hoeveel vermogen ze hebben en hoeveel winst ze daarop maken, zoals dat heel onlangs is gedaan? 

De heer Van Nispen (SP):

Ik heb inderdaad gehoord dat mijn collega Merkies dat voorstel heeft gedaan. Ik vind het lastig om daar nu op deze manier antwoord op te geven. Ik denk dat het goed is dat er ook naar de privacyaspecten wordt gekeken. Dat lijkt me voor de hand liggend. Wij doen dat met heel veel voorstellen. Ik denk dat de heer Van Wijngaarden ook wel weet wat de achtergrond van dat voorstel is, onze fractie kennende. Wij willen natuurlijk iets doen aan de scheve vermogensverdeling in Nederland. Nogmaals, er moet altijd, wat er ook voorgesteld wordt, gekeken worden naar de privacyaspecten. 

De heer Bisschop (SGP):

Voorzitter. Op allerlei manieren worden gegevens van personen verwerkt door overheden en andere organisaties. Dat gebeurt al zolang er overheden en andere organisaties zijn. In onze gedigitaliseerde maatschappij zijn de hoeveelheden info wel exponentieel toegenomen. Naast alle mooie kanten die dit biedt, zoals verlichting van administratieve lasten, vereenvoudiging van processen enzovoorts, zijn er ook schaduwkanten. Vanmiddag hebben wij het over zo'n schaduwkant. Hoe kan worden voorkomen dat wordt ingebroken in gegevensbestanden of dat die misbruikt worden als er fouten zijn gemaakt? Er kunnen immers belangrijke persoonlijke of financiële gegevens in het spel zijn. 

Ik wil een drietal punten aan de orde stellen. In de eerste plaats zal ik ingaan op de meldplicht, in de tweede plaats zal ik ingaan op de sancties en in de derde plaats zal ik nog enige woorden wijden aan preventie. 

Ik begin met de meldplicht. Goede bescherming van de gegevens is absoluut nodig. De SGP vindt het dan ook een goede zaak dat het in bepaalde gevallen noodzakelijk is om een datalek te melden. Daar noodzaakt dit wetsvoorstel toe. Dit biedt de mogelijkheid om, waar nodig, het vertrouwen van het publiek, de klanten, de markt, de overheid of de toezichthouders in de betreffende instelling of het betreffende bedrijf te herstellen of te bevestigen. 

In de schriftelijke rondes is het voorstel op diverse punten bekritiseerd. De SGP heeft de indruk dat het uiteindelijke voorstel daardoor is verbeterd. De normen zijn verduidelijkt en geven minder vaag aan wie wat wanneer moet melden en in welke gevallen. Een van de discussiepunten daarbij is de vraag of er in alle gevallen een melding nodig is of alleen als er sprake is van bepaalde risico's. De SGP is van mening dat de in de eerste nota van wijziging voorgestelde clausule om het te beperken tot meldingen die ernstige nadelige gevolgen hebben voor de beveiliging van persoonsgegevens, een goed criterium biedt. Het voert naar onze mening te ver om letterlijk iedere kleine problematiek te melden. Dat maakt het voor betrokkenen belastend. Het roept onnodige twijfels op over de betrouwbaarheid van systemen en belast tevens nodeloos het College bescherming persoonsgegevens. Een bepaalde schifting op voorhand lijkt ons noodzakelijk. Zijn er wel of geen wezenlijke gevolgen te vrezen voor de betrokkenen? 

De uitzondering voor een meldplicht van versleutelde gegevens in de eerste nota van wijziging roept nog vragen op bij de SGP. Op zichzelf biedt versleuteling van gegevens een beter beschermingspeil dan onversleutelde gegevens, maar er blijven nog steeds risico's bestaan. Is het altijd duidelijk wanneer er passende maatregelen genomen zijn? In haar antwoorden op vragen van de Kamer geeft de regering aan dat de uitzondering een strenge norm is. Bij geconstateerde problemen rond de beveiliging ontstaat dan alsnog een verplichting tot melding. Biedt het begrip "passend" in alle gevallen voldoende duidelijkheid? 

Dan kom ik op mijn tweede punt, de sancties. De normen uit de wet vragen om een nadere verduidelijking in de praktijk. Het is niet meer dan logisch dat het CBP hiervoor richtsnoeren ontwikkelt. De vraag is wel of die richtsnoeren niet op de een of andere manier in de wet verankerd moeten worden, zodat de basisregels in ieder geval via wet en AMvB voor eenieder kenbaar zijn. De regering geeft aan dat zij hiervoor niet wil kiezen. In de tweede nota van wijziging is er in artikel 67 wel indirect iets voor geregeld. De beleidsregels waarop strafmaatregelen mogelijk zijn, behoeven namelijk wel de goedkeuring van de minister. Het lijkt erop dat dit een wat bijzondere constructie oplevert, waarbij er niet letterlijk sprake is van een AMvB met regels maar wel van goedgekeurde regels door de minister. Waarom is voor deze ietwat bijzondere constructie gekozen? 

Dat is ook ons belangrijkste aandachtspunt bij de tweede nota van wijziging, waarin een uitbreiding wordt voorgesteld van de mogelijkheden van het gebruik van een bestuurlijke boete door het CBP. Dat die mogelijkheid er is, steunen we. Het is goed als de normen op adequate wijze gehandhaafd kunnen worden, zo nodig door middel van zo'n bestuurlijke boete. In hoeverre is het echter aanvaardbaar — daarmee sluit ik aan bij een vraag die een van de collega's al heeft gesteld — dat normstelling en sanctionering in één hand liggen? Is er intussen meer duidelijkheid over de vraag of dit Europeesrechtelijk gezien wel kan? Is de voorgestelde regeling naar het oordeel van de staatssecretaris afdoende? 

Mijn derde punt betreft preventie. Vooral voor overheidsinstellingen moet het duidelijk zijn dat in alle gevallen moet worden voorkomen dat persoonlijke gegevens op straat komen te liggen. Op deze instellingen rust een bijzondere verantwoordelijkheid. Zij hebben een voorbeeldfunctie, zou je kunnen zeggen. Is de staatssecretaris er zeker van dat al zijn collega's zich hier altijd voldoende rekenschap van geven? Betekent dit wetsvoorstel voor de overheidsinstellingen daadwerkelijk een groter bewustzijn van de risico's? 

Daarnaast vragen wij aandacht voor voorlichting over de risico's en de oplossingen hiervoor. De SGP roept de staatssecretaris ertoe op om publiek en bedrijven hier blijvend op te wijzen om zo de maatschappelijke alertheid te bevorderen. Ook het CBP kan op dit punt een belangrijke functie vervullen. Deelt de staatssecretaris die benadering? 

We kunnen er niet omheen: soms werken mensen zelf mee aan het beschikbaar stellen van hun meest persoonlijke gegevens, bijvoorbeeld door het invullen van een enquêteformulier van 26 pagina's, waarin hun gevraagd wordt naar hun voorkeuren, bezit, aankopen, schulden enzovoorts. Die gegevens worden dan netjes op postcode in databases ondergebracht. De beloning voor het invullen van zo'n enquête — ik heb dat nooit gedaan, maar ik vermoed dat dit op zijn minst een halfuur tijd vergt — is het potloodje dat op voorhand is meegeleverd. Misschien kan de staatssecretaris dat potloodje gebruiken als symbool in een campagne om de maatschappelijk alertheid op bescherming van persoonlijke gegevens te bevorderen. 

De heer Van Wijngaarden (VVD):

Voorzitter. Ik begin graag met een vraag. Wat is de overeenkomst tussen het hebben van privacy en het hebben van een fiets? Ik moet wel zeggen dat ik deze vraag vanuit mijn enigszins gekleurde Amsterdamse perspectief behandel. Zoals men weet, zijn Amsterdammers allesbehalve zuinig op hun fiets, totdat hun fiets is verdwenen. Dan is de wereld te klein. Met privacy is het niet veel anders. Ook hierover maken mensen zich niet dagelijks druk. We gaan bijna allemaal akkoord met de privacyvoorwaarden van apps en spelletjes op telefoons zonder die gezien te hebben. Een vrouw ging zelfs akkoord met privacyvoorwaarden waarin bij wijze van grap stond dat zij haar kind zou weggeven, wat zij niet gezien had. Als echter blijkt dat privégegevens niet meer privé zijn, slaat de stemming snel om en dat is terecht. Niettemin is het ook terecht en begrijpelijk dat privacy voor de meeste mensen niet op de eerste plaats komt van zaken waar zij zich dagelijks zorgen over maken. Hoewel mensen er ook zelf verantwoordelijk voor zijn om na te denken over de vraag welke gegevens zij met wie delen, kun je redelijkerwijs ook weer niet van hen verwachten dat zij toezicht houden op de manier waarop overheden en bedrijven met hun persoonsgegevens omgaan. Juist om die reden hebben we een instantie als het CBP, dat straks de naam Autoriteit persoonsgegevens krijgt, als het zo mag blijven heten. 

De VVD-fractie waardeert het dat in dit wetsvoorstel wordt onderschreven dat het CBP er primair is om datalekken te helpen voorkomen en dichten, en niet om zo veel mogelijk boetes uit te delen. We willen een privacymachine, en geen boetemachine. Het is goed dat overheidsinstellingen en bedrijven daarom in beginsel eerst een herstelmogelijkheid krijgen via de appellabele dwingende aanwijzing. Met boetes dicht je tenslotte geen datalekken. De VVD hecht er sterk aan dat risico's in de beveiliging van gegevens die niet noemenswaardig zijn, niet gemeld hoeven te worden. Op een meldingencircus zit niemand te wachten. Hierdoor blijven de potentiële administratieve lasten voor het bedrijfsleven en de overheden beperkt tot gevallen waarin de privacy van het individu daadwerkelijk in het geding is. Het moet echt gaan om het verdwijnen van persoonsgegevens of een ongeautoriseerde toegang tot die gegevens waarbij gevreesd moet worden voor nadelige gevolgen. 

Ik heb nog enkele openstaande vragen. Hoe verhoudt de eis van ministeriële goedkeuring van beleidsregels van het CBP die inhoud geven aan een boete, zich tot de eis van een afhankelijke privacyautoriteit? De leden Segers en Schouw hebben op dit punt een amendement ingediend. In mijn ogen gaat het hier om het vinden van het juiste evenwicht. Aan de ene kant van de weegschaal ligt de opmerking van de Raad van State dat een bewindspersoon verantwoordelijk en betrokken moet zijn. De Raad van State benadrukt in mijn ogen terecht dat het hier gaat om een grondrechtelijke aangelegenheid die de hele samenleving raakt. Aan de andere kant van de weegschaal attendeert het CBP ons echter op indringende wijze op de onafhankelijkheidseis die is neergelegd in artikel 28 van de Europese privacyrichtlijn en in de rechtsspraak van het Europees Hof van Justitie. De EU discussieert hier nog over, dus ik wil graag een visie van de staatssecretaris op dit punt. 

Zoals gezegd discussieert de EU nog over een nieuwe verordening gegevensbescherming. Ik wil de staatssecretaris bij dezen vragen om het voorliggende wetsvoorstel te vergelijken met de definitieve inhoud van deze verordening zodra die bekend is, teneinde onwenselijke nationale koppen te voorkomen. Is hij daartoe bereid? De onderhandelingen over het Europese traject zijn overigens nog volop gaande. Een eventuele inwerkingtreding zal niet plaatsvinden voor 2018. 

Ik wil de staatssecretaris graag vragen hoe de samenwerking tussen het CBP en het Cyber Security Center geborgd is, zodat snel en goed kan worden ingespeeld op privacyrisico's die samenhangen met nieuwe vormen van techniek waarmee data-analyse mogelijk is. Is die samenwerking structureel geborgd? Kan het CBP ook echt rekenen op volledige medewerking van het Cyber Security Center? Data die voorheen als ongevoelig werden beschouwd, kunnen door middel van nieuwe analyse mogelijk alsnog gevoelig worden. 

Ik kom op het publicatie- en persbeleid van het CBP. Uitlatingen van het CBP kunnen grote gevolgen hebben voor de reputatie van een bedrijf of een overheidsinstelling. Dat is vaak onvermijdelijk. Het is echter onwenselijk als er, boven op de punitieve maatregel van een boete, vermijdbare publicitaire schade zou optreden. Daarom wijs ik er graag op dat de huidige beleidsregels voor openbaarmaking door het CBP, die zijn gepubliceerd in de Staatscourant van 14 november 2013, nr. 31433, logischerwijs nog niet voorzien in een openbaarmakingsbeleid ten aanzien van de bestuurlijke boete. Die bevoegdheid is immers nog niet aan het CBP toegekend. De vraag is zodoende: op welke wijze zal het CBP de belangen van de partijen straks afwegen? Wat is een passende wijze om een boetebesluit zo objectief mogelijk te publiceren? Is de staatssecretaris bereid om het CBP te vragen om de Kamer te informeren over de wijze waarop de Autoriteit persoonsgegevens straks inhoud geeft aan het publicatiebeleid alvorens deze wet van kracht wordt? 

Ik kom op de toelichting op de amendementen. De VVD heeft samen met de Partij van de Arbeid en D66 een amendement ingediend over datalekken met versleutelde gegevens. Door de collega's werd daar al even aan gerefereerd. Bij een lek van versleutelde gegevens hoeft het CBP volgens het voorliggende voorstel niet geïnformeerd te worden. Dat vind ik een gemis. Versleutelde persoonsgegevens zijn in de regel juist extra gevoelig. Denk bijvoorbeeld aan e-mail-, creditcard- of bankgegevens. Versleutelde gegevens kunnen bovendien ontsleuteld worden en een lek van deze gegevens kan iets zeggen over het beveiligingsniveau bij een overheidsinstelling of bedrijf. 

De VVD heeft verder samen met de PvdA een amendement ingediend om het CBP ook de mogelijkheid geven, in bepaalde gevallen direct een boete op te leggen. Soms is een waarschuwing namelijk niet genoeg. Waar het gaat om heel gevoelige persoonsgegevens, zoals medische gegevens, moet het CBP al helemaal volle slagkracht hebben. 

Om de urgentie en het belang van ons amendement te illustreren, noem ik graag enkele voorbeelden. Het voorbeeld van het VUmc is al uitgebreid aan de orde gekomen. Dat zal ik hier dus niet herhalen. Die casus is inmiddels bekend. 

Een ander voorbeeld is de arboarts. Je spreekt met de arboarts op je werk, omdat je last hebt van zware depressieve klachten en je tijdelijk minder wilt werken. Je legt je hele hebben en houden op tafel. Nadat het gesprek is beëindigd en de arboarts alles heeft verwerkt in het dossier, stuurt de arts dat dossier per e-mail naar de werkgever. Dat gebeurt niet één keer, maar systematisch. Dat is als het ware het verdienmodel van die arbodienst. 

Weer een ander voorbeeld is een zaak die in de VS speelde, maar die in afgezwakte vorm ook in Nederland heeft gespeeld. Het betrof een website die geheel op kinderen was gericht, waarbij het kind als het eenmaal was ingelogd, tien punten kreeg om een beestje naar keuze te voederen en te onderhouden. Elke keer als het kind weer inlogde, kwam het gekozen beestje in beeld, vaak hongerig en/of kwispelend. Als het kind na verloop van tijd door zijn punten heen was, kon het met het beantwoorden van vragen nieuwe punten verdienen om het beestje te blijven voeren. Dat was bijvoorbeeld een vraag naar de naam, het adres, het e-mailadres en het rekeningnummer van de ouders. Nogmaals, het ging hier om een website die was gericht op kinderen. Indien het kind geen vragen beantwoordde en toch de website af en toe aanklikte, zag het het gekozen beestje langzaam wegkwijnen en doodgaan. 

Tegen iemand die dronken met 170 km/u over de snelweg rijdt, zegt de agent ook niet: volgende keer niet meer doen. Wij hebben dit amendement ingediend om in heel ernstige gevallen direct een boete op te kunnen leggen. 

De heer Schouw (D66):

Ik begrijp dat deze drie voorbeelden passen binnen het begrip "ernstig verwijtbare nalatigheid". Begrijp ik dat goed? 

De heer Van Wijngaarden (VVD):

Ja, dat is naar onze overtuiging het geval. Die opsomming van voorbeelden is natuurlijk niet uitputtend, maar ik wil hier ook niet vervallen in een eindeloze verhandeling van allerlei casuïstiek. 

De heer Schouw (D66):

Ik vind dat de voorbeelden nogal willekeurig overkomen. De heer Van Wijngaarden zegt erg gemakkelijk: dat valt hieronder. We zijn bezig met een wetsbehandeling. Er is een amendement van de Partij van de Arbeid en de VVD waarmee wordt geprobeerd om een wat willekeurige formulering in die wet te brengen. Mijn vervolgvraag luidt: als die drie voorbeelden er kennelijk wel onder vallen, wat valt er dan niet onder? Waar ligt de scheidslijn tussen ernstig verwijtbare nalatigheid en gewone verwijtbare nalatigheid? 

De heer Van Wijngaarden (VVD):

Het is in de eerste plaats van belang dat er op het niveau van de formele wet duidelijkheid komt over de situaties waarvan wij zeggen dat die eronder zouden moeten vallen. Daar geven wij hier criteria voor. Daarover staat een uitleg in de toelichting. Voor het overige zal het CBP moeten doen wat het altijd doet, namelijk dit uitwerken in richtsnoeren en publiceren. 

De voorzitter:

Ik sta de heer Schouw bij uitzondering een derde keer toe. 

De heer Schouw (D66):

Dat is nu precies waar ik naartoe wil. Er zit iets dubbelhartigs in. De heer Van Wijngaarden zegt dat het Cbp dat in richtlijnen moet uitwerken, omdat we dat hebben afgesproken. Maar waarom zou je dan aan de voorkant, via zo'n vage formulering waarmee je alle kanten op kunt, de zaak toch complex en ingewikkelder maken? Dat begrijp ik niet, omdat we hier dadelijk ook nog over de verdere uitwerking in richtsnoeren kunnen praten. Dus waarom moet dit nu aan de voorkant worden gecompliceerd? 

De heer Van Wijngaarden (VVD):

U noemt dat complicerend, ik stel dat het een verbetering is van de rechtszekerheid doordat je op het niveau van de formele wet duidelijkheid creëert over het type situaties dat hieronder valt. Ik verwijs u naar de toelichting in het amendement. Het moet gaan om gevolgen van grof, aanzienlijk, onzorgvuldig, onachtzaam, dan wel onoordeelkundig handelen. Dat is een brede set aan criteria. De verdere invulling daarvan zal zoals altijd door het Cbp zelf moeten worden gegeven. Door dit op het niveau van de formele wet te regelen, komen we ook tegemoet aan de kritiek van de Raad van State, die zei dat dit op het niveau van de formele wet moet worden geregeld om het rechtszekerheidsbeginsel in te bouwen. Bovendien wordt het wetsvoorstel daardoor ook kansrijker in de Eerste Kamer, want wij voelen er niets voor om een heel vage bevoegdheid te creëren. Vandaar de heldere toelichting in het amendement. 

De heer Oskam (CDA):

De heer Schouw heeft natuurlijk een punt, maar wat ik eigenlijk mis in de toelichting van de heer Van Wijngaarden is het vijfde lid van artikel 66, namelijk waar hij met mevrouw Oosenbrug beoogt een boete te kunnen opleggen bij niet-nakoming van de bindende aanwijzing. Heb ik het goed begrepen dat het niet-nakomen van de bindende aanwijzing eigenlijk een boetewaardig feit op zich is? Of moet ik het zo zien dat die boete wordt opgelegd voor de onderliggende gedraging? Graag krijg ik daarop een toelichting. 

De heer Van Wijngaarden (VVD):

Voor niet-nakoming van de bindende aanwijzing ligt een amendement, dat net ook al is toegelicht. Dus daarmee wordt dat punt geadresseerd. 

De heer Oskam (CDA):

Dat is dan duidelijk. Dan heb ik misschien nog wel een suggestie voor de heer Van Wijngaarden en mevrouw Oosenbrug. Collega Van Nispen zei net dat je als het misgaat bijvoorbeeld de beelden kunt vernietigen. Maar er zijn natuurlijk ook andere voorbeelden te bedenken, namelijk dat het College bescherming persoonsgegevens zegt: "u moet veiligheidsmaatregelen nemen, u moet de slachtoffers compenseren of ze anderszins tegemoetkomen. Als u dat niet doet, kunt u in dit amendement zien dat u daarvoor een boete krijgt". Zou het niet beter zijn om bijvoorbeeld aan een bindende voorwaarde een voorwaardelijke boete op te leggen? Dat moet niet maar het zou dan wel kunnen. Dan is het transparanter, dan valt het beter en dan weet je ook waarvoor je die boete krijgt, namelijk dat je lekt, dat je zorgt voor problemen door middel van een datalek. Eigenlijk moet je daarvoor een boete krijgen, maar dan zegt het Cbp dat je de kans krijgt om het op te lossen of in ieder geval herhaling te voorkomen. Doe je dat niet, dan moet je alsnog die boete betalen. Dan is het veel duidelijker voor het bedrijf waarvoor men het doet en waarvoor men ook probeert het herstel te plegen dan te zeggen dat je de norm hebt overschreden en niet hebt geluisterd naar de heer Kohnstamm en dat je daarom die boete krijgt. Dat lijkt me dan veel zuiverder. Wat vindt u van dit idee? 

