4 Algemene verordening gegevensbescherming

Wij gaan praten over de Uitvoeringswet Algemene verordening gegevensbescherming. Een hartelijk woord van welkom aan de minister. Fijn dat u weer bij ons bent. Wij hebben voor dit debat zes sprekers van de zijde van de Kamer. De eerste spreker is mevrouw Buitenweg van de fractie van GroenLinks. Ik geef haar het woord. Zij heeft een spreektijd aangevraagd van tien minuten. Het woord is aan haar.

Dank u wel. Dan gaan we luisteren naar de heer Koopmans van de fractie van de VVD.

De heer Koopmans zegt dat er materieel niet zo veel verandert vanwege de beleidsneutrale bepaling. Maar kan hij zich voorstellen dat het, vanwege de eis dat je nu overal toestemming moet krijgen, bijvoorbeeld voor kinderen tot 16 jaar, in werkelijkheid wel degelijk net een iets andere situatie oplevert dan voorheen?

Zeker. De regels veranderen door de verordening die twee jaar geleden is vastgesteld en binnenkort van kracht wordt. Dat is een grote verandering. In die zin verandert er dus heel veel. De Uitvoeringswet die nu voorligt probeert eigenlijk zo weinig mogelijk nog daarbij te veranderen. Dat lijkt mij, gezien de rechtszekerheid nu, een goede keuze.

Maar bent u het met mij eens, zeg ik via de voorzitter, dat het er in de praktijk toch toe kan leiden dat er, juist als je niks verandert in Nederland, door de Europese regels die van kracht worden vanaf 25 mei een grote verandering kan zijn voor jongeren, zodat zij nu ineens wel toestemming moeten vragen voor het downloaden van verschillende apps, terwijl zij dat voorheen niet hoefden?

Ja. Daarom wil ik juist voorstellen — daar kom ik straks nog op — dat wij deze Uitvoeringswet voor de duidelijkheid nu beleidsneutraal en snel invoeren. Ik wil ook vragen aan de minister om op korte termijn — ik denk aan een paar maanden — te bekijken hoe het in de praktijk werkt. Ik wil hem ook vragen om te kijken of er nog aanpassingen gedaan kunnen en moeten worden op specifieke punten, bijvoorbeeld de onlinetoegang van jongeren. Ik hoop daarin ook mevrouw Buitenweg naast mij te vinden.

Voorzitter, ik vervolg. Die onzekerheid, die onduidelijkheid komt voornamelijk door de verordening zelf. Die ligt hier nu dus niet voor, maar die kent heel veel vage normen. Die normen zijn natuurlijk ook nog niet in de praktijk getest. Dat begint pas eind mei. Er is daarom ook nog geen grote praktijkervaring, of überhaupt geen praktijkervaring. Er zijn ook nog geen aanwijzingen van de toezichthouders en geen rechterlijke uitspraken. Ook de Uitvoeringswet is natuurlijk nog niet getest. Ook de Autoriteit Persoonsgegevens moet zich in de nieuwe omgeving bewijzen.

Er zijn daarom nog veel vragen bij de VVD. Die vragen komen van de mensen in het land, van ondernemers, verenigingen, belangenorganisaties, overheden en heel veel anderen. Ik dank de minister voor de eerdere uitgebreide beantwoording van de vele schriftelijke vragen die ik op basis van die vragen uit het land al aan hem heb gesteld, maar ik wil ook hier nog een aantal vragen stellen, opdat wij en de mensen in het land zo veel mogelijk duidelijkheid hebben over die regels. Ik begin met een paar algemene vragen.

Eén. Ondanks de voorlichtingscampagnes lijken het mkb, verenigingen, kleinere overheden en andere organisaties vaak nog onvoldoende voorbereid te zijn op de komst van de verordening. Wat kunnen de minister en de Autoriteit Persoonsgegevens de komende maanden nog meer doen om die bekendheid te vergroten?

Twee: kan de minister meer duidelijkheid geven over wanneer een zorginstelling, een bedrijf of een vereniging een functionaris gegevensverwerking nodig heeft?

Drie: hoe zit het met de verwerking van gezondheidsgegevens door sportorganisaties, bijvoorbeeld in het kader van gehandicaptensport?

Vier: hoe doen we het precies met de mogelijkheden voor jongeren onder 16 jaar om online profielen te maken, bijvoorbeeld om buiten hun ouders om advies te vragen aan hulpinstanties? Mevrouw Buitenweg noemde dit punt zojuist ook al.

Vijf: is er, gezien de vele hacks en datalekken waar we nu iedere dag weer van horen, voldoende aandacht voor de veilige opslag van gegevens? We kunnen wel heel goed regelen hoe je ze moet gebruiken, maar als ze onveilig liggen opgeslagen, heb je daar niet zoveel aan. Dus is in het komende recht voldoende geregeld waar die data worden beheerd, wie de eigenaar is, wie toegang heeft en hoe dit intern moet worden gehandhaafd? Zo niet, wat kunnen wij — de minister samen met ons — dan doen om ervoor te zorgen dat dit zo snel mogelijk wel het geval is?

Zes. De Autoriteit Persoonsgegevens heeft veel taken, waaronder normering, advisering, toezicht en straffen. Is de machtenscheiding voldoende gewaarborgd?

De zevende en laatste algemene vraag is of wij er samen voor kunnen zorgen dat er in de top van de Autoriteit Persoonsgegevens voldoende ervaring is met de toepassing van de wet voor het bedrijfsleven en voor andere mensen in de praktijk en dat er dus voldoende technisch en praktisch inzicht is om de problemen van de regulering te beoordelen. Hiertoe heb ik samen met mijn collega Van Dam van het CDA en de heer Verhoeven van D66 een amendement ingediend. Wij willen dat er een derde bestuurslid komt, bijvoorbeeld een ondernemer maar in ieder geval iemand met grote praktijkervaring inzake de gegevensverwerking.

En dan het vervolgtraject. De vragen die ik zojuist stelde, zijn maar een deel van de in het land levende vragen en zorgen over deze nieuwe regelgeving. Het is dan ook heel goed dat de minister al heeft aangeboden om snel een vervolgtraject te starten om daar de eventueel nog mogelijke beleidskeuzes in op te nemen, te bezien waar nog nationale regelruimte is of waar hij misschien op Europees niveau voor aanpassing wil pleiten en nog eens heel kritisch te kijken naar hoe het in de praktijk allemaal werkt als dit eenmaal is ingevoerd. Dit vervolgtraject moet in onze optiek dan ook zo snel mogelijk beginnen en ook zo snel mogelijk tot resultaten leiden. Daarom wil ik — naar ik aanneem samen met veel collega's hier — vragen of de regering ongeveer een halfjaar na inwerkingtreding van de nieuwe regels kan berichten over mogelijke knelpunten en meteen voorstellen kan doen hoe die zo nodig aangepakt kunnen worden. Ik denk hierbij aan een lijstje. Ik ga die punten noemen; het zijn er tien.

1. de verwerking van gezondheidsgegevens in het kader van sportbeoefening.

2. de verwerking van gegevens door kleinere organisaties zoals vrijwilligersverenigingen, kerkgenootschappen en andere organisaties.

3. de verwerking van gezondheidsgegevens van werknemers.

4. het branchebreed aanleggen van zwarte lijsten van fraudeurs, want we willen allemaal fraudeurs aanpakken. Moet daar niet nog meer aan gedaan worden? Dat kan.

5. vragen over het toepassingsgebied van de verordening, met name gezien de uitzonderingen voor zuiver persoonlijke of huishoudelijke activiteiten. Ik begrijp dat dit in de verordening ligt, maar als dat niet duidelijk is, kan de minister dan hier of in Brussel kijken of op dit punt meer duidelijkheid gecreëerd kan worden?

6. de leeftijdsgrens voor kinderen om hen in een onlineomgeving rechtsgeldig gebruik te kunnen laten maken van hun persoonsgegevens. Moet daar niet meer gedaan worden? 7. de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken.

8. de ruimte van het gebruik van persoonsgegevens voor journalistieke doeleinden.

9. de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming.

10. de mogelijkheid om het ex parte verbod, analoog aan artikel 1090e van het Wetboek van Burgerlijke Rechtsvordering, van toepassing te verklaren op ernstige schendingen van de Algemene verordening gegevensbescherming.

Voorzitter, dit was de laatste van mijn tien punten, maar niet het eind van mijn betoog.

De heer Van der Staaij wil ze nog een keer horen, denk ik.

Ja, nummer drie was ik even kwijt! Nee hoor, daar gaat het me niet om. Ik wil het even op me laten inwerken. Het is nogal een waslijst aan punten waarvan de VVD-fractie zegt dat ze eigenlijk nog niet helder zijn. Dat ben ik met hem eens. Op zichzelf steun voor de gedachte dat er verheldering moet komen, maar wat zegt dat over de rechtszekerheid die nu aan de orde is met de verordening en de Uitvoeringswet die we hebben?

Met de heer Van der Staaij ben ik het zeker eens als hij zegt dat er heel veel vage normen in die verordening staan. De verordening is twee jaar geleden op Europees niveau aangenomen door de lidstaten en de Commissies. Op die verordening zijn wij heel kritisch, maar die verordening ligt hier niet voor. We hebben het nu over de Uitvoeringswet waarin we in essentie zeggen: daar is de Autoriteit Persoonsgegevens, daar kunt u klagen, daar wordt het gehandhaafd. Ik denk wel dat dit het moment is om aan de minister te vragen om te bekijken hoe wij de rechtszekerheid zo veel mogelijk kunnen bevorderen. Bijvoorbeeld door de praktijk kritisch te volgen, door de minister te vragen wat er nog kan worden veranderd, maar er is nog een laatste element. Deze Uitvoeringswet, die over twee maanden al van kracht wordt, moet nu beleidsneutraal worden ingevoerd, zodat de mensen weten waar zij wat dat betreft aan toe zijn. Ik wil heel graag samen met de heer Van der Staaij, en ook met mevrouw Buitenweg en ik denk met iedereen, zo veel mogelijk duidelijkheid en helderheid. Daarom noem ik deze punten.

Nogmaals, met de wens tot verduidelijking ben ik het helemaal eens. Ik zoek toch nog even naar de reflectie op wat dit voor een wetgeving is. We hebben nog op zo veel punten onzekerheid en onduidelijkheid, en tot welke conclusie brengt dit de heer Koopmans? Is dit een mooi wetgevingsproces zoals we dat meer moeten hebben, of vindt hij dat het deze kant helemaal niet op moet?

Ik ben met de heer Van der Staaij heel kritisch over deze verordening. Er staan een hoop vage normen in en het brengt een hoop onzekerheid in de wereld wanneer die straks van kracht wordt. Op dit moment kunnen wij daar niets meer aan doen. Dit was overigens een Europese verordening, aangenomen in 2016. Ik was toen nog niet in dit huis en ze werd ook niet hier aangenomen. Die verordening moet nu worden uitgevoerd. We moeten zo veel mogelijk doen om de mensen in het land zekerheid te bieden. Daarom heb ik dit lijstje opgesteld met adviezen van veel collega's om de minister te vragen het kritisch te volgen en voorstellen te doen over hoe we het kunnen invullen.

Dit is meer een soort tijdelijke correctie in het belang van de democratische legitimiteit die deze verordening heeft. U zei …

De heer Koopmans zei.

De heer Koopmans zei dat het was goedgekeurd door de Raad en de Europese Commissie, maar het ging natuurlijk juist ook door het Europees Parlement. Nu hier van die kritische noten worden gekraakt, is het goed te bedenken dat de verordening in 2016 is aangenomen. Hadden wij zelf in Nederland niet veel eerder deze verordening moeten bespreken? Is het niet mede door de nationale wetgever dat we nu zo heel erg laat zijn, waardoor er heel veel onduidelijk is?

Ik wil niet ergens de schuld leggen, ik wil de schuldvraag nu überhaupt niet behandelen. Ik wil vooral dat mensen duidelijkheid hebben. Daarom doe ik mijn best om samen met collega's en hopelijk ook samen met de minister de mensen zo veel mogelijk van die duidelijkheid te bieden. Het is nu niet aan mij om me uit te laten over de vraag of voorgangers van welke partij dan ook het al dan niet goed hebben gedaan. Mensen willen duidelijkheid en laten we die duidelijkheid creëren.

Zeker.

Dat ben ik met mevrouw Buitenweg eens. Het is nu niet de tijd voor vingerwijzen. Iedereen heeft zijn verantwoordelijkheid. Ik denk dat onze hoofdverantwoordelijkheid nu is om zo veel mogelijk duidelijkheid te bieden. Ik ben blij dat we dat nu breed gedeeld kunnen aandragen.

Voorzitter, ik ben bijna klaar, als u mij toestaat. Ik hoor graag van de minister hoe hij denkt over deze tien punten.

Dan nog iets over hulpvaardige handhaving. Gezien de vele vragen en onzekerheden die er nog leven, zeker in deze opstartfase, waarin veel dingen nog niet zo duidelijk en bekend zijn als we zouden willen, wil de VVD zich uitspreken voor een hulpvaardige handhaving. Ik zeg daarbij expliciet dat wij volledig de onafhankelijkheid respecteren van de Autoriteit Persoonsgegevens. We willen ook helemaal niets afdoen aan haar taak om bewuste, ernstige overtredingen te bestraffen. Want nogmaals, privacy is voor ons enorm belangrijk. Maar nu veel ondernemers, sportverenigingen, vrijwilligersorganisaties, kerkgenootschappen en privépersonen nog veel vragen hebben over de inhoud en de reikwijdte van de regels, vinden wij dat de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair hoort te richten op voorlichting en hulp bij de interpretatie en de uitvoering van de regelgeving. Dat laat onverlet haar handhavingstaak inzake bewuste schendingen. Ik vraag de minister of hij zich hierin kan vinden.

Voorzitter. Ik kom bij mijn conclusie. Het gaat hier om een steeds belangrijker aspect voor onze vrijheid en onze veiligheid: het beheer en het gebruik van gegevens. Daar moeten heldere en praktische regels voor zijn, zonder onnodige regeldruk te creëren. Met name in de opstartfase is het van belang dat we, en dan met name de Autoriteit Persoonsgegevens, de goedwillenden helpen. Die heldere en praktische regels dienen dan ook helder te worden ontwikkeld, uitgelegd en gehandhaafd door mensen die oog hebben voor de praktijk van Nederland en voor onze vrijheid en onze veiligheid.

Voorzitter, dank u wel.

Dank u wel. Dan gaan we luisteren naar de heer Van Nispen van de SP.

Dank u wel. Dan gaan we luisteren naar mevrouw Van Toorenburg van de fractie van het CDA.

Ik heb in het verleden helaas al eens een debatje met mevrouw Van Toorenburg gemist, maar dit warme pleidooi over de Autoriteit Persoonsgegevens is voor mij nieuw. Het klinkt mij als muziek in de oren. De CDA-fractie kijkt nu vooral naar een verandering van de structuur en naar een meer adviserende rol. Prima, ik denk ook dat dat nodig is. Hoe denkt de CDA-fractie over de capaciteit, de middelen en de financiën van de Autoriteit Persoonsgegevens?

Ik zei al dat we met elkaar hebben besloten dat het met 7 miljoen euro wordt opgeplust. Ik lees dat er een analyse is gedaan dat het misschien 12 moet zijn en met een uitbreiding en met allerlei aannames misschien zelfs veel meer. Ik lees ergens 23 of 24. Dat is substantieel meer. Ik kan mij heel goed vinden in de beantwoording van het kabinet. Hierin staat dat er aannames zijn gedaan en dat we moeten kijken hoe een en ander uiteindelijk wordt opgepakt en hoe bedrijven en organisaties hierop voorbereid zijn. Wat doet het mkb bijvoorbeeld zelf? Wat doet VNO-NCW? Wat doen de koepels? Dan kun je misschien wel alles doen met 7 miljoen extra. Dat hoop ik. Als dat niet kan, moeten we hier met elkaar bekijken — we hebben begrotingen, voorjaarsnota's, najaarsnota's, de hele santenkraam — of het nodig is dat er extra geld naartoe moet. Ik vind het wel passend om eerst te kijken wat echt nodig is. Volgens mij doen we dat vaak zo. Meer kan altijd nog.

Dat vind ik heel redelijk klinken. Maar we zien allemaal dat er een enorme hoeveelheid werk op de Autoriteit Persoonsgegevens afkomt. Dit is een heel grote verordening, met een heleboel nieuwe uitdagingen voor bedrijven en organisaties. Die zijn net allemaal in dit debat genoemd. Er is dus ook een grote handhavings-, adviserings- en begeleidingstaak. Die ligt echt bij de Autoriteit Persoonsgegevens. Die waarschuwt hier al lang voor. Ik ben dus heel blij met de woorden van mevrouw Van Toorenburg. Ik ben het met haar eens dat we moeten kijken hoe het loopt. Ik zal er straks zelf ook wat over zeggen. Maar als het nodig is, is er dus ook bij de CDA-fractie ruimte om na te denken over meer middelen en meer capaciteit voor de Autoriteit Persoonsgegevens, om dat werk, dat ze zo belangrijk vindt, goed te doen.

