Kamerstuk
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2020-2021 | 35538 nr. N |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2020-2021 | 35538 nr. N |
Vastgesteld 7 januari 2021
De leden van de vaste commissies voor Volksgezondheid, Welzijn en Sport1, voor Justitie en Veiligheid2 en voor Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning3 hebben kennisgenomen van de brieven van 18 november4 en 20 november 20205 over de Europese interoperabiliteit van de notificatieapplicatie covid-19.
Naar aanleiding hiervan hebben zij de Minister op 8 december 2020 een brief gestuurd.
De Minister heeft op 28 december 2020 gereageerd.
De commissies brengen bijgaand verslag uit van het gevoerde schriftelijk overleg.
De griffier voor dit verslag, De Boer
Aan de Minister van Volksgezondheid, Welzijn en Sport
Den Haag, 8 december 2020
De leden van de commissies voor Volksgezondheid, Welzijn en Sport (VWS), Justitie en Veiligheid (J&V) en Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning (BiZa/AZ) hebben met belangstelling kennisgenomen van de brieven van 18 november6 en 20 november 20207 over de Europese interoperabiliteit van de notificatieapplicatie covid-19.
De leden van de D66-fractie hebben hierover nog een enkele vraag, waarbij de leden van de fracties van GroenLinks, PvdA, ChristenUnie, PvdD en 50PLUS zich aansluiten.
Door het aansluiten van de CoronaMelder op de Europese Federatieve Gateway kunnen de aangesloten corona-apps interoperabel worden. De leden van deze fracties zijn van mening dat dit een positieve bijdrage kan leveren aan de bestrijding van de coronapandemie. Immers, het virus houdt zich niet aan grenzen, en wanneer de situatie dat toestaat zullen ook weer meer Europese inwoners de grenzen passeren, zeker als ze wonen in een grensgebied, zoals Zuid-Limburg. De gepseudonimiseerde gegevens die gegenereerd worden door de CoronaMelder zullen echter niet alleen met Nederlandse gebruikers van de app gedeeld worden, maar ook met andere Europese gebruikers. De Autoriteit Persoonsgegevens concludeert dan ook dat er op grotere schaal gepseudonimiseerde gezondheidsgegevens verwerkt zullen worden. De leden van deze fracties vernemen graag of u voornemens bent de gebruikers van de CoronaMelder toestemming te vragen voor deze Europese interoperabiliteit. Zo nee, waarom niet? Zo ja, in welke vorm? Worden de gebruikers van de CoronaMelder geïnformeerd over deze Europese interoperabiliteit, bijvoorbeeld via de website www.coronamelder.nl en bij het downloaden van de app?
De leden van de fractie van de SP hebben een enkele vraag over de dataminimalisatie bij de Europese interoperabiliteit, waarbij de leden van de fracties van PvdA en PvdD zich aansluiten. Kijkend naar de mogelijke data protectie impact komen zij tot een andere afweging over dataminimalisatie.
In het voorstel wordt de landcode (voor NL) toegevoegd aan alle keycodes van positief geteste personen die hun keycodes willen delen met andere gebruikers. De landcode wordt bij de keycodes opgeslagen op de federale gateway server. De landcode wordt ook opgeslagen op de backend servers van landen die hun gebruikers de mogelijkheid geven tot een match met keycodes van geselecteerde landen. Dit betekent dat de gepseudonimiseerde codes van CoronaMelder-gebruikers op (een deel van de) buitenlandse servers herleidbaar zullen zijn tot Nederland. Daarmee is een positief geteste gebruiker van de CoronaMelder iets minder beschermd tegen identificatie. Dit risico is nu niet benoemd, waardoor het geen onderdeel is van de afweging door de Autoriteit Persoonsgegevens. Bent u het met de leden van deze fracties eens dat dit wel een onderdeel zou moeten zijn van de afweging van de AP?
Inmiddels is bekend dat het technisch eenvoudig is om de lijst van keycodes van nationale backend servers ongeautoriseerd te lezen. In Nederland is dit bij wet verboden, maar van andere landen is dit niet evident. Graag vernemen de leden van deze fracties wat de wettelijke bescherming van coronapersoonsgegevens in andere landen is, wat de verschillen zijn met de Nederlandse wetgeving en welke mogelijke risico’s op het gebied van privacy in beeld zijn.