De heer Van Wijngaarden (VVD):

Volgens mij wordt de heer Oskam op zijn wenken bediend met dit wetsvoorstel, omdat juist dit wetsvoorstel in beginsel zegt: we geven een bindende aanwijzing met als doel dat het datalek wordt gedicht, niet om een boete op te leggen. Dan is het lek hersteld en volgt er helemaal geen boete. Alleen in de heel ernstige gevallen is er ook een lik-op-stukbeleid nodig, daarover zijn we het volgens mij ook allemaal eens. 

De voorzitter:

Mijnheer Oskam, ook voor u maak ik een uitzondering. Als je er eenmaal aan begint, moet je consequent zijn. 

De heer Oskam (CDA):

Sorry, voorzitter, maar dit vraagt om een reactie. Materieel komt het natuurlijk op hetzelfde neer, het is alleen de onderliggende gedachte, namelijk dat op fout gedrag een boete hoort. Het Cbp krijgt de mogelijkheid om voorwaarden en termijnen te stellen. Als je niet aan die voorwaarden voldoet, zou het logisch zijn dat die boete wordt geëffectueerd. Maar ik vind het iets anders dan wanneer je zegt: je luistert niet naar het Cbp en daarom krijg je een boete. Dat zou minder goed voelen dan mijn voorstel. 

De heer Van Wijngaarden (VVD):

Wat wij hier zien, is toch een verschil van inzicht tussen de heer Oskam en mij. Hij zegt dat op fout gedrag een boete hoort. Ik zeg dat je fout gedrag moet omzetten in goed gedrag. Het is ook de rol van het CBP als deskundig toezichthouder om dat te stimuleren en daartoe aan te zetten. Als iemand onverhoopt echt hardleers is — ik denk dat dat in de praktijk niet zo heel vaak zal voorkomen — dan is er die stok achter de deur van de boete. 

De heer Segers (ChristenUnie):

Ik probeer de ratio te achterhalen achter de formulering die is gekozen in het amendement op stuk nr. 16, over de boetebevoegdheid. Daarin is gekozen voor de formulering dat het moet gaan om een gevolg van ernstig verwijtbare nalatigheid. Wat betekent dat precies? We hebben nu een aantal casussen voorbij horen komen. Als er wordt gesproken van nalatigheid, valt handelen daar dan ook onder? Als je iets nalaat, is er iets wat je niet doet. Maar valt handelen er ook onder? Wat is het verschil tussen "ernstig verwijtbaar" en "verwijtbaar"? Iets kan verwijtbaar zijn, maar als het niet ernstig verwijtbaar is, mag er geen boete worden opgelegd. Wat is precies de ratio achter deze formulering? 

De heer Van Wijngaarden (VVD):

Ik denk dat wij ontzettend voorzichtig moeten zijn met het creëren van een te ruime en te gemakkelijke lik-op-stukboetebevoegdheid. Het is een beetje de klassieke vraag van het Juvenalis Dilemma: wie bewaakt de bewakers? Het CBP is onze bewaker en wij moeten het CBP bewaken. Ik denk dus dat we voorzichtig moeten zijn met het creëren van een te ruime algemene lik-op-stukboetebevoegdheid, vandaar de toevoeging van het woord "ernstig". Het moet niet zomaar verwijtbaar zijn, maar het moet ernstig verwijtbaar zijn. Ik heb twee casussen genoemd in aanvulling op de casus van het VU medisch centrum. Dit is dus de ratio achter de toevoeging van het woord "ernstig". 

De heer Segers (ChristenUnie):

Het is mij niet helder waar we de grens overgaan wat betreft verwijtbare nalatigheid of verwijtbaar handelen. Nogmaals vraag ik: is dat hetzelfde? Waar houdt dat op en begint ernstig verwijtbare nalatigheid? Kan de heer Van Wijngaarden dat helder schetsen? Kan hij daarbij meenemen dat het CBP zegt: hier kunnen wij moeilijk mee uit de voeten? Waarom zouden we niet wachten op beleidsregels, die we inderdaad nog kunnen bespreken? Waarom zouden we het niet de vrijheid geven om tanden te ontwikkelen? Bij zo'n belangrijk onderwerp en zo'n belangrijke waarde als privacy, hebben we immers een goede waakhond nodig. 

De heer Van Wijngaarden (VVD):

Maar er is ook nog een andere waarde, namelijk de waarde van rechtszekerheid. Ik heb daar net op gewezen. Je moet ervoor oppassen dat je van die waakhond een pitbull maakt die je te pas en te onpas op iedereen kunt afsturen. 

Wat betreft het punt van nalaten: nalaten is ook een vorm van handelen. Dank voor die vraag! In de toelichting staat ook: "dat wil zeggen het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen". Met nalaten wordt dus ook handelen bedoeld. 

De heer Segers (ChristenUnie):

Ik had nog een andere vraag, voorzitter. 

De voorzitter:

Omdat het hierbij gaat om een verheldering van een amendement, geef ik wat extra ruimte, dus ook aan u. 

De heer Segers (ChristenUnie):

Ik had de heer Van Wijngaarden nog gevraagd: schets nou eens precies waar verwijtbaar handelen ophoudt en ernstig verwijtbaar handelen begint. 

De heer Van Wijngaarden (VVD):

Voor het precieze antwoord op die vraag hebben we natuurlijk het CBP. Anders zou ik het bij wijze van spreken in mijn eentje kunnen gaan doen. Ik hoorde net dat daar 150 mensen zijn. Die zitten daar niet voor niks. Het is juist hun deskundigheid om dat soort zaken te beoordelen. 

De voorzitter:

Mijnheer Van Wijngaarden, was u aan het einde van uw termijn? 

De heer Van Wijngaarden (VVD):

Nee, ik wilde eigenlijk naar een afronding gaan. 

De voorzitter:

Gaat u verder. 

De heer Van Wijngaarden (VVD):

Ik rond af. De bescherming van persoonsgegevens is niet toevallig een grondrechtelijke aangelegenheid. Dat is een extra reden, die ook de Raad van State heeft aangegeven, om zaken op het niveau van de formele wet te regelen. Artikel 10 van de Grondwet draagt ons als wetgever op om de persoonlijke levenssfeer te beschermen. Dit wetsvoorstel is uiteindelijk een afgeleide van die opdracht. De kernvraag bij privacy is misschien wel het beste gesteld door hoogleraar Koops van de Universiteit Tilburg, hoewel ik weet dat je tegenwoordig "Tilburg University" moet zeggen van de universiteit. Volgens deze hoogleraar is de vraag: wat mogen anderen van ons weten? Over die vraag moet je zo veel mogelijk zelf beslissen. Privacy is een pijler van de rechtsstaat en staat daarom terecht in de Grondwet. Zonder privacy belanden wij in een samenleving waarin de ene mens is onderworpen aan de informatiemacht van de andere. Dit wetsvoorstel helpt zo'n maatschappij te voorkomen. Er moet ergens een plek zijn waar je niet wordt bespied. Waar je alleen met jezelf kunt zijn, of intiem met een ander, waarover je geen verantwoording schuldig bent en waarbij je vrij bent van andermans morele oordelen. Een plek waar je onbevangen jezelf kunt zijn, geheimen kunt koesteren en ongezien in je dagboek kunt schrijven. Privacy is daarvoor de waarborg. 

De heer Schouw (D66):

De VVD verraadde zichzelf net een beetje. De heer Van Wijngaarden zei: wij hebben helemaal geen behoefte aan een pitbull. Dat is interessant, want de Partij van de Arbeid roept nu in allerlei persberichten "wij hebben nu echt een pitbull met tanden". De heer Van Wijngaarden zegt: ik heb een beetje listig amendement ingediend om er een schoothondje van te maken, want ik ben bang dat er te pas en te onpas wordt opgetreden. Dank voor de openhartigheid. Dank ook voor het eerlijke motief voor dit amendement. De VVD-fractie heeft helemaal geen behoefte aan een College bescherming persoonsgegevens dat kan doorbijten. Mijn vraag is hoe de heer Van Wijngaarden het in zijn hoofd haalt om in dezelfde zin over die pitbull te zeggen dat er anders te pas en te onpas boetes zullen worden uitgedeeld. Dat begrijp ik niet. Wij hebben allemaal brieven gekregen van het College bescherming persoonsgegevens, waarin het college heel precies aangeeft onder welke condities het dit wil doen. Uit welke alinea heeft de heer Van Wijngaarden gelezen dat het CBP te pas en te onpas boetes wil gaan uitdelen? 

De heer Van Wijngaarden (VVD):

Ik heb niet gezegd dat het CBP dat zal doen of wil doen. Ik heb gezegd dat, op het moment dat je een te ruime algemene bevoegdheid creëert om lik-op-stukboetes uit te delen, het CBP dit kan doen. Wij hebben als wetgever enerzijds de taak om er op te letten dat de macht van een toezichthouder scherp genoeg is om te kunnen doorbijten. Een waakhond met tanden is prima, daar zijn wij het allemaal over eens en daarom verruimen wij de lik-op-stukboetebevoegdheid. Anderzijds hebben wij de plicht — daartoe aangespoord door de Raad van State — om erop te letten dat wij die macht niet onnodig groot maken. De kern van het wetsvoorstel is nu juist dat je eerst de bindende aanwijzing hebt, in de trant van: probeer uw leven te beteren en probeer het datalek te dichten. Als het echt niet lukt en als je je plicht verzaakt, is een boete mogelijk. Voor de heel ernstige gevallen is de lik-op-stukboete bedoeld. 

De heer Schouw (D66):

Mijn conclusie is echt niet anders dan dat met dit amendement het College bescherming persoonsgegevens aan de ketting wordt gelegd, dat dit ook de diepste wens is van de VVD en dat de Partij van de Arbeid zo naïef is geweest om haar handtekening daaronder te zetten. Naar aanleiding van deze kwestie heeft het College bescherming persoonsgegevens een brief gestuurd. Ik vraag aan de heer Van Wijngaarden of deze brief voor hem niet voldoende waarborgen biedt dat het College bescherming persoonsgegevens niet zal overgaan tot het te pas en te onpas uitdelen van boetes. Is hij het met mij eens dat je dit niet kunt afleiden uit die brief, met die intentie van het college? 

De heer Van Wijngaarden (VVD):

De heer Schouw gebruikt grote woorden. Dat mag hij doen, maar ik constateer dat er een amendement ligt, met een heldere toelichting, dat zorgt voor een waakhond met tanden, dat niet verder gaat dan nodig is en dat ook past binnen het karakter van het wetsvoorstel. De privacy gaat ons allen aan het hart. Er is in dit parlement niet één partij die het monopolie heeft op privacy, dus het staat ook andere partijen vrij om op dit punt voorstellen te doen. 

De heer Van Nispen (SP):

Mijn collega Schouw had zojuist wel een punt. Maar ik heb een andere vraag. Mijn vraag is of informatie over vermogensverdeling in Nederland, die niet tot personen is te herleiden, valt onder de Wet bescherming persoonsgegevens. Met andere woorden: zijn dat persoonsgegevens? 

De heer Van Wijngaarden (VVD):

Dat lijkt mij een goede vraag om aan het CBP te stellen. 

De heer Van Nispen (SP):

Kom op! Dit kan niet. De heer Van Wijngaarden heeft mij zojuist de spiegelbeeldige vraag gesteld en ik heb geprobeerd die vraag naar eer en geweten te beantwoorden. Nu weigert hij echter een antwoord op mijn vraag te geven. Ik zal het maar meteen zeggen: de heer Van Wijngaarden hoeft niet bang te zijn dat de SP en GroenLinks exact willen weten wat er op zijn bankrekening staat, of wat hij waar dan ook aan vermogen heeft. Hij hoeft dus straks niet bibberend naar huis te gaan, want het voorstel van GroenLinks en de SP, waarover hij zojuist een vraag stelde, gaat niet over persoonsgegevens. Ik neem aan dat hij dat wel wist, dus de poging om ons in een verkeerd daglicht te stellen, is mislukt. 

De voorzitter:

Mijnheer Van Wijngaarden, wilt u hierop nog reageren? 

De heer Van Wijngaarden (VVD):

Ik heb gisteren geen voorstel gedaan om een vermogensregister op te richten waarin dat allemaal wordt bijgehouden. Ik heb nu niets anders gedaan dan de vraag stellen die ik gesteld heb. 

De heer Van Nispen (SP):

Het zou de heer Van Wijngaarden sieren om toe te geven dat het vermogensregister van de SP niet op persoonsniveau te herleiden is, dus dat het niets van doen heeft met persoonsgegevens en dat het slechts gaat over informatie over vermogensverdeling in Nederland. Het siert hem niet dat hij nu de indruk blijft wekken dat dit anders zou zijn. 

De voorzitter:

Mijnheer Van Wijngaarden, heeft u behoefte aan een reactie? 

De heer Van Wijngaarden (VVD):

Nee. Ik vind het veel te kort door de bocht om hier even te constateren dat dit het geval is, dus dat het vermogensregister aan de privacy-eisen voldoet. Ik denk dat wij daar het CBP voor hebben. 

De voorzitter:

U bent daarmee aan het eind gekomen van uw termijn. Ik geef het woord aan de heer Segers, die heeft ingeschreven voor tien minuten spreektijd. 

De heer Segers (ChristenUnie):

Voorzitter. Er staat een belangrijke waarde op het spel, en dat is privacy. Bij datalekken lopen mensen het gevaar dat ongevraagd en ongewild hun gegevens op straat of op de digitale snelweg belanden, met alle ellende van dien. In dat geval kan immers gemakkelijk misbruik van de situatie gemaakt worden. Het wetsvoorstel verplicht allen die met persoonsgegevens werken tot zorgvuldigheid, juist ook op de momenten dat het onverhoopt misgaat. Het wetsvoorstel is daarmee een terechte versterking van de positie van de burger. 

Als waakhond is het College bescherming persoonsgegevens benoemd. Dat krijgt er nu een aantal belangrijke taken bij. De vraag is of het wetsvoorstel gaat werken. Met andere woorden: heeft het CBP effectieve instrumenten om te blaffen indien dit nodig is en te bijten als het echt niet anders kan? De fractie van de ChristenUnie is daar nog niet geheel van overtuigd. 

Uit de laatste evaluatie van de Wet bescherming persoonsgegevens, gehouden in 2009, werd duidelijk dat de wet door zowel de overheid als het bedrijfsleven slecht wordt nageleefd. Een stevige en treurige conclusie. Er is genoeg aanleiding om tot nieuwe wetgeving te komen, zoals de wet die vandaag wordt besproken. Tegelijk moet ook worden opgemerkt dat veranderingen nooit alleen op wetgeving kunnen stoelen. Het komt ook aan op de houding van alle betrokkenen, op een cultuur waarin de waarde van privacy geëerbiedigd wordt. Welke voornemens heeft het kabinet op dit punt en hoe meet het eventuele verbeteringen en eventuele verslechteringen? 

De keuze in het wetsvoorstel voor transparantie waar het misgaat, via de meldplicht, en de sanctionering indien dat verwijtbaar is, is een goede aanvulling op de gereedschapskist van het College bescherming persoonsgegevens. Wat die meldplicht betreft is het een goede zaak dat het CPB een vinger aan de pols kan houden, om de omvang en ernst van een aantal datalekken en de risico's die burgers lopen te kunnen vaststellen. Het bevreemdt dan ook dat de meldplicht opeens vervalt als er sprake is van een datalek bij versleutelde data. Ik zie de ratio daarvan niet. Graag ontvangen wij daarop een toelichting. Het amendement-Van Wijnbergen/Schouw/Oosenbrug biedt naar mijn mening op dit punt soelaas. 

Extra verwonderlijk is het dat de memorie van toelichting vervolgens wel aan het college de kennis toeschrijft om op de hoogte te zijn van alle versleutelingstechnieken en die in een up-to-dateregister ook bij te houden. Daar zijn al vragen over gesteld, in ieder geval door de PVV-fractie en de SP-fractie. Ook zij vroegen: daar zijn toch andere instanties voor? Ik hoor graag een reactie van de staatssecretaris, en dan gaat het mij heel specifiek om de rol van het National Cyber Security Centrum, onderdeel van het NCTV. 

Dan de invulling van de gereedschapskist, of anders gezegd: kan het college bijten? Dat was wel de wens van de Kamer bij het aannemen van de motie-Recourt. De boetebevoegdheid die nu wordt voorgesteld, wordt door het college als niet effectief gezien, simpelweg omdat moet worden aangetoond dat de overtreding willens en weten is begaan. Als dat niet lukt, moet er eerst een aanwijzing worden gegeven. Het is volstrekt logisch dat het college altijd probeert reparatoir te werken, maar er zijn situaties waarin daarmee niet alles gezegd is. De cameraploegen van VUmc zijn al vaak langsgekomen. Dat was een beeldende illustratie, een beeldende casus, waarbij zonder toestemming van patiënten opnames begonnen. Alles kon in beeld worden gebracht. Dan past stevig optreden in plaats van reparatie. 

Ik vind het echt iets voor deze staatssecretaris om stevig op te treden. Dat ligt toch wel in zijn aard, zou ik zeggen. Waarom dan de angst om het college een boetebevoegdheid te geven waarvan het college zelf zegt: die bevoegdheid als ultimum remedium te zien? De boetebevoegdheid zal niet te pas en te onpas worden toegepast. Is de staatssecretaris bekend met de situatie in andere landen als het gaat om die boetebevoegdheid? Wat is de tendens in de nieuwe Europese richtlijn die binnenkort zal verschijnen? Samen met collega Schouw meen ik dat een waakhond in uitzonderlijke gevallen hoort te kunnen bijten. Vandaar ook ons amendement. 

In de tweede nota van wijziging werd de verplichting voor het college toegevoegd om wetsinterpreterende beleidsregels te onderwerpen aan ministeriële goedkeuring. Dat is toch wat wonderlijk, want daarmee hebben de ministeries van Veiligheid en Justitie en Binnenlandse Zaken direct bemoeienis met de wijze waarop het toezicht op hun eigen doen en laten wordt vormgegeven en ingericht. Dat wringt toch? Ik heb met collega Schouw een amendement op dit punt ingediend en ik vraag de staatssecretaris om dat amendement ook te bezien in het licht van de Europese regelgeving en jurisprudentie. 

Samenvattend is dit wetsvoorstel een verbetering van de huidige situatie, maar de staatssecretaris kiest toch voor een nogal zachte aanpak. Zo kennen wij hem niet. Gelukkig liggen er meerdere amendementen, die het geheel tot een stevig wetsvoorstel maken. Het doel moet zijn dat burgers zich beschermd weten en op de hoogte zijn als er zaken misgaan. Dan moet een toezichthouder in staat zijn om in te grijpen. De volgende evaluatie van de Wet bescherming persoonsgegevens moet een andere uitkomst hebben dan degene waar ik net aan refereerde. Ook na het vaststellen van dit wetsvoorstel zit het werk er daarom nog niet op. 

In dat licht nog een laatste nabrander. Toen hier de Wet bescherming persoonsgegevens werd vastgesteld, werd er afgesproken om na vijf jaar te evalueren. Dat staat ook in de wet en heeft onder andere geleid tot het nu voorliggende wetsvoorstel. Het is mij onduidelijk wat het vervolg is. De wet spreekt niet over een vervolg, maar de resultaten van destijds geven daar wel aanleiding toe. Wanneer wordt deze wet tegen het licht gehouden en de werking ervan? Wellicht hoeft dat niet in een speciale evaluatie te gebeuren, maar kan het worden meegenomen als er anderszins privacygerelateerd onderzoek wordt gedaan. Dát wij nog een keer kritisch naar deze wet moeten kijken, lijkt mij wel wenselijk. 

De voorzitter:

Dank, mijnheer Segers. Dan geef ik het woord aan de heer Oskam, die eveneens heeft ingeschreven voor tien minuten. 

De heer Oskam (CDA):

Voorzitter. In het wetsvoorstel dat de Kamer bespreekt, wordt de meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbreking van de getroffen maatregelen ter beveiliging van persoonsgegevens. Het is een hele mondvol, maar zo is de juridische tekst. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als in de publieke sector. Het nalaten om aan deze verplichting te voldoen, kan worden gesanctioneerd met een bestuurlijke boete van maximaal €810.000 of, indien de hoogste boetecategorie geen passende bestraffing toelaat, met 10% van de jaaromzet, op te leggen door het CBP. 

De CDA-fractie steunt het wetsvoorstel. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen. Als deze zich toch voordoen, worden de gevolgen ervan voor de betrokkenen zo veel mogelijk beperkt. Met de meldplicht wordt bijgedragen aan het behoud en het herstel van het vertrouwen in de omgang met persoonsgegevens. Dat is volgens de CDA-fractie in het tijdperk van digitalisering en grootschalige verwerking van persoonsgegevens een goede zaak. 

