Vraag 1 (VVD) – nadere motivering voor beperking tot spoedgevallen

De leden van de VVD-fractie vragen naar een nadere motivering voor het voornemen om de mogelijkheid om bij algemene maatregel van bestuur (AMvB) overige samenwerkingsverbanden te regelen, nagenoeg volledig te schrappen. Dit klemt voor deze leden te meer, omdat in het coalitieakkoord is afgesproken, om criminaliteit goed aan te kunnen pakken, dat het belangrijk is dat verschillende partijen (lokaal) beter kunnen samenwerken en gegevens uitwisselen. Kan de Minister motiveren waarom is gekozen alleen nog bij spoed tijdelijk bij AMvB overige samenwerkingsverbanden onder de WGS te laten vallen?

Vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties

Kan de Minister nader toelichten hoe zij spoed definieert met betrekking tot artikelen 3.1 tot en met 3.3 en kan zij daarbij voorbeelden geven van spoedsituaties?

Vraag 3 (D66) – definitie spoed

Wat betekent «zo spoedig mogelijk» in de context van een spoed samenwerkingsverband dat vervolgens in de wet geregeld moet worden? Kan de Kamer zich nog uitspreken over deze termijn?

Vraag 4 (SP) – over definitie spoed overleggen met de Kamers

Kan voorts worden verduidelijkt in wat voor gevallen er sprake kan zijn van dusdanige «spoed» dat een wetsvoorstel niet eerst aan de Kamers kan worden voorgelegd? Kan ook worden verduidelijkt wat met «spoed» wordt bedoeld en wie beslist over wanneer iets precies spoedige inwerkingtreding rechtvaardigt? Is de Minister het met deze leden eens, dat hierover op zijn minst overleg zal moeten worden gevoerd met de Kamers? Zo nee, waarom niet?

Vraag 5 (SP) – afzien van voorgenomen aanpassing

Is de Minister bereid om af te zien van het voornemen om bij spoed per AMvB nieuwe samenwerkingsverbanden in het leven te roepen? Zo nee, waarom niet?

Vraag 6 (VVD) – amvb met voorhangprocedure

Is het voor wat betreft het verschaffen van mogelijkheden voor verschillende partijen om op lokaal niveau beter te kunnen samenwerken, in sommige gevallen een AMvB met een voorhangprocedure niet voldoende? In welke van de ons omringende landen is telkens een nieuwe wetswijziging vereist en in welke landen kunnen samenwerkingsverbanden bij lagere regelgeving (zoals bij AMvB met voorhang onder de werking) worden toegevoegd onder bestaande wetgeving met daarin adequate waarborgen voor proportionaliteit en doelbinding?

Ik volg het advies van de Afdeling advisering dat het aanwijzen van nieuwe samenwerkingsverbanden materie is die op zichzelf regeling bij wet behoeft, daargelaten de vraag in hoeverre artikel 10 van de Grondwet ruimte laat om dit bij amvb te regelen en daargelaten of dan sprake zou moeten zijn van een voor- of nahangprocedure.

Uit omringende landen is geen informatie bekend over (wetgevingsprocedures omtrent) samenwerkingsverbanden die vergelijkbaar zijn met de WGS-samenwerkingsverbanden.

Vraag 7 (CDA) – amvb met voorhangprocedure

De leden van de CDA-fractie lezen dat de AP adviseert de mogelijkheid tot het aanwijzen van nieuwe samenwerkingsverbanden bij AMvB te schrappen. De Afdeling adviseert deze mogelijkheid te beperken tot tijdelijke spoedsituaties. Dit laatste advies neemt de Minister over. Deze leden begrijpen de argumentatie dat een samenwerkingsverband bij voorkeur bij wet moet worden geregeld, maar zij zien ook wel degelijk mogelijkheden voor een zorgvuldig proces bij AMvB, bijvoorbeeld met toevoeging van een (verzwaarde) voorhangprocedure. Hoe kijkt de Minister naar zo’n mogelijkheid?

Vraag 8 (D66) – novelle

De leden van de D66-fractie achten het een belangrijke stap dat de Minister de artikelen 3.1 tot 3.3, die het creëren van nieuwe samenwerkingsverbanden bij AMvB regelen, niet in werking zal laten treden. Voor de aan het woord zijnde leden is deze stap echter alsnog te beperkt, nu de toegezegde wijziging van het wetsvoorstel nog niet voorligt en dus niet beoordeeld kan worden. De aan het woord zijnde leden vragen waarom er niet voor een novelle wordt gekozen om dit omstreden onderdeel direct uit het wetsvoorstel te halen zolang het wetsvoorstel nog in behandeling is? Strookt de keuze voor een novelle niet beter met het verankeren van waarborgen zoals proportionaliteit in de wet zelf in plaats van met een toezegging?

Vraag 9 (SP) – verhouding tot aangenomen amendement-Van Nispen

De leden van de SP-fractie hebben altijd zeer kritisch gekeken naar de WSG. Uiteindelijk hebben deze leden dan ook tegen dit wetsvoorstel gestemd. Het feit dat zelfs na stemming in de Tweede Kamer de negatieve adviezen over dit wetsvoorstel nog steeds binnen blijven komen, sterkt deze leden in de gedachte dat dit wetsvoorstel, in zijn huidige vorm, niet wenselijk is.

Gelukkig schrijft de Minister nu wel dat zij voornemens is het huidige hoofdstuk 3 uit de WSG te schrappen. Met dat hoofdstuk zou het mogelijk zijn om, per AMvB, nieuwe samenwerkingsverbanden in het leven te roepen. De leden van de SP-fractie zagen eerder nog hun amendement (Kamerstuk 35 447, nr. 10) dat precies hierop zag weggestemd worden door de Kamer, maar zij zijn blij dat de regering, na forse kritiek van de AP, dit hoofdstuk nu toch schrapt.

Minder te spreken zijn de leden van de SP-fractie over het voornemen van de regering om bij «spoed» een nieuw samenwerkingsverband te kunnen optuigen per AMvB, waarna dan wel zo snel als mogelijk de Kamer zich moet buigen over een nieuw wetsvoorstel waarin dat nieuwe samenwerkingsverband zijn grondslag dan vindt.

Vraag 10 (CDA) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting

Wat deze leden betreft zijn er nog andere samenwerkingsverbanden met eenzelfde doelstelling als die van de huidige samenwerkingsverbanden, die in de toekomst logischerwijs onder deze regeling kunnen worden gebracht. Daarbij denken zij in het bijzonder aan het ECTF en het LMIO. De leden van de CDA-fractie vragen de Minister waarom deze samenwerkingsverbanden niet reeds aanvullend zijn opgenomen in het wetsvoorstel, gezien een eerdere toezegging van de Minister te kijken of deze samenwerkingsverbanden kunnen toetreden tot het wetsvoorstel. Ook vragen deze leden de Minister om nadere toelichting hoe zij «spoed» definieert met betrekking tot de te wijzigen artikelen 3.1 tot en met 3.3 van de WGS. Is de Minister van mening dat het ECTF en het LMIO wel onder de spoedbepaling kunnen vallen?

Dat het ECTF en LMIO op enig moment onder de WGS worden gebracht, sluit ik niet uit. Op dit moment is het evenwel te vroeg om daarop een voorschot te nemen. Dit hangt onder meer af van de exacte knelpunten in de onderlinge gegevensverstrekking en in hoeverre sprake is

van gezamenlijke gegevensverwerking. De gedachtenvorming hierover is nog niet afgerond.

Vraag 11 (VVD) – Electronic Crimes Taskforce en Landelijk Meldpunt Internetoplichting

Tot slot vragen deze leden de Minister bestaande samenwerkingsverbanden zoals de Electronic Crimes Taskforce (ECTF) en het Landelijk Meldpunt Internetoplichting (LMIO) snel duidelijkheid te geven. Tijdens eerder debat werd toegezegd te bezien of deze samenwerkingsverbanden onder de wet zouden kunnen vallen. Kan de Minister aangeven of deze samenwerkingsverbanden in elk geval onder de spoedregeling komen te vallen?

