Voorzitter: Snels

Griffier: Weeber

De voorzitter:

Ik open dit overleg naar aanleiding van de initiatiefnota van de Partij van de Arbeid, de heer Nijboer. Het is natuurlijk altijd te prijzen als Kamerleden een initiatiefnota maken. Ook welkom aan zijn medewerker, Dirk Slieker, die naast de heer Nijboer zit. Welkom aan de Minister en aan zijn medewerkers, de ambtelijke ondersteuning.

Ik stel voor dat we dit notaoverleg hebben in twee termijnen. We hebben tot 20.00 uur, maar ik vraag me af of we tot 20.00 uur nodig hebben. We kunnen kijken of we dat wat sneller gaan doen, dan hoeven we ook niet te schorsen voor een dinerpauze. Ik stel voor een spreektijd van vier minuten, maar ik zal niet streng zijn. Vooraf zeg ik, ook op verzoek van de heer Nijboer, dat Attje Kuiken als woordvoerder van de Partij van de Arbeid hier aanwezig zou zijn. Zij is ook onderweg, maar heeft gedoe met treinen en hoopt later nog aan te schuiven. Ik hoop dat ze op tijd is voor de eerste termijn en anders krijgt zij in de tweede termijn het woord.

Ik stel voor dat we beginnen met de heer Slootweg, CDA.

De heer Slootweg (CDA):

Dank u wel, voorzitter. Ik wil beginnen om de initiatiefnemer, de heer Nijboer, en via hem ook mevrouw Oosenbrug te bedanken voor het opstellen van deze initiatiefnota. Het gebruik van persoonsgegevens in de financiële sector en de terechte zorg over privacy en de mogelijkheden van big data zijn zeer actueel. Hoe privacy in de financiële sector moet worden vormgegeven is een weerbarstig en taai vraagstuk. Het overkoepelende idee begrijpt iedereen. Je wil zicht en sturing houden over wie beschikking heeft over je persoonsgegevens. Aan de andere kant delen wij heel gemakkelijk informatie van onszelf en vinden het lastig wanneer we opnieuw onze gegevens moeten invullen.

Mevrouw Oosenbrug en de heer Nijboer hebben aanbevelingen aan de Kamer voorgelegd en het is nu aan ons om daar een oordeel over te geven. Dat de initiatiefnota een knap staaltje werk is, blijkt wel uit het feit dat deze zijn tijd ver vooruit is, omdat het verwerken en delen van persoonsgegevens in de financiële sector wordt geregeld in de betalingsrichtlijn PSD2 die wij binnenkort in de Kamer bespreken. Naast de PSD2 kennen wij inmiddels wetgeving rond de Algemene verordening gegevensbescherming, AVG. De Minister maakt in zijn reactie helder dat enkele aanbevelingen van de initiatiefnemers hiermee zijn ondervangen.

Met de PSD2 in het vooruitzicht bestaat bij mijn fractie wel de vraag wat nu de verstandigste route is. Veel van de oplossingen die de nota wil bewerkstelligen, zijn of worden via de AVG of door de komst van PSD2 geïmplementeerd. In de nota zijn enkele oplossingen die verdergaan dan de oplossingen die door PSD2 worden geboden. Maar we hebben bedenkingen om de financiële sector met meer regelgeving op te zadelen dan op dit terrein Europees wordt afgesproken. De argumentatie moet daarvoor dan ook wel sterk en overtuigend zijn. Wat zijn de consequenties als we nationaal te veel afwijkende regels hanteren ten opzichte van de direct omliggende landen? We moeten beseffen dat juist het financiële verkeer een van de meest globale is. Er is dus ook de mondiale situatie. Hoe kijkt de initiatiefnemer tegen de gevolgen voor de Nederlandse financiële sector aan, wanneer deze geconfronteerd wordt met afwijkende regelgeving? Deels wil de initiatiefnemer zaken op Europees niveau regelen, maar daarnaast stelt hij ook koppen op de nationale wetgeving voor.

Een vraag aan zowel de initiatiefnemer als de Minister: er wordt voorgesteld om een verbod te stellen op het delen van gegevens, wanneer dit de kaders van PSD2 te buiten gaat. De Minister gaat een algemeen verbod te ver. Mijn vraag aan beiden is: op welke buitenkaderlijke vorm van gegevensdeling doelt u dan precies? PSD2 is vrij veelomvattend. Doelt de indiener op het delen van gegevens met instanties als de Belastingdienst, of nog zwaarder: de FIOD en het OM? Die instanties zouden toch niet geconfronteerd moeten worden met een dergelijk verbod? Of ziet de indiener andere vormen van informatiedeling die nog niet in PSD2 worden geregeld, maar die wel verboden zouden moeten worden?

Een andere vraag voor zowel de initiatiefnemer als de Minister gaat over een scenario dat niet in de nota wordt beschreven. Wat als bedrijven als Facebook en Google zich gaan bemoeien met het betalingsverkeer? Wat als zij zelf een bank beginnen? Zij beschikken dan binnen hetzelfde bedrijf over informatie over personen die zij zelf kunnen combineren. Van het delen van persoonsgegevens met derden, zoals bij andere bedrijven, is dan helemaal geen sprake. Het is maar de vraag of klanten daar blij mee zijn. Achten de initiatiefnemer en de Minister een dergelijke situatie wenselijk? Komt er zo niet te veel macht bij een dergelijk bedrijf te liggen? Is er een rol voor de toezichthouder ACM of de Europese toezichthouder om een dergelijke concentratie met betrekking tot iemands persoonsgegevens te voorkomen?

Ten slotte, voorzitter. Kan de initiatiefnemer ons meenemen in hoe handhaafbaar de voorstellen zijn? Hoe zit het met de kosten? En klopt het dat deze ten slotte bij de consument neerslaan?

Ik dank u, voorzitter.

De voorzitter:

Dank u wel. Het woord is nu aan de heer Alkaya van de SP.

De heer Alkaya (SP):

Veel dank, voorzitter. Deze initiatiefnota laat zien hoe snel de ontwikkelingen gaan op het gebied van dataverzameling en -analyse, en niet alleen in de financiële sector. Veel later hadden wij deze nota niet moeten behandelen, want anders waren wij al door de realiteit ingehaald. Maar daardoor is de timing nu wel erg interessant; die is inderdaad in de aanloop naar de bespreking van de implementatiewet van de betalingsrichtlijn PSD2 en de Algemene verordening gegevensbescherming, die binnenkort in werking zal treden.

Ik wil de initiatiefnemers bedanken voor deze nota. Ik heb een aantal vragen over een aantal voorstellen van hen, die ik nu puntsgewijs wil doorlopen. Met het eerste voorstel vragen zij om een verbod op het delen van data buiten de aankomende Europese richtlijn PSD2. De voorgaande spreker sprak daar ook al over. Het kabinet zegt dat de gegevensbeschermingsverordening onverkort van toepassing is en dat vanwege het gelijke speelveld binnen PSD2 verdergaande maatregelen, dus helemaal een verbod, niet mogelijk zijn. Er is daarbij sprake van een zogeheten maximumharmonisatie door de EU. Hoe kijken de initiatiefnemers hier anderhalf jaar later tegen aan? Zij pleitten voor een verbod op het delen van data buiten bepaalde kaders, maar dat mag niet van de EU. Vindt de initiatiefnemer dit ook zorgelijk?

Nu het tweede voorstel van de initiatiefnemers. Zij vragen ook om een verbod op het verder delen van data door derde partijen; dat moet volgens hen niet mogelijk zijn. Daarvan geeft het kabinet aan dat dit gewoon wel kan, maar ook dat hierbij gewoon het recht op intrekken uit het voorstel, dat in de AVG is opgenomen, onverkort geldt. Hoe moet dat straks werken? Als mijn data straks door mijn bank worden gedeeld met allerlei derde partijen en ik mijn toestemming intrek, wie gaat er dan op toezien dat al die andere bedrijven ook mijn data van hun servers verwijderen? Hoe gaat dat straks werken? Heeft de initiatiefnemer daar een beeld bij? Dit is ook gelijk een vraag in de richting van het kabinet.

De initiatiefnemers hebben het in hun vijfde voorstel over verschillende niveaus van privacy waarvoor kan worden gekozen. Zo hebben zij het over opt-outs. Het kabinet heeft het dan over opt-ins. Dat is allemaal mooi, maar hoe verhoudt dat zich tot de beperking dat in principe alleen de data mogen worden verzameld die noodzakelijk zijn voor de dienstverlening? Dat is vrij absoluut: alleen de data die noodzakelijk zijn, dus niet meer en niet minder. Is de initiatiefnemer niet, samen met mij, bang dat klanten straks, als hun verschillende niveaus van data delen worden aangeboden, worden verleid om toch meer data te delen dan noodzakelijk is, bijvoorbeeld doordat hun kortingen worden aangeboden?

De AVG laat ruimte voor automatische besluitvorming, maar stelt ook dat in principe altijd de tussenkomst van een mens verplicht is. Dat lijkt mij niet onnodig. Dat lijkt mij heel belangrijk, juist ook voor de financiële dienstverlening, voor als we het bijvoorbeeld hebben over een kredietaanvraag door een mkb'er, die zomaar zou kunnen worden afgewezen door een geautomatiseerd systeem, of een hypotheekaanvraag van iemand met allerlei achtergronden. Dat zijn verregaande besluiten, waarbij de tussenkomst van een mens gewoon nodig zal zijn. Als ik terugkijk op het voorstel, vind ik de initiatiefnemers eigenlijk vrij mild daarin. Een verplichting tot menselijke tussenkomst staat er eigenlijk niet in. Is de initiatiefnemer het met mij eens dat die er gewoon wel in zou moeten, dus dat dit verder zou moeten gaan dan alleen de informatieplicht die nu in de initiatiefnota staat, en dat echte menselijke tussenkomst een verplichting zou moeten worden?

Ten slotte. Het kabinet zegt dat de AVG onverkort van toepassing is en dat nationale regels niet in strijd mogen zijn met de AVG. Dat lijkt mij niet meer dan logisch. PSD2 is een richtlijn, en wordt dus omgezet in nationale regels door een implementatiewet en door een algemene maatregel van bestuur met allerlei maatregelen. Zijn de initiatiefnemer en het kabinet het met me eens dat de implementatie van PSD2 dus op geen enkele manier afbreuk mag doen aan onze privacyrechten, zoals die opgenomen zullen worden in de Algemene verordening gegevensbescherming?

Dank, voorzitter.

De voorzitter:

Dank u wel. Dan is nu het woord aan de heer Paternotte van D66.

De heer Paternotte (D66):

Dank u wel, voorzitter. Een nota behandelen anderhalf jaar na indiening kan natuurlijk willekeurig lijken, maar het bijzondere is dat het thema privacy in de tussentijd alleen maar actueler is geworden. Voor D66 is die privacy in het digitale tijdperk juist een van onze belangrijkste grondrechten. In een liberale samenleving moeten mensen zelf kunnen beslissen wat er gebeurt met hun gegevens. Die gegevens moeten alleen daarvoor gebruikt kunnen worden waarvoor ze ter beschikking worden gesteld. Dat betekent een actieve rol voor de overheid, om mensen te beschermen tegen te bemoeizuchtige bedrijven en eventueel ook overheden. Dus dank aan de Partij van de Arbeid voor de noeste arbeid die in deze initiatiefnota is gaan zitten.

