Vraag 1

De leden van de VVD-fractie lezen dat er door een organisatiewijziging op het Ministerie van Economische Zaken en Klimaat (EZK) van sommige directoraten-generaal (DG’s) nog geen informatie bekend is over het gebruik van afkomstgerelateerde gegevens, omdat deze DG’s gedurende het onderzoek nog in oprichting waren. Is de Minister voornemens om deze nieuwe DG’s nog te onderzoeken, zodat er inzage verschaft kan worden in het gebruik van afkomstgerelateerde indicatoren binnen het Ministerie van EZK?

Antwoord 1

Ja, deze organisatieonderdelen zullen op twee manieren worden onderzocht: enerzijds door het doorlichten van het verwerkingenregister op het gebruik van afkomst gerelateerde indicatoren in verwerkingen, anderzijds doordat zij onderdeel zijn van de aanpak voor het vullen van het algoritmeregister waarbij hoog risico AI-systemen en impactvolle algoritmen in kaart worden gebracht en worden getoetst. Onderdeel van deze toetsing is het uitvoeren van een Privacy Impact Assessment en een mensenrechtentoets.

Vraag 2

De leden van de D66-fractie vragen de Minister verder te verduidelijken wat er nu met deze rapportage gaat gebeuren. Zij lezen dat de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft aangegeven, naar aanleiding van de verworpen motie van het lid Van Baarle c.s. over een externe toets op de uitkomsten van de opruimactie van discriminerende algoritmen (Kamerstuk 26 643, nr. 827), de mogelijkheden voor een externe toets te verkennen met de Auditdienst Rijk. Wat is hiervan de stand van zaken?

Antwoord 2

De externe toets door de Auditdienst Rijk is gestart in Q1 2024 en loopt door tot en met Q2 in 2024 waarna rapportage door de Auditdienst Rijk zal volgen.

Vraag 3

De leden van de D66-fractie lezen dat de gefaseerde aanpak bij het Ministerie van EZK door de organisatieonderdelen zelf is uitgevoerd. Is deze aanpak verschillend van andere ministeries? Hoe wordt geborgd dat deze aanpak de beoogde resultaten behaald? Vindt er nog een controle plaats door bijvoorbeeld (het team van) de Chief Information Officer?

Antwoord 3

Nee, de gevolgde aanpak is niet verschillend van andere ministeries. Deze aanpak is afgestemd met de interdepartementale projectgroep die werd gecoördineerd door het Ministerie van BZK. Binnen het Ministerie van EZK is een projectleider aangesteld vanuit de departementale CIO Office. Alle organisatieonderdelen hebben een contactpersoon aangewezen voor het opleveren van de gevraagde informatie. Tussentijds is met deze personen afgestemd over de voortgang en het resultaat. Het door de contactpersonen aangeleverde resultaat is gecontroleerd door de Chief Privacy Officer van het Ministerie van EZK.

Vraag 4

De Minister geeft aan dat zij niet kan uitsluiten dat bijvoorbeeld beleidsregels, registraties in oude systemen of zeldzame uitzonderingssituaties buiten het zicht van de inventarisatie zijn gebleven. Zij geeft aan dat er adequate actie op wordt ondernomen indien dit op een later moment toch wordt geconstateerd. Kan de Minister uitdiepen wat deze «adequate actie» behelst?

Antwoord 4

Op het moment dat uitzonderingssituaties worden geconstateerd moet worden ingegrepen op het onderliggende werkproces. Waar nodig en mogelijk worden direct activiteiten gestopt. In dat geval wordt een plan van aanpak gemaakt en uitgevoerd voor het aanpassen van het onderliggende werkproces zodat het onrechtmatig/oneigenlijk gebruik van afkomstgerelateerde gegevens kan worden weggenomen en moeten betrokkenen worden geïnformeerd. Hiermee wordt de lijn van het Motie#21 onderzoek gevolgd.

