De fractieleden van de PvdA en GroenLinks hebben met interesse kennisgenomen van het gewijzigde voorstel. Zij hebben nog enkele vragen.

De leden van de fractie van D66 hebben met belangstelling kennisgenomen van het wetsvoorstel alsmede de onderliggende stukken waaronder, nadat het wetsvoorstel als gevolg van amendering was aangepast, de op verzoek van de Eerste Kamer uitgebrachte hernieuwde advisering van het College voor de Rechten van de Mens (brief van 24 juni 2021)3, de Autoriteit Persoonsgegevens (brief van 9 november 2021)4 en de Afdeling Advisering van de Raad van State (brief van 18 november 2021)5, alsmede de reactie van de regering daarop bij brief van 17 december 2021.

De leden van de PVV-fractie hebben kennisgenomen van het voorstel en hebben nog enkele vragen.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel, dat sinds de voorgenomen indiening een aantal forse wijzigingen heeft ondergaan. Deze leden stellen met genoegen vast dat de regering op een aantal punten gevolg heeft gegeven aan de reacties op de consultatie en de adviezen van onder meer de Raad van State. Ook is het wetsvoorstel tijdens de behandeling in de Tweede Kamer nog verder aangepast. Graag stellen deze leden nog de volgende vragen.

De leden van de PvdD-fractie hebben kennisgenomen van het voorstel en hebben enkele vragen hierover. Verzocht wordt dat alle sub-vragen afzonderlijk worden beantwoord.

De leden van de SGP-fractie hebben kennisgenomen van het wetsvoorstel gegevensverwerking door samenwerkingsverbanden. De leden van de SGP-fractie onderschrijven dat het van belang is om gegevensverwerking tussen samenwerkingsverbanden te reguleren. Op dit moment vindt deze gegevensverwerking zonder wettelijke grondslag plaats. In het belang van de bestrijding van ernstige en onder meer ondermijnende criminaliteit dient de gegevensverwerking van samenwerkingsverbanden op een overzichtelijke en rechtsstatelijke manier te worden vormgegeven. De leden van de SGP-fractie hebben nog enkele vragen over het wetsvoorstel.

De leden van de SGP-fractie lezen dat gegevensverwerking onmiskenbaar een belangrijk instrument is in de bestrijding van ernstige en ondermijnende criminaliteit. Deze leden onderschrijven de noodzaak dat samenwerkingsverbanden in de bestrijding van deze criminaliteit hun werk adequaat moeten kunnen blijven uitvoeren en niet onnodig tegen vertragende regelgeving aan moeten lopen. De leden van de SGP-fractie vragen de regering of het wetsvoorstel zélf niet voor onnodige vertraging zorgt in de bestrijding van ondermijnende criminaliteit en of de samenwerkingsverbanden hun werk ongestoord kunnen blijven voortzetten. Deze leden vragen de regering of zij kan aantonen dat dit wetsvoorstel niet voor een ongewenst grote regeldruk voor de samenwerkingsverbanden zorgt. Kan de regering deze verhoging van de regeldruk in kaart brengen?

De leden van de SGP-fractie lezen dat het wetsvoorstel noodzakelijk is vanuit het oogpunt van rechtsstatelijkheid. Gegevensverwerking tussen samenwerkingsverbanden dient op basis van een wettelijke grondslag plaats te vinden. De leden van de SGP-fractie vragen de regering of deze wettelijke grondslag een weergave is van de huidige gegevensverwerking tussen samenwerkingsverbanden en of dit wetsvoorstel slechts het «coderen» van de praktijk behelst of dat de samenwerkingsverbanden hun gegevensverwerkingsstructuur op een groot aantal vlakken moeten aanpassen.

De leden van de SGP-fractie lezen dat op grond van de Algemene Verordening Gegevensbescherming (AVG) gegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, de zogenoemde doelbinding. De leden van de SGP-fractie constateren dat de doelstellingen van gegevensverwerking in het voorstel vrij algemeen zijn aangegeven. De leden van de SGP-fractie vragen de regering of deze algemene doelstellingen ook voor toetredende samenwerkingsverbanden voldoende zijn of moeten toetredende samenwerkingsverbanden een striktere doelstelling hanteren?

De Eerste Kamer heeft de Autoriteit Persoonsgegevens, het College voor de Rechten van de Mens en de Raad van State gevraagd om (nader) advies uit te brengen over het gewijzigde voorstel van wet. De leden van de fracties van GroenLinks en PvdA hebben naar aanleiding van die adviezen een aantal specifieke vragen, maar zouden de regering om te beginnen willen vragen een appreciatie van de in de adviezen genoemde punten van zorg en kritiek te geven. Ook vernemen de leden graag of de geuite zorgen aanleiding zijn geweest voor de regering om de wet te heroverwegen of aan te passen? En op welke wijze is de nieuwe Staatssecretaris voor Digitalisering bij dit wetsvoorstel betrokken?

In zijn advies van 9 november stelt de Autoriteit Persoonsgegevens dat het wetsvoorstel niet bepaalde fundamentele beginselen zoals het transparantiebeginsel in acht neemt. Het is volgens de Autoriteit daarmee te lastig voor burgers om te weten te komen welke informatie over hen bekend is en wordt uitgewisseld. Het corrigeren van mogelijk onjuiste informatie wordt hiermee vrijwel onmogelijk. Zonder transparantie is effectieve rechtsbescherming van burgers niet mogelijk en de Autoriteit Persoonsgegevens waarschuwt zelfs voor «kafkaëske toestanden voor grote aantallen mensen». Ook het College voor de Rechten van de Mens heeft in haar advies aan de Eerste Kamer dit probleem benoemd. De leden van GroenLinks- en de PvdA-fracties maken zich hier zorgen om. Inmiddels is het mede door de toeslagenaffaire duidelijk geworden wat voor verschrikkelijke gevolgen het voor iemand kan hebben als zij op basis van onjuiste aannames als fraudeur of verdachte zonder het te weten op een lijst worden gezet waar ze bovendien niet meer vanaf kunnen komen. Wat zijn de mechanismes die de regering in stelling heeft gebracht om transparantie jegens burgers te garanderen? Waar zijn deze verankerd? Zijn deze voldoende toegankelijk voor burgers? Ook als hierbij het doenvermogen wordt betrokken?

