Handeling
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | nr. 59, item 4 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2017-2018 | nr. 59, item 4 |
Aan de orde is de behandeling van:
- het wetsvoorstel Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming) ( 34851 ).
De voorzitter:
Wij gaan praten over de Uitvoeringswet Algemene verordening gegevensbescherming. Een hartelijk woord van welkom aan de minister. Fijn dat u weer bij ons bent. Wij hebben voor dit debat zes sprekers van de zijde van de Kamer. De eerste spreker is mevrouw Buitenweg van de fractie van GroenLinks. Ik geef haar het woord. Zij heeft een spreektijd aangevraagd van tien minuten. Het woord is aan haar.
De algemene beraadslaging wordt geopend.
Mevrouw Buitenweg (GroenLinks):
Dank u, meneer de voorzitter. Wij behandelen vandaag het wetsvoorstel ter uitvoering in Nederland van de Europese verordening gegevensbescherming. Die verordening is het resultaat van lange onderhandelingen tussen het Europees Parlement en de Raad. De Tweede Kamer heeft dit proces kunnen beïnvloeden via de Nederlandse minister in de Raad. Nu rest ons invulling te geven aan de ruimte die de Europese wetgever ons heeft geboden. Het is bijzonder dat de wettelijke normen om een mensenrecht te realiseren — daar gaat het om: privacy — voor het grootste deel op het Europese niveau worden bepaald, niet nationaal. Dit is een goed moment om aan terug te denken, als over ruim een jaar de Europese verkiezingen worden gehouden. Het gaat ergens over in Brussel.
Het doel van deze verordening is om de rechten van burgers uit te breiden, om privacyregels te moderniseren in een setting waarin de technologische ontwikkelingen ontzettend snel gaan en om het opereren van bedrijven op de interne markt te vergemakkelijken door voor alle lidstaten een gelijkwaardig minimumniveau aan bescherming vast te leggen. Wat GroenLinks betreft is de nieuwe verordening een verbetering ten opzichte van de huidige privacyregels. Burgers krijgen meer zeggenschap over hun eigen gegevens. Wie persoonsgegevens verwerkt, moet voortaan eerst aan de betrokkenen toestemming vragen en uitleggen waarvoor en hoe de persoonsgegevens nodig zijn. Mensen mogen met deze verordening vragen dat hun gegevens gewist worden: het mooi geformuleerde recht om vergeten te worden. Gegevensverwerkers moeten bereid zijn om persoonsgegevens beschikbaar te stellen aan betrokkenen om elders te gebruiken, de dataportabiliteit.
Voorzitter. Wij hebben ook nog wel wat wensen en opmerkingen en die zal ik vandaag voorleggen. Hoewel de nationale manoeuvreerruimte beperkt is, is het goed om de verordening vandaag uitgebreid te bespreken, zodat wij maar vooral ook alle bedrijven en organisaties die data verwerken en burgers die hun recht willen uitoefenen precies weten wat de verordening inhoudt. Laat ik beginnen met een onderwerp waar de nationale wetgever voldoende ruimte heeft en dat ik deze week thuis uitvoerig heb besproken: de leeftijdsgrens vanaf wanneer kinderen zonder toestemming van hun ouders mogen instemmen met het verwerken van hun persoonsgegevens. In andere woorden: de minimumleeftijd voor het autonoom mogen downloaden van een app, het abonneren op een onlinenieuwsbrief of zelfs het zelfstandig mogen googelen.
De Europese verordening laat het aan de lidstaten om een minimumleeftijd te kiezen zolang die niet jonger is dan 13 jaar. Nederland heeft ervoor gekozen om de minimumleeftijd niet te veranderen ten opzichte van nu. Beleidsneutraal heet dat. Wij houden het op 16 jaar. Maar omdat de setting verandert, omdat nu voor alles expliciet toestemming nodig is, leidt die zogenaamde neutraliteit wel tot een echte verandering. Daar is dus niks neutraals aan. Hoe verhoudt nu het permanent om toestemming moeten vragen zich tot het recht van kinderen — denk aan het Kinderrechtenverdrag — om zich vrij te kunnen ontplooien? Wij vinden kinderen vanaf 12 jaar wel verstandig genoeg om mee te kunnen praten over een medische behandeling of over een omgangsregeling met ouders in het geval van een scheiding, maar voor het downloaden van NU.nl hebben we minder fiducie in hun onderscheidingsvermogen. De minister heeft in de nota van wijziging van vorige week een uitzondering opgenomen voor hulp- en adviesdiensten. Dat is op zich een stap in de goede richting. Dan kunnen jongeren in ieder geval om hulp vragen, bijvoorbeeld als ze willen praten over seksualiteit of als er iets is gebeurd, zonder dat ze eerst langs hun ouders moeten. Maar wat is een adviesdienst? Als jongeren onderling chatten over hun problemen of over hun gevoelens, valt dat er dan onder? GroenLinks is voor een verlaging van de leeftijd naar 13 jaar. Ik wil de minister vragen dit toch ook te overwegen, al is het maar uit praktische overwegingen. Want ik heb de verschillende artikelen eens in samenhang gezien. Deze Europese verordening regelt dat het recht geldt van het EU-land waarin een hoofdkantoor gevestigd is. Dat is bijvoorbeeld voor Facebook in Dublin. Daar hanteert men, zoals in heel veel Europese landen, een leeftijdsgrens van 13 jaar. Klopt het nu dat je dus voor een Nederlands internetforum 16 jaar moet zijn, maar voor Facebook 13 jaar? Volgens mij schieten we hier niets mee op en doen we er een stuk beter aan om kinderen goed te leren omgaan met social media. Vandaar mijn amendement.
Ik heb ook een amendement ingediend om de journalistieke exceptie wat ruimer te maken. Er moet geen twijfel zijn dat journalisten vrij hun nieuws kunnen vergaren. Daarbij komen veel persoonsgegevens kijken. Denk aan de Panamapapers, aan LuxLeaks of aan het onderzoek naar de erfpacht van joodse onderduikers in Amsterdam. Daar zit soms ook gevoelige informatie bij, zoals het strafverleden. De Europese verordening laat meer ruimte voor uitzonderingen voor journalisten dan Nederland nu pakt. Die beperking heb ik niet voldoende gemotiveerd gezien. Vandaar mijn amendement om de Europese ruimte wel volledig te benutten.
Een derde amendement voorziet in de mogelijkheid om via een AMvB te regelen dat bedrijven mogen melden wanneer zij databases met informatie aan de inlichtingen- en veiligheidsdiensten hebben gegeven. Natuurlijk kan dit alleen als de nationale veiligheid niet in het geding komt. De Wet op de inlichtingen- en veiligheidsdiensten regelt dat bedrijven gevraagd kunnen worden om informatie af te staan. Met uitzondering van communicatiebedrijven die een verplichting daartoe hebben, kunnen bedrijven nee of ja zeggen. Dat is dus een keuze, zonder juridische verplichting. We willen graag dat bedrijven mogen zeggen dat de informatie is afgestaan.
Voorzitter. Een van de meest bijzondere rechten die in de verordening staan, is het recht om niet te worden onderworpen aan een geautomatiseerd besluit. Dit staat in artikel 22 van de verordening. Maar wat is nu de implicatie van dit artikel? Volgens dit artikel mogen besluiten waaraan rechtsgevolgen worden ontleend, niet uitsluitend zijn gebaseerd op een geautomatiseerde verwerking van persoonsgegevens. Er moet altijd een handeling tussen zitten. In de richtlijn wordt niks gezegd over hoe significant die handeling dan moet zijn. Kan die handeling volgens de minister marginaal zijn? Of gaat het nog steeds om een inhoudelijk oordeel? Ik denk in dit verband aan de ophef die vorig jaar ontstond over e-Court. Deze private rechtbank vonniste via algoritmes. De meeste vonnissen kregen wel een stempel van de rechtbank in Almelo. Het rechtsgevolg was dus niet onverkort en alleen het resultaat van algoritmes. Kan de minister uiteenzetten wat nu inhoudelijk minimaal nodig is voor e-Court om in lijn te handelen met de AVG? Betekent het dat voortaan een inhoudelijke toets vereist is door een persoon of niet?
Voorzitter. Profiling blijft wel mogelijk als het berust op de uitdrukkelijke toestemming van de betrokkene. Uitdrukkelijke toestemming veronderstelt dat iemand een besluit kan overzien. Je moet weten wat de implicaties zijn als je iets accordeert. Wat GroenLinks betreft is het in dat kader noodzakelijk dat algoritmes transparant zijn of in ieder geval kunnen worden onderzocht. Is de minister dit met mij eens? Transparantie van algoritmes is ook nodig om eventuele discriminerende gevolgen van de geautomatiseerde gegevensverwerking te zien en te bestrijden. Want hoe anders kan invulling worden gegeven aan de verplichting om discriminerende gevolgen aan te pakken en te voorkomen?
Geautomatiseerde besluitvorming mag geen betrekking hebben op een kind. Dat is vastgelegd in overweging 71. Er staat niet dat het wel mag met toestemming van de ouders of als de overheid het nuttig vindt, nee, het mag gewoon niet. Zal deze bepaling naar de mening van de minister nog tot serieuze veranderingen in Nederland leiden? Betekent het bijvoorbeeld iets voor het gebruik van risicoprofielen van kinderen waar hulpverleners in sommige gemeenten gebruik van maken? Die profielen kunnen naast nuttig ook behoorlijk stigmatiserend zijn. Overweging 71 is niet juridisch bindend op eenzelfde wijze als de artikelen van de verordening. Maar zo'n considerans kan wel het begin van een rechtsontwikkeling zijn. Volgens diverse deskundigen zijn de specifieke rechten van kinderen nu echt zo'n onderwerp waar het Europees Comité voor Gegevensbescherming later aanvullende richtsnoeren over zal maken, ook wel zachte wetgeving genoemd.
Dat brengt mij bij het kopje institutionele zaken. Daarbij wil ik heel kort vijf punten aansnijden. Een. Vindt de minister ook dat de democratische legitimiteit van de besluiten door het Europees Comité nu heel erg mager is? GroenLinks zou de minister eigenlijk willen vragen om in Europa te lobbyen voor een aanpassing van de regels om het Europees Parlement alsnog een rol te laten krijgen als die aanvullende richtsnoeren worden gemaakt. Een soort terugfluitrecht, dat we ook in andere gevallen kennen.
Twee. De Autoriteit Persoonsgegevens is de toezichthouder van onze privacyregels. Ze houdt ook toezicht op de overheid. Wat GroenLinks betreft zou het daarom passend zijn dat de Tweede Kamer een rol heeft bij de benoeming van de leden en dat we die niet alleen overlaten aan de regering. We hebben een amendement ingediend om de procedure gelijk te maken aan die van de leden van de Rekenkamer. Graag een reactie van de minister daarop.
Het is belangrijk dat de autoriteit gelijk goed uit de startblokken komt. De verwachting is dat het aantal klachten en vragen om hulp rap zal toenemen in de komende maanden. Het zou slecht zijn als we hier niet aan kunnen voldoen door gebrek aan capaciteit. Dat zou het vertrouwen in de nieuwe rechten van burgers aantasten. Hoe ziet de minister nu de capaciteit? Volgens het onderzoeksrapport van AEF zit het budget onder het bedrag dat werd gezien als het vereiste minimum. Zal dit onderwerp betrokken worden bij de Voorjaarsnota?
De verordening is van toepassing op alle gegevensverwerking in Nederland, dus ook op gegevensverwerking op terreinen waar de Europese Unie geen zeggenschap op heeft. Dat vind ik juridisch ontzettend spannend, want wat betekent dat in geval van conflicten? Heeft het Europese Hof van Justitie dan toch zeggenschap en geldt het Europees Handvest van de grondrechten dan toch onverkort op al die terreinen?
Voor de BES, onze bijzondere Nederlandse gemeenten, geldt de Europese verordening niet. Zij houden hun eigen Wet bescherming persoonsgegevens BES. Ik zou graag van de minister horen wat de reden hiervoor is. Hoe schat hij het risico in dat twee verschillende rechtsregimes zullen ontstaan en wat de gevolgen hiervan zijn voor het delen van gegevens tussen de landen in het koninkrijk?
Ik heb nog een kort vraagje en dan rond ik af. Er is niet voor gekozen om het geslacht op te nemen als een van de bijzonder beschermde persoonsgegevens. Mijn vraag aan de minister is waarom dat zo is en hoe zich dat verhoudt tot het voornemen van het kabinet om de registratie van geslacht als persoonsgegeven juist te beperken.
Ten slotte. Ik weet dat er heel veel zorgen zijn over de implementatie. Voor veel bedrijven is het een grote opgave om deze verordening vorm te geven. Maar hiertoe is al twee jaar geleden besloten, dus bedrijven hadden zich al flink kunnen voorbereiden. Veel bedrijven hebben dat ook gedaan. Wat GroenLinks betreft moet er wel enige coulance zijn als bedrijven al goed op stoom zijn, maar nog niet alle puntjes op de i hebben gezet. Maar de essentie van de richtlijn, dat bedrijven aantoonbaar moeten verantwoorden welke gegevens zij verwerken, met welk doel en hoe zij zijn beveiligd, moet niet op de lange baan geschoven worden.
De voorzitter:
Dank u wel. Dan gaan we luisteren naar de heer Koopmans van de fractie van de VVD.
De heer Koopmans (VVD):
Voorzitter, dank u wel. We hebben het vandaag over fundamentele zaken als vrijheid en veiligheid. Dat zijn essentiële uitgangspunten voor de VVD. Maar ook praktische haalbaarheid en werkbaarheid, en beperking van onzekerheid en regeldruk zijn voor ons van groot belang en deze aspecten moeten vandaag centraal staan.
Eerst over de uitgangspunten. Privacy is vrijheid. Niemand hoeft alles van je te weten en we moeten ons goed beschermen tegen de afkalving van je persoonlijke levenssfeer, die de razendsnelle digitalisering met zich kan meebrengen. Privacy biedt ook veiligheid en geborgenheid. Maar het is ook vrijheid om je gegevens vrijwillig met anderen te delen, bijvoorbeeld omdat je graag wilt dat jouw sportclub en je werkgever rekening houden met jouw handicap of ziekte. Of omdat je je wilt aansluiten bij een studentenvereniging of een muziekstreamingdienst. Of omdat je gemakkelijk met je smartphone je reisroute wilt kunnen bepalen. Een deel van die vrijheid is dus ook dat organisaties gegevens, die ze terecht krijgen, goed kunnen inzetten. Dat geldt altijd, of we het nu over het mkb hebben, over een patiëntenvereniging, over een kerkgenootschap of over een online warenhuis. Zowel de vrijheid om je data te behouden als de vrijheid om je data te delen en voor ieders welzijn te gebruiken, moeten we goed beveiligen en bewaken. We willen controle houden over wat er met de gegevens gebeurt, wie er toegang toe heeft en wie er wat mee mag doen. En je wilt ook weten waar je kunt klagen als er niet goed met je gegevens wordt omgegaan, want zo beveiligen we de vrijheid.
Dan het belang. Het belang van dit alles wordt steeds groter. Door de enorme groei in digitalisering is er steeds meer data over iedereen, die gemakkelijk te gebruiken is voor zowel heel nuttige als heel slechte doeleinden. Gegevens zijn makkelijker voor altijd te bewaren, aan alles te koppelen en wereldwijd te verspreiden. Duidelijke wettelijke kaders worden daarom steeds belangrijker. Mensen, bedrijven en overheden hebben veel te winnen bij het delen en analyseren van data. Maar tegelijkertijd maken mensen zich zorgen over de informatie die over hen verzameld wordt. Wie bij Albert Heijn weet wat van mij? Aan wie verkoopt Google mijn informatie? En blijft mijn data voor altijd bewaard, inzetbaar en verhandelbaar? Regels zijn nodig. Regels moeten ook duidelijk zijn. Je wilt als consument, product, werknemer, werkgever, vereniging of overheid weten wat wel en niet toegestaan is. En je wilt ook dat je, als je over de grens diensten aanbiedt of gebruikt, niet overal met andere regels te maken hebt. Daarom is het goed dat het gegevensbeschermingsrecht nu wordt gemoderniseerd en geharmoniseerd.
Dit is grotendeels al gedaan door de Algemene verordening gegevensbescherming, de AVG, die al in 2016 is vastgesteld, maar eind mei van kracht wordt. Vandaag behandelen we dus niet de AVG, maar alleen de Uitvoeringswet, die met name regelt welke instantie toezicht houdt op de naleving. De Uitvoeringswet moet ook eind mei van kracht zijn. Er is dus haast. Als het niet lukt, zou er kostbare rechtsonzekerheid bestaan voor alle betrokkenen, en rechtsonzekerheid wil de VVD niet. Daarom steunt de VVD de beleidsneutrale invoering van de Uitvoeringswet. Dat betekent dat er inhoudelijk zo veel mogelijk wordt aangesloten bij de huidige Nederlandse wetgeving. Behoudens de door de AVG opgelegde wijzigingen verandert er nu dus materieel bijna niets.
Maar ondanks dat die verordening inmiddels al twee jaar vaststaat, en ondanks dat de Uitvoeringswet zo min mogelijk verandert aan de nu bestaande normen, is er nog veel onzekerheid bij de mensen over wat nu eigenlijk per 25 mei het recht is. Voor een deel is dat ondanks de diverse voorlichtingscampagnes, maar voor een deel is dat ook omdat de regels niet altijd duidelijk waren, of dat nog steeds niet zijn.
Mevrouw Buitenweg (GroenLinks):
De heer Koopmans zegt dat er materieel niet zo veel verandert vanwege de beleidsneutrale bepaling. Maar kan hij zich voorstellen dat het, vanwege de eis dat je nu overal toestemming moet krijgen, bijvoorbeeld voor kinderen tot 16 jaar, in werkelijkheid wel degelijk net een iets andere situatie oplevert dan voorheen?
De heer Koopmans (VVD):
Zeker. De regels veranderen door de verordening die twee jaar geleden is vastgesteld en binnenkort van kracht wordt. Dat is een grote verandering. In die zin verandert er dus heel veel. De Uitvoeringswet die nu voorligt probeert eigenlijk zo weinig mogelijk nog daarbij te veranderen. Dat lijkt mij, gezien de rechtszekerheid nu, een goede keuze.
Mevrouw Buitenweg (GroenLinks):
Maar bent u het met mij eens, zeg ik via de voorzitter, dat het er in de praktijk toch toe kan leiden dat er, juist als je niks verandert in Nederland, door de Europese regels die van kracht worden vanaf 25 mei een grote verandering kan zijn voor jongeren, zodat zij nu ineens wel toestemming moeten vragen voor het downloaden van verschillende apps, terwijl zij dat voorheen niet hoefden?
De heer Koopmans (VVD):
Ja. Daarom wil ik juist voorstellen — daar kom ik straks nog op — dat wij deze Uitvoeringswet voor de duidelijkheid nu beleidsneutraal en snel invoeren. Ik wil ook vragen aan de minister om op korte termijn — ik denk aan een paar maanden — te bekijken hoe het in de praktijk werkt. Ik wil hem ook vragen om te kijken of er nog aanpassingen gedaan kunnen en moeten worden op specifieke punten, bijvoorbeeld de onlinetoegang van jongeren. Ik hoop daarin ook mevrouw Buitenweg naast mij te vinden.
Voorzitter, ik vervolg. Die onzekerheid, die onduidelijkheid komt voornamelijk door de verordening zelf. Die ligt hier nu dus niet voor, maar die kent heel veel vage normen. Die normen zijn natuurlijk ook nog niet in de praktijk getest. Dat begint pas eind mei. Er is daarom ook nog geen grote praktijkervaring, of überhaupt geen praktijkervaring. Er zijn ook nog geen aanwijzingen van de toezichthouders en geen rechterlijke uitspraken. Ook de Uitvoeringswet is natuurlijk nog niet getest. Ook de Autoriteit Persoonsgegevens moet zich in de nieuwe omgeving bewijzen.
Er zijn daarom nog veel vragen bij de VVD. Die vragen komen van de mensen in het land, van ondernemers, verenigingen, belangenorganisaties, overheden en heel veel anderen. Ik dank de minister voor de eerdere uitgebreide beantwoording van de vele schriftelijke vragen die ik op basis van die vragen uit het land al aan hem heb gesteld, maar ik wil ook hier nog een aantal vragen stellen, opdat wij en de mensen in het land zo veel mogelijk duidelijkheid hebben over die regels. Ik begin met een paar algemene vragen.
Eén. Ondanks de voorlichtingscampagnes lijken het mkb, verenigingen, kleinere overheden en andere organisaties vaak nog onvoldoende voorbereid te zijn op de komst van de verordening. Wat kunnen de minister en de Autoriteit Persoonsgegevens de komende maanden nog meer doen om die bekendheid te vergroten?
Twee: kan de minister meer duidelijkheid geven over wanneer een zorginstelling, een bedrijf of een vereniging een functionaris gegevensverwerking nodig heeft?
Drie: hoe zit het met de verwerking van gezondheidsgegevens door sportorganisaties, bijvoorbeeld in het kader van gehandicaptensport?
Vier: hoe doen we het precies met de mogelijkheden voor jongeren onder 16 jaar om online profielen te maken, bijvoorbeeld om buiten hun ouders om advies te vragen aan hulpinstanties? Mevrouw Buitenweg noemde dit punt zojuist ook al.
Vijf: is er, gezien de vele hacks en datalekken waar we nu iedere dag weer van horen, voldoende aandacht voor de veilige opslag van gegevens? We kunnen wel heel goed regelen hoe je ze moet gebruiken, maar als ze onveilig liggen opgeslagen, heb je daar niet zoveel aan. Dus is in het komende recht voldoende geregeld waar die data worden beheerd, wie de eigenaar is, wie toegang heeft en hoe dit intern moet worden gehandhaafd? Zo niet, wat kunnen wij — de minister samen met ons — dan doen om ervoor te zorgen dat dit zo snel mogelijk wel het geval is?
Zes. De Autoriteit Persoonsgegevens heeft veel taken, waaronder normering, advisering, toezicht en straffen. Is de machtenscheiding voldoende gewaarborgd?
De zevende en laatste algemene vraag is of wij er samen voor kunnen zorgen dat er in de top van de Autoriteit Persoonsgegevens voldoende ervaring is met de toepassing van de wet voor het bedrijfsleven en voor andere mensen in de praktijk en dat er dus voldoende technisch en praktisch inzicht is om de problemen van de regulering te beoordelen. Hiertoe heb ik samen met mijn collega Van Dam van het CDA en de heer Verhoeven van D66 een amendement ingediend. Wij willen dat er een derde bestuurslid komt, bijvoorbeeld een ondernemer maar in ieder geval iemand met grote praktijkervaring inzake de gegevensverwerking.
En dan het vervolgtraject. De vragen die ik zojuist stelde, zijn maar een deel van de in het land levende vragen en zorgen over deze nieuwe regelgeving. Het is dan ook heel goed dat de minister al heeft aangeboden om snel een vervolgtraject te starten om daar de eventueel nog mogelijke beleidskeuzes in op te nemen, te bezien waar nog nationale regelruimte is of waar hij misschien op Europees niveau voor aanpassing wil pleiten en nog eens heel kritisch te kijken naar hoe het in de praktijk allemaal werkt als dit eenmaal is ingevoerd. Dit vervolgtraject moet in onze optiek dan ook zo snel mogelijk beginnen en ook zo snel mogelijk tot resultaten leiden. Daarom wil ik — naar ik aanneem samen met veel collega's hier — vragen of de regering ongeveer een halfjaar na inwerkingtreding van de nieuwe regels kan berichten over mogelijke knelpunten en meteen voorstellen kan doen hoe die zo nodig aangepakt kunnen worden. Ik denk hierbij aan een lijstje. Ik ga die punten noemen; het zijn er tien.
1. de verwerking van gezondheidsgegevens in het kader van sportbeoefening.
2. de verwerking van gegevens door kleinere organisaties zoals vrijwilligersverenigingen, kerkgenootschappen en andere organisaties.
3. de verwerking van gezondheidsgegevens van werknemers.
4. het branchebreed aanleggen van zwarte lijsten van fraudeurs, want we willen allemaal fraudeurs aanpakken. Moet daar niet nog meer aan gedaan worden? Dat kan.
5. vragen over het toepassingsgebied van de verordening, met name gezien de uitzonderingen voor zuiver persoonlijke of huishoudelijke activiteiten. Ik begrijp dat dit in de verordening ligt, maar als dat niet duidelijk is, kan de minister dan hier of in Brussel kijken of op dit punt meer duidelijkheid gecreëerd kan worden?
6. de leeftijdsgrens voor kinderen om hen in een onlineomgeving rechtsgeldig gebruik te kunnen laten maken van hun persoonsgegevens. Moet daar niet meer gedaan worden? 7. de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken.
8. de ruimte van het gebruik van persoonsgegevens voor journalistieke doeleinden.
9. de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming.
10. de mogelijkheid om het ex parte verbod, analoog aan artikel 1090e van het Wetboek van Burgerlijke Rechtsvordering, van toepassing te verklaren op ernstige schendingen van de Algemene verordening gegevensbescherming.
Voorzitter, dit was de laatste van mijn tien punten, maar niet het eind van mijn betoog.
De voorzitter:
De heer Van der Staaij wil ze nog een keer horen, denk ik.
De heer Van der Staaij (SGP):
Ja, nummer drie was ik even kwijt! Nee hoor, daar gaat het me niet om. Ik wil het even op me laten inwerken. Het is nogal een waslijst aan punten waarvan de VVD-fractie zegt dat ze eigenlijk nog niet helder zijn. Dat ben ik met hem eens. Op zichzelf steun voor de gedachte dat er verheldering moet komen, maar wat zegt dat over de rechtszekerheid die nu aan de orde is met de verordening en de Uitvoeringswet die we hebben?