De leden van de commissies voor Volksgezondheid, Welzijn en Sport (VWS), Justitie en Veiligheid (J&V) en Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning (BiZa/AZ) zien uw reactie met belangstelling tegemoet en ontvangen deze graag zo spoedig mogelijk.
Voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport, M.A.M. Adriaansens
Voorzitter van de vaste commissie voor Justitie en Veiligheid, M.M. de Boer
Voorzitter van de vaste commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning, B.O. Dittrich
Aan de Voorzitter van de Eerste Kamer der Staten-Generaal
Den Haag, 28 december 2020
Hierbij treft u de antwoorden aan op de vragen van de leden van de commissies voor Volksgezondheid, Welzijn en Sport (VWS), Justitie en Veiligheid (J&V) en Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning (BiZa/AZ) over het ontwerpbesluit houdende tijdelijke bepalingen in verband met de aanwijzing van de verwerkingsverantwoordelijke voor de uitwisseling van gegevens van de in artikel 6d van de Wet publieke gezondheid bedoelde notificatieapplicatie en notificatieapplicaties die worden gebruikt door andere lidstaten van de Europese Unie (Tijdelijk besluit Europese interoperabiliteit notificatieapplicatie covid-19).
De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge
Met belangstelling heeft de regering kennis genomen van de vragen en opmerkingen van de vaste commissies voor Volksgezondheid, Welzijn en Sport (VWS), Justitie en Veiligheid (J&V) en Binnenlandse Zaken en de Hoge Colleges van Staat / Algemene Zaken en Huis van de Koning (BiZa/AZ) inzake de voorhang van het ontwerp Tijdelijk besluit Europese interoperabiliteit notificatieapplicatie covid-19. De regering dankt de leden van de D66-fractie, de GroenLinks-fractie, de PvdA-fractie, de ChristenUnie-fractie, de PvdD-fractie, de 50PLUS-fractie en de SP-fractie voor hun inbreng en gaat graag in op de gestelde vragen.
Vraag 1 en 2
De leden van de D66-fractie hebben een enkele vraag, waarbij de leden van de fracties van GroenLinks, PvdA, ChristenUnie, PvdD en 50PLUS zich aansluiten.
Voornoemde leden merken op dat interoperabiliteit een positieve bijdrage kan leveren aan de bestrijding van de coronapandemie. Met verwijzing naar het advies van de Autoriteit Persoonsgegevens wijzen zij erop dat er op grotere schaal gepseudonimiseerde gezondheidsgegevens verwerkt zullen worden. De leden van deze fracties vragen of de Minister van VWS voornemens is de gebruikers van de CoronaMelder toestemming te vragen voor deze Europese interoperabiliteit. Zo nee, waarom niet en zo ja, in welke vorm.
Ook vragen zij of de gebruikers van de CoronaMelder over de Europese interoperabiliteit worden geïnformeerd.
Reeds bestaande gebruikers van CoronaMelder is niet om separate toestemming voor interoperabiliteit gevraagd. Zij hebben vier dagen voorafgaand aan de aansluiting op de federatieve gateway een melding in de app gekregen waarmee zij over deze aansluiting zijn geïnformeerd. Deze melding stond in het startscherm van de app en bevatte een verwijzing naar www.coronamelder.nl waar informatie over de Europese interoperabiliteit is opgenomen.
Naast de informatie over de Europese interoperabiliteit op coronamelder.nl, zijn er ook vragen en antwoorden toegevoegd aan de lijst met veel gestelde vragen in de app, is er een passage over Europese uitwisseling opgenomen in het privacystatement en is rijksoverheid.nl aangevuld met informatie over de Europese interoperabiliteit.
Voor nieuwe gebruikers van CoronaMelder geldt dat bij het downloaden van de app om toestemming wordt gevraagd voor het downloaden en gebruiken van CoronaMelder. Daarbij wordt verwezen naar verdere informatie in de app en op de website waar informatie over de Europese interoperabiliteit inmiddels deel van uitmaakt. Ook worden nieuwe gebruikers gevraagd akkoord te gaan met de privacyverklaring waaraan een passage over de Europese interoperabiliteit is toegevoegd.