Welke geautomatiseerde gegevensanalyse gaat er op basis van deze wet plaatsvinden? Wordt daarbij gebruik gemaakt van kunstmatige intelligentie en zelflerende systemen? Wie gaat bepalen welke algoritmen gebruikt gaan worden, en hoe wordt hier toezicht op gehouden?

De Raad van State stelt in zijn advies dat het onduidelijk is of het wetsvoorstel, dat nu het de wezenlijke elementen van nieuwe samenwerkingsverbanden middels een algemene maatregel van bestuur (AMvB) regelt, in het licht van artikel 10 van de Grondwet een adequate wettelijke grondslag biedt voor de beoogde verwerking en verstrekken van gegevens. Wat is de reactie van de regering hierop? Wil de regering ervoor zorgen dat de wezenlijke elementen van een nieuw samenwerkingsverband uiteindelijk bij wet worden geregeld, zoals de Raad van State adviseert, en zo ja hoe? Wat is de reactie van de regering op het advies van de Autoriteit Persoonsgegevens om de mogelijkheid van het oprichten van een nieuw samenwerkingsverband bij AMvB te schrappen?

Allereerst wensen de D66-fractieleden op te merken dat zij doordrongen zijn van het belang van een grotere effectiviteit van de integrale aanpak van «georganiseerde criminaliteit» en de ondermijningsproblematiek, van risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van complexe problemen rond personen op het vlak van zorg en veiligheid, en van onder meer (andere) «ernstige vormen van criminaliteit». Zij steunen het principe dat gegevens daarover door samenwerkingsverbanden in beginsel moeten kunnen worden gedeeld en verwerkt. Daarnaast achten de leden van de D66 fractie de vastlegging van waarborgen – in aanvulling op de AVG – voor een goede bescherming van de persoonsgegevens die door deze samenwerkingsverbanden worden verwerkt, noodzakelijk.

Dat gezegd hebbende, vragen de leden van de D66-fractie zich af of de breed geformuleerde doelen in het wetsvoorstel de daar vermelde inbreuken op de grondrechten van het individu (art. 10, recht op eerbiediging van de persoonlijke levenssfeer) rechtvaardigen. Voldoen de maatregelen die voorgesteld worden wel aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit? Daarbij nemen deze D66-leden het advies van de Raad van State ter harte. De Afdeling Advisering van de Raad van State stelt: «De Afdeling realiseert zich dat het wetsvoorstel potentieel vérgaande vormen van gegevensverwerking mogelijk maakt. Niet alle risico’s die daarmee gepaard gaan kunnen door de wet worden uitgesloten. Cruciaal is daarom dat de wetgever moet kunnen vertrouwen op een kwalitatief goede uitvoeringspraktijk. Dat vereist niet of niet primair nadere regels of protocollen, maar professionaliteit en (ook juridische) deskundigheid op de werkvloer. De mate waarin dat wordt gerealiseerd zal bepalend zijn voor het vertrouwen in een overheid die rechtmatig én effectief persoonsgegevens verwerkt.» 6

Mede in het kader van de goede uitvoerbaarheid van het wetsvoorstel vragen de D66-fractieleden de regering aan te geven welk plan er uitgerold wordt om de noodzakelijke professionaliteit en (ook juridische) deskundigheid op de werkvloer te verbeteren en binnen welke termijn. Deze leden hebben daarbij tevens in gedachten de lessen die de (mede-)wetgever uit de kindertoeslagaffaire heeft getrokken.7

In de brief van 18 november 2021 van de Afdeling Advisering van de Raad van State formuleert de Afdeling op pagina 2 vier bedenkingen tegen het wetsvoorstel.8 Zou de regering die puntsgewijs kunnen becommentariëren? De leden van de D66-fractie constateren dat het antwoord dat de regering de Eerste Kamer bij brief van 17 december 2021 stuurde, niet alle punten van zorg die de Raad van State heeft geformuleerd, adresseert.

De Autoriteit Persoonsgegevens, de Raad van State en het College voor de Rechten van de Mens hebben kritiek op of twijfel over de vraag of het voorstel voldoet aan de eisen die voortvloeien uit de AVG en uit artikel 10 Grondwet en vergelijkbare verdragsbepalingen. Als deze kritiek of twijfel gegrond is, impliceert dit dan dat als het voorstel wordt aangenomen en uitgevoerd, de kans reëel is dat een rechter bepalingen van de WGS of van uitvoeringsmaatregelen onverbindend zal oordelen? Zo nee, op welke juridische redenering wordt die ontkennende beantwoording gegrond, zo vragen de leden van de fractie van PvdD.

Op bladzijde 16 van het advies van de Autoriteit Persoonsgegevens wordt ingegaan op de vraag of de artikelen 2.2., tweede lid en 2.10 WGS voldoen aan de eis van «welbepaaldheid».9 De Autoriteit Persoonsgegevens oordeelt van niet en beroept zich daarbij op de uitspraak van het Europese Hof van Justitie in de zaak Digital Rights Ireland en op het bindend advies van het Hof van Justitie Europese Unie over de Passenger Name Record (PNR)-overeenkomst tussen de EU en Canada. Deelt de regering de conclusie van de Autoriteit Persoonsgegevens? Zo nee, op welke juridische redenering wordt die ontkennende beantwoording gegrond?

