32 761 Verwerking en bescherming persoonsgegevens

Nr. 192 VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 3 juni 2021

De vaste commissie voor Justitie en Veiligheid heeft op 20 mei 2021 overleg gevoerd met de heer Dekker, Minister voor Rechtsbescherming, over:

  • de brief van de Minister voor Rechtsbescherming d.d. 15 november 2017 inzake betekenis «handleiding drones en privacy» voor wietdrones (Kamerstuk 30 806, nr. 44);

  • de brief van de Minister van Justitie en Veiligheid d.d. 1 juli 2019 inzake verificatie op de uitvoering van het overeengekomen verbeterplan met Microsoft (Kamerstukken 26 643 en 32 761, nr. 622);

  • de brief van de Minister voor Rechtsbescherming d.d. 16 september 2019 inzake taken en budgetontwikkelling Autoriteit Persoonsgegevens (AP) (Kamerstuk 32 761, nr. 149);

  • de brief van de Minister voor Rechtsbescherming d.d. 8 oktober 2019 inzake waarborgen tegen risico's van data-analyses door de overheid (Kamerstukken 26 643 en 32 761, nr. 641);

  • de brief van de Minister voor Rechtsbescherming d.d. 31 oktober 2019 inzake voornemens met betrekking tot de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en Algemene verordening gegevensbescherming (AVG) (Kamerstuk 32 761, nr. 151);

  • de brief van de Minister van Justitie en Veiligheid d.d. 19 februari 2020 inzake uitvoering van de motie van het lid Groothuizen over pleiten voor een juridische herbeoordeling van de PNR-richtlijn (Kamerstuk 34861–20) (Kamerstuk 34 861, nr. 23);

  • de brief van de Minister voor Rechtsbescherming d.d. 13 maart 2020 inzake evaluatie Wet bescherming persoonsgegevens BES (Wbp-BES) (Kamerstuk 32 761, nr. 161);

  • de brief van de Minister voor Rechtsbescherming d.d. 20 april 2020 inzake rapport «Op het eerste gezicht: een verkenning van gezichtsherkenning en privacyrisico's in horizontale relaties» (Kamerstuk 34 926, nr. 9);

  • de brief van de Minister van Justitie en Veiligheid d.d. 30 april 2020 inzake datalek app NL-Alert (Kamerstukken 29 668 en 26 643, nr. 54);

  • de brief van de Minister van Justitie en Veiligheid d.d. 6 mei 2020 inzake kwetsbaarheid app NL-Alert en voortgang onderzoek datalek (Kamerstukken 29 668 en 26 643, nr. 55);

  • de brief van de Minister voor Rechtsbescherming d.d. 20 mei 2020 inzake beantwoording vragen commissie over waarborgen tegen risico's van data-analyses door de overheid (Kamerstukken 26 643 en 32 761, nr. 682);

  • de brief van de Minister voor Rechtsbescherming d.d. 2 juni 2020 inzake uitvoering van moties en toezeggingen op het terrein van gegevensbescherming (Kamerstuk 32 761, nr. 163);

  • de brief van de Minister voor Rechtsbescherming d.d. 4 juni 2020 inzake wijziging Uitvoeringswet AVG c.a. (Kamerstuk 32 761, nr. 164);

  • de brief van de Minister voor Rechtsbescherming d.d. 23 juni 2020 inzake rapport «Spioneren met hobbydrones en andere technologieën door burgers» (Kamerstuk 34 926, nr. 10);

  • de brief van de Minister van Justitie en Veiligheid d.d. 15 oktober 2020 inzake kabinetsreactie Evaluatie PNR Richtlijn (Kamerstuk 34 861, nr. 25);

  • de brief van de Minister voor Rechtsbescherming d.d. 19 november 2020 inzake eindrapportage van extern onderzoek naar taken en financiële middelen van de Autoriteit Persoonsgegevens (Kamerstukken 25 268 en 32 761, nr. 192);

  • de brief van de Minister voor Rechtsbescherming d.d. 30 november 2020 inzake WODC-onderzoek Voorziening voor verzoeken tot snelle verwijdering van onrechtmatige onlinecontent (Kamerstuk 34 602, nr. 6);

  • de brief van de Minister voor Rechtsbescherming d.d. 4 december 2020 inzake reactie op mededelingen Europese Commissie over de AVG (Kamerstukken 22 112 en 32 761, nr. 2994);

  • de brief van het lid Van Gent d.d. 15 januari 2021 inzake verslag rapporteur Twee jaar toepassing van de AVG;

  • de brief van de Minister voor Rechtsbescherming d.d. 5 februari 2021 inzake stand van zaken uitvoering Agenda horizontale privacy (Kamerstuk 34 926, nr. 11);

  • de brief van de Minister van Justitie en Veiligheid d.d. 1 maart 2021 inzake voorafgaande raadpleging inzake Google (Kamerstukken 26 643 en 32 761, nr. 747);

  • de brief van de Minister voor Rechtsbescherming d.d. 1 maart 2021 inzake uitvoering van de motie van het lid Hijink c.s. over verhoging van het budget van de Autoriteit Persoonsgegevens (Kamerstuk 27 529, nr. 240) (Kamerstukken 25 268 en 32 761, nr. 197);

  • de brief van de Minister van Justitie en Veiligheid d.d. 13 april 2021 inzake uitkomsten onderzoeken mogelijk datalek app NL-Alert (Kamerstukken 29 668 en 26 643, nr. 58).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De fungerend voorzitter van de commissie, Van Meenen

De griffier van de commissie, Brood

Voorzitter: Van Nispen

Griffier: Koerselman

Aanwezig zijn acht leden der Kamer, te weten: Azarkan, Ceder, Ellian, Van Ginneken, Kathmann, Koekkoek, Kuik en Van Nispen,

en de heer Dekker, Minister voor Rechtsbescherming.

Aanvang 10.02 uur.

De voorzitter:

Goedemorgen allemaal. Ik open deze vergadering van de vaste Kamercommissie voor Justitie en Veiligheid. Aan de orde is ons commissiedebat over de bescherming van persoonsgegevens. Ik heet alle woordvoerders, de griffier, de bodes en de ondersteuning van harte welkom. Van harte welkom ook aan de Minister voor Rechtsbescherming en zijn ambtenaren hier aanwezig dan wel op andere plekken dit volgend. We hebben een volle agenda. We hebben veel woordvoerders. Er staat een spreektijd van vier minuten. Ik weet dat het kort is, maar we gaan er toch strikt op handhaven, want we hebben hiervoor maar maximaal drie uur de tijd. Maximaal twee interrupties, heel kort en bondig. Met die strenge waarschuwing van mij gaan we beginnen met dit commissiedebat. Ik geef het woord als eerste aan mevrouw Van Ginneken, die zal spreken namens D66.

Mevrouw Van Ginneken (D66):

Dank u wel, voorzitter. Ik zal het kort en bondig proberen te houden. Vandaag kunnen we praten over een hele lange lijst van agendapunten: van zelflerende algoritmes en gezichtsherkenning tot data-incidenten die we het afgelopen jaar hebben gezien. We kunnen aan deze lijst ook nog het bericht van deze week toevoegen dat 54% van de ondervraagde gemeenten zonder protocol inlichtingen over burgers verzamelt. Daarmee schenden ze natuurlijk de AVG en de privacy van mensen. Maar ik praat vandaag liever niet over die incidenten, maar over het structurele probleem.

Voorzitter. We praten hier in de Kamer al weken over het versterken van de rechtspositie van mensen, het terugbrengen van de menselijke maat en het beschermen van fundamentele rechten. Maar wat D66 betreft faalt de overheid structureel als het gaat om het beschermen van rechten van Nederlanders. Ik zal een kleine greep doen ter illustratie. Het CBS bleek sinds 2017 toegang te hebben tot niet-anonieme locatiegegevens van T-Mobileklanten, en grote groepen Nederlanders werden gevolgd. Het COA deelde zeven jaar lang onrechtmatig persoonsgegevens met de politie. Geen enkel politiekorps in Nederland voldoet aan de eisen voor de bescherming van gegevens van mensen. Defensie verzamelde op grote schaal bij wijze van experiment data van Nederlandse burgers. De NCTV verzamelde jarenlang privacygevoelige informatie van Nederlanders op social media. Hopelijk begrijpt de Minister mijn zorgen, want ik zie een overheid die zich niet houdt aan haar eigen grondslagen en wetten. Ik wil daar graag een reactie op.

Voorzitter. Wat het erger maakt: het is niet de Minister voor Rechtsbescherming die dit soort schendingen van fundamentele mensenrechten signaleert. Het zijn diepgravende journalisten, die daarvoor onze complimenten en ons respect verdienen. Zij trekken keer op keer weer aan de bel op het moment dat we eigenlijk de Minister zouden willen zien ingrijpen. Naast de vele incidenten zijn er ook vele door de Kamer gesteunde moties over het verhogen van het budget van de Autoriteit Persoonsgegevens. Maar D66 ziet het helaas niet meer gebeuren dat deze Minister deze duidelijke wens van de Kamer ook echt gaat uitvoeren. Ik zie een overheid die de rechten van mensen niet serieus beschermt en zelfs actief en structureel met voeten treedt.

Voorzitter. Zoals gezegd praten we hier in Den Haag de laatste tijd veel over het versterken van de rechtspositie van mensen, het terugbrengen van de menselijke maat en het beschermen van de fundamentele rechten. En terecht, maar wij krijgen van de Minister voor Rechtsbescherming geen oplossing. Dit is zijn kans om een positieve erfenis achter te laten en te laten zien dat hij het beschermen van persoonsgegevens wel degelijk heel serieus neemt. Daarom mijn vraag: kan de Minister eens reflecteren op wat het volgende kabinet anders zou moeten doen om de trend te doorbreken van het structureel schenden van rechten van mensen en het structureel overtreden van wetten door de overheid zelf? Ik kijk uit naar het antwoord van de Minister.

De voorzitter:

Dank u wel. Dan geef ik het woord aan de heer Azarkan, die zal spreken namens DENK.

De heer Azarkan (DENK):

Dank, voorzitter. Data zijn het nieuwe goud. Het betekent vooruitgang. Het is een grondstof voor economische groei, maar het heeft ook een keerzijde. Data kunnen worden gestolen, kunnen worden misbruikt, kunnen ook mensen ten gronde richten en slapeloze nachten bezorgen. We hebben zelfs gezien dat een hele verkiezing en referenda gemanipuleerd kunnen worden, zoals in het Verenigd Koninkrijk en in de Verenigde Staten. Maar data zijn bovenal kwetsbaar en moeten beschermd worden. Data moeten uit handen blijven van criminelen, van hackers, oplichters, commerciële datadoorverkopers, maar ook van op hol geslagen uitvoeringsorganisaties van de overheid zelf. We hadden in 2018 in het buitenland de geruchtmakende zaak rondom Cambridge Analytica. Zonder die datamanipulatie was misschien wel de wereld bespaard gebleven dat Donald Trump president werd en had het Verenigd Koninkrijk wellicht nog in Europa gezeten.

Voorzitter. We hadden in 2011 in Nederland het schandaal rondom DigiNotar. Minister Donner van BiZa moest toen hard ingrijpen, omdat veiligheidscertificaten waardeloos werden. De databescherming in Nederland is volstrekt onvoldoende. We hadden in januari al het megalek bij de GGD. Veel te veel mensen konden bij allerlei informatie. Het vertrouwen van burgers, iets wat zeker belangrijk is, werd daarmee ernstig geschaad. De gemakzuchtige reactie van Hugo de Jonge was tekenend voor hoe hij verantwoording aflegt. We zagen gisteren hoe de Algemene Rekenkamer hem ook een rode kaart gaf.

We ontvingen vorige week een brief over het datalek bij NL-Alert. De Autoriteit Persoonsgegevens en de ADR hebben geconstateerd dat de beveiliging van de app niet op orde was. We hebben ook verschillende keren gezien dat in ziekenhuizen informatie raadpleegbaar was voor allerlei functionarissen en daarmee bekend werd. Ook weten we dat agenten af en toe neuzen in informatie van burgers, van bekenden, en die doorspelen, soms ook aan criminelen.

Afgelopen dinsdag heeft de fractie van DENK bij de mondelinge vragen informatie en opheldering gevraagd over het bedenkelijke gedrag van gemeenten, die zonder verantwoorde inkadering spionnetje gaan spelen en zelfs met nepaccounts op Marktplaats informatie verzamelen over burgers. Minister Ollongren heeft aangegeven dit op te zullen nemen met de gemeenten. We zien ook dat de NCTV ... Even voor de zekerheid: dat is geen veiligheidsdienst. De NCTV is gewoon een afdeling binnen Justitie en Veiligheid en valt dus onder de AVG. Ook die speelt min of meer voor spionnetje en stelt zich op als een soort alternatieve geheime dienst. Ook het Nederlandse leger blijkt burgers massaal te bespioneren, met name mensen die zich bij demonstraties ophouden dan wel activistisch zijn. Nederland blijkt dus ineens een flink aantal big brothers in huis te hebben. Dan hebben we het nog niet over programma's als SyRI, die misbruik maken van de in de praktijk discriminerende algoritmen. Er moest zelfs een rechter aan te pas komen om de overheid terug te fluiten; de omgekeerde wereld.

Voorzitter. Een belangrijk onderwerp is de Fraude Signalering Voorziening, de zwarte lijst. Ik heb daar anderhalf jaar geleden veel vragen over gesteld. Ook daar blijkt massaal informatie over burgers te zijn verzameld zonder dat die het wisten. 60.000 van die mensen hebben inmiddels een brief gekregen waarin staat dat ze op de zwarte lijst staan. Na druk is die FSV, die zwarte lijst, buiten werking gesteld. Ik heb daar een aantal vragen over aan de Minister. Wat is de rol van de Minister in dezen? We hebben er wel over gesproken met de Autoriteit Persoonsgegevens en met Staatssecretaris Vijlbrief. Heeft hij zelf ook de Autoriteit Persoonsgegevens ingeschakeld? Voldoet die lijst aan de Wet bescherming persoonsgegevens? Was de Minister ervan op de hoogte dat dit al jaren speelde?

Voorzitter. Ik rond een beetje af. Zou de Minister niet moeten waarborgen dat alle publieke en niet-publieke lijsten met data over burgers die nadelig kunnen zijn voor die personen standaard aangemeld worden bij de Autoriteit Persoonsgegevens? Ik constateer dat de functie en de waarborging van de functionarissen gegevensbescherming echt onvoldoende zijn. We hebben soms te maken met één of twee functionarissen op 30.000, 40.000 medewerkers. Tot slot, zou het niet verstandig zijn om een evaluatie te houden onder de functionarissen gegevensbescherming binnen de overheid?

Dank, voorzitter.

De voorzitter:

Dank u wel. Dan is nu het woord aan de heer Ellian namens de VVD.

De heer Ellian (VVD):

Dank, voorzitter. Het beschermen van persoonsgegevens is belangrijk, zeker in de veranderende digitale wereld. Het beschermen van persoonsgegevens moet echter niet tot onnodige lastendruk leiden en moet proportioneel plaatsvinden. Ook is bescherming van persoonsgegevens niet het ultieme doel. De bestrijding van criminaliteit kan bijvoorbeeld op momenten prevaleren.

Voorzitter. In mijn bijdrage benoem ik vier punten. Ik loop die volgordelijk langs, binnen de door u gestelde tijd. Het eerste punt is de Autoriteit Persoonsgegevens. De VVD ziet graag een sterke toezichthouder, die doelmatig en doeltreffend zijn taken vervult en ons beschermt tegen ongewenste verwerking van persoonsgegevens op grote schaal. Daarvoor is het wel noodzakelijk dat de autoriteit zelf nog wat stappen doormaakt, zoals ook is geconcludeerd in het KPMG-rapport. Mijn vraag aan de Minister is de volgende. Denkt de Minister dat de autoriteit zelf in staat is om die groeispurt, die stappen, door te maken? Heeft de autoriteit daar misschien hulp bij nodig van een ander overheidsorgaan, of moet de autoriteit bijvoorbeeld zelf met een plan van aanpak komen?

Voorzitter. Dan mijn tweede punt, de AVG, de werking daarvan en de houding van de autoriteit ten aanzien daarvan. Nog altijd ervaren met name kleine en middelgrote bedrijven de AVG als een last en als buitengewoon complex. Onzekerheid over de toepassing van de AVG en angst voor boetes leiden tot verkramping, blijkt uit het verslag van rapporteur Van Gent. Een veelgehoorde klacht van ondernemers is dat er weinig duidelijkheid is over bijvoorbeeld standaardverwerking. Denk aan personeelsdossiers, klantgegevens en andere verwerkingen die vroeger onder het vrijstellingsbesluit vielen. Het is kostbaar voor ondernemers om deskundigheid in te schakelen om uiteindelijk te voldoen aan de eisen die volgens de autoriteit uit de AVG zouden voortvloeien. Mijn vraag aan de Minister is de volgende. Bent u het met de VVD-fractie eens dat de autoriteit aan de voorkant wat meer duidelijkheid zou kunnen verschaffen, bijvoorbeeld door standaardmodellen te publiceren of door meer voorlichting te geven aan ondernemers als het gaat om die standaardverwerkingen?

Voorzitter. Dan het opleggen van boetebesluiten en handhaving. Ik zeg het maar zoals wij het ervaren: die handhaving lijkt op dit moment wat buitenproportioneel plaats te vinden. Ik verwijs onder andere naar de zaak tegen de Koninklijke Nederlandse Tennisbond, maar ook naar de zaak tegen VoetbalTV, dat inmiddels gewoon ter ziele is. Mijn vraag is de volgende. Is het nou zo dat de autoriteit bij het constateren van een vermeende overtreding meteen – tjak boem – een boete oplegt? Zo van: let op, in deze gevallen meer dan een half miljoen. Zou het niet zo moeten zijn dat de autoriteit even in overleg gaat met partijen en vraagt hoe we er samen voor kunnen zorgen dat de vermeende schending ongedaan wordt gemaakt? De consequenties zijn namelijk groot. Ik weet dat de Minister niet in kan gaan op lopende rechtszaken – dat vraag ik ook niet – maar ik vraag hem wel te reflecteren op de proportionaliteit van dit handelen van de autoriteit. Misschien kan hij ook reflecteren op de vraag of er niet meer gedaan moet worden door de autoriteit in plaats van keiharde boetes op te leggen.

Voorzitter, dan mijn derde punt: het bestrijden van fraude en crosssectorale gegevensdeling. Een veel gehoorde wens van ondernemend Nederland is het elkaar willen beschermen als het gaat om fraude. Alleen is dat op dit moment niet mogelijk omdat de AVG het delen van gegevens simpelweg niet toestaat. Mijn vraag aan de Minister is de volgende. Hoe kijkt u aan tegen crosssectorale gegevensdeling? Denkt u dat er wijzigingen nodig zijn? Zo ja, wanneer zouden we die dan kunnen verwachten? Heb ik het goed begrepen dat de autoriteit op dit moment maar één vergunning heeft afgegeven voor het delen van gegevens tussen private partijen onderling?

Voorzitter, dan mijn laatste punt. Zoals u allen weet heeft mijn voorganger Sven Koopmans een initiatiefnota ingediend waarin veel mooie punten staan. Eén punt gaat ons met name aan het hart, namelijk het punt van het beschermen van slachtoffers. Als beeldmateriaal eenmaal onrechtmatig gepubliceerd wordt is het leed geleden, en dat leed is verschrikkelijk. Mijn vraag aan de Minister is de volgende. Hoe staat het nu met het zoeken naar een laagdrempelige en snelle voorziening?

Dank u wel, voorzitter.

De voorzitter:

Dank u wel. Dan geef ik nu het woord aan mevrouw Kathmann namens de Partij van de Arbeid.