Absoluut. We hebben een verordening waar we ons aan moeten houden. Die is ingegeven vanuit de bescherming van mensen. Ik vind tegelijkertijd dat we niet alleen moeten straffen maar dat we mensen vooral moeten helpen om zich aan de regels te houden. We hebben er veel meer aan als we een en ander voorkomen. Kijk naar die hel waar die handbalclub nu in zit. Blijkbaar waren er camera's. Achteraf hebben we dan allemaal oplossingen, maar er zijn wel allerlei gegevens, zelfs naaktbeelden, van hen verspreid. Dit soort ellende moeten we weten te voorkomen. Alleen afstraffen is niet goed genoeg. Laten we kijken wat er nodig is om te adviseren, te helpen, zodat je van tevoren zegt dat je nergens camera's mag ophangen. Dat is ook zo belangrijk. We hebben het dan over nogal wat. Je moet dus proberen het iedere keer een stap voor te zijn, om niet achteraf te hoeven beboeten. Daar is ruimte en geld voor nodig.

Alhoewel afstraffen soms ook helpt om iets daarna te voorkomen. Ik heb een vraag. Mevrouw Van Toorenburg had het over de samenstelling van de Autoriteit Persoonsgegevens. Ik begrijp haar pleidooi voor die uitbreiding goed. Ik heb eerder een voorstel gedaan om de Tweede Kamer een rol te geven bij de benoeming van de autoriteit. Hoe staat het CDA daarin?

Ik snap 'm. En tegelijkertijd zie ik ook de beperkingen van de Kamer wanneer zij mensen moet aannemen. Ik heb weleens twijfelachtige situaties meegemaakt, waarin we dachten dat we het goed deden, terwijl we het als Kamer toch een stuk minder goed deden dan we hadden gehoopt. Ik weet dus niet zeker of wij dit vanuit een politiek gremium moeten doen en of die taak echt bij ons hoort. Ik ben benieuwd naar het advies. Ik sta er niet heel erg afkeurend tegenover, maar ik vind ook niet dat wij ons als Kamer in de uitvoering te groot moeten maken. Laten we ervoor zorgen — hoe dat voor elkaar komt, maakt me niet zo veel uit — dat daar de expertise komt die nodig is om te voorkomen dat wij binnenkort in de vaste commissie voor Binnenlandse Zaken onze toppers aan moeten nemen. Ik zie ons alweer zitten met allerlei sollicitaties die sommige mensen hun leven lang nog nooit hebben gedaan. Mij lijkt dat niet het beste gremium om ze aan te nemen. Mag ik het zo voorzichtig formuleren?

Ik vind het nogal een heftige reflectie op het blijkbaar falen van de Kamer, maar goed, die staat mevrouw Van Toorenburg helemaal vrij. Ik ben blij dat zij daar op zichzelf open naar wil kijken en het antwoord van de minister wil afwachten, maar mijn punt is juist dat het natuurlijk ook de overheid controleert en de gegevens van de overheid. Dan is het logisch dat we niet ook de macht om het college samen te stellen uitsluitend in handen van de regering leggen.

Nog even over de kwalificatie. Ik denk dat ik voorzichtiger was dan mevrouw Voortman van GroenLinks in de tijd dat het hier niet helemaal goed ging. Zij was nog veel harder in haar oordeel over hoe de Kamer het een keer had gedaan.

Zullen we de zijpaden even overslaan?

Ik wil ook even begrijpen wat mevrouw Van Toorenburg bedoelt.

Dat ga ik straks uitleggen. Is dat goed?

Als dit over iets gaat waar zij ooit valselijk van beschuldigd is, dan …

Nee, nee, nee, dit gaat over een andere situatie.

Zullen we gewoon weer naar de hoofdzaak gaan?

Nee, dat gaat niet over de valselijke beschuldiging, maar over het oordeel over hoe wij als Kamer soms … Dit gaat over een amendement en daarom is het wel belangrijk. Het ging over hoe moeilijk het soms kan zijn om als Kamer bepaalde functionarissen aan te nemen. Maar ik ben er gewoon nog niet uit. Ik vind het belangrijk dat het kabinet hierin adviseert. Ik wil gewoon dat we ervoor zorgen dat de beste personen op de posten komen. Ik denk overigens dat de bescherming jegens de overheid niet eens de allergrootste hoeft te zijn. Ik maak mij meer zorgen over kleine bedrijven die van alles met gegevens doen en die ook niet doorhebben wat voor een gegevens zij allemaal delen. In de voorbereiding van dit debat hoorde ik iemand die zich had aangemeld bij een triatlonclub zeggen dat een verzekeraar daarna had gedacht: goh, dat is interessant, want dat zijn doorgaans gezonde mensen en dat zij binnen no time met haar clubje een aanbieding van die grote verzekeraar had. Dit soort dingen kan natuurlijk niet, maar is nu wel de praktijk. Ik denk dat het belangrijk is dat we dit via wetgeving proberen te voorkomen.

We hadden het even over het college. Ik denk dat ik daarover genoeg heb gezegd. Ik loop een beetje tijd in door me aan te sluiten bij de voorgaande sprekers waar het gaat over de verschillende onderdelen, bijvoorbeeld over de leeftijden. Ik vind het belangrijk dat we helderheid krijgen over het moment waarop een minderjarige nu wel iets mag delen en waarop niet. Ik zie het nog steeds met angst en beven aan als kinderen van acht of negen mobiele telefoons krijgen die niet van tevoren zijn afgeschermd voor allerlei sms-diensten, waardoor zij helemaal worden bedolven, ook financieel, door allerlei informatie die weer wordt gedeeld. Ik denk dat het goed is dat ouders daarvoor moeten tekenen, ook onder de achttien en misschien vanaf zestien. Ik wil graag de zienswijze van het kabinet daarop.

Wij hebben nog een paar belangrijke punten van zorg. Ik kijk naar de verenigingen in ons land. Zij worden vaak gerund door vrijwilligers en soms door een enkele bezoldigde medewerker, maar het merendeel bestaat uit goedbedoelende mensen die proberen iets voor de samenleving te doen. De vraag is: wat moeten zij nu allemaal regelen? Wat is nu voor hen van belang wat deze Uitvoeringswet en de algemene verordening betreft? Zij houden namelijk heel erg veel persoonsgegevens bij en verwerken die dus ook. Is er nu voldoende oog voor deze sector? Ik lees dat sportverenigingen er rekening mee moeten houden dat ze altijd expliciet toestemming moeten hebben voor het nemen en plaatsen van foto's. Ik kan mij daar wel wat bij voorstellen. Tegelijkertijd moet het niet zo'n aflaat zijn in de zin dat je lid wordt van een vereniging en er meteen voor tekent dat alles kan worden gedaan. Dat willen we niet. We moeten alleen ook niet doorschieten in de zin dat als er een fantastische voetbalwedstrijd is en vrijwilligers of vrienden er een leuke foto van op sociaal media plaatsen de Autoriteit Persoonsgegevens langsfietst omdat dat niet mag. Volgens mij moeten we dat niet hebben.

Daar wil ik vandaag wel wat meer duidelijkheid over hebben, net als over de vraag in hoeverre een vereniging een functionaris moet hebben voor gegevensbescherming, zoals bedoeld in artikel 37 van de AVG. Ik lees dat die verplicht is wanneer het gaat om kerntaken, stelselmatig en regelmatig observeren. Daarbij worden ziekenhuizen en scholen genoemd. Toch denk ik dan ook aan verenigingen. Zij houden stelselmatig en regelmatig gegevens bij van hun leden. Bij sportverenigingen gebeurt dat natuurlijk als nergens anders. Moeten die dan ook een functionaris aanstellen of is het bijvoorbeeld voldoende wanneer een koepel dat doet? Kijk naar de KNVB als overkoepelende organisatie, die dan een functionaris aanstelt die er vervolgens zicht op houdt dat het voor de verschillende verenigingen goed gaat. Wat moet er bijvoorbeeld gebeuren ten aanzien van het privacy-assessment? Moeten alle kleine verenigingen een privacy-assessment gaan maken? Volgens mij maken we ze dan gillend gek en hebben we straks geen vrijwilliger meer in de belangrijke verenigingen van Nederland. We zijn per slot van rekening wel koploper wat betreft vrijwilligers en verenigingen en dat moeten we niet om zeep helpen.

Verder is er specifieke aandacht vanuit NOC*NSF voor de gehandicaptensport en de topsport. Als ik het goed begrijp, is het niet zomaar mogelijk om medische gegevens te verzamelen, ook niet van gehandicapte sporters en topsporters, maar gelet op die bijzondere verenigingen zijn ze soms juist wel noodzakelijk. Strikt genomen zijn ze misschien niet nodig voor de sport zelf maar wel voor de vorm van sport. Moeten die gegevens dan niet vallen onder de uitzondering van artikel 30 die bijvoorbeeld is geregeld voor scholen? Graag een reactie van het kabinet.

Ik had eerder ook nog een vraag gesteld en doe dat nu weer over de persoonsgegevens van de medische sector. Gezondheidsgegevens moeten natuurlijk heel erg goed worden bewaakt en beschermd. Het is terecht dat er heel hoge eisen worden gesteld aan kwetsbare informatie en dat er veel zorgen over zijn om die te beschermen, maar we moeten ook wel opletten dat die bescherming niet wordt misbruikt, bijvoorbeeld als een soort schild bij kwaliteitscontroles. Kunnen we straks voldoende kwaliteitscontroles uitvoeren omdat je bepaalde gegevens dan niet meer mag meewegen? Uiteindelijk ben ik er wel een beetje beducht voor dat uiteindelijk een kwaliteitscontrole reden kan zijn voor het verzamelen van gegevens maar dat die vervolgens niet meer kunnen worden gedeeld, ook medisch niet.

Dan helemaal tot slot nog een vraag die gaat over de richtlijn die ook nog speelt als het gaat om de uitvoeringswet en de gegevensbescherming ten aanzien van de opsporing en vervolging. Ik heb het dan over de EU-richtlijn 2016/680. Deze richtlijn ziet op het verwerken van persoonsgegevens door politie en het Openbaar Ministerie. Die zal er uiteindelijk via een separaat wetsvoorstel komen. Ik heb begrepen dat we dat op 16 februari hebben ontvangen, maar de uiterste implementatie van deze richtlijn is 6 mei. Volgens mij hebben we dus nog wel iets te doen. Ik zeg dit overigens niet alleen tegen het kabinet maar ook tegen mijn collega's; volgens mij moeten we aan de bak om ervoor te zorgen dat we niet een inbreukprocedure hebben voor alle andere ellende. Dus laten we er als kabinet en als Kamer voor zorgen dat we deze richtlijn op tijd implementeren. Het is namelijk zo 6 mei.

Dank u wel.

Zo is het. Het woord is aan de heer Van der Staaij van de fractie van de SGP.

Kan de heer Van der Staaij misschien concreet maken waar er volgens hem een verslechtering is in de rechten van burgers?

De verslechtering van de rechten van burgers is mijn punt niet. Mijn punt is de onduidelijkheid. Mijn ideaal als nationale medewetgever is dat wij wetten maken waarvoor burgers niet vier jaar moeten studeren en drie adviseurs moeten inschakelen om te weten wat er van hen wordt verwacht. Dat moet kunnen, ook op deze onderwerpen. Dat is hier absoluut niet aan de orde. Dat vind ik echt schokkend.

Ik ben het met u eens dat er nog een hoop te verbeteren valt, maar eerlijk gezegd vind ik deze verordening leesbaarder dan een hoop andere wetten die we in Nederland maken, waarin steeds verwezen wordt naar andere wetten waardoor het onleesbaar is. Mijn punt is dat de heer Van der Staaij nu doet alsof er een groot drama is voor burgers, terwijl de rechten van burgers volgens mij gebaat zijn bij deze verordening. Natuurlijk zijn er grote implementatievraagstukken. Dat is een opdracht waarvoor we niet moeten weglopen, maar als we dit goed doen, zijn de burgers er een hoop mee opgeschoten, ook ten opzichte van de huidige situatie.

Dat zou best kunnen. Ik zeg niet dat deze wet in de uitwerking voor allerlei drama's hoeft te zorgen. Ik zeg alleen dat deze Europese verordening en de manier waarop zij vervolgens wordt ingevuld voor ontzettend veel onduidelijkheid zorgt en dat dit ver afstaat van wat ik als medewetgever graag wil. Voor burgers moet het zo snel mogelijk duidelijk zijn waar ze aan toe zijn met een wet.

Iedereen is het natuurlijk met de heer Van der Staaij eens over zo duidelijk mogelijke wetgeving. Dat is helder. Dit betreft alleen wel een Europese wet over een zeer veelomvattend en complex onderwerp. De heer Van der Staaij maakt zich nu heel erge zorgen over de burger die deze wet moet begrijpen. Het is op zich altijd een belangrijk basisidee dat de burger de wet begrijpt, maar deze wet schrijft de burger niet zo heel veel voor. Het is vooral aan het bedrijfsleven om hieraan te voldoen, en dan met name het grote bedrijfsleven, dat door deze wet heel veel eisen op zich zal krijgen. Zij zijn wel degelijk in staat om deze complexe materie te doorgronden. Ziet de heer Van der Staaij dat ook zo of maakt het hem niet uit aan wie de wet wat voorschrijft en vindt hij gewoon dat de wet veel simpeler moet?

Ik zie inderdaad dat er verschillen zijn. Daar kom ik straks in mijn tekst ook nog op terug. Voor heel grote ondernemingen is het makkelijker om een functionaris in dienst te nemen om te kijken wat de wet precies met zich meebrengt. Zij zijn ook gewend aan die complexiteit. Mijn zorg zit juist bij de kleinere bedrijven, de kleinere ondernemingen en de kerken, bij wat voor een losse gemeente geldt en wat voor het geheel geldt. Voor hen kan het nog veel lastiger zijn. Als we niet oppassen, zeggen we: doe maar zo veel mogelijk, want dan zit je het meest safe. Als we daarvoor kiezen, krijgen we een ongelooflijke administratieve belasting die achteraf gezien misschien helemaal niet nodig was.

Eens. Het midden- en kleinbedrijf, kleine verenigingen en kerken moeten absoluut niet overvraagd worden door deze wet. Dat ben ik volledig met de heer Van der Staaij eens. Ik denk dat we het daar allemaal mee eens zijn. Daar kunnen we het dus over hebben in de manier waarop we omgaan met deze wet. Weet u waar de complexiteit vandaan komt, zou ik via u, voorzitter, aan de heer Van der Staaij willen vragen …

"Weet de heer Van der Staaij waar de complexiteit vandaan komt?"

Voorzitter, met uw welnemen ga ik hem dat nu vragen. Die komt natuurlijk niet van de wetgever vandaan. Die komt van die verschrikkelijk ingewikkelde verdienmodellen van die enorme techreuzen die met allerlei totaal ongrijpbare algoritmes en andere slimme systemen zijn begonnen om de data van burgers af te pakken. Die complexiteit komt dus niet van de wetgever, zou ik aan de heer Van der Staaij mee willen geven. Die complexiteit komt van de grote bedrijven, die geld willen verdienen. De wetgever kan niet anders dan meegaan in die complexiteit om daar paal en perk aan te stellen. Ik hoop dat de heer Van der Staaij daar oog voor heeft. Anders vind ik zijn pleidooi voor simpele wetgeving geen recht doen aan de complexe slimheid van grote bedrijven. Dat zou ik hem mee willen geven.

De heer Verhoeven heeft gelijk dat er soms technisch ingewikkelde regels nodig zijn, omdat er op een technisch ingewikkelde manier gegevens worden verzameld of gelekt. Mee eens. Daar hoort u mij niet over; daar heeft u een punt. Ik kijk bijvoorbeeld naar zo'n artikel 37 van zo'n verordening: aanwijzing van de functionaris voor gegevensbescherming. Dat is gewoon een heel belangrijk punt. Je hebt een functionaris voor gegevensbescherming. Wanneer moet je die nu hebben? Daar zou toch wel duidelijk moeten zijn hoe dat zit. Dan lees ik: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard en omvang stelselmatige observatie op grote schaal van betrokkenen vereisen. Dat zit vol van de vage begrippen. Daar kan je dus niet zomaar uit afleiden wanneer een functionaris voor gegevensbescherming nodig is. Bij een normale nationale wet zouden we zeggen: minister, kan dat niet in de wet verduidelijkt worden? En als dat niet in de wet kan, dan zeggen we: dan willen we het wel in een AMvB hebben. En als we het heel belangrijk vinden, dan zeggen we: we willen graag nog een voorhang hebben, zodat we er als Kamer zelf nog naar kunnen kijken. Nu zeggen we eigenlijk: Europees moet het nu eenmaal zo, dit is de wet; minister, kunt u nog de Autoriteit Persoonsgegevens … U moet het allemaal gaan uitwerken en we hopen maar dat het allemaal goed uitpakt. Vervolgens hebben we weinig instrumenten meer om daar als politiek van te zeggen: vinden we dit eigenlijk nog wel reëel? Dat is een concreet voorbeeld. Dan begrijpt u ook waar ik het over heb.

Ik heb artikel 37 genoemd. Artikel 91 is een bepaling over kerken en religieuze verenigingen. Dat heeft op de een of andere manier ook altijd onze belangstelling. Daarin lees je: als die op het tijdstip van de inwerkingtreding van deze verordening uitgebreide regels hebben, kunnen die regels van toepassing blijven, mits zij in overeenstemming worden gebracht met die verordening. Dan denk ik: wat staat hier nou eigenlijk? Dat heeft dan niet zozeer met technische complexiteit te maken. Het heeft waarschijnlijk ook te maken met heel ingewikkelde compromissen tussen allerlei lidstaten of met allerlei organisaties, die alleen als effect hebben dat de rechtszekerheid wordt geofferd. Dat vind ik bij deze wetgeving sterker dan bij welke wetgeving ook die ik mij van de afgelopen jaren kan herinneren.