Voorzitter. Dat het een belangrijk onderwerp is, lezen we ook heel duidelijk in de reactie van de Minister. Er is natuurlijk al veel gebeurd tussen het indienen van de initiatiefnota en de behandeling ervan vandaag. Het belangrijkste is uiteraard dat wij weten op welke wijze de Algemene verordening gegevensbescherming over enkele weken in werking zal treden. Veel stappen die in de nota worden voorgesteld, zijn ook verankerd in de verordening. Dat is alleen maar goed, want wat data betreft stoppen banken niet bij landsgrenzen. De Europese oplossing is dus altijd iets wat te verkiezen valt. De eerste vraag die ik aan de heer Nijboer wil stellen, is de volgende. Als hij kijkt naar de brief van de Minister en naar de Algemene verordening gegevensbescherming, ziet hij dan concrete gevallen waarbij hij het idee heeft dat die verordening niet toereikend is, ook al wordt die op perfecte wijze uitgevoerd? Kan hij daar eventueel ook een voorbeeld van geven?

Voorzitter. De initiatiefnota behandelt een terechte vraag, want wij moeten nog zien hoe het gaat werken. The proof of the pudding is in the eating. Dat zit hem bij de AVG dus in het toezicht. We zijn van een college bescherming persoonsgegevens naar een autoriteit gegaan. De term «autoriteit» wordt des te meer accuraat. Of de AVG ook effectief is, dient getoetst te worden door het werk van de AP, uiteraard voorzien van een duidelijk mandaat, voldoende middelen en een handhavingsmechanisme. De komende jaren krijgt de Autoriteit Persoonsgegevens ook fors extra middelen. Naar aanleiding van een motie van mij en collega Kees Verhoeven zal eind van het jaar ook geëvalueerd worden of de toezichtstaken van de autoriteit zo ingericht zijn dat zij zich binnen het huidige budget goed kan kwijten van haar toezichthoudende taken. Een belangrijke vraag daarbij is in hoeverre de autoriteit de grensoverschrijdende component kan bewaken. Financiële data stoppen namelijk niet bij de grens. Het belang van privacy dus ook niet. Daarom zullen alle Europese autoriteiten persoonsgegevens samen in overleg blijven over hoe de wetgeving moet worden geïnterpreteerd en bekijken of die ook in alle landen goed wordt uitgevoerd.

We hadden het bij de rondetafel, eerder dit jaar, al even over de tweede betaaldienstenrichtlijn. De heer Wolfsen had daar namens de Autoriteit Persoonsgegevens nog wat zorgen over. Want als inderdaad de conclusie is dat de AVG in andere lidstaten niet goed wordt uitgevoerd, wat dan? Dat gaat dan zowel ten koste van de privacy in die lidstaat als ten koste van een gelijk speelveld in Europa. Een financiële onderneming heeft immers dan een extra reden om te kijken naar een lidstaat met een soepeler autoriteit. Welke pressiemiddelen hebben we dan? Kunnen er ook stappen gezet worden die verder gaan dan alleen druk uitoefenen? Hierop graag een reactie van de Minister.

Voorzitter. Tot slot de tweede betaaldienstenrichtlijn. De nota van de indieners kijkt natuurlijk vooral hiernaar. Wij ontvangen de implementatiewet graag snel, vooral omdat veel fintechbedrijven al tijden in de startblokken staan. Zij overwegen om zich dan maar in een ander land te registreren, omdat Nederland nog geen implementatiewet heeft. En dat terwijl die fintechs het bed van de financiële sector juist zo mooi kunnen opschudden en de concurrentie kunnen aangaan met banken en verzekeraars.

Een van de privacyvragen die PSD2 opwerpt, is wat er gebeurt wanneer ik geen toestemming geef om mijn gegevens te delen, maar een vriend van mij wel. Wanneer ik dan geld overboek naar die vriend, worden mijn gegevens dan toch openbaar. Wat ons betreft zou enkelzijdig bezwaar datadeling moeten uitsluiten. Dus als jij niet wilt dat je data gedeeld worden, kan de keuze van een vriend, van familie of van wie dan ook niet via een omweg alsnog betekenen dat de gegevens die jij helemaal niet had willen delen, alsnog gedeeld worden. Oftewel, die gegevens zouden dan moeten worden weggelakt. Hoe ziet de Minister dit?

En dan ten slotte. Als ik wel heb opgegeven dat mijn data gedeeld mogen worden, mag een bedrijf die niet oneindig lang bewaren. Hier is de AVG nog niet duidelijk over. Er wordt wel gesproken over een proportionele termijn, maar in theorie kan dit oneindig betekenen. Hoe kijkt de Minister hiertegen aan en vindt hij een limiet wenselijk?

De voorzitter:

Dank u wel. Dan is nu het woord aan de heer Van der Linde van de VVD.

De heer Van der Linde (VVD):

Dank u wel, voorzitter. In juli, in het reces, hoop ik met mijn zoon van 16 een mooie gletsjertocht te gaan maken ergens op de grens van Italië en Zwitserland. Dat vergt natuurlijk serieuze voorbereiding. Dus pappa zit af en toe te googelen op stijgijzers en dat soort beter speelgoed. Dat is ze niet ontgaan bij Google. Elke keer als ik een website open, zie ik en marge van die website reclame voor bergschoenen, rugzakken, stijgijzers; al wekenlang. En een schuur ervoor, ja. Dat is één keer leuk, maar het krijgt iets ongemakkelijks als dat wekenlang duurt. Gelukkig weet Google niet alles van me. Ze weten precies wat ik zoek, maar ze weten op dit moment nog niet of ik die stijgijzers echt gekocht heb. Dus die informatie zouden ze graag willen hebben. Het is natuurlijk een goudmijn als je daarmee je data kunt verrijken. Dat verklaart meteen waarom bedrijven als Apple en Google zich op dit moment begeven op de markt van het betalingsverkeer, een markt waarop onze huidige financiële instellingen waar deze nota over gaat, zich nu al bevinden.

Ik heb de nota van de collega's Oosenbrug en Nijboer met diezelfde bril gelezen. Zij maakten zich in 2016 al licht zorgen om De Nederlandsche Bank, die iets wilde doen met betaaldata, maar de werkelijkheid achterhaalt ons snel. Apple Pay verspreidt zich bijvoorbeeld razendsnel. Geen gedoe met pasjes en pinautomaten, je houdt gewoon je smartphone tegen de smartphone van de winkelier en het is voor elkaar.

Ik wil mijn complimenten maken aan de heer Nijboer over deze nota. Het is nuttig en belangrijk dat wij over dit onderwerp praten. Enerzijds omdat de analyse van big data ons ongekende mogelijkheden biedt. En die zijn beslist niet allemaal slecht. Slimme algoritmes zorgen dat de politie op de juiste tijd en op de juiste plaats is om criminelen op te pakken. Ze voorspellen in welke staat in Amerika zich een griepepidemie zal voordoen. Ze helpen de Belastingdienst om fraude op te sporen. In de financiële sector kun je natuurlijk mkb-bedrijven veel makkelijker op kredietwaardigheid checken als je een slim algoritme hebt. Maar anderzijds kennen we ook de angstaanjagende voorbeelden: het Social Credit System in China dat op basis van big data socialistische gutmenschen selecteert of Sesame Credit van Alibaba dat zonder noemenswaardig wettelijk kader de kredietwaardigheid van particulieren beoordeelt, met vérstrekkende gevolgen. Het beginsel uit deze nota over surprise minimization houdt weliswaar niet alles op afstand, maar het is wel een mooi vertrekpunt.

Ik heb een aantal vragen aan collega Nijboer en nog een enkele aan de Minister. Aan de heer Nijboer de volgende vragen. U schrijft dat klanten in toenemende mate worden verleid om privacy in te ruilen voor lagere prijzen. En in lijn met uw eigen politieke opvattingen ziet u daar natuurlijk een tweedeling tussen arm en rijk. Toch nog even de vraag hoe erg het is als ik 30% korting krijg op mijn autoverzekering in ruil voor een kastje onder de motorkap, als dat ertoe leidt dat ik vervolgens zuiniger en veiliger ga rijden. Snijdt het mes dan niet gewoon aan twee kanten? Mijn zorg zit dan niet in arm en rijk. Mijn zorg zit er meer in dat de verzekeringsmaatschappij die data niet doorverkoopt.

U schrijft terecht over wettelijke bescherming van privacy, maar we zien tegelijkertijd dat mensen zelf hun privacy terzijde schuiven en alles op Facebook of andere social media knallen of een bank toegang geven. Hoe zorgen wij dat mensen zelf doordrongen zijn van het belang van privacy en de waarde van hun persoonlijke gegevens?

Dan een vraag over aanbeveling 7 over automatische besluitvorming. Kunt u dat wat nader toelichten? Algoritmes doen natuurlijk niets anders dan automatische besluitvorming genereren voor eigen gewin. Als klant wordt ik bedolven onder zinloze informatie als ik daarover wordt ingelicht. Of gaat het over iets meer specifieks?

Dan aanbeveling 2, en ik hoop overigens dat ik niet al te hard door mijn tijd heen schiet. Aanbeveling 2 voorziet erin dat derden informatie niet verder kunnen verspreiden. Is dat niet al geregeld in de AVG? En als dat niet het geval is, wat wil de indiener dan concreet doen in Europees verband?

Dan een vraag aan de Minister. Ik realiseer mij heel goed dat privacy voortdurend om een afweging vraagt ten opzichte van staatsveiligheid, gebruiksgemak en andere voordelen, maar het uitgangspunt moet natuurlijk wel zijn privacy by design.

Toen ik de richtlijn PSD2 en het wetsvoorstel las, bleef er eerlijk gezegd weinig over van de spookverhalen die ik in de media had gelezen. Mijn beeld is dat PSD2 juist een einde maakt aan een hoop zorgelijke toestanden. Als ik nu betaal met PayPal – om een voorbeeld te noemen, want er zijn er natuurlijk meer – kijken er 36 commerciële partijen mee. PayPal wisselt gegevens uit met 600 organisaties. Ik heb hier de lijst. Zij zijn niet de enigen. Dat zou met PSD2 niet meer moeten mogen gebeuren. Toch houden wij nog wel zorgen. Van de banken krijgen wij terug dat PSD2 en de AVG in Brussel een wel heel eigen leven hebben geleid. Als ik een derde toegang geef tot bankgegevens, heeft hij daarmee ook gegevens over alle mensen met wie ik betalingsverkeer heb gehad. De heer Paternotte zei het net ook al. Die derde weet meteen hoeveel zakgeld mijn kinderen krijgen, hoeveel alimentatie mijn ex krijgt – dat is overigens hypothetisch – en hoeveel geld het Werldnatuurfonds ophaalt. Hoe wordt de privacy van die partijen geborgd? Nog fundamenteler: is het denkbaar dat Chinese of Amerikaanse partijen wel gegevens kunnen ophalen, maar zich vervolgens onttrekken aan PSD2? Hoe voorkomen wij dat Google of Alibaba de vruchten plukken van Europese gegevens?