Mevrouw Kathmann (PvdA):

Voorzitter, dank u wel. Ik zit hier ondertussen met twee smartphones en ook nog een iPad. Als ik straks weer naar mijn kantoor loop, komt er ook nog een computer bij. Digitaal zijn is hartstikke leuk, maar corona heeft het ook nog eens ongelooflijk noodzakelijk gemaakt, ook voor het handelen van de overheid. Maar op dit moment zitten we wel op een punt dat we als overheid eigenlijk helemaal niet weten wat we doen en waar we mee bezig zijn. Mevrouw Van Ginneken stelde daar ook al wat vragen over. Ik las net het bericht dat er alleen al in Nederland 250.000 camera's in de openbare ruimte hangen. En dat is nog maar het topje van de ijsberg. Van de meeste camera's weten we helemaal niet waar ze hangen en wat ze doen. Ik weet nog dat ik ooit als gemeenteraadslid in Rotterdam een vraag stelde aan de gemeente Rotterdam omdat ik bij een metrostation een camera zag hangen. Toen kreeg ik als antwoord: er hangt helemaal geen camera op het metrostation. Toen heb ik een foto moeten tonen. Vervolgens was het antwoord: die hangt op het treinstation. Maar nee, het was een foto van het metrostation. Uiteindelijk was het antwoord: o ja, dan hangt daar wel een camera, maar alle applicaties die de camera heeft, staan uit. Maar wie is de eigenaar van die camera? Wie controleert of de camera aan of uit staat? Deze vragen stelde ik vijf jaar geleden. Als ik deze vragen op dit moment weer zou stellen aan de gemeente Rotterdam, zou ik hetzelfde gekke antwoord krijgen. Op dit moment, als we het hebben over digitalisering, weten we eigenlijk niet goed wat we allemaal opslaan en waar we mee bezig zijn. De heer Azarkan stipte het ook al even aan.

Eigenlijk hebben we keer op keer debatten over mensen die gevolgd worden op oneigenlijk gronden. Wet- en regelgeving ontbreekt. Daarom sluit ik me aan bij de vraag van mevrouw Van Ginneken om daar eens op te reflecteren: hoe moeten we nu verder? Heel concreet is mijn vraag daarbij de volgende. We hebben het vandaag natuurlijk over het beschermen van persoonsgegevens en over de Autoriteit Persoonsgegevens. Er wordt aangegeven dat het onderzoeksbureau KPMG dat heeft onderzocht. Dat heeft wél een heel duidelijk financieel kader kunnen schetsen, terwijl de overheid eigenlijk zegt dat zij op dit moment niet weet hoeveel de Autoriteit Persoonsgegevens nodig zou hebben. Maar KPMG zegt wel héél duidelijk: er is in ieder geval een bodembedrag nodig. Dat is 45 miljoen. Is het dan niet zo dat die 19,4 miljoen die het kabinet nu aan de Autoriteit Persoonsgegevens besteedt, daar in ieder geval karig bij afsteekt? Dat zou ik graag concreet willen weten.

Verder maak ik me heel erg zorgen over de slagkracht van bedrijven. Dat klinkt misschien een beetje raar, want mensen denken: hè, Partij van de Arbeid, we gaan toch eerst die mensen beschermen? Jazeker, maar dat heeft hier ook mee te maken. Vaak tikken wij bedrijven wel op de vingers; de overheid is daar dagelijks mee bezig. Dat doen wij, omdat zij software gebruiken die niet volledig aan de privacywetgeving van de EU voldoet. Vaak kunnen ze dat ook niet, omdat ze niet zijn opgewassen tegen partijen zoals Microsoft. Zij kunnen niet samen software ontwikkelen die volledig aan die regelgeving voldoet. Als overheid weten we dat ook, want wij onderhandelen ook met partijen als Microsoft om softwarepakketten in ieder geval wet- en regelgevingproof te krijgen. Dat kost ongelofelijk veel geld. Er zijn pakketten die in samenspraak met de overheid zijn ontwikkeld. Vervolgens mogen die dan voor één dingetje gebruikt worden, niet eens door bijvoorbeeld semioverheidsinstellingen zoals ziekenhuizen en noem het allemaal maar op. Ik zou graag willen weten of het mogelijk is om er in Europa toch veel meer voor te pleiten dat er eigenlijk op voorhand gewoon al geen softwarepakketten meer op de markt mogen komen die niet aan de privacywetgeving voldoen. Bedrijven, maar eigenlijk ook wij als overheid, zijn niet in staat om goed op te treden, die pakketten uit te onderhandelen en vervolgens aan die wet- en regelgeving te voldoen. Tot zover.

De voorzitter:

Hartelijk dank voor uw bijdrage. Dan geef ik nu het woord aan mevrouw Koekkoek namens Volt.

Mevrouw Koekkoek (Volt):

Dank u wel, voorzitter. Het zal u misschien niet verbazen dat de inbreng van Volt met name gaat over hoe wij als Nederland aan willen sluiten bij de digitale strategie van de Europese Commissie, die al een paar jaar gaande is en gepresenteerd wordt. U zult wellicht ook weten dat deze strategie vanuit Europa heel erg gefocust is op wat we hier ook allemaal zien als heel belangrijk: het beschermen van onze grondrechten in de digitale wereld. Voor Volt moet het centraal staan dat we de digitale democratie beschermen. Een centraal onderdeel daarvan is de manier waarop wij persoonsgegevens verwerken. Er komt binnenkort natuurlijk een review aan van de AVG. Dat lijkt ons zeer waardevol. De European Data Protection Board heeft al een aantal verbeterpunten aangeven. Het is natuurlijk wel heel Europees gericht. Mijn vraag hierbij is dus: in hoeverre zijn er al stappen genomen in Nederland om in anticipatie op die review bijvoorbeeld onze Uitvoeringswet AVG te herzien of aan te passen? Er is met name gedacht aan het vergemakkelijken van het gebruik. Dat kan bijvoorbeeld met sectorspecifieke benaderingen waardoor bepaalde groepen, zoals accountants of notarissen, beter weten wat de verplichtingen zijn volgens de AVG. Dat ligt uiteraard meer aan de vertaalslag die wij er hier in Nederland aan geven dan aan het Europese speelveld. Daarom stel ik deze vraag nu al, hoewel ik weet dat de review van de AVG eraan zit te komen.

Ik heb eenzelfde soort vraag over het vergemakkelijken van de uitvoering van de AVG. Die gaat met name over wat wij op dit moment in Nederland doen om het voor burgers makkelijker te maken om controle te houden over hun persoonsgegevens. Dat zit natuurlijk gedeeltelijk bij de toezichthouder, bij de bereikbaarheid van de Autoriteit Persoonsgegevens. Maar zijn er ook andere manieren om het duidelijker te maken? Kunnen we met name voor individuen en eventueel kleinere bedrijven die minder middelen hebben om echt ingewikkelde wetgeving te bekijken, de controle over persoonsgegevens centraler stellen en ervoor zorgen dat zij makkelijker aan die informatie komen? Wat doen wij daar in Nederland op dit moment al aan?

Dan heb ik een vraag over de aansluiting op de Digital Services Act. Die gaat over de overdraagbaarheid van gegevens. Wij zien ook daarbij weer heel veel potentie in de plannen die vanuit de Europese Commissie worden gepresenteerd. Hierbij heb ik een korte reflectievraag: waar liggen op dit moment de verbeterpunten in Nederland? Op welke manieren gaan wij straks best practices uitwisselen met de verschillende lidstaten? Zijn er ook punten waarop wij als Nederland bijvoorbeeld gidsland kunnen zijn, waardoor we aan andere lidstaten kunnen aangeven wat veilige manieren zijn om gegevens op een verantwoorde manier te delen? Tot slot. Al eerder is er een vraag gesteld over de bereikbaarheid en de benaderbaarheid van de Autoriteit Persoonsgegevens als toezichthouder. In het KPMG-rapport wordt er gesproken over een verhoging van de middelen op basis van een driver-based benadering. Wat betekent dat precies? Het gaat natuurlijk niet alleen maar over een verhoging van het budget, maar met name ook over de vraag welke extra taken we zien voor de Autoriteit Persoonsgegevens. Daarin moeten er misschien ook bepaalde processen aangepast worden.

En dan heb ik nog een heel specifieke vraag. Kunnen we de bereikbaarheid van de AP ook vergroten door bijvoorbeeld het telefoonnummer weer terug te brengen, zodat de AP weer telefonisch bereikbaar is? Het gaat met name om de aansluiting met de inwoners, de kleinere bedrijven in plaats van wat ons nu aan de hand lijkt, namelijk dat de AP met name vrij arbitrair te werk moet gaan, omdat ze gewoon niet over de juiste middelen en mensen beschikt. En ook daar stel ik weer de vraag: in hoeverre zijn verschillende Europese toezichthouders op dit moment in gesprek met elkaar? In hoeverre leert men van elkaar? Ik bedoel dan niet alleen horizontaal, maar ik vraag mij bijvoorbeeld ook af in hoeverre onze Nederlandse AP de adviezen opvolgt van de European Data Protection Board.

Dat zijn mijn vragen tot nu toe. Dank u wel.

De voorzitter:

Dank u wel. Het woord is aan mevrouw Kuik van het CDA.

Mevrouw Kuik (CDA):

Dank, voorzitter. Het is al eerder genoemd: bij alle voordelen die we van de digitale revolutie hebben, is er ook een keerzijde. Kijk maar naar fake news, cybercrime, digital profiling, spionage en ongewenste beïnvloeding. Dat vraagt allemaal om een actieve bescherming en regulering, omdat de persoonlijke sfeer steeds meer publiek bezit wordt. Dat infiltreert ook het publieke belang in de privésfeer. Overheden en bedrijven hebben daar wel een belangrijke rol in, waardoor mensenrechten zoals privacy en autonomie onder druk komen te staan.

Wat het CDA betreft vraagt de nieuwe technologie om een nieuwe moraal en om borging van grondrechten van burgers. Als je bijvoorbeeld kijkt naar de techreuzen die ongehinderd hun gang kunnen gaan, dan zie je dat er wel een inhaalslag nodig is om de zeggenschap over het digitale domein terug te claimen en om te voorkomen dat alleen commerciële belangen bepalen hoe onze digitale toekomst eruit gaat zien. Je ziet ook dat de verhouding tussen burger en overheid uit balans raakt. Dienstverlening loopt steeds meer via digitale kanalen. Dat kan sowieso voordelen hebben. Misschien gaat het in 90% van de gevallen wel beter dan daarvoor, maar als het complexer wordt met burgers in een kwetsbare posities, dan liggen de nadelen op de loer en komt maatwerk in het gedrang. Het CDA vraagt zich af hoe je ervoor zorgt dat al het menselijke verdwijnt ... Nee, ik moet het wel goed zeggen en niet «hoe zorg je ervoor». Hoe voorkom je nou dat al het menselijke verdwijnt en de digitale wereld het overneemt? Want het is vanzelfsprekend dat de techniek zich doorontwikkelt, maar het is ook wel goed om af en toe op een pauzeknop te drukken en eerst te kijken naar een normenkader.

Wat het CDA betreft speelt dit ook bij gezichtsherkenning. Daarom ben ik blij met het onderzoek van de Universiteit van Tilburg. Ik kan ook voor een groot deel meegaan in de reactie van de Minister op dit onderzoek. Wat mij betreft ontbreekt in de reactie alleen wel een normenkader. Want hoe verhouden wij ons tot die technologie? De analyse is dat gezichtsherkenningstechnologie in beginsel niet is toegestaan volgens de AVG. Dat is waar, maar het getuigt nog niet helemaal van een toekomstgerichte visie. Want deze technologie ontwikkelt zich natuurlijk rap door, ook in het buitenland. Hoe gaan we daar dan mee om? Hoe denkt de Minister daarover? Verwacht de Minister vanuit Europa richtsnoeren hiervoor?

Voorzitter. Dan het rapport Twee jaar toepassing van de AVG van onze oud-collega Tobias van Gent. Allereerst complimenten voor het uitgebreide rapport! Ik wil daar één punt uitlichten. Al langer vraagt mijn fractie aandacht voor de wijze waarop toezicht op de naleving van de AVG in Europa is geregeld. De grote techbedrijven zitten vaak in Ierland, vanwege het belastingklimaat. Zij vallen dan onder het toezicht aldaar, terwijl die bedrijven ook hier in Nederland heel actief zijn. De twittercasus in het rapport legt de complexiteit eigenlijk heel goed bloot. Kan de Minister aangeven of hij ervoor voelt om in te zetten op een sterkere rol voor de overkoepelende toezichthouder bij het toezicht op grote techbedrijven?

Voorzitter. Tot slot een vraag over de AVG en de overheid. Is inzichtelijk gemaakt of de ministeries voldoen aan de AVG? Worden door functionarissen gegevensbescherming analyses gemaakt van de mate waarin ministeries up-to-date zijn ten aanzien van die AVG? Wordt de Kamer daarover geïnformeerd?

De voorzitter:

Dank u wel. Dan geef ik het woord aan de heer Ceder, die namens de ChristenUnie zal spreken.

De heer Ceder (ChristenUnie):

Dank u wel, voorzitter. Het is goed om hier te zijn en te spreken over de bescherming van persoonsgegevens. Het gebeurt in de commissie Justitie en Veiligheid met de Minister voor Rechtsbescherming. Hoewel ik hem een aardige man vind, hoop ik dat het de volgende keer met een Minister voor digitale zaken is in een Kamercommissie voor digitale zaken. Want nieuwe technologieën komen in hoog tempo op ons af en grijpen steeds meer in op onze fysieke en sociaal-culturele wereld. Ze hebben impact op de verhouding tussen burger en overheid. Ze raken onvermijdelijk onze publieke waarden. Het is belangrijk dat wij als Kamer daar grip en controle op hebben. We moeten duidelijk hebben wat we wél willen, maar vooral ook wat we niet willen.

Omtrent de omgang met persoonsgegevens en de verwerking ervan door de overheid en bedrijven zijn er voor de ChristenUnie een aantal vragen. Dat heeft wat ons betreft allemaal te maken met data-ethiek. Hoe kunnen wij een systeem creëren van waarden en principes voor het uitvoeren van digitale interactie tussen bedrijven, overheid en mensen? Wat de persoonsgegevens betreft zijn er belangrijke vragen: welke gegevens zijn van jezelf, welke gegevens mag een overheid of een bedrijf van je verzamelen? Ook deze week hebben we weer gezien dat het soms knap lastig is om dat onderscheid te maken. Het blijkt dat gemeenten burgers volgen op social media en er is niet altijd een protocol in werking. Dat kan soms tot uitspattingen en negatieve gevolgen leiden. Wie mag gegevens verwerken? Welke besluiten worden over mensen genomen op basis van een algoritme? Dit zijn allemaal vragen die we niet aan de markt moeten overlaten. Ze horen in de politiek thuis en verdienen een goede wettelijke borging. Daarom ben ik blij met deze commissievergadering.

Ik wil mij voornamelijk richten op de rol en op de impact op kinderen in samenhang met persoonsgegevens. Het is belangrijk dat een kind zich in vrijheid kan ontplooien. Dat geldt voor het fysieke domein, maar ook voor het digitale domein. Het bijhouden van gedetailleerde marketingprofielen, het structureel targeten met persoonlijke advertenties en het terechtkomen in een nieuws- en informatiebubbel doen aan die vrijheid af. Kinderen hebben specifieke bescherming nodig. Dat zegt ook de AVG. Maar hoe dat precies in elkaar steekt, is nog onduidelijk en dat moet echt anders. Het bewaken van de vrijheid in het digitale domein kunnen we in elk geval niet overlaten aan bedrijven zoals TikTok, Instagram, Snapchat en YouTube. Zij verdienen er immers aan om zo specifiek mogelijk voor kinderen te adverteren en daarbij gegevens te verzamelen.

Voorzitter. De Consumentenbond heeft een soortgelijk pleidooi gehouden en vraagt om regie te nemen aangaande de bescherming van onze kinderen. Wij willen die oproep voortzetten. Dat bekent concreet vier punten: geen marketingprofielen van kinderen bijhouden, stoppen met gepersonaliseerde advertenties voor kinderen, kinderen zelf laten kiezen welke content zij willen zien en dat niet baseren op automatische analyses en data, en stoppen met het delen en verhandelen van data van kinderen. Kan de Minister op deze vier punten ingaan? Welke mogelijkheden ziet hij om hierin stappen te zetten met wet- en regelgeving? Wat is er mogelijk qua nationale wetgeving en het optreden van de AP of met invulling van de algemene beschermingsnorm uit de AVG via guidelines? Ik benadruk dat dit voor de ChristenUnie een belangrijk punt is dat we de komende periode willen oppakken. Ik nodig andere partijen uit om hierbij met ons op te trekken.

Voorzitter. Tot slot de Autoriteit Persoonsgegevens. Deze autoriteit is voor de ChristenUnie belangrijk. Zij kan als geweten van de samenleving dienen in onze omgang met persoonsgegevens. Er moet wat gebeuren. Gisteren heeft de Autoriteit Persoonsgegevens aangegeven structureel 100 miljoen euro nodig te hebben om haar taken goed te kunnen vervullen. Dat is op grote afstand van wat zij nu krijgt. De Minister heeft dit overgelaten aan een volgend kabinet, maar wat is zijn visie op die uitspraak van de AP? Erkent hij dat er structureel meer geld voor nodig is? Hoe wil hij dit oppakken?

Tot zover, voorzitter. Ik kijk uit naar de antwoorden.

De voorzitter:

Dank u wel. Dan krijgen we nu een beetje een bijzondere figuur. Omdat ik de vaste voorzitter van deze Kamercommissie vervang, zou ik graag zelf een bijdrage willen leveren namens de SP. Daar vraag ik uw toestemming voor. Om dat te kunnen doen, vraag ik de heer Azarkan om tijdelijk het voorzitterschap over te nemen.

Voorzitter: Azarkan

De voorzitter:

Ja, dat doe ik met veel genoegen. Ik geef graag het woord aan de heer Van Nispen voor zijn bijdrage namens de Socialistische Partij.

De heer Van Nispen (SP):

Dank u wel, voorzitter. Data zijn het nieuwe goud en hoe persoonlijker de gegevens, hoe meer ze waard zijn. Private bedrijven, maar zeker ook overheden, hebben de smaak te pakken gekregen van het verzamelen van data. Als echte datajunks willen bedrijven en overheden steeds meer en meer data hebben. Op zich is dat niet altijd een probleem, namelijk als iemand er zelf voor kiest om zijn of haar data vrijwillig te delen, maar misbruik van data ligt wel op de loer. Dus moeten persoonsgegevens goed beschermd worden en moet duidelijk zijn wie wanneer welke data mag gebruiken. Juist op dat punt gaat het de laatste tijd echter vaak mis.

Ik zal wat voorbeelden geven. De gemeente Enschede kreeg een boete, omdat ze de drukte in de binnenstad volgde met behulp van wifitracking. Meerdere Nederlandse gemeenten kijken op grote schaal mee met burgers op sociale media. Daarvoor gebruiken ze onder meer nepaccounts, een methode die gemeenten niet mogen gebruiken. Ook de NCTV gebruikte jarenlang nepaccounts op sociale media om mensen te volgen, zonder dat zij daartoe bevoegd waren. Ook bij de krijgsmacht ging het mis. Het LIMC stuurde rapporten over zijn bevindingen aan andere overheidsdiensten en dat had niet gemogen. De politiek misbruikte gegevens van het COA, bij de GGD'en konden Jan en alleman de gegevens van geteste mensen inzien, we hebben het SyRI-debacle en de toeslagenaffaire gehad, waarin persoonsgegevens werden gebruikt die nooit gebruikt hadden mogen worden om tot besluiten te komen waartegen mensen zich niet konden verzetten, omdat de gebruikte gegevens geheim moesten blijven.

Het erge is: we zouden nog wel even zo kunnen doorgaan. Dit zijn alleen nog maar de schendingen van de overheid zélf. In het bedrijfsleven gaat het net zo goed fout en dan heb ik het nog niet eens gehad over hacking, phishing, malware, spoofing et cetera. Allemaal bedreigingen voor de bescherming van persoonsgegevens.

De Autoriteit Persoonsgegevens moet toezicht houden op dit soort zaken, maar het is een feit dat de huidige AP door politieke keuzes een waakhond zonder tanden is. Ter illustratie: bij de AP is één persoon één dag in de week belast met het actief zoeken naar alle vormen van signalen, van tips tot datelekken, tot klachten et cetera. Datalekken zijn hier slechts een onderdeel van. In 2019 kreeg de AP 27.000 meldingen van datalekken binnen. Daarvan heeft de AP maar 0,3% kunnen onderzoeken. Echt: 0,3%! Dat is dan knap, als je bedenkt dat ze daar minder dan 3 fte voor hadden.