Op pagina 37 van het wetgevingsoverleg in de Tweede Kamer stipuleert de regering: «Er worden geen gegevens verwerkt over nationaliteit, ras of etnische afkomst.».10 De leden van de fractie van D66 begrijpen in dat licht niet waarom artikel 2. 21 lid 1 WGS dan de bevoegdheid geeft persoonsgegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid te verwerken. Wat is hiervan de logica? Dezelfde vraag over artikel 2.22 lid 1 onder 2 WGS. De regering zegt op pagina 29 van het wetgevingsoverleg dat het samenwerkingsverband Regionale Informatie- en Expertisecentra (RIEC) die gegevens mag verwerken als het gaat om mensenhandel en gedwongen prostitutie.11 Dit begrijpen de D66-fractieleden niet. Geen gegevens over nationaliteit, maar wel over seksuele gerichtheid bij mensenhandel?

Volgens artikel 1.8 onder 7 WGS worden de gegevens na verloop van tijd vernietigd of uit de systemen gehaald. Zijn er echt geen uitzonderingen op deze regel, zo vragen de leden van de fractie van D66. Bijvoorbeeld wanneer wetenschappelijk onderzoek wordt gedaan naar een bepaald persoon, groep of fenomeen en een lange terugkijkperiode van belang is.

Volgens o.a. artikel 1.7 WGS kunnen verwerkte gegevens aan een derde worden verstrekt. Dit kunnen dus zeer persoonlijke en gevoelige gegevens zijn. Graag verzoeken de leden van de D66-fractie de regering per samenwerkingsveld een paar voorbeelden van zulke derden te noemen die voor een dergelijke gegevensoverdracht in aanmerking kunnen komen.

Stel dat het wetsvoorstel in werking is getreden. Zou het dan kunnen gebeuren dat een derde behoefte heeft aan gegevens over een bepaald persoon of organisatie, maar zelf die gegevens niet mag vergaren. Kan die derde dan een signaal aan een deelnemer van een samenwerkingsverband geven? En als langs die weg de deelnemer van het samenwerkingsverband de gegevens verwerkt en binnen dat verband deelt, dat de gegevens dan vervolgens aan de derde/signaalgever worden verstrekt? Is zo’n u-bocht constructie mogelijk, zo vragen de D66-fractieleden. Zo ja, hoe kwalificeert de regering dit? Zo nee, hoe wordt dit door de wettelijke regeling voorkomen?

Kan de regering aangeven welke mogelijkheden burgers hebben om tegen de verwerking van hun persoonsgegevens door de samenwerkingsverbanden in het geweer te komen? Het gaat hierbij veelal om informatie over burgers waarvan ze zelf niet eens weten dat die bestaat, laat staan dat deze data worden uitgewisseld en gecombineerd met data van andere organisaties. Dat kan het voor de burgers heel moeilijk maken om een beslissing die daar uit voorkomt aan te vechten. Over het antwoord op deze vraag is het wetsvoorstel volgens de leden van de D66-fractie niet helder.

In dat licht zou de D66-fractie willen benadrukken dat bepaalde groepen in de samenleving harder getroffen kunnen worden door de nadelige effecten van dit wetsvoorstel. Mensen in kwetsbare posities komen meer in aanraking met overheidsinstanties dan mensen die zichzelf goed kunnen redden. Automatische risicoselectie op basis van (zelflerende) algoritmes speelt hier een rol. De D66-fractie is bezorgd over het risico dat de samenwerkingsverbanden de geautomatiseerde gegevensanalyse zoals (risico)profilering niet correct gebruiken. Zijn er voldoende waarborgen en voorzorgsmaatregelen opgenomen in het voorliggende wetsvoorstel om de ingrijpende gevolgen van deze risicoprofielen te voorkomen. Is voldoende afgedekt dat de deelnemers aan de samenwerkingsverbanden de analyse niet vooral richten op bepaalde wijken of personen van een bepaalde afkomst? Is het wetsvoorstel discriminatie-proof?

De leden van de ChristenUnie-fractie stellen met voldoening vast dat het aangepaste wetsvoorstel in de beoordeling van de Raad van State nu in beginsel voldoet aan de eisen van art. 10 van de Grondwet, doordat de belangrijkste beperkingen op de betrokken grondrechten nu in hoofdzaak worden geregeld op het niveau van een formele wet. Dat laat echter onverlet dat grondrechten niet alleen in de Grondwet zijn gecodificeerd. Hoe taxeert de regering de houdbaarheid van dit wetsvoorstel in internationaal grond- en mensenrechtelijk verband?

Een wezenlijk onderdeel wat deze leden betreft is de rechtsbescherming. Hoe krijgt die in concreto vorm en inhoud?

In paragraaf 3.1 van zijn advies verwijst de Autoriteit Persoonsgegevens naar de ernst van de inbreuk op het privéleven door op te sommen welke persoonsgegevens de RIEC’s mogen verwerken. De Autoriteit Persoonsgegevens stelt: «Eigenlijk is er nauwelijks een gegeven te bedenken dat er niet onder valt. Het gaat daarbij bovendien niet alleen om de gegevens van de betrokkene zelf, maar ook van mensen in een directe kring van de betrokkene.». 12Kloppen deze twee constateringen van de Autoriteit Persoonsgegevens, zo vragen de leden van de PvdD-fractie. Kan de regering vijf tot tien andere persoonsgegevens noemen waarvoor dan geldt dat zij niet onder de bijna twintig in artikel 2.22, eerste lid WGS genoemde gegevens vallen en dus niet door RIEC’s zouden mogen worden verwerkt?

In hoeverre is het voor een individuele burger mogelijk om te verifiëren welke gegevens er over hem of haar worden uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben voor die persoon? Zo ja, op welke wijze? Zo nee, behoren uit een oogpunt van bescherming van grondrechten dan niet alsnog voorzieningen in de wet te worden opgenomen die de mogelijkheid wel creëren? In artikel 1.9 WGS, eerste lid is een zorgplicht opgenomen. Kan een burger daaraan een aanspraak ontlenen? Zo nee, verdraagt zich het ontbreken van waarborgen en aanspraken voor de burger op dit punt zich met het grondrecht op bescherming van persoonsgegevens?

Waarom is niet in artikel 1.5 WGS geregeld dat verstrekking van gegevens die niet rechtmatig zijn verkregen, verboden is, zo vragen de leden van de PvdD-factie.

