De nota naar aanleiding van het verslag heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen.

1. Inleiding

De leden van de commissie hebben met belangstelling kennisgenomen van de nota naar aanleiding van het verslag.

Naar aanleiding van een signaal dat de leden ontvingen van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en Brancheorganisaties Zorg (BOZ) hebben de leden van de fracties van GroenLinks-PvdA, BBB, CDA, SP, ChristenUnie, Volt, en Fractie-Van de Sanden gezamenlijk enkele vervolgvragen over het voorgestelde artikel 23a van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).2 De signalen vanuit de BOZ en NVA, in relatie tot het antwoord op vraag 20 in de nota naar aanleiding van het verslag over de uitvoerbaarheid, maken opnieuw duidelijk dat de gevolgen voor de uitvoering van wetgeving voor Kamerleden niet altijd inzichtelijk en lastig te achterhalen zijn.3 Een actueel uitgevoerde uitvoerbaarheidstoets kan daarbij behulpzaam zijn. Daarom hebben deze leden – naast de vragen over het voorgestelde artikel 23a UAVG – ook enkele vragen over het toetsen op uitvoerbaarheid.

De leden van de VVD-fractie hebben kennisgenomen van de zorgen die de NBA heeft geuit over het voorgestelde artikel 23a van de UAVG en wensen naar aanleiding daarvan nog enkele vragen te stellen, mede namens de leden van de CDA-fractie.4

De leden van de fractie van FVD maken zich ernstige zorgen over de omvang, reikwijdte en legitimiteit van de nieuwe verwerkingsbevoegdheden die het wetsvoorstel introduceert, met name waar het gaat om het verwerken van bijzondere en biometrische persoonsgegevens door partijen zonder democratische legitimiteit. De Raad van State heeft expliciet gewaarschuwd dat de centrale norm «zwaarwegend algemeen belang» te vaag en open is geformuleerd om als adequate wettelijke grondslag te dienen. Dit staat haaks op de waarborgen van artikelen 10 en 13 van de Grondwet, en de beginselen van noodzakelijkheid, proportionaliteit en doelbinding zoals verankerd in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Daarnaast bestaat het risico dat toezichthouders en private beroepsgroepen, zoals accountants, de Autoriteit Financiële Markten (AFM), de NBA, curatoren en instanties binnen de vreemdelingen- en verkeersketen quasi-politieke bevoegdheden krijgen zonder democratische legitimiteit. Dit wordt veroorzaakt door de opeenstapeling van sectorale grondslagen, verdere verspreiding van persoonsgegevens en uitbreiding van biometrische verwerking. Dit resulteert in mogelijke normalisering van surveillancestandaarden, datamisbruik en het onvermogen van burgers om te achterhalen wie welke gegevens over hen verwerkt. Naar aanleiding hiervan hebben de leden van de fractie van FVD enkele vragen.

De leden van de fractie van JA21 ontvangen via de media signalen op dat de NBA zich zorgen maakt over de gevolgen van het voorliggende wetsvoorstel voor de wettelijke controles door accountants in de zorgsector. Deze leden merken op dat de NBA in het bijzonder zorgen uit over artikel 23a, tweede lid, van de UAVG.5 Zij hebben naar aanleiding hiervan enkele vragen. De leden van de fracties van BBB en Fractie-Van de Sanden sluiten zich bij deze vragen aan.

2. Hoofdlijnen van het voorstel

Kan de regering aan de leden van de fractie van FVD toelichten wat de concrete probleemdefinitie is die ten grondslag ligt aan dit wetsvoorstel? Op welke manier is vastgesteld dat bestaande wet- en regelgeving deze problematiek onvoldoende adresseert?

Deze leden vragen de regering op welke onderbouwde noodzaak de regering de voorgestelde uitbreiding van de gegevensverwerkingsbevoegdheden baseert. In hoeverre is daarbij expliciet afgewogen dat deze uitbreiding proportioneel is ten opzichte van de fundamentele privacyrechten van burgers (artikel 10 Grondwet)? Kan de regering dit onderbouwen met verwijzingen naar concrete juridische en/of beleidsmatige overwegingen?

Deze leden vragen de regering op welke concrete wijze wordt verzekerd dat de institutionele onafhankelijkheid van de Autoriteit Persoonsgegevens, zoals geborgd in hoofdstuk 6, afdeling 1 van AVG, behouden blijft nu de regering zowel de leden benoemt als de benoemingscriteria vaststelt.

Kan de regering aan de leden van de fractie van FVD toelichten of de cumulatie van sectorale grondslagen, verdere verspreiding van persoonsgegevens en uitbreiding van biometrische verwerking de risico’s op datamisbruik vergroot? Op welke concrete wijze worden dergelijke risico’s geminimaliseerd en geborgd, inclusief specifieke maatregelen en/of toetsbare waarborgen?

3. ARTIKEL I. Uitvoeringswet Algemene verordening gegevensbescherming

Kan de regering daarnaast aan de aan het woord zijnde leden aangeven hoe het huidige voorstel van artikel 23a UAVG zich verhoudt tot de vereisten voor uitvoerbaarheid, proportionaliteit en handhaafbaarheid, zoals neergelegd in de Aanwijzingen voor de Regelgeving en de toetsingskaders van de Afdeling advisering van de Raad van State?