De CDA-fractie wil wel aan de regering voorleggen hoe bewaakt kan worden dat dit wetsvoorstel recht doet aan de proportionaliteit van de boetebevoegdheid. De CDA-fractie is dan ook tevreden dat mede naar aanleiding van haar opmerkingen in het verslag de regering in de nota van wijziging de meldplicht heeft geherformuleerd. Hierdoor hoeven niet alle inbreuken op de beveiliging van persoonsgegevens bij de toezichthouder te worden gemeld, maar alleen die inbreuken die ernstige nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens. Tijdens het debat bleek al weer dat daar discussie over was. Ik vraag de staatssecretaris of hij toch nog eens nader kan duiden wat er precies bedoeld wordt met "ernstige nadelige gevolgen". 

Dit lijkt de CDA-fractie een zinnige wijziging, ook met het oog op het voorkomen van een te grote administratieve ballast voor de betrokken bedrijven en voor de overheidsorganisaties die het aangaat. Bovendien zou het melden van iedere vorm van ongeoorloofde toegang tot persoonsgegevens aan de betrokkene weinig zinvol zijn, omdat daarmee tal van situaties onder de reikwijdte van de meldplicht worden gebracht waarin geen noemenswaardige ongunstige gevolgen voor de persoonlijke levenssfeer zijn te duchten, bijvoorbeeld bij menselijke fouten of systeemfouten waarbij personen betrokken zijn die geen misbruik zullen maken van gegevens die zij ten onrechte hebben ingezien. Dan is het niet nodig en hoeven wij het CPB niet verder op te tuigen. Een dergelijke ruime verplichting dient naar de mening van de CDA-fractie dan ook geen redelijk doel. 

Ook een tweede wijziging, namelijk die om de normstelling aan ministeriële goedkeuring te onderwerpen, kan op steun van de CDA-fractie rekenen; anders dan sommige collega's zojuist naar voren hebben gebracht. De CDA-fractie deelt wel de reserves die de Raad van State op dit punt had. Gewaakt moet worden voor een te grote machtsconcentratie bij het CPB. Als dit wetsvoorstel in werking treedt, kan het college boetes tot zeer grote hoogtes opleggen. Maar met het oog op de onafhankelijkheid van het toezicht is de voorgestelde wijziging wel verstandig. 

De CDA-fractie heeft als enige vragen over het opzetbegrip zoals door de regering voorgesteld in artikel 66. Wat is de reikwijdte van dit begrip? Ik denk dat ik het wel weet, maar ik wil het toch zeker weten. Ik hoor daarom graag van de staatssecretaris dat voorwaardelijke opzet hier ook onder valt. Daar is ook discussie over geweest. 

Er zijn genoeg concrete casussen waaraan gedacht kan worden waarbij wel degelijk sprake is van voorwaardelijke opzet: het bewust aanvaarden van de aanmerkelijke kans dat gegevens geschaad kunnen worden. De CDA-fractie haalt een ander sprekend voorbeeld aan, ditmaal uit de Verenigde Staten. De winkelketen Target installeerde geavanceerde beveiligingssoftware om zijn netwerk te monitoren. Ondanks dat er alarmbellen afgingen, deed het bedrijf niets. Het resultaat was dat de gegevens van 40 miljoen creditcardhouders gestolen werden. In dat soort zaken moet je redelijkerwijs vermoeden dat het fout gaat als je niets doet. Dat lijkt mij logisch. 

De CDA-fractie steunt in een dergelijke casus de boetebevoegdheid van het college, maar zij vraagt de staatssecretaris of hij ervoor wil waken dat het CPB te gretig wordt met het opleggen van boetes. Eerder is gezegd dat de waakhond tanden moet krijgen. Dat vinden wij zeker ook. Die tanden moeten ook gebruikt kunnen worden, maar niet de klauwen. 

Dan ons amendement op stuk nr. 17. Wat ons betreft, werkt dat mee aan meer maatwerk voor het College bescherming persoonsgegevens. Als je de boetebevoegdheid van het CPB serieus neemt, moet je ook een toetsing in volle omvang kunnen laten verrichten. Laat het CPB de normschending bekijken, de feiten en omstandigheden waaronder die is begaan en eventuele gevolgen bij de afweging of er wel of geen boete moet worden opgelegd. Wellicht kan worden volstaan met een bindende aanwijzing of anderszins. Te denken valt aan situaties waarin vergeten is om de gegevens te wissen toen de bewaartermijn was verstreken. Ik noem ook de situaties waarin het beveiligingsniveau niet volgens de stand van de voortschrijdende techniek is bijgewerkt of waarin de privacyverklaring op de website niet is geüpdated. Dit zijn kleine fouten waarvan het CPB moet zeggen: het is niet goed wat je gedaan hebt, maar wij laten het hierbij of wij geven een aanwijzing als daar aanleiding voor is. 

De heer Van Wijngaarden (VVD):

De heer Oskam gaf net aan dat hij de punten die de Raad van State heeft aangedragen zeer serieus neemt. Maar hoe verhoudt het zinnetje "tenzij het college dit niet redelijk acht", zo'n algemene formulering, zich enerzijds tot het lex certabeginsel en anderzijds tot het punt dat de grondwetgever de wetgever heeft opgedragen om hier duidelijkheid in te creëren? 

De heer Oskam (CDA):

Het CDA staat natuurlijk ook voor duidelijkheid en wil ook graag duidelijkheid creëren, maar we zijn met elkaar aan het kijken hoe dit zich gaat zetten. Het CBP heeft een brief gestuurd waarin staat wanneer het denkt een boete te moeten opleggen en noemt de criteria daarvoor. De heer Schouw noemde dit punt al. Het is een zoektocht. Het CDA is ook voor het idee dat de minister mee moet kijken, zodat het van twee kanten bekeken wordt, want dan heeft de Kamer ook invloed. Maar het moet zich zetten. Eigenlijk is het CBP een soort rechter die zegt: deze normschending is er geweest; hoe gaan we die het beste oplossen? Ik heb net gezegd wat het doel daarvan is. We proberen natuurlijk zo veel mogelijk die schade te voorkomen, dus het is prima als er een bindende aanwijzing komt waarin staat welke veiligheidsmaatregelen moeten worden genomen zodat het in de toekomst niet meer kan gebeuren of dat de gedupeerden gecompenseerd moeten worden. Het voorbeeld van grove normschendingen is al eerder genoemd. Als een databeheerder bewust gegevens verkoopt terwijl hij weet dat dit niet kan, dan moet diegene flink worden aangepakt. Dan zijn wij voor lik-op-stuk. De zinsnede van de redelijkheid heeft betrekking op de toetsing in volle omvang door het CBP. Laat dat de feiten en omstandigheden, de normschending en de gevolgen tegen elkaar afwegen en bekijken of een boete noodzakelijk is. Dat is het idee. Ik denk dat daar niks onduidelijk aan is. 

De heer Van Wijngaarden (VVD):

Maar daarmee negeert het CDA toch gewoon de aanmaning van de Raad van State, die heeft gezegd dat de grondwetgever de wetgever opdraagt om op het niveau van de formele wet zo veel mogelijk duidelijkheid te creëren? Met deze zin negeert het CDA die toch? 

De heer Oskam (CDA):

Nee, ik negeer die niet. Ik heb gezegd dat wij positief waren over het advies van de Raad van State om niet alles bij het CBP neer te leggen en dat er ook nog een ministeriële verantwoordelijkheid in zit — lees: ook voor de Kamer — maar dat wil niet zeggen dat wij die grondwettelijke principes met voeten treden. Zo is het niet. 

Voorzitter. Ik gaf een aantal voorbeelden waarin het CBP maatwerk zou kunnen leveren. Ik noem de situatie dat gegevens tijdelijk zijn kwijtgeraakt zonder dat die achteraf inzichtelijk blijken te zijn geweest voor derden, dus dat er verder geen consequenties aan zitten. In dergelijke situaties menen wij dat het passender is dat het CBP kiest voor een bindende aanwijzing. Indien die niet wordt opgevolgd, kan het CBP alsnog de bestuurlijke boete opleggen. In het amendement van de heer Van Wijngaarden en mevrouw Oosenbrug zou dat zijn vanwege het overtreden of het niet-naleven van de bindende aanwijzing, maar wat mij betreft zou het beter zijn om aan zo'n bindende aanwijzing een voorwaardelijke boete op te leggen. Soms gaat het zelfs verder. Soms is een bindende aanwijzing — dit voorbeeld gaf Van Nispen ook — eigenlijk helemaal niet meer van toepassing omdat de schade al is hersteld of omdat er al maatregelen zijn genomen. Het CBP kan dan een bindende aanwijzing geven, maar die heeft in dat geval geen functie. Wat wel een functie kan hebben is om een voorwaardelijke boete op te leggen. Dat kan nu niet. Niemand heeft daar een amendement over ingediend en het wetsvoorstel ziet er ook niet op, maar ik vraag de staatssecretaris wel of hij dat een goed idee vindt. Wat dat betreft is er nog wel een tussenoplossing te bedenken. 

Mevrouw Oosenbrug (PvdA):

Het CDA zegt erg voor duidelijkheid te zijn. Daar ben ik blij om, want er worden wel wat dingen onduidelijk voor mij. De heer Oskam geeft het voorbeeld van een situatie waarin er wel gegevens gelekt zijn, maar er geen derden bij kunnen. Hoe moet ik dat voor mij zien? Het probleem is juist dat je, als er een hack plaatsvindt waarbij persoonsgegevens op welke manier dan ook gecompromitteerd worden, nooit zeker weet of die naar buiten zijn gebracht of binnen het bedrijf zijn gebleven. Waar leggen we dan de grens? Hoe duidelijk kun je dat vastleggen in wetgeving? 

De heer Oskam (CDA):

Ik zal het heel beeldend maken. Een medewerker van XS4ALL krijgt inzage in gegevens die hij eigenlijk niet mag zien. Hij meldt dat aan zijn baas en doet er verder niks mee. De baas meldt het vervolgens aan het CBP. Als er geen bloed uitgevloeid is, kan het CPB het daarbij laten of een aanwijzing geven dat het niet meer gebeurt. Dat soort zaken. 

Mevrouw Oosenbrug (PvdA):

Dan gaat het niet over datalekken, maar over iets wat intern in een bedrijf gebeurt. Dat is iets heel anders dan wanneer er van buitenaf een aanval plaatsvindt of een hack. Het kan ook dat een usb-stickje in een envelop, onversleuteld, verstuurd wordt via de post en verdwijnt. Dat kan bij TPG Post ergens onder een kast terecht zijn gekomen, maar het kan ook door iemand meegenomen zijn. Dat weten we niet. Waar ligt die grens? Wanneer kunnen we wel zeggen dat die aanwijzing of die boete verdiend is? Hoe krijg je die wetgeving dan wel duidelijk? 

De heer Oskam (CDA):

Ik heb hier geen transactielijst waarbij je zegt: als je 5 cm naar links gaat, krijg je zoveel. Ik vind dat dit aan het college is. Ik vind dat we maatwerk moeten maken. We kunnen natuurlijk allerlei voorbeelden bespreken, maar er zijn veel meer voorbeelden te bedenken. De techniek schrijdt voort. Er gaat van alles gebeuren. Dit hele proces is in ontwikkeling. Het CBP zal ook moeten bekijken hoe het daarmee omgaat. Dadelijk wordt door het CBP een vorm van jurisprudentie gemaakt die we nauwlettend zullen volgen, maar ik ga niet zeggen dat iemand die 5 cm naar links gaat, wel een boete krijgt en bij 4 cm niet. Dat is echt aan het CBP. 

Mevrouw Oosenbrug (PvdA):

U vroeg collega Van Wijngaarden om helderheid over de amendementen die wij hebben ingediend, maar mijn conclusie is dat dit eigenlijk op hetzelfde neerkomt. Mijn collega Van Wijngaarden zei ook: laat het CBP dat op sommige momenten bepalen. U zegt eigenlijk precies hetzelfde. Dat is geen vraag, maar een conclusie van mij. 

De heer Oskam (CDA):

Dan maak ik er een vraag van. Mevrouw Oosenbrug heeft het niet goed begrepen. Ik bedoelde aan de heer Van Wijngaarden te vragen waarvoor het CBP die boete geeft op grond van het amendement op stuk nr. 16, lid 5. De heer Van Wijngaarden heeft daarover duidelijkheid geschapen, door te zeggen dat dit komt doordat dat bedrijf of die organisatie de aanwijzing van het CBP niet heeft opgevolgd. Dat is duidelijk. Om het amendement beter te maken heb ik gezegd dat je het ook vorm kunt geven als een voorwaardelijke boete als je geen bindende aanwijzing wilt geven. Dan geef je toch tools om ellende in de toekomst te voorkomen. Stel dat ik als directeur van een bedrijf bij het CBP moet komen, figuurlijk gezegd. Het CBP zegt dan: joh, je hebt buiten de boot gevist, om het zo maar te zeggen — dat is een verkeerde uitdrukking, maar u snapt wel wat ik bedoel — je moet eigenlijk een boete betalen, maar het is de eerste keer, je hebt veiligheidsmaatregelen genomen, je bent er zelf mee gekomen of je hebt schade vergoed of mensen gecompenseerd, in dat geval laten we het bij iets voorwaardelijks. Je kunt ook het amendement van mevrouw Oosenbrug en de heer Van Wijngaarden nemen en zeggen: je hebt die norm overtreden, je hebt niet geluisterd naar het CBP en daarom moet je €810.000 of €400.000 of €20.000 betalen, dat kan allemaal. Ik denk dat het transparanter is om te zeggen: dat staat erop, dat vinden wij het waard, maar als je ervoor zorgt dat het niet meer gebeurt of als je luistert naar die aanwijzing dan ga je vrijuit. Dat lijkt me beter. 

Ik was bij de voorbeelden van maatwerk. Er is ook nog de last onder dwangsom, zoals collega Van Nispen heeft gezegd. Het amendement dat ik net heb besproken, zou in combinatie met het wetsvoorstel goed kunnen uitpakken. Bedrijven en organisaties worden door de dreiging van een hoge boete geprikkeld om alles in het werk te stellen om privacygerelateerde schade te voorkomen. Daarnaast wordt duidelijk of het CBP boetes kan opleggen bij alle tekortkomingen. Soms valt erover te twisten of deze zulke ernstige gevolgen hebben gehad of een zodanige normschending zijn dat er een boete op moet komen. 

Ik heb nog een vraag aan de staatssecretaris over het amendement op stuk nr. 16. Is het niet beter om bij het systeem dat wij hebben bedacht, er toch een voorwaardelijke boete in te fietsen en deze eventueel te koppelen aan die bindende aanwijzing? Het is ook mogelijk dat er geen bindende aanwijzing moet worden gegeven, maar dat een voorwaardelijke boete op zijn plaats zou zijn. 

De voorzitter:

Dank meneer Oskam, ook voor het verrijken van het Nederlands met een nieuwe uitdrukking. 

Mevrouw Oosenbrug (PvdA):

Voorzitter. De PvdA is sinds lange tijd voorstander van een meldplicht voor datalekken. Mijn fractie is er dan ook verheugd over dat met dit wetsvoorstel de bescherming van persoonsgegevens kan worden versterkt. Onze persoonsgegevens worden op steeds meer plekken digitaal verzameld en opgeslagen. De kans op verlies of diefstal van die gegevens, het zogenaamde "datalekken", neemt daardoor toe. Door een meldplicht voor gevallen waarin gegevens waarschijnlijk zijn gestolen en door het aanscherpen van de tanden van het College bescherming persoonsgegevens met een brede boetebevoegdheid komt het wetsvoorstel tegemoet aan de wens van mijn fractie. 

Met dit wetsvoorstel geeft de regering invulling aan de wens van de Tweede Kamer, zoals onder andere verwoord in de motie van collega Recourt over de uitrusting van het CBP. We zien het toenemende belang van een goede bescherming van digitale persoonsgegevens vooral omdat er steeds meer informatie over mensen digitaal beschikbaar is en er met regelmaat pogingen worden ondernomen om deze gegevens te ontvreemden. Ook delft de privacy regelmatig het onderspit in de strijd met de commercie en worden daarbij de regels van de Wet bescherming persoonsgegevens overtreden. Een meldplicht en een stevigere boetebevoegdheid zullen bijdragen aan een betere bescherming van de persoonsgegevens. 

Voor een meldplicht voor datalekken die goed werkt, is het belangrijk dat men niet alleen maar informatie krijgt over inbreuken waarbij al duidelijk is dat er gegevens zijn misbruikt; dan is er namelijk weinig preventieve reactie nodig. Ook kan niet altijd goed worden ingeschat hoe groot de risico's op misbruik zijn na een lek. Het is goed als dit bij twijfel juist wél wordt gemeld, in plaats van dat men dit voor zich houdt. Ook als gegevens zijn versleuteld, is het belangrijk om de inbreuk wel bij het CBP te melden. Het is namelijk niet altijd van tevoren te zeggen in hoeverre de diefstal van versleutelde gegevens gevaar kan opleveren. Niet alle versleuteling is even sterk. 

Daarom was ik onaangenaam verrast door de eerste nota van wijziging, waarin de meldplicht onnodig werd ingeperkt. Ik begrijp de zorgen over een toename van de administratieve lasten. Bedrijven zijn bang dat ze meer moeten melden dan nodig is. Bovendien is het uiteraard niet leuk om te moeten melden dat er bij je is ingebroken; dat kan slecht zijn voor je imago. Ik kan me echter ook voorstellen dat het CBP er geen behoefte aan heeft om te worden overspoeld met onnodige meldingen. Ik ben ervan overtuigd dat hiervoor in de praktijk een werkbare vorm kan worden gevonden, waarbij het CBP eventueel nadere regels stelt. Dat het bedrijfsleven moet investeren in beveiliging van de gegevens die het verzamelt en ook in het melden van inbreuken, hoort volgens mijn fractie bij de plicht om zorgvuldig met deze gegevens om te gaan. Daarom heb ik mede met de heer Schouw een amendement ingediend, waardoor de oorspronkelijk bedoelde meldplicht een stukje wordt teruggebracht. Ik hoor graag van de staatssecretaris welke problemen hij met deze meldplicht verwacht en welke nieuwe inzichten hij heeft opgedaan sinds de indiening van het wetsvoorstel. 

De leden van de PvdA-fractie delen de mening van de regering dat het onverstandig zou zijn om het wachten op de databeschermingsverordening, terwijl een meldplicht de veiligheid nu al zou kunnen vergroten. Na de komst van een meldplicht op basis van een Europese verordening is het van belang dat er uiteindelijk wordt geharmoniseerd. De PvdA-fractie hoort graag van de regering de meest recente ontwikkelingen ten aanzien van een Europese meldplicht voor datalekken. 

Naast het vergroten van het vertrouwen in digitale gegevensverwerking is het belangrijk dat er zo veel mogelijk lessen worden getrokken uit opgetreden datalekken. Daarom is het belangrijk dat er informatie van het CBP wordt gedeeld met het Cyber Security Centrum en met de toezichthouders van DNB, de AFM en de ACM. Dit is al eerder genoemd door de collega's. Ik zou graag wat meer uitleg van de regering horen over de wijze waarop de aangemelde datalekken worden gebruikt om lessen te trekken en onveiligheden te bestrijden. 

In de nota van wijziging die de boetebevoegdheid regelt, zie ik twee mogelijke knelpunten naast de lang gewenste uitbreiding van de bevoegdheden van het CBP om echt in te grijpen. Dat is de noodzaak van opzet om direct een boete te kunnen opleggen zonder voorgaande aanwijzing. Ik maak mij zorgen dat dit te beperkend geformuleerd is om op te kunnen treden in die gevallen waar, volgens de Wet bescherming persoonsgegevens, het klakkeloos over het hoofd is gezien, maar er geen opzettelijke overtreding is begaan. Ik steun het amendement van collega Van Wijngaarden om ook grove nalatigheid meteen beboetbaar te maken. Daarnaast is het CBP bang dat een ministeriële goedkeuring van zijn beleidsregels zijn onafhankelijkheid kan aantasten. Het college spreekt zelfs van strijd met de Europese privacyrichtlijn en het risico van een infractieprocedure. Heeft de staatssecretaris hier navraag naar gedaan bij de Europese Commissie? 

De heer Schouw (D66):

Volgens mij is mevrouw Oosenbrug al voorbij het omstreden amendement op stuk nr. 16, maar daarover heb ik een paar vragen. De heer Van Wijngaarden heeft onthuld waarom hij dit gemaakt heeft. Hij wil geen pitbull maken van de privacywaakhond. Het mag geen pitbull worden en dus wordt het ingeperkt met een listig amendement waarin gesproken wordt over ernstig verwijtbare nalatigheid en nog een aantal van die inperkingen. Wat vindt mevrouw Oosenbrug van zo'n kwalificatie van de heer Van Wijngaarden? 