De AP heeft met diverse onderzoeken aangetoond dat ze in 2025 62 miljoen per jaar nodig heeft, terwijl ze nu 25 miljoen krijgt. Dat is eigenlijk niet veel vergeleken met andere toezichthouders in Nederland. Het zou ook niet raar zijn als je het internationaal zou vergelijken. De Kamer heeft ook een motie van de SP aangenomen om dit nu eindelijk te gaan regelen. Maar wat doet de Minister? Die legt de motie doodleuk naast zich neer. Dit is een schoffering niet alleen van het parlement maar van alle Nederlanders die verwachten dat hun persoonsgegevens goed beschermd worden. Ik ben het niet eens met partijen die hier zeggen dat we van deze Minister niets meer hoeven te verwachten op dit punt. We hebben deze Minister nog niet ontslagen, die is gewoon nog aan het werk, dus zou hij wat de SP betreft deze motie gewoon moeten gaan uitvoeren.

Waarom is de groei van de Autoriteit Persoonsgegevens nou zo belangrijk? Dat is zo belangrijk omdat het aantal gegevensverwerkingen alleen maar toeneemt. Kijk alleen maar naar de Wet gegevensverwerking door samenwerkingsverbanden, ook wel «super-SyRI» genoemd, die onlangs door de Kamer is aangenomen. De SP was daartegen. Door deze wet gaan er nog meer persoonsgegevens verwerkt en gedeeld worden. Het zou fijn zijn om te weten dat we een toezichthouder hebben die daarbij goed een oogje in het zeil houdt, maar het is waarschijnlijk alleen maar wachten tot er slachtoffers vallen of dat de rechter ingrijpt bij super-SyRI.

Dan kom ik op het bestuursrecht. Met alleen een goede toezichthouder zijn we er niet. We moeten als wetgever ook naar onszelf kijken. Is bijvoorbeeld in het bestuursrecht de bescherming van persoonsgegevens wel goed gewaarborgd? Zoals de toeslagenaffaire liet zien, kunnen persoonsgegevens die worden verwerkt en bewaard in computersystemen medebepalend zijn voor het uiteindelijke besluit dat een bestuursorgaan neemt. Ze kunnen de basis vormen voor besluiten die ingrijpen in de rechtspositie van de burger, maar tegen de verwerking van die gegevens kan een burger geen bezwaar of beroep instellen. Dat kan hij alleen doen tegen het uiteindelijke besluit op grond van de Algemene wet bestuursrecht. Is dat eigenlijk niet raar, zo vraag ik aan de Minister. Ik vraag de Minister er serieus over na te denken of het niet beter zou zijn als bestuursorganen uit eigen beweging verantwoording moeten afleggen over de rechtmatigheid van gegevensverwerkingen en als burgers in staat worden gesteld om te controleren hoe een bestuursorgaan hun gegevens verwerkt heeft. Ziet hij ook deze lacune in het bestuursrecht? En wat wil hij hieraan doen? Is hij bijvoorbeeld bereid om persoonsgegevensverwerkingen die een bestuursorgaan verricht en die nauw verbonden zijn met een besluit, onder de reikwijdte van dat besluit te laten vallen? Wetenschappers hebben hier ook over gepubliceerd; daarom breng ik dat hier in. Op die manier moeten bestuursorganen daar verantwoording over afleggen en kunnen burgers zich van die gegevensverwerking vergewissen. Ik hoop op een toezegging dat de Minister daar serieus naar gaat kijken. Anders zal ik daar op termijn een motie over indienen.

Dan helemaal tot slot, voorzitter, het Burgernet. Dat is het laatste punt dat ik onder de aandacht wil brengen. Daar is namelijk onduidelijkheid over. Klopt het dat Burgernet constant de locatie van gebruikers monitort? Weten gebruikers dit ook? Is Burgernet een dienst van de politie, of wie beheert die dienst precies? Is Burgernet voorafgaand aan ingebruikname onderworpen aan een risicoanalyse? Zo niet, waarom niet?

Daar wilde ik het graag bij laten. Dank u wel.

De voorzitter:

Dank. De dichtheid aan informatie in combinatie met de passie waarmee wordt gesproken, is altijd bewonderenswaardig. Ik draag het voorzitterschap graag over aan de heer Van Nispen.

Voorzitter: Van Nispen

De voorzitter:

Dank u wel. Ik wil iedereen bedanken voor de inbreng in eerste termijn. U heeft zich allemaal keurig aan de termijn gehouden, behalve ikzelf misschien. Maar ik zie dat dat zojuist door de vingers is gezien. Ook de interrupties waren bijzonder kort en bondig. Ik kijk even naar de Minister. Hoelang wil de Minister schorsen om zich te voorbereiden op de beantwoording? Ik hoor de Minister twintig minuten zeggen. Zullen we dan om 10.55 uur hier weer afspreken om verder te gaan?

De vergadering wordt van 10.38 uur tot 10.59 uur geschorst.

De voorzitter:

Welkom terug allemaal. Wij hervatten het commissiedebat Bescherming persoonsgegevens. We zijn aangekomen bij de eerste termijn van de Minister voor de beantwoording van de vragen die in de eerste termijn zijn gesteld. Ik stel voor dat we maximaal vier vragen per persoon kunnen stellen aan de Minister. Dat mogen twee interrupties in tweeën zijn of vier losse vragen, maar we houden het beknopt. Het woord is aan de Minister.

Minister Dekker:

Dank u wel, voorzitter. Ik wil beginnen met uitspreken dat het mij een genoegen is om met de Kamer in een nieuwe samenstelling om tafel te mogen zitten en met een aantal van u kennis te mogen maken, voor zover dat niet al buiten de formele setting is gebeurd dan hier in dit debat. Het gebeurt informeel ook nog wel een keer op korte termijn, hoop ik. Ik hoop dat corona daar ook wat meer mogelijkheden voor biedt.

Toen ik drie, vier jaar terug begon, ging een van de eerste ontmoetingen met de vorige Kamer over een heel traject rond de wetgeving van de UAVG. Deze belangrijke wetgeving heeft uiteindelijk, denk ik, ook wel een enorme impact gehad op het denken, doen en laten van heel veel organisaties, want gegevensverwerking raakt ons allemaal, zeker in deze steeds verder digitaliserende wereld. Hoewel er in de afgelopen jaren veel ontwikkelingen zijn geweest op het terrein van gegevensbescherming, zou je kunnen zeggen dat de inwerkingtreding van de AVG de belangrijkste gebeurtenis is, gevolgd door die Nederlandse uitvoeringswet. Dat is bijna, op de kop af, alweer drie jaar terug.

De AVG heeft veel losgemaakt en niet alleen omdat het een set aan regels is waar iedereen aan moet voldoen: burgers, bedrijven, maar zeker ook de overheid. Ik vind dat we het goede voorbeeld moeten geven. Maar misschien nog wel meer dan alleen maar de regels, heeft het ook heel veel bewustzijn losgemaakt. Als je goed kijkt naar de AVG, dan zou je kunnen zeggen: daar zaten een paar nieuwe dingen in. Veel zat echter ook al in onze oude wet- en regelgeving, maar omdat het plotseling Europees ging gelden en we met z'n allen de handhaafbaarheid veel meer verbeterden, zette dat heel veel organisaties aan tot het wegwerken van veel achterstallig onderhoud. Ik denk dat dat goed is: het wegwerken van achterstallig onderhoud, maar ook het bewustzijn dat privacy en de bescherming van persoonsgegevens gewoon een heel belangrijk goed is.

Ik zie ook dat het ondanks alle inspanningen nog niet altijd en overal lukt om de AVG op alle punten na te leven en dan steek ik ook maar direct de hand in eigen boezem. Dat geldt ook voor overheidsorganisaties. Ik denk dat er heel veel verbeterd is in de afgelopen jaren. We zagen in de afgelopen tijd natuurlijk ook op verschillende plaatsen kwetsbaarheden in overheidssystemen en werkprocessen en laat ik heel helder zijn: dat kan niet alleen beter, dat moet ook beter. De samenleving mag van de overheid verwachten dat zij de huishouding op orde heeft en de overheid moet zelf het goede voorbeeld geven.

Misschien mag ik direct beginnen met de uitdaging die een aantal van u noemde: wat moet er gebeuren om ervoor te zorgen dat dit verbetert bij de overheid, die het goede voorbeeld moet geven en die een dubbelrol heeft, als wetgever en als degene die zich eerst en vooral aan de wet moet houden? Mevrouw Van Ginneken, maar ook mevrouw Kathmann en de heer Ceder vroegen daar expliciet naar in hun bijdrage. Laat ik helder zijn. Ik vind het belangrijk, niet alleen formeel juridisch gezien maar ook voor de taakuitvoering van overheidsorganisaties, dat de overheid zich houdt aan de wet. Je kunt je voorstellen dat als er geen vertrouwen is in dat de overheid dat op een nette en rechtmatige manier doet, dit ook de werking van onze uitvoeringsorganisaties aantast. Het is een middel dat kan bijdragen aan slimmer of effectiever beleid en aan betere dienstverlening. We moeten niet uit het oog verliezen dat gegevensverwerking in deze tijd ook heel veel kansen biedt en sterker nog, gewoon nodig is. Maar ik vind wel dat het op een nette manier moet gebeuren. Wat dat betreft ben ik misschien minder bezig met de discussie over hoeveelheden. Er wordt vaak gesproken over datahonger. Ik denk dat je daar geen weg meer terug in ziet. Over 10, 20, 30 jaar is dat waarschijnlijk alleen maar meer geworden.

Ik ben wel bezig met het vraagstuk van de rechtmatigheid. Het gaat erom dat je alleen die gegevens gebruikt die noodzakelijk zijn om je taken uit te voeren. Natuurlijk staat het beginsel van dataminimalisatie uit artikel 5 van de AVG daarbij centraal. Dat beginsel schrijft voor dat je zo min mogelijk gegevens gebruikt om je doeleinden te bereiken. Met andere woorden: met zo min mogelijk doen wat je moet doen. In de systematiek van de AVG wordt de verantwoordelijkheid voor naleving neergelegd bij de organisatie die bepaalt wat er met de gegevens gebeurt. Ik vind dat ook een goed systeem. Alleen die organisaties zijn immers in de positie om ervoor te zorgen dat de AVG ook wordt nageleefd.

Dat is ook een belangrijke conclusie uit de evaluatie van de Europese Commissie van de werking van de AVG. Natuurlijk heb je een goede handhaver en toezichthouder nodig. Maar als je weet dat door alle bedrijven en alle overheidsinstanties op zo veel verschillende plekken wordt gewerkt met data, dan is het een illusie om te veronderstellen dat er één waakhond is die achter iedereen aan gaat om te kijken of het goed gebeurt. Dus je moet denken aan slimme wettelijke waarborgen en een goede manier van werken, zodat privacybewustzijn en dataminimalisatie eigenlijk in het DNA van iedere organisatie gaan zitten. Vandaar ook dat er bepaalde plichten zitten in de AVG en de UAVG die dat voorschrijven. Neem bijvoorbeeld de systematiek rond gegevensfunctionarissen. Neem bijvoorbeeld de plicht om bij privacygevoelige systemen een privacy impact assessment te doen. Dat is allemaal ter vergroting van het bewustzijn van waar we mee bezig zijn.

Natuurlijk herken ik het beeld dat de naleving van de AVG nog onvoldoende op orde is. En laat ik er ook helder over zijn dat ik dat gewoon een kwalijke zaak vind. Ik vind dat niet goed. Burgers moeten erop kunnen vertrouwen dat hun gegevens op een rechtmatige manier worden verwerkt, zeker bij de overheid. In recente Kamerbrieven van onder anderen de Minister van SZW en de Minister van Defensie wordt ook ingegaan op maatregelen die op korte en lange termijn worden genomen om mogelijke tekortkomingen bij respectievelijk het UWV en de krijgsmacht op te lossen. En ook uit de discussie met bijvoorbeeld mijn collega op het ministerie, Grapperhaus, over de grondslagen voor gegevensverwerking van de NCTV weet u dat hij dat zeer serieus neemt. Daarover is hij met u in debat. Hij informeert u binnenkort over de grondslagen voor die verwerking.

Dan: wat kunnen we beter doen? Ik denk dat de sleutel voor verbetering van gegevensbescherming vooral ligt in twee dingen. We moeten natuurlijk aan de ene kant kijken wat er nodig is om goed toezicht te houden. Ik ga straks wat meer zeggen over de Autoriteit Persoonsgegevens en wat daar meer en beter kan. Ik denk dat het allerbelangrijkste misschien nog wel is het versterken van de professionaliteit, de expertise en de kennis over de AVG binnen organisaties zelf, ook binnen onze eigen organisaties. Bewustwording is daarbij van groot belang, maar inmiddels weet iedereen wel dat er een AVG is. Je hebt echt wel onder een steen gelegen als dat aan je voorbij is gegaan. Maar wat betekent het precies, waar moet je exact op letten en waar ben je exact voor verantwoordelijk? Je zou kunnen zeggen dat het bij organisaties nog ontbreekt aan een doorvertaling naar de implicaties. Ik denk aan het voorbeeld dat mevrouw Kathmann aanhaalde over de camera's en ook dat systeem van waarden en principes waar de heer Ceder aan refereerde. Je mag heel veel. Je mag ook op sommige plekken met camera's werken, maar dan moet je wel aan bepaalde vereisten voldoen.

Voorzitter. Ik zie natuurlijk ook wat er allemaal op uitvoeringsorganisaties afkomt. Het is ook vaak kiezen in schaarste. Dat heeft soms met geld te maken, maar veeleer met waar we menskracht en capaciteit op inzetten. Waar de beschikbare middelen ontoereikend zouden zijn, moeten we denk ik ook echt goed bij onze uitvoeringsorganisaties kijken naar wat daar dan meer nodig is. Ik denk dat dat goed meegenomen kan worden in de bredere discussies die we voeren over de vraag of onze uitvoeringsorganisaties nou voldoende zijn toegerust om de menselijke maat toe te passen in hun contact met burgers. Maar op een nette en goede manier omgaan met persoonsgegevens is misschien ook wel een vorm van de menselijke maat, zou je kunnen zeggen.

Maar ik zeg er onmiddellijk bij: het is niet alleen een kwestie van budget. Het is ook een kwestie van er gestructureerd aan werken, een kwestie van opleiding. Op dat vlak lopen er nu denk ik twee dingen die belangrijk zijn. Om te beginnen kijk ik met mijn collega van Binnenlandse Zaken wat we met de top van onze ambtelijke organisaties, met de ABD, meer kunnen doen in het standaard opleidingspakket, zodat het bij iedereen goed tussen de oren zit. Het tweede is dat we sinds enige tijd een CIO Rijk hebben onder leiding van de Staatssecretaris van BZK. Die CIO werkt actief aan de versteviging van privacy binnen overheidsorganisaties. Een van de dingen die hij doet is het uitvoeren van een rijksbrede privacy-audit om te kijken wat nu eigenlijk de stand van zaken is van compliance met de AVG.

Zelf vind ik ook de rol en de functie van de functionaris gegevensbescherming als verlengstuk van de toezichthouder heel belangrijk. Heel eerlijk: daarvan zie je goede en ook minder goede voorbeelden. In de ene organisatie is dat zwaarder belegd en meer opgetuigd en is bijvoorbeeld de toegang van een functionaris gegevensbescherming tot de top van een organisatie directer. Er zijn ook organisaties die wel een FG hebben – want dat is nu eenmaal een plicht – maar waarbij het de vraag is: hoe geven we daar invulling aan? Dan is het meer «we hebben er een», maar zou dat meer stevig kunnen worden neergezet.

Ik ben – en zolang ik hier zit, ga ik daarmee door – aan het bekijken wat je nou kunt doen, ook nog nevengeschikt aan de UAVG, om de positie van die functionarissen gegevensbescherming te verstevigen. Dan zou je bijvoorbeeld kunnen denken aan een beroepsregister of iets dergelijks. Ik ga daar graag met de FG's binnen de overheid mee aan de slag.

Voorzitter, dat is een lange introductie. Ja, dit was de introductie, ook omdat u mij vroeg: reflecteer ook eens even op jezelf. Ik heb twee grote blokken, namelijk AVG en AP, en dan een tritsje van een aantal losse dingen die ik wilde langslopen.

De voorzitter:

Dank, dan hebben we meteen een inhoudsopgave. Dan geef ik het woord aan de heer Azarkan voor zijn interruptie.

De heer Azarkan (DENK):

Ja, met name over het laatste. Ik ben blij dat de Minister aangeeft dat hij een evaluatie houdt. Als de Minister het heeft over versterking, dan spreekt hij vaak over registers, over expertise en over informatie. Hij heeft het eigenlijk nooit over capaciteit. Ik weet dat hij dat een lastig onderwerp vindt. Dat heb ik gemerkt in de afgelopen vier jaar. In het geval van de Belastingdienst worden zo veel data verwerkt, dat het voor één functionaris gegevensbescherming gewoon niet te doen is. Wat ik terugkrijg van mensen is dat ze zeggen: ook gedupeerden zoeken soms contact en krijgen dat contact onvoldoende. Dus ik vraag aan de Minister of hij ook eens wil kijken naar hoe we ervoor zorgen dat er ook voldoende capaciteit is om het werk te kunnen uitvoeren. In de Wet bescherming persoonsgegevens – die dateert uit 2000, ik heb hem hier volledig uitgedraaid – staan echt heel goede waarborgen. Dat is vaak het probleem niet. Het probleem zit bij de uitwerking en de toepassing. Daar ontstaan de problemen. Dus ik juich het van harte toe, maar ik vraag ook of er daarbij goed wordt gekeken naar de capaciteit en naar de interactie met burgers die vinden dat hun informatie op een verkeerde manier is verzameld. Hoe kijkt de Minister daartegen aan?

Minister Dekker:

Eens. Capaciteit is daarbij van belang, dus daar moeten we zeker naar kijken binnen grote uitvoeringsorganisaties als we constateren dat het gewoon nog niet goed op orde is. Het is ook niet zo dat de functionaris gegevensbescherming de enige binnen een organisatie moet zijn die zich bezighoudt met privacy en met gegevensbescherming. Dat is eigenlijk een taak van iedereen: bij wijze van spreken van degene die de intake doet aan het loket tot aan de top van de organisatie. Dat is precies wat ik bedoelde met: je kan kijken naar formele vereisten – die zitten eigenlijk wel snor – maar het is ook een kwestie van cultuur, capaciteit en de prioriteit die je eraan geeft in je eigen organisatie. Ik hoop dat straks uit die brede scan blijkt waar het goed gaat. Ik ben misschien iets positiever gestemd dan een aantal van u als ik zie dat er echt veel is verbeterd de afgelopen jaren. Maar we zien natuurlijk ook dat het op een aantal onderdelen niet goed gaat. Dan moeten we precies kijken waar dat dan aan ligt. Dat kan ook een capaciteitsding zijn. Als dat zo is, vind ik dat we het moeten oplossen.

De voorzitter:

Een vervolgvraag van de heer Azarkan.

De heer Azarkan (DENK):

Je zou ook kunnen zeggen: we hebben een functionaris gegevensbescherming, we hebben de AVG, we hebben een AP, dan is het toch wel frappant dat het op een aantal punten grootschalig fout gaat. Er is zo'n FSV, zo'n zwarte lijst, waar 5.000 mensen toegang toe hebben, zo blijkt uit de beantwoording van vragen aan Staatssecretaris Vijlbrief. Er blijkt informatie verzameld te worden die volledig in strijd is met die Wet bescherming persoonsgegevens. Er zijn mensen die zich nu op social media uitlaten en zeggen: «Ik heb een brief gekregen waarin staat dat ik op een zwarte lijst sta, maar ik heb geen idee waarom. Ik word daar onzeker van. Ik word gezien als fraudeur. Waarom heb ik daar last van?» Dus ik vraag aan de Minister in hoeverre hij dat kan meenemen. Wat is er nou gebeurd bij de verantwoordelijkheid van de organisatie, de leiding, maar ook bij de functionaris gegevensbescherming en wellicht bij de AVG-toetsing vanuit de AP? Hoe kan dat dan toch verkeerd zijn gegaan? Waarom is dat dan aan de voorkant niet goed ingekaderd?