Ik heb nog één zin, voorzitter. Als mij iets duidelijk is geworden rondom de privacy, is het dat onze betaalgegevens kostbaar zijn. Grote bedrijven zijn maar al te benieuwd of en waar ik die stijgijzers ga kopen. Maar het gaat er wel om dat ik baas blijf over die betaalgegevens. Dat Booking.com op basis van zoekopdrachten uit 2017 nu al voorspelt hoe de eerste twee dagen van mijn vakantie eruitzien vind ik misschien wel voordelig – ze zaten er echt nauwelijks naast – en het is een misschien een luxe waar ik nee tegen zeg, maar ik wil er wel zelf over blijven gaan. Dank u wel.

De voorzitter:

Dank u wel. U bent wel een beetje over de tijd heengegaan, maar dat zal ik inlopen door namens mijn fractie, GroenLinks, maar twee vragen aan de orde te stellen. De eerste vraag gaat over het thema waar de heer Slootweg het ook over had, namelijk als je toestemming intrekt. Dat vind ik een mooi systeem en een mooie gedachte. Behalve alle vragen die gaan over de praktische invulling, vroeg ik mij af hoe het gaat als je als Nederlandse financiële instelling gegevens hebt gedeeld met een buitenlands bedrijf, wettelijk toegestaan en met toestemming van de consument. Wie houdt er dan toezicht op dat die intrekking ook echt gebeurt? Of valt er dan een gat tussen nationale en internationale toezichthouders? Dat lijkt mij vrij complex en ingewikkeld.

Dan heel kort over een thema waar niemand over heeft gesproken. Het gaat natuurlijk gewoon over de beveiliging van de informatie. Volgens mij hadden wij zes weken terug de aanvallen op de banken door buitenlandse hackers. Ik heb weleens de indruk dat memo's van Financiën beter beveiligd worden dan de gegevens van klanten en consumenten bij financiële instellingen. Ik weet dat bedrijven daarin investeren, maar welke verantwoordelijkheid hebben bedrijven daarin? Zit daar niet ook een verantwoordelijkheid voor de toezichthouders dan wel voor de wetgever om af te dwingen dat de beveiliging van gegevens op een goede manier gebeurt?

Dat was mijn inbreng. Wij gaan nu tien minuten schorsen en dan beginnen wij met het antwoord van de initiatiefnemer. Na het antwoord van de initiatiefnemer is de Minister aan de beurt.

De voorzitter:

We hervatten dit debat over de initiatiefnota van de Partij van de Arbeid en we beginnen met het afmaken van de eerste termijn, want mevrouw Kuiken is gearriveerd en zij krijgt nog even de gelegenheid om haar inbreng in eerste termijn te doen. Dan gaan we daarna direct verder met de antwoorden van de heer Nijboer.

Mevrouw Kuiken (PvdA):

Voorzitter. Hartelijk dank. Het heugelijk nieuws is dat ik sinds vier weken vanuit Breda de mogelijkheid heb om vier keer per uur naar Den Haag te komen. Het mindere nieuws is dat dat tot op heden nog niet is gelukt omdat veel treinen stelselmatig uitvallen. Mijn excuus daarvoor.

Ik wil de heer Nijboer maar ook mevrouw Oosenbrug, die vast thuis een stuk van dit debat meekrijgt, danken voor het initiatief dat zij hebben getoond voor deze initiatiefnota. Het was toen al een belangrijk onderwerp, maar vooral mevrouw Oosenbrug was een warm pleitbezorger voor het waarborgen van privacy. Als ik zie in welke actualiteit we inmiddels beland zijn – ik doel niet alleen op het financiële, bancaire of verzekeringssysteem, maar ook op de Kamer van Koophandel, waar vorige week het debat over ging, of vanochtend weer de sportbonden en hoe die omgaan met onze gegevens – dan waren de initiatiefnemers met dit voorstel hun tijd volgens mij enigszins vooruit, al is hier nu misschien niet zo veel publicitaire belangstelling voor. Daarvoor hartelijk dank.

Gelet op het feit dat ik zelf van de Partij van de Arbeid ben, zal het u niet verbazen dat ik niet heel veel kritische vragen heb. Dat zou een beetje blasé of gemaakt zijn. Desalniettemin wil ik toch aandacht vragen voor een tweetal onderwerpen. Het ene betreft het Europese toezicht. Terecht stellen de initiatiefnemers dat er al een hele hoop in wetgeving verbeterd is. Er is al veel gebeurd, juist omdat men het belang ervan inziet om dit goed te regelen. Toch is het nog te makkelijk om de achterdeur te zoeken en via derde partijen of derdengelden die wetgeving te ontwijken. Ik zou graag aan het kabinet willen vragen of zij zich daarin herkennen en of het dan niet verstandig is om daar, zoals de initiatiefnemers ook stellen, aanvullende wetgeving op te maken. Specifiek zou ik willen vragen naar het toezicht en hoe dat nu geregeld is, met name omdat het toezicht afhankelijk is van het land waarin je gevestigd bent en waar je je paspoort neerlegt. Daar is het toezicht ook geregeld. Dat blijkt onvoldoende te zijn.

Dat brengt mij automatisch bij mijn tweede vraag en ook die is gericht aan de initiatiefnemers. Laten wij kijken naar de actualiteit. Ik neem even specifiek het voorbeeld van Facebook. Ik was vorige week nog op een groot symposium van Facebook zelf. Ze zeggen ook zelf: de nieuwe Europese wetgeving die er aankomt op het gebied van privacy gaat ons heel erg helpen. Ze gaat ons helpen tegemoetkomen aan de wensen die de klanten aan ons hebben, maar ze gaat ons ook helpen om uit het huidige schandaal te komen. Toch lezen we een dag later in de krant dat zij waarschijnlijk veel van hun klanten, gebruikers van Facebook, onder Amerikaanse wetgeving zullen scharen. Daarmee gooien ze feitelijk alle Europese wetgeving buitenboord. Mijn vraag aan de initiatiefnemers is dan ook of zij zich daarin herkennen. Vaak gaat het dan niet alleen over Facebook, maar ook over derde partijen waar banken of verzekeringsmaatschappijen gebruik van maken. Hoe voorkomen we shoppen in wetgeving? Hoe zorgen we ervoor dat je echt een vangnet creëert, waarmee je het waarborgen van de privacy niet alleen in Nederland, maar ook daarbuiten zodanig regelt dat we in de eerste plaats Nederlandse gebruikers veilig houden, maar natuurlijk ook in bredere zin de Europeanen? Iedereen moet er immers zeker van zijn dat gegevens die zo gevoelig zijn – want dat zijn bankzaken, maar ook alles wat daaruit afleidbaar is – daadwerkelijk privé blijven.

Voorzitter, dank u wel voor deze gelegenheid.

De voorzitter:

Dank u wel. Dan is nu het woord aan de heer Nijboer voor zijn antwoord in eerste termijn.

De heer Nijboer (PvdA):

Hartelijk dank voorzitter, en hartelijk dank aan de collega's voor hun inbreng en ook voor hun complimenten. De afvaardiging van de Kamer laat wel zien dat het alle fracties of heel veel fracties in deze Kamer bezighoudt. Dat is ook geen wonder, want aan de ene kant is privacy een grondrecht en wordt dat breed onderkend. Aan de andere kant is het zo dat je, als je eenmaal iets hebt gedeeld online, met wie dan ook, of het nou via Google is, of dat je het op Facebook of op Twitter hebt gezet, dat nooit meer kunt terugdraaien. Dat geldt ook voor bankzaken. Je kunt natuurlijk wel zeggen: we trekken de vergunning in, maar als het een keer online en breed verspreid is... Je kunt je privacy maar één keer opgeven. Dat maakt dat we heel precies moeten discussiëren over privacy. Samen met collega Oosenbrug, die ik veel dank ben verschuldigd – zij heeft privacy breed op de agenda gezet – hebben wij gekeken hoe het uitwerkt op de financiële sector, op verzekeraars en op banken. Het is een grondrecht, je moet het beschermen en als je het een keer hebt gedeeld, ben je het kwijt. Hoe moet je dat dan doen?

Dat geldt in het bijzonder voor bankgegevens. Het voorbeeld van de heer Van der Linde sprak mij wel aan. Er wordt op Google gezocht, maar met bankgegevens weet je bijna alles van iemand: als je weet waar iemand op welk moment wat heeft betaald, wat hij heeft betaald, wat hij heeft gekocht, waar hij op vakantie was, op welk tijdstip, met wie hij was. Als je bij een diner zit, kun je kijken hoeveel. Je weet bijna alles. Je kunt bijna alles van het leven van iemand traceren als je zijn betaaldata hebt. Dat vergt extra bescherming. Wij hebben als PvdA, als initiatiefnemers, als uitgangspunt genomen dat dat niet vrij verhandelbaar moet zijn, dat het ook geen keuze alleen maar van consumenten kan zijn: moet ik dat delen? Uit de inherente nutsfunctie van het bankwezen vloeit voort dat het een publiek goed is dat beschermd moet worden en dat niet met een paar vinkjes op een website, om het een beetje huiselijk te zeggen, kan worden weggegeven en voor altijd kwijtgeraakt kan zijn. Dat is de achterliggende hoofdgedachte waarom wij ernaar keken. Daar kwamen natuurlijk de Facebookzaken van de afgelopen tijd nog bij. Er was toen ook al enigszins sprake van, maar nu lijken ze het echt te gaan doen: Google, Facebook, Apple die hun eigen banken oprichten, wellicht in Ierland, wellicht op Malta, met een regulering waar wij over kunnen discussiëren. Naar onze overtuiging is goed als het parlement precies kijkt naar de wetgeving die voorligt.

Gelukkig ligt er al wetgeving voor en daar wil ik graag op ingaan. Ik wil dat in drie blokken doen. Vervolgens wil ik de vragen die er dan nog zijn per inbreng behandelen. Ten eerste PSD2, de Europese betaalrichtlijn – hoe verhoudt dat zich hiertoe, waar bent u eigenlijk strenger op? – en de Europese kop die daarbij hoort. Ten tweede de zorgplicht van financiële instellingen: is het niet goed, is het niet mooi dat je 30% korting kunt krijgen op een autoverzekering als de verzekeraar het weet? Ten derde het toezicht en de handhaving. Alle sprekers hebben een inbreng op al die drie thema's geleverd en ik wil daar graag op ingaan.

Allereerst de PSD2-wetgeving. Er wordt gezegd dat die al streng is. De Minister zegt dat ook: er is al veel in geregeld. Waar verschilt het nu echt en kunt u ook een voorbeeld noemen, zei de heer Paternotte. Het begint met het onderscheid dat wij willen maken naar de nutsfunctie van bankgegevens. Iedereen heeft zijn bank nodig, of je nou werkt of een uitkering hebt. De data die daarmee verkregen zijn, zijn alleen al om hun nutsfunctie verkregen. Wij vinden het ten principale een slechte zaak dat een bank of financiële instelling – het kan straks ook Facebook of Google zijn – die gaat verhandelen, verkopen of delen met derden. Dat willen wij verbieden. Dat is wat anders dan zelf je data hebben en zelf een rekeningapp openen en kijken: wat is mijn bestedingspatroon? Dat is een wezenlijk andere keuze. Het is een wezenlijk ander uitgangspunt dan in PSD2. Die zegt: de banken mogen dat delen mits je toestemming geeft, bewust bent en weet wat je doet. Dat is een wezenlijk andere benadering. Dat is ook het grootste kernpunt van het verschil in benadering. Simpel gezegd: het moet geen handelswaar worden, ook niet als je het er zelf mee eens bent. ING heeft dat indertijd gedaan, Equens ook. Die dachten: misschien kunnen we niet-geïndividualiseerd, als pakketten, kortingen bieden aan consumenten; daar hebben ze toch belang bij. Daar zijn wij geen voorstander van. De nutsfunctie moet gewoon de nutsfunctie blijven. Natuurlijk heb je zelf recht op inzicht in rekeningen, maar je moet het niet commercieel kunnen uitbuiten. Daar zit het kernverschil met de Europese regelgeving.