Mevrouw Oosenbrug (PvdA):

Ik heb andere dingen gehoord in de woorden van de heer Van Wijngaarden dan de woordvoerder van D66. Ik heb dit amendement mede ingediend omdat het de boetebevoegdheid ruimer maakt dan in het oorspronkelijke wetsvoorstel. Er worden juist tanden gegeven aan het schoothondje — het wetsvoorstel dat nu voorligt — en geen tanden weggehaald, zoals de heer Schouw suggereert. Het is niet aan mij om er een pitbull of een bouvier van te maken. 

De heer Schouw (D66):

Ik kan wel helpen. Een bejaarde pitbull heeft geen tanden meer, dat maakt iedereen weer blij. De heer Van Wijngaarden heeft het echt zo gezegd: ik heb dit gemaakt, omdat ik er geen pitbull van wil maken. Het moet wel redelijk blijven, zei hij. De heer Van Wijngaarden heeft voorbeelden genoemd waarvan hij denkt dat ze onder de formulering vallen. Ik heb ook enkele voorbeelden bedacht. Ik wil ze mevrouw Oosenbrug voorhouden met de vraag of ze vallen onder de definitie van ernstig verwijtbare nalatigheid. Het eerste voorbeeld gaat over de medewerkers van een ziekenhuis. Zij hebben toegang tot alle elektronische patiëntendossiers, ongeacht hun directe behandelrelatie. Het gaat om honderden medewerkers. Is dit een geval van ernstig verwijtbare nalatigheid? 

Mevrouw Oosenbrug (PvdA):

Aangezien ik wat ervaring heb als systeembeheerder en inmiddels weet hoe het er bij veel bedrijven aan toegaat met het uitdelen van inlognamen en wachtwoorden, zou ik dit niet direct een ernstig verwijtbare nalatigheid noemen. Ik zou wel heel graag zien dat het CBP de rode kaart trekt en zegt dat dit niet meer kan. Het gaat niet alleen over de zorg, maar over heel veel bedrijven alsmede over gemeenten. Dit gebeurt op dit moment overal en ik vind dat persoonlijk, vanuit mijn achtergrond als systeembeheerder, ernstig nalatig. Als ik vanuit de wet naar de taak van het CBP kijk, dan zeg ik nee. Er zal eerst een rode kaart moeten worden getrokken. Er zal eerst moeten worden uitgelegd waarom dit niet goed is. 

De voorzitter:

Mijnheer Schouw, ik weet niet hoeveel voorbeelden u hebt, maar anders gaat het heel lang duren. 

De heer Schouw (D66):

Nog heel even verder met dit voorbeeld en dan houd ik echt op, hoor. Het gebeurt dus al een jaar in dat ziekenhuis, ze hebben het allemaal verzwegen en iedereen zit in die patiëntendossiers te rommelen. Uiteindelijk komt het college er via een klokkenluider achter. Zegt de Partij van de Arbeid dat dit niet zo ernstig is dat er direct een boete gegeven mag worden, maar dat er eerst een waarschuwing gegeven moet worden? Begrijp ik dat goed? 

Mevrouw Oosenbrug (PvdA):

Ja. Er zijn nog geen duidelijke richtsnoeren hiervoor. Datzelfde probleem is er op gemeenteniveau. Ook daarbij hebben we de minister gevraagd om strikter op te treden. Mijn fractie kiest ervoor om eerst een waarschuwing te laten geven. U gaat een stuk verder. Ik vind het een ander verhaal als ze ook in die dossiers rommelen of rotzooien of andere dingen doen. Dan moet er wel een boete tegenover staan. Dan gaat het namelijk veel verder. Het gaat om de wijze waarop men omgaat met inloggegevens. Een secretaresse kan bijvoorbeeld in bestanden die eigenlijk alleen beschikbaar zouden mogen zijn voor de directeur. Daarvoor moet er een rode kaart komen. Dat gebeurt ook in ziekenhuizen. Op dit moment hebben heel veel secretaresses gewoon de inlogcodes van de psychiaters of van wie dan ook om bestanden toe te voegen of te verwijderen. Als we dat niet meer willen, moeten daar duidelijke richtlijnen voor komen. 

Mevrouw Helder (PVV):

Ik vind het amendement wel duidelijk. Ik kijk altijd liever naar de tekst. De uitleg moet daarbij passen. Ik heb de woorden van collega Van Wijngaarden in mijn achterhoofd, maar de tekst is duidelijk. Na de uitleg van mevrouw Van Oosenbrug begrijp ik het echter niet meer. Volgens mij vult zij de definitie van een rode kaart nu heel anders in. Een rode kaart betekent toch: stop acuut, boete en hatseflats? 

Mevrouw Oosenbrug (PvdA):

Er is een verschil. De bindende aanwijzing is voor mij de rode kaart. Misschien gebruik ik de term "bindende aanwijzing" verkeerd. Dan is er ook nog de boete. 

De voorzitter:

Met een rode kaart bedoelt u dus een bindende aanwijzing? 

Mevrouw Oosenbrug (PvdA):

Dan bedoel ik de bindende aanwijzing. Sorry. 

Mevrouw Helder (PVV):

Dan begint het voor mij duidelijk te worden. Ze kunnen nu al een gele kaart geven. Zo heb ik het begrepen. Een bindende aanwijzing lees ik ook als een gele kaart, want daar moet eerst aan voldaan worden. Als het niet gebeurt, krijg je inderdaad een rode kaart. In het wetsvoorstel is er echter ook de mogelijkheid om in bepaalde gevallen, als er sprake is van opzet, acuut een rode kaart uit te delen. Dan ben je dus meteen aan de beurt. Ik begrijp dat de rode kaart, dus het meteen aan de beurt zijn, waarvan sprake is in het amendement, ook de bedoeling is als er sprake is van ernstig verwijtbare nalatigheid. Heb ik dat goed begrepen? 

Mevrouw Oosenbrug (PvdA):

Als de rode kaart een boete is, dan wel. Even voor de helderheid: ik heet niet Van Oosenbrug. Die "Van" mag eraf. Ik heet gewoon Oosenbrug, maar de hele Kamer begint dit nu al over te nemen. 

De heer Van Nispen (SP):

Ik zal het proberen. Ik heb een vraag voor mevrouw Oosenbrug. Vertrouwt de PvdA het aan het College bescherming persoonsgegevens toe om zelf de afweging te maken om in een bepaald geval direct een boete te geven zonder dat deze wordt voorafgegaan door een bindende aanwijzing? Ik ben daar oprecht benieuwd naar. 

Mevrouw Oosenbrug (PvdA):

Ik vertrouw het CBP zeker. Ik vraag de minister wel waarom die ministeriële toetsing nodig is. Ik weet niet of ik dat al gevraagd heb of dat ik dat nog ging vragen. Waarom moet die ministeriële toetsing ertussen? Bedoelt u dat? 

De heer Van Nispen (SP):

Nee. Dat is natuurlijk ook een interessant punt, maar daar komt u dan nog op. Het gaat mij om het amendement op stuk nr. 16, dat u samen met de heer Van Wijngaarden hebt ingediend, versus het amendement op stuk nr. 19 van de heer Schouw en de heer Segers. Het verschil is dat er volgens u eerst sprake moet zijn van een bindende aanwijzing en dat het CBP pas daarna een stevige boete mag opleggen. Zo lees ik het amendement. Mijn collega's van de ChristenUnie en D66 zeggen echter dat het aan het college zelf is om te beoordelen of het in bepaalde gevallen terecht zou zijn om het direct te doen, zonder tussenkomst van die aanwijzing. 

Mevrouw Oosenbrug (PvdA):

Ik ben even heel snel de toelichting aan het lezen. Volgens mij zeggen wij hetzelfde. Met het amendement wordt geregeld dat het College bescherming persoonsgegevens geen bindende aanwijzing hoeft te geven aan de overtreder alvorens het een bestuurlijke boete kan opleggen. Ik begrijp de verwarring dus niet helemaal, maar misschien heb ik zelf het amendement dan niet heel helder. Dat is wat ik voor ogen had: geef het CBP nu het gereedschap om ervoor te zorgen dat het dit zelf kan bepalen. Als er dus een grove … Wacht, ik moet wel de juiste woorden gebruiken. Als er een ernstig verwijtbare nalatigheid is, zoals in het geval van het ziekenhuis waar camera's naar binnen gereden worden — dat voorbeeld is al honderd keer genoemd — waarbij je weet dat je een enorme schending van de privacy pleegt, hoor je daar gelijk voor beboet te worden. 

De heer Van Nispen (SP):

Ik concludeer dat er echt een belangrijk verschil zit tussen het amendement op stuk nr. 16 en dat op stuk nr. 19. Ik denk dat het goed is om daar nog even heel goed naar te kijken. Het amendement op stuk nr. 19, van de ChristenUnie en D66, maakt het toch echt een stuk scherper. In mijn ogen — zo zie ik het — geven we daarmee meer vertrouwen aan het College bescherming persoonsgegevens om maatwerk toe te passen. 

Mevrouw Oosenbrug (PvdA):

Dank u voor de tip. Ik denk dat wij hierna nog even met elkaar moeten kijken of wij nog verder kunnen komen. Ik kan nu nog niet zeggen dat het een beter dan het ander is. 

Ik was gebleven bij de vraag aan de staatssecretaris of hij navraag heeft gedaan bij de Europese Commissie over de Europese privacyrichtlijn. Kan hij bevestigen dat het onthouden van goedkeuring terughoudend gebruikt zal worden, mede door de beperkte gronden "strijd met de wet" en "strijd met het algemeen belang"? Hoe wordt de Kamer geïnformeerd over het eventueel weigeren van goedkeuring aan een beleidsregel van het CBP? 

Het nu introduceren van de wetgeving heeft het risico in zich dat er in de toekomst aanpassingen nodig zullen zijn doordat er gewerkt wordt aan nieuwe Europese regelgeving voor privacy, waarin regels voor een meldplicht en boetes opgenomen worden. 

De heer Schouw (D66):

Goedkeuring is een belangrijk punt. Ik geloof dat mevrouw Oosenbrug dat in haar inbreng al heeft aangekaart. De Partij van de Arbeid zit op de wip als het gaat om de goedkeuring. Het is mij niet helemaal helder wat de opvatting van de PvdA is. Kan het voor de PvdA nog twee kanten op: wel goedkeuring door de minister of geen goedkeuring door de minister, zoals wordt beoogd in het amendement van collega Segers? Zijn beide opties nog open? 

Mevrouw Oosenbrug (PvdA):

Op dit moment staan beide opties voor mij nog open. Ik heb iets met wetgeving over de ANPR (Automatic Number Plate Recognition), zoals sommige mensen misschien wel weten; ik weet dat daarover een vraag is gesteld. De vraag is inderdaad: kan de minister van V en J daarover wel een eerlijk advies geven aan het CBP? Die vraag wilde ik stellen en heb ik dan bij dezen gesteld. Daar zit voor mij namelijk wel de pijn. Hoe onafhankelijk ben je dan nog? Dat wil ik heel graag weten. Dat wil ik graag horen van de staatssecretaris in dit debat, net als de reactie op het amendement van de heer Segers. Ik moet zeggen dat de wipwap wel wat meer doorslaat naar de ene kant dan naar de andere kant, maar ik wil graag eerst een duidelijk antwoord. 

De heer Schouw (D66):

Ik denk dat het antwoord van de staatssecretaris zal zijn: ja, dat kan ik. Dat kunnen we voorspellen. Zit er niet een wat meer principiële kant aan? Bij heel veel toezichthouders — het is nu eenmaal niet anders geregeld — liggen normstelling en handhaving in één hand. Dat zie je ook bij de Autoriteit Financiële Markten en nog een paar van die instellingen. Zou het niet logisch zijn om die lijn consistent door te trekken? 

Mevrouw Oosenbrug (PvdA):

Ja, maar toch wil ik het debat openhouden. Daarvoor voeren we een debat met elkaar. Daarin wil ik vragen kunnen stellen aan de staatssecretaris en daarop wil ik gewoon antwoord krijgen. Aan de hand daarvan en met de visie van mijn fractie erachter, zullen wij daar in tweede termijn zeker op terugkomen. In eerste termijn ga ik echter nog niet zeggen naar welke kant de wipwap doorslaat, juist om het debat op een open manier te kunnen blijven voeren. 

De heer Segers (ChristenUnie):

Als onafhankelijkheid belangrijk is, dan hebben we maar twee smaken: of je bent onafhankelijk, of je bent het niet. Als je die onafhankelijkheid echt in de wet wilt onderstrepen, is het natuurlijk wel de vraag of je die ministeriële regeling niet moet doorknippen. 

Mevrouw Oosenbrug (PvdA):

Er zijn ook kanttekeningen gemaakt in de trant van "stop je op een gegeven moment niet te veel macht bij een partij?" Daar heb ik gewoon vragen over. Volgens mij zijn daar meer vragen over gesteld. Ik ben echt oprecht benieuwd naar het antwoord daarop. Voor mij blijft het een afweging. Wat weegt op een gegeven moment zwaarder? Is dat echt die onafhankelijke positie — wij zijn daar heel erg mee bezig ook bij andere toezichthouders — of moet het toch toezicht op de toezichthouder worden, of hoe je het dan ook noemt? Je hebt al Train de Trainer. Dan heb je vast ook wel iets als "wie let er op de opletter?" Ik snap het amendement van de heer Segers dus. Ik sta daar heel sympathiek tegenover, maar ik wil toch graag de beantwoording van de staatssecretaris afwachten voordat ik zeg welke weg mijn fractie kiest. 

De voorzitter:

Mijnheer Segers, ik geloof niet dat er op dit moment een beslissing komt, maar wellicht hebt u toch een vervolgvraag. 

De heer Segers (ChristenUnie):

Nee, ik heb geen vervolgvraag, maar ik wil wel graag het belang dat de PvdA-fractie hecht aan die onafhankelijke positie, markeren. Het is van belang dat het CBP echt in de positie is om volwaardig toezicht te kunnen uitoefenen, ook op de ministeries waar we het over hebben. Dat markeer ik even en in de tweede termijn gaan we daar verder over in debat. 

Mevrouw Oosenbrug (PvdA):

Daarom gaf ik ook dat sprekende voorbeeld van ANPR. Dat gaat mij erg aan het hart. 

De voorzitter:

Vervolgt u uw betoog, mevrouw Oosenbrug. 

Mevrouw Oosenbrug (PvdA):

Ik kom op de Europese regelgeving voor privacy. Wij vinden dat deze wetgeving lang genoeg op zich heeft laten wachten en wij waarderen de keuze van het kabinet om niet te wachten op deze traag vorderende Europese regels. De PvdA is van mening dat we met dit wetsvoorstel een stap vooruit zetten in de bescherming van persoonsgegevens. 

De voorzitter:

Daarmee is een einde gekomen aan de eerste termijn van de Kamer. 

De vergadering wordt van 18.12 uur tot 19.13 uur geschorst. 

Staatssecretaris Teeven:

Voorzitter. De bescherming van persoonsgegevens is een belangrijk onderwerp dat iedereen nauw aan het hart gaat. Dat geldt zeker ook voor de overheid. De leden hebben daar in eerste termijn uitgebreid aandacht aan besteed. Er is een aantal voorbeelden genoemd die heel treffend waren. Iedereen kent natuurlijk de casus van het VU medisch centrum in Amsterdam van ongeveer anderhalf jaar geleden, maar er is ook een aantal andere casussen genoemd. Zo heeft de heer Oskam gesproken over de casus in Amerika met 40 miljoen creditcards. Dat was natuurlijk ook een heel bijzondere casus. 

Het kabinet doet het voorstel om de Wet bescherming persoonsgegevens meer op de Europese leest te schoeien en toe te groeien naar het systeem van de Europese verordening die op dit moment in voorbereiding is. We hebben daar zo'n anderhalf tot twee jaar geleden al een keer van gedachten over gewisseld. De heer Schouw van D66 vroeg toen: je kunt wel de hele tijd wachten op die EU-verordening, maar moet je dat gat dat op nationaal niveau bestaat niet dichten? Ook de heer Van Nispen heeft daar toen vragen over gesteld. Ik heb destijds gezegd dat ik eigenlijk op die EU-verordening wilde wachten, omdat het mijn verwachting was dat die verordening begin 2015 kon worden afgerond. 

Wat dat betreft, moet ik zeggen dat het goed is dat we vandaag wel bezig zijn met de nationale wetgeving. We moeten er natuurlijk wel voor oppassen dat er geen nationale koppen op komen. Daar heeft de heer Van Wijngaarden ook aandacht voor gevraagd. Tegelijkertijd moet ik vaststellen dat ik na de informele Raad in Letland van vorige week niet zo optimistisch ben over het tijdschema van de verordening. Die zal niet in 2015 en misschien zelfs niet tijdens het Nederlandse voorzitterschap in de eerste helft van 2016 kunnen worden afgerond. Die verordening zou weleens pas in de tweede helft van 2016 dan wel tijdens de eerste helft van 2017 onder Maltees voorzitterschap kunnen worden afgerond. Dat heeft onder meer te maken met bijvoorbeeld de moeilijke vraag onder welk beschermingsregime de politiegegevens vallen. 

Ik zal na wat algemene opmerkingen eerst de amendementen van de leden behandelen. Normaal doe je het andersom, door eerst de vragen en dan de amendementen te behandelen, maar bij de behandeling van de amendementen kan ik al heel veel vragen beantwoorden die bij de leden leven. Daarna kom ik bij de vragen, waar heel serieuze bij zitten, ook over afzonderlijke zaken die wat aandacht verdienen. 

We hebben over dit onderwerp van de gegevensbescherming ook de afgelopen week gesproken tijdens de informele JBZ-raad. Ook daar kwamen de twee hoofdonderwerpen van dit wetsvoorstel aan de orde, namelijk een algemene meldplicht voor datalekken en een uitbreiding van de bevoegdheden van nationale toezichthouders, in dit geval het College bescherming persoonsgegevens, om bij overtreding van de wet een bestuurlijke boete op te leggen. 

De heer Schouw heeft een opmerking gemaakt over de naamgeving van het College bescherming persoonsgegevens. Die naam wordt in dit wetsvoorstel in een klein artikel gewijzigd. Ik heb daarover veel gesproken met de voorzitter van het college. We hebben daar echt wel even aandacht aan besteed. Het is na zeer lang beraad dat ook het College bescherming persoonsgegevens een voorkeur heeft voor de naamgeving Autoriteit persoonsgegevens. Er is ook al wat voorwerk gedaan in dit opzicht, dus het lijkt me nu niet verstandig om weer een andere naam te kiezen. Ik heb dit ook nog even afgetast naar aanleiding van de opmerking van de heer Schouw en zijn voorstel om een andere naam te kiezen. Ik dacht "what's in a name", maar dat ligt toch echt iets ingewikkelder. Dus ook de voorzitter van het college is daar geen groot voorstander van. 

De voorzitter:

De heer Schouw op dit punt. Alweer? Sorry, het knopje staat uit. 

De heer Schouw (D66):

Als het maar geen opzet is, voorzitter! 

Even om mijn onafhankelijkheid te bewijzen, ik vind het fijn dat er een mededeling komt dat de voorzitter van het college dat van mening is, maar dat vindt de fractie van D66 op zichzelf geen overtuigend argument. Dus ik vraag de staatssecretaris toch om daar wat inhoudelijker op in te gaan. Ik denk namelijk dat ik een parallelliteit zag met de naamgeving in Europa. 

Staatssecretaris Teeven:

Dat heb ik gehoord. Er zijn dus praktische voorbereidingen die al een tijdje lopen op grond waarvan je zou moeten zeggen dat je het niet moet doen, maar ik zal zo dadelijk op de wat meer principiële vraag van de heer Schouw ingaan. Ik dacht het even zo te kunnen oplossen, maar dat is iets te snel. 

De voorzitter:

Een tussenopmerking. Er is naar gekeken. Het blijkt statisticiteit te zijn, dus gebruik het voetpedaal, is het advies van de technische dienst. 

De heer Schouw (D66):

De staatssecretaris noemde praktische dingen. Betekent dat dat de letters er al zijn, dus dat de Kamer eigenlijk geen keuze meer heeft? Moet ik dat zo zien? 

Staatssecretaris Teeven:

Nee, zeker niet. De Kamer heeft natuurlijk altijd een keuze, maar bij een onderwerp als dit kan ik me voorstellen dat het college daar wel over nadenkt en misschien ook wat voorbereidingen treft. Je kunt natuurlijk altijd een andere keus maken in het wetgevingstraject. What's in a name, maar daar hangt soms wel wat aan vast. Ik zal straks op de principiële kant ingaan. 

Ik kom tot een algemene opmerking over de meldplicht datalekken. Verschillende woordvoerders hebben gevraagd waarom er een nota van wijziging is ingediend nadat het wetsvoorstel al was ingediend. Ik heb in het schriftelijk verslag moeten constateren dat verschillende fracties kritisch waren over het oorspronkelijke wetsvoorstel. Ik noem even wat punten van kritiek die terugkomen in het verslag. Men vond de begrippen vaag en algemeen. Zo haalden op dit punt een aantal fracties ook de kritiek van de Afdeling advisering van de Raad van State aan, die erop wees dat het een meldplicht betreft door straffen te handhaven. Bij de meldplicht voor datalekken laat dit kabinet zich in ieder geval leiden door een risicogerichte benadering. Nieuwe verplichtingen als deze moeten een reëel doel dienen en geen onnodige administratieve en toezichtslasten genereren. 