Los daarvan vind ik een mooie considerans altijd welkom, zodat je weet wat er overwogen is bij het vaststellen van een verordening. Maar als je je hier alleen al door 173 overwegingen heen hebt geworsteld voordat de tekst zelf begint, waarvan je je voor een deel afvraagt … Er staat bijvoorbeeld een heel mooie overweging in, overweging 13, die betrekking heeft op een soort gedifferentieerde toepassing voor kleinere organisaties en instellingen. Nou, mee eens, een goed punt. Dan komt dan voor een deel weer terug in de tekst van de verordening, bijvoorbeeld als het gaat om het gegevensregister. Maar op andere onderdelen staat niet zo duidelijk wat dat betekent. Er wordt niet alleen gezegd "Autoriteit Persoonsgegevens, ga ermee aan de slag". Er wordt in die overweging ook gezegd: de lidstaten worden aangemoedigd om invulling te geven aan die differentiatie voor die kleinere organisaties en ondernemingen. Dan ben ik benieuwd. Waar staat dat in de Uitvoeringswet? Daar zal dat dan wel staan, maar ik kom het niet zozeer tegen. Ik begrijp wel uit de toelichtende tekst dat het zonder meer bedoeld is voor de regering. Ik zou graag nog een poging doen om dat in de Uitvoeringswet zelf te verankeren; vandaar het amendement dat wij op stuk nr. 15 hebben ingediend, dat verwijst naar die overweging 13. De tekst van de verordening biedt die ruimte en moedigt niet alleen de toezichthouders, maar ook de lidstaten zelf aan om daar invulling aan te geven. Vandaar een poging om dat op deze manier vorm te geven.

Voorzitter. Ik ben door de interrupties volgens mij al door een groot deel van mijn tekst heen. Maar laat ik de volgende vraag vooral nog stellen, die gaat over de beleidsneutraliteit die de regering ook een beetje als toverwoord gebruikt: wij willen niet allerlei extra lasten regelen met onze Uitvoeringswet, we willen het uiteindelijk zo sober mogelijk doen en zo dicht mogelijk blijven bij de regels die er al gelden. Op zichzelf begrip voor dat uitgangspunt en steun dat wij niet nog allerlei nationale koppen erbovenop proberen te doen, zeker. Maar tegelijkertijd denk ik wel: ja maar, het is wel de bedoeling dat er ook wel een nationale invulling mogelijk blijft en ook een nationale borging is van onderwerpen waarop wij het wel belangrijk vinden dat ook Nederland de mogelijkheden houdt van uitwisseling van persoonsgegevens.

Mijn vraag aan de regering is ook van: zijn die mogelijkheden van beleidsvrijheid in deze verordening nu ook benut, kan daaraan zo invulling worden gegeven dat ook zaken die wij belangrijk vinden, ook worden geregeld? Want ik heb het vanuit de totstandkomingsgeschiedenis zo begrepen dat er echt de ruimte blijft om, als wij in Nederland zeggen dat we het vanuit veiligheidsoogpunt — denk aan de hele discussie rond het omgaan met verwarde personen — belangrijk vinden dat soms gevoelige informatie goed wordt gedeeld, om te voorkomen dat zorginstellingen langs elkaar heen werken, dat dat dan ook mogelijk is. Is het nu op dat soort belangrijke onderwerpen, zoals op het gebied van de jeugdzorg en de zorg, goed geregeld? Of kunnen we nu straks verrassingen krijgen van: ja, nee, maar op grond van de Europese verordening kan en mag dat niet meer? Die vraag zou ik aan de regering willen voorleggen.

Voorzitter. Dat als het gaat om de echte beleidsvrijheid die er is. Wordt die dus ook benut? Maar dan heb je ook nog weer een zekere beoordelingsvrijheid, geen echte beleidsvrijheid, die gegeven is met vage begrippen in de verordening. We kennen in Nederland nadere regels met echte beleidsvrijheid van: u mag zelf uitmaken hoe u ermee om wilt gaan. Maar soms is er ook gewoon een beoordelingsvrijheid om vage begrippen verder invulling te geven. In hoeverre is die ruimte ook benut door de regering? Dat proef ik niet zo duidelijk terug in het voorstel. Kan de wetgever hier niet ook nog een belangrijke rol spelen? Of staat op het hele terrein van persoonsgegevens het nationale parlement een beetje buitenspel en zeggen we: ja, het is Europees bepaald en het is aan de Autoriteit Persoonsgegevens om dat verder invulling te geven? Dat zou ik wel betreuren, omdat het soms typisch een nationale politieke afweging is hoe het recht op bescherming van de persoonlijke levenssfeer enerzijds moet worden afgewogen tegen bijvoorbeeld het belang van veiligheid anderzijds. Het is een heel belangrijk grondrecht, maar niet het enige grondrecht. Daarom moeten we die politieke speelruimte niet nodeloos uit handen geven. Daar heb ik wel zorgen over. Ik hoorde de heer Verhoeven al zeggen: nee, dat is niet zo, er is best wel wat nationale speelruimte. Dat is in ieder geval bemoedigend, maar ik hoor dat graag ook van de minister. Dus niet alleen als het gaat om de Autoriteit Persoonsgegevens, want vanuit de structuur van het wetsvoorstel en de verordening is het natuurlijk het makkelijkst om te zeggen van: autoriteit, doe je best, en ga hiermee aan de slag. Maar ook als het gaat om: ja maar, wat is nou de democratische weging die wij ook nog kunnen toepassen?

Voorzitter. Dan heb ik nog een enkele vraag als het gaat om de positie van de autoriteit. Die krijgt twee kolommen: een gericht op voorlichting en informatieverschaffing en de ander gericht op toezicht. Die samenballing van taken — voorlichting, advisering, toezicht en optreden — roept de vraag op in hoeverre dat niet kwetsbaar is, ook in juridisch opzicht, kijkend naar de discussies die we in het verleden hebben gehad over bijvoorbeeld de positie van de Raad van State, weer vanuit de jurisprudentie van het Europees Verdrag voor de Rechten van de Mens, het Hof van Straatsburg, dat ook wel zegt: ja maar, kan dat eigenlijk wel in één hand. Je ziet daar een soort strengere invulling van de ene kant de adviserende rol en de andere kant de concreet optredende rol. Wat betekent dat voor de positie van de Autoriteit Persoonsgegevens? In dit wetsvoorstel is in vergaande boetebeperkingen voorzien, die in de praktijk behoorlijke impact kunnen hebben. Mijn vraag is in hoeverre bescheiden wordt omgegaan met die boetemogelijkheden in de periode waarin de onduidelijkheid nog groot is. Dat zou voor de hand liggen voor kleinere ondernemingen en organisaties die te goeder trouw zijn en proberen aan de wet te voldoen, maar nog niet precies doorhebben hoe het nu zit. Het moet zich voor een deel nog uitkristalliseren — dat blijkt ook uit de bijdragen van andere woordvoerders — terwijl de verordening over een korte tijd al in werking zal treden. In hoeverre wordt dat verdisconteerd in de manier waarop met het boetebeleid wordt omgegaan?

Het laatste punt dat ik nog wil noemen, is het punt van de kerken. Op grond van artikel 17 van het Verdrag betreffende de werking van de Europese Unie, eerbiedigt de Unie de status van de kerken in nationale lidstaten. Dat wordt in de overweging genoemd, maar in de Uitvoeringswet kom ik de positie van de kerken niet meer zo nadrukkelijk tegen, hoewel die bijvoorbeeld in het Burgerlijk Wetboek in Nederland afzonderlijk uitdrukkelijk geregeld is. Ik hoor graag van de regering een nadere toelichting op de eisen die in dit kader aan kerken gesteld worden. Kan de regering garanderen dat het geen enkele inbreuk betekent op de zelfstandige positie van kerken en het recht om hun eigen statuut vast te stellen? Blijft de bescherming van kerken die voortvloeit uit de zelfstandige taken van kerk en staat minstens op het bestaande niveau gehandhaafd? Is de regering bereid om te waarborgen dat kerken voluit taken kunnen uitvoeren waarvoor ze in het leven geroepen zijn, onder meer pastorale zorg voor de leden en andere betrokkenen?

Als allerlaatste punt sluit ik me aan bij de vragen die gesteld zijn over de leeftijdsgrens.

Op het vorige punt nog even, mevrouw Buitenweg.

Dank u wel, mijnheer de voorzitter. Ik zit met de rol van de kerken versus de vrijheid van het individu. Is de heer Van der Staaij het met mij eens dat ook de kerk zou moeten voldoen aan bijvoorbeeld het recht om vergeten te worden, zodat een burger gelijk uitgeschreven kan worden als hij dat wenst en dat al zijn gegevens gewist worden?

Ik denk dat dit de bestaande praktijk is. Er was geen behoefte of reden om hierin verandering te brengen, voor zover ik weet. Mijn vraag is of dit inderdaad zo is op grond van deze wetgeving en wat het gaat betekenen voor de positie van kerken. Ik denk dat zeker bij rechten van burgers kan horen dat zij die gegevens gewist kunnen krijgen uit de betreffende registers. Dank u, voorzitter.

Ik dacht dat u nog een punt had over de leeftijdsgrens.

Ja, daarover heb ik mij aangesloten bij de vragen die door collega's zijn gesteld. Het is inderdaad een belangrijk punt, maar ik heb er zelf niet veel aanvullende vragen over.

De laatste spreker van de zijde van de Kamer is de heer Verhoeven van de fractie van D66.

Ik luister met veel aandacht naar het betoog van de heer Verhoeven. Hij noemt net de enorme privacyzorgen wat betreft de relatie tussen burgers en overheid. Hij noemt ook de zorgen wat betreft de relatie tussen burgers en bedrijven. Vind ik de heer Verhoeven ook naast mij als ik aandacht vraag voor wat ik de "horizontale privacy" of de "onderlinge privacy" noem, namelijk de privacy tussen burgers onderling? Want de enorme digitalisering, waar hij terecht aandacht voor vraagt, heeft ook effect op alle middelen waarmee burgers elkaar kunnen begluren, bespioneren en volgen. Net werd al even het Nederlandse handbalteam genoemd, dat zonder het te weten gefilmd en exposed is. Dat is waarschijnlijk een voorbeeld van burgers die elkaars privacy schenden. Vind ik de heer Verhoeven ook naast mij als ik aandacht vraag voor die onderlinge privacy?

Ja, daar vindt de heer Koopmans mij naast zich. Ik denk wel dat er bij de verhouding tussen burgers onderling meer sprake is van gelijkwaardigheid dan wanneer het gaat om machtige overheden en machtige techbedrijven die de privacy van burgers aanraken. Daarom ben ik meer geneigd om daar paal en perk aan te stellen. Maar daarmee wil ik niet zeggen dat het punt van de heer Koopmans niet belangrijk zou zijn. Dat zie ik absoluut. Ik weet dat hij daar druk mee bezig is, en ik volg zijn activiteiten op het vlak van de horizontale privacy met een bijzondere belangstelling.

Voorzitter. De gevolgen van het verdienmodel van die technologiebedrijven betekenen dat Facebook ons vaak beter kent dan onze vrienden en familie, dat Google tot op de minuut nauwkeurig weet waar we de afgelopen jaren zijn geweest en dat makers van slimme horloges onze gezondheid beter kennen dan onze dokter. Daarom is het goed dat na twintig jaar de privacywetgeving op Europees niveau wordt gemoderniseerd. Het is ook goed dat er paal en perk wordt gesteld aan die toch wel toenemende en in mijn ogen doorgeschoten datamacht van de socialmediaplatforms en techreuzen. Daar is deze wet wat mij betreft het belangrijkst voor. Ik spreek alle collega's na die hebben gezegd dat we de bakker op de hoek, het midden- en kleinbedrijf, de vereniging, de handbalclub, de kerk en de zelfstandigen met deze wet niet op allerlei lasten en kosten moeten jagen. Ik weet zeker dat de minister dat straks ook gaat zeggen. Dat is niemands wens. De wens is dat de burger beschermd wordt tegen grote bedrijven die op een doorgeslagen manier onze privacy schenden. Daar doet deze wet heel goede dingen voor.

Van de cookiewet, die ik laatst al even aanhaalde, was de intentie op zich terecht, maar de wettelijke uitvoering was slecht. We hebben iets gecreëerd wat wel terecht een probleem aanstipte, maar de oplossing die we kozen, was niet goed. Daarom ben ik blij met de, zoals de heer Van der Staaij dat noemde, beleidsneutrale of technologieneutrale benadering die in de Uitvoeringswet is gekozen. Er wordt voor gekozen om zo veel mogelijk vanuit uitgangspunten te redeneren en niet vanuit een bepaalde techniek. Ik denk dat dat een heel verstandige keus is. De heer Van der Staaij en ik hadden het zojuist al even over de complexiteit. Juist die technologische complexiteit leidt ertoe dat sommige wetgeving heel ingewikkeld kan zijn. Ik herinner mij een debat met de voormalige minister van Economische Zaken, de heer Kamp, waarin de hele Kamer drie uur heeft staan debatteren over de precieze invulling van de term "expliciete toestemming": wanneer geef je nou wel of niet expliciete toestemming aan een website om jou tot een bepaald niveau te gaan volgen? Daar hebben we met z'n allen drie uur over gedebatteerd. Dat was een goed debat, maar dat ging over twee woorden, waarbij de precieze lading werd vertaald naar de manier waarop we het internet gebruiken. Kortom, je ontkomt niet aan complexe wetgeving als het gaat om de slimme, digitale en complexe verdienmodellen van die bedrijven. Ze zijn bewust moeilijk gemaakt, met daarbovenop een makkelijk laagje, namelijk: even klikken. Maar daarachter zit een hele wereld en die moet je met complexe wetgeving aanpakken.

Wat gebeurt er door deze wet? Mensen krijgen meer controle over hun data. Ze kunnen data inzien, veranderen, wissen en meenemen. Het recht op vergetelheid wordt geborgd en mensen hebben ook recht op een menselijke blik in plaats van alleen maar geautomatiseerde besluitvorming op basis van profielen en algoritmes. Dat is een goede eerste stap. Ik zei zojuist al dat het vooral daarop gericht moet zijn en niet op de mkb'er die zijn werknemersbestand zo goed mogelijk probeert te regelen. Het gaat mij wat dat betreft dus om hulpvaardige handhaving, zoals de heer Koopmans van de VVD dat noemde. Ik heb in mijn tekst staan "menselijke handhaving". Dat is wat ik aan de minister zou willen vragen: is de minister van zins om ervoor te zorgen dat die onafhankelijke toezichthouder, waar hij niet aan de touwtjes kan trekken, zo goed mogelijk die gedienstige, begeleidende handhaving verzorgt ten opzichte van de doelgroepen waar dat voor nodig is?

De heer Van der Staaij ging zojuist al even in op de verhouding tussen Europees en nationaal. Het is een verordening. Het grootste deel moeten we dus gewoon direct overnemen. Daarom wordt onze huidige Wet bescherming persoonsgegevens vervangen door deze AVG, de Algemene verordening gegevensbescherming. Er is inderdaad wel enige beleidsvrijheid, maar ik zou willen zeggen: laten we die beleidsvrijheid benutten waar dat goed is voor bepaalde nationale sectoren of situaties, maar we moeten die niet ten koste laten gaan — dat is een andere balans die we moeten zoeken — van het eenduidige speelveld dat we juist zoeken om er met z'n allen in Europa voor te zorgen dat Amerikaanse bedrijven zich overal aan dezelfde regels moeten houden en dat Nederlandse start-ups weten waar ze aan toe zijn als ze bijvoorbeeld in Bulgarije, Polen of Luxemburg klanten willen vinden. Het is dus wel een zoektocht naar de juiste balans tussen een gelijk speelveld en nationale beleidsvrijheid. Ik ben benieuwd naar de reactie van de minister daarop.

Ik heb nog een paar laatste vragen, zoals gezegd in aanvulling op al die reeds genoemde goede punten waar ik me grotendeels bij aan kan sluiten. De eerste vraag betreft de leeftijdsgrens voor de toestemming voor het verwerken van persoonsgegevens. We zien in allerlei wetgeving vaker leeftijdsgrenzen opduiken; volgens mij heeft mevrouw Buitenweg van GroenLinks een amendement ingediend over een leeftijdsgrens. Vaak zijn die leeftijdsgrenzen heel slecht onderbouwd, ook omdat het heel moeilijk is om die te onderbouwen. Daarom heeft mijn collega Vera Bergkamp de Raad voor Volksgezondheid en Samenleving gevraagd om de willekeur van leeftijden te onderzoeken. Waarom stellen we leeftijdsgrenzen eigenlijk op een bepaalde leeftijd, of het nou gaat over stemmen, drinken van alcohol of het mogen aanmaken van een socialmediaprofiel? Dat is bij al dat soort vraagstukken vaak vrij arbitrair. De raad komt waarschijnlijk na de zomer met zijn advies. Ik wil de minister daarom vragen om dat advies mee te nemen in de manier waarop in deze wet naar de leeftijdsgrens wordt gekeken. Ik krijg graag een reactie op de vraag of hij daartoe bereid is.

