Ontvangen 19 maart 2024
Met veel belangstelling heb ik kennisgenomen van het door de leden van de Vaste Commissie voor Digitale Zaken uitgebrachte verslag inzake dit voorstel van wet. Ik heb goede nota genomen van de gestelde vragen die door de leden van enkele fracties naar voren zijn gebracht. In het onderstaande zal ik, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, ingaan op de gestelde vragen en gemaakte opmerkingen.
1. De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het voorstel van wet tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (hierna: het wetsvoorstel). Deze leden merken op dat er sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 op veel terreinen de bescherming van persoonsgegevens beter is gewaarborgd. Desondanks zijn er al sinds de invoering van de AVG serieuze vragen gerezen over een groot aantal onderwerpen. Deze leden achten het van belang dat de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) bij de tijd wordt gehouden en verwelkomen in die zin de voorstellen die omissies herstellen, dan wel extra duidelijkheden en mogelijkheden bieden. Zij stellen nog een aantal vragen.
De leden van de VVD-fractie kunnen begrijpen dat de regering heeft gekozen de omvang van dit wetsvoorstel beperkt te houden, omdat het gaat om een verzamelwet, waarvan de verschillende onderdelen niet van een omvang en complexiteit mogen zijn of dermate gevoelig, dat ze een afzonderlijk wetsvoorstel rechtvaardigen. Gelet op de hoeveelheid onderwerpen die raken aan het herstellen van omissies en moderniseringen van het gegevensbeschermingsrecht die op andere momenten worden behandeld, dringt wel de vraag op in hoeverre het voor de Tweede Kamer inzichtelijker kan worden gemaakt welke trajecten wanneer worden behandeld.
Kan de regering een overzicht verschaffen van de onderwerpen die verband houden met gegevensbeschermingsrecht in de voorbereiding van het onderhavige wetsvoorstel of gelijktijdig naar voren zijn gekomen en die geen plek hebben gekregen in het wetsvoorstel?
Deze leden zouden het op prijs stellen als er ook een inschatting kan worden gegeven van het tijdspad dat de regering voor ogen staat om de voorstellen uit te werken en naar de Kamer te sturen. Daarbij vragen de leden ook of de knelpunten die worden omschreven in de motie Koopmans c.s.1, voor zover ze nog niet zijn opgelost, ook aan bod kunnen komen.
Het gegevensbeschermingsrecht is voortdurend in beweging. Er komen regelmatig nieuwe onderwerpen naar voren die aandacht behoeven. Dit kan voorkomen naar aanleiding van actuele ontwikkelingen in de maatschappij, maar ook naar aanleiding van rechterlijke uitspraken of technologische ontwikkelingen. Ook verdwijnen onderwerpen, die in eerste instantie een wellicht groot probleem leken. Een voorbeeld hiervan is het vraagstuk omtrent de bijzondere gegevensverwerking door patiëntenverenigingen, waarover later in dit verslag meer. Veel onderwerpen zijn ook niet zozeer een probleem van juridische aard, maar gaan meer over de uitvoering. Zie hierover ook de brief die de Algemene Rekenkamer op 31 maart 2023 aan uw Kamer zond.2 Dat maakt ook dat niet alle vraagstukken op het terrein van het gegevensbeschermingsrecht zich meteen al lenen om te worden omgezet in wetgeving. Dat laatste is pas aan de orde als andere oplossingsrichtingen verkend zijn en geen soelaas bieden.
Een kenmerk van het gegevensbeschermingsrecht is bovendien dat het steeds ingepast moet worden in de specifieke omstandigheden en thematiek die in sectorwetgeving moet worden opgepakt. Bij het merendeel van de overheidstaken die uitgevoerd wordt, worden immers persoonsgegevens verwerkt. Daarbij dient steeds in het concrete geval te worden afgewogen of de taak van een verwerkingsverantwoordelijk overheidsonderdeel ertoe noodzaakt deze persoonsgegevens te verwerken. Ook zal deze verwerking zorgvuldig en conform de eisen van de AVG moeten gebeuren. Dit betekent dat helder en concreet moet zijn om welke taak het gaat en in welke (sectorale) wetgeving deze taak is neergelegd.
In de brief van 23 januari 2023 van de Autoriteit Persoonsgegevens die zij ook aan uw Kamer heeft gestuurd, wordt ook een aantal onderwerpen genoemd die verdere uitwerking behoeven.3 Om die reden zijn zij nog niet meegenomen in dit wetsvoorstel. In deze brief wordt bijvoorbeeld gevraagd of er in de Uitvoeringswet algemene verordening gegevensbescherming (UAVG) niet zou moeten worden opgenomen dat de Algemene verordening gegevensbescherming (AVG) ook zou moeten gelden voor overleden personen. Dit voorstel is het bestuderen waard, maar nog niet rijp om op dit moment in wetgeving op te nemen. Ten aanzien hiervan is eerder ook aan uw Kamer gemeld dat dit beter gezamenlijk in Europees verband kan worden opgepakt. Zie hieromtrent ook de reactie op vraag 16 van het lid Omtzigt.
Ook worden er in diverse andere wetgevingstrajecten voorstellen voor gegevensverwerking opgenomen. Denk bijvoorbeeld aan het wetsvoorstel Wet gegevensverwerking in samenwerkingsverbanden dat nu in de Eerste Kamer ligt,4 maar er zijn meerdere andere wetsvoorstellen ingediend die óók zien op verwerking van persoonsgegevens. Denk bijvoorbeeld aan de Wet coördinatie terrorismebestrijding en nationale veiligheid,5 het wetsvoorstel voor de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten6 of de Wet elektronische gegevensuitwisseling in de zorg, die op 1 juli 2023 in werking is getreden. Dit thema is niet meer weg te denken uit de moderne maatschappij en speelt in alle gelederen van de samenleving een rol en speelt daardoor een rol bij beleid en regelgeving van alle departementen.
De bedoeling van onderhavige verzamelwet is om diverse verbeteringen, die niet al te omvangrijk zijn en waarvan duidelijk is dat die nodig zijn, op te nemen in de UAVG en enkele andere wetten. Het gaat om wijzigingen die zich lenen voor een verzamelwet, die naar zijn aard niet te beleidsrijke wijzigingen met zich mee mag brengen. Dit betekent niet dat er in de toekomst geen wijzigingen meer van de UAVG zullen zijn. Sterker nog, er wordt al nagedacht over welke mogelijke aanpassingen in een volgende wijziging van de UAVG dienen te worden meegenomen. Dit is een dynamisch beeld, nu er als gezegd voortdurend nieuwe wensen en vragen ontstaan omtrent de wenselijkheid en mogelijkheid van regelgeving op het terrein van persoonsgegevens.
Het is, gezien de omvang van het speelveld en om bovengenoemde redenen, dan ook niet mogelijk het door de leden van de VVD-fractie verzochte overzicht van knelpunten die geen plek hebben gekregen in dit wetsvoorstel te geven, maar ik hoop met bovenstaande toelichting toch enig inzicht te hebben verschaft in de ontwikkelingen binnen dit rechtsgebied.
2. De leden van de D66-fractie hebben met interesse kennisgenomen van het voorstel van wet, de memorie van toelichting, het wetgevingsrapport Verzamelwet gegevensbescherming, het advies van de Raad van State, het nader rapport en de reacties van diverse adviserende partijen. Deze leden willen de regering nog enkele vragen voorleggen.
De leden van de CDA-fractie vragen aan de regering welke specifieke knelpunten naar voren zijn gekomen op het gebied van de UAVG waardoor de noodzaak is ontstaan om de onderhavige Verzamelwet gegevensbescherming in te dienen. Deze leden zien bijvoorbeeld op bepaalde vlakken een noodzaak om gegevensdeling juist te vergemakkelijken, zoals wanneer het gaat om het oplossen van zaken omtrent mensenhandel of zorgfraude, maar vragen daarbij aan de regering welke concrete gevallen zij voor ogen heeft gehad wat betreft de voorgestelde wetswijziging.
Tijdens de behandeling van de UAVG is toegezegd aan de Tweede Kamer direct na afronding van dit wetsvoorstel de mogelijkheden te gaan verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht.7 In een brief van 1 april 2019 is de Tweede Kamer geïnformeerd over het resultaat van de inventarisatie en in het bijzonder over de punten die in de motie-Koopmans c.s. waren genoemd en werd aangekondigd dat de Tweede Kamer nader zou worden geïnformeerd over punten waarvoor een wijziging van de UAVG in voorbereiding is.8
In vervolg daarop is de Tweede Kamer in een brief van 31 oktober 2019 geïnformeerd over op welke punten al voldoende kon worden beoordeeld dat het wenselijk is de UAVG of eventueel andere wetgeving aan te passen. Daarvoor zou een wetsvoorstel worden opgesteld dat in het eerste kwartaal van 2020 in consultatie zou worden gebracht.9 Op 4 juni 2020 is de Tweede Kamer geïnformeerd over het in consultatie gaan van het wetsvoorstel Verzamelwet gegevensbescherming.10 Naar aanleiding van de consultatie en de daarin verkregen adviezen is het wetsvoorstel herzien, maar is er niet voor gekozen hele nieuwe onderwerpen toe te voegen.
3. De leden van de CDA-fractie vragen in hoeverre de regering de afweging heeft gemaakt tussen het doel van de wet en de belangen die hiermee gediend worden, aldus specifieker de afweging van de proportionaliteit en subsidiariteit van de wet.
