11 Bescherming van onlinegegevens

Aan de orde is inmiddels het derde debat met de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, ditmaal het debat over de bescherming van onlinegegevens. Het is een zogenaamd vierminutendebat; dat wil zeggen dat iedere fractie vier minuten spreektijd heeft. Het woord is als eerste aan mevrouw Dekker-Abdulaziz, die al gretig klaarstaat. Zij zal spreken namens D66.

Er is een vraag voor u van mevrouw Leijten.

Ik ben het eigenlijk met alles wat mevrouw Dekker-Abdulaziz zegt eens, maar het gaat hier vaak over de vraag: wat gaan wij nu doen en wat vragen wij nu precies aan de staatssecretaris? Ik weet één ding: de staatssecretaris gaat zeggen dat we op Europa wachten. Ik begrijp dat D66 niet wil wachten op Europa. Klopt dat?

Een heel groot deel van deze wetgeving vindt plaats in Europa. Wij stellen voor dat de staatssecretaris in Europa gaat pleiten voor verbetering, maar we vragen haar ook om dapper te zijn en het aan te durven om onze nationale cookiewetgeving — die staat in de Telecommunicatiewet — aan te passen.

Oké. We wachten dus niet op Europa, maar we gaan het gewoon zelf doen. Cookiewetgeving kunnen we namelijk allang aanpassen, onder de AVG-richtlijn. Dat gebeurt ook in andere landen.

Zijn er nog meer onderwerpen waarop D66 de staatssecretaris aanspoort om niet te wachten op of zich te verschuilen achter Europa, maar gewoon stappen te zetten? Denk bijvoorbeeld aan datadeling, dataverzameling en het angstaanjagende geheel dat daarachter wegkomt.

Wij willen eigenlijk dat Nederland vooroploopt in dit soort zaken, zoals we dat in het verleden ook hebben gedaan. Wij blijven daarvoor pleiten, niet alleen bij cookiewetgeving, maar ook bij andere zaken, zoals AI en andere data.

Er is nog een vraag; er zijn er zelfs meerdere. De heer Van Baarle mag eerst.

Als ik het betoog van mevrouw Dekker-Abdulaziz goed begrijp, pleit zij ervoor om meer voorwaarden te verbinden aan realtimebidding. Ik zou mevrouw Dekker-Abdulaziz de vraag willen stellen of je dat überhaupt wel moet willen. Moet je realtimebidding überhaupt wel willen? Moet je überhaupt wel willen dat gegevens verzameld worden en dat die dan verhandeld worden? Zouden we niet gewoon met elkaar moeten uitspreken dat we dat principe niet wenselijk vinden en dat het categorisch verboden zou moeten worden?

Ik zou dat ook niet willen, dus daar heeft DENK wel een punt, maar ik had bedacht om aan de pragmatische kant te gaan zitten en eerst in ieder geval voor iedereen duidelijk te maken wat er gebeurt als je op akkoord klikt. Want dat doen we op een gegeven moment allemaal wel, niet wetende dat dit aan de achterkant gebeurt. Ik had hier willen staan en willen pleiten voor een verbod, maar ik dacht: dat gaat een stap te ver. Mensen om mij heen vroegen mij namelijk letterlijk: waar gaat dit over en waarom is dit überhaupt een probleem? Toen dacht ik: laten we het probleem zichtbaar maken. Dat is een eerste stap.

Het valt in de politiek altijd te prijzen om pragmatisme te betrachten. Aan de andere kant mogen we met elkaar ook ideologisch zijn en vergezichten schetsen. Als ik mevrouw Dekker-Abdulaziz goed begrijp, is het volgens haar van belang dat we als Nederland — dat geldt dus ook voor deze staatssecretaris — in Europa best een stellige positie innemen, met dien verstande dat we als Nederland in Europees verband misschien moeten gaan zeggen: wij vinden realtimebidding eigenlijk in zijn geheel niet wenselijk. Of we daar een meerderheid voor krijgen in directe zin, moeten we dan maar zien, maar ik denk dat het wel een positie is die we met elkaar kunnen innemen. Deelt mevrouw Dekker-Abdulaziz dat?

Ik zou het ideologisch willen delen, maar ik weet hoe het werkt. Het is ingewikkeld in de praktijk, omdat wij niet geïsoleerd zijn in Europa. Heel veel van de bedrijven die ik genoemd heb, zijn internationaal en moeten zich houden aan onze DSA-voorwaarden. Daar heb ik ook wel echt hoop op. Ik wil de staatssecretaris heel graag op pad sturen met de boodschap dat we eigenlijk vinden dat dit niet kan en dat we het ook niet nodig hebben, maar ik weet dat het zo groot is, dat je met babystapjes moet beginnen.

Ik ben een beetje op zoek naar wat D66 nou concreet wil. U heeft dit debat aangevraagd. De VVD heeft die aanvraag niet gesteund, niet omdat we het onderwerp niet belangrijk vinden maar omdat we wekelijks over dit soort onderwerpen debatteren. Maar het debat is dus aangevraagd. Nu houden we het debat en nu hoor ik alleen maar: de cookiewet heeft gefaald en de AVG moet voor kinderen worden uitgevoerd. Waren dat dan de twee prangende punten? Wat wil D66 nou concreet veranderen met dit debat?

De cookiewet is niet echt een kleinigheidje. Miljoenen Nederlanders, eigenlijk alle Nederlanders, zien elke dag een pop-up op internet. We stellen onze gegevens internationaal beschikbaar zodat anderen daar miljarden euro's mee verdienen. Dit is geen kleinigheidje. Wat wij concreet willen, zoals ik tegen de heer Van Baarle heb gezegd, is beginnen met in ieder geval die toestemming duidelijk te maken, zodat je gewoon weet dat je gegevens doorverkocht worden. We willen helder maken dat er een profiel van je wordt gemaakt en dat je nee mag zeggen. Wij pleiten ook voor inzage en verwijdering van je gegevens als je dat wilt. Dat is nu ook niet geregeld. En wij pleiten ervoor om geen profielen te maken van kinderen in Europa. Dat is nu ook niet geregeld.

Dit schept enige duidelijkheid. De cookiewet heeft dus gefaald en de oplossing is dan om de cookiewet te verduidelijken, zodat we die pop-up verduidelijken. Voor mij is het nog steeds onduidelijk wat D66 nou precies wil. Ja, die cookiepop-ups waren misschien een leuk idee hier, maar in de praktijk werkt het niet. Dat is met al die privacyvoorwaarden zo. Als je van alle apps die je gebruikt de privacyvoorwaarden leest, snap je nog niet wat er in staat. Dat red je niet eens in een jaar, zo hebben verschillende mensen al onderzocht. Dat is dus valse transparantie. Die bestaat helemaal niet. Wat wil D66 dan doen? Moet de cookiepop-up dan in B1? Moet de wet worden aangepast? Moet de wet worden afgeschaft? Ik zoek naar iets meer concretisering.

Eigenlijk schetst de VVD zelf het probleem al. Het is nu helemaal niet duidelijk. We willen twee dingen: dat je de mogelijkheid hebt om de cookies te weigeren en dat je ook weet dat data worden doorverkocht. We willen dat je het doorverkopen van je gegevens tegen kan houden, terwijl je wel een cookie accepteert bij het winkelen op een website, bij het vullen van een winkelwagentje. Dat is nu niet mogelijk. Dat is niet alleen een pop-upje. Maar wij pleiten er ook voor — tenminste, dat hebben we de staatssecretaris gevraagd — om de default in jouw webbrowser op nee te zetten. Dan hoeft die valse transparantie ook niet meer. Het is, zoals ik net zei, een dun laagje legaliteit. Eigenlijk mag dit gewoon al niet, dus laten we het ook gewoon met zijn allen niet doen.

Als ik mevrouw Dekker goed begrijp, pleit ze hier toch wel voor een betere informatievoorziening voor de eindgebruiker. Daar kunnen we elkaar volledig in vinden. Daar heb ik in deze commissie al vaak voor gepleit, ook bij andere gelegenheden. Maar dan stel ik dezelfde vraag als mevrouw Rajkowski: hoe dan? Want in zo'n pop-up kun je ook niet heel veel tekst kwijt. Hoe gaan we de gebruikers dan die informatie geven? Daar ben ik heel erg geïnteresseerd in. Dat betreft informatie over wat er gebeurt en hoe gebruikers iets uit kunnen zetten als ze iets niet willen. Zondag met Lubach heeft ooit een item gehad over Facebook. Na die uitzending heeft het opzeggingen geregend. Dat laat dus ook wel zien dat er op het gebied van een goede informatievoorziening nog een wereld te winnen is. Hoe denkt mevrouw Dekker dat we dat kunnen verbeteren?

Zoals ik zei: je moet de mogelijkheid krijgen om de doorverkoop van je data tegen te houden. Dat is een eerste stap.

Ten tweede gaat het niet alleen maar om informatievoorziening. Zoals mevrouw Rajkowski al zei: het kan ook valse transparantie zijn. Het gaat niet alleen om de mogelijkheid om dingen tegen te houden maar ook om het voeren van de discussie over de vraag waarom we dit eigenlijk zouden moeten willen. Is het niet beter om dat gewoon categorisch niet te doen?

Dank voor uw inbreng. Mevrouw Leijten is de tweede spreker van de zijde van de Kamer. Mevrouw Leijten spreekt zoals altijd namens de Socialistische Partij.

U krijgt een interruptie van mevrouw Van Weerdenburg.

Mevrouw Leijten schetst net hoe bizar het af en toe kan zijn. Iedereen die weleens een cadeautje heeft gekocht voor een kind of een kinderfeestje heeft voorbereid via grote webshops, weet wel dat je je dan de eerstvolgende weken een weg moet banen door alle rotzooi van PAW Patrol en Barbie en zo.

Sommige mensen vinden dat leuk.

Ja, en dat is precies waar mijn interruptie over gaat. U stelt best duidelijk dat niemand dit wil. Waar baseert u dat op? Nederland staat helemaal bovenaan de lijst van hoeveel er online gewinkeld wordt, vooral bij de grote jongens, die dit soort technieken toepassen. Misschien is de meerderheid wel heel blij hiermee en vindt men het superhandig dat er allerlei dingen worden aangeboden waar je interesse bij ligt.

Dat is ook prima. Dan geef je aan dat je het wel wilt. Maar in principe gebeurt het niet.

Nou, daar ben ik het mee eens. Ik zou graag die beoordeling of het wel of niet kan bij de gebruiker laten. Maar ik hoor mevrouw Leijten bepleiten om via wet- en regelgeving onmogelijk te maken dat dit gebeurt. Dat is wel iets anders.

Nee, ik zou zeggen: het gebeurt niet, tenzij je zegt dat je het wilt. Er zijn best veel dingen op internet heel duidelijk: verkoop van jouw gunst, waarbij er ook iets voor degene is aan wie jij je lieert, omdat je korting krijgt of wat dan ook. Maar dan is het duidelijk dat het gratis is of dat je iets krijgt, maar dat er ook iets tegenover staat. Op het moment dat mensen aan het surfen zijn en zich oriënteren op dat kinderfeestje, is het voor heel veel mensen onduidelijk dat ze data achterlaten en dat die data verhandeld worden om in profielen te verwerken. Daarvan zou ik zeggen: stop daarmee. Verbied dat gewoon en kijk hoever je kan gaan. Ik begrijp dat andere landen, zoals België en Frankrijk, fors verder gaan dan onze Autoriteit Persoonsgegevens. Als de staatssecretaris dit niet wil of als ze de Autoriteit Persoonsgegevens niet voldoende geld wil geven zodat ze dat kan doen, ga er dan in ieder geval voor pleiten dat het in Europa gebeurt. Op dit moment doet Nederland niet alleen niks en kijkt het weg, maar kiest men voor de commerciële belangen boven de privacybelangen. Dat is echt een onwenselijke positie vanuit de Nederlandse overheid.

Dank u wel. Ook fijn dat u mij bevestigd heeft in mijn keuze om altijd mijn pakken bij dezelfde winkel te kopen. De heer Drost gaat nu het woord voeren namens de ChristenUnie.

Ik heb toch een gewetensvraag voor de heer Drost. Zouden we er niet eerst voor zorgen dat de Autoriteit Persoonsgegevens überhaupt haar taak kan uitoefenen en dat ze daarvoor voldoende middelen krijgt? Want hoe sympathiek dat ook is, en hoe wenselijk het waarschijnlijk ook is, zou het niet een beetje hypocriet zijn om dit nu voor elkaar te krijgen, terwijl we weten dat de Autoriteit Persoonsgegevens nu onvoldoende toezicht kan houden op alle privacyschendingen, vooral van de grote jongens, en dus ook op die van kinderen?

Dat is een volledig terechte vraag wat mij betreft. Ik hoorde mevrouw Leijten er ook in haar bijdrage over beginnen. Ik denk dat dit voorstel ook een manier kan zijn om daaraan te werken. Je kunt er immers voor kiezen — dat hoeft niet per se — om er iets naast te zetten, en daarmee een versterking te hebben. Ik krijg de signalen dat de AP versterkt zou moeten worden; u zei het zelf ook, en ik vind dat volledig valide. Laten we het er alsjeblieft over hebben; dit kan een manier zijn om dat te doen. En ik kan me voorstellen dat we daar zo meteen de staatssecretaris ook op bevragen. Want de tijden zijn aan het veranderen; je ziet dat de stroom aan digitalisering steeds groter wordt. Daar proberen we tegenop te groeien. De AP is de man, of vrouw, maar de man in dit geval, die daarover gaat, die we daarvoor in functie hebben gezet. Hij moet de tools krijgen en de tanden om dat ook te kunnen. Ik ben het met mevrouw Leijten eens.

Dat leidt ook weer tot een vraag van mevrouw Van Weerdenburg.

Misschien ben ik te voorbarig en komt dat nog, maar ik vroeg me af waar de ouders in dit hele verhaal passen. Zeker bij apps als TikTok en Snapchat — de heer Drost noemde die al — is er een leeftijdsgrens van 13. Je kan dan natuurlijk beargumenteren dat kinderen het nog steeds niet helemaal kunnen overzien, maar dat is toch allereerst een inschatting die de ouders moeten maken. Ten eerste moeten ze ervan op de hoogte zijn dat dit allemaal gebeurt. Je kunt je kind daarvoor weerbaar maken en dat uitleggen. Desnoods kun je gewoon niet toestaan om ten eerste een smartphone te hebben en ten tweede een socialmedia-account. Dat is niet verplicht voor kinderen, hè.

Om met dat laatste te beginnen. Het is niet verplicht, maar er zijn heel veel kinderen met smartphones. Ga maar tegen de kinderen vertellen dat ze geen smartphone krijgen; ik wens u veel succes. Ik bedoel dat niet persoonlijk, maar in het algemeen; ik weet het in ieder geval uit ervaring. En ik ben het met mevrouw Van Weerdenburg eens: het begint aan de keukentafel, met je eigen kinderen, in gesprek. Ik gaf net het voorbeeld van hoe dat gaat. Dat kwam letterlijk uit mijn eigen gezin. Ik stelde open de vraag: heb jij dat dan ook op je telefoon? "Ja hoor, pap." De app werd geopend. Ik mocht meekijken. "Ik vind het wel leuk", zei ze. "Ik praat af en toe met die chatbot." Totdat we erachter kwamen — daar kwam ze zelf achter op dat moment — dat hij dus wel degelijk die berichten gebruikt om de diensten van Snapchat te gebruiken, oftewel dat Snapchat er beter van gaat worden en er dus meer aan gaat verdienen. Dus we moeten de ouders er zeker bij betrekken. Die verantwoordelijkheid ligt wat mij betreft natuurlijk wel bij de ouders.

Ik heb het hier gehad over wat de rol van de overheid kan zijn. De rode draad in mijn verhaal gaat over kinderen en de bescherming van kinderen. Het gaat over hun data, het gaat over hun veiligheid en over de manier waarop die chats en die apps werken. Kinderen worden daar een soort van ingezogen. Binnen een halfuur, zo werd ons laatst verteld in de technische briefing, past zo'n algoritme zich aan en zitten mensen in een bubbel, kinderen al helemaal. Dus het is wel degelijk zo, maar wij moeten die ouders helpen, met bijvoorbeeld die leeftijdscategorie. Ik heb daar trouwens schriftelijke vragen over gesteld aan de staatssecretaris. Die gingen hierover: we hebben een wet en daar staat het al in, dus handhaaf die! Laten we die Autoriteit Persoonsgegevens wat meer ruimte en handelingsperspectief geven bijvoorbeeld, om juist ook die ouders te ondersteunen.

Dank voor dat antwoord. Ik denk dat we er samen best over na kunnen denken op wat voor manier we ouders meer informatie kunnen geven, en hoe hun toezicht toch beter uit te voeren is. Maar ik vind het te makkelijk om de bal dan maar bij de socialmediabedrijven te leggen, terwijl die alles doen wat ze kunnen doen: een leeftijdsgrens instellen, adviezen geven enzovoorts. Als ouders daar dan niet goed op toezien, wat voor de PVV toch het eerste station is, dan kunnen we socialmediabedrijven de schuld geven, weer een autoriteit oprichten en dingen gaan verbieden enzovoort, maar ik zie niet in hoe daar de oplossing ligt.

Ik waag het toch daar anders over te denken dan mijn collega, al is het alleen maar omdat dat hier door deskundigen aan ons verteld is. Er zijn onderzoeken naar gedaan. Daaruit blijkt bijvoorbeeld dat de maatregelen die bedrijven tot nu toe hebben genomen niet echt invloed hebben op mentaal welzijn van kinderen. Zij doen misschien wat we van ze vragen, maar per saldo zijn we met elkaar aan het dweilen met de kraan open of tegen de stroom in aan het roeien of hoe je het ook wil noemen. We moeten die stroom langzaam maar zeker afknijpen, of op z'n minst kanaliseren, filteren of wat dan ook. Dat is een van de adviezen die we kregen van de geleerden die hier waren en van de mensen die er verstand van hebben en die er onderzoek naar doen: zorg ervoor dat op het moment dat een programmeur begint te programmeren al helder is wat mag, zodat wat naar buiten komt onze kinderen niet meer negatief beïnvloedt. Dat is precies waar we de Autoriteit Persoonsgegevens voor hebben: om erop toe te zien dat wat jij maakt, past binnen onze regelgeving. Als onze regelgeving strakker moet, moeten we dat regelen. Als dat niet nodig is, moeten we handhaven. Het is van tweeën één. Ik ben het dus niet eens met mijn collega, voorzitter.

Afrondend, mevrouw Van Weerdenburg.

Ja, afrondend. Ik zat ook bij het rondetafelgesprek waarbij die experts aan tafel zaten. Ik heb ook goed geluisterd. De boodschap was daar juist: leer kinderen en jongeren hiermee om te gaan, in plaats van ze erbij weg te houden of ze dingen te verbieden. Het is niet zo, zoals de heer Drost hier zo stellig zegt, dat die invloed schadelijk is, enzovoort. Het verbaasde mij namelijk nogal dat er bij een heel groot deel geen invloed was, bij een heel klein percentage wel, en dat een heel groot deel er wel baat bij had. In die zin wordt de soep niet zo heet gegeten als de heer Drost nu stelt.

Ik weet de cijfers nog wel. 10% van de kinderen heeft baat bij social media. Ze kunnen hun verhaal kwijt, wat ze misschien in hun persoonlijke omgeving niet kunnen. 80% van de kinderen is er min of meer neutraal onder. 10% van de kinderen heeft er negatieve gevolgen van. Dat waren de cijfers die we in dat rondetafelgesprek hoorden. Ik vind 10% van de kinderen veel. Je hebt het dan ook over kwetsbare kinderen. Ik noemde zo'n voorbeeld. Vroeger hadden mensen virtuele vrienden in hun hoofd. Nu heb je die op je telefoon bij Snapchat. Je gaat je meest intieme geheimen delen met de tool van Snapchat. Die gebruikt wat jij deelt voor weet ik veel wat. Dus ja, we moeten daar harder in optreden. Die tanden moeten we laten zien. Daar blijf ik bij.