De heer Slootweg van het CDA zei: het moet eigenlijk geen Europese kop hebben, het is toch een internationale wereld. U kent de PvdA en daar staan initiatiefnemers ook altijd voor: we zijn altijd voor de beste Europese en liefst nog internationale en mondiale regelgeving. Dus ik vind dat de PSD2-wetgeving op die punten beter had gemoeten en gekund. Maar is dat dan een argument om als Nederland helemaal niks te doen? Daar zijn wij niet van overtuigd. Als je zorgen hebt – dat geldt bijvoorbeeld ook voor het toezicht waar ik straks nog op kom – over de vraag of het wel goed geregeld is, is het aan dit nationale parlement, dat straks ook de wetsbehandeling gaat doen, om te amenderen en wetten aan te passen. Dat is wel wat wij voorstaan.

Voorzitter. Dan kom ik op de zorgplicht. Dat is die aanbeveling 7. Over de automatische gegevensuitwisseling vroeg de heer Alkaya of er eigenlijk niet altijd een persoon bij moet komen kijken. Zijn we eigenlijk wel streng genoeg, vroeg de SP. In de financiële sector hebben we ook wel meegemaakt dat er veel persoonlijke aandacht was maar dat dit niet per se leidde tot de beste verkoop van financiële producten. Er zijn heel veel financieel adviseurs bij mensen thuis geweest. Die hebben mensen allerlei producten aangesmeerd waarvan ze niet per se beter werden. Ik vind niet dat persoonlijk contact als criterium moet worden vastgelegd in wetgeving, want het kan juist leiden tot misselling, meerverkoop en slechte keuzes. Aan de andere kant zijn Google en Apple, zoals verschillende sprekers opmerkten, wel andere bedrijven dan de banken die we nu hebben. Die hebben misschien wel een heel ander commercieel belang dan de banken.

Stel dat zij dat krijgen, hebben ze dan wel een zorgplicht? Hoe gaat dat? Hoe verhoudt de zorgplicht zich tot het meer in de weer gaan met data door banken? Aanbeveling 7 zegt: maak een apart artikel in de zorgplicht of een aparte AMvB – qua uitvoering maakt het niet zo veel uit – en geef aan hoe je met privacy omgaat; bescherm privacy. Dat geldt voor zowel nieuwe als bestaande bankvergunningen. We hebben inderdaad niet gekozen voor een persoonlijke benadering, maar ik vind dat een persoonlijke benadering niet per se garandeert dat het dan beter gaat. Laat ik het voorbeeld gebruiken van mensen die structureel een paar honderd euro rood staan bij een bank en tegelijkertijd een spaarrekening hebben met daarop € 500 of € 1.000. Stel dat de bank op basis van een algoritme een bericht stuurt naar de klant: u hebt geld op uw spaarrekening en tegelijkertijd staat u rood; zou u daar niet eens wat aan doen, want dat is goed voor u, daar wordt u beter van? Daar ben ik niet tegen. Dat zou mensen juist helpen.

De heer Alkaya (SP):

Ik heb een vervolgvraag. Over een maand treedt de Algemene verordening gegevensbescherming in werking. Die gaat iets verder dan wat de heer Nijboer hier voorstelt. Die zegt namelijk: als het vergaande consequenties heeft – ik denk aan een afwijzing van een hypotheekverzoek of de opening van een bankrekening – moet er in principe altijd een mens tussenkomen. Vindt de heer Nijboer dat de Algemene verordening gegevensbescherming hierin te ver gaat?

De heer Nijboer (PvdA):

Er is een verschil tussen het moment van delen – sta je het toe? – en de toepassing. Ik had het zojuist over de toepassing. Dan heb je al toegestaan dat de bank kijkt: op mijn spaarrekening heb ik geld staan, ik sta rood en de bank mag mij adviseren. Dan ben je al voorbij de horde, om het zo te zeggen. Verder ben ik het natuurlijk met u eens. Wij stellen een aanscherping van regelgeving voor, geen versoepeling. Dat mag helder zijn.

De voorzitter:

Ik heb vooraf geen regels afgesproken voor interrupties, maar ik stel maximaal twee interrupties in tweeën per persoon voor.

De heer Van der Linde (VVD):

Ik heb toch het gevoel dat er wat lijntjes door elkaar lopen. De heer Nijboer zegt: ik ben tegen handel in data. Maar daar gaat PSD2 niet over. PSD2 gaat over toepassing, een boekhoudprogramma of iets waarmee je je huishoudgeld kan beheren dat je rechtstreeks kan koppelen aan je bankgegevens. Dat is geen handel door de bank, dat is het verplicht openstellen van bankgegevens, en dat is ook het doorbreken van een bankkartel, zeg ik er maar even bij. Dat is toch iets wezenlijk anders.

De heer Nijboer (PvdA):

Deze nota ziet ook op meer dan alleen PSD2. We hebben het over de Algemene verordening persoonsgegevens gehad, over de nutsfunctie van banken, dus ik ben het zeer met u eens. PSD2 ziet op online apps. Daar had ik het zojuist ook over in mijn beantwoording. Dat kan heel wenselijk zijn, mits je daar zelf voor kiest en de gegevens ook echt van jezelf zijn. Daar ziet mijn zorg wel op. Een bank moet zo'n app toestaan, maar tegelijkertijd moeten de consumenten, de mensen, wel echt toestemming geven. Daar is dat dashboard voor bedacht, met opt-outs, waarover de Minister ook wat heeft gezegd. De Minister zet erg in op zelfregulering. Het is de vraag of je daar helemaal in moet geloven en of het dan goed komt.

Voorzitter. Wat als Facebook en Google zelf een bank beginnen? Nou, als ik de kranten mag geloven kan het weleens zijn dat ze – in ieder geval een van beide – in een Europees land al begonnen zijn. Iedereen staat het vrij om een bank op te richten. Het is de wel de vraag in hoeverre het überhaupt wenselijk is dat als je zo veel data hebt – dat geldt voor Facebook zelf al; dat heeft al heel veel data en persoonsgegevens – je daar ook nog alle gegevens over betalen aan koppelt. Dan heb je zo veel macht over de privacy van mensen in de samenleving. Moet je dat überhaupt bij één partij willen hebben? Dat vind ik een heel legitieme vraag, die ik ook wel aan de Minister voor zou willen leggen. Verschillende sprekers hebben gezegd dat er aan de ene kant al wetgeving is en dat er aan de andere kant al veel is gebeurd. Maar dit is precies wat er aan de hand is. Daar moet de politiek een antwoord op geven. Ik denk dat dit niet wenselijk is. Als je een bedrijf dat nu al heel erg onder vuur ligt omdat het al zo veel weet van mensen, ook nog toestaat om bankgegevens te krijgen, in welke situatie komen we dan?

Voorzitter. Ik kom op mijn derde blok: toezicht en handhaving. Dit is een grote zorg, ook van ons als initiatiefnemers. We hebben Europees mooi bedacht dat er nationale toezichthouders zijn, dat we een Europees paspoort hebben en dat de banken en de financiële sector internationaal concurrerend zijn en over de landsgrenzen heen gaan, zoals de heer Slootweg dat ook terecht zei in zijn inbreng. Als we dat allemaal goed doen, is het allemaal efficiënt. Maar in de praktijk, als een Cypriotische of Maltese toezichthouder een vergunning geeft aan een bedrijf dat handige apps maakt, anderszins rekeningen beheert of inzicht geeft in je financiële handel en wandel, speelt de vraag een rol waar de data blijven als het misgaat. Daar hebben wij grote zorgen over. En ten tweede is het de vraag of die toezichthouder wel zijn werk doet. De Minister zegt terecht dat de Autoriteit Persoonsgegevens er 5 miljoen en 2 miljoen bij krijgt, samen 7 miljoen. Op initiatief van D66 wordt geëvalueerd of dat genoeg is en of dat uiteindelijk voldoet in Nederland. Maar dat is natuurlijk niet in elk land zo. Dat is wel ernstig, want een Nederlandse consument – we zitten hier natuurlijk in het Nederlandse parlement; de Nederlandse consument moeten wij als eerste beschermen – kan natuurlijk niet zien of die app een vergunning heeft gekregen in welk Europees land dan ook en of dat allemaal goed is gegaan.

Daarnaast, wat gebeurt er met de data als zo'n bedrijf failliet gaat? En dat kan gebeuren, want het is een start-up. Het is een economie die in ontwikkeling is; de ene app zal het overleven en de andere zal niks zijn. Wie vernietigt die data? Als ze een keer openbaar zijn, kun je die niet weer in de fles stoppen. De geest is uit de fles; ze zijn dan sowieso openbaar. Zijn ze dan wel goed beveiligd? Dat zijn echt grote vragen die we natuurlijk in het debat, dat specifiek en vooral over PSD2 gaat, de richtlijn die hier vooral op ziet, aan de orde hebben. Is dat eigenlijk wel goed geregeld? Daar hebben wij grote zorgen over. Je zou dat Europeesrechtelijk beter moeten regelen en wat ons betreft ook nationaal. Maar dat is best lastig. Zo'n app heeft een vergunning in Ierland, en dan moet hij eigenlijk toch weer naar al die 27 lidstaten om die vergunning aan te vragen, want je mag eigenlijk niet actief zijn daarbuiten. Dat is een grote vraag, waar heel makkelijk overheen wordt gestapt. Het theoretische model, dat van de marktordening, klopt allemaal wel. Maar het gaat om de praktische consequenties die het straks gaat hebben als je data hebt gedeeld met een app uit het buitenland, die vervolgens failliet gaat en waarbij een toezichthouder niet optreedt. Dan moet de heer Wolfsen, die stevig van aard is, op de tafel van de toezichthouder slaan en hopen dat het allemaal goed komt. Maar daar hebben wij te weinig vertrouwen in voor zo'n groot goed om het zo te doen. Dat punt willen we maken. Ik proef deze zorg best breed in de Kamer. De heer Snels had het daar ook over in zijn tweede vraag.

Voorzitter. Ik kom nu op het blok over de punten uit de inbreng van de partijen die nu nog een antwoord behoeven. Hoe handhaafbaar is het? Hoe zit het met de kosten? Slaan die niet bij de consument neer? Het is natuurlijk altijd zo dat als iets kostenverhogend is, wat de bescherming van gegevens is, dit ergens door moet worden opgebracht. Hetzelfde geldt voor streng toezicht; de 7 miljoen extra naar de Autoriteit Persoonsgegevens. Uiteindelijk wordt dat opgebracht door de consument. Dat ben ik met het CDA eens. Maar eerlijk gezegd vind ik de kosten van onveilige data, van privacy die mogelijk te koop is, van dit één keer verkeerd doen en niet goed regelen, maatschappelijk vele malen hoger dan afdoende toezicht reguleren en zorgen dat er echt terughoudend met het delen van informatie wordt omgegaan. Ik denk in dat kader ook aan de commerciële belangen van banken, die dergelijke informatie vanuit hun nutsfunctie verkrijgen. Dat mogen ze niet doen. Maar dat is een politieke weging.