De heer Koopmans (VVD):
Met de heer Van der Staaij ben ik het zeker eens als hij zegt dat er heel veel vage normen in die verordening staan. De verordening is twee jaar geleden op Europees niveau aangenomen door de lidstaten en de Commissies. Op die verordening zijn wij heel kritisch, maar die verordening ligt hier niet voor. We hebben het nu over de Uitvoeringswet waarin we in essentie zeggen: daar is de Autoriteit Persoonsgegevens, daar kunt u klagen, daar wordt het gehandhaafd. Ik denk wel dat dit het moment is om aan de minister te vragen om te bekijken hoe wij de rechtszekerheid zo veel mogelijk kunnen bevorderen. Bijvoorbeeld door de praktijk kritisch te volgen, door de minister te vragen wat er nog kan worden veranderd, maar er is nog een laatste element. Deze Uitvoeringswet, die over twee maanden al van kracht wordt, moet nu beleidsneutraal worden ingevoerd, zodat de mensen weten waar zij wat dat betreft aan toe zijn. Ik wil heel graag samen met de heer Van der Staaij, en ook met mevrouw Buitenweg en ik denk met iedereen, zo veel mogelijk duidelijkheid en helderheid. Daarom noem ik deze punten.
De heer Van der Staaij (SGP):
Nogmaals, met de wens tot verduidelijking ben ik het helemaal eens. Ik zoek toch nog even naar de reflectie op wat dit voor een wetgeving is. We hebben nog op zo veel punten onzekerheid en onduidelijkheid, en tot welke conclusie brengt dit de heer Koopmans? Is dit een mooi wetgevingsproces zoals we dat meer moeten hebben, of vindt hij dat het deze kant helemaal niet op moet?
De heer Koopmans (VVD):
Ik ben met de heer Van der Staaij heel kritisch over deze verordening. Er staan een hoop vage normen in en het brengt een hoop onzekerheid in de wereld wanneer die straks van kracht wordt. Op dit moment kunnen wij daar niets meer aan doen. Dit was overigens een Europese verordening, aangenomen in 2016. Ik was toen nog niet in dit huis en ze werd ook niet hier aangenomen. Die verordening moet nu worden uitgevoerd. We moeten zo veel mogelijk doen om de mensen in het land zekerheid te bieden. Daarom heb ik dit lijstje opgesteld met adviezen van veel collega's om de minister te vragen het kritisch te volgen en voorstellen te doen over hoe we het kunnen invullen.
Mevrouw Buitenweg (GroenLinks):
Dit is meer een soort tijdelijke correctie in het belang van de democratische legitimiteit die deze verordening heeft. U zei …
De voorzitter:
De heer Koopmans zei.
Mevrouw Buitenweg (GroenLinks):
De heer Koopmans zei dat het was goedgekeurd door de Raad en de Europese Commissie, maar het ging natuurlijk juist ook door het Europees Parlement. Nu hier van die kritische noten worden gekraakt, is het goed te bedenken dat de verordening in 2016 is aangenomen. Hadden wij zelf in Nederland niet veel eerder deze verordening moeten bespreken? Is het niet mede door de nationale wetgever dat we nu zo heel erg laat zijn, waardoor er heel veel onduidelijk is?
De heer Koopmans (VVD):
Ik wil niet ergens de schuld leggen, ik wil de schuldvraag nu überhaupt niet behandelen. Ik wil vooral dat mensen duidelijkheid hebben. Daarom doe ik mijn best om samen met collega's en hopelijk ook samen met de minister de mensen zo veel mogelijk van die duidelijkheid te bieden. Het is nu niet aan mij om me uit te laten over de vraag of voorgangers van welke partij dan ook het al dan niet goed hebben gedaan. Mensen willen duidelijkheid en laten we die duidelijkheid creëren.
Mevrouw Buitenweg (GroenLinks):
Zeker.
De heer Koopmans (VVD):
Dat ben ik met mevrouw Buitenweg eens. Het is nu niet de tijd voor vingerwijzen. Iedereen heeft zijn verantwoordelijkheid. Ik denk dat onze hoofdverantwoordelijkheid nu is om zo veel mogelijk duidelijkheid te bieden. Ik ben blij dat we dat nu breed gedeeld kunnen aandragen.
Voorzitter, ik ben bijna klaar, als u mij toestaat. Ik hoor graag van de minister hoe hij denkt over deze tien punten.
Dan nog iets over hulpvaardige handhaving. Gezien de vele vragen en onzekerheden die er nog leven, zeker in deze opstartfase, waarin veel dingen nog niet zo duidelijk en bekend zijn als we zouden willen, wil de VVD zich uitspreken voor een hulpvaardige handhaving. Ik zeg daarbij expliciet dat wij volledig de onafhankelijkheid respecteren van de Autoriteit Persoonsgegevens. We willen ook helemaal niets afdoen aan haar taak om bewuste, ernstige overtredingen te bestraffen. Want nogmaals, privacy is voor ons enorm belangrijk. Maar nu veel ondernemers, sportverenigingen, vrijwilligersorganisaties, kerkgenootschappen en privépersonen nog veel vragen hebben over de inhoud en de reikwijdte van de regels, vinden wij dat de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair hoort te richten op voorlichting en hulp bij de interpretatie en de uitvoering van de regelgeving. Dat laat onverlet haar handhavingstaak inzake bewuste schendingen. Ik vraag de minister of hij zich hierin kan vinden.
Voorzitter. Ik kom bij mijn conclusie. Het gaat hier om een steeds belangrijker aspect voor onze vrijheid en onze veiligheid: het beheer en het gebruik van gegevens. Daar moeten heldere en praktische regels voor zijn, zonder onnodige regeldruk te creëren. Met name in de opstartfase is het van belang dat we, en dan met name de Autoriteit Persoonsgegevens, de goedwillenden helpen. Die heldere en praktische regels dienen dan ook helder te worden ontwikkeld, uitgelegd en gehandhaafd door mensen die oog hebben voor de praktijk van Nederland en voor onze vrijheid en onze veiligheid.
Voorzitter, dank u wel.
De voorzitter:
Dank u wel. Dan gaan we luisteren naar de heer Van Nispen van de SP.
De heer Van Nispen (SP):
Vandaag nemen we afscheid van onze Wet bescherming persoonsgegevens, maar we krijgen er de Uitvoeringswet Algemene verordening gegevensbescherming voor terug. Dat wordt onze belangrijke privacywet. We bespreken dus vandaag een heel erg belangrijk onderwerp: de bescherming van onze persoonsgegevens en onze privacy, een grondrecht. Daar is heel erg lang over onderhandeld in de Europese Unie. Er zijn duizenden amendementen ingediend. Het was een heel intensief traject, ook op de voet gevolgd door de Tweede Kamer, zo kan ik hier wel degelijk stellen. Maar dat maakt ook dat we vandaag, anders dan meestal het geval is, niet zo heel veel meer kunnen veranderen aan wat er voorligt, als we dat al zouden willen.
Het voornaamste doel van de AVG is om te voorkomen dat bedrijven producten en diensten aanbieden vanuit EU-lidstaten met een laag niveau van gegevensbescherming. Met de inwerkingtreding van de AVG ontstaat als het goed is een gelijk privacybeschermingsniveau binnen de Europese Unie. Overal bescherming van de privacy, dat is in principe een goed uitgangspunt. Hoe gaat het eigenlijk met de invoering van de verordening in andere EU-lidstaten? En, belangrijker nog, hoe gaat het met de naleving en handhaving in de praktijk? Zijn er bijvoorbeeld landen waar de minister zich zorgen over maakt?
Een goede bescherming van de privacy van alle mensen is van groot belang, zeker in een tijd waarin technologische ontwikkelingen zo snel gaan dat mensen de controle over hun gegevens steeds meer lijken te verliezen. Met deze verordening worden de rechten van betrokkenen versterkt, zoals het recht om vergeten te worden. De daarmee samenhangende verplichtingen voor de verwerkingsverantwoordelijken worden juist strenger. Ook de sancties op overtredingen van de privacyregels worden strenger. De AVG regelt dat toezichthouders een bestuurlijke boete kunnen opleggen tot maximaal 20 miljoen euro of tot 4% van de wereldwijde jaaromzet als dit bedrag hoger is. Dat is een flinke verhoging ten opzichte van de maximale boete die de Autoriteit Persoonsgegevens nu kan opleggen bij overtredingen van de Wet bescherming persoonsgegevens. Dat vindt de SP zeer terecht, maar het staat of valt natuurlijk wel met de daadkracht van de toezichthouder.
Dan kom ik specifiek bij de Autoriteit Persoonsgegevens. Want een waakhond moet niet alleen tanden krijgen, maar moet ook kunnen bijten als het moet. De Autoriteit Persoonsgegevens krijgt er met de invoering van de AVG fors wat extra taken bij en heeft in dat kader laten onderzoeken hoeveel extra budget er nodig is om al die taken naar behoren uit te voeren. Uit dat onderzoek — dat is het rapport van Andersson Elffers Felix — bleek dat er waarschijnlijk een extra bedrag nodig is van tussen de 16 miljoen euro en 22 miljoen euro. Toch komt er nu 7 miljoen euro extra bij vanaf 2019. Dat is niet niks. Dat is fors extra geld, maar dat is wel fors lager dan uit dat onderzoek bleek. Achteraf zal de minister dan in de gaten houden of de Autoriteit Persoonsgegevens toch meer geld nodig heeft. Ik vraag dan toch wat dan het nut is geweest van het onderzoek dat is uitgevoerd, als we er vervolgens niet naar handelen. Waarom kiest de minister ervoor de Autoriteit Persoonsgegevens te onderfinancieren? Kan de autoriteit wel adequaat toezichthouden als de AVG straks in werking treedt? Die extra taken van de autoriteit liggen namelijk ook op het gebied van voorlichting. Dat is heel erg terecht. We vragen nogal wat van verwerkingsverantwoordelijken, meestal de bedrijven die persoonsgegevens verwerken. Die krijgen er op grond van deze verordening een hoop extra verplichtingen bij. De vraag die we bijvoorbeeld gesteld hebben is of ook het midden- en kleinbedrijf er klaar voor is. Ja, zei toen de minister, en als ze nog vragen hebben, kunnen ze zich wenden tot de Autoriteit Persoonsgegevens voor advies. Maar kan de autoriteit dat dan wel allemaal aan? Dit staat nog los van de principiële vraag hoe dat dan moet. Als de autoriteit eerst het advies geeft dat bepaalde verwerkingen niet zouden zijn toegestaan, vanaf wanneer kan dan met goed fatsoen handhavend worden opgetreden? Adviezen en handhaving in één hand zijn altijd ingewikkeld. Graag een reactie van de minister.
Ik kom terug op het vorige punt over het budget en de capaciteit. De Autoriteit Persoonsgegevens moet meer voorlichting gaan geven aan mensen over wat er wel en niet mag met hun persoonsgegevens. Daar ben ik het echt heel erg mee eens. Daar heeft de SP vaak voor gepleit. Er komt nu een klantcontactcentrum met ruime telefonische openingstijden en een digitaal klachtformulier. Het doel is — ik citeer — "om de klachten van burgers voor een belangrijk deel telefonisch op te lossen door bemiddelend op te treden, maar de Autoriteit Persoonsgegevens kan en zal in reactie op een overtreding waar nodig ook passende sancties opleggen", aldus de minister. Dat klinkt echt heel erg goed, maar als de minister dit allemaal belooft, dan moeten eigenlijk ook de financiële middelen bij worden geleverd. Stel dat het budget inderdaad niet toereikend blijkt, zoals voorspeld door het onderzoek, wat laat de Autoriteit Persoonsgegevens dan als eerste zitten? Geeft ze dan minder voorlichting aan burgers en bedrijven? Gaat ze minder klachtafhandeling en -bemiddeling doen? Gaat ze minder handhaven en minder boetes geven? Graag een reactie van de minister.
Dan heb ik nog vragen en opmerkingen over een hoop andere onderwerpen. Ik maak mij zorgen over de geautomatiseerde besluitvorming. Op basis van de AVG is het mogelijk voor bedrijven om geautomatiseerde besluitvorming toe te passen. Artikel 40 staat namelijk uitzonderingen toe op dat verbod. De SP wijst toch op de risico's die dit met zich mee kan brengen. Zo weten veel mensen vaak niet dat ze geprofileerd worden of onderhevig zijn aan geautomatiseerde besluitvorming. Persoonlijke omstandigheden worden doorgaans niet meegewogen bij automatische besluitvorming en het kan ook onmogelijk zijn om fouten met terugwerkende kracht terug te draaien. Ik ben bezorgd dat de uitzonderingen in het huidige voorstel op het verbod op geautomatiseerde besluitvorming toch te ruim zijn. Hoe wordt in de praktijk bijvoorbeeld getoetst of bedrijven de grens van de uitzonderingen niet gaan overschrijden? Moeten bedrijven zich hier bijvoorbeeld jaarlijks over verantwoorden tegenover de Autoriteit Persoonsgegevens? Zo nee, zou dat niet misschien een goed idee zijn?
Dan kom ik op een ander punt. Het melden van een datalek is in principe verplicht, maar niet voor financiële ondernemingen. In artikel 42 van de Uitvoeringswet worden financiële ondernemingen uitgezonderd van die meldingsplicht aan betrokkenen. Deze uitzondering snapt de Autoriteit Persoonsgegevens niet en de SP eigenlijk ook niet. Ook de klanten van de financiële ondernemingen moeten op de hoogte worden gebracht van een datalek, indien dat lek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dat zal vaak het geval zijn. Het gaat om privacygevoelige informatie. De regering geeft in de beantwoording aan dat wetsartikel 42 identiek is aan lid 11 van het huidige artikel 34a van de Wet bescherming persoonsgegevens, en daarmee is de kous af. Kan de minister toch eens toelichten wat er nou precies op tegen is om financiële ondernemingen gelijk te behandelen en dus ook gewoon een meldplicht op te leggen? Betrokkenen verdienen het toch niet om op dit punt in het duister te worden gehouden? Ik overweeg nog een amendement, specifiek op dit punt.
Dan kom ik op de zogeheten journalistieke exceptie. Collega Buitenweg had het daar ook al over. De brancheorganisatie van nieuwsbedrijven wijst erop dat de Uitvoeringswet AVG mogelijk belemmerend zou kunnen werken voor de journalistieke praktijk en dat de ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden te zeer beperkt zou kunnen worden. Deelt de minister die zorg? De brancheorganisatie schetst dat een onthulling, zoals de Panama Papers, wellicht niet langer mogelijk is wanneer de AVG in werking treedt, omdat betrokkenen inzage in gegevens zouden kunnen eisen en verwijdering daarvan. Hoe ziet de minister dit? Verslechtert de journalistieke ruimte van nieuwsmedia met de inwerkingtreding van de AVG ten opzichte van de huidige situatie, of is dat niet het geval?
Een ander punt waarover ik de minister iets wil vragen, is het volgende. Artikel 30 lid 5 van de Algemene verordening gegevensbescherming biedt een uitzondering op de regel dat alle bedrijven verplicht zouden worden om een register bij te houden van alle persoonsgegevens die zij verwerken. Dat is een administratieve last. De uitzondering is dat kleine bedrijven, dus bedrijven met minder dan 250 werknemers, vrijgesteld kunnen worden van deze registerplicht. Kan de minister toelichten hoe wij die uitzondering moeten lezen? In de memorie van toelichting lees ik namelijk dat de minister deze uitzondering zeer beperkt wil uitleggen door te stellen dat dit alleen geldt voor bedrijven die uitsluitend incidenteel persoonsgegevens verwerken. Maar dat is volgens mij vrijwel nooit het geval, want ieder klantenbestand of iedere salarisadministratie is al structureel. Zou het dus niet correcter zijn om artikel 30 lid 5 zo te lezen dat een bedrijf niet registerplichtig is als het minder dan 250 werknemers in dienst heeft én geen risicovolle verwerkingen doet? Zou dit laatste vanuit praktisch oogpunt niet het meest wenselijke zijn? Dat is mijn vraag hierbij aan de minister.
Dan kom ik op de sportvraag; voor een triviant, zou je kunnen zeggen. Het NOC*NSF heeft erop gewezen dat het voor sporters soms wenselijk en zelfs noodzakelijk is om gezondheidsgegevens te kunnen verwerken. Denk hierbij aan sporters met een beperking, die als paralympiër naar de Paralympische Spelen willen. Het lijkt me legitiem om dan te registreren van welke beperking er sprake is, al was het maar om in de juiste categorie uit te kunnen komen, want dat is voor die sporters nogal van belang. Ook voor het opslaan van gegevens waarmee prestaties van sporters bijgehouden kunnen worden met als doel die prestaties te verbeteren, geldt eigenlijk hetzelfde. Ziet de minister hier de schoen wringen met de Uitvoeringswet AVG zoals die nu is opgesteld? Zo ja, zou er dan geen uitzondering opgenomen moeten worden voor de verwerking van gezondheidsgegevens in het kader van sportbeoefening, zoals dat bijvoorbeeld ook voor scholen is gedaan in artikel 30 lid 2 onder a?
Mijn laatste punt betreft de rechten van kinderen. In de Algemene verordening gegevensbescherming staan artikelen waarin kinderen expliciet worden genoemd, bijvoorbeeld artikel 6. Op grond van dat artikel prevaleren de belangen van een kind eerder boven die van de verwerkingsverantwoordelijke dan wanneer het om een volwassene zou gaan. Bij kinderen moet dus kritischer worden getoetst. Dat is goed. Alleen worden kinderen in andere artikelen en bepalingen die ook belangrijk zijn voor hen, niet specifiek genoemd, zoals in artikel 17 over het recht om vergeten te worden. Waarom niet? Welke betekenis moet daaraan worden gehecht?
Tot slot wil ik ingaan op de leeftijdsgrens van 16 jaar. Ook collega Buitenweg van GroenLinks had het daarover. Ik heb net als collega Buitenweg ook geprobeerd het thuis te bespreken, maar ik kreeg alleen maar een glazige blik terug. Dat komt omdat mijn kinderen pas 4 en 2 jaar oud zijn, dus dat werkt wat minder goed. Maar het punt is dat een kind van 16 jaar of ouder in een online omgeving rechtsgeldig toestemming kan geven voor het gebruik van zijn persoonsgegevens. Dat kan bijvoorbeeld als het op internet een spel speelt of als het een socialmedia-account opent. Is het kind jonger dan 16, dan moet een van de ouders toestemming geven. Zonder die toestemming kunnen de persoonsgegevens van het kind niet rechtmatig worden verwerkt. De vraag is inderdaad hoe dit gecontroleerd wordt. Kan en gebeurt die controle in de praktijk eigenlijk wel? Is dat realistisch? Welke inspanningen moet de verwerkingsverantwoordelijke, dus degene die de persoonsgegevens in handen krijgt, verrichten om te controleren of er wel sprake is van toestemming van de ouders?
Inderdaad, sommige lidstaten hebben ervoor gekozen de leeftijdsgrens te verlagen. Dat staat de AVG toe. Dan krijg je dus verschillen en hebben kinderen van 13 of 14 geen toestemming van hun ouders nodig en kan het jonge kind zelf besluiten dat zijn of haar gegevens mogen worden verwerkt. Ik zie zelf wel een dilemma. Sluit dat beter aan op de realiteit? Zorgt het ervoor dat er minder inbreuk wordt gemaakt op de vrijheid van informatie en meningsuiting van deze groep kinderen? Zij kunnen bijvoorbeeld op zoek zijn naar hun identiteit, waarop onder andere ook het COC wijst. Of geeft een lagere leeftijd dan 16 te veel ruimte aan bedrijven om zonder ouderlijke toestemming persoonsgegevens van kinderen te verwerken? Kortom, op grond waarvan houdt Nederland vast aan de leeftijd van 16 jaar? Daar ben ik erg benieuwd naar.
Dank u wel.
De voorzitter:
Dank u wel. Dan gaan we luisteren naar mevrouw Van Toorenburg van de fractie van het CDA.
Mevrouw Van Toorenburg (CDA):
Dank u wel, voorzitter. De Algemene verordening gegevensbescherming, de AVG, kan niet anders dan zeer ambitieus worden genoemd. Ondanks dat die verordening alweer twee jaar geleden is afgerond, gaat het om een vooruitstrevende verordening, die burgers in lidstaten van een sterke bescherming voorziet. Ondanks het feit dat ik ook allerlei zorgen ga delen, denk ik dat het belangrijk is dat dat uitgangspunt hier toch wordt genoemd. Het gaat erom dat we proberen om burgers, ook de jonge mensen die hier vandaag op de publieke tribune zitten, goed te beschermen. Niet iedereen moet aan de haal kunnen gaan met hun gegevens.
Deze vooruitstrevende verordening is niet vanzelf gegaan. We hebben nu de Uitvoeringswet. Hoewel we een uitvoerige behandeling hebben gehad met een memorie van toelichting en een schriftelijke ronde, constateren we dat er nog erg veel zaken onduidelijk zijn. Er is onduidelijkheid over de echte uitwerking van deze verordening. Welke gevolgen heeft die nu precies voor het bedrijfsleven? Dan denk ik met name aan het midden- en kleinbedrijf. Hoe dienen verenigingen nou precies om te gaan met deze verordening? Welke rol gaat de Autoriteit Persoonsgegevens hierin spelen? Deze vragen zijn voor het CDA van groot belang. Ik zal daar wat uitvoeriger op ingaan in mijn inbreng.
Maar laat ik één stap terugzetten naar het proces. Twee jaar geleden is afgesproken dat deze verordening definitief in werking gaat treden met al die wetgeving in de verschillende lidstaten. Op 25 mei is het dan zover. Die voorbereidingsperiode van twee jaar heeft ertoe geleid dat er allerlei initiatieven zijn ontplooid. Ik heb eens even zitten googelen en kijken bij allerlei bedrijven, organisaties en koepels. Hoe gaat dat daar nou allemaal? Ik kom van alles tegen, allerlei manieren om mensen te helpen om hier goed op voorbereid te zijn. MKB-Nederland, VNO-NCW en allerlei overkoepelingsorganen van verenigingen: iedereen is ermee bezig. Maar toch zie je aan de zoektermen dat er nog heel erg veel vragen zijn.
Kan de minister nou eens kijken naar de afgelopen periode? Hoe beoordeelt hij nu de voorbereidingstijd en het benutten van die tijd? Want ik heb begrepen dat er eind januari/begin februari een onderzoek is gedaan onder bedrijven. Daaruit blijkt dat een kwart van de bedrijven gewoon nog niet weet wat op ze afkomt. Een kwart! Dat is onwijs veel. Dus ik vraag me af of die klaar zullen zijn op 25 mei. Of krijgen ze dan hopeloze problemen?
Dan ga ik naar de verordening zelf en naar de Uitvoeringswet. Het is begrijpelijk dat het veel vage en open normen zijn. Dat past ook een beetje bij hoe we de wet nu hebben gehad. Maar dat betekent wel dat er heel veel uitleg komt te liggen op de schouders van de Autoriteit Persoonsgegevens. We hebben de heer Wolfsen vandaag in de zaal. Hij is een grote man met brede schouders, maar ik weet toch niet helemaal zeker of hij alles kan dragen met zijn organisatie, de Autoriteit Persoonsgegevens. Dat is straks de meest omvangrijke toezichthouder van Nederland als we kijken naar de taken en bevoegdheden. De ACM en de AFM hebben allerlei taken die hierop lijken, maar zij hebben bijvoorbeeld geen taken op het gebied van wetgeving. Wanneer het CDA daar in de schriftelijke ronde naar vraagt, verwijst de minister vervolgens naar het College voor de Rechten van de Mens. Maar dat doet geen bindende uitspraken en de autoriteit wél.
De Autoriteit Persoonsgegevens krijgt straks een voorlichtende, adviserende en klachtbehandelende taak. Zij krijgt de verplichting om onderzoek te doen en een handhavende taak. Vervolgens kan de autoriteit ook boetes opleggen. Bovendien neemt zij zitting in het comité van toezichthouders. Voorwaarden zoals klachtafhandeling en advisering zullen beslist leiden tot een verhoging van de werkdruk. Daar is 7 miljoen voor gereserveerd. Ik denk dat het belangrijk is dat we de aannames die mogelijk wel duidelijk maken dat er een hoger bedrag moet worden uitgekeerd om dit werk te doen, goed in de gaten houden. Komen die uit of niet? Ik heb uit de schriftelijke behandeling begrepen dat hier een heel strikte monitor voor komt. Ik denk dat dat belangrijk is. Wij willen dat de autoriteit toegerust is op deze belangrijke taak.
Maar ik kijk ook naar de bemensing van het college. Het verbaast het CDA wel dat het college zelf niet wordt uitgebreid. Ik vind dat eigenlijk bevreemdend, omdat je ziet welke belangrijke taken daar komen te liggen. Dat zijn taken die onderling misschien wel kunnen schuren. Het CDA heeft heel vaak gezegd dat het wil dat de autoriteit meer adviserend optreedt. De autoriteit moet niet alleen iedere keer de bijl hanteren, maar vooral zeggen hoe organisaties ervoor kunnen zorgen dat ze aan de wetgeving voldoen. Dat hebben we bij alle debatten aan de orde gesteld. Ik herinner me ook dat het CDA moties heeft ingediend om ervoor te zorgen dat er meer hulp wordt verleend aan de organisaties die zich heel graag aan de regels willen houden. Maar nu gaan we dat werkelijk vormgeven. Dan zien we dat er eigenlijk niet echt een duale topstructuur is bij de autoriteit. Wat ons betreft kan dat anders. Daarom hebben we een amendement ingediend dat ervoor zorgt dat het college uiteindelijk uit drie personen zal bestaan. Idealiter bestaat het uit een voorzitter en twee andere leden, waarbij de een dan over publieksvoorlichting en adviestaken gaat en de andere over de toezichthoudende en de handhavende rol. Ik denk namelijk dat dit verschillende expertises kunnen zijn. Daarom is dat logisch. Ik hoop dat de minister ons positief wil adviseren.
De heer Verhoeven (D66):
Ik heb in het verleden helaas al eens een debatje met mevrouw Van Toorenburg gemist, maar dit warme pleidooi over de Autoriteit Persoonsgegevens is voor mij nieuw. Het klinkt mij als muziek in de oren. De CDA-fractie kijkt nu vooral naar een verandering van de structuur en naar een meer adviserende rol. Prima, ik denk ook dat dat nodig is. Hoe denkt de CDA-fractie over de capaciteit, de middelen en de financiën van de Autoriteit Persoonsgegevens?