Het onderhavige wetsvoorstel is een verzamelwet, waarin verschillende onderwerpen aan bod komen. Per onderwerp is steeds de afweging gemaakt tussen het doel van het specifieke voorstel en de belangen die ermee gediend worden enerzijds en de proportionaliteit en subsidiariteit anderzijds. Dit is ook een vereiste volgens de AVG en het recht op eerbiediging van de persoonlijke levenssfeer. Overigens is dit niet bij alle onderwerpen aan de orde, omdat het soms zuiver technische wijzigingen betreft, maar voor zover het gaat om een extra grondslag voor bijzondere persoonsgegevensverwerking bijvoorbeeld, wordt hieraan in de memorie van toelichting steeds aandacht besteed.
4. Deze leden vragen ook in hoeverre de onderhavige wet zal gaan leiden tot een hogere mate van bureaucratie op het gebied van gegevensdeling en privacy. Welke maatregelen neemt de regering om de bureaucratie zoveel mogelijk in te dammen?
Het wetsvoorstel beoogt juist tot verduidelijking te leiden, door bijvoorbeeld grondslagen te creëren voor het mogen verwerken van bijzondere persoonsgegevens.
Ik verwacht door dit wetsvoorstel dan ook geen toename van bureaucratie op het gebied van gegevensdeling en privacy. Het gaat om uitwerking en invulling van de AVG en een verbetering van het gegevensbeschermingsrecht, en niet om een verregaande aanpassing. Daar waar meer mogelijkheden voor verwerking van bijvoorbeeld bijzondere persoonsgegevens worden geregeld in dit wetsvoorstel, worden uiteraard ook eisen gesteld aan de voorwaarden waaronder deze mogen worden verwerkt en worden, conform de eisen die de AVG stelt, passende waarborgen opgenomen.
Juist de huidige situatie leidt regelmatig tot knelpunten in de praktijk en tot bureaucratie of belemmering in de taakuitvoering. Dit is bijvoorbeeld het geval bij accountants. Deze mogen nu in het kader van een wettelijk verplichte accountscontrole geen bijzondere persoonsgegevens verwerken, hetgeen leidt tot het niet goed kunnen uitvoeren van hun taken. De bijzondere persoonsgegevens dienen nu nog te worden geanonimiseerd door de organisatie die gecontroleerd wordt, hetgeen werk met zich meebrengt en capaciteit vergt. De accountant moet vervolgens meer moeite doen om de controle goed uit te voeren. Dit wetsvoorstel brengt daarin verandering en biedt een grondslag voor bijzondere persoonsgegevensverwerking, waaraan uiteraard wel zorgvuldigheidseisen gesteld worden. Het gaat immers om een verdergaande inbreuk op de persoonlijke levenssfeer bij de verwerking van bijzondere persoonsgegevens. Hier dienen voldoende waarborgen om die persoonlijke levenssfeer te beschermen in acht te worden genomen. Bij ieder voorstel in deze wet dat leidt tot een inbreuk op de persoonlijke levenssfeer, is steeds afgewogen of dit noodzakelijk is of voldoende waarborgen in acht worden genomen. De mate van bureaucratie die gepaard gaat met de inbreuk is bij ieder voorstel afgewogen. De AVG gaat uit van evenredigheid: hoe vergaander de inbreuk, hoe zwaarder de waarborgen.
5. De leden van de CDA-fractie vragen aan de regering of zij in kaart kan brengen hoe de UAVG zich verhoudt tot de uitvoeringswetten van de AVG in andere Europese lidstaten. Verschilt de UAVG van Nederland op bepaalde vlakken van de uitvoeringswetten van de AVG in andere Europese lidstaten en brengt de UAVG van Nederland een andere toepassing en uitvoering teweeg dan in andere Europese lidstaten?
Op welke vlakken de UAVG verschilt met uitvoeringswetten in andere lidstaten, vergt een rechtsvergelijkend onderzoek. Dat zou het bestek van een verzamelwet te boven gaan. In zijn algemeenheid kan hierover worden gezegd dat de UAVG per definitie verschilt van uitvoeringswetten in andere Europese lidstaten. Bij de totstandkoming van de AVG is immers ook beoogd om lidstaten op onderdelen zelf keuzes te laten maken voor invulling op nationaal niveau. Dit hebben de lidstaten dan ook gedaan. In Nederland is ervoor gekozen om zoveel mogelijk tegen de voorganger van de UAVG te volgen, namelijk de Wet bescherming persoonsgegevens (WBP). Veel van wat in de UAVG geregeld is, was ook geregeld in de WBP, behalve waar de AVG echt een andere regeling vereist.
Iedere lidstaat kan derhalve eigen keuzes maken, zij het dat deze dienen te blijven binnen de ruimte die de AVG daarvoor toekent.
6. De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel Verzamelwet Gegevensbescherming. Deze leden begrijpen dat met dit wetsvoorstel de nodige wijzigingen worden doorgevoerd om het gegevensbeschermingsrecht te actualiseren. Daarover hebben zij nog enkele vragen.
De leden van de SP-fractie hebben kennisgenomen van de voorgenomen wijziging van de UAVG en hebben hierover nog een enkele opmerking en vragen. Deze leden begrijpen dat deze verzamelwet er niet op ziet grote inhoudelijke wijzigingen aan te brengen, maar merken desalniettemin op dat zij het betreuren dat het noodzakelijk debat over artikel 41 niet gevoerd wordt. Zij zien dat in de praktijk dit betekent dat mensen nog steeds essentiële informatie wordt onthouden door instanties die een beroep doen op dit artikel. De regering geeft aan dat, zoals het advies van de Autoriteit Persoonsgegevens (AP) luidt, de gevolgen van het schrappen van deze bepaling niet te overzien zijn. De regering geeft tevens aan dat er «wel naar aanleiding van de opmerkingen en suggesties van de AP zal worden bezien of er voldoende aanleiding is om alsnog tot wijziging in de door de AP voorgestelde zin moet worden overgegaan. Dit vergt echter tijd.» Kan er aangegeven worden hoe hierover wordt nagedacht en op welke termijn hierover geïnformeerd kan worden? Wat is er sinds de wijziging in 2020 van dit voorstel gebeurd op dit terrein?
Het debat over artikel 41 van de UAVG moet zonder meer gevoerd worden. Wanneer deze discussie onderdeel wordt van dit wetsvoorstel, dreigt hierdoor verdere vertraging. Het heeft daarom mijn voorkeur om op een later moment terug te komen op de mogelijkheden tot wijziging van artikel 41. De gedachtenvorming kan dan worden voortgezet, zonder dat het onderhavige wetsvoorstel verder vertraging oploopt. Over een tijdpad kan ik op dit moment, gelet op de complexiteit van dit vraagstuk, nog geen uitspraken worden gedaan.
Overigens is de regeling van het huidige artikel 41 met nadruk een vangnetbepaling. De rechten van betrokkenen kunnen slechts worden beperkt, indien dit in een bepaald geval noodzakelijk en evenredig is ter waarborging van de in artikel 23 van de AVG genoemde doelstellingen. Door de verwerkingsverantwoordelijke die een beroep doet op dit artikel, zal dit moeten worden aangetoond.
Er is hierbij sprake van gelaagdheid van de regelgeving, omdat ook in sectorspecifieke regelingen voorschriften kunnen worden opgenomen.
7. De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben behoefte aan het stellen van nadere vragen.
De leden van de SGP-fractie hebben kennisgenomen van de wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben nog enkele vragen over het wetsvoorstel.
De leden van de Volt-fractie hebben kennisgenomen van het wetsvoorstel Verzamelwet gegevensbescherming. Deze leden merken daarbij op dat na vijf jaar AVG gebleken is dat de Europese verordening een meerwaarde heeft voor de bescherming van persoonsgegevens en privacy voor EU-burgers. Om de bescherming van Nederlandse EU-burgers scherper te krijgen, zien zij dit voorstel als een stap in de goede richting. Over het voorstel hebben zij nog wel enkele vragen.
Het lid Omtzigt heeft kennisgenomen van het voorstel van wet tot Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming).
8. De leden van de VVD-fractie vragen of de regering ten aanzien van het onderwerp cross-sectorale gegevensdeling de laatste stand van zaken schetsen en op welke termijn de regering bereid is om een voorstel te doen om cross-sectorale gegevensuitwisseling mogelijk te maken, voorzien van adequate waarborgen voor privacy? Zij vragen daarnaast of de regering bereid is hierover in contact te treden met in elk geval VNO-NCW, MKB-Nederland, de Politie en de AP?
Graag verwijs ik u naar onderdeel 4. van de kabinetsreactie op het evaluatierapport UAVG «Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid» die op 18 september 2023 aan uw Kamer is gezonden.11 Zoals daaruit volgt, wordt op dit moment met publieke en private partijen de noodzaak van gegevensdeling ten behoeve van criminaliteitsbestrijding in kaart gebracht. De resultaten van deze verkenningen zal de Minister van Justitie en Veiligheid zo spoedig mogelijk met uw Kamer delen.
9. De leden van de VVD-fractie vragen eveneens in hoeverre naar aanleiding van voorstellen van de European Data Protection Board (EDPB) inmiddels voorstellen worden voorbereid die bevorderen dat in lidstaten meer geharmoniseerd omgaan met interpretatievraagstukken rondom de AVG, en of de regering in de kabinetsreactie op de evaluatie van de UAVG expliciet kan ingaan op de wijze waarop toezicht en handhaving kan worden geharmoniseerd.