Minister Dekker:

Ik vind dat steeds belangrijk, want daar trek je ook belangrijke lessen uit. Ik vind het minstens zo belangrijk wat je gaat doen om het in de toekomst beter te doen. Ik heb het debat met mijn collega Vijlbrief minder goed gevolgd, maar ik zat bijvoorbeeld bij het debat over het datalek bij de GGD. Dat was in de plenaire zaal. Daar zag je natuurlijk ook dat er bij het design en de architectuur van de systematiek onvoldoende rekening was gehouden met hoe je dat afschermt.

Ik heb niet de illusie dat we toegaan naar een wereld waarin je nooit een fout of een onrechtmatigheid tegenkomt. Dat zal altijd zo zijn en altijd zo blijven. Ik noem bijvoorbeeld financiële onrechtmatigheden. De accountant kijkt ernaar, er is een systematiek waar al heel lang mee gewerkt wordt. Je zal altijd blijven zien dat je tegen onrechtmatigheden aanloopt. Dat moeten we denk ik met z'n allen accepteren. De vraag is alleen: wat ga je eraan doen om het de volgende keer te voorkomen? Op die manier moet je ook tegen dit soort dingen aankijken. Wat ga je doen om het de volgende keer te voorkomen? Want dat kan wel. Kijk, als iemand kwaad wil en bewust ergens in systemen kijkt ... Het is voor een deel ook mensenwerk. Maar je kunt wel in de beveiliging van je systematiek ervoor zorgen dat niet iedereen toegang heeft tot alle informatie, dat je werkt met logboeken, zodat je altijd kunt achterhalen wie waarin heeft gekeken. Het zijn eenvoudige principes, die de wet ook voorschrijft, waarvan ik vind dat overheidsorganisaties daaraan moeten voldoen.

De voorzitter:

Mevrouw Van Ginneken.

Mevrouw Van Ginneken (D66):

Ik voel de behoefte om ook even te reageren op de inleiding van de Minister, want ik hoorde hem zeggen dat er ten aanzien van de datahonger van de overheid geen weg terug is. Daar schrik ik wel van, want dataminimalisatie is wel een van de grondbeginselen van de privacybescherming. In uw eigen bijdrage, voorzitter, onderstreepte u dat u de Minister nog niet had opgegeven. Ik vraag mij af of de Minister het zelf niet heeft opgegeven, als hij dat soort dingen zegt.

Ik hoor in het betoog ook heel erg een inzet op bewustwording. Dat roept bij mij de vraag op hoeveel incidenten er nog moeten plaatsvinden voordat mensen wakker worden. Naar mijn idee is inzetten op bewustwording echt onvoldoende. De Minister noemde ook «kiezen in schaarste». Nou snap ik dat de geldboom niet tot de hemel groeit, maar het is ook een keuze om te willen investeren in een goed toezicht op de bescherming van privacy en de fundamentele rechten van onze burgers. Dus ik vraag aan de Minister – en ik hoop dat hij dat in de rest van zijn bijdrage nog wat gaat concretiseren – of we daar perspectief op kunnen gaan krijgen.

Minister Dekker:

Ik hoor graag wat de suggesties van mevrouw Van Ginneken zijn over wat we dan meer of anders zouden moeten doen, want ik vind het een beetje een verdraaiing van wat ik zojuist aangaf. Ik heb gezegd dat de overheid moet voldoen aan de wet en dat we er tijd, aandacht en energie in moeten steken. Dat is voor een deel bewustwording, maar voor een deel ook gewoon harde compliance. Dat betekent dat we moeten investeren in overheidsorganisaties, dus in de uitvoering, waar het uiteindelijk moet gebeuren, en dat we moeten investeren in een goede toezichthouder, wat we de afgelopen jaren gewoon hebben gedaan, volgens mij. Maar ik sta altijd open voor goede suggesties. Daar luister ik graag naar.

Dan mijn punt over datahonger. We kunnen natuurlijk een enorme discussie hebben over de hoeveelheid data, maar ik denk dat het reëel is dat we steeds meer in een datagedreven samenleving leven. Eerlijk gezegd vraagt u dat op andere plekken ook van ons, bijvoorbeeld als het gaat om patiëntgegevens en om de digitale dienstverlening bij de overheid, bij gemeentes en bij het Rijk. Daar willen we dat het allemaal beter wordt en sneller wordt, en dat we sneller toegang hebben tot onze gegevens. Dat wordt allemaal gedigitaliseerd. D66 gaat daarbij voorop, en is volgens mij ook altijd de partij geweest die vindt dat we daarin méér moeten doen. Je kan niet méér doen als je niet ook werkt met digitale gegevens en met data. Mijn enige punt is dat als je het doet, je het ook zorgvuldig moet doen. Dus wat mij betreft moet de discussie niet zozeer gaan over omvang en over aantal, maar over rechtmatigheid. Ik ben het wel met u eens dat dataminimalisatie gewoon een wettelijk principe is, dat ervan uitgaat dat je data best mag gebruiken, maar niet meer dan nodig is. Dat is de subtiliteit die ik in de discussie zoek.

De voorzitter:

Mevrouw Van Ginneken voor een vervolgvraag.

Mevrouw Van Ginneken (D66):

Ik hoor de Minister spreken over investeren in een bewuste en zorgvuldige uitvoering binnen de overheid. Daar ben ik erg blij mee. Ik denk inderdaad dat dat ook echt kan helpen om het probleem te verminderen. Maar als het gaat om het investeren in toezicht hoor ik de Minister zeggen dat ze dat ook hebben gedaan, terwijl diverse onderzoeken natuurlijk aangeven, en de Autoriteit Persoonsgegevens zelf uitspreekt, dat het budget van de AP ze op dit moment in staat stelt om ongeveer een derde van hun taakstelling uit te voeren. Dus om de vraag die de Minister aan mij stelde te beantwoorden: ik denk dat de AP substantieel meer financiële ruimte moet hebben om haar taken uit te kunnen voeren.

De voorzitter:

De Minister kan hierop reageren.

Minister Dekker:

Ik ga het straks wat langer over de AP hebben, dus dan pak ik het op. Er ligt ook een Kameruitspraak die dat zegt. Mijn enige punt is – maar goed, daar ga ik straks op in – dat we natuurlijk gezien hebben dat de AP ook een enorme groei heeft doorgemaakt. Het budget is in de afgelopen vier jaar ongeveer verdrievoudigd.

De voorzitter:

Er zijn meer interrupties. Als ze over dit punt gaan, herhaal ik dat de Minister heeft aangekondigd om straks nog dieper op de Autoriteit Persoonsgegevens in te gaan. Maar als u een vraag wilt stellen over wat de Minister tot nu toe heeft gezegd, dan geef ik u daarvoor natuurlijk de gelegenheid.

Mevrouw Koekkoek (Volt):

Ik wil heel graag even aanhaken op wat er net is gezegd, namelijk dat het onvermijdelijk is dat niet kan worden voorkomen dat er fouten zullen worden gemaakt, of dat kwaadwillenden daadwerkelijk op zoek gaan naar data, waardoor datalekken ontstaan. We komen straks nog te spreken over de vraag hoe je dan achteraf bijstuurt, dus hoe je het toezicht verbetert. Zouden we in het kader van het vooraf bijsturen en het voorkomen van de negatieve gevolgen voor betrokkenen, met name bij overheidsinstanties, maar wellicht ook bij andere organisaties, niet kunnen kijken in hoeverre persoonsgegevens noodzakelijk zijn voor het uitvoeren van een bepaalde taak? Dus is het bijvoorbeeld bij de GGD altijd noodzakelijk om te vragen naar iemands gender of leeftijd? Zouden er daar ook niet veel mogelijkheden liggen, die vrij kosteloos zijn, waarmee we voorkomen dat betrokken burgers uiteindelijk de negatieve gevolgen dragen van datalekken?

Minister Dekker:

Het antwoord is voluit ja, omdat ik het ondersteun als principe, maar ook omdat de wet het voorschrijft. Dus de wet zegt: je mag eigenlijk alleen maar de data verzamelen en verwerken die je nodig hebt voor je doel. Als een organisatie veel meer verzamelt, omdat het nice to have is of waar misschien helemaal niets mee wordt gedaan, dan betekent dat dat ze daarmee de facto niet in lijn zijn met de wet. Daarom vind ik dit een mooi principe. Ik vind daarom ook dat hier bij het ontwerp van dit soort systemen al aan de voorkant door experts naar gekeken moet worden. Je kunt het namelijk niet aan iemand achter de balie vragen, want die krijgt gewoon een formulier voor zijn neus en moet al die standaarddingen invullen. Het is dus een ontwerpkwestie, waarbij we aan de voorkant goed moeten nadenken of we datgene wat we vragen ook echt nodig hebben om ons doel te bereiken. De inzet hierbij is «zo min mogelijk», en vervolgens als je de data hebt gebruikt ook «zo kort mogelijk». Als je het niet meer nodig hebt, zou het ook weer weg moeten gaan. Dat zijn eigenlijk de essenties. Daarom vind ik de AVG mooi. Dit zijn leidende principes in die nieuwe wetgeving.

Mevrouw Koekkoek (Volt):

Mijn vraag was eigenlijk meer gericht op het volgende. Met de ervaringen van de afgelopen jaren bij deze toch wel jonge wetgeving doen wij met name vanuit de overheid ... Ik begrijp dat we op commerciële instanties niet altijd evenveel toezicht kunnen houden en daar inzicht in kunnen hebben, maar vanuit de overheid kunnen we dat wel. Wat is uw reflectie? Passen we op dit moment vanuit uitvoerende overheidsinstanties, zoals de GGD's en de Belastingdienst, dat principe van dataminimalisatie voldoende toe?

Minister Dekker:

Het genuanceerde antwoord is: ja, we doen dat veel meer dan drie, vier jaar terug. Dat bewustzijn is echt gewoon vergroot. Tegelijkertijd zien we nog met regelmaat situaties waarin het niet gebeurt. Neem bijvoorbeeld de discussie over de Belastingdienst en het bsn-nummer. Dat nummer werd verzameld en gebruikt, en daarvan werd gezegd: dat zou niet nodig moeten zijn. Dat is de reden – ik geloof ook op aandringen van de AP – dat de Belastingdienst dat nu aanpast. Ik denk ook dat we in de toekomst dingen zullen tegenkomen waarvan we achteraf zeggen: we hebben toch niet goed opgelet; daar moeten we scherper op zijn. Nou helpt het als we binnen de eigen organisaties daar mensen voor hebben die daar scherp op zijn. We hebben namelijk met zo veel organisaties en bedrijven te maken dat het dweilen met de kraan open is als het daar niet gebeurt. Maar je wil natuurlijk ook een goede toezichthouder hebben, die als het echt nodig is mensen op hun vestje kan spugen, boetes kan uitdelen of mensen kan aanspreken.

De voorzitter:

Mevrouw Kathmann heeft ook een interruptie.

Mevrouw Kathmann (PvdA):

Mijn vraag ligt ook een beetje in het verlengde van de introductie van de Minister. Ik zou toch echt nog een keer de urgentie willen aanstippen, en u de vraag willen stellen die mevrouw Van Ginneken u eerder ook heeft gesteld, namelijk of u daarop wilt reflecteren. We hebben het er hier niet over dat het nog wat scherper moet, of dat we nog een paar waarborgen moeten stellen. We zitten in een land waarin elke dag, stelselmatig, de wet wordt overtreden. Vaak gebeurt dit onbewust en ook helemaal niet met de bedoeling om het te doen, maar het is een feit dat de wet stelselmatig wordt overtreden door de rijksoverheid, door lokale overheden, door ambtenaren en door bedrijven. Dit gebeurt misschien vaak ook omdat ze het niet weten. Dat is de praktijk van elke dag. Het regent op dit moment incidenten. Dat is misschien ook een beetje kort gezegd, want soms worden er gewoon mensenlevens vernield en worden er analyses van mensen gemaakt in databases die wij niet eens kennen.

De Minister heeft het veel over waarborgen, over het feit dat we de wetgeving misschien nog wat moeten aanscherpen of dat we hier en daar wat meer gaan reguleren wat er met data gebeurt. Maar als we op dit moment niet eens weten wie welke bestanden aanlegt, zijn we veel verder van huis. Ik mis heel erg de reflectie waarom is gevraagd. We zitten in deze werkelijkheid, die gigantisch urgent is. Het is niet iets wat we in de toekomst beter moeten gaan doen. Het is iets wat we nú moeten aanpakken. Hoe kijkt de Minister daarnaar en hoe komen we zo snel mogelijk tot een plan van aanpak? We hebben het eigenlijk – dat gaf de Minister net zelf ook al aan – over állerlei taken: zorgtaken, taken van de Belastingdienst, noem maar op. Hoe gaan we dat nou aanpakken? Dat kunnen we niet met een beetje meer hier en een beetje meer daar. Het gaat wel degelijk over investeren.

Minister Dekker:

Zeker gaat het over investeren en ook over meer dan dat. Ik noemde zojuist al de hele trits op. Ik ben het alleen niet eens met het beeld van mevrouw Kathmann dat we niet eens weten welke bestanden we aanleggen. Daar hebben we juist, ook in de AVG, hele goede afspraken over gemaakt, waaraan je moet voldoen. Dat betekent dat je bij het aanleggen van bestanden aan bepaalde vereisten moet voldoen. Soms moet je daar ook toestemming voor vragen, en er moet altijd naar worden gekeken door een functionaris gegevensbescherming et cetera et cetera. Toen we met de AVG begonnen, heb ik als Minister voor Rechtsbescherming echt een paar keer een soort ronde gemaakt om te kijken hoe we ervoor staan, of we wel compliant zijn. Vanuit organisaties is er hard gewerkt om uiteindelijk te komen tot een situatie waarin zij voldoen aan de AVG. Gaat het dan geheel vlekkeloos? Nee, absoluut niet. We komen nog dagelijks dingen tegen. U leest een aantal dingen in de krant, maar rekent u er maar op dat als de functionarissen gegevensbescherming goed hun werk doen, dit dingen zijn waar ze dagelijks tegen aanlopen. Vervolgens zeggen ze in hun eigen organisatie: hier zijn we nog niet goed genoeg bezig. Dat is precies de manier waarop we moeten werken.

De voorzitter:

U kunt uw betoog vervolgen.

Minister Dekker:

Voorzitter. Ik wil beginnen met het wetgevend kader van de AVG, want daar zijn veel vragen over gesteld. Vervolgens maak ik een overstapje naar de Autoriteit Persoonsgegevens als toezichthouder op die wet.

Voorzitter. Ik zei het al: de AVG is een mijlpaal als het gaat om de bescherming van persoonsgegevens. Tegelijkertijd was het ook geen oerknal, het was niet zo dat het toen allemaal begon. Er waren privacyrichtlijnen en de Wet bescherming persoonsgegevens. Het normkader van de AVG komt daar op heel veel onderdelen nagenoeg mee overeen. Toch zijn er met de AVG belangrijke stappen verder gezet en is er gezorgd voor een versterking en uitbreiding van het privacyrecht. De verwerkers van persoonsgegevens hebben meer verantwoordelijkheden gekregen en er zijn nu ook duidelijke en stevige bevoegdheden voor alle Europese privacytoezichthouders, waar in het verleden met name het handhavingsstuk ontbrak.

Op 24 juni 2020 heeft de Europese Commissie een eerste evaluatieverslag van de AVG gepubliceerd. Ik zie dat Brussel zelf erg tevreden is en ook gezegd heeft in de nabije toekomst daarom geen wijzigingen te voorzien. Nu ben ik ook tevreden, maar ik had wel graag gezien dat de Commissie misschien nog iets meer ambitie had getoond. Nederland heeft zich er sterk voor gemaakt om een aantal punten in te brengen en de AVG in Europees verband op een aantal onderdelen aan te passen. Maar ik moet ook constateren dat de Commissie zover nog niet is. Er is natuurlijk het rapport van onze oud-collega Van Gent, die onder meer concludeert dat de AVG een goede stap is om fundamentele rechten te beschermen en dat de rechtsonzekerheid met het verstrijken van de tijd naar verwachting ook af zal nemen, maar dat verdere harmonisatie van de Europese kaders wenselijk is, onder meer door richtsnoeren van de European Data Protection Board. Ik vind dat die ook een belangrijke rol vervult; dat was ook een van de vragen. We zien dat met uitspraken, jurisprudentie maar ook met afspraken tussen AP's in verschillende landen de manier waarop de AVG moet worden uitgelegd steeds verder geconcretiseerd wordt. Dat is goed en daarmee zal ook de rechtszekerheid voor burgers en bedrijven toenemen.

Voorzitter. Dan is er de UAVG, de uitvoeringswet, die de ruimte invult die de AVG biedt. Het is denk ik wel belangrijk om aan te geven dat het niet de Nederlandse vertaling van de AVG is, want de AVG is een verordening die een directe doorwerking heeft in onze wet- en regelgeving. Maar het biedt een aantal mogelijkheden voor individuele lidstaten om keuzes te maken. Die hebben we met de UAVG ingevoerd.

Zou je de AVG nou niet op een heel andere manier kunnen organiseren? Nee, dat gaat niet en stel dat het wel zou mogen en kunnen, dan zou dat weer inboeten aan de harmonisatie die we er juist mee proberen te bereiken. Vroeger hadden alle lidstaten hun eigen privacywetgeving, maar veel bedrijven gingen gewoon over de grenzen heen, waardoor het voor burgers heel moeilijk was om hun recht te halen. Nu hebben we dat geharmoniseerd. Het feit dat we met zijn allen in hetzelfde juridische kader werken, heeft als nadeel dat je, als je het wilt veranderen, via de Brusselse route gaat, wat veel meer overleg vraagt. Maar het heeft als grote voordeel dat het in al die landen gelijk is. Als ik een ticket koop in Spanje bij een Spaanse airline en vervolgens allerlei rare e-mails krijg, dan kan ik bij mijn Nederlandse autoriteit terecht om daarop actie te vragen.

De heer Ellian (VVD):

Toch even op het punt van de rechtszekerheid. Ik hoor de Minister zeggen: op zich heb je niet zo veel ruimte om de richtlijn anders uit te leggen. Ik denk dat dat klopt, maar het is wel opmerkelijk dat vanuit bijvoorbeeld VNO-NCW – maar ik heb zelf ook veel kleinere ondernemers gesproken, bijvoorbeeld in Almere in mijn vorige functie – heel veel onduidelijkheid wordt ervaren door de betrokkenen. Dat staat toch een beetje op gespannen voet met wat de Minister nu zegt. De Minister zegt dat de rechtszekerheid nu zal toenemen, ook als er meer jurisprudentie komt. Maar zo ervaren mensen het nu niet. Met name ondernemers zijn, zoals ik zei, bij standaardverwerkingen heel erg zoekend. Neem het personeelsdossier. Wie moet ik daarover nou informeren? Mag deze medewerker het nu wel overdragen aan iemand anders of niet? Al dat soort zaken. Daarvan kan je zeggen: het is aan de ondernemers in Nederland zelf om het uit te zoeken. Maar rechtszekerheid betekent ook dat mensen van tevoren een bepaald beeld kunnen hebben van wat er van hen verwacht wordt. Ik merk dat de realiteit daar wat verder af staat van wat u nu schetst. Ik zou daar dus graag een reflectie op wil hebben, vooral omdat ondernemers de AVG nu als onnodig ingewikkeld ervaren.

Minister Dekker:

Dat begrijp ik ook wel. Het is best ingewikkelde wetgeving. Als je een klein of middelgroot bedrijf hebt, komt er best veel op je af. Je moet aan die wet voldoen, maar niet iedereen heeft een juridische afdeling om dat helemaal uit te leggen. Ik zie wel dat er veel ondersteuning is, ook vanuit de markt. Je kunt dus ook mensen inhuren die je helpen. Maar ik vind ook dat de AP een belangrijke rol heeft in het goed voorlichten. De AP is niet alleen maar een instantie die handhaaft en die toezicht houdt, maar zou ook hierbij een belangrijke rol kunnen vervullen. Dat doet zij ook. De AP heeft bijvoorbeeld een heel portaal waar bedrijven terechtkunnen voor de meest basale vragen over waar ze aan moeten voldoen.