Mevrouw Van Toorenburg (CDA):
Ik zei al dat we met elkaar hebben besloten dat het met 7 miljoen euro wordt opgeplust. Ik lees dat er een analyse is gedaan dat het misschien 12 moet zijn en met een uitbreiding en met allerlei aannames misschien zelfs veel meer. Ik lees ergens 23 of 24. Dat is substantieel meer. Ik kan mij heel goed vinden in de beantwoording van het kabinet. Hierin staat dat er aannames zijn gedaan en dat we moeten kijken hoe een en ander uiteindelijk wordt opgepakt en hoe bedrijven en organisaties hierop voorbereid zijn. Wat doet het mkb bijvoorbeeld zelf? Wat doet VNO-NCW? Wat doen de koepels? Dan kun je misschien wel alles doen met 7 miljoen extra. Dat hoop ik. Als dat niet kan, moeten we hier met elkaar bekijken — we hebben begrotingen, voorjaarsnota's, najaarsnota's, de hele santenkraam — of het nodig is dat er extra geld naartoe moet. Ik vind het wel passend om eerst te kijken wat echt nodig is. Volgens mij doen we dat vaak zo. Meer kan altijd nog.
De heer Verhoeven (D66):
Dat vind ik heel redelijk klinken. Maar we zien allemaal dat er een enorme hoeveelheid werk op de Autoriteit Persoonsgegevens afkomt. Dit is een heel grote verordening, met een heleboel nieuwe uitdagingen voor bedrijven en organisaties. Die zijn net allemaal in dit debat genoemd. Er is dus ook een grote handhavings-, adviserings- en begeleidingstaak. Die ligt echt bij de Autoriteit Persoonsgegevens. Die waarschuwt hier al lang voor. Ik ben dus heel blij met de woorden van mevrouw Van Toorenburg. Ik ben het met haar eens dat we moeten kijken hoe het loopt. Ik zal er straks zelf ook wat over zeggen. Maar als het nodig is, is er dus ook bij de CDA-fractie ruimte om na te denken over meer middelen en meer capaciteit voor de Autoriteit Persoonsgegevens, om dat werk, dat ze zo belangrijk vindt, goed te doen.
Mevrouw Van Toorenburg (CDA):
Absoluut. We hebben een verordening waar we ons aan moeten houden. Die is ingegeven vanuit de bescherming van mensen. Ik vind tegelijkertijd dat we niet alleen moeten straffen maar dat we mensen vooral moeten helpen om zich aan de regels te houden. We hebben er veel meer aan als we een en ander voorkomen. Kijk naar die hel waar die handbalclub nu in zit. Blijkbaar waren er camera's. Achteraf hebben we dan allemaal oplossingen, maar er zijn wel allerlei gegevens, zelfs naaktbeelden, van hen verspreid. Dit soort ellende moeten we weten te voorkomen. Alleen afstraffen is niet goed genoeg. Laten we kijken wat er nodig is om te adviseren, te helpen, zodat je van tevoren zegt dat je nergens camera's mag ophangen. Dat is ook zo belangrijk. We hebben het dan over nogal wat. Je moet dus proberen het iedere keer een stap voor te zijn, om niet achteraf te hoeven beboeten. Daar is ruimte en geld voor nodig.
Mevrouw Buitenweg (GroenLinks):
Alhoewel afstraffen soms ook helpt om iets daarna te voorkomen. Ik heb een vraag. Mevrouw Van Toorenburg had het over de samenstelling van de Autoriteit Persoonsgegevens. Ik begrijp haar pleidooi voor die uitbreiding goed. Ik heb eerder een voorstel gedaan om de Tweede Kamer een rol te geven bij de benoeming van de autoriteit. Hoe staat het CDA daarin?
Mevrouw Van Toorenburg (CDA):
Ik snap 'm. En tegelijkertijd zie ik ook de beperkingen van de Kamer wanneer zij mensen moet aannemen. Ik heb weleens twijfelachtige situaties meegemaakt, waarin we dachten dat we het goed deden, terwijl we het als Kamer toch een stuk minder goed deden dan we hadden gehoopt. Ik weet dus niet zeker of wij dit vanuit een politiek gremium moeten doen en of die taak echt bij ons hoort. Ik ben benieuwd naar het advies. Ik sta er niet heel erg afkeurend tegenover, maar ik vind ook niet dat wij ons als Kamer in de uitvoering te groot moeten maken. Laten we ervoor zorgen — hoe dat voor elkaar komt, maakt me niet zo veel uit — dat daar de expertise komt die nodig is om te voorkomen dat wij binnenkort in de vaste commissie voor Binnenlandse Zaken onze toppers aan moeten nemen. Ik zie ons alweer zitten met allerlei sollicitaties die sommige mensen hun leven lang nog nooit hebben gedaan. Mij lijkt dat niet het beste gremium om ze aan te nemen. Mag ik het zo voorzichtig formuleren?
Mevrouw Buitenweg (GroenLinks):
Ik vind het nogal een heftige reflectie op het blijkbaar falen van de Kamer, maar goed, die staat mevrouw Van Toorenburg helemaal vrij. Ik ben blij dat zij daar op zichzelf open naar wil kijken en het antwoord van de minister wil afwachten, maar mijn punt is juist dat het natuurlijk ook de overheid controleert en de gegevens van de overheid. Dan is het logisch dat we niet ook de macht om het college samen te stellen uitsluitend in handen van de regering leggen.
Mevrouw Van Toorenburg (CDA):
Nog even over de kwalificatie. Ik denk dat ik voorzichtiger was dan mevrouw Voortman van GroenLinks in de tijd dat het hier niet helemaal goed ging. Zij was nog veel harder in haar oordeel over hoe de Kamer het een keer had gedaan.
De voorzitter:
Zullen we de zijpaden even overslaan?
Mevrouw Buitenweg (GroenLinks):
Ik wil ook even begrijpen wat mevrouw Van Toorenburg bedoelt.
Mevrouw Van Toorenburg (CDA):
Dat ga ik straks uitleggen. Is dat goed?
Mevrouw Buitenweg (GroenLinks):
Als dit over iets gaat waar zij ooit valselijk van beschuldigd is, dan …
Mevrouw Van Toorenburg (CDA):
Nee, nee, nee, dit gaat over een andere situatie.
De voorzitter:
Zullen we gewoon weer naar de hoofdzaak gaan?
Mevrouw Van Toorenburg (CDA):
Nee, dat gaat niet over de valselijke beschuldiging, maar over het oordeel over hoe wij als Kamer soms … Dit gaat over een amendement en daarom is het wel belangrijk. Het ging over hoe moeilijk het soms kan zijn om als Kamer bepaalde functionarissen aan te nemen. Maar ik ben er gewoon nog niet uit. Ik vind het belangrijk dat het kabinet hierin adviseert. Ik wil gewoon dat we ervoor zorgen dat de beste personen op de posten komen. Ik denk overigens dat de bescherming jegens de overheid niet eens de allergrootste hoeft te zijn. Ik maak mij meer zorgen over kleine bedrijven die van alles met gegevens doen en die ook niet doorhebben wat voor een gegevens zij allemaal delen. In de voorbereiding van dit debat hoorde ik iemand die zich had aangemeld bij een triatlonclub zeggen dat een verzekeraar daarna had gedacht: goh, dat is interessant, want dat zijn doorgaans gezonde mensen en dat zij binnen no time met haar clubje een aanbieding van die grote verzekeraar had. Dit soort dingen kan natuurlijk niet, maar is nu wel de praktijk. Ik denk dat het belangrijk is dat we dit via wetgeving proberen te voorkomen.
We hadden het even over het college. Ik denk dat ik daarover genoeg heb gezegd. Ik loop een beetje tijd in door me aan te sluiten bij de voorgaande sprekers waar het gaat over de verschillende onderdelen, bijvoorbeeld over de leeftijden. Ik vind het belangrijk dat we helderheid krijgen over het moment waarop een minderjarige nu wel iets mag delen en waarop niet. Ik zie het nog steeds met angst en beven aan als kinderen van acht of negen mobiele telefoons krijgen die niet van tevoren zijn afgeschermd voor allerlei sms-diensten, waardoor zij helemaal worden bedolven, ook financieel, door allerlei informatie die weer wordt gedeeld. Ik denk dat het goed is dat ouders daarvoor moeten tekenen, ook onder de achttien en misschien vanaf zestien. Ik wil graag de zienswijze van het kabinet daarop.
Wij hebben nog een paar belangrijke punten van zorg. Ik kijk naar de verenigingen in ons land. Zij worden vaak gerund door vrijwilligers en soms door een enkele bezoldigde medewerker, maar het merendeel bestaat uit goedbedoelende mensen die proberen iets voor de samenleving te doen. De vraag is: wat moeten zij nu allemaal regelen? Wat is nu voor hen van belang wat deze Uitvoeringswet en de algemene verordening betreft? Zij houden namelijk heel erg veel persoonsgegevens bij en verwerken die dus ook. Is er nu voldoende oog voor deze sector? Ik lees dat sportverenigingen er rekening mee moeten houden dat ze altijd expliciet toestemming moeten hebben voor het nemen en plaatsen van foto's. Ik kan mij daar wel wat bij voorstellen. Tegelijkertijd moet het niet zo'n aflaat zijn in de zin dat je lid wordt van een vereniging en er meteen voor tekent dat alles kan worden gedaan. Dat willen we niet. We moeten alleen ook niet doorschieten in de zin dat als er een fantastische voetbalwedstrijd is en vrijwilligers of vrienden er een leuke foto van op sociaal media plaatsen de Autoriteit Persoonsgegevens langsfietst omdat dat niet mag. Volgens mij moeten we dat niet hebben.
Daar wil ik vandaag wel wat meer duidelijkheid over hebben, net als over de vraag in hoeverre een vereniging een functionaris moet hebben voor gegevensbescherming, zoals bedoeld in artikel 37 van de AVG. Ik lees dat die verplicht is wanneer het gaat om kerntaken, stelselmatig en regelmatig observeren. Daarbij worden ziekenhuizen en scholen genoemd. Toch denk ik dan ook aan verenigingen. Zij houden stelselmatig en regelmatig gegevens bij van hun leden. Bij sportverenigingen gebeurt dat natuurlijk als nergens anders. Moeten die dan ook een functionaris aanstellen of is het bijvoorbeeld voldoende wanneer een koepel dat doet? Kijk naar de KNVB als overkoepelende organisatie, die dan een functionaris aanstelt die er vervolgens zicht op houdt dat het voor de verschillende verenigingen goed gaat. Wat moet er bijvoorbeeld gebeuren ten aanzien van het privacy-assessment? Moeten alle kleine verenigingen een privacy-assessment gaan maken? Volgens mij maken we ze dan gillend gek en hebben we straks geen vrijwilliger meer in de belangrijke verenigingen van Nederland. We zijn per slot van rekening wel koploper wat betreft vrijwilligers en verenigingen en dat moeten we niet om zeep helpen.
Verder is er specifieke aandacht vanuit NOC*NSF voor de gehandicaptensport en de topsport. Als ik het goed begrijp, is het niet zomaar mogelijk om medische gegevens te verzamelen, ook niet van gehandicapte sporters en topsporters, maar gelet op die bijzondere verenigingen zijn ze soms juist wel noodzakelijk. Strikt genomen zijn ze misschien niet nodig voor de sport zelf maar wel voor de vorm van sport. Moeten die gegevens dan niet vallen onder de uitzondering van artikel 30 die bijvoorbeeld is geregeld voor scholen? Graag een reactie van het kabinet.
Ik had eerder ook nog een vraag gesteld en doe dat nu weer over de persoonsgegevens van de medische sector. Gezondheidsgegevens moeten natuurlijk heel erg goed worden bewaakt en beschermd. Het is terecht dat er heel hoge eisen worden gesteld aan kwetsbare informatie en dat er veel zorgen over zijn om die te beschermen, maar we moeten ook wel opletten dat die bescherming niet wordt misbruikt, bijvoorbeeld als een soort schild bij kwaliteitscontroles. Kunnen we straks voldoende kwaliteitscontroles uitvoeren omdat je bepaalde gegevens dan niet meer mag meewegen? Uiteindelijk ben ik er wel een beetje beducht voor dat uiteindelijk een kwaliteitscontrole reden kan zijn voor het verzamelen van gegevens maar dat die vervolgens niet meer kunnen worden gedeeld, ook medisch niet.
Dan helemaal tot slot nog een vraag die gaat over de richtlijn die ook nog speelt als het gaat om de uitvoeringswet en de gegevensbescherming ten aanzien van de opsporing en vervolging. Ik heb het dan over de EU-richtlijn 2016/680. Deze richtlijn ziet op het verwerken van persoonsgegevens door politie en het Openbaar Ministerie. Die zal er uiteindelijk via een separaat wetsvoorstel komen. Ik heb begrepen dat we dat op 16 februari hebben ontvangen, maar de uiterste implementatie van deze richtlijn is 6 mei. Volgens mij hebben we dus nog wel iets te doen. Ik zeg dit overigens niet alleen tegen het kabinet maar ook tegen mijn collega's; volgens mij moeten we aan de bak om ervoor te zorgen dat we niet een inbreukprocedure hebben voor alle andere ellende. Dus laten we er als kabinet en als Kamer voor zorgen dat we deze richtlijn op tijd implementeren. Het is namelijk zo 6 mei.
Dank u wel.
De voorzitter:
Zo is het. Het woord is aan de heer Van der Staaij van de fractie van de SGP.
De heer Van der Staaij (SGP):
Mijnheer de voorzitter. Het gaat vandaag, om het in de termen van de Nederlandse Grondwet te zeggen, over de eerbiediging van de persoonlijke levenssfeer en de manier waarop er met persoonsgegevens wordt omgegaan. Dat is een belangrijk onderwerp en een belangrijk rechtsgoed dat ook in onze eigen Grondwet is vastgelegd. Er is op zichzelf ook alle reden voor om van tijd tot tijd die regels aan te scherpen of bij te stellen. We zien dat ook de uitwisseling van persoonsgegevens is toegenomen in de achterliggende periode en dat nieuwe technologie een enorme vlucht heeft gegeven aan die uitwisseling van persoonsgegevens en de mogelijkheid om zaken op te slaan. Ik noem in dit verband ook het lekken met alle gevolgen die dat kan hebben voor de persoonlijke levenssfeer van personen. Dus wat dat betreft is er dus ook begrip dat je daar in Europa afspraken over moet maken, want ook die data-uitwisseling trekt zich niets van grenzen aan.
Daarmee heb ik mij tegelijkertijd uitgeput om wat aardige en positieve dingen te zeggen over datgene waar we het vandaag over hebben. Ik moet namelijk bekennen dat ik bij de voorbereiding van dit debat toch wel enige frustratie heb opgelopen. Er is vaak niets mooiers dan bij wetgeving de wet zelf te lezen, los van allerlei stukken, en om dan het gevoel te hebben: ja, het is eigenlijk best duidelijk wat deze wet zegt. Als je dat probeert bij dit wetsvoorstel, dan zie je dat die uitvoeringswet eigenlijk helemaal leunt, hoewel begrijpelijk, op die Europese verordening, die Algemene verordening gegevensbescherming. Maar als je die verordening erbij pakt, denk je: wat een verschrikkelijk wangedrocht is dit, echt zelden zo'n wangedrocht gelezen. Als je dat gaat doorlezen als eerzame burger, heb je geen idee wat er van je verwacht wordt. Dan denk ik: ja, de bescherming van de persoonlijke levenssfeer is heel goed en heel belangrijk, maar het grote slachtoffer van alle Europese compromissen en afstemming hierover is de rechtszekerheid. Die is geofferd en dat vind ik toch wel uitermate schadelijk. Juist als we spreken over wat de burger heeft aan Europa en als we uitspreken dat iedere burger geacht wordt de wet te kennen, vraag ik me af of de burger weet wat er van hem of haar verwacht wordt.
Mevrouw Buitenweg (GroenLinks):
Kan de heer Van der Staaij misschien concreet maken waar er volgens hem een verslechtering is in de rechten van burgers?
De heer Van der Staaij (SGP):
De verslechtering van de rechten van burgers is mijn punt niet. Mijn punt is de onduidelijkheid. Mijn ideaal als nationale medewetgever is dat wij wetten maken waarvoor burgers niet vier jaar moeten studeren en drie adviseurs moeten inschakelen om te weten wat er van hen wordt verwacht. Dat moet kunnen, ook op deze onderwerpen. Dat is hier absoluut niet aan de orde. Dat vind ik echt schokkend.
Mevrouw Buitenweg (GroenLinks):
Ik ben het met u eens dat er nog een hoop te verbeteren valt, maar eerlijk gezegd vind ik deze verordening leesbaarder dan een hoop andere wetten die we in Nederland maken, waarin steeds verwezen wordt naar andere wetten waardoor het onleesbaar is. Mijn punt is dat de heer Van der Staaij nu doet alsof er een groot drama is voor burgers, terwijl de rechten van burgers volgens mij gebaat zijn bij deze verordening. Natuurlijk zijn er grote implementatievraagstukken. Dat is een opdracht waarvoor we niet moeten weglopen, maar als we dit goed doen, zijn de burgers er een hoop mee opgeschoten, ook ten opzichte van de huidige situatie.
De heer Van der Staaij (SGP):
Dat zou best kunnen. Ik zeg niet dat deze wet in de uitwerking voor allerlei drama's hoeft te zorgen. Ik zeg alleen dat deze Europese verordening en de manier waarop zij vervolgens wordt ingevuld voor ontzettend veel onduidelijkheid zorgt en dat dit ver afstaat van wat ik als medewetgever graag wil. Voor burgers moet het zo snel mogelijk duidelijk zijn waar ze aan toe zijn met een wet.
De heer Verhoeven (D66):
Iedereen is het natuurlijk met de heer Van der Staaij eens over zo duidelijk mogelijke wetgeving. Dat is helder. Dit betreft alleen wel een Europese wet over een zeer veelomvattend en complex onderwerp. De heer Van der Staaij maakt zich nu heel erge zorgen over de burger die deze wet moet begrijpen. Het is op zich altijd een belangrijk basisidee dat de burger de wet begrijpt, maar deze wet schrijft de burger niet zo heel veel voor. Het is vooral aan het bedrijfsleven om hieraan te voldoen, en dan met name het grote bedrijfsleven, dat door deze wet heel veel eisen op zich zal krijgen. Zij zijn wel degelijk in staat om deze complexe materie te doorgronden. Ziet de heer Van der Staaij dat ook zo of maakt het hem niet uit aan wie de wet wat voorschrijft en vindt hij gewoon dat de wet veel simpeler moet?
De heer Van der Staaij (SGP):
Ik zie inderdaad dat er verschillen zijn. Daar kom ik straks in mijn tekst ook nog op terug. Voor heel grote ondernemingen is het makkelijker om een functionaris in dienst te nemen om te kijken wat de wet precies met zich meebrengt. Zij zijn ook gewend aan die complexiteit. Mijn zorg zit juist bij de kleinere bedrijven, de kleinere ondernemingen en de kerken, bij wat voor een losse gemeente geldt en wat voor het geheel geldt. Voor hen kan het nog veel lastiger zijn. Als we niet oppassen, zeggen we: doe maar zo veel mogelijk, want dan zit je het meest safe. Als we daarvoor kiezen, krijgen we een ongelooflijke administratieve belasting die achteraf gezien misschien helemaal niet nodig was.
De heer Verhoeven (D66):
Eens. Het midden- en kleinbedrijf, kleine verenigingen en kerken moeten absoluut niet overvraagd worden door deze wet. Dat ben ik volledig met de heer Van der Staaij eens. Ik denk dat we het daar allemaal mee eens zijn. Daar kunnen we het dus over hebben in de manier waarop we omgaan met deze wet. Weet u waar de complexiteit vandaan komt, zou ik via u, voorzitter, aan de heer Van der Staaij willen vragen …
De voorzitter:
"Weet de heer Van der Staaij waar de complexiteit vandaan komt?"
De heer Verhoeven (D66):
Voorzitter, met uw welnemen ga ik hem dat nu vragen. Die komt natuurlijk niet van de wetgever vandaan. Die komt van die verschrikkelijk ingewikkelde verdienmodellen van die enorme techreuzen die met allerlei totaal ongrijpbare algoritmes en andere slimme systemen zijn begonnen om de data van burgers af te pakken. Die complexiteit komt dus niet van de wetgever, zou ik aan de heer Van der Staaij mee willen geven. Die complexiteit komt van de grote bedrijven, die geld willen verdienen. De wetgever kan niet anders dan meegaan in die complexiteit om daar paal en perk aan te stellen. Ik hoop dat de heer Van der Staaij daar oog voor heeft. Anders vind ik zijn pleidooi voor simpele wetgeving geen recht doen aan de complexe slimheid van grote bedrijven. Dat zou ik hem mee willen geven.
De heer Van der Staaij (SGP):
De heer Verhoeven heeft gelijk dat er soms technisch ingewikkelde regels nodig zijn, omdat er op een technisch ingewikkelde manier gegevens worden verzameld of gelekt. Mee eens. Daar hoort u mij niet over; daar heeft u een punt. Ik kijk bijvoorbeeld naar zo'n artikel 37 van zo'n verordening: aanwijzing van de functionaris voor gegevensbescherming. Dat is gewoon een heel belangrijk punt. Je hebt een functionaris voor gegevensbescherming. Wanneer moet je die nu hebben? Daar zou toch wel duidelijk moeten zijn hoe dat zit. Dan lees ik: een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard en omvang stelselmatige observatie op grote schaal van betrokkenen vereisen. Dat zit vol van de vage begrippen. Daar kan je dus niet zomaar uit afleiden wanneer een functionaris voor gegevensbescherming nodig is. Bij een normale nationale wet zouden we zeggen: minister, kan dat niet in de wet verduidelijkt worden? En als dat niet in de wet kan, dan zeggen we: dan willen we het wel in een AMvB hebben. En als we het heel belangrijk vinden, dan zeggen we: we willen graag nog een voorhang hebben, zodat we er als Kamer zelf nog naar kunnen kijken. Nu zeggen we eigenlijk: Europees moet het nu eenmaal zo, dit is de wet; minister, kunt u nog de Autoriteit Persoonsgegevens … U moet het allemaal gaan uitwerken en we hopen maar dat het allemaal goed uitpakt. Vervolgens hebben we weinig instrumenten meer om daar als politiek van te zeggen: vinden we dit eigenlijk nog wel reëel? Dat is een concreet voorbeeld. Dan begrijpt u ook waar ik het over heb.
Ik heb artikel 37 genoemd. Artikel 91 is een bepaling over kerken en religieuze verenigingen. Dat heeft op de een of andere manier ook altijd onze belangstelling. Daarin lees je: als die op het tijdstip van de inwerkingtreding van deze verordening uitgebreide regels hebben, kunnen die regels van toepassing blijven, mits zij in overeenstemming worden gebracht met die verordening. Dan denk ik: wat staat hier nou eigenlijk? Dat heeft dan niet zozeer met technische complexiteit te maken. Het heeft waarschijnlijk ook te maken met heel ingewikkelde compromissen tussen allerlei lidstaten of met allerlei organisaties, die alleen als effect hebben dat de rechtszekerheid wordt geofferd. Dat vind ik bij deze wetgeving sterker dan bij welke wetgeving ook die ik mij van de afgelopen jaren kan herinneren.
Los daarvan vind ik een mooie considerans altijd welkom, zodat je weet wat er overwogen is bij het vaststellen van een verordening. Maar als je je hier alleen al door 173 overwegingen heen hebt geworsteld voordat de tekst zelf begint, waarvan je je voor een deel afvraagt … Er staat bijvoorbeeld een heel mooie overweging in, overweging 13, die betrekking heeft op een soort gedifferentieerde toepassing voor kleinere organisaties en instellingen. Nou, mee eens, een goed punt. Dan komt dan voor een deel weer terug in de tekst van de verordening, bijvoorbeeld als het gaat om het gegevensregister. Maar op andere onderdelen staat niet zo duidelijk wat dat betekent. Er wordt niet alleen gezegd "Autoriteit Persoonsgegevens, ga ermee aan de slag". Er wordt in die overweging ook gezegd: de lidstaten worden aangemoedigd om invulling te geven aan die differentiatie voor die kleinere organisaties en ondernemingen. Dan ben ik benieuwd. Waar staat dat in de Uitvoeringswet? Daar zal dat dan wel staan, maar ik kom het niet zozeer tegen. Ik begrijp wel uit de toelichtende tekst dat het zonder meer bedoeld is voor de regering. Ik zou graag nog een poging doen om dat in de Uitvoeringswet zelf te verankeren; vandaar het amendement dat wij op stuk nr. 15 hebben ingediend, dat verwijst naar die overweging 13. De tekst van de verordening biedt die ruimte en moedigt niet alleen de toezichthouders, maar ook de lidstaten zelf aan om daar invulling aan te geven. Vandaar een poging om dat op deze manier vorm te geven.
Voorzitter. Ik ben door de interrupties volgens mij al door een groot deel van mijn tekst heen. Maar laat ik de volgende vraag vooral nog stellen, die gaat over de beleidsneutraliteit die de regering ook een beetje als toverwoord gebruikt: wij willen niet allerlei extra lasten regelen met onze Uitvoeringswet, we willen het uiteindelijk zo sober mogelijk doen en zo dicht mogelijk blijven bij de regels die er al gelden. Op zichzelf begrip voor dat uitgangspunt en steun dat wij niet nog allerlei nationale koppen erbovenop proberen te doen, zeker. Maar tegelijkertijd denk ik wel: ja maar, het is wel de bedoeling dat er ook wel een nationale invulling mogelijk blijft en ook een nationale borging is van onderwerpen waarop wij het wel belangrijk vinden dat ook Nederland de mogelijkheden houdt van uitwisseling van persoonsgegevens.
Mijn vraag aan de regering is ook van: zijn die mogelijkheden van beleidsvrijheid in deze verordening nu ook benut, kan daaraan zo invulling worden gegeven dat ook zaken die wij belangrijk vinden, ook worden geregeld? Want ik heb het vanuit de totstandkomingsgeschiedenis zo begrepen dat er echt de ruimte blijft om, als wij in Nederland zeggen dat we het vanuit veiligheidsoogpunt — denk aan de hele discussie rond het omgaan met verwarde personen — belangrijk vinden dat soms gevoelige informatie goed wordt gedeeld, om te voorkomen dat zorginstellingen langs elkaar heen werken, dat dat dan ook mogelijk is. Is het nu op dat soort belangrijke onderwerpen, zoals op het gebied van de jeugdzorg en de zorg, goed geregeld? Of kunnen we nu straks verrassingen krijgen van: ja, nee, maar op grond van de Europese verordening kan en mag dat niet meer? Die vraag zou ik aan de regering willen voorleggen.