Hoe ziet de regering dit wetsvoorstel in het licht van de toeslagenaffaire en het rapport «Ongekend Onrecht», zo vragen de leden van de fracties van GroenLinks en PvdA. Is de regering bereid te wachten op de uitkomst van de parlementaire enquête over dit onderwerp? Zo nee, hoe borgt de regering dat de hierin te maken analyse en aanbevelingen ook zullen gelden voor de hier aan orde zijnde wet? En hoe garandeert de regering dat tot die tijd niet dezelfde schadelijke mechanismes en structuren hun werk doen? Is in de onderhavige wet (wel) geborgd dat onschuldige burgers geen slachtoffer worden van onterechte verdenkingen, disproportionele maatregelen, discriminerende profilering of andere zeer ongewenste (bij)effecten van de wet?

Op welke manier is bij dit wetsvoorstel lering getrokken uit het afschuwelijke debacle van de toeslagenaffaire, waarbij de levens van veel mensen zijn verwoest, zo vragen de leden van de fractie van PVV.

Onder meer het College voor de Rechten van de Mens waarschuwt voor het gebruik van zogenoemde «gekleurde datasets». Kan de regering de leden van de ChristenUnie-fractie aangeven hoe daar in de bestaande praktijk mee wordt omgegaan en hoe bij de uitvoering van dit wetsvoorstel voorkomen kan worden dat dergelijke gekleurde datasets tot onwenselijke resultaten gaan leiden?

Tot slot vernemen de leden van de ChristenUnie fractie graag hoe controle en zo nodig correctie van onjuiste gegevens vorm krijgen.

Is er inzicht in het specificatieproces van de software die samenwerkingsverbanden gebruiken (dit is het proces van omzetting van de wet- en regelgeving in een code). En zijn de samenwerkingsverbanden in voldoende mate in staat om softwarematige gegevens en voorspellingen te doorgronden en in hun afweging te betrekken, zonder daar onevenredig veel gewicht aan toe te kennen? Is deze informatie voldoende toegankelijk voor burgers?

De Raad van State wijst erop dat er duidelijke voorwaarden moeten worden afgesproken waaronder zo groot mogelijke transparantie en voldoende mate van menselijk toezicht; hoe is dat toezicht geregeld bij deze samenwerkingsverbanden? Het betreft het toezicht op de zaken die de gegevensverwerking betreffen, maar ook of de verantwoordingseisen, zoals bijvoorbeeld de jaarverslaglegging (artikel 1.12 WGS), de rapportage over de effectiviteit van de gegevensverwerking (artikel 1.7 WGS), de verplichting om een contactpersoon aan te wijzen (artikel 1.4 WGS), etc. worden nageleefd? Worden de informatiesystemen beveiligd en gecertificeerd, zo vragen de leden van de fractie van VVD.

Het ICOV verwerkt gegevens met het oog op het in kaart brengen van onverklaarbaar of crimineel vermogen, het bestrijden van witwas- of fraudeconstructies, het kunnen innen van overheidsvorderingen die oninbaar dreigen te worden en het uitoefenen van toezicht op de goede werking van de markt. Voor deze doelstellingen mag het ICOV gegevens verwerken. Niet alle doestellingen zijn echter even «zwaar». Op welke wijze, vragen de leden van de VVD-fractie, rechtvaardigt het innen van overheidsvorderingen een inbreuk op de privacy?

Er lijkt veel ruimte te zijn voor de samenwerkingsverbanden om zelf te bepalen wanneer zij in actie komen. Hoe wordt gewaarborgd dat de actie proportioneel is en de inbreuk op de privacy rechtvaardigt?

De Autoriteit Persoonsgegevens stelt dat het startsignaal voor activering van een samenwerkingsverband onvoldoende concreet omlijnd is. Het Hof van Justitie van de EU heeft geoordeeld dat rondom de bescherming van persoonsgegevens er duidelijke, precieze regels en criteria moeten zijn voor wanneer er inbreuk gemaakt kan worden op grondrechten. De leden van de fracties van GroenLinks en PvdA zijn van mening dat zonder een helder startpunt voor het delen van persoonsgegevens een risico bestaat dat er te makkelijk inbreuk gemaakt wordt op de privacy van burgers. Burgers kunnen zo (al dan niet terecht) als «verdacht» – niet alleen in strafrechtelijke zin – te boek komen te staan, zonder de waarborgen die daarvoor in het strafrecht gelden. Wat zijn de concrete criteria waarop een samenwerkingsverband kan worden geactiveerd?

Wat het toezicht op de werkwijze van de samenwerkingsverbanden betreft geldt dat ook daarin nog veel onduidelijk is. Artikel 1.12 WGS schrijft voor dat er een jaarverslag moet worden gepubliceerd, maar alleen wanneer die openbaarmaking de verwezenlijking van de doeleinden van het samenwerkingsverband niet onmogelijk dreigt te maken of deze ernstig in het gedrang dreigen te brengen. De leden van de D66-fractie vragen of dit er niet toe gaat leiden dat ook deze weer opengelaten norm tot gevolg heeft dat er maar heel erg weinig gepubliceerd zal worden en heel gemakkelijk gezegd zal kunnen worden dat dit echt niet mogelijk is aangezien dat onderzoeksdoelen zou kunnen frustreren, de effectiviteit van het samenwerkingsverband zou kunnen aantasten en criminelen een inkijkje zou kunnen geven in de werkwijze et cetera?

Ook over de rechtmatigheidscommissie die de rechtmatigheid van nieuwe verwerkingen van persoonsgegevens en wijzigingen daarvan zou beoordelen is nog veel onduidelijk: wie zijn dat, hoe krijgen zij hun informatie aangeleverd, hoe kunnen zij hun toezicht uitoefenen, welke middelen en bevoegdheden krijgen zij daartoe, hebben zij de mogelijkheid in te grijpen en sanctioneren en zo ja hoe dan? Ook dat moet allemaal middels een AMvB nog worden ingevuld.

