Vastgesteld 22 juni 2016
De vaste commissie voor Veiligheid en Justitie heeft op 18 mei 2016 overleg gevoerd met de heer Van der Steur, Minister van Veiligheid en Justitie, over:
– de brief van de Minister van Veiligheid en Justitie d.d. 16 februari 2016 inzake de ontwikkelingen met betrekking tot de onderhandelingen tussen EU en VS naar aanleiding van Safe Harbour (Kamerstuk 32 317, nr. 388);
– de brief van de Minister van Veiligheid en Justitie d.d. 7 december 2015 inzake de uitkomsten van de privacy-audit die de Auditdienst Rijk heeft verricht naar de naleving van de Wet politiegegevens (Wpg) door de politie (Kamerstuk 33 842, nr. 3);
– de brief van de Minister van Veiligheid en Justitie d.d. 12 januari 2016 inzake beleidsregels Autoriteit Persoonsgegevens (Kamerstuk 33 662, nr. 26);
– de brief van de Minister van Veiligheid en Justitie d.d. 29 februari 2016 met de reactie op het artikel «Privacywaakhond CBP kampt met onderbezetting» (32 761, nr. 94);
– de brief van de Minister van Veiligheid en Justitie d.d. 22 april 2016 met informatie naar aanleiding van het geplande algemeen overleg van 18 mei 2016 over gegevensbescherming (Kamerstuk 32 761, nr. 96);
– de brief van de Minister van Veiligheid en Justitie d.d. 29 april 2016 inzake EU-US Privacy Shield (Kamerstuk 32 317, nr. 409);
– de brief van de Minister van Veiligheid en Justitie d.d. 2 mei 2016 met de reactie op het verzoek van het lid Verhoeven, gedaan tijdens de Regeling van werkzaamheden van 12 april 2016, over het bericht «Privacy automobilist op de helling» (Kamerstuk 32 761, nr. 97).
Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de commissie, Ypma
De griffier van de commissie, Nava
Voorzitter: Gesthuizen
Griffier: Loeffen
Aanwezig zijn vier leden der Kamer, te weten: Gesthuizen, Oosenbrug, Verhoeven en Van Wijngaarden,
en de heer Van der Steur, Minister van Veiligheid en Justitie.
Aanvang 14.30 uur.
De voorzitter:
Goedemiddag dames en heren, hartelijk welkom. Ik open het algemeen overleg over «prayvacy» of «privvacy», om een gedenkwaardige collega te memoreren. Op de agenda staan heel veel stukken. Er is een beperkt aantal Kamerleden aanwezig. Ik hanteer dus een spreektijd van vijf minuten per fractie. Ik heet de fractiewoordvoerders aan mijn linkerzijde van harte welkom, alsook de Minister aan mijn rechterzijde, de mensen op de publieke tribune en uiteraard de mensen die meeluisteren in de Kamer of in het land. Ik stel voor om het aantal interrupties te beperken tot twee per fractie. Als de nood heel hoog is en als we een beetje voorspoedig aan de slag gaan, kunnen we hiervan altijd afwijken.
De heer Van Wijngaarden (VVD):
Voorzitter. Ik zeg eerst iets over het Privacy Shield en het Umbrella Agreement en vervolgens iets over de handhaving van privacybescherming.
Het Privacy Shield heeft zijn naam in ieder geval mee. Die naam heeft Star Wars-achtige allure en wekt vertrouwen. Een van de vragen van dit AO is of dit terecht is. Een sluitend antwoord op deze vraag vinden we vandaag niet. De realiteit gebiedt ons te beseffen dat we alle zekerheden en onzekerheden van een compleet nieuw juridisch raamwerk tussen de Verenigde Staten (VS) en de Europese Unie (EU) vooraf niet geheel kunnen doorgronden.
Laat ik beginnen met het tellen van de zegeningen. Het is een goede zaak dat het oude Safe Harbour Agreement dood en begraven is. Ongelimiteerde en ononderbroken toegang tot persoonlijke gegevens van mensen zoals onder het Safe Harbour Agreement in de VS in theorie mogelijk was, behoort tot het verleden. Niet langer kunnen bedrijven privacyregels omzeilen door data op te slaan in de VS of in een ander land met minder goede waarborgen dan in de EU. Voortaan reist de databescherming met de data mee, een beetje zoals het vogeltje altijd met de neushoorn meereist. Consumenten hebben echter nog geen idee welke nieuwe privacybescherming aan hen ten deel valt als hun gegevens straks vergezeld van de nieuwe bescherming naar de VS reizen. Hoe borgt de Minister dat mensen hun rechten kennen als hun gegevens in de VS worden opgeslagen?
Ook bedrijven hebben nog vragen en bepleiten een modelcontract dat Privacy Shieldproof is. Kan de Minister verkennen of en in welke mate de Europese Commissie dan wel de Autoriteit Persoonsgegevens bereid is om de bedrijven een handreiking te doen in de vorm van een modelcontract of een Privacy Shieldchecklist?
Hoewel er nu al punten van kritiek op het Privacy Shield te horen zijn, bijvoorbeeld dat de functie van de Ombudsman onduidelijk is, zijn deze vast verre van uitputtend. Bovendien komt er in de EU en de VS ongetwijfeld nieuwe jurisprudentie. In plaats van nu te trachten een perfect schild op te tuigen, is er meer voor te zeggen om het jaarlijks aan een soort apk te onderwerpen en te actualiseren. Vindt de Minister dit een zinvolle gedachte? Zo ja, kan hij dit morgen bij zijn Europese collega's bepleiten? We willen dat het Privacy Shield met de tijd meegaat en niet dat het over tien jaar alweer afkomstig lijkt uit het stenen tijdperk. Het Privacy Shield en het daaraan gerelateerde Umbrella Agreement zijn vast niet perfect en zijn niet de ideale stap, maar vormen wel een stap vooruit.
Ik kom op de handhaving van de privacybescherming. Mijn huisarts had nog gewoon zo'n mooie hangmap. Als die kwijt was, lag die hoogstens bij zijn vrouw die ook de doktersassistente was. Tja, das war einmal. Nu komen er elke dag nieuwe apps en technieken bij om die data te verzamelen en te analyseren. Steeds vaker betreft dit ook medische data. Daarnaast wordt de zorg en de uitwisseling van gevoelige data tussen gemeenten en zorginstellingen steeds meer gedigitaliseerd. Bij het lekken van deze data kan grote en langdurige psychische schade ontstaan voor kinderen en ouders of kunnen de kansen op het vinden van een baan afnemen. Deze risico's waren er vroeger niet. Bedrijven en instellingen zien «big data»-kansen en privacyrisico's. Terecht willen ze daarom weten aan welke eisen ze moeten voldoen om gegevens goed te beschermen. Sinds 2007 kunnen bedrijven en individuen echter niet gemakkelijker maar juist moeilijker bij de Autoriteit Persoonsgegevens terecht met individuele vragen. Een ondernemer met een innovatief idee waarbij gebruik gemaakt wordt van big data, kan nu niet terecht bij de Autoriteit Persoonsgegevens voor een benen-op-tafelgesprek. Dat is lastig, want bij een nieuw idee is toetsing aan de bestaande juridische kaders een ongewis avontuur. Stel dat twee slimme whizzkids, een jongen en een meisje die net cum laude zijn afgestudeerd in de econometrie, een volledig nieuwe toepassing met big data bedenken. Die hebben een privacyautoriteit nodig die met hen meedenkt over de beste manier om privacy te borgen. In het verkeer is het ook effectiever om jonge nieuwe fietsers verkeersles te geven in plaats van om de hoek met het bonnenboekje in de aanslag klaar te staan tot nieuwe verkeersdeelnemers een overtreding begaan. Zo'n omslag vergt mogelijk extra investeringen, maar de eerste vraag is of de onafhankelijke Autoriteit Persoonsgegevens bereid is om deze omslag te maken door bijvoorbeeld een ondernemersdesk te openen voor bedrijven die zeer innovatieve ideeën tegen haar willen aanhouden. Is de Minister bereid hierover in gesprek te gaan met de Autoriteit Persoonsgegevens?
Ik kom op de budgetten. De Autoriteit Persoonsgegevens heeft aangegeven een budgetverhoging van 500% te willen om haar taak naar behoren te kunnen uitoefenen. Dit signaal moeten we serieus nemen, maar als parlement hebben we een eigen budgetverantwoordelijkheid en hoeven we niet klakkeloos na te zeggen wat de autoriteit bepleit. Wellicht moet er 500% bij, wellicht meer, wellicht minder of wellicht helemaal niets. Onze autoriteit is toonaangevend in Europa en schrikt er niet voor terug om reuzen als Facebook aan te pakken.
De voorzitter:
U moet afronden.
De heer Van Wijngaarden (VVD):
Dat ga ik doen.
De strijd van de Nederlandse Autoriteit Persoonsgegevens is als die van David tegen Goliath en we weten wie er won. Al te veel doemdenken over de slagkracht is misplaatst, maar is de Minister bereid om een analyse te laten maken van de middelen die nodig zijn om de Nederlandse privacyambities waar te maken? Wellicht is het raadzaam dit door een externe accountant te laten doen zoals ook bij de politie is gebeurd, maar dat laat ik verder aan de Minister.
Mevrouw Oosenbrug (PvdA):
Voorzitter. Het is goed dat we vandaag over privacy spreken, want in mijn opinie doen we dat te weinig in deze Kamer. Privacy is een groot goed, maar is ontzettend lastig te beschermen. Persoonlijke data worden steeds gemakkelijker beschikbaar en inmiddels worden ze op grote schaal gebruikt, ook voor commerciële doeleinden. Big data is het nieuwe goud en er wordt veel geld mee verdiend, soms ten koste van de privacy van burgers. Deze trend is niet te stuiten. We moeten daarom extra goed de vinger aan de pols houden waar het gaat om de bewaking van de privacy. We kennen deze Minister ook als de Minister van privacy. Ik noem hem graag zo, en dat blijf ik gewoon doen, maar hij handelt nog niet altijd voldoende naar deze titel.
De heer Van Wijngaarden (VVD):
Ontkent mevrouw Oosenburg met de kwalificatie «Minister van privacy» niet dat iedere Minister individueel verantwoordelijk is voor zijn eigen portefeuille en dat we niet van doen hebben met een soort superminister – ik vind hem wel een super Minister – die andere ministers ter verantwoording roept over het privacybeleid binnen hun eigen portefeuille?
Mevrouw Oosenbrug (PvdA):
Kijk, mijn collega legt zijn vinger precies op de zere plek. In mijn optiek moet dat namelijk wel zo zijn. Een coördinerend Minister van privacy moet daar een bepaalde visie op hebben. Als we zien dat op alle portefeuilles het ene na het andere incident op het gebied van privacy plaatsvindt, moet een coördinerend Minister daarop ofwel een visie ontwikkelen ofwel ingrijpen of in ieder geval zijn coördinerende taak opnemen. Anders hoeven we geen coördinerend Minister van privacy te hebben. Dat is mijn mening, maar wellicht...
De heer Van Wijngaarden (VVD):
Voor die zeer belangrijke taak hebben we in de eerste plaats toch juist de onafhankelijke Autoriteit Persoonsgegevens opgericht? Overigens zijn we Europeesrechtelijk verplicht om die taak daar neer te leggen. Doorkruist mevrouw Oosenbrug met haar opvatting, die ik zeer respecteer, niet de manier waarop dit Europeesrechtelijk geregeld is, namelijk dat deze taak bij de autoriteit ligt, en bovendien het Nederlandse staatsrecht waarin ministers individueel verantwoordelijk zijn voor hun portefeuille?
Mevrouw Oosenbrug (PvdA):
Nu wordt het een heel mooie, filosofische discussie, die ik graag aanga, want het gaat niet van mijn spreektijd af. Ik ga er rustig de tijd voor nemen. We hebben een Autoriteit Persoonsgegevens die inderdaad controleert, observeert en waar nodig ingrijpt. Tegelijkertijd hebben wij als medewetgevers te maken met wetgeving en is er een Minister aangesteld om als coördinerend Minister de privacy van de burger te bewaken. Als er dan dingen misgaan met privacy, of het nu door de wetgeving komt of door nieuwe wetgeving ontstaat, mag zo'n coördinerend Minister daar best wel iets van zeggen of vinden. Dat is staatsrechtelijk ook helemaal in orde. Die taak heeft de Minister gekregen en die mag hij wat mij betreft best wat steviger uitvoeren.
Voorzitter. Ik heb enkele vragen over big data en privacy. Het privacydebat in relatie tot big data moet zorgvuldig worden gevoerd. Hoe informeert de Minister eigenaren van persoonsgegevens over datgene wat er met hun persoonsgegevens gebeurt als ze bijvoorbeeld snel op «akkoord» klikken na het downloaden van een app? Vindt de Minister ook dat mensen in feite voor diensten betalen met hun persoonsgegevens? Ik wil graag weten wie de juridisch eigenaar van digitale data is, een vraag die door Leo van der Wees al is opgeworpen. Is de Minister bereid om hiernaar in breder verband te kijken, met zijn collega van Economische Zaken en wellicht ook anderen, en er een visie op te ontwikkelen? Misschien kan hij hierbij het voorstel voor een datawet meenemen, ingediend door collega Jeroen Recourt en mijzelf, dat ook ingaat op verantwoordelijkheid en eigenaarschap van data.
Digitale dienstverlening, en daarmee het gebruik van digitale persoonsgegevens, is op veel plekken al de norm. Hierbij geldt echter dat het omgaan met privacygevoelige data nog niet overal goed is ingedaald, en dit is een understatement. Ik stelde al vaak vragen over gemeenten en ziekenhuizen die dit nog niet goed in het vizier hebben. Ook de politie blijkt slecht te scoren bij het naleven van de Wet bescherming persoonsgegevens (Wbp).
Het is tijd dat de insteek voor het correct omgaan met persoonsgegevens veranderd wordt van «willen» naar «moeten». Hoe zorgt de Minister ervoor dat binnen de politieorganisatie de Wbp wordt nageleefd? De tijd van alleen monitoren is voorbij. Graag krijg ik een reactie van de Minister.
Mijn volgende punt betreft het Privacy Shield. Het Privacy Shield is een verbetering, ook al beperkt het zich tot bedrijven uit een aantal sectoren, voor zover die zich bereid hebben verklaard het te aanvaarden. Dat roept bij mijn fractie de volgende vragen op. Wie en welke bedrijven vallen onder het Privacy Shield, welke vallen er niet onder en hoe weten onlineconsumenten dat? Zijn de inschrijvingen van gecertificeerde bedrijven openbaar? Hoe wordt er in dit verband samengewerkt met het US Departement of Commerce, dat een actieve rol gaat spelen bij de inschrijving van bedrijven met privacyverklaringen? De Minister van Economische Zaken hoort hierbij zeker ook een rol te hebben. Hoe betrekt deze Minister hem daarbij?