De heer Drost vervolgt zijn betoog.

Ik heb nog twee punten. Eén gaat over handhaving. Met dit voorstel over de autoriteit hangt ook de handhaving samen. Die is complex. Als de Autoriteit Persoonsgegevens TikTok wil aanpakken voor hoe het omgaat met de gegevens van onze kinderen, hebben ze de hulp van de Ierse autoriteit nodig, omdat TikTok daar geregistreerd staat. Dat is een voorbeeld. Dat klinkt omslachtig en dat is het volgens mij ook. Kan de staatssecretaris helder schetsen hoe de handhaving werkt voor bedrijven die niet in Nederland gevestigd zijn? Kunnen we met nationale wetgeving afdwingen dat dergelijke bedrijven hier ter verantwoording worden geroepen, bijvoorbeeld waar het de ouderlijke instemming betreft?

Voorzitter, tot slot. In het coalitieakkoord is afgesproken dat er een recht komt voor kinderen om niet gevolgd te worden en om geen dataprofielen te krijgen. Hoe staat het daarmee? Is de staatssecretaris bereid hierbij ook de kijken naar de tekst zoals die in de Ierse UAVG staat? Die heet iets anders, maar toch. Daarin is het bedrijven überhaupt niet toegestaan om kindergegevens te verwerken voor adverteren, profileren en microtargeting.

Dank u wel.

Dank voor uw inbreng. De volgende spreker is mevrouw Van Weerdenburg. Zij zal namens de PVV het woord voeren.

Ik hoor dat de PVV het heel graag over digitale veiligheid wil hebben. Dat is een heel goed onderwerp. Maar ik heb dit debat aangevraagd vanwege het volgende. Als je bijvoorbeeld cookies accepteert — ook al ben je geen digibeet, zoals u en ik — dan word je gevolgd en wordt er een profiel van je gemaakt, dat wordt doorverkocht aan iedereen, ook aan inlichtingendiensten in het buitenland. Dat maakt het meteen ook een beetje onveilig. Die cookies kun je bijna niet weigeren, of je moet 5.000 keer doorklikken. Ik hoor niet wat de PVV daarvan vindt.

In dat opzicht ben ik het daarmee eens. Mevrouw Rajkowski had het over de terms of service, waarbij je op "I agree" moet klikken. Die zijn totaal onleesbaar en te lang. Daar moeten we iets op vinden. Daar heb ik ook al een paar keer voor gepleit. Ook pop-ups en cookies worden te makkelijk weggeklikt. Ik wil er absoluut over meedenken hoe we dat beter kunnen krijgen. Mijn boodschap hierbij is: niet elke oplossing hoeft te zijn dat we iets wettelijk moeten regelen, dat we een verbod moeten instellen of dat we de grote bedrijven … Enzovoorts, enzovoorts. Het kan misschien veel simpeler en effectiever zijn om met voorlichting de gebruikers erop te wijzen welke consequenties er zijn als ze ergens op klikken.

Welke vorm daarbij het beste zal werken? Ik heb al de suggestie gedaan om via infofilmpjes — daarvan staan er al veel op de website van de rijksoverheid — via Postbus 51, via de televisie, de informatie bij een wat breder publiek te krijgen. Ik denk dat we daar best wel winst kunnen behalen. Ik ben niet per se tegen de voorstellen van mevrouw Dekker — daar zullen we absoluut goed naar kijken — maar ik ben er niet van overtuigd dat er een makkelijke oplossing is via wetgeving of anderszins.

Ik zeg ook niet dat er een makkelijke oplossing is. Ik hoorde de PVV eerder op een interruptie zeggen dat sommige mensen het wel leuk vinden om een advertentie te krijgen. Dat verwijt krijg ik heel vaak: ik vind het wel leuk om advertenties voor stropdassen, auto's of schoenen te krijgen. Maar het gaat natuurlijk niet alleen maar om die advertenties. Als het alleen daarom zou gaan, dan was het probleem veel minder groot. Het probleem is dat je profiel gebruikt wordt om extra inlichtingen over je te verzamelen, misschien zelfs om verkiezingen te beïnvloeden. Daar wordt je profiel indirect wel voor gebruikt. Dat is iets wat we met z'n allen niet zouden moeten willen. Daar zou misschien wel een wettelijke regeling voor moeten komen. Die heb ik nog niet verzonnen. Er is geen makkelijke oplossing, maar ik zou willen dat de PVV erkent dat het niet alleen maar gaat om PAW Patrol en Barbies.

Nee, natuurlijk niet. Het gaat veel verder. Maar juist de conclusie die mevrouw Dekker nu trekt — "dat moeten we met z'n allen niet willen"— laat ik graag aan de gebruiker. Natuurlijk kunnen we het dan hebben over een ander systeem. Eerdere sprekers hadden het daar ook al over. Dan moet de defaultpositie "nee" zijn. Dan kun je een opt-in doen. Nu is het een opt-in en moet je als gebruiker iets uitzetten. Dat zou misschien wel helpen.

Daar moeten we natuurlijk over nadenken. Alleen, ik probeer te zeggen dat het niet allemaal een quick fix is om iets wettelijk te verbieden of uit te sluiten. D66 heeft altijd heel veel hoop op wetgeving uit Europa. Ik wil mevrouw Dekker dan toch maar even meegeven dat ook de DMA, waar een heleboel hoop op gevestigd is, door het verplicht toestaan van sideloaden van apps een gigantisch risico op onveilige apps opent voor gebruikers. Daar wordt, denk ik, te makkelijk over gedacht. Daar wordt te snel aan voorbijgegaan. In die zin wil ik dus maar even aangeven dat het allemaal niet zo simpel is.

Ik ken de PVV als een partij die heel duidelijk is in regels. Als je een regel instelt, heb je een heel makkelijke oplossing voor misschien ingewikkelde problemen. Dat vindt ze dan niet op internet, en dat mag. De PVV heeft op andere onderwerpen ook weleens een andere toon.

Maar als het nou gaat over wel begrenzing, waar zou die wat betreft de PVV dan liggen? Bij kinderen is het de verantwoordelijkheid van de ouders, zegt zij eigenlijk net. Als je op een website bent, is het je eigen verantwoordelijkheid om helemaal te weten wat die met je data doet, zegt zij. Is er een verantwoordelijkheid of mag je gewoon data verzamelen, realtime bieden op platforms, daaraan verdienen en profielen maken? Daar ben ik wel benieuwd naar.

De onopgemerktheid en de onzichtbaarheid waarmee het nu gebeurt, vind ik niet eerlijk tegenover de gebruikers. Daar moeten we absoluut iets aan doen. Waar ik voor wil waken, is dat er een soort schijnveiligheid ontstaat. Het moet niet zo zijn dat men zegt: "We hebben het allemaal goed geregeld. Er wordt geen misbruik van gemaakt". Nogmaals, ik heb, zeker bij Snapchat en TikTok, gevraagd waar de ouders dan zijn. Die staan namelijk het dichtst bij. Daarmee heb ik echter niet gezegd dat het alleen daar ligt en dat we helemaal niet meer willen kijken naar welke regels voor dat soort socialmediaplatforms moeten gelden. Alleen, ik wil niet dat de discussie alleen maar daarover gaat en dat de ouders buiten schot blijven. Daarbij ligt namelijk de allereerste verantwoordelijkheid.

Ik ben absoluut voor meer transparantie. Daar is de PVV altijd voorstander van geweest. Ik ben absoluut voor betere informatievoorziening. Ik denk dat we daar al een grote winst mee kunnen behalen. Denk aan het simpele feit dat je bijvoorbeeld bij Apple, op de iPhones, een soort extra pop-up krijgt als je een app downloadt die automatisch tracking aanzet, waarin wordt gevraagd of je wil dat je getrackt wordt door die app of niet. Dat is weer een extra momentje dat je als gebruiker denkt: "Huh? Oké, doe dan maar niet." Zeker Facebook is niet zo blij met die maatregel, geloof ik, want die kost ze een heleboel data en centjes. Zoiets simpels kan dus al helpen om dingen uit te kunnen zetten. Ik wil dus meer nadenken over de vraag wat wij kunnen doen om de gebruikers, de burgers, te ondersteunen om dingen veiliger te kunnen regelen.

Volgens mij is het dan gewoon handig om het volgende te zeggen. Tracking mag niet. Op het moment dat we erachter komen dat er wel getrackt wordt, dan krijgt degene die dat doet een grote boete. Op het moment dat je wil dat je gegevens wel worden gedeeld, dan moet je daar zelf moeite voor doen. Dan draai je 'm dus om. Ik denk de hele tijd dat de digitale wereld een snelweg is. Als we willen dat er soms heel zacht of stapvoets wordt gereden omdat er letterlijk kinderen buitenspelen, dan helpt het om dit goed te regelen. Als je dat vraagt, dan gaat het namelijk niet gebeuren, ook al houdt iedereen er toezicht op en ook al heeft iedereen een rijbewijs. We weten allemaal dat je dan snelheidsbeperkende maatregelen moet treffen bij zo'n school. Misschien moet je wel een stoplicht neerzetten. Is dat een garantie dat iedereen altijd stopt? Nee, maar het normeert. Ik ben benieuwd waar de PVV wél wil normeren. Het lijkt net alsof u zegt: we hoeven eigenlijk helemaal geen normering; het gaat erom dat de gebruiker weet wat zijn rechten zijn en dat hij zelf zijn grenzen aangeeft. Maar als iemand vervolgens met een tank over je heen dendert, dan mag dat gewoon en dan moet je die zelf maar tegenhouden.

Ik ben blij dat mevrouw Leijten dit nog eventjes specifiek aan mij vraagt, want wij zijn absoluut niet per definitie een tegenstander van normeren. Alleen, ik ben best wel benieuwd hoeveel winst we zouden kunnen behalen door de gebruiker te ondersteunen en door de informatievoorziening te verbeteren. Is het dan nog nodig? Als blijkt dat dat het geval is, dan staat de PVV daar absoluut voor open; laat dat duidelijk zijn.

Ik ga mevrouw Van Weerdenburg een vraag stellen over hetzelfde onderwerp waarop zij mij ondervroeg: de rol van de ouders. Ik vind de grondhouding gezond dat ouders een verantwoordelijkheid hebben. Ik heb het nog even nagekeken toen ik net op mijn plek zat. De experts hadden het erover dat 100.000 Nederlandse jongeren in de categorie vallen waar we het net over hadden: de 10% die negatieve gevolgen ondervindt van social media. Een deel daarvan belandt bij ondersteuningsinstanties, zoals jeugdzorg et cetera. Een groot deel van de problemen gaat over concentratie. Niet alle mensen zakken gelijk in een hele diepe put, maar het zijn wel negatieve gevolgen. We hebben nu wetgeving die hier wat aan kan doen. Het enige wat we moeten doen, is goed handhaven. Ik ken de PVV-fractie over het algemeen als een fractie die voor stevige handhaving is. Dat is helemaal niet verkeerd, maar in dezen laat u het wat mij betreft lopen. Waarom bent u niet voor meer handhaving van de bestaande regelgeving? Dat staat nog even los van de vraag of we de regelgeving kunnen aanpassen of uitbreiden.

Als de PVV iets is, dan is het wel een law-and-orderpartij. Ik heb nooit willen pleiten voor minder handhaving, maar ik heb de heer Drost horen zeggen dat er een aparte kinderautoriteit moet komen, dat er apps verboden moeten worden en wat dan ook. Dat is natuurlijk het andere uiterste. Nogmaals, ook de ouders moeten beter kijken naar wat hun kinderen doen op hun smartphones. Ik weet hoe moeilijk dat kan zijn. Kinderen krijgen op school sowieso al heel veel apps voor hun neus. Dat zou weleens effectiever kunnen zijn dan wanneer we nu allerlei nieuwe dingen in het leven gaan roepen. Daar wil ik over nadenken. De conclusie is dat ik alle opties open wil houden. Het is niet zo simpel. Met extra regelgeving en een extra autoriteit lossen we de problemen niet direct op. Was dat maar zo.

Ik heb eraan gerefereerd dat we aan het dweilen zijn met de kraan open, terwijl we al regelgeving hebben om de kraan een beetje dicht te draaien. De essentie van wat ik zei, is dat we onze tanden meer moeten laten zien vanuit de instanties die er al zijn. De Autoriteit Persoonsgegevens is daar de aangewezen persoon voor. Het is mijn voorstel dat men zich binnen die autoriteit ook specifiek op kinderen gaat richten, want dan gaan er ook andere deuren open. Het gaat mij juist om de Autoriteit Persoonsgegevens. We moeten onze tanden laten zien. Er is al regelgeving. U geeft al bijna antwoord op mijn vraag. Moeten we de Autoriteit Persoonsgegevens niet in de gelegenheid stellen en vragen om de bestaande regels met meer kracht te handhaven? Het gaat dan toch om handhaving, om law-and-order? Ik vraag niet per se om meer regels, maar om het handhaven van de bestaande regels. Daar helpen we de ouders mee, die u ook wilt helpen. Misschien kunnen zij die regelgeving eens met hun kinderen bespreken et cetera. Ik ben niet tegen extra voorlichting, maar we moeten de bestaande regels wel handhaven.

Ik kan de heer Drost geruststellen. De PVV heeft alle moties ondersteund die vroegen om adequate ondersteuning aan de AP en om meer budget, zodat zij de taken die zij op dit moment heeft, fatsoenlijk kan uitvoeren. Dat zullen wij blijven doen. In die zin zie ik geen licht tussen datgene wat wij samen willen, maar is een speciale kinderautoriteit of wat dan ook echt nodig? Ja, wij zijn voor naleving van de wet en ja, de AP moet haar werk fatsoenlijk kunnen doen. Daar hebben wij altijd voor gepleit.

Mevrouw Van Weerdenburg, u kunt uw betoog vervolgen.

Voorzitter. Ik zei dat we burgers misschien een handje moeten helpen, zodat ze weten waar het over gaat en wat ze kunnen doen. Soms kan het best wel simpel zijn, maar moeten ze daar gewoon even van op de hoogte worden gebracht. Nogmaals, voorlichtingsfilmpjes zouden daarvoor een oplossing kunnen zijn. Misschien is het goed als de staatssecretaris voor Digitalisering die laatste CBS-monitor ook eens doorleest. Wellicht kan ze daarbij al nadenken welke acties, welke delen geschikt zijn om mee te nemen in een stappenplan of de programma's die ze al heeft. We hebben het wel vaker over digitale vaardigheden van gebruikers opkrikken. Dan gaat het al snel over het potje voor digibetisme, maar daar hebben we het dus niet over. Het gaat om de mensen die al digitaal vaardig zijn en met een klein beetje hulp naar een hoger veiligheidsniveau kunnen worden getild. Miljoenen mensen hebben op de pagina "Check je hack" op de website van de politie gecheckt of hun gebruikersgegevens zijn gestolen. Daaraan kun je aflezen dat er best heel veel bereidheid bestaat bij gebruikers, bij burgers, om te doen wat nodig is, maar dat ze gewoon een beetje hulp kunnen gebruiken.

Dat is het einde van uw inbreng, maar er is nog een vraag van de heer Van Baarle.

Ik wil nog even doorgaan op de normeringsschuwheid die we vandaag blijkbaar bij de PVV zien. Het is al een probleem dat er data wordt verzameld en verhandeld, maar die data wordt ook nog gebruikt om te profileren. Er worden profielen gemaakt van mensen op basis van hun afkomst en of ze moslim of niet-moslim zijn. Soms krijgen mensen het label "terrorist" opgeplakt door bedrijven omdat ze bepaalde websites bezoeken. Dat kunnen we lezen in de stukken. Ik zou aan de PVV willen vragen of we moeten normeren op dit soort vormen van profileren, op afkomst koppelen aan mensen, op religie. Moeten we dat met elkaar normeren? Moeten we tegen de staatssecretaris zeggen: daarvoor moeten we een wet invoeren, want dat kan niet? Deelt mevrouw Van Weerdenburg van de PVV dat?

Ik weet waar de heer Van Baarle het over heeft, maar ik weet niet precies welke wet hij voor ogen heeft. Wat hij schetst, gebeurt op een heleboel vlakken. Je kunt ook denken aan het bezoeken van bepaalde websites met een politiek rechts karakter. Die bezoekers zijn ook niet gelijk rechts-extremisten. Ik vind het alleen jammer dat vooral de heer Van Baarle en DENK vaak dingen samenvoegen die niet per se hetzelfde zijn. De PVV is een voorstander van duidelijkheid en helderheid. De uitkomst van een algoritme heeft niet per se helemaal geen invloed op de beslissing. Ik denk dat de heer Van Baarle het ook over de toeslagenaffaire heeft. Ik denk niet dat het een oplossing is om aan de voorkant dan maar een aantal categorieën weg te laten. Daarmee is niet gezegd dat ambtenaren aan de haal mogen gaan met wat er uit een computer komt, zeggen "o, kijk, dit is het", en mogen doen wat ze hebben gedaan. Verre daarvan. Maar de oplossing is niet per se om het niet meer op te nemen in de ruwe invoerdata.

Mevrouw Van Weerdenburg gaf net aan dat de PVV staat voor duidelijkheid, maar ik heb geen duidelijk antwoord gehoord. Ik stelde een heel heldere vraag aan mevrouw Van Weerdenburg, namelijk of we met elkaar moeten toestaan dat online sprake is van bedrijven die profielen maken op basis van afkomst en religie. Een heel simpele vraag aan mevrouw Van Weerdenburg: is dat wenselijk of niet en moeten we op dit vlak normeren? Wat dit profileren betreft proef ik bij mevrouw Van Weerdenburg dat het voor haar best wel moeilijk is om daartegen stelling te nemen. Dat is een beetje mijn gevoel.

Dat is precies omdat de wenselijkheid daarvan voor mij afhangt van wat ermee gedaan wordt, wat de uitkomst is. Als de grote webwinkels dit allemaal bijhouden om betere producten aan te bieden of wat dan ook op websites zoals Marktplaats ... Nogmaals, het oordeel of dat wenselijk is of niet, laat ik graag aan de gebruiker. De heer Van Baarle noemt geen specifieke website of categorie. Ik ga me niet vastpinnen. Het is altijd onwenselijk als dat soort dingen worden getrackt of in een profiel worden opgenomen. Het kan ook best wel handig zijn, maar dat hangt er maar net vanaf. Ik ga niet een algemeen oordeel vellen, zo van "dat is per definitie totaal onacceptabel", want misschien is het wel heel handig en komt het de gebruiker ten goede. Denk aan positieve discriminatie, waar de PVV nooit voorstander van is geweest maar linkse partijen wel. Om dat te kunnen effectueren, moet je wel weten welke mensen je positief moet discrimineren. Je moet toch weten wie je voor je hebt en op wie jouw regelgeving van toepassing is? Hoe kun je dat doen als je nooit meer op nationaliteit of etniciteit selecteert?

Afrondend hierop de heer Van Baarle.

Laat ik dan proberen om hem in laatste instantie heel concreet te maken voor mevrouw Van Weerdenburg. Want dat dit soort profielen gemaakt worden, weten we, ook uit de stukken die onder dit debat liggen. In deze stukken kunnen we lezen dat er islamitische profielen worden gemaakt. Is mevrouw Van Weerdenburg ertoe bereid om namens de PVV uit te spreken dat het onwenselijk is wanneer een bedrijf een profiel maakt met het label islamitisch en op grond daarvan besluit bepaalde diensten wel of niet aan te bieden? Hier wordt namelijk onderscheid gemaakt op basis van geloof. Ja of nee?