Voorzitter. Dat als het gaat om de echte beleidsvrijheid die er is. Wordt die dus ook benut? Maar dan heb je ook nog weer een zekere beoordelingsvrijheid, geen echte beleidsvrijheid, die gegeven is met vage begrippen in de verordening. We kennen in Nederland nadere regels met echte beleidsvrijheid van: u mag zelf uitmaken hoe u ermee om wilt gaan. Maar soms is er ook gewoon een beoordelingsvrijheid om vage begrippen verder invulling te geven. In hoeverre is die ruimte ook benut door de regering? Dat proef ik niet zo duidelijk terug in het voorstel. Kan de wetgever hier niet ook nog een belangrijke rol spelen? Of staat op het hele terrein van persoonsgegevens het nationale parlement een beetje buitenspel en zeggen we: ja, het is Europees bepaald en het is aan de Autoriteit Persoonsgegevens om dat verder invulling te geven? Dat zou ik wel betreuren, omdat het soms typisch een nationale politieke afweging is hoe het recht op bescherming van de persoonlijke levenssfeer enerzijds moet worden afgewogen tegen bijvoorbeeld het belang van veiligheid anderzijds. Het is een heel belangrijk grondrecht, maar niet het enige grondrecht. Daarom moeten we die politieke speelruimte niet nodeloos uit handen geven. Daar heb ik wel zorgen over. Ik hoorde de heer Verhoeven al zeggen: nee, dat is niet zo, er is best wel wat nationale speelruimte. Dat is in ieder geval bemoedigend, maar ik hoor dat graag ook van de minister. Dus niet alleen als het gaat om de Autoriteit Persoonsgegevens, want vanuit de structuur van het wetsvoorstel en de verordening is het natuurlijk het makkelijkst om te zeggen van: autoriteit, doe je best, en ga hiermee aan de slag. Maar ook als het gaat om: ja maar, wat is nou de democratische weging die wij ook nog kunnen toepassen?
Voorzitter. Dan heb ik nog een enkele vraag als het gaat om de positie van de autoriteit. Die krijgt twee kolommen: een gericht op voorlichting en informatieverschaffing en de ander gericht op toezicht. Die samenballing van taken — voorlichting, advisering, toezicht en optreden — roept de vraag op in hoeverre dat niet kwetsbaar is, ook in juridisch opzicht, kijkend naar de discussies die we in het verleden hebben gehad over bijvoorbeeld de positie van de Raad van State, weer vanuit de jurisprudentie van het Europees Verdrag voor de Rechten van de Mens, het Hof van Straatsburg, dat ook wel zegt: ja maar, kan dat eigenlijk wel in één hand. Je ziet daar een soort strengere invulling van de ene kant de adviserende rol en de andere kant de concreet optredende rol. Wat betekent dat voor de positie van de Autoriteit Persoonsgegevens? In dit wetsvoorstel is in vergaande boetebeperkingen voorzien, die in de praktijk behoorlijke impact kunnen hebben. Mijn vraag is in hoeverre bescheiden wordt omgegaan met die boetemogelijkheden in de periode waarin de onduidelijkheid nog groot is. Dat zou voor de hand liggen voor kleinere ondernemingen en organisaties die te goeder trouw zijn en proberen aan de wet te voldoen, maar nog niet precies doorhebben hoe het nu zit. Het moet zich voor een deel nog uitkristalliseren — dat blijkt ook uit de bijdragen van andere woordvoerders — terwijl de verordening over een korte tijd al in werking zal treden. In hoeverre wordt dat verdisconteerd in de manier waarop met het boetebeleid wordt omgegaan?
Het laatste punt dat ik nog wil noemen, is het punt van de kerken. Op grond van artikel 17 van het Verdrag betreffende de werking van de Europese Unie, eerbiedigt de Unie de status van de kerken in nationale lidstaten. Dat wordt in de overweging genoemd, maar in de Uitvoeringswet kom ik de positie van de kerken niet meer zo nadrukkelijk tegen, hoewel die bijvoorbeeld in het Burgerlijk Wetboek in Nederland afzonderlijk uitdrukkelijk geregeld is. Ik hoor graag van de regering een nadere toelichting op de eisen die in dit kader aan kerken gesteld worden. Kan de regering garanderen dat het geen enkele inbreuk betekent op de zelfstandige positie van kerken en het recht om hun eigen statuut vast te stellen? Blijft de bescherming van kerken die voortvloeit uit de zelfstandige taken van kerk en staat minstens op het bestaande niveau gehandhaafd? Is de regering bereid om te waarborgen dat kerken voluit taken kunnen uitvoeren waarvoor ze in het leven geroepen zijn, onder meer pastorale zorg voor de leden en andere betrokkenen?
Als allerlaatste punt sluit ik me aan bij de vragen die gesteld zijn over de leeftijdsgrens.
De voorzitter:
Op het vorige punt nog even, mevrouw Buitenweg.
Mevrouw Buitenweg (GroenLinks):
Dank u wel, mijnheer de voorzitter. Ik zit met de rol van de kerken versus de vrijheid van het individu. Is de heer Van der Staaij het met mij eens dat ook de kerk zou moeten voldoen aan bijvoorbeeld het recht om vergeten te worden, zodat een burger gelijk uitgeschreven kan worden als hij dat wenst en dat al zijn gegevens gewist worden?
De heer Van der Staaij (SGP):
Ik denk dat dit de bestaande praktijk is. Er was geen behoefte of reden om hierin verandering te brengen, voor zover ik weet. Mijn vraag is of dit inderdaad zo is op grond van deze wetgeving en wat het gaat betekenen voor de positie van kerken. Ik denk dat zeker bij rechten van burgers kan horen dat zij die gegevens gewist kunnen krijgen uit de betreffende registers. Dank u, voorzitter.
De voorzitter:
Ik dacht dat u nog een punt had over de leeftijdsgrens.
De heer Van der Staaij (SGP):
Ja, daarover heb ik mij aangesloten bij de vragen die door collega's zijn gesteld. Het is inderdaad een belangrijk punt, maar ik heb er zelf niet veel aanvullende vragen over.
De voorzitter:
De laatste spreker van de zijde van de Kamer is de heer Verhoeven van de fractie van D66.
De heer Verhoeven (D66):
Dank, voorzitter, voor het woord. Ik wil mij bij voorbaat al aansluiten bij heel veel vragen die mijn collega's gesteld hebben. Ik zal daarom proberen om het kort te houden. Ik zal zeker niet aan de 75 minuten komen. Ik denk dat ik een aantal punten zal aanstippen met betrekking tot deze Uitvoeringswet, die natuurlijk in het kader moet worden gezien van de grote veranderingen die plaatsvinden in het leven als gevolg van allerlei nieuwe technologie en digitalisering.
Ik denk dat ik niet overdrijf als ik zeg dat digitalisering elk aspect van ons leven steeds vaker en steeds sneller verandert. Dat wordt ook heel concreet in ons dagelijks leven. Het is wel zo dat dit vaak gepaard gaat met allerlei afkortingen, zoals 3D-printen, IoT, artificial intelligence AI, de Wiv, CC3 en ook allerlei Engelse termen, zoals crypto, blockchain, big data, drones en smart cities. Die geven nog een gevoel van een abstracte afstandelijkheid die ons niet zou raken, maar het is natuurlijk gewoon zo dat het niet meer onze wekkerradio is die ons 's ochtends wakker maakt, maar ons mobieltje. Als we eenmaal wakker zijn, halen we niet meer de krant uit de brievenbus, maar lezen we het nieuws op onze smartphones en tablets. Voordat je de deur uit stapt, kijk je niet naar de wolken om te weten of je een paraplu mee moet nemen, maar krijg je gewoon een bericht of het regent, of de trein te laat is of je afspraak misschien verzet is. 's Avonds kijk je niet meer naar analoge televisie, die door sommige kabelaanbieders zelfs niet meer wordt aangeboden, maar ga je gewoon naar Netflix om een serie te kijken. Dat is hoe ons leven verandert. Digitalisering is gewoon niet meer weg te denken uit ons dagelijks leven. De komende jaren zal dat alleen maar verder toenemen. We sluiten bijvoorbeeld ook steeds meer apparaten aan op het internet. Dat zijn echt niet alleen maar camera's, maar ook koelkasten, tandenborstels en barbiepoppen. Dat neemt overigens weer allerlei nieuwe dilemma's met zich mee. Op dit gebied is er bijvoorbeeld het vraagstuk van de veiligheid. Ik ben overigens heel blij dat het kabinet gisteren bekend heeft gemaakt dat er standaarden gesteld gaan worden, ook weer Europese standaarden, aan op internet aangesloten apparaten.
Maar niet alleen veiligheid komt onder druk te staan of verandert door allerlei technologische verandering. De werkgelegenheid is bijvoorbeeld ook een vraagstuk dat verandert door digitalisering, automatisering en robotisering. De welvaartsverdeling wordt beïnvloed door allerlei digitale systemen. De sociale samenhang in onze samenleving kan onder druk komen te staan door digitalisering. En uiteraard — daar hebben we het vandaag over; ik heb even een aanloopje genomen — komt ook onze privacy onder druk te staan als gevolg van allerlei nieuwe technologieën en het op steeds grotere schaal delen en ophalen van data. Die trend wordt ook wel samengevat als "big data". Deze wet gaat over die privacy en die data. Door het gebruik van al die apparaten, al die diensten en al die applicaties genereren we steeds meer data over ons dagelijks leven, onze voorkeuren en onze gezondheid. Het gevolg is dat bedrijven en overheden steeds makkelijker steeds meer over ons te weten komen.
Vandaag hebben we het over een privacyverordening. Het is een Europese verordening, een Europese wet, die vooral van toepassing is op het bedrijfsleven. Maar er komt ook nog een richtlijn aan, de e-Privacyrichtlijn, die meer geldt voor overheden. Die komt ook nog deze kant op. Maar vandaag gaat het dus over de privacyverordening voor bedrijven. Bedrijven hebben decennia geleden al besloten om burgers online te gaan volgen met een commercieel voordeel als reden — overigens zonder dat tegen burgers te vertellen. Ze wilden gewoon geld verdienen op basis van de informatie die ze uit het internetgebruik van internetgebruikers konden halen. Dat hebben ze eerst gedaan door middel van cookies, kleine bestandjes die op je computer worden gezet op het moment dat je online bent. Maar inmiddels verzamelen bedrijven niet meer alleen via cookies allerlei informatie, maar worden er allerlei andere methodes ingezet om zo veel mogelijk data van burgers te verzamelen, want hoe meer data, hoe meer geld. Dat is het perverse verdienmodel — en ik noem het inderdaad een pervers verdienmodel — van de grote technologiebedrijven, die daar hun grote beurswaarde aan te danken hebben.
De heer Koopmans (VVD):
Ik luister met veel aandacht naar het betoog van de heer Verhoeven. Hij noemt net de enorme privacyzorgen wat betreft de relatie tussen burgers en overheid. Hij noemt ook de zorgen wat betreft de relatie tussen burgers en bedrijven. Vind ik de heer Verhoeven ook naast mij als ik aandacht vraag voor wat ik de "horizontale privacy" of de "onderlinge privacy" noem, namelijk de privacy tussen burgers onderling? Want de enorme digitalisering, waar hij terecht aandacht voor vraagt, heeft ook effect op alle middelen waarmee burgers elkaar kunnen begluren, bespioneren en volgen. Net werd al even het Nederlandse handbalteam genoemd, dat zonder het te weten gefilmd en exposed is. Dat is waarschijnlijk een voorbeeld van burgers die elkaars privacy schenden. Vind ik de heer Verhoeven ook naast mij als ik aandacht vraag voor die onderlinge privacy?
De heer Verhoeven (D66):
Ja, daar vindt de heer Koopmans mij naast zich. Ik denk wel dat er bij de verhouding tussen burgers onderling meer sprake is van gelijkwaardigheid dan wanneer het gaat om machtige overheden en machtige techbedrijven die de privacy van burgers aanraken. Daarom ben ik meer geneigd om daar paal en perk aan te stellen. Maar daarmee wil ik niet zeggen dat het punt van de heer Koopmans niet belangrijk zou zijn. Dat zie ik absoluut. Ik weet dat hij daar druk mee bezig is, en ik volg zijn activiteiten op het vlak van de horizontale privacy met een bijzondere belangstelling.
Voorzitter. De gevolgen van het verdienmodel van die technologiebedrijven betekenen dat Facebook ons vaak beter kent dan onze vrienden en familie, dat Google tot op de minuut nauwkeurig weet waar we de afgelopen jaren zijn geweest en dat makers van slimme horloges onze gezondheid beter kennen dan onze dokter. Daarom is het goed dat na twintig jaar de privacywetgeving op Europees niveau wordt gemoderniseerd. Het is ook goed dat er paal en perk wordt gesteld aan die toch wel toenemende en in mijn ogen doorgeschoten datamacht van de socialmediaplatforms en techreuzen. Daar is deze wet wat mij betreft het belangrijkst voor. Ik spreek alle collega's na die hebben gezegd dat we de bakker op de hoek, het midden- en kleinbedrijf, de vereniging, de handbalclub, de kerk en de zelfstandigen met deze wet niet op allerlei lasten en kosten moeten jagen. Ik weet zeker dat de minister dat straks ook gaat zeggen. Dat is niemands wens. De wens is dat de burger beschermd wordt tegen grote bedrijven die op een doorgeslagen manier onze privacy schenden. Daar doet deze wet heel goede dingen voor.
Van de cookiewet, die ik laatst al even aanhaalde, was de intentie op zich terecht, maar de wettelijke uitvoering was slecht. We hebben iets gecreëerd wat wel terecht een probleem aanstipte, maar de oplossing die we kozen, was niet goed. Daarom ben ik blij met de, zoals de heer Van der Staaij dat noemde, beleidsneutrale of technologieneutrale benadering die in de Uitvoeringswet is gekozen. Er wordt voor gekozen om zo veel mogelijk vanuit uitgangspunten te redeneren en niet vanuit een bepaalde techniek. Ik denk dat dat een heel verstandige keus is. De heer Van der Staaij en ik hadden het zojuist al even over de complexiteit. Juist die technologische complexiteit leidt ertoe dat sommige wetgeving heel ingewikkeld kan zijn. Ik herinner mij een debat met de voormalige minister van Economische Zaken, de heer Kamp, waarin de hele Kamer drie uur heeft staan debatteren over de precieze invulling van de term "expliciete toestemming": wanneer geef je nou wel of niet expliciete toestemming aan een website om jou tot een bepaald niveau te gaan volgen? Daar hebben we met z'n allen drie uur over gedebatteerd. Dat was een goed debat, maar dat ging over twee woorden, waarbij de precieze lading werd vertaald naar de manier waarop we het internet gebruiken. Kortom, je ontkomt niet aan complexe wetgeving als het gaat om de slimme, digitale en complexe verdienmodellen van die bedrijven. Ze zijn bewust moeilijk gemaakt, met daarbovenop een makkelijk laagje, namelijk: even klikken. Maar daarachter zit een hele wereld en die moet je met complexe wetgeving aanpakken.
Wat gebeurt er door deze wet? Mensen krijgen meer controle over hun data. Ze kunnen data inzien, veranderen, wissen en meenemen. Het recht op vergetelheid wordt geborgd en mensen hebben ook recht op een menselijke blik in plaats van alleen maar geautomatiseerde besluitvorming op basis van profielen en algoritmes. Dat is een goede eerste stap. Ik zei zojuist al dat het vooral daarop gericht moet zijn en niet op de mkb'er die zijn werknemersbestand zo goed mogelijk probeert te regelen. Het gaat mij wat dat betreft dus om hulpvaardige handhaving, zoals de heer Koopmans van de VVD dat noemde. Ik heb in mijn tekst staan "menselijke handhaving". Dat is wat ik aan de minister zou willen vragen: is de minister van zins om ervoor te zorgen dat die onafhankelijke toezichthouder, waar hij niet aan de touwtjes kan trekken, zo goed mogelijk die gedienstige, begeleidende handhaving verzorgt ten opzichte van de doelgroepen waar dat voor nodig is?
De heer Van der Staaij ging zojuist al even in op de verhouding tussen Europees en nationaal. Het is een verordening. Het grootste deel moeten we dus gewoon direct overnemen. Daarom wordt onze huidige Wet bescherming persoonsgegevens vervangen door deze AVG, de Algemene verordening gegevensbescherming. Er is inderdaad wel enige beleidsvrijheid, maar ik zou willen zeggen: laten we die beleidsvrijheid benutten waar dat goed is voor bepaalde nationale sectoren of situaties, maar we moeten die niet ten koste laten gaan — dat is een andere balans die we moeten zoeken — van het eenduidige speelveld dat we juist zoeken om er met z'n allen in Europa voor te zorgen dat Amerikaanse bedrijven zich overal aan dezelfde regels moeten houden en dat Nederlandse start-ups weten waar ze aan toe zijn als ze bijvoorbeeld in Bulgarije, Polen of Luxemburg klanten willen vinden. Het is dus wel een zoektocht naar de juiste balans tussen een gelijk speelveld en nationale beleidsvrijheid. Ik ben benieuwd naar de reactie van de minister daarop.
Ik heb nog een paar laatste vragen, zoals gezegd in aanvulling op al die reeds genoemde goede punten waar ik me grotendeels bij aan kan sluiten. De eerste vraag betreft de leeftijdsgrens voor de toestemming voor het verwerken van persoonsgegevens. We zien in allerlei wetgeving vaker leeftijdsgrenzen opduiken; volgens mij heeft mevrouw Buitenweg van GroenLinks een amendement ingediend over een leeftijdsgrens. Vaak zijn die leeftijdsgrenzen heel slecht onderbouwd, ook omdat het heel moeilijk is om die te onderbouwen. Daarom heeft mijn collega Vera Bergkamp de Raad voor Volksgezondheid en Samenleving gevraagd om de willekeur van leeftijden te onderzoeken. Waarom stellen we leeftijdsgrenzen eigenlijk op een bepaalde leeftijd, of het nou gaat over stemmen, drinken van alcohol of het mogen aanmaken van een socialmediaprofiel? Dat is bij al dat soort vraagstukken vaak vrij arbitrair. De raad komt waarschijnlijk na de zomer met zijn advies. Ik wil de minister daarom vragen om dat advies mee te nemen in de manier waarop in deze wet naar de leeftijdsgrens wordt gekeken. Ik krijg graag een reactie op de vraag of hij daartoe bereid is.
Tot slot nog twee punten over de Autoriteit Persoonsgegevens. Allereerst over de eis uit de Algemene verordening gegevensbescherming voor de toezichthouder om te beschikken over een afzonderlijke publieke jaarbegroting. Dat is nu niet goed geregeld. Is de minister het met me eens, vraag ik hem, dat de Autoriteit Persoonsgegevens een eigen niet-departementale begroting toegekend zou moeten krijgen? Als ik de warme woorden van het CDA net hoorde over de Autoriteit, dan ben ik van mening dat ook andere leden in deze Kamer aan het kijken zijn naar de manier waarop we het budget, maar ook de eigenstandigheid van het budget, goed kunnen regelen.
Voorzitter, mijn laatste punt. Daarnaast heeft de Autoriteit laten onderzoeken hoeveel extra werk die nieuwe bevoegdheden opleveren en hoeveel budget daarvoor nodig is. Daarbij zijn de drie scenario's ontwikkeld van wat noodzakelijk is om op een efficiënte en effectieve wijze invulling te geven aan de nieuwe taken en bevoegdheden. Dat zijn de scenario's laag, midden en hoog. De Autoriteit geeft aan dat met de extra middelen het scenario laag nog niet eens gehaald wordt. Daar hadden we het net met mevrouw Van Toorenburg al over. D66 pleit al jaren voor een stijging van het budget van de Autoriteit Persoonsgegevens. Wij hebben destijds in een Techvisie een verdriedubbeling voorgesteld. In het regeerakkoord is er volgens mij 7 miljoen bijgekomen, althans, in de aanloop naar het regeerakkoord via de Voorjaarsnota van het vorige jaar is er 7 miljoen bijgekomen. Dat was op zich een goede stap, maar het scenario laag zou ongeveer 20 miljoen kosten, dus komen we daar nog 5 of 6 miljoen voor tekort. Mijn vraag aan de minister is: hoe gaan we daar op een verstandige manier mee om? In afwachting van zijn beantwoording zal ik eventueel met een genuanceerde motie komen om werkende weg te kijken hoe we omgaan met een goede verhouding tussen het budget en de capaciteit van de Autoriteit Persoonsgegevens en een nieuw takenpakket in de komende maanden en jaren. Voorzitter, daar wil ik het graag bij laten.
De voorzitter:
Wij bereiden ons voor op uw genuanceerde motie.
De heer Verhoeven (D66):
Eigenlijk hoef ik dat niet te zeggen, want het is een pleonasme.
De voorzitter:
U zegt het zelf, ik citeer u alleen maar.
De heer Verhoeven (D66):
Het is eigenlijk een pleonasme, want het gaat altijd alleen maar om genuanceerde moties.
De voorzitter:
Een genuanceerde interruptie van de heer Van Nispen.
De heer Verhoeven (D66):
Dat is dan weer een tautologie, denk ik.
De heer Van Nispen (SP):
Voorzitter, u kent mij. Ik heb zelf ook een zeer genuanceerde motie voorbereid op het punt van het budget. Daar gaan we straks naar kijken. Wat die onafhankelijke begroting betreft vraag ik mij af of de heer Verhoeven nog niet tevreden was met de nota van wijziging, die volgens mij recht doet aan de wensen op dit punt. Overigens — maar dat is een zijpad, voorzitter — is het wel jammer dat D66 niet ook enthousiast is waar het gaat om de onafhankelijke begroting voor de rechtspraak.
De voorzitter:
En dan uit het zijpad vandaan.
De heer Van Nispen (SP):
Uit het zijpad en terug naar het budget. De heer Verhoeven stelt terecht de vraag hoe we daar de komende tijd naar gaan kijken. Ik had ook een Techvisie opgespoord waarin wordt gepleit voor een verdrievoudiging van het budget. Dat zou meer recht doen aan de scenario's die dat onderzoek heeft opgeleverd. Vlak na de inwerkingtreding van de verordening hebben we toevallig de Voorjaarsnota. Wat vindt de heer Verhoeven dat er zou moeten gebeuren bij de Voorjaarsnota?
De heer Verhoeven (D66):
Dank u voor de verschillende vragen. Ik zal niet op zijpaadjes ingaan, voorzitter. Dat vergt mij wel enige discipline, maar goed.
De voorzitter:
U kunt het.
De heer Verhoeven (D66):
De heer Van Nispen stelt eigenlijk een aantal vragen. Ik denk dat we nu geen uitspraken moeten doen over de Voorjaarsnota. Ik ben in afwachting van het antwoord van de minister, en ben van zins om de komende maanden te gaan kijken hoe de Autoriteit het in de realiteit doet, dus even los van alle scenario's en voorspellingen. We kunnen de wereld niet voorspellen, soms vallen dingen mee, soms vallen ze tegen. Ik wil de komende maanden gaan kijken hoe het gaat, en als het niet goed gaat wil ik in navolging van de woorden van mevrouw Van Toorenburg in actie komen. Misschien dat de Voorjaarsnota daarvoor om de hoek komt, daar moeten we nog even naar kijken. Ik ga daar nu niet op vooruitlopen.
U had nog een andere vraag, en wel over de nota van wijziging. Die was vanochtend ingediend en komt volgens mij al een heel eind in de goede richting. Als de minister zegt dat het daarmee geregeld is, dan schrap ik dit punt.
De heer Van Nispen (SP):
De inwerkingtreding van deze verordening is 25 mei van dit jaar. Kort daarna hebben we de Voorjaarsnota, er zitten maar een paar weken tussen. Ik denk ook dat dat heel kort is, maar vraag mij toch af of we de minister niet de vraag zouden kunnen stellen om ook in die paar weken tussen het moment van de inwerkingtreding en de Voorjaarsnota heel goed te bekijken wat het extra is dat op de Autoriteit afkomt. Het lijkt misschien te kort, maar het zou zomaar kunnen zijn dat er vanaf 25 mei heel veel vragen om voorlichting terechtkomen, heel veel verzoeken om handhaving en signalen van mensen en voorlichtingsvragen van kleine bedrijven die zich afvragen hoe ze een en ander in de praktijk moeten doen. Misschien is dat toch een interessante vraag aan de minister.
De heer Verhoeven (D66):
Bij dezen leid ik die vraag dan door. Ik luister ook met de heer Van Nispen mee naar het antwoord. Over twee dingen kan ik heel duidelijk zijn. D66 heeft al eerder gezegd dat er meer geld naar de autoriteit zou moeten gaan dan nu het geval is. Dat is wat wij willen. We hebben in coalitieverband natuurlijk gepraat over allerlei zaken en dan moet je keuzes maken. Er is niet genoeg geld voor alle wensen van alle partijen in dit land; dat weet de heer Van Nispen ook. We hebben nu die stap naar 7 miljoen gezet. Ik merk aan zowel de coalitiepartners als de minister dat ze zeer serieus zijn over de enorme hoeveelheid taken die de Autoriteit Persoonsgegevens erbij gaat krijgen. Als we daar op een goede manier naar willen kijken, zou een paar weken weleens te kort kunnen zijn, maar als er dingen volledig misgaan, zullen we absoluut kijken naar wat we dan moeten doen. We zullen de komende maanden absoluut gaan kijken naar de mate waarin de Autoriteit in staat is om al die verschillende vragen en handhavingstaken op een goede manier in te vullen. Ik doe natuurlijk geen toezegging op iets, want dat past mij niet, maar ik heb wel gevoel voor uw punt en ik wil daar serieus naar kijken.
De heer Van der Staaij (SGP):
De heer Verhoeven heeft beklemtoond dat de wet nodig en waardevol is voor de Googles van deze wereld, maar we hebben ook de zorgen besproken over bijvoorbeeld kleine instellingen en organisaties. Wat betekent dit nu voor hen? Om een concreet voorbeeld te noemen: vindt de heer Verhoeven ook dat het niet de bedoeling zou moeten zijn dat een zelfstandig schoolbestuur met een schooltje van 150 of 175 leerlingen een aparte functionaris voor gegevensbescherming krijgt?