Op 4 juli 2023 heeft de Europese Commissie een voorstel voor een verordening gepresenteerd, mede naar aanleiding van een wens daartoe van de EDPB, waarin procedureregels zijn vastgelegd voor grensoverschrijdende zaken.12 Dit voorstel is gericht op een meer consequente interpretatie en toepassing van de AVG. In de kabinetsreactie op de evaluatie door het WODC van de UAVG is niet ingegaan op vraagstukken van Europese harmonisering, omdat dit niet het onderwerp van de evaluatie was.
10. De leden van de D66-fractie vragen waarom de regering er niet voor kiest om de waarborgen ten aanzien van het inperken van rechten van betrokkenen niet in sectorale wetgeving te regelen, zoals de AP voorstelt, maar ervoor kiest om dit later in de UAVG te regelen? Tevens vragen de leden van D66 of het niet mogelijk is dit artikel toch te herzien?
Zoals ook hiervoor bij de beantwoording van de vragen van de SP over dit onderwerp is aangegeven, wordt bezien op welke wijze het beste tegemoet kan worden gekomen aan de opmerkingen die de AP bij het huidige artikel 41 UAVG heeft gemaakt. Alle mogelijkheden worden daarbij meegenomen, zowel het regelen in de UAVG als het opnemen in sectorale wetgeving.
11. De leden van de CDA-fractie vragen of er inmiddels een reactie is op de evaluatie van de UAVG en of deze evaluatie aanleiding heeft gegeven alsnog wijzigingen op te nemen.
Deze is op 18 september 2023 aan uw Kamer gestuurd, zie ook het antwoord op vraag 8 van de VVD. Er zijn specifiek naar aanleiding van deze evaluatie geen extra wijzigingen in onderhavig wetsvoorstel opgenomen, omdat dat niet meer in te passen was in het wetgevingsproces. Er had dan bijvoorbeeld opnieuw advies aan de AP moeten worden gevraagd. Dit zou nog meer vertraging hebben betekend. Wel waren enkele punten uit de evaluatie al opgenomen in het wetsvoorstel. Dit geldt bijvoorbeeld voor de wijziging van artikel 1 van de UAVG, waarin de definitie van het begrip persoonsgegevens van strafrechtelijke aard wordt aangepast.
12. De leden van de SGP-fractie constateren dat de UAVG «beleidsneutraal» moest zijn en tot een nadere invulling op de AVG moest dienen. Deze leden overwegen dat in de praktijk de UAVG stringenter wordt uitgevoerd en uitgelegd dan de AVG verplicht. Zij constateren dat het zorgdomein geen gegevens met het justitiedomein meer durft te delen en andersom uit angst om de AVG te overtreden. De leden van deze fractie vrezen dat de AVG en UAVG té stringent worden uitgelegd en dat dit niet dient ter bescherming van de privacy van burgers, maar eerder een belemmering in de uitvoering vormt. Deze leden vragen de regering of hierop gereflecteerd kan worden en vragen de regering hoe aan deze partijen en bestuursorganen de juiste handvaten worden meegegeven om de AVG en UAVG te implementeren.
De leden van de SGP-fractie constateren dat ook binnen bestuursorganen, zoals gemeenten, gegevens niet gedeeld kunnen worden tussen verschillende afdelingen waar dit voor de invoering van de AVG wel het geval was. Zorgwekkende constateringen wat betreft de veiligheid van gezinssituaties kunnen vanuit de Wet maatschappelijke ondersteuning (WMO) niet gedeeld worden met het juridische domein.
Deze leden vragen de regering of de AVG niet strenger wordt toegepast dan nodig en vragen de regering hoe voorkomen wordt dat stringente toepassing deze hulp in de weg staat.
De leden van de SGP-fractie wijzen terecht op de problemen die gesignaleerd worden bij het delen van gegevens tussen bijvoorbeeld het zorgdomein en het justitiedomein, maar ook binnen bestuursorganen, zoals gemeenten. Het meer structureel oplossen van knelpunten in gegevensdeling heeft de aandacht. Het is nodig deze knelpunten goed te inventariseren en analyseren en toe te werken naar oplossingen. Niet alleen is er daar nog meer tijd voor nodig, maar het staat ook niet vast dat deze problematiek voortvloeit uit de tekst van de UAVG en de AVG. Andere oorzaken liggen veelal ten grondslag aan deze problemen, uiteenlopend van capaciteitsproblemen, gebrek aan kennis van het recht, of handelingsverlegenheid. Waar zou blijken dat juridische grondslagen voor een rechtmatige gegevensdeling ontbreken, zal door de wetgever worden beoordeeld of daarin moet worden voorzien.
13. De leden van de SGP-fractie constateren dat ook binnen het veiligheidsdomein tegen de stringente toepassing van de AVG en UAVG wordt gelopen. Gegevens van veiligheidsdiensten worden niet gedeeld met opsporingsdiensten, waardoor onderzoek opnieuw moet plaatsvinden. Dit is zeer inefficiënt en kan ook grote veiligheidsrisico’s met zich meebrengen.
Deze leden vragen de regering of de uitzonderingsmogelijkheden van zwaarwegend algemeen belang standaard gelden als de nationale veiligheid in het geding is of wanneer er sprake is van een mogelijk veiligheidsincident waardoor gegevens tussen diensten gedeeld kunnen worden. De leden van de SGP-fractie vragen tevens of binnen de opsporingsdiensten niet gemakkelijker gegevens gedeeld moeten kunnen worden in het belang van veiligheid en efficiëntie in de opsporing. Deze leden stellen een algemene uitzonderingsgrond voor ten behoeve van veiligheidsdiensten en vragen de regering om hierop te reflecteren.
De leden van de SGP-fractie vragen hier naar het delen van gegevens door veiligheidsdiensten met de opsporingsdiensten. De AVG is echter niet van toepassing op activiteiten die buiten de werking van het Unierecht vallen, zoals verwerkingen van persoonsgegevens in het kader van de nationale veiligheid (artikel 2 AVG). Ook de UAVG is niet van toepassing op verwerkingen van persoonsgegevens voor zover daarop de Wet op de inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017) van toepassing is (artikel 3 UAVG). De verstrekking van persoonsgegevens door inlichtingen- en veiligheidsdiensten aan opsporingsdiensten wordt door de Wiv 2017 beheerst. Ook verwerkingen door opsporingsdiensten vallen niet onder de AVG. Op het delen van persoonsgegevens binnen de opsporingsdiensten is de Richtlijn gegevensbescherming politie en Justitie van toepassing.13 Deze richtlijn is geïmplementeerd in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Onderhavige verzamelwet ziet niet op inhoudelijke wijzigingen van deze wetgeving. Overigens is in de Wpg een ruime regeling opgenomen over het ter beschikking stellen van persoonsgegevens, waarbij het in beginsel verplicht is om politiegegevens te verstrekken aan personen die overeenkomstig de Wpg zijn geautoriseerd voor het verwerken van politiegegevens. Dit geldt zolang deze gegevens binnen de opsporingsdiensten blijven. Op grond van de Wiv 2017 verrichten de korpschef en de politiechefs van de eenheden en de commandant van de Koninklijke Marechaussee (KMar) werkzaamheden voor de inlichtingen- en veiligheidsdiensten en delen ambtenaren van politie en de KMar onverwijld gegevens die van belang kunnen zijn voor de diensten aan hen mee.14 Op grond van artikel 24 Wpg is een regeling getroffen voor rechtstreeks geautomatiseerde verstrekking van politiegegevens aan de inlichtingen- en veiligheidsdiensten.
14. De leden van de SGP-fractie constateren dat ook in het schulden-en armoedebeleid gegevensdeling moeizaam verloopt. Deze leden wijzen op de expliciete toestemming die burgers moeten geven alvorens gegevens gedeeld mogen worden. Met name in dit domein kan vanuit gevoelens van schaamte een zekere drempel bestaan om aan te kloppen bij hulporganisaties.
Deze leden vragen de regering of onderzocht wordt hoe eenmalige expliciete toestemming voldoende is voor het delen van gegevens tussen organisaties zodat burgers hier niet steeds mee geconfronteerd worden.
Het verlenen van toestemming is geregeld in artikel 4 onder 11 van de AVG en aldaar gedefinieerd als elke vrije, specifieke en geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene een bepaalde verwerking van zijn persoonsgegevens aanvaardt. De EDPB heeft in richtsnoeren toegelicht hoe dit volgens hem moet worden uitgelegd. De verwerkingsverantwoordelijke moet ook kunnen aantonen dat de toestemming is verleend. In artikel 7 van de AVG zijn de voorwaarden voor toestemming opgenomen. Deze behelzen onder meer dat de betrokkene goed moet zijn geïnformeerd over waarvoor hij toestemming verleent en dat als er voor meerdere doelen toestemming wordt gevraagd dit duidelijk moet zijn voor de betrokkenen. Als voldaan wordt aan deze voorwaarden, kan er voor meerdere verwerkingen eenmalig toestemming worden verleend. Wel kan de toestemming ieder moment worden ingetrokken, hetgeen de grondslag toestemming niet altijd een geschikte grondslag maakt. Ook mag er geen sprake zijn van een «wanverhouding» tussen de verwerkingsverantwoordelijke en de betrokkene. Hiervan is als snel sprake bij verwerkingen van persoonsgegevens van burgers door overheden of binnen een arbeidsrelatie. De toestemming wordt dan niet geacht vrijelijk te zijn verleend, omdat er iets van afhangt voor de betrokkene, vooral wanneer sprake is van een uitkeringsrelatie.