Nee, daar ben ik niet toe bereid. Het maken van onderscheid impliceert namelijk niet dat dat in negatieve zin is. Het hangt er dus maar net van af of de uitwerking daarvan wel of niet wenselijk is. En niet elk onderscheid heeft een negatieve invloed. Tja, ik weet niet hoe we hier uit gaan komen. Ik ben het daar niet mee eens.

Dat is helder.

Het maken van onderscheid an sich is niet erg, tenzij het tot gevolgen leidt die we niet wenselijk achten. Ik heb net over de toeslagenaffaire gezegd … Kijk, daarin was het de computer of het algoritme, of wat was het? Het was een soort veredelde Excelsheet waarbij men selecteerde op criteria. Daarmee is nog niet gezegd dat ambtenaren met die uitkomst moesten gaan doen wat ze hebben gedaan. Absoluut niet. En dat heeft de heer Van Baarle de PVV ook nooit zo horen bepleiten.

Dank voor uw inbreng. De volgende spreker is de heer Van Baarle, maar die gaat waarschijnlijk even zijn tekst, aantekeningen of bullets halen. Ik weet niet hoe hij zich heeft voorbereid, maar hij heeft het vast goed gedaan. En hij gaat spreken namens de fractie van DENK.

Dank voor uw inbreng. Mevrouw Van Weerdenburg heeft een vraag.

DENK, de partij van de heer Van Baarle, heeft in het verleden gepleit voor een minister voor diversiteit, en ook voor diversiteitsquota. Hoe gaan bedrijven of overheidsinstellingen zo'n quotum ten uitvoer leggen als je nationaliteit, etniciteit, geaardheid of wat dan ook helemaal niet mag bijhouden? Als je dat allemaal niet mag bijhouden, hoe is zo'n diversiteitsquotum dan uitvoerbaar?

Omdat je op basis van vrijwilligheid onderzoek kunt doen in je organisatie en mensen die vraag kunt stellen. Als ze daar geen antwoord op willen geven, geven ze daar geen antwoord op. Het grote verschil met deze onlinepraktijken is dat mensen in het geniep een label opgedrukt krijgen en geclassificeerd worden as such. Dat vind ik volstrekt verwerpelijk. Dat moeten we met elkaar verbieden. Op dit vlak verwacht ik eigenlijk steun van mevrouw Van Weerdenburg, die altijd van een law-and-orderpartij predikt te zijn, maar het in dit geval blijkbaar prima vindt als mensen zonder medeweten een label opgeplakt krijgen op basis van hun geloof en afkomst.

Ik heb eerder al in antwoord op interruptie van collega's gezegd dat de onzichtbaarheid van dit alles de PVV ook niet zint, absoluut niet. We moeten met z'n allen echt goed nadenken over hoe we dat beter bij de gebruikers krijgen, zodat het duidelijk is. Maar ik heb nog geen antwoord op mijn vraag. Als je verplichte quota instelt voor bedrijven en overheidsinstanties, dan kan de heer Van Baarle niet wegkomen met: o, nou ja, dan moet je mensen gewoon op vrijwillige basis vragen wat hun geaardheid is, wat hun politieke gezindheid is, wat dan ook, en als ze dat niet willen, dan antwoorden ze niet. Dat is een beetje makkelijk. Nogmaals, DENK neemt hele duidelijke politieke standpunten in en noemt onder andere een vrouwenquotum en een diversiteitsquotum. Hoe zijn die praktisch uitvoerbaar als je nergens meer op mag selecteren?

Mevrouw Van Weerdenburg gaf net aan de praktijken waarbij in het geniep mensen geprofileerd worden op basis van religie, verwerpelijk te vinden, maar die stellingname heb ik van de PVV in het verleden nog nooit gezien. Tegen zo'n beetje elk voorstel dat hier ter tafel komt om aan bedrijven te vragen om er al in de opwerpfase van algoritmes en software en bij wat ze doen rekening mee te houden dat ze niet moeten discrimineren, was mevrouw Van Weerdenburg tegen. Als we aan de staatssecretaris vragen om dat in Nederland in de wet op te nemen, dan is mevrouw Van Weerdenburg tegen. Die stellingname hebben we in uw positionering in de Kamer in ieder geval nooit gezien. Dat antwoord raakt dus kant noch wal.

De vraag over quota stel je op basis van vrijwilligheid aan mensen. Wij, in tegenstelling tot de PVV, hebben niet het standpunt dat we een vorm van schedelmeterij moeten invoeren om mensen langs de meetlat van afkomst te leggen. Dat kan je op basis van vrijwilligheid aan elkaar vragen en als mensen daar geen antwoord op willen geven, dan is dat hun goed recht.

Het principiële punt rond quota is op dit moment in Nederland dat als er posities beschikbaar komen, er echt wel mensen van diverse afkomsten zijn, ook vrouwen, om die posities te bekleden. We hebben in Nederland het probleem dat bestuurders, leidingen van organisaties, de neiging hebben om zichzelf te selecteren, om eenvormig te zijn. Dat doorbreek je door het invoeren van quota. Dan dwing je die bestuurders, die organisaties, om breder te kijken dan alleen het old boys network en mensen die op hen lijken. Zo gaat zo'n quotum ervoor zorgen dat we een betere afspiegeling krijgen aan de top van organisaties.

Tot slot. Dan concludeer ik dat het gewoon symboolpolitiek is. Het klinkt mooi, maar van de uitvoerbaarheid blijft niks over.

Ik ga u nu toch onderbreken. Ik vind het wel heel erg ver buiten de orde van het onderwerp gaan. Ik snap dat u daar veel discussies over heeft, maar dit is een vierminutendebat over de bescherming van onlinegegevens. Nu zitten we in een discussie over quota op een heel ander terrein. Ik vind het dus goed geweest. Eventueel kunt u hier in tweede termijn op terugkomen. Ik dank de heer Van Baarle voor zijn inbreng.

Dank u wel, voorzitter.

Mevrouw Bouchallikh gaat namens GroenLinks de volgende inbreng doen.

Hartelijk dank voor uw inbreng. Mevrouw Rajkowski gaat namens de VVD het woord voeren. En ze is daar heel blij mee, zei ze.

Goed punt over dat beschermen van kinderen online. Daar vinden we elkaar volledig in. U noemde al Snapchat, dat een Italiaanse toezichthouder heeft. Moeten wij dat samen doen met hen daar? Het kan gebeuren dat we dat misschien helemaal niet goed voor elkaar krijgen. Ik deed een voorstel in mijn bijdrage om ervoor te zorgen dat we, als het nodig is, ook in Nederland kunnen ingrijpen. Dan zeggen we: tot aan onze landsgrenzen, maar niet erin. Kan dat de goedkeuring van de VVD-fractie wegdragen?

Ik ben er helemaal niet blij mee dat de Italiaanse toezichthouder op eigen houtje dit soort onderhandelingen heeft gedaan. Uiteindelijk denk ik dat dit wel in het voordeel van de kinderen is, maar dat weten we niet. Er wordt heel vaag gedaan over de maatregelen, dus dat kunnen we eigenlijk helemaal niet beoordelen. Wij hebben het over fysieke landsgrenzen, maar zo werkt de onlinewereld niet. Dus alle zaken rondom de digitale wereld zijn bij uitstek zaken die wij in Europa met elkaar moeten oppakken. Je ziet ook dat op verschillende plekken op de wereld sommige chatbots verboden zijn. Je kan echt heel makkelijk toch zorgen dat je bij Snapchat of bij zo'n bot terechtkomt. Kinderen zijn digitaal namelijk heel vaardig. Een verbod is niet de oplossing. We moeten ervoor zorgen dat onze toezichthouders geëquipeerd zijn. Als socialmediaplatforms zich niet aan onze regels houden, moeten ze worden aangepakt met zulke hoge boetes dat ze hun producten en diensten wel moeten aanpassen. Dat is onze rol als volksvertegenwoordigers. Want de digitale wereld werkt helaas niet zo dat je het kan verbieden.

Ik ben het niet eens met mijn collega, in zoverre dat ze er in haar eigen betoog een voorbeeld van geeft dat het wel kan. Er zijn namelijk landen op de wereld die het doen. Die landsgrenzen zijn er digitaal natuurlijk niet; dat snap ik ook wel. We kunnen wel degelijk ingrijpen als het nodig is. Dat gebeurt; u gaf er zelf een voorbeeld van. Als we ouders willen ondersteunen, juist in het begeleiden van hun kinderen … Ik ben het er ook helemaal mee eens dat die inderdaad handig zijn. De eerste stap kan toch de volgende zijn? Er is onderhandeld op een plek waar wij geen invloed hadden. Daar kwam iets uit waar wij niet blij mee zijn. Wij zeggen gewoon: "In Nederland doen we het anders. Dit zijn onze regels. Dit komt niet in onze appstore." Heel simpel.

Het gaat bijna neigen naar een soort masterclass over hoe de digitale wereld werkt. Die appstore zou wat mij betreft een mooie, veilige plek moeten zijn, welke apps je ook downloadt. We hebben hier laatst de Digital Markets Act besproken. Ik ben namens de Tweede Kamer ook rapporteur geweest. Die zorgt ervoor dat sideloading open wordt gezet. Dat betekent dat je buiten appstores om ook apps kunt gaan downloaden. De controle zijn we dus volledig kwijt. Je kan wel zeggen "in Nederland verbieden we het", maar in Duitsland mag het wel. In een mum van tijd zit je op je telefoon in Duitsland. Het klinkt heel mooi, "we vinden iets eng en spannend; laten we het meteen gaan verbieden", maar zo werkt het niet. De VVD werkt liever aan maatregelen die ervoor zorgen dat kinderen online écht vrij en veilig zijn dan dat we roepen: we gaan het verbieden. In de praktijk verliezen we dan eigenlijk alleen maar de controle.

Afrondend, de heer Drost.

Afrondend, voorzitter. Wat ik graag wil, is het volgende. Als het bedrijf in Duitsland zit en op de Nederlandse markt, bij onze kinderen … Ik snap dat wel. Ik probeer het ook een beetje begrijpelijk te houden voor de mensen thuis. Ik ben het helemaal met u eens dat de digitale wereld heel veelzijdig en ook fluïde is. Ik wil gewoon dat onze AP dan kan zeggen: ik stuur een boete naar dat bedrijf. Zij mag dat niet doen op ons grondgebied bij onze Nederlandse kinderen, waar wij ook de volksvertegenwoordiger van zijn in specifieke zin.

Daar ben ik het mee eens. Volgens mij hebben we dat nu juist geregeld doordat we de DSA zodanig ingeregeld hebben dat er vanuit de Europese Commissie toezicht wordt gehouden. Maar ook landen zelf kunnen daar hun steentje aan bijdragen. Dus misschien is het goed om daar zo wat verduidelijking over te krijgen. Als we dat niet goed genoeg geregeld hebben, dan vindt de ChristenUnie mij aan haar zijde om daar verder voor te knokken.

Dank aan de VVD voor dit mooie betoog. Ik hoor de VVD namelijk net heel hard pleiten voor kinderrechten online en het recht om niet gevolgd te worden. Dat staat natuurlijk ook in ons coalitieprogramma. De VVD noemt ook de DSA. In mijn eigen betoog heb ik de staatssecretaris gevraagd naar het volgende. In de DSA is het zo geregeld dat je geen gepersonaliseerde advertenties krijgt, maar er mag nog steeds een profiel van je kind gemaakt worden en die profielen mogen ook doorverkocht worden aan inlichtingendiensten uit het buitenland of aan iedereen die geld biedt. Wat vindt de VVD daarvan? En is de VVD het met mij eens dat wij moeten bepleiten dat er van kinderen geen profiel gemaakt wordt, en dat dat ook niet doorverkocht wordt?

Zeker. Ik sta dubbel en dwars achter wat er in het coalitieakkoord staat. Dat heb ik in mijn betoog ook proberen aan te geven. We moeten ervoor strijden, juist als het gaat om kinderen en minderjarigen. Ik voel me nog vrij jong maar het is bijna oma spreekt: ik ben nog opgegroeid in een tijd dat nog niet iedereen een smartphone had en nog niet alles online ging. Hyves werd ergens een keer geïntroduceerd. Je hebt nu gewoon hele generaties waarvan het hele leven, hun ziel en zaligheid, angsten, ontwikkelingen, en misschien onhandige opmerkingen allemaal online staan. Daar moeten we onze jongeren wel voor beschermen. Dus daar ben ik het zeker mee eens.

Kan mevrouw Rajkowski ook eens stilstaan bij de effecten die strenge wetgeving zou kunnen hebben? Ze zei net al dat ze in Italië ChatGPT geband hebben. Gelukkig is dat nu weer toegestaan. Maar bijvoorbeeld Google heeft Bard gereleaset, een equivalent van ChatGPT die niet in Canada beschikbaar is en ook niet in de Europese Unie omdat die mogelijk niet zou voldoen aan de Europese regelgeving. De consequentie is dat Nederlandse gebruikers, bedrijven en start-ups daar niet mee kunnen werken. Natuurlijk, er zijn altijd workarounds, maar niet iedereen is able of kan het met een VPN via de UK doen, want dat is misschien net even te veel gevraagd, ook voor kinderen. De consequentie is wel dat we onszelf op achterstand zetten. Daarmee wil ik niet gezegd hebben dat we nooit iets moeten regelen, maar dat is de keerzijde van het voor de zekerheid alles maar dichtzetten, waarvoor de ChristenUnie net pleitte. Ik hoorde mevrouw Rajkowski net zeggen: u vindt mij aan uw zijde. Ik zou daar voorzichtig mee zijn.

We moeten er inderdaad voor zorgen dat we niet zulke strenge wet- en regelgeving gaan maken dat een of twee bedrijven nog groter worden en nog meer data verzamelen. Dan gaan we de big techs juist nog meer macht geven. Daarmee ben ik het niet eens. Ik weet niet precies waarom het niet mag in het geval van Google Bard. Er zijn in de laatste maanden ongelofelijk veel chatbots op de markt gekomen. Aan Google Bard vind ik wel interessant dat zij aan bronvermelding doen. Dat mis ik dan weer bij ChatGPT: hoe komt u eigenlijk aan informatie, waarom wordt mij dit geadviseerd, is dit wel waar en kan ik dit controleren? De conclusie van mijn betoog is dus misschien gewoon: op heel veel van dit soort terreinen moeten dit soort bedrijven zich nog ontwikkelen. Maar ik weet niet wat de reden is waarom Google Bard hier niet op de markt is.

Is het dan misschien een idee om samen te vragen of de staatssecretaris daar onderzoek naar kan doen, of dat zij in contact kan treden met Google, om te bezien waar hun vragen zitten en of het eventueel wél kan? We kunnen haar ook vragen om die vraag neer te leggen bij de Europese Commissie, dus dat die bekendmaakt aan of proactief zegt tegen de grote bedrijven wat er wel en niet kan. Want misschien is het wel helemaal niet nodig dat we nu zonder Bard zitten.

Wat betreft transparantie over wat wel mag en wat niet mag, ben ik het zeker met u eens. Nou verdraai ik uw woorden een beetje — zo bedoelt u het niet — maar ik voel me niet helemaal comfortabel bij het doorpassen van die vraag, want dan voel ik me toch een beetje een soort lobbyist van Google; niet dat u dat bent. Ik geleid deze vraag niet door, maar zeker die transparantie over wanneer je wel of niet de Europese markt mag betreden, lijkt me goed voor ons allemaal.

Ik vraag me toch een beetje af wat de grootste partij in onze Kamer nou precies wil doen aan de dataverhandeling die nu plaatsvindt terwijl die volgens de analyse van iedereen in strijd is met de AVG.

Is het dan misschien handig dat ik eerst mijn bijdrage afmaak, aangezien mijn laatste kopje gaat over mensen meer eigenaar laten worden van data? Dan verliest mevrouw Leijten niet haar interruptiemoment en kunnen we het daarna nog een keer doen. Of ik lees nu mijn spreektekst voor; dat kan ook.

Gaat uw gang.

Oké. Dus dan mijn laatste kopje. We hadden het over het verwijderen van content, en kinderen online.

Mijn laatste punt gaat over mensen meer eigenaar laten worden van hun eigen data. Mensen betalen voor het gebruik van onlineplatforms door data achter te laten. De VVD staat niet per se negatief tegenover dat principe, want juist deze informatie kan het mkb helpen om zijn producten en diensten te verkopen, maar er bestaan helaas veel te veel voorbeelden en onderzoeken waaruit blijkt dat platforms meer data verzamelen dan toegestaan, dat zij deze data vervolgens ongezien doorverkopen aan derden en dat het verzoek om verwijdering van data erg complex is. Als individu kan je eigenlijk helemaal niks beginnen tegen een bigtechbedrijf. Die machtsbalans moeten we herstellen. Gebruiksvoorwaarden zijn vaak dusdanig lang en complex dat het een valse transparantie is die ons wordt voorgeschoteld, zoals ik net al zei. Daarom pleit de VVD voor meer echte transparantie en zeggenschap over data die over je worden verzameld en doorverkocht. De VVD pleit er dus ook voor dat je daarop kan acteren. Ik wil de staatssecretaris vriendelijk doch dringend verzoeken om deze punten expliciet mee te nemen in de onderhandelingen over de Europese Data Act, want volgens mij is dat de plek waar deze gesprekken plaatsvinden.

Dank u wel.

Mensen echt eigenaar maken van de data die worden gedeeld, is hen actief toestemming laten geven. Dan ga je dus uit van, zoals dat dan schematisch heet, een "opt-in": je doet mee als je toestemming hebt gegeven en anders doe je niet mee, gewoon niet. Dat zou toch eigenlijk de basishouding moeten zijn bij alles wat de overheid en de regering aanbieden en alles wat zij doen met onze data? Maar dat zou toch eigenlijk ook de houding van de Nederlandse regering moeten zijn in het Europese debat? Graag een reactie van de VVD daarop.

Ja, van een opt-out naar een opt-in gaan dus. Ik vind dat wel interessant. Laten we even kijken wat de staatssecretaris daar precies over zegt, want ook als je naar die cookies kijkt, zie je dat je natuurlijk verschillende soorten cookies hebt. Dus nu zeg je niet automatisch op alles ja; je kan die ook afwijzen of geen toestemming geven. Ik denk dus dat er wel wat nuances aan te brengen zijn in het debat dat tot nu toe is gewisseld. Niet alles wordt zomaar over jou verzameld, ook als je geen toestemming geeft. Dat wil ik even gezegd hebben, maar verder steun ik die strijd wél. Ik heb de staatssecretaris al eerder gevraagd die trackingcookies van de overheidswebsite af te halen, want ik zie daar echt totaal niet het nut van in, behalve als die worden gebruikt om de dienstverlening te verbeteren, maar dat was niet echt het doel. Ik zou dus zeggen: ik wacht de beoordeling van de staatssecretaris af en dan kunnen we daar in de tweede termijn over doorgaan.