De heer Verhoeven (D66):
Kijk, een functionaris is een middel om bepaalde zaken goed te regelen. Het is inderdaad waar dat in de UAVG niet helemaal precies goed staat wanneer iets wel of niet moet. Ik ben geneigd om te zeggen dat die school op geen enkele manier vergaand zal ingrijpen in de privacy van de burgers die door deze verordening beschermd worden. Dan ben ik geneigd om te denken dat ik niet moet gaan beoordelen of het wel of niet nodig is, maar dat de school in eerste instantie zelf beoordeelt of die dat nodig vindt. Als zij vinden dat het niet nodig is, omdat ze een aantal dingen niet doen op basis waarvan zo'n functionaris nodig zou zijn, is dat een eerste oordeel waar we van uit moeten gaan. En dan moet de autoriteit op een bepaalde manier kijken of die school daar gelijk in heeft. Als de school daar per ongeluk geen gelijk in heeft, moet de school ruim de tijd krijgen om daar op een goede manier op in te spelen. De school moet dan absoluut niet gelijk met een stok op de vingers geslagen worden. Maar de school moet zelf de inschatting maken of het nodig is of niet, omdat de school wel of niet veel gegevens bewerkt. Mijn inschatting is dat de meeste scholen niet op dat niveau zitten, maar dat is mijn inschatting. De inschatting is niet aan mij, want ik ben geen handhaver. Ik ben wetgever. En in dit geval ben ik eigenlijk meer uitvoeringswetgever, omdat de Europese wet gemaakt is door de Europese Unie.
De heer Van der Staaij (SGP):
Ik heb ook gekeken naar de richtlijn die er is, want de verordening is niet duidelijk. De richtlijn die erover gaat heeft ook weer 28 kantjes, en dan weet je eigenlijk nog niet precies of het nu wel of niet noodzakelijk is in zo'n geval. Stel dat er wordt gezegd: we leggen het maar ruim en veilig uit, dus het moet wel. Dat betekent dan een enorme administratieve last. Als we dat niet willen en ons afvragen of het wel nodig is, wat kunnen we dan als wetgever of controleur nog doen?
De heer Verhoeven (D66):
Wanneer moet je nou wel of niet iets doen? Als je veilig gaat zitten haal je jezelf meer op de hals dan nodig is en daar zijn we bang voor, zegt u. U doet nu een beetje alsof dat bij deze wet …
De voorzitter:
De heer Van der Staaij doet nu …
De heer Verhoeven (D66):
Ja, voorzitter, de heer Van der Staaij doet dat inderdaad. En u zegt dan tegen mij dat ik dat eigenlijk tegen u moet zeggen om dat aan de heer Van der Staaij duidelijk te maken.
De voorzitter:
U zegt het tegen mij als u "u" zegt.
De heer Verhoeven (D66):
Ja, nee, dat had ik dus inderdaad beter niet kunnen doen, voorzitter.
De heer Van der Staaij doet nu een beetje voorkomen of dit unieke probleem zich alleen bij deze wet afspeelt. Hiervan is natuurlijk sprake bij bijna alle wetten. Bij elke wet die aangenomen wordt, hoor je organisaties die ermee te maken krijgen, vragen stellen over de precieze reikwijdte. Laten we kijken hoe we de reikwijdte van deze bovengemiddeld complexe wet op een goede manier kunnen duiden, zodat schoolbesturen, kerken, verenigingen en handbalclubs er geen last van krijgen. Maar we kunnen niet in deze Uitvoeringswet allemaal dingen op gaan schrijven met heel harde grenzen, want die harde grenzen leveren ook weer problemen op. Ik denk dat de schoonheid van deze wet juist zit in het zelf mogen inschatten of je wel of niet een grote gegevensbewerker bent. Als je vindt dat je dat niet bent, is er ruimte om een aantal dingen niet te doen. Als je daar op een goede manier handhavend mee omgaat, kan dat juist minder belasting geven in plaats van meer belasting. Dat is mijn inschatting.
De voorzitter:
Prima, dank u wel. We gaan even schorsen. De minister heeft gevraagd om een schorsing van 25 minuten. Niet om 20 minuten en niet om 30 minuten, maar om 25 minuten. Daarna gaan we luisteren naar de antwoorden van de minister.
De vergadering wordt van 11.55 uur tot 12.22 uur geschorst.
De voorzitter:
Het woord is aan de minister.
Minister Dekker:
Voorzitter. Ik ben blij dat we vandaag het wetsvoorstel van de uitvoeringswet Algemene verordening gegevensbescherming plenair behandelen. Ik herhaal wat ook een aantal woordvoerders al heeft gezegd: het is een heel belangrijke wet. Als het gaat om de verwerking van persoonsgegevens staat er heel veel op het spel. We hebben het hier over een grondrecht. Je zou kunnen zeggen: zonder de bescherming van de persoonlijke levenssfeer is er geen sprake van vrijheid. Mensen moeten erop kunnen vertrouwen dat overheden en bedrijven zorgvuldig en rechtmatig omspringen met hun gegevens. Het wordt misschien nog wel pregnanter als we ons realiseren dat onze samenleving en de manier waarop geld wordt verdiend in de wereld steeds meer gedreven worden door data. Het is dus van groot belang dat de rechten van burgers worden gewaarborgd en vooral ook dat de mogelijkheden van burgers om die rechten te kunnen uitoefenen worden versterkt. Dat is precies waar deze AVG in voorziet.
Het is ook belangrijk vanwege de andere kant van het verhaal. De verwerking van persoonsgegevens speelt een steeds grotere rol in het economische verkeer. Naast het beschermen van persoonsgegevens is het tweede doel van de AVG het waarborgen van een grotere en vrijere ruimte in Europa voor het vrije verkeer van persoonsgegevens. De geautomatiseerde verwerking van persoonsgegevens is bij uitstek niet aan landsgrenzen gebonden. Dat maakt dat het economisch verkeer erbij is gebaat dat die regels in de Europese ruimte zo min mogelijk verschillen per land. Dat is het tweede grote ding dat de AVG beoogt. Wat betekent dat in de praktijk? Laten we eens een groot Nederlands bedrijf nemen, een bedrijf dat internationaal opereert in verschillende landen, een grote bank, bijvoorbeeld ING. Dat heeft nu te maken met 28 verschillende nationale wetten en straks met één AVG, waarin in ieder geval de backbone, de belangrijkste beginselen, in Europa gelijk zijn geregeld. Nu heeft dat bedrijf te maken met 28 verschillende autoriteiten persoonsgegevens. Straks kan het terecht bij één, namelijk de Nederlandse. Dat is pure winst.
Ook voor gewone mensen zoals u en ik verandert er het een en ander in het voordeel. Stel dat je een vliegticket koopt bij een buitenlandse vliegmaatschappij. Ik noem maar wat: het illustere airBaltic. Als je, nadat je het ticket hebt gekocht, voortdurend spam krijgt waarvan je denkt: hé, dat is toch gek, dat heeft te maken met het ticket dat ik daar heb gekocht, maar het was niet mijn bedoeling dat ik met het kopen van dat ticket mijn gegevens gaf voor allerlei doeleinden waarvoor ze nu worden gebruikt. Als je daar nu wat aan wilt doen, moet je naar de Letse autoriteit persoonsgegevens. Ik moet u bekennen dat mijn Lets niet zo heel erg goed is. Straks kun je naar de Nederlandse Autoriteit Persoonsgegevens, die contact opneemt met de Letse. Die neemt dat weer terug en meldt dat terug aan de klager. Ik denk dat voor burgers in Nederland echt pure winst is dat we met deze nieuwe regelgeving gaan werken.
Voorzitter. Dat als inleiding vooraf. Ik wilde mijn betoog opbouwen langs een aantal lijnen. Ik wilde kort iets zeggen over de wet zelf, over het proces, over de timing en over hoe om te gaan met de open normen in de wet. Dat is eigenlijk de wet in de basis. Mijn tweede grote thema is wat de maatschappelijke effecten zijn van deze wet voor bijvoorbeeld bedrijven en andere organisaties, sportverenigingen, kerken et cetera. Het derde grote thema dat ik heb kunnen destilleren uit de vragen en opmerkingen van Kamerleden gaat heel erg over de Autoriteit Persoonsgegevens: de taakopvatting, de opstelling, de bemensing, de bemiddeling, het geld en de begroting. Dan heb ik noodgedwongen een blokje met specifieke thema's die aan de orde zijn gesteld, bijvoorbeeld de journalistiek, e-Court, algoritmes. Die heb ik maar even in een groot blok "varia" gedaan. Tot slot wil ik commentaar geven op alle amendementen die zijn ingediend.
Voorzitter. Laat mij beginnen met het wetsvoorstel zelf. Over de inhoud van de AVG is op Europees niveau ruim 4 jaar onderhandeld door 28 lidstaten. Destijds is de Kamer door mijn ambtsvoorgangers voortdurend over de onderhandelingen geïnformeerd en daar ook nauw bij betrokken geweest. De AVG is inmiddels een feit. Op 25 mei worden de normen uit de AVG ook rechtstreeks van toepassing in alle lidstaten van de EU. Dat dit nu een voldongen feit is, wil niet zeggen dat de Tweede Kamer destijds geen invloed heeft gehad op de Nederlandse inbreng in de onderhandelingen.
Op dit moment is het zaak om ervoor te zorgen dat de voorliggende Uitvoeringswet gelijktijdig met de AVG op 25 mei in werking kan treden. Dat is in Nederland van heel groot belang. Ik heb al het een en ander gekenschetst in de schriftelijke behandeling, want als dit niet het geval is, belanden we in allerlei ongewenste situaties. Dat moeten we in mijn ogen koste wat kost voorzien. Er zit dus flink wat tempo op dit proces. Ik vind dat Nederland niet heel erg achterloopt op veel andere landen in Europa. Ik geloof dat de heer Van Nispen vroeg hoe het in andere landen zit en of we ons hier en daar zorgen maken. Ik geloof dat alleen Duitsland en Oostenrijk al tot afronding van het wetsproces zijn gekomen. Alle andere 26 lidstaten zijn op dit moment ook heel erg druk bezig om, net als in Nederland, de wetgeving door het parlement heen te loodsen.
Om dat soepel en zo snel mogelijk te doen, is het wel een heel bewuste en nadrukkelijke keuze geweest om, los van de veranderingen die de AVG met zich meebrengt, de beleidskeuzes die er nog wel in zitten, zo veel mogelijk beleidsneutraal door te voeren. Die zijn in lijn met de manier waarop het thans geregeld is in de Wet bescherming persoonsgegevens. We doen dat om het zo vloeiend mogelijk te doen en om niet boven op de veranderingen die de AVG al met zich meebrengt nog eens nieuwe nationaalrechtelijke regels te introduceren.
Dat betekent niet dat we dat niet op termijn zouden moeten doen. Ik zie mevrouw Buitenweg al naar de interruptiemicrofoon toe komen. Ik heb namelijk heel goed gehoord dat we bij een aantal van de punten waarbij we de ruimte hebben, wat langer stil zouden kunnen staan en daarover zouden kunnen discussiëren. Neem bijvoorbeeld de leeftijdsgrens. Die kopiëren wij vanuit de Wet bescherming persoonsgegevens in de UAVG.
Ik zou graag een procesvoorstel voor willen doen. Dan ga ik daarna inhoudelijk in op het punt dat genoemd is. Ik zou graag direct na afronding van dit wetsvoorstel de mogelijkheden verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht. De onderwerpen die zojuist zijn aangestipt, zal ik daar ook heel graag bij betrekken. Ik zal een of twee van die onderwerpen er straks ook nog wel uitlichten omdat daar wat meer specifieke vragen over waren. Daarbij zal ik ook mijn overwegingen meegeven waarom ik er misschien voor zou kiezen om dat in de tweede fase te doen. Laten we daar dus maar het debat over voeren. Ik wil graag in kaart brengen wat de precieze juridische implicaties zijn van nadere wijziging. Ook zou ik graag een zorgvuldig proces willen doorlopen om met verschillende belangenorganisaties en bedrijven te bekijken wat precies de voor- en nadelen zijn. Dan kan ik u een brief sturen om aan te geven wat eruit komt als je het net ophaalt. Daarbij wil ik ook concrete voorstellen doen over wat er wat mij betreft in een tweede ronde van deze UAVG zou kunnen worden meegenomen. Volgend jaar, dus in 2019, zou die wet dan in consultatie kunnen gaan.
Voorzitter. Dit is dus de beleidsneutrale variant. Daarmee is het dus niet klaar, maar gezien het tempo dat we moeten aanhouden, zou het zeer mijn voorkeur hebben om zo veel mogelijk te kiezen voor de wet zoals die nu voorligt. Dan gaan we daarna een verdiepingsslag maken.
Mevrouw Buitenweg (GroenLinks):
De minister had mij eigenlijk wel gepacificeerd toen hij zei dat hij zo meteen nader in zou gaan op de vragen over bijvoorbeeld de leeftijdsgrens. Maar nu zegt hij voor de tweede keer dat het beleidsneutraal is. Juist doordat er nieuwe rechten worden gegeven aan personen, pakken de afspraken die er wel degelijk zijn, bijvoorbeeld een bestaande leeftijdsgrens, volgens mij niet beleidsneutraal uit, omdat de implicaties voor burgers toch anders zijn. Als er nu inderdaad gehandhaafd wordt, heb je voor het downloaden van een app van NU.nl of voor googelen elke keer weer de toestemming van je ouders nodig als je onder de 16 bent. Dat pakt niet beleidsneutraal uit. Is de minister dat met mij eens?
Minister Dekker:
Naar mijn beste weten is het ook nu in de Wet bescherming persoonsgegevens zo dat je onder een bepaalde leeftijd toestemming nodig hebt van je ouders. Dan wordt hier natuurlijk gevraagd hoe dat er in de praktijk precies gaat uitzien. We hebben allemaal vrienden met kinderen of we hebben zelf kinderen en zien dan natuurlijk ook dat dat lang niet altijd gebeurt. Laat ik even een parallel maken met het burgerlijk recht. Minderjarige kinderen, zeker kinderen onder de 16, mogen bijvoorbeeld geen overeenkomsten aangaan. Als een kind van 10 een ijsje gaat kopen, betekent dat formeel volgens de wet dat het toestemming van zijn ouders nodig heeft om een financiële transactie aan te gaan. In de praktijk gebeurt dat eigenlijk niet of nauwelijks, maar een ouder kan altijd zijn toestemming terugroepen bij het aangaan van dat soort overeenkomsten. Ik wil u meegeven dat ik best met u de discussie wil aangaan of je misschien van 16 naar 14 moet of zelfs naar 13. Dat is de benedengrens. Ik zie ook dat allerlei landen dat verschillend hebben geregeld. Dat vind ik overigens wel een wat zwak punt in de AVG, want dat laat toch zien dat de poging om dit binnen Europa te uniformeren nog niet helemaal lukt. Ik zit daar helemaal niet principieel in, maar als we dat gaan doen, zou ik het persoonlijk heel prettig vinden als we aan de Kamer gewoon helder aangeven wat de consequenties en implicaties zijn en wat de samenhang is met bijvoorbeeld andere wetgeving. Minderjarigen hebben op heel veel fronten formeel toestemming nodig van hun ouders om bepaalde rechtshandelingen te plegen.
Mevrouw Buitenweg (GroenLinks):
Nu begrijp ik dat de verdediging van de minister eigenlijk is dat het op dit moment ook niet wordt gehandhaafd. Daarom zou er niet zo'n heel groot probleem zijn. Volgens mij is het de bedoeling dat de wet en de verordening die we hier bespreken, en ook de voorliggende Uitvoeringswet wel gehandhaafd worden. Dus het idee is dat het weinig problemen zal geven, omdat het eigenlijk ook nu al een beetje een fictieve toestemming is. Dat lijkt me een zwakke verdediging, omdat de bedoeling juist is dat het instemmen van burgers met de verwerking van hun data voortaan niet meer fictief is. Daarmee zal er wel degelijk iets veranderen voor de jongeren.
Minister Dekker:
Ik heb het voorbeeld aangedragen, omdat je ook in andere wet- en regelgeving ziet dat leeftijdsgrenzen worden gehanteerd en dat daar in de praktijk een mouw aan wordt gepast. Er wordt dan ook gekeken naar redelijkheid en billijkheid. Ik gaf net het voorbeeld van een 12-jarige die een ijsje gaat kopen. Als je na een jaar nog een keer daarop terugkomt en zegt dat je daar geen toestemming voor gegeven had, zal de rechter toch echt zeggen: dat is dan pech gehad. Maar als een kind van 12 een duur ding heeft aangeschaft op het internet en je als ouder zegt dat je het niet zo bedoeld had, dan heb je wel degelijk een titel in het burgerlijk recht om daarop terug te komen. Het gaat hier om de gegevensverwerking. De heer Verhoeven of de heer Van der Staaij — ik weet niet meer wie het was — gaf aan dat de persoonsgegevens, ook van kinderen die minderjarig zijn, gebruikt worden. Het gaat niet alleen om het aanmaken van een profiel op Facebook, maar ook om de vraag of een minderjarig kind zich bewust is van wat er met zijn privégegevens precies gebeurt. Dat is een ingrijpend iets. Ik wil best de discussie met u aangaan over de vraag of je niet naar 14 of eventueel naar 13 terug moet, maar het verhaal heeft ook een andere kant, namelijk dat kinderen zonder de toestemming van ouders hun privégegevens kunnen weggeven en dat allerlei bedrijven, als ze daar toestemming voor hebben gegeven, daar vervolgens dingen mee kunnen doen. Nogmaals, ik zeg nu niet dat ik dit principieel niet wil, maar ik wil die brug pas overgaan als we de consequenties daarvan goed hebben doordacht. Vandaar mijn voorstel om te kijken of we dit in een tweede fase kunnen doen.
Mevrouw Buitenweg (GroenLinks):
De minister gaf een aantal voorbeelden waarin het ging over betalen. Dat is ook een handeling met groot rechtsgevolg. Maar het gaat natuurlijk ook over het abonneren op een nieuwsbrief en het googelen van een boek voor je werkstuk. Het is toch te zot als je daarvoor steeds naar je ouders moet? Althans, ik zou dit ook niet willen als ouder. Ik zie me al zitten, dat ik elke avond weer ergens vinkjes moet zetten. Dat lijkt me dus niet de weg die we op moeten gaan. Het is goed dat we dit opnieuw gaan bekijken. Maar ik denk dat er in de komende maanden, als er inderdaad gehandhaafd wordt, echt een andere uitwerking komt dan nu het geval is in de huidige situatie. En dat vindt GroenLinks in ieder geval niet wenselijk.
Minister Dekker:
Ik noteer de opvatting van mevrouw Buitenweg. Bij een aantal voorbeelden die zij aandraagt, zeg ik van mijn kant ook onmiddellijk dat dat een beetje gek zou zijn. Ik betwijfel wel of alle voorbeelden die u noemt, onmiddellijk onder het regime van de Avg vallen. Je kunt op internet namelijk heel veel dingen doen zonder dat je je persoonsgegevens weggeeft, bijvoorbeeld in zoekmachines kijken. Het heeft echter mijn voorkeur om deze discussie in de tweede fase met elkaar te voeren.
Voorzitter. Dan zijn er een aantal vragen gesteld over de systematiek van de wet. De heer Van der Staaij vroeg hoe om te gaan met de begripsbepaling in de wet. Dat is natuurlijk best een worsteling geweest, ook in Europees verband. Er is gekozen voor vrij algemene en vrij open normen. Dat heeft aan de ene kant een nadeel als je het eigenlijk veel concreter en veel specifieker wilt weten. Aan de andere kant heeft het een voordeel. De heer Verhoeven refereerde daaraan, namelijk dat je in een omgeving en in een wereld waarin de technologische ontwikkelingen heel snel gaan eigenlijk toe moet naar een zoektocht naar principes die straks, als de techniek verandert, ook weer hanteerbaar en geldend zijn. Daarom is de keuze gevallen op vrij algemene begrippen en vrij open normen.
Die moeten natuurlijk in de praktijk worden ingevuld. Dat gebeurt op verschillende niveaus. De verantwoordelijkheid van bedrijven en organisaties die verwerkingsverantwoordelijk zijn, staat uiteraard voorop, maar daar helpen we ze wel bij. Dat doen wij vanuit onze kant door aan te geven welke normen zij worden geacht precies op te pakken en uit te voeren. Daar hebben wij allerlei materiaal voor ontwikkeld, samen met de Autoriteit Persoonsgegevens. De toezichthouder voert op nationaal niveau toezichtbeleid, zowel in algemene richtlijnen als in het concrete toezicht- en boetebeleid. Dat betekent ook dat dit in de uitwerking van deze wet nader vorm krijgt.
Laat ik misschien even een parallelletje trekken naar het burgerlijk recht: ook in het burgerlijk recht staan natuurlijk vrij brede en open normen. Neem bijvoorbeeld het begrip van de onrechtmatige daad. Wat is een onrechtmatige daad eigenlijk? Maar het feit dat we zo'n open begrip hebben in het burgerlijk recht, dat in de praktijk vorm krijgt middels jurisprudentie en onafhankelijke rechterlijke uitspraken, maakt zo'n juridisch begrip ook wel weer heel erg tijdloos en op heel veel plekken en fronten goed toepasbaar. Dat is ook een beetje waarvan ik hier hoop dat een aantal van de open normen straks in de uitvoering nader handen en voeten krijgen en in de jurisprudentie verder worden uitgewerkt. Op Europees niveau stelt het Europees Comité voor gegevensbescherming ook allerlei algemene richtlijnen op. Verder stelt de Europese Commissie nog enige gedelegeerde en uitvoeringshandelingen op. Dat alles is natuurlijk qua omvang verschillend van de huidige situatie, maar in essentie, qua aard, wellicht niet.
De heer Van der Staaij stelde ook de vraag: waar stem ik nu straks mee in? Betekent de UAVG en het regime van de AVG dat we straks heel strikte privacynormen hebben en dat als we dat bijvoorbeeld willen doen op het gebied van veiligheid, met veiligheidshuizen of in de jeugdzorg, overheidsinstanties niet meer met elkaar kunnen communiceren omdat we hier vandaag wellicht ja tegen zeggen? Ik denk dat ik die zorg kan wegnemen. Een van de principes in de UAVG is immers dat er heel veel kan als daar een wettelijke basis voor is of als bijvoorbeeld individuele gebruikers daar toestemming voor geven. Bij een aantal voorbeelden kan ik daar dan denk ik straks ook wel wat kou uit de lucht halen. Dat betekent dus dat er voor u als parlement een heel belangrijke taak en rol liggen om straks aan te geven waar u vindt dat organisaties op de grond van de wet die u maakt en die u vaststelt, wel gerechtigd zijn om persoonsgegevens uit te wisselen. Ik zal in ieder geval vanuit mijn rol daarom ook voorzichtig zijn met hier in heel veel discussies beschuldigend naar Brussel wijzen of met zeggen dat iets niet meer kan omdat het zo in de UAVG geregeld is. Ik vind dat wij veel meer naar onszelf moeten kijken. We hadden hier onlangs een interessant debat over het terugdringen van recidive in het gevangeniswezen waarbij ook werd gezegd: het is voor gevangenissen en gemeenten ingewikkeld om gegevens over ex-gedetineerden met elkaar uit te wisselen. Dat kan allemaal in feite op basis hiervan, maar dan moeten we het in onze nationale wet- en regelgeving wel goed met elkaar regelen en vastleggen.
De heer Van der Staaij (SGP):
De minister zegt dat de wetgever op dit terrein juist wel aan de bak kan, om het zo maar te zeggen. Daar is juist van belang dat er formeel wettelijk ook echt een expliciete regeling is. Dat ben ik met hem eens. De vraag is wel in hoeverre dat nu ook bij deze Uitvoeringswet betrokken is. Ik zie daar wel algemene bepalingen in staan, ook op het terrein van wat er nodig is voor de gezondheid en de veiligheid, maar is daarbij wel nadrukkelijk aangesloten op de gangbare praktijken om te voorkomen dat deze wet leidt tot een inperking van de mogelijkheden die we nu in het belang van veiligheid en gezondheid kennen?
Minister Dekker:
Een enorme verdere inperking is niet de bedoeling geweest van dit wetsvoorstel. Dit wetsvoorstel ziet toe op zorgvuldig beheer en goede beveiliging van persoonsgegevens. Ik ga er niet omheen draaien. Dit betekent voor heel veel organisaties dat zij eens goed moeten kijken naar de huidige manier waarop zij dat doen. Er zit echt een aantal nieuwe dingen in waarvoor ze aan de slag moeten, willen ze het goed regelen. Denk bij voorbeeld bij grote bedrijven en een ingewikkelde, complexe behandeling van persoonsgegevens aan zo'n gegevensfunctionaris. Voor vrij eenvoudige dingen moet je het in ieder geval in kaart gebracht en geregistreerd hebben. Zo is er een aantal nieuwe dingen in dit wetsvoorstel. Ik voorzie niet onmiddellijk dat dit voor een aantal van de reguliere dingen die we met zijn allen geregeld hebben een enorme beperking biedt, althans, dat is niet de intentie. Het zou kunnen dat we daar natuurlijk in de praktijk wel tegenaan lopen. Daarom vind ik een aantal van de suggesties die gedaan zijn, ik geloof door u, meneer Van der Staaij, maar ook door de heer Koopmans, om heel goed te blijven volgen hoe dit uitwerkt, cruciaal. Dat ga ik ook doen. Ook vind ik de suggestie cruciaal dat we dingen waar we wellicht in de praktijk tegenaan gaan lopen in onze nationale wetgeving goed moeten regelen. Ik sluit ook niet uit dat er nog dingen zijn waarvan we zeggen: ja, daar lopen we in de AVG zelf tegenaan. De heer Van der Staaij was wat kritisch over in ieder geval de Europese teksten. Het kan zijn dat we ons achteraf afvragen of die goed werkbaar waren. Ik weet dat mijn voorganger, Stef Blok, rond de zomer toen er een Europese Raad was, dit ook heel nadrukkelijk in Europa heeft geagendeerd. Hij heeft daarbij gezegd: kijkend naar de AVG komt er heel veel op bedrijven en organisaties af, we moeten de vinger aan de pols houden, niet alleen landelijk maar ook Europees. Als dat tot dingen leidt, dan kom ik bij u terug en gaan we samen bedenken hoe we dat moeten doen en of we dat in Nederland kunnen doen dan wel of we terug moeten naar Brussel.
De heer Van der Staaij (SGP):
Dat betekent concreet ook dat als het gaat om wat deze wet biedt op basis van de verordening, het niet de bedoeling is om te komen tot een inperking van de uitwisseling van gegevens in het kader van bijvoorbeeld de zorg voor verwarde personen en de manier waarop dat nu functioneert? Dat moet gewoon door kunnen gaan?