De heer Ellian (VVD):

Ik ga een opmerkelijke interruptie toepassen, want ik vermoed dat de Minister zo meteen verdergaat met de AP. Dan wil ik hem alvast op een spoor zetten dat ik belangrijk vind. De Minister zegt terecht dat voorlichting belangrijk is. Daarbij is de AP ... Het eerste woord is ook «autoriteit». De AP zou door mensen gezien moeten worden als de autoriteit als het gaat om de bescherming van persoonsgegevens. Dan wat die voorlichtende functie betreft. Ik hoop dat u zo meteen in uw antwoord nader ingaat op wat de autoriteit meer kan doen. U zegt dat er een portaal is. Ja, maar een veelgehoorde klacht is toch dat antwoorden lang op zich laten wachten. Als je pech hebt, antwoordt de autoriteit niet. Als je pech hebt, doe je het fout en dient iemand een klacht in. Dan zit je opeens in een handhavend traject. Dat draagt allemaal niet bij aan de rechtszekerheid die u beoogt op dit moment. Ik hoop dat u zo meteen in uw reflectie op de autoriteit juist op dit punt wilt ingaan. Want je hebt de realiteit van handhaven, maar je hebt ook de realiteit van duidelijkheid creëren.

Minister Dekker:

Eens. Ik ben het hier volledig mee eens. Ik vind dat daar een rol ligt voor de AP, maar ik leg het ook een beetje terug. Er ligt natuurlijk ook een belangrijke rol voor koepelorganisaties. We hebben heel veel nieuwe wetgeving. Op dit moment gaat er bijvoorbeeld nieuwe wetgeving in rond de eisen die gesteld worden aan verenigingen en stichtingen over bestuur en toezicht. Ik zie heel veel koepelorganisaties die hun leden informeren over wat dit betekent en wat er op hen afkomt. Ik denk bijvoorbeeld aan VNO-NCW, MKB-Nederland en specifieke koepelorganisaties, samen met de AP. Als er specifieke vragen liggen, bijvoorbeeld wat je kunt doen om goed voor te lichten ... Ik vind dat dit meer moet zijn dan alleen een telefoonnummer. Daar moet natuurlijk de telefoon worden opgepakt en je moet er met je vragen terechtkunnen. Maar er moet ook actieve voorlichting zijn. Als er wat verandert – en er is veel veranderd – moet je weten waaraan je moet voldoen.

Mevrouw Kuik (CDA):

Misschien nog even als vervolg hierop. We voelen volgens mij allemaal dat er onzekerheid is over hoe je alles precies moet interpreteren. Zou de EDPB, de European Data Protection Board, niet meer richtsnoeren moeten uitvaardigen om hier meer helderheid over te creëren?

Minister Dekker:

Ja, voor een deel gebeurt dat, maar ik vind het volgende ook belangrijk. Dit is een van de argumenten die ik ook vanuit het bedrijfsleven vaak terughoor. Dan wordt er gezegd: wij mogen in Nederland iets niet van onze AP, terwijl onze collega's in België en Duitsland het wel mogen en kunnen. Dat vind ik gek. We hebben dat bijvoorbeeld weleens gehad met corona: mag je bij binnenkomst van een bedrijf de temperatuur meten? Onze AP had daar een heel stevig standpunt op ingenomen, terwijl op de websites van de AP's in Duitsland en België heel andere teksten stonden. Dat is natuurlijk toch gek: zelfde wetgeving, andere uitleg. Er ligt echt een belangrijke opdracht voor de autoriteiten om daar onderling in dat Europese samenwerkingsverband, waar al die AP's een afvaardiging in hebben, goede afspraken over te maken. Het idee was harmonisatie, en niet grotere verschillen.

Mevrouw Kuik (CDA):

Mooi, volgens mij zijn we het daarover eens. De vraag is dan: wanneer zien we dat terug? En moeten we een signaal geven richting de partij om ervoor te zorgen dat we daar de volgende keer stappen op zien?

Minister Dekker:

Ik denk niet dat het nodig is om expliciet te vragen of daar ... Ik wil het best volgen. Ik wil het bijvoorbeeld ook wel meenemen in mijn evaluaties. Ik zie namelijk dat het steeds meer gebeurt. Een aantal van u vroegen: heeft u de AP dan niet de opdracht gegeven om dit en dat te doen? Een van de meest essentiële punten van de AVG is de volstrekt onafhankelijke positie van de toezichthouder. Daar heeft het ook mee te maken. Ik kan de toezichthouder dus geen opdracht geven. Ook dat is een onderdeel van onze rechtsstaat. Maar ik zie wel dat het gebeurt. Ik heb natuurlijk ook overleggen en ik weet zeker dat de AP ook meekijkt met dit commissiedebat. Maar ik hoor ook in mijn gesprekken dat er echt behoefte is aan verdere Europese afspraken over hoe die wet uitgelegd moet worden.

Mevrouw Koekkoek (Volt):

Ik wil hier even op doorgaan. We weten natuurlijk ook dat ons Nederlandse AP juist weleens afwijkt van richtsnoeren van de European Data Protection Board. Dat was in de zaak van VoetbalTV, die eerder werd genoemd, heel duidelijk. We wisten van tevoren: bij de European Data Protection Board liggen al bepaalde richtsnoeren. Maar daar heeft de AP bewust van afgeweken. Dan ligt het niet zozeer bij het overleg tussen de verschillende AP's in de verschillende lidstaten, maar ook heel erg bij onze inzet vanuit Nederland richting verdere harmonisatie. Ik begrijp dat er geen opdracht gegeven kan worden aan een onafhankelijke toezichthouder, maar we kunnen die harmonisatie wel veel bewuster nastreven. Want ik ben het met u eens dat hét grote voordeel van de AVG is dat je juist minder verschillen ziet tussen de lidstaten, juist ook in de manier waarop de AVG wordt toegepast.

Minister Dekker:

Eens. Als er een Europese afspraak wordt gemaakt tussen de AP's, dan is het principe dat je je daar wel aan moet houden. Anders wordt het een beetje een rommelig geheel. Mevrouw Koekkoek begint zelf over deze zaak; de heer Ellian vroeg daar ook naar. Ik ga niet al te veel op de zaak in, omdat die nog onder de rechter is. Ik hoop dat u dat begrijpt. Ik kan ook niet het pleidooi gaan houden dat de AP in deze zaak houdt. Ik constateer alleen dat zij in de eerste aanleg in het ongelijk is gesteld door de rechter. Maar er ligt nog geen definitief oordeel. Laten we die zaak gewoon afwachten. Laat ik het zo zeggen: wat het onafhankelijke oordeel van de rechter in hoger beroep ook moge worden, het schept in ieder geval duidelijkheid over hoe de wet moet worden uitgelegd.

Voorzitter. De heer Azarkan vroeg: moeten die publieke lijsten niet standaard worden aangemeld? Het is zo ingericht dat het gaat om accountability; dat is ook de term die wordt gebruikt. De verantwoordelijkheid om de boel op orde te hebben, ligt bij de organisatie zelf. Daar zijn de toezichthoudende mechanismes op ingericht. Je zou misschien zelfs kunnen zeggen dat de functionaris gegevensbescherming een soort vooruitgeschoven post is van de AP: als er iets niet op orde is en de functionaris gegevensbescherming merkt dat op, of er wordt een klacht ingediend bij de AP, dan moet je je boeken ook opengooien. De AP moet in dat geval altijd toegang hebben tot wat er is. Dat is een effectieve manier, misschien wel een effectievere manier dan dat er bij de AP een hele grote database gaat ontstaan van alle bestanden en gegevensbewerkingsvormen die daar zijn. Het is een systematiek die ik goed vind en waar ook in de recente evaluatie van de commissie zelf van wordt gezegd: daar willen we eigenlijk wel aan vasthouden.

Voorzitter. Dan was er een vraag over gemeentes en of die eraan moeten voldoen. Voor gemeentes geldt hetzelfde als voor de rijksoverheid. Ook die vervullen in mijn ogen een voorbeeldfunctie. Afgelopen week was er veel discussie over het volgen van burgers. Recent heeft de AP ook een boete opgelegd aan de gemeente Enschede over weer een andere zaak. Ik wil eigenlijk herhalen wat mijn collega van Binnenlandse Zaken in het vragenuurtje heeft gezegd: gemeentes moeten gewoon zo snel mogelijk voldoen aan de AVG. Daar waar het onder de maat is, moet het snel op peil worden gebracht. De Minister van BZK heeft ook aangegeven daarover actief in gesprek te gaan met zowel gemeentes als de VNG, maar ook met mijn collega van Justitie. Je ziet soms namelijk dat je bepaalde verwerkingen of dingen eigenlijk wel wilt hebben, maar dat een goede wettelijke grondslag daarvoor ontbreekt. Tot die tijd moet je het dan niet doen, maar dat betekent niet dat je het in de toekomst niet zou moeten doen als je de wettelijke grondslag goed op orde hebt gebracht.

De heer Ellian vroeg naar crosssectorale gegevensdeling. Dat gaat om het delen tussen verschillende branches, verschillende private sectoren en, naar ik begrijp, ook om publiek-private samenwerking, bijvoorbeeld het delen van informatie over fraude. Het opstellen van zwarte lijsten van notoire fraudeurs om andere ondernemers te kunnen waarschuwen is daar een voorbeeld van. Binnen het privacyrecht moet juist het delen van gegevens met meerdere partijen altijd zorgvuldig worden bezien. Als er sprake is van crosssectoraal delen, dus over verschillende branches heen, dan dient dit misschien wel extra zorgvuldig te gebeuren, omdat de gevolgen voor burgers natuurlijk groot kunnen zijn. Het is een goede dienstverlening, maar het moet wel goed in elkaar zitten. Er is ook veel discussie geweest – ik geloof dat een aantal anderen die inbreng leverden – over wat er gebeurt als je op een zwarte lijst staat, terwijl je er niet op hoeft te staan. Ik begrijp dus wel dat je wat wil doen aan fraude, maar tegelijkertijd moet dat op een zorgvuldige manier gebeuren. De consequenties voor burgers kunnen namelijk enorm zijn. Nu bestaat er in de UAVG een mogelijkheid om een vergunning aan te vragen bij de AP. De AP heeft wel diverse vergunningen afgegeven voor het delen van strafrechtelijke gegevens binnen een branche. Er loopt nu een aanvraag voor een crosssectorale vergunning. Ik heb begrepen dat daarover ook regelmatig contact is met de AP. Ik wil die vergunningverlening graag afwachten.

De heer Ellian (VVD):

Dank voor dit antwoord. Waar ik even naar zoek, is de appreciatie van de Minister als het gaat om die crosssectorale gegevensdeling. Die mis ik een beetje. Dat is voor mijn beoordeling in ieder geval wel relevant. U geeft de nodige voorbehouden, maar bent u het met me eens dat crosssectorale gegevensdeling, als dat zorgvuldig en met de nodige waarborgen iets meer zou worden toegestaan, in ieder geval de bestrijding en de voorkoming van fraude enorm ten goede kan komen? Met uw welvinden, voorzitter, een minivoorbeeld: iemand die een auto huurt, betaalt contant en brengt de auto niet terug. Dan is de autoverhuurder de dupe. Diegene gaat vervolgens naar Vodafone, koopt een telefoon en betaalt ook niet. Telefoon weg. Ik doe het nu even heel snel, maar u begrijpt allemaal de casus die ik probeer te schetsen. Het zou toch mooi zijn als je zo'n voorbeeld kan voorkomen? Ik merk daarbij natuurlijk op – anders wijst de heer Azarkan daarop, hoewel hij mij niet kan interrumperen – dat je moet uitkijken met zwarte lijsten. Laat ik dat benadrukken. We hebben gezien dat dat ook heel erg fout kan gaan. Maar het delen van gegevens over bepaalde personen waarvan je weet dat het geen zuivere koffie is, zou de ondernemersbranche enorm kunnen helpen. Wat vindt u daarvan?

Minister Dekker:

Ik ben het met u eens dat dat enorm zou kunnen helpen, maar ik ben niet bereid om te zeggen: dan nemen we maar even een loopje met de wet of dan gaan we de wet maar even wat soepeler toepassen. Dus ja, het kan helpen, maar het moet wel aan bepaalde vereisten voldoen. Want overal worden fouten gemaakt. Wij maken fouten en de rijksoverheid doet dat ook met grote regelmaat. Dan weet u mij altijd te vinden. Dat kan daar natuurlijk ook gebeuren. Als je werkt met dit soort systemen, dan vind ik dat dat helder moet zijn, binnen kaders. Wie heeft daar toegang toe, waar kun je je op beroepen als er een fout wordt gemaakt, hoe ga je er weer vanaf en hoe hard is de informatie die daarop komt? Dat zijn dingen waarvan ik echt wil dat die goed gecheckt worden voordat je daarmee gaat beginnen. Dat is onderdeel van zo'n vergunningsproces.

Voorzitter. Tot slot nog twee specifieke vragen over de AVG. De ene vraag, van mevrouw Kathmann, gaat over softwarepakketten en systemen die niet voldoen aan de AVG en of je daar niet generiek, Europees, wat aan zou kunnen doen. Dat is een heel complex verhaal. Daar zijn ook Kamervragen over gesteld. Ik zeg alvast toe dat ik verwacht dat de antwoorden op zeer korte termijn uitgebreider naar uw Kamer toe komen, zodat ik meer tekst en uitleg kan geven over wat er wel en niet kan en waar we tegen aanlopen. Als ik een kleine voorzet kan geven, dan constateren we dat het niet altijd mogelijk is om aan de hand van de Europese markt te bepalen of software aan de AVG voldoet. Sommige software kan wel aan de AVG voldoen, maar daar zit het risico in dat de afnemer het vervolgens niet AVG-compliant toepast. Dat is een ingewikkeld verhaal, maar het komt erop neer dat de leverancier eerlijk en open moet zijn over hoe gegevens moeten worden verwerkt. Als hij bijvoorbeeld toestemming vraagt om gegevens verder te verwerken om een product te verbeteren, dan is dat op zich niet verboden. Het kan wel zo zijn dat de afnemer dit niet mag toestaan, omdat de AVG verbiedt dat hij zijn klantgegevens verder laat verwerken. Dat is eigenlijk de interactie die je daar ziet. Dan is het dus niet zo dat de software op zichzelf niet AVG-proof is. Je kunt dus niet altijd bepalen of iets wel of niet AVG-proof is, omdat het veel meer zit in de manier waarop het wordt toegepast. Ik ga daar uitvoeriger op in – u heeft vast een hoop vervolgvragen – in de beantwoording van de schriftelijke vragen die zijn gesteld. Mocht er nog een vervolg nodig zijn, dan kom ik daar graag op terug.

Mevrouw Kathmann (PvdA):

Ik hoop in de basis dat u in de uitvoerige beantwoording het volgende meeneemt. Twee zaken zijn belangrijk. Een. We geven bakken met publiek geld uit om samen met een grote softwareontwikkelaar à la Microsoft AVG-proof pakketten te ontwikkelen. Dat doen wij als overheid. Vervolgens hebben we zo'n pakket ontwikkeld, hebben we ongelofelijk veel belastinggeld uitgegeven en dan mogen we van die grote softwaregigant zo'n pakketje niet geven aan een ziekenhuis of een andere semioverheidsinstelling omdat wij niet het eigenaarschap hebben, terwijl wij er wel heel veel belastinggeld tegenaan hebben gegooid. Ik zou heel graag zien dat in de beantwoording wordt meegenomen hoe we dit kunnen stoppen. Dat zullen we waarschijnlijk op Europees niveau moeten doen. Wij als Nederland of als Nederlandse overheid moeten de baas zijn van dat softwarepakket en niet langer die grote ontwikkelaar, want dat is van de gekke.

Het tweede is dat bedrijven hetzelfde probleem hebben als de overheid. Zij hebben niet genoeg slagkracht en ook niet genoeg geld om continu AVG-proof te blijven ontwikkelen. Er is nu ook een markt ontstaan – men weet dit gewoon – voor bedrijven om dit voor elkaar te krijgen. De vraag gaat in de basis over: zorg er nou voor dat er überhaupt geen softwarepakketten meer op de markt mogen komen die niet AVG-proof zijn.

Minister Dekker:

Dat laatste ligt ingewikkelder, want het gaat er niet om dat een softwarepakket AVG-proof is of niet. Het gaat er ook om hoe je dat vervolgens toepast. Ik zal er nader op ingaan in mijn beantwoording, net als op de ontwikkeling in Nederland en wat dat betekent voor bijvoorbeeld het eigendom van pakketten. Daar zijn heel veel varianten in. Vaak ontwikkelen wij iets mede op het platform van een ander en dat betekent niet onmiddellijk dat dan ook het platform van jou is. Maar ik zal het meenemen in de beantwoording van de schriftelijke vragen.

Voorzitter. Voordat ik het overstapje maak naar de AP, beantwoord ik nog de vraag van de heer Van Nispen over de relatie tussen de AVG en het bestuursrecht. Binnen de AVG, de UAVG en de Awb is er een systeem van rechtsbescherming opgenomen. Er kan een klacht worden ingediend bij de AP. De mogelijkheid in de AVG voor de uitoefening van rechten van betrokkenen kan ook worden uitgeoefend. Ook is er nog de civiele rechter als restrechter. U vraagt naar het zelfstandig verantwoording afleggen door het bestuursorgaan. Dat gebeurt met enige regelmaat. Er is de meldplicht bij datalekken. Bijvoorbeeld de Belastingdienst heeft onlangs betrokkenen op de hoogte gesteld van het feit dat ze op een lijst voorkwamen. Ik begrijp dat u zegt dat er recent een aantal wetenschappelijke artikelen zijn verschenen waarin ervoor wordt gepleit om die twee meer met elkaar te integreren. Ik ben bereid om daar serieus naar te kijken en daar schriftelijk op terug te komen.

Voorzitter. Dan wilde ik het stapje maken naar de AP. Er ligt een vraag van mevrouw Kuik die daar een mooi bruggetje voor biedt. Een van de vragen was ...

De voorzitter:

Excuus, Minister, dat ik u even onderbreek. Er is nog een interruptie van mevrouw Koekkoek. Ik moet wel opmerken dat het uw laatste vraag is. Bedenk goed wat u met uw laatste vraag doet.

Mevrouw Koekkoek (Volt):

Dank voor de waarschuwing. Ik wil het inderdaad nu vragen, omdat we nu naar de AP toe gaan. Ik had nog een vraag gesteld over de UAVG. Dat hoort dus eigenlijk bij het vorige onderwerp nog. Zijn er voldoende handvatten om rechtszekerheid te bieden in sectorspecifieke gevallen? Ik noemde daarbij het voorbeeld van notarissen of accountants, maar ook bijvoorbeeld curatoren. Het is nu niet voldoende duidelijk wat de rechten en plichten zijn, dus met name de plichten van de sector en de rechten van de mensen die met deze beroepen te maken krijgen. Ik begreep eerder van u dat er voorstellen zijn gedaan door Nederland voor aanpassingen aan de AVG en dat dit wat vertraagd is in Brussel. Maar de UAVG ligt natuurlijk in Nederland. Daar zouden we flexibeler mee om kunnen gaan. Zijn er voldoende handvatten om een sectorspecifieke aanpak te creëren? Wat ligt er nu aan voorstellen? Die vraag heb ik eerder gesteld in mijn eerste termijn.

Minister Dekker:

Ik doe even de hulplijn. Dan kom ik er in de tweede termijn uitvoeriger op terug. Maar de UAVG is niet een vehikel waarmee we de AVG even kunnen verbouwen. De AVG is de AVG. Die is generiek, voor alle sectoren. De UAVG biedt een zeer beperkte mogelijkheid om een aantal specifiekere keuzes te maken, bijvoorbeeld over leeftijdsvereisten. Dat zijn relatief kleine zaken. Ik vermoed dat de mogelijkheid om sectorspecifiek wat te doen beperkt is, maar ik ga dat na en dan kom ik daar in tweede termijn op terug.