In het verkorte plan van aanpak van het Ministerie van EZK dat is opgesteld voor het Motie#21 onderzoek is het volgende opgenomen over de acties die volgen op het moment dat onwettig/oneigenlijk gebruik van afkomst gerelateerde persoonsgegevens in risicomodellen wordt aangetroffen:

«Indien afkomst gerelateerde indicatoren in risicomodellen worden aangetroffen en het vermoeden bestaat dat deze onwettig of oneigenlijk zijn, dan worden deze allereerst daarop getoetst. Vervolgens worden zo snel mogelijk plannen van aanpak opgesteld om, indien van toepassing:

• • (vervuilde) data en risicomodellen te rectificeren of te wissen

• • de onderliggende processen aan te passen

• • de betrokkenen te informeren»

Vraag 5

De leden van de SP-fractie vragen of de Minister kan toelichten waarom niet alle zelfstandige bestuursorganen (zbo’s) en/of rechtspersonen met een wettelijke taak (rwt’s) in tabel 85 van de departementale begroting van EZK voor 2023 zijn betrokken in het onderzoek. Welke organisaties zijn niet meegenomen, omdat ze niet onder de Kaderwet zelfstandige bestuursorganen vallen?

Antwoord 6

In de reikwijdte van het Motie#21 onderzoek zijn opgenomen: het kerndepartement, de agentschappen en de organisatieonderdelen die vallen onder de Kaderwet zelfstandige bestuursorganen. De reikwijdte qua organisatieonderdelen van het Motie#21 onderzoek is aangegeven in het verkorte plan van aanpak van het Ministerie van EZK dat eind 2021 door BZK/CIO Rijk naar de Tweede Kamer is verzonden. In tabel 85, zoals gesteld in de vraag, zijn een aantal organisatieonderdelen opgenomen die vallen buiten deze kaderwet.

De hier volgende opsomming is afkomstig uit tabel 85 uit 2023 waar de vraag naar verwijst. Het Motie#21 onderzoek ziet echter op de situatie van 2022. Redenerende vanuit deze tabel zijn de volgende organisatieonderdelen niet in de reikwijdte van het Motie#21 onderzoek opgenomen geweest:

• • Edelmetaal Waarborg Nederland

• • Examinerende instanties als bedoeld in artikel 19 van de Examenregeling frequentiegebruik 2008

• • Keuringsinstanties als bedoeld in artikel 10.3 Telecommunicatiewet

• • Raad voor de Accreditatie

• • Stichting COVA

• • TNO

• • VSL

• • De in het kader van de Metrologiewet art. 11 en 12 aangewezen instanties en erkende keurders

• • Waarborg Holland

Vraag 6

Genoemde leden vragen wanneer de Minister van EZK verwacht informatie te ontvangen over het rechtmatig en eigenlijk gebruik van afkomstgerelateerde indicatoren van DG’s in oprichting. Is de Minister voornemens de Kamer te informeren over de uitkomst hiervan?

Antwoord 6

Ik verwacht deze informatie uiterlijk in Q4 van 2024 te ontvangen. Ik zal hierover de Kamer informeren.

Vraag 7

De leden van de SP-fractie vragen of medeoverheden rijksbeleid van het Ministerie van EZK uitvoeren? Zo ja, zijn deze medeoverheden betrokken in dit onderzoek?

Antwoord 7

Tijdens het uitvoeren van het Motie#21 onderzoek zijn door de verwerkingsverantwoordelijken geen verwerkingen van persoonsgegevens gesignaleerd die terugslaan op het uitvoeren van het Rijksbeleid waarbij andere medeoverheden zijn betrokken.

Vraag 8

Kan de Minister preciezer toelichten waarom zij beeldmateriaal buiten de scope van dit onderzoek heeft gehouden?

Antwoord 8

Bij het Ministerie van EZK wordt in het verwerkingsregister vastgelegd of er beeldmateriaal wordt verwerkt in een bepaalde verwerking van persoonsgegevens. Deze verwerkingen worden altijd getoetst volgens het privacybeleid van het ministerie. Dit vormt een waarborg dat er bij beeldmateriaal geen persoonsgegevens worden verwerkt die onderdeel zijn van de reikwijdte van het Motie#21 onderzoek, zoals bijvoorbeeld gebruik in risicomodellen.

Vraag 9

In hoeverre sluit dit aan bij de rijksbrede aanpak van de uitvoering van de moties?

Antwoord 9

Er is afstemming geweest met de interdepartementale werkgroep, hiermee is de aanpak ook gecoördineerd opgepakt.

Vraag 10

Wat bedoelt de Minister met de zin « [...] en het is, redelijkerwijs, ook niet te voorzien dat iemand deze data zal gebruiken om afkomstgerelateerde gegevens in te zetten om onderscheid te maken»?