In de WGS worden verplichtingen opgelegd aan deelnemers en aan samenwerkingsverbanden, zo constateren de leden van de PvdD-fractie. Is de niet-naleving van die verplichtingen strafbaar? Bestaat er een bevoegdheid van een bestuursorgaan om met een bestuurlijke sanctie op te treden tegen niet-naleving? Indien een verplichting niet is nagekomen, kan een burger dan om handhaving verzoeken? Zo nee, waarom is dat niet geregeld? Zo ja, op welke wijze? En heeft de burger dan toegang tot een onafhankelijke rechter indien niet wordt gehandhaafd? Hoe kan een burger erachter komen dat een in de WGS vervatte verplichting niet is nageleefd door een deelnemer of een samenwerkingsverband? Op welke wijze is de naleving en de handhaving van de geheimhoudingsplicht vervat in artikel 1.11 WGS gewaarborgd?

Artikel 1.8, zevende lid WGS heeft betrekking op bewaring, vernietiging en hernieuwde verwerking van persoonsgegevens. Wie controleert of persoonsgegevens die niet meer bewaard mogen worden, daadwerkelijk worden vernietigd? De slotzin van het zevende lid spreekt over «persoonsgegevens die worden bewaard». Moet hieruit worden afgeleid dat persoonsgegevens die voor verwerking door een samenwerkingsverband zijn aangeboden door een deelnemer langer dan vijf jaar mogen worden bewaard? Wat wordt met «bijzondere gevallen» bedoeld? Kan de regering daar voorbeelden van geven? Levert een situatie dat een deelnemer of een samenwerkingsverband het nodig vindt om eerder verwerkte gegevens samen met nieuwe gegevens te verwerken omdat de verwachting bestaat dat resultaten worden verkregen die in het belang zijn van het samenwerkingsverband, een «bijzonder geval op»?

De vier bestaande samenwerkingsverbanden (FEC, ICOV, RIEC en ZVH) worden nu genoemd in de tekst van de wet in formele zin. Eventuele toekomstige samenwerkingsverbanden worden volgens het wetsvoorstel echter aangewezen bij AMvB. De leden van de ChristenUnie-fractie vragen de regering welke inhoudelijke motivatie aan deze keuze ten grondslag ligt. En is de regering bereid nu reeds toe te zeggen dat het wetsvoorstel op dit onderdeel zal worden aangepast, zodat elk samenwerkingsverband waarop de voorgestelde wettelijke regeling betrekking zal hebben bij formele wet zal worden aangewezen?

De Raad van State suggereerde nog een spoedvoorziening bij AMvB. Hoe kijkt de regering daar tegenaan? Zijn er concrete situaties te noemen waarin een dergelijke spoedvoorziening in de afgelopen jaren nodig zou zijn geweest?

Uit de reacties en adviezen volgt bij herhaling dat een zorgvuldige praktijk van uitvoering van vitaal belang is om gegevens te verwerken op een manier die burgers recht doet. Kan de regering nader toelichten wie daadwerkelijk met de uitvoering van deze regels zijn en zullen worden belast? En in hoeverre is daar sprake van investeringen in professionaliteit en (juridische) deskundigheid op de werkvloer, evenals in een cultuur waarin kan en mag worden afgeweken van algoritmische uitkomsten15, zoals de Raad van State zo fraai formuleert?

De regering ziet in de kritiek van de Autoriteit Persoonsgegevens aanleiding om in het Besluit gegevensverwerking door samenwerkingsverbanden een tiental punten nader te regelen.

De leden van de PvdD-fractie vragen of de regering alle aanbevelingen van de Autoriteit Persoonsgegevens overgenomen? Zo nee, welke niet en waarom niet? De aanpassingen die de regering voorstelt, betreffen voorschriften in een AMvB en niet in een formele wet. Wordt daarmee voldoende voorkomen dat het stelsel in rechte zal standhouden indien een rechter over de rechtmatigheid moet oordelen van de inbreuken op grondrechten of op de Algemene Plaatselijke Verordening (APV) en andere relevante regelgeving? Wordt de inwerkingtreding van de WGS uitgesteld totdat de AMvB tot stand is gebracht? Zo nee, bestaat er dan een reële kans dat de rechter in die periode de WGS of de uitvoering daarvan onrechtmatig acht, nu de regering heeft aangegeven – gelet op de zwaarwegende juridische kritiek van de Autoriteit Persoonsgegevens – dat alsnog in de AMvB nadere waarborgen zullen moeten worden geregeld? De AMvB die de regering voorstelt, gaat in zijn visie de belangrijke waarborgen omvatten die vereist zijn in het kader van bescherming van grondrechten. Waarom is de nahangprocedure niet op die AMvB van toepassing verklaard?

Indien een eerder door een deelnemer geautoriseerde persoon als bedoeld in artikel 1.8, tweede lid WGS zich toegang verschaft tot een systeem op een moment dat hij als gevolg van de intrekking of het vervallen van de autorisatie geen toegang meer zou mogen hebben, is dat dan strafbaar, vragen de PvdD-fractieleden. Welke wettelijke garantie bestaat er dat een persoon van wie de autorisatie is ingetrokken of vervallen geen toegang meer heeft? Wie ziet daar op toe? Waar is dat geregeld?

Waarom is in artikel 1.8, derde lid WGS bepaald dat betrouwbaarheidsvereisten met betrekking tot eventueel te autoriseren personen «kunnen» worden geregeld, in plaats van een wettelijk verplichting om dat bij AMvB te regelen?

De leden van de SGP-fractie lezen dat de proportionaliteit tussen enerzijds de bescherming van persoonsgegevens en anderzijds de effectieve misdaadbestrijding noodzakelijk afgewogen dient te worden. Kan de regering aangeven hoe in de praktijk dit afwegingskader vorm krijgt voor de samenwerkingsverbanden? Is er een duidelijk kader of besluitvormingsproces waarin zij adequaat stappen kunnen nemen? Kunnen zij nog wel tot actie overgaan of worden zij geremd door procedures waarin de bescherming van persoonsgegevens moet worden afgewogen?