Dan kom ik bij de brugvraag van mevrouw Kuik. Zij zei dat we te maken hebben met verschillende AP's in verschillende lidstaten en vroeg of het niet beter zou zijn om één centrale autoriteit te krijgen. Zij haalde aan dat in Ierland bijvoorbeeld veel techbedrijven zitten vanwege het belastingklimaat. Dan dreigt Ierland door de hoeven te zakken, want dat krijgt dan heel veel van die zaken, terwijl je dat onder een soort Europese waakhond zou kunnen brengen. Er is bij het maken van de AVG bewust voor deze constructie gekozen. Aan de ene kant begrijp ik dat wel. Misschien was men huiverig om weer een enorm grote Europese autoriteit, een soort bureaucratie op te richten. Maar ook omdat je een laagdrempelige voorziening wilt hebben in de verschillende lidstaten waar mensen naartoe kunnen. Ik denk dat de drempel voor Nederlanders naar Brussel iets kleiner is dan voor mensen uit veel andere lidstaten, maar het is toch fijn dat je hier op de Bezuidenhoutseweg terechtkunt bij je eigen AP, waar mensen je eigen taal spreken. Daarom is het belangrijk om die te hebben. Wat doe je dan om het probleem van mevrouw Kuik te ondervangen? De AP's stemmen onderling af hoe ze de regels uitleggen, maar ze kunnen elkaar ook bijstaan in het doen van onderzoek. Dus het kan zo zijn dat Nederland helpt bij een onderzoek van een klacht in Ierland of tegen een in Ierland gevestigd bedrijf. Of als de Ierse autoriteit zegt dat ze meer nodig hebben en of het overgenomen kan worden door een andere AP, dan bestaat die mogelijkheid.

Mevrouw Kuik (CDA):

Misschien nog even mijn punt iets verder aanscherpen. Ik denk dat de AP zich ook een hoedje schrikt als het zo wordt uitgelegd dat er dan alleen een grote overkoepelende toezichthouder is. Ik snap helemaal dat wij hier ook die AP hebben. Alleen, ik vraag meer of het niet van belang zou zijn om een overkoepelende toezichthouder toezicht te laten houden op zulke grote techbedrijven. Die vervangt dus niet de AP hier. Hoe kijkt de Minister naar een sterkere rol voor een overkoepelende toezichthouder?

Minister Dekker:

Ik ben wat aarzelend, omdat je dan weer toezicht op toezicht krijgt. Dan krijg je de nationale toezichthouders en apart weer een Europese toezichthouder. Wat dat betreft vind ik het ook wel slim gevonden. Je moet eigenlijk kiezen. Of je doet één grote Europese toezichthouder die het voor de hele Europese Unie doet. Of je kiest voor een meer gedecentraliseerd stelsel, waarbij iedereen zijn eigen toezichthouder heeft, maar waarbij je hele goede afspraken maakt over hoe je het werk verdeelt en hoe je ervoor zorgt dat de uitleg van de AVG eenduidig is om zo veel mogelijk rechtszekerheid en harmonisatie te bieden in Europa.

Dat is de reden – dan kom ik bij de AP – waarom wij een eigen AP hebben. Wij moeten instanties hebben die toezicht kunnen uitvoeren op de AVG. Daar hebben we de AP voor. De organisatie van de AP is met de komst van de AVG behoorlijk gegroeid. Het kabinet heeft in de afgelopen jaren aanzienlijk geïnvesteerd in de AP. Het aantal fte is in vier jaar gestegen van ruim 70 naar ruim 180. Het structurele budget is in diezelfde tijd van bijna 8 miljoen naar bijna 19 miljoen gestegen. Als we het vergelijken met de AP's in andere Europese landen, dan is de Nederlandse AP een van de best gefinancierde.

Eind november stuurde ik uw Kamer het afgeronde budgetonderzoek van KPMG toe, over die AP. Dat onderzoek laat zien dat de organisatie van de AP echt wel een organisatie is die nog steeds in opbouw verkeert. Ik had de afspraak gemaakt met de AP om te kijken wat er echt nodig was, maar eerlijk gezegd komt er geen eenduidig antwoord op de vraag wat er nodig is voor de taken en de financiële middelen van de AP, en om die goed met elkaar in evenwicht te brengen. Wel biedt het rapport een aantal belangrijke aanbevelingen, bijvoorbeeld over het versterken van de datapositie en de bedrijfsvoering. Denk hierbij aan risicoanalyses en effectmetingen, maar ook aan een goede tijdregistratie, zodat je op basis van wat het werkelijk kost om iets op een goede manier te doen ... Dat is natuurlijk ook een proces dat je nog verder kunt optimaliseren, bijvoorbeeld door een goede prioriteitstelling en door efficiency. Dat mogen we ook van onze uitvoeringsorganisaties vragen. Dan kunnen we een beter beeld krijgen, om uiteindelijk driver-based, op basis van datgene wat er concreet gebeurt, meer uitspraken en meer gefundeerde uitspraken te doen over wat er nodig is. Ik herken dat beeld van KPMG wel. Ik vind het eerlijk gezegd ook niet zo gek dat een organisatie die in zo'n korte tijd zo'n enorme groei heeft doorgemaakt, nog een aantal punten heeft waaraan het moet werken.

Wij nemen de aanbevelingen van het rapport over. Daarmee wil ik ook stabiliteit creëren bij de AP. Dat vraagt ook wat extra's. Daarvoor heb ik in 2020 een bedrag van bijna 5 miljoen extra ter beschikking gesteld, waarmee de AP incidentele problematiek kan oplossen en ook een investering kan doen in haar bedrijfsvoering. Het is verder van belang dat de AP de taken die zij nu uitvoert, kan blijven voortzetten. Ik heb daarom met de AP de afspraak gemaakt dat we dit jaar de huidige afspraak over 184 fte in stand houden. Ook dat geeft rust in de organisatie. Er zijn verschillende moties ingediend die zeggen: misschien zou de AP verder moeten doorgroeien. Daarvan hebben we gezegd: we sluiten dat als kabinet helemaal niet uit, maar we zitten nu natuurlijk wel in de overgang van het ene naar het andere kabinet. Ook een nieuw kabinet zal daarin weer allerlei keuzes moeten maken. Ik weet dat er meerdere moties in uw Kamer liggen die zeggen: hier moet extra geld naartoe en daar moet extra geld naartoe. Dan is het ook fair om te zeggen: binnen de beschikbaarheid aan middelen is het aan een nieuw kabinet om daar een finale knoop over door te hakken.

De heer Azarkan (DENK):

Als het gaat om de rol van de Autoriteit Persoonsgegevens, dan zit er toch veel licht tussen wat de Minister hier vertelt en wat de Autoriteit Persoonsgegevens bij monde van haar voorzitter, de heer Aleid Wolfsen, hier vertelt. Daar zit echt een heel groot verschil tussen. We moeten ook niet ontkennen dat er op 9 februari een motie is aangenomen die gewoon oproept om meer middelen vrij te maken. De afdoening van die motie middels een brief waarin wordt gezegd dat het om de datapositie gaat, is gewoon niet goed. Het gaat ook gewoon om de personeelscapaciteit. Als er in de samenleving veel onrust is omdat er zwarte lijsten zijn en de Autoriteit Persoonsgegevens doet er een jaar, soms anderhalf jaar, over om dat uit te zoeken, dan kunnen we dat niet accepteren. Als de voorzitter van de AP hier zegt dat hij zo weinig capaciteit heeft dat hij amper kan bestaan en het werk maar nauwelijks aankan, dan kan de Minister toch niet zeggen: weet u, we doen het hartstikke goed en er is veel geld naartoe gegaan, dus ik laat het over aan de opvolgers? Dat is gewoon niet de strekking van de motie. Er ligt gewoon een duidelijke motie. Mijn vraag aan de Minister is: gaat hij die nu gewoon uitvoeren en hier meer middelen voor vrijmaken?

Minister Dekker:

Het antwoord op die vraag heb ik zojuist gegeven. De discussie over een eventuele toename van middelen voor een volgend jaar doe je altijd bij de begroting. De begroting wordt gepubliceerd in september. Ik ga ervan uit dat er dan een nieuw kabinet is. Als dat niet het geval is en wij zouden er bij wijze van spreken nog zitten, dan moeten we natuurlijk weer kijken hoe we omgaan met de wensen en vragen die er in de Kamer liggen. Maar we zitten nu midden in een formatie. Ik hoop dat we daar een beetje tempo achter kunnen zetten.

De vraag bij dit rapport was: kunnen we objectiveren wat er nou precies nodig is voor de AP? Eigenlijk zegt dat rapport: nee, dat kan op dit moment niet. Vervolgens is er gewerkt met een aantal scenario's. Maar dat is ook gedaan met heel veel input en met heel van de wensen van de AP. Ik begrijp natuurlijk ook best dat de voorzitter van de AP in formatietijd z'n wensen op tafel legt. Dat zie ik ook bij de rechterlijke macht en in de zorg. Er zijn natuurlijk heel veel instanties die op dit moment zo'n case maken: we zouden zoveel extra nodig hebben om het goed te doen. De optelsom is waarschijnlijk dat we daar toch keuzes in moeten maken, of we moeten de belasting naar 80% brengen. Dat wil ook niemand. Ik wil hiermee zeggen dat ik de bedragen van de heer Wolfsen, zoals ik ze vanochtend ook weer in de krant zag, niet rechtstreeks uit dit rapport haal als zijnde: dat is wat er absoluut bij moet. Dat zegt het rapport gewoon niet. Maar het kan natuurlijk best een wens zijn van de AP om te groeien.

De voorzitter:

Dit roept veel vragen op. Ik zie achtereenvolgens: een vervolgvraag van de heer Azarkan, dan mevrouw Van Ginneken, dan de heer Ceder en dan mevrouw Kathmann. In die volgorde heb ik jullie genoteerd.

Eerst de heer Azarkan voor zijn laatste vraag.

De heer Azarkan (DENK):

Ik vind het echt een wat bijzondere opvatting als de Minister zegt: ik begrijp de wens van de AP om te willen groeien. Dat is niet wat er aan de hand is. We hebben te maken met een maatschappelijk probleem. Er worden door overheden, maar ook door bedrijven, data verzameld en verwerkt op een manier die tegen de wet ingaat. Het is de taak van de AP om dat te constateren, dat goed te analyseren en daar vervolgens een rapportage over uit te brengen, zodat we dat kunnen verbeteren, aan de voorkant. Ik vind het te beperkt om te zeggen: we zitten nu eenmaal in een formatie. Het pleidooi van de Autoriteit Persoonsgegevens kwam veel eerder en had niets te maken met de formatie. Dat was in een technische briefing naar aanleiding van de toeslagenaffaire. Daar ging het over. Dat was dus daarvóór. Ik denk dat de Minister zich veel meer verantwoordelijk moet achten voor het aanpakken van het probleem. Daarvoor is de Autoriteit Persoonsgegevens een middel. En of hij het nou ziet als een autoriteit die zelf wil groeien of dat de Kamer dat graag wil, de Minister moet dat probleem gewoon willen aanpakken. Daar hoort een goede analyse bij. Dan kunnen we niet wegkijken en zeggen: tja, we zitten nu in een formatie. Volgens mij wordt er al aan de begroting gewerkt. De Minister zegt: ik ga ervan uit dat er in september een kabinet zit. Nou, dat weet ik helemaal niet. Bovendien moet er volgend jaar ook weer een begroting zijn. Ook daarbij vraagt de Autoriteit Persoonsgegevens om een fatsoenlijk budget. Gaat de Minister dat organiseren?

Minister Dekker:

Als wij een begroting moeten maken, dan gaan we natuurlijk die begroting maken. Dan kijken we ook naar zoiets als de AP. Dan kijken we ook naar de wensen die er leven in de Kamer. Dat is volgens mij een toezegging in de richting van de heer Azarkan.

Mijn enige punt is dat ik soms nog weleens een discussie heb met de AP over wat nou een toereikend budget is. Daar hebben we onderzoek naar willen doen. Dat onderzoek zegt eigenlijk: de bedrijfsvoering en de informatie binnen de AP is onvoldoende om daar goede, harde uitspraken over te doen. Dan staat het de autoriteit natuurlijk volledig vrij om toch te zeggen: ondanks dat we het niet hard kunnen onderbouwen, vinden wij wel dat er zoveel bij moet. Daar neem ik dan kennis van. Ik voer gewoon ieder jaar weer een goed gesprek met de AP over de stappen die moeten worden gezet om de wettelijke taken op een goede manier uit te voeren. Daarbij constateer ik ook dat er in mijn termijn, onder mijn verantwoordelijkheid, ieder jaar extra geld naar de AP toe is gegaan, dat de organisatie gegroeid is van 70 naar bijna 180 mensen, dat het budget bijna verdriedubbeld is en dat we daarmee een van de best gefinancierde AP's in Europa hebben. Nogmaals, daarmee zeg ik niet naar de toekomst toe: daarom is het zoals het blijft en genoeg is genoeg. Dat zeg ik ook maar even ter relativering over het feit dat we als Nederland niet voorop zouden lopen in het goed uitrusten van onze instanties. Zijn er dan geen problemen, ook als het gaat om de capaciteit? Ja, natuurlijk wel. Ik zie ook dat sommige dingen lang duren en dat bepaalde klachten lang blijven liggen. Maar dan zeg ik erbij: net als iedere andere organisatie moet je kritisch kijken hoe je klachten behandelt. Wat doe je intensief? Wat kan sneller? Welke klachten moet je echt behandelen? Dat schrijft de wet voor. Dat zijn niet al die 25.000 klachten. Het is ongeveer een vijfde daarvan. Welke klachten gebruik je veel meer als signalen? Hoe ga je meer risicogestuurd toezicht houden? Dat vragen we echt niet alleen aan de AP. Dat is een hele logische vraag die we ook aan onze politie stellen. Ook de politie krijgt heel veel klachten en tips. U weet net als ik: ook zij moet keuzes maken.

Mevrouw Van Ginneken (D66):

Ik ontken niet dat deze Minister de afgelopen jaren het budget voor de AP verruimd heeft. Het is helder dat hij de signalen wel oppikt, alleen naar mijn idee pakt hij daar onvoldoende op door. Ik hoorde de Minister net zeggen: de status quo handhaven geeft even rust en dat heeft deze organisatie in ontwikkeling misschien nodig. Dat denk ik niet. Dat ben ik niet met de Minister eens, want we stellen vast – het is net ook al door al mijn collega's benadrukt – dat de dienstverlening, de rol die de autoriteit uit moet voeren erg onder druk staat. Ik kan me dus niet voorstellen dat er rust in die organisatie is op het moment dat je platgebeld wordt, maar de telefoon niet kunt opnemen. Ik begrijp ook niet zo goed dat de Minister zegt dat een harde onderbouwing van hoeveel er dan precies nodig is te veel tijd kost. We hebben het hier namelijk niet over een onzekerheidsmarge van 0 euro tot 5 miljoen euro die erbij moet. Denkend in een groeimodel zou de Minister wat mij betreft op basis van de beschikbare cijfers op dit moment echt al een forse stap kunnen zetten. Ik zou dus willen vragen aan de Minister of hij dat in de begrotingsvoorbereiding in ieder geval ambitieuzer zou willen neerzetten dan dat hij nu lijkt te gaan doen.

Nog even voor het perspectief, de Minister maakt een vergelijking tussen de budgetruimte van de AP en die van de collega's in andere landen. Ik denk dat dat een verkeerde voorstelling van zaken is, of in ieder geval een eenzijdige. Nederland is binnen Europa namelijk een van de meest gedigitaliseerde landen, dus dat betekent ook dat er meer gebruik wordt gemaakt van data en dat de rol van de toezichthouder belangrijker is. Ik denk dat je de vergelijking zou moeten maken met andere toezichthouders zoals we die in Nederland hebben. Als je kijkt naar het budget van de AP ten opzichte van ACM, AFM en de Voedsel- en Warenautoriteit, dan krijgen ze maar een schijntje, terwijl het aantal organisaties dat ze moet bewaken een veelvoud is van wat andere organisaties moeten doen.

De voorzitter:

Ik wijs de leden erop dat de interrupties iets korter mogen, want er is ook nog een tweede termijn. Althans, als we een tweede termijn willen, dan moeten de interrupties in ieder geval wat korter. Dan kunnen we dit soort beschouwingen daarin kwijt.

Minister Dekker:

Volgens mij heb ik ook geen vraag gehoord. Ik zie het standpunt van D66. Ik ben het met mevrouw Van Ginneken eens dat je altijd moet kijken hoe je kunt bepalen wat redelijk is en wat er echt nodig is. Daarbij moeten we ook altijd keuzes maken. Je kunt je euro maar één keer uitgeven. Iedere euro die we aan de AP uitgeven, kunnen we dus niet uitgeven aan de zorg, het onderwijs, de politie. Ik vind dat we steeds kritisch moeten kijken waar we onze middelen inzetten. Dat is niet een argument om dan te zeggen dat we geen euro extra naar de AP doen. Sterker nog, op mijn voorstel en in mijn gesprekken richting uw Kamer heb ik ieder jaar meer geld aan de AP gevoteerd. Maar ik heb in de discussie over nog meer geld ook gevraagd of we dat dan goed kunnen onderbouwen. Kun je op basis van de uren die worden gemaakt, op basis van je data en je ICT, zoals we dat bij iedere andere normale overheidsorganisatie vragen, objectiveren wat er nodig is? Daarvan zegt dit rapport: nee, dat kan niet. Dat heeft ermee te maken dat de AP een jonge organisatie is, die nog veel van haar bedrijfsprocessen en ICT beter op orde moet krijgen. Ik vind dat we moeten kijken wat er allemaal op de AP afkomt, maar ook hoe we ervoor kunnen zorgen dat de AP dat dan beter op orde krijgt. De AP moet, net als iedere andere overheidsorganisatie, kunnen zorgen dat ze binnen budget blijft. Daar heeft ze de afgelopen jaren veel moeite mee gehad. Dat is nog wat anders dan de discussie of er meer geld bij zou moeten in de toekomst. Maar als het parlement aan de voorkant heeft gezegd «dit is het budget voor die organisatie», ga ik ervan uit dat ze er aan het einde van het jaar voor zorgt dat ze met dat budget uitkomt. Dat was ingewikkeld de afgelopen jaren. Dat is wat mij betreft ook een belangrijke indicator dat er op het gebied van bedrijfsvoering nog veel moet gebeuren.

Mevrouw Van Ginneken (D66):

Excuses dat ik zojuist geen hele concrete vraag aan het einde heb gesteld. Bij deze dan. Is de Minister bereid om bij de begrotingsvoorbereiding, dan wel bij de overdracht naar zijn opvolger, meer ambitie te tonen als het gaat om het verruimen van het budget van de AP in plaats van een pas op de plaats te maken tot precies helder is hoeveel er nodig is?

Minister Dekker:

Er ligt een heldere uitspraak van de Kamer. Ik heb altijd de ambitie om te kijken wat er nodig is voor deze organisatie. Ik constateer bijvoorbeeld dat ik binnen de Justitiebegroting enorm heb moeten schrapen om, boven op datgene wat in de begroting stond, extra geld naar de AP te laten gaan dit jaar. Ik hoop dat u dat gezien heeft. Dat betekent dat als we in de komende begroting niks doen, het budget volgend jaar weer naar beneden gaat. Structureel staat er niet de 24 of 25 miljoen die we er nu aan betalen, maar een budget van ongeveer 19 of 20 miljoen. Dat probleem staat mij natuurlijk helder op het netvlies. Ik zie ook dat er een motie ligt van uw Kamer. Dat begrijp ik allemaal heel goed. Mijn enige punt is dat dit een discussie is die wij straks bij de totale begroting binnen het kabinet moeten hebben. Daar vind ik AP belangrijk, daar vind ik politie belangrijk, daar vind ik ondermijning belangrijk, daar vind ik toegang tot het recht belangrijk, daar vind ik rechtspraak belangrijk, daar vind ik reclassering belangrijk, daar vind ik IT belangrijk. Ik vind het allemaal ongelofelijk belangrijk. Ik weet zeker dat u in alle debatten die we de komende weken gaan voeren allemaal aan mij gaat vragen of ik me wil inzetten om echt serieus te kijken of daar meer nodig is. En mijn antwoord is: dat ga ik doen.

De heer Ceder (ChristenUnie):

Ik luister aandachtig naar de Minister en ik vind het toch ingewikkeld, omdat er een motie ligt, niet richting de Minister zelf, maar richting de regering, waarin een oproep is gedaan aan de regering – daar behoort u toe, maar ook uw collega's – om de opdracht uit te voeren. U geeft aan: mogelijk is dat niet aan mij. Daar kan ik in meegaan. We weten niet hoelang het formatieproces duurt. Ik heb dus een hele concrete vraag. Mocht het zo zijn dat het formatieproces niet voor september is afgerond, bent u dan, als u dan nog de bewindspersoon bent – ik ga er wel van uit – van plan de motie gewoon uit te voeren? Kunnen wij daar een concrete toezegging op krijgen?