Antwoord 10

De essentie is hierbij dat het verkregen beeldmateriaal niet mag worden gebruikt om onderscheid te maken. Wanneer het wordt gebruikt voor opsporing zijn er wettelijke waarborgen die ervoor zorgen dat persoonsgegevens alleen noodzakelijk, proportioneel en subsidiair worden gebruikt.

Vraag 11

De leden van de SP-fractie vragen of de Minister kan toelichten waarom zij onderscheid maakt tussen het verwerken van afkomstgerelateerde gegevens en het mogelijk verwerken ervan? Kan de Minister per organisatieonderdeel waar afkomstgerelateerde gegevens mogelijk worden verwerkt aangeven of ze ook daadwerkelijk worden verwerkt?

Antwoord 11

Per organisatieonderdeel is aangegeven welke afkomstgerelateerde gegevens worden vastgelegd en voor welke doelen deze gegevens mogelijk kunnen worden gebruikt voor de uitvoering van de wettelijke taken. Met de toevoeging «mogelijk» wordt aangegeven dat als in een specifiek geval het bewaren van bijvoorbeeld een kopie van een paspoort niet noodzakelijk is, de hierop aanwezige gegevens dus niet worden vastgelegd.

Vraag 12

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat met «betrokken» organisatieonderdelen gesprekken zijn gevoerd voor begeleiding en instructies over het inventariseren, beoordelen en opruimen van onrechtmatig of onbehoorlijk verwerkte data. Over welke organisatieonderdelen gaat het dan en over welke niet? Hoe zien deze gesprekken eruit? Waar kunnen medewerkers terecht als zij het onrechtmatige gebruik van afkomstgerelateerde data ontdekken? Zijn medewerkers erover ingelicht waar zij deze informatie in dat geval kunnen melden?

Antwoord 12

Met alle in de reikwijdte van het Motie#21 onderzoek benoemde organisatieonderdelen zijn één op één gesprekken gevoerd met de, voor het onderzoek, door de organisatieonderdelen aangewezen contactpersonen. Daarbij is het doel van het onderzoek toegelicht en zijn instructies meegegeven voor de uitvoering van het onderzoek. Waar nodig zijn aanvullende afspraken gemaakt over de voortgang en zijn vragen beantwoord.

Vraag 13

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat dataminimalisatie een blijvend aandachtspunt moet zijn en dat bij een aantal gegevensverwerkingen, die niet zien op afkomstgerelateerde indicatoren, is geconstateerd dat het beginsel van dataminimalisatie continue aandacht behoeft. Hoe gaat de Minister erop toezien dat op dataminimalisatie toegezien blijft worden.

Antwoord 13

Dataminimalisatie is een vast onderdeel van de Planning en Control cyclus van het beheer en onderhoud op de verwerkingen in het verwerkingenregister. Dat geeft de waarborg dat er toezicht blijft op dataminimalisatie.

Vraag 14

Bij welke gegevensverwerkingen is geconstateerd dat het beginsel van dataminimalisatie aandacht behoeft? Wat heeft de Minister op die plekken exact geconstateerd?

Antwoord 14

In meer algemene zin is geconstateerd dat het beheer en onderhoud van de informatie die is opgenomen in het verwerkingenregister soms onvoldoende aandacht krijgt. Er is niet geconstateerd dat er in de praktijk bovenmatig gegevens worden verwerkt.

Vraag 15

Welke actie is de Minister voornemens daarop te ondernemen?

Antwoord 15

Hier verwijs ik naar het eerder gegeven antwoord bij vraag 13. Dataminimalisatie is een vast onderdeel van de Planning en Control cyclus van het beheer en onderhoud op de verwerkingen in het verwerkingenregister. Dat geeft de waarborg dat er toezicht blijft op dataminimalisatie.

Vraag 16

De leden van de PvdA- en GroenLinksfracties lezen in de brief dat uit de «grondige en integere» inventarisatie geen gebruik van afkomstgerelateerde indicatoren is geconstateerd, maar ook dat beleidsregels, registraties in oude systemen en zeldzame uitzonderingssituaties mogelijk niet in de inventarisatie zijn meegenomen. Daarmee wordt onvoldoende uitvoering gegeven aan de aangenomen motie van het lid Klaver c.s. over het opzetten van een algoritmeregister (Kamerstuk 35 510, nr. 16), waarin de regering wordt verzocht het gebruik van afkomstgerelateerde kenmerken in alle risicomodellen, -profielen, -systemen, -selectie en zwarte lijsten die binnen het overheidswezen gebruikt worden volledig uit te sluiten. Wat gaat de Minister doen om uit te sluiten dat er op welke wijze dan ook onrechtmatig gebruik wordt gemaakt van afkomstgerelateerde kenmerken? Is de Minister voornemens de inventarisatie uit te bereiden zodat het risico op discriminerende algoritmen op basis van afkomstgerelateerde kenmerken volledig uit te sluiten is?