De leden van de SGP-fractie lezen dat artikel 10 van de Grondwet bepaalt dat het recht op eerbiediging van de persoonlijke levenssfeer door de formele wetgever mag worden beperkt, dat de wetgever die bevoegdheid mag delegeren aan lagere wetgevers en dat derhalve nadere delegatie bij AMvB mogelijk is. De leden van de SGP-fractie lezen in het advies van de Afdeling Advisering van de Raad van State dat dit geen carte blanche voor de wetgever is om verdere beperkingen bij AMvB te regelen. Het wetsvoorstel is zodanig gewijzigd dat de Afdeling haar waardering uitspreekt voor de wijziging. De leden van de SGP-fractie lezen dat het huidige voorstel alsnog een voorhangprocedure introduceert voor de aanwijzing van nieuwe deelnemers aan de samenwerkingsverbanden bij AMvB. De leden van de SGP-fractie vragen de regering of ingeval van spoed, deelname aan een samenwerkingsverband met terugwerkende kracht in voorhangprocedure gebracht kan worden om misdaadbestrijding niet in de weg te zitten.

De leden van de fractie van de PvdA en GroenLinks maken zich zorgen over het risico van een glijdende schaal als het gaat om de toepassing van kunstmatige intelligentie (KI) bij de geautomatiseerde analyse van persoonsgegevens en het risico op discriminatie. Op welke wijze is gegarandeerd dat in bezwaar en beroep voldoende kennis aanwezig is van de geautomatiseerde processen waarvan gebruik is gemaakt? Dit geldt voor zowel de verstrekking van de relevante gegevens hieromtrent als voor de kennis deze zinvol te kunnen interpreteren. Is er met de voor deze wet relevante onderdelen van de rechtspraak overleg geweest over de vraag wat er nodig is om de rechtsbescherming op een volwaardige wijze vorm te geven? Welke risico’s omvat het betrekken van relevante derde partijen, zoals belangenorganisaties, bij het ontwerp van algoritmen met als doel om onrechtmatige werkingen te voorkomen en het maatschappelijk draagvlak voor het gebruik van algoritmen te vergroten? Hoe waarborgt de regering en/of het betrokken samenwerkingsverband de transparantie en objectiviteit (in de zin van «non-biased») van het algoritme wanneer een externe partij deze (mede) ontwerpt? Hoe stimuleert de regering het creëren en behouden van een cultuur waarin kan en mag worden afgeweken van algoritmische uitkomsten bij geautomatiseerde gegevensanalyse om discriminatoire behandeling van persoonsgegevens te corrigeren? Hoe faciliteert de regering een zorgvuldige evaluatie en terugkoppeling van resultaten om hiermee te voorkomen dat het leerproces van zelflerende algoritmen wordt gevoed met «biased» data? Is de regering van plan het toezicht op de rechtmatige toepassing van kunstmatige intelligentie en bovenstaande door de Raad van State voorgestelde waarborgen te evalueren en de Kamer hierover te informeren? Zo ja, is dit een periodiek terugkerende evaluatie? Zo nee, is de regering bereid een dergelijke evaluatie toe te zeggen en/of een verantwoording op dit onderwerp te verplichten voor het jaarverslag van de betrokken samenwerkingsverbanden?

De leden van de PvdD-fractie vragen de regering of aangeven kan worden welke belangen geschaad worden indien verboden wordt om zelflerende algoritmen toe te passen?

Over uitbreiding van de vier in de tekst van het wetsvoorstel genoemde samenwerkingsverbanden zijn zowel de Autoriteit Persoonsgegevens als de Afdeling Advisering van de Raad van State kritisch. Daarop heeft de regering toegezegd dat de artikelen 3.1 tot en met 3.3 WGS, die de mogelijkheid regelen om nieuwe samenwerkingsverbanden bij AMvB te regelen, niet in werking zullen treden, en dat een wetsvoorstel wordt ingediend waarmee die artikelen worden aangepast. Met deze toezegging, aldus de regering, hoeft in de tussentijd het wetsvoorstel dat die drie artikelen aanpast de behandeling van het onderhavige wetsvoorstel niet op te houden. Wat de leden van de D66-fractie betreft zijn hiermee niet al hun zorgen alsmede die geformuleerd door de Raad van State weggenomen. Zoals hierboven besproken geldt voor veel meer onderdelen dat de invulling van de wettelijke normering nog vrijwel geheel bij AMvB moet plaats hebben. De toezegging van de regering dat de artikelen 3.1 tot en met 3.3 WGS niet in werking zullen treden voordat een wetsvoorstel is ingediend waarin die artikelen worden aangepast, komt de leden van de D66-fractie mager voor. Zie alleen al het feit dat door de Raad van State wordt gehamerd op het cruciaal zijn van een kwalitatief hoogstaande uitvoering en professionaliteit en (juridische) deskundigheid op de werkvloer, terwijl ook ten aanzien van de aan de bij die uitvoering betrokken personen te stellen opleidingseisen geldt dat die nog bij of krachtens AMvB van nadere regels zullen worden voorzien (art 1.8 lid 9).

De leden van de D66-fractie zouden graag van de regering vernemen hoe de aanpassing van de wetsartikelen er uit komt te zien, en op welke termijn het wetsvoorstel bij de Tweede Kamer wordt ingediend. Bovendien wensen deze leden te vernemen waarom de regering er niet voor heeft gekozen een novelle in te dienen waar nog meer verbeteringsslagen in de tekst kunnen worden verwerkt ervan uitgaande dat de behandeling van een novelle niet veel langer hoeft te duren dan die van het door de regering geopperde tijdelijke delegatievoorstel.

De Raad van State geeft in haar brief van 18 november 2021 twee opties, een novelle of het aannemen onder bepaalde voorwaarden.