De nieuwe verplichtingen moeten het Cbp ook in staat stellen om waar nodig op te treden en moeten de burgers in de gelegenheid stellen zo snel mogelijk maatregelen te nemen in het geval van een belangrijk datalek. Daarom is het ook belangrijk dat in zekere mate van een drempel wordt ingebouwd om de meldplicht ook echt effectief te laten zijn. Het voorstel legt de grens bij incidenten die daadwerkelijk ernstige nadelige gevolgen hebben voor de bescherming van de persoonlijke levenssfeer. Die grens is natuurlijk niet in beton gegoten; laat dat helder zijn. Ik heb in eerste termijn goed geluisterd. Ik constateer dat bij een aantal fracties de wens leeft om die grens enigszins te verruimen. Ik zal daar bij de bespreking van de amendementen op terugkomen. 

Ik kom op de boetebevoegdheid. Bij de uitbreiding van de bevoegdheid van onze nationale autoriteit om overtredingen te bestraffen met forste boetes, staat het kabinet niet alleen voor een toezichthouder met tanden. Die formulering is vanavond al een aantal keren langsgekomen in het kader van de verschillende uitdrukkingsvormen van honden. Ook is er een systeem waarin van de verantwoordelijke geen onmogelijke inspanning kan worden verwacht om uit te puzzelen of hij zij wel of niet aan de wet voldoet. Zoals ook uit de evaluatie van de Wet bescherming persoonsgegevens is gebleken, is de Wbp voor de praktijk een heel lastige wet, met algemeen geformuleerde normen, ook wel "open normen" of "vage normen" genoemd. 

Dat levert ook spanning op met het rechtszekerheidsbeginsel, zoals dat in artikel 16 van de Grondwet is vervat maar ook in artikel 7 van het EVRM en artikel 15 van het Internationaal Verdrag inzake burgerrechten en politieke rechten. Onder anderen de heer Van Wijngaarden heeft daar aandacht voor gevraagd. De Raad van State heeft dit ook geconstateerd. Om die spanning weg te nemen, heeft het kabinet gemeend dat de checks-and-balances moeten worden verstevigd. Daarbij spelen twee "nieuwe" aanvullende instrumenten een rol, namelijk de bindende aanwijzing als in beginsel — ik zeg er altijd nadrukkelijk bij "als in beginsel" — een tussenstap voor het opleggen van een bestuurlijke boete en de ministeriële goedkeuring van door het college op te stellen richtsnoeren waarin het de normen uitlegt en interpreteert en waarvan overtreding met een bestuurlijke boete kan worden bestraft. Het gaat hierbij om instrumenten waartoe de Raad van State heeft geadviseerd. Daarbij is nadrukkelijk benadrukt dat het om een grondwettelijke aangelegenheid gaat, waarin de wetgever een bijzondere verantwoordelijkheid draagt. Ik denk dat we met de amendementen wel een oplossing hebben. Ik kom zo direct tot de bespreking van de amendementen. Ik denk dat we er wel uitkomen. Ik denk ook dat we de grondwettelijke insteek van de Raad van State ook wel voldoende kunnen stutten. 

Ik sta overigens niet afwijzend tegenover een iets andere invulling van het instrumentarium — dat zullen de leden ook merken — indien de Kamer dat in meerderheid mocht wensen, zolang maar wordt voldaan aan het rechtszekerheidsbeginsel. Er zijn op dit punt een aantal amendementen ingediend. Ik wil die amendementen nu bespreken, omdat we bij de bespreking van die amendementen al een groot aantal vragen kunnen beantwoorden. Ik houd daarbij de volgorde van de nummering aan. 

Allereerst kom ik op het amendement op stuk nr. 13 van de heren Segers en Schouw. Dat amendement regelt dat het voorgestelde artikel 67 van de Wet bescherming persoonsgegevens inzake de goedkeuring van richtsnoeren zou komen te vervallen. Ik constateer dat in de visie van de indieners de Europese onafhankelijkheidseis voor de toezichthouder in de weg zou staan van de ministeriële goedkeuring van de richtsnoeren van de toezichthouder, waarmee deze uitleg geeft aan de materiële normen van de wet waarvan overtreding door diezelfde toezichthouder met een bestuurlijke boete kan worden bestraft. Ik denk dat het hierbij echt gaat om de checks-and-balances. Het is heel belangrijk om te constateren, dat de normstelling en de bestraffing als gevolg daarvan in belangrijke mate in één hand komen te liggen. Je kunt vragen zetten bij de wenselijkheid hiervan. 

Dat ook de ministers onder het toezicht van het College bescherming persoonsgegevens vallen, is op zichzelf een terechte constatering van de indieners, maar een formeel beletsel is het niet. De ministers mogen zich namelijk niet bemoeien met de taakuitoefening door het College bescherming persoonsgegevens. Dat verandert ook door het wetsvoorstel niet. Ik denk dat het in dit concrete geval wel mogelijk is om een andere invulling te geven aan dit geheel, in de zin dat wij niet kiezen voor de ministeriële goedkeuring sec, maar dat wij een en ander op een andere manier invulling geven. Ik zou daartoe eigenlijk het volgende willen voorstellen, geconstateerd hebbende dat in de Kamer bezwaren leven tegen het vereiste van de ministeriële goedkeuring. Ook bij het College bescherming persoonsgegevens leven daartegen bezwaren. Laten wij naar alternatieven kijken, in de trant van: hoe kunnen wij het dan anders oplossen met dit amendement? Dan denk ik dat zou kunnen worden volstaan met de verplichting voor het College bescherming persoonsgegevens om, voorafgaand aan de vaststelling van beleidsregels, in overleg te treden met de ministers van Binnenlandse Zaken en van Veiligheid en Justitie. 

Daarmee is de onafhankelijkheid van het college gegarandeerd, want het college stelt zelf de beleidsregels vast, zonder dat daarvoor goedkeuring is vereist. Er is wel sprake van systeemverantwoordelijkheid van de ministeries. De heer Van Wijngaarden zei dat je als systeemverantwoordelijke ook naar de toezichthouder moet kijken. Hij noemde dat "bewaking" van de toezichthouder. Ik zou het de systeemverantwoordelijkheid van de departementen noemen. De betrokkenheid van de beide ministeries is gegarandeerd door het overleg in het voortraject. In de afgelopen vier jaar dat ik heb mogen werken met de voorzitter en het bestuur van het College bescherming persoonsgegevens is dat overleg altijd op een goede wijze verlopen. Ik heb geen enkele aanleiding om te denken dat wij op deze wijze — als het amendement in deze zin zou kunnen worden gewijzigd — geen recht zouden kunnen doen aan de betrokkenen. Wij kunnen dan recht doen aan wat de indieners, de heren Schouw en Segers, hebben beoogd en wij kunnen recht doen aan de systeemverantwoordelijkheid die er bij beide departementen voor het college bestaat. Ik doe dus het voorstel aan de indieners om het amendement in deze zin te wijzigen. Dan laat ik uiteraard het oordeel aan de Kamer, maar dan sta ik er zeer positief tegenover. 

De heer Segers (ChristenUnie):

De staatssecretaris zegt terecht dat de vaststelling van de beleidsregels een verantwoordelijkheid is en blijft van het college. Dat was inderdaad het oogmerk. Als wij elkaar zo naderen, denk ik dat het goed werkbaar is. Wij zullen het amendement in die zin aanpassen. 

Staatssecretaris Teeven:

Dan kom ik op het amendement-Van Wijngaarden c.s. op stuk nr. 14. De zorgen van de indieners betreffen het onder de meldplicht houden van adequaat versleutelde persoonsgegevens. Waar praten wij over? Het gaat om e-mailberichten en creditcard- en bankgegevens. De heer Van Wijngaarden zei het al, maar ook anderen hebben het genoemd. Ik dacht dat ook mevrouw Helder daar aandacht aan heeft besteed. De heer Oskam noemde een voorbeeld van wat er in de Verenigde Staten heeft plaatsgevonden. In de toelichting op het amendement wordt gesproken van situaties waarin ontsleuteling een reële dreiging vormt. In dat geval zijn er risico's voor de persoonlijke levenssfeer van de getroffen personen. De beperking tot een reële dreiging lijkt mij van belang. Van het college kan immers niet worden verlangd dat het toekomstige technologische ontwikkelingen kan voorspellen. Dat lijkt een stap te ver. Mocht er een reële dreiging zijn, dan is het wel goed dat het college een melding aan de getroffen personen kan afdwingen om hen te waarschuwen en te informeren over de nadeelbeperkende maatregelen. Dat is de bevoegdheid die is opgenomen in artikel 34a onder lid 7. Daarvoor is het nodig dat er eerst een melding aan het college wordt gedaan. Ik sta positief tegenover dit amendement en laat het oordeel erover graag aan de Kamer over. 

Ik kom bij het amendement op stuk nr. 16, ingediend door de heer Van Wijngaarden en mevrouw Oosenbrug. Over dit amendement heeft de Kamer in de eerste termijn veel gediscussieerd. In het amendement worden in feite twee dingen geregeld. Ten eerste wordt geregeld dat het College bescherming persoonsgegevens geen bindende aanwijzing hoeft te geven aan de overtreder voor de overtredingen waarvoor de zwaarste boete kan worden opgelegd, niet alleen indien de overtreding opzettelijk dan wel voorwaardelijk opzettelijk is begaan, maar ook indien de overtreding het gevolg is van ernstig verwijtbare nalatigheid. Ten tweede wordt in het amendement een vereenvoudiging van de handhaving geregeld, omdat ook het niet-nakomen van een bindende aanwijzing zelfstandig beboetbaar wordt gesteld. Eerder heb ik al aangegeven dat ik de uitzondering op de verplichting om eerst een bindende aanwijzing te geven juist heb opgenomen met het oog op de rechtszekerheid en de slagvaardigheid van het College bescherming persoonsgegevens. Zo nodig kan dus meteen een rode kaart — mevrouw Helder sprak daar bij interruptie over — worden getrokken. Dat zit ook in het amendement op stuk nr. 16. Die rode kaart moet meteen kunnen worden getrokken, om de slagvaardigheid van het College bescherming persoonsgegevens niet onnodig te belemmeren. 

Het lijkt mij belangrijk om te constateren dat er sprake is van een versterking — zo lees ik het amendement althans — van het lik-op-stukkarakter in de situaties van ernstig verwijtbare nalatigheid die hier worden genoemd. Dan praten wij over iets grofs, iets aanzienlijk onzorgvuldigs, iets onachtzaams, dan wel over onoordeelkundig handelen. Dat sluit aan bij de benadering die ik in het wetsvoorstel had voorzien. Ik sta derhalve positief tegenover het amendement op stuk nr. 16. Het oordeel over dit amendement laat ik aan de Kamer. 

In het amendement op stuk nr. 17, ingediend door de heer Oskam, wordt iets soortgelijks geregeld als in het eerste deel van het amendement op stuk nr. 16: de uitzondering voor het geven van een bindende aanwijzing voor het opzettelijk begaan van een overtreding wordt aangevuld met de bevoegdheid van het College om de bindende aanwijzing ook in het geval van opzet achterwege te laten, indien het College dit redelijk acht. Ik denk dat dit overbodig is, omdat het amendement op stuk nr. 16 in combinatie met het oorspronkelijke wetsvoorstel dit al mogelijk maakt. Van belang vind ik wat de indiener van het amendement heeft gezegd over "opzet". Vanavond viel in deze zaal de term "willens en wetens". In dat geval is er sprake van volledige opzet. Als wij in het kader van deze wetgeving spreken over "opzet", praten wij echter ook over de situatie die in het strafrecht is omschreven als "voorwaardelijke opzet", waarbij een overtreder redelijkerwijze wist of had kunnen vermoeden, of de aanmerkelijke kans had kunnen aanvaarden, dat door zijn handelen of nalaten ernstige nadelige gevolgen hadden kunnen plaatsvinden. Die omschrijving, die norm zit ook begrepen in het wetsvoorstel. Dat is breder dan wat ik sommige leden heb horen zeggen over "willens en wetens". Daar heeft de indiener van het amendement op stuk nr. 17 een punt. Ik meen dat de heer Oskam ook zei dat dit eronder moet vallen. Nu, dit valt eronder. Zo moeten wij de wet ook uitleggen. 

De heer Oskam (CDA):

Dat moet er zeker onder vallen. Het amendement is ingediend omdat er veel discussie was over wat het CBP moet doen, wat het kan doen en wat de mogelijkheden zijn. Vandaar dat wij hebben gezegd dat wij moeten kijken naar de redelijkheid en moeten kiezen voor de overall-toets op basis waarvan wij alles afwegen. De staatssecretaris heeft een en ander nu uitgelegd. Ik snap zijn conclusie dat het amendement overbodig is, maar wij willen toch nog eens benadrukken wat wij bedoelen, omdat daar zo veel discussie over was. 

Staatssecretaris Teeven:

Ik ben blij met de uitleg van de heer Oskam. Het vierde lid van artikel 66 bevat ook een uitzondering op de verplichte tussenstap van de bindende aanwijzing. Daarmee is overigens niet gezegd dat de bevoegdheid niet meer zou bestaan; daarmee is alleen gezegd dat de verplichting vervalt. Het college kan daar dus nog steeds voor kiezen. Ook als wellicht te bewijzen valt dat er sprake is van voorwaardelijke opzet en een directe boete tot de mogelijkheden behoort, kan het College bescherming persoonsgegevens ervoor kiezen om met een bindende aanwijzing te werken. Het college kan daarbij een termijn stellen waarbinnen de overtreding moet worden beëindigd. Als de aanwijzing wordt opgevolgd, is de boete niet meer nodig. 

Ik moet misschien nog wel iets zeggen over een andere suggestie die door de indiener is gedaan. Die had betrekking op iets wat we in het strafrecht kennen, het opleggen van een voorwaardelijke boete. Stel iemand meldt een datalek, maar heeft zelf al allerlei maatregelen genomen om het lek te beëindigen. Om te voorkomen dat het lek nog een keer voorkomt, leg je dan een boete op met een proeftijd van een aantal jaren. Ik moet zeggen dat de Algemene wet bestuursrecht zich daartegen verzet. Ik verwijs uw Kamer daarvoor naar de behandeling van de vierde tranche van de Algemene wet bestuursrecht, de Handelingen 2003-2004, pagina 133 en 134, waarin nadrukkelijk is opgenomen dat een voorwaardelijke boete zich niet verdraagt met het stelsel van het bestuursrecht. Een voorwaardelijke boete behoort niet tot de mogelijkheden. De heer Oskam noemde het zelf ook al. Toen hij met dat op zich sympathieke argument kwam, zei hij: misschien kun je dat ook op een andere wijze ondervangen. Ik wist dat ook niet uit mijn hoofd, maar ben erop gewezen dat dit in de vierde tranche van de Algemene wet bestuursrecht is uitgezonderd. Maar de last onder dwangsom is natuurlijk in feite een instrument dat je op deze wijze ook zou kunnen gebruiken. Dat kan dezelfde uitwerking hebben als het opleggen van een voorwaardelijke boete. Daar wil ik nog wel op wijzen. 

De voorzitter:

Ik heb nog een klein formeel puntje. U hebt het amendement op stuk nr. 17 nog niet van een kwalificatie voorzien. 

Staatssecretaris Teeven:

Ik heb uitgelegd dat het amendement op stuk nr. 16 een aantal zaken al regelt, in combinatie met het wetsvoorstel. Ik denk dat het amendement op stuk nr. 17 overbodig is in dit geval. Ik heb geprobeerd dat toe te lichten. 

Dan kom ik op het amendement op stuk nr. 18, ingediend door de heer Schouw c.s. In dat amendement wordt geregeld dat het bereik van de meldplicht wordt verruimd door incidenten die leiden tot een aanmerkelijke kans op ernstige nadelige gevolgen eveneens onder het bereik van de meldplicht te brengen. De protocolplicht blijft overigens beperkt tot de aan het college gemelde lekken. Dat moeten we nadrukkelijk zien. Ik zie dit amendement als een verruiming en als een stimulans om bij incidenten met potentieel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens de toezichthouder daarvan in kennis te stellen. Mocht nadien blijken dat het loos alarm was, wat uiteraard kan voorkomen, dan kan die melding altijd achteraf worden ingetrokken. Wat wel belangrijk is, is dat die meldplicht ook in verruimde vorm enige clausulering bevat, zodat niet elk potentieel datalek, klein en groot, gemeld gaat worden. Dat is gezien de bredere reikwijdte van de Wet bescherming persoonsgegevens ook niet de bedoeling. Ik sta positief tegenover dit amendement en ik laat het oordeel over dit amendement graag over aan uw Kamer. 

Ik kom op het amendement op stuk nr. 19 van de leden Schouw en Segers. Over dit amendement hebben de leden in eerste termijn uitgebreid gesproken. Eigenlijk regelt ook dit amendement twee dingen, maar dan in een net iets andere vorm. Het amendement regelt dat het college niet gebonden is aan enigerlei wettelijke verplichting om voorafgaand aan het opleggen van een bestuurlijke boete van de zwaarste categorie een bindende aanwijzing te geven. Het CBP is bevoegd om een bindende aanwijzing te geven en kan daarbij een termijn stellen. Daarnaast regelt het amendement, net als het amendement op stuk nr. 16, een vereenvoudiging van de handhaving door het CBP, omdat ook niet-nakoming van een bindende aanwijzing zelfstandig bestuurlijk beboetbaar wordt gesteld. 

Wat dit amendement doet, is een discretionaire bevoegdheid toedelen aan het college om voorafgaand aan het opleggen van een bestuurlijke boete een bindende aanwijzing op te leggen. Er is dus geen sprake meer van een verplichting in bepaalde gevallen. Die bindende aanwijzing is natuurlijk een normconcretiserend besluit, waarin het college in een individueel geval nog eens precies uitlegt wat de normen van de Wet bescherming persoonsgegevens betekenen. Die normconcretisering is, denk ik, vanuit het perspectief van bedrijven en organisaties belangrijk. Ik ben dat eens met degenen die daar opmerkingen over hebben gemaakt. In tal van situaties kan er discussie ontstaan over de vraag hoe de normen van de Wet bescherming persoonsgegevens precies moeten worden uitgelegd. Dat hangt ook samen met het algemene en abstracte karakter van de normen. Dat is al bij de evaluatie van de Wet bescherming persoonsgegevens in 2009 geconstateerd. 

Het is van belang dat de burger — velen hebben dat genoemd in het kader van de rechtszekerheid — in een aantal gevallen nadere duidelijkheid krijgt alvorens met een zeer forse boete te worden geconfronteerd. Dat weegt bij bestuurlijke bestraffing extra zwaar naar het oordeel van het kabinet, zeker als normhandhaving en bestraffing in één hand zijn. Als die extra duidelijkheid niet nodig is omdat een verantwoordelijke heel goed weet wat er van hem wordt verwacht, dan is de bindende aanwijzing niet nodig. Daarom is in artikel 66, lid 4, het opzettelijk handelen, inclusief voorwaardelijke opzet, meegenomen. Als het amendement op stuk nr. 16 wordt aangenomen, geldt dit ook voor het ernstig nalatig handelen. In de optiek van de regering is het echt de verantwoordelijkheid van de wetgever in formele zin om die afweging te maken en niet die van de onafhankelijke toezichthouder middels een beleidsregel. Tegen de vereenvoudiging van de handhaving, het tweede onderdeel van het amendement, bestaat uiteraard geen bezwaar. Het tweede deel is ook geregeld in het amendement op stuk nr. 16, maar het eerste gedeelte van het amendement van de heren Schouw en Segers moet ik ontraden. 

Ik kom nu toe aan de beantwoording van de vragen. De heer Schouw sprak over een evaluatie binnen vijf jaar na inwerkingtreding. De evaluatie moet zich op een aantal dingen richten. Ik noem de naleving van de meldplicht, de toepassing van het college van de boetebevoegdheid in de praktijk, de uitwerking op de bescherming, de hanteerbaarheid van de administratieve lasten en de nalevingskosten voor de bedrijven en organisaties die ermee te maken krijgen. Het wetsvoorstel zelf bevat in artikel IVa een evaluatieplicht die inhoudt dat er een evaluatie moet worden uitgevoerd op de meldplicht datalekken en de boetebevoegdheid binnen één jaar na het van toepassing worden van de komende EU-verordening. Tussen het van kracht worden en van toepassing worden van de verordening zit naar de inschatting van het kabinet een implematietermijn van ongeveer twee jaar. De gedacht achter de evaluatieplicht in het wetsvoorstel is dat wij lering kunnen trekken uit de nationale ervaringen met de meldplicht en de verruimde boetebevoegdheid ten behoeve van het toezicht en de handhaving door het CBP. De heer Schouw was nog niet in de zaal toen ik het eerder zei en daarom herhaal ik dat de vaststelling en inwerkingtreding van de verordening zeker niet voor 2016 wordt verwacht, gelet op een aantal onderwerpen die op dit moment in discussie zijn binnen een aantal lidstaten en het Europees Parlement. In het allergunstigste geval zou een evaluatie eind 2016 kunnen plaatsvinden of anders in 2017. 