Wellicht ten overvloede wordt opgemerkt dat bovengenoemde toestemming van gebruikers niet nodig is voor de verwerking van persoonsgegevens in het kader van CoronaMelder. De grondslag voor de gegevensverwerking is immers artikel 6, eerste lid, aanhef en onder e, jo. artikel 9, tweede lid, aanhef en onder i, Algemene verordening gegevensbescherming (hierna: AVG) (de taak van openbaar belang van de Minister van VWS en de GGD’en).
Vraag 3
De leden van de SP-factie hebben een vraag over de dataminimalisatie bij de Europese interoperabiliteit, waarbij de leden van de fracties van PvdA en PvdD zich aansluiten.
Kijkend naar de mogelijke data protectie impact komen zij tot een andere afweging over dataminimalisatie. Deze leden merken op dat de landcode (voor NL) wordt toegevoegd aan alle gepseudonimiseerde codes van positief geteste personen die hun codes willen delen met andere gebruikers, dat deze codes inclusief landcode worden verstrekt aan de federatieve gateway en vervolgens ook worden opgeslagen op de backend servers van deelnemende landen. Dit betekent dat de gepseudonimiseerde codes van CoronaMelder-gebruikers op (een deel van de) buitenlandse servers herleidbaar zullen zijn tot Nederland. Daarmee is een positief geteste gebruiker van de CoronaMelder iets minder beschermd tegen identificatie. Dit risico is nu niet benoemd, waardoor het geen onderdeel is van de afweging door de Autoriteit Persoonsgegevens (AP) zo merken voornoemde leden op. Zij vragen of de regering het met de leden van deze fracties eens is dat dit wel een onderdeel zou moeten zijn van de afweging van de AP.
In de nota van toelichting op het ontwerp besluit is beschreven hoe de uitwisseling van gegevens via de federatieve gateway verloopt. Daarbij wordt ook ingegaan op het feit dat de via de federatieve gateway uitgewisselde gepseudonimiseerde codes zijn voorzien van een «land van oorsprong.» Toegelicht is dat dit nodig is om de eigen codes te verwijderen uit de codes die worden ontvangen van de gateway omdat de federatieve gateway zelf geen filtering toepast. Daarnaast zijn er landen die werken met «landen van interesse», ook voor deze optie is het nodig dat duidelijk is uit welk land codes afkomstig zijn.
Voor zover mogelijkerwijs de indruk is ontstaan dat de AP hier niet van op de hoogte was, benadrukt de regering graag dat de nota van toelichting die aan de AP is voorgelegd op dit punt gelijkluidend was aan de versie die de leden hebben ontvangen. De AP is daarmee in de gelegenheid gesteld mogelijke risico’s met betrekking tot het toevoegen van het «land van oorsprong» aan de gepseudonimiseerde codes mee te wegen. In het advies van de AP worden geen risico’s op dit punt benoemd.
Wellicht ten overvloede merkt de regering nog op dat er op Europees niveau een data protection impact assessment (hierna: DPIA) is uitgevoerd op de verwerking van gegevens in de federatieve gateway en op nationaal niveau een DPIA is uitgevoerd voor het verstrekken aan en ontvangen van gegevens van de federatieve gateway. In deze DPIA’s zijn geen hoge risico’s naar voren gekomen die niet kunnen worden afgedekt.
Vraag 4
De leden van de SP-fractie, de PvdA-fractie en de PvdD-fractie merken op dat het technisch eenvoudig is om de lijst van keycodes van nationale backend servers ongeautoriseerd te lezen. Zij wijzen erop dat dit in Nederland bij wet is verboden, maar dat dit voor andere landen niet evident is. Zij vragen wat de wettelijke bescherming van coronapersoonsgegevens in andere landen is, wat de verschillen zijn met de Nederlandse wetgeving en welke mogelijke risico’s op het gebied van privacy in beeld zijn.
Voor de werking van notificatieapplicaties is het inderdaad technisch noodzakelijk dat codes kunnen worden opgehaald. Dit laat onverlet dat ongeautoriseerde verwerking van gegevens niet is toegestaan. Dat geldt in Nederland en ook in de overige betrokken lidstaten. De bescherming in Nederland en de overige betrokken lidstaten is namelijk vergelijkbaar.
Uit de AVG volgt onder meer dat persoonsgegevens alleen mogen worden verwerkt indien daar een grondslag voor is, dat persoons gegevens niet voor andere (onverenigbare) doelen mogen worden verwerkt en dat persoons gegevens zijn beveiligd tegen verlies en onrechtmatige verwerkingen. Voor het waarborgen van de privacy van de gebruikers van CoronaMelder bij de uitwisseling via de federatieve gateway is in de eerste plaats van belang dat de AVG van kracht is in alle deelnemende lidstaten. Daarmee geldt dus voor alle deelnemende lidstaten een vergelijkbaar niveau van privacybescherming.