De leden van de D66-fractie opteren voor een derde mogelijkheid te weten de voorwaarde dat het Besluit gegevensverwerking door samenwerkingsverbanden dat volgens de brief van de regering van 17 december 2021) in voorbereiding is aan de Eerste Kamer wordt toegezonden opdat de inhoud daarvan bij de beraadslaging kan worden betrokken.20 Ook eventuele andere AMvB's die het gewijzigd voorstel van wet van de benodigde concretisering, invulling of aanvulling zouden moeten voorzien, zouden aan de Eerste Kamer moeten worden verstrekt. Alleen dan wordt inzichtelijk wat de totale regeling is. Alleen dan is er daadwerkelijk enig zicht op de reikwijdte, omvang, richting en het toepassingsbereik van dit wetsvoorstel en op belangrijke vragen over wie daarmee in de praktijk aan het werk zullen gaan, aan welke regels zij gebonden zullen zijn, en wie toezicht op die regels gaat houden. Alleen dan kan de Eerste Kamer een geïnformeerde beslissing nemen over de vraag of dit wetsvoorstel in de uitvoeringspraktijk een niet alleen werkbaar maar ook rechtsstatelijk verantwoord instrument zal zijn, in plaats van een carte blanche waarmee de uitvoerende macht alle kanten op kan en het van de goedertierenheid van de daarbij betrokken personen gaat afhangen of er wel of niet grote ongelukken gaan gebeuren. Graag verzoeken de D66-leden een reactie van de regering op dit voorstel.

Is het juist dat het meeste werk van een samenwerkingsverband ontstaat als gevolg van een signaal bij een van de deelnemers van het samenwerkingsverband? In de definitiebepaling van art 1.1 WGS staat dat een signaal een melding is van een of meer deelnemers in een samenwerkingsverband over bepaalde gedragingen of situaties. De vraag van de leden van de D66-fractie is aan welke concrete criteria zo’n melding moet voldoen wil het in behandeling mogen worden genomen? Dezelfde vraag hebben deze leden ten aanzien van het begrip «sturingsinformatie» uit artikel 1.1 WGS.

De leden van de fractie van D66 constateren dat bijvoorbeeld art. 2.23 WGS handvatten biedt voor wat betreft de afweging of een signaal voldoende aanleiding geeft tot gezamenlijke gegevensverwerking. Maar in lid 9 van dat artikel wordt gesteld dat nadere criteria waaraan een signaal moet voldoen en de criteria voor verstrekking van resultaten van de gezamenlijke verwerking van gegevens aan een derde bij of krachtens AMvB kunnen worden gesteld. Waarom worden deze nadere criteria niet in de wettekst zelf opgenomen?

In art 2.6 lid 2 WGS staat dat bij AMvB criteria kunnen worden gesteld aan de betrouwbaarheid en kwaliteit van het signaal. Waarom neemt de regering deze criteria niet in de wettekst zelf op?

Deze vraag sluit aan bij de kritiek van de Autoriteit Persoonsgegevens in haar bovenvermelde brief dat een duidelijk en objectief signaal op basis van voldoende aanwijzingen als startpunt in de wettekst moet worden neergelegd voor alle samenwerkingsverbanden.22

Volgens de regering moeten samenwerkingsverbanden grondig en met veel transparantie opereren. «Dat moet voorkomen dat een niet op juistheid en op objectiviteit geverifieerd signaal wordt opgepakt, dat er ten onrechte een risico wordt gesignaleerd en dat mensen inderdaad ten onrechte benadeeld worden.».23

Dit brengt de leden van de D66-fractie op de vraag over de gevolgen van een ten onrechte opgepakt signaal als gevolg waarvan gegevens zijn verwerkt, gedeeld en benut. De regering heeft herhaaldelijk gesteld dat de reikwijdte van het wetsvoorstel ophoudt als een van de deelnemers op basis van de verkregen gegevens tot actie overgaat. Stel nu, zo vragen de leden van de D66-fractie aan de regering, dat het Openbaar Ministerie tot strafvervolging overgaat tegen een verdachte, nadat de data tegen de persoon in kwestie zijn verkregen op basis van een onterecht opgepakt signaal. Is daardoor de strafzaak (geheel of gedeeltelijk) besmet? Bestaat er een kans dat de strafrechter met de besmetting rekening houdt bij de beoordeling van de strafwaardigheid van de verdachte?

De regering gaat in op de aanbeveling in het advies van de Autoriteit Persoonsgegevens om «in de wet een duidelijke en objectief signaal op basis van voldoende aanwijzingen als startpunt neer te leggen voor alle samenwerkingsverbanden»24, omdat duidelijke en precieze regels en criteria in de wetgeving vereist zijn.25 De regering heeft het voornemen dit bij AMvB te regelen. De leden van de PvdD-fractie vragen de regering waarom dit niet in de WGS wordt geregeld? Kan de regering in het antwoord ingaan op de stelling dat het omschrijven welke signalen als «duidelijk en objectief» kunnen worden aangemerkt en welke aanwijzingen uit een oogpunt van kwaliteit en betrouwbaarheid als voldoende kunnen worden aangemerkt, niet een vaststelling betreft die naar verwachting regelmatig aanpassing behoeft? Op grond van welke juridische redenering wordt het toelaatbaar geacht om het startpunt van de gegevensverwerking niet bij formele wet maar bij AMvB nader te omschrijven? Is het juist dat een nahangprocedure zoals opgenomen in artikel 3.3 WGS niet van toepassing is op deze door de regering bedoelde AMvB? Zo ja, moet dan rekening worden gehouden met de kans dat een rechter, nu de kwestie niet in een formele wet wordt geregeld en de Staten-Generaal geen formele invloed meer kan uitoefenen op de totstandkoming van de regeling, zal oordelen dat de inbreuk op de grondrechten van de burger niet voldoet aan de eisen die voortvloeien uit de Grondwet, de AVG en de fundamentele burgerrechten die in bovennationale regelingen zijn vastgelegd?