Tot slot nog twee punten over de Autoriteit Persoonsgegevens. Allereerst over de eis uit de Algemene verordening gegevensbescherming voor de toezichthouder om te beschikken over een afzonderlijke publieke jaarbegroting. Dat is nu niet goed geregeld. Is de minister het met me eens, vraag ik hem, dat de Autoriteit Persoonsgegevens een eigen niet-departementale begroting toegekend zou moeten krijgen? Als ik de warme woorden van het CDA net hoorde over de Autoriteit, dan ben ik van mening dat ook andere leden in deze Kamer aan het kijken zijn naar de manier waarop we het budget, maar ook de eigenstandigheid van het budget, goed kunnen regelen.

Voorzitter, mijn laatste punt. Daarnaast heeft de Autoriteit laten onderzoeken hoeveel extra werk die nieuwe bevoegdheden opleveren en hoeveel budget daarvoor nodig is. Daarbij zijn de drie scenario's ontwikkeld van wat noodzakelijk is om op een efficiënte en effectieve wijze invulling te geven aan de nieuwe taken en bevoegdheden. Dat zijn de scenario's laag, midden en hoog. De Autoriteit geeft aan dat met de extra middelen het scenario laag nog niet eens gehaald wordt. Daar hadden we het net met mevrouw Van Toorenburg al over. D66 pleit al jaren voor een stijging van het budget van de Autoriteit Persoonsgegevens. Wij hebben destijds in een Techvisie een verdriedubbeling voorgesteld. In het regeerakkoord is er volgens mij 7 miljoen bijgekomen, althans, in de aanloop naar het regeerakkoord via de Voorjaarsnota van het vorige jaar is er 7 miljoen bijgekomen. Dat was op zich een goede stap, maar het scenario laag zou ongeveer 20 miljoen kosten, dus komen we daar nog 5 of 6 miljoen voor tekort. Mijn vraag aan de minister is: hoe gaan we daar op een verstandige manier mee om? In afwachting van zijn beantwoording zal ik eventueel met een genuanceerde motie komen om werkende weg te kijken hoe we omgaan met een goede verhouding tussen het budget en de capaciteit van de Autoriteit Persoonsgegevens en een nieuw takenpakket in de komende maanden en jaren. Voorzitter, daar wil ik het graag bij laten.

Wij bereiden ons voor op uw genuanceerde motie.

Eigenlijk hoef ik dat niet te zeggen, want het is een pleonasme.

U zegt het zelf, ik citeer u alleen maar.

Het is eigenlijk een pleonasme, want het gaat altijd alleen maar om genuanceerde moties.

Een genuanceerde interruptie van de heer Van Nispen.

Dat is dan weer een tautologie, denk ik.

Voorzitter, u kent mij. Ik heb zelf ook een zeer genuanceerde motie voorbereid op het punt van het budget. Daar gaan we straks naar kijken. Wat die onafhankelijke begroting betreft vraag ik mij af of de heer Verhoeven nog niet tevreden was met de nota van wijziging, die volgens mij recht doet aan de wensen op dit punt. Overigens — maar dat is een zijpad, voorzitter — is het wel jammer dat D66 niet ook enthousiast is waar het gaat om de onafhankelijke begroting voor de rechtspraak.

En dan uit het zijpad vandaan.

Uit het zijpad en terug naar het budget. De heer Verhoeven stelt terecht de vraag hoe we daar de komende tijd naar gaan kijken. Ik had ook een Techvisie opgespoord waarin wordt gepleit voor een verdrievoudiging van het budget. Dat zou meer recht doen aan de scenario's die dat onderzoek heeft opgeleverd. Vlak na de inwerkingtreding van de verordening hebben we toevallig de Voorjaarsnota. Wat vindt de heer Verhoeven dat er zou moeten gebeuren bij de Voorjaarsnota?

Dank u voor de verschillende vragen. Ik zal niet op zijpaadjes ingaan, voorzitter. Dat vergt mij wel enige discipline, maar goed.

U kunt het.

De heer Van Nispen stelt eigenlijk een aantal vragen. Ik denk dat we nu geen uitspraken moeten doen over de Voorjaarsnota. Ik ben in afwachting van het antwoord van de minister, en ben van zins om de komende maanden te gaan kijken hoe de Autoriteit het in de realiteit doet, dus even los van alle scenario's en voorspellingen. We kunnen de wereld niet voorspellen, soms vallen dingen mee, soms vallen ze tegen. Ik wil de komende maanden gaan kijken hoe het gaat, en als het niet goed gaat wil ik in navolging van de woorden van mevrouw Van Toorenburg in actie komen. Misschien dat de Voorjaarsnota daarvoor om de hoek komt, daar moeten we nog even naar kijken. Ik ga daar nu niet op vooruitlopen.

U had nog een andere vraag, en wel over de nota van wijziging. Die was vanochtend ingediend en komt volgens mij al een heel eind in de goede richting. Als de minister zegt dat het daarmee geregeld is, dan schrap ik dit punt.

De inwerkingtreding van deze verordening is 25 mei van dit jaar. Kort daarna hebben we de Voorjaarsnota, er zitten maar een paar weken tussen. Ik denk ook dat dat heel kort is, maar vraag mij toch af of we de minister niet de vraag zouden kunnen stellen om ook in die paar weken tussen het moment van de inwerkingtreding en de Voorjaarsnota heel goed te bekijken wat het extra is dat op de Autoriteit afkomt. Het lijkt misschien te kort, maar het zou zomaar kunnen zijn dat er vanaf 25 mei heel veel vragen om voorlichting terechtkomen, heel veel verzoeken om handhaving en signalen van mensen en voorlichtingsvragen van kleine bedrijven die zich afvragen hoe ze een en ander in de praktijk moeten doen. Misschien is dat toch een interessante vraag aan de minister.

Bij dezen leid ik die vraag dan door. Ik luister ook met de heer Van Nispen mee naar het antwoord. Over twee dingen kan ik heel duidelijk zijn. D66 heeft al eerder gezegd dat er meer geld naar de autoriteit zou moeten gaan dan nu het geval is. Dat is wat wij willen. We hebben in coalitieverband natuurlijk gepraat over allerlei zaken en dan moet je keuzes maken. Er is niet genoeg geld voor alle wensen van alle partijen in dit land; dat weet de heer Van Nispen ook. We hebben nu die stap naar 7 miljoen gezet. Ik merk aan zowel de coalitiepartners als de minister dat ze zeer serieus zijn over de enorme hoeveelheid taken die de Autoriteit Persoonsgegevens erbij gaat krijgen. Als we daar op een goede manier naar willen kijken, zou een paar weken weleens te kort kunnen zijn, maar als er dingen volledig misgaan, zullen we absoluut kijken naar wat we dan moeten doen. We zullen de komende maanden absoluut gaan kijken naar de mate waarin de Autoriteit in staat is om al die verschillende vragen en handhavingstaken op een goede manier in te vullen. Ik doe natuurlijk geen toezegging op iets, want dat past mij niet, maar ik heb wel gevoel voor uw punt en ik wil daar serieus naar kijken.

De heer Verhoeven heeft beklemtoond dat de wet nodig en waardevol is voor de Googles van deze wereld, maar we hebben ook de zorgen besproken over bijvoorbeeld kleine instellingen en organisaties. Wat betekent dit nu voor hen? Om een concreet voorbeeld te noemen: vindt de heer Verhoeven ook dat het niet de bedoeling zou moeten zijn dat een zelfstandig schoolbestuur met een schooltje van 150 of 175 leerlingen een aparte functionaris voor gegevensbescherming krijgt?

Kijk, een functionaris is een middel om bepaalde zaken goed te regelen. Het is inderdaad waar dat in de UAVG niet helemaal precies goed staat wanneer iets wel of niet moet. Ik ben geneigd om te zeggen dat die school op geen enkele manier vergaand zal ingrijpen in de privacy van de burgers die door deze verordening beschermd worden. Dan ben ik geneigd om te denken dat ik niet moet gaan beoordelen of het wel of niet nodig is, maar dat de school in eerste instantie zelf beoordeelt of die dat nodig vindt. Als zij vinden dat het niet nodig is, omdat ze een aantal dingen niet doen op basis waarvan zo'n functionaris nodig zou zijn, is dat een eerste oordeel waar we van uit moeten gaan. En dan moet de autoriteit op een bepaalde manier kijken of die school daar gelijk in heeft. Als de school daar per ongeluk geen gelijk in heeft, moet de school ruim de tijd krijgen om daar op een goede manier op in te spelen. De school moet dan absoluut niet gelijk met een stok op de vingers geslagen worden. Maar de school moet zelf de inschatting maken of het nodig is of niet, omdat de school wel of niet veel gegevens bewerkt. Mijn inschatting is dat de meeste scholen niet op dat niveau zitten, maar dat is mijn inschatting. De inschatting is niet aan mij, want ik ben geen handhaver. Ik ben wetgever. En in dit geval ben ik eigenlijk meer uitvoeringswetgever, omdat de Europese wet gemaakt is door de Europese Unie.

Ik heb ook gekeken naar de richtlijn die er is, want de verordening is niet duidelijk. De richtlijn die erover gaat heeft ook weer 28 kantjes, en dan weet je eigenlijk nog niet precies of het nu wel of niet noodzakelijk is in zo'n geval. Stel dat er wordt gezegd: we leggen het maar ruim en veilig uit, dus het moet wel. Dat betekent dan een enorme administratieve last. Als we dat niet willen en ons afvragen of het wel nodig is, wat kunnen we dan als wetgever of controleur nog doen?

Wanneer moet je nou wel of niet iets doen? Als je veilig gaat zitten haal je jezelf meer op de hals dan nodig is en daar zijn we bang voor, zegt u. U doet nu een beetje alsof dat bij deze wet …

De heer Van der Staaij doet nu …

Ja, voorzitter, de heer Van der Staaij doet dat inderdaad. En u zegt dan tegen mij dat ik dat eigenlijk tegen u moet zeggen om dat aan de heer Van der Staaij duidelijk te maken.

U zegt het tegen mij als u "u" zegt.

Ja, nee, dat had ik dus inderdaad beter niet kunnen doen, voorzitter.

De heer Van der Staaij doet nu een beetje voorkomen of dit unieke probleem zich alleen bij deze wet afspeelt. Hiervan is natuurlijk sprake bij bijna alle wetten. Bij elke wet die aangenomen wordt, hoor je organisaties die ermee te maken krijgen, vragen stellen over de precieze reikwijdte. Laten we kijken hoe we de reikwijdte van deze bovengemiddeld complexe wet op een goede manier kunnen duiden, zodat schoolbesturen, kerken, verenigingen en handbalclubs er geen last van krijgen. Maar we kunnen niet in deze Uitvoeringswet allemaal dingen op gaan schrijven met heel harde grenzen, want die harde grenzen leveren ook weer problemen op. Ik denk dat de schoonheid van deze wet juist zit in het zelf mogen inschatten of je wel of niet een grote gegevensbewerker bent. Als je vindt dat je dat niet bent, is er ruimte om een aantal dingen niet te doen. Als je daar op een goede manier handhavend mee omgaat, kan dat juist minder belasting geven in plaats van meer belasting. Dat is mijn inschatting.

Prima, dank u wel. We gaan even schorsen. De minister heeft gevraagd om een schorsing van 25 minuten. Niet om 20 minuten en niet om 30 minuten, maar om 25 minuten. Daarna gaan we luisteren naar de antwoorden van de minister.

Het woord is aan de minister.

De minister had mij eigenlijk wel gepacificeerd toen hij zei dat hij zo meteen nader in zou gaan op de vragen over bijvoorbeeld de leeftijdsgrens. Maar nu zegt hij voor de tweede keer dat het beleidsneutraal is. Juist doordat er nieuwe rechten worden gegeven aan personen, pakken de afspraken die er wel degelijk zijn, bijvoorbeeld een bestaande leeftijdsgrens, volgens mij niet beleidsneutraal uit, omdat de implicaties voor burgers toch anders zijn. Als er nu inderdaad gehandhaafd wordt, heb je voor het downloaden van een app van NU.nl of voor googelen elke keer weer de toestemming van je ouders nodig als je onder de 16 bent. Dat pakt niet beleidsneutraal uit. Is de minister dat met mij eens?

Naar mijn beste weten is het ook nu in de Wet bescherming persoonsgegevens zo dat je onder een bepaalde leeftijd toestemming nodig hebt van je ouders. Dan wordt hier natuurlijk gevraagd hoe dat er in de praktijk precies gaat uitzien. We hebben allemaal vrienden met kinderen of we hebben zelf kinderen en zien dan natuurlijk ook dat dat lang niet altijd gebeurt. Laat ik even een parallel maken met het burgerlijk recht. Minderjarige kinderen, zeker kinderen onder de 16, mogen bijvoorbeeld geen overeenkomsten aangaan. Als een kind van 10 een ijsje gaat kopen, betekent dat formeel volgens de wet dat het toestemming van zijn ouders nodig heeft om een financiële transactie aan te gaan. In de praktijk gebeurt dat eigenlijk niet of nauwelijks, maar een ouder kan altijd zijn toestemming terugroepen bij het aangaan van dat soort overeenkomsten. Ik wil u meegeven dat ik best met u de discussie wil aangaan of je misschien van 16 naar 14 moet of zelfs naar 13. Dat is de benedengrens. Ik zie ook dat allerlei landen dat verschillend hebben geregeld. Dat vind ik overigens wel een wat zwak punt in de AVG, want dat laat toch zien dat de poging om dit binnen Europa te uniformeren nog niet helemaal lukt. Ik zit daar helemaal niet principieel in, maar als we dat gaan doen, zou ik het persoonlijk heel prettig vinden als we aan de Kamer gewoon helder aangeven wat de consequenties en implicaties zijn en wat de samenhang is met bijvoorbeeld andere wetgeving. Minderjarigen hebben op heel veel fronten formeel toestemming nodig van hun ouders om bepaalde rechtshandelingen te plegen.

Nu begrijp ik dat de verdediging van de minister eigenlijk is dat het op dit moment ook niet wordt gehandhaafd. Daarom zou er niet zo'n heel groot probleem zijn. Volgens mij is het de bedoeling dat de wet en de verordening die we hier bespreken, en ook de voorliggende Uitvoeringswet wel gehandhaafd worden. Dus het idee is dat het weinig problemen zal geven, omdat het eigenlijk ook nu al een beetje een fictieve toestemming is. Dat lijkt me een zwakke verdediging, omdat de bedoeling juist is dat het instemmen van burgers met de verwerking van hun data voortaan niet meer fictief is. Daarmee zal er wel degelijk iets veranderen voor de jongeren.

Ik heb het voorbeeld aangedragen, omdat je ook in andere wet- en regelgeving ziet dat leeftijdsgrenzen worden gehanteerd en dat daar in de praktijk een mouw aan wordt gepast. Er wordt dan ook gekeken naar redelijkheid en billijkheid. Ik gaf net het voorbeeld van een 12-jarige die een ijsje gaat kopen. Als je na een jaar nog een keer daarop terugkomt en zegt dat je daar geen toestemming voor gegeven had, zal de rechter toch echt zeggen: dat is dan pech gehad. Maar als een kind van 12 een duur ding heeft aangeschaft op het internet en je als ouder zegt dat je het niet zo bedoeld had, dan heb je wel degelijk een titel in het burgerlijk recht om daarop terug te komen. Het gaat hier om de gegevensverwerking. De heer Verhoeven of de heer Van der Staaij — ik weet niet meer wie het was — gaf aan dat de persoonsgegevens, ook van kinderen die minderjarig zijn, gebruikt worden. Het gaat niet alleen om het aanmaken van een profiel op Facebook, maar ook om de vraag of een minderjarig kind zich bewust is van wat er met zijn privégegevens precies gebeurt. Dat is een ingrijpend iets. Ik wil best de discussie met u aangaan over de vraag of je niet naar 14 of eventueel naar 13 terug moet, maar het verhaal heeft ook een andere kant, namelijk dat kinderen zonder de toestemming van ouders hun privégegevens kunnen weggeven en dat allerlei bedrijven, als ze daar toestemming voor hebben gegeven, daar vervolgens dingen mee kunnen doen. Nogmaals, ik zeg nu niet dat ik dit principieel niet wil, maar ik wil die brug pas overgaan als we de consequenties daarvan goed hebben doordacht. Vandaar mijn voorstel om te kijken of we dit in een tweede fase kunnen doen.

De minister gaf een aantal voorbeelden waarin het ging over betalen. Dat is ook een handeling met groot rechtsgevolg. Maar het gaat natuurlijk ook over het abonneren op een nieuwsbrief en het googelen van een boek voor je werkstuk. Het is toch te zot als je daarvoor steeds naar je ouders moet? Althans, ik zou dit ook niet willen als ouder. Ik zie me al zitten, dat ik elke avond weer ergens vinkjes moet zetten. Dat lijkt me dus niet de weg die we op moeten gaan. Het is goed dat we dit opnieuw gaan bekijken. Maar ik denk dat er in de komende maanden, als er inderdaad gehandhaafd wordt, echt een andere uitwerking komt dan nu het geval is in de huidige situatie. En dat vindt GroenLinks in ieder geval niet wenselijk.