Oké. Dan heb ik nog één vraag aan de VVD. De VVD heeft heel groot aangekondigd: wij gaan af van TikTok, want TikTok kan mogelijk een achterdeur zijn voor de Chinese staat om hier te spioneren. Zou er ook nog een andere reden kunnen zijn om van TikTok af te gaan? Een mensenrechtenreden bijvoorbeeld, omdat TikTok alles wat wij uploaden gebruikt om de eigen bevolking te onderdrukken? Zou het ook goed zijn om dat in het debat te noemen? Nu is het namelijk "we zijn bang voor technologie" of "we zijn bang voor buitenlandse machten". We moeten nooit naïef zijn; dat snap ik ook. Maar er zit ook die andere kant aan. Als wij mee blijven doen hieraan, want het is zogenaamd gratis, leuk en om te influencen, dan geven we al die data ook weg aan regimes of systemen voor het onderdrukken van mensen. Zou het wat de VVD betreft ook goed zijn om als er dan niet ingegrepen wordt, ons daar in ieder geval bewust van te maken?

Ja. Ik denk dat het zeker goed is om dat verder bij het debat te betrekken. Als je kijkt naar de agenda van landen als China, zie je dat mensenrechten niet echt in hun plannen voorkomen. Daar hebben we het met verschillende collega's in deze zaal en ook buiten deze zaal vaak over gehad. Er zijn voorbeelden te over van de vreselijke dingen die zij met de mensen in hun land doen.

Ik ben best ruimhartig, maar dit is wel een vierminutendebat.

Ja, dit is de laatste.

Als het bij het onderwerp blijft, graag. Mevrouw Dekker-Abdulaziz.

Ik hoorde de VVD zeggen dat zij trackingcookies bij overheidswebsites helemaal niet nodig vinden. Waarom vindt de VVD het dan wel nodig bij bol.com?

Dat hoeft niet. Je kan zeggen dat je dat niet wilt. Er wordt nu net gedaan in het debat alsof alles automatisch wordt gevolgd bij een cookiepop-up, maar je geeft toestemming of je geeft geen toestemming. Het is niet zo dat je automatisch bij alles overal wordt gevolgd en alles over je wordt verzameld en geprofileerd, ook als je afwijst of geen toestemming geeft. Het staat ook zo in de wet. Het ging er net over dat de cookiewet niet goed zou functioneren. Volgens mij is dat een wet van een collega uit uw eigen partij. Ik sta open voor alle suggesties, maar daar staat letterlijk in dat je ook niet zomaar altijd alles moet accepteren. Dus dat hoeft niet als je dat niet wilt bij bol.com.

Nee, dat klopt. Alleen heel vaak kun je geen onderscheid maken tussen de onschuldige cookies en de trackingcookies. Daar zit het probleem. Daarnaast is natuurlijk de grote vraag van dit debat: waarom hebben we dit eigenlijk überhaupt nodig? Ik was benieuwd of de VVD wel echt de meerwaarde ziet van het maken van een profiel van u en uw kinderen?

Volgens mij gaan hier weer allemaal dingen door elkaar. Ik heb net heel duidelijk proberen aan te geven dat ik niet wil dat kinderen worden gevolgd. Dat wil ik dus niet. Ik wil niet die profielen, niet die advertenties en niet al die kwalijke dingen. Op het moment dat mensen het niet erg vinden dat ze gevolgd worden, dan vinden ze dat niet erg, maar het moet altijd binnen de perken van de wet zijn. We hebben daar de Digital Services Act en de AVG voor. Ik heb net gevraagd of dat klopt en voldoet. Zijn onze toezichthouders geëquipeerd? Moeten we nog extra dingen onderhandelen in Europa? Volgens mij is die Data Act daar een mooie plek voor. Ik zie eigenlijk het verschil niet.

Ik sloeg ook even aan op wat mevrouw Rajkowski net zei over die trackingcookies op overheidswebsites. Zij wil die er liever afgehaald, behalve als ze gebruikt worden voor verbetering van de dienstverlening. Dat is nu juist net het argument dat de grote bedrijven ook gebruiken. Ja, dat doen we juist om de dienstverlening naar gebruikers te verbeteren. Is het nu wel of is het nu niet?

We hebben hier al een debat over gehad. Dat debat ging over bescherming persoonsgegevens, dus dat lijkt heel erg op de titel. We hebben dit toen gevraagd en toen heeft de staatssecretaris geconstateerd dat het inderdaad helemaal niet nodig is om de dienstverlening verder te onderzoeken. De staatssecretaris heeft toen gezegd dat de trackingcookies van de overheidswebsites afgehaald zouden worden. Volgens mij zijn ze er nu ook vanaf. Dus dat is al uitgediscussieerd, klaar en bereikt. Ik gebruikte alleen dat voorbeeld om aan te tonen dat we het hier nu vandaag over hebben, maar dat we al een tijdje willen laten zien wat de inzet van de VVD is en wat wij belangrijk vinden qua privacy en veiligheid online.

Dank voor uw inbreng. Tot slot van de zijde van de Kamer is het woord aan mevrouw Kathmann. Zij spreekt namens de Partij van de Arbeid.

Mevrouw Rajkowski wil over het vorige punt een vraag stellen.

Ik sprong ineens op, want ik wil inderdaad nog een vraag stellen. Hoe gaat dat pakket er precies uitzien? Als ik een pakket zou krijgen "hoi, hier is de overheid, installeer dit op je computer zodat wij je kunnen beveiligen" dan zou ik het om verschillende redenen niet installeren, onder meer omdat ik denk dat niet alles wat de overheid aanbiedt, het veiligst en het nieuwste op de markt is. Ik zou graag ruimte willen openlaten om de beste dingen te kunnen doen. Stel dat iemand toch gehackt wordt of dat er toch een datalek is. Is de overheid dan verantwoordelijk en kun je daar dan met schulden en claims terecht? Hoeveel kost zo'n pakket? Waar gaat u het geld vandaan halen? Het initiatief klinkt heel leuk en aaibaar, maar ik zie het nog niet zo vliegen.

Ik word op de eerste plaats altijd een beetje zenuwachtig als de grootste partij van Nederland geen vertrouwen heeft in wat de overheid kan regelen, maar dat terzijde. Ik vind het wel terecht dat mevrouw Rajkowski vraagtekens plaatst. Het is een wild idee. Zie het als iets wat we echt met elkaar moeten doorklieven. Ik snap dat je dit niet zomaar over heel Nederland kan uitstrooien, maar begin in ieder geval in die klaslokalen, bij die semioverheid, bij je zorgmedewerkers of bij je ambtenaren. Er moet in ieder geval een basispakket zijn waar mensen dus ook niet voor hoeven te betalen als we het toch allemaal nodig hebben om dit land te laten functioneren. Iedereen moet snappen waarom je data beschermd moeten worden. Het moet kunnen. Je moet de mogelijkheid hebben. Het moet laagdrempelig in plaats van nu hoogdrempelig zijn. Zoiets kunnen we best uitdenken. Het moet in ieder geval beter worden dan hoe we er nu met z'n allen voorstaan.

Op zich een nobel streven, dus daarin vindt de Partij van de Arbeid mij zeker aan haar zijde. Het debat hiervoor ging over het AcICT, een club die ervoor moet zorgen dat overheidsprojecten niet meer te duur, te lang en te complex zijn. Met dat in het achterhoofd zie ik nu een groot legacyproject ontstaan waar we niet meer vanaf komen. Waarom kunnen we er niet voor zorgen dat de overheid zelf met experts of met experts uit de markt data kan verzamelen om vervolgens semioverheden en basisscholen waar nodig te helpen en te adviseren? Dat zou mijn voorkeur zijn. Bij het maken van een eigen pakket vanuit de overheid vindt u mij niet aan uw zijde.

Ik kom daar zo nog even op terug. In de basis is er ook een verschil in hoe er wordt gekeken naar partijen waarmee kan worden samengewerkt. Ik vind sowieso dat we veel meer moeten kijken naar die publiekewaardegedreven digitale samenleving en daar horen misschien ook soms andere soorten partijen bij. Ik heb altijd gezegd dat we dit niet kunnen zonder commerciële partijen en zonder partners in het veld. Dat staat voor mij als een paal boven water. Ik snap wel dat u denkt "hé, daar staat een PvdA'er en die gaat dit weer allemaal zelf zitten doen", maar nee, dit ga je gewoon doen met partijen die er verstand van hebben en die snappen hoe zo'n pakket eruit moet zien. Het is wel de overheid die dan aan zet is om dat pakket kenbaar te maken bij zo veel mogelijk mensen en om dat pakket betaalbaar te houden voor zo veel mogelijk mensen, misschien zelfs wel gratis te maken, zodat zo veel mogelijk mensen die VPN hebben, die adblockers hebben en snappen wat die opt-inoptie van mevrouw Leijten bijvoorbeeld inhoudt. Je doet dat met de markt, je doet dat met het veld, maar de overheid heeft wel de hele grote regierol. Zo zie ik het voor me. Het is een wild idee en misschien een beetje kort door de bocht, dus ik snap dat je daar een beetje onrustig van kan worden.

Dan hebben we het ook uitgebreid gehad over die slimme targeting van de adverteerders. Eigenlijk zien we — ik heb dat ook al eerder gezegd — dat wij in de tijd van politieke campagne niet anders doen. Veel politieke partijen doen aan microtargeting en ik vraag me daarom nog steeds af hoe de staatssecretaris aankijkt tegen een microtargetingverbod voor politieke organisaties, vanaf 90 dagen voor de verkiezingen bijvoorbeeld.

Dan even terug naar die persoonsgegevens, want het volgende datalek ligt altijd op de loer. Uit alles wat al mijn collega's hebben gezegd blijkt dat de consument knetterkwetsbaar is in die commerciële wereld, maar de burger in het publieke domein is eigenlijk net zo kwetsbaar. We hebben vaker met elkaar de casus in De Bilt besproken. Daar hing een verkeerscamera en die registreerde van alles. Het was eigenlijk de bedoeling om alleen kentekens te registreren, maar die registreerde ook hele personen om het maar zo te zeggen. Uiteindelijk was die site heel makkelijk via een linkje toegankelijk en kon iedereen ernaar kijken. Toen was er nog een datalek bij een automonteur en zo wist eigenlijk iedereen welke persoon wanneer waar was. En dit is een voorbeeld bij maar één gemeente. Steeds komen we er alleen maar achter als er een journalist is die dit openbaar maakt. Hoe gaan we hiermee nou om? Hoe kijkt de staatssecretaris hiernaar?

Ik kom dan weer met even een wild idee. Moeten we niet gewoon toe naar een soort van landelijke datalekhotline voor al die gemeentes en ministeries? Als je een ambtenaar bent en je ziet iets wat niet in de haak is, kun je bellen en word je gewoon geholpen. Er wordt vastgesteld wat er nou is misgegaan, de pleisters worden geplakt en er wordt ook even naar het systeem gekeken. We weten nu heel vaak hoe het beter moet, alleen zitten er nog steeds op heel veel plekken mensen die wel beter willen, maar onbewust gewoon niet beter weten. Hoe kijkt de staatssecretaris daartegenaan?

Ik maak mij ongelofelijk veel zorgen over Google in de klas. Mijn kind denkt dat een computer "Chromebook" heet en dat het internet "Google" heet. Als hij op een schoolaccount moet inloggen, heeft hij daar een Google-account voor nodig. Als kinderen op de middelbare school woordjes moeten stampen, moeten ze dat met apps doen die al hun data verzamelen. Gelukkig is het Rijk door een motie in de Tweede Kamer nu onderdeel van de public spaces community, waarmee we naar die publiekewaardegedreven digitale wereld willen. Hoe staat het met dat partnership? Is dat proactief? En wat is er voor nodig om dat proactief te krijgen zodat we in ieder geval in het publieke domein niet meer onze data te grabbel gooien? Want op dit moment betalen wij gewoon met publiek geld drie keer. Een keer om al die big tech het werk te laten doen in het publieke domein, een keer met onze data en nu straks nog een keer omdat zij met onze data algoritmes trainen. Daar komen straks allemaal AI-producten uit die wij weer met publieke middelen moeten terugkopen. Ik hoor dus graag hoe wij de staatssecretaris kunnen helpen om dat partnership wat proactiever te krijgen.

Dank. We gaan even schorsen. Daarna zal de staatssecretaris antwoorden geven op de gestelde vragen.

Dit debat gaat over de bescherming van onlinegegevens. Het is een zogenaamd vierminutendebat. We zijn toe aan de eerste termijn van de zijde van de regering. Ik geef de staatssecretaris van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, die ook verantwoordelijk is voor digitalisering, het woord. Gaat uw gang.

Een ogenblik. Er is een vraag van mevrouw Dekker-Abdulaziz.

Voordat we naar het derde spoor gaan, ga ik toch even een vraag stellen over het eerste spoor. Ik hoor de staatssecretaris aangeven dat ze zich gaat inzetten voor instellingen in de browser en het verbeteren van toestemming in Europa. Waarom is het niet mogelijk om parallel aan de inzet in Europa ook in Nederland enig initiatief te tonen?

Ik heb al aangegeven dat ik dat ook wil, zij het dat het niet makkelijk is om dat in wetgeving te regelen. We moeten dat dan doen op basis van vrijwilligheid. We kunnen ook — daar kom ik zo meteen bij de beantwoording van de vragen op terug — veel meer doen op het gebied van voorlichting. Daar hebben u en mevrouw Kathmann iets over gezegd. Het kan heel wenselijk zijn om mensen te helpen om, als ze dat willen, bijvoorbeeld te kiezen voor browsers die daadwerkelijk hun privacy beter beschermen.

In het eerste blok had de staatssecretaris het over de e-Privacyverordening. Ze zei dat de onderhandelingen daarover vastzitten en dat het haar ambitie is om daarin "de generieke toestemming vergeten" en "je laten vergeten" te vervatten. Kan de staatssecretaris wat meer vertellen over wat de status is van dat vastzitten van die onderhandelingen en wat het mogelijke perspectief is om daarin als Nederland een rol te vervullen en dat te doorbreken? Hoe realistisch is het dat er in de nabije tijd toch een vorm van een doorbraak komt, of is dat niet realistisch?

Het voorstel voor die e-Privacyverordening bevat verschillende onderdelen. Het verbeteren van de cookiewetgeving — of beter gezegd: het beschermen van het delen van onlinegegevens en het in één keer uitzetten — is daar een deel van. Ik merk heel sterk dat bij veel van mijn collega's dezelfde thema's leven als in uw Kamer. Die heb ik net ook opgenoemd. Zo zien we dat er regels zijn, maar dat die soms niet voldoende zijn. We zien ook dat die in de praktijk onvoldoende werken enzovoort, enzovoort, enzovoort. Ik heb daarom de hoop dat ik samen met een aantal van de collega-lidstaten, met andere lidstaten, met mijn collega's uit andere lidstaten en vooral ook samen met de Eurocommissaris, met wie ik aan het eind van de maand juni een gesprek heb, kan bekijken wat we daaraan kunnen doen. Dit op Europees niveau goed regelen is namelijk altijd sneller en gaat verder dan het daarvoor inzetten van aparte dingen in Nederland.

Dat laat onverlet dat ik het belangrijk vind om in Nederland wel alvast aan de slag te gaan door te bekijken of we op basis van afspraken met leveranciers werk kunnen doen, net als op Europees niveau gebeurt, en of we je, door goede voorlichting te geven, kunnen helpen bij het alvast op je telefoon instellen van dingen die je zelf belangrijk vindt. Er bestaan browsers die er veel meer voor zorgen dat je privacy wordt beschermd. Er is een mogelijkheid om blokkeringen van advertenties in te stellen en om je locatietracking uit te zetten enzovoort, enzovoort. Al die dingen kun je natuurlijk zelf doen. Voor mensen die dat belangrijk vinden, is het vooral ook goed om dat te laten weten. Aan de ene kant is de vraag wat er in de praktijk gebeurt met je gegevens. We hebben nu hier dit debat naar aanleiding van onder andere dat artikel van Follow the Money, waarin je ziet wat er allemaal gebeurt. Ook kijken we hoe we mensen op dit moment al kunnen helpen om actie te ondernemen, als ze dat zouden willen.

Mijn vraag was heel concreet wat het realisme is en of de staatssecretaris wat meer kan schetsen over het vastzitten van de onderhandelingen. Deze staatssecretaris verwijst heel vaak naar Europa. Ik begrijp dat het handig is om dingen in Europa te regelen. Aan de andere kant is het voor mij namens mijn fractie ook vaak een frustratie dat de staatssecretaris vaak naar Europa verwijst, maar dat we gewoon niet weten wat het realisme is, het tijdspad, de kans dat er überhaupt iets uit Europa komt. We moeten dus niet met elkaar op de handen zitten. Zou ik de staatssecretaris nogmaals mogen vragen of ze iets concreter kan zijn over wat dan het realisme is dat er een doorbraak komt met de e-Privacyverordening?

Ik denk dat een doorbraak met de e-Privacyverordening als totaal heel lastig wordt. Ik denk dat daar een grotere kans op is als het gaat over dit onderdeel, dus deze specifieke cookiewetgeving of aan cookies gerelateerde wetgeving en hoe die werkt. Overigens toch nog even een sideline. Ik had het net over de Digital Services Act, een Europese verordening die wel degelijk is aangenomen en nu ook in werking treedt of al in werking is getreden, maar nog verder moet worden geïmplementeerd. Die helpt ook heel goed om bijvoorbeeld minderjarigen te beschermen. Het is in Europa niet all bad, om het maar even zo te zeggen. Sterker nog, we zien dat er ook een heleboel dingen goed gaan. Maar het realisme over die cookies is groter dan over de e-Privacyverordening als totaal.

Echt afrondend.

Ik doe het heel kort om het goed te begrijpen. De staatssecretaris wil eigenlijk die elementen, dus die cookies kunnen laten vergeten, opknippen in een soort andere verordening, een ander initiatief. Dat is haar inzet. Wanneer kunnen we er als Kamer iets over terughoren of die inzet slaagt of niet?

Binnenkort, 1 of 2 juli, is er opnieuw een Telecommunicatieraad. Ik hoop voor die tijd te kunnen spreken met de Europese Commissie over dit onderwerp. In het kader van het terugmelden over die Telecommunicatieraad kan ik u daar iets meer over vertellen.

Deze staatssecretaris is altijd met Europa aan het schermen omdat ze zelf niks kan of niks wil of niks doet. Maar er bestaat toch zoiets als een voorzorgsprincipe, dat zij en de regering ook kunnen hanteren voor de eigen inwoners? Of is dat op de digitale markt helemaal uitgeschakeld? Welke analyse heeft de regering gemaakt van de eigen mogelijkheden om wetten te maken? Of zegt ze: het is echt helemaal Europees, daar mogen we niks meer op?

Misschien is het goed als ik even mijn inleiding afrond, want daarin heb ik een aantal punten opgenomen over wat we in Nederland kunnen doen, los van wat we in Europa doen. Daar kan ik iets meer over vertellen.

Dat lijkt me verstandig, ook voor het verloop van het debat.

Dat lijkt me heel verstandig, want dat verstoppertje spelen is ongewenst.

Heel goed. Dan komt mevrouw Leijten straks vast nog terug, maar de staatssecretaris vervolgt nu haar betoog.

Volgens mij is het helder dat we de zorgen delen over dit onderwerp en dat we daar serieus mee aan het werk proberen te gaan.

Dan het derde spoor, dat gaat over toezicht. Los van het hebben van regels, het inzetten daarop en het realiseren daarvan is het natuurlijk ontzettend belangrijk dat we ook voldoende werken aan toezicht, of het nou gaat om het toezicht van de Autoriteit Persoonsgegevens of van de andere autoriteiten die zich bezighouden met toezicht in het digitale domein: de ACM, de Autoriteit Financiële Markten, het Commissariaat voor de Media en de Rijksinspectie Digitale Infrastructuur, voorheen het Agentschap Telecom. Daarom hebben we als kabinet verder geïnvesteerd in middelen voor de Autoriteit Persoonsgegevens en is het van belang om te zorgen dat we, ook op basis van de rechtszaken die lopen rondom de AVG en de naleving daarvan door marketingbedrijven, dat toezicht verder invullen. Dat geldt specifiek ook voor onlinekinderrechten. Daar zal ik in de komende tijd, in de komende weken zelfs, met de toezichthouders die ik al genoemd heb in kaart brengen wat we nog verder kunnen doen om te zorgen dat we het toezicht verbeteren en daarmee ook specifiek kinderen online beschermen.