Antwoord 16

Om onrechtmatig gebruik van afkomstgerelateerde kenmerken uit te sluiten blijft het ministerie het huidige privacybeleid handhaven. Aanvullend bereidt het ministerie toezicht op algoritmen en AI voor volgens nog op te leveren BZK kaders en aansluitend op toekomstige EU wetgeving zoals AI ACT. Zoals afgesproken in de Werkagenda Waardengedreven Digitalisering is het ministerie gestart met de inventarisatie en registratie van hoog-risico AI systemen en impactvolle algoritmen in het publieke algoritmeregister. Deze maatregelen (zullen) zorgen voor een waarborg in het verantwoord omgaan met persoonsgegevens in combinatie met algoritmen en AI binnen het Ministerie van EZK.

Vraag 17

Het lid van de BBB-fractie leest in de brief dat dataminimalisatie een blijvend aandachtspunt zal blijven. Hoe gaat het kabinet hier voor de toekomst concreet vorm aan geven, ook bij bijvoorbeeld andere ministeries en overheidsinstanties?

Antwoord 17

Dataminimalisatie is een vast onderdeel van de Planning en Control cyclus van het beheer en onderhoud op de verwerkingen in het verwerkingenregister. Dat geeft de waarborg dat er toezicht blijft op dataminimalisatie.

Vraag 18

Het lid van de BBB-fractie leest ook dat niet geheel kan worden uitgesloten dat beleidsregels, registraties in oude systemen of zeldzame uitzonderingssituaties buiten het zicht van de inventarisatie zijn gebleven en dat hier adequate acties op zullen worden ondernomen, indien dit ontdekt wordt. Het lid van de BBB-fractie begrijpt dat het hier gaat om acties die in de toekomst nodig kunnen zijn, mochten er situaties buiten de inventarisatie zijn gebleven, waardoor het niet duidelijk is om wat voor situaties het kan gaan en welke concrete acties ervoor nodig zouden zijn. Kan de Minister duidelijk maken hoe het interne proces verloopt indien een situatie aan het licht komt en hoe lang dit proces ongeveer duurt? Wat zouden adequate acties kunnen omvatten?

Antwoord 18

Het interne proces loopt in zo’n situatie als volgt: op het moment dat uitzonderingssituaties worden geconstateerd moet worden ingegrepen op het onderliggende werkproces waarin die situatie zich voordoet. Waar nodig en mogelijk worden direct activiteiten gestopt. In dat geval wordt een plan van aanpak gemaakt en uitgevoerd voor het aanpassen van het werkproces zodat het onrechtmatig/oneigenlijk gebruik van afkomstgerelateerde persoonsgegevens kan worden weggenomen en moeten betrokkenen worden geïnformeerd. Hiermee wordt de lijn van het Motie#21 onderzoek gevolgd.

In het verkorte plan van aanpak van het Ministerie van EZK dat is opgesteld voor het Motie#21 onderzoek is het volgende opgenomen over de acties die volgen op het moment dat onwettig/oneigenlijk gebruik van afkomst gerelateerde persoonsgegevens in risicomodellen wordt aangetroffen:

«Indien afkomst gerelateerde indicatoren in risicomodellen worden aangetroffen en het vermoeden bestaat dat deze onwettig of oneigenlijk zijn, dan worden deze allereerst daarop getoetst. Vervolgens worden zo snel mogelijk plannen van aanpak opgesteld om, indien van toepassing:

• • (vervuilde) data en risicomodellen te rectificeren of te wissen

• • de onderliggende processen aan te passen

• • de betrokkenen te informeren»

De toetsing dient om te constateren of het vermoeden dat er sprake is onwettig/oneigenlijk gebruik van afkomstgerelateerde persoonsgegevens inderdaad correct is. De toetsing vindt plaats op grond van wetgeving en het binnen het Ministerie van EZK gehanteerde privacybeleid.