Minister Dekker:
Daar ziet het niet op. Deze wet beoogt om de manier waarop wij en bedrijven en instellingen omgaan met persoonsgegevens beter te regelen en niet om dat enorm in te krimpen of te beperken. Ik sluit niet uit dat er staande praktijken zijn — ook daar ben ik de afgelopen maanden wel een paar keer tegen aangelopen — waarbij organisaties een manier van werken hadden en zich er nooit bewust van waren dat dit misschien ook onder de huidige wet- en regelgeving al dan niet kan en mag, er nu met de nieuwe wet- en regelgeving plotseling achter komen dat ze het moeten aanpassen en veranderen. Dus er zullen best een aantal dingen zijn die anders moeten. Feitelijk betekent dit dan wellicht een wat strikter en zorgvuldiger omgaan met die dingen. U kunt er wel van op aan dat als dit leidt tot onwenselijke knelpunten, bijvoorbeeld in de jeugdzorg, het onderwijs of de sport, ik daar dan graag mee terugkom. Vandaar de vraag om de vinger aan de pols te houden, om te evalueren en om bij wijze van spreken over een halfjaar terug te komen om te laten zien wat het heeft opgeleverd. Dat lijkt mij heel erg nuttig en dan kunnen we daarover de discussie aangaan.
De heer Van Nispen (SP):
Ik begrijp de voorgestelde aanpak van de minister. Ik ben zelf ook niet zo ver dat ik ten aanzien van al die punten waarover ik vragen heb gesteld, concrete voorstellen indien omdat ik ervan overtuigd ben dat het anders moet en het beter kan, maar er zijn wel veel zorgen die we hier ook allemaal hebben benoemd. Het liefst zouden we de behandeling van een wet in één keer goed willen doen en willen kunnen zeggen: en zo gaat het zijn. Maar ik heb wel begrip voor de voorgestelde tweefasenaanpak. Stel nou dat na 25 mei 2018 blijkt dat bijvoorbeeld sporters met een beperking niet meer hun sport kunnen beoefenen omdat niet meer geregistreerd mag worden welke beperking zij hebben. Het gaat dus om evident onmenselijke gevolgen die niet beoogd zijn. Is er dan nog ruimte voor interpretatie op dat moment of moeten we dan wachten totdat de inventarisatie is afgerond en er een nieuw wetsvoorstel komt? Ik bedoel dat niet alleen op het gebied van sport, maar dit is even ter illustratie van het punt dat ik wil maken.
Minister Dekker:
Als er echt acute of zeer urgente knelpunten zijn, kom ik eerder bij u terug. Sterker nog, ik heb het vermoeden dat u mij dan aan mijn jasje gaat trekken en mij naar de Kamer roept en zegt: hé, we hebben ingestemd met een wet maar dit was niet de bedoeling. Dan gaan we kijken wat we daaraan kunnen doen. Als het gaat om de maatschappelijke impact en consequenties van deze wet- en regelgeving, worden soms ook beren op de weg gezien die er niet zijn en zijn er zaken die zonder wetswijziging heel eenvoudig zijn te omzeilen of zijn op te lossen. Ik heb zelf — ik twijfel of ik dat moet zeggen in dit huis — ook wel eens de indruk dat er rond de invoering van deze nieuwe wet- en regelgeving een beetje een industrie is ontstaan van allerlei bureaus en adviseurs die graag het beeld willen neerzetten dat het heel veel vraagt van organisaties en dat als je niets doet, je een enorme boete om je oren krijgt. Los van de terechte dingen die moeten veranderen, is dat een beetje bangmakerij met de optiek om er een mooie opdracht door te krijgen, in de zin van: wij weten precies hoe je dat kunt voorkomen. Ik wil kijken naar wat er echt nodig is. Laat ik het punt van de gehandicapte sporters er dan toch even uit pikken. Ik heb ook de brief van NOC*NSF gelezen. Die verbaasde mij eigenlijk wel een beetje. Ik ga graag met ze in gesprek om te kijken wat er echt aan de hand is. Ik denk dat als je als gehandicapte sporter actief bent in een sport en gewoon toestemming geeft voor het verwerken van die gegevens, er niets aan de hand is. Dan kan het gewoon.
De heer Verhoeven (D66):
Ik denk dat het goed is dat de minister net die dingen heeft gezegd over het belang dat bepaalde organisaties kunnen hebben bij het gevoel dat heel veel organisaties heel veel moeten doen om aan deze wet te voldoen en dat ze er daardoor ook weleens een verdienmodel voor zichzelf in zien. Dat moeten we absoluut zien te voorkomen, dus ik ben blij dat de minister dat gezegd heeft. Ik ben heel benieuwd hoe hij, als de uiteindelijk verantwoordelijke voor de uitvoering en de uitvoeringspraktijk in Nederland, wil zorgen voor een goede balans tussen het navolgen van die belangrijke privacyregels, waar we allemaal een gevoel bij hebben, en het voorkomen van allerlei overdreven en onnodige ingrepen door allerlei organisaties die niet in de categorie van zware gegevensbeschermers zitten.
Minister Dekker:
Ik wil dat doen door goede, neutrale en onafhankelijke voorlichting te geven. Daarom ben ik zelf blij met de adviesfunctie die de Autoriteit Persoonsgegevens krijgt. Wij dragen zelf ons steentje bij vanuit het ministerie van Justitie en Veiligheid om ook grotere en middelgrote bedrijven, als het gaat om de zwaardere regimes, precies aan te geven wat voortvloeit uit de wet, wat moet en wat niet. Ik hoop dat ook brancheverenigingen daarbij helpen. Ik ga graag partnerschappen aan. Dat doen we bijvoorbeeld al met VNO-NCW en met MKB Nederland, maar wat mij betreft doen we dat ook met partijen als NOC*NSF en als het gaat om het onderwijs met de PO-Raad en de VO-raad om dat goed inzichtelijk te maken. Ik geloof dat wat hierin staat echt een verbetering is. Als organisaties daar nog niet aan voldoen, geloof ik dat het in hun belang is en ook in het belang van bijvoorbeeld de kinderen die op een school zitten of de sporters die aangesloten zijn bij een vereniging, dat de organisatie waarmee zij te maken hebben het been bijtrekt. Maar we zijn hier niet om alles onmogelijk te maken. Dat vind ik heel belangrijk.
Misschien mag ik nog een ding meegeven aan de heer Verhoeven. Ik deel heel erg zijn punt over de grote databedrijven, de Googles en de Facebooks van deze wereld, maar deze wet- en regelgeving is er niet alleen maar om hen te reguleren. We moeten ons echt realiseren dat het gebruik van data op heel veel fronten gebeurt. Ook in het midden- en kleinbedrijf gaat dat een steeds grotere rol spelen, en ook in andere organisaties. Neem bijvoorbeeld de school. Vroeger paste je daar een mouw aan en ging het allemaal zo. Maar tegenwoordig, met alle digitale leermiddelen die er zijn, moeten we heel goed nadenken over hoe bijvoorbeeld ook een kleine school omgaat met de gegevens die ze hebben van leerlingen, omdat het gaat om kwetsbare kinderen. Die hoeven misschien geen heel zwaar regime op te tuigen, maar ik zou het eigenlijk wel goed vinden als ook een kleine school of een voetbalvereniging, net zoals je een penningmeester hebt die op de centen let, aan iemand vraagt: hou jij bij wat er binnen onze organisatie gebeurt als het gaat om de verwerking van persoonsgegevens, want dat is gevoelig en dat moeten we goed geregeld hebben.
De heer Van der Staaij (SGP):
De minister noemt nu het punt van de scholen. Ik had daar zelf ook nog een opmerking over. Hoe zit het bijvoorbeeld met zo'n functionaris voor gegevensbescherming? Daar is dan discussie over. De minister zegt dat het altijd goed is om goed met persoonsgegevens om te gaan en daar oog voor te hebben. Helemaal mee eens. Je zou ook nog kunnen zeggen: maakt het nou veel uit of je een functionaris hebt; het is altijd wel goed dat iemand ervoor verantwoordelijk is. Maar dan is de vervolgstap weer dat aan zo'n functionaris allerlei eisen verbonden zijn: je moet scholing hebben. Voordat je het weet, kom je toch weer in een bureaucratie terecht waarvan we ons afvragen: is dat allemaal wel de bedoeling? Wat is de reactie van de minister op dat punt?
Minister Dekker:
Ik wilde eigenlijk net beginnen aan het hele blok over de maatschappelijke impact. Ik heb de wetgeving afgerond. Ik wilde nu eigenlijk toe naar de vraag wat dit betekent voor organisaties, voor bedrijven. Daar komt dit ook aan bod. Ik kijk naar de voorzitter, of ik kijk naar u. Als aan het einde van het blokje deze vraag nog niet is beantwoord, dan vind ik het ook goed om daar nog even op terug te komen, maar hij komt aan de orde in wat u nu wil gaan vertellen.
De heer Van der Staaij (SGP):
Ik vind het prima dat het wat later komt. Dan nu alleen even meer het algemene punt. De minister gaf aan dat het zelfs voor kleine organisaties goed is om er oog voor te hebben. Al heb je het maar over tien mensen, het gaat wel om kwetsbare gegevens soms. Mee eens, maar is hij het op het niveau van deze algemene gedachtewisseling met mij eens dat we wel oog moeten hebben voor de gevaren van de enorme administratieve lasten die het tot gevolg heeft en die eigenlijk niet meer in verhouding staan tot het belang dat we dan willen dienen met elkaar?
Minister Dekker:
Dat ben ik helemaal met de heer Van der Staaij eens. Het gaat ook om proportionaliteit en om risicogericht werken. Ik gaf net aan dat het ook goed zou zijn als bij wijze van spreken de voetbalclub iemand benoemt in zijn bestuur of in zijn organisatie die ook nadenkt over wat je doet met gegevensverwerking, maar een gegevensfunctionaris zoals de wet die voorschrijft voor complexe handelingen, is daar niet per se nodig. Dat geef ik even aan opdat de heer Van der Staaij niet nu denkt dat ik zeg dat ook daar gegevensfunctionarissen moeten worden aangesteld en ingesteld. De wet geeft precies aan wanneer dat moet. Ik ga daar straks wat over zeggen. Maar daar vallen voetbalclubs, tenzij ze heel bijzondere dingen doen waarvan ik geen weet heb, niet onder.
Voorzitter. Wat betekent dit dan voor bedrijven en voor organisaties? Er bestaat onmiskenbaar enige spanning tussen de twee doelstellingen van de AVG die ik zojuist noemde: het beschermen van het grondrecht enerzijds en het garanderen van een meer vrije uitwisseling van persoonlijke gegevens anderzijds. Toch liggen de bescherming van persoonsgegevens en de bevordering van de interne markt in elkaars verlengde, want naarmate de technologische ontwikkelingen en de technologische mogelijkheden toenemen, wordt ook de behoefte aan spelregels groter. Omgekeerd zou je kunnen zeggen dat de bereidheid van consumenten om gegevens te verstrekken, toeneemt naar de consument weer meer vertrouwen heeft in de wijze waarop zijn gegevens worden verwerkt. Dus een hoog en een goed niveau van bescherming van persoonsgegevens bevordert ook juist het vrije economische verkeer binnen de EU.
Dit gezegd hebbende is het allereerst van belang om te constateren dat de AVG weliswaar nieuwe elementen bevat en ook wel hier en daar accenten verschuift, maar dat de basisbeginselen voor rechtmatige verwerking van persoonsgegevens zoals verankerd in de Wet bescherming persoonsgegevens, dus de huidige wet, eigenlijk stevig overeind blijven staan. Ik durf ook wel de stelling aan dat voor bedrijven en organisaties die al voldoende voldoen aan de eisen die op grond van de Wbp gelden, en die dus ook zelf goed inzicht hebben in hun eigen informatiestromen, eigenlijk dat nieuwe AVG-regime helemaal geen grote aardverschuiving is. Even los van het feit dat je natuurlijk ook al aan ziet komen dat deze wetgeving straks in werking treedt, omdat 27 april 2016 al in Europa die wetgeving is vastgesteld.
Maar dat de AVG evident voordelen heeft, maakt niet dat ik mijn ogen sluit voor de inspanningen die organisaties en bedrijven zich nu moeten getroosten om de gegevensverwerking die zij uitvoeren door te lichten en eventueel hun bedrijfsprocessen aan te passen. Vooral op het vlak van verantwoording en transparantie eist de AVG meer dan voorheen van verwerkingsverantwoordelijken.
Voor bedrijven die ook nog eens bezig zijn met een inhaalslag — omdat ze op dit moment niet voldoen aan de eisen van de Wet bescherming persoonsgegevens — zal het been bijtrekken, naarmate dat achterstallig onderhoud groter is, vanzelfsprekend navenant meer tijd en inspanning vergen. Ik heb daar zeker ook oog voor. Ik werk ook al geruime tijd samen met de AP en bijvoorbeeld ook met VNO-NCW om allerlei inspanningen te verrichten om de boel in goede orde te laten verlopen, op maat gesneden informatie ter beschikking te stellen aan alle bedrijven en organisaties om hen zo wegwijs mogelijk te maken in de nieuwe regels die per 25 mei ingaan.
Ik ga heel snel gewoon eens even heen door een aantal dingen die we doen. De Commissie is onlangs een zeer omvangrijke voorlichtingscampagne gestart. De artikel-29-groep, zeg maar de voorloper van het Comité, heeft inmiddels een aantal richtsnoeren uitgebracht, die zien op de AVG en bijvoorbeeld gaan over rol en positie van de functionaris gegevensbescherming of over de gegevensbeschermingseffectbeoordeling: wat moeten we precies verstaan onder het fenomeen van profiling? Het ministerie van J en V heeft onlangs een toegankelijke handleiding AVG gepubliceerd. Die handleiding is primair bedoeld voor bedrijven en organisaties die hun organisatie op de nieuwe wet- en regelgeving willen voorbereiden. Speciaal voor kleine ondernemers wordt eind maart ook nog eens een keer daarbovenop een praktische, compacte brochure uitgebracht, omdat je het niet alleen inzichtelijk wilt maken voor de juristen van grote bedrijven, maar ook voor bij wijze van spreken de detailhandel, midden- en kleinbedrijf en kleinbedrijf.
Er zijn de afgelopen tijd verschillende bijeenkomsten georganiseerd door de AP voor specifieke branches, waarvan we weten dat ze met heel veel persoonsgegevens te maken hebben: de financiële sector, lokale overheden, onderwijs, zorg en de advertentiesector. Daarop richt de AP specifiek haar voorlichting. En het is zo dat er een meer algemene campagne is gestart, een voorlichtingscampagne, op 29 januari jongstleden, waarbij ook heel concrete regelhulpen worden aangeboden aan organisaties die hiermee aan de slag willen.
In algemene termen kan ik niet al te veel zeggen over wat het precies van bedrijven en organisaties vergt, omdat dat heel erg afhangt van de mate waarin zij persoonsgegevens verwerken en ook van waar zij eigenlijk nu al staan: voldoen ze al heel erg goed aan de huidige Wet bescherming persoonsgegevens dan wel moeten ze een been bijtrekken? Maar laat ik eens een aantal voorbeelden geven, bijvoorbeeld voor, het werd al genoemd, de voetbalclub: we hebben in Nederland een heel rijk verenigingsleven, die dit natuurlijk ook allemaal op zich af zien komen. Het is, vind ik, uiteindelijk belangrijk dat ook zij zich realiseren dat ze persoonsgegevens van hun leden verwerken en dat daar soms ook heel gevoelige, bijzondere persoonsgegevens tussen kunnen zitten. Denk bijvoorbeeld aan gegevens over kinderen waarbij iets medisch meespeelt. Daarom dient zo'n club erop toe te zien dat ook die gegevens niet zomaar aan derden worden verstrekt, maar netjes worden bewaard, beheerd en goed worden beveiligd. Dat houdt ook in dat ze hun ledenbestand goed moeten beveiligen. Maar al met al zijn het in mijn ogen wel redelijke eisen en activiteiten en inspanningen die je van deze verenigingen vergt die in mijn ogen ook wel behapbaar zouden moeten zijn.
Voorzitter. Dan vroeg de heer Koopmans of er nou met deze wet voldoende aandacht is voor de veilige opslag van gegevens. Ik denk dat dat alleen maar een steeds groter punt wordt. We staan misschien nog maar aan het begin. Het antwoord is ja: daar ziet de AVG extra op toe. Ik denk ook dat dat nodig is. Kortheidshalve verwijs ik maar even naar het recente jaarverslag van de AIVD, waarin wordt aangegeven dat bij cybercrime het hacken, het actief op zoek zijn naar persoonsgegevens door kwaadwillende derden, een toenemend groot probleem is. Dat betekent uiteraard voor de heel grote bedrijven, maar ook voor kleinere bedrijven en organisaties, dat het belangrijk is dat men zich daarvan bewust is en dat men zelf probeert om de beveiliging zo goed mogelijk op orde te hebben.
Voorzitter, ik ben even op zoek naar ...
De voorzitter:
De heer Koopmans komt ons helpen met een interruptie.
Minister Dekker:
Hij komt mij even redden. Dat geeft mij de kans om even ...
De voorzitter:
Neem uw tijd, mijnheer Koopmans, zou ik zeggen.
Minister Dekker:
Neem de tijd.
De heer Koopmans (VVD):
Ik word er inderdaad op gewezen dat het vandaag Internationale Vrouwendag is. Dat is heel belangrijk. Ik zie dat wij veel waardevolle bezoekers op de publieke tribune hebben, inclusief vertegenwoordigers van de Autoriteit Persoonsgegevens. Ik zie ook dat de minister heel druk bezig is met de beantwoording van alle vragen.
Minister Dekker:
Ik heb het inmiddels gevonden.
De heer Koopmans (VVD):
Daaraan zou ik een vraag willen toevoegen, nadat hij het net erover had dat het belangrijk is dat gegevens veilig opgeslagen worden en dat organisaties, de gegevensverwerkers, zich daarvoor inzetten. In hoeverre draagt de huidige regelgeving en de toekomstige regelgeving eraan bij dat organisaties, gegevensverwerkers, dat zelf intern gaan handhaven? Wat, voor zover het nog niet volledig is geregeld, kunnen wij nog toevoegen aan dit punt, zodat er duidelijke handhaving ontstaat binnen de organisaties ter beveiliging tegen hackers?
Minister Dekker:
Er is bij dit soort regelgeving altijd een spanningsveld. In hoeverre schrijf je organisaties precies voor wat zij georganiseerd moeten hebben om de zaken goed op orde te hebben? Ik vind dat de AVG op een aantal punten al vrij ver gaat, bijvoorbeeld met het verplichte register en de verplichte gegevensfunctionaris. Dan is het altijd de vraag of je ook nog precies moet voorschrijven hoe ze intern hun compliance doen en hoe ze handhaven, als het gaat om het omgaan met die gegevens. Ik denk dat deze wetgeving niet zo ver gaat. Tegelijkertijd is het wel zo dat de normen verduidelijkt zijn en biedt deze wet mogelijkheden voor burgers om bijvoorbeeld te klagen over wat een organisatie doet met je gegevens. Ook is er de follow-up door een handhavende organisatie, zoals de Autoriteit die er vervolgens mee aan de slag moet. Vervolgens hebben zij de tanden om ertegen op te treden, wat met zich meebrengt dat bedrijven zich iets meer achter de oren gaan krabben: als ik er echt een potje van maak, of bewust dingen doe met gegevens die niet kunnen, dan heb ik een groot probleem. Met die combinatie van heldere normstelling met een aantal ankerpunten wat je vraagt van grote organisaties, maar ook met een goede toezichthoudende en handhavende follow-up, denk ik dat ieder groot bedrijf dat zichzelf serieus neemt, hier echt serieus werk van gaat maken.
Ik zal nog een paar dingen meer zeggen over wat dit vraagt van bedrijven. Waar ik net naar op zoek was, ging over de handhaving, maar daar kom ik straks op terug in het blok over de Autoriteit.
Ik heb al wat gezegd over artikel 30 en over de gezondheidsgegevens van sporters en sportbeoefening. Ik denk dat dat vrij eenvoudig te ondervangen is. Als er andere dingen spelen, ga ik in gesprek met NOC*NSF. Maar met de toestemming denk ik dat heel veel gewoon kan.
Mevrouw Van Toorenburg vroeg: wat moet het mkb allemaal regelen? Kort samengevat betekent dit allemaal dat bedrijven en organisaties bewuster moeten omgaan met bijvoorbeeld de gegevens van klanten. Neem een supermarktketen. Die moet een register bijhouden van de persoonsgegevens die hij verzamelt. Je moet dus in ieder geval in kaart brengen wat je aan gegevensverwerking doet, bijvoorbeeld dat je bewakingscamera's hebt hangen of dat je werkt met klantenkaarten, en wat daar precies achter zit. De supermarkt moet ook registreren wat er met die gegevens gebeurt en waarom dat noodzakelijk is.
Van de AP heb ik begrepen dat zij het eerste jaar dat de AVG van toepassing is vooral zal inzetten op verdere voorlichting en bijsturing, en niet onmiddellijk zal grijpen naar het allerzwaarste middel dat deze wet biedt. Verder wordt er praktische hulp verleend. In de praktijk zijn er voor het mkb een aantal concrete wijzigingen. Neem bijvoorbeeld het register van verwerkingsactiviteiten, het idee van privacy by design en by default, dat je er van tevoren bij nadenkt als je dingen ontwerpt, rond de registratie, et cetera.
Dan vroeg mevrouw Van Toorenburg: wanneer is zo'n functionaris gegevensbescherming nou precies verplicht? Een belangrijk uitgangspunt bij de verordening is de risicogerichte benadering. Dat betekent dat verenigingen van vrijwilligers, die als het ware niets bijzonders doen met persoonsgegevens, die wel een ledenbestand en dat soort dingen hebben, maar geen gekke dingen, beduidend minder aandacht hoeven te besteden aan deze verordening dan bijvoorbeeld bedrijven die op heel grote schaal aan complexe gegevensverwerking doen. Een functionaris gegevensbescherming is verplicht bij een aantal dingen. Eén: bij overheidsinstanties. Twee: bij grootschalige verwerkingen wegens regelmatige en stelselmatige observatie van personen. En drie: bij grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens. Dat geeft al wel een beetje aan dat het gaat om de wat zwaardere verwerkingen. Of een verwerking grootschalig is, hangt met name af van de aantallen waar betrokkene mee werkt. Voor een gemiddelde sportvereniging zal dit naar mijn oordeel niet snel aan de orde zijn, hoewel ik natuurlijk niet volledig kan overzien wat zich daar in de praktijk voordoet.
Voorzitter. Dan de registratie. Dat is een ander verhaal. Hoe zit het nu met die grens van 250 werknemers in artikel 30? Is dat werkbaar? Daarop is een eerlijk antwoord dat de Europese regelgeving eigenlijk zegt: zolang en zodra er sprake is van systematische gegevensverwerking, moet je dat goed registreren, ook beneden die 250 medewerkers. Ik denk inmiddels, misschien ook omdat we gewoon weer een paar jaar verder zijn sinds het ontwerpen van die Europese regelgeving, dat er relatief weinig organisaties in Nederland zijn die kunnen beweren dat zij niet systematisch persoonsgegevens verwerken. Ik denk dus dat vrijwel iedere organisatie de facto eigenlijk verplicht is om daar waar zij persoonsgegevens verwerkt, dat te registreren en in kaart te brengen wat zij precies doet, waarom zij dat doet en waarom het precies noodzakelijk is dat die gegevens worden verwerkt. Nu zal dat voor een kleine organisatie of voor een mkb'er, zoals de slager op de hoek, natuurlijk een relatief beperkt iets zijn. Als je een klantenbestand hebt omdat je in de zomer barbecuevlees moet afleveren en de rekening moet versturen, dan kan zo'n register bij wijze van spreken op een half A4'tje. Voor grote bedrijven is dat anders. Die hebben met veel meer verwerkingsactiviteiten te maken. Daar zal zo'n register veel substantiëler zijn.
De heer Van Nispen (SP):
Precies om deze reden had ik de vraag gesteld of het niet mogelijk is om artikel 30, lid 5 zo te lezen dat een bedrijf niet registerplichtig is als het minder dan 250 werknemers heeft maar geen risicovolle verwerkingen doet. Want was is eigenlijk het nut van een register van de slager om de hoek als het gaat om 30 mensen in zijn buurt die vlees bestellen voor de barbecue in de zomer of om het bijhouden van een salarisadministratie voor zijn vijf personeelsleden?
Minister Dekker:
Ik denk dat dat een terechte vraag is. Ik denk dat het ook voor die slager om de hoek op zich goed is om zich te realiseren dat dit nuttig is als hij werkt met een bestand van gegevens en rekeningnummers; ik weet niet precies wat daar dan in zit. Bij het aanleggen van zo'n register denk je, als je het even op papier zet: potverdorie, ja, ik doe wel het een en ander met die gegevensverwerking; het is goed dat ik daarover nadenk, dat ik dat ook netjes doe en dat ik dat op mijn eigen computer bijvoorbeeld goed heb beveiligd. Dat zou ik zelf prettig vinden en ook niet disproportioneel. Het tweede punt is eigenlijk veel meer een wetstechnische aangelegenheid: mogen wij dit artikel van de AVG niet op een bepaalde manier lezen? Dat is ingewikkeld, want als ik daar nu te veel op inga, gaan wij hier in het nationale parlement Europese wet- en regelgeving interpreteren. Als 28 lidstaten dat doen, komt er helemaal niets terecht van die uniformering. Het gezag om een interpretatie te geven aan wat er precies mee wordt bedoeld, is uiteindelijk dus belegd bij onze eigen autoriteit, die over definitiekwesties en over het interpreteren van het een en ander uiteraard afspraken maakt met de collega's elders in Europa.
Misschien mag ik nog één nabrander geven. Dit behoort veel meer bij de evaluatie, maar ik kan mij heel goed voorstellen dat we, als ook in andere Europese landen bij dit soort dingen toch gevraagd wordt of dit opweegt tegen andere belangen, ook in Europa eens zo'n discussie moeten aangaan. Dit is iets wat we niet als nationaal parlement of nationale wetgever kunnen. Daarvoor moeten we terug naar Brussel.