Ik noteer de opvatting van mevrouw Buitenweg. Bij een aantal voorbeelden die zij aandraagt, zeg ik van mijn kant ook onmiddellijk dat dat een beetje gek zou zijn. Ik betwijfel wel of alle voorbeelden die u noemt, onmiddellijk onder het regime van de Avg vallen. Je kunt op internet namelijk heel veel dingen doen zonder dat je je persoonsgegevens weggeeft, bijvoorbeeld in zoekmachines kijken. Het heeft echter mijn voorkeur om deze discussie in de tweede fase met elkaar te voeren.

Voorzitter. Dan zijn er een aantal vragen gesteld over de systematiek van de wet. De heer Van der Staaij vroeg hoe om te gaan met de begripsbepaling in de wet. Dat is natuurlijk best een worsteling geweest, ook in Europees verband. Er is gekozen voor vrij algemene en vrij open normen. Dat heeft aan de ene kant een nadeel als je het eigenlijk veel concreter en veel specifieker wilt weten. Aan de andere kant heeft het een voordeel. De heer Verhoeven refereerde daaraan, namelijk dat je in een omgeving en in een wereld waarin de technologische ontwikkelingen heel snel gaan eigenlijk toe moet naar een zoektocht naar principes die straks, als de techniek verandert, ook weer hanteerbaar en geldend zijn. Daarom is de keuze gevallen op vrij algemene begrippen en vrij open normen.

Die moeten natuurlijk in de praktijk worden ingevuld. Dat gebeurt op verschillende niveaus. De verantwoordelijkheid van bedrijven en organisaties die verwerkingsverantwoordelijk zijn, staat uiteraard voorop, maar daar helpen we ze wel bij. Dat doen wij vanuit onze kant door aan te geven welke normen zij worden geacht precies op te pakken en uit te voeren. Daar hebben wij allerlei materiaal voor ontwikkeld, samen met de Autoriteit Persoonsgegevens. De toezichthouder voert op nationaal niveau toezichtbeleid, zowel in algemene richtlijnen als in het concrete toezicht- en boetebeleid. Dat betekent ook dat dit in de uitwerking van deze wet nader vorm krijgt.

Laat ik misschien even een parallelletje trekken naar het burgerlijk recht: ook in het burgerlijk recht staan natuurlijk vrij brede en open normen. Neem bijvoorbeeld het begrip van de onrechtmatige daad. Wat is een onrechtmatige daad eigenlijk? Maar het feit dat we zo'n open begrip hebben in het burgerlijk recht, dat in de praktijk vorm krijgt middels jurisprudentie en onafhankelijke rechterlijke uitspraken, maakt zo'n juridisch begrip ook wel weer heel erg tijdloos en op heel veel plekken en fronten goed toepasbaar. Dat is ook een beetje waarvan ik hier hoop dat een aantal van de open normen straks in de uitvoering nader handen en voeten krijgen en in de jurisprudentie verder worden uitgewerkt. Op Europees niveau stelt het Europees Comité voor gegevensbescherming ook allerlei algemene richtlijnen op. Verder stelt de Europese Commissie nog enige gedelegeerde en uitvoeringshandelingen op. Dat alles is natuurlijk qua omvang verschillend van de huidige situatie, maar in essentie, qua aard, wellicht niet.

De heer Van der Staaij stelde ook de vraag: waar stem ik nu straks mee in? Betekent de UAVG en het regime van de AVG dat we straks heel strikte privacynormen hebben en dat als we dat bijvoorbeeld willen doen op het gebied van veiligheid, met veiligheidshuizen of in de jeugdzorg, overheidsinstanties niet meer met elkaar kunnen communiceren omdat we hier vandaag wellicht ja tegen zeggen? Ik denk dat ik die zorg kan wegnemen. Een van de principes in de UAVG is immers dat er heel veel kan als daar een wettelijke basis voor is of als bijvoorbeeld individuele gebruikers daar toestemming voor geven. Bij een aantal voorbeelden kan ik daar dan denk ik straks ook wel wat kou uit de lucht halen. Dat betekent dus dat er voor u als parlement een heel belangrijke taak en rol liggen om straks aan te geven waar u vindt dat organisaties op de grond van de wet die u maakt en die u vaststelt, wel gerechtigd zijn om persoonsgegevens uit te wisselen. Ik zal in ieder geval vanuit mijn rol daarom ook voorzichtig zijn met hier in heel veel discussies beschuldigend naar Brussel wijzen of met zeggen dat iets niet meer kan omdat het zo in de UAVG geregeld is. Ik vind dat wij veel meer naar onszelf moeten kijken. We hadden hier onlangs een interessant debat over het terugdringen van recidive in het gevangeniswezen waarbij ook werd gezegd: het is voor gevangenissen en gemeenten ingewikkeld om gegevens over ex-gedetineerden met elkaar uit te wisselen. Dat kan allemaal in feite op basis hiervan, maar dan moeten we het in onze nationale wet- en regelgeving wel goed met elkaar regelen en vastleggen.

De minister zegt dat de wetgever op dit terrein juist wel aan de bak kan, om het zo maar te zeggen. Daar is juist van belang dat er formeel wettelijk ook echt een expliciete regeling is. Dat ben ik met hem eens. De vraag is wel in hoeverre dat nu ook bij deze Uitvoeringswet betrokken is. Ik zie daar wel algemene bepalingen in staan, ook op het terrein van wat er nodig is voor de gezondheid en de veiligheid, maar is daarbij wel nadrukkelijk aangesloten op de gangbare praktijken om te voorkomen dat deze wet leidt tot een inperking van de mogelijkheden die we nu in het belang van veiligheid en gezondheid kennen?

Een enorme verdere inperking is niet de bedoeling geweest van dit wetsvoorstel. Dit wetsvoorstel ziet toe op zorgvuldig beheer en goede beveiliging van persoonsgegevens. Ik ga er niet omheen draaien. Dit betekent voor heel veel organisaties dat zij eens goed moeten kijken naar de huidige manier waarop zij dat doen. Er zit echt een aantal nieuwe dingen in waarvoor ze aan de slag moeten, willen ze het goed regelen. Denk bij voorbeeld bij grote bedrijven en een ingewikkelde, complexe behandeling van persoonsgegevens aan zo'n gegevensfunctionaris. Voor vrij eenvoudige dingen moet je het in ieder geval in kaart gebracht en geregistreerd hebben. Zo is er een aantal nieuwe dingen in dit wetsvoorstel. Ik voorzie niet onmiddellijk dat dit voor een aantal van de reguliere dingen die we met zijn allen geregeld hebben een enorme beperking biedt, althans, dat is niet de intentie. Het zou kunnen dat we daar natuurlijk in de praktijk wel tegenaan lopen. Daarom vind ik een aantal van de suggesties die gedaan zijn, ik geloof door u, meneer Van der Staaij, maar ook door de heer Koopmans, om heel goed te blijven volgen hoe dit uitwerkt, cruciaal. Dat ga ik ook doen. Ook vind ik de suggestie cruciaal dat we dingen waar we wellicht in de praktijk tegenaan gaan lopen in onze nationale wetgeving goed moeten regelen. Ik sluit ook niet uit dat er nog dingen zijn waarvan we zeggen: ja, daar lopen we in de AVG zelf tegenaan. De heer Van der Staaij was wat kritisch over in ieder geval de Europese teksten. Het kan zijn dat we ons achteraf afvragen of die goed werkbaar waren. Ik weet dat mijn voorganger, Stef Blok, rond de zomer toen er een Europese Raad was, dit ook heel nadrukkelijk in Europa heeft geagendeerd. Hij heeft daarbij gezegd: kijkend naar de AVG komt er heel veel op bedrijven en organisaties af, we moeten de vinger aan de pols houden, niet alleen landelijk maar ook Europees. Als dat tot dingen leidt, dan kom ik bij u terug en gaan we samen bedenken hoe we dat moeten doen en of we dat in Nederland kunnen doen dan wel of we terug moeten naar Brussel.

Dat betekent concreet ook dat als het gaat om wat deze wet biedt op basis van de verordening, het niet de bedoeling is om te komen tot een inperking van de uitwisseling van gegevens in het kader van bijvoorbeeld de zorg voor verwarde personen en de manier waarop dat nu functioneert? Dat moet gewoon door kunnen gaan?

Daar ziet het niet op. Deze wet beoogt om de manier waarop wij en bedrijven en instellingen omgaan met persoonsgegevens beter te regelen en niet om dat enorm in te krimpen of te beperken. Ik sluit niet uit dat er staande praktijken zijn — ook daar ben ik de afgelopen maanden wel een paar keer tegen aangelopen — waarbij organisaties een manier van werken hadden en zich er nooit bewust van waren dat dit misschien ook onder de huidige wet- en regelgeving al dan niet kan en mag, er nu met de nieuwe wet- en regelgeving plotseling achter komen dat ze het moeten aanpassen en veranderen. Dus er zullen best een aantal dingen zijn die anders moeten. Feitelijk betekent dit dan wellicht een wat strikter en zorgvuldiger omgaan met die dingen. U kunt er wel van op aan dat als dit leidt tot onwenselijke knelpunten, bijvoorbeeld in de jeugdzorg, het onderwijs of de sport, ik daar dan graag mee terugkom. Vandaar de vraag om de vinger aan de pols te houden, om te evalueren en om bij wijze van spreken over een halfjaar terug te komen om te laten zien wat het heeft opgeleverd. Dat lijkt mij heel erg nuttig en dan kunnen we daarover de discussie aangaan.

Ik begrijp de voorgestelde aanpak van de minister. Ik ben zelf ook niet zo ver dat ik ten aanzien van al die punten waarover ik vragen heb gesteld, concrete voorstellen indien omdat ik ervan overtuigd ben dat het anders moet en het beter kan, maar er zijn wel veel zorgen die we hier ook allemaal hebben benoemd. Het liefst zouden we de behandeling van een wet in één keer goed willen doen en willen kunnen zeggen: en zo gaat het zijn. Maar ik heb wel begrip voor de voorgestelde tweefasenaanpak. Stel nou dat na 25 mei 2018 blijkt dat bijvoorbeeld sporters met een beperking niet meer hun sport kunnen beoefenen omdat niet meer geregistreerd mag worden welke beperking zij hebben. Het gaat dus om evident onmenselijke gevolgen die niet beoogd zijn. Is er dan nog ruimte voor interpretatie op dat moment of moeten we dan wachten totdat de inventarisatie is afgerond en er een nieuw wetsvoorstel komt? Ik bedoel dat niet alleen op het gebied van sport, maar dit is even ter illustratie van het punt dat ik wil maken.

Als er echt acute of zeer urgente knelpunten zijn, kom ik eerder bij u terug. Sterker nog, ik heb het vermoeden dat u mij dan aan mijn jasje gaat trekken en mij naar de Kamer roept en zegt: hé, we hebben ingestemd met een wet maar dit was niet de bedoeling. Dan gaan we kijken wat we daaraan kunnen doen. Als het gaat om de maatschappelijke impact en consequenties van deze wet- en regelgeving, worden soms ook beren op de weg gezien die er niet zijn en zijn er zaken die zonder wetswijziging heel eenvoudig zijn te omzeilen of zijn op te lossen. Ik heb zelf — ik twijfel of ik dat moet zeggen in dit huis — ook wel eens de indruk dat er rond de invoering van deze nieuwe wet- en regelgeving een beetje een industrie is ontstaan van allerlei bureaus en adviseurs die graag het beeld willen neerzetten dat het heel veel vraagt van organisaties en dat als je niets doet, je een enorme boete om je oren krijgt. Los van de terechte dingen die moeten veranderen, is dat een beetje bangmakerij met de optiek om er een mooie opdracht door te krijgen, in de zin van: wij weten precies hoe je dat kunt voorkomen. Ik wil kijken naar wat er echt nodig is. Laat ik het punt van de gehandicapte sporters er dan toch even uit pikken. Ik heb ook de brief van NOC*NSF gelezen. Die verbaasde mij eigenlijk wel een beetje. Ik ga graag met ze in gesprek om te kijken wat er echt aan de hand is. Ik denk dat als je als gehandicapte sporter actief bent in een sport en gewoon toestemming geeft voor het verwerken van die gegevens, er niets aan de hand is. Dan kan het gewoon.

Ik denk dat het goed is dat de minister net die dingen heeft gezegd over het belang dat bepaalde organisaties kunnen hebben bij het gevoel dat heel veel organisaties heel veel moeten doen om aan deze wet te voldoen en dat ze er daardoor ook weleens een verdienmodel voor zichzelf in zien. Dat moeten we absoluut zien te voorkomen, dus ik ben blij dat de minister dat gezegd heeft. Ik ben heel benieuwd hoe hij, als de uiteindelijk verantwoordelijke voor de uitvoering en de uitvoeringspraktijk in Nederland, wil zorgen voor een goede balans tussen het navolgen van die belangrijke privacyregels, waar we allemaal een gevoel bij hebben, en het voorkomen van allerlei overdreven en onnodige ingrepen door allerlei organisaties die niet in de categorie van zware gegevensbeschermers zitten.

Ik wil dat doen door goede, neutrale en onafhankelijke voorlichting te geven. Daarom ben ik zelf blij met de adviesfunctie die de Autoriteit Persoonsgegevens krijgt. Wij dragen zelf ons steentje bij vanuit het ministerie van Justitie en Veiligheid om ook grotere en middelgrote bedrijven, als het gaat om de zwaardere regimes, precies aan te geven wat voortvloeit uit de wet, wat moet en wat niet. Ik hoop dat ook brancheverenigingen daarbij helpen. Ik ga graag partnerschappen aan. Dat doen we bijvoorbeeld al met VNO-NCW en met MKB Nederland, maar wat mij betreft doen we dat ook met partijen als NOC*NSF en als het gaat om het onderwijs met de PO-Raad en de VO-raad om dat goed inzichtelijk te maken. Ik geloof dat wat hierin staat echt een verbetering is. Als organisaties daar nog niet aan voldoen, geloof ik dat het in hun belang is en ook in het belang van bijvoorbeeld de kinderen die op een school zitten of de sporters die aangesloten zijn bij een vereniging, dat de organisatie waarmee zij te maken hebben het been bijtrekt. Maar we zijn hier niet om alles onmogelijk te maken. Dat vind ik heel belangrijk.

Misschien mag ik nog een ding meegeven aan de heer Verhoeven. Ik deel heel erg zijn punt over de grote databedrijven, de Googles en de Facebooks van deze wereld, maar deze wet- en regelgeving is er niet alleen maar om hen te reguleren. We moeten ons echt realiseren dat het gebruik van data op heel veel fronten gebeurt. Ook in het midden- en kleinbedrijf gaat dat een steeds grotere rol spelen, en ook in andere organisaties. Neem bijvoorbeeld de school. Vroeger paste je daar een mouw aan en ging het allemaal zo. Maar tegenwoordig, met alle digitale leermiddelen die er zijn, moeten we heel goed nadenken over hoe bijvoorbeeld ook een kleine school omgaat met de gegevens die ze hebben van leerlingen, omdat het gaat om kwetsbare kinderen. Die hoeven misschien geen heel zwaar regime op te tuigen, maar ik zou het eigenlijk wel goed vinden als ook een kleine school of een voetbalvereniging, net zoals je een penningmeester hebt die op de centen let, aan iemand vraagt: hou jij bij wat er binnen onze organisatie gebeurt als het gaat om de verwerking van persoonsgegevens, want dat is gevoelig en dat moeten we goed geregeld hebben.

De minister noemt nu het punt van de scholen. Ik had daar zelf ook nog een opmerking over. Hoe zit het bijvoorbeeld met zo'n functionaris voor gegevensbescherming? Daar is dan discussie over. De minister zegt dat het altijd goed is om goed met persoonsgegevens om te gaan en daar oog voor te hebben. Helemaal mee eens. Je zou ook nog kunnen zeggen: maakt het nou veel uit of je een functionaris hebt; het is altijd wel goed dat iemand ervoor verantwoordelijk is. Maar dan is de vervolgstap weer dat aan zo'n functionaris allerlei eisen verbonden zijn: je moet scholing hebben. Voordat je het weet, kom je toch weer in een bureaucratie terecht waarvan we ons afvragen: is dat allemaal wel de bedoeling? Wat is de reactie van de minister op dat punt?

Ik wilde eigenlijk net beginnen aan het hele blok over de maatschappelijke impact. Ik heb de wetgeving afgerond. Ik wilde nu eigenlijk toe naar de vraag wat dit betekent voor organisaties, voor bedrijven. Daar komt dit ook aan bod. Ik kijk naar de voorzitter, of ik kijk naar u. Als aan het einde van het blokje deze vraag nog niet is beantwoord, dan vind ik het ook goed om daar nog even op terug te komen, maar hij komt aan de orde in wat u nu wil gaan vertellen.

Ik vind het prima dat het wat later komt. Dan nu alleen even meer het algemene punt. De minister gaf aan dat het zelfs voor kleine organisaties goed is om er oog voor te hebben. Al heb je het maar over tien mensen, het gaat wel om kwetsbare gegevens soms. Mee eens, maar is hij het op het niveau van deze algemene gedachtewisseling met mij eens dat we wel oog moeten hebben voor de gevaren van de enorme administratieve lasten die het tot gevolg heeft en die eigenlijk niet meer in verhouding staan tot het belang dat we dan willen dienen met elkaar?