In het kader van de rechtsbescherming zijn deze leden ook benieuwd naar de wijze waarop de regering voornemens is de rechtmatigheidsadviescommissie in te richten. Kan de regering aangeven hoe deze commissie zal worden samengesteld, welke disciplines of deskundigheidsgebieden in de commissie vertegenwoordigd zullen worden en wat de werkwijze van de commissie zal zijn, zo vragen de leden van de fractie van ChristenUnie. In de adviezen en reacties is de vraag aan de orde gesteld of ook toezicht op mogelijke discriminatierisico’s valt onder de taak van de commissie. Kan de regering dat bevestigen?

Artikel 1.8, zesde lid WGS heeft betrekking op het instellen van een rechtmatigheidsadviescommissie. Uit welk voorschrift van de WGS volgt dat deze commissie onafhankelijk dient te zijn, vragen de fractieleden van de PvdD. Uit welk voorschrift volgt dat als zo’n commissie een verwerking onrechtmatig oordeelt, het samenwerkingsverband die verwerking dient te staken en de gevolgen van de onrechtmatigheid dient te herstellen? Indien de onafhankelijkheid van de commissie niet bij formele wet is gewaarborgd en de commissie slechts een adviserende taak heeft, is dan voldaan aan de grondrechtelijke waarborgen die door de wetgever in acht dienen te worden genomen? De regering stelt dat de wettelijke taakomschrijving zo gelezen kan worden dat daaronder ook valt «bij te dragen aan het tegengaan van risico’s op ongelijke behandeling en discriminatie».26 Waarop baseert de regering dit? De wettelijke taak van de commissie is het «beoordelen van de rechtmatigheid van de verwerking». De Raad van State onderscheidt drie fasen waarop de WGS van toepassing is, en twee fasen waarvoor dat niet meer geldt. Fase 1 betreft «gegevensverstrekking aan het samenwerkingsverband». Fase 2 betreft «gegevensverwerking door het samenwerkingsverband». De beoordeling van de rechtmatigheid die de wettelijke taak van de commissie is, betreft de «verwerking», dus pas fase 2. Indien nu in fase 1 datasets worden aangeleverd die tot stand zijn gekomen door een vergaren van informatie op een wijze waarbij mogelijk onbewust bepaalde personen of een bepaalde bevolkingsgroep discriminatoir is benaderd, betreft dat vergaren en aanleveren van informatie niet de «verwerking van gegevens door het samenwerkingsverband». Omdat zulke «bias» in de datasets onzichtbaar is tijdens de verwerking van de gegevens, zal de commissie die de rechtmatigheid van de «verwerking» moet beoordelen, niet tot een schending van het verbod van discriminatie kunnen concluderen. Kan de regering in dit verband uitleggen hoe hij tot het oordeel komt dat de commissie tot taak heeft om te beoordelen of aangeleverde datasets discriminatoire informatie bevatten? Het College voor de Rechten van de Mens beveelt aan dat de commissie «als taak krijgt om niet alleen te kijken naar de impact van de verwerking van (bijzondere) persoonsgegevens op de privacy van de burgers, maar ook om eigenstandig te kijken naar de eventuele discriminatoire gevolgen hiervan».27 Blijkens het gestelde in paragraaf 7.2 wil de regering niet zover gaan, met als argument dat de fasen 4 en 5 die de Raad van State heeft onderscheiden «buiten de reikwijdte van de WGS vallen». Is de regering het met de leden van de fractie van de PvdD eens dat als in fasen 4 en 5 handelen van deelnemers op basis van de resultaten van de gegevensverwerking discriminatoir blijkt uit te pakken, de commissie tot taak heeft om na te gaan of dat het gevolg is van het gebruik van datasets met een discriminatoir karakter in de fasen 1, 2 of 3? Wat is er tegen om de wettelijke taak van de commissie uitdrukkelijk uit te breiden met een onderzoek naar en beoordeling van een mogelijk discriminatoir karakter of «bias» dat aan de aangeboden datasets heeft gekleefd?

Artikel 1.7 WGS heeft betrekking op verstrekking van de resultaten van een verwerking aan deelnemers en derden. Uit welk voorschrift volgt dat als in een geval als bedoeld in artikel 1.7, tweede lid WGS, de commissie een eventuele verstrekking aan een derde niet rechtmatig heeft geoordeeld, het op die grond verboden is de resultaten van de verwerking aan die derde te verstrekken? Indien niet wettelijk is gewaarborgd dat de commissie onafhankelijk is en de commissie niet dwingend kan voorschrijven dat tot verstrekking van resultaten van de verwerking aan derden niet mag worden overgegaan, dient dan in het licht van door de Autoriteit Persoonsgegevens aangevoerde oordeel van het Hof van Justitie EU over de PNR-overeenkomst tussen de EU en Canada te worden geconcludeerd dat de verstrekking onrechtmatig zal zijn? Zo nee, op grond van welke juridische redenering komt de regering dan tot die ontkennende beantwoording?

De leden van de SGP-fractie lezen dat het wetsvoorstel mogelijkheden biedt om de resultaten van gegevensverwerking te delen met derden, waaronder private partijen. De leden van de SGP-fractie lezen dat als waarborg is opgenomen dat de verstrekking vooraf door een in te stellen rechtmatigheidsadviescommissie moet zijn getoetst en dat verstrekking noodzakelijk moet zijn voor de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van deze private derde. De leden van de SGP-fractie constateren dat behartiging van de gerechtvaardigde belangen een vrij algemene term is die private partijen ruim in kunnen vullen. Is de regering voornemens nadere kaders te geven ter invulling van deze gerechtvaardigde belangen? Is de regering met de SGP-fractie van mening dat rechtmatigheidsadviescommissie enkel kan functioneren indien zij een duidelijke taakomschrijving en toetsingskader heeft?

De leden van de vaste commissie voor Justitie en Veiligheid zien de reactie van de regering – bij voorkeur binnen vier weken – met belangstelling tegemoet.