Minister Dekker:

Er liggen meerdere moties waar de AP in wordt genoemd. Er ligt bijvoorbeeld een recente motie-Klaver/Ploumen, zeg ik uit mijn hoofd, uit het debat van twee weken terug. Daarin wordt de AP ook genoemd, overigens in een hele lange lijst van organisaties waar we meer aan zouden moeten doen. Daar gaan we als kabinet serieus naar kijken. Als het gaat om de andere motie die er ligt over meer geld naar de AP, hebben wij gezegd: dat is nu even niet aan ons; dat is aan een komend kabinet. Als wij als kabinet straks de begroting zouden moeten maken, dan mag u mij bij het uitkomen van die begroting natuurlijk weer herinneren aan alles wat u mij en dit kabinet heeft opgedragen. Maar ik kan aan de voorkant geen garanties geven.

Ik geef een aantal overwegingen aan u mee. Het kan best zo zijn dat dit kabinet, als het er nog zit, van de komende begroting – volgens mij is dat een suggestie geweest van uw eigen partijleider – een hele beleidsarme begroting zou moeten maken. Met andere woorden, dat zou een begroting worden met weinig intensiveringen om die keuzes dan uiteindelijk te laten aan een kabinet dat dan wellicht enkele maanden na de begroting alsnog met een nieuwe begroting komt. Dan zal het regeerakkoord waarschijnlijk een financiële tabel voor de jaren daarna bevatten. De eerlijke boodschap zal zijn dat wij, met alle moties die er liggen over meer geld daarnaartoe, meer geld daarnaartoe, meer geld daarnaartoe, die opdracht toch naar een volgend kabinet doorschuiven. Het kan ook anders zijn. Misschien doen we het ook wel in een informeel overleg met de dan formerende partijen, want die zullen voor een deel in het kabinet zitten en voor een deel in de oppositie, maar wel constructief meedenken. Dan komt misschien de vraag van de Kamer: maak toch een wat beleidsrijkere begroting, want wij zien dat er een aantal hele knellende punten zijn, zoals corona, maar ook een aantal andere punten. In dat samenspel heb ik heel helder in het vizier welke verzoeken van uw Kamer er liggen. Ik ga niet op voorhand garanties geven dat dit ook goed geregeld wordt in dat scenario. Ik ben altijd bereid om daar achteraf verantwoording over af te leggen.

Mevrouw Kathmann (PvdA):

Ik wil op voorhand wel even zeggen dat ik de Minister inderdaad wel wil prijzen dat het steeds gelukt is om het bedrag op te hogen. De Minister zegt terecht dat hij zich daarvoor ingespannen heeft. Maar toch, ik wil het wel even wat makkelijker maken dan hoe moeilijk het nu wordt voorgesteld. A. In een door de overheid gevraagd rapport zijn er wel degelijk heel duidelijk bedragen genoemd. Daarin stond niet wat de AP precies nodig heeft, nu en in de toekomst, maar wel de ultieme ondergrens om überhaupt te kunnen functioneren zoals gevraagd. Aan die ultieme ondergrens is een bedrag gekoppeld. Wat wij nu voor de AP uittrekken, is minder dan de helft van dat bedrag. Nou, daar hebben we al een bedrag! En dan vraagt een motie van de Kamer om iets te doen en om ervoor te zorgen dat in ieder geval al de maatschappelijke problemen die de heer Azarkan net ook weer benoemde, worden opgelost. Want de AP is niet een doel op zich. Het gaat om de maatschappelijke problemen die er nu zijn. Die moeten we oplossen. We hebben een ultieme ondergrens van volgens mij 49 komma zoveel miljoen nodig zodat de AP in ieder geval haar taken kan uitvoeren. Nou, daar hebben we al een uitvoeringsmotie gekoppeld aan een bedrag! En dan zegt de regering steeds: ja, maar er zijn zo veel vragen voor zo veel potjes. Maar op dit terrein is er één koepel en dat is de AP. Die doet haar werk op al die andere terreinen die genoemd worden. Iedereen vindt de AP nu even het belangrijkst, omdat dat de koepel is. Wil de AP überhaupt aan de wettelijke kunnen voldoen, dan staat daar een ultiem minimumbedrag voor. Er ligt ook een motie om dat uit te voeren. Volgens mij hebben we dan toch één plus één is drie? We moeten het toch niet zo ingewikkeld maken?

De voorzitter:

Minister, is één plus één drie?

Minister Dekker:

Ik herinner mij dit van de rekentoets. Die discussie ga ik niet opnieuw doen, want uiteindelijk is die een zachte dood gestorven.

Ik maak een paar opmerkingen richting mevrouw Kathmann. Dat rapport is een prima rapport, maar het geeft ook klip-en-klaar aan dat heldere antwoorden geven over wat er exact nodig is op basis van de huidige bedrijfsvoering van de AP, niet mogelijk is. Het is niet een kwestie van met één bedrag komen. Het kan ook met bandbreedtes zijn. De onderzoekers van KPMG geven aan dat de bedrijfsinformatie eigenlijk te zacht en te diffuus is om daar heldere uitspraken over te doen. Maar dat vind ik wel belangrijk, want je moet toch ook een beetje vaste grond onder de voeten hebben. Vervolgens is er met een aantal scenario's gewerkt. Daar zijn bedragen aan geplakt. Dat zie ik ook. Er zit een soort trap van scenario's: als je dit zou doen en deze aannames zou doen, dan kom je daar-, daar- en daarop. Dat zie ik ook wel. Dat is iets voor het komende kabinet om rekening mee te houden.

Wat ik eigenlijk het allerliefst heb, is wat hardere informatie, ook vanuit de AP, over wat er nou precies nodig is. Dan kunnen we ook kijken wat het nou gemiddeld kost om een klacht af te handelen; gewoon kostprijsberekeningen. Het klinkt een beetje economisch. Er wordt weleens tegen me gezegd: je bent te veel een boekhouder. Nou ja, maar we willen toch ook gewoon dat onze belastingcenten op een doelmatige manier worden uitgegeven? Ik kan heel goed verantwoorden dat er meer geld moet naar de AP als ik dat ook goed kan onderbouwen. Daar zie ik echt nog wel een probleem. Ik moet dus aan de slag en in gesprek met de AP, ook over dit soort kwesties. Daarbij neem ik uw moties mee. Het zal dan aan mij zijn of aan een nieuw kabinet om daar ook een knoop over door te hakken. Ik zeg dit even ter nuancering van uw uitspraak dat het KPMG-rapport een harde ondergrens geeft, want dat doet het niet.

De voorzitter:

De Minister vervolgt zijn betoog.

Minister Dekker:

Ik denk dat we al heel veel vragen over het budget van de AP hebben gehad en beantwoord. Ik ga misschien nog even in op een paar kleine vragen die meer gaan over het inhoudelijke werk van de AP en over de proportionaliteit. De heer Ellian vraagt of de keuzes van de AP over waar ze onderzoek naar doet en welke instrumenten ze daarvoor inzet, wel proportioneel genoeg zijn. Ik vind dat dat proportioneel moet zijn. Dat zal de AP overigens ook zelf vinden, want uiteindelijk toetst de rechter ook of iets proportioneel is. Het meest in het oog springen de boetes met vijf nullen erachter. De AP doet heel veel werk om organisaties ook op een zachtere manier te wijzen op hun verantwoordelijkheid. Er zit een soort getraptheid in. Er vinden gesprekken plaats en er worden aanwijzingen gegeven. Het is vaak gericht op herstel, zoals de last onder dwangsom, waarbij gezegd wordt: je moet dat nu echt binnen zoveel tijd hersteld hebben; anders krijg je een boete. Maar waar een inbreuk is geweest, bestaat de mogelijkheid om een boete op te leggen, ook om normerend te kunnen optreden. Dan laat ik me even niet uit over de specifieke individuele casussen die nog onder de rechter zijn, waar de heer Ellian naar vroeg.

De heer Ellian (VVD):

Ik heb nog één interruptie, geloof ik. Dat had ik goed voorzien. Dank voor het antwoord, zeg ik tegen de Minister. Ik snap dat u niet op die individuele zaken kan ingaan; dat zou ook raar zijn in het licht van de scheiding der machten. Ik sla aan op wat u zegt, namelijk: bij de last onder dwangsom is het voortraject van belang. Als het gaat om rechtszekerheid kunnen wij hier met elkaar natuurlijk een bijdrage leveren aan het creëren daarvan. U zegt dat de AP proportioneel moet handelen. Ik wijs op de brief die mijn collega's en ik hebben gekregen van de tennisbond, maar ook op het punt van VoetbalTV. Beide stellen: bij ons is nooit een voornemen tot boeteoplegging geuit. Ze zeggen: we hebben gesprekken gehad, maar we werden elke keer verrast door de handelwijze van de AP. Ik zeg het u maar. Ik ben niet helemaal in de processtukken gedoken, maar ik vertrouw op de informatie die tot mij is gekomen. Ook uit het vonnis van de rechter blijkt een en ander. Ik vind de gang van zaken niet helemaal zuiver. Ik weet dat u hier niet kunt zeggen dat u iets anders verwacht van de AP, maar ik vind het volgende wel in het belang van de rechtszekerheid. Mevrouw Koekkoek vroeg daar ook naar. VoetbalTV is wel ter ziele gegaan. Als zij straks in appel gelijk krijgen, hebben ze daar helemaal niets meer aan. De tennisbond is een beetje van ons allemaal. Als die de boete moet betalen, heeft dat consequenties. Ik besef dat mijn interruptie veel te lang is, meneer Van Nispen; vergeeft u mij als nieuw Kamerlid. Ik wil graag duidelijk van de Minister horen dat als het gaat om de proportionaliteit bijvoorbeeld de last onder dwangsom en een normoverdragende brief tot de mogelijkheden behoren en dat u verwacht van de AP dat die middelen eerst ingezet worden voordat de getallen met vijf nullen ons om de oren vliegen. Excuus voor de lange interruptie.

De voorzitter:

Oké. De Minister.

Minister Dekker:

Wat betreft het eerste: ja, die staan allemaal tot haar beschikking. Ik vind dat de AP daar gebruik van moet maken. Ik constateer ook echt wel dat ze dat doet. Twee. Is er dan altijd een dwingende volgordelijkheid der dingen, dus dat je pas een boete zou mogen opleggen als je al die andere minder zware trapjes hebt doorlopen? Ik denk dat dit niet het geval is. Dat gebeurt niet alleen in de casus die u aanhaalt, maar ik denk ook bijvoorbeeld aan een casus waarbij het medisch dossier van een bekende Hagenaar werd ingekeken door een ziekenhuis en waarin een flinke boete is uitgedeeld aan het desbetreffende ziekenhuis omdat er gezegd werd: dit is een flagrante schending van de privacyrechten. En waarom? Als dat is gebeurd, valt er ook weinig meer te repareren. Ook is het belangrijk dat een AP af en toe een hele duidelijke norm stelt. Hoe loopt dit dan in deze specifieke zaken? Dat weet ik niet. Ik ben echt voorzichtig om daar uitspraken over te doen, omdat ik zomaar vermoed dat ook een rechter daar wat van gaat vinden en daar een uitspraak over zal doen. Als de AP dan zo'n zaak verliest, zou ik dat wel enorm pijnlijk vinden, maar ik sluit niet uit dat er wel weer vervolgstappen zullen plaatsvinden. Mensen hebben wellicht schade geleden als gevolg van overheidshandelen. Maar goed, ook dat is een juridisch proces. Ik wil daar allemaal niet in treden. Ik ga ervan uit dat de AP haar zaakjes goed op orde heeft en goed weet waar zij mee bezig is. Laten we kijken wat uiteindelijk de uitkomst is van de zaken waar de heer Ellian net aan refereerde.

De voorzitter:

Ik kijk even naar de Minister en werp een blik op de klok, want ik denk dat we nog een tweede termijn willen. Hoeveel vragen heeft hij nog te beantwoorden?

Minister Dekker:

Ik ga snel door een paar vragen heen. In de categorie overig valt de vraag van de heer Ellian over een laagdrempelige voorziening in het kader van horizontale privacy. Daar heb ik onderzoek naar laten doen. Ik heb ook aangegeven dat er een aantal stappen kunnen worden doorlopen om daartoe te komen. Dat vraagt Europeesrechtelijk het een en ander, want het is natuurlijk heel fijn als we het als Europese landen erover eens zijn wat voor soort content verwijderd zou moeten worden als er sprake is van strafbare en onrechtmatige content. Samen met de AP kijken we wat de beste manier is om te beoordelen of content al dan niet rechtmatig is, zodat de civiele rechter ook meer houvast krijgt wanneer die een uitspraak kan doen. Ten slotte kan dit alles ook aan de andere kant worden afgesloten met een campagne waarin we mensen vertellen wat online hun rechten zijn. Het gaat niet alleen over de vraag of je formeel het recht hebt om dat te laten verwijderen, maar ook om wanneer je in je recht staat en hoe je je recht uiteindelijk kunt halen.

De voorzitter:

Mag ik als voorzitter op dit punt vragen of wij hier op enig moment als Kamer meer over kunnen horen, over de voortgang op dit punt?

Minister Dekker:

Absoluut.

De voorzitter:

Op welke termijn kunnen we dat verwachten?

Minister Dekker:

Daar kom ik in tweede termijn op terug. De geagendeerde brief over horizontale privacy is al van enige tijd terug. Ik kijk even wanneer de volgende rapportage op de rol staat.

Dan de vraag van de heer Van Nispen over Burgernet. Dat is weliswaar de portefeuille van mijn collega, maar ik heb daar toch wat antwoorden op meegekregen. De berichtgeving van Privacy First schijnt niet juist te zijn. De politie slaat geen gegevens op van de Burgernetappgebruikers en de politie houdt niet bij waar appgebruikers zich bevinden. Burgers kunnen anoniem gebruikmaken van de Burgernetapp en moeten vervolgens expliciet toestemming geven om hun gps-locatie te kunnen gebruiken. In dat geval is de privacy dus geborgd, omdat daarmee is voldaan aan het toestemmingsbeginsel.

De heer Ceder vroeg naar algoritmen. Om te beginnen sprak hij de wens uit voor een Minister voor digitalisering. Algoritmen gaan weer verder dan alleen maar persoonsgegevens, maar raken natuurlijk aan dat grote dossier van de digitalisering. Misschien een beetje plagend zou ik in de richting van de heer Ceder willen zeggen, als hij vindt dat er een Minister van digitalisering moet komen: kom aan tafel bij de formatiebesprekingen in plaats van aan de zijlijn te blijven staan. Maar dat doe ik een beetje over zijn hoofd, misschien ook naar de heer Segers. Dat is plagend bedoeld, maar ik vind het wel interessant dat deze Kamer heeft gezegd: we gaan een aparte commissie doen. Of dat straks dan met één Minister is of met meerdere bewindspersonen, valt te bezien.

Welke besluiten worden nu genomen over mensen op basis van algoritmen? Dat is heel uiteenlopend. Dat maakt de hele discussie over algoritmen ook zo ingewikkeld. Dat gaat van eenvoudige besluiten bij «wanneer kom je in aanmerking voor een uitkering?» tot hele ingewikkelde algoritmen die bijvoorbeeld gebruikt worden om na te denken over hoe je ervoor zorgt dat hulpdiensten snel ter plaatse zijn. Maar het gebeurt bijvoorbeeld ook in de fraudebestrijding. Daar hebben we natuurlijk echt wel gezien dat daar ook risico's op de loer liggen.

Ik werd uitgedaagd door de heer Ceder en volgens mij ook door mevrouw Kathmann of mevrouw Koekkoek. Sorry als het iemand anders is geweest; dat is mij even ontschoten. De vraag was wat we op het punt van die algoritmen nou kunnen doen in het kader van de Digital Services Act om ook pionier te zijn in Europa en daarin vooruit te lopen. We zijn daar wel degelijk mee bezig. Ten aanzien van het gebruik van algoritmen zijn we op dit moment bezig met het maken van bepaalde richtlijnen waarvan wij vinden dat overheidsorganisaties daaraan moeten voldoen als zij van algoritmen gebruikmaken. Daarbij gaat het over uitlegbaarheid en transparantie, over hele fundamentele waarden. Waar wij nu eigenlijk tegen aanlopen, is dat wij op het punt staan dat een aantal van die dingen wellicht wettelijk kunnen worden vastgelegd, maar dat ook Europa bezig is met zo'n wetgevingstraject en dat we goed moeten kijken waar we nou verstandig aan doen. Want je wil burgers, bedrijven en ook overheidsorganisaties niet eerst met dit regime confronteren en dan weer met dat regime. Hoe die twee samenkomen, is dus nog best een puzzel, maar wel met het uiteindelijke doel om zeker bij hoogrisicobewerkingen via algoritmen meer waarborgen te bieden. Wat mij betreft loopt Nederland daar inderdaad in voorop. In ieder geval in de ideeënvorming bespreek ik regelmatig met mijn collega's in Europa dat er op dat vlak meer nodig is.

Voorzitter. Dan de gezichtsherkenning. Daar is inmiddels al een heel streng regime op. Daaronder valt ook de surveillancetechnologie, zoals gezichtsherkenning, als het gaat om de biometrische gegevens die verwerkt moeten worden. Gezichtsherkenning in horizontale verhoudingen, dus tussen burgers, bedrijven en private organisaties, is in ieder geval heel erg actueel. Verandert er iets? Nee, we blijven op dit punt heel erg streng. Het verwerken van bijzondere persoonsgegevens blijft in principe verboden. Ik wil in de UAVG dan ook nog eens duidelijk naar voren brengen dat er door de introductie van wat «een dubbele noodzakelijkheidstoets» heet, een hoge drempel geldt voor het gebruikmaken van dit soort gegevens. Die toets zegt dat die gegevensherkenning alleen gebruikt mag worden voor de authenticatie van beveiligingsdoeleinden. Maar dat is niet voldoende. Het moet ook voldoen aan een algemeen zwaarwegend belang, zoals de publieke veiligheid of de volksgezondheid, zodat er geen misverstand over kan bestaan dat je het bij wijze van spreken voor de beveiliging van een pand van een particulier niet kunt gebruiken. Maar dat is anders bij bijvoorbeeld de gezichtsherkenning op vliegvelden, waar je het met al die duizenden reizigers toch wel prettig vindt als die mogelijk risicovolle persoon of terrorist eruit gevist wordt. Met dat dubbele vereiste zou je dat onderscheid beter kunnen maken.

Dan de persoonsgegevens van kinderen. Ik vind dat een belangrijk thema, zeg ik tegen de heer Ceder. De AVG biedt een wettelijke basis op grond waarvan persoonsgegevens van kinderen tot 16 jaar beschermd worden. In overweging 38 van de AVG wordt nog eens specifiek aandacht besteed aan kinderen vanuit de overweging dat kinderen zich minder bewust kunnen zijn van de betrokken risico's, gevolgen en waarborgen, en van hun rechten in verband met de verwerking van persoonsgegevens. Hieruit is een aantal bepalingen voortgevloeid die specifiek zijn gericht op de bescherming van kinderen. Je zou kunnen zeggen dat de AVG daarmee het belang erkent van de rechten van het kind, waarbij ook een rol voor ouders is vastgelegd.

De voorzitter:

Er is een interruptie van de heer Ceder. En ik kijk nogmaals naar de klok, zeg ik even voorzichtig.

De heer Ceder (ChristenUnie):

Ik zal het kort houden, voorzitter. Ik ben blij dat het in de AVG staat, maar de praktijk is wat weerbarstiger. Ik merk dat kinderen toch getarget worden en dat ze heel vaak ook kunnen aangeven dat ze ouder zijn dan 16 jaar door gewoon een vinkje te zetten, waarna ze gewoon door kunnen gaan. Ik vroeg me dus af of de Minister op dit moment vindt dat kinderen voldoende beschermd zijn. Of erkent hij, samen met de ChristenUnie, dat er meer nodig is? Zo ja, wil hij zijn aanpak daarop dan intensiveren?