Vraag 12 (PvdA) – verdenking of ander startpunt

De leden van de PvdA-fractie lezen dat de Minister stelt dat het vraagstuk van het startpunt van de gegevensverwerking door samenwerkingsverbanden los staat van de onschuldpresumptie. Deze leden menen dat dit wellicht formeel juist is in de zin van dat de onschuldpresumptie geen beginsel is dat aan het recht op bescherming van persoonsgegevens ten grondslag ligt. Daarbij voert de Minister aan dat het niet zo is dat uitwisseling van gegevens het toekennen van schuld impliceert. Dat laatste moge waar zijn, maar ergens moet er toch aanleiding zijn om gegevens over iemand te gaan uitwisselen. Kan dat startpunt een vermoeden zijn dat een persoon zich schuldig heeft gemaakt aan een strafbaar feit? Zo nee, wat kan dan nog meer dat startpunt zijn?

Vraag 13 (SP) – massasurveillance, vereiste van verdenking

De leden van de SP-fractie vragen speciale aandacht voor het feit dat de AP erop wijst dat, door de vele bevoegdheden die de samenwerkingsverbanden krijgen, het gevaar van massasurveillance op de loer ligt. Zeker als gegevens van mensen gedeeld worden zónder dat daar een concrete verdenking aan ten grondslag ligt. Klopt het dat de Minister zich op het standpunt stelt dat van massasurveillance geen sprake kan zijn, omdat de samenwerkingsverbanden geen interventiebevoegdheden hebben? Kan zij voor deze leden verduidelijken waarom bij massasurveillance per se sprake moet zijn van directe interventie? En ziet de Minister ook in dat, of er nou wel of geen interventie plaatsvindt, het een feit is dat, als je niet als startpunt pakt dat alleen gegevens verwerkt en gedeeld mogen worden van mensen die concreet ergens verdacht van worden, je wel degelijke de situatie krijgt dat de gegevens van onschuldige mensen (mensen die niet concreet van een strafbaar feit verdacht worden) worden gedeeld en verwerkt? Zo nee, waarom niet? Het klopt toch ook dat de gegevens die door de samenwerkingsverbanden worden gedeeld, daarna door de individuele instanties die betrokken zijn bij het samenwerkingsverband wel degelijk gebruikt kunnen worden om latere interventies op te baseren?

Zoals geantwoord op de vorige vraag zal het BGS regels bevatten waarin het startpunt van de gegevensverwerking wordt geconcretiseerd met nadere criteria waaraan een signaal, casus of verzoek moet voldoen. Er moet onder meer sprake zijn van voldoende duidelijke en objectieve aanwijzingen van risico’s met het oog op de doelen van het samenwerkingsverband. Dit maakt dat er ook volgens de redenering van de AP geen sprake is van massasurveillance, want de AP stelt dat «de eis van duidelijke en objectieve aanwijzingen naar het oordeel van de AP in feite ook de garantie [vormt] voor het waarborgen van de onschuldpresumptie in ruime zin en het verschil [vormt] met «mass surveillance» maatregelen».6

Daarbij merk ik nog op dat het niet zo hoeft te zijn dat het strafrecht zal worden ingezet. Een bestuursrechtelijke interventie of interventie met zorg kan ook aan de orde zijn.

Tot slot benadruk ik dat de WGS en het BGS een reeks aan nieuwe en belangrijke waarborgen bevat om de bescherming van persoonsgegevens te versterken. Ook deze waarborgen zorgen ervoor dat geen sprake kan zijn van massasurveillance.

Vraag 14 (Volt) – massasurveillance

Het argument van de Minister dat van massasurveillance geen sprake kan zijn omdat het wetsvoorstel geen bevoegdheid geeft tot het inwinnen of vergaren van nieuwe gegevens, maar alleen tot uitwisseling van gegevens waarover reeds rechtmatig wordt beschikt, is niet overtuigend. Juist het koppelen van datasets kan tot nieuwe informatie leiden. Dat lijkt ook juist het doel van het wetsvoorstel te zijn. Deze uitwisseling creëert de mogelijkheid om nieuwe gegevens te maken. De leden van de Volt-fractie ontvangen graag een reflectie van de Minister op dit punt.

Vraag 15 (SP) – transparantie op casusniveau

De AP vraagt, volgens de leden van de SP-fractie, terecht aandacht voor het recht dat een betrokkene heeft op transparantie van zijn of haar gegevens en de manier waarop die gegevens zijn verwerkt. Deze leden vragen hoe de Minister wil waarborgen dat altijd te achterhalen is hoe, wanneer, waarom en door wie gegevens zijn verwerkt, zodat de betrokkene daarover uitputtend geïnformeerd kan worden op specifiek casusniveau. Deze leden doelen dus niet op een algemeen jaarverslag waarin in algemene zin verantwoord wordt hoe gegevens verwerkt zijn. Deze leden vragen hier specifiek naar, omdat zij hebben gezien dat bijvoorbeeld bij het schandaal van de toeslagenaffaire, betrokkenen tot op de dag van vandaag geen inzicht hebben in basale vragen zoals waarom zij op een zwarte lijst zijn gekomen, op basis van welke gegevens, etc.

Ten aanzien van de verwerking van persoonsgegevens door de samenwerkingsverbanden is de AVG leidend, en daarin is transparantie het uitgangspunt: artikel 14 van de AVG verplicht de deelnemers van het samenwerkingsverband, als gezamenlijke verwerkingsverantwoordelijken, in beginsel om betrokkenen te informeren over onder andere het feit dat gegevens over betrokkene worden verwerkt en voor welke doeleinden. De algemene uitzonderingen uit de AVG en de Uitvoeringswet AVG gelden ook voor wat betreft de verwerkingen die plaatsvinden in de samenwerkingsverbanden onder de WGS. Een relevante uitzondering doet zich onder meer voor als het verstrekken van de informatie de doeleinden van de gegevensverwerking zou doorkruisen of bij de doorkruising van opsporings- en toezichtbelangen. Indien deze uitzondering vervalt, bijvoorbeeld na afronding van een gezamenlijk project, moet de informatieplicht alsnog worden nagekomen. In de WGS zijn geen aanvullende uitzonderingsgronden opgenomen.

Verder is voorzien in de aanwijzing van een contactpunt voor elk samenwerkingsverband, waar betrokkenen op toegankelijke wijze hun recht op inzage van hun persoonsgegevens kunnen uitoefenen, evenals hun andere rechten op grond van de AVG, zoals het recht op correctie. In het kader van transparantie en rechtszekerheid richting burgers is het van belang dat er één contactpunt komt dat de behandeling van verzoeken van betrokkenen coördineert en afhandelt. Dit is uitgewerkt in artikel 1.1 van het concept-BGS. Daarin is ook bepaald dat op de website van het samenwerkingsverband de naam en contactgegevens van het contactpunt moeten worden vermeld.

Vraag 16 (D66) – verplichting tot zoveel mogelijk motiveren

Is de Minister het eens dat transparantie en controleerbaarheid van groot belang zijn om misbruik van gegevens en misstanden te voorkomen? Waarom wordt de verplichting tot transparantie richting burgers niet verankerd in het wetsvoorstel maar pas later per AMvB geregeld?

Wat houdt de plicht tot «zo veel mogelijk motiveren» precies in? Betekent dit dat alle indicatoren en gebruikte informatie op basis waarvan een uitkomst tot stand is gekomen gecommuniceerd moeten worden? Zo nee, welk type gegevens hoeft niet verstrekt te worden en waarom?

Ik onderken het belang van transparantie en controleerbaarheid om misbruik van gegevens en misstanden te voorkomen. Artikel 5, eerste lid, van de AVG verplicht ertoe om persoonsgegevens te verwerken op een wijze die transparant is (transparantiebeginsel). Het wetsvoorstel en de onderliggende amvb vergroten de voorzienbaarheid en daarmee de transparantie door de verwerkingen door de samenwerkingsverbanden een wettelijk kader te geven. Daarnaast wordt de transparantie op de volgende wijzen gewaarborgd:

De verplichting tot transparantie richting burgers is geregeld in artikel 14 van de AVG, zoals toegelicht in het antwoord op de vorige vraag.

Artikel 1.1 van het concept-BGS wijst een contactpunt aan per samenwerkingsverband dat betrokkenen uit eigen beweging informeert en waar zij op toegankelijke wijze hun rechten kunnen uitoefenen op grond van de AVG, zoals het inzagerecht.

Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet een samenwerkingsverband op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica. Hierop wordt nader ingegaan in de beantwoording van vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse.

Samenwerkingsverbanden moeten jaarverslagen publiceren met daarin een verantwoording van de effectiviteit en bruikbaarheid van de gegevensverwerking (artikel 1.12 WGS).