Dat ben ik helemaal met de heer Van der Staaij eens. Het gaat ook om proportionaliteit en om risicogericht werken. Ik gaf net aan dat het ook goed zou zijn als bij wijze van spreken de voetbalclub iemand benoemt in zijn bestuur of in zijn organisatie die ook nadenkt over wat je doet met gegevensverwerking, maar een gegevensfunctionaris zoals de wet die voorschrijft voor complexe handelingen, is daar niet per se nodig. Dat geef ik even aan opdat de heer Van der Staaij niet nu denkt dat ik zeg dat ook daar gegevensfunctionarissen moeten worden aangesteld en ingesteld. De wet geeft precies aan wanneer dat moet. Ik ga daar straks wat over zeggen. Maar daar vallen voetbalclubs, tenzij ze heel bijzondere dingen doen waarvan ik geen weet heb, niet onder.

Voorzitter. Wat betekent dit dan voor bedrijven en voor organisaties? Er bestaat onmiskenbaar enige spanning tussen de twee doelstellingen van de AVG die ik zojuist noemde: het beschermen van het grondrecht enerzijds en het garanderen van een meer vrije uitwisseling van persoonlijke gegevens anderzijds. Toch liggen de bescherming van persoonsgegevens en de bevordering van de interne markt in elkaars verlengde, want naarmate de technologische ontwikkelingen en de technologische mogelijkheden toenemen, wordt ook de behoefte aan spelregels groter. Omgekeerd zou je kunnen zeggen dat de bereidheid van consumenten om gegevens te verstrekken, toeneemt naar de consument weer meer vertrouwen heeft in de wijze waarop zijn gegevens worden verwerkt. Dus een hoog en een goed niveau van bescherming van persoonsgegevens bevordert ook juist het vrije economische verkeer binnen de EU.

Dit gezegd hebbende is het allereerst van belang om te constateren dat de AVG weliswaar nieuwe elementen bevat en ook wel hier en daar accenten verschuift, maar dat de basisbeginselen voor rechtmatige verwerking van persoonsgegevens zoals verankerd in de Wet bescherming persoonsgegevens, dus de huidige wet, eigenlijk stevig overeind blijven staan. Ik durf ook wel de stelling aan dat voor bedrijven en organisaties die al voldoende voldoen aan de eisen die op grond van de Wbp gelden, en die dus ook zelf goed inzicht hebben in hun eigen informatiestromen, eigenlijk dat nieuwe AVG-regime helemaal geen grote aardverschuiving is. Even los van het feit dat je natuurlijk ook al aan ziet komen dat deze wetgeving straks in werking treedt, omdat 27 april 2016 al in Europa die wetgeving is vastgesteld.

Maar dat de AVG evident voordelen heeft, maakt niet dat ik mijn ogen sluit voor de inspanningen die organisaties en bedrijven zich nu moeten getroosten om de gegevensverwerking die zij uitvoeren door te lichten en eventueel hun bedrijfsprocessen aan te passen. Vooral op het vlak van verantwoording en transparantie eist de AVG meer dan voorheen van verwerkingsverantwoordelijken.

Voor bedrijven die ook nog eens bezig zijn met een inhaalslag — omdat ze op dit moment niet voldoen aan de eisen van de Wet bescherming persoonsgegevens — zal het been bijtrekken, naarmate dat achterstallig onderhoud groter is, vanzelfsprekend navenant meer tijd en inspanning vergen. Ik heb daar zeker ook oog voor. Ik werk ook al geruime tijd samen met de AP en bijvoorbeeld ook met VNO-NCW om allerlei inspanningen te verrichten om de boel in goede orde te laten verlopen, op maat gesneden informatie ter beschikking te stellen aan alle bedrijven en organisaties om hen zo wegwijs mogelijk te maken in de nieuwe regels die per 25 mei ingaan.

Ik ga heel snel gewoon eens even heen door een aantal dingen die we doen. De Commissie is onlangs een zeer omvangrijke voorlichtingscampagne gestart. De artikel-29-groep, zeg maar de voorloper van het Comité, heeft inmiddels een aantal richtsnoeren uitgebracht, die zien op de AVG en bijvoorbeeld gaan over rol en positie van de functionaris gegevensbescherming of over de gegevensbeschermingseffectbeoordeling: wat moeten we precies verstaan onder het fenomeen van profiling? Het ministerie van J en V heeft onlangs een toegankelijke handleiding AVG gepubliceerd. Die handleiding is primair bedoeld voor bedrijven en organisaties die hun organisatie op de nieuwe wet- en regelgeving willen voorbereiden. Speciaal voor kleine ondernemers wordt eind maart ook nog eens een keer daarbovenop een praktische, compacte brochure uitgebracht, omdat je het niet alleen inzichtelijk wilt maken voor de juristen van grote bedrijven, maar ook voor bij wijze van spreken de detailhandel, midden- en kleinbedrijf en kleinbedrijf.

Er zijn de afgelopen tijd verschillende bijeenkomsten georganiseerd door de AP voor specifieke branches, waarvan we weten dat ze met heel veel persoonsgegevens te maken hebben: de financiële sector, lokale overheden, onderwijs, zorg en de advertentiesector. Daarop richt de AP specifiek haar voorlichting. En het is zo dat er een meer algemene campagne is gestart, een voorlichtingscampagne, op 29 januari jongstleden, waarbij ook heel concrete regelhulpen worden aangeboden aan organisaties die hiermee aan de slag willen.

In algemene termen kan ik niet al te veel zeggen over wat het precies van bedrijven en organisaties vergt, omdat dat heel erg afhangt van de mate waarin zij persoonsgegevens verwerken en ook van waar zij eigenlijk nu al staan: voldoen ze al heel erg goed aan de huidige Wet bescherming persoonsgegevens dan wel moeten ze een been bijtrekken? Maar laat ik eens een aantal voorbeelden geven, bijvoorbeeld voor, het werd al genoemd, de voetbalclub: we hebben in Nederland een heel rijk verenigingsleven, die dit natuurlijk ook allemaal op zich af zien komen. Het is, vind ik, uiteindelijk belangrijk dat ook zij zich realiseren dat ze persoonsgegevens van hun leden verwerken en dat daar soms ook heel gevoelige, bijzondere persoonsgegevens tussen kunnen zitten. Denk bijvoorbeeld aan gegevens over kinderen waarbij iets medisch meespeelt. Daarom dient zo'n club erop toe te zien dat ook die gegevens niet zomaar aan derden worden verstrekt, maar netjes worden bewaard, beheerd en goed worden beveiligd. Dat houdt ook in dat ze hun ledenbestand goed moeten beveiligen. Maar al met al zijn het in mijn ogen wel redelijke eisen en activiteiten en inspanningen die je van deze verenigingen vergt die in mijn ogen ook wel behapbaar zouden moeten zijn.

Voorzitter. Dan vroeg de heer Koopmans of er nou met deze wet voldoende aandacht is voor de veilige opslag van gegevens. Ik denk dat dat alleen maar een steeds groter punt wordt. We staan misschien nog maar aan het begin. Het antwoord is ja: daar ziet de AVG extra op toe. Ik denk ook dat dat nodig is. Kortheidshalve verwijs ik maar even naar het recente jaarverslag van de AIVD, waarin wordt aangegeven dat bij cybercrime het hacken, het actief op zoek zijn naar persoonsgegevens door kwaadwillende derden, een toenemend groot probleem is. Dat betekent uiteraard voor de heel grote bedrijven, maar ook voor kleinere bedrijven en organisaties, dat het belangrijk is dat men zich daarvan bewust is en dat men zelf probeert om de beveiliging zo goed mogelijk op orde te hebben.

Voorzitter, ik ben even op zoek naar ...

De heer Koopmans komt ons helpen met een interruptie.

Hij komt mij even redden. Dat geeft mij de kans om even ...

Neem uw tijd, mijnheer Koopmans, zou ik zeggen.

Neem de tijd.

Ik word er inderdaad op gewezen dat het vandaag Internationale Vrouwendag is. Dat is heel belangrijk. Ik zie dat wij veel waardevolle bezoekers op de publieke tribune hebben, inclusief vertegenwoordigers van de Autoriteit Persoonsgegevens. Ik zie ook dat de minister heel druk bezig is met de beantwoording van alle vragen.

Ik heb het inmiddels gevonden.

Daaraan zou ik een vraag willen toevoegen, nadat hij het net erover had dat het belangrijk is dat gegevens veilig opgeslagen worden en dat organisaties, de gegevensverwerkers, zich daarvoor inzetten. In hoeverre draagt de huidige regelgeving en de toekomstige regelgeving eraan bij dat organisaties, gegevensverwerkers, dat zelf intern gaan handhaven? Wat, voor zover het nog niet volledig is geregeld, kunnen wij nog toevoegen aan dit punt, zodat er duidelijke handhaving ontstaat binnen de organisaties ter beveiliging tegen hackers?

Er is bij dit soort regelgeving altijd een spanningsveld. In hoeverre schrijf je organisaties precies voor wat zij georganiseerd moeten hebben om de zaken goed op orde te hebben? Ik vind dat de AVG op een aantal punten al vrij ver gaat, bijvoorbeeld met het verplichte register en de verplichte gegevensfunctionaris. Dan is het altijd de vraag of je ook nog precies moet voorschrijven hoe ze intern hun compliance doen en hoe ze handhaven, als het gaat om het omgaan met die gegevens. Ik denk dat deze wetgeving niet zo ver gaat. Tegelijkertijd is het wel zo dat de normen verduidelijkt zijn en biedt deze wet mogelijkheden voor burgers om bijvoorbeeld te klagen over wat een organisatie doet met je gegevens. Ook is er de follow-up door een handhavende organisatie, zoals de Autoriteit die er vervolgens mee aan de slag moet. Vervolgens hebben zij de tanden om ertegen op te treden, wat met zich meebrengt dat bedrijven zich iets meer achter de oren gaan krabben: als ik er echt een potje van maak, of bewust dingen doe met gegevens die niet kunnen, dan heb ik een groot probleem. Met die combinatie van heldere normstelling met een aantal ankerpunten wat je vraagt van grote organisaties, maar ook met een goede toezichthoudende en handhavende follow-up, denk ik dat ieder groot bedrijf dat zichzelf serieus neemt, hier echt serieus werk van gaat maken.

Ik zal nog een paar dingen meer zeggen over wat dit vraagt van bedrijven. Waar ik net naar op zoek was, ging over de handhaving, maar daar kom ik straks op terug in het blok over de Autoriteit.

Ik heb al wat gezegd over artikel 30 en over de gezondheidsgegevens van sporters en sportbeoefening. Ik denk dat dat vrij eenvoudig te ondervangen is. Als er andere dingen spelen, ga ik in gesprek met NOC*NSF. Maar met de toestemming denk ik dat heel veel gewoon kan.

Mevrouw Van Toorenburg vroeg: wat moet het mkb allemaal regelen? Kort samengevat betekent dit allemaal dat bedrijven en organisaties bewuster moeten omgaan met bijvoorbeeld de gegevens van klanten. Neem een supermarktketen. Die moet een register bijhouden van de persoonsgegevens die hij verzamelt. Je moet dus in ieder geval in kaart brengen wat je aan gegevensverwerking doet, bijvoorbeeld dat je bewakingscamera's hebt hangen of dat je werkt met klantenkaarten, en wat daar precies achter zit. De supermarkt moet ook registreren wat er met die gegevens gebeurt en waarom dat noodzakelijk is.

Van de AP heb ik begrepen dat zij het eerste jaar dat de AVG van toepassing is vooral zal inzetten op verdere voorlichting en bijsturing, en niet onmiddellijk zal grijpen naar het allerzwaarste middel dat deze wet biedt. Verder wordt er praktische hulp verleend. In de praktijk zijn er voor het mkb een aantal concrete wijzigingen. Neem bijvoorbeeld het register van verwerkingsactiviteiten, het idee van privacy by design en by default, dat je er van tevoren bij nadenkt als je dingen ontwerpt, rond de registratie, et cetera.

Dan vroeg mevrouw Van Toorenburg: wanneer is zo'n functionaris gegevensbescherming nou precies verplicht? Een belangrijk uitgangspunt bij de verordening is de risicogerichte benadering. Dat betekent dat verenigingen van vrijwilligers, die als het ware niets bijzonders doen met persoonsgegevens, die wel een ledenbestand en dat soort dingen hebben, maar geen gekke dingen, beduidend minder aandacht hoeven te besteden aan deze verordening dan bijvoorbeeld bedrijven die op heel grote schaal aan complexe gegevensverwerking doen. Een functionaris gegevensbescherming is verplicht bij een aantal dingen. Eén: bij overheidsinstanties. Twee: bij grootschalige verwerkingen wegens regelmatige en stelselmatige observatie van personen. En drie: bij grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens. Dat geeft al wel een beetje aan dat het gaat om de wat zwaardere verwerkingen. Of een verwerking grootschalig is, hangt met name af van de aantallen waar betrokkene mee werkt. Voor een gemiddelde sportvereniging zal dit naar mijn oordeel niet snel aan de orde zijn, hoewel ik natuurlijk niet volledig kan overzien wat zich daar in de praktijk voordoet.

Voorzitter. Dan de registratie. Dat is een ander verhaal. Hoe zit het nu met die grens van 250 werknemers in artikel 30? Is dat werkbaar? Daarop is een eerlijk antwoord dat de Europese regelgeving eigenlijk zegt: zolang en zodra er sprake is van systematische gegevensverwerking, moet je dat goed registreren, ook beneden die 250 medewerkers. Ik denk inmiddels, misschien ook omdat we gewoon weer een paar jaar verder zijn sinds het ontwerpen van die Europese regelgeving, dat er relatief weinig organisaties in Nederland zijn die kunnen beweren dat zij niet systematisch persoonsgegevens verwerken. Ik denk dus dat vrijwel iedere organisatie de facto eigenlijk verplicht is om daar waar zij persoonsgegevens verwerkt, dat te registreren en in kaart te brengen wat zij precies doet, waarom zij dat doet en waarom het precies noodzakelijk is dat die gegevens worden verwerkt. Nu zal dat voor een kleine organisatie of voor een mkb'er, zoals de slager op de hoek, natuurlijk een relatief beperkt iets zijn. Als je een klantenbestand hebt omdat je in de zomer barbecuevlees moet afleveren en de rekening moet versturen, dan kan zo'n register bij wijze van spreken op een half A4'tje. Voor grote bedrijven is dat anders. Die hebben met veel meer verwerkingsactiviteiten te maken. Daar zal zo'n register veel substantiëler zijn.

Precies om deze reden had ik de vraag gesteld of het niet mogelijk is om artikel 30, lid 5 zo te lezen dat een bedrijf niet registerplichtig is als het minder dan 250 werknemers heeft maar geen risicovolle verwerkingen doet. Want was is eigenlijk het nut van een register van de slager om de hoek als het gaat om 30 mensen in zijn buurt die vlees bestellen voor de barbecue in de zomer of om het bijhouden van een salarisadministratie voor zijn vijf personeelsleden?

Ik denk dat dat een terechte vraag is. Ik denk dat het ook voor die slager om de hoek op zich goed is om zich te realiseren dat dit nuttig is als hij werkt met een bestand van gegevens en rekeningnummers; ik weet niet precies wat daar dan in zit. Bij het aanleggen van zo'n register denk je, als je het even op papier zet: potverdorie, ja, ik doe wel het een en ander met die gegevensverwerking; het is goed dat ik daarover nadenk, dat ik dat ook netjes doe en dat ik dat op mijn eigen computer bijvoorbeeld goed heb beveiligd. Dat zou ik zelf prettig vinden en ook niet disproportioneel. Het tweede punt is eigenlijk veel meer een wetstechnische aangelegenheid: mogen wij dit artikel van de AVG niet op een bepaalde manier lezen? Dat is ingewikkeld, want als ik daar nu te veel op inga, gaan wij hier in het nationale parlement Europese wet- en regelgeving interpreteren. Als 28 lidstaten dat doen, komt er helemaal niets terecht van die uniformering. Het gezag om een interpretatie te geven aan wat er precies mee wordt bedoeld, is uiteindelijk dus belegd bij onze eigen autoriteit, die over definitiekwesties en over het interpreteren van het een en ander uiteraard afspraken maakt met de collega's elders in Europa.

Misschien mag ik nog één nabrander geven. Dit behoort veel meer bij de evaluatie, maar ik kan mij heel goed voorstellen dat we, als ook in andere Europese landen bij dit soort dingen toch gevraagd wordt of dit opweegt tegen andere belangen, ook in Europa eens zo'n discussie moeten aangaan. Dit is iets wat we niet als nationaal parlement of nationale wetgever kunnen. Daarvoor moeten we terug naar Brussel.

De heer Van der Staaij stelde een vraag over de positie van kerken: hebben die een aparte titel in deze wet? Dat is niet het geval. Kerken hebben zich, zoals iedere andere organisatie in Nederland, aan de wet en dus ook aan de AVG te houden. Dat betekent dat zij ook op het punt van de verwerking van persoonsgegevens een bepaalde verantwoordelijkheid hebben, bijvoorbeeld een meldplicht bij datalekken. Dit gezegd hebbende is het wel zo dat de AVG en de UAVG een aantal regels hebben opgenomen die specifiek voor kerkgenootschappen gelden. Belangrijk in dit verband is dat kerkgenootschappen in het kader van hun gerechtvaardigde activiteiten en met passende waarborgen uitgezonderd zijn van het verbod op verwerking van bijzondere persoonsgegevens. De vrijheid van kerkgenootschappen om hun kerkelijke organisatie naar eigen inzicht in te richten, zoals voortvloeit uit artikel 2 van Boek 2 van het Burgerlijk Wetboek, wordt door de AVG niet beperkt. Ook goede pastorale zorg hoeft niet te worden gehinderd door de AVG of de UAVG.