Dan kom ik op de vraag van de heer Alkaya over verschillende niveaus van data delen en kortingen geven. Voor de helderheid: in de initiatiefnota zeggen we dat je vanuit een dashboard ook kunt kiezen op welk niveau je data wilt delen, of je eigenlijk niks wilt delen, een beetje wilt delen of wat meer wilt delen. De heer Alkaya zei: bent u niet bang dat commerciële partijen, zoals verzekeraars en banken, consumenten gaan verlokken om toch die verdergaande keuze te maken? En zou je dat eigenlijk wel moeten willen? De hele nota gaat eigenlijk ook over de zorgen over ongelijkheid die kan optreden. Hij gaat over de zorg dat privacy straks een goed wordt dat alleen op te brengen is voor mensen die het kunnen betalen. Met autoverzekeringen is er natuurlijk best wat voor te zeggen dat je een korting kunt krijgen als je veiliger rijdt. Dat heeft ook niet zozeer met inkomen te maken; dat heeft meer met gedrag te maken. Maar over zorgverzekeringen, levensverzekeringen of ziektes zou ik zo'n discussie niet aan willen gaan. Dat grijpt wel heel erg ver in in de persoonlijke levenssfeer. Dat geldt natuurlijk ook voor bankrekeningen. Je weet bijna alles. Je weet wat iemand koopt, je weet of iemand in de slijterij komt en of iemand sigaretten koopt. Dat is natuurlijk goud waard voor zorgverzekeraars, en voor verzekeraars in het algemeen. We moeten er niet naartoe dat je daar impliciet enorm hoge premies moet betalen als je je data niet deelt. Dat is een zorg die eronder ligt. Daar zijn we nog niet – ik zie de heer Paternotte zijn hoofd al schudden – maar dat is wel een zorg die onder deze initiatiefnota ligt. Daarom zijn wij er ook zo streng mee dat alles wat is verkregen vanuit de nutsfunctie verboden is om te delen.

Op de vraag of ik niet te mild ben ten aanzien van die menselijke tussenkomst heb ik een antwoord gegeven. Daar had u het ook over in een interruptie. Dat de implementatie van PSD2 op geen enkele manier de Algemene verordening gegevensbescherming mag schaden ben ik zeer met u eens. Ik zei al dat het bedoeld is als een aanscherping en niet als een versoepeling.

Dan kom ik op de vragen van de heer Paternotte van D66 – de aanvullende vragen, want op een aantal vragen ben ik al ingegaan. Over de evaluatie van het toezicht ben ik het zeer met hem eens. Eerlijk gezegd vond ik de heer Wolfsen in de hoorzitting die we als Kamer hebben gehad over PSD2 best zorgelijk. Hij was niet zonder zorgen, zowel ten aanzien van het budget als ten aanzien van de reikwijdte. We zijn heel erg bezig om op Europees niveau dingen met elkaar af te stemmen, maar de ene autoriteit is de andere niet. Sommige landen hebben nog geen autoriteit; wij hebben die ook nog maar sinds kort. Dan waren er nog competentiediscussies met de AFM en DNB. Dat is specifiek voor Nederland; meestal is er één bankentoezichthouder, maar wij hebben ook nog een gedragstoezichthouder. Dat is dus in Nederland de discussie, en dat zal in al die landen zo zijn. Elk Europees land heeft toezicht, gedragstoezicht, toezicht op het financiële stelsel en toezicht op privacy, anders geregeld, met andere toezichthouders. Maar de wet moet worden geïmplementeerd. En als de data eenmaal zijn gedeeld – ik zeg het nogmaals, wellicht voor de laatste keer – dan kun je dat nooit meer terugdraaien. Als een app of een snel bedrijfje het eenmaal heeft, kun je het wel weer vernietigen en eisen stellen, maar kun je het ten principale eigenlijk nooit meer terugdraaien. Dat baart mij dus wel zorgen. Met de zorgen van D66 en de snelle evaluatie zijn de initiatiefnemers het zeer eens.

Dan het enkelzijdig bezwaar van datadeling. Stel dat ik zeg «je mag mijn rekeninggegevens wel zien», maar de heer Paternotte heeft geld naar mij overgemaakt, want wij hadden een leuke avond en hij heeft de helft betaald. Ja, het kan maar zo. Uiteindelijk kun je dan afleiden wat het gedrag van de heer Paternotte is. Dat gaat dus over zijn privacy. Hij zegt: je moet eigenlijk een dubbelzijdige toestemming hebben om daar je voordeel mee te doen. Dat ben ik zeer met hem eens. Bij mijn weten is dat op dit moment niet geregeld in de regulering, en zou dat wel moeten. Dat vind ik een zeer terechte inbreng. Maar dat leg ik ook aan de Minister voor, want dat hebben wij niet in de initiatiefnota opgenomen; dat is een nieuw punt. Dat geldt ook voor de proportionele termijn. Ik weet niet of die oneindig is. Ik heb de wet ook niet zelf voorgesteld. Die vraag is dus voor de Minister, denk ik. Maar het lijkt me goed om daar een bewaartermijn aan te koppelen, en wellicht ook een vernietigingstermijn. Die moet ook goed geregeld worden. Je kunt wel een leuke app hebben, maar die data moeten ook vernietigd worden als de bewaartermijn is afgelopen.

Dan kom ik op de stijgijzers van de heer Van der Linde. Wanneer krijg ik die weer uit mijn hoofd? Ik heb ze nu wel in mijn hoofd, maar dat is een plezierig beeld. Over de 30% en de autoverzekering heb ik het een en ander gezegd, maar dat is wel een kernpunt, namelijk de afruil tussen gedrag en verzekeringskorting. Laten we wel zijn: die is in de verzekeringswereld al bekend. Dat is natuurlijk zo. Als je een no-claim hebt omdat je met autorijden weinig ongelukken hebt, word je beloond voor je gedrag. Als je elke week tegen een paal aanrijdt, is het voor iemand die altijd heel netjes rijdt, ook niet zo leuk om een enorme premie te betalen. Dat beginsel is er dus wel, maar het grote onderscheid maken wij dus vooral vanuit de nutsfunctie die banken hebben. Dat is een andere functie dan de functie van verzekeraars. En twee: er is wel een verschil tussen soorten verzekering. Ik vind een zorgverzekering echt iets totaal anders dan een autoverzekering, waarbij je gedrag een grote rol kan spelen. Je gedrag kan daar echt een grote rol bij spelen. Dat geldt ook voor een overlijdensrisicoverzekering. Die heb je allemaal nodig als je een grote financiële verplichting in het leven aangaat.

Bent u niet bang dat mensen de privacy terzijde schuiven? Zo heb ik die vraag maar even geïnterpreteerd. Daar zijn we inderdaad wel bang voor. Vandaar deze initiatiefnota.

De heer Van der Linde heeft ook een vraag aan de Minister gesteld: hoe voorkomen we dat Google en Alibaba de vruchten plukken van onze data? Bij die vraagstelling wil ik me zeer aansluiten. Het antwoord is ook vanuit de initiatiefnemers niet heel eenvoudig te geven, want het is een internationaal speelveld. Maar de vraag is wel heel relevant. «Baas over betaalgegevens» is eigenlijk ook de kern van de nota. Daarbij is het verschil tussen de VVD en de initiatiefnemers volgens mij dat de VVD zegt dat je eigenlijk zelf de baas bent en dat je al die kortingen ook mag kiezen, terwijl wij zeggen dat je alles wat vanuit de nutsfunctie is verkregen, helemaal niet verhandelbaar moet maken en dat je je daar eigenlijk niet voor moet laten lenen. Dat is wel een verschil.

Ik kom bij de vragen van de heer Snels. Over de toezichthouders heb ik al het een en ander gezegd. Hij vroeg wat er gebeurt als je de toestemming intrekt. Dat hangt daarmee samen. Dit geldt trouwens ook nationaal: hoe wordt dat gewaarborgd en wie vernietigt die data dan? Dat is dus een goede vraag en die zou ik willen doorgeleiden naar de Minister.

Ook de beveiliging is natuurlijk een volstrekt terecht punt. Ook die is nog wel een bron van zorg. In de wetgeving staan daar best aardige teksten over: als je een app hebt, moet je die goed beveiligen, zodat niet iedereen kan inbreken, zodat er niet gehackt kan worden en zodat ddos-aanvallen de boel niet plat kunnen leggen enzovoort. Maar hoe doe je dat dan in de praktijk en hoe geef je dat vorm? Banken hebben hier natuurlijk ook veel belang bij. Als de betaalgegevens van ING, ABN of Rabo op straat zouden kunnen komen te liggen, zijn ze er geweest. Maar als je een app hebt die jou helpt bij je boekhoudprogramma – wat geef ik per maand eigenlijk uit aan kleding en aan koffie op stations en moet ik dat eigenlijk wel zo doen? – en als het uiteindelijk misgaat met die app, die afkomstig is van een bedrijfje met een paar mensen, gaat het om dezelfde gegevens. Dat is natuurlijk een heel ander niveau van bescherming en dat zou eigenlijk niet moeten. Dat veiligheidsniveau moet hetzelfde zijn, maar hoe zorg je daar nou voor? Dat is een behoorlijk praktische vraag, die de heer Snels van GroenLinks hier terecht opwerpt. Daar sluit ik mij graag bij aan.

Tot slot mevrouw Kuiken, die terecht complimenten gaf aan mevrouw Oosenbrug. Zij zit trouwens niet thuis te kijken, maar had een belangrijke afspraak over precies dit thema. Het was iets breder, want die afspraak ging vooral over Facebook. Daardoor kan zij hier niet bij zijn. Ik had haar wel uitgenodigd en zij zal dit volgen. Ik ben het zeer met die complimenten eens.

Is het op het punt van Europees toezicht niet te makkelijk om een achterdeur te zoeken? Daar heb ik het uitgebreid over gehad. Ik ben het daar zeer mee eens. Gaat de nieuwe EU-wetgeving helpen op het punt van de actualiteit van Facebook en wat gebeurt er als bedrijven de Amerikaanse wetgeving toch gebruiken om de Europese wetgeving te omzeilen? Dan zit je hier met je wetgeving. Dat is best een relevante vraag, die wij overigens in deze commissie ook permanent aan de orde hebben ten aanzien van belastingontwijking. Maar daarbij is het eigenlijk al zo ver gekomen dat het is misgegaan. De vraag is: kunnen we het hier nog van tevoren goed regelen? Dat is een kernvraag die ook de initiatiefnemers hebben.

Ik dank u voor de inbrengen in eerste termijn en voor de interrupties. Ik zie uit naar het antwoord van de Minister.

De voorzitter:

Dank voor uw antwoorden in eerste termijn. Dan is nu het woord aan de Minister.

Minister Hoekstra:

Voorzitter, dank u wel. Er was een beperkt aantal vragen aan mijn adres. Voordat ik daarop inga, maak ik een paar algemene opmerkingen, maar niet voordat ik de heer Nijboer gecomplimenteerd heb met dit zeer gedegen werk dat hij en mevrouw Oosenbrug geleverd hebben. Veel dank daarvoor.