De heer Van Nispen (SP):

Ik begrijp dat wij pas goed kunnen evalueren nadat de Europese verordening in werking is getreden. Dan kunnen wij de wetswijziging vergelijken met wat in de Europese verordening wordt geregeld. Het valt een beetje tegen qua onderhandelingsproces. Het gaat nog wel even duren. Is het dan niet goed om toch zelf een termijn van een aantal jaar te kiezen, zoals wij dat ook bij andere wetten doen en het niet af te laten hangen van enkel het in werking treden van die verordening? Het is interessant om te weten hoe deze wet gaat uitpakken. Ik heb daar specifiek naar gevraagd met het oog op de capaciteit van het CBP. 

Staatssecretaris Teeven:

Het is een beetje onzeker. Aanvankelijk dacht ik dat het snel zou gaan met die verordening, maar na de laatste informele raad in Letland en gezien het standpunt van de Commissie en het Europees Parlement aan de ene kant en het standpunt van de overgrote meerderheid van de lidstaten aan de andere kant, verwacht ik dat er nog een aantal harde noten te kraken zijn in 2015. Daarom denk ik dat het goed is om te zeggen dat we deze wet binnen vijf jaar zouden moeten evalueren als hij in 2015 in werking zou treden. Ik ga er daarbij dus even van uit dat de wet nog dit jaar in werking zou treden. Die evaluatie binnen vijf jaar zou dan dus sowieso moeten gebeuren, los van wat er in Europa gebeurt, omdat het volgens mij wel belangrijk is om te bekijken waar de omissies en de problemen zitten. Ik denk dat de heer Schouw en de heer Van Nispen hierin wel gelijk hebben: ook los van de verordening zou je moeten bezien hoe dit op nationaal niveau uitwerkt. Wat kunnen we ervan leren? Dat zal natuurlijk veelvuldig gebeuren in het regulier overleg dat ik met de voorzitter van het College bescherming persoonsgegevens heb. Dat zullen wij ook tussentijds bezien, maar ik zal de Kamer daarover ook rapporteren. Wat is de uitwerking? Hoeveel meldingen in het kader van de meldplicht datalekken zijn er? Volgens mij is het goed om dat ook te registreren. Ik denk dat een totale evaluatie na vijf jaar een redelijke termijn is. 

Ik kom op de reikwijdte van de meldplicht. In eerste instantie sloot de tekst van het wetsvoorstel aan bij de meldplicht uit artikel 11.3a van de Telecommunicatiewet. Wat ik hierover ga zeggen, is misschien ook nog even een toelichting bij het amendement op stuk nr. 19. Dit hoort daar eigenlijk ook nog bij. In de Telecommunicatiewet wordt er eigenlijk van uitgegaan dat in beginsel elk datalek moet worden gemeld, ongeacht de impact. Daarom ontbreekt in de Telecommunicatiewet ook het woord "ernstige". Daarbij moet je je wel bedenken dat de meldplicht voor de Telecommunicatiewet uitsluitend geldt voor aanbieders van openbare elektronische communicatiediensten, dus telecomaanbieders. Het wetsvoorstel waarover wij nu spreken, ziet op iedereen die persoonsgegevens verwerkt. Dat kunnen particulieren zijn, zzp'ers, plaatselijke sportclubs, kleine bedrijven, maar ook wereldwijd opererende multinationals die in Nederland zijn gevestigd. De reikwijdte van deze meldplicht is dus vele malen groter dan de meldplicht van de Telecommunicatiewet. Zonder een nadere afbakening zou de handhaving van deze meldplicht vrijwel onbeheersbaar worden. Vandaar dat in het wetsvoorstel, maar volgens mij ook in de amendementen, staat dat het moet gaan om datalekken met ernstige gevolgen. 

Laat ik eens een voorbeeld noemen. Een en ander betekent bijvoorbeeld dat het in beginsel niet hoeft te worden gemeld als de ledenlijst van de plaatselijke korfbalvereniging op straat is komen te liggen, maar wel als derden zich onrechtmatig toegang hebben verschaft tot de patiëntgegevens van een plaatselijk ziekenhuis. Dat voorbeeld is vanavond al langsgekomen. Waar zou je nou naar moeten kijken en wat zou je nou moeten meenemen bij de beoordeling of er sprake is van ernstige nadelige gevolgen? Volgens mij is het goed dat we dat bij deze wetsbehandeling aan de orde hebben. Ik zou graag enige reflectie daarover horen van de leden van de Kamer, hetzij in een interruptie, hetzij in de tweede termijn. Volgens het kabinet zou je daarbij kunnen denken aan de aard en de omvang van het datalek. Je zou kunnen denken aan de aard van de gelekte persoonsgegevens. Je zou ook kunnen denken aan de mate waarin technische beschermingsmaatregelen zijn getroffen. Mevrouw Oosenbrug noemde een aantal voorbeelden uit haar oude werkkring. Zelfs als er patiëntgegevens van slechts één huisarts op straat komen te liggen, kan er al sprake zijn van ernstige gevolgen. In zo'n geval gaat het immers dan wel niet om veel gegevens, maar wel om heel gevoelige gegevens. Dan is de omvang van het datalek weer niet van belang. Je moet dus ook nog een verschil maken tussen enerzijds aard en omvang, en anderzijds gevoeligheid. Dat kan op zich ook weer met elkaar cumuleren, maar ook kunnen die zaken los van elkaar omstandigheden zijn die je mee moet laten wegen. 

Komt het ledenbestand van die plaatselijke korfbalvereniging op straat te liggen, dan zal er dus niet snel sprake zijn van ernstige nadelige gevolgen, maar dat zou anders kunnen zijn als het daarbij gaat om een ledenbestand waarin specifiek is opgenomen wie van die leden betalingsachterstanden hebben. Dan zou een en ander weer anders kunnen liggen, want dat zijn weer meer gevoelige gegevens. Het gaat naar mijn mening dus om de omstandigheden van het geval. Een aantal leden heeft gezegd: dat moeten we nu echt aan het college laten. Naar mijn mening bevatten het wetsvoorstel en de amendementen die ik vanavond heb omarmd een werkbare, evenwichtige afbakening van de meldplicht. Ik zie op dit moment achter de rug van de heer Schouw, die bij de interruptiemicrofoon staat, de voorzitter van het college op de publieke tribune instemmend knikken. 

De heer Schouw (D66):

Dit zou iets kunnen uitlokken, maar dat laat ik even. De staatssecretaris vroeg om reflectie en hij noemde een paar dingen. Ik houd hem ook even twee dingen voor die ik in mijn inbreng ook aan de orde heb gesteld. Ik doel op de positie hierbij van kwetsbare groepen, bijvoorbeeld van gehandicapten of jongeren. Telt een datalek waarbij het over zulke groepen gaat volgens de staatssecretaris zwaarder mee dan wanneer het gaat om mensen zoals hij en ik? 

Staatssecretaris Teeven:

Het is goed dat de heer Schouw daarvoor aandacht vraagt. Er zijn mensen in de samenleving die zich niet kunnen beschermen en daarom extra kwetsbaar zijn. Zij zijn afhankelijk van anderen die hen moeten beschermen. In het verleden zijn er ook gevallen geweest waarin onzorgvuldig, ernstig nalatig en opzettelijk onzorgvuldig met hen is omgegaan. Zeker als het mensen betreft die zichzelf niet goed kunnen beschermen, bijvoorbeeld omdat ze niet bij machte of niet voldoende toerekeningsvatbaar zijn om erover na te denken, kan dat een omstandigheid zijn die met zich brengt dat de gegevens extra gevoelig zijn ten opzichte van die van andere personen. In een individuele casus kunnen de kring van te beschermen personen en de gevoeligheid feitelijke omstandigheden zijn die van invloed zijn. 

De heer Schouw (D66):

Dan nog een tweede punt. Ik heb het voorbeeld genoemd van bedrijven en organisaties die als kerntaak hebben om gegevens te verwerken. Als die in de fout gaan, moet dat dan zwaarder of anders tellen dan wanneer het bijvoorbeeld gaat om een groentehal, die een andere kernactiviteit heeft? 

Staatssecretaris Teeven:

Ik denk dat iedereen met dit wetsvoorstel te maken kan krijgen. Voor degenen die belast zijn met de verwerking van gegevens mag een extra mate van zorgvuldigheid worden verwacht. Ik kan mij voorstellen dat bij herhaling — dat noemen we in het strafrecht recidive — ten aanzien van die personen de gevoeligheid of in ieder geval de verwijtbaarheid eerder een rol kan gaan spelen. 

De heer Schouw (D66):

Dat is heel mooi. Begrijp ik goed dat de voorbeelden die we nu met elkaar bespreken, hun weerslag moeten zien te vinden in de richtlijnen? 

Staatssecretaris Teeven:

Ik denk dat het college bij uitstek de autoriteit is in dezen. De heer Oskam zei het heel treffend: het is een maat voor het opbouwen van jurisprudentie waardoor je na een periode van vijf jaar inzicht krijgt in wat het college de norm acht die gehandhaafd moet worden. Er zijn individuele casussen mogelijk, bijvoorbeeld een huisarts of een kinderdagverblijf, waarin op die wijze de jurisprudentie wordt gevormd. Dat is wel iets wat het college moet gaat doen. Dat is immers de toezichthouder die we daarvoor hebben aangesteld. 

De heer Oskam (CDA):

De staatssecretaris geeft mooie voorbeelden, maar om het scherp te krijgen heb ik nog even een ander voorbeeld. Stel dat er geen daadwerkelijke schending van de privacy plaatsvindt. Er is een lek of een veiligheidsprobleem, maar de gegevens worden niet door derden ingezien en dat staat ook vast. Kan die omstandigheid meewegen? Zou het CBP voorzichtig moeten zijn om in dat soort gevallen een boete op te leggen? 

Staatssecretaris Teeven:

Hierover heb ik al iets gezegd bij de bespreking van het amendement op stuk nr. 17. Ook mevrouw Oosenbrug heeft daar iets over gezegd. Als iemand constateert dat er een fout is gemaakt of als iemand constateert dat hij op onjuiste wijze is omgegaan met gegevensbestanden, maar hij zelf al herstel heeft gepleegd, dan kan dat uiteraard een omstandigheid zijn voor het college om te zeggen: dat leidt niet tot een bestraffing. Dat zou heel goed kunnen. 

De heer Oskam (CDA):

Dat is actief optreden. Stel dat er een fout is, een veiligheidslek, waardoor gegevens op straat kunnen komen. Die gegevens zijn niet ingezien door derden. Het is bijvoorbeeld tijdig opgepakt door de politie of de gegevens zijn anderszins kwijtgeraakt. In elk geval heeft niemand die gegevens gezien. Is dat een omstandigheid die in het voordeel van die organisatie kan meewegen? 

Staatssecretaris Teeven:

Ik denk daar even over mee. Het is belangrijk om dit met elkaar te duiden. Het is van belang of degene die betrokken is bij het gegevenswerk, of hij zelf die fout ontdekt en herstelt of dat los van de wil van de gegevensverzamelaar de fout wordt hersteld door een derde. Dat is dan toch net weer iets anders. Dat zijn allemaal zaken die het college zal moeten wegen. Daarvoor zal het de richtsnoeren en de beleidslijnen moeten opstellen. In de praktijk zal elke casus individueel moeten worden beoordeeld. 

Mevrouw Oosenbrug (PvdA):

De staatssecretaris vraagt om een reflectie op dit onderwerp: in welke casus wel en in welke niet? Dat geeft al aan, terwijl ik hier luister naar mijn collega's, hoe complex de materie is. Wat is wel een privacyschending en wat niet? Het begint nu een beetje te zweven. Ik denk dat we weer even terug moeten naar de basis. Op het moment dat er buiten jouw schuld om een hack wordt gepleegd en gegevens worden gestolen, dan heb je die meldplicht. Daar zijn we ontzettend blij mee. Het gaat mij persoonlijk te ver om vervolgens een boete op te leggen omdat iemand gehackt is. Diegene meldt het en heeft zijn systemen op orde. We weten inmiddels: hoe goed je het systeem ook beschermt, there is always a bigger fish. Er wordt altijd gekeken of men toch het systeem in kan. Waar leg je dan de grens? Ik zou toch kijken of het bedrijf dat de gegevens moet verwerken er alles aan heeft gedaan om ervoor te zorgen dat die goed beschermd zijn, via encryptie, een goede firewall of andere mogelijkheden, die ik niet op zal noemen. Of heeft men gedacht toen er extra geld te besteden was: we kopen een mooi bureau voor de directeur en we laten het systeem nog even met touwtjes aan elkaar hangen? Ik denk dat dit eerder de discussie is dan dat je het per casus gaat bekijken. Het gaat om de grondhouding bij het verwerken van persoonsgegevens. 

Staatssecretaris Teeven:

Ik dank mevrouw Oosenbrug voor de reflectie. Ik heb de mate genoemd waarin technische beschermingsmaatregelen zijn genomen. Dat is bij uitstek iets wat kan bijdragen aan het oordeel of er sprake is van ernstige nadelige gevolgen. Andere punten zijn de omvang van het datalek, de aard van de gelekte gegevens en vooral de gevoeligheid daarvan. Ik denk dat wij er als wetgever in die vorm over moeten spreken. Er zijn heel duidelijke voorbeelden voorgelegd. Als je een gegevensbestand hebt van mensen die zichzelf niet kunnen beschermen, als je daar onzorgvuldig mee omgaat en als dat ernstige nadelige gevolgen heeft, dan kan dat een omstandigheid zijn die extra meeweegt, zoals de heer Schouw naar voren bracht. Dit is wel iets wat uiteindelijk casuïstisch moet worden ingevuld, dat ben ik met de heer Oskam en vele anderen eens. 

De heer Bisschop heeft gevraagd of altijd duidelijk is wanneer passende technische maatregelen zijn genomen. Dan gaat het over versleuteling en encryptie. In artikel 34a, lid 6, wordt de lat voor die passende technische maatregelen heel hoog gelegd. De verwerkte persoonsgegevens moeten onbegrijpelijk of ontoegankelijk zijn gemaakt voor derden die geen recht hebben op kennisneming van die gegevens. Daar kan in de praktijk wel discussie over bestaan, want een adequate versleuteling is natuurlijk altijd afhankelijk van de stand van de techniek en de ontwikkelingen die daarin in de tijd kunnen plaatsvinden. Het CBP zal daar ook richting en duiding aan moeten geven, door die richtsnoeren, maar volstrekte duidelijkheid kunnen we in de wet niet geven, zeg ik tegen de heer Bisschop. 

De heer Segers heeft nog gevraagd hoe die boete in andere landen is geregeld. Hij vroeg ook om een doorkijkje naar de verordening die voorligt. We hebben daar geen uitvoerige studie naar gedaan bij het opstellen van het wetsvoorstel. In 2012 heeft er een beperkt inventariserend onderzoek plaatsgevonden naar de sanctionering van schending van privacyvoorschriften in andere landen. Bestuurlijke boete komt in andere landen veel voor, maar niet in alle 28 landen van de Europese Unie. In de verordening is het instrument van de bestuurlijke boete een enorme vernieuwing, om de handhaving van privacybescherming te versterken. Op grond van de verordening die nu voorligt, die uiteraard nog niet is afgerond, kunnen zeer hoge boetes worden opgelegd. Er is in de JBZ-Raad nog geen algemene overeenstemming over het hoofdstuk van de verordening waarin de sancties worden geregeld. Het is goed om vast te stellen dat daarover nog onderhandelingen plaatsvinden. Dit hoofdstuk is wel geagendeerd door het Letse voorzitterschap en daar zal Luxemburg mee doorgaan. Ik denk dat het Nederlands voorzitterschap daar ook mee door zal moeten gaan. 

De heer Van Nispen vroeg om het wetsvoorstel te vergelijken met de inhoud van de verordening. Ik heb daar al iets over gezegd. Ik denk dat de tekst van het wetsvoorstel wel ruimte bevat om deze ook EU-conform te interpreteren. Dat is eigenlijk ook het antwoord op de vraag van de heer Van Wijngaarden over nationale koppen: nee, die komen er niet op. 

Mevrouw Helder sprak over de meldplicht en wees erop dat de clausulering "tot ernstige nadelige gevolgen" wel in het wetsvoorstel voorkomt, maar niet in de conceptteksten van de Europese verordening. Dat heeft mevrouw Helder juist gezien. In het oorspronkelijke Commissievoorstel van januari 2012 zat nauwelijks enige clausulering. In Europa is het denken echter ook voortgeschreden, niet in het minst onder de invloed van de nationale dataprotectietoezichthouders, die onder aanvoering van de Europese voorzitter op de trom hebben geslagen. Dat heeft ertoe geleid dat er nu in JBZ-verband wordt gewerkt aan een tekst waarin ook beperkende elementen zitten. Niet precies op dezelfde manier als in ons wetsvoorstel, langs iets andere lijnen, maar wel met dezelfde intentie om de plicht op reële privacyrisico's toe te spitsen en geen onnodige lasten op te leggen. 

Mevrouw Oosenbrug heeft mij gevraagd naar de meest recente ontwikkelingen. In Hoofdstuk VI van de verordening, waarin de meldplicht datalekken is opgenomen, is in oktober 2014 wel een algemene benadering vastgesteld. De meldplicht is daarin toegespitst op beveiligingsincidenten die een hoog risico meebrengen op negatieve gevolgen voor de fundamentele rechten en vrijheden van betrokkenen. 

De heer Van Nispen vroeg mij nog naar de infractieprocedure. Eigenlijk is dat nu een beetje achterhaald. Met het amendement dat ik zojuist heb omarmd, hebben we dat risico in feite afgewend. Kijkend naar de verordening moet ik daarover wel opmerken dat de heer Van Nispen, de heer Schouw en anderen die daarover vragen hebben gesteld, wel een punt hadden. Ik merk daarbij op dat de Raad van State, kijkend naar de thans vigerende richtlijn 95/46, heeft gezegd dat artikel 28 van die thans vigerende richtlijn ministeriële goedkeuring mogelijk maakt. Ik heb dit ook gemeld in mijn brief aan de Kamer van 30 januari jongstleden. Ik moet het wel met het College bescherming persoonsgegevens eens zijn dat er risico's bestaan. ik denk dat we die risico's met een wijziging van het amendement-Segers/Schouw hebben beperkt tot nul. Dat is de vaststelling die ik op dit moment kan doen. 

De heer Van Wijngaarden stelde mij een vraag over het publicatiebeleid. Ik proefde bij hem enige kritiek op het publicatiebeleid van het College bescherming persoonsgegevens. Ik heb daar zelf ook weleens wat kritiek op geuit. Ik zie de heer Van Wijngaarden naar de interruptiemicrofoon lopen; heb ik dat dus verkeerd geproefd? 

De heer Van Wijngaarden (VVD):

Voordat de staatssecretaris op de veronderstelde kritiek ingaat, wil ik een en ander corrigeren. Ik heb alleen gewezen op het potentiële effect, het risico op reputatieschade. Soms is dat gewoon onvermijdelijk, maar het vergt wel het nodige om te voorkomen dat dit ontstaat. Ik wilde dat opgehelderd hebben. 

Staatssecretaris Teeven:

Dan moet ik vaststellen dat ik alleen sta in die kritiek. Maar in antwoord op de vraag: de constatering dat de beleidsregels van het college over actieve openbaarmaking aanpassing behoeven, lijkt mij op zich juist. De bevoegdheid om die beleidsregels vast te stellen, komt uiteraard aan het CBP zelf toe. Ik ben echter zeer bereid om aan het CBP te vragen of het college mij, voorafgaand aan de inwerkingtreding van de wet, in de gelegenheid wil stellen om de Kamer te informeren over de aangepaste beleidsregels op dit punt van de publieke voorlichting. Ik weet zeker dat de voorzitter van het college dat ook wil. 

De heer Van Nispen vroeg verder hoe hij een "inbreuk op beveiliging" moet zien. Het enkele tekortschieten van de beveiliging of een kwetsbaarheid in de beveiliging is op zichzelf geen datalek, maar er kan wel sprake zijn van een overtreding van de beveiligingsplicht die is opgenomen in artikel 13 van de Wet bescherming persoonsgegevens. Het college is dan bevoegd tot de handhaving van de beveiligingsplicht. Bij het recente voorval rond de energiemeter was een journalist met persoonsgegevens van een ander binnengekomen in het systeem waar de meetgegevens waren opgeslagen. Die actie levert dan strikt genomen wel een datalek op. Die journalist heeft daarmee tegelijkertijd een zwakke plek in de beveiliging blootgelegd. Dat is de zogenaamde responsible disclosure die dan plaatsvindt. 