Minister Dekker:

Ik constateer dat dat beschermingsniveau hoog is en dat er ook echt extra waarborgen zijn als het gaat om kinderen. Het gaat niet alleen maar via de AVG, maar er is bijvoorbeeld ook de Code voor kinderrechten voor de verschillende platforms die de persoonsgegevens van kinderen verwerken. Tegelijkertijd sta ik er altijd voor open om te kijken waar het beter kan. Dus misschien mag ik de uitdaging van de heer Ceder zo opvatten dat hij zegt: ik wil eigenlijk dat de Minister daar eens even goed in duikt en kijkt of het afdoende is en misschien ook eens even met een aantal instanties praat om te zien wat er nog meer mogelijk is. De technologie staat natuurlijk ook niet stil. Dat is het punt. We hebben wetgeving, en wetgeving maken gaat altijd traag en loopt soms achter de feiten aan. Maar omdat er steeds meer kan – de heer Ceder haalde zelf een aantal voorbeelden daarvan aan – moeten we ook steeds weer nadenken over wat er nodig is om weer een volgende stap te zetten. Ik ben bereid om daarnaar te kijken en daarop in mijn volgende rapportage terug te komen.

Dan ben ik ook door de vragen heen.

De voorzitter:

Dank u wel. Mevrouw Koekkoek, u bent door uw interrupties heen, maar misschien kunt u het meenemen naar de tweede termijn? Of gaat het om een niet beantwoorde vraag? Dan geef ik u daar nog even het woord voor.

Mevrouw Koekkoek (Volt):

Er was net even onduidelijkheid over de vraag over de reflectie in het kader van de Digital Services Act. Mijn vraag ging niet over algoritmes, maar over de overdraagbaarheid van gegevens. Die valt ook onder de Digital Services Act. Daar was mijn vraag aan gerelateerd. Waar liggen de verbeterpunten voor Nederland en waarin kan Nederland gidsland zijn? Het ging dus niet over de algoritmes maar over de gegevensoverdraagbaarheid.

De voorzitter:

Misschien kan de Minister het antwoord op deze vraag meenemen in tweede termijn. Is dat goed?

Minister Dekker:

Ja, dat wil ik doen, maar misschien is het nog handiger om te verwijzen naar de uitgebreide kabinetsreactie op de Digital Services Act waarmee wij binnenkort komen. Ook Brussel vraagt namelijk wat wij daarvan vinden. Ik zal dit punt daarin expliciet meenemen.

De voorzitter:

Dat staat genoteerd. Dan kijk ik naar de leden. Ik denk dat er behoefte is aan een tweede termijn. Die moet wel heel kort zijn. We zijn met een hoop woordvoerders, dus we doen één minuut per persoon. Ik geef als eerste het woord aan mevrouw Van Ginneken.

Mevrouw Van Ginneken (D66):

Dank, voorzitter. Ik zal het kort houden. Ik wil twee opmerkingen maken en een vraag stellen.

Ik wil de Minister even wijzen op de position paper op de website van de Autoriteit Persoonsgegevens. Daar staan staatjes in over het groeipad ten aanzien van de capaciteit. Dat zou zomaar eens inspiratie kunnen bieden voor begrotingsbesprekingen.

Daarnaast wil ik de opmerking maken dat ik blij ben dat de Minister in zijn beantwoording van onze vragen heeft aangetoond dat hij voor zichzelf een rol ziet om dit thema binnen het kabinet af te stemmen. Ik zou hem daarbij het verzoek willen meegeven om zijn Staatssecretaris van EZK nog even aan te sporen om een betere oplossing te vinden voor het afschermen van privéadressen in het Handelsregister. Dat loopt namelijk nog niet goed, ondanks het voorstel van mevrouw Keijzer.

De voorzitter:

Dank u wel. De heer Azarkan.

De heer Azarkan (DENK):

Dank, voorzitter, en dank aan de Minister voor de beantwoording van de vragen. De collega's dank ik voor hun scherpe vragen. Ik moet nog zien hoe we dit met elkaar gaan aanpakken, maar dat geldt altijd. Ik hoor vaak mooie woorden en goede intenties, maar ik ga ook goed kijken naar de begroting.

Waar we niet over gesproken hebben, is dat bijzondere inlichtingenbureau dat een jaar of twintig geleden is georganiseerd. Daar zijn Kamervragen over gesteld door collega Ceder. Daarvan heeft ook de Autoriteit Persoonsgegevens gezegd dat het een soort oceaan van data is: niemand weet precies wat daar verzameld wordt en met welk doel en of het ook proportioneel is. Daar hebben we niet over gesproken. Het is mij niet helemaal duidelijk of daar nog informatie, een brief over komt. Als dat niet zo is, dan zou ik daar graag om willen vragen en die de volgende keer betrekken bij een debat over de bescherming van persoonsgegevens.

De voorzitter:

Dank u wel. De heer Ellian.

De heer Ellian (VVD):

Dank u wel, voorzitter. Ook dank voor de beantwoording van de Minister. Als het gaat om de AP hebben een paar collega's een duit in het zakje gedaan. Daar heeft de Minister op geantwoord. Ik vertaal het even vrij: ik neem ambitie altijd mee en die ambitie heb ik. Namens de VVD wil ik graag dat de Minister de constateringen van KPMG meeneemt dat bijvoorbeeld effectmeting, prioritering en risicoanalyse elementair zijn en nauwelijks nog plaatsvinden, maar ook bijvoorbeeld dat de automatiseringsgraad laag is en men nog weinig datagedreven werkt. Ambitie is top, maar neemt u ook wel deze evidente verbeterpunten voor de AP zelf alstublieft mee.

Dan nog één punt. Ik zou graag een Kamerbrief willen vragen. Als de procedures waar we het net over hadden voorbij zijn en de Minister rustig heeft kunnen reflecteren op de gerechtelijke uitspraken, zou ik graag aan de hand van een Kamerbrief in de commissie nader willen praten over proportionaliteit.

Dat was ’m.

De voorzitter:

Dank u wel. Mevrouw Kathmann.

Mevrouw Kathmann (PvdA):

Dank u, voorzitter. Ik had het al eerder gezegd en dat ga ik nog een keer doen, want dat vind ik ook echt: het siert de Minister dat hij al een aantal keren geld heeft opgehaald voor de Autoriteit Persoonsgegevens. Ondertussen weten we dat het niet genoeg is. We leven op dit moment van incident naar incident. Ik ben er ook bang voor dat als we dit niet oppakken of in ieder geval die ultieme ondergrens die in het rapport wordt genoemd, niet gaan uittrekken hiervoor, we elke week bij het mondelinge vragenuurtje vragen staan te stellen, waar weer handelingen uit gaan volgen die ongelofelijk veel geld gaan kosten. Er is misschien een makkelijke oplossing. Ik hoop dat de Minister dit wil meenemen. Collega-Minister Ollongren komt snel bij ons terug naar aanleiding van de mondelinge vragen over wat er allemaal misgaat bij gemeenten en hoe mensen gevolgd worden. Daar zou ook deze Minister bij betrokken worden en de Minister van Veiligheid. Ik zou het een hele fijne oplossing vinden als u met uw collega's om tafel gaat zitten en zegt: «Mensen, ik heb hier best een goedkope oplossing. We leven niet meer van incident naar incident. Geef mij die zak geld. Dan ga ik dat zaakje tackelen.» Ik ben benieuwd hoe de Minister hierin staat.

De voorzitter:

Dank u wel. Mevrouw Koekkoek.

Mevrouw Koekkoek (Volt):

Dank u wel, voorzitter. Allereerst sluit ik me aan bij de oproep van collega Van Ginneken over de uitvoering van de motie ten aanzien van het KvK-handelsregister en de adressen die daar zichtbaar zijn.

Er is veel gesproken over de AP en met name over wat er niet mogelijk is, omdat we nu eenmaal moeten wachten op een nieuw budget. Maar zou het wel mogelijk zijn om in het kader van het KPMG-rapport en de driver-based oplossing die daarin wordt voorgesteld duidelijker mee te geven welk waardenkader we ten grondslag leggen aan het takenpakket van de AP? De AP is natuurlijk toezichthouder, maar geeft ook richtlijnen. Zou het mogelijk zijn om nog voor het bespreken van een nieuw budget te reflecteren op wat de AP nu kan? Niet alleen een efficiëntieslag, maar ook door beter te kijken naar best practices van andere lidstaten en beter aan te sluiten op de European Data Protection Board. Collega Kuik gaf het ook al aan. Daar liggen wellicht ook nog verbeterslagen die vanuit een duidelijk waardenkader vanuit de overheid kunnen worden meegegeven.

De voorzitter:

Over collega Kuik gesproken: die heeft nou het woord.

Mevrouw Kuik (CDA):

Dank, voorzitter. Dank ook voor de beantwoording, al interpreteerde de Minister mijn vraag over toezicht nét even iets anders. Dat heb ik in een interruptie misschien nog even rechtgezet. Het gaat mij om de wijze waarop er toezicht is in Europa op de naleving van de AVG. Dus prima dat we hier de AP hebben, maar mijn vraag is dus wel: kunnen we niet een sterkere rol creëren voor een overkoepelende toezichthouder, zeker als het gaat om die grote techbedrijven? De Minister gaf aan: het is het een of het ander. Ik vraag of er niet een tussenvorm mogelijk zou zijn.

De voorzitter:

De heer Ceder.

De heer Ceder (ChristenUnie):

Dank u wel, voorzitter. Ik dank de Minister voor zijn reactie. Nog even een vraag. Hij zou in gesprek gaan met een aantal organisaties. Dat vind ik mooi. Een van de organisaties die het punt van kinderrechten en de persoonsgegevens heeft genoemd, is de Consumentenbond. De vraag is of u expliciet in gesprek zou willen gaan met de Consumentenbond.

Ik heb nog een aantal ideeën over hoe we de persoonsgegevens beter kunnen borgen, maar ik zal daar op een later moment op terugkomen.

Dank u wel.

De voorzitter:

Dank u wel. Ik kijk even naar de heer Azarkan met de vraag of hij het voorzitterschap overneemt en mij het woord geeft.

Voorzitter: Azarkan

De voorzitter:

Ja, ik neem dat over en ik geef u het woord voor uw tweede termijn.

De heer Van Nispen (SP):

Dank u wel. Van mijn kant zijn er nog twee punten. Allereerst ben ik blij met de toezegging van de Minister om een brief te sturen over gegevensbescherming in het bestuursrecht. Dat dat hard nodig is, heeft de toeslagenaffaire onderstreept. Ik snap natuurlijk dat er al gegevensbescherming is, maar het gaat erom dat mensen natuurlijk wel bezwaar en beroep kunnen aantekenen tegen een besluit, maar dat ze vaak niet weten hoe tot een besluit is gekomen. Dus het gaat om die voorfase. Mensen kunnen dan zeggen dat ze inzage in en correctierecht van hun gegevens hebben, maar daar zijn weer zo veel weigeringsgronden voor dat dat soms illusoir is. Ik wil de Minister een artikel overhandigen met daarin een pleidooi voor meer gegevensbescherming in het bestuursrecht van Fatma Çapkurt uit het Nederlands Tijdschrift voor Bestuursrecht. Dat kan helpen bij de brief die de Minister aan de Kamer heeft toegezegd.

Tot slot wil ik nog iets zeggen over de Autoriteit Persoonsgegevens. Eigenlijk constateer ik dat er Kamerbreed ongenoegen bestaat over het feit dat de SP-motie uit februari van het lid Hijink en anderen niet wordt uitgevoerd. De Minister was daar heel concreet over. Natuurlijk ligt er een veelheid aan taken. En natuurlijk is het zo dat er veel onderzoeken zijn gedaan. Maar de realiteit is – daar heeft mevrouw Kathmann helemaal gelijk in – dat alle onderzoeken in dezelfde richting wijzen, namelijk dat de Autoriteit Persoonsgegevens het nu niet aankan. Zij kan met de middelen die zij heeft, niet alles doen wat er gedaan moet worden, ook op het gebied van voorlichting, waar de VVD terecht aandacht voor vraagt. Dat kost ook capaciteit. Dus nogmaals een dringende oproep: voer alstublieft die motie uit! En dat hoeft niet te wachten tot de begroting. Dat kan ook gewoon bij de Voorjaarsnota.

De voorzitter:

Dank voor uw bijdrage, meneer Van Nispen. Ik moet wel constateren dat u twee keer over de tijd heen bent gegaan. Dus voor een volgende keer: hij die zonder zonde is werpe de eerste steen. Ik zal u eraan houden. Ik geef het voorzitterschap terug.

Voorzitter: Van Nispen

De voorzitter:

Met excuses aan de andere woordvoerders. Ik kijk even naar de Minister of hij meteen kan antwoorden. Dat kan. Het woord is aan de Minister.

Minister Dekker:

Voorzitter. Dank voor het artikel. Ik neem dat mee en kom daar ook in de brief op terug. Er is een aantal oproepen om even bij de collega's te rade te gaan. Mevrouw Van Ginneken en de heer Azarkan hebben gesproken over het bijzondere inlichtingenbureau. Dat zit volgens mij bij SZW, bij Koolmees. Ik zal in ieder geval aan hen vragen op welke termijn zij u daarover nader zullen informeren.

De heer Ellian vroeg naar de verbeterpunten voor de AP. Hij somde er een aantal op. Dat zijn precies de dingen waarvan ook ik vind: dat moet en kan beter. We hebben natuurlijk niet voor niets afgesproken dat het extra geld voor een aantal verbeterslagen natuurlijk ook wat moet opleveren. Ik verwacht in de gesprekken die wij daarover voeren met de AP, dat ze daar echt wel verbeteringen laten zien. Na afloop is het sowieso goed om te reflecteren op de uitkomsten daarvan. Wat betekent dat eigenlijk voor de uitleg van de wet en hoe gaan we daarmee verder? Ik heb overigens niet precies in het vizier hoelang dat duurt. Zeker bij beroepszaken kan dat natuurlijk wel even tijd kosten.

Mevrouw Kathmann noemde een terecht punt. Ik kom samen met mijn collega van Binnenlandse Zaken terug op dat gemeentepunt. Zij heeft al direct een hele snelle oplossing voor elkaar, en dat is meer geld. Ik denk dat dat wat eenvoudig is. Ik denk dat er vooral ook veel moet gebeuren binnen de gemeenten zelf. Het is dus niet een kwestie van: als je de AP maar sterker maakt, dan voorkom je dit soort dingen in gemeenten. Ik zou het misschien wel willen omdraaien: misschien moet je meer investeren in gemeenten om ervoor te zorgen dat die informatiefunctie en gegevensbescherming worden opgetild. Want daar begint het uiteindelijk. Nu loop ik al vooruit op wat er moet en wat er kan, maar ik kom daar samen met mijn collega's op terug.

Mevrouw Koekkoek vroeg naar het waardenkader best practices. Als we straks kijken naar wat er in de komende tijd voor de AP nodig is, dan moeten we ons ook realiseren dat als we meer willen, dat ook meer geld kost. En als er bepaalde problemen zijn, moet je kijken wat je extra kunt doen om daarop in te zetten. Ik maak maar even de vergelijking met de politie. Als we vinden dat er meer moet gebeuren tegen ondermijning, dan trekt een kabinet extra geld uit voor de bestrijding van ondermijnende criminaliteit en dan ga je ervan uit dat daarop wordt ingezet met goede afspraken. Ik vermoed dat als straks een nieuw kabinet zegt, in lijn bijvoorbeeld met de motie die er ligt, dat er wat meer zou moeten gebeuren in de richting van de AP, er ook gekeken wordt waar dat dan uiteindelijk naartoe moet. De AP heeft natuurlijk een grote onafhankelijke positie, maar ik denk dat we in een goed gesprek, ook vanuit die waarden, best een eind kunnen komen.

Mevrouw Kuik vroeg of er een tussenvorm mogelijk is van de extremen die ik aanduidde. Ik vind dat nog te voorbarig, maar ik zie wel dat ook de Commissie zelf in de evaluatie aangeeft dat de European Board nog niet optimaal functioneert en dat we een intensief gesprek aan moeten gaan over hoe we dat beter laten functioneren. Ik ben nog niet toe aan een stelselwijziging. Laten we eerst kijken wat er binnen deze kaders kan om een aantal van die problemen te ondervangen voordat we zeggen dat we naar een tussenvorm moeten of helemaal moeten overstappen naar een andere vorm. Dit soort dingen leert vaak dat het even tijd kost om het goed uit te laten trillen en in te laten werken.

De tip over de Consumentenbond neem ik mee. Wellicht hebt u ook nog een aantal andere. Als u zegt «ga ook nog eens een keer met die praten», weet u me te vinden.

Tot slot had ik mevrouw Koekkoek nog beloofd om terug te komen op een vraag uit de eerste termijn, namelijk over de sectorspecifieke gevallen. Ik gaf al aan dat de AVG voor iedereen geldt. Dat punt loopt, maar dat betekent niet dat er helemaal niets kan gebeuren. In sectorspecifieke wetgeving kan dat vaak wel. Ik ben op dit moment bezig met het opstellen van een verzamelwet gegevensbescherming. In die wet, eigenlijk een wijziging van de UAVG maar ook van een aantal sectorwetten, komen verschillende onderwerpen van uiteenlopende aard aan de orde. In die verzamelwet zijn bijvoorbeeld voorstellen opgenomen over de mogelijkheden die accountants en curatoren hebben in de omgang met persoonsgegevens, vooral als het gaat om de bijzondere categorieën van persoonsgegevens. Er wordt ook voorzien in een wijziging van de Faillissementswet, waarbij voorstellen worden gedaan over de positie van de curator bij waardevolle gegevensbestanden. Het voorstel is nog in consultatie, dus we wachten heel erg op de feedback vanuit de praktijk en dus ook vanuit die sectoren. Tot slot wordt in dat voorstel ook een aantal voorstellen gedaan over de overdracht van medische gegevens bij faillissementen in de zorgsector. Dat zijn hele specifieke situaties waarvoor je toch iets moet regelen om ervoor te zorgen dat bijvoorbeeld patiëntgegevens niet ergens in een zwart gat verdwijnen.

De voorzitter:

Dank u wel voor deze beantwoording in tweede termijn. Dan rest mij nog het voorlezen van de toezeggingen die zijn gedaan. Let u allemaal goed op of de griffier en ik het goed hebben gehoord en genoteerd. Zo niet, dan bestaat de gelegenheid om nog kort aan te vullen. Dat hoeft niet bij iedere toezegging, want dan redden we het nog steeds niet.

  • In de beantwoording van schriftelijke vragen hierover zal de Minister uitgebreid ingaan op de mogelijkheden om softwarepakketten AVG-proof te maken in Europees verband. Een toezegging in de richting van mevrouw Kathmann.

  • De Minister zal de mogelijkheden voor meer gegevensbescherming in het bestuursrecht bekijken en zal daarbij ook schriftelijk reageren op het artikel dat is overhandigd. Een toezegging in mijn richting.

  • De Kamer zal worden geïnformeerd over horizontale privacy en de laagdrempelige voorziening. Een toezegging in de richting van de heer Ellian. We missen nog een termijn op dat punt. Hebben wij dat gemist? De Minister zegt «derde kwartaal». Dat staat genoteerd.

  • In de volgende rapportage wordt de Kamer geïnformeerd over de mogelijkheden om de bescherming van persoonsgegevens van kinderen te intensiveren. Een toezegging in de richting van de heer Ceder.

  • In de kabinetsreactie op de Digital Services Act zal ook worden ingegaan op de overdraagbaarheid van gegevens. Een toezegging in de richting van mevrouw Koekkoek.

Dat waren ze. Heeft iemand iets gemist? Ik zie de heer Ellian.

De heer Ellian (VVD):

Eentje. Een Kamerbrief na afloop van de gerechtelijke procedures.

De voorzitter:

De Minister knikt bevestigend. Daar kan vanzelfsprekend geen termijn aan worden gekoppeld.

Minister Dekker:

Of het een aparte brief wordt of een bredere over de AP, we hebben het genoteerd.

De voorzitter:

Daarmee is ook de heer Ellian akkoord. Ik kijk nog een keer om me heen. Dan sta ik op het punt deze vergadering te sluiten, maar niet dan nadat ik alle ondersteuning van harte heb bedankt, de bodes en alle anderen, de griffier, de leden voor hun bijdragen, de Minister en zijn ambtenaren. Dank u wel allemaal en een fijne dag verder.

Sluiting 12.55 uur.

Naar boven