De naleving van deze verplichtingen kan worden gecontroleerd in de verplichte onafhankelijke privacy audits, door de functionarissen voor gegevensbescherming en de AP.

De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling advisering van de Raad van State van 18 november 2021.8 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog. Het gaat dan onder meer om het antwoord op de vraag van welke partijen de informatie afkomstig is op basis waarvan de resultaten tot stand zijn gekomen. Deze informatie heeft de ontvanger nodig om de informatie te kunnen wegen: voor het vervolgonderzoek door de ontvanger van een resultaat, is vereist dat bekend is wat de input is geweest, zodat de ontvanger zich een beeld kan vormen van de betrouwbaarheid en volledigheid daarvan.

Vraag 17 (Volt) – rechten van burgers en transparantie

Voorts zal het wetsvoorstel het mogelijk maken om binnen een groot netwerk van overheden en bedrijven informatie over burgers te delen. Zit hier ook informatie bij waarvan burgers zelf niet eens weten dat deze informatie over hen bestaat? Zo ja, op welke manier zullen burgers worden geïnformeerd over de verwerking van deze informatie, waaronder begrepen persoonsgegevens?

Hoe worden zij in staat gesteld om hun rechten met betrekking tot gegevensverwerking in dit geval op een effectieve manier uit te oefenen?

Voor het antwoord op de eerste deelvragen wordt verwezen naar het antwoord op vraag 15 (SP) – transparantie op casusniveau.

Door middel van het aanwijzen van een contactpunt per samenwerkingsverband worden betrokkenen in staat gesteld om hun rechten met betrekking tot gegevensverwerking op een effectieve manier uit te oefenen. Op de verwerking van persoonsgegevens die plaatsvinden onder de gezamenlijke verwerkingsverantwoordelijkheid van deelnemers op grond van de WGS zijn onverkort de rechten en plichten uit de AVG van toepassing. Een betrokkene kan een beroep doen op de rechten die de AVG hem al geeft, zoals het recht op inzage, het recht op rectificatie, het recht op gegevenswissing en het recht op beperking van de verwerking (artikelen 15–18 AVG). Zo kan een betrokkene onder meer verifiëren welke categorieën persoonsgegevens over hem worden uitgewisseld en voor welke doeleinden (artikel 15, eerste lid, onder a en b, AVG).

Ook voor samenwerkingsverbanden die zijn opgenomen in de WGS geldt de informatieverplichting op grond van artikel 14 AVG, die verplicht om betrokkenen bepaalde informatie te verschaffen over de verwerking van hen betreffende persoonsgegevens. Zo raken burgers op de hoogte van het feit dat gegevens over hen worden verwerkt en worden zij ook in staat gesteld om hun rechten te kunnen uitoefenen.

Per samenwerkingsverband zal een contactpunt ingericht worden waar burgers terecht kunnen om hun rechten op grond van de AVG uit te oefenen, zoals hun inzage- en correctierecht. Het contactpunt coördineert dergelijke verzoeken. In artikel 1.1 van het concept-BGS is per samenwerkingsverband uitgewerkt welke deelnemer het contactpunt vormt. Wie het contactpunt is, moet tevens bekend worden gemaakt op de website van het samenwerkingsverband.

Burgers kunnen bij het contactpunt ook verzoeken om onjuiste gegevens te rectificeren. Dit moet gebeuren door de deelnemende partij die de betreffende gegevens heeft ingebracht. Het contactpunt zal correctieverzoeken coördineren.

Vraag 18 (Volt) – waarborgen tegen discriminatie

Het wetsvoorstel brengt naast oplossingen ook nieuwe problemen, waaronder een groot risico op discriminatie. Zo waarschuwt het College voor de Rechten van de Mens dat er een vertekend beeld kan ontstaan over de mate waarin mensen met een bepaalde achtergrond betrokken zijn bij de problematiek waarop de samenwerkingsverbanden zich straks zullen richten. Dat kan leiden tot overmatige controle van deze groep. Dat is discriminerend. Het wetsvoorstel bevat nog onvoldoende waarborgen tegen discriminatie. Een deel zal afhangen van de uitvoering, maar deze leden zijn van mening dat er onvoldoende waarborgen worden getroffen om discriminatie te voorkomen. Hoe weegt de Minister het voortzetten van het wetsvoorstel tegenover het risico op discriminatie?

Het discriminatieverbod geldt voor elk overheidsonderdeel. Dat betekent dat ook onder de WGS geen ongerechtvaardigd onderscheid mag worden gemaakt. Daarnaast is een verwerking waar discriminatie aan ten grondslag ligt, strijdig met de normen van het gegevensbeschermingsrecht. De AVG, WGS en het concept-BGS bevatten daar bovenop extra waarborgen om discriminatie tegen te gaan.

Op grond van artikel 9, eerste lid, AVG mogen geen gegevens worden verwerkt over ras of etnische afkomst. Artikel 1.9 concept-BGS voegt daaraan toe dat ook geen gegevens over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene onvermijdelijk is.

In artikel 1.14 van het concept-BGS is uitgewerkt dat de leden van de rechtmatigheidsadviescommissie, waarin deskundigen advies uitbrengen over de rechtmatigheid van gegevensverwerkingen door het samenwerkingsverband, er zorg voor dienen te dragen dat in de rechtmatigheidsadviescommissie aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Bovendien is in artikel 1.17 van het concept-BGS uitgewerkt dat medewerkers die ingezet worden in het samenwerkingsverband opleidingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek. Het tegengaan van (onbewuste) discriminatie komt bij deze beide onderdelen aan de orde.

Verder zijn in dit kader van belang de aanvullende waarborgen bij geautomatiseerde gegevensanalyses (artikel 1.9 WGS). Deze waarborgen zijn mede bedoeld om – in lijn met overweging 71 bij de AVG – discriminatie, fouten en vooroordelen tegen te gaan in algoritmen die bij een geautomatiseerde analyse worden gebruikt:

Artikel 1.9, eerste lid, verplicht de deelnemers om voor adequate en uniforme technische en organisatorische maatregelen zorg te dragen die de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de juistheid en de volledigheid van de te verwerken gegevens bevorderen. De deelnemers moeten de gehanteerde methode dus toetsen op feitelijke juistheid en kwaliteit. Wat de kwaliteit van de gegevens zelf betreft, volgt hieruit dat iCOV gegevens alleen mag gebruiken als deze van voldoende kwaliteit zijn. ICOV geeft hieraan invulling door uitgebreid te toetsen of de data van voldoende kwaliteit zijn en of zij geschikt zijn om betrouwbaar te koppelen met data van andere deelnemers, alvorens de gegevens voor rapportages te gebruiken.9

Artikel 1.9, tweede lid, regelt de verplichting om een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse uitsluitend aan een deelnemer of derde te verstrekken na menselijke tussenkomst, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.

Artikel 1.9, derde lid bevat de verplichting tot uitleg op toegankelijke wijze aan het publiek over de gehanteerde patronen, indicatoren en andere onderliggende logica.

Artikel 1.9, zesde lid, regelt een verbod op algoritmen waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. De analyse moet dus op zodanige wijze plaatsvinden dat de uitkomsten navolgbaar en controleerbaar zijn.

Bij de toegestane geautomatiseerde gegevensanalyse – namelijk bij iCOV – bevatten artikel 2.9 tot en met 2.12 van het concept-BGS bovendien de volgende aanvullende waarborgen:

Vooraf moet advies worden gevraagd aan de rechtmatigheidsadviescommissie over onder meer de gehanteerde indicatoren, verwerkingsmethode en gegevens. Dit geschiedt aan de hand van een door deelnemers van iCOV op te stellen productbeschrijving. Daarin moeten zij het thema, de indicatoren en de methode beschrijven en verantwoorden.

Er mogen uitsluitend gevalideerde indicatoren worden gebruikt. Ze moeten zijn gecontroleerd op geldigheid en juistheid, rekening houdend met vertekening (bias), navolgbaarheid, betrouwbaarheid en representativiteit van de gegevens; de deelnemers dienen er zorg voor te dragen dat de indicatoren objectief en nauwkeurig zijn.

Er moet voldoende aanleiding zijn voor de geautomatiseerde gegevensanalyse, bestaande uit duidelijke en objectieve aanwijzingen inzake onrechtmatig financieel gewin.

De deelnemers dienen te zorgen voor een representatieve onderzoeksgroep en moeten aandacht hebben voor het risico van vooringenomenheid.