De Minister van Economische Zaken zal zeker gecharmeerd zijn van de aan het Privacy Shield gekoppelde EU-modelcontracten. Mijn collega van de VVD sprak hier ook al over. Het bedrijfsleven heeft behoefte aan modelcontracten. Bovendien verstevigen deze de positie van de kleine mkb'er. Dergelijke contracten bieden bedrijven extra bescherming, ze veroorzaken minder regeldruk, zijn eenduidig en geven meer duidelijkheid voor de consument. Het is hoe dan ook belangrijk te weten welke consequenties de beperkte reikwijdte van het Privacy Shield heeft voor Nederland. Dit punt moet bij de eerste evaluatie zeker aan de orde komen. Gaat de Minister met de andere lidstaten door met het voeren van een gezamenlijke strategie? Komt hij met een «go/no go» ten behoeve van het beoordelen van de evaluatie?
Het ongericht verzamelen van persoonsgegevens afkomstig uit de EU door Amerikaanse inlichtingendiensten is een van de hete hangijzers. Gezien de bescherming van de nationale veiligheid vindt de Minister gegevensvergaring in bulk niet onverantwoord. De artikel 29-werkgroep denkt hier volledig anders over. Ongericht verzamelen is uit den boze. De privacy van burgers moet vooropstaan. Kan de Minister uitleggen wat hij bedoelt als hij schrijft «dat het wel zinvol kan zijn om de afweging tussen privacy en veiligheid verschillend te laten plaatsvinden». Dat is uiterst cryptisch. Hoe regelt de Minister breder toezicht? De artikel 29-werkgroep liep aan tegen de complexiteit van het stelsel van rechtsbescherming en geschiloplossingen. Dit zou in de praktijk wel eens problemen kunnen opleveren. De Minister ziet het probleem ook. Vindt hij een verduidelijkende flowchart voldoende? Is een monitor niet eveneens nodig? De Commissie staat open voor een toets, mits er draagvlak bestaat. Mijn fractie denkt dat die bestaat. De jaarlijkse evaluatie is ook hierbij belangrijk en een terugkerend instrument om de afspraken tegen het licht te houden. Vervolgens wil de Kamer hierover goed en systematisch geïnformeerd worden. Hoe houdt de Minister de Kamer op de hoogte?
De heer Verhoeven (D66):
De VVD had het over een apk en mevrouw Oosenbrug begon al over evaluatie en monitoring, alsof de besluitvorming al afgerond is. Zoals mevrouw Oosenbrug zegt – ze noemt het een heet hangijzer – wordt het met dit Privacy Shield wel gewoon mogelijk dat de Amerikaanse overheid ongericht data van Europese burgers verzamelt. Vindt de PvdA dat goed?
Mevrouw Oosenbrug (PvdA):
Even rephrased: vindt de PvdA het goed dat de Amerikaanse overheid ongericht alle gegevens van de Nederlandse burger kan verzamelen? Was dat de vraag?
De heer Verhoeven (D66):
Dat was de vraag.
Mevrouw Oosenbrug (PvdA):
Nee, dat vinden wij niet goed en daarom hebben wij gelukkig ook de vraag over het toezicht gesteld. We hebben te maken met het ongericht verzamelen van data – dat gebeurt al – en we hebben vervolgens de Autoriteit Persoonsgegevens die daarop toeziet. Wij zijn dus niet voor het ongericht verzamelen; wij zijn wel voor het toezicht.
De heer Verhoeven (D66):
Dat belooft dan nog wat voor de debatten die we de komende tijd hebben over onder andere de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) in ons eigen land, maar dat even terzijde. Als de PvdA het goed vindt dat de Amerikaanse overheid op basis van het Privacy Shield ongericht data verzamelt en graait in alle data die via het Privacy Shield vanuit Europa naar Amerika komen, zou ik verwachten dat ze op dit moment meer eisen stelt aan de Minister voor zijn inzet van morgen. Wil de PvdA dan ook steviger oproepen tot bijvoorbeeld toezicht door het Europese Hof of andere voorwaarden die morgen door de Minister moeten worden ingebracht? Anders is het immers een beetje gratuit om het te zeggen.
Mevrouw Oosenbrug (PvdA):
Ik dacht dat ik er in mijn bijdrage al redelijk stevig op inging en ook aangaf dat ik inderdaad wel iets verwacht van de Minister van privacy. Dat ongericht graaien in data van burgers is namelijk voor mij een enorm privacyissue, in goed Nederlands. Volgens mij zitten we redelijk stevig op de bescherming van de privacy van de burger. Ik denk dat we redelijk aansluiten bij wat de heer Verhoeven gaat voorstellen. Ik weet natuurlijk niet wat dat is, maar ik denk dat hij nog diep op dit punt gaat ingrijpen.
De voorzitter:
Dat gaat we nu beluisteren, want het woord is aan de heer Verhoeven voor zijn inbreng in eerste termijn.
De heer Verhoeven (D66):
Voorzitter. Sinds het vorige debat over privacy van meer dan een jaar geleden is er heel veel gebeurd, in het bedrijfsleven, in Nederland, in Europa. Daarover hebben we het vandaag. Ondanks het feit dat er stappen in de goede richting zijn gezet, vindt D66 dat het in algemene zin de verkeerde kant opgaat met de privacybescherming van burgers. De Autoriteit Persoonsgegevens noemt in het jaarverslag van afgelopen jaar persoonsgegevens «het nieuwe geld». Bedrijven verzamelen steeds meer data en kunnen er steeds meer mee. Mensen betalen als gevolg daarvan steeds meer met hun persoonsgegevens, vaak zonder dat ze dit weten, vaak zonder dat ze daarin een keuze hebben en vaak ook zonder dat ze invloed of inzage op deze data hebben. Dat gebeurt echt niet alleen op Facebook en Google; ook autofabrikanten, verzekeraars en allerlei andere partijen bedenken manieren om dit te doen, zoals collega Van Wijngaarden terecht al noemde.
Niet alleen bij het bedrijfsleven is er sprake van goudkoorts of geldzucht, maar ook bij de overheid zelf. Kijk alleen maar naar dit kabinet dat vier wetten in voorbereiding heeft. Bewaarplicht van telecomgegevens en passagiersgegevens, ongericht kabelverkeer aftappen door inlichtingendiensten, hackende politieagenten: dit zijn allemaal manieren om meer, meer en nog meer data op te halen onder het mom van bescherming van onze nationale veiligheid. Laat ik het iets stelliger zeggen dan mijn collega van de PvdA: de Minister is veel, maar hij is geen Minister van privacy die het privacygrondrecht van burgers bevecht. Hij knikt, maar ik vind het zeer teleurstellend dat hij dat niet is. De nadruk ligt te eenzijdig op nationale veiligheid. Dat is overigens een mondiale trend zoals de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) al in 2015 constateerde.
De heer Van Wijngaarden (VVD):
Toen het over dataretentie ging, hoorde ik de heer Verhoeven tussen neus en lippen door zeggen «onder het mom van de nationale veiligheid». Is de heer Verhoeven dan niet op de hoogte van het feit dat het dankzij de bewaarplicht mogelijk is geweest verdachten te confronteren met het feit dat ze aanwezig waren geweest op de plaats van het delict waarvan ze verdacht werden? De Kamer heeft hierover informatie gekregen en die is ook openbaar gemaakt. Waarom gebruikt de heer Verhoeven dan een term als «onder het mom van de nationale veiligheid», alsof dat niet waar zou zijn? Dit even los van alle zorgvuldigheidschecks die moeten worden ingebouwd.
De heer Verhoeven (D66):
Dat doe ik omdat uit de terroristische aanslagen op vele plekken in Europa van de afgelopen maanden en jaren juist gebleken is dat meer informatie niet leidt tot meer veiligheid. Zo simpel is het. Na een aanslag horen we elke keer dat de dader al in het vizier was, dat de dader al in beeld was of al bekend was bij politie en justitie. Kortom, de informatie was er, maar die wordt niet goed behandeld. Het kabinet zegt elke keer dat het nog meer data gaat verzamelen. Dat vind ik niet de goede aanpak om terrorisme te bestrijden of criminelen te pakken. Dat moeten we met gerichte surveillance doen en niet met nog meer data, nog hogere hooibergen en nog meer onvindbaarheid van datgene wat we nodig hebben.
De heer Van Wijngaarden (VVD):
Even heel scherp: de heer Verhoeven ontkent dus dat het met de bewaarplicht van telecomgegevens mogelijk is om verdachten van bijvoorbeeld ernstige misdrijven als verkrachting of moord op te sporen. Ik vind het heel nare voorbeelden, maar helaas zijn ze wel reëel. Met de telecomgegevens kan men aantonen dat de verdachte op die bepaalde plek was, terwijl dat zonder die gegevens niet mogelijk is. Dat is toch winst voor de veiligheid en voor de bescherming van de persoonlijke levenssfeer van mensen? En dan zegt de heer Verhoeven hier dat het allemaal onder het mom van de nationale veiligheid is, alsof we met een soort orwelliaans monster van doen hebben dat alleen maar zucht heeft naar nog meer data onder het mom van. Het is toch niet «onder het mom van»? Het is toch gewoon een feit dat we daardoor verdachten hebben kunnen aanhouden? Dat is toch winst voor de veiligheid van Nederlanders?
De heer Verhoeven (D66):
Dit is een wat gesloten vraag. De heer Van Wijngaarden gaat overigens wel ver als hij de Minister van privacy een orwelliaans monster noemt, maar dat laat ik verder voor zijn rekening. Ik vind dat bij de Wet bewaarplicht telecommunicatiegegevens en alle andere wetten waarmee het kabinet bezig is, onvoldoende – ik moet zelfs zeggen: totaal niet – wordt onderbouwd waarom het zo hard nodig is. Ik herinner me zelfs dat we het in het vorige AO Privacy, waar de heer Van Wijngaarden ook bij was, vooral over die Wet bewaarplicht telecommunicatiegegevens gehad hebben. De discussies spitsten zich toen volledig toe op het feit dat er geen onderbouwing was van de noodzaak en dat het kabinet niet verder kwam dan één of twee voorbeelden van zaken die plaatsvinden waardoor het nodig is om over te gaan tot zo'n vergaande manier van gegevens verzamelen. Een veel breder overzicht van het soort misdaden dat hierdoor wordt opgelost, is echter nooit door iemand gegeven, niet door de politie, niet door het kabinet, niet door het Openbaar Ministerie. Er wordt alleen steeds gezegd: er zijn heel ernstige misdrijven en daarom hebben we zwaardere middelen nodig. Een harde onderbouwing van de noodzaak is er nooit geweest. Als de heer Van Wijngaarden mij twee voorbeelden van een moord of een verkrachting kan geven die daardoor konden worden opgelost, wil ik ook dat hij oog heeft voor het feit dat er enorm veel voorbeelden zijn van mensen die onterecht in verband werden gebracht met allerlei situaties, gegevens en ook misdrijven. Het is dus echt niet de oplossing. De oplossing is gericht speurwerk. Daarin moeten we investeren en niet in meer en hogere databergen. Ik denk dat we het hierover nog vaak gaan hebben.
De WRR waarschuwde overigens niet alleen vorig jaar, maar ook dit jaar, voor al die datazucht. De WRR schrijft dat big data kansen bieden voor opsporing en surveillance, maar ook nieuwe risico's vormen voor burgers op het gebied van privacy, discriminatie en zelfs vrije meningsuiting. Die risico's zijn veel te veel onderbelicht. Zoals ik net al tegen mijn collega van de VVD zei: het werkt ook niet. Ongericht data verzamelen geeft nog hogere hooibergen van generieke informatie. Het maakt Nederland niet veiliger. Het maakt burgers ondertussen wel kwetsbaar. De conclusie moet dan ook zijn dat het niet baat, maar wel schaadt. D66 wil daarom een koerswijziging waarbij noodzaak en doelbinding veel meer voorop komen te staan en burgers veel meer inzicht en zeggenschap krijgen in de data die de overheid van hen heeft. De overheid moet zelf ook het goede voorbeeld geven. Als we het over veiligheid hebben, dan denk ik aan Oegstgeest en het zoveelste DigiD-incident waarbij de veiligheid van burgers niet op orde was doordat de systemen – de overheid heeft met ICT niet altijd een heel goede historie – niet op orde waren. Pakt de Minister dit punt met zijn collega van Binnenlandse Zaken op?
Bij de stukken van vandaag zat ook het resultaat van de privacyaudit van de politie. Daaruit blijkt dat de politie de Wet politiegegevens (Wpg) op essentiële punten niet naleeft en niet voldoet aan de gegevensbeschermingsvoorschriften voor het Schengen Informatie Systeem en het Europees Visum Informatiesysteem (EUVIS). Wanneer komt dit op orde?
Het toezicht moet scherper. Ik ben het daarom eens met de analyse van de Autoriteit Persoonsgegevens dat het budget verhoogd moet worden gezien haar groeiende takenpakket. Is de Minister bereid om daartoe stappen te zetten?
Ik kom op het EU-US Privacy Shield. Dit moet zorgen voor een veilige overdracht van data van EU-burgers naar Amerikaanse bedrijven. Dit kan niet zonder stevige juridische waarborgen. Het Privacy Shield moet beter voldoen aan de eisen van het Hof van Justitie, zoals ook de privacywaakhonden in hun reactie van afgelopen april hebben gezegd. Die eisen zijn niet ingewilligd. Sterker nog, ongerichte sleepnetten van de Amerikaanse overheid blijven gewoon mogelijk binnen het Privacy Shield. D66 ziet graag dat Nederland als voorzitter van de EU het advies van de privacytoezichthouders veel zwaarder laat meewegen dan de Minister in zijn brief heeft gedaan.
Toch laat de Minister een bijzondere opening. In zijn brief schrijft hij namelijk dat hij het denkbaar vindt om het Hof van Justitie een toets te laten doen op de houdbaarheid. Is hij bereid om dit punt morgen concreet in te brengen? Hij vond het tot nu toe denkbaar, maar ik krijg graag een harde garantie dat hij het voortouw neemt om dit te doen, zodat het draagvlak in de lidstaten er daadwerkelijk komt, zoals de PvdA graag ziet, en dat die toets er in ieder geval komt.
Hetzelfde geldt eigenlijk voor het EU-US Umbrella Agreement, de gegevensuitwisseling tussen justitieapparaten. Voldoet deze overeenkomst volgens de Minister aan de privacycriteria van het Hof van Justitie?
Tot slot kom ik bij het punt van het Europese privacypakket dat in 2018 de Wet bescherming persoonsgegevens zal vervangen. Wanneer ontvangen we de invoeringswetten van het kabinet? Kan de Minister daarop vooruitlopend alvast aangeven welke keuzes lidstaten precies hebben binnen deze verordening? Mijn laatste vraag is of de gemaakte uitzondering voor het naleven van doelbinding door Nederland is ingebracht. Het is namelijk een ongewenste uitzondering en ik ben zeer benieuwd of het een ideetje van deze Minister was.