Met betrekking tot de consequenties voor minderjarigen zei de heer Van Nispen dat soms specifiek iets wordt gezegd over kinderen en in andere gevallen niet. Mijn reactie daarop is: als dat niet expliciet wordt gemeld, betekent dat niet dat die bepalingen niet op hen van toepassing zijn. Artikel 17 betreft bijvoorbeeld het recht om vergeten te worden. Dat is niet gespecificeerd op minderjarigen, maar is vanzelfsprekend wel op hen van toepassing. Dus waar extra bescherming voor kinderen nodig wordt geacht, is dit uitdrukkelijk geregeld in de desbetreffende bepaling. Dat zijn de specifieke bepalingen. De generieke bepalingen gelden voor iedereen, dus ook voor kinderen.

Mevrouw Van Toorenburg vroeg naar de gezondheidsgegevens. Het regiemodel mag niet als een soort schild worden gehanteerd om bijvoorbeeld kwaliteitscontroles te omzeilen. Daar ben ik het van harte mee eens. Daarom wordt waar nodig voorzien in een wettelijke grondslag voor de Inspectie Gezondheidszorg en Jeugd in oprichting voor inzage in gezondheidsgegevens. Ik verwijs naar het bij de Tweede Kamer aanhangige wetsvoorstel in verband met de versterking van het handhavingsinstrumentarium van de Inspectie Gezondheidszorg en Jeugd.

Mevrouw Buitenweg vroeg nog naar de geautomatiseerde besluitvorming, waar een specifiek regime geldt voor kinderen. Zij vroeg of wij denken dat dat afdoende is. Mijn eerste indruk is wel. Ik heb er vertrouwen in dat wat er in die overweging staat, ik meen dat het 71 is, dat kinderen geen object mogen zijn van geautomatiseerde besluitvorming, een voldoende basis is die verzekert dat kinderen een bijzondere bescherming krijgen. Hoe dat in de praktijk uitwerkt, zal verschillen van situatie tot situatie. Om die verschillen te overbruggen, vermoed ik dat de toezichthouders met elkaar in conclaaf gaan om te kijken hoe dat in specifieke situaties uitwerkt. Laat ik een voorbeeld geven: online leren of spelen door kinderen vanuit het onderwijs, waar steeds meer wordt gewerkt met data die moeten worden geïnterpreteerd en verwerkt et cetera. Daaruit mogen geen profielen worden afgeleid en het mag niet volledig geautomatiseerd worden, dus daar moet altijd menselijke interventie bij betrokken zijn.

Voorzitter, dan wilde ik graag naar de Autoriteit Persoonsgegeven en de manier waarop er zal worden gehandhaafd. Ik kan me heel goed voorstellen dat er heel veel bedrijven en organisaties in Nederland zijn die zeggen: we hebben een wet, dit is ongeveer wat er van ons wordt verwacht, maar wat hangt me nou boven het hoofd?

Mag ik dan een vraag stellen die bijna een bruggetje is? Neem eens een leuke Rosmalense voetbalvereniging, de grootste van Nederland. Als die vereniging gegevens verzamelt om te kijken of die f'jes niet superb naar jong-Ajax kunnen, kunnen zij dan terecht bij de Autoriteit Persoonsgegevens om te vragen: moeten wij een privacy assessment maken, moeten wij zo'n functionaris hebben? Dan zijn zij namelijk echt geholpen.

Bij de AP wordt de telefoon opgenomen. Ook als het gaat om dit soort specifieke vragen wil ik ze echt naar de AP verwijzen, want die kunnen daarbij helpen.

Dus ik hoor u zeggen dat het wel de bedoeling is dat ze zo laagdrempelig zijn dat er gespard kan worden. Mensen willen geen fouten maken, ze willen gewoon weten waar ze aan moeten voldoen.

Ja. Dat was inderdaad een perfect bruggetje naar het volgende. Ik proef in de gesprekken die ik heb gevoerd in de aanloop naar dit debat dat er behoefte is aan geruststelling ten aanzien van de wijze waarop de Autoriteit straks de handhavende taken zal oppakken. De combinatie van de aan de ene kant nieuwe en soms complexe regelgeving met deels open normen, en anderzijds de bevoegdheid van de toezichthouder om ook werkelijk heel hoge boetes op te leggen, leidt tot onrust en eerlijk gezegd begrijp ik dat best.

Omgekeerd begrijpt u dat ik geen zeggenschap heb over de taakuitoefening van een onafhankelijk toezichthouder als de AP. Een geruststelling in de zin van harde toezeggingen kan ik u dus niet geven. Natuurlijk ligt het in de rede dat de Autoriteit prudent omgaat met de hen ter beschikking staande bevoegdheden. Daarbij moet altijd worden bedacht dat ook op grond van de Algemene wet bestuursrecht de AP vanzelfsprekend gebonden is aan de zorgvuldigheidseisen die gelden voor alle bestuursorganen bij het opleggen van een sanctie. Om een voorbeeld te geven: het rauwelijks opleggen van een bestuurlijke boete is op grond van het lex certa-beginsel alleen mogelijk als ook voor de overtreder glashelder was of kon zijn wat van hem werd verwacht. Dat zal met open normen ook wel een kwestie van tijd en ontwikkeling zijn. Daarenboven heb ik dit punt besproken met de voorzitter van de Autoriteit Persoonsgegevens, de heer Wolfsen. Hij verzekerde mij dat de autoriteit, zeker in de eerste jaren dat de AVG van toepassing is, vooral zal inzetten op voorlichting en bijsturing en natuurlijk echt niet onmiddellijk op het beboeten van korfbalverenigingen of plaatselijke middenstanders die bereidwillig zijn om het beste te doen en zich netjes aan de regels te houden. Het is natuurlijk een ander verhaal als er sprake is van opzettelijke of ernstige misstanden, maar we moeten ons ook realiseren dat we aan het begin staan van een proces waarbij heel veel organisaties en bedrijven bezig zijn om het goed te regelen.

Met het oog op het bijsturen hebben we in de UAVG ook een typisch Nederlands instrument toegevoegd aan het arsenaal van sancties die een toezichthoudende autoriteit kan opleggen op grond van deze wet. Dat is misschien nog aardig om aan uw Kamer mee te geven. Dat is namelijk de last onder dwangsom. Een overtreder kan daarmee immers een daadwerkelijke sanctie, in dit geval het verbeuren van de dwangsom, voorkomen door binnen de gestelde termijn de onrechtmatigheid op te heffen. Ik heb dat ook besproken met de autoriteit. Dan heb je dus ook een aantal middelen die niet gericht zijn op: wij zijn een strenge politieagent en als we iets zien wat niet goed is, gaan we onmiddellijk hard beboeten. Je hebt dan ook een aantal instrumenten in je repertoire waarvan je kan zeggen: nee, wij zijn er vooral op gericht om te komen tot compliance, tot herstel en tot verbetering van de praktijken bij bedrijven en organisaties. Ik heb daar vertrouwen in.

Ik denk dat dat ook een antwoord is op de vragen van de heren Koopmans en Verhoeven en mevrouw Van Toorenburg over gedienstige of begeleidende handhaving. Misschien mag ik dat zo vertalen dat er een combinatie is van advies en handhaving en dat het voor een deel ook gericht is op herstel. Ook de autoriteit is zich er natuurlijk maar al te goed van bewust dat zij direct een probleem heeft met haar eigen gezag als zij de eerste keer gaat handhaven op een plek waarover iedereen zijn wenkbrauwen fronst. We weten het natuurlijk niet want het is aan de autoriteit zelf, maar ik ga er echt van uit dat de eerste keren dat er wordt beboet zeer waarschijnlijk gevallen zijn waarvan we allemaal vinden dat het evident is dat daar iets fout is gegaan. Dat zal een bedrijf of organisatie zijn die in ieder geval groot genoeg was om zich te kunnen realiseren dat er iets aan de hand was.

Het klinkt misschien wat onaardig, maar wij zijn ons helemaal de blubber geschrokken van de manier waarop de Autoriteit Persoonsgegevens is omgegaan met de uitwisseling van gegevens in de gemeente Tilburg ten aanzien van ondermijning. Dan lees je op een bepaald moment een 80 bladzijden dik rapport en vraag je je af wie we eigenlijk aan het beschermen zijn, de criminelen of de gemiddelde Nederlander die niet wil dat zijn kinderen worden opgeblazen. Dus bij het vertrouwen dat de minister uitspreekt, denk ik: we moeten wel opletten wat we doen, want wie beschermen we? Ik zeg dat hier heel hard, in aanwezigheid van de autoriteit. Die notie wil ik er wel naast leggen.

Dat is volgens mij vooral een opmerking die bedoeld is richting de publieke tribune. Ik ken dat rapport ook en ik ga het nu een beetje opnemen voor de AP. U weet dat ik hier samen met mijn collega Grapperhaus ook ongelofelijk hard aan trek. De bestrijding van bepaalde vormen van criminaliteit, bijvoorbeeld ondermijning, vraagt ook dat wij als wetgever de uitwisseling van informatie beter wettelijk regelen. Dat is de pijnlijke plek waar de Autoriteit Persoonsgegevens de vinger op legde. De uitwisseling was misschien wel wenselijk in het kader van de bestrijding, maar we hadden het niet goed wettelijk geregeld. Dan mag u mij of mijn collega erop aanspreken dat dat beter moet. In feite kan dat ook met de UAVG, want een van de redenen om wel te mogen uitwisselen is een wettelijke grondslag.

Voorzitter. Ik heb wat gezegd over het handhavingsregime. Ik wil ook graag wat zeggen over het budget van de autoriteit, want daar zijn wat opmerkingen over gemaakt. Is dat nou voldoende? Er ligt een rapport dat aangeeft dat er verschillende varianten zijn. Er is een minimumvariant. Het bedrag dat de AP vorig jaar heeft gekregen, zit daar zelfs nog een beetje onder. Ik zie dat ook. Tegelijkertijd zou mijn insteek zijn: laten we eerst maar eens even een begin gaan maken, ervoor zorgen dat we er überhaupt in slagen om dat geld op een goede manier uit te geven aan goede mensen die de capaciteit hebben om het werk van de Autoriteit Persoonsgegevens goed te doen. Als het dan knelt, hebben we uiteraard gewoon weer een gesprek. Dan weet de heer Wolfsen mij te vinden.

De minister vat zelf al samen hoe het zat met de scenario's. Zelfs het laagste scenario wordt niet gehaald, terwijl het middelste scenario, dat echt een hoop miljoen extra is, het waarschijnlijkste scenario is. Zelfs het hoogste scenario is niet uit te sluiten. Ik vind het jammer dat dat onderzoek niet wordt nageleefd. Ofwel zeg je dat het onderzoek eigenlijk niet klopt — dat hoor ik de minister niet zeggen — of je zegt: het geld is er nu niet om de Autoriteit Persoonsgegevens het budget te geven dat eigenlijk hoort bij de onderzochte scenario's. Dan is nu de vraag: wat is het tempo waarop de minister dit in de gaten gaat houden? Wat als het stormloopt bij de Autoriteit Persoonsgegevens, vanaf de inwerkingtreding van de AVG, vanaf 25 mei 2018? Dan komen er misschien een heleboel verzoeken om voorlichting van bedrijven die vragen wat ze allemaal moeten doen en van burgers die vragen wat er precies allemaal met hun gegevens mag. Misschien komen er dan signalen om handhavend op te treden. Hoe snel kan de minister de signalen die dan mogelijk komen verwerken en aan de Kamer rapporteren?

Ik gaf net al aan dat we dit goed gaan monitoren, niet alleen de effecten van de wet naar de buitenwereld — wat betekent dit voor organisaties? — maar wat mij betreft ook wat het betekent voor de Autoriteit Persoonsgegevens. Dan heb je het over een halfjaar. Dan gaan we gewoon weer eens even de peilstok erin steken. Vooralsnog heb ik geen concrete aanwijzingen dat de autoriteit niet uit de voeten zou kunnen met de budgetten die ze op dit moment heeft. Sterker nog, de autoriteit is heel hard bezig met reorganiseren, om de goede mensen te krijgen, om die 7 miljoen die er vorig jaar extra bij is gekomen op een goede manier uit te geven. U zei: regel het direct bij de Voorjaarsnota. Ik wil om te beginnen niet vooruitlopen op de hele besluitvormingsprocedure rond de komende begroting. Daarover wordt u geïnformeerd op Prinsjesdag. Op dit moment denk ik dat de AP er goed mee uit de voeten kan.

Nou, dan denken we daar anders over. Ik heb ook aanwijzingen dat de Autoriteit Persoonsgegevens met het budget dat er nu is ook voor dit jaar niet uit de voeten kan. Die verordening is nu nog niet in werking getreden, maar dat gebeurt wel op 25 mei 2018. Mag ik de minister vragen om enkele weken na inwerkingtreding van die verordening toch, in overleg met de Autoriteit Persoonsgegevens, aan de Kamer te rapporteren, voorafgaand aan de behandeling van de Voorjaarsnota? Wat zou er nou op tegen zijn? Als er dan geen extra geld beschikbaar kan komen, dan hebben we daar een discussie over. Maar dan kunnen we in ieder geval kijken wat de eerste signalen zijn vanaf de inwerkingtreding van die verordening. Ik vind een halfjaar echt te lang, ook voor het vertrouwen dat mensen moeten hebben dat er goed met hun persoonsgegevens wordt omgegaan en dat we die regels niet voor niets afspreken zoals we ze hebben afgesproken. De onzekerheden en onduidelijkheden die daarover zijn, moeten zo veel mogelijk worden weggenomen. Dit is een belangrijke taakverzwaring voor onze privacywaakhond, dus kan de minister toezeggen dat hij de Kamer voor de behandeling van de Voorjaarsnota informeert over de signalen uit de praktijk?

Dat is echt te vroeg. U hebt het over een paar weken na de inwerkingtreding op 25 mei. Laten we eerst eens kijken hoe dat precies gaat vliegen. Ik geef een voorbeeld. Die 7 miljoen zit inderdaad wat onder dat minimumscenario. Tegelijkertijd is het wel een verdubbeling van het budget van de Autoriteit Persoonsgegevens. Die organisatie is heel hard bezig om heel rapido enorm te groeien. Ik vind dat dat op een manier en in een tempo moet dat het behapbaar is. Ik heb de afspraak met de AP dat we de realisatie en hun feitelijke uitgaven heel erg netjes monitoren. Dat betekent dat ik, als er echt knelpunten zijn, daarmee terugkom naar de Kamer. Maar een paar weken na inwerkingtreding van dit wetsvoorstel is dan echt te vroeg.

De minister erkent dat het budget onder het minimum is. Ik zou dus eerst willen weten of hij vindt dat er te weinig geld is als je objectief kijkt naar het rapport dat daarover verschenen is. Ik snap heel goed dat de minister zegt dat we de boel eerst even moeten aankijken. Maar tegelijkertijd ben ik er wel heel bang voor dat het vertrouwen in de verordening afneemt als mensen niet makkelijk toegang krijgen tot de autoriteit, bijvoorbeeld omdat ze heel lang moeten wachten, er weinig gebeurt of er een weinig hulpvaardige afhandeling en handhaving is. Het vereist juist veel tijd om dat goed te doen. Als er nu al te weinig geld is — ik kijk even of de minister die kwalificatie steunt — bestaat het gevaar dat je een slecht begin maakt, dat we bijna niet meer kunnen herstellen omdat het vertrouwen van burgers is afgenomen.

Ik heb niet de indruk dat er te weinig geld is. Ik refereerde aan een aantal onderzoekscenario's. Een organisatiebureau heeft geschetst wat verschillende varianten op termijn budgettair precies betekenen. Vorig jaar is het budget verdubbeld. Het is voor een organisatie, en dus ook voor de AP, een enorme slag om jezelf twee keer zo groot te maken als je altijd bent geweest. Je moet er ook voor zorgen dat zo'n organisatie een beetje goed blijft draaien. Ik heb de indruk dat de AP met het geld dat zij nu krijgt, goed is uitgerust om haar taken op dit moment goed te vervullen. We weten natuurlijk allemaal niet hoe dat er over één, twee of drie jaar precies uitziet. Daarom hebben we de afspraak gemaakt om het goed te monitoren. Dat beeld kun je niet twee weken na invoering van de wet al helder hebben.

Nu lopen er wel een aantal argumenten door elkaar heen. Het eerste is de vraag of de AP in staat is om een verdubbeling of vergroting van het budget goed te behappen. Ik denk dat dit iets is voor de uitvoering. Ik heb de autoriteit daar niet over horen klagen. Volgens mij zijn er ook geen aanwijzingen om te denken dat de organisatie niet goed functioneert. Ik denk dus dat dat niet echt een valide argument is. Dan is er nog het punt dat het onder het minimum zit dat door het onderzoeksbureau is aangegeven. Dan kan het zo zijn dat de minister het onderzoeksbureau of de bevindingen daarvan niet accepteert, maar als hij die bevindingen wel accepteert, is de conclusie dat er toch te weinig geld is. Ik maak mij namens GroenLinks wel zorgen over een goede start. We kunnen natuurlijk altijd in het najaar van alles gaan bekijken, maar ik herhaal dat het gevaar bestaat dat juist een goed begin met een hulpvaardige behandeling in gevaar komt als de autoriteit onvoldoende middelen heeft. Natuurlijk is er sprake van een vergroting van het eerdere budget, maar de taak waar we de autoriteit nu voor stellen, is ook enorm veel groter dan die was. Daar hoort dus ook een flinke versteviging bij.