Een vierde spoor waaraan we in Nederland werken is het beschermen van de overheid en overheidsmedewerkers. Natuurlijk hebben we ook al het beleid om apps uit landen met een offensief cyberprogramma te ontraden, maar wij gaan ook aan het werk met de leveranciers van netwerken binnen het Rijk om te kijken of we de opties rondom tracking van medewerkers kunnen beperken. Los daarvan willen we richtlijnen maken voor websites van de rijksoverheid zelf, om te zorgen dat die sites cookies alleen gebruiken voor heel noodzakelijke doelstellingen en niet om te tracken, zoals we al eerder hebben besproken.

Gegeven het voorgaande zou ik graag willen overstappen naar het beantwoorden van de vragen in een aantal blokjes. Ik kom te spreken over cookies, over kinderrechten, over de AVG, DSA, de Digital Services Act, en de e-Privacyverordening en daarna nog over een aantal overige vragen.

Ik begin graag met het onderwerp cookiewetgeving. Mevrouw Dekker-Abdulaziz en DENK vroegen naar de verhouding tussen de cookiewetgeving en de AVG en welke stappen we moeten zetten om te zorgen dat er verdergegaan wordt met de Europese Commissie en het Europees Parlement. Daarnaast vroegen zij wat we kunnen doen aan toestemming en voorlichting. Zij vroegen tot slot om een voorbeeld te geven. De huidige cookiewetgeving is opgenomen in de Telecommunicatiewet. Dat is een implementatie van de Europese e-Privacyrichtlijn. Dat is dus de bestaande richtlijn. Deze bevat ook de AVG-verordening. Daarmee is het een combinatie van beide. Ik heb al eerder gezegd dat de toepassing van de regels veel beter moet, omdat het op heel veel websites niet duidelijk is welke gegevens verzameld worden en wat ermee gebeurt. De manier van toestemming geven is vaak ingewikkeld en de cookievragen zijn soms net iets makkelijker of soms veel makkelijker te accepteren dan te weigeren. Dat leidt dan tot die zogenaamde consentmoeheid: je zegt maar ja omdat het dan sneller gaat. Daarvoor hebben we een heel palet aan maatregelen nodig. We moeten zorgen dat we de wetgeving implementeren, maar ook voorlichting regelen. Ook moeten we zorgen dat gewerkt wordt aan het verbeteren van het toezicht. Specifiek is dat wat mij betreft in de vorm van betere e-privacyregelingen. Er moet gewerkt worden aan de e-Privacyverordening om te zorgen dat die alternatieven mogelijk zijn om zo dat deel van de e-Privacyverordening alsnog te realiseren, wat nu niet lukt omdat de verordening is vastgelopen. Daarmee moet het voor burgers bijvoorbeeld mogelijk worden gemaakt dat zij in één keer aangeven waarmee ze akkoord gaan en waarmee niet, dat zij niet per website hoeven te klikken en dat zij in één keer kunnen worden vergeten. Van al dit soort dingen willen we graag dat die geregeld worden. Natuurlijk klinkt het dan aantrekkelijker om dat te doen op basis van nationale wetgeving, maar het is niet altijd makkelijk binnen de context van de kaders zoals de AVG en de e-privacyrichtlijnen. Kort en goed: ik ga daarmee aan het werk in Europees verband, los van het feit dat we ook gaan werken aan de Nederlandse stappen waar ik al eerder iets over heb gezegd.

Mevrouw Dekker-Abdulaziz vroeg ook om default in de browsers "nee" als stap te zetten. Zij vroeg of we dat alvast in Europa kunnen bepleiten en daarmee kunnen experimenteren. We kijken inderdaad naar de mogelijkheid om de instellingen van browsers een gebruiksvriendelijker praktijk te maken. Nogmaals, we willen dat ook op Europees niveau regelen, maar ik wil ook proberen te kijken hoe we daar afspraken over kunnen maken en wat we parallel aan de inzet in Europa kunnen doen, bijvoorbeeld door dit met techbedrijven op vrijwillige basis uit te werken. Met de Eurocommissaris ga ik daar graag over in gesprek.

Dan was er de vraag van de SP of wij kunnen kiezen voor een zogenaamde opt-in. Dat houdt in dat je niet zozeer ja of nee moet zeggen, maar dat er altijd een opt-in is. De SP vroeg daarnaast om een wettelijk verbod op het delen van data te maken. In feite hebben we dat verbod al. De AVG zegt dat persoonsgegevens alleen maar verwerkt mogen worden als er een grondslag voor is en natuurlijk ook als er toestemming wordt gegeven. Als je die toestemming verleent, dan mogen die gegevens alleen worden verwerkt voor het doel waarvoor de toestemming is verkregen. Met andere woorden: de AVG verbiedt het om gegevens voor andere doelen te gebruiken dan waar die voor zijn verzameld. Maar in de praktijk werken die regels niet zo makkelijk, want de toestemming van de burger is in feite een toestemming die wordt gegeven ofwel op basis van consentmoeheid, ofwel omdat het makkelijker is om ja of nee te zeggen. Dit heb ik ook al eerder gezegd. Daar moeten we dus een verbetering in zoeken. In de regel is het in feite al zo dat er sprake is van een opt-in. Er mag dus alleen maar iets gebeuren als je toestemming geeft. Er is dus een verbod op het delen van data zonder toestemming.

Dit klinkt mooi, maar het is onjuist. Onlangs is er nog een wetsvoorstel voorgelegd aan deze Kamer en dat is helaas ook aangenomen. Daarin staat dat mensen die zonnepanelen nemen daar automatisch een slimme meter bij krijgen die data deelt. Mensen komen daar pas vanaf als zij daar een verzoek voor indienen. Dat is dus niet een opt-in, maar een opt-out. Het is dus niet zo dat het rijksbreed beleid is om te zeggen: wat we ook doen, aanbieden of makkelijk maken, mensen moeten er zelf voor kiezen of ze data delen en als ze dat doen, dan weten ze waar ze voor kiezen; ze hoeven niet actief iets te doen om geen data te delen. Dat is overigens ook niet de inzet in Europa. Los van wat de AVG toestaat met het delen of het gebruiken van data is dit dus niet standaard de houding van de regering. Daar zou ik eigenlijk wel een beweging op willen voorstellen. Als we dat namelijk als basishouding nemen, dan is dat wel makkelijker en ook makkelijker in gesprekken met bijvoorbeeld de commerciële partijen, omdat je zelf als rijksoverheid zegt: "Wij doen het niet. Het is misschien makkelijk en ook voor de dienstverlening is het misschien handig. Het is handig om te weten wanneer mensen energie gebruiken, maar we doen het toch niet. Handigheid gaat niet voor privacy." Ik zou graag van de staatssecretaris willen weten of ze ervoor is om te zeggen: wij gaan in alle ministeries en dus ook in het beleid in Europa ervan uit dat mensen het niet willen, tenzij ze er actief voor kiezen.

Ik denk dat het goed is om hier dan ook even het onderscheid te maken tussen die commerciële partijen, waar we het eerder eigenlijk over hadden, en de overheid zelf. Als je op het internet iets koopt en er wordt gevraagd of er cookies geplaatst mogen worden, dan geef je wel of geen toestemming. Ik heb net al iets aangegeven over de problematiek daaromheen, maar dat is dat. De overheid kan alleen maar data over jou verzamelen wanneer er ook een wettelijke grondslag voor is. Als dat dus gebeurt, dan moet daar ook echt een grondslag voor zijn. Dat is dan iets anders dan dat je als individu ja of nee zegt. Er moet dan een wettelijke grondslag zijn om die data te verzamelen. Er moet ook sprake zijn van dataminimalisatie. Het moet alleen maar kunnen als er daadwerkelijk geen andere manier is waarop je die data kunt verzamelen. Ook moet die data echt nodig zijn. Dat is daarbij altijd aan de orde. Zo'n wettelijke grondslag krijg je niet zomaar. Dat is natuurlijk ook vooral iets wat van belang is.

Opnieuw zou ik willen dat dit waar was. Opeens zat het in dat wetsvoorstel over het afschaffen van de saldering voor de opbrengst van zonne-energie. Het was niet getoetst. De Autoriteit Persoonsgegevens zei: doe het niet, doe het niet! Er waren allemaal woordvoerders Energie die het leuk en handig vinden om de scores van energiegebruik te meten met een slimme meter. En bam, de Kamer neemt het aan, maar de grondslag daarvoor is echt niet getoetst. Mensen die een zonnepaneel aanschaffen, hebben geen idee dat daarmee al die data bij in dit geval de netbeheerder en de energieleverancier komen te liggen. En we hebben geen idee op welke manier dat wordt gedeeld, geen idee. De houding is dus niet zo. Als de staatssecretaris dan zegt "beste commerciële partijen, ik wil namens de overheid met u praten over dataminimalisatie", dan lachen ze diezelfde staatssecretaris toch in het gezicht uit? Dan zeggen ze: hier heb ik een wetsvoorstel en daar heb ik een wetsvoorstel; de overheid doet precies hetzelfde. Daarom wil ik zo graag dat die basishouding verandert, zodat we allemaal weten: het is gewoon "nee, tenzij"; zo doet de overheid het en zo proberen we het aan de commerciële kant van de digitale samenleving ook te regelen.

In mijn perspectief, in mijn beleving, is dat ook de kern van de wetgeving. De AVG zegt ook tegen overheden dat je alleen maar kunt verwerken op basis van een wettelijke grondslag. Die wordt natuurlijk mede in uw Kamer bepaald. Als u zegt "wij willen dat niet", dan gaat dat natuurlijk niet gebeuren. Als u zegt "wij stemmen daarmee in" — misschien niet precies u als partij, maar de Kamer als geheel — dan bestaat er inderdaad een grondslag om data te verwerken. Maar die moet er dan niet alleen op gebaseerd zijn dat het in de wet staat, maar ook dat er geen andere manier is om die informatie te verzamelen, omdat dataminimalisatie en de noodzaak om dat te doen ook een heel belangrijk onderdeel zijn van die grondslag.

Afrondend, mevrouw Leijten.

Of je wel of niet een grondslag creëert in een wet, zegt niet of je een opt-in of een opt-out gebruikt in die wet. De grondslag om de energiedata van die zonnepanelen te verzamelen wordt geregeld in de wet. Of mensen automatisch meedoen of toestemming moeten geven om mee te doen, is een keuze bovenop de grondslag. Uit het creëren van een grondslag volgt dus niet automatisch dat je er dan in zit. Het feit dat wij het elektronisch patiëntendossier, of hoe dat tegenwoordig heet, invoerden, waar iedereen automatisch in zat tenzij je het niet wilde, is omgedraaid naar "je zit erin als je dat zelf wilt" omdat we zeiden dat dat beter is om de privacy te beschermen. Er is dus een grondslag, en toch bepaal je zelf of je meedoet. Of je een wettelijke grondslag creëert of niet, heeft er dus niks mee te maken of je uitgaat van automatisch meedoen of toestemming voor meedoen.

Ik begrijp dat in dit wetsvoorstel specifiek een opt-outfunctie is gecreëerd. Je doet namelijk mee, tenzij je dat zelf niet wenst. Dat het in die wet geregeld is, maakt dat je daar dus ook een grondslag voor hebt en dat dat ook de regel is.

De staatssecretaris vervolgt haar betoog.

Ik wil doorgaan met de vragen die gaan over kinderen en kinderrechten online. Ik begin met de vraag die daarover is gesteld door de ChristenUnie. De vraag …

Ik moet u toch even onderbreken. Er is nog een debat vanavond, zeg ik even.

Sorry, voorzitter. Ja, dat weet ik, over een initiatiefwet van uw partij. Dus ik snap het wel.

Ja, precies.

Toch nog even over de cookies. Ik hoorde de staatssecretaris zeggen: we regelen dit het allerbeste in Europa. Dat snap ik wel. Het duurt wel heel erg lang. Sinds 2017 zijn de onderhandelingen al bezig. Tegelijkertijd zien wij dat in Duitsland het hele "default in de browser" twee jaar geleden al geregeld is in de nationale wetgeving. Wij hebben onze eigen cookiewetgeving ook al heel lang geleden nationaal geregeld. Ik snap dat het lang duurt, maar soms lijkt het op lange termijn gewoon korter te zijn dan bij Europa. Dus ik vraag de staatssecretaris nogmaals: kan ze hier toch al naar kijken? Kan ze hier op z'n minst al een beginnetje mee maken?

Dat is precies wat ik gezegd heb. Ik begrijp dat het in Duitsland niet wettelijk is geregeld, maar dat er een afspraak is gemaakt om dit ook bij browsers in te zetten. Dat is een afspraak die gemaakt is met de leveranciers of de producenten van deze browsers. Ik kan beter zeggen: de aanbieders daarvan. Dat is ook precies iets waar ik mee aan de slag wil. Ik ga graag heel goed kijken naar wat er in Duitsland al geregeld is, om daarmee ook te kijken of we dat voor Nederland kunnen gebruiken.

Tot slot, voorzitter. Ze hebben wel de nationale wetgeving aangepast om deze afspraak te maken. Kunnen we dat, als we toch bezig zijn, dan niet gelijk goed doen?

Nogmaals, de precieze details van deze regelgeving ken ik niet. Ik moet dus kijken of dat anders is en of dat nodig is. We kunnen het in ieder geval hebben over die afspraken.

De staatssecretaris geeft aan dat in ieder geval in het proces van toestemming vragen voor die cookies een hoop misgaat als het gaat om hoe dat gebracht wordt in de richting van consumenten, en ook met het systeem in Duitsland; daar hoorden we net al over. Wanneer horen we van de staatssecretaris of zij op dit vlak zelf iets wil gaan doen? Wanneer kan ze daar uitsluitsel over geven?

Volgens mij zeg ik daar nu al iets over. Ik ga namelijk niet alleen aan het werk in Europa, maar wil ook juist aan het werk gaan — ik heb de verschillende elementen daarvoor opgenoemd — om te kijken of we hier in Nederland kunnen zorgen voor het volgende. Of dat in de vorm is van afspraken met bedrijven of in de vorm van voorlichting: ik vind het belangrijk dat mensen zo snel mogelijk de mogelijkheid krijgen om te zorgen dat hun informatie niet gedeeld wordt als ze dat niet meer willen. Ik vind het belangrijk dat ze dat zo makkelijk mogelijk kunnen doen, of dat nou gebeurt aan de hand van de opties die door mevrouw Kathmann zijn genoemd of aan de hand van andere opties.

Mijn vraag is wanneer we daar wat over horen. Wanneer kunnen we van de staatssecretaris uitsluitsel krijgen over de vraag of ze de cookiewet gaat aanscherpen om ervoor te zorgen dat het voor eindgebruikers overzichtelijker wordt en of we, à la Duitsland, afspraken wettelijk gaan vastleggen. Kunnen we voor het zomerreces van de staatssecretaris het antwoord krijgen op de vraag of we dat wel of niet gaan doen?

Het is wel mijn bedoeling om dat te doen. Ik probeer dat zo snel mogelijk te doen. Ik heb al gezegd: ik ga praten in Europa. Ik wil proberen om dat pakket zo goed mogelijk samen te stellen. Maar dat is mijn intentie, ja.

Dan gaan we door naar de kinderrechten.

Door naar de kinderrechten. De vraag van de ChristenUnie ging over die specifieke kinderautoriteit persoonsgegevens, al dan niet binnen de AP, die specifiek let op de onlinebescherming van kinderen. Op dit moment is het toezicht op die kinderrechten bij verschillende toezichthouders belegd: bij de AP, bij het Commissariaat voor de Media als het gaat over schadelijke content, bij de ACM met betrekking tot consumentenbescherming bij oneerlijke handelspraktijken zoals die dark patterns, en zelfs ook nog bij de Arbeidsinspectie als het gaat over economische exploitatie, zoals vlogfamilies of kindfluencers. We zien dus dat dat toezicht op dit moment op allerlei plekken ligt. Dat geldt natuurlijk in het algemeen voor digitale toezichthouders; dat zijn er meerdere.

Ik vind het van belang om in de komende tijd samen met de toezichthouders te kijken naar hoe we het landschap voor toezicht op onlinekinderrechten beter in beeld kunnen brengen en hoe we dat toezicht bij elkaar kunnen brengen. Ik vind het namelijk uiteraard belangrijk dat de invulling van de wetgeving die er al is, daadwerkelijk effectief wordt, of het nou in de DSA is, in de e-Privacyverordening, in de AVG of anderszins. Het is nog best ingewikkeld, want een van de dingen die dan geregeld moeten worden, of die dan in de praktijk moeten gaan werken, is bijvoorbeeld leeftijdsverificatie. Weet je of je hier met een kind te maken hebt of niet? Veel kinderen proberen dat zelf te omzeilen, bijvoorbeeld als ze zich proberen in te schrijven voor apps die zelf een leeftijdsgrens instellen en waarbij het mogelijk is daaromheen te werken. Dat is precies waar het over gaat. Ik wil daar dus heel graag met die toezichthouders over spreken. Ik wil daar ook zeker op terugkomen, maar ik wil er graag nog even verder met u over nadenken of we dat nu moeten doen in de AP of dat we daarvoor een ander model moeten kiezen. Naar aanleiding van moties van onder anderen de heer Bontenbal heb ik uw Kamer overigens toegezegd om voor de zomer nog een brief naar uw Kamer te sturen over het beschermen van kinderrechten online. Met uw toestemming zou ik dat daar dan graag in willen meenemen.

Dan de vraag van de ChristenUnie over iets wat we in het coalitieakkoord hebben vastgelegd, namelijk: hoe staat het met het recht van kinderen om niet online te worden gevolgd en geen dataprofiel te krijgen? Daar wordt op dit moment voor een deel dus al invulling aan gegeven vanwege de wetgeving die we hebben. Van belang is dan natuurlijk weer dat we dat omzetten in de praktijk, dus dat we zorgen dat de onlineplatforms zich daaraan houden en dat daar toezicht op wordt gehouden. Ik vind het dus ook van belang om daar meer over te vertellen op het moment dat ik die totaalbrief aan u stuur over kinderrechten online. Nogmaals, we hebben hier de regels, maar we moeten goed kijken hoe we die in de praktijk gaan invullen, zowel vanuit de AVG als vanuit de DSA, de Digital Services Act, die heel veel regels stelt voor kinderen en de bescherming van kinderrechten online.

Kan de staatssecretaris daarin dan ook de afspraken meenemen die bijvoorbeeld de Italiaanse toezichthouder heeft gemaakt met ChatGPT? Wat zit daarin? Zit daar wat extra's in? Zou het ook voor Nederland interessant kunnen zijn om het via Europa te regelen?