Voorzitter: Verhoeven
Mevrouw Gesthuizen (SP):
Voorzitter. Laat ik beginnen met privacy en naleving van de Wpg door de nationale politie. Daar is al geruime tijd kritiek op. De Wpg regelt hoe met de persoonsgegevens van de verdachte, aangever, getuigen et cetera dient te worden omgegaan. Politiegegevens zijn persoonsgegevens die in het kader van de politietaak zijn of worden verkregen. De Wpg regelt ook wat de rechten van mensen zijn, zoals het recht op kennisneming van zijn of haar persoonsgegevens. Na kennisneming kan een verzoek tot verwijdering, aanpassing et cetera worden gedaan. Al in 2013 is geconstateerd dat de naleving van deze wet onvoldoende is. Wederom heeft de Auditdienst Rijk (ADR) een kritische rapportage uitgebracht. Ik lees dat onder andere de volgende redenen hieraan ten grondslag liggen. De politie ziet privacy te veel als losstaand project in plaats van een onderwerp dat verbonden is met alle politieprocessen. Dat baart mij persoonlijk de meeste zorgen. De ICT is onvoldoende en ondersteunt de politie niet goed genoeg in de naleving van de Wpg. Achterblijvende en onvoldoende functionerende ICT is een veelgehoorde klacht en niet alleen in relatie tot privacy. Bovendien is de reorganisatie van de politie een continuïteitsrisico voor diezelfde naleving.
De Minister heeft gezegd dat de politie met een realistisch plan komt. Wat maakt de situatie waarvoor we nu staan anders dan de situatie in het recente verleden? Toen werd er al geconstateerd dat er problemen waren en er kan nu nog niet worden geconstateerd dat deze problemen zijn opgelost. Waarom is het in de periode van 2013 tot 2015 nog niet gelukt om deze problemen op te lossen? Graag krijg ik een reactie.
Ook de SP heeft de nodige punten over Safe Harbour 2.0 of het EU-US Privacy Shield. Dat de conclusie van de Europese privacytoezichthouders duidelijk en niet mals is, blijkt uit de brief van de Autoriteit Persoonsgegevens van 10 mei jongstleden. Er zijn zeker verbeteringen in het Privacy Shield, maar er zijn nog een aantal belangrijke knelpunten. Diverse collega's hebben hierop ook al gewezen. Zal het Privacy Shield, mede gezien de kritiek van de Europese toezichthouders, de toets van het Europese Hof wel doorstaan? Wat is zijn inschatting?
Er wordt niet uitgesloten dat er nog steeds sprake kan zijn van ongericht verzamelen van data door de Amerikaanse inlichtingendiensten. We weten allemaal wat er met de dataretentierichtlijn is gebeurd. Er is geen expliciete bewaartermijn, waardoor het kan voorkomen dat gegevens in de VS langer worden bewaard dan in de EU is toegestaan.
Het is goed dat er een ombudsman komt. Niet-Amerikanen hebben namelijk geen toegang tot de Amerikaanse rechter als het om privacyschending gaat, maar de toezichthouders vrezen dat de ombudsman te weinig onafhankelijk zal zijn en te weinig bevoegdheden zal hebben om zijn taak effectief uit te voeren. Bovendien zijn de waarborgen te onoverzichtelijk. Ze staan ofwel in het besluit ofwel in de bijlagen. De Minister erkent deze onoverzichtelijkheid in zijn brief van april. De Europese Commissie zou voldoende openstaan voor verbetering. Ik hoor graag hoe kansrijk de Minister een en ander acht.
Het is goed dat er jaarlijks wordt geëvalueerd, maar onduidelijk is nog wat er bij de controles wordt besproken en waartoe deze moeten leiden. Wat kan er bovendien ondernomen worden tegen bedrijven als Facebook als ze regels blijven overtreden? Als het nodig is, kan de Commissie de werking van het Shield opschorten of intrekken. Dit klinkt heldhaftig, maar hoe realistisch is dit, aangezien er doorgaans erg veel waarde wordt gehecht aan onze verhouding met de VS? Kortom, er zijn nog zeer veel vragen.
Tot slot heb ik op basis van een artikel uit het Nederlands Juristenblad nog de volgende vragen aan de Minister over zijn uitspraken over de Safe Harbour-uitspraken. In hoeverre staat datadoorgifte naar andere landen door de VS ter discussie? Als er sprake is van een alternatieve manier van doorgeven van data, bijvoorbeeld op grond van zogenaamde modelcontracten, in hoeverre moet er dan sprake zijn van een zogenaamd passend beschermingsniveau bij het desbetreffende derde land? Hierop is gisteren summier ingegaan tijdens een gesprek met een aantal betrokkenen, maar ik vond de beantwoording op dat vlak absoluut nog onvoldoende om hierover een mening te kunnen vormen.
Dan in het kort over het EU-US Umbrella Agreement.
De voorzitter:
U hebt niet meer zo heel veel tijd.
Mevrouw Gesthuizen (SP):
Nog anderhalve minuut zie ik.
De voorzitter:
Ik dacht meer aan een minuut, maar ga uw gang.
Mevrouw Gesthuizen (SP):
U hebt allemaal vijfenhalve minuut gehad, maar ik vind het prima. Ik ga heel snel.
De European Data Protection Supervisor (EDPS) heeft zich in februari van dit jaar zeer kritisch uitgelaten over de ontwerpovereenkomst en heeft de Europese Commissie opgeroepen om opnieuw in gesprek te gaan met de Amerikaanse overheid. Ik vraag de Minister dan ook in te gaan op de opinie van de EDPS en aan te geven of hij het wenselijk en kansrijk acht om de onderhandelingen met de Amerikaanse regering te heropenen. Kan de Minister aangeven in hoeverre de overeenkomst tegemoetkomt aan jurisprudentie van het EU Hof van Justitie inzake gegevensbescherming zoals de Schremszaken?
Over de dataprotectieverordening, of de algemene verordening gegevensbescherming zoals deze tegenwoordig in goed Nederlands heet, heb ik de volgende vragen. Kan de Minister een overzicht geven van alle voor de lidstaten facultatieve bepalingen in de verordening? Kan hij aangeven welke hij met name relevant voor Nederland acht? Kan hij aangeven op welke punten de verordening substantieel afwijkt van de huidige Nederlandse privacyregelgeving zoals ten aanzien van het beschermingsniveau voor consumenten of de vrijheid van onderneming? Welke maatregelen neemt de overheid om bedrijven, maatschappelijke organisaties en overheden op de nieuwe regels voor te bereiden?
Tot slot kom ik op de capaciteit en het budget van de Autoriteit Persoonsgegevens. Ik maak me daar grote zorgen over. We verwachten steeds meer van onze Autoriteit Persoonsgegevens. Deze geeft zelf aan met het huidige budget maar een fractie van de belangrijke taak die we bij haar hebben belegd, te kunnen uitvoeren. Ik zie graag dat de Minister daarmee in zijn begroting voor 2017 al ernstig rekening houdt.
De voorzitter:
Het moet gezegd worden dat mevrouw Gesthuizen als voorzitter inderdaad had laten weten dat de spreektijd vijfenhalve minuut en niet vijf minuten was. Ze had dus inderdaad meer tijd dan ik aangaf en ze is keurig binnen die tijd gebleven. Ik geef het woord weer aan haar terug, zodat het AO op ordentelijke wijze een vervolg kan krijgen
Voorzitter: Gesthuizen
De vergadering wordt van 15.02 uur tot 15.20 uur geschorst.
Minister Van der Steur:
Voorzitter. Ik dank de woordvoerders die op het punt van privacy een groot aantal onderwerpen de revue hebben laten passeren. Laat ik beginnen met iets te vertellen over mijn rol als coördinerend Minister. Daarbij worden door mevrouw Oosenbrug en de heer Verhoeven verwachtingen gecreëerd. Misschien is het goed die even te temperen, althans in ieder geval aan de realiteit te toetsen. Mijn taak als coördinerend Minister is om aandacht te hebben voor de bescherming van de persoonsgegevens in Nederland en vooral om te zorgen voor eenheid in beleid. Het is van groot belang dat binnen alle departementen binnen de verantwoordelijkheden van de onderscheiden ministers op dezelfde manier wordt omgegaan met de afspraken die we bijvoorbeeld met de Kamer hebben gemaakt ter zake van privacyimpactassessments en de manier waarop we met de persoonlijke levenssfeer van onze inwoners omgaan. Als coördinerend Minister ben ik dus op geen enkele wijze verantwoordelijk voor wat mevrouw Oosenbrug suggereert. Ook de heer Verhoeven suggereerde dat in zijn vraag: «Hoe gaat de Minister van Veiligheid en Justitie dit probleem samen met de Minister van Economische Zaken aanpakken?» Dat is in ieder geval niet de bedoeling. Iedere Minister heeft en houdt zijn eigen verantwoordelijkheid voor zijn eigen beleidsterreinen en voor de manier waarop met de privacy wordt omgegaan, ook ten aanzien van de wettelijke bepalingen daarvoor. Bij een aantal debatten over aan privacy gerelateerde onderwerpen is bij andere ministers de suggestie gedaan dat ik daarbij aanwezig zou zijn om te coördineren. Tegen mevrouw Oosenbrug zeg ik alvast dat ik aan een aantal van die uitnodigingen geen gehoor kan geven om de eenvoudige reden dat het niet mijn taak is om tijdens een debat met een vakminister over zijn vakbeleid een visie te geven op privacy, want dat past de Minister zelf. Dat wil niet zeggen dat ik ondertussen niet de rol van coördinerend Minister op me neem. Dat doe ik echter niet in de relatie tussen het kabinet en de Kamer, maar vooral tussen de ministers onderling, omdat het het kabinet erom gaat dat alle ministers op dezelfde wijze omgaan met de bescherming van de persoonlijke levenssfeer van onze inwoners.
Mevrouw Oosenbrug (PvdA):
Dit gehoord hebbend, vind ik dat we in deze Kamer wel met een hiaat zitten. Ik ga ervan uit dat er een soort coördinatie plaatsvindt op het moment dat iemand een coördinerende rol heeft. De Minister geeft al aan dat elke vakminister verantwoordelijk is voor zijn eigen stukje op zijn eigen portefeuille. Ik merk echter dat bijvoorbeeld de Minister van Economische Zaken met een stukje wetgeving komt dat enorm bijt met bijvoorbeeld een stukje van Veiligheid en Justitie. Als we daar iemand tussen zouden hebben, kan die ervoor zorgen dat het elkaar dan niet zo bijt. Dat is tenminste mijn mening of visie. Als dat niet de taak van deze Minister is, is het dan niet verstandig om ervoor te zorgen dat iemand die taak wel op zich neemt? We hebben ook een digicommissaris die het gebruik van software et cetera tussen alle departementen aan het uitzoeken is. Is het niet verstandig als iemand dat ook op het gebied van privacy doet, zodat het allemaal in betere banen wordt geleid?
Minister Van der Steur:
Misschien is het goed om voor mevrouw Oosenbrug inzichtelijk te maken hoe het gaat met wetgeving. Elke wet volgt een adviestraject. Het begint met openbare consultatie van het wetsvoorstel waarop alle organisaties die in de samenleving betrokken zijn bij privacy, zoals Privacy First, maar ook Bits of Freedom, de gelegenheid hebben om voorstellen en suggesties te doen. De Autoriteit Persoonsgegevens is actief betrokken als adviseur bij elke wet die de privacy van onze inwoners raakt. Daarnaast dragen in het zogeheten ambtelijk voortraject, ook wel «ambtelijk voorportaal» genoemd, mijn ambtenaren natuurlijk ook bij vanuit onderzoeksperspectief en vanuit onze coördinerende rol aan elk wetsvoorstel dat de privacy raakt. Er is dus op een heel zorgvuldige manier invulling gegeven aan zowel de openbare consultatie als de verplichte adviesorganen als de rol die mijn departement als coördinator hierin vervult. Daarmee is gegarandeerd dat elk wetsvoorstel voldoet aan alle adviesmogelijkheden en dat de Minister daarin vervolgens zijn keuzes kan maken. Uiteindelijk wordt elk wetsvoorstel, voordat het bij de Raad van State wordt ingediend, besproken in de ministerraad, zodat daarmee het totale beeld van de complete ministerraad wordt verkregen. Daarna ligt het project verder bij de Kamer.
Mevrouw Oosenbrug (PvdA):
Ja, ik begrijp hoe het traject werkt. Ik wil best een voorbeeldje geven. Ik had laatst een discussie over een vraagstuk met de Staatssecretaris die over de belastingen gaat, de heer Wiebes. Hij zei op een gegeven moment: dat is dan een foutje in de wetgeving, want mijn wet overrulet de andere. Dan denk ik: wacht even, dus de privacy van de burger geldt totdat een Minister vindt dat zijn wet heiliger is dan de rest van de wetten. Ik vraag me af of we daarvoor dan niet een coördinerend persoon nodig hebben die ofwel zegt «misschien klopt dat, maar dan moeten we deze wet steviger maken», ofwel «we moeten de andere wet minder stevig maken». Daar zit voor mij een zorg, zeker nu we heel erg bezig zijn met privacy, want in de diverse wetgeving zitten nog hiaten.
Minister Van der Steur:
Het voorbeeld dat mevrouw Oosenbrug aandraagt, ken ik niet. Het kan zijn dat er een verschil is tussen wat mevrouw Oosenbrug van een bepaalde wet vindt en wat de regering van een bepaalde wet vindt. Dat is natuurlijk mogelijk. In algemene zin geldt echter dat alle ministers zich niet alleen moeten houden aan de huidige wetgeving, maar ook aan de verordeningen en de toekomstige richtlijnen die geïmplementeerd worden in de Nederlandse wetgeving. Strikt genomen, of er nu sprake is van onderscheid tussen wetten of verschillende interpretaties daarvan, iedereen zal moeten voldoen aan de Europese afspraken die we met elkaar hebben gemaakt.
De heer Van Wijngaarden (VVD):
Het is goed dat de Minister het misverstand over zijn rol de wereld uit helpt. Ik probeer een en ander nog even wat te vereenvoudigen om het te begrijpen. Mag ik het zo zien dat het de coördinerende rol van de Minister van Veiligheid en Justitie is om bij privacywetgeving of wetgeving die niet van het Ministerie van Veiligheid en Justitie komt maar wel privacyaspecten heeft, te zorgen voor eenheid en samenhang van die wetgeving en te bekijken hoe die zich verdraagt tot de Europeesrechtelijke privacywetgeving? Is dat voor zover het de wetgeving betreft zijn coördinerende rol? Zijn de individuele vakministers verantwoordelijk voor de naleving en uitvoering van de wetgeving voor zover die bij een ander ministerie ligt? De Staatssecretaris van VWS is dan dus verantwoordelijk voor de uitvoering van de wetgeving die onder hem valt. Is dit een verduidelijking of maak ik het hiermee alleen maar ingewikkelder?
Minister Van der Steur:
Ik had het niet beter kunnen zeggen.