Net als de leden van de SGP-fractie zie ik dat mensen een zekere drempel kunnen voelen om hulp te zoeken, terwijl het zo belangrijk is om financiële problemen snel aan te pakken. Op grond van de Wet gemeentelijke schuldhulpverlening is het mogelijk om signalen over betalingsachterstanden op de vaste lasten zonder toestemming van betrokkene aan de gemeente te sturen. De gemeente is dan verplicht om iemand een hulpaanbod te doen. Bovendien biedt de Wet gemeentelijke schuldhulpverlening de mogelijkheid om onder voorwaarden experimenten in te richten met andere, aanvullende signalen.
Het kabinet zet binnen de Aanpak geldzorgen, armoede en schulden in op intensivering van vroegsignalering, zodat mensen met (financiële) problemen eerder in beeld komen en naar hulpverlening kunnen worden verwezen.15 Over de voortgang van de Aanpak geldzorgen, armoede en schulden wordt periodiek aan uw Kamer gerapporteerd. De tweede voortgangsrapportage is op 19 december 2023 aan uw Kamer aangeboden.16
15. De leden van de SGP-fractie constateren dat de Belastingdienst een belangrijke partner is voor opsporingsinstanties en veiligheidsdiensten wat betreft crimineel vermogen. Deze leden constateren tevens dat de Belastingdienst onder een vergrootglas ligt en terughoudend is met het delen van cruciale informatie. Zij overwegen dat de AVG de burger moet beschérmen tegen het onrechtmatig delen van gegevens, niet de crimineel moet beschermen ten kóste van die bezorgde burger. De leden vragen de regering wat kan worden gedaan om te bevorderen dat cruciale informatie in het opsporingsonderzoek tijdig en afdoende wordt gedeeld. Kunnen de opsporings-en veiligheidsdiensten niet weer op basis van vertrouwen samenwerken om criminelen aan te pakken? Kan de regering met een duidelijk werkplan komen met oog voor de knelpunten in de AVG waarin voorop staat wat wel kan?
Het normenkader van de AVG stemt nagenoeg overeen met de oude privacyrichtlijn (EU-richtlijn 95/46/EG) en de Wet bescherming persoonsgegevens. Het is dus niet zo dat de AVG veel strenger is dan de oude regelgeving of dat veel minder zou mogen. Er is binnen de kaders van de AVG veel mogelijk, mits het zorgvuldig geregeld wordt. De AVG kent zes limitatieve grondslagen op grond waarvan rechtmatig persoonsgegevens verwerkt kunnen worden.17 Tevens mag verwerking van persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (doelbinding) en dient die verwerking ter zake dienend en beperkt te zijn tot wat noodzakelijk is voor die doeleinden (dataminimalisatie). De AVG biedt de lidstaten op grond van artikel 6, vierde lid, in samenhang met artikel 23, eerste lid de bevoegdheid om een wettelijke grondslag in het leven te roepen die verdere verwerking van persoonsgegevens mogelijk maakt voor andere doelen dan die waarvoor de gegevens oorspronkelijk zijn verzameld indien dat noodzakelijk is voor een zwaarwegend algemeen belang. In het Wetsvoorstel gegevensbescherming in samenwerkingsverbanden (WGS) dat op 17 december 2020 door uw Kamer is aanvaard en nu voorligt in de Eerste Kamer wordt deze mogelijkheid toegepast. De WGS beschrijft welke gegevens er door deelnemers mogen worden gedeeld en binnen het samenwerkingsverband mogen worden verwerkt, voor welke doeleinden dat mag plaatsvinden en welke waarborgen daarvoor gelden. Verder wordt verwezen naar het antwoord op bovenstaande vraag van de SGP of de AVG niet strenger wordt toegepast dan nodig.
16. Het lid Omtzigt leest dat op hoofdlijnen er sprake is van vrij technische verbeteringen en aanvullingen die in beginsel bijdragen aan verduidelijking van de UAVG. Met name het regelen van de bevoegdheden van curatoren (in faillissement) kan bijdragen aan het doorstarten van ondernemingen en daarmee de werkgelegenheid en positie van werknemers.
Wel is het lid Omtzigt benieuwd hoe de regering denkt over het voorstel van de AP in haar reactie op het wetsvoorstel d.d. 26 januari 2023 om ook gegevens van overledenen onder de werking van de AVG te brengen? Zal dit wetenschappelijk onderzoek en verwerking door erfgenamen niet onnodig hinderen?
De AVG is niet van toepassing op persoonsgegevens van overledenen. Dat neemt niet weg dat het recht op bescherming van de persoonlijke levenssfeer wel kan worden ingeroepen wanneer mede de privacy van nabestaanden wordt geraakt. De vraag of de persoonsgegevens van overledenen onder de werking van de AVG moeten worden gebracht, is een vraagstuk dat op Europees niveau moet worden besproken. Het verwerken van persoonsgegevens van overledenen valt onder de digitale nalatenschap van een overledene. Gezien de bij uitstek grensoverschrijdende vraagstukken die aan de orde zijn bij de digitale nalatenschap is het van belang dat hierin op Europees niveau tot regelgeving wordt gekomen. Bij de bespreking van het verwerken van persoonsgegevens van overledenen zal ook moeten worden betrokken welke effecten dit heeft op het doen van (medisch) wetenschappelijk onderzoek. Voor de verwerking door erfgenamen geldt dat de digitale nalatenschap, net als de goederen en schulden in een nalatenschap, moet worden afgewikkeld, wat een zware wissel trekt op de erfgenamen. De vraag in hoeverre persoonsgegevens van overledenen onder de werkingssfeer van de AVG de verwerking door erfgenamen hindert, zal ook moet worden betrokken in het kader van het regelen van de digitale nalatenschap.
17. De AP stelt in dezelfde brief voor bedrijven een rechtsingang bij de rechter te verschaffen waardoor degenen die concurrentievervalsing ervaren een actie hebben tegen andere bedrijven die zich niet aan de AVG houden en hierdoor ten onrechte voordeel behalen. Hoe beoordeelt de regering dit voorstel?
Dit voorstel wordt door de AP gedaan, onder meer naar aanleiding van een uitspraak van de voorzieningenrechter d.d. 3 februari 2021.18 De vraag die aan de rechtbank is voorgelegd is of concurrenten ook een beroep kunnen doen op schending van de AVG. De voorzieningenrechter oordeelt dat dit niet het geval is, deze bevoegdheid wordt enkel toegekend aan de toezichthouder en betrokkenen. Dit omdat de AVG bedoeld is de fundamentele rechten van natuurlijke personen te beschermen en niet de belangen van concurrenten. Er loopt nog een bodemprocedure in deze zaak en ik wil daarop niet vooruitlopen.
18. En hoe beoordeelt de regering het voorstel van de AP bij UAVG mogelijk te maken dat burgers actief geïnformeerd worden over het gebruik van algoritmes?
Passende waarborgen zijn inderdaad een essentiële voorwaarde voor het gebruik van geautomatiseerde besluitvorming door overheidsorganen. De mogelijkheden van bezwaar en beroep zijn niet het enige regulerend kader voor de inzet van geautomatiseerde besluitvorming. Zo bepalen de Grondwet en het EVRM dat een inbreuk op een recht alleen is toegelaten indien deze wettelijk is geregeld en noodzakelijk en proportioneel is. Ook verbiedt het non-discriminatierecht het maken van een (ongerechtvaardigd) onderscheid. Verder stelt het bestuursrecht regels aan besluitvorming, zoals de motivering ervan en het toepassen van hoor en wederhoor. De overheid dient deze juridische kaders te allen tijde in acht te nemen, ook bij geautomatiseerde besluitvorming. In dit verband zijn er verschillende stappen gezet om te zorgen voor aanvullende waarborgen. Allereerst heeft het kabinet het implementatiekader «Verantwoorde inzet van algoritmen» gepresenteerd.19 Het wordt daardoor voor overheden duidelijker hoe zij in de praktijk invulling kunnen geven aan hun verplichtingen en welke instrumenten daarvoor beschikbaar zijn. Daarnaast geldt al langer het uitgangspunt dat overheidsorganisaties in beginsel geen algoritmen hanteren die te complex zijn om redelijkerwijs te kunnen worden uitgelegd, in elk geval niet indien het gebruik van algoritmen rechtsgevolgen of een aanmerkelijke impact heeft op burgers, bedrijven of (groepen in) de samenleving. Dit uitgangspunt is neergelegd in de richtlijnen voor het gebruik van algoritmen door overheden.20 Het kabinet wil zo transparant, consistent en controleerbaar mogelijk zijn bij de geautomatiseerde uitvoering van wet- en regelgeving. Zo wordt gewerkt aan een algoritmeregister, waarin begrijpelijke informatie wordt opgenomen over tenminste hoog risico algoritmes.21 Met betrekking tot de uitlegbaarheid van algoritmes wijs ik er ook graag op dat de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties mogelijkheden onderzoeken om de individuele transparantie van algoritmegebruik bij besluitvorming in de zin van de Awb te bevorderen. In de preconsultatie van het voorstel voor de Wet versterking waarborgfunctie Awb heeft een expertsessie plaatsgevonden over dit onderwerp en zijn vragen aan uitvoeringsinstanties voorgelegd. De inbreng uit de preconsultatie heeft geleid tot verdere vragen en oplossingsrichtingen. Ter gelegenheid van de internetconsultatie van dit wetsvoorstel worden uitvoeringsinstanties, decentrale overheden, de rechtspraak, andere belanghebbenden en belangstellenden uitgenodigd deze vragen te beantwoorden en nader op het onderwerp algoritmische besluitvorming te reflecteren.