Het gaat om een buitengewoon actueel onderwerp; de heer Paternotte, de heer Alkaya en de heer Van der Linde hebben daarnaar verwezen. Je hoeft maar te kijken naar de zittingen van het Amerikaanse Congres waarbij Facebook wordt uitgenodigd, om te zien hoe actueel het is. Ik denk dat wij allemaal veel van de zorgen kennen waaraan vandaag in het debat gerefereerd wordt. Aan de ene kant zitten er aan big data heel positieve kanten. De heer Van der Linde wees niet voor niks op de kansen die dat bijvoorbeeld voor mkb'ers kan bieden. Maar het brengt ook grote risico's met zich mee. Ook ik krijg die stijgijzers niet meer uit mijn hoofd. Ik moet wel bekennen dat er bij mij de laatste weken geen stijgijzers verschenen, maar advertenties in de categorie «hoe blijf je als 60-plusser in shape?». Ik maak geen grap. U begrijpt dat ik nog bezig ben om dat te verwerken. Ik zie dus veel van de risico's die de initiatiefnemer noemt en deel zijn zorgen daarover. Dat betekent ook dat wij als kabinet de ontwikkelingen op het gebied van privacy zeer nauwlettend zullen volgen.

Voor de helderheid: de regels waarin de waarborgen voor de privacy zijn neergelegd, worden aangescherpt met de komst van de AVG, die op 25 mei van toepassing wordt. Veel sprekers hebben daaraan gerefereerd. Dat geldt in het bijzonder voor het recht op het wissen van gegevens en het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde verwerking, waaronder – let op – profilering.

Dan kom ik bij een aantal vragen. Met name bij de vragen over PSD2 zal ik soms een procedurele pas op de plaats maken, omdat we het debat daarover nog moeten voeren en daarover dus van tevoren veel vragen beantwoord zullen worden in de schriftelijke ronde.

Ik begin met het verbod op delen. De heer Alkaya vroeg daarnaar. De heer Slootweg vroeg ook of er geen verbod kan worden ingesteld en welke data er buiten PSD2 vallen. Het algemene kader voor het delen is dus de AVG. Dat is een verordening die Europese geharmoniseerde eisen stelt aan het verwerken, waaronder het delen van persoonsgegevens. Voor de goede orde: die gelden niet alleen voor de financiële sector maar ook voor alle niet-betalingsgegevens buiten PSD2. Wij kunnen hieraan niet zelf strengere eisen stellen, ook niet alleen voor de financiële sector. Daarnaast beoogt PSD2 maximale harmonisatie. Dat betekent ook dat daar geen strengere eisen mogelijk zijn.

De heer Alkaya vroeg nog of ik het ermee eens ben dat PSD2 geen afbreuk zou mogen doen aan de AVG. Zo heb ik zijn vraag in ieder geval begrepen. Daar ben ik het vanzelfsprekend mee eens. De AVG biedt het algemene kader voor alle gegevensverwerking. PSD2 is vervolgens weer aanvullend voor betaaldiensten.

De heer Snels vroeg nog naar de borging van beveiliging bij bedrijven. Dat is een zeer terechte vraag. Zowel de AVG als PSD2 stelt eisen aan passende en effectieve beveiliging van persoonsgegevens. Dat is opgenomen in artikel 32 van de AVG. Daarbij moeten ook de risico's worden betrokken die de gegevensverwerking oplevert.

De Autoriteit Persoonsgegevens waarnaar net al werd verwezen, zal vanaf 25 mei op grond van de AVG toezicht houden op de beveiliging. De heer Paternotte zei niet ten onrechte: the proof of the pudding is in the eating. Ik heb alle vertrouwen in de autoriteit, maar dit is ook wel terra incognita. We zullen ook moeten zien hoe dit uitpakt. Dat geldt overigens voor veel van de subs in dit dossier. We proberen het maximale te doen, maar ik zie zomaar aankomen dat een van de leden mij bij de PSD2 en ook later nog zal vragen om een evaluatie en dat ik het dan ook volstrekt logisch vind om dat te doen, juist omdat er zoveel nieuw is aan dit bredere onderwerp.

De heer Slootweg en mevrouw Kuiken vroegen hoe wordt toegezien op grote internationale bedrijven die gegevens buiten de EU zouden kunnen brengen. Daar heb ik een iets langer antwoord op. Daar is echt wel sprake van goede waarborgen. De AVG bevat namelijk ook verbeteringen op het gebied van de internationale gegevensbescherming. De nationale toezichthouder is bevoegd om hierop toe te zien. Daarvoor maakt het niet uit of de verwerking van gegevens binnen of juist buiten de Unie plaatsvindt. Wat gebeurt er dan bij een overtreding, is vervolgens de vraag. Er kan een boete tot 4% van de wereldwijde jaaromzet worden opgelegd. Dat vind ik wel zeer stevig, want het gaat dan potentieel om heel erg veel geld.

De heer Alkaya vroeg of gebruikers door kortingen overgehaald mogen worden om akkoord te gaan met het verstrekken van data. De heer Slootweg had daarop nog een subvraag: betaalt de consument zelf dan al voor het gebruik van data? Voor verwerking van persoonsgegevens zal ook bij gratis diensten een grondslag aanwezig moeten zijn. Verder is van belang dat de betrokkene weet wat er met zijn gegevens gebeurt. De principiële vraag die door een aantal leden naar voren is gebracht, en die wij allemaal zullen herkennen, is in hoeverre je het wenselijk vindt dat er wordt betaald, tussen aanhalingstekens, met het verstrekken persoonsgegevens, dus in ruil voor betaaldiensten. De initiatiefnemer, de heer Nijboer, noemt dat ook in de nota. De Europese Toezichthouder voor gegevensbescherming (EDPS) heeft zich hierover in het verleden wel kritisch uitgelaten, maar het is uiteindelijk aan de Autoriteit Persoonsgegevens en aan de rechter om te beoordelen onder welke voorwaarden hier eventueel wat aan gedaan kan worden.

Dan ben ik bij de vraag van de heren Paternotte, Alkaya en Van der Linde …

De heer Alkaya (SP):

Ik ben getriggerd door iets wat de Minister zei, namelijk dat er inderdaad steeds vaker wordt gevraagd om te betalen met onze data. Dan lijkt het alsof we korting krijgen, maar in feite is het dezelfde prijs, alleen we betalen deels in euro's en deels met onze gegevens. Ik heb een soortgelijke discussie met de Staatssecretaris van Economische Zaken gehad over de vraag of wij dan ook op zo'n manier moeten kijken naar consumentenbescherming. Monopolievorming, dus het misbruik van marktmacht, wordt normaal gesproken gemeten aan een scheve prijs-kwaliteitverhouding, maar wij zouden moeten bekijken of daarbij ook gegevens betrokken zijn. Een bedrijf als Facebook misbruikt zijn marktmacht niet door ons heel hoge prijzen te laten betalen, waar normaliter sprake van is bij een monopolie, maar door steeds meer data van ons te vragen. Wordt dat ook meegenomen in de afweging of die techgiganten, financiële instellingen of andere technologische bedrijven niet te machtig zijn geworden? Ik ben getriggerd door de uitspraak van de Minister. Is hij het met mij eens dat we in de toekomst persoonlijke gegevens ook in andere discussies meer als betaalmiddel moeten behandelen, zodat we die bedrijven daarop kunnen afrekenen?

Minister Hoekstra:

Het is misschien wat ingewikkeld om het daar in algemene zin mee eens te zijn. Ik ben ook geen onderdeel geweest van het debat met de Staatssecretaris van EZK, maar ik herken wel het type problematiek waarnaar de heer Alkaya verwijst. Tegelijkertijd is een van de dingen die ons altijd zo storen aan een monopolist, het feit dat deze vaak tegenover te weinig wederdienst heel hoge prijzen kan stellen. Dit is een subtiliteit die misschien net een fractie anders is dan hoe de heer Alkaya het hier verwoordde. Toch ben ik dit wel zeer met hem eens: als je je probeert voor te stellen hoe we met dit hele dossier verdergaan en hoe we dit op enig moment in de toekomst zouden willen evalueren, dan zou je dit natuurlijk een onderdeel daarvan willen maken.

Mevrouw Kuiken (PvdA):

Ik ben nieuw in deze commissie. Ik zie dat er op de vragen die aan het kabinet worden gesteld, of in dit geval aan de Minister, keurig op proces wordt geantwoord, maar weinig op inhoud. En dat terwijl we in de actualiteit juist zien dat we op het gebied van privacy wel degelijk een probleem hebben. Als het antwoord alleen maar is dat we bezig zijn met Europese regels, dat we daar niets meer aan kunnen toevoegen en dat we daarmee als Nederland buitenspel staan, dan vind ik dat dus wat magertjes, gelet op de actualiteit die er nu wel degelijk is. En we zien dit niet alleen binnen het bancaire systeem. We zien het in het verzekeringssysteem. We zien hoe de mogelijkheden rond betalen vooruitsnellen. We zien wat Facebook aan het doen is. Achteraf een boete kunnen opleggen – en dan is het nog maar de vraag of dat daadwerkelijk allemaal zo smooth kan – is dan vaak te laat, want dat zou betekenen dat er dan al duizenden gegevens op straat liggen, met alle risico's van dien.

Ik ga daarom toch een nieuwe poging wagen. Wat vindt de Minister nu zelf dat Nederland extra zou moeten doen, als het gaat om de bescherming van deze gegevens en de privacy van de Nederlanders?

Minister Hoekstra:

Ik zou mevrouw Kuiken er natuurlijk graag van overtuigen dat ik in deze commissie zowel op proces als op inhoud naar behoren antwoord, maar het is aan de leden om dat te beoordelen. Kijk, hoezeer ik het ook eens ben met veel van de zorgen die hier worden gedeeld, wat dit zo ingewikkeld maakt, is het feit dat we het debat over PSD2 nog zullen hebben. Ik denk daarom dat het terecht is dat ik de vragen die daar schriftelijk over komen, naar behoren zo beantwoord. Wij zullen daar vervolgens nog een debat over hebben. En laat ik hier open over zijn: hierbij speelt ook de ingewikkeldheid die ik vaker met de commissie heb gehad, evenals deze Kamer en de Kamers in het verleden met het kabinet, namelijk dat je bij een verordening nu eenmaal minder speelruimte hebt dan bij een wet die gewoon helemaal van jezelf is. Dat zal mevrouw Kuiken herkennen.

Mevrouw Kuiken (PvdA):

Ja, dat herken ik, maar dat is nog geen reden om je daarbij neer te leggen. Maar de Minister zegt nu iets anders. Daarvoor zei hij: het is Europees geregeld, en daarmee schluss. Nu zegt hij: daarmee wordt het wat ingewikkelder. Tja, ingewikkeld is het altijd; ik zeg dan: welcome to life. Tegelijkertijd staat de wereld niet stil. Privacy is zo'n belangrijk onderwerp. We zien dat het daarmee op tal van fronten niet goed gaat; sterker nog, dat het daarmee gigantisch is misgegaan. Niet voor niets vinden er nu hoorzittingen plaats in het Amerikaanse Huis. En dat soort hoorzittingen komen ook nog wel in Nederland terug, niet alleen over Facebook, maar ook over andere instellingen. Daarom verwacht ik van de Minister dat hij niet alleen maar de zorgen deelt, maar dat hij ook kijkt naar welke mogelijkheden we hebben om daar vanuit de Nederlandse verantwoordelijkheid toch nog een kop op te zetten, omdat het wel degelijk gaat om een nutsvoorziening, omdat het wel degelijk gaat over iets belangrijks en omdat we wel degelijk hebben gezien dat het steeds kwetsbaarder is geworden.