Ik zou dat even apart willen houden, want ook over dat onderwerp heb ik natuurlijk met uw Kamer een discussie gehad. Dat gaat dus over die large language models, oftewel: wat moeten we nou met al dit soort ontwikkelingen? Ik heb toegezegd dat ik daarover met u in gesprek zal gaan aan de hand van een stuk dat we daarover gaan maken. Dat komt ergens in de komende maanden. Mijn intentie is in ieder geval om dat voor de zomer te sturen. Daar moeten we dat onderwerp ook in zetten. Ik denk dat het wel goed is om te weten dat de Europese toezichthouders, dus alle privacytoezichthouders in Europa, op dit moment op basis van de casus vanuit Italië met elkaar in gesprek zijn. Zij zijn namelijk ook alvast aan het nadenken over de vraag wat we hier nu mee moeten. Want het is evident dat deze ontwikkeling supersnel gaat. Bijna iedere week is er weer iets nieuws. Het is ook niet makkelijk om zomaar te zeggen: zo gaan we dat reguleren. De AI-regelgeving, dus de artificiële-intelligentieregelgeving, die nu ook in het Europees Parlement is aangenomen — nou, die is nog niet helemaal aangenomen, maar die is verder uitonderhandeld — zegt iets meer over hoe je dat zou kunnen doen, over hoe je kunt zorgen dat je deze soort van AI kunt reguleren. Ik denk dat het handig is dat we dat apart doen, omdat dat niet specifiek over kinderrechten gaat maar meer over hele ingewikkelde nieuwe vormen van artificiële intelligentie.

Veel waardering voor de inzet. Die wordt volgens mij ook heel breed gesteund door iedereen. Ik heb er ook begrip voor dat dingen tijd kosten en dat je die moet uitwerken. Toch schuurt dit, want we hebben nu al een aantal jaren een AP en er gaan dingen fout. Ik zei in mijn bijdrage dat we onze tanden moeten laten zien. Ik hoor de staatssecretaris een aantal voorbeelden geven van dingen die zij de komende maanden gaat doen, gaat uitwerken et cetera, maar moeten we nu, vandaag de dag, niet al meer resultaten gaan zien vanuit de AP? Wat is uw visie daarop?

De Autoriteit Persoonsgegevens bepaalt natuurlijk zelf wat haar programma is en waar ze haar tanden daadwerkelijk in zet. Daar kunnen u en ik niet van zeggen hoe dat is, want zo hebben we dat nu eenmaal geregeld. Maar dat dit een belangrijk onderwerp is, is natuurlijk zo. De discussie die ik ook zelf met de platforms heb, gaat daar natuurlijk ook over: hoe kan dit, hoe is het mogelijk dat er online bijvoorbeeld afspraken met kinderen worden gemaakt via Snapchat en hoe is het mogelijk dat kinderen zomaar makkelijk kunnen aangeven dat ze 18 jaar terwijl ze 8 zijn en daardoor gebruik kunnen maken van bijvoorbeeld een app als TikTok? Het is dus ontzettend belangrijk dat daar meer werk wordt gedaan. Met u zou ik de oproep aan de AP om hier verder werk van te maken en om specifiek ook op die kinderrechten te gaan zitten, ook zeker willen ondersteunen, omdat kinderen natuurlijk nu eenmaal nog veel kwetsbaarder zijn dan veel volwassenen met betrekking tot wat er online gebeurt met hun gegevens, wat voor soort informatie ze krijgen, wat voor advertenties ze krijgen. Bescherming op dit terrein is dus ook heel wenselijk. De regels zijn er wel. Nu gaat het inderdaad om ervoor zorgen dat we daar ook toezicht op gaan houden.

Volgens mij delen we de urgentie. De staatssecretaris gaf al aan dat de ontwikkelingen ongeveer over elkaar heen buitelen. We moeten bij de bron komen, bij wijze van spreken bij die bedrijven. Voordat ze beginnen te ontwerpen aan apps, moeten wij daar zijn met regels en daar moeten we op handhaven. Ik denk dat we dat voor een deel al kunnen. Ik hoop dat we daar op kortere termijn een tandje bij kunnen zetten, zodat we ze gewoon voor zijn in plaats van dat we deze problemen moeten tackelen terwijl ze al lang en breed op de markt zijn.

Ik ben dat natuurlijk super met u eens. Het punt is dus dat we voor heel veel van deze elementen die regels hebben gemaakt, dus rondom wat er nou wel en niet verzameld en gedeeld mag worden van kinderen enzovoort. Die zijn ofwel hier in Nederland gemaakt, ofwel in Europa, waarna ze vertaald zijn in Nederlandse wetgeving, of het is directe wetgeving uit Europa. Dus je mag kinderen niet profileren. Je mag hen geen advertenties sturen enzovoort, enzovoort. Dat is precies waar het over gaat: we moeten niet alleen ervoor zorgen dat dat wordt vastgesteld, maar ook dat het nu wordt ingevoerd. Het goede nieuws is er met die DSA natuurlijk wel. Die platforms zijn voor het eerst aangewezen. Over vier maanden moeten zij gaan voldoen aan de wetgeving. Samen met de toezichthouders in Nederland heb ik gesproken over: hoe gaan we ervoor zorgen dat we de handhaving hierop gaan regelen? Daarbij is het ook mijn taak — uw oproep daarover is ook helder, denk ik — om vooral aan de slag te gaan en de eerste casus te bieden. Los daarvan zijn er dingen die ik zelf kan doen als overheid. Voor zover we gebruikmaken van socialmediaplatforms, kunnen we privacy assessments doen. We kunnen assessments doen op het gebied van mensenrechten. Dat hebben we bijvoorbeeld bij Facebook gedaan. Dat zijn we aan het doen voor Meta, voor de brillen die gebruikt worden op scholen. Daarmee geven we bij die platforms aan waar de tekortkomingen zitten, als dat aan de orde is. Die moeten worden aangepast, anders nemen we afscheid. Dus er is veel werk te doen, door de toezichthouders én door ons als overheid, maar niet in de laatste plaats ook door de platforms die dat moeten doen.

De staatssecretaris vervolgt haar betoog.

Dan kom ik op het blokje AVG, DSA en e-privacy. Het gaat veel over de vraag hoe het zit met de middelen die er zijn voor de toezichthouder, de AP, voor wat betreft cookiebeleid. De vraag is dan of er voldoende expertise, ruimte en capaciteit zijn bij de toezichthouder om het werk te doen. Ze hebben een heleboel expertise en middelen om dat te doen. Ze zijn ook algoritmetoezichthouder en waakhond geworden. We hebben in de afgelopen tijd met het coalitieakkoord geïnvesteerd in de AP, om de taken verder uit te kunnen voeren. Dat loopt op tot structureel 8 miljoen euro per jaar extra. Er zijn ook extra middelen voor het toezicht houden op algoritmes. Ik denk dat het relevant is, zeker ook in verband met de ontwikkelingen die er in de digitale wereld zijn en die steeds sneller gaan. Denk bijvoorbeeld aan de large language models en het toezicht daarop. We moeten dit gesprek blijven voeren met de AP, want we willen natuurlijk ervoor zorgen dat zij het toezicht goed kan houden. Overigens geldt daarbij — dat zei ik al eerder — dat zij niet de enige toezichthouder op dit domein is. Ik vind het vooral van belang om dan die samenwerking tussen de digitale toezichthouders, zoals ze zichzelf noemen, echt te bevorderen. Ik heb met hen ook regelmatig overleg, of het nou gaat over algoritmes en het toezicht daarop of over dit onderwerp.

Er was ook nog de vraag vanuit D66 over die verordeningen in Europa. Het gaat over het verwijderen van informatie. Kan dat beter? Ik heb daar eerder al iets over gezegd. Het is natuurlijk de bedoeling dat mensen het recht hebben om te weten of en hoe hun persoonsgegevens worden verwerkt. Ze moeten die ook kunnen verwijderen. Daarvoor zijn de AVG en de cookiewet. Die stellen daar strenge normen aan, niet alleen over hoe je toestemming verleent, maar ook over dat je het kunt verwijderen. Het is natuurlijk van belang dat we verdergaan, niet alleen maar om ervoor te zorgen dat dit geregeld is — want dat is het al — maar ook om het in de praktijk feitelijk te laten werken.

Er was nog een vraag van de ChristenUnie over hoe het zit met het toezicht rondom techbedrijven, omdat het voor een deel wordt gereguleerd vanuit Ierland. Dat komt doordat de hoofdkantoren van deze bedrijven inderdaad veelal in Ierland gevestigd zijn. Maar wanneer de cookiewet wordt geschonden, kunnen wij ook zelf in de bak. Althans, onze Autoriteit Consument & Markt kan dat. Zij kunnen het werk doen. Wanneer de AVG wordt geschonden, is de AP ook hier in Nederland gewoon de toezichthouder. Dus er kan ook werk gebeuren hier in Nederland. Het toezicht op de DSA, die wetgeving die nu geïmplementeerd wordt, zal voor een groot deel plaatsvinden in Europa, maar ook op nationaal niveau. Kort en goed: er zijn allerlei mogelijkheden om hier ook vanuit Nederland, vanuit de verschillende toezichthouders, toezicht op te houden.

Er was een vraag van de heer Van Baarle over realtime ...

Toch nog even een vraag van de heer Drost.

U had het net over de AP en daar ging mijn vraag over. Ik heb de indruk dat wij bepaalde vragen zogezegd naar andere landen moeten gaan transporteren, om ze onder de AP daar te plaatsen. Dan zijn we afhankelijk van wat er daar gebeurt, en ik denk dat dat niet in alle gevallen naar tevredenheid gaat. Of is de staatssecretaris dat niet met mij eens? Zijn we altijd tevreden met hoe het in andere landen gaat?

Voor een aantal van die vragen moet je naar Ierland toe, omdat daar de hoofdvestigingen van deze bedrijven zitten. Dat wil niet zeggen dat onze toezichthouder geheel tandeloos is. Als het gaat over specifieke verwerking hier in Nederland, kan de AP namelijk wel degelijk werk doen. Dus het is niet noodzakelijk zo dat alles via Ierland loopt; het kan ook hier. We kennen beide gevallen. De AP heeft boetes uitgedeeld aan socialmediaplatforms hier in Nederland op basis van het onjuist toepassen van de wetgeving, maar er lopen ook zaken bij de toezichthouder in Ierland.

De regels over realtimebidding. Dat gaat over het verhandelen, of beter gezegd het veilen, van persoonsdata. De vraag van DENK was wat de regels daaromtrent zijn. De regels zijn natuurlijk dat je niet zomaar de gegevens van iemand kan verhandelen. Daarvoor moet uitdrukkelijk toestemming zijn gegeven. De AVG is de wet die zegt wanneer dat mag of niet. We weten inmiddels, onder andere uit dat artikel, dat dit wel gebeurt. We hebben het er al eerder uitgebreid over gehad dat er ook mensen zijn voor wie het niet duidelijk is dat ze die toestemming daadwerkelijk hebben gegeven. Er kan dus niet zomaar geveild gaan worden als de persoon van wie die gegevens zijn daarvoor geen toestemming heeft gegeven.

Dan was de vraag van heer Van Baarle, ik denk in lijn daarmee, welke rol de algoritmewaakhond krijgt om kennis te verzamelen over realtimebidding. De AP houdt toezicht op dit fenomeen, want het gaat over de verwerking van persoonsgegevens en naleving van de bescherming daarvan. Als die gegevens worden verwerkt in zo'n veiling, is de AP degene die zich hierop zou moeten richten. Dat zal dan gebeuren onder de vlag van de directie Coördinatie Algoritmes, als er signalen zijn over algoritmegebruik. Daar zit het toezicht. Met andere woorden: de AP, en als er sprake is van algoritmegebruik de directie Coördinatie Algoritmes binnen de AP, is de plek waar het toezicht op dit onderwerp wordt gerealiseerd.

Dan de vraag tot wie burgers zich moeten wenden als ze niet willen dat hun gegevens verhandeld worden. Zijn mensen er voldoende van op de hoogte wat er met hun data gebeurt? Dat was ook een vraag van DENK. Ik denk dat we over die laatste vraag helder kunnen zijn: mensen realiseren zich dat onvoldoende. Het is heel belangrijk dat we, los van alles wat we doen aan regelgeving en los van de eisen die we stellen aan platforms, veel meer doen op het gebied van het informeren van burgers. Dat is evident. Ik heb ook al toezeggingen gedaan, samen met mijn collega voor Rechtsbescherming, de heer Weerwind, om mensen meer op de hoogte te stellen van wat ze nou precies doen op het moment dat ze ja klikken bij zo'n cookiepop-up. Als burgers niet willen dat gegevens verhandeld worden, moeten ze zich natuurlijk wenden tot de verwerkingsverantwoordelijke zelf. Dat is de persoon of de organisatie die die gegevens van de gebruiker heeft verzameld. Het moet helder zijn wat er is verzameld en er moet inzage worden gegeven. Dat is precies wat er allemaal wettelijk geregeld is. Van belang is natuurlijk om te zorgen dat dat ook gebeurt, dus dat de verwerker dat aangeeft en dat er toezicht wordt gehouden.

De heer Van Baarle heeft daar een vraag over.

Even over hoe dat systeem precies werkt. Allereerst, is er überhaupt in de regels vastgelegd met wie al die gegevens verhandeld mogen worden en onder welke omstandigheden dat mag?

In principe mogen gegevens helemaal niet verhandeld worden, tenzij er sprake is van toestemming van degene van wie die gegevens zijn.

Ja, maar daarover hebben we net geconcludeerd dat heel veel mensen de cookies accepteren zonder te weten dat ze toestemming geven dat er verhandeld wordt. We zien in het artikel dat het desondanks gebeurt, ook onwettig. Mijn vraag blijft dus: hebben we er regels voor met wie en onder welke omstandigheden die data verkocht mogen worden? Het is namelijk wel heel makkelijk om in de richting van de gebruiker te zeggen "wend uzelf tot de gegevensverstrekker", maar als de gegevens doorverkocht worden en weer doorverkocht worden, is op een gegeven moment niet meer duidelijk tot wie iemand zich dient te wenden. Wat zijn daarover de regels?

De regels zijn dus in eerste instantie dat je je wendt tot degene tegen wie je ja hebt gezegd. Dan is uw vervolgvraag: maar als dat dan weer is doorverkocht, hoe kom je er dan achter dat dat gebeurd is? Diegene die die gegevens heeft doorverkocht, zou aan jou moeten kunnen vertellen aan wie die verstrekt zijn.

Dan tot slot. Begrijpt de staatssecretaris dat dit een soort web is waarin je op een gegeven moment als gebruiker helemaal niet meer weet waar je moet zijn? Die data kunnen overal terechtkomen. En twee. De vraag blijft nog staan — daar zou ik antwoord op wensen — of er überhaupt regels zijn over wie die data wel of niet mag kopen van zo'n partij. Of mag als er toestemming is gegeven, in principe iedereen die data kopen van zo'n partij? Wie mag dat?

Even twee dingen. Ik ben het zeer met u eens dat dit voor een gebruiker natuurlijk totaal ingewikkeld is. Je weet namelijk niet precies hoe het gebeurd is. Nogmaals, je ging iets kopen op het internet of je ging iets opzoeken en je zei ja tegen een cookie. Heel veel mensen weten helemaal niet waar ze dan ja tegen zeggen en wat er dan gebeurt. Je geeft dus toestemming om die informatie van jou vast te houden, te delen, of zelfs door te verkopen. Maar de kern is dat dat alleen maar mag op basis van de toestemming die jij als persoon hebt gegeven. Die kan dus niet zomaar aan iedereen worden doorverkocht volgens onze regels, even los van of dat in de praktijk gebeurt. Volgens onze regels mag die informatie alleen maar worden gegeven aan degene met wie die volgens jouw toestemming gedeeld mag worden. Die mag dus niet zomaar gedeeld worden met wie dan ook zonder dat je daar toestemming voor hebt gegeven. De AVG zegt dat data van jou alleen maar mogen worden verzameld en gebruikt als je daar expliciet toestemming voor geeft, en dat die na doorverkoop dus niet voor een ander doel mogen worden gebruikt dan voor het originele doel waarvoor jij toestemming hebt gegeven.

Dat leidt weer tot een andere vraag van mevrouw Dekker.

Ik had toch nog een vraag over het toezichthouden, want de staatssecretaris gaf aan dat de ACM, de AFM en AP allemaal kijken naar het realtime bieden. Klopt dat?

Als het gaat over realtimebidding is de AP centrale toezichthouder. Dan hebben we het over persoonsgegevens.

Oké. Er is namelijk een framework gemaakt door de brancheorganisatie IAB waarin de regels hiervoor zijn vastgelegd. De Belgische gegevensbeschermingsautoriteit, dus de Belgische AP, legde hun een boete op van €200.000 omdat hun framework niet deugde. Nu is het aangepast, maar het is nog steeds niet inzichtelijk of transparant. Kunnen de toezichthouders hier, dus de AP, nog steeds toezicht houden op de naleving van dit framework?

De AP houdt denk ik geen toezicht op een Belgisch framework.

Het is een internationaal en Europees framework.

Mijn informatie is dat de AP zich daadwerkelijk richt op dit thema van die realtimebidding. Ik kan het nog even voor u uitzoeken voor de tweede termijn, maar zij zijn de autoriteit die als het gaat over het veilen van persoonsgegevens aan de lat staat.

De staatssecretaris vervolgt haar betoog.

Dan een vraag van GroenLinks over misbruik van gegevens. De kern van de vraag was eigenlijk: bent u net zo bezorgd als wij dat zijn? Ja, dat ben ik natuurlijk. Ik denk dat ik dat ook al een paar keer heb gezegd. Ik vind het zeer belangrijk dat privacy wordt gehandhaafd en dat mensen vooral regie houden over wat er met hun gegevens gebeurt. We zien in de praktijk dat dit onvoldoende werkt en dat we hier dus ook mee aan het werk moeten. Dat geldt ook als het gaat over verkiezingen, want dat was de context waarin u de vraag stelde. De minister van Binnenlandse Zaken is daarom ook op dat front aan het werk.

Dan was er nog de vraag van GroenLinks in welk opzicht de huidige wet- en regelgeving tekortschiet als het gaat over het bestrijden van het probleem dat we aan het bespreken zijn. Eigenlijk zeg ik hierbij dat het wettelijk kader voldoende eisen stelt. Dat geldt niet alleen bij privacy in het algemeen, maar met name als het gaat over het gebruik en verwerken van cookies. Dat zit zowel in de AVG als in de Telecommunicatiewet, maar eigenlijk zien we dat de wetgeving in feite alle mogelijkheden biedt om hier ook aan het werk te gaan. Het is van belang om te kijken hoe dat zich in de praktijk verder materialiseert en hoe het in de praktijk uitwerkt. We zien dan dat er nog heel veel situaties zijn waarin mensen veel te makkelijk, op basis van die cookies, ja zeggen in plaats van nee of deels nee.

Dan de vraag of de DSA verdere tekortkomingen gaat oplossen. Daar gaan we wel vanuit. Die DSA heeft natuurlijk nog een aantal belangrijke extra regels, of het nu gaat over het beschermen van kinderen of tussenhandeldiensten, dus diensten met data, of het verbod op het tonen van reclame op platforms op basis van profilering. Al dit soort elementen bevat de DSA. Daarop moeten we dus ook hetzelfde gaan doen als we met de AVG doen, namelijk zorgen dat we ook daadwerkelijk de handhaving daarvan gaan inrichten, regelen en versterken.

Dan is er ook de vraag of ik vind dat we meer moeten doen aan handhaving en straffen van personen. Ik heb daar ook in de beantwoording van eerdere vragen iets over gezegd. Het is superbelangrijk dat die privacybescherming wordt nageleefd, natuurlijk in eerste instantie door de aanbieders van diensten. Maar nogmaals, het is natuurlijk zo dat we daar ook op handhaven. Daarmee herhaal ik mijzelf, want daar is in de beantwoording van andere vragen denk ik al meer over gezegd.

Dan nog een vraag van GroenLinks: deelt de staatssecretaris dat je altijd moet kunnen achterhalen hoe een bedrijf aan jouw gegevens komt? Ja, want er is het recht op informatie. De verwerkingsverantwoordelijke, de partij die jouw gegevens verwerkt, heeft de verplichting om jou te laten weten wat er met jouw gegevens gebeurt en waarom die worden verwerkt. En dat is uiteraard alleen op basis van toestemming.