De gehanteerde methode moet uitlegbaar, navolgbaar en controleerbaar zijn.

Over de toepassing van deze waarborgen moet periodiek worden gerapporteerd aan de rechtmatigheidsadviescommissie.

Vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering

Een ander probleem dat de leden van de Volt-fractie zien, is de mogelijkheid om gebruik te maken van geautomatiseerde gegevensanalyses, zoals risicoprofilering. Kan de Minister aangeven op welke manier zal worden omgegaan met risicoprofilering, met name, welke maatregelen getroffen zullen worden om het risico op discriminatie te voorkomen?

Het Kwaliteitskader Big Data, dat is opgesteld door de politie en het OM.12 Dit wordt gebruikt voor het toetsen van big data toepassingen aan onder andere rechtmatigheid en ethiek.

De Handreiking AI-systeemprincipes voor non-discriminatie, getiteld «non-discriminatie by design».13 Dit is een praktische handreiking waarin stap voor stap wordt uitgelegd hoe organisaties kunnen voorkomen dat hun algoritmes discrimineren. In de handreiking is een vertaalslag gemaakt van essentiële juridische kaders naar operationele ontwerpprincipes. De handreiking is opgesteld in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties door een team van onderzoekers van de universiteiten van Tilburg en Eindhoven, Vrije Universiteit Brussel en het College voor de Rechten van de Mens. De handreiking geeft tien regels waarmee volgens de opstellers misstanden zoals bij de kindertoeslagen kunnen worden voorkomen.

Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmen (IAMA).14 Dit impact assessment kan een organisatie gebruiken om in de gehele levenscyclus van algoritmische systemen de risico’s voor mensenrechten in kaart te brengen. Het IAMA is in opdracht van het vorige kabinet door de Universiteit Utrecht ontwikkeld.

De richtlijnen voor het toepassen van algoritmes door de overheid uit de brief van 8 oktober 2019.15

Vraag 20 (D66) – voorkomen van discriminatie t.a.v. seksuele gerichtheid

De leden van de D66-fractie lezen over de zorgen bij de AP dat discriminatie een risico vormt door het gebrek aan transparantie en dus oncontroleerbaarheid van de gebruikte gegevens bij een beslissing. De Minister geeft aan dat dit niet toegestaan is onder de AVG. De Minister verwijst naar het niet opnemen van persoonsgegevens over etniciteit, ras en nationaliteit. Is dit een uitputtende opsomming? Waarom is seksuele gerichtheid daar niet aan toegevoegd, gezien het grondwetswijzigingsvoorstel dat in tweede lezing in de Kamer ligt? De aan het woord zijnde leden horen graag met welke instrumenten en verankerde waarborgen de naleving van de AVG op dit punt dan wordt verzekerd.

Volgens artikel 9, eerste lid, AVG vallen ook gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid onder de term bijzondere categorieën van persoonsgegevens. Hieruit volgt dat de verwerking van dergelijke gegevens ook onder de WGS in principe verboden is. Dit behoeft derhalve geen afzonderlijke vermelding in het wetsvoorstel.

Met betrekking tot de verwerking door de RIEC’s van gegevens over seksueel gedrag en seksuele gerichtheid maakt het wetsvoorstel een uitzondering voor zover de verwerking van die gegevens noodzakelijk is met het oog op de bestrijding van mensenhandel en de onderzoeken in dat kader naar illegale prostitutie en uitbuiting (artikel 2.21 WGS). Deze uitzondering is toegestaan op grond van artikel 9, tweede lid, onder g, van de AVG omdat deze nodig is voor een zwaarwegend algemeen belang. Artikel 2.15 van het concept-BGS verduidelijkt dat het uitsluitend gaat om persoonsgegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid wanneer de verwerking noodzakelijk is voor onderzoeken in het kader van bestrijding van mensenhandel, illegale prostitutie en uitbuiting, in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard. Hiermee wordt deze gegevenscategorie uit artikel 2.21 WGS scherper afgebakend en in overeenstemming gebracht met datgene wat volgens artikel 23, onder c, van de Uitvoeringswet AVG reeds is toegestaan.

Artikel 1.14 van het concept-BGS stelt buiten twijfel dat de deelnemers zorgdragen dat in de rechtmatigheidsadviescommissie ook aandacht moet zijn voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Elke deelnemer houdt bovendien zelfstandig de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving, daaronder begrepen het verbod op discriminatie.

Vraag 21 (SP) – verplichting tot zoveel mogelijk motiveren

Een motie van leden van de SP- en GroenLinks-fracties riep de regering op om te verduidelijken op welke manieren de samenwerkingsverbanden verplicht worden discriminatie en andere mensenrechtenschendingen te voorkomen en hoe hier toezicht op gehouden wordt (Kamerstuk 35 447, nr. 17). De leden van de SP-fractie zijn, na het lezen van de kabinetsreactie op de nadere adviezen over de WGS, op dit punt allerminst gerustgesteld. Deze leden lezen dat de regering voornemens is om per AMvB te regelen dat samenwerkingsverbanden bij de verstrekking van resultaten aan deelnemers of derden, zoveel mogelijk moeten motiveren op basis van welke informatie de uitkomst tot stand is gekomen. Deze leden vragen waarom dit gegeven niet gewoon in de wet is vastgelegd. Voorts vragen deze leden waarom de Minister kiest voor de zinsnede «zoveel mogelijk moeten motiveren». Is de Minister het met deze leden eens dat samenwerkingsverbanden gewoon uitputtend moeten motiveren op basis van welke informatie een uitkomst tot stand is gekomen, en dus niet «zoveel mogelijk»? Zo nee, waarom niet?

De verplichting tot «zo veel mogelijk motiveren» houdt in dat een samenwerkingsverband bij de verstrekking van een resultaat dat bestaat uit sturingsinformatie of een interventieadvies voor zover mogelijk dient te vermelden op basis van welke informatie het resultaat tot stand is gekomen. Deze plicht is geïnspireerd op de voorlichting van de Afdeling advisering van de Raad van State van 18 november 2021.16 Het wetsvoorstel dateert uit 2020, waardoor dit bij de totstandkoming ervan niet is betrokken. Artikel 1.8, tweede lid, van het concept-BGS regelt dit alsnog.

Het is van belang dat traceerbaar is op basis waarvan sturingsinformatie of een interventieadvies tot stand is gekomen. Het gaat dan onder meer om het antwoord op de vraag van welke partijen de informatie afkomstig is op basis waarvan de resultaten tot stand zijn gekomen. Deze informatie heeft de ontvanger nodig om de informatie te kunnen wegen: voor het vervolgonderzoek door de ontvanger van een resultaat, is vereist dat bekend is wat de input is geweest, zodat de ontvanger zich een beeld kan vormen van de betrouwbaarheid en volledigheid daarvan. Bepaalde uitzonderingsgronden, zoals het opsporings- en vervolgingsbelang, kunnen zich verzetten tegen het verstrekken van (bepaalde aspecten van) de motivering. Om die reden is in artikel 1.8, tweede lid, van het concept-BGS de zinsnede «voor zover mogelijk» opgenomen.

Vraag 22 (PvdA) – aanscherpingen regels AI ter voorkoming discriminatie

Wat is de stand van zaken met betrekking tot de aanscherping van beleid en regelgeving omtrent algoritmen en artificiële intelligentie (AI) zoals aangekondigd in de brief van 10 juni 2021 (Kamerstuk 26 643, nr. 765)? In hoeverre zijn er reeds aanscherpingen gedaan die ook van belang zijn voor het tegengaan van risico’s op discriminerende gevolgen van de WGS? Welke nog niet doorgevoerde aanscherpingen van het beleid en regelgeving omtrent algoritmen en AI kunnen nog beter zorgen voor het tegengaan van risico’s op discriminerende gevolgen van de WGS?

Vraag 23 (VVD) – afbakening iCOV inzake markttoezicht en inning overheidsvorderingen

De leden van de VVD-fractie hebben kennisgenomen van het voornemen van de Minister naar aanleiding van het advies van de Autoriteit Persoonsgegevens (AP) in de AMvB te bepalen dat iCOV gegevens op grond van de WGS uitsluitend mag verwerken voor de subsidiaire doelstellingen inzake markttoezicht en inning van overheidsvorderingen als dit gerelateerd is aan de primaire doelstellingen. Deze leden hebben zorgen over deze afbakening, te meer omdat binnen de infobox Crimineel en Onverklaarbaar Vermogen (iCOV) stemmen opgaan tegen deze afbakening. Kunnen deze zorgen van iCOV worden gedeeld met de Kamer? Hoe en op welk moment dienen de organisaties van iCOV te bepalen welke informatie wel en niet kan worden gedeeld binnen het samenwerkingsverband? Zijn alle uitvoeringsconsequenties in kaart gebracht van deze afbakening?