De heer Verhoeven (D66):
Het is heel leuk dat de PvdA en de VVD op zoek zijn naar een coördinerende rol voor de Minister en de invulling die daaraan gegeven moet worden. Ik ben echter bijna zover dat ik het heel moeilijk vind om de Minister als coördinerend Minister van privacy te zien, als ik zie dat de wetgeving die het meest de privacy schendt juist uit dit ministerie komt. Ik heb een collega van de Minister, de Minister van Economische Zaken, weleens gevraagd of hij wel meekijkt bij wetgeving die het mogelijk maakt dat de politie onze smartphones hackt. Kijkt de Minister van Economische Zaken wel eens mee naar wetten die ervoor zorgen dat de inlichtingendiensten ongebreideld en ongericht het kabelgebonden internetverkeer kunnen aftappen, vanwege de gevolgen voor onze bedrijven en de positie van het digitale vestigingsklimaat? Mijn vraag aan de Minister is veel steviger. Kan de Minister van Veiligheid en Justitie, die in die positie zo eenzijdig naar het belang van de nationale veiligheid kijkt, wel een coördinerend Minister van privacy zijn? Op die vraag wil ik eigenlijk ook een antwoord, even los van de techniek.
Minister Van der Steur:
De suggestie die de heer Verhoeven in zijn vraagstelling legt, doet geen recht aan de inzet van mijn departement in de afgelopen jaren, vooral ook bij de totstandkoming bij de verordening en de richtlijn op het gebied van dataprotectie. Ik herken me ook niet in het beeld dat hij daarbij suggereert. Misschien voor de goede orde: ik kan bevestigen dat de Minister van Economische Zaken uiteraard meekijkt volgens hetzelfde stramien dat ik net heb genoemd. Dat geldt natuurlijk andersom ook bij voorstellen die ik doe, omdat de volledige ministerraad bij alle voorstellen meekijkt. Voor alle voorstellen geldt bovendien dat de gebruikelijke consultatieronden ook op dat punt worden gehouden. Ik herken me dus totaal niet in het beeld dat de heer Verhoeven schetst.
De heer Verhoeven (D66):
Als de Minister zich niet in mijn beeld herkent, zal ik één poging doen om het iets concreter te maken. De EU-werkgroep van privacywaakhonden, maar ook het Europese Hof van Justitie, zegt dat het ongericht verzamelen van data heel dicht tegen schending aanligt of misschien zelfs wel een inbreuk is op de bescherming van bepaalde burger- en grondrechten. De Minister schrijft in zijn brief over het Privacy Shield eigenlijk dat hij helemaal niet zo tegen het ongericht verzamelen is zoals door de Amerikaanse veiligheidsdiensten gedaan wordt. De rol van de Minister van privacy staat dan toch op gespannen voet met de voorkeur van de Minister en het kabinet – die voorkeur is wat mij betreft prima, dat is kabinetsbeleid – om big data in te zetten voor de nationale veiligheid? Dan is het toch niet zo raar dat we vanuit de privacyinvalshoek twijfelen aan de rol van de Minister van privacy?
Minister Van der Steur:
De heer Verhoeven knoopt wel heel veel onderwerpen aan elkaar. Ik kom zo terug op zijn vraag over ongericht verzamelen. Iedereen die de brief over het Privacy Shield gelezen heeft, heeft ook gezien dat er best nog vraagtekens staan bij wat er nu ligt. Die staan er ook ten aanzien van de wijze waarop de Amerikaanse autoriteiten heel specifiek vinden dat ze hun eigen nationale veiligheid moeten waarborgen. Overigens is dit een keuze waarvoor de Amerikanen natuurlijk primair verantwoordelijk zijn. Op de vragen over de bulkinformatie ga ik zo verder in, maar het is ook maar net hoe je het brengt en hoe het gaat. Het verknopen van al deze onderwerpen en dan tot een conclusie komen geeft niet een juiste weergave van hoe het nu ligt. Bovendien ligt de verantwoordelijkheid voor het Privacy Shield en het Umbrella Agreement vooral bij de Europese Commissie die deze taak expliciet heeft gekregen. Ook daarover zal ik straks nog meer zeggen.
De voorzitter:
De Minister vervolgt zijn betoog.
Minister Van der Steur:
Dat zal ik met vreugde doen, want laat ik vaststellen dat wij op het gebied van dataprotectie echt wel iets te vieren hebben in Nederland. Op 4 mei is een groot pakket aan zeer zinvolle maatregelen in het Publicatieblad verschenen: de algemene verordening gegevensbescherming, de richtlijn gegevensbescherming opsporing en vervolging en de Passenger Name Record (PNR)-richtlijn. Ik moet daarbij opmerken dat dit mede mogelijk gemaakt werd door de Minister van Defensie, die op Koningsdag bereid was om samen met president Schulz de vereiste ondertekeningen van de wetgeving te verrichten. Dat is een belangrijke stap geweest, ook in het kader van ons voorzitterschap. De implementatie wordt met groot enthousiasme ter hand genomen. In dat traject zullen natuurlijk primair veel van de punten die ook mevrouw Gesthuizen aan de orde stelde en vragen over de implementatie aan de orde komen.
Laat ik van deze gelegenheid gebruikmaken om te zeggen dat Nederland zelf ook een heel belangrijke rol heeft gehad in het tot stand komen van het gehele pakket, met name in de hieraan voorafgaande jaren. Het toenmalige College bescherming persoonsgegevens, thans Autoriteit Persoonsgegevens geheten, in de vorm van de heer Kohnstamm hier aanwezig, heeft als voorzitter van het internationale overlegorgaan een heel belangrijke rol gespeeld in de voorbereiding van de verordening en de richtlijn, met name in het overleg en de gedachtevorming die daar in internationaal verband aan ten grondslag heeft gelegen. Wetende dat de heer Kohnstamm volgende maand afscheid neemt, vind ik het passend om ook hier officieel voor het verslag vast te leggen dat de Nederlandse regering de heer Kohnstamm bijzonder dankbaar is voor zijn inzet en de belangrijke rol die Nederland mede dankzij zijn inzet heeft gespeeld in het gehele proces van de totstandkoming van de verordening en de richtlijn. Het is dan ook heel mooi dat tijdens ons voorzitterschap de formele handeling heeft plaatsgevonden om beide belangrijke documenten in combinatie met de PNR-richtlijn vast te stellen.
Ik kom bij het EU-US Privacy Shield, of «Privvacy» Shield, zoals je inderdaad volgens de Engelsen zou moeten zeggen. Er zijn veel vragen over gesteld. Laten we nog even beginnen met de reden waarom Nederland het ook alweer zo belangrijk vond dat het bestaande Safe Harbour Agreement werd vervangen door het Privacy Shield. Daarvoor waren twee redenen. Ten eerste is de VS voor Nederland en voor Europa een buitengewoon belangrijke handelspartner. Voor het welslagen van deze handel is uitwisseling van gegevens noodzakelijk. Contracten kunnen niet gesloten worden zonder persoonsgegevens uit te ruilen. Bedrijven die in Nederland én Amerika zijn gevestigd, zouden dan sowieso intern niet kunnen samenwerken. In 1995 hebben we in Europa een hoog niveau van bescherming van onze persoonsgegevens vastgesteld. Het is van groot belang dat deze bescherming door de Europese Commissie wordt gewaarborgd. Vervolgens hebben we gekozen voor een stelsel waarin de Europese Commissie bevoegd is om te beoordelen of er met andere landen data vanuit Europa kunnen worden uitgewisseld op basis van zogenaamde adequacy finding. Dat is vormgegeven in het Safe Harbour Agreement. Iedereen wist dat dit aan herziening toe was. Daarmee was men ook al bezig, maar de ongeldigverklaring door het Hof van Justitie in oktober vorig jaar heeft deze uiteraard in een versnelling gebracht. Men kan niet beweren dat de Commissie, maar ook de VS, niet met een buitengewoon grote inzet heeft onderhandeld. Sterker nog, het snel tot stand komen van beide documenten heeft sommige mensen best verbaasd, omdat men eigenlijk verwachtte dat de onderhandelingen veel langer zouden duren. Daar maakten ook wij, de regering, ons grote zorgen over, zoals we vorig jaar in het overleg over privacy met elkaar gewisseld hebben. Met name voor het Nederlandse bedrijfsleven, maar zeker ook voor het mkb is het immers van groot belang dat de mogelijkheid tot uitwisseling van data met Amerika bestaat.
Daarom hebben wij deze documenten, niet bepaald korte stukken, zeer zorgvuldig bekeken en zijn we tot een positief oordeel gekomen – dat heeft de Kamer ook in mijn brief van 29 april kunnen lezen – maar met een aantal aantekeningen. Diezelfde aantekeningen zie ik vandaag ook gereflecteerd in de bijdragen van de woordvoerders. Natuurlijk zijn er dingen die misschien nog mooier of beter hadden gekund. Ten eerste speelt het feit dat het een zaak van de Commissie is daarbij een grote rol. We hebben de Commissie de bevoegdheid gegeven en deze onderhandelt met de Verenigde Staten. De Raad, waarvan Nederland voorzitter is, doet niet mee aan de onderhandelingen en heeft ook geen mandaat voor de onderhandelingen hoeven geven. Wat dat betreft staan we op een zekere afstand. Ten tweede laat het EU-recht in beginsel ruimte voor een systeem van zelfregulering in een derde land. De Commissie hoefde dan ook niet helemaal opnieuw te beginnen en kon zich richten op concrete verbeteringen. Ten derde geldt dat eventuele toegang van de overheid in de Verenigde Staten tot door te geven gegevens moet voldoen aan de vereisten van «necessary and proportioned», noodzakelijkheid en proportionaliteit. Ten vierde is het van belang dat het Hof zich niet rechtstreeks heeft uitgesproken over de wetgeving van de VS die deze toegang mogelijk maakt. De onderhandelaars hebben zich daarom gericht op verklaring en uitleg van de daarin geldende normen. Deze vier omstandigheden hebben onze positie bepaald dat we de Commissie kunnen volgen in het oordeel dat het gehele pakket voldoet aan de eis van gegevensbeschermingsniveau die wij stellen, aan de eis zoals die in de VS wordt gesteld en aan de maatstaf van «essentially equivalent», in essentie gelijkwaardig.
Ik loop kort nog langs een aantal punten. Hoe je het ook wendt of keert, de inhoud van het Privacy Shield zoals die er nu ligt, is een aanzienlijke verbetering van de manier waarop bedrijven met gegevens moeten omgaan. Ik zie ook – de heer Verhoeven verwees hier ook naar, evenals mevrouw Gesthuizen – dat de artikel 29-werkgroep op een groot aantal detailpunten heeft aangegeven dat dingen anders hadden gekund. De Commissie neemt dit advies serieus en volgens mij wordt er morgen ook nog over gesproken. Er is dus een goede kans dat er morgen in de gesprekken daarover nog een aantal verbeteringen en aanscherpingen kunnen worden genoteerd. Daarover zal ik de Kamer uiteraard informeren. Een en ander neemt niet weg dat de Nederlandse regering de grote lijn van de Commissie kan volgen.
De vraag is of de overeenkomst voldoende verduidelijking bevat over het rechtsstelsel in de VS, de daar geldende waarborgen en of die voorzien zijn van controle door de rechter. Natuurlijk is de vraag ook wat de toegang van de overheid van de VS is met betrekking tot de nationale veiligheid. De heer Verhoeven verwees hier al naar. Wij zijn blij dat de VS de dialoog met de Europese Unie zijn aangegaan en dat ze transparantie verschaffen over hun wettelijke systeem voor die toegang. Na Snowdon heeft de regering van de VS een groot aantal punten in wetgeving en beleid aangescherpt om de veiligheid en de privacy beter op elkaar af te stemmen. Hoe je het ook wendt of keert, dat is een stap vooruit.
Zoals de heer Verhoeven al zei, blijft verzamelen in bulk mogelijk, ook al is het secundair, want er zitten beperkingen in de fase na het verzamelen zoals het gebruik en het verstrekken ervan. De grondgedachte erachter kan ik echter wel begrijpen, al kan misschien vanuit Nederlands perspectief een andere opzet van de desbetreffende wetgeving ook voorstelbaar zijn.
We moeten ons realiseren dat onze ambitie groot is, maar dat we nog steeds niet de Amerikaanse wetgever zijn. We moeten accepteren dat de rechtsbescherming in de VS anders is geregeld dan wij gewend zijn. Dat heeft te maken met de Amerikaanse Grondwet, die tot taak heeft primair alleen Amerikaanse burgers te beschermen. Dat kunnen wij niet veranderen. Het is echter belangrijk dat we ons goed realiseren dat de Amerikanen op dat punt een enorme stap vooruit hebben gezet met de zogenaamde Judicial Redress Act, waarvan heel veel mensen betwijfeld hebben of dat ooit zou kunnen. Deze maakt het mogelijk dat burgers van de EU voor hun privacyrechten de rechter van de VS kunnen inroepen. Dat is dus een aanpassing van of een aanvulling op de Amerikaanse Grondwet.
Vervolgens is er een ombudspersoon opgenomen in de regeling. Natuurlijk, en terecht, worden daar her en der op- en aanmerkingen bij geplaatst, ook in de literatuur. Wij herkennen dat beeld wel, want ook de Nationale ombudsman is competent voor individuele klachten tegen de diensten. Op zich is het stelsel niet anders. Het is goed dat we blijven bekijken – dat geldt dan vooral voor de Commissie – hoe dat zich in Amerika ontwikkelt.
Als we dit allemaal op een rijtje zetten, zijn er een aantal punten die we vanuit de Nederlandse gedachte graag anders hadden gezien. Dat wil niet zeggen dat de andere lidstaten er ook anders over denken, want ook die hebben hun eigen systemen en ideeën. Wij kunnen echter het oordeel van de Commissie over het Privacy Shield goed volgen. Dat doen we, zoals ik al zei, met twee belangrijke punten in het achterhoofd: de rechtszekerheid voor bedrijven in het algemeen en voor het mkb in het bijzonder, en het feit dat er niet veel alternatieven voorhanden zijn. Daarmee herhaal ik dus dat wij in algemene zin positief staan tegenover het resultaat tot nu toe. Ik zal de Kamer informeren over eventuele veranderingen.
Ik kom bij de vragen van de individuele leden. De heer Van Wijngaarden vroeg hoe we ervoor zorgen dat burgers weten wat hun rechten zijn als gegevens in de VS worden opgeslagen. Misschien is het goed dat we ons op dit punt realiseren dat primair de bedrijven die gegevens met de Amerikanen uitwisselen, verplicht zijn in klare taal duidelijk te maken aan burgers dat hun gegevens naar de VS worden overgebracht en welke rechtsgevolgen daaraan verbonden zijn. Deze verplichting volgt nu al uit de huidige Wbp. Er is in principe geen verschil of de gegevens op grond van het Privacy Shield, een modelcontract of een andere grondslag worden doorgegeven. Ik zal uiteraard aan de orde stellen bij bedrijven, waarmee ik regulier overleg heb, dat de informatieverschaffing in het licht van de nieuwe afspraken nog verder verbeterd kan worden. Het is ingewikkeld voor bedrijven om de juiste keuze te maken tussen de verschillende doorgiftegronden. Daarbij kan men nog wel wat hulp worden gebruiken. Dat moet op EU-niveau gebeuren op het gebied van de uitleg van het EU-recht. Morgen spreek ik Commissaris Jourová en dan zal ik haar erop wijzen dat deze wens in Nederland bestaat.