Dan de vraag van de VVD of wij als Nederland al klaar zijn voor de DSA en of het toezicht daarop al goed geregeld is. We zijn aan het werk met het implementeren van de DSA. De Europese Commissie kijkt niet alleen maar of de wet is aangenomen, maar ook of de eerste grote platforms zijn aangewezen. Dat betekent ook dat vanaf 17 februari 2024 alle tussenhandelsdiensten moeten voldoen aan de regelgeving. De onlineplatforms zijn aangewezen. Het zijn de zogenaamde flocks: Twitter, TikTok, YouTube, Google en nog vijftien andere. Zij zullen door de Europese Commissie worden gecontroleerd. De Europese Commissie gaat er toezicht op houden om te zorgen dat zij zich ook daadwerkelijk gaan houden aan de regels. Een deel van het toezicht wordt in Nederland geregeld. Dit zal gebeuren door de ACM als coördinerend toezichthouder, zoals de AP dat is voor algoritmes. Hoewel het toezicht in Nederland pas van start kan gaan als die uitvoeringsregelgeving hier in het parlement is vastgesteld, zijn we alvast begonnen om de ACM en de AP middelen te geven om aan de slag te gaan om dat toezicht te kunnen uitvoeren.

Dan de vraag van de VVD over de rol voor de Europese Dataverordening. Die verordening is nog niet definitief. We zijn nog aan het onderhandelen. Voor de producten die hieronder vallen, is sprake van transparantie en zeggenschap voor gebruikers over het gebruik van hun data. Dat is dus in lijn met wat in de AVG staat, die in Europa de GDPR heet. De aanbieders van producten van het internet of things moeten transparant aan gebruikers zijn waarvoor ze die data gebruiken, ook als het gaat om niet-persoonsdata. Ze mogen die alleen maar voor overeengekomen doelen gebruiken. Dat is in lijn met wat in de AVG staat. Deze dataverordening bevat in lijn met de kabinetsinzet verschillende bepalingen die in aanvulling op de AVG de controle van gebruikers op het gebruik van hun gegevens versterken. Dat is ook de reden waarom wij er in de Raad akkoord mee zijn gegaan. De onderhandelingen zijn nu in de triloogfase. Hopelijk komen we snel tot een akkoord, zodat de verordening kan worden ingezet.

Dan ben ik toe aan het blokje overige vragen en begin ik met de vraag van de SP waarom Kamervragen over het onderwerp AI nog niet zijn beantwoord. Ik wil de beantwoording heel graag zo snel mogelijk naar u toesturen. Wij gaan aan de slag om dat zo snel mogelijk te doen. Ik ga ervan uit dat we dat in de komende twee weken kunnen doen.

Dan was er de vraag over een motie van de SP over het waardenkader. Ik heb aangegeven dat we daar zo snel mogelijk op terugkomen, want wij hechten eraan om het waardenkader dat we voor AI hebben ingezet, met uw Kamer te delen. Wij komen daar zo spoedig mogelijk op terug; het voorstel is om dat voor de zomer te doen.

Beide zaken het liefst zo snel mogelijk. Ze vallen eigenlijk al buiten de termijnen. Het zou heel behulpzaam zijn om goed te weten waar de Nederlandse overheid, de regering, staat, zeker ook met het oog op de discussies die nu gevoerd gaan worden met het aannemen van juist de DSA, of nee de AI Act. Er gebeurt zo veel in Europa dat het soms door elkaar loopt. Die is net aangenomen en er gaat nu een vervolgstap komen. En juist ook dat past daarbij. Ik hoop dat de staatssecretaris ziet dat het voor ons behulpzaam is om dat allemaal te kunnen betrekken.

Tot de kern van ons waardenkader behoren onze Grondwet en de mensenrechten, en dat soort elementen zitten daar sowieso in. Inderdaad is de AI Act nu in een volgend stadium gekomen. Dit komt doordat het Europees Parlement daarover heeft gestemd. Daarna zijn er nog stappen te gaan voordat die definitief is. Heel belangrijk bij de AI Act — dat zit er ook in — is dat niet alleen mensenrechten worden gerespecteerd bij het gebruik van algoritmes, maar dat we daar ook onze grondrechten in meenemen. Het gaat over transparantie, over non-discriminatie, over het klachtenrecht van mensen enzovoort. Dat zit er dus sowieso in. Het uitvoeren van de motie doen we zo snel mogelijk.

Dan de vraag van de PVV om naar het rapport Online Veiligheid en Criminaliteit 2022 van het CBS te kijken. Mijn collega, de minister van Justitie en Veiligheid, is aan het werk met met name het cybercrimedeel van dat rapport. Ze zal dat ook meenemen in de aanpak cybercrime die zij aan het ontwikkelen is.

Dan de vragen van DENK over de EU-regelgeving en het voorkomen van profilering. In verschillende verordeningen zijn daarvoor eisen opgesteld. In de AI-verordening zijn de technische eisen aan systemen en algoritmes opgenomen om ervoor te zorgen dat die voldoen aan de fundamentele rechten en waarden die we in de EU handhaven. Daarmee wordt gezorgd dat hoogrisico-AI-systemen pas kunnen worden geïmplementeerd als er sprake is van een keurmerk. Dat keurmerk kun je alleen krijgen op basis van de uitvoering van een mensenrechtentoets waarin uitdrukkelijk ook wordt getoetst op vooroordelen en discriminatie om ervoor te zorgen dat die algoritmes niet discrimineren, transparant zijn enzovoort. Dat is een van de elementen daarin. Ik heb net al iets meer gezegd over de DSA, die ook profilering tegengaat, daar waar dat ongewenst is uiteraard en dat is in de meeste gevallen zo. Wij blijven er scherp op dat dit in die verdere verordeningen wordt verwerkt.

Dan de stand van zaken van de algoritmewetgeving. Dat is dus die AI-verordening. Ik had het er net al over in het debat met mevrouw Leijten. De verordening is in een vergevorderd stadium van ontwikkeling. Nu volgt de volgende stap, namelijk dat er een definitief voorstel moet komen zodat ook de triloogfase voor deze verordening kan starten.

Mevrouw Bouchallikh vroeg of inlichtingendiensten op dat soort veilingsites onlinegegevens kopen, of gegevens waarmee zij hun werk verder kunnen doen. De AIVD doet in het openbaar geen uitspraken over wat ze wel en niet aanschaffen voor het uitvoeren van hun wettelijke taak. Hun specifieke bevoegdheden staan natuurlijk beschreven in de regulering van de inlichtingen- en veiligheidsdiensten. Zij hebben ook een toezichthouder, namelijk de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten.

Mevrouw Bouchallikh, op dit punt.

In het artikel naar aanleiding waarvan dit debat is aangevraagd, staat inderdaad dat ze daarover liever geen informatie willen geven. Dat begrijp ik ook wel als het gaat om wat ze precies opvragen. Maar het gaat ons erom dat we meer zicht krijgen op de manier waarop informatie wordt verkregen. Voor bijvoorbeeld aftapping moet toestemming worden gevraagd. Daarbij moeten veel meer regels worden nageleefd. Bij deze methode kan zelfs meer worden verkregen dan bij aftappen, terwijl er minder zicht is op wat er aan de hand is. Vandaar de vraag wat er kan gebeuren om het op z'n minst enigszins gelijk te trekken met de regels die we wat betreft aftappen hebben.

Ik ben bang dat ik u hierop geen bevredigend antwoord kan geven op basis van de informatie die ik vanuit de inlichtingendiensten heb gekregen. Het antwoord is: wij doen daarover geen uitspraken. Ik kan daar dus helaas ook niet meer over zeggen.

Het gaat mij meer om de manier waarop informatie wordt opgehaald. Voor aftappen moet specifiek toestemming worden gevraagd. De toezichthouder kijkt mee. Maar hier weten we gewoon helemaal niet wat er gebeurt. We weten niet eens of er op deze manier informatie wordt verkregen. We vragen niet wat er wordt opgehaald. We willen alleen weten of er op deze manier informatie wordt verkregen. Zo ja, dan snappen wij de geheimhouding daaromheen. Maar dan moet er wel een toezichthouder meekijken, op z'n minst zoals dat aan de orde is bij aftapping. Daarvoor hebben we wel een systeem kunnen bedenken waarbij geheimhouding aan de orde is, maar ook toezicht om de mensen om wie het gaat te beschermen.

Het enige wat ik erover kan zeggen, is dat de wet die de regulering voor de veiligheidsdiensten doet, bijvoorbeeld voor de AIVD, de Wet op de inlichtingen- en veiligheidsdiensten, de mogelijkheid biedt om publiek toegankelijke persoonsgegevens te verzamelen en te verwerken. Maar helaas kan ik u hierover echt niet meer informatie geven.

De heer Van Baarle, graag met een andere vraag. Anders krijgen we weer hetzelfde antwoord.

Nou, het gaat over hetzelfde onderwerp. De staatssecretaris geeft op dit moment aan dat ze niet meer informatie kan geven. Maar is de staatssecretaris wel bereid om toe te zeggen dat ze gaat proberen hierover meer informatie te krijgen en ons dat laat weten? De voorzitter van de CTIVD heeft laten weten dat dit gebeurt. We moeten met elkaar zeker stellen dat deze manier van informatie vergaren geen omweg is om de vereisten die normaal gesproken gehanteerd worden, niet te hoeven naleven. Kan de staatssecretaris dus in ieder geval toezeggen dat ze probeert te achterhalen wat het antwoord is op de vraag wat er precies gebeurt en dat zo spoedig mogelijk aan de Kamer doen toekomen?

Volgens mij heb ik het antwoord daarop al gegeven, namelijk dat de AIVD die informatie niet ter beschikking stelt. Ik heb die vraag uiteraard aan hen gesteld, maar het antwoord daarop is: nee, we geven geen informatie over hoe wij werken en we doen geen uitspraken over de manier waarop wij inlichtingen verzamelen. Ja, punt.

We gaan hierover verder geen discussie voeren, want dit raakt echt aan het beleidsterrein van een andere bewindspersoon. Er is zelfs nog een commissie in de Kamer waar dit wellicht ... Ik weet niet hoe dat werkt. Nee. Maar het is niet aan de staatssecretaris Digitalisering om hierover nu verder uit te weiden. Ik geef u nogmaals de kans, meneer Van Baarle, maar ik kijk ook naar de klok.

Dit is de laatste keer dat ik het probeer, voorzitter. Ik hoef niet onder de motorkap te kijken wat de geheime diensten allemaal doen. Dat wil ik als simpel Kamerlid ook allemaal niet weten. Ik vraag wel nogmaals aan de staatssecretaris of zij, als verantwoordelijke voor het domein digitalisering, kan zeggen wat hier gebeurt: gebeurt dit en gebeurt dit conform de regelgeving die we met onze veiligheidsdiensten hebben afgesproken? We hebben in de Kamer wel regelmatig een debat over de vraag of onze veiligheidsdiensten daaraan voldoen. Dat is een legitieme vraag. Dus kan de staatssecretaris toezeggen dat ze dat nog een keer probeert op te vragen?

Die vraag is helder gesteld door u. De diensten hebben daar het antwoord op gegeven wat ze gegeven hebben. Ik kan u niet toezeggen daar meer informatie over te krijgen. Want ik heb gekregen wat ik heb gekregen. Dus volgens mij is het verstandig dat u, als u iets anders wilt, een gesprek hebt met de verantwoordelijke bewindspersoon die over de diensten gaat. Ik kan u daar niet meer informatie over geven.

Helder.

Voorzitter. In het artikel naar aanleiding waarvan dit debat is aangevraagd staat uitdrukkelijk dat de AIVD ook gebruikt maakt van de realtimehandelsplaatsen van die data. Dat staat daar letterlijk in. En dat is hier de vraag. Ik kan me echt voorstellen dat de staatssecretaris dat nu niet weet. Maar ze kan toch wel zeggen dat we dat eventjes op papier krijgen, vóór we het debat over de inlichtingen- en veiligheidsdiensten hebben, ergens in juni — ik weet het niet uit mijn hoofd. Dan horen we of het gebeurt, of het regelmatig gebeurt, en wat het toezichtkader is.

Mevrouw Leijten, ik ga nu ingrijpen. Dit is aan de commissie voor Binnenlandse Zaken.

Het is gevraagd door uw collega.

Jaja.

Ja. Het is toch prima om daar een antwoord op te krijgen?

U gaat mij nu aanspreken op mijn politieke kleur. Ik zit hier als voorzitter van de Kamer. Ik bewaak hier de orde. Deze vraag is nu gesteld. De staatssecretaris heeft vier keer gezegd dat ze er nu niet meer over kan zeggen en dat ze ook niet de verantwoordelijk bewindspersoon is, punt. De staatssecretaris vervolgt haar betoog.

Voorzitter.

Nee, nee, nee. De staatssecretaris vervolgt haar betoog.

Voorzitter, het antwoord klopt niet.

U gaat gewoon weer zitten. De staatssecretaris vervolgt haar betoog.

Dan ga ik verder met de vraag van mevrouw Rajkowski hoe we ervoor zorgen dat toezichthouders zo veel mogelijk inhoudelijk en materiedeskundig zijn op het terrein waarover zij toezicht houden, om ervoor te zorgen dat toezicht geen afvinklijstje wordt. Zij hebben natuurlijk vooral zelf een verantwoordelijkheid om de goede mensen te selecteren, op de juiste plek te zetten en het werk te laten doen. Wat ik vooral doe, ook vanuit mijn rol als coördinerend bewindspersoon op het gebied van digitalisering, is ontwikkelingen en kennismogelijkheden faciliteren voor al het ICT-personeel bij het Rijk of toezichthouders. Wij zetten daar zo veel mogelijk op in. We hebben de RijksAcademie voor Digitalisering. Ook die ontwikkelt opleidingsmateriaal, dat uiteraard ook beschikbaar is voor de medewerkers van toezichthouders. Ik vind het vooral belangrijk om ervoor te zorgen dat er zo veel mogelijk informatie wordt gedeeld op dit terrein, niet in de laatste plaats omdat er ontzettend veel ontwikkelingen zijn die erom vragen om steeds weer opnieuw mensen op te leiden en te trainen.

Dan de vraag van de PvdA over het nationaal databeschermingspakket. U lacht er zelf een beetje om, maar ik niet. Ik vind het namelijk best interessant om erover na te denken — dat heb ik ook al gezegd — zodat mensen goed voorgelicht zijn. Ook al hebben we goede wetgeving en toezichthouders, het is echt belangrijk dat mensen beseffen: "Waar zeg ik ja tegen als ik op "ja" klik? Wat kan ik doen om ervoor te zorgen dat mijn gegevens zo veel mogelijk beschermd worden, ook op het moment dat ik al een keer op ja heb geklikt? Wat kan ik doen met het installeren van browsers? Hoe kan ik expliciet tools aanbevelen om data te beschermen?" Daar wil ik meer mee doen; dat heb ik ook al eerder aangegeven in dit debat. Dat wil ik graag samen met mijn collega doen, of dat nou in de vorm van een pakket is of anderszins. Maar ik wil mensen in ieder geval instrumenten en informatie geven om zichzelf beter te kunnen beschermen. Dat is wat mij betreft van belang. Daar wil ik dus graag mee aan de slag.

U had ook een vraag over PublicSpaces, de community waar wij onderdeel van zijn. We zijn samen met PublicSpaces aan het kijken hoe we hun community verder kunnen uitbreiden om meer slagkracht te krijgen. We betrekken daar ook andere departementen bij. Ik vind het namelijk van belang om samen met hen aan het werk te gaan en om ervoor te zorgen dat we dit soort initiatieven ondersteunen waar mensen gebruik van kunnen maken, los van de mogelijkheid om gebruik te maken van de services en diensten van grote internationale bedrijven.

Dan was er de vraag, ook van mevrouw Kathmann, over microtargeting en het verbod daarop van politieke partijen. Mijn collega-minister van BZK is daar hard mee aan het werk als onderdeel van de Wet op de politieke partijen. Die wet wordt op dit moment aangepast en zal binnenkort aan uw Kamer worden voorgelegd om dit thema te adresseren.

Dan was er nog een vraag, ook van mevrouw Kathmann, over datalekken: hoe zit dat precies, hoe werkt dat en moeten we niet een landelijke datalekhotline krijgen? Die datalekken komen natuurlijk allemaal terecht bij de Autoriteit Persoonsgegevens. Ik heb niet gehoord of er nou echt een specifieke behoefte is aan een hotline, dus misschien is het goed om er nog even verder met elkaar over te discussiëren waar we dan precies naar op zoek zijn. Er wordt namelijk wel heel veel informatie gedeeld over hacks, "hacks" met h-a-c-k-s, namelijk wanneer er gehackt wordt. Daar delen we wel heel veel informatie over. We hebben niet alleen met de sectoren die we als vitale sectoren bestempelen maar ook met gemeentes afgesproken dat we zo veel mogelijk data delen wanneer dat aan de orde is, om ervoor te zorgen dat iedereen zo goed mogelijk beschermd is.

Dan heb ik volgens mij alle gestelde vragen beantwoord.

Ik stel voor dat we gelijk doorgaan naar de tweede termijn. Als u nog vragen heeft, dan kan dat ook in de tweede termijn. Anders kom ik in de problemen met het debat dat vanavond nog moet plaatsvinden. We moeten daarvoor namelijk ook nog een dinerpauze hebben. O, er is nog een vraag van mevrouw Van Weerdenburg. Zij stelt een vraag en ziet dan af van haar tweede termijn. Dat is efficiënter; dat geef ik toe. Gaat uw gang.

Dat klopt, voorzitter. Dank. De staatssecretaris raakte in haar antwoord heel eventjes het onderwerp aan van de mobiele werkapparatuur van ambtenaren en eventuele apps daarop. Twee maanden geleden heeft ze per brief de Kamer laten weten dat zij werkt aan beleid om managed werkapparaten te maken. Ik vraag mij af hoe het daarmee staat en of ze al kan aangeven wanneer dat beleid naar de Kamer kan.

Dat beleid is al in gang gezet. We hebben dus in eerste instantie ontraden om apps uit landen met een offensief cyberprogramma te installeren of te laten staan op je telefoon. We hebben daar informatie over rondgestuurd. De tweede stap die we nu aan het zetten zijn, is ervoor zorgen dat die apps ook daadwerkelijk geblokkeerd worden, voor zover ze al op de telefoons van medewerkers staan, of dat het onmogelijk wordt om ze te installeren als je ze nog niet op je telefoon had staan. De derde stap — daarover kan ik uw Kamer zeker informeren — is inderdaad om te komen tot de managed devices. Eigenlijk zou je kunnen zeggen dat we toe willen naar een soort "government appstore", dus dat het aantal apps dat je kunt gebruiken, gelimiteerd wordt. Dat zijn we nu verder aan het uitwerken en onderzoeken. We willen met de implementatie daarvan aan het einde van dit jaar beginnen. Dan gaat het dus niet alleen over de apps van landen met een offensief cyberprogramma, maar dan gaan we nog strenger en preciezer bekijken welke apps wenselijk zijn om te gebruiken, welke nodig zijn voor werk of welke nodig en nuttig zijn om te hebben en ook veilig kunnen worden gebruikt. Die stap zijn we nu aan het zetten, maar de eerste stap hebben we dus al ingevoerd.