De leden van de fracties GroenLinks-PvdA, BBB, CDA, SP, ChristenUnie, Volt, en Fractie-Van de Sanden vragen of het voorstelbaar is dat het voorgestelde artikel 23a UAVG in de huidige vorm kan leiden tot situaties waarin jaarrekeningen van zorgaanbieders feitelijk niet (meer) controleerbaar zijn. Zo nee, op basis waarvan acht de regering dat niet, in geen enkele situatie, voorstelbaar? Zo ja, kan de regering een toelichting geven op de situaties waarin dit zich mogelijk kan voordoen en een beoordeling geven van de gevolgen hiervan.

Kan de regering aan de leden van deze fracties aangeven of de regering het wenselijk acht om de inwerkingtreding van artikel 23a UAVG uit te stellen totdat er – in samenwerking met zorgkoepels, accountantsorganisaties, de Autoriteit Persoonsgegevens (AP), de Autoriteit Financiële Markten (AFM), de Nederlandse Zorgautoriteit (NZa), de Inspectie Gezondheidszorg en Jeugd (IGJ) en andere relevante partijen – een juridisch houdbare en in de praktijk uitvoerbare grondslag is uitgewerkt die zowel privacybescherming als controleerbaarheid borgt? Zo nee, waarom niet?

Kan de regering daarnaast aan deze leden uiteenzetten op welke onderdelen er, door uitvoeringsorganisaties of andere betrokkenen, kwetsbaarheden, risico’s of nadelen ten aanzien van de uitvoerbaarheid gemeld zijn? Zo ja, welke kwetsbaarheiden, risico’s of nadelen worden gesignaleerd? Zo nee, waarom niet?

Tot slot willen de leden van deze fracties weten of de regering bereid is om een actuele uitvoerbaarheidstoets te laten uitvoeren op de voorliggende wet door de (koepel)organisaties die door deze wetsaanpassing wordt geraakt. Zo nee, waarom niet?

De leden van de fracties van de VVD en CDA vragen of de regering bekend is met de brief van de NBA?6 Waarom is hierop niet gereageerd in de nota naar aanleiding van het verslag? Deelt de regering de zorgen van de NBA?

Kan de regering aan deze leden aangeven of het klopt dat accountants door artikel 23a, tweede lid, UAVG geen goedkeurende verklaringen meer kunnen geven bij jaarrekeningen van zorginstellingen? Daarnaast willen deze leden weten wat dit betekent voor toezicht en financiering.

Kan de regering aan de leden van deze fracties toelichten waarom pseudonimisering nodig is, gezien de bestaande geheimhoudingsplicht? Welke extra waarborgen ziet de regering?

Heeft de regering in beeld hoeveel zorginstellingen worden geraakt en wat de waarde aan zorgkosten is die hierdoor onvoldoende gecontroleerd wordt? Wat zijn de gevolgen voor het beheersen van de zorguitgaven?

Kan de regering aan de leden van de fractie van de VVD en CDA aangeven waarom is afgezien van het voorstel van de NBA om accountants enkel niet-gepseudonimiseerde gegevens te laten raadplegen, terwijl hun dossiers gepseudonimiseerd blijven?

Is de regering bereid artikel 23a, tweede lid, UAVG te schrappen of aan te passen volgens het voorstel van de NBA? Zo niet, kan gegarandeerd worden dat accountantscontroles in de zorg probleemloos blijven verlopen?

Kan de regering aan de leden van de fracties van JA21 en BBB en Fractie-Van de Sanden aangeven of de regering de zorgen van de NBA herkent? Kan de regering deze zorgen wegnemen? Dat wil zeggen: kan de regering garanderen dat het wetsvoorstel geen onevenredige gevolgen zal hebben voor de controlerende taken van accountants bij zorginstellingen?

Artikel 23a, tweede lid, UAVG bepaalt dat vóór aanvang van de verwerking van persoonsgegevens, waarop het medisch beroepsgeheim berust, pseudonimisering onafgebroken moet worden toegepast. Welke uitzonderingsgronden zijn er nog meer voor deze verplichting volgens de regering?

Kan de regering aan deze leden toelichten wat de gevolgen zijn voor de uitvoerbaarheid van (wettelijke) accountantsopdrachten in de zorgsector, in het geval dat de verplichting tot onafgebroken pseudonimisering verhindert dat accountants toegang krijgen tot herleidbare persoonsgegevens die noodzakelijk zijn voor het waarachtig en betrouwbaar opstellen van financiële verantwoordingen?

Onlangs is bekend geworden dat ziekenhuizen jaarlijks ongeveer 800.000 no-shows registreren, wat resulteert in een geschatte financiële schade van tientallen miljoenen euro’s.7 Voor een goede controle van deze kosten kan het voor accountants noodzakelijk zijn om gebruik te maken van herleidbare persoonsgegevens. Kan de regering aan deze leden aangeven wat de gevolgen voor de uitvoerbaarheid van wettelijke accountantsopdrachten zijn als de onafgebroken pseudonimiseringsplicht verhindert dat accountants toegang krijgen tot herleidbare persoonsgegevens wanneer die noodzakelijk zijn voor het opstellen van een betrouwbare financiële verantwoording? En hoe voorkomt de regering dat accountants hun wettelijk controlerende taak niet kunnen vervullen, wanneer in dergelijke situaties geen uitzondering mogelijk is op de pseudonimiseringsplicht?

De leden van de vaste commissie voor Digitalisering zien met belangstelling uit naar de nota naar aanleiding van het tweede verslag en ontvangen deze graag binnen vier weken na vaststelling van dit verslag.

De voorzitter van de vaste commissie voor Digitalisering, Veldhoen

De griffier van de vaste commissie voor Digitalisering, Van Dooren