Minister Hoekstra:

Daar ben ik het allemaal graag mee eens. Tegelijkertijd is het relevant om ook in de richting van mevrouw Kuiken te zeggen dat we dat debat nog zullen hebben. Ik moet eerlijk zeggen dat ik zeer ben geschrokken. Ik denk dat we, los van wat we al vonden van privacy, allemáál erg zijn geschrokken van wat er met Facebook is gebeurd. Vervolgens is de vraag: wat wil je daarmee en wat kun je daar nog mee? Voor mij geldt dit in het bijzonder als het daarbij gaat om de financiële sector. Wij zullen daar gewoon een debat over moeten hebben op het moment dat wij praten over PSD2. Dat vind ik echt het moment om PSD2 te ontleden, om antwoord te geven op de zorgen die daarover leven bij de Kamer en om te bekijken hoever het kabinet daaraan tegemoet kan en wil komen. Dat lijkt mij ook procedureel de juiste weg.

De voorzitter:

U vervolgt uw betoog.

Minister Hoekstra:

Voorzitter. Ik was net aangekomen bij een aantal procedurele punten ten aanzien van PSD2. De heer Paternotte, de heer Alkaya en de heer Van der Linde hebben daarnaar gevraagd. Ze vroegen wat er gebeurt als andere landen minder goed toezicht houden. Na het meireces komen de nota van wijziging en de nota naar aanleiding van het verslag. Daarin zal ik specifiek op deze punten ingaan.

Dan heb ik volgens mij nog één mapje over. Of ben ik klaar? Ik ben klaar.

De voorzitter:

Dan dank ik de Minister voor zijn antwoorden in eerste termijn. We gaan door naar de tweede termijn. Ik neem aan dat er behoefte is aan een tweede termijn. Dan is het woord in eerste instantie weer aan de heer Slootweg van het CDA.

De heer Slootweg (CDA):

Ik heb twee punten. Ten eerste om voor mij iets meer verduidelijking te krijgen. Begrijp ik het goed dat de AVG eigenlijk voldoende instrumentarium geeft om ook bedrijven buiten de Europese Unie die allerlei zaken willen delen, toch te kunnen aanpakken? Ik wil dan ook wel weten welke grond daarvoor is gevonden, want vaak is het heel lastig. Je ziet dat er toch een putje is bij het normale toezichtregime. Maar als ik het goed begrijp, is er min of meer een methode gevonden. Welke grond is daar dan voor?

Dan het tweede wat ik eigenlijk nog wilde vragen. Ik ben in de eerste termijn, denk ik, iets te gehaast geweest. Als ik aanbeveling 5 lees, merk ik toch een beetje een verschil. De heer Nijboer stelt voor om toch vooral te gaan werken met een opt-out, maar de Minister zegt dat je met privacy by design eigenlijk veel meer maatwerk kunt bieden, bijvoorbeeld met privacydashboards. Ik wil van de heer Nijboer weten hoe hij daartegen aankijkt. Een opt-out is vaak toch wat simpeler. Privacy by design is dan heel mooi en sophisticated, maar misschien raak je daardoor het zicht erop wat meer kwijt. Ik wil eigenlijk wel horen van de heer Nijboer of hij dit een verbetering of een verslechtering vindt.

De voorzitter:

Dank u wel. Dank ook voor deze korte termijn. Ik denk dat de tweede termijn ook wel in twee minuten kan. De heer Alkaya.

De heer Alkaya (SP):

Dank, voorzitter. De initiatiefnemer heeft een aantal dingen gezegd waaruit ik de conclusie kan trekken dat onze intentie hetzelfde is. Af en toe vind ik het niet ver genoeg gaan, maar hij heeft een aantal punten genoemd. Privacy is niet verhandelbaar, is gewoon geen handelswaar, voor zover het uit een nutsfunctie komt. De nutsfunctie van de bank is überhaupt wel twintig keer genoemd door de initiatiefnemer. Dat spreekt mij natuurlijk ook aan. Hij heeft ook gezegd dat wij beogen om de AVG, dus de Algemene verordening gegevensbescherming, en de betaaldienstenrichtlijn verder te verscherpen en om onze gegevens beter te beschermen.

Maar daar maak ik me ook wel zorgen over. Er is hier sprake van maximumharmonisatie, zoals de Minister al aangaf. Maar volgens mij is er op dit moment niet zo veel ruimte, nationaal gezien, om extra ruimte te bieden. Mevrouw Kuiken, partijgenoot van de initiatiefnemer, gaf dat ook al aan. Misschien heb ik dus maar één vraag aan de initiatiefnemer: hoe ziet hij deze vorm van maximumharmonisatie? Als we richting de implementatie concluderen dat we verder willen gaan qua bescherming van de klanten van betaaldienstverleners maar zien dat dit niet mogelijk is, moeten we dan niet nu al de conclusie trekken dat maximumharmonisatie hierbij niet het juiste is? Dan hebben we misschien geen gelijk speelveld voor de financiële instellingen, maar kunnen we wel betere bescherming bieden aan de mensen in Nederland. Hoe ziet de initiatiefnemer dat?

Dan heb ik nog twee laatste, afsluitende opmerkingen, in relatie tot voorstel 5, dus over de gradatie, en tot voorstel 7, over automatische besluitvorming. Uit de toelichting van de initiatiefnemer begrijp ik dat onze intentie wel hetzelfde is. Wij willen dus de mensen beschermen. Alleen is het volgens mij ook enigszins inherent aan de voorstellen dat zij bepaalde risico's meebrengen. Als het gaat over aanbieden van gradaties van bepaalde niveaus van bescherming, ben ik bang dat de zorgen die u heeft dat mensen verleid worden met kortingen, realiteit zullen worden door het aan te bieden. Hetzelfde geldt voor automatische besluitvorming. Maar zoals ik al aangaf, denk ik gezien de toelichting van de initiatiefnemer dat onze intenties hierin voor een heel groot deel gelijk zijn.

De voorzitter:

Dank. Het woord is aan de heer Paternotte van D66.

De heer Paternotte (D66):

Voorzitter. Het idee dat bij mij achterblijft, lijkt erg op wat de heer Slootweg en de heer Alkaya net omschrijven, dat onze intenties en doelen behoorlijk op elkaar lijken. Het is ook mooi dat dit blijkbaar een partijoverstijgend thema is, het idee dat gegevens eigendom zijn van mensen zelf en dat zij ook zelf moeten kunnen bepalen wat ermee gebeurt en wat er niet mee gebeurt. Wat dat betreft is duidelijk dat de AVG hierin een bijzondere stap vooruit is, maar dat het niet een verordening is die ons nog heel veel extra keuzes laat. Dat heeft de Minister duidelijk gemaakt en wij zullen gaan zien hoe dat werkt.

Het toezicht daarop noemde de Minister «terra incognita», wat natuurlijk een mooie term is voor zeilen naar een plek die je nog niet kent en die je dan kunt gaan verkennen. Wellicht is dat wel aanleiding voor ons om nog eens door te praten met de Autoriteit over hoe zij de samenwerking met de Europese collega's gaat zien en op welke wijze wij kunnen vaststellen en zeker weten dat wij in een Europees gelijk speelveld gaan en blijven opereren.

Verder heb ik niets toe te voegen aan de vragen die de collega's naast mij verder gesteld hebben. Nogmaals dank aan de Partij van de Arbeid voor het op de agenda zetten van dit thema.

De voorzitter:

Dank u wel. Dan is het woord aan de heer Van der Linde van de VVD.

De heer Van der Linde (VVD):

Voorzitter. Dank aan de Minister en de heer Nijboer voor de antwoorden in eerste termijn. De heer Nijboer geeft ondanks de gedeelde vreugde over deze nota toch vrij scherp weer waar de verschillen zitten tussen PvdA en VVD. Ik vind om allerlei redenen «nutsfunctie» niet een gelukkig criterium. Een bank heeft wel een nutsfunctie, maar is geen nutsinstelling, net zomin als de bakker om de hoek een nutsinstelling is. Die heeft wel een nutsfunctie, namelijk ons voeden, maar is daarmee nog geen nutsinstelling. Laten we dan beginnen met bijvoorbeeld de Kamer van Koophandel, die ook onze gegevens aan Jan en alleman verkoopt. Dat lijkt me een ergernis die we dan eerst maar eens uit de weg moeten ruimen.

Wij vinden ten principale dat je er zelf over moet gaan. Zelf erover gaan betekent ook dat het aanvinken van algemene voorwaarden, wat we altijd zo gretig doen bij alle apps en alle nieuwe software, echt iets anders is dan expliciet toestemming geven. Ik noemde net een betalingsbedrijf dat aan 600 partijen gegevens verkoopt. Het is echt ontstellend als je leest wat ze verkopen. Ze verkopen ook het tegoed op je bank, ze verkopen ook je geboortedatum, je woonadres inclusief hoelang je er woont, maar bijvoorbeeld ook je bsn-nummer. Daar moeten we echt ongelooflijk scherp op zijn.

Ik ga dit notaoverleg uit met twee waarnemingen. De ene is dat de AVG eigenlijk tien jaar te laat komt. Als wij dit tien jaar geleden hadden geregeld, hadden wij onszelf een hoop gedoe bespaard. De tweede is dat PSD2 een leerproces gaat worden met hoogfrequent onderhoud, want wij gaan tegen dingen aanlopen die wij toch onbedoeld niet goed geregeld hebben. Laten wij daar gewoon van tevoren eerlijk over zijn. Dat betekent niet dat wij PSD2 niet moeten invoeren, want er liggen daar geweldige kansen. Maar het betekent wel dat de evaluatie waar de Minister zelf op hint, misschien op korte termijn na PSD2 moet plaatsvinden. Daar hoeft u nu niet op te antwoorden. Maar wij moeten ook niet aarzelen om snel weer in te grijpen bij het sturen.

Dank u wel.

De voorzitter:

Dank. Het woord is aan mevrouw Kuiken van de Partij van de Arbeid.

Mevrouw Kuiken (PvdA):

Voorzitter. Ik deel de laatste opmerking van de VVD-collega over de AVG, maar ook over PSD2. Daarom wacht ik niet af, maar dien ik nu al een motie in, omdat je de gedachte van privacy ook moet vormgeven in actie. Gelet op de allergie voor het woord «nuts» zet ik daar meteen weer een streepje door, want welke functie een bank u ook toebedeelt, het gaat nog steeds over veel gegevens. Daarom de volgende motie voor een beter Europees privacytoezicht.

De voorzitter:

Deze motie is voorgesteld door het lid Kuiken. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 4 (34 616).

Mevrouw Kuiken (PvdA):

De motie is op dit moment alleen nog maar getekend door mijzelf; iedereen is natuurlijk meer dan welkom om mee te doen, en aanpassingen zijn altijd mogelijk.

Dank u wel, voorzitter.