Dank voor dat antwoord. Is er dan al sprake van een lijst met bepaalde apps die worden beschouwd zijnde afkomstig uit landen met een offensief cyberprogramma? Er bestaat namelijk wel een beetje verwarring over, ook naar aanleiding van de brief van twee maanden geleden. De VNG heeft vanmiddag een lijst gepubliceerd met een aantal apps. Daar bestaat wat discussie over. Mijn vraag is dus: is er een lijst en, zo ja, kunnen we die eerder krijgen dan aan het einde van het jaar?

We hebben ervoor gekozen om geen lijst te publiceren, maar natuurlijk zorgen we ervoor … Het kan ook een bewegende lijst zijn. Het gaat dus over apps gemaakt door bedrijven uit landen met een offensief cyberprogramma. Daar zijn we mee aan het werk. Ik zeg u in ieder geval toe dat we op korte termijn meer informatie sturen over waar we staan.

Mevrouw Rajkowski doet dezelfde formule en ziet af van haar tweede termijn, maar stelt een vraag.

Zeker, voorzitter. Ik denk graag mee over de werk-privébalans van de collega's die nog door moeten.

Ik heb een vraag over de Data Act. Het is goed om te horen, waarvoor dank aan de staatssecretaris, dat het gaat over de echte zeggenschap en niet over die valse transparantiebelofte. Daar hopen wij dan ook echt op, maar kunt u nog iets meer zeggen? Wat ligt er nu bijvoorbeeld voor in die Data Act, waardoor we het echt gaan regelen? Het mag ook per brief; dat vinden wij ook prima. Gaan die regels dan ook voor sociale media gelden? Want dat vind ik eigenlijk nog het meest wazig.

Als we het over die details hebben: we hebben binnenkort een debat over de Telecomraad en de voorbereidingen daarvan. Het lijkt me goed dat we in dat debat de precieze elementen meenemen die in de Data Act zitten. Dat is denk ik de plek waar we dat kunnen doen.

Ik heb net een aantal vragen gesteld. Kunnen we die informatie vooraf hebben? Dan kan ik bij de Telecomraad daarop terugkomen.

Wij gaan u daar een brief over sturen. Ik zal kijken of we die informatie daarin kunnen verwerken.

Heel goed. Dan zijn we toe aan de tweede termijn van de zijde van de Kamer en geef ik het woord aan mevrouw Dekker-Abdulaziz.

De aller-, allerlaatste.

Dank u wel.

U heeft nog een vraag van mevrouw Leijten, volgens mij over de tweede motie.

Ik heb ze om heel eerlijk te zijn vooraf even kunnen lezen, want het ging natuurlijk snel. Bij de tweede motie vroeg ik me af: hoort dit niet gewoon nu al zo te zijn onder de AVG?

Ja, dat hoort zo te zijn onder de AVG, maar het is niet heel erg goed verankerd. Het zou wel moeten, ja.

Daarmee hoeven we dus ook niet te wachten op Europa. We kunnen gewoon de AVG gaan uitvoeren in Nederland op een wat striktere wijze dan we tot nu toe hebben gedaan.

Misschien gaat dat lukken. Ik hoor de staatssecretaris graag.

Dank voor uw inbreng. Mevrouw Leijten, u mag uw tweede termijn doen en spreekt weer namens de SP.

De tweede motie.

De tweede motie.

Dank u wel.

Dan de heer Van Baarle. Hij zal namens DENK spreken.

Voorzitter. De fractie van DENK neemt het principiële standpunt in dat het systeem van realtimebidding, waarbij mensen niet meer weten wat er met hun gegevens gebeurt als die worden verkocht, gewoon onwenselijk is. Vandaar de volgende motie.

Ik dank u wel, voorzitter.

Dank u wel. Dan is het woord aan mevrouw Bouchallikh voor de tweede termijn.

Ik vergat "gaat over tot de orde van de dag", maar dat overleven we wel. Haha! Dan de volgende motie.

Dan wil ik ook nog even iets heel leuks zeggen. Ik begreep dat een grote fastfoodketen vandaag misschien wel een oplossing heeft die in de plaats kan komen van ongebreideld mensen tracken en ads op hen afsturen. Als je nu zelf een beeld van hun eten op tv ziet en een craving hebt, kan je daar een foto van doorsturen aan hen en dan krijg je het eten thuisbezorgd. Dat vind ik nogal zelfsturend, in plaats van adverteren op basis van profielen. Dat is gewoon helemaal zelf bedacht; dat zouden meer mensen moeten doen.

Dank. We zijn aan het einde gekomen van de tweede termijn. Ik stel voor dat we schorsen tot 19.15 uur en dat de staatssecretaris daarna de appreciaties geeft van de twaalf ingediende moties.

Aan de orde is de voortzetting van het debat over de bescherming van onlinegegevens. We zijn toe aan de tweede termijn van de zijde van de regering. Ik geef de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties het woord. Gaat uw gang.

Dank aan de staatssecretaris. Fijn dat we oordeel Kamer hebben gekregen, zeker op de tweede motie. Wij vragen om een onderzoek om te kunnen komen tot een mogelijke verplichting. Ik hoor: ik ga met de toezichthouder in gesprek en ik ga hier in Europa voor pleiten. Klopt dat?

Ja.

Oké, ik kan hier voorlopig mee leven.

Dan gaan we door met de motie op stuk nr. 268.

Dan de motie op stuk nr. 268. Deze motie is ook ingediend door mevrouw Dekker-Abdulaziz, samen met mevrouw Kathmann. In de motie wordt de regering verzocht om zich ervoor in te spannen dat binnen de Europese regelgeving wordt opgenomen dat de verkoop van persoonsgegevens van minderjarigen voor financieel gewin verboden wordt en het toezicht hierop wordt geborgd. De AVG en de DSA kennen een wettelijk verbod op het verkopen van persoonsgegevens van minderjarigen. Daarvoor moet toestemming zijn van de ouders. Deze motie zou ik dan ook oordeel Kamer willen geven. De AVG biedt dat namelijk al wel aan, maar in Europa hebben we de wettelijke verankering hiervan nog niet goed genoeg geregeld.

De motie op stuk nr. 269 van mevrouw Leijten vraagt om rijksbreed beleid te formuleren waardoor mensen bij zowel commerciële als publieke digitale producten en diensten altijd via het opt-in principe deelnemen. De motie vraagt ook om dit beleid onderdeel te maken van de Europese inzet. De kern is als volgt. We hebben aangegeven dat mensen altijd toestemming moeten geven om hun data te delen. Dat geldt alleen niet wanneer er sprake is van een wettelijke basis. Daarmee kan ik deze motie helaas niet overnemen en moet ik die ontraden. Dan is er de vraag van …

Een ogenblik. Mevrouw Leijten.

Een wettelijke grondslag creëren voor het mogen verzamelen van data betekent toch niet dat je die data automatisch verzamelt?

Nee, behalve wanneer je dat hebt opgenomen in die wettelijke grondslag. Dat is het punt, ja.

We moeten wel precies zijn. Een wettelijke grondslag creëer je. De wijze waarop je het doet, is via opt-in of opt-out. Dat kunnen we scheiden, toch staatssecretaris?

Dat ligt eraan wat je wettelijk regelt. We delen data van burgers bijvoorbeeld op basis van wettelijke grondslagen. Dat doen we dan zonder dat we hen expliciet vragen om daarvoor in of uit te tekenen. Het kan zo zijn dat dat daadwerkelijk gebeurd is zonder opt-in of opt-out.

Ik vind echt dat je secuur moet zijn. Als er wettelijke grondslagen zijn om data te gebruiken en te verzamelen, is er altijd, conform de AVG, de mogelijkheid om daar niet aan mee te doen. Dat is gewoon de AVG-wetgeving, altijd. Mijn voorstel in deze motie is dat opt-in altijd het model is op het moment dat er een wettelijke grondslag is voor de overheid om iets te verzamelen, of wanneer commerciële partijen dat fijn vinden omdat ze dan zo veel mogelijk producten kunnen verkopen. Dat onderscheid maakt helemaal niet uit. Mensen sluiten zich erbij aan, worden lid en geven toestemming, maar moeten niet heel veel moeite doen om eruit te komen. Dat is het voorstel.

Ik lees wat het voorstel uit uw motie is. Opt-in geldt inderdaad voor commerciële dienstverlening. Voor publieke digitale producten en diensten geldt in principe hetzelfde, behalve wanneer er sprake van is dat er een wettelijke grondslag wordt gemaakt om data te delen. Dat kan. Dat kan dus ook gebeuren op basis van een wet. Daarvoor gelden overigens ook weer dezelfde regels, namelijk dat dat niet zomaar kan. Er moet ook sprake zijn van dataminimalisatie enzovoort. In de bredere zin zijn er grondslagen om data te delen. Dat kan per wet geregeld worden. Dan geldt dus niet dat je in eerste instantie ook nog een opt-in moet hebben, want dan hebben we al afgesproken dat we, in het kader van het uitvoeren van beleid, ook daadwerkelijk data delen.

Nog één keer, mevrouw Leijten.

Dit is geen management. Het is geen gepresenteerd feit. Het is een politieke keuze dat je dan uitgaat van opt-out. Het is een politieke keuze dat je als overheid iets bouwt voor de data, waarvan burgers dan moeten zeggen: ik wil daar niet aan meedoen. Het voorstel is nou juist om het politiek te veranderen, zodat we vanuit voorzorg gaan werken. Wettelijke grondslagen maken het delen nog niet automatisch ... De Autoriteit Persoonsgegevens wijst ons hier ook altijd op. De uitleg van de staatssecretaris is hoe het nu is, hoe de overheid nu werkt. Mijn voorstel is dus juist om dat te wijzigen. Ik hoop dat dat in ieder geval helder is geworden.

En mijn voorstel is om het te laten zoals het is. Daarmee ontraad ik deze motie dan ook.

De motie op stuk nr. 270.

Dan krijgen we de motie op stuk nr. 270. Die verzoekt de regering de Autoriteit Persoonsgegevens in staat te stellen toezicht te kunnen uitoefenen, en daarvoor extra middelen ter beschikking te stellen als dat nodig is. Deze motie vraagt dus om extra middelen als dat nodig is. Wij willen natuurlijk dat de Autoriteit Persoonsgegevens het werk kan doen. Op dit moment is daarvoor een budget, dat we met het coalitieakkoord verhoogd hebben. Ik moet deze motie ontraden, omdat die ook gaat over het toekennen van extra financiële middelen. Daarvoor is geen dekking. Op dit moment is er ook geen noodzaak om dat te doen. Wij blijven altijd in gesprek met de toezichthouder om te zorgen dat er middelen komen als dat nodig is, maar die zijn op dit moment niet voorhanden.

Dan de motie op stuk nr. 271 van de heer Drost. Die motie wil ik graag oordeel Kamer geven. Die vraagt namelijk om te kijken naar een bepaling uit de Data Protection Act van Ierland. Ik wil daarbij de opmerking maken dat we wel goed kijken hoe dit samenhangt met de Digitaledienstenverordening, want in principe regelt die hetzelfde als dat artikel uit de Data Protection Act. Ik wil dingen niet dubbel gaan regelen, maar als ik de motie zo mag interpreteren dat die gaat over het implementeren hiervan, dan ga ik kijken naar de beste manier waarop dat zou kunnen.

De heer Drost knikt ja.

Dat is mooi.

Dan de motie op stuk nr. 272, ook een motie van de heer Drost. Die vraagt een verkenning te doen naar de aanstelling van een kinderautoriteit persoonsgegevens en voor de behandeling van de begrotingsonderdelen Digitale Zaken scenario's aan de Kamer voor te leggen. Ik wil deze motie oordeel Kamer geven als ik 'm als volgt mag interpreteren. Ik wil zeker verkennen hoe dat toezichtlandschap nou precies in elkaar zit ten aanzien van onlinekinderrechten. Ik wil dus ook kijken of het in dat kader wenselijk zou zijn om zo'n soort nieuwe toezichthouder in te voeren, maar ik vind het wel vroeg om dat nu al te concluderen. Ik denk dus dat het goed is dat we eerst verkennen hoe dat landschap nou precies is ingericht, of dat voldoende werkt en of er iets extra's nodig is. Die verkenning wil ik u graag toesturen. Dus oordeel Kamer om de verkenning te doen, maar niet om al met zekerheid te zeggen dat daar zo'n autoriteit uitkomt.

Een verkenning van de mogelijkheden kan ook tot een onmogelijkheid leiden, denk ik dan maar. Maar dat hoop ik vanzelfsprekend niet. Als de Kamer hierachter staat, dan denk ik dat u een aansporing heeft om vooral wél te proberen om het voor elkaar te krijgen.

De motie op stuk nr. 273.

Oké, de motie op stuk nr. 273. Dat is de motie van de heer Van Baarle van DENK over de grondslag op basis waarvan en de reden waarom veiligheidsdiensten gebruikmaken van die data en datadiensten. Ik denk dat ik daar in het debat voldoen over heb gezegd. Die motie moet ik dan ook ontraden.

Dan is er ook nog de motie op stuk nr. 274 van de heer Van Baarle. Die verzoekt de regering om in Europa het standpunt in te nemen dat het systeem van realtimebidding op geconstrueerde profielen verboden moet worden. De kern van het systeem, hoe het werkt, is als volgt. We hebben het in eerste instantie over de toestemming die wordt gegeven voor het delen van data. Wanneer mensen daar toestemming voor geven en ook toestemming geven om die data te verhandelen, dan is dit de methode die daarvoor mag worden ingezet. Waar we het in dit debat vooral over hebben, is natuurlijk dat we moeten zorgen dat mensen alleen toestemming geven wanneer ze dat daadwerkelijk met consent doen. We moeten eraan werken om dat te verbeteren, maar niet noodzakelijkerwijs om ook het verhandelen te verbieden. Daarom moet ik deze motie ontraden.

Dan ga ik naar de motie op stuk nr. 275 van mevrouw Bouchallikh over gepersonaliseerde algoritmes. Wat u vraagt, is in feite geregeld in de DSA. Eigenlijk is deze motie daarmee overbodig, want wat u vraagt, doen we. Dat doen we overigens met plezier, want dit is inderdaad een onderdeel van de Europese regelgeving. Mijn vraag zou dan ook zijn of wij deze motie zouden kunnen overnemen.

Is daar bezwaar tegen?

Ik ben nu wel verbaasd, want ik stelde net de vraag of we opt-in en opt-out niet de basis kunnen laten zijn. Dit is nou typisch een motie die gaat over opt-inbeleid: je moet altijd toestemming geven en je moet er altijd akkoord mee zijn dat je onderdeel bent van een club en van de gegevensdeling. Dan wil de staatssecretaris de motie overnemen. Als ik vraag om dit tot de algemene grondhouding te maken voor het beleid, wordt dat ontraden. Ik vind dat inconsistent, maar ik ben blij dat de motie wordt overgenomen. Ik wil mijn collega dus niet voor de voeten lopen. Ik ga mij niet verzetten tegen overnemen, maar ik vind het heel inconsistent.

Maar dan is hierbij toch het besluit genomen om de motie op stuk nr. 275 over te nemen?

Ja.

De motie-Bouchallikh/Kathmann (32761, nr. 275) is overgenomen.

De motie op stuk nr. 276 betreft het verzoek aan de regering om de Autoriteit Persoonsgegevens in staat te stellen het werk te doen en te intensiveren. Die motie gaat dus over het intensiveren van het werk van de Autoriteit Persoonsgegevens. Die moet ik daarmee ontraden, want op dit moment is er geen sprake van dat wij meer budgetten kunnen toekennen aan de Autoriteit Persoonsgegevens.

De motie op stuk nr. 277 verzoekt de regering om te onderzoeken of er betaalbare op publieke waarde gedreven alternatieve applicaties gerealiseerd kunnen worden, in dit geval voor het onderwijs. Dat is iets waar zeker naar kan worden gekeken. Ik vind het dan ook een goede. Ik vind alleen de titel van de motie wat hevig, want die gaat over "big tech de klas uit". Ik weet niet of er nog een betere titel te bedenken is, want op dit moment gaat het dus om het creëren van alternatieven. Dat vinden wij in principe een goed idee. Dat is ook onderdeel van onze agenda.

De titel kan eraf. Excuses, dit is echt mijn fout. We waren meerdere moties aan het voorbereiden. Dan moet ik altijd een beetje orde scheppen en dan zet ik m'n eigen jargon erboven. Maar het is verder niet noodzakelijk voor de behandeling.

Dan kan ik deze motie ook oordeel Kamer geven.

Dat roept nog wel een vraag op bij de heer Drost.

Nee, ik heb nog een vraag over een andere motie, de motie op stuk nr. 273 van meneer Van Baarle. Ik wilde me niet met dat debat bemoeien, maar ik moet er wel over stemmen zo meteen. U gaf 'm het oordeel ontraden, maar wat mij betreft zonder een argument daarbij. Want zoals de motie nu op papier staat, lijkt het me gewoon een informatieverzoek. Dat kan ook een schriftelijke vraag zijn en dan komt er een antwoord op. Dus kunt u mij nog een argument geven: waarom zou ik in uw ogen tegen deze motie moeten stemmen?

Dat heb ik in het debat ook aangegeven. Het gaat over de informatie- en veiligheidsdiensten, of in dit geval de veiligheidsdiensten. Er wordt gevraagd naar de grondslag waarop data worden ingezet en waarop zij opkopen enzovoort enzovoort. Ik heb eerder aangegeven dat de diensten mij hebben aangegeven — in dit geval heeft de AIVD dat aangegeven — dat zij geen publieke mededelingen doen over hoe zij informatie verzamelen en of er sprake is van dat zij gebruikmaken van dit soort diensten. Dus ik kan u daar helaas geen informatie over geven.

Ik wilde dit debat niet voeren. Ik denk dat het tweede deel daarvan wel heel belangrijk is: er moeten bepaalde waarborgen zijn. Maar dan moeten we er op een andere manier over praten.

Ik denk dat het goed is dat u dat doet met de betreffende bewindspersoon in het debat over de diensten.

En de motie komt in stemming. De motie is ontraden, maar komt dinsdag in stemming.

Uiteraard. Dus ik ontraad 'm.

Tot slot, mevrouw Leijten.

Ik begrijp heel goed dat u door wilt met de schorsing en het volgende debat. Ik begrijp ook goed dat de staatssecretaris antwoorden heeft gekregen. Maar wellicht is het mogelijk om voor dinsdag toch nog een opheldering te sturen. Misschien is de motie dan wel overbodig geworden. Dus ik kijk de staatssecretaris aan: is dat mogelijk? Het kan namelijk best zo zijn dat je ter voorbereiding van het debat iets meekrijgt, terwijl het wel te beantwoorden is als de vraag verhelderd wordt. Ik denk dat, conform de wet- en regelgeving die er bestaat, de AIVD zou kunnen aangeven of ze er gebruik van maken en of er toezicht op is. Dat was de vraag. Wellicht kan het antwoord voor de stemming komen, waardoor de noodzaak van deze motie vervalt. Want die tijd hebben we toch nog wel.

Ik denk dat we dit in vele vormen hebben gewisseld. Nogmaals, de veiligheidsdiensten hebben aangegeven dat zij geen mededelingen doen in het openbaar over de manier waarop ze functioneren en werken. Of ja, "functioneren", is iets anders; ik bedoel de manier waarop ze hun informatie verzamelen. Dus ik denk niet dat dat iets gaat opleveren. Dus helaas, ik kan u hier niet accommoderen.

Daarmee zijn we wel aan het einde gekomen van het debat.

23 mei, dinsdag aanstaande, stemmen wij over de twaalf ingediende moties. Dank aan de staatssecretaris en haar staf. Dank aan de leden, ook voor de debatten hieraan voorafgaand. We gaan schorsen tot 20.15 uur. Daarna vindt het laatste debat van vandaag plaats.