Mevrouw Oosenbrug vroeg of de flowchart voldoende is om het ingewikkelde stelsel te beoordelen. Eén ding is zeker: het zal in ieder geval veel helpen, want de flowchart maakt heel veel duidelijk. Beelden kunnen vaak gecompliceerde teksten goed verduidelijken. De Commissie is bezig met de ontwikkeling daarvan en ik ga ervan uit dat het goed komt. Als het er eenmaal is, zullen we er zelf ook een oordeel over vellen en als dat nodig is, een verdere verduidelijking van de zijde van de Commissie vragen.
De heer Van Wijngaarden vroeg hoe we tegenover een jaarlijkse apk staan en of het Privacy Shield niet met zijn tijd moet meegaan. De heer Van Wijngaarden heeft daar gelijk in. De Commissie zal zeker in de loop der tijd moeten bezien of het Privacy Shield blijft voldoen aan de bestaande ontwikkelingen. Wat op dit gebied heel sterk geldt – een punt dat de heer Verhoeven ook naar voren bracht – is dat de ontwikkelingen ongelooflijk snel gaan. In die zin is het ook wonderbaarlijk dat we het sinds 1995 in Europa met een en dezelfde verordening hebben gedaan, terwijl we in de loop der tijd allemaal wisten dat die zou gaan knellen. Het is dus van belang dat nieuwe consequenties van technologische ontwikkelingen steeds worden meegegeven. Daarvoor hebben we al suggesties gekregen en die zullen we bij de eerste ronde van die apk zeker inbrengen. Daarom is het goed dat de Commissie en de VS verplicht zijn tot een jaarlijkse evaluatie.
Mevrouw Oosenbrug vroeg welke strategieën we daarbij hanteren. De Commissie geeft natuurlijk de opdracht voor de evaluatie. Ik ga ervan uit dat de Commissie de resultaten van de evaluatie deelt met de lidstaten. Daarvoor hebben we het Article 31 Committee; dat is speciaal daarvoor bedoeld. Hoe het daarna precies loopt, weet ik natuurlijk niet. Er is uit vrijwel alle lidstaten grote steun voor de wijze waarop de Commissie het tot op heden heeft opgepakt. Dat zien we niet vaak en het is dan ook van groot belang dat we die lijn met elkaar vasthouden voor de evaluaties.
Ik kom bij het oordeel van het Hof. De heer Verhoeven vroeg of er een toets door het Hof van Justitie komt. Zoals ik al zei, zal de Commissie morgen de lidstaten nader informeren over het resultaat van de gesprekken tussen de EU en de VS naar aanleiding van de adviezen van de artikel 29-werkgroep. Ik ga ervan uit dat hierna verdere verbeteringen op detailpunten zullen plaatsvinden. Ik weet dat meerdere personen, onder wie een zekere heer Schrems uit Oostenrijk, al meerdere malen hebben aangegeven dat zij de gelegenheid zullen aangrijpen om het Hof om een oordeel te vragen. Ik ga ervan uit dat dit zal gebeuren. Wij doen dat zelf niet, omdat wij als lidstaat het bereikte resultaat onderschrijven. Dan is het raar om dan die stap te zetten.
De heer Verhoeven (D66):
Ik heb de brief van 29 april over dat oordeel natuurlijk gelezen. De Minister schrijft op bladzijde 15: «Een systematische opsomming van de criteria die in het arrest van het HvJEU zijn vastgesteld, gevolgd door een expliciete toets van het Shield, zou denkbaar zijn.» Daarna schrijft hij: «De Commissie heeft aangegeven daarvoor open te staan, mits daarvoor bij de lidstaten een ruim voldoende draagvlak bestaat.» Als we dat willen, en D66 wil dat, moeten we proberen de lidstaten draagvlak te laten creëren en mijn enige mogelijkheid om lidstaten draagvlak te laten creëren is door Nederland als lidstaat draagvlak te laten hebben. Ik roep in dit debat dus op om dat in ieder geval namens Nederland als inzet te hebben.
Minister Van der Steur:
Minister van der Steur: Dat zal ik niet doen, want dat zou raar zijn. We hebben immers juist een beoordeling gegeven op basis van onze gedachtevorming bij de tot stand gekomen overeenkomst. Dan zou het raar zijn om te zeggen: wilt u dat dan maar even doen. Wat de Commissie gedaan heeft … Ik probeer even de passage te zoeken.
De heer Verhoeven (D66):
Bladzijde 15.
Minister Van der Steur:
Ja, ik heb hem hier. Wat de Commissie in ieder geval gedaan heeft en ook moet blijven doen, is bezien of alle uitwerkingen en aanpassingen die nog gedaan worden in overeenstemming zijn met de uitspraak van het Hof. Dat bedoelen we hier.
Voor zover ik weet is er op dit moment niet voorzien in voorstellen die door andere lidstaten in het vooruitzicht zijn gesteld om zo'n toets te vragen. Als dat wel zo is, zal ik de Kamer daarover informeren en dan staat er vervolgens wat er staat. Overigens, even voor de goede orde: als het niet goed zou aflopen, doen we ons bedrijfsleven daar geen plezier mee, want dan zijn we weer terug bij af. Dat moeten we ons goed realiseren. De verbeteringen die we nu hebben, zijn we dan weer kwijt.
De heer Verhoeven (D66):
Soms denk ik dat het goed is dat ik geen jurist ben en dat ik gewoon een brief van het kabinet krijg en dat ik dan als Kamerlid die brief lees en denk: er staan in die brief een aantal zinnen en die zinnen hebben een bepaalde betekenis en laat ik de Minister nu eens vragen naar de betekenis van die zinnen. Nu blijkt dus dat de betekenis van die zinnen zoals die in de brief staan eigenlijk heel anders is. Dan doe ik het maar even los van de brief en vraag ik het gewoon alsof de Minister het niet geschreven heeft. Ik vind het vrij bijzonder dat de Minister dit opschrijft en er vervolgens tijdens dit debat weer afstand van neemt. Is de Minister bereid om ervoor te zorgen dat er morgen vanuit Nederland wordt aangegeven dat wij het een goed idee vinden dat zo'n toets plaatsvindt? Kan dat de Nederlandse inzet voor morgen zijn? De PvdA heeft dit ook gezegd, want die is ook altijd heel concreet. Ik zie een meerderheid in de Tweede Kamer gloren voor dit idee.
Minister Van der Steur:
Ik begrijp goed dat de heer Verhoeven dit zegt. Ik geef ook toe dat die genoemde zin daartoe aanleiding kan geven. Laten we ons echter even realiseren wat de consequenties kunnen zijn. We stellen vast dat we een overeenkomst hebben die de Commissie heeft uitonderhandeld met de Amerikanen, die op een groot aantal terreinen verbeteringen teweegbrengt die in het belang van het Nederlandse bedrijfsleven zijn. Als de heer Verhoeven dan vervolgens vraagt of ik er expliciet aan wil bijdragen dat diezelfde overeenkomst mogelijkerwijze niet door het Hof wordt goedgekeurd, dan zijn we dus weer terug bij af. Ik vraag me echt af of dat nu in het belang van het Nederlandse bedrijfsleven is. Ik zie dat belang niet. Als de heer Verhoeven zegt: «maar dat maakt me niet uit, ik wil gewoon dat die toets komt», zeg ik: «dat is prima, ik snap dat standpunt, maar daar ben ik het niet mee eens, want ik heb ook de belangen van het Nederlandse bedrijfsleven waarvoor ik moet zorgen».
De voorzitter:
Mijnheer Verhoeven, heel kort.
De heer Verhoeven (D66):
Nu doet de Minister alsof het alleen gaat over de keuze of je denkt dat het een goed idee is of niet. De Minister heeft het zelf in zijn brief geschreven. Het is voor mij als controleur van de regering vreemd dat het kabinet dingen opschrijft en vervolgens blijkt dat het die niet zo bedoeld heeft. Daar wil ik nog wel overheen stappen, maar niet als de Minister alleen maar zegt: dat is niet goed voor het bedrijfsleven, mijnheer Verhoeven, dus denk er even goed over na. Op basis van het feit dat er niet alleen ernstige twijfels zijn bij het Hof van Justitie maar ook bij de privacywaakhonden, kun je wel degelijk besluiten om een aantal onderdelen van dit shield die tot problemen kunnen leiden op het gebied van burgerrechten te laten toetsen. Als het kabinet zegt dat het daartoe niet genegen is, weet ik dat, maar dan moet het even heel duidelijk zijn dat het kabinet zegt: we willen dat niet en we hadden dit niet moeten opschrijven.
Minister Van der Steur:
Nee, we zijn nooit tegen. Ik ben niet tegen. Voor de helderheid: ik heb net ook al gezegd dat volgens mij de heer Schrems al heeft aangekondigd dat hij sowieso … Dat is dezelfde discussie. Dat leidt tot dezelfde toets en tot dezelfde risico's. De Nederlandse regering heeft het standpunt dat we gezien de eindoverweging dit voorstel van de Commissie kunnen ondersteunen, ondanks het feit dat er misschien op een aantal punten dingen anders hadden gekund. Deze lijn hebben we gekozen en daarbij verhoudt zich niet dat we vervolgens zelf een uitspraak uitlokken waardoor misschien deze overeenkomst waarvan we vinden dat die grote verbeteringen bevat, vervolgens weer verdwijnt. Dan zijn we immers weer terug bij af. Dus nee. En ja, volgens mij wordt de heer Verhoeven door de heer Schrems en anderen ongetwijfeld op zijn wenken bediend en zal dat oordeel volgen. Ik heb goede hoop dat het in stand wordt gelaten, want anders hebben we weer hetzelfde probleem en daar doen we het bedrijfsleven van Nederland, maar ook van Europa, geen plezier mee.
De heer Van Wijngaarden had een vraag over de modelcontracten. Mevrouw Oosenbrug vroeg daar ook naar. Laten we vaststellen dat modelcontracten een waarborg voor de privacy kunnen zijn. Er zijn al modelcontracten beschikbaar die naast of in plaats van het Shield kunnen worden gebruikt en ook door het mkb kunnen worden gebruikt. Wat mij betreft blijven deze contracten bestaan. Ik ben ervan overtuigd dat wat de Commissie en de VS hebben weten te bereiken in de vorm van meer garanties en meer waarborgen, zijn uitstraling op de modelcontracten niet zal missen. We zullen alles doen om de modelcontracten te ondersteunen, maar de rechter zal zich daar uiteindelijk over moeten uitlaten.
Mevrouw Gesthuizen vroeg naar de geldigheid van de gebruikte standaardcontracten en of die niet door de uitspraak van het Hof getroffen worden. De contracten zijn en blijven geldig zolang het Hof van Justitie de ongeldigheid van die specifieke contracten niet heeft uitgesproken. Dat is niet gebeurd. Die contracten zijn dus rechtmatig.
Mevrouw Gesthuizen en de heer Verhoeven vroegen naar het feit dat het Privacy Shield zoals het er nu ligt, het niet onmogelijk maakt dat eenmaal in de VS aanwezige gegevens naar derde landen worden doorgegeven. Dit zorgpunt heeft de artikel 29-werkgroep naar voren gebracht. Er is gevraagd wat ik ervan vind. Ik heb uiteraard kennisgenomen van de vele kritische opmerkingen van de artikel 29-werkgroep. De Commissie heeft het onderwerp onder transfers altijd met grote nadruk met de VS besproken. Het uitgangspunt daarbij is geweest dat het beschermingsniveau van de EU als het ware meereist met gegevens wanneer ze naar een derde land worden overgebracht, waarbij dan wel rekening moet worden gehouden met specifieke regels van het buitenlands recht. Ik zie het zo: de Commissie is er met de VS op uitgekomen dat het behoud van aansprakelijkheid voor de ontvangende partij in de VS ook op verdere doorgifte van toepassing is. Die partij moet dus als aansprakelijke partij instaan voor de gevolgen als er iets fout gaat en moet zich daarvoor ook verzekeren. Ik acht dit een aanvaardbaar resultaat. We kunnen het natuurlijk nog wat mooier willen, maar we kunnen niet op elk onderwerp ons gelijk krijgen.
Ik kom bij het punt van de bulkverzameling. Mevrouw Oosenbrug vroeg hiernaar en ook de heer Verhoeven heeft hiervoor aandacht gevraagd. Bulkverzameling, alleen de term al, is iets wat buitengewoon gevoelig ligt. De Commissie heeft als uitgangspunt genomen, en de VS heeft dit onderschreven, dat bulkverzameling altijd moet gaan om het verzamelen van informatie op een behoorlijke grondslag met een afdoende toets op noodzakelijkheid en proportionaliteit en met waarborgen die ervoor zorgen dat ongericht en massaal vergaren en verder verwerken van gegevens in principe niet plaatsvinden, tenzij daarvoor een grondslag bestaat en het noodzakelijk en proportioneel is. Daarmee is dan ook een aanpak voor dit probleem geformuleerd. In de VS zelf heeft men met wetgeving en beleidsregels beperkingen aangebracht op het verzamelen van gegevens ten opzichte van de oude situatie, zeg maar de Snowdonsituatie. Wij hebben uiteindelijk voor de keuze gestaan of we het oordeel van de Commissie kunnen aanvaarden, namelijk dat wat de VS hebben gesteld over hun eigen rechtstelsel, ook de toets van het Hof kan doorstaan. Ik stel vast dat we het standpunt van de Commissie op dat punt kunnen begrijpen. Er wordt nog gewerkt aan verduidelijkingen. Daarover zal ik de Kamer dus nog informeren.
Mevrouw Oosenbrug stelde een vraag over het toezicht op bulkvergaring. Daarvoor zijn we afhankelijk van wat de VS zelf op dat punt regelen. In de VS doet men het nu eenmaal anders dan in de EU en daarmee zullen we moeten leven.
De heer Verhoeven vroeg of het Privacy Shield het mogelijk maakt dat er ongericht data worden verzameld. Het Privacy Shield op zich maakt niets mogelijk op het gebied van dataverzameling, want het recht van de VS zelf biedt daarvoor de grondslag. Daar doet het Privacy Shield niets aan af en dat kan natuurlijk ook niet. Een Europese afspraak kan er niet toe leiden dat de Amerikaanse wetgeving veranderd wordt. Wat wel gebeurt, is dat het Privacy Shield benadrukt en verduidelijkt welke grondslagen er in de VS bestaan voor het verzamelen van data. Daarbij is benadrukt dat de VS nieuwe wetgeving en beleid hebben vastgesteld die de nieuwe beperkingen op die bevoegdheden bevatten. Een collectie in bulk is overigens niet hetzelfde als ongericht en massaal data vergaren. Er moet een toets op noodzaak en proportionaliteit van die vergaring plaatsvinden.