19. Het lid Omtzigt merkt op dat regelmatig blijkt dat de Staat een beperkte uitleg van de AVG hanteert waar het gaat om inzage door betrokkenen in, en een kopie verkrijgen van, documenten die zij nodig hebben voor het beoordelen van hun rechtspositie of het handhaven van hun rechtspositie tegenover de Staat. Zo worden documenten waarin code 88 (fraudeur) van de Belastingdienst voorkomt of een toelichting waarom iemand als fraudeur wordt aangemerkt niet ter inzage gegeven. Het lid Omtzigt vraagt of de regering vindt of het, mede tegen de achtergronden van de misstanden die in de Toeslagenaffaire aan het licht zijn gekomen, niet op de weg van de regering ligt om in de UAVG een ondubbelzinnige regeling op te nemen, die waarborgt dat een betrokkene inzage in en afschrift van alle documenten krijgt die van invloed kunnen zijn op zijn rechtspositie als de betrokkene oordeelt dat zulks het geval is. Dit lid verzoekt bij de beantwoording op deze vraag de uitspraken HvJEU 20 december 2017 zaak C-434/16 (Nowak) en 12 januari 2023 zaak C-154/21 (Österreichische Post) te betrekken.
De zaak Nowak ziet op de vraag wat onder persoonsgegevens moet worden verstaan, in die casus ging het om schriftelijke antwoorden op een beroepsexamen en de opmerkingen van de examinator. Het HvJEU heeft in deze casus geoordeeld dat die onder het begrip persoonsgegevens moeten worden geschaard. In de zaak Österreichische Post oordeelt het Hof dat het in de AVG geregelde recht van inzage van de betrokkene, indien hij daarom verzoekt, zich noodzakelijkerwijs moet uitstrekken tot de vermelding van de specifieke ontvangers aan wie zijn persoonsgegevens worden verstrekt. De verzoeken om inzage die een verwerkingsverantwoordelijke ontvangt, moeten worden beoordeeld aan de hand van deze criteria, ook door de (rijks)overheid.
De concrete vraag die het lid Omtzigt stelt over duidelijkheid omtrent welke stukken moeten worden verstrekt is inmiddels ook door het Hof beantwoord in de zaak C-487/21 (Österreichische Datenschutzbehörde et CRIF, d.d. 4 mei 2023). Hierin bepaalt het Hof dat het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.
Het Hof merkt verder op dat de term «kopie» niet naar een document als dusdanig verwijst, maar naar de persoonsgegevens die het bevat en dat die volledig moeten zijn. De «kopie» moet dus alle persoonsgegevens bevatten die worden verwerkt. Wanneer de volledige uitoefening van het recht van inzage van de persoonsgegevens en de rechten of vrijheden van anderen met elkaar in conflict komen, moeten de betrokken rechten tegen elkaar worden afgewogen. Voor zover mogelijk moet ervoor worden gekozen de persoonsgegevens te verstrekken op een wijze die geen afbreuk doet aan de rechten of vrijheden van anderen. Daarbij moet er rekening mee worden gehouden dat deze overwegingen er niet toe mogen leiden dat de betrokkene alle informatie wordt onthouden.
Het komt mij voor dat de door het lid Omtzigt gewenste duidelijkheid met deze laatste uitspraak van het Europese Hof gegeven wordt. Het is daarom niet noodzakelijk om een ondubbelzinnige regeling in de UAVG op te nemen.
20. De leden van de VVD-fractie stellen in algemene zin dat de memorie van toelichting niet tot nauwelijks in gaat op enkele onderdelen uit adviezen van geconsulteerde organisaties.
Ook al is het doel van het wetsvoorstel niet om te voorzien in een uitputtende lijst van ingrijpende wijzigingen en keuzes om sommige onderwerpen pas later in andere trajecten te behandelen, toch zou het voor de begrijpelijkheid van deze keuzes goed zijn om waar mogelijk toch te reageren op de gedane voorstellen van geconsulteerde organisaties.
Met name waar het gaat om de adviezen van VNO-NCW en MKB-Nederland en de politie vragen deze leden of de regering hier alsnog nader op in kan gaan en of het College van Procureurs-Generaal ook is geconsulteerd bij het wetsvoorstel, en zo ja, wat hun reactie was.
Er is voor gekozen om niet op alle consultatiereacties afzonderlijk in te gaan, omdat het een veelheid van reacties betrof, die elkaar niet zelden overlapten. Waar nodig en mogelijk is in de artikelsgewijze toelichting wel gereageerd op de consultatiereacties. De leden van de VVD-fractie verwijzen de adviezen van VNP-NCW en MKB-Nederland, de politie en het OM. Om met de laatste te beginnen: het College van Procureurs Generaal is, zoals gebruikelijk, uitgenodigd een advies uit te brengen, maar heeft ervoor gekozen dat niet te doen.
Ten aanzien van de adviezen van VNO-NCW en MKB-Nederland wordt het volgende opgemerkt.
Door deze organisaties zijn bij de internetconsultatie verschillende punten naar voren gebracht. Het voert te ver om op elk daarvan hier in te gaan, maar de belangrijkste zijn als volgt geadresseerd. Allereerst vroeg VNO-NCW om meer duidelijkheid en rechtszekerheid met betrekking tot de uitzonderingsgrond voor de verwerking van biometrische gegevens (artikel 29 UAVG). Daaraan is tegemoet gekomen, door in de toelichting bij het wetsvoorstel meer situaties te vermelden waarin van een zwaarwegend algemeen belang sprake is. Verder had VNO-NCW suggesties bij artikel 41 UAVG. Naar aanleiding hiervan is besloten dat er nog nadere bestudering noodzakelijk is ten aanzien van artikel 41 UAVG en de opmerkingen zullen worden meegenomen bij de hiervoor genoemde besluitvorming over dit artikel. Voorts stelde VNO-NCW ten aanzien van het verlenen van toestemming door jongeren, (artikel 5 UAVG) een uniforme leeftijdsgrens voor, zowel voor het geven en intrekken van toestemming en het uitoefenen van de rechten van een betrokkene. Dit voorstel is niet opgevolgd. Verwezen wordt naar de toelichting bij artikel 1, onderdeel d, waarin de wijziging van artikel 2 UAVG is opgenomen en naar de vragen met betrekking tot dit artikel in deze nota naar aanleiding van het verslag onder nummer 36 tot en met 39. Tot slot werden enkele knelpunten uit de praktijk naar voren gebracht. Deze punten dateren nog uit 2019 en zijn voor een groot deel al ter hand genomen en opgelost. Daarover bestaat contact tussen mijn departement en VNO-NCW. Op het punt van het cross-sectoraal delen van fraudegegevens, is verder ingegaan bij de beleidsreactie op het WODC-evaluatieonderzoek naar de UAVG.22
21. Specifiek vragen de leden van de VVD-fractie aandacht voor het volgende. Deze leden lezen in het advies van de Korpschef uit mei 2020 dat er bij de politie een sterke behoefte bestaat om het mogelijk te maken dat persoonsgegevens die worden verwerkt voor een zuiver persoonlijk of huishoudelijke activiteit beter kunnen worden verstrekt aan de politie, met een beperking van de verplichtingen voor een verwerkingsverantwoordelijke.
Het is voor deze leden op basis van de memorie van toelichting niet duidelijk hoe dit advies is opgevolgd.
Het advies van de korpschef hing samen met het toenmalige onderdeel van het wetsvoorstel «Bijzondere persoonsgegevens en gegevens van strafrechtelijke aard in bevel, vordering, aangifte of klacht» (art. 1, onder 1, tweede onderdeel en N, derde onderdeel). Dit onderdeel is naar aanleiding van het advies van de AP komen te vervallen. Daarmee is tevens het door de politie opgebrachte zorgpunt verdwenen.
22. Hetzelfde geldt voor het advies van de Korpschef om een betere grondslag te creëren om het beheer van meldkamers beter uit te voeren en daartoe artikel 30, derde lid onder a van de UAVG te wijzigen. Kan de regering hier een reactie op geven?
Dit onderwerp komt regelmatig terug op de agenda van het Bestuurlijk Meldkamer Beraad en Strategisch Meldkamer Beraad en wordt door alle betrokken partijen in het meldkamerdomein belangrijk gevonden. Voor het beantwoorden van de vraag of de Landelijke Meldkamer Samenwerking (hierna LMS) in het kader van haar beheertaak verwerkingen verricht als verwerkingsverantwoordelijke is een werkgroep opgericht. De werkgroep bestaat uit medewerkers van mijn ministerie, het Ministerie van Volksgezondheid, Welzijn en Sport en de meldkamerpartijen politie, veiligheidsregio’s en ambulancezorg. Deze werkgroep analyseert welke taken onder de beheertaak van de LMS vallen, welke gegevens hierbij horen en welke verwerkingen. Mocht uit deze analyse blijken dat er verwerkingen zijn te benoemen die de LMS uitsluitend in het kader van haar beheertaak verricht, dan moet bezien worden of hier een grondslag voor bestaat of dat dit deze alsnog gecreëerd moet worden.