Zoals de leden van de SP-fractie, de PvdA-fractie en de PvdD-fractie terecht opmerken is er in Nederland voor gekozen om dit expliciet op te nemen in de wet. Dit is echter strikt genomen niet noodzakelijk omdat de AVG rechtstreeks werkt. De AP kan bijvoorbeeld ook rechtstreeks handhaven op overtreding van de AVG.
Daarnaast gelden er in het kader van de uitwisseling via de federatieve gateway aanvullende waarborgen zoals opgenomen in de richtsnoeren inzake interoperabiliteit8 en het Uitvoeringsbesluit betreffende de grensoverschrijdende uitwisseling van gegevens tussen nationale mobiele applicaties voor het traceren en waarschuwen van contacten met het oog op de bestrijding van de COVID–19-pandemie.9 Er zijn dus in de deelnemende lidstaten geen wezenlijke verschillen voor wat betreft de wettelijke bescherming of mogelijke privacyrisico’s met betrekking tot de gepseudonimiseerde codes die via de federatieve gateway worden uitgewisseld.
SamenstellingVolksgezondheid, Welzijn en Sport:
Ganzevoort (GL), Gerkens (SP), Van Dijk (SGP), Van Hattem (PVV), Nooren (PvdA), Oomen-Ruijten (CDA), Rombouts (CDA), Bredenoord (D66), Koole (PvdA), De Bruijn-Wezeman (VVD), Baay-Timmerman (50PLUS), A.J.M. van Kesteren (PVV), Adriaansens (VVD) (voorzitter), Van der Burg (VVD), Gerbrandy (OSF), Van Gurp (GL), Nicolaï (PvdD), Van Pareren (Fractie-Van Pareren) (ondervoorzitter), Prins-Modderaar (CDA), Vendrik (GL), Verkerk (CU), De Vries (Fractie-Otten) Hermans (Fractie-Van Pareren) Van der Voort (D66), Keunen (VVD), Pouw-Verweij (Fractie-Van Pareren)
Samenstelling Justitie en Veiligheid:
Backer (D66), De Boer (GL) (voorzitter), Van Dijk (SGP), Van Hattem (PVV), Nooren (PvdA), Rombouts (CDA), Bikker (CU), Baay-Timmerman (50PLUS), Adriaansens (VVD), arbouw (VVD), Bezaan (PVV), De Blécourt-Wouterse (VVD), Dittrich (D66), Doornhof (CDA), Gerbrandy (OSF), Janssen (SP), Karimi (GL), Meijer (VVD), Nicolaï (PvdD), Otten (Fractie-Otten) (ondervoorzitter), Van Pareren (Fractie-Van Pareren), Recourt (PvdA), Rietkerk (CDA), Veldhoen (GL), Van Wely (Fractie-Van Pareren)
Samenstelling Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis van de Koning:
Kox (SP), Koffeman (PvdD), Ganzevoort (GL), De Boer (GL), Van Hattem (PVV), Pijlman (D66), Rombouts
(CDA), Schalk (SGP), Koole (PvdA). Klip-Martin (VVD), Baay-Timmerman (50PLUS), Bezaan (VVD), Van der Burg (VVD), Crone (PvdA), Dessing (FVD), Dittrich (D66) (voorzitter), Doornhof (CDA),
Frentrop (FVD), Gerbrandy (OSF), Van der Linden (Fractie-Van Pareren), Meijer (VVD), Nicolaï (PvdD) (ondervoorzitter), Rietkerk (CDA), Rosenmöller (GL), Verkerk (CU), De Vries (Fractie-Otten), Keunen (VVD), Van Pareren (Fractie-Van Pareren)
Uitvoeringsbesluit 2020/1023 van de Europese Commissie (Pb. EU 2020, L 227 I) tot wijziging van Uitvoeringsbesluit (EU) 2019/1765 wat betreft de grensoverschrijdende uitwisseling van gegevens tussen nationale mobiele applicaties voor het traceren en waarschuwen van contacten met het oog op de bestrijding van de COVID–19-pandemie.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-35538-N.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.