Zoals vermeld in de brief van 17 december 2021, wordt voor alle daarin aangekondigde voornemens nog een uitvoeringstoets gedaan ten tijde van de (internet)consultatie over de amvb.18

Inmiddels heeft iCOV vanuit uitvoeringsperspectief een aantal opmerkingen gemaakt over het aangehaalde voornemen. Voor iCOV en haar leden is niet helder waarom een onderscheid zou moeten worden gemaakt tussen «primaire doelstellingen» (het in kaart brengen van crimineel en onverklaarbaar vermogen en het bestrijden van witwas- of fraudeconstructies) en «secundaire doelstellingen» (goed markttoezicht en het innen van overheidsvorderingen). Ieder van deze doelstellingen heeft naar de mening van iCOV op zichzelf voldoende gewicht om een inbreuk op de privacy te rechtvaardigen en het is juist de integraliteit van de databevragingen die een toegevoegde waarde heeft, voor zowel bestuursrechtelijke als strafrechtelijke interventies.

De door de vorige Minister gekozen lijn zou volgens zijn Kamerbrief van 17 december 2021 tot gevolg hebben dat in de toekomst vanuit de doelstellingen van markttoezicht en de inning van overheidsvorderingen alleen nog iCOV-bevragingen kunnen worden gedaan wanneer dat tevens nodig is met het oog op het in kaart brengen van onverklaarbaar of crimineel vermogen of met het oog op het bestrijden van witwas- of fraudeconstructies. ICOV wijst erop dat een dergelijke al te nauwe invulling tot gevolg kan hebben dat toezichthouders het zicht verliezen op nieuwe vormen van wederrechtelijk handelen of op het misbruik van financiële en fiscale systematische zwaktes, en zodoende achter de feiten aanlopen.

Vraag 24 (SP) – gegevensdeling tussen samenwerkingsverbanden

Met het amendement van het lid Yesilgöz-Zegerius is het mogelijk geworden om ook gegevens tussen samenwerkingsverbanden te delen (Kamerstuk 35 447, nr. 14). Dat vonden de leden van de SP-fractie destijds al een onzalig idee en dat vinden zij nog steeds. Zeker nu deze leden lezen dat de AP oproept tot het schrappen van deze mogelijkheid. Toch zegt de Minister hierover in reactie op de AP slechts dat het voornemen van de regering is om bij AMvB de gegevensverstrekking tussen de samenwerkingsverbanden nader te clausuleren door deze zoveel mogelijk te beperken tot hit/no hit bevraging. Deze leden vragen of deze hits/no hits dan vervolgens wel weer gebruikt kunnen worden om verdere stappen te ondernemen? Stel, er komt een hit uit de bevraging, kan de Minister schetsen wat een samenwerkingsverband daar dan precies aan heeft? Wat kan zij met het gegeven dat er een hit of geen hit is?

Vraag 25 (PvdA) – toets door onafhankelijke bestuurlijke autoriteit bij verstrekking aan derden

De leden van de PvdA-fractie lezen dat de AP adviseert om bij verstrekking van gegevens door het samenwerkingsverband aan derden te voorzien in de waarborg van een voorafgaande toets door een onafhankelijke bestuurlijke autoriteit. De AP baseert zich daarbij volgens de Minister ten onrechte op bindend advies van het Hof van Justitie. Het moge zo zijn dat dat advies inderdaad in het verband van de WGS niet van belang is, maar dat neemt niet weg dat volgens de AP niet vaststaat dat de rechtmatigheidsadviescommissies onafhankelijk genoeg zijn en dat er een onafhankelijke bestuurlijke autoriteit nodig is om een voorafgaande toets te doen voor de verstrekking van gegevens aan derden. Kan de Minister hier inhoudelijk op ingaan? Waarom komt de Minister niet tegemoet aan dit advies van de AP?

Graag verwijst de regering naar onderdeel 9 (Toets door onafhankelijke bestuurlijke autoriteit bij verstrekking aan derden) van de bijlage bij de Kamerbrief van 17 december 2021. Zoals daarin is gemotiveerd, gaat de vergelijking met de situatie waarover het bindend advies van het Hof van Justitie gaat, niet op, zodat hieruit geen conclusies behoeven te worden overgenomen. Dat laat onverlet dat het wenselijk is dat de rechtmatigheidsadviescommissie een stevige positie krijgt en dat een eventuele afwijking van een advies moet worden gedocumenteerd en gerapporteerd.

Daarom wordt de positie van de rechtmatigheidsadviescommissies verder versterkt in het concept-BGS:

Een rechtmatigheidsadviescommissie is bevoegd rechtstreeks te adviseren aan de bestuurders van de deelnemers in het bestuurlijk gremium dat het samenwerkingsverband aanstuurt, zonder tussenkomst van een managementteam van een samenwerkingsverband. Dit is in artikel 1.13, tweede lid, van het concept-BGS opgenomen. Hierin komt de onafhankelijke rol tot uiting.

De bestuurlijke gremia van waaruit het samenwerkingsverband wordt bestuurd mogen uitsluitend beargumenteerd afwijken van een advies van de rechtmatigheidsadviescommissie (artikel 1.13, zesde lid, van het concept-BGS). Dit betekent dat de bestuurders moeten motiveren waarom wordt afgeweken van het betreffende advies en welke risico-inschatting zij daaraan verbinden. Dit moet worden gedocumenteerd en gerapporteerd aan de rechtmatigheidsadviescommissie en de coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband. Dit is opgenomen in artikel 1.13, zesde lid, van het concept-BGS. Het is van belang te zorgen voor transparantie, dat afwijking van de adviezen traceerbaar is, en dat later door de (coördinerend) functionaris voor gegevensbescherming of in de privacy audits kan worden onderzocht hoe de afwijking heeft uitgepakt.

De leden van de rechtmatigheidsadviescommissie moeten beschikken over relevante deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel 1.14, eerste lid, van het concept-BGS). Het is immers van belang dat organisaties leden aanwijzen die een bepaalde zwaarte/functie hebben zodat zij in staat zijn adviezen uit te brengen die wellicht niet altijd in lijn liggen met de bestuurlijke wens, maar echt sec zien op de rechtmatigheid van hetgeen voorvalt.

Vraag 26 (SP) – verstrekkingsplicht wijzigen in bevoegdheid

Net als de AP nu, vroegen de leden van de SP-fractie bij de plenaire behandeling van de WGS aandacht voor het gegeven dat deelnemers aan samenwerkingsverbanden door de regering worden verplicht om gegevens te delen. Zij kunnen slechts besluiten géén gegevens te delen als zij daar zwaarwegende redenen voor hebben. Deze leden vragen, wederom, waarom dit nodig is. Ziet de Minister het risico dat, zeker door de beperkte mogelijkheid tot het niet delen van gegevens (namelijk slechts bij zwaarwegende redenen) de mogelijkheid tot het leveren van maatwerk uit het oog verloren wordt? Is zij alsnog bereid om het verstrekken van gegevens optioneel in plaats van verplicht te maken of in ieder geval het gedeelte «zwaarwegend» te laten vallen? Zo nee, waarom niet?

Vraag 27 (D66) – toegang van private partijen tot gegevens

De leden van de D66-fractie vernemen dat de AP zeer kritisch is over het delen van gegevens met private partijen. De Minister verwijst enkel naar nog te verschijnen AMvB’s om deze zorgen weg te nemen. Waarom wordt dit niet opgenomen in het wetsvoorstel? Acht de Minister de wel opgenomen beperkingen niet veel te vaag en te allesomvattend, zoals «indien het doel van het samenwerkingsverband redelijkerwijs niet kan worden bereikt zonder deelname van deze private partij (…)»? Wie ziet erop toe dat hieraan wordt voldaan? Hoe kan worden bewezen dat het desbetreffende doel wél mogelijk was zonder de tussenkomst van een private partij als deze al deel uit maakt van het samenwerkingsverband? Is dit überhaupt te bewijzen volgens de Minister?