De voorzitter:

Dan kunnen wij nu over naar de tweede termijn, althans wanneer de indieners direct kunnen antwoorden. Dat is het geval. Dan is het woord aan de heer Nijboer.

De heer Nijboer (PvdA):

De heer Slootweg had een vraag aan de Minister en een vraag aan mij. Ik zal zo ingaan op de vraag die aan mij is gesteld. Die gaat over opt-outs en keuzes «by design». Je kunt je bij beide wel iets voortellen. Waar ik nog het meest beducht voor ben, is dat wij alles aan zelfregulering overlaten en dat de toezichthouders geen invloed hebben op de vraag op wat voor soort dashboard mensen uiteindelijk hun keuzes wel of niet bewust maken. De heer Van der Linde gaf het in extreme mate aan. Hij zei: bij de algemene voorwaarden kun je niet dat soort beslissingen nemen, zoals nu eigenlijk het geval is. In een oneindig aantal gradaties, die wij in dit debat niet eens met elkaar kunnen bedenken, kun je een soort toestemming geven, terwijl je het eigenlijk maar half doorhebt. Toezichthouders moeten uiteindelijk een oordeel kunnen geven, wat mij betreft nog meer dan politici, over de vraag wanneer iemand nu echt toestemming heeft gegeven en wanneer niet. Wat is daar een fatsoenlijk oordeel over?

Daarom is dit in de initiatiefnota ook aan de zorgplicht gekoppeld. Als je een financieel product afneemt, moeten financiële instellingen kijken naar: is het passend, past het bij iemand, betalen ze niet te veel en is er geen mismatch? Daarom past die zorgplicht daar ook wel bij. Dat geldt eigenlijk hier ook. Als je je app wilt gebruiken, past dat dan bij jou? Is dat de instantie ervoor? Het moet eigenlijk zo worden vormgegeven dat het daarbij past. Ik vind dat zelfregulering daar niet op voorhand de meest geschikte methode voor is. Dat is wel waar nu door het kabinet bij wordt aangesloten. In welke vorm het dan moet, met een opt-out of by design, kan misschien per product wel verschillen. Het ene product is het andere niet. Inzicht hebben in je betaalgegevens is echt iets anders dan korting krijgen op een verzekering vanwege gedrag. Ik zou uiteindelijk graag bij de toezichthouder het oordeel leggen of aan de zorgplicht wordt voldaan.

Met de SP ben ik het zeer eens dat onze intentie en eigenlijk ook onze inhoudelijke oordelen in elkaars verlengde liggen. Dat verbaast overigens niet, want de SP benadrukt de nutsvoorziening van banken. Daarin verschillen wij met de VVD ook altijd. Hoe zien wij als indieners dan de maximumharmonisatie? Er zitten natuurlijk altijd voordelen aan als je een Europese markt hebt, wat zo is, want er zijn Europese verzekeringen. Als je het met zijn allen regelt, doe je het allemaal op dezelfde manier. Als elke lidstaat het zelf doet, regel je eigenlijk weer niets samen. Het is dus een voordeel als je een en ander harmoniseert. Het nadeel is dat je weinig invloed hebt op de vormgeving. Ik heb vandaag de Kamer breed gehoord over PSD2. De heer Van der Linde noemde het een leerproces met een hoogfrequent onderhoud. Het is straks aan ons om te beoordelen of de basis in voldoende mate voldoet om dit leerproces in te gaan, maar dat is een ander debat. Het gaat wel over de privacy van mensen. Dat debat wordt, denk ik, vrij stevig. Ik spreek nu namens de PvdA: wij zullen een vrij stevige inbreng hebben in de wetgeving over PSD2. Wij hebben zorgen over onder andere het toezicht. Daarover is een motie ingediend. Het gaat om de vraag of is geregeld dat mensen wel echt toestemming hebben geven. Is dat wel goed geborgd? Heeft de toezichthouder daar invloed op? Hoe verhoudt zich dat tot de zorgplicht? Alle thema's die hier in deze nota aan de orde komen, vinden wij wel belangrijk bij het beoordelen van de wetgeving. Afhankelijk daarvan zullen wij ons oordeel geven. Op zichzelf genomen zijn uw opmerkingen wel terecht, waarbij misschien het verschil tussen de inbreng van de SP en die van de PvdA daarin zit dat wij in beginsel wel voor Europese regulering zijn voor dingen die grensoverschrijdend zijn. Want wij kunnen niet alles nationaal doen.

Dan kom ik op de inbreng van D66: partijoverstijgend stemmen. Dat constateer ik ook vandaag. Ik constateer ook dat de zorgen wel breed leven. Ik ben er ook wel blij om. Dat is ook de reden waarom wij dit thema bij de horens hebben gevat, waarbij je nog heel veel andere opmerkingen kunt maken, want het is best wel ingewikkeld hoe al die privacyreguleringen, de reguleringen van de financiële sector en de Europese regulering zich tot elkaar verhouden. Maar de zorgen om het belang van privacy – dat data niet meer zomaar gedeeld mag worden, maar goed beschermd moet worden en ook niet zomaar verhandelbaar kan zijn – zijn Kamerbreed. Straks is het aan ons als Kamer. We hebben er al een hoorzitting over gehad en we zullen er bij de wetsbehandeling zeker nog op doorvragen of die combinatie van voorliggende wetgeving – de AVG, de Nederlandse toezichthouder die een wettelijke basis heeft en PSD2 – tezamen voldoende bescherming biedt. Ik vind het mooi om te zien dat wij ons daar in ieder geval allemaal druk om maken.

Over nutsfunctie en nutsinstelling discussiëren wij regelmatig in de Kamer. Ik weet niet of ik daarover uitgebreid van gedachten zou moeten wisselen met de heer Van der Linde. Ik ben het wel met hem eens dat de wetgever niet een beetje, maar behoorlijk achterloopt bij wat er in de praktijk gebeurt. Dat zie je toch breder. Het geldt niet alleen voor fiscale wetgeving, maar eigenlijk voor alle onlineontwikkelingen. Wij spreken hier over bankgegevens, maar als je kijkt wat er allemaal gebeurt met andere persoonsgegevens, met Facebook, Google en het delen daarvan... Wij beginnen nu pas een beetje te discussiëren of het eigenlijk wel goed is dat je dat hebt of dat je het moet opzeggen of dat er meer toezicht moet komen, terwijl het al zover is! Je zou de ontwikkeling eigenlijk voor moeten zijn. Wij hebben met deze nota een klein steentje – want ik wil het niet groter maken dan het is – willen bijdragen aan de discussie over privacy in de financiële sector.

Tot slot wil ik de Minister en de collega's nogmaals danken voor hun vragen en antwoorden. In het bijzonder bedank ik de medewerkers die hier enorm veel werk in hebben gestoken. Dat is Dirk Slieker, die zit naast mij, en dat was Jochem Wissenburg. Toen de laatste nog voor de PvdA-fractie werkte, hebben zij daar enorm veel tijd in gestoken en daar ben ik ontzettend dankbaar voor. Zij staan tegenwoordig de Minister met raad en daad terzijde; daar ben ik dan weer bevreesd voor. Dank u wel, voorzitter.

De voorzitter:

Dank u wel. Dan is nu het woord aan de Minister, met onder meer een oordeel over de motie.

Minister Hoekstra:

Voorzitter. Dat laatste waarderen wij juist, maar dat had de heer Nijboer al begrepen. Ik ben, volgens mij, de heer Slootweg nog één precisering van een antwoord schuldig. Het antwoord is inderdaad ja. De clausulering zit hem erin dat je ten aanzien van de AVG natuurlijk wel een aangrijpingspunt in Europa moet hebben. Als het zou gaan om een bedrijf dat bijvoorbeeld uitsluitend in Bermuda is gevestigd – even als voorbeeld; een niet helemaal willekeurig voorbeeld – en iemand heeft daarmee zijn persoonsgegevens uitgewisseld, dan wordt het natuurlijk een heel andere casus. Tegelijkertijd denk ik dat je met dat aangrijpingspunt in Europa wel een heel eind komt, want er zijn ontzettend veel bedrijven, die ook een vestiging in Europa hebben, zeker het type bedrijf waar wij het hier over hebben.

Dan zou ik de opmerking van de heren Paternotte en Van der Linde in tweede termijn zeer willen ondersteunen. Zij zijn even met elkaar in gesprek, dus dit ontgaat ze, maar ik was het daar zeer mee eens. Dat geldt met name voor wat de heer Van der Linde zei over de AVG, namelijk dat die tien jaar te laat is, en dat we aan PSD2 hoogfrequent onderhoud moeten plegen. Ik ben het met allebei zeer eens. Dit is natuurlijk een onderwerp waar wij het, zo vermoed ik, in dit huis nog vaak over zullen hebben, niet alleen wat het financiële betreft, maar ook breder.

Wat de motie van mevrouw Kuiken betreft: ik begrijp haar, maar misschien mag ik in haar richting toch zeggen dat ik die motie ietwat prematuur vind. Ik zou haar willen verwijzen naar de opmerkingen die de heren Van der Linde en Paternotte gemaakt hebben en die horen in de categorie: geef PSD2 en ook de AVG een kans. Ik zou haar willen suggereren om die motie ten minste aan te houden en te kijken wanneer we die weer moeten hernemen. Want om nu al te pleiten voor iets, terwijl we 25 mei nog moeten afwachten voor de AVG en terwijl we het debat over PSD2 nog moeten hebben, dat vind ik wel een wat ingewikkelde formule.

Ten slotte. Ik zei al dat dit onderwerp bij ons zal blijven. Ik dank de heer Nijboer en iedereen die hem daarbij heeft geholpen nogmaals zeer voor de inspanningen op dit belangrijke en ook buitengewoon complexe en nieuwe terrein.

De voorzitter:

Voordat we afsluiten: de Minister geeft dus eigenlijk geen oordeel over de motie, maar vraagt de indienster om die motie aan te houden. Dan is de vraag wat mevrouw Kuiken wil.

Mevrouw Kuiken (PvdA):

Toch is het een beetje een tegenspraak. We constateren net dat de AVG er eigenlijk al tien jaar geleden had moeten zijn. Nu vraag ik om iets wat vooruitloopt op iets wat heel dicht bij ons komt, namelijk de PSD2, maar dan moet ik weer wachten. Het is een beetje complex, dus ik ga er even rustig over nadenken wat ik ga doen.

Minister Hoekstra:

Dat misverstand zou ik echt uit de weg willen ruimen.

Mevrouw Kuiken (PvdA):

Ik doe niet aan misverstanden. U creëert zelf de onduidelijkheid of in ieder geval de tegenspraak, maar ik ga er even over nadenken. Daarom lijkt een oordeel mij toch handig.

De voorzitter:

Er wordt een oordeel gevraagd. Als de motie niet wordt aangehouden, wat is dan het oordeel van de Minister?

Minister Hoekstra:

Ontraden.

De voorzitter:

Dat is helder. Ik dank de Minister voor zijn antwoorden. Ik dank de initiatiefnemers voor het mooie werk en de mooie betogen. Ik dank de Kamer voor haar inbreng. Hiermee is het debat over de initiatiefnota voltooid. We zullen afwachten of we direct na het meireces op de eerste dinsdag over de motie zullen gaan stemmen of dat die wordt aangehouden. Daarmee sluit ik deze vergadering.