Mevrouw Buitenweg heeft mij niet horen zeggen dat er in de toekomst niets verandert aan het budget voor de Autoriteit Persoonsgegevens. Ik heb het steeds gehad over het nu. Ik heb ook aangegeven wat het van een organisatie vergt als je in korte tijd enorm moet groeien. Er is niet altijd sprake van een bottleneck in de vorm van geld om die groei door te maken. Zeker in de huidige arbeidsmarkt is het ook de vraag waar je goede en kundige mensen vandaan haalt en hoeveel tijd het kost om die goed op te leiden. Ik zie dat daar enorm hard aan wordt gewerkt. Er is een afspraak met de AP om eerst eens aan te zien hoe de verdubbeling van de organisatie uitpakt en wat ze daarmee kan doen. Als het op termijn toch gaat knellen, hebben we opnieuw een gesprek.

Misschien mag ik van daaruit direct doorpakken naar de vraag van de heer Verhoeven over de eigen begroting van de autoriteit. Dat is een discussie die wij zeer recent nog met de Autoriteit Persoonsgegevens hebben gehad. Ik verwijs daarvoor naar de nota van wijziging. Ik geloof dat de heer Van Nispen dat ook deed. Mijn excuses dat die op het allerlaatste moment kwam. Dat had met interdepartementale afstemming te maken. Die nota van wijziging verandert wat in de positie van de autoriteit. Dat zit 'm in de zbo-status van de AP. Uit de AVG volgt dat de AP moet beschikken over een afzonderlijke en publieke begroting. Dat hebben we nu ook expliciet in artikel 11 van de UAVG vastgelegd.

Mag ik aan de minister vragen hoeveel tijd hij nog denkt nodig te hebben in deze termijn? Ik vraag dit even met het oog op de klok, want we hebben nog een lunchpauze te gaan, dat hoort zo, en ook nog een regeling van werkzaamheden en een VAO met stemmingen. De mogelijkheid bestaat dus dat we hiermee nog even zoet zijn. In dat geval beslis ik om de tweede termijn bijvoorbeeld volgende week te doen.

Ik kan er tempo op zetten, maar ik heb nog wel een aantal dingen liggen.

Ja en het is ook wat ingewikkeld, dus dan zou ik ernaar willen streven dat we nog een halfuur bezig zijn, tot 14.10 uur of 14.15 uur, en dat we dit debat dan stoppen. Dan gaan we volgende week ergens verder. We kunnen dit ook niet afraffelen, want daar is dit te technisch en te ingewikkeld voor. Dat kunnen we ook niet doen. Zullen we het dan zo doen? Dan gaan we nog …

Misschien mag ik heel even kijken naar hoe we dan in de tijd met de Eerste Kamer zitten. Er wordt nee geschud aan de overkant.

Ik hoor de datum van 25 mei, dus dat zou suggereren dat u nog een beetje de tijd heeft.

Vindt u het goed om straks heel even te schorsen, zodat we dit kunnen bespreken?

Misschien moeten we dat nu doen. Ik schors even en praat met de medewerkers van de minister.

We continueren en proberen het bijvoorbeeld binnen een halfuur af te ronden, inclusief de tweede termijn. De minister continueert.

Dat raakt eraan.

Dat raakt eraan. Misschien mag ik het daarin meepakken. Ik ga adviseren over de amendementen en de vragen die daaraan raken, pak ik daar dan direct in mee.

Het amendement op stuk nr. 10 van mevrouw Buitenweg dat ertoe strekt om de leden te benoemen op voordracht van de Tweede Kamer, zou ik willen ontraden. De onafhankelijkheid van de autoriteit wordt niet bepaald door de wijze van benoeming maar is in feite vastgelegd in de AVG zelf. Daar zitten een aantal garanties in, zoals onafhankelijkheid in uitoefening van taken en bevoegdheden. De AP is een zelfstandig bestuursorgaan met een onafhankelijke positie die is geborgd in het Europese recht. De vergelijking met de Algemene Rekenkamer gaat ook niet helemaal op. De reden waarom de leden van de Algemene Rekenkamer worden benoemd op voordracht van de Tweede Kamer is gelegen in het feit dat de Algemene Rekenkamer zijn taken vooral ten behoeve van het parlement vervult. Daarom ontraad ik dit amendement.

Dan kom ik op het amendement op stuk nr. 11 over de journalistieke doeleinden. Ik vind dat wel een interessante discussie. De heer Van Nispen heeft op dat punt gevraagd of het met deze AVG strikter gaat worden voor de journalistiek. In mijn ogen is dat niet het geval. De AVG schrijft voor dat er altijd een balans moet worden gevonden tussen het recht op vrije meningsmening, het feit dat journalisten hun werk goed moeten kunnen doen en het recht op privacy en bescherming van persoonsgegevens. Bij zoiets als de Panama Papers is er een evident algemeen belang waarom journalisten dat soort dingen kenbaar moeten kunnen maken. Dit amendement gaat weer een stap veder. Dat wil eigenlijk de AVG helemaal niet toepassen op journalistiek werk. Dat vind ik risicovol, want dat betekent dat journalisten — dat wordt in Europese wet- en regelgeving heel breed opgevat, want daar valt heel veel verschillende journalistiek onder — helemaal niet meer zijn gehouden aan enige vorm van bescherming van persoonsgegevens. Dan vind ik dat eigenlijk doorslaan. Je zou dan bij wijze van spreken haast kunnen zeggen dat het daarmee op gespannen voet staat met de AVG waarin juist door de Europese wetgever is meegegeven dat er altijd sprake moet zijn van een belangenafweging.

Het spijt mij, voorzitter, maar ik moet hier toch een vraag over stellen. In de ogen van de minister en naar ik weet ook in die van een aantal anderen, is het zo dat wie een journalist is steeds strikter wordt opgevat, strikter dan het Europees Hof voor de Rechten van de Mens doet, bijvoorbeeld dat iemand alleen een journalist is als er een repliek kan worden gegeven. Dat is een van de manieren waarop de Nederlandse regering dat soms interpreteert. Hier heeft de Europese wetgever ruimte gelaten en Nederland pakt niet alle ruimte. De regering beargumenteert echter niet waarom ze minder ruimte geeft aan journalisten dan de Europese verordening toelaat. Ik zie alleen dat het Europees Hof voor de Rechten van de Mens een ruimere definitie hanteert dan de minister. Vandaar dat ik graag mijn amendement handhaaf. Als de minister het ontraadt, wil ik toch echt graag een argumentatie van hem horen waarom hij vindt dat de ruimte die door de verordening gegeven wordt, te groot is.

Ik vind de ruimte die gegeven wordt als dit amendement zou worden aangenomen, te groot. Dat zegt namelijk dat voor journalistieke doeleinden een hele trits aan hoofdstukken niet van toepassing is. Daarmee stel je eigenlijk de hele AVG buiten werking voor journalistieke doeleinden. Dat zou ik onverstandig vinden. Misschien mag ik mevrouw Buitenweg tegemoetkomen. Zij zegt dat er meer discretionaire ruimte voor lidstaten is dan waar Nederland met deze UAVG gebruik van maakt, zoals er discretionaire ruimte is rond bijvoorbeeld leeftijd en een aantal andere zaken waarvan ik heb gezegd dat ik er nog wel een keer naar wil kijken. Dan wil ik dat heel graag meenemen in de brief die ik u na de zomer ga sturen over wat we meer of anders kunnen doen als het gaat om de beleidsruimte die we nog hebben binnen de Europese wet- en regelgeving, aangezien ik dit gewoon echt te ver vind gaan. Ik neem de vraag en het thema serieus. Ik denk dat het goed is geregeld, maar ik wil er best nog een keer naar kijken.

Ik heb uw strategie in ieder geval gehoord. Ik handhaaf toch mijn amendement. Ik wil er wel op wijzen dat het niet zo is dat de AVG helemaal niet van toepassing zal zijn op journalisten. Wat mijn amendement doet, is de ruimte volledig benutten die de AVG geeft. Een flink aantal zaken zal wel degelijk ook van toepassing zijn op journalisten. Bijvoorbeeld de adressenbestanden van leden van kranten zullen nog steeds gewoon onder de AVG vallen.

Ik denk dat onze interpretaties van het amendement nu wat verschillen, dus ik houd mij bij het advies. Met de toezegging, ongeacht hoe de stemming verloopt, ga ik aan de slag.

Dan het amendement van mevrouw Buitenweg, dat gaat over aanbieders van telecommunicatiediensten en dat de mogelijkheid biedt om informatie te verschaffen over de omvang en aard van de hun opgelegde medewerkings- en informatieplichten. Ik ontraad dit amendement. De verwerking van persoonsgegevens in het kader van de nationale veiligheid is een uitzondering van de AVG en dus ook van de UAVG. Het wettelijke kader voor dergelijke verwerkingen wordt gevormd door de Wet op de inlichtingen- en veiligheidsdiensten, de Wiv. Eventuele uitzonderingen horen dan ook niet thuis in de UAVG.

Ook inhoudelijk heb ik grote bezwaren tegen dit amendement. Een overzicht per aanbieder zegt namelijk iets over het aantal en de soorten taps waarvoor een aanbieder verzoeken ontvangt of waaraan hij heeft meegewerkt, het aantal verzoeken om NAW-gegevens et cetera. Als je dat bijvoorbeeld nooit hebt gehad, dan is dat informatie die in ieder geval de inlichtingendiensten liever niet kenbaar maken en die in sommige gevallen zelfs staatsgeheim is.

Ik kan kort zijn over het amendement op stuk nr. 13, dat gaat over de leeftijden. Ik zou dat op dit moment ontraden, maar u heeft de toezegging op zak dat ik daar na de zomer in de brief op terugkom.

Het amendement van de heer Van Dam — ik kijk ook met een schuin oog naar mevrouw Van Toorenburg, want ze zijn van dezelfde partij — gaat over het dwingend voorschrijven van drie leden bij de Autoriteit. Ik heb de indruk dat die de afgelopen tijd op zich goed heeft gefunctioneerd met twee leden. Ik zie dat er heel veel op de AP afkomt. U heeft een aantal opmerkingen gemaakt: kan je de dingen niet scheiden? De mogelijkheden daartoe nemen natuurlijk toe als je met drie leden zit, dus ik kan die redenering goed volgen en wil het oordeel aan de Kamer laten.

Datzelfde geldt voor het amendement dat de heer Van der Staaij heeft ingediend op stuk nr. 15, dat gaat over de specifieke behoeften van kleine ondernemingen. De overwegingen bij de AVG bevatten een aansporing om bij de toepassing van de AVG rekening te houden met specifieke behoeften van kleine ondernemingen. Dit noopt niet tot implementatie in het nationale recht. De AP zal als bestuursorgaan op grond van de Awb hoe dan ook alle relevante belangen moeten afwegen. Ik heb echter geen overwegende bezwaren waarom ik negatief zou adviseren en kan het oordeel aan de Kamer laten.

Tot slot het amendement op stuk nr. 16, dat regelt dat de uitzondering voor het melden van datalekken aan betrokkenen voor financiële ondernemingen komt te vervallen. Met de antwoorden die ik zojuist in eerste termijn daarop heb gegeven, zou ik die willen ontraden.

Dan kijk ik even naar de voorzitter of naar de griffier of ik dan alle amendementen heb gehad. Dan ben ik daarmee ook tot een afronding van de eerste termijn gekomen.

Heel goed. Dank u wel. Dank ook voor het tempo. Dan kijk ik even of er behoefte bestaat aan een tweede termijn. Dan is het woord aan mevrouw Buitenweg.

Dat was het. Dank u wel.

De heer Koopmans van de VVD.

Voorzitter. Dan mijn tweede en iets langere motie.

Dan de tweede motie.

Het woord is aan de minister.

Het lastige is dat we wel hebben gezegd dat de AVG niet alleen van toepassing is op de terreinen die binnen de reikwijdte van de Unie vallen, maar op alle gegevens in de Europese Unie. Dus constitutioneel is dat wel ingewikkeld, want dat zou betekenen dat er op de terreinen buiten het Unierecht waarop de gegevensbeschermingsverordening wel van toepassing is, een andere interpretatie is dan op de andere delen. Daarmee denk ik dat er wel een uitbreiding is van de toepassing van het EU-grondrechtenhandvest en eventueel het Hof. Maar misschien moet deze constitutionele finesse nog nader in een brief worden geduid.

Mag ik dit meenemen? Want ik vind dit wel iets om op te kauwen. Ik kan ook zeggen: wat daarbuiten valt, zou dan moeten toegroeien naar. Ik weet niet of het automatisch van toepassing is. Ik heb iets toegezegd: binnen nu en een halfjaar. Zullen we dan ook deze zeer juridische, haast constitutionele discussie oppakken? Dan kan ik daar in ieder geval inhoudelijk over denken, misschien kan ik ook eens even een gesprek voeren met een aantal collega's, en dan kom ik daarop terug. Waar ik niet op terug ga komen, hoewel ik de discussie goed kan volgen, is de vraag waarom we van geslacht geen bijzonder persoonsgegeven hebben gemaakt. Ik kan me voorstellen dat er over de wenselijkheid hiervan een enorme boom opgezet kan worden. We hebben in het regeerakkoord ook het een en ander gezegd over de nationale toepassing ervan. Maar als we dat in nationale wetgeving zouden aanpassen, zijn we in strijd met de AVG. De AVG somt namelijk vrij gelimiteerd op wat bijzondere persoonskenmerken zijn. We komen aan de wenselijkheidsvraag simpelweg niet toe, omdat het niet kan en niet mag.

Ik kom bij de moties en begin met de motie op stuk nr. 17 van mevrouw Buitenweg, over de Europese legitimering van wat het comité straks gaat doen. Ik ontraad de motie. Formele instemming van het Europees Parlement kan volgens het Werkingsverdrag van de EU alleen op uitvoeringsbesluiten van de Commissie of de Raad. Als je dit wilt, zou je het verdrag moeten aanpassen. Heel eerlijk gezegd, zie ik dat niet een-twee-drie gebeuren, althans niet specifiek voor dit onderwerp.

De motie op stuk nr. 18 gaat over het meegeven van een aandachtspunt aan de Autoriteit Persoonsgegevens. Ik kan dat heel goed volgen. Ik heb daar zelf al een aantal geruststellende woorden over meegegeven in het debat, maar ik kan ermee leven. Vandaar dat ik het oordeel aan de Kamer laat.

Hetzelfde geldt voor hetgeen direct aan mij is opgedragen in de motie op stuk nr. 19, namelijk om een uitgebreide evaluatie te doen, met een hele trits aan onderwerpen. Van een aantal kun je zeggen dat ze voortvloeien uit de vraag hoe de nieuwe wet- en regelgeving straks landen. Een aantal andere vragen om iets extra's te doen. Dit debat gaan wij in het najaar voeren. Ik zou de motie willen overnemen.

Bestaat er bezwaar tegen het overnemen van deze motie? Ik stel vast dat dit niet zo is.

De motie op stuk nr. 20 ga ik ontraden. Dat zal de heer Van Nispen niet verrassen. Iedere discussie over geld is weer een integrale afweging. Dat doen we niet los op het eind. Om de pijn wellicht enigszins te verzachten, spring ik even naar de motie op stuk nr. 23. Over deze motie kan ik het oordeel aan de Kamer laten. Ik vind het op zich geen probleem om tegen het einde van het jaar wat inzicht te geven.

Ik ga terug naar de motie op stuk nr. 21. Dat is ook weer via mij een oproep aan de Autoriteit Persoonsgegevens. Als het gaat om het bevorderen, kan ik er een heel eind in meegaan. Over waarborgen kan ik niets toezeggen. Als de heer Van der Staaij en mevrouw Van Toorenburg begrip hebben voor de positie waarin ik verkeer en voor de onafhankelijkheid van de Autoriteit Persoonsgegevens die ik respecteer, zou ik het oordeel over deze motie aan de Kamer willen geven. Ik zie beide indieners positief reageren. Ik laat het oordeel dus aan de Kamer.

Dan kom ik bij de motie op stuk nr. 22 van de heer Verhoeven. Ook daarin kan ik een heel eind meegaan. Ook over die motie kan ik het oordeel aan de Kamer laten.

Voorzitter, ik ben door alle moties heen. Misschien toch nog even een woord van dank. Ik wil de Kamer, de Griffie, de voorzitter en de woordvoerders bedanken voor de enorm voortvarende manier waarop dit onderwerp is behandeld en geagendeerd. Soms heb je van die trajecten waar echt even spoed op zit. Ook vandaag nog staande het debat, waardeer ik bijzonder de manier waarop dat eigenlijk in hele goede samenwerking ging. Heel veel dank.

Prima. Dank aan de minister voor zijn aanwezigheid. Dank aan de leden.

Dinsdag stemmen wij over de wet en over de moties. Na de schorsing hebben we een korte regeling van werkzaamheden en gaan we verder.