In deze vraag is gedoeld op artikel 1.3, derde lid, WGS, dat bepaalt dat aanwijzing van een private partij als deelnemer kan geschieden, indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij en indien tevens overheidsinstanties of overheidsorganen deelnemen. Artikel 1.3, derde lid, WGS is een randvoorwaarde voor aanwijzing van private partijen als deelnemer, maar biedt geen grondslag voor samenwerkingsverbanden om zelf private partijen toe te voegen. De deelnemers aan de samenwerkingsverbanden zijn de bij of krachtens de WGS aangewezen overheidsinstanties, overheidsorganen en private partijen, aldus artikel 1.3, eerste lid, WGS. Indien (al dan niet private) deelnemers worden toegevoegd bij amvb, moet zowel een voorhangprocedure als een bijzondere nahangprocedure worden gevolgd, als gevolg van het amendement van het lid Kuiken21 en het amendement van het lid Van Nispen22. Dit is opgenomen in de artikelen 2.3, 2.11, 2.19 en 2.27 WGS. Dit bewerkstelligt dat uw Kamer tweemaal de kans krijgt om zich uit te spreken over de aanwijzing van nieuwe (al dan niet private) deelnemers bij amvb, en een dergelijke aanwijzing kan tegenhouden. In het concept-BGS worden alleen bij het FEC private deelnemers toegevoegd (artikel 2.2), om te zorgen dat de private partijen die nu al in het FEC participeren dat kunnen blijven doen. Dit betreft bij ministeriële regeling aan te wijzen banken, waarmee publiek-private samenwerking nodig is ten behoeve van het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering. Voor een nadere toelichting op de beperkingen voor deelname van private partijen wordt verwezen naar het antwoord op vraag 69 van de D66-fractie in de nota naar aanleiding van het verslag.23

Een belangrijke randvoorwaarde is verder dat de resultaten van de gegevensverwerking door het samenwerkingsverband uitsluitend mogen worden gebruikt voor doeleinden die verenigbaar zijn met het doel van het samenwerkingsverband (artikel 1.7 WGS, tweede lid, aanhef en onder b). Zoals toegelicht in de nota naar aanleiding van het verslag, is hiervan doorgaans uitsluitend sprake indien de private partij een publiek belang behartigt, bijvoorbeeld door publiek-private samenwerking om criminaliteit aan te pakken.24 Daarbij is opgemerkt dat commerciële doeleinden daarentegen onverenigbaar zijn met de doeleinden van de samenwerkingsverbanden die worden aangewezen bij of krachtens dit wetsvoorstel.25

Vraag 28 (D66) – normering waarborgen bij amvb

Allereerst willen deze leden benadrukken dat het belang wordt ingezien van gegevensuitwisseling tussen instanties. De leden van de D66-fractie maken zich echter met name zorgen over de wettelijke normering, die nog vrijwel geheel bij AMvB moet plaats vinden. Acht de Minister dit geen risico voor transparantie en rechtszekerheid? Dit staat ook in tegenstelling tot het in december jl. vastgestelde coalitieakkoord (bijlage bij Kamerstuk 35 788, nr. 77) waarbij is vastgelegd dat waarborgen bij gegevensuitwisselingen in de wet verankerd moeten worden. Tevens stelt het coalitieakkoord dat de overheid zelf het goede voorbeeld moet geven door dataminimalisatie. De leden vragen de Minister te reflecteren op hoe het huidige voorliggende wetsvoorstel dat nu in de Eerste Kamer ligt zich verhoudt tot het coalitieakkoord.

Allereerst is van belang dát de waarborgen nu vastgelegd worden, zodat duidelijk is voor de deelnemers aan de samenwerkingsverbanden en de burger, waar de samenwerkingsverbanden aan moeten voldoen. Dat veel van de waarborgen bij amvb worden uitgewerkt, doet daaraan niet af. Artikel 10 van de Grondwet staat de wetgever ook toe om regels met betrekking tot de beperking van het recht op eerbiediging van de persoonlijke levenssfeer bij of krachtens de wet te stellen. De hoofdelementen van de gezamenlijke gegevensverwerking voor de samenwerkingsverbanden zijn opgenomen in de formele wet: het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij onder welke randvoorwaarden mogen verwerken, en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. De Afdeling advisering stelt in haar voorlichting dat het gewijzigde voorstel nu wel diverse wezenlijke elementen en begrenzingen van de wettelijke regeling op het niveau van de formele wet bevat, als het gaat om de in het wetsvoorstel zelf geregelde samenwerkingsverbanden. Volgens de Afdeling advisering doet daaraan niet af dat bepaalde aspecten bij amvb nader geregeld worden, want de grondwetgever heeft in artikel 10, eerste lid, van de Grondwet delegatie toegestaan.26 Gelet op de behoefte uit de praktijk aan flexibiliteit acht ik het wenselijk om bepaalde aspecten bij amvb nader te regelen.27

Dat er bij amvb nadere regels worden gesteld, laat onverlet dat de transparantie en rechtszekerheid worden bevorderd doordat er sprake is van slechts één amvb, te weten het concept-BGS. Deze kent dezelfde indeling en volgorde als de WGS. In de toelichting wordt telkens de samenhang met de betreffende artikelen uit de WGS vermeld. Uiteraard is van belang dat er passende opleidingen en trainingen plaatsvinden zodat elke deelnemer de waarborgen in de amvb kent. Daartoe verplicht artikel 1.17 van het concept-BGS. Een nadere uitwerking in de amvb zorgt ervoor dat er flexibel ingespeeld kan worden op ontwikkelingen op het gebied van informatieverwerking, data-analyse en waarborgen rondom dataverwerkingen. De ontwikkelingen op deze gebieden gaan snel.

Vraag 29 (D66) – doelbinding

De leden van de D66-fractie lezen dat de AP stelt dat de Algemene verordening gegevensbescherming (AVG) uitzonderingen op het doelbindingsbeginsel slechts beperkt toelaatbaar zijn, zoals ook door de wetgever herhaaldelijk is bevestigd. Mensen verstrekken gegevens gericht op een bepaald doel en verwachten dan ook dat (volgens de wet) de gegevens niet zomaar voor andere doeleinden worden gebruikt. In het coalitieakkoord is vastgelegd dat voor gegevensuitwisseling grondslagen met de juiste waarborgen, waarbij expliciet doelbinding wordt genoemd, verankerd moeten worden in de wet. Is de Minister het eens dat de abstracte formulering van zowel categorieën als precisering hiervan per AMvB op deze wijze niet voldoen aan de afspraken gemaakt in het coalitieakkoord? Is de Minister het met de aan het woord zijnde leden eens dat er onvoldoende specificering en inkadering zit aan het doel waarvoor gegevens gebruikt morgen worden, en dat dus van het doelbindingsbeginsel nog nauwelijks kan worden gesproken? Zo nee, is de Minister het dan eens dat deze waarborgen te beperkt zijn verwerkt in het wetsvoorstel zelf, maar steunen op nog nadere invulling?

Vraag 30 (Volt) – beginselen van doelbinding en dataminimalisatie

Het blijft ook nog onduidelijk waar de grenzen van het doelbindingsbeginsel en het beginsel van minimale gegevensverwerking ligt met betrekking tot de samenwerkingsverbanden. Kan de Minister dit nader toelichten?

Vraag 31 (Volt) – proportionaliteit en subsidiariteit van gegevensdeling

Tot slot zouden deze leden van de Volt-fractie graag van de Minister horen op welke manier de gegevensdeling, die wordt opgetuigd via de WGS, concreet bijdraagt aan de gestelde doelen van het wetsvoorstel. Deze leden verzoeken om daarbij specifiek in te gaan op de evenredigheid. Is het middel proportioneel? Welke andere middelen kunnen worden ingezet om het doel te bereiken en waarom worden die niet gebruikt?

Vraag 32 (D66) – zelflerende algoritmes

Het gebruik van zelflerende algoritmes kan grote impact hebben op kwetsbare groepen. Betekent «een zorgvuldig gebruik van algoritmes» dat er altijd een menselijke beoordeling is voordat er een uitkomst wordt vastgesteld?

Vraag 33 (PvdA) – menselijke tussenkomst bij geautomatiseerde gegevensanalyse

De leden van de PvdA-fractie lezen dat het wetsvoorstel inzake geautomatiseerde gegevensanalyses onder andere een «verplichting tot menselijke tussenkomst om te controleren op zorgvuldige totstandkoming van resultaten». Kan de Minister concreet aangeven waaruit de menselijke tussenkomst moet gaan bestaan en op welke momenten die moet plaatsvinden?