De heer Van der Staaij stelde een vraag over de positie van kerken: hebben die een aparte titel in deze wet? Dat is niet het geval. Kerken hebben zich, zoals iedere andere organisatie in Nederland, aan de wet en dus ook aan de AVG te houden. Dat betekent dat zij ook op het punt van de verwerking van persoonsgegevens een bepaalde verantwoordelijkheid hebben, bijvoorbeeld een meldplicht bij datalekken. Dit gezegd hebbende is het wel zo dat de AVG en de UAVG een aantal regels hebben opgenomen die specifiek voor kerkgenootschappen gelden. Belangrijk in dit verband is dat kerkgenootschappen in het kader van hun gerechtvaardigde activiteiten en met passende waarborgen uitgezonderd zijn van het verbod op verwerking van bijzondere persoonsgegevens. De vrijheid van kerkgenootschappen om hun kerkelijke organisatie naar eigen inzicht in te richten, zoals voortvloeit uit artikel 2 van Boek 2 van het Burgerlijk Wetboek, wordt door de AVG niet beperkt. Ook goede pastorale zorg hoeft niet te worden gehinderd door de AVG of de UAVG.
Met betrekking tot de consequenties voor minderjarigen zei de heer Van Nispen dat soms specifiek iets wordt gezegd over kinderen en in andere gevallen niet. Mijn reactie daarop is: als dat niet expliciet wordt gemeld, betekent dat niet dat die bepalingen niet op hen van toepassing zijn. Artikel 17 betreft bijvoorbeeld het recht om vergeten te worden. Dat is niet gespecificeerd op minderjarigen, maar is vanzelfsprekend wel op hen van toepassing. Dus waar extra bescherming voor kinderen nodig wordt geacht, is dit uitdrukkelijk geregeld in de desbetreffende bepaling. Dat zijn de specifieke bepalingen. De generieke bepalingen gelden voor iedereen, dus ook voor kinderen.
Mevrouw Van Toorenburg vroeg naar de gezondheidsgegevens. Het regiemodel mag niet als een soort schild worden gehanteerd om bijvoorbeeld kwaliteitscontroles te omzeilen. Daar ben ik het van harte mee eens. Daarom wordt waar nodig voorzien in een wettelijke grondslag voor de Inspectie Gezondheidszorg en Jeugd in oprichting voor inzage in gezondheidsgegevens. Ik verwijs naar het bij de Tweede Kamer aanhangige wetsvoorstel in verband met de versterking van het handhavingsinstrumentarium van de Inspectie Gezondheidszorg en Jeugd.
Mevrouw Buitenweg vroeg nog naar de geautomatiseerde besluitvorming, waar een specifiek regime geldt voor kinderen. Zij vroeg of wij denken dat dat afdoende is. Mijn eerste indruk is wel. Ik heb er vertrouwen in dat wat er in die overweging staat, ik meen dat het 71 is, dat kinderen geen object mogen zijn van geautomatiseerde besluitvorming, een voldoende basis is die verzekert dat kinderen een bijzondere bescherming krijgen. Hoe dat in de praktijk uitwerkt, zal verschillen van situatie tot situatie. Om die verschillen te overbruggen, vermoed ik dat de toezichthouders met elkaar in conclaaf gaan om te kijken hoe dat in specifieke situaties uitwerkt. Laat ik een voorbeeld geven: online leren of spelen door kinderen vanuit het onderwijs, waar steeds meer wordt gewerkt met data die moeten worden geïnterpreteerd en verwerkt et cetera. Daaruit mogen geen profielen worden afgeleid en het mag niet volledig geautomatiseerd worden, dus daar moet altijd menselijke interventie bij betrokken zijn.
Voorzitter, dan wilde ik graag naar de Autoriteit Persoonsgegeven en de manier waarop er zal worden gehandhaafd. Ik kan me heel goed voorstellen dat er heel veel bedrijven en organisaties in Nederland zijn die zeggen: we hebben een wet, dit is ongeveer wat er van ons wordt verwacht, maar wat hangt me nou boven het hoofd?
Mevrouw Van Toorenburg (CDA):
Mag ik dan een vraag stellen die bijna een bruggetje is? Neem eens een leuke Rosmalense voetbalvereniging, de grootste van Nederland. Als die vereniging gegevens verzamelt om te kijken of die f'jes niet superb naar jong-Ajax kunnen, kunnen zij dan terecht bij de Autoriteit Persoonsgegevens om te vragen: moeten wij een privacy assessment maken, moeten wij zo'n functionaris hebben? Dan zijn zij namelijk echt geholpen.
Minister Dekker:
Bij de AP wordt de telefoon opgenomen. Ook als het gaat om dit soort specifieke vragen wil ik ze echt naar de AP verwijzen, want die kunnen daarbij helpen.
Mevrouw Van Toorenburg (CDA):
Dus ik hoor u zeggen dat het wel de bedoeling is dat ze zo laagdrempelig zijn dat er gespard kan worden. Mensen willen geen fouten maken, ze willen gewoon weten waar ze aan moeten voldoen.
Minister Dekker:
Ja. Dat was inderdaad een perfect bruggetje naar het volgende. Ik proef in de gesprekken die ik heb gevoerd in de aanloop naar dit debat dat er behoefte is aan geruststelling ten aanzien van de wijze waarop de Autoriteit straks de handhavende taken zal oppakken. De combinatie van de aan de ene kant nieuwe en soms complexe regelgeving met deels open normen, en anderzijds de bevoegdheid van de toezichthouder om ook werkelijk heel hoge boetes op te leggen, leidt tot onrust en eerlijk gezegd begrijp ik dat best.
Omgekeerd begrijpt u dat ik geen zeggenschap heb over de taakuitoefening van een onafhankelijk toezichthouder als de AP. Een geruststelling in de zin van harde toezeggingen kan ik u dus niet geven. Natuurlijk ligt het in de rede dat de Autoriteit prudent omgaat met de hen ter beschikking staande bevoegdheden. Daarbij moet altijd worden bedacht dat ook op grond van de Algemene wet bestuursrecht de AP vanzelfsprekend gebonden is aan de zorgvuldigheidseisen die gelden voor alle bestuursorganen bij het opleggen van een sanctie. Om een voorbeeld te geven: het rauwelijks opleggen van een bestuurlijke boete is op grond van het lex certa-beginsel alleen mogelijk als ook voor de overtreder glashelder was of kon zijn wat van hem werd verwacht. Dat zal met open normen ook wel een kwestie van tijd en ontwikkeling zijn. Daarenboven heb ik dit punt besproken met de voorzitter van de Autoriteit Persoonsgegevens, de heer Wolfsen. Hij verzekerde mij dat de autoriteit, zeker in de eerste jaren dat de AVG van toepassing is, vooral zal inzetten op voorlichting en bijsturing en natuurlijk echt niet onmiddellijk op het beboeten van korfbalverenigingen of plaatselijke middenstanders die bereidwillig zijn om het beste te doen en zich netjes aan de regels te houden. Het is natuurlijk een ander verhaal als er sprake is van opzettelijke of ernstige misstanden, maar we moeten ons ook realiseren dat we aan het begin staan van een proces waarbij heel veel organisaties en bedrijven bezig zijn om het goed te regelen.
Met het oog op het bijsturen hebben we in de UAVG ook een typisch Nederlands instrument toegevoegd aan het arsenaal van sancties die een toezichthoudende autoriteit kan opleggen op grond van deze wet. Dat is misschien nog aardig om aan uw Kamer mee te geven. Dat is namelijk de last onder dwangsom. Een overtreder kan daarmee immers een daadwerkelijke sanctie, in dit geval het verbeuren van de dwangsom, voorkomen door binnen de gestelde termijn de onrechtmatigheid op te heffen. Ik heb dat ook besproken met de autoriteit. Dan heb je dus ook een aantal middelen die niet gericht zijn op: wij zijn een strenge politieagent en als we iets zien wat niet goed is, gaan we onmiddellijk hard beboeten. Je hebt dan ook een aantal instrumenten in je repertoire waarvan je kan zeggen: nee, wij zijn er vooral op gericht om te komen tot compliance, tot herstel en tot verbetering van de praktijken bij bedrijven en organisaties. Ik heb daar vertrouwen in.
Ik denk dat dat ook een antwoord is op de vragen van de heren Koopmans en Verhoeven en mevrouw Van Toorenburg over gedienstige of begeleidende handhaving. Misschien mag ik dat zo vertalen dat er een combinatie is van advies en handhaving en dat het voor een deel ook gericht is op herstel. Ook de autoriteit is zich er natuurlijk maar al te goed van bewust dat zij direct een probleem heeft met haar eigen gezag als zij de eerste keer gaat handhaven op een plek waarover iedereen zijn wenkbrauwen fronst. We weten het natuurlijk niet want het is aan de autoriteit zelf, maar ik ga er echt van uit dat de eerste keren dat er wordt beboet zeer waarschijnlijk gevallen zijn waarvan we allemaal vinden dat het evident is dat daar iets fout is gegaan. Dat zal een bedrijf of organisatie zijn die in ieder geval groot genoeg was om zich te kunnen realiseren dat er iets aan de hand was.
Mevrouw Van Toorenburg (CDA):
Het klinkt misschien wat onaardig, maar wij zijn ons helemaal de blubber geschrokken van de manier waarop de Autoriteit Persoonsgegevens is omgegaan met de uitwisseling van gegevens in de gemeente Tilburg ten aanzien van ondermijning. Dan lees je op een bepaald moment een 80 bladzijden dik rapport en vraag je je af wie we eigenlijk aan het beschermen zijn, de criminelen of de gemiddelde Nederlander die niet wil dat zijn kinderen worden opgeblazen. Dus bij het vertrouwen dat de minister uitspreekt, denk ik: we moeten wel opletten wat we doen, want wie beschermen we? Ik zeg dat hier heel hard, in aanwezigheid van de autoriteit. Die notie wil ik er wel naast leggen.
Minister Dekker:
Dat is volgens mij vooral een opmerking die bedoeld is richting de publieke tribune. Ik ken dat rapport ook en ik ga het nu een beetje opnemen voor de AP. U weet dat ik hier samen met mijn collega Grapperhaus ook ongelofelijk hard aan trek. De bestrijding van bepaalde vormen van criminaliteit, bijvoorbeeld ondermijning, vraagt ook dat wij als wetgever de uitwisseling van informatie beter wettelijk regelen. Dat is de pijnlijke plek waar de Autoriteit Persoonsgegevens de vinger op legde. De uitwisseling was misschien wel wenselijk in het kader van de bestrijding, maar we hadden het niet goed wettelijk geregeld. Dan mag u mij of mijn collega erop aanspreken dat dat beter moet. In feite kan dat ook met de UAVG, want een van de redenen om wel te mogen uitwisselen is een wettelijke grondslag.
Voorzitter. Ik heb wat gezegd over het handhavingsregime. Ik wil ook graag wat zeggen over het budget van de autoriteit, want daar zijn wat opmerkingen over gemaakt. Is dat nou voldoende? Er ligt een rapport dat aangeeft dat er verschillende varianten zijn. Er is een minimumvariant. Het bedrag dat de AP vorig jaar heeft gekregen, zit daar zelfs nog een beetje onder. Ik zie dat ook. Tegelijkertijd zou mijn insteek zijn: laten we eerst maar eens even een begin gaan maken, ervoor zorgen dat we er überhaupt in slagen om dat geld op een goede manier uit te geven aan goede mensen die de capaciteit hebben om het werk van de Autoriteit Persoonsgegevens goed te doen. Als het dan knelt, hebben we uiteraard gewoon weer een gesprek. Dan weet de heer Wolfsen mij te vinden.
De heer Van Nispen (SP):
De minister vat zelf al samen hoe het zat met de scenario's. Zelfs het laagste scenario wordt niet gehaald, terwijl het middelste scenario, dat echt een hoop miljoen extra is, het waarschijnlijkste scenario is. Zelfs het hoogste scenario is niet uit te sluiten. Ik vind het jammer dat dat onderzoek niet wordt nageleefd. Ofwel zeg je dat het onderzoek eigenlijk niet klopt — dat hoor ik de minister niet zeggen — of je zegt: het geld is er nu niet om de Autoriteit Persoonsgegevens het budget te geven dat eigenlijk hoort bij de onderzochte scenario's. Dan is nu de vraag: wat is het tempo waarop de minister dit in de gaten gaat houden? Wat als het stormloopt bij de Autoriteit Persoonsgegevens, vanaf de inwerkingtreding van de AVG, vanaf 25 mei 2018? Dan komen er misschien een heleboel verzoeken om voorlichting van bedrijven die vragen wat ze allemaal moeten doen en van burgers die vragen wat er precies allemaal met hun gegevens mag. Misschien komen er dan signalen om handhavend op te treden. Hoe snel kan de minister de signalen die dan mogelijk komen verwerken en aan de Kamer rapporteren?
Minister Dekker:
Ik gaf net al aan dat we dit goed gaan monitoren, niet alleen de effecten van de wet naar de buitenwereld — wat betekent dit voor organisaties? — maar wat mij betreft ook wat het betekent voor de Autoriteit Persoonsgegevens. Dan heb je het over een halfjaar. Dan gaan we gewoon weer eens even de peilstok erin steken. Vooralsnog heb ik geen concrete aanwijzingen dat de autoriteit niet uit de voeten zou kunnen met de budgetten die ze op dit moment heeft. Sterker nog, de autoriteit is heel hard bezig met reorganiseren, om de goede mensen te krijgen, om die 7 miljoen die er vorig jaar extra bij is gekomen op een goede manier uit te geven. U zei: regel het direct bij de Voorjaarsnota. Ik wil om te beginnen niet vooruitlopen op de hele besluitvormingsprocedure rond de komende begroting. Daarover wordt u geïnformeerd op Prinsjesdag. Op dit moment denk ik dat de AP er goed mee uit de voeten kan.
De heer Van Nispen (SP):
Nou, dan denken we daar anders over. Ik heb ook aanwijzingen dat de Autoriteit Persoonsgegevens met het budget dat er nu is ook voor dit jaar niet uit de voeten kan. Die verordening is nu nog niet in werking getreden, maar dat gebeurt wel op 25 mei 2018. Mag ik de minister vragen om enkele weken na inwerkingtreding van die verordening toch, in overleg met de Autoriteit Persoonsgegevens, aan de Kamer te rapporteren, voorafgaand aan de behandeling van de Voorjaarsnota? Wat zou er nou op tegen zijn? Als er dan geen extra geld beschikbaar kan komen, dan hebben we daar een discussie over. Maar dan kunnen we in ieder geval kijken wat de eerste signalen zijn vanaf de inwerkingtreding van die verordening. Ik vind een halfjaar echt te lang, ook voor het vertrouwen dat mensen moeten hebben dat er goed met hun persoonsgegevens wordt omgegaan en dat we die regels niet voor niets afspreken zoals we ze hebben afgesproken. De onzekerheden en onduidelijkheden die daarover zijn, moeten zo veel mogelijk worden weggenomen. Dit is een belangrijke taakverzwaring voor onze privacywaakhond, dus kan de minister toezeggen dat hij de Kamer voor de behandeling van de Voorjaarsnota informeert over de signalen uit de praktijk?
Minister Dekker:
Dat is echt te vroeg. U hebt het over een paar weken na de inwerkingtreding op 25 mei. Laten we eerst eens kijken hoe dat precies gaat vliegen. Ik geef een voorbeeld. Die 7 miljoen zit inderdaad wat onder dat minimumscenario. Tegelijkertijd is het wel een verdubbeling van het budget van de Autoriteit Persoonsgegevens. Die organisatie is heel hard bezig om heel rapido enorm te groeien. Ik vind dat dat op een manier en in een tempo moet dat het behapbaar is. Ik heb de afspraak met de AP dat we de realisatie en hun feitelijke uitgaven heel erg netjes monitoren. Dat betekent dat ik, als er echt knelpunten zijn, daarmee terugkom naar de Kamer. Maar een paar weken na inwerkingtreding van dit wetsvoorstel is dan echt te vroeg.
Mevrouw Buitenweg (GroenLinks):
De minister erkent dat het budget onder het minimum is. Ik zou dus eerst willen weten of hij vindt dat er te weinig geld is als je objectief kijkt naar het rapport dat daarover verschenen is. Ik snap heel goed dat de minister zegt dat we de boel eerst even moeten aankijken. Maar tegelijkertijd ben ik er wel heel bang voor dat het vertrouwen in de verordening afneemt als mensen niet makkelijk toegang krijgen tot de autoriteit, bijvoorbeeld omdat ze heel lang moeten wachten, er weinig gebeurt of er een weinig hulpvaardige afhandeling en handhaving is. Het vereist juist veel tijd om dat goed te doen. Als er nu al te weinig geld is — ik kijk even of de minister die kwalificatie steunt — bestaat het gevaar dat je een slecht begin maakt, dat we bijna niet meer kunnen herstellen omdat het vertrouwen van burgers is afgenomen.
Minister Dekker:
Ik heb niet de indruk dat er te weinig geld is. Ik refereerde aan een aantal onderzoekscenario's. Een organisatiebureau heeft geschetst wat verschillende varianten op termijn budgettair precies betekenen. Vorig jaar is het budget verdubbeld. Het is voor een organisatie, en dus ook voor de AP, een enorme slag om jezelf twee keer zo groot te maken als je altijd bent geweest. Je moet er ook voor zorgen dat zo'n organisatie een beetje goed blijft draaien. Ik heb de indruk dat de AP met het geld dat zij nu krijgt, goed is uitgerust om haar taken op dit moment goed te vervullen. We weten natuurlijk allemaal niet hoe dat er over één, twee of drie jaar precies uitziet. Daarom hebben we de afspraak gemaakt om het goed te monitoren. Dat beeld kun je niet twee weken na invoering van de wet al helder hebben.
Mevrouw Buitenweg (GroenLinks):
Nu lopen er wel een aantal argumenten door elkaar heen. Het eerste is de vraag of de AP in staat is om een verdubbeling of vergroting van het budget goed te behappen. Ik denk dat dit iets is voor de uitvoering. Ik heb de autoriteit daar niet over horen klagen. Volgens mij zijn er ook geen aanwijzingen om te denken dat de organisatie niet goed functioneert. Ik denk dus dat dat niet echt een valide argument is. Dan is er nog het punt dat het onder het minimum zit dat door het onderzoeksbureau is aangegeven. Dan kan het zo zijn dat de minister het onderzoeksbureau of de bevindingen daarvan niet accepteert, maar als hij die bevindingen wel accepteert, is de conclusie dat er toch te weinig geld is. Ik maak mij namens GroenLinks wel zorgen over een goede start. We kunnen natuurlijk altijd in het najaar van alles gaan bekijken, maar ik herhaal dat het gevaar bestaat dat juist een goed begin met een hulpvaardige behandeling in gevaar komt als de autoriteit onvoldoende middelen heeft. Natuurlijk is er sprake van een vergroting van het eerdere budget, maar de taak waar we de autoriteit nu voor stellen, is ook enorm veel groter dan die was. Daar hoort dus ook een flinke versteviging bij.
Minister Dekker:
Mevrouw Buitenweg heeft mij niet horen zeggen dat er in de toekomst niets verandert aan het budget voor de Autoriteit Persoonsgegevens. Ik heb het steeds gehad over het nu. Ik heb ook aangegeven wat het van een organisatie vergt als je in korte tijd enorm moet groeien. Er is niet altijd sprake van een bottleneck in de vorm van geld om die groei door te maken. Zeker in de huidige arbeidsmarkt is het ook de vraag waar je goede en kundige mensen vandaan haalt en hoeveel tijd het kost om die goed op te leiden. Ik zie dat daar enorm hard aan wordt gewerkt. Er is een afspraak met de AP om eerst eens aan te zien hoe de verdubbeling van de organisatie uitpakt en wat ze daarmee kan doen. Als het op termijn toch gaat knellen, hebben we opnieuw een gesprek.
Misschien mag ik van daaruit direct doorpakken naar de vraag van de heer Verhoeven over de eigen begroting van de autoriteit. Dat is een discussie die wij zeer recent nog met de Autoriteit Persoonsgegevens hebben gehad. Ik verwijs daarvoor naar de nota van wijziging. Ik geloof dat de heer Van Nispen dat ook deed. Mijn excuses dat die op het allerlaatste moment kwam. Dat had met interdepartementale afstemming te maken. Die nota van wijziging verandert wat in de positie van de autoriteit. Dat zit 'm in de zbo-status van de AP. Uit de AVG volgt dat de AP moet beschikken over een afzonderlijke en publieke begroting. Dat hebben we nu ook expliciet in artikel 11 van de UAVG vastgelegd.
De voorzitter:
Mag ik aan de minister vragen hoeveel tijd hij nog denkt nodig te hebben in deze termijn? Ik vraag dit even met het oog op de klok, want we hebben nog een lunchpauze te gaan, dat hoort zo, en ook nog een regeling van werkzaamheden en een VAO met stemmingen. De mogelijkheid bestaat dus dat we hiermee nog even zoet zijn. In dat geval beslis ik om de tweede termijn bijvoorbeeld volgende week te doen.
Minister Dekker:
Ik kan er tempo op zetten, maar ik heb nog wel een aantal dingen liggen.
De voorzitter:
Ja en het is ook wat ingewikkeld, dus dan zou ik ernaar willen streven dat we nog een halfuur bezig zijn, tot 14.10 uur of 14.15 uur, en dat we dit debat dan stoppen. Dan gaan we volgende week ergens verder. We kunnen dit ook niet afraffelen, want daar is dit te technisch en te ingewikkeld voor. Dat kunnen we ook niet doen. Zullen we het dan zo doen? Dan gaan we nog …
Minister Dekker:
Misschien mag ik heel even kijken naar hoe we dan in de tijd met de Eerste Kamer zitten. Er wordt nee geschud aan de overkant.
De voorzitter:
Ik hoor de datum van 25 mei, dus dat zou suggereren dat u nog een beetje de tijd heeft.
Minister Dekker:
Vindt u het goed om straks heel even te schorsen, zodat we dit kunnen bespreken?
De voorzitter:
Misschien moeten we dat nu doen. Ik schors even en praat met de medewerkers van de minister.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
We continueren en proberen het bijvoorbeeld binnen een halfuur af te ronden, inclusief de tweede termijn. De minister continueert.
Minister Dekker:
Voorzitter. De vraag over de combinatie van toezicht en advies staat de AP helder op het netvlies. Er is juridisch niets wat dat belet, maar intern worden er natuurlijk wel discussies gevoerd om te kijken hoe dat goed kan worden geregeld.
Ik ga er heel kort doorheen. Waarom deze verordening niet ook op de BES? Bij heel veel wet- en regelgeving maken wij de afweging wat de eilanden precies aankunnen. Hierbij hebben wij de afweging gemaakt om het nog even niet te doen.
De meldplicht datalekken voor niet-financiële ondernemingen zit nu ook in de Wet bescherming persoonsgegevens. De reden daarvan is dat er wel gemeld moet worden aan de financiële toezichthouder, maar dat er een risico is op een eventuele bankrun en voor het vertrouwen in het bankwezen. Dit soort meldingen kan elders dus wat ongewenste effecten hebben.
E-Court. De AVG geeft het een en ander aan als het gaat om voldoende transparantie van algoritmes. Dat betekent niet dat ze volledig vrij worden gegeven, maar dat ze wel aan een aantal dingen moeten voldoen. Ik denk bijvoorbeeld aan de onderliggende logica van algoritmen. Verder vloeit voort uit het verbod op geautomatiseerde individuele besluitvorming dat in artikel 22 is vastgelegd, dat een besluit van zo'n e-Court steeds ook menselijke tussenkomst vergt. Dat moet dan op een manier die ook echt betekenisvol is. Het is niet alleen maar een stempeltje zetten, maar meer dan dat. Hier kom ik straks op terug bij de advisering over de amendementen. Ik kijk even naar mevrouw Buitenweg. U had geloof ik ook een amendement ingediend over de inlichtingen- en veiligheidsdiensten?
Mevrouw Buitenweg (GroenLinks):
Dat raakt eraan.
Minister Dekker:
Dat raakt eraan. Misschien mag ik het daarin meepakken. Ik ga adviseren over de amendementen en de vragen die daaraan raken, pak ik daar dan direct in mee.
Het amendement op stuk nr. 10 van mevrouw Buitenweg dat ertoe strekt om de leden te benoemen op voordracht van de Tweede Kamer, zou ik willen ontraden. De onafhankelijkheid van de autoriteit wordt niet bepaald door de wijze van benoeming maar is in feite vastgelegd in de AVG zelf. Daar zitten een aantal garanties in, zoals onafhankelijkheid in uitoefening van taken en bevoegdheden. De AP is een zelfstandig bestuursorgaan met een onafhankelijke positie die is geborgd in het Europese recht. De vergelijking met de Algemene Rekenkamer gaat ook niet helemaal op. De reden waarom de leden van de Algemene Rekenkamer worden benoemd op voordracht van de Tweede Kamer is gelegen in het feit dat de Algemene Rekenkamer zijn taken vooral ten behoeve van het parlement vervult. Daarom ontraad ik dit amendement.
Dan kom ik op het amendement op stuk nr. 11 over de journalistieke doeleinden. Ik vind dat wel een interessante discussie. De heer Van Nispen heeft op dat punt gevraagd of het met deze AVG strikter gaat worden voor de journalistiek. In mijn ogen is dat niet het geval. De AVG schrijft voor dat er altijd een balans moet worden gevonden tussen het recht op vrije meningsmening, het feit dat journalisten hun werk goed moeten kunnen doen en het recht op privacy en bescherming van persoonsgegevens. Bij zoiets als de Panama Papers is er een evident algemeen belang waarom journalisten dat soort dingen kenbaar moeten kunnen maken. Dit amendement gaat weer een stap veder. Dat wil eigenlijk de AVG helemaal niet toepassen op journalistiek werk. Dat vind ik risicovol, want dat betekent dat journalisten — dat wordt in Europese wet- en regelgeving heel breed opgevat, want daar valt heel veel verschillende journalistiek onder — helemaal niet meer zijn gehouden aan enige vorm van bescherming van persoonsgegevens. Dan vind ik dat eigenlijk doorslaan. Je zou dan bij wijze van spreken haast kunnen zeggen dat het daarmee op gespannen voet staat met de AVG waarin juist door de Europese wetgever is meegegeven dat er altijd sprake moet zijn van een belangenafweging.