23. Verder adviseerde de Nederlandse Orde van Advocaten (NOvA) om het wetsvoorstel aan te vullen nu de Wet Homologatie Onderhands Akkoord (WHOA) inmiddels in werking is getreden.
Kan de regering aangeven waarom het niet nodig is naar aanleiding daarvan nader te specificeren hoe gegevensverwerking kan plaatsvinden.
Op 1 januari 2021 is de Wet homologatie onderhands akkoord (WHOA) in werking getreden. De WHOA is een nieuw onderdeel van de Faillissementswet (Fw) en helpt ondernemers om bij dreigende insolventie een akkoord met de schuldeisers en aandeelhouders tot stand te brengen waarbij de schulden worden gesaneerd en een faillissement wordt voorkomen. De WHOA introduceert twee nieuwe insolventiefunctionarissen: de herstructureringsdeskundige en de observator. Een herstructureringsdeskundige kan in een WHOA-traject worden aangewezen om een akkoord voor te bereiden en aan de betrokken schuldeisers en aandeelhouders voor te leggen (artikel 371 Fw). De ondernemer kan ook zelf een akkoord voorbereiden, zonder dat er een herstructureringsdeskundige wordt aangewezen. In dat geval heeft de rechtbank de mogelijkheid om een observator aan te stellen, die in het belang van de gezamenlijke schuldeisers toezicht houdt op de totstandkoming van het akkoord (artikel 379 Fw). In de memorie van toelichting is al opgemerkt dat in de artikelen 371, 376 en 380 Fw een voldoende nauwkeurige taakomschrijving is opgenomen voor de herstructureringsdeskundige respectievelijk de observator.23 Vooral artikel 371, zevende tot en met het negende lid, Fw is in dit verband relevant. Hierin is – kort gezegd – het volgende geregeld.
Als de herstructureringsdeskundige dit nodig heeft om zijn taak te kunnen vervullen:
– mag hij boeken, bescheiden en andere gegevensdragers van de schuldenaar raadplegen, en
– zijn de schuldenaar – of zijn bestuurders, aandeelhouders en commissarissen – en degenen die in dienst zijn van de schuldenaar, verplicht hem alle inlichtingen te verschaffen.
De herstructureringsdeskundige mag de verkregen informatie alleen met derden delen voor zover dit nodig is om toepassing te kunnen geven aan de WHOA-regeling. In artikel 380, vierde lid, Fw is bepaald dat voor de observator eenzelfde regeling geldt. In concrete zin betekent dit dat de herstructureringsdeskundige persoonsgegevens mag verwerken voor zover dat nodig is in het kader van:
– het aanbieden van een akkoord aan de schuldeisers en aandeelhouders van een schuldenaar, of een aantal van hen (artikelen 371, eerste lid, en 375 Fw);
– het indienen van een verzoek bij de rechtbank tot het afkondigen of verlengen van een afkoelingsperiode (artikel 376 Fw);
– het indienen van een verzoek bij de rechtbank tot het geven van een tussentijds rechterlijk oordeel (artikel 378 Fw);
– het ter stemming aan de schuldeisers en aandeelhouders voorleggen van een akkoord (artikel 381 Fw);
– het opmaken en in kennis stellen van de schuldeisers en de aandeelhouders van een verslag betreffende de uitkomst van de stemming (artikel 382 Fw);
– de indiening van een verzoek bij de rechtbank tot homologatie van het akkoord (artikel 383 Fw), en
– het in kennis stellen van de schuldeisers en de aandeelhouders van de beschikking van de rechtbank waarin is bepaald op welk moment het homologatieverzoek wordt behandeld (artikel 383, vijfde lid, Fw).
Daarnaast geldt voor de observator dat hij persoonsgegevens mag verwerken voor zover dat nodig is in het kader van het houden van toezicht op de totstandkoming van het akkoord en, indien aan de orde, het op de hoogte stellen van de rechtbank van ontwikkelingen die in dat kader plaatsvinden (artikel 380 Fw). Met genoemde bepalingen is voorzien in een duidelijk kader voor verwerking van gegevens door de in de WHOA geregelde deskundigen.
Advies Autoriteit persoonsgegevens en samenhangende reacties
24. De leden van de VVD-fractie lezen dat er aanvankelijk mede naar aanleiding van de motie Koopmans c.s.24 een grondslag in het wetsvoorstel was opgenomen op grond waarvan onder meer verenigingen voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. Naar aanleiding van een opmerking van de AP is deze grondslag geschrapt, omdat de AP aangaf dat van een zwaarwegend algemeen belang op dit moment niet blijkt. De regering schrijft hierbij dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van gezondheidsgegevens, naast de al mogelijke grondslag uitdrukkelijke toestemming. Waarop baseert de regering deze stelling? Op basis van welke informatie en gesprekken kan de regering dit op dit moment concluderen? Als er geen noodzaak is voor uitbreiding, waarom wordt dan nog verder hierover gesproken met de betrokken partijen?
De AP geeft in haar advies een aantal redenen om geen wettelijke grondslag te creëren voor verenigingen voor cliëntenbelangen in de zorg- en welzijnssector. De belangrijkste is dat toestemming voor een verwerking als deze nu juist gepast lijkt. Immers, de betrokkene kiest er zelf voor om lid te worden van zo’n vereniging en kan dan ook uitdrukkelijke toestemming geven voor het verwerken van zijn gezondheidsgegevens door die vereniging. Dan is een wettelijke grondslag niet noodzakelijk. Omdat op dit moment niet blijkt dat er zwaarwegende redenen zijn om wel een dergelijke grondslag te creëren, is daarmee de noodzaak hiervoor niet aanwezig. Deze noodzaak is wel vereist voor het creëren van een grondslag. De AP merkt ook op dat een zodanige wettelijke grondslag tot gevolg kan hebben dat bijzondere persoonsgegevens tegen de wil van de betrokkene zouden kunnen worden verwerkt, hetgeen niet gewenst is. Het Ministerie van Volksgezondheid, Welzijn en Sport heeft op verschillende momenten contact gehad met diverse cliëntenverenigingen over een diversiteit van onderwerpen. In 2018, toen de AVG net van kracht was, leek dit mogelijk tot problemen te kunnen leiden, maar in de praktijk zijn hiervoor geen signalen. Op het moment dat echter uit gesprekken met betrokken partijen zou blijken van concrete problemen, die van zwaarwegend algemeen belang zijn, waardoor de noodzaak voor een dergelijke grondslag wel aanwezig is, kan deze alsnog worden overwogen.
25. De leden van de VVD-fractie begrijpen het verzoek van de AP om een voorziening te treffen om voor bepaalde activiteiten een tarief in rekening te kunnen brengen, zoals bijvoorbeeld het aanvragen van een vergunning of het aanvragen van een voorafgaande raadpleging.
Nu dit niet in het onderhavige wetsvoorstel wordt geregeld en dit onderwerp voor het kabinet nog een nadere afweging vergt, wordt dit onderwerp ook betrokken in de gesprekken over de financiering van de AP? Deze leden vragen of de regering bij gesprekken over de taken, bevoegdheden en capacitaire uitdagingen ook aan de orde komt welke mogelijkheden er zouden zijn om tarieven in rekening te brengen voor diensten die de AP levert en hoe dit in de praktijk het beste vorm kan worden gegeven.
Artikel 57, derde lid, van de AVG bepaalt dat elke toezichthoudende autoriteit haar taken kosteloos verricht voor de betrokkene. Dit verzet zich tegen kostendoorberekening aan betrokkenen voor de taken die voortvloeien uit de AVG. Tarifering door de AP zou dan hoogstens aan de orde kunnen zijn voor taken uit hoofde van andere wetgeving. De toezichthouder kan op grond van het vierde lid van artikel 57 AVG wel, wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, op basis van de administratieve kosten een redelijke vergoeding aanrekenen of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
26. Alhoewel de AVG niet van toepassing is op de verwerking van persoonsgegevens van overleden personen, kunnen lidstaten hier wel regels voor opnemen. De leden begrijpen de keuze om eerst te bezien of een probleem met betrekking tot de verwerking van gegevens van overleden personen niet eerst kan worden opgelost door de markt zelf, bijvoorbeeld via voorlichting, tools en specifieke dienstverlening. Wordt dit onderwerp ook betrokken bij de gesprekken op EU-niveau over een herschikte verordening? En zo ja, wanneer wordt de Kamer hier nader over geïnformeerd?
Zie voor het antwoord hierop het antwoord dat is gegeven op vraag 16 van het lid Omtzigt.
27. De leden van de D66-fractie lezen dat de AP heeft gesuggereerd te overwegen om de mogelijkheid te benutten die de UAVG in artikel 80, tweede lid, biedt. Het betreft de mogelijkheid om maatschappelijke organisaties onafhankelijk van de opdracht van een betrokkene een klacht te kunnen laten indienen als die organisatie van oordeel is dat rechten van betrokkenen zijn geschonden. De regering heeft aangegeven de noodzaak niet te zien dit in te voeren.