Geautomatiseerde gegevensanalyse is volgens artikel 1.1 WGS een analyse van persoonsgegevens waarbij tijdens de analyse geen menselijke tussenkomst plaatsvindt.30 De gegevensanalyse wordt dus daadwerkelijk door een geautomatiseerd systeem uitgevoerd. Het wetsvoorstel vereist wel dat er menselijke tussenkomst plaatsvindt in de fase nadat de analyse is voltooid maar voordat de resultaten worden verstrekt aan de deelnemer van het samenwerkingsverband. Daarbij moet gecontroleerd worden op zorgvuldige totstandkoming van de analyse (artikel 1.9, tweede lid, WGS).

Welke vormen van geautomatiseerde gegevensanalyse mogelijk zijn, kan verschillen per samenwerkingsverband en wordt in de amvb nader uitgewerkt.

Alleen aan iCOV geeft het wetsvoorstel de bevoegdheid tot gezamenlijke geautomatiseerde gegevensanalyse (artikel 2.13). Deze bevoegdheid is uitgewerkt in artikel 2.9 tot en met 2.12 van het concept-BGS. Het gaat dan om de geautomatiseerde gegevensanalyse van gegevensbestanden ten behoeve van een iCOV themarapportage, waarbij de analyse van de data door middel van (beschrijvende) algoritmen plaatsvindt en niet alleen door menselijke duiding. De iCOV themarapportage bestaat feitelijk uit een eerste deel, dat geautomatiseerd tot stand is gekomen, en een tweede deel met handmatige hoofdstukken, waarin de rapporteur menselijke duiding geeft. Hierbij wordt ook uitgelegd hoe de resultaten tot stand zijn gekomen. Voordat de rapportage verstrekt wordt, wordt de rapportage door meerdere medewerkers gecontroleerd.

Vraag 34 (PvdA) – verbod op algoritmen met onnavolgbare, oncontroleerbare uitkomsten

Hoe en door wie wordt het «verbod op algoritmen waarvan de uitkomsten niet navolgbaar en controleerbaar zijn» gehandhaafd? Is de AP de daarvoor aangewezen instantie en heeft die inmiddels wel voldoende capaciteit om deze taak te kunnen uitvoeren?

Artikel 1.9, zesde lid, WGS, verbiedt om algoritmes te hanteren waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. Hierop is allereerst het toezicht van toepassing dat van toepassing is op de naleving van alle bepalingen van het wetsvoorstel, inclusief het toezicht door de AP. Hierop is nader ingegaan in antwoord op vraag 40 (D66) – toezicht en op vraag 41 (D66) – capaciteit AP. Bovendien voorziet het wetsvoorstel in diverse terugkoppelings- en evaluatiemechanismen van de gegevensverwerkingen:

De ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband zijn verplicht ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van die resultaten was (artikel 1.7, vierde lid, wetsvoorstel).

De deelnemers van een samenwerkingsverband moeten een periodieke evaluatie op basis van deze terugkoppeling uitvoeren (artikel 1.7, vijfde lid, wetsvoorstel).

In onafhankelijke privacy audits moet periodiek worden onderzocht of men voldoet aan de AVG en de WGS; de resultaten gaan in afschrift naar de AP (artikel 1.10 wetsvoorstel).

Er moet een jaarverslag worden gepubliceerd met een terugkoppeling over de bruikbaarheid van de resultaten die partijen van het samenwerkingsverband hebben ontvangen (artikel 1.12 wetsvoorstel).

Een evaluatie van de doeltreffendheid en effecten van de wet in de praktijk moet binnen vijf jaar plaatsvinden (artikel 5.1 wetsvoorstel).

De indicatoren worden opgesteld op basis van wetenschappelijke kennis, statistische validatie en expertkennis (artikel 2.10 concept-BGS).

De rechtmatigheidsadviescommissie geeft verplicht advies aan de deelnemers over onder meer de indicatoren en verwerkingsmethode (artikel 2.9, tweede lid, concept-BGS).

Vraag 35 (PvdA) – uitleg over logica geautomatiseerde gegevensanalyse

Hoe wordt de «verplichting tot uitleg op toegankelijke wijze aan het publiek over de gehanteerde patronen, indicatoren en andere onderliggende logica» concreet uitgevoerd en gehandhaafd?

Bij geautomatiseerde gegevensanalyse – die bij iCOV aan de orde kan zijn – moet het samenwerkingsverband op toegankelijke wijze op eigen initiatief uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica (artikel 1.9, derde lid, WGS).

«Op toegankelijke wijze» uitleg geven wil zeggen dat men weinig moeite hoeft te doen om toegang tot de informatie te krijgen. Opneming daarvan in een privacystatement op de eigen website met een duidelijke link op de homepage kan daaraan bijdragen.

Concreet betekent dit dat een iCOV-themarapportage pas door de deelnemers aan iCOV kan worden aangevraagd als de vereiste uitleg is gepubliceerd op de website van iCOV. In overleg met de deelnemers en de rechtmatigheidsadviescommissie wordt een tekst opgesteld met de beschrijving van de themarapportage. Om te voorkomen dat criminelen hun gedrag aanpassen als ze weten welke indicatoren gebruikt worden, kan op de website van iCOV geen gedetailleerde beschrijving worden gegeven van de indicatoren. Zoals toegelicht in de nota naar aanleiding van het verslag, betekent artikel 1.9, derde lid, WGS bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, dat variabelen bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd worden. Te denken valt aan het aantal hypotheken op één naam, omdat een groot aantal hypotheken op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie. De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden.31

Of de verplichting tot uitleg wordt nagekomen kan worden onderzocht in de verplichte onafhankelijke privacy audits en door de Autoriteit Persoonsgegevens en de functionarissen voor gegevensbescherming. De Autoriteit Persoonsgegevens kan zo nodig handhavend optreden.

Vraag 36 (Volt) – controle op risico-indicatoren geautomatiseerde gegevensanalyse

Kan de Minister toelichten hoe de Kamer, of de relevante toezichthouder, in staat zal worden gesteld om te controleren welke risico-indicatoren worden gebruikt bij deze geautomatiseerde gegevensanalyse?

Vraag 37 (Volt) – zicht op gebruikte IT-systemen en AI

Vooralsnog is geen uitvoering gegeven aan de moties die zien op het verplichten van algoritmeregisters en blijkt nog te vaak dat uitvoeringsorganisaties onvoldoende zicht hebben op de algoritmes en IT-systemen die worden gebruikt om geautomatiseerde gegevensanalyse uit te voeren. Uit een rapport van de Algemene Rekenkamer blijkt dat vrijwel geen enkel ministerie een goed beeld heeft van de AI die het ministerie zelf gebruikt.32 Kan de Minister toelichten hoe ervoor gezorgd zal worden dat de gegevensverwerking en de gebruikte IT-systemen te controleren zijn?

Het kabinet is bezig met de opzet en inrichting van het algoritmeregister. Daarbij wordt dankbaar gebruik gemaakt van ervaringen met recent opgezette bestaande algoritmeregisters (zoals die van de gemeenten Amsterdam, Utrecht en Rotterdam). Die laten zien dat het belangrijk is om transparant te zijn over het gebruik en de impact van algoritmen en dat het moet gaan om algoritmen met aanmerkelijke impact op burgers. Zoals de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties op 4 juli 2022 aan uw Kamer heeft geschreven, heeft zij met de CIO’s van de Rijksdienst afgesproken dat zij beginnen met het in het kaart brengen van hun algoritmen en maakt zij met medeoverheden en uitvoeringsorganisaties afspraken over eenduidige registratie van algoritmen.33

Zoals nader is toegelicht in de brief publieke controle op algoritmen aan uw Kamer van 7 oktober 2022, vindt de uitwerking van het algoritmeregister komend jaar plaats in nauwe samenwerking met overheden en experts.34 Een registratieverplichting volgt later, want die moet in samenhang bezien worden met de Europese AI verordening die zich op dit moment nog in de onderhandelingsfase bevindt. Deze bevat onder andere een rechtstreeks werkende verplichting voor de aanbieders van hoog-risico AI-systemen om het systeem te registreren in een EU-databank inclusief informatie over het systeem. Deze registratie dient te gebeuren voordat een aanbieder het systeem op de markt brengt of onder eigen naam het systeem in gebruik neemt. Daarnaast is tijdens de raadsonderhandelingen over de AI-verordening, mede door de Nederlandse inzet, ook een registratieverplichting opgenomen voor de gebruikers van hoog-risico AI-systemen.