Mevrouw Buitenweg (GroenLinks):
Het spijt mij, voorzitter, maar ik moet hier toch een vraag over stellen. In de ogen van de minister en naar ik weet ook in die van een aantal anderen, is het zo dat wie een journalist is steeds strikter wordt opgevat, strikter dan het Europees Hof voor de Rechten van de Mens doet, bijvoorbeeld dat iemand alleen een journalist is als er een repliek kan worden gegeven. Dat is een van de manieren waarop de Nederlandse regering dat soms interpreteert. Hier heeft de Europese wetgever ruimte gelaten en Nederland pakt niet alle ruimte. De regering beargumenteert echter niet waarom ze minder ruimte geeft aan journalisten dan de Europese verordening toelaat. Ik zie alleen dat het Europees Hof voor de Rechten van de Mens een ruimere definitie hanteert dan de minister. Vandaar dat ik graag mijn amendement handhaaf. Als de minister het ontraadt, wil ik toch echt graag een argumentatie van hem horen waarom hij vindt dat de ruimte die door de verordening gegeven wordt, te groot is.
Minister Dekker:
Ik vind de ruimte die gegeven wordt als dit amendement zou worden aangenomen, te groot. Dat zegt namelijk dat voor journalistieke doeleinden een hele trits aan hoofdstukken niet van toepassing is. Daarmee stel je eigenlijk de hele AVG buiten werking voor journalistieke doeleinden. Dat zou ik onverstandig vinden. Misschien mag ik mevrouw Buitenweg tegemoetkomen. Zij zegt dat er meer discretionaire ruimte voor lidstaten is dan waar Nederland met deze UAVG gebruik van maakt, zoals er discretionaire ruimte is rond bijvoorbeeld leeftijd en een aantal andere zaken waarvan ik heb gezegd dat ik er nog wel een keer naar wil kijken. Dan wil ik dat heel graag meenemen in de brief die ik u na de zomer ga sturen over wat we meer of anders kunnen doen als het gaat om de beleidsruimte die we nog hebben binnen de Europese wet- en regelgeving, aangezien ik dit gewoon echt te ver vind gaan. Ik neem de vraag en het thema serieus. Ik denk dat het goed is geregeld, maar ik wil er best nog een keer naar kijken.
Mevrouw Buitenweg (GroenLinks):
Ik heb uw strategie in ieder geval gehoord. Ik handhaaf toch mijn amendement. Ik wil er wel op wijzen dat het niet zo is dat de AVG helemaal niet van toepassing zal zijn op journalisten. Wat mijn amendement doet, is de ruimte volledig benutten die de AVG geeft. Een flink aantal zaken zal wel degelijk ook van toepassing zijn op journalisten. Bijvoorbeeld de adressenbestanden van leden van kranten zullen nog steeds gewoon onder de AVG vallen.
Minister Dekker:
Ik denk dat onze interpretaties van het amendement nu wat verschillen, dus ik houd mij bij het advies. Met de toezegging, ongeacht hoe de stemming verloopt, ga ik aan de slag.
Dan het amendement van mevrouw Buitenweg, dat gaat over aanbieders van telecommunicatiediensten en dat de mogelijkheid biedt om informatie te verschaffen over de omvang en aard van de hun opgelegde medewerkings- en informatieplichten. Ik ontraad dit amendement. De verwerking van persoonsgegevens in het kader van de nationale veiligheid is een uitzondering van de AVG en dus ook van de UAVG. Het wettelijke kader voor dergelijke verwerkingen wordt gevormd door de Wet op de inlichtingen- en veiligheidsdiensten, de Wiv. Eventuele uitzonderingen horen dan ook niet thuis in de UAVG.
Ook inhoudelijk heb ik grote bezwaren tegen dit amendement. Een overzicht per aanbieder zegt namelijk iets over het aantal en de soorten taps waarvoor een aanbieder verzoeken ontvangt of waaraan hij heeft meegewerkt, het aantal verzoeken om NAW-gegevens et cetera. Als je dat bijvoorbeeld nooit hebt gehad, dan is dat informatie die in ieder geval de inlichtingendiensten liever niet kenbaar maken en die in sommige gevallen zelfs staatsgeheim is.
Ik kan kort zijn over het amendement op stuk nr. 13, dat gaat over de leeftijden. Ik zou dat op dit moment ontraden, maar u heeft de toezegging op zak dat ik daar na de zomer in de brief op terugkom.
Het amendement van de heer Van Dam — ik kijk ook met een schuin oog naar mevrouw Van Toorenburg, want ze zijn van dezelfde partij — gaat over het dwingend voorschrijven van drie leden bij de Autoriteit. Ik heb de indruk dat die de afgelopen tijd op zich goed heeft gefunctioneerd met twee leden. Ik zie dat er heel veel op de AP afkomt. U heeft een aantal opmerkingen gemaakt: kan je de dingen niet scheiden? De mogelijkheden daartoe nemen natuurlijk toe als je met drie leden zit, dus ik kan die redenering goed volgen en wil het oordeel aan de Kamer laten.
Datzelfde geldt voor het amendement dat de heer Van der Staaij heeft ingediend op stuk nr. 15, dat gaat over de specifieke behoeften van kleine ondernemingen. De overwegingen bij de AVG bevatten een aansporing om bij de toepassing van de AVG rekening te houden met specifieke behoeften van kleine ondernemingen. Dit noopt niet tot implementatie in het nationale recht. De AP zal als bestuursorgaan op grond van de Awb hoe dan ook alle relevante belangen moeten afwegen. Ik heb echter geen overwegende bezwaren waarom ik negatief zou adviseren en kan het oordeel aan de Kamer laten.
Tot slot het amendement op stuk nr. 16, dat regelt dat de uitzondering voor het melden van datalekken aan betrokkenen voor financiële ondernemingen komt te vervallen. Met de antwoorden die ik zojuist in eerste termijn daarop heb gegeven, zou ik die willen ontraden.
Dan kijk ik even naar de voorzitter of naar de griffier of ik dan alle amendementen heb gehad. Dan ben ik daarmee ook tot een afronding van de eerste termijn gekomen.
De voorzitter:
Heel goed. Dank u wel. Dank ook voor het tempo. Dan kijk ik even of er behoefte bestaat aan een tweede termijn. Dan is het woord aan mevrouw Buitenweg.
Mevrouw Buitenweg (GroenLinks):
Dank u wel, mijnheer de voorzitter. Het is eigenlijk wel heel leuk, zo'n complex onderwerp, moet ik eerlijk zeggen. Ik dank de minister voor een heel uitgebreide beantwoording. Ik heb twee vragen die nog niet beantwoord zijn. Een gaat over de zeggenschap van het Europees Hof van Justitie en het bereik van het EU-grondrechtenhandvest buiten die terreinen die binnen de macht van de Europese Unie liggen. Dat vind ik gewoon constitutioneel interessant. En ook op de vraag waarom geslacht niet benoemd is tot bijzonder persoonskenmerk, wilde ik graag nog antwoord.
Voor de rest ben ik heel blij dat de minister aangeeft wat het belang is van de verordening en dat die ook heel breed, voor eigenlijk alle organisaties van betekenis is, waarbij je natuurlijk hoopt dat het voor heel veel organisaties geen onnodige administratieve rompslomp meebrengt. Het is van belang omdat er ook een soort cultuurverandering moet komen, dat je niet zomaar allerlei data kan gaan verwerken omdat we dat "nu eenmaal doen", maar dat er echt nagedacht wordt waarom welke data verzameld wordt en wat je daarmee kan doen.
Voorzitter. Ik heb één motie. Die ziet toe op een onderwerp dat de minister ook nog niet had beantwoord. Dat gaat over de soft law en de democratische controle daarop.
De Kamer,
gehoord de beraadslaging,
overwegende dat het Europees Comité voor Gegevensbescherming toeziet op de juiste toepassing van de Algemene verordening gegevensbescherming en kan voorzien in richtsnoeren, aanbevelingen en voorschriften;
overwegende dat de besluiten van het comité algemeen verbindende gevolgen kunnen hebben en dat met het oog daarop democratische legitimering gewenst is;
verzoekt de regering om in Europees verband het voortouw te nemen om te bewerkstelligen dat het Europees Parlement de werking van het coherentiemechanisme democratisch legitimeert,
en gaat over tot de orde van de dag.
Mevrouw Buitenweg (GroenLinks):
Dat was het. Dank u wel.
De voorzitter:
De heer Koopmans van de VVD.
De heer Koopmans (VVD):
Voorzitter, dank u wel. Ook ik bedank de minister hartelijk voor de beantwoording van de vele vragen. Ik heb twee moties, een korte en een iets langere. De korte noem ik "hulpvaardige handhaving".
De Kamer,
gehoord de beraadslaging,
overwegende dat de Autoriteit Persoonsgegevens onafhankelijk is en zowel een handhavingstaak als een voorlichtingstaak heeft;
overwegende dat ondernemers, sportverenigingen, vrijwilligersorganisaties, kerkgenootschappen en private personen nog veel vragen hebben over de inhoud en reikwijdte van de regels inzake gegevensverwerking;
overwegende dat in de fase waarin nog veel vragen zijn over de regels, de overheid zich zo hulpvaardig mogelijk moet opstellen en zich dus primair behoort te richten op voorlichting en hulp bij de interpretatie en uitvoering van de regelgeving, onverlet haar handhavingstaak inzake bewuste schendingen;
verzoekt de regering dit standpunt uitdrukkelijk onder de aandacht van de Autoriteit Persoonsgegevens te brengen,
en gaat over tot de orde van de dag.
De heer Koopmans (VVD):
Voorzitter. Dan mijn tweede en iets langere motie.
De Kamer,
gehoord de beraadslaging,
constaterende dat de Algemene verordening gegevensbescherming per 25 mei 2018 in werking treedt;
constaterende dat de regering de Kamer heeft verzocht de behandeling van het wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming met voortvarendheid ter hand te nemen;
constaterende dat de regering met het oog op de spoedige inwerkingtreding heeft gekozen voor een beleidsneutrale implementatie;
constaterende dat de discussie rond het gegevensbeschermingsrecht met de inwerkingtreding van de verordening en de uitvoeringswet niet is afgerond en dat er binnen de Kamer nog diverse vragen en wensen leven op dit gebied;
verzoekt de regering de Kamer binnen een halfjaar na inwerkingtreding van de verordening en de uitvoeringswet te berichten over de ervaringen met, en haar voornemens inzake, de aanpak, zo nodig door middel van nieuwe wetgeving, van in ieder geval de volgende aspecten:
-de verwerking van gezondheidsgegevens in het kader van sportbeoefening, zoals van belang voor gehandicaptensport en (overige) topsport;
-de verwerking van gegevens door kleinere organisaties als vrijwilligersverenigingen, sportverenigingen, kerkgenootschappen en andere;
-de verwerking van gezondheidsgegevens van werknemers in geval van ziekte;
-de privacyaspecten rondom het branchebreed aanleggen van zwarte lijsten van fraudeurs;
-het toepassingsgebied van de verordening, met name gezien de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten;
-de eerste ervaringen met de behandeling door de Autoriteit Persoonsgegevens van individuele verzoeken en klachten;
-de leeftijdsgrens voor kinderen om in een online-omgeving rechtsgeldig toestemming te geven voor het gebruik van zijn/haar persoonsgegevens;
-de reikwijdte van de uitzondering voor kleine bedrijven voor het bijhouden van een register voor alle persoonsgegevens die zij verwerken;
-de ruimte voor het gebruik van persoonsgegevens voor journalistieke doeleinden;
-de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde besluitvorming;
-de mogelijkheid om een ex parte verbod analoog aan artikel 1019e van het Wetboek van Burgerlijke Rechtsvordering van toepassing te verklaren op ernstige schendingen van de Algemene verordening gegevensbescherming,
en gaat over tot de orde van de dag.
Dan is het woord aan de heer Van Nispen.
De heer Van Nispen (SP):
Het versterken van de privacyrechten is belangrijk. Dat zijn de uitgangspunten van de Algemene verordening gegevensbescherming, en daarom steunt de SP ook de uitvoeringswet. Maar er zijn nog wel zorgen bij het midden- en kleinbedrijf, bij journalisten enzovoort; u heeft de opsomming net gehoord. Wij hebben de motie medeondertekend, omdat we het wel heel belangrijk vinden om in de gaten te houden hoe dat uitpakt in de praktijk en hoe we dat vervolgens gaan oplossen. Ik doe overigens de waarschijnlijk overbodige oproep aan de minister om niet een halfjaar te wachten, maar om met problemen die zich voordoen onverwijld aan de slag te gaan. Zo nodig stellen wij die zelf aan de orde.
De SP blijft wel bezorgd over de capaciteit van de Autoriteit Persoonsgegevens. Die heeft namelijk belangrijke taken en krijgt er veel belangrijke taken bij. Daar hebben we het veelvuldig over gehad. En ik vind het jammer dat het opgestelde rapport niet is nageleefd, om het bijbehorende budget aan de Autoriteit Persoonsgegevens te leveren. Straks zal de heer Verhoeven, mede namens de SP, een motie indienen die de regering verzoekt om de taakverzwaring in de gaten te houden en daar voor het einde van dit jaar bij de Kamer op terug te komen. Ik zeg daar wel eerlijk bij dat dat voor mij het absolute minimum is. Want eigenlijk vind ik dat wij het rapport dat is opgevraagd, serieus moeten nemen. Daarom dien ik ook de volgende motie in, want ik vind dat we de privacywaakhond voldoende budget moeten geven.
De Kamer,
gehoord de beraadslaging,
constaterende dat de Autoriteit Persoonsgegevens er met de inwerkingtreding van de Algemene verordening gegevensbescherming per 25 mei 2018 extra taken bij krijgt;
overwegende dat de Autoriteit Persoonsgegevens heeft laten onderzoeken dat zij een extra bedrag van tussen de 16 en 22 miljoen euro nodig heeft om al haar taken goed uit te kunnen blijven oefenen;
constaterende dat de Autoriteit Persoonsgegevens slechts 7 miljoen euro extra krijgt om haar taken uit te oefenen;
van mening dat een toezichthouder alleen goed toezicht kan houden wanneer hij voldoende daadkracht en dus voldoende financiële middelen heeft;
verzoekt de regering niet pas achteraf te monitoren of de Autoriteit Persoonsgegevens meer geld nodig heeft, maar juist nu al de resultaten van het rapport van Andersson Elffers Felix te respecteren, en dus bij Voorjaarsnota meer geld vrij te maken voor de Autoriteit Persoonsgegevens,
en gaat over tot de orde van de dag.
Mevrouw Van Toorenburg ziet af van haar spreektijd. De heer Van der Staaij.
De heer Van der Staaij (SGP):
Voorzitter. Ik dank de minister voor zijn beantwoording. Ik vond dat we toch wel een goed debat hadden over deze heel complexe materie. Dat was vanzelfsprekend op hoofdlijnen, omdat heel veel nog uitgewerkt moet worden en toepassing in de praktijk moet krijgen, maar ik denk wel dat belangrijke piketpaaltjes gezet zijn. Ik dank de minister ook voor zijn positieve bejegening van mijn amendement op stuk nr. 15. Voor mijn fractie is het inderdaad heel belangrijk dat er in de wet zelf nu ook een haakje zit om juist ook met kleinere organisaties rekening te houden in de praktijk. Dus nogmaals dank voor dat welwillende oordeel. Ik zal zonder verdere toelichting nog één motie indienen. Onze sympathie en steun voor andere ingediende moties, namelijk die van de heer Koopmans, bleek al uit de medeondertekening. Mijn motie luidt als volgt.
De Kamer,
gehoord de beraadslaging,
overwegende dat er in veel sectoren onduidelijkheid is over de toepassing van de open normen uit de Algemene verordening gegevensbescherming;
constaterende dat veel organisaties op grond van artikel 37 van de verordening niet de verplichting hebben om een functionaris gegevensbescherming aan te stellen, omdat zij zich niet bezighouden met grootschalige gegevensverwerking;
constaterende dat op basis van onder meer de richtlijn over de functionaris gegevensbescherming van de artikel 29-werkgroep van de Europese privacytoezichthouders de voorbeelden uitdrukkelijk wijzen op de grote schaal van bijvoorbeeld ziekenhuizen en verzekeraars en niet op bijvoorbeeld kleinere scholen, verenigingen, kerken en bedrijven;
overwegende dat in de maatschappij onduidelijkheid bestaat over de toepasselijkheid van de bepalingen over de functionaris vanwege de vraag of er sprake is van grootschaligheid van gegevensverwerking en dat instellingen en bedrijven hierdoor geneigd zullen zijn te kiezen voor de veilige weg zonder dat zij zich daadwerkelijk met grootschalige gegevensbewerking bezighouden, met alle administratieve lasten van dien;
verzoekt de regering, te bevorderen dat de Autoriteit Persoonsgegevens op zo kort mogelijke termijn komt met duidelijke richtlijnen voor de toepassing van de normen uit de verordening over de functionaris voor de gegevensbescherming en te waarborgen dat kleinere instellingen en bedrijven worden ontzien,
en gaat over tot de orde van de dag.
Dank u wel. Dan wordt het nu tijd voor de genuanceerde motie van de heer Verhoeven.
De heer Verhoeven (D66):
Dank u wel, voorzitter. Dank ook aan de minister voor de beantwoording. Dat ging op een zorgvuldige en snelle wijze. Dat was volgens mij goed op dit moment. Dank ook voor de motie van de heer Koopmans, die ik mede heb ondertekend. Ik weet dat ik daardoor zal worden opgenomen in het Guinness Book of Records, want zijn motie is de langste motie die ooit is voorgelezen in de Nederlandse Tweede Kamer, maar dat doet wel recht aan dit complexe debat en deze complexe materie.
Volgens mij hebben wij een goed debat gehad, waarbij de Kamer tamelijk eensgezind naar de materie gekeken heeft. We willen een aantal dingen wel: een gelijk speelveld op Europees niveau, het inperken van bedrijven die hun datamacht misbruiken, oog voor de Nederlandse situatie en het in positie brengen van de handhaver en toezichthouder, de Autoriteit Persoonsgegevens. We willen niet dat kleine organisaties onnodig op kosten worden gejaagd door de suggestie van een zeer complexe wet waarbij heel dure adviezen nodig zijn. En we willen geen rigide toezicht maar hulpvaardig toezicht, zoals de heer Koopmans dat zo mooi heeft gezegd. Dat is mooi. De balans die we moeten zoeken is het naleven en handhaven van deze wet zonder onnodige kosten en lasten voor alle betrokken organisaties. Volgens mij willen we daar eensgezind mee aan de slag, zowel kabinet als Kamer.
Dan heb ik nog twee moties, voorzitter. De eerste gaat als volgt.
De Kamer,
gehoord de beraadslaging,
overwegende dat in veel verschillende wet- en regelgeving verschillende leeftijdsgrenzen worden gebruikt;
overwegende dat de Raad voor Volksgezondheid en Samenleving een onderzoek uitvoert naar de willekeurigheid van leeftijdsgrenzen en dat dit onderzoek ook relevante inzichten kan opleveren voor de leeftijdsgrens in de UAVG, die wij vandaag behandeld hebben;
verzoekt de regering na de publicatie van het onderzoek van de Raad voor Volksgezondheid en Samenleving over de willekeurigheid van leeftijdsgrenzen de leeftijdsgrens in de UAVG, indien daartoe op basis van het onderzoek aanleiding bestaat, te heroverwegen,
en gaat over tot de orde van de dag.
De heer Verhoeven (D66):
Dan de tweede motie.
De Kamer,
gehoord de beraadslaging,
overwegende dat de Autoriteit Persoonsgegevens de afgelopen jaren en door de AVG en andere wet- en regelgeving tal van extra taken en bevoegdheden heeft gekregen;
spreekt uit dat de Autoriteit Persoonsgegevens voldoende capaciteit en middelen moet hebben en houden om haar taken en bevoegdheden goed uit te kunnen voeren;
verzoekt de regering voor het einde van 2018 de Kamer te informeren over de wijze waarop de Autoriteit Persoonsgegevens in staat is haar additionele taken en bevoegdheden goed uit te voeren, mede in het licht van het advies van adviesbureau Andersson Elffers Felix over de verschillende scenario's over de invulling van de taken en bevoegdheden van de AP,
en gaat over tot de orde van de dag.
Dank u wel, tot zover de tweede termijn van de Kamer. Ik zal een minuutje schorsen zodat de minister de moties krijgt.
De vergadering wordt enkele ogenblikken geschorst.
De voorzitter:
Het woord is aan de minister.
Minister Dekker:
Voorzitter. Er zijn twee vragen en een aantal moties. De eerste vraag van mevrouw Buitenweg is of de reikwijdte van de AVG breder is en of er een rol is weggelegd voor het Hof van Justitie. Het antwoord daarop is ontkennend. De bescherming van de AVG loopt parallel met de reikwijdte van het Handvest van de grondrechten van de EU. Wat niet tot het EU-recht behoort, valt niet onder de AVG.
Mevrouw Buitenweg (GroenLinks):
Het lastige is dat we wel hebben gezegd dat de AVG niet alleen van toepassing is op de terreinen die binnen de reikwijdte van de Unie vallen, maar op alle gegevens in de Europese Unie. Dus constitutioneel is dat wel ingewikkeld, want dat zou betekenen dat er op de terreinen buiten het Unierecht waarop de gegevensbeschermingsverordening wel van toepassing is, een andere interpretatie is dan op de andere delen. Daarmee denk ik dat er wel een uitbreiding is van de toepassing van het EU-grondrechtenhandvest en eventueel het Hof. Maar misschien moet deze constitutionele finesse nog nader in een brief worden geduid.
Minister Dekker:
Mag ik dit meenemen? Want ik vind dit wel iets om op te kauwen. Ik kan ook zeggen: wat daarbuiten valt, zou dan moeten toegroeien naar. Ik weet niet of het automatisch van toepassing is. Ik heb iets toegezegd: binnen nu en een halfjaar. Zullen we dan ook deze zeer juridische, haast constitutionele discussie oppakken? Dan kan ik daar in ieder geval inhoudelijk over denken, misschien kan ik ook eens even een gesprek voeren met een aantal collega's, en dan kom ik daarop terug. Waar ik niet op terug ga komen, hoewel ik de discussie goed kan volgen, is de vraag waarom we van geslacht geen bijzonder persoonsgegeven hebben gemaakt. Ik kan me voorstellen dat er over de wenselijkheid hiervan een enorme boom opgezet kan worden. We hebben in het regeerakkoord ook het een en ander gezegd over de nationale toepassing ervan. Maar als we dat in nationale wetgeving zouden aanpassen, zijn we in strijd met de AVG. De AVG somt namelijk vrij gelimiteerd op wat bijzondere persoonskenmerken zijn. We komen aan de wenselijkheidsvraag simpelweg niet toe, omdat het niet kan en niet mag.
Ik kom bij de moties en begin met de motie op stuk nr. 17 van mevrouw Buitenweg, over de Europese legitimering van wat het comité straks gaat doen. Ik ontraad de motie. Formele instemming van het Europees Parlement kan volgens het Werkingsverdrag van de EU alleen op uitvoeringsbesluiten van de Commissie of de Raad. Als je dit wilt, zou je het verdrag moeten aanpassen. Heel eerlijk gezegd, zie ik dat niet een-twee-drie gebeuren, althans niet specifiek voor dit onderwerp.
De motie op stuk nr. 18 gaat over het meegeven van een aandachtspunt aan de Autoriteit Persoonsgegevens. Ik kan dat heel goed volgen. Ik heb daar zelf al een aantal geruststellende woorden over meegegeven in het debat, maar ik kan ermee leven. Vandaar dat ik het oordeel aan de Kamer laat.
Hetzelfde geldt voor hetgeen direct aan mij is opgedragen in de motie op stuk nr. 19, namelijk om een uitgebreide evaluatie te doen, met een hele trits aan onderwerpen. Van een aantal kun je zeggen dat ze voortvloeien uit de vraag hoe de nieuwe wet- en regelgeving straks landen. Een aantal andere vragen om iets extra's te doen. Dit debat gaan wij in het najaar voeren. Ik zou de motie willen overnemen.
De voorzitter:
Bestaat er bezwaar tegen het overnemen van deze motie? Ik stel vast dat dit niet zo is.
Minister Dekker:
De motie op stuk nr. 20 ga ik ontraden. Dat zal de heer Van Nispen niet verrassen. Iedere discussie over geld is weer een integrale afweging. Dat doen we niet los op het eind. Om de pijn wellicht enigszins te verzachten, spring ik even naar de motie op stuk nr. 23. Over deze motie kan ik het oordeel aan de Kamer laten. Ik vind het op zich geen probleem om tegen het einde van het jaar wat inzicht te geven.
Ik ga terug naar de motie op stuk nr. 21. Dat is ook weer via mij een oproep aan de Autoriteit Persoonsgegevens. Als het gaat om het bevorderen, kan ik er een heel eind in meegaan. Over waarborgen kan ik niets toezeggen. Als de heer Van der Staaij en mevrouw Van Toorenburg begrip hebben voor de positie waarin ik verkeer en voor de onafhankelijkheid van de Autoriteit Persoonsgegevens die ik respecteer, zou ik het oordeel over deze motie aan de Kamer willen geven. Ik zie beide indieners positief reageren. Ik laat het oordeel dus aan de Kamer.
Dan kom ik bij de motie op stuk nr. 22 van de heer Verhoeven. Ook daarin kan ik een heel eind meegaan. Ook over die motie kan ik het oordeel aan de Kamer laten.
Voorzitter, ik ben door alle moties heen. Misschien toch nog even een woord van dank. Ik wil de Kamer, de Griffie, de voorzitter en de woordvoerders bedanken voor de enorm voortvarende manier waarop dit onderwerp is behandeld en geagendeerd. Soms heb je van die trajecten waar echt even spoed op zit. Ook vandaag nog staande het debat, waardeer ik bijzonder de manier waarop dat eigenlijk in hele goede samenwerking ging. Heel veel dank.
De voorzitter:
Prima. Dank aan de minister voor zijn aanwezigheid. Dank aan de leden.
De algemene beraadslaging wordt gesloten.
De voorzitter:
Dinsdag stemmen wij over de wet en over de moties. Na de schorsing hebben we een korte regeling van werkzaamheden en gaan we verder.
De vergadering wordt van 14.17 uur tot 14.51 uur geschorst.
Voorzitter: Arib
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20172018-59-4.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.