Mevrouw Oosenbrug vroeg nog naar big data en ik dacht dat de heer Verhoeven daarover ook een opmerking maakte. Laat ik allereerst vaststellen dat ik blij ben met het rapport dat de regering gevraagd heeft van de WRR. Daarover komen we vast nog een keer te spreken. Het is een buitengewoon interessant rapport dat ik met plezier in ontvangst heb genomen en waarin op een heel genuanceerde manier naar het fenomeen big data wordt gekeken. Aan de ene kant wordt zonder meer vastgesteld dat big data in algemene zin, maar ook voor onze nationale veiligheid, een belangrijke rol kunnen vervullen. Aan de andere kant wordt vastgesteld – dat is natuurlijk geen verrassing – dat er op een heel zorgvuldige manier gekeken moet worden naar de consequenties daarvan. Dat zullen we zeker doen en we zullen daar heel zorgvuldig op reageren in onze kabinetsreactie. Daarnaast zal ik uiteraard samen met de collega's, en zeker die van Economische Zaken zoals mevrouw Oosenbrug suggereerde, bezien hoe we daarmee omgaan.
Big data was altijd al – dat weet mevrouw Oosenbrug – een belangrijk onderwerp in de visienota's over privacy die het kabinet de afgelopen jaren heeft uitgebracht. Ik verwijs naar mijn eigen departement, maar ook naar de departementen van Economische Zaken en van Binnenlandse Zalen en Koninkrijksrelaties. Voor het veiligheidsterrein ligt er nu het WRR-rapport. In het najaar zullen we de kabinetsreactie daarop gereed hebben. Ik wil het rapport heel goed en zorgvuldig bekijken, want dat verdient het ook. Voor de private sector zal door de High Level Expert Group onder leiding van professor Van den Hoven worden gerapporteerd aan de Minister van Economische Zaken. Beide rapporten zullen aan een grondige analyse worden onderworpen en het opstellen van de reactie zal in dat brede verband gebeuren. Ik kan mevrouw Oosenbrug wel toezeggen dat ik als coördinerend Minister daarop zal toezien.
Ik kom bij de Autoriteit Persoonsgegevens. De heer Van Wijngaarden vroeg of we niet eens moeten kijken naar de budgetten van de Autoriteit Persoonsgegevens, hetzelfde thema waarnaar ook mevrouw Oosenbrug en mevrouw Gesthuizen gevraagd hebben. Ik ben het helemaal eens met de heer Van Wijngaarden dat we heel gemakkelijk drie dingen kunnen vaststellen. Er moet meer bij. In het verleden hebben we een aantal reparaties gedaan, ook met het oog op de meldplicht die recentelijk is ingevoerd. Wat we nu hebben is goed. Ik stel ook vast dat de Autoriteit Persoonsgegevens de afgelopen jaren heel veel heeft bereikt. Er is op dit moment geen signaal dat de Autoriteit Persoonsgegevens haar taken niet op adequate wijze kan uitvoeren, maar ik ben zeker bereid om met haar in gesprek te gaan, zoals de heer Van Wijngaarden suggereert, over het uitvoeren van een analyse van de benodigde middelen, nu en in de toekomst. Daartoe hebben we de eerste stappen al gezet. Ik heb met de Autoriteit Persoonsgegevens afgesproken om in goed onderling overleg en op objectieve wijze met name de implicaties van de nieuwe EU-regelgeving in kaart te brengen. Deze analyse zal gelijk oplopen met de ontwikkeling van de uitvoeringswet van de nieuwe verordening. Daarnaast kan worden gedacht aan het inrichten van een monitoringinstrument zoals dat gebeurd is voor de meldplicht datalekken. Die is er namelijk op dit moment ook. Als dat nodig en wenselijk is – ik vind het eigenlijk altijd wel wenselijk – wil ik heel graag een onafhankelijke deskundige naar de conclusies laten kijken, zodat we gevalideerd met elkaar weten waarover we het hebben. Dan krijgen we niet de situatie dat aan de ene kant de Autoriteit Persoonsgegevens zegt dat ze haar werk niet aankan en dat er meer geld bij moet en dat aan de andere kant een Minister staat die zegt dat ze haar werk wel aankan. We moeten er echt voor zorgen dat er een derde naar kijkt. Voor de Europese verordening zal gelden dat die wijzigingen nodig zijn vanaf het begrotingsjaar 2018. Mevrouw Gesthuizen vroeg of ik dat niet alvast in 2017 kon regelen. Dat is dus niet nodig, maar dat gesprek gaan we wel nu aan om tijdig klaar te kunnen zijn.
De heer Van Wijngaarden vroeg of het niet een idee was om de Autoriteit Persoonsgegevens in de voorfase te laten meedenken met bedrijven over privacybescherming. Allereerst wil ik ook op dit punt complimenten aan de autoriteit geven – ik kijk even in de richting van de voorzitter – omdat de Autoriteit Persoonsgegevens de laatste jaren de deuren veel meer heeft opengezet voor gesprekken met externe belanghebbenden. Er worden veelvuldig gesprekken gevoerd met brancheorganisaties als VNO-NCW en Nederland ICT, maar ook met de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Vereniging van Nederlandse Gemeenten (VNG) zijn regelmatig contacten. De Autoriteit Persoonsgegevens denkt als deskundig toezichthouder mee als er vragen leven over privacybescherming in een branche of als er binnen een branche knelpunten worden ervaren.
Daarnaast ben ik graag bereid om samen met de Autoriteit Persoonsgegevens en andere betrokken partijen in gesprek te gaan ter voorbereiding op het kabinetsstandpunt op het WRR-rapport over big data, omdat het van belang is dat iedereen zijn visie daarop kan geven. Dan is het ook passend dat we de rol van de Autoriteit Persoonsgegevens als toezichthouder bekijken in het licht van die big data. Ik zeg er wel bij dat de Autoriteit Persoonsgegevens onafhankelijk is. Ik kan dus niet zeggen dat ze wel of niet benen-op-tafelsessies moet organiseren met ondernemers. Ik merk wel op dat er binnen Nederland heel veel deskundigen zijn, zoals advocaten, consultants en bedrijven die zich speciaal richten op het adviseren van bedrijven over de manier waarop ze met privacyvraagstukken moeten omgaan. Deze moeten natuurlijk primair het aanspreekpunt zijn voor bedrijven die met een vraagstelling zitten. Ik weet uit eigen ervaring dat toen de Europese verordening in 1995 werd ingevoerd – ik was toen net begonnen als advocaat – ik uitgebreid betrokken ben geweest bij heel veel trajecten om bedrijven te adviseren over de manier waarop ze aan de nieuwe wetgeving konden voldoen. Dat is primair ook meer een taak van juridisch adviseurs dan van een onafhankelijk toezichthouder, zeg ik tegen de heer Van Wijngaarden. Dat doet niets af aan het feit dat de toezichthouder er een mening over heeft en suggesties en daarin ook een rol kan vervullen. Als we die twee aspecten in ogenschouw nemen, zijn we in Nederland heel goed in staat om bedrijven met vragen op een adequate wijze te adviseren en de Autoriteit Persoonsgegevens zal daarin zonder twijfel vanuit haar verantwoordelijkheid en onafhankelijkheid ook een rol oppakken.
Ik kom bij de implementatie van het dataprotectietraject. De verplichting ligt er om voor 25 mei 2018 de verordening en de richtlijn te implementeren in de nationale wetgeving. We streven ernaar om al aan het eind van dit jaar de twee wetsvoorstellen in consultatie te kunnen geven.
De heer Verhoeven vroeg of we het punt hebben ingebracht van de afwijking op de doelbinding. Het antwoord daarop is ja. We hebben daarmee niets anders gedaan dan de al bestaande regel uit de Wbp te handhaven. Al mijn voorgangers hebben de Kamer de afgelopen vier jaar gedetailleerd geïnformeerd over deze kwestie. Ik kan met plezier vaststellen dat we dat punt conform de afspraak stelselmatig hebben ingebracht.
Mevrouw Gesthuizen vroeg naar een overzicht van alle facultatieve bepalingen. Ja, dat krijgt mevrouw Gesthuizen in een memorie van toelichting van de implementatiewet. Dan spreek ik er graag met haar over, ook al is ze dan mogelijkerwijs niet meer in deze rol bij de implementatie van de wetgeving betrokken. Mocht ik dat zelf wel zijn – waar ik van uitga – dan kan ze mij daar altijd over bellen.
Mevrouw Gesthuizen vroeg of ik wil ingaan op de bezwaren van de Europees toezichthouder op het Umbrella Agreement. Ja, dat zal ik doen. Zeer binnenkort, zelfs binnen enkele dagen, komt er een brief naar de Kamer waarin ik daarop inga. Daar kan ik mevrouw Gesthuizen dus vast naar verwijzen.
Een laatste vraag op dit punt kwam van mevrouw Oosenbrug. Ze vroeg of er wordt samengewerkt met het Ministerie van Handel en of de Minister van Economische Zaken hierin een rol heeft. Een van de verbeteringen van het Privacy Shield is dat er jaarlijks geëvalueerd zal worden. Dat is in het verleden niet goed gegaan. Het Hof heeft op dat punt een duidelijk signaal gegeven dat evaluatie en aanpassingen steeds moeten plaatsvinden. De rol van het Ministerie van Handel is op dat punt aanzienlijk verbeterd. Er is een actievere rol voorzien en er wordt ook een website over bijgehouden. Ik ben uiteraard graag bereid om mijn collega van Economische Zaken te vragen om hieraan aandacht te geven in zijn contacten met het Ministerie van Handel. Ik sluit echter niet uit dat mevrouw Oosenbrug hierover zelf met mijn collega van Economische Zaken spreekt. Het past in mijn coördinerende rol om zo'n vraag als mevrouw Oosenbrug stelt, aan de Minister van Economische Zaken door te geven.
Dan kom ik bij het punt van de Wpg. Dat is een belangrijk punt. De leden kunnen zien aan de toonzetting van mijn brief dat het natuurlijk erg ongewenst is dat de politie die over zeer veel gevoelige informatie beschikt zelf de naleving niet op orde heeft. Een van de redenen waarom we tot een nationale politie hebben besloten, was omdat in 26 afzonderlijke korpsen de naleving van de Wpg natuurlijk een veel grotere uitdaging was. Mevrouw Gesthuizen vroeg naar de oorzaak van het niet goed naleven van de Wpg. De oorzaak van het ontstaan van dat probleem zit in het feit dat er op 26 verschillende manieren met die Wpg werd omgegaan. Het ICT-systeem was op 26 verschillende wijzen ingericht. Als gevolg daarvan zijn bij de vorming van de nationale politie deze 26 verschillende systemen tot één systeem samengebracht en die zijn nog niet goed op elkaar aangesloten. Dat bleek al uit de evaluatie van de wet in 2014. Toen is ook vastgesteld dat de Wpg toe is aan herziening, maar daarvoor was de Europese richtlijn gegevensbescherming nodig. Die is er nu. Dat betekent dat we binnen twee jaar de richtlijn implementeren en dan kunnen overgaan tot wijziging van de Wpg. We zien dat met name de wijze waarop de wet geformuleerd is en functioneert, het ook erg moeilijk maakt om eraan te kunnen voldoen. Dat wil niet zeggen dat de politie achteroverleunt en zegt: daar wachten we wel even op, voordat we dit probleem oplossen. Direct na de oplevering van het auditrapport heeft de korpschef een aantal maatregelen in gang gezet om de meest prangende tekortkomingen onmiddellijk en adequaat op te pakken, vooral op het gebied van het autorisatieproces. In het wettelijk voorgeschreven verbeterplan heeft de korpschef aangegeven hoe hij de in de audit geconstateerde tekortkomingen het hoofd gaat bieden. Dit verbeterplan is een meerjarenplan dat voldoet aan de voorwaarden die ik in mijn brief van 7 december heb geschetst. De korpschef heeft het plan ter informatie aan de Autoriteit Persoonsgegevens gestuurd. In december 2016 laat de korpschef een hercontrole uitvoeren om te bezien of de ingezette verbetermaatregelen het gewenste effect hebben en op welke punten bijsturing noodzakelijk is. Ik zal de Kamer daarover uiteraard informeren. Ik merk wel op dat ik ervan uitga dat de problematiek niet binnen een jaar is opgelost en dat we dus echt nog wel verbeterpunten zullen overhouden voor de toekomst, maar die lopen dan weer parallel aan de wijziging van de wetgeving.
Daarmee ben ik gekomen aan het einde van de beantwoording van de individuele vragen.
Voorzitter: Verhoeven
Mevrouw Gesthuizen (SP):
Toen ik het had over de politie en de naleving van de Wpg zei ik al dat met name het feit dat er werd geconstateerd dat politie privacy vaak als bijzaak ziet, een van de redenen dat er zo'n kritisch rapport is verschenen, mij zorgen baart. Daarop is de Minister nog onvoldoende ingegaan. Graag krijg ik hier toch graag een wat specifieker antwoord op.
Minister Van der Steur:
Ik zei het net al, en ik dacht dat ik het ook in mijn inleiding al heb aangegeven, dat juist de politieorganisatie beschikt over zeer vertrouwelijke en zeer gevoelige gegevens die in het hoogste segment van de persoonsgegevens zitten. Daarnaast is de politie juist de organisatie die over het algemeen andere mensen wijst op hun verantwoordelijkheden. Deze combinatie betekent dat de politie er alles aan moet doen om ervoor te zorgen dat de bestaande tekortkomingen worden weggenomen. Ik ben het helemaal eens met mevrouw Gesthuizen dat het dan niet zo kan zijn dat er onvoldoende aandacht is voor privacy, want dat is een van de essentialia van onze samenleving, zeker voor de politie.
Mevrouw Gesthuizen (SP):
Dan vraagt in ieder geval dit Kamerlid zich af hoe het verbeteren van die situatie precies in zijn werk zal gaan. Dit is toch ook nog een stukje cultuur en dan ben ik heel benieuwd naar het plan van aanpak van de Minister op dit punt.
Minister Van der Steur:
Ik ben graag bereid om het verbeterplan dat de korpschef heeft opgesteld aan de Kamer toe te sturen. In mijn brief van 7 december heb ik alle punten op dat vlak die in het verbeterplan komen te staan en wat er gaat gebeuren al aangegeven, maar ik ben graag bereid om het verbeterplan aan de Kamer toe te sturen. Dan kan mevrouw Gesthuizen daar haar zekerheid en gerustheid op baseren.
Voorzitter: Gesthuizen
De voorzitter:
We gaan direct over naar de inbreng van de Kamerleden in tweede termijn. Ik hanteer een spreektijd van maximaal twee minuten per fractie. Uiteraard dank ik de Minister voor zijn beantwoording.