Heeft de regering onderzocht of bij maatschappelijke organisaties de behoefte bestaat aan deze mogelijkheid? Zo ja, wat is daar uitgekomen?
Uit het advies van de AP over dit wetsvoorstel blijkt dat deze wens onder meer bestaat bij de Consumentenbond en de AP geeft in overweging om te bezien of benutting van de ruimte die de AVG op dit punt biedt alsnog wenselijk is. De AVG biedt in artikel 80, eerste lid, al de mogelijkheid dat een maatschappelijke organisatie namens betrokkenen (onder meer) een klacht kan indienen bij de toezichthoudende autoriteit of een civiele procedure kan starten (tot schadevergoeding) tegen de verantwoordelijke of verwerker. Er is op dit moment geen noodzaak dit ook mogelijk te maken zonder opdracht van de betrokkene. Een maatschappelijke organisatie kan in Nederland wel op grond van art. 3:305a BW met een collectieve actie een verklaring voor recht vorderen. Sinds de inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie (WAMCA) per 1 januari 2020 is daarnaast het collectief vorderen van schadevergoeding mogelijk. Er is in het kader van dit wetsvoorstel niet nader onderzocht of en in welke mate bij maatschappelijke organisaties behoefte bestaat aan deze mogelijkheid, maar dat er een evidente noodzaak voor bestaat is niet gebleken nu er, zeker na de invoering van de WAMCA, voldoende mogelijkheden tot uitoefening van collectief actierecht bestaan. Meer voorbeelden dan dat van de Consumentenbond noemt de AP niet in haar advies.
28. De leden van de D66-fractie hebben ook kennisgenomen van het onderdeel over digitale nalatenschap. De regering geeft aan dat zij het te vroeg vindt voor wettelijke maatregelen hierover. Eerst zouden de verdere ontwikkelingen en de maatschappelijke discussie verder moeten worden uitgekristalliseerd. Bovendien heeft volgens de regering een Europese regeling de voorkeur boven een nationale regeling. De Europese Commissie heeft aangegeven nut te zien in verder onderzoek naar de noodzaak van nadere regelgeving. Kan de regering aangeven wat hieromtrent de concrete plannen zijn?
Zoals ook in antwoord op de vraag 16 van het lid Omtzigt is aangegeven, wacht ik de plannen van de Europese Commissie met belangstelling af en zal aandacht gevraagd blijven worden voor deze problematiek. Het is niet bekend wat hieromtrent de concrete plannen zijn.
29. De leden van de CDA-fractie lezen dat in het wetsvoorstel zoals dat in consultatie is gegaan, een grondslag was opgenomen op grond waarvan onder meer verenigingen voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. De Autoriteit Persoonsgegevens (AP) had onder andere opgemerkt dat een wettelijke grondslag tot gevolg kan hebben dat zelfs tegen de wil van de betrokkene diens bijzondere persoonsgegevens zouden mogen worden verwerkt. De regering heeft aan deze opmerkingen gevolg gegeven en de wettelijke grondslag geschrapt, met als reden dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van gezondheidsgegevens.
Deze leden vragen wat de aanleiding en achterliggende gedachte was om de wettelijke grondslag in eerste instantie wel op te nemen in het wetsvoorstel, nu blijkt dat er geen noodzaak toe is.
Zij vragen waarom niet is gekozen voor een opt-out systeem.
Op het moment van inwerkingtreding van de AVG bestond er nog veel onduidelijkheid over de effecten van de AVG. Dit leidde tot onzekerheid en angst dat er veel niet meer zou kunnen of mogen. Met de tijd bleek dit veelal mee te vallen en hebben organisaties een werkwijze gevonden. Dat is ook het geval bij de cliëntenorganisaties. De aanvankelijke vrees dat er veel problemen zouden ontstaan, is niet bewaarheid geworden. De reden dat er niet gekozen is voor een opt-out systeem, is dat ook daarvoor geen noodzaak lijkt te bestaan. Zoals ook op de vragen van de VVD hierover is geantwoord en ook is aangegeven door de AP, is het geven van uitdrukkelijke toestemming juist in deze situatie geschikt. Deze kan worden gevraagd bij het lid worden van een dergelijke vereniging. Nu uitdrukkelijke toestemming een goede grondslag biedt is er daarom ook geen noodzaak voor het creëren van een opt-out systeem.
30. De leden van de fractie van GroenLinks constateren dat de AP essentieel is in het realiseren van de beloften van de AVG. Het bevreemdt deze leden dan ook enigszins dat in deze verzamelwet geen voorstellen worden gedaan om de effectiviteit en slagkracht van de AP te verbeteren. Deze leden hebben echter het idee dat daar wel aanleiding toe bestaat. Zo blijkt uit een recent rapport van de Nationale ombudsman25 dat de behandeltermijn van klachten zeer lang is, en dat mensen ook moeilijk reactie krijgen als de AP besluit geen onderzoek te doen naar aanleiding van hun klacht. Hoe kijkt de regering naar een algemene verplichting voor de AP om minstens een keer per drie maanden een klager te informeren over de voortgang van de behandeling, en daarbij een verwachting te geven wanneer een beslissing op de klacht zal worden genomen? In het Verenigd Koninkrijk publiceert de toezichthouder Information Commissioner´s Office (ICO) elk kwartaal een overzicht van alle klachten in machineleesbaar formaat, wanneer deze zijn ingediend, wanneer er een besluit is genomen, en wat voor besluit er is genomen. Hoe kijkt de regering naar een dergelijk middel om de Autoriteit Persoonsgegevens (en eventueel andere toezichthouders) meer publieke verantwoording te geven van hun activiteiten? Daarnaast vragen de leden van de GroenLinks-fractie zich af of de regering overwogen heeft om een algemene verplichting in te stellen voor de AP om haar besluiten op klachten (geanonimiseerd) te publiceren? Deze leden zien toegevoegde waarde in een dergelijke publicatieplicht, zodat de normuitleg in de klachtbeslissingen van de AP meer impact kan hebben.
Op grond van artikel 52 van de AVG is de AP volledig onafhankelijk bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig de AVG zijn toegewezen. Op grond van artikel 77, tweede lid van de AVG informeert de AP de klager over de voortgang en het resultaat van de klacht. De wijze waarop de AP dit doet, is echter aan de AP zelf. Het opnemen van een verplichting tot het driemaandelijks informeren van de klager zou op gespannen voet staan met het onafhankelijke karakter van de toezichthouder. Hoewel een duidelijk normenkader zonder meer nuttig is, is het aan de onafhankelijke toezichthouder om te bepalen op welke wijze daaraan vorm en inhoud gegeven wordt. Ook de keuze tot het (anoniem) publiceren van de klachten en het resultaat is aan de toezichthouder zelf.
Zoals ook in de reactie van het kabinet op het evaluatieonderzoek van de UAVG is opgenomen zal wel onderzocht worden of het wenselijk is om een verplichting in de UAVG op te nemen tot het openbaar maken van boetebesluiten jegens bestuursorganen.26 Ook de AP heeft in de eerdergenoemde brief van 23 januari 2023 gepleit voor een plicht tot openbaarmaking van door de AP opgelegde sancties.
31. In de memorie van toelichting lezen de leden van de fractie van GroenLinks dat gezien de mogelijkheden van artikel 3:305a BW sinds de invoering van de Wet afwikkeling massaschade in collectieve actie (WAMCA), de regering onvoldoende aanleiding ziet om het mogelijk te maken voor maatschappelijke organisaties om zonder opdracht van betrokkenen klachten in te dienen bij de Autoriteit Persoonsgegevens, ondanks dat de AVG hier via art. 80, tweede lid de mogelijkheid toe biedt. Deze leden zien echter ook naast artikel 3:305a BW nut voor een collectief klachtrecht. Zoals de AP ook zelf aangeeft, kan van maatschappelijke organisaties verwacht worden dat zij goed onderbouwde klachten over breed spelende problematiek kunnen indienen. Draagt een collectief klachtrecht zo niet bij aan een effectieve én efficiënte handhaving van de AVG? Kan de regering nader ingaan op waarom de bestaande regeling voor collectieve vorderingen als voldoende middel worden beschouwd voor de bijdrage van maatschappelijke organisaties aan de handhaving van de AVG?
Zie voor het antwoord op deze vragen van de leden van de GroenLinks-fractie het antwoord op vraag 27 van de leden van de D66-fractie, waarin wordt toegelicht dat er op dit moment voldoende mogelijkheden voor collectief actierecht bestaan.
32. Verder zien de leden van de GroenLinks-fractie dat de AP in haar consultatiereactie stelt dat de werking van art. 42 UAVG momenteel te breed is, en dat deze beperkt zou moeten worden tot de financiële ondernemingen waar daadwerkelijk een risico op bankrun bestaat. In reactie hierop schrijft de regering in de memorie van toelichting: «reeds lang onder de Wft bestaande praktijk [is] dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouders, maar niet aan betrokkene. Dit is niet alleen bij banken te risicovol om dwingend te worden voorgeschreven». Waarom is de regering van mening dat dit te risicovol is om dwingend voor te schrijven? Uit welke concrete aanwijzingen blijkt dat het nodig is om zo een grote groep geheel uit te zonderen van deze meldplicht?