Mevrouw Helder heeft gevraagd — de heer Van Wijngaarden en andere leden hebben dit ook gedaan — of het College bescherming persoonsgegevens voldoende expertise op het technologisch vlak heeft. De snelle technologische ontwikkelingen roepen voortdurend nieuwe vragen op die verband houden met de bescherming van persoonsgegevens. Het gaat dan om de verbinding tussen recht en technologie. Het vraagt ook om kennis op dat snijvlak van recht en technologie. Ik heb alle aanleiding om op dit moment te veronderstellen dat het college zich hiervan bewust is en dat er bereidheid bestaat om bij organisaties die meer knowhow hebben, zoals het Nationaal Cyber Security Centrum, expertise in te winnen. Anderzijds is er bij die organisaties bereidheid om die bijstand te verlenen. 

Mevrouw Oosenbrug vroeg mij op welke wijze gemelde lekken worden gebruikt om lessen uit te trekken en onveiligheid mee te bestrijden. 

De heer Van Wijngaarden (VVD):

Ik kom nog even terug op dat vorige punt. Waaruit bestaat de bereidheid om expertise in te winnen? 

Staatssecretaris Teeven:

Er is bereidheid bij het college om expertise in te winnen als het daarover geen beschikking heeft en er is bereidheid bij het Nationaal Cyber Security Centrum en andere organisaties, onder meer bij de Nationale Recherche, om het college te informeren over kennis en knowhow die aanwezig is. Er is dus wederzijds bereidheid om technologische kennis uit te wisselen als dit noodzakelijk is. 

De heer Van Wijngaarden (VVD):

Ik hoor de staatssecretaris dus ook onderschrijven dat hij zich heel goed kan voorstellen dat die noodzakelijkheid er is. 

Staatssecretaris Teeven:

Dat zou kunnen, maar het is uiteraard aan het college om dat te beoordelen. Ik heb wel geverifieerd of er bereidheid is om de expertise, die noodzakelijkerwijze moet worden ingeleend of verkregen, ook aan de andere zijde te verstrekken. Er zijn op dat punt geen belemmeringen. 

Mevrouw Helder (PVV):

Bereidheid is altijd mooi, maar is daartoe ook een mogelijkheid? Ik weet niet hoe het werkt. Is er financiële ruimte of moet die nog gemaakt worden? Als die ruimte er is, is de bereidheid voldoende. Ik wil dat toch nog graag even scherp horen. 

Staatssecretaris Teeven:

Naar mijn mening zijn er ook structurele gelden bij geplust bij het College bescherming persoonsgegevens. De heer Schouw heeft dit twee jaar geleden nog geregeld. Ik heb geen aanleiding om te veronderstellen dat het budget van het college niet voldoende is. 

Mevrouw Helder (PVV):

Van die andere organisaties ook niet? Ik doelde ook op het NCSC. 

Staatssecretaris Teeven:

Zeker. Het Nationaal Cyber Security Centrum heeft in de begroting ook een bepaald bedrag opgenomen. Er is absoluut capaciteit, knowhow en kunde aanwezig om de kennis, indien noodzakelijk, met het college te delen. 

Dan kom ik op de vraag van mevrouw Oosenbrug over de lessen die kunnen worden getrokken. Het is de reguliere werkwijze van het college om signalen uit de samenleving te monitoren. Signalen kunnen ook aanleiding zijn om het beleid van het college aan te passen. Dit kan ook het geval zijn bij meldingen van datalekken. Als een bepaald soort lek heel vaak voorkomt, kan dat voor het college aanleiding zijn om er extra aandacht aan te besteden. Er kan ook informatie worden uitgewisseld met andere autoriteiten, ook internationaal. Dit wetsvoorstel geeft het CBP ook de bevoegdheid om afspraken te maken met andere toezichthouders en om samenwerkingsprotocollen vast te stellen. Met de ACM is al een dergelijk samenwerkingsprotocol gesloten. 

Op de werklasteffecten ben ik al ingegaan. De heer Van Nispen heeft gevraagd waarom ik ervan uitga dat die summier zullen zijn. Ik zal het meenemen in de wettelijke evaluatie. Het is een goede zaak om dat ook tussentijds te monitoren. De werklast waarvan ik nu denk dat hij summier is, kan in de komende jaren aanzienlijk toenemen. Je kunt dat niet uitsluiten. Ik denk het niet, maar ik weet dat niet zeker. In het reguliere overleg dat wij halfjaarlijks met het college hebben, zullen wij daarnaar kijken. 

Ik zou nog ingaan op de naamswijziging. Daar heb ik in het begin van mijn termijn al even over gesproken. "Gegevensbescherming" is principieel een veel ruimer begrip dan "persoonsgegevens". Het wetsvoorstel verandert naar mijn oordeel helemaal niets aan de taakopdracht van het college. Primair houdt het toezicht en blijft het toezicht houden op de bescherming van persoonsgegevens. In de verordening wordt ook gesproken over toezichthouders op persoonsgegevens. Ik hecht eraan om dat even te melden. Ik denk dus dat we aan die naamswijziging niets moeten veranderen. 

De heer Segers heeft mij gevraagd wanneer de wet wordt geëvalueerd. De wet en de werking ervan worden binnen één jaar geëvalueerd, maar we hebben net met elkaar besproken dat het goed zou zijn om het binnen vijf jaar te doen. Dit is de hoofdlijn: de verordening treedt binnen een bepaalde periode in werking na de verordening of los daarvan, de verordening treedt niet binnen vijf jaar in werking op nationaal terrein. 

De heer Van Nispen heeft gevraagd waarom de verantwoordelijke zelf geen registratie moet bijhouden van de inbreuk op de beveiliging. De verplichting om binnen de organisatie een registratie bij te houden van alle inbreuken, ernstige of minder ernstige, vormt een behoorlijke administratieve last. Scholen en zzp'ers vallen bijvoorbeeld ook onder de reikwijdte van dit wetsvoorstel. Zo'n registratie moet volgens mij echt een toegevoegde waarde hebben, anders moeten we het niet doen. Ik heb al de algemene beveiligingsverplichting genoemd die in artikel 13 van de Wbp is opgenomen. Daaruit vloeit ook voort dat de verantwoordelijke procedures moet hebben voor het tijdig en effectief behandelen van beveiligingsincidenten. Daar ziet het CBP ook op toe. Ik heb alle respect voor de aandacht die de heer Van Nispen heeft voor dit onderwerp, maar ik vind dat een registratieplicht geen of onvoldoende toegevoegde waarde heeft. 

Voorzitter, ik heb de vragen tot zover allemaal beantwoord. 

De heer Segers (ChristenUnie):

Ik kom even terug op de samenwerking en de uitwisseling van informatie met het Nationaal Cyber Security Centrum. De staatssecretaris zegt dat er aan beide kanten bereidheid is om gebruik te maken van elkaars kennis. Heb ik dat goed begrepen? Ik zie de staatssecretaris knikken. Waar ligt de verantwoordelijkheid? Er zou namelijk ook een register moeten worden bijgehouden. Er moeten richtlijnen worden opgesteld. Het is de vraag of het college daarvoor de aangewezen figuur is. 

Staatssecretaris Teeven:

Ik denk wel dat het college de aangewezen instantie is daarvoor. Dat moeten we met elkaar afspreken. Als het technologische bijstand nodig heeft, kan het met andere instanties samenwerken om die bijstand op peil te krijgen. 

De heer Segers (ChristenUnie):

Ik kan me voorstellen dat het college op waardeniveau of op uitgangspuntenniveau richtlijnen kan uitvaardigen en kan zeggen waar een en ander aan moet voldoen. Als het echt om heel specifieke techniek gaat, ligt het volgens mij meer op het bordje van het Nationaal Cyber Security Centrum. Is dat ook de interpretatie van de staatssecretaris? Ik denk dat men daar in de praktijk mee uit de voeten kan. 

Staatssecretaris Teeven:

We moeten de bevoegdheid laten daar waar zij hoort, bij het college, bij de autoriteit. Als er expertise moet worden ingewonnen, moet het college dat doen. 

De voorzitter:

Ik dank u voor uw antwoorden in eerste termijn. Wij zijn toegekomen aan de tweede termijn van de zijde van de Kamer, met als eerste spreker de heer Schouw. 

De heer Schouw (D66):

Voorzitter. Ik dank de staatssecretaris, die verantwoordelijk is voor het privacybeleid in dit land, voor zijn uitvoerige beantwoording van vragen over het wetsvoorstel. Mijn fractie is blij en verheugd dat het er eindelijk van is gekomen en dat we het op deze mooie donderdagavond kunnen behandelen. We hebben er veel over gevraagd. Het is goed dat we er nu, in het begin van 2015, een klap op kunnen geven. Ik hoop althans dat we dat aanstaande dinsdag kunnen doen, zodat het naar de overkant kan. 

Er is veel gesproken over de vraag of het een organisatie met tanden wordt. Een pitbull mocht het niet worden, maar een schoothondje willen we ook niet. Het zit er ergens tussenin. Ik kan mij toch niet onttrekken aan het beeld van de labrador. Je komt twee soorten labradors tegen: de luie labrador die een allemansvriend en een vriend van het bedrijfsleven is en de actieve labrador die jaagt en signaleert en van wie een waarschuwende werking uitgaat. Ik hoop dat we die laatste soort met elkaar hebben gecreëerd. 

Ik ben blij met de coulante houding van de staatssecretaris tegenover de door de Kamer ingediende wijzigingsvoorstellen. Van een groot aantal van die wijzigingsvoorstellen wordt het wetsvoorstel volgens mij namelijk beter. In mijn eerste termijn heb ik twee belangrijke verbeterpunten genoemd. Aan een belangrijk verbeterpunt, het amendement-Segers/Schouw, is tegemoetgekomen. Daarvoor dank ik de staatssecretaris. Het andere verbeterpunt blijft nog staan, maar ik kan mijn knopen tellen. Wij zullen dus moeten nagaan hoe het in de praktijk uitwerkt. 

Ik heb nog wel een vraag over de omvorming van het amendement-Segers. De staatssecretaris heeft gezegd: we gaan het amendement zo omvormen dat de term "in overleg" betekent dat de goedkeuring materieel bij het College bescherming persoonsgegevens komt te liggen. Hoe denkt de staatssecretaris die term "in overleg" in te vullen? Als je namelijk op je strepen blijft staan en de andere partij niet tegemoet wilt komen, en als wij nu afspreken dat we de term "in overleg" vastleggen in de wet, kan het weleens tot sint-juttemis duren voordat je een richtlijn hebt. Ik denk dat het goed is voor de wetsgeschiedenis als de staatssecretaris daarover iets zegt, want daar ontstaat vaak gedoe over. 

De voorzitter:

Daarmee bent u, denk ik, aan het einde van uw termijn. 

De heer Schouw (D66):

Nee, dat ben ik nog niet, maar ik zie de heer Van Wijngaarden zo leuk dansen bij de interruptiemicrofoon. 

De voorzitter:

Dan zullen wij de heer Van Wijngaarden vragen om zijn vraag te stellen. 

De heer Van Wijngaarden (VVD):

Ik dank de heer Schouw voor het compliment. Hij heeft vanavond een hele bloemlezing gegeven waarin allerlei honden de revue passeerden. Hij heeft er net nog een paar aan toegevoegd. Het is belangrijk, ook voor de geschiedenis, om aan te geven dat ook wij een heel assertieve privacywaakhond willen die kan blaffen en bijten. Daarover zijn wij het gewoon eens. Is de heer Schouw nu gerustgesteld, na de interpretatie die de staatssecretaris heeft gegeven aan ons amendement? Ik proefde namelijk nog wat ongerustheid. 

De heer Schouw (D66):

Ik kom nog even terug op de honden, voor de feitelijke geschiedenis. De heer Van Wijngaarden is begonnen met het noemen van honden. Hij verklaarde achter het katheder dat de VVD-fractie geen pitbull wil. Dat vond ik overigens een heel opmerkelijke uitspraak, want ik dacht altijd dat de VVD-fractie een waakhond met tanden wilde. Het moest echter geen pitbull worden. Dat heeft mij wel aan het denken gezet, niet alleen over de manier waarop de VVD tegen privacy aankijkt, maar ook over de achtergrond van het amendement van de heer Van Wijngaarden. Ik ben daar wantrouwig over. Ik heb echter net, toen de heer Van Wijngaarden hier even niet was, gezegd dat ik mijn knopen kan tellen. De naam van de PvdA-woordvoerster staat ook onder het amendement en dan heb je een meerderheid; dat snap ik wel. Ik kom hier straks even op terug om te bezien hoe wij hiervoor misschien wat waarborgen kunnen inbouwen. Ik had het echter liever niet gehad. 

Ik sprak over de term "in overleg". Bij mijn weten — ik hoop dat ik het goed zeg en dat ik het wetsvoorstel goed heb begrepen — moeten ook vijf andere richtlijnen dan opnieuw, in overleg met de staatssecretaris, worden besproken. Dat betreft de bestaande richtlijnen, die het CPB nu hanteert. Ik zie de staatssecretaris vragend kijken, maar volgens mijn informatie zouden ook de bestaande richtlijnen uit het oude, nog niet geamendeerde voorstel goedgekeurd moeten worden door de minister. Als we het amendement straks veranderen, betreft de term "in overleg" dan ook de bestaande voorstellen? 

Ik vraag voorts aan de staatssecretaris of bij de verdere invulling van de richtlijnen ook gesproken wordt met de FNV. Het is wel heel bijzonder dat ik dit moet zeggen. Het valt mij op dat vooral geluisterd is naar de kritiek van VNO-NCW. We hebben een brief gekregen van de FNV. Zij schrijft daarin: wij zijn er ook om de werknemers te beschermen; met ons is niet gesproken in het voortraject, terwijl werknemers soms ook last hebben van bazen die hen bespieden. Zij voelen zich daardoor in hun privacy aangetast. Ik wil de staatssecretaris dus aanmoedigen om ook die partij daarbij te betrekken. 

Ten aanzien van de naamgeving wil ik het volgende zeggen. Als je grote dingen regelt, moet je niet zeuren over ondergeschikte zaken, maar ik vind het wel een beetje een gemiste kans. Het wordt nu Autoriteit persoonsgegevens. Het gaat er echter om dat die autoriteit bedoeld is om de persoonsgegevens te beschermen. Dat is de taak: beschermen. Op de een of andere manier had dat tot uitdrukking moeten komen in de naam. Daarmee geef je ook aan wat de activiteit is. Ik vind dat dus een gemiste kans. Ik dien daar geen amendement over in, maar het zou beter zijn om het aspect bescherming in de naam mee te nemen. 

Tot slot kom ik op de evaluatie. Daar is over gesproken. Moet die na drie of vier jaar plaatvinden en vindt die dan plaats in het kader van Europa? Enfin, dat is mij niet helemaal helder. Daarom leg ik samen met de heer Segers, mijn maatje, mijn gelegenheidscollega op dit belangwekkende dossier, de volgende motie voor aan de regering. 

Motie

De Kamer, 

gehoord de beraadslaging, 

overwegende dat de Wet meldplicht datalekken en boetebevoegdheid het College bescherming persoonsgegevens de mogelijkheid geeft om een bestuurlijke boete op te leggen en vereist dat de verantwoordelijken voor gegevensverwerking, datalekken moeten melden en een registratie moeten bijhouden van datalekken die zich voordoen; 

verzoekt de regering, de Wet meldplicht datalekken en boetebevoegdheid binnen vier jaar na inwerkingtreding te evalueren op in elk geval: 

  • -de naleving van de meldplicht; 

  • -de toepassing en de effectiviteit van de boetebevoegdheid; 

  • -de administratieve lasten en de nalevingskosten voor gegevensverwerkers; 

  • -de aansluiting van de wet op Europese regels over gegevensbescherming; 

en de Kamer daarover te informeren, 

en gaat over tot de orde van de dag. 

De voorzitter:

Deze motie is voorgesteld door de leden Schouw en Segers. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund. 

Zij krijgt nr. 20 (33662). 

De heer Schouw (D66):

Tegen de heer Van Wijngaarden zeg ik het volgende. Als het amendement dat hij samen met mevrouw Oosenburg heeft ingediend, wordt aangenomen — en dat zal wel — dan valt ook het effect van wat in mijn ogen een beperking is, onder deze evaluatie. We gaan dan echter bekijken hoe dat uitvalt. 

Mevrouw Helder (PVV):

Voorzitter. Ik dank de staatssecretaris voor de uitgebreide beantwoording. Ik rondde mijn eerste termijn af met de conclusie dat het wetsvoorstel goedbedoeld is, maar dat het naar de mening van mijn fractie duidelijk op twee gedachten hinkt. Enerzijds krijgt de toezichthouder meer tanden, maar anderzijds zal hij daar naar alle waarschijnlijkheid niet voldoende mee kunnen bijten. Naar aanleiding van de antwoorden van de staatssecretaris in eerste termijn kwam ik tot de conclusie dat de drempel voor de meldplicht inderdaad is verhoogd. Het moet gaan om een lek of inbreuk die daadwerkelijk ernstige gevolgen heeft gehad in plaats van om een ernstige inbreuk waarvan redelijkerwijs kan worden aangenomen dat hij leidt tot de aanmerkelijke kans op verlies van persoonsgegevens. Wat mijn fractie betreft, is dat jammer. Daarentegen heeft de staatssecretaris een aantal amendementen omarmd, waaronder een amendement waarin wordt geregeld dat het gaat om de aanzienlijke kans op ernstige, nadelige gevolgen. Daarmee wordt de drempel dus weer verlaagd. Daar ben ik positief over. 

Er is voorts een drempel met betrekking tot de bewijslast. Mijn fractie vroeg zich af hoe het CBP kan aantonen dat het opzet is. Die drempel was, wat mijn fractie betreft, te hoog. Ook op dat gebied heeft de staatssecretaris een amendement omarmd. Hij heeft voorts gezegd dat het gaat om opzet in de voorwaardelijke vorm. Daarmee wordt de drempel natuurlijk ook al enigszins verlaagd. 

Ten slotte heeft de staatssecretaris een amendement omarmd dat gaat over ernstige, verwijtbare nalatigheid, waaronder onachtzaam of onoordeelkundig handelen valt, Daarmee wordt de drempel ook verlaagd. 

Dat brengt mij tot de conclusie dat het wetsvoorstel met die amendering meer tanden geeft aan het CBP. Ik eindig dan ook met de opmerking dat ik mijn fractie positief zal adviseren. 

De heer Van Nispen (SP):

Voorzitter. Ik heb in eerste termijn ruim de tijd genomen, dus ik kan het nu een heel stuk korter houden. Ik benadruk nogmaals dat de SP dit een wet vindt met heel goede doelstellingen. Het introduceert een meldplicht datalekken en het introduceert een boetebevoegdheid met een ruime boete. Daar had de SP ook al langer op aangedrongen. Dat was dus sowieso al goed. 

De SP was kritisch over de uitwerking, maar er zijn op belangrijke punten amendementen ingediend. Daar is heel goed op gereageerd door de staatssecretaris. Dat mag ook wel eens gezegd worden. Wat dat betreft, sluit ik mij dus aan bij de woorden van collega Helder. 

De ministeriële goedkeuring vooraf was ook voor mijn fractie een belangrijk punt. Dat zal wellicht nog worden gewijzigd in voorafgaand overleg. Dat vind ik een belangrijk punt. Ik noem voorts de verruiming van het bereik van de meldplicht en het meteen kunnen trekken van de rode kaart. Dat zijn heel goede en noodzakelijke verbeteringen. Ik benadruk nogmaals dat mijn fractie die amendementen zeker zal steunen, zodat we inderdaad die waakhond met tanden krijgen die we met z'n allen willen. 

Ik heb in eerste termijn een heleboel vragen gesteld over het begrip "ernstig". De staatssecretaris heeft een aantal criteria en denkrichtingen genoemd en vroeg ons om daarop te reflecteren. Het ging daarbij om de aard en omvang van het lek, de gevoeligheid van de gegevens en de aard van de doorbreking van de beveiliging. Ik steun die. Ik kan daar vanuit mijn eigen gedachten nog aan toevoegen: de aard van de in werking getreden gevolgen voor de slachtoffers van een datalek, de tijdigheid van het melden en/of de pogingen die door de verantwoordelijken zijn ondernomen om de schade te beperken. Dat zijn mogelijke aanvullingen daarop. 

Over de inbreuk op de beveiliging heeft de staatssecretaris ook het een en ander gezegd. Ik vraag hem toch om specifiek in te gaan op mijn twee voorbeelden waarin het ging over de vraag wanneer er nu sprake is van een inbreuk op de beveiliging. Is dat bijvoorbeeld ook als ziekenhuispersoneel het wachtwoord kent van de arts? Dat was een voorbeeld waarbij er misschien geen sprake is van een datalek. Een ander voorbeeld was de werkgever die zich toegang verschaft tot de computer van de werknemer. Dan is er misschien geen beveiliging doorbroken, maar zegt de staatssecretaris hier nu toch dat er andere mogelijkheden zijn om daartegen op te treden, dus dat dat dan als het ware hetzelfde effect heeft? 