De heer Van Wijngaarden (VVD):
Voorzitter. Ik kom nog even terug op de toets waarover net is gesproken. Het is mooi dat die toets er komt. Dat staat wel vast, want de heer Schrems heeft al aangekondigd dat die er moet komen en hij krijgt van alle kanten financiële middelen om die procedure te voeren. De heer Verhoeven wordt dus op zijn wenken bediend, maar je bent een onbetrouwbare en lousy onderhandelingspartner als je eerst samen iets uitdenkt en zegt het ermee eens te zijn en dan vervolgens naar de rechter holt en zegt dat die er ook nog eens naar moet kijken. Dat kan iedereen begrijpen.
Het punt van de superminister hebben we vandaag goed uitgedokterd. We weten nu beter waar de rol van de Minister eindigt. Het Ministerie van V en J is volgens mij al groot genoeg; daarover bestaan geen twijfels. De Minister hoeft er de andere tien ministeries niet bij te nemen, zoals werd geopperd, daar waar het privacyaspecten van de uitvoering van beleid van die ministeries betreft.
Het is goed om te benadrukken dat in de VS een commissie bestaat die door de president is benoemd met de allerhoogste en volledige security clearance, die toezicht houdt op de mate waarin veiligheidsdiensten gegevens van mensen mogen raadplegen. Als het anders is, hoor ik het graag, maar dit is in ieder geval hoe wij het van de Amerikanen hebben begrepen.
Het is terecht dat de verschillende partijen hameren op onderbouwing van de wetgeving met betrekking tot dataretentie. Als wetgever zijn we dat verplicht en dat is ook de les uit de jurisprudentie. Eerder, en dan wijs ik even in de richting van de heer Verhoeven, heeft de ad-interim Minister van Justitie, de heer Blok, ook in de Eerste Kamer tijdens een briefing die onderbouwing gegeven. Dat was een 14 pagina's tellend document. Ik vraag deze Minister om bij dergelijke wetgeving zich in ieder geval tot het uiterste in te spannen om zo goed mogelijk te onderbouwen voor welk type misdrijven we dit soort wetgeving nodig hebben. Ik ben het eens met de Minister dat het heel goed is dat de Autoriteit Persoonsgegevens met de brancheorganisaties spreekt. Die organisaties hebben een belangrijke rol. Ik ben het ook met hem eens dat het in eerste instantie aan advocatenkantoren is. Ik wijs er echter op dat niet ieder nieuw innovatief bedrijf lid is van een brancheorganisatie en dat juist voor heel innovatieve big data-verdienmodellen advocaten soms ook met de handen in het haar zitten, al hebben ze misschien moeite om dat toe te geven.
Mevrouw Oosenbrug (PvdA):
Voorzitter. Ik vind het jammer dat er een beetje lacherig wordt gedaan over de coördinerende rol van de Minister, want ik vind privacy namelijk heel belangrijk. Het kabinet spreekt met één mond en als het dan op een gegeven moment tegen de Kamer zegt dat het een coördinerend Minister voor privacy heeft, ga ik ervan uit dat die ook coördineert. Je kunt daar heel lacherig over doen en een beetje gekscherend over mevrouw Oosenbrug zeggen: ze wil dat ik altijd overal bij ben. Ja, dat doe ik, maar niet voor mezelf. Dat doe ik omdat ik privacy hoog in het vaandel heb staan en we er uiteindelijk met elkaar iets van moeten vinden. Als we dan een coördinerend Minister hebben en ik vraag hem om een visie vanuit zijn coördinerende rol, is dat niet bedoeld om iemand te pesten of om flauw of naar te doen. Nee, dat doe ik omdat ik privacy belangrijk vind, maar dit terzijde.
De heer Van Wijngaarden (VVD):
Ik voel me enigszins aangesproken. Het is op geen enkele manier de bedoeling om dingen te ridiculiseren. Helemaal niet. Ik denk wel dat het goed is om de rol van de Minister goed af te bakenen. Dat wilde ik even opmerken.
De voorzitter:
Dat is dan helder.
Mevrouw Oosenbrug (PvdA):
Ja, dank u wel. Voor mij was die rol namelijk helemaal niet helder, maar inmiddels begrijp ik dat we daarvoor een nieuwe rol moeten bedenken.
Voorzitter. Ik kom op het EU-modelcontract. Ik had al de opmerking gemaakt dat we moeten zorgen voor een standaardcontract, omdat dit de burgers meer zekerheid biedt. Daarnaast – en dat moet de VVD aanspreken – levert het meer gemak op voor de ondernemers. Ik hoorde de Minister zeggen dat die contracten al bestaan, maar dat iedereen een beetje zijn eigen ding doet. Ik zou toch graag zien dat er een modelcontract komt, zodat ook de burger op een gegeven moment weet waar hij aan toe is. Graag krijg ik op dit punt nog een reactie van de Minister, en dan graag iets steviger dan «het bestaat eigenlijk al een beetje, maar niet helemaal».
Ik weet dat de Autoriteit Persoonsgegevens over haar eigen agenda gaat. We hadden er net even een klein debatje over, maar ik ben nu toch benieuwd naar wat de autoriteit heeft laten lopen, wat er aan de rand van die risicoafweging afgevallen is. Ik weet dat we geen opdrachten aan de Autoriteit Persoonsgegevens mogen meegeven, maar wellicht pakt ze deze vrije gedachte van mij op.
De heer Verhoeven (D66):
Voorzitter. Ik ben blij dat de PvdA en de VVD eruit zijn met betrekking tot de coördinerende rol van de Minister, die ik overigens bedank voor zijn beantwoording. Ik maak me zorgen over de rol van de Minister, maar dat betreft niet zozeer zijn coördinatierol. Het gaat mij veel meer om de inhoudelijke beweging die met name het Ministerie van de Minister maakt met betrekking tot het schenden van privacy ten bate van de nationale veiligheid, terwijl de manier waarop dat gebeurt de nationale veiligheid niet vergroot. Bij de komende debatten over de wetsvoorstellen die nog naar de Kamer komen, zullen we het daar absoluut nog over hebben, maar die zorg heb ik.
De VVD had het erover dat je een onbetrouwbare overheid bent als je die toets wilt. Ik denk eerder dat je een onbetrouwbare overheid bent als je een brief schrijft waarover je vervolgens in een debat zegt dat de inhoud van de brief niet klopt, of waarvan je als kabinet in ieder geval vervolgens weer afstand neemt. Dat vond ik uitermate verwarrend, zelfs in die mate dat ik bijna denk dat ik een VAO moet aanvragen om die toets alsnog in een motie te vatten, maar ik ben benieuwd naar het antwoord van de Minister. Is hij op de een of andere manier bereid om als Nederlandse overheid die inzet wel te hebben? Zo nee, waarom is het dan in deze brief terechtgekomen? Ik vind het toch uitermate vreemd. Het is een brief van het kabinet. Het staat er gewoon letterlijk in. Ik kan niets anders concluderen. Ik zie graag dat de Minister daar nog even op doorgaat.
Met wat er allemaal aan de hand is, vind ik echt dat de Autoriteit Persoonsgegevens meer budget nodig heeft. Ik hoop dat de Minister daar in het kader van de komende financiële besluiten die genomen moeten worden, alvast naar wil kijken. Je kunt immers niet zeggen dat de toezichthouder een stevige waakhond moet zijn en steeds meer taken moet uitvoeren en dan vervolgens zeggen: «laat het maar een David blijven die van Goliath wint», zoals de VVD opperde. Put your money where your mouth is, zeg ik dan.
Ik wil de Minister nog een compliment geven dat ik hem in eerste instantie niet gegeven heb, maar ja, dat moet ook kunnen. De AVG is inderdaad een heel goede stap. Als daar door de Nederlandse regering, ook onder het voorzitterschap, heel veel werk aan besteed is, heeft dat absoluut geleid tot goede resultaten waarover niet alleen ik, maar heel veel deskundigen positief zijn. In alle sportiviteit van dit debat moet dat ook gezegd worden.
We «ll meet again bij de debatten over de wetgeving die onder verantwoordelijkheid van dit ministerie naar de Kamer is gegaan en zal gaan.
Zonder adem te halen geef ik nu het woord door aan mevrouw Gesthuizen die namens de SP haar inbreng zal geven onder mijn voorzitterschap.
Voorzitter: Verhoeven
Mevrouw Gesthuizen (SP):
Voorzitter. Er moet mij eerst een algemene opmerking van het hart en dat is dat ik de kritiek deel. Ik weet niet van wie deze het scherpst kwam. Volgens mij kwam die van de heer Verhoeven, die zegt dat dit kabinet zelf een beetje rupsje-nooit-genoeg is, omdat het steeds maar meer data wil verzamelen. Dat maakt dat ik als lid van de immer kritische oppositie altijd wat ongemakkelijk ben als het gaat om het verdedigen van de belangen van de privacy van de Europeanen, Nederlanders, richting de Amerikanen. Ik zie heel duidelijk dat er met het Privacy Shield verbeterpunten te benoemen zijn, maar ik zie ook de nog zeer stevige kritiek van onze eigen toezichthouder en van de Europese werkgroep die daar in ons aller belang heel scherp op let. Ik krijg toch het gevoel, of beter, ik constateer dat we weliswaar om op zich valide redenen toegeven aan het feit dat het in Amerika nu eenmaal niet zo mooi geregeld is als we dat graag zouden willen zien. We geven dus toch toe aan een afbreuk, aan een bescherming die minder goed is dan we eigenlijk willen, in ieder geval mijn fractie. Eigenlijk wil ik dat de privacybescherming toch naar een hoger plan wordt getild.
Ik heb nog een heel concrete vraag met betrekking tot het Privacy Shield over de Judicial Redress Act. In zijn brief schrijft de Minister op pagina 7: «Wanneer niet expliciet rechtsbescherming is opengesteld zonder onderscheid naar nationaliteit, stuit toegang tot de rechter soms af op de vaste uitleg van het Vierde Amendement», et cetera. Ik begrijp hieruit dus dat er met de Judicial Redress Act wel een verandering in komt, maar dat deze blijkbaar niet afdoende is en er mede daarom een Ombudsman in het leven moet worden geroepen. Kan de Minister heel helder uitleggen op welke manier de Europese burgers in dit geval directe toegang tot de Amerikaanse rechter krijgen om hun recht te halen inzake zaken die zijn afgesproken in het Privacy Shield?
Omwille van de tijd moet ik het hierbij laten, maar niet zonder dat ik me van harte aansluit bij de opmerkingen die door diverse Kamerleden zijn gemaakt over het budget van de Autoriteit Persoonsgegevens.
Voorzitter: Gesthuizen
De vergadering wordt van 16.02 uur tot 16.30 uur geschorst.
Minister Van der Steur:
Voorzitter. Allereerst dank voor de inbreng van alle woordvoerders in de tweede termijn, met name aan de heer Verhoeven die een compliment gaf over het bereiken van de resultaten met betrekking tot de dataprotectie. Daar ben ik verguld mee, want het afgelopen jaar is er, niet alleen in het Nederlandse maar zeker ook in het Luxemburgse voorzitterschap, ongelooflijk hard gewerkt samen met het Europese parlement en de Europese Commissie om tot dit eindresultaat te komen. Ik zeg in alle eerlijkheid dat dit een van de voorbeelden is waarbij ook ik totaal verrast was dat het uiteindelijk gelukt is. Het pakket werd namelijk ook nog eens verzwaard door het feit dat het tegelijk met de PNR-richtlijn werd opgepakt. Deze drie zaken zijn overigens om begrijpelijke redenen bij elkaar genomen, omdat ze heel nauw met elkaar samenhingen, maar dat maakte de onderhandelingen niet eenvoudiger. Ik ben dus zeer verguld met dit compliment en geef het graag door aan de vanuit mijn departement betrokken ambtenaren, maar zeker ook aan mijn goede vrienden van het Luxemburgse voorzitterschap en hun ambtenaren. Ik zal ervoor zorgen dat dit compliment daar ook komt.
De heer Van Wijngaarden vroeg of hij het goed begrepen had dat er in de VS een high level committee is dat belast is met het toezicht op de diensten. Het antwoord daarop is ja. Dat is de Privacy and Civil Liberties Oversight Board, zoals het in Amerika heet. Dat zorgt voor het toezicht.
Mevrouw Oosenbrug vroeg naar de modelcontracten. Ik begrijp haar vraag als volgt. Haar beleving is – ik weet niet of dat waar is of niet – dat het onvoldoende bekend is dat men van die modelcontracten gebruik kan maken om te voldoen aan de gestelde eisen. Ik denk dat het goed is dat ik twee concrete toezeggingen doe en die doe ik ook in de richting van de griffier. Ten eerste zal ik mijn collega van Economische Zaken vragen om het bestaan van deze modelcontracten in zijn contacten met bijvoorbeeld VNO-NCW, MKB-Nederland, Detailhandel Nederland en de belangenorganisaties voor ondernemers nog eens nadrukkelijk onder de aandacht te brengen, zodat zij dit ook zelf binnen hun achterban kunnen doen. Ik spreek zelf ook met regelmaat met deze organisaties en ik zal het dus ook onder hun aandacht brengen. Op dat punt neem ik mijn coördinerende rol dan optimaal ter hand.
Mevrouw Oosenbrug (PvdA):
De Minister begrijpt mij goed. Schijnbaar staat er in artikel 10 van het Privacy Shield – ik probeerde het net nog even op te zoeken, maar dat lukte niet – dat er ook ruimte is voor eigen onderhandelingen. Waar ik eigenlijk op stuur is het volgende: zorg er nou voor dat je dat modelcontract … Ik begrijp dat de Minister van huis uit een liberaal is en meer voor eigen vrijheid daarin is, maar modelcontracten zorgen ervoor dat men ook als consument, burger en noem maar op, weet waarmee men zaken doet. Er is immers een modelcontract waarin een aantal afspraken staan, en daarbij is geen sprake van een eigen interpretatie. Daar gaat het mij om. Als de Minister daarover in gesprek gaat en mij die toezegging doet, ben ik daar heel content mee.
Minister Van der Steur:
Het is jammer dat mevrouw Oosenbrug uitlegt dat mijn toezegging niet in het liberale lijntje past, maar desondanks zal ik het graag overnemen gezien het belang dat ik daarin zie. De toezeggingen blijven gestand ondanks de misschien wat meer sociaaldemocratische invulling van mevrouw Oosenbrug, in mijn coördinerende rol met de Minister van Economische Zaken en in mijn eigenstandige rol in mijn contacten met VNO-NCW en soortgelijke organisaties.