Volgens het wetsvoorstel en het concept-BGS kan alleen iCOV gebruik maken van geautomatiseerde gegevensanalyse. Voordat rapportages met deze vorm van analyse verstrekt kunnen worden, moet een productbeschrijving opgesteld worden waarin het gehanteerde thema, de indicatoren en de methode worden beschreven en verantwoord (artikel 2.9, tweede lid, concept-BGS). Bovendien moet iCOV op grond van artikel 1.9, derde lid, WGS aan het publiek op toegankelijke wijze uitleg geven over gehanteerde patronen, indicatoren en andere onderliggende logica. Hiermee is er dus inzicht in de gehanteerde algoritmen.

Vraag 38 (Volt) – algoritmetoezichthouder

Op basis van welke regels moet de nog op te richten algoritme-waakhond toezicht houden?

Vraag 39 (Volt) – algoritmeregisters

Wanneer wordt gestart met de openbare algoritmeregisters?

Vraag 40 (D66) – toezicht

De leden van de D66-fractie horen graag van de Minister hoe het toezicht geregeld is op de WGS.

Het toezicht op de gegevensverwerking bij de samenwerkingsverbanden in de zin van de WGS is op verschillende manieren geborgd:

De in te stellen rechtmatigheidsadviescommissie zal ingevolge het voorgestelde artikel 1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. In het concept-BGS is voorzien dat een rechtmatigheidsadviescommissie moet bestaan uit door de deelnemers aan een samenwerkingsverband benoemde personen met deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel 1.14, eerste lid, concept-BGS).

Op basis van artikel 1.10 van het wetsvoorstel dient periodiek een onafhankelijke privacy-audit plaats te vinden. Zo wordt elk samenwerkingsverband periodiek doorgelicht op compliance met de AVG, de WGS en het BGS. De resultaten van de privacy audits moeten worden toegezonden aan de AP.

De functionarissen voor gegevensbescherming van de afzonderlijke deelnemers hebben het recht om te allen tijde de taken uit te voeren die op grond van de privacywetgeving aan hen zijn toebedeeld. In aanvulling daarop wordt ingevolge het voorgestelde artikel 1.4, tweede lid, WGS één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties aangewezen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Dit laat de bevoegdheden van de functionarissen onverlet, maar moet de coördinatie bevorderen van het bestaande toezicht door de functionarissen voor de gegevensbescherming. Zo moeten de deelnemers rapporteren aan de coördinerend functionaris voor de gegevensbescherming, indien zij besluiten af te wijken van een advies (artikel 1.13 concept-BGS).

Het toezicht op de naleving door het samenwerkingsverband van de AVG, de WGS en het BGS valt onder de bevoegdheid van de AP.

Het kabinet heeft extra middelen beschikbaar gesteld voor de functie van een algoritmetoezichthouder die is ondergebracht bij de AP.

Vraag 41 (D66) – capaciteit AP

Gezien een groot deel van de waarborgen later pas ingevuld wordt door middel van AmvB’s, kan de Minister aangeven of de AP voldoende capaciteit heeft voor de gegevensverwerking die op grote schaal zal toenemen met dit wetsvoorstel?

Vraag 42 (VVD) – gegevensuitwisseling in Italië

Deze leden stellen voorop dat voor een succesvolle aanpak van georganiseerde criminaliteit het cruciaal is dat verschillende instanties gegevens kunnen uitwisselen. Omdat veel verschillende organisaties bij deze gegevensuitwisseling moeten toetsen aan verschillende grondslagen, leidt dat tot vertraging, versnippering en onvolledigheid. Deze leden gaan er dan ook vanuit dat met de Wet gegevensverwerking door samenwerkingsverbanden (WGS) een goede grondslag wordt gecreëerd voor gegevensdeling, uiteraard met daarbij passende waarborgen. Deze leden wijzen hierbij voorts op het coalitieakkoord, waarin is opgenomen dat de aanpak van ondermijning wordt verstevigd door aanpassing van wetgeving, opsporing, straffen, gegevensuitwisseling en detentie, en dat hierbij lessen worden getrokken uit de bestrijding van de maffia in Italië. Kan de Minister aangeven op welke wijze lessen zullen worden getrokken wat betreft de gegevensuitwisseling die plaatsvindt in Italië? Wanneer wordt de Kamer hierover geïnformeerd?

Vraag 43 (SP) – reactie op brief Amnesty International

De leden van de SP-fractie wijzen ten slotte op de reactie van Amnesty International Nederland, die afgelopen week bij de Kamer binnenkwam. In de brief benoemt Amnesty International waarom de reactie van de Minister op de kritische adviezen onvoldoende is en niet tegemoetkomt aan de voornemens van het nieuwe kabinet dat «de grondslagen voor gegevensuitwisseling met de juiste waarborgen, zoals doelbinding en proportionaliteit, zijn verankerd in de wet en dat in adequaat toezicht is voorzien». Deze leden vragen of de Minister op de punten kan reageren die Amnesty in haar brief heeft benoemd.

Amnesty International stelt in haar brief aan de Tweede Kamer van 14 februari 2022 (niet gepubliceerd) dat om mensenrechten te beschermen aanpassingen noodzakelijk zijn in de in wet zelf, en dat het regelen van waarborgen niet moet worden uitgesteld tot het moment dat de amvb tot stand komt. In reactie hierop wordt opgemerkt dat. In reactie hierop wordt opgemerkt dat, om te voldoen aan het EVRM, sprake moet zijn van een wettelijk voorschrift in materiële zin. Dat kan ook een amvb zijn, zoals hier aan de orde is. Voor een nadere reactie verwijs ik naar het antwoord op vraag 28 (D66) – normering waarborgen bij amvb. Zoals uit de tabel in dat antwoord blijkt, bevat ook het wetsvoorstel zelf een reeks aan waarborgen, zodat naar mijn mening geen sprake is van uitstel, maar van aanvulling van waarborgen.

Verder stelt Amnesty International dat het doel van de gegevensverwerking niet voldoende specifiek is omschreven. Voor een reactie hierop verwijs ik naar het antwoord op vraag 29 (D66) – doelbinding.

Ook vindt Amnesty International dat de rechten van betrokkenen onvoldoende worden beschermd. Voor een reactie hierop wordt verwezen naar het antwoord op vraag 17 (Volt) – rechten van burgers en transparantie, vraag 15 (SP) – transparantie op casusniveau, vraag 18 (Volt) – waarborgen tegen discriminatie en vraag 19 (Volt) – voorkomen van discriminatie bij risicoprofilering.

De brief van Amnesty International besluit ermee dat de democratische controle onvoldoende is verankerd bij het aanwijzen van nieuwe samenwerkingsverbanden, omdat het wetsvoorstel niet voorschrijft wanneer sprake is van spoed en wie dat zal beoordelen. Dit is aan bod gekomen in het antwoord op vraag 2 (VVD) – definitie en voorbeelden van spoedsituaties en vraag 4 (SP) – over definitie spoed overleggen met de Kamers.

Vraag 44 (Volt) – betekenis WGS voor rechtmatigheid

In de verschillende brieven van de Minister komt naar voren dat het wetsvoorstel een belangrijke verbetering zal zijn in vergelijking met de huidige situatie. Dat klinkt positief, maar de leden van de Volt-fractie stellen de Minister de vraag wat dat precies betekent. Betekent het dat in de huidige situatie gegevens worden gedeeld zonder grondslag, dus onrechtmatig, of dat de gegevensdeling beter zal worden ingericht, dus in lijn met de AVG en zonder ongeoorloofde inbreuk te maken op grondrechten?

Vraag 45 (Volt) – tijdpad amvb

Er moeten – zo blijkt uit de brief van de Minister – nog veel zaken worden uitgewerkt bij AMvB. Zou de Minister een tijdspad kunnen schetsen waarin wordt aangegeven wanneer deze AMvB’s worden opgesteld, waarbij ook wordt aangegeven wanneer uitvoering zal worden gegeven aan de gegevensdeling in de wet, zodat vooraf volledig duidelijk is onder welke voorwaarden en met welke waarborgen gegevens verwerkt zullen worden.