Tot slot heb ik iets recht te zetten, want ik had in eerste termijn gezegd dat het College bescherming persoonsgegevens 125 mensen in dienst heeft. Het is nog erger dan ik dacht, want het zijn er slechts 80. Ik had de klassieke fout gemaakt door in de haast het CPB in te voeren. Daar werken namelijk 125 mensen. Dat is wel erg knullig. Het zijn er dus echt 80 die bij het CBP werken. Ik heb de staatssecretaris goed gehoord dat hij in de gaten zal houden of dat voldoende mensen zijn, ook met deze wet in de hand. Ik zou nog wel, al hoeft dat niet per se vanavond, een keer een vergelijking willen zien met de privacywaakhonden in andere landen. Hoe zit het daar verhoudingsgewijs met de omvang van die privacywaakhonden en het aantal mensen dat daar in dienst is? 

Goed dat we gaan evalueren. Ik heb de motie goed gehoord. Die vind ik wederom sympathiek. 

De heer Bisschop (SGP):

Voorzitter. Ik wil allereerst de staatssecretaris danken voor zijn gedegen beantwoording en op een aantal punten ook voor zijn positieve adviezen op amendementen die zijn ingebracht, waardoor sommige zaken net even iets worden aangescherpt. Wij stonden positief tegenover het voorstel dat voorlag. Een aantal amendementen zullen wij in ieder geval steunen. We moeten daarin nog als fractie een definitief standpunt innemen, maar dat verbetert het wetsvoorstel verder, zodat het nog meer aan het doel beantwoordt waarom het is ingediend. 

Het is en blijft, zoals wij allemaal merken, ook een beetje een zoektocht hoe je het goed formuleert en waar je de grenzen legt. Daarom is het goed om niet al te lang te wachten met een evaluatie om goed te bekijken of we de dingen nu goed hebben geregeld, zodat we daar zo nodig nog een verbeterslag in kunnen maken. 

Ik heb verder geen moties of amendementen, maar dank voor de gelegenheid om het woord te voeren. 

De voorzitter:

U dank voor het voeren van het woord. 

De heer Van Wijngaarden (VVD):

Voorzitter. Ik dank de staatssecretaris voor zijn constructieve grondhouding vanavond. We hebben vanavond gezocht naar evenwicht tussen democratische controle en vertrouwen in het College bescherming persoonsgegevens. We hebben gezocht naar evenwicht tussen slagkracht en rechtszekerheid. Ik denk dat we dat ook in belangrijke mate hebben gevonden. 

Ik wil ook die leden danken die met een constructieve grondhouding kijken naar de amendementen. Ik wil de grootst mogelijke waardering uitspreken voor de inzet en de betrokkenheid van het CBP zelf en de 80 mensen die daar naar we net hebben begrepen werken, omdat we daar in de voorbereiding van dit debat heel veel van hebben gemerkt en gezien. Daaruit spreekt vooral heel veel betrokkenheid en deskundigheid, dus ik wens hen ook succes bij het uitoefenen van hun taak, en het CBP als instituut met haar rol als bewaker van het belangrijke grondrecht op privacy. Ongetwijfeld zal dat soms nog tot spanning gaan leiden, zowel met overheden als met bedrijven. Ik denk overigens iets meer spanning met overheden dan met bedrijven, aangezien bij de eerste categorie meer gevoelige persoonsgegevens liggen. Maar die spanning is ook precies wat we zoeken. Ik zou zeggen: zonder wrijving geen glans. Ik hoop op een voorspoedige behandeling in de Eerste Kamer. 

De heer Segers (ChristenUnie):

Voorzitter. Ik wil de staatssecretaris bedanken voor de reactie, voor de vruchtbare uitwisseling van argumenten en voor de behandeling van de amendementen. Maar ik wil ook u feliciteren, voorzitter. Op 5 juli 2012 is er een motie ingediend met als eerste ondertekenaar de heer Recourt. Hij was heel ambitieus. Hij vroeg om uiterlijk voor 1 januari 2013 de boetebevoegdheid van het college te regelen. Dat was heel ambitieus. Het is ietsje later geworden, maar we kunnen vanavond vaststellen dat er brede steun is voor wat toen in die motie is vastgelegd en dat dit nu in wetgeving wordt vastgelegd. Dat is ook een felicitatie waard. U blijft heel neutraal kijken. 

De voorzitter:

Ik ben nu voorzitter en geen Kamerlid. Desalniettemin is mijn baan als Kamerlid heel duidelijk. 

De heer Segers (ChristenUnie):

Prima. Ik wil het wel markeren, want het laat ook zien dat je soms geduld moet hebben en dat het soms wat langzamer gaat dan je zou willen, maar dat het resultaat er uiteindelijk mag zijn. 

Ik dank de staatssecretaris voor de reactie op het amendement. De aanpassing ligt klaar. Mijn kompaan als het gaat om privacy — laat ik het ook eens op zijn Brits uitspreken — heeft nog wat vragen gesteld over het overleg. Misschien is het goed als de staatssecretaris die vragen beantwoordt voordat we het amendement indienen. Dat ligt namelijk klaar. 

Ik heb een laatste vraag over het overleg tussen het college en het Nationaal Cyber Security Centrum en de versleutelingstechniek. Daar leefden zorgen over bij het college: kunnen wij datgene wat aan ons wordt gevraagd; worden wij niet overvraagd als het gaat om die techniek? De staatssecretaris heeft gezegd dat er over en weer goed overleg moet zijn. Het zou misschien goed zijn om nog eens even met het college om de tafel te gaan zitten en te bespreken hoe er goede werkafspraken kunnen worden gemaakt. Zo kan ook aan dat onderdeel op een goede manier uitvoering worden gegeven. 

Tot slot dank ik de staatssecretaris voor de toezegging om te evalueren. Ik heb op dit punt samen met collega Schouw nog een precisering gegeven. Wellicht komen we daar uit. Als deze wet van wal steekt, laten we hem dan op gezette tijden kritisch tegen het licht houden en bekijken of hij doet wat hij moet doen. 

De voorzitter:

Mijnheer Segers, nogmaals dank voor het compliment. Dat zeg ik mede namens de heer Schouw, die indertijd medeondertekenaar was en de andere medeondertekenaar. Ik weet niet meer precies wie dat was. Was u ook medeondertekenaar, mevrouw Helder? 

Mevrouw Helder (PVV):

Nee, de heer Elissen. 

De voorzitter:

Dat was dus de heer Elissen van de PVV. 

De heer Oskam (CDA):

Voorzitter. Ook ik dank de staatssecretaris voor de vlotte en duidelijke beantwoording. Het is goed om te zien dat we, ondanks dat we er verschillend tegenaan keken, zeg ik enigszins genuanceerd, met elkaar hebben geprobeerd om deze wet sterker te maken en aan te scherpen. Gelukkig is er geen onnodige administratieve ballast voor de organisaties, ook niet voor het CBP zelf. Ik denk dat het CBP voldoende gereedschap heeft om de komende jaren zijn taak uit te voeren. 

De staatssecretaris heeft voorgesteld om het amendement-Segers/Schouw op stuk nr. 13 te wijzigen. Mijn inschatting is dat dit amendement het in gewijzigde vorm wel gaat halen. Dat betekent dat de staatssecretaris of de minister een adviserende rol krijgt. Om te proberen daar invulling aan te geven en om als Kamer te helpen bij het vormgeven van de jurisprudentie, heb ik samen met collega Bisschop een motie opgesteld. Die zal ik zo voorlezen. 

Het is jammer dat de voorwaardelijke boete niet mogelijk is in het systeem van bestuursrecht, aangezien soms een boete onnodig is of niet proportioneel en een bindende aanwijzing niet altijd nut heeft. Dan zou je eigenlijk een ander soort waarschuwing moeten hebben. Maar goed, de staatssecretaris heeft gezegd dat de last onder dwangsom ook een mogelijkheid is. Ik hoop dat die passend wordt ingezet. We weten er niet zo veel van. Om wat voor bedragen gaat het dan bij die dwangsommen? Hoe gaat dat in de praktijk? 

Ik dien de volgende motie in. 

Motie

De Kamer, 

gehoord de beraadslaging, 

overwegende dat het CBP in nadere richtlijnen duiding geeft aan de invulling van de wijze waarop onder meer de boetebevoegdheid zal worden uitgevoerd en dat de regering een adviserende rol heeft ten aanzien van de invulling van deze richtlijnen; 

overwegende dat gezien de proportionaliteit van de boetebevoegdheid het van belang is dat dat het CBP rekening houdt met alle omstandigheden van het geval; 

overwegende dat een omstandigheid van het geval kan bestaan uit het feit dat de betreffende gegevens niet door derden zijn ingezien en daarmee de privacybelangen van betrokken niet daadwerkelijk zijn geschaad; 

verzoekt de regering, het CBP te adviseren in zijn richtlijnen rekening te houden met deze omstandigheid, 

en gaat over tot de orde van de dag. 

De voorzitter:

Deze motie is voorgesteld door de leden Oskam en Bisschop. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund. 

Zij krijgt nr. 21 (33662). 

Mevrouw Oosenbrug (PvdA):

Voorzitter. Ik begin meteen met een bekentenis: ik ben veel meer een kattenmens. Met dat geklets over die honden heb ik het nu wel een beetje gehad. Ik zat zelf ook wat door te filosoferen en dacht: katten zijn lekker eigenwijs en eigengereid. Je kunt ze aanhalen, maar als het mis gaat, delen ze wel een tik uit. Dat is wat ik het CBP toewens met de wetgeving die voorligt. 

De Partij van de Arbeid zat nog een beetje op de wip wat betreft het amendement over de ministeriële toetsing. Eigenlijk is het voor ons op deze manier heel chic opgelost. Het scheelt weer een debat. 

Ik dank de staatssecretaris voor zijn goede en duidelijke beantwoording en ook voor de verheldering van dit wetsvoorstel. Ik kijk erg uit naar de evaluatie en ik feliciteer ook de voorzitter. 

De voorzitter:

Dank u wel. 

De staatssecretaris gaat meteen antwoorden. 

Staatssecretaris Teeven:

Voorzitter. Ik dank de leden voor hun opmerkingen in tweede termijn. Wij hebben een constructief debat gevoerd, waarin veel problemen die nog waren blijven liggen, zijn opgelost. De amendementen maken het wetsvoorstel steviger en naar mijn oordeel uiteindelijk ook beter. Ik denk dat wij de balans waar sommige leden over spraken en waar ikzelf ook over heb gesproken, hebben kunnen handhaven. Dat wordt meegegeven aan het college. Ik zie de voorzitter van het college op de tribune en hij knikt dat ook hij beseft dat de balans altijd zeer aanwezig moet zijn. 

De heer Schouw sprak over passieve en actieve labradors. Ik zal er verder niet op ingaan. Ik voel me zelf altijd meer thuis bij de passieve labrador, de zogenaamde allemansvriend. Dat is de typering die ik bij mij zelf altijd een beetje zie, maar daar kun je ook verschillend over denken. 

Ik moet nog een opmerking maken van technische aard, die ik eigenlijk in de eerste termijn had moeten maken. Er komt nog een derde nota van wijziging. Ik zeg dat opdat de leden daar niet door verrast worden. Het zijn enkele wetstechnische aanpassingen die moeten plaatsvinden omdat er nog een aantal omissies zitten in het wetsvoorstel. Wij zullen die derde nota van wijziging voor de stemmingen toesturen. Dan zult u zien dat deze alleen betrekking hebben op technische zaken. 

De heer Schouw (D66):

Als je begint met "allemansvriend" is het al ongeloofwaardig. Wij moeten heel precies zijn wat de technische wijzigingen betreft. Die wil ik echt uiterlijk maandag om 12.00 uur hebben. 

Staatssecretaris Teeven:

Geen enkel probleem. Ik kan toezeggen dat de nota van wijzigingen voor morgenmiddag 17.00 uur in de mailbox van de Kamerleden ligt, zodat men er nog naar kan kijken. Ik zie dat er ook instemmend geknikt wordt in de ambtenarenloge, dus dat gaan wij regelen. 

De heer Schouw heeft mij gevraagd om een reactie op het aangepaste amendement dat op dit moment in concept voor mij ligt. Ook de heer Segers refereerde daaraan. Op grond van het aangepaste amendement zou artikel 67 als volgt luiden: "Het College overlegt voorafgaand aan het vaststellen van een beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen met Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties". Er staat dus inderdaad dat het college overleg pleegt voorafgaande aan het vaststellen van een beleidsregel. Er wordt niet meer of minder bedoeld in het amendement. Voorafgaande aan het vaststellen van beleidsregels gaat de voorzitter van het college in gesprek, maar uiteindelijk beslist het college over de richtsnoeren. Het criterium is ook "na overleg" en niet "in overleg". Er wordt dan ook nadrukkelijk gezegd: "gaat in overleg met". Dat is belangrijk. 

De andere vraag van de heer Schouw betreft de vijf andere richtlijnen die op dit moment al bestaan. De wet heeft geen terugwerkende kracht en geldt dus niet voor reeds vastgestelde richtsnoeren. Daarmee heb ik die vraag meteen beantwoord. 

De heer Schouw heeft ook de motie op stuk nr. 20 ingediend. In deze motie wordt gevraagd om vier jaar na de inwerkingtreding in elk geval een aantal punten te evalueren. Daar bestaat geen bezwaar tegen. Het is een ondersteuning van mijn eerdere verhaal. De evaluatie zou eerder kunnen plaatsvinden, gelet op hetgeen in het wetsvoorstel wordt gezegd over de verordening, maar ik denk dat dit niet het geval zal zijn. Er zal eerder vier jaar dan twee jaar na de inwerkingtreding van de verordening worden geëvalueerd. Dat is mijn schatting. Ik laat het oordeel over deze motie aan de Kamer. Ik heb er geen probleem mee. 

Ik dank mevrouw Helder voor haar opmerkingen en voor het advies dat zij haar fractie over het wetsvoorstel zal geven. Ik deel haar waarneming dat het wetsvoorstel vanavond aan kracht heeft gewonnen. Het is goed om dat vast te stellen. 

De heer Van Nispen sprak over de criteria die van belang zijn in de gevallen waarin sprake is van ernstige gevolgen. Een criterium is de tijdigheid van het melden, want als men niet tijdig meldt, kunnen de gevolgen ernstiger worden. Dat kan een omstandigheid zijn die daarop van invloed is. Een ander criterium is de aard van de gevolgen voor degenen die bescherming behoeven. Als men langer wacht met melden, heeft dat gevolgen voor de slachtoffers en heeft dat ook invloed op de ernst van die gevolgen. Dat geldt eveneens voor de pogingen om de schade te beperken. Dat is in lijn met wat de heer Oskam in zijn bijdrage in eerste termijn opmerkte: als je alles doet om de schade te beperken, zal het college goed moeten nadenken over het komen met een bestraffing. Dat is de andere kant van het verhaal. Het kan dus ook matigend werken op de ernstige gevolgen. 

De heer Van Nispen heeft twee voorbeelden genoemd. Het eerste betrof ziekenhuispersoneel dat het wachtwoord van de arts gebruikt, het tweede betrof een werkgever die zich toegang verschaft tot de computer van een werknemer. In beide gevallen wordt tegen interne voorschriften gehandeld. Ik kan mij niet anders dan voorstellen dat elke zichzelf respecterende werkgever eist dat wachtwoorden niet te simpel mogen zijn. Er is in het eerste voorbeeld niet zozeer sprake van een datalek, maar van schending van interne voorschriften. In eerste instantie liggen dan disciplinaire maatregelen voor de hand. In de tweede casus, waarin een werkgever zich toegang verschaft tot de computer van een werknemer, ligt de zaak ingewikkelder. Het beoordelen van deze casus hangt af van de omstandigheden, die van geval tot geval kunnen verschillen. Een dergelijke casus zou nu al bij wijze van klacht aan het CBP kunnen worden voorgelegd. Deze casus is heel specifiek en vraagt om een nadere beoordeling door het college. Ook artikel 13 van de bestaande Wet bescherming persoonsgegevens kent al een mogelijkheid om beveiligingsmaatregelen aan de orde te stellen bij het college. 

De heer Van Nispen vroeg nog iets wat ik eigenlijk opvat als verzoek om informatie. Hij noemde de 80 fte's van het college en vroeg hoe de privacywaakhond er in andere landen uitziet. Ik zal dat inventariseren en de Kamer daarover informeren. Het lijkt mij van belang om dat ook mee te nemen bij de evaluatie. Dan verwacht ik in ieder geval de heer Schouw en wellicht ook de heer Van Nispen en anderen weer aan mijn bureau, als die tijd mij nog gegeven is, om bij de begroting weer extra middelen te claimen. 

Dan kom ik bij de SGP-fractie. Ik dank de heer Bisschop voor zijn opmerkingen. De heer Bisschop zei heel terecht: hoe formuleer je het goed? Dat bleek vanavond ook bij de bespreking van de criteria. De heer Van Nispen heeft daar iets over gezegd in tweede termijn, ik heb er zelf in mijn eerste termijn een aantal genoemd. Dat acht ik wel heel belangrijk, ook in de lijn waarlangs het college die richtsnoeren en die beleidsregels gaat vaststellen. Dat zijn dan toch richtsnoeren voor het college, die je vandaag ook als medewetgever meegeeft. Ik denk dat het goed is dat we die formulering scherp krijgen. Dat geldt ook voor de jurisprudentie die het college gaat vormen met dit gewijzigde wetsvoorstel. 

Dank voor de opmerkingen van de heer Van Wijngaarden. Het is goed dat hij een compliment uitdeelde voor de betrokkenheid van het College bescherming persoonsgegevens en de medewerkers daarvan. Wij zeggen op het ministerie weleens, of ik kan beter zeggen: ik zeg op het ministerie weleens, soms tegen mezelf op mijn kamer, soms ook tegen anderen, dat het lobbycircuit goed op orde is. Dat doet echter geen recht aan de betrokkenheid van de werknemers en de voorzitter van het college. Dat heeft de heer Van Wijngaarden wat meer fijntjes verwoord. Ik zal dat voortaan ook proberen te doen in mijn contacten met het college. 

Dan kom ik bij de heer Segers. Ik ben ingegaan op zijn gewijzigde amendementen en de vraagstelling. Het lijkt mij goed om vast te stellen dat uw voorzitter, de heer Recourt, daar niet als voorzitter, maar als Kamerlid een belangrijke bijdrage aan heeft geleverd. In de tussentijd heeft hij ook mij regelmatig opgejaagd. Het is mooi dat dit nu tot resultaat heeft geleid, dus ook van de zijde van het kabinet veel waardering voor het zo nauwlettend volgen van dit onderwerp. 

De heer Segers vroeg mij nog om aandacht te besteden aan de contacten die ik heb, via de minister dan wel rechtstreeks, met deskundigen op technisch gebied, om te borgen dat de bijstand die op sommige momenten aan het college moet worden gegeven, dan ook beschikbaar is. Ik zal daarover in overleg treden met de verantwoordelijken binnen de politiediensten en de Nationale Coördinator Terrorisme en Veiligheid en met de minister, en ik zal uw Kamer van een antwoord op dit punt voorzien. Die toezegging krijgt u van mij. We zullen dat meenemen in de brief aan de heer Van Nispen, waarin ik die inventarisatie maak. 

Dan kom ik bij de heer Oskam en zijn tweede termijn. Dank voor zijn opmerkingen op dit punt en voor zijn bijdrage, die ook de geest weer even heeft gescherpt. We hebben het bestuursrecht niet altijd en elke minuut scherp voor de geest, ik tenminste niet. Dan is het goed om een beetje uitgedaagd te worden om te bezien of er ook nog andere varianten zijn die bijvoorbeeld in het strafrecht wel voorhanden zijn. De heer Oskam heeft nog een motie ingediend, waarin de regering wordt verzocht om het CBP te adviseren in haar richtlijnen rekening te houden met deze omstandigheid. Ik laat het oordeel over deze motie aan uw Kamer. Ik vind die motie een ondersteuning van het beleid dat ik ook de afgelopen jaren al heb gevoerd en ik voel mij van de zijde van het kabinet in ieder geval gesterkt om dit nog eens onder de aandacht van het college te brengen. Ik laat het oordeel over die motie aan de Kamer. 

De heer Oskam vroeg nog om wat voor bedrag het gaat bij de last onder dwangsom. De Algemene wet bestuursrecht stelt als norm dat de bedragen in redelijke verhouding staan tot de zwaarte van het geschonden belang en tot de beoogde werking van de dwangsom. Het zijn dus geen vaste bedragen; zij kunnen in hoogte variëren. 

Ik dank tot slot ook mevrouw Oosenbrug voor haar inbreng. De opmerkingen die zij vanuit haar vorige dienstbetrekking heeft gemaakt, markeren scherp het verschil tussen onvolkomenheden op het terrein van beveiliging en de vraag wat nu een datalek is. Dat was een welkome aanvulling op de discussie van vanavond. Ook op dat punt hebben wij de zaak kunnen aanscherpen. 

Tot zover mijn tweede termijn. 

De algemene beraadslaging wordt gesloten. 

De voorzitter:

Ik dank de staatssecretaris en de Kamer voor deze zeer constructieve en positieve avond. Zo kan het ook. 

De stemmingen over de amendementen, het wetvoorstel en de motie zijn aanstaande dinsdag, in dier voege dat de nota van wijziging maandag vóór 12.00 uur bij de Kamer is ingediend.