Ten aanzien van de Autoriteit Persoonsgegevens heb ik heel duidelijk gemaakt dat ik de zorg die de woordvoerders uitspreken, begrijp en dat we zorgvuldig moeten kijken naar de vraag wat de Autoriteit Persoonsgegevens nu en in de toekomst nodig heeft om adequaat op het werk in te kunnen gaan, gegeven haar signaal dat mij niet alleen via de media maar ook via gesprekken met de heer Kohnstamm heeft bereikt. Ik heb toen toegezegd dat we er heel zorgvuldig naar zullen kijken en dat zorgvuldig kijken – dat heb ik in de eerste termijn ook uitgelegd – mede zal bestaan uit een toets door een derde onafhankelijke deskundige. Ik kan nu dus niet aangeven dat het voor mij duidelijk is dat er geld bij moet, zoals de heer Verhoeven doet. Ik zou bijna zeggen dat de heer Verhoeven dan misschien een van die deskundigen moet worden, want hij heeft kennelijk het gehele overzicht al gereed. Ik heb dat niet. Omdat ook andere organisaties binnen mijn budgetverantwoordelijkheid misschien vinden dat er meer of minder geld naar hun organisatie moet, vind ik dat we een en ander onafhankelijk moeten vaststellen. Dat willen we goed en zorgvuldig doen. In dat kader zal ook de analyse plaatsvinden van wat er niet door de autoriteit is gedaan, waar mevrouw Oosenbrug naar vroeg. Dat punt zal in de analyse worden meegenomen. Mevrouw Gesthuizen vroeg naar hetzelfde en die verwijs ik naar dit antwoord.
Dan kom ik bij bladzijde 15 waarnaar de heer Verhoeven verwees. Ik heb het nog even heel grondig nagelezen. Daar had ik daarnet iets minder tijd voor. Ik weet dat het niet helemaal des D66's is, maar misschien is het goed dat we samen een tekstexegese doen van wat er staat. Dan zal blijken dat mijn interpretatie dezelfde was als die van de heer Verhoeven, maar anders moet worden uitgelegd. Wat staat er? Er staat dat een systematische opsomming van de criteria die in het arrest van het Hof van Justitie zijn vastgesteld, gevolgd door een expliciete toets van het Shield denkbaar zou zijn. Wat is daarmee bedoeld? We hebben 129 overwegingen in het Privacy Shield staan, waarvan niet systematisch per overweging is vastgesteld of die voldoen aan de criteria die door het arrest van het Hof van Justitie zijn vastgesteld. Er is door de Commissie dus niet per overweging aangegeven hoe en op welk punt deze voldoen aan de criteria van het Hof. Vervolgens hebben wij gezegd dat het denkbaar zou zijn dat je dat wel doet. Dat betreft dus niet een toetsing die we dan door het Hof laten uitvoeren, maar die de Commissie zelf doet. De Commissie heeft vervolgens gezegd daarvoor open te staan als daarvoor bij de lidstaten ruim voldoende draagvlak bestaat. Vervolgens hebben wij gezegd dat als dat draagvlak er is, Nederland zal beoordelen of het zich aansluit bij de voorstellen die door andere lidstaten in het vooruitzicht zijn gesteld.
Ik begrijp de vraag van de heer Verhoeven wel. Daarom stel ik voor dat we naar aanleiding van de ontwikkelingen van morgen in de werkgroep die de aanpassingen op basis van de artikel 29-werkgroep gaat bekijken, bezien of we het wenselijk vinden dat er nog een systematische toetsing van die 129 overwegingen aan de criteria van het arrest van het Hof van Justitie moet plaatsvinden. Zo ja, dan zullen we vragen of daarvoor draagvlak is bij de andere landen. Daarmee voldoe ik aan het verzoek van de heer Verhoeven. Daarbij neem ik mee of het nodig is, gegeven de wijzigingen die al dan niet worden toegevoegd. Zo nee, dan informeren we de Kamer daarover. Dat zullen we overigens in beide gevallen doen. Na morgen zullen we, gegeven wat in de brief staat, bezien of er reden is om die overwegingen te toetsen. Vervolgens bekijken we of er draagvlak voor is en informeren we de Kamer hierover.
De heer Verhoeven (D66):
Ik hecht in ieder geval waarde aan de moeite die de Minister neemt om te bekijken wat er nu precies bedoeld is en wat het verschil tussen de uitleg van de verschillende betrokkenen van deze tekst is, ik als lezer en de Minister als schrijver. Het is altijd belangrijk dat schrijvers goed begrepen worden door hun lezers en het is fijn dat er een uitleg bijkomt als dat nodig is.
Ik begrijp het als volgt. Er zijn 129 overwegingen en de systematische toetsing van deze 129 overwegingen aan de criteria van het Europese Hof kun je doen zonder dat je een onbetrouwbare overheid wordt die eerst iets zegt, het daarmee eens is en schrijft het te steunen om het vervolgens weer te gaan toetsen. Dat snap ik. Ik vond de uitleg van de heer Van Wijngaarden ook logisch: het is raar als je dat doet. Ik vond het alleen vreemd dat het in de brief stond, maar de Minister heeft dat net uitgelegd. Wil de Minister de systematische toetsing enthousiast inbrengen en er echt voor zorgen dat de kans zo hoog mogelijk is dat we deze daadwerkelijk uit het vuur kunnen slepen? Ik neem genoegen met minder, maar dan moet het ook wel iets opleveren.
Minister Van der Steur:
Daarvan heb ik gezegd dat ik dat wil doen als blijkt dat de wijzigingen die morgen door de Commissie worden gepresenteerd naar aanleiding van de overigens opbouwende, zeer puntsgewijze en gedetailleerde kritiek van de artikel 29-werkgroep, daartoe aanleiding geven. Vervolgens toetsen we of er draagvlak voor is. Zo ja, dan zullen we de toets enthousiast naar voren brengen, zoals de heer Verhoeven vraagt. Ik zal de Kamer over de uitkomsten van dit proces informeren, zodat ze weet of we het wel of niet gaan doen.
De heer Verhoeven (D66):
Die brief kan er bij wijze van spreken volgende week al liggen, want het wordt morgen dus al duidelijk.
Minister Van der Steur:
Nee, morgen wordt duidelijk wat de Commissie voorstelt om over te nemen en aan te passen naar aanleiding van kritiekpunten van de artikel 29-werkgroep. Vervolgens bekijken we dat zorgvuldig. De heer Verhoeven vindt het ook van belang dat we het zorgvuldig doen. Vervolgens moeten we beoordelen of er nog behoefte is aan een systematische toetsing van de 129 overwegingen door de Commissie. Als dat zo is, zullen we draagvlak zoeken en vervolgens de Kamer informeren. Dat wordt dus niet volgende week.
De heer Verhoeven (D66):
Akkoord. Ik snap het. Wanneer dan wel? Dat is de laatste vraag die ik nog zou willen stellen.
Minister Van der Steur:
Ik begrijp dat de Commissie in juli hoopt het besluit te kunnen vaststellen. Uiterlijk voor juli, dus in juni, krijgt de Kamer dan de benodigde informatie om te kunnen weten wat we daarmee als lidstaten doen.
De heer Verhoeven (D66):
Als ik een VAO wil aanvragen, zou dat dan na die datum kunnen plaatsvinden. In dat geval vind ik het verstandig om nu een VAO aan te vragen dat niet vandaag meer hoeft plaats te vinden. Daarmee worstelde ik daarstraks even naar aanleiding van dit gedoe, maar het is nu opgelost. Ik vraag een VAO aan na ontvangst van die brief, zodat ik kan zien wat er uitgekomen is, want dan kan ik er ook wat meer druk op zetten.
De voorzitter:
Dat is een optie, ook omdat we in het licht van het naderende zomerreces waarschijnlijk niet nog een algemeen overleg over privacy zullen plannen. Ik laat het aan u ter overweging.
De heer Verhoeven (D66):
Bij dezen.
De voorzitter:
Er wordt een VAO aangevraagd met de heer Verhoeven als eerste spreker.
Minister Van der Steur:
Als ik het goed begrijp, zal dat dus plaatsvinden na ommekomst van de brief, afhankelijk van de vraag of het nodig is of niet.
De voorzitter:
De heer Verhoeven kan het inderdaad altijd nog intrekken.
Minister Van der Steur:
Misschien nog even ter volledigheid: op 2 juni aanstaande ben ik in het kader van het voorzitterschap de gastheer van het halfjaarlijkse overleg tussen de Europese Unie en de VS. Dan gaan we over tot het tekenen van het Umbrella Agreement namens de EU. Daarmee wordt de volgende stap gezet in het verbeteren van onze afspraken met de Amerikanen en waaraan uiteindelijk het Europees parlement zijn goedkeuring moet geven.
Ik kom bij het laatste punt: de vraag van mevrouw Gesthuizen over de Judicial Redress Act. Deze geeft burgers uit de EU-staten het recht om naar de Amerikaanse rechter te stappen voor typische privacyrechten zoals het recht op inzage en het recht op correctie. Nu kan dat wel, maar tot dusver kon dit niet en dat was een belangrijk struikelblok om tot verdere afspraken met de Amerikanen te kunnen komen. Ook naar het oordeel van de Europese Commissie was het niet mogelijk om een nieuwe overeenkomst ten aanzien van gegevensuitwisseling met de Amerikanen aan te gaan, omdat door de Amerikanen niet voldaan werd aan datgene wat wij in Europa van belang vinden ter bescherming van onze inwoners.
De voorzitter:
Mag ik nog eenmaal naar de heer Verhoeven kijken, omdat ik zelf nog een allerlaatste vraag wil stellen?
De heer Verhoeven (D66):
Ja, ik geef mevrouw Gesthuizen het woord om een interruptie te plegen.
Voorzitter: Verhoeven
Mevrouw Gesthuizen (SP):
Heerlijk altijd, dit soort formaliteiten.
Met het oog op een mogelijk door andere mensen afgedwongen toets door de Europese rechter vraag ik het kabinet hoe de Europese Commissie en wellicht ook de Minister zelf zich voorbereidt op een mogelijk nieuwe streep van de rechter door ook dit verdrag. Is er een plan B?
Minister Van der Steur:
De zorgvuldigheid die we met elkaar hebben betracht in het proces om tot deze afspraken met Amerika te komen en de enorme inzet van de Commissie en de VS hebben maar één doel gehad: ervoor zorgen dat er iets ligt wat de toets der kritiek kan doorstaan. Het is ook mijn volle overtuiging dat gelukt is, zij het dat er op een aantal terreinen best een aantal dingen anders hadden kunnen worden afgesproken, maar daarover hebben we het al uitgebreid gehad. Er is geen plan B. Ten eerste is het niet aan ons om een plan B te ontwikkelen, maar aan de Europese Commissie. Voor zover ik weet, is dat er niet, maar ik heb het niet gevraagd. Dit is de echte inzet van de Commissie. Dit moet het zijn en dit moet het ook doen. We weten dat de heer Schrems inderdaad met crowdfunding bezig is, zoals de heer Van Wijngaarden zei, om te bezien of hij dezelfde gang nog een keer kan maken Als de situatie zich zou voordoen dat er een plan B nodig is, is het aan de Commissie om vervolgens alternatieven aan te dragen. Ik ga ervan uit dat dat dan ook zal gebeuren, maar het is niet goed om daarop vooruit te lopen.
Mevrouw Gesthuizen (SP):
Dat vraag ik me af. Ik kan me voorstellen dat je in een onderhandelingsproces niet zegt: luister eens even, jongens, we hebben nog wel een achterdeurtje. Tegelijkertijd vind ik het in het belang van het Nederlandse bedrijfsleven en van burgers als er wordt nagedacht over een plan B. Is het niet verstandig als de Minister de Commissie vraagt of er een plan B is? Hij zegt dat hij er niet naar gevraagd heeft, maar is het niet verstandig om dat wel te doen?
Minister Van der Steur:
Nee, want als je een plan B wilt maken, kan dat pas op het moment waarop je weet wat de bezwaren van het Hof tegen plan A zijn. Je kunt er nu wel over filosoferen, maar dat heeft niet zo veel zin. Het is veel belangrijker om alle energie te richten op het Shield zoals het er nu ligt, de gemaakte afspraken en de verbeteringen die nog mogelijk zijn, dan om ons te richten op iets wat noodzakelijkerwijs heel vaag moet blijven, omdat we die toets nog niet hebben. De energie moet nu gericht zijn op deugdelijke afspraken zoals die er zijn.
Voorzitter: Gesthuizen
De voorzitter:
Na het oplezen van de toezeggingen kom ik tot een afronding van dit algemeen overleg, mits er geen vragen meer zijn van de zijde van de Kamer.
De volgende toezeggingen zijn genoteerd.
– De Minister zegt toe het verbeterplan van de politie aan de Kamer te zenden.
– De Minister zegt toe bij de Minister van Economische Zaken aandacht te vragen voor het bestaan van modelcontracten in gesprekken met de belanghebbenden zoals VNO-NCW.
– De Minister zegt toe in zijn contacten met genoemde organisaties aandacht te vragen voor modelcontracten.
– De Minister zegt toe de Kamer in juni te informeren over de resultaten van de bespreking van morgen over de vraag of systematische toetsing van alle bepalingen in het Privacy Shield aan alle criteria van het Hof van Justitie wenselijk is, en of hiervoor draagvlak is.
Daarmee zijn alle toezeggingen opgesomd en kunnen we de vergadering beëindigen.
De heer Van Wijngaarden (VVD):
De Minister heeft ook toegezegd een analyse van de benodigde middelen of hulp voor de Autoriteit Persoonsgegevens te laten maken met onafhankelijke validatie.
De voorzitter:
Hartelijk dank, mijnheer Van Wijngaarden. Zegt de Minister dan bij dezen ook toe om zodra de analyse afgerond is, de Kamer daarover te informeren? Op welke termijn kunnen we de resultaten verwachten?
Minister Van der Steur:
Ik moet even kijken, want ik vind het zonde om voor één zinnetje een brief te sturen. We moeten een analyse maken van de impact van de dataprotectierichtlijn en de verordening op de Autoriteit Persoonsgegevens. Dat wordt op zijn vroegst eind 2017, maar op tijd voor de begroting voor 2018. Die analyse komt hoe dan ook voor de begroting voor 2018.
De voorzitter:
Ik hoor iets voor een overdrachtsdossier aankomen. Ongeveer eind 2017 zou er een brief naar de Kamer moeten komen.
Minister Van der Steur:
Daarom zei ik ook al tegen u dat u me er altijd over kunt bellen, mocht u tegen die tijd niet meer in functie zijn, waarvan de indruk wordt gewekt dat dit zo zal zijn. Zo heb ik dat gezegd.
De voorzitter:
Wie weet. Ik sluit de vergadering. Nee, mijnheer Verhoeven heeft nog een nabrander.
De heer Verhoeven (D66):
Voor de zekerheid: stel dat de brief op 30 juni komt, dan hebben we toch nog de mogelijkheid om in de week van 1 juli, voor het zomerreces, een VAO te hebben? Dat past toch?
De voorzitter:
Dat kan altijd.
De heer Verhoeven (D66):
Mits we niet al met reces zijn.
De voorzitter:
We gaan pas na de eerste week van juli met reces. Ik dank iedereen hartelijk voor zijn aanwezigheid en de aanwezigen en de toehoorders voor hun belangstelling.
Sluiting 16.51 uur.