Naar aanleiding van de consultatiereactie van de AP over de werking en reikwijdte van artikel 42 UAVG heeft de Minister van Financiën samen met De Nederlandsche Bank (DNB) een eerste verkenning uitgevoerd naar de mogelijkheden om de reikwijdte van artikel 42 UAVG te beperken. Daaruit is een divers beeld naar voren gekomen dat verder onderzocht dient te worden. Dit punt kan worden meegenomen in een volgend wetsvoorstel ter wijziging van de UAVG.
33. De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat artikel 80 lid 1 van de AVG niet de mogelijkheid biedt aan maatschappelijke organisaties om zonder een opdracht van een betrokkenen een klacht in te dienen. Daarnaast nemen zij kennis van het advies van de AP en de Consumentenbond om de maatschappelijke organisaties wel de mogelijkheid te bieden om een klacht zonder opdracht van een betrokkenen via het bestuursrecht in te dienen. Deze leden achten het wenselijk dat rechten van burgers zowel via het privaatrecht als het bestuursrecht gewaarborgd kunnen worden. Kan de regering aangeven waarom dit advies niet is overgenomen?
Zie hiervoor het antwoord op de eerdere vraag 27 van D66 over dit onderwerp, waarin aangegeven wordt dat er op dit moment voldoende mogelijkheden tot collectief actierecht bestaan.
Overige consultatiereacties
34. De leden van de Volt-fractie constateren dat in de reactie op het advies van de Raad van State de regering schrijft dat het begrip «zwaarwegend algemeen belang» een relatief begrip is. Dat is logisch. Afhankelijk van de specifieke context moet worden bepaald of in dat specifieke geval sprake is van een zwaarwegend algemeen belang. Voor zover de regering van mening is dat zij dit begrip niet nader in de wet kan toelichten, is zij bereid om indicatoren en een wegingskader op te stellen waarmee in de uitvoering kan worden getoetst of in dat concrete geval sprake is van een zwaarwegend belang (dat wil zeggen: een algemeen belang dat in die specifieke situatie zodanig is dat het zwaarder weegt dan het belang van de bescherming tegen inbreuk op de persoonlijke levenssfeer door het gebruik van bijzondere categorieën van persoonsgegevens)
Het advies van de Raad van State gaat over zwaarwegend algemeen belang in het kader van de verwerking van bijzondere persoonsgegevens. In artikel 9 van de AVG is bepaald dat dit verboden is, tenzij er sprake is van een uitzonderingsgrond. Zo’n uitzonderingsgrond is onder meer dat de verwerking noodzakelijk is in het kader van een zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht. Dat betekent dat deze uitzonderingsgrond alleen kan worden ingeroepen als daarvoor een wettelijke grondslag bestaat en daarbij dit belang is afgewogen. Het gaat hier immers om de verwerking van bijzondere persoonsgegevens en dus is er sprake van een meer dan geringe inbreuk op de persoonlijke levenssfeer. In zulke gevallen dient op grond van artikel 10 van de Grondwet bij of krachtens wet in formele zin te zijn bepaald dat bijzondere persoonsgegevens mogen worden verwerkt. Bij het opstellen van een dergelijke wettelijke regeling zal dus aandacht moeten worden besteed aan de vraag of sprake is van een zwaarwegend algemeen belang. In welke precieze gevallen een verwerkingsverantwoordelijke gebruik kan maken van de uitzondering «zwaarwegend algemeen belang», is niet in zijn algemeenheid te beantwoorden. Het zal moeten worden aangetoond dat een belang inderdaad een zwaarwegend algemeen belang is, en dat er geen andere manier is om het beoogde doel te bereiken dan door middel van de verwerking van bijzondere persoonsgegevens. In het geval er wettelijk wordt voorgeschreven dat alsnog per geval een afweging moet worden gemaakt, dan is dit zodanig afhankelijk van de specifieke omstandigheden van het geval, dat het niet mogelijk is gebleken daartoe een algemeen geldend wegingskader op te stellen.
35. In hoeverre heeft de regering de opinies van de EDPB (voormalig WP29) betrokken bij het opstellen van de wettekst?
Bij het opstellen van de wetstekst zijn diverse bronnen en normuitleg betrokken. Het gaat daarbij niet alleen om opinies van de EDPB, maar ook om normuitleg van de AP, rechterlijke uitspraken en adviezen van diverse instanties.
Artikel I. Uitvoeringswet Algemene verordening gegevensbescherming
Onderdeel D
36. De leden van de D66-fractie lezen dat er wordt voorgesteld dat minderjarigen die de leeftijd van twaalf jaar hebben bereikt voortaan zelf hun toestemming kunnen intrekken voor het verwerken van persoonsgegevens. De toelichting vermeldt dat het aan de verwerkingsverantwoordelijke is om hier zorgvuldig mee om te gaan en een goede belangenafweging te maken, waarbij de wens van de minderjarige om geen toestemming te verlenen zwaar meeweegt. Kan de regering toelichten waar deze gevraagde zorgvuldigheid bij minderjarigen concreet uit bestaat en wat het verschil is ten opzichte van meerderjarigen?
Als de minderjarige van twaalf jaar of ouder de toestemming intrekt, dan geldt dit als volledige intrekking. In dat geval bestaat er geen grondslag meer voor het verwerken van persoonsgegevens van die minderjarige betrokkene. Het kan echter zijn dat de wettelijk vertegenwoordiger op grond van het eerste lid van artikel 5 wederom toestemming verleent. Dan ontstaat de situatie dat de minderjarige zelf niet wil dat zijn persoonsgegevens worden verwerkt, maar de wettelijke vertegenwoordiger wel. Er is dan een verwerkingsgrondslag, totdat de toestemming weer wordt ingetrokken. De vraag is of de verwerkingsverantwoordelijke in dat geval de persoonsgegevens zou moeten willen verwerken. In deze situatie dient de verwerkingsverantwoordelijke een zorgvuldige belangenafweging te maken. Ik kies er niet voor om dit nader wettelijk in te kaderen. Het hangt immers van de specifieke situatie af. Zo lijkt het bijvoorbeeld niet zorgvuldig als bijvoorbeeld een school tegen de uitdrukkelijke wil van een minderjarige toch beeldmateriaal van de minderjarige op de website plaatst. Bij toestemming om gegevens door te geven aan een hulpverleningsinstelling kan, in het belang van het kind, een andere afweging gemaakt worden en kan gebruik gemaakt worden van de formele toestemming van de wettelijk vertegenwoordiger. Indien de minderjarige dit echt niet wil, lijkt het voor de hand te liggen met elkaar het gesprek aan te gaan en op die wijze de nodige zorgvuldigheid in acht te nemen. Het kan om uiteenlopende situaties gaan, waarbij er een verschil van mening is tussen de minderjarige en diens wettelijk vertegenwoordiger. Deze verhouding moet niet verder gejuridificeerd worden.
37. In hoeverre geeft dit ook aanleiding voor een bredere inzet op het gebied van de verwerking van persoonsgegevens van minderjarigen, bijvoorbeeld door techbedrijven en/of sociale media platforms? In hoeverre heeft de regering instrumenten om daar op te sturen?
Dit wetsvoorstel beoogt niet een bredere inzet op het gebied van verwerking van persoonsgegevens van minderjarigen door techbedrijven te bewerkstelligen. Dit vraagstuk is zeker van belang, maar dit voorstel introduceert slechts een mogelijkheid voor het intrekken van toestemming door de minderjarige zelf. Zie ook het antwoord op vraag 41 van de leden van de Christenuniefractie.
38. De leden van de CDA-fractie lezen dat door de regering minderjarigen tussen 12 en 16 jaar in staat worden geacht om zelfstandig de toestemming in te kunnen en mogen trekken om persoonsgegevens te verwerken. Deze leden vragen aan de regering of zij een aantal voorbeelden kan geven van gevallen waarin een minderjarige tussen 12 en 16 jaar zou besluiten om deze beslissing te nemen. Zij vragen daarnaast welke urgentie is gebleken om tot de aanpassing van dit artikel te komen en dus de beslissing tot toestemming ook te beleggen bij minderjarigen tussen de 12 en 16 jaar zonder dat de minderjarige afhankelijk is van de wettelijke vertegenwoordiger.
De leden vragen of de regering ook hier concrete voorbeelden van kan geven.
In het antwoord op de vorige vragen van de leden van de D66-fractie zijn al enkele voorbeelden genoemd. Er zijn nog meer situaties denkbaar, bijvoorbeeld het gebruik van persoonsgegevens van kinderen bij enquêtes, bij websites of apps. De aanpassing van dit artikel is niet zozeer ingegeven door een veelheid aan concrete situaties waarin minderjarigen vragen om dit middel. Het is vooral een principiële keuze om meer invloed en zeggenschap te geven aan minderjarigen ouder dan twaalf jaar. Uit het in de memorie van toelichting genoemde onderzoeksrapport van het WODC blijkt dat jongeren van deze leeftijd prima in staat zijn deze keuze te maken en ook behoefte hebben aan meer zeggenschap.27 Dit geldt zeker als het om hun privacy gaat. Het recht op privacy van een minderjarig kind wordt onder meer beschermd door artikel 16 van het Internationaal verdrag inzake de rechten van het kind. Het belang van bescherming tegen inmenging in (digitale) correspondentie, zeker bij oudere kinderen, wordt door het VN Kinderrechtencomité, UNICEF en andere mensenrechtenorganisaties benadrukt.
39. Door de wijze van formuleren lijkt het erop dat het uitgangspunt is dat de betrokkene van 12 jaar en ouder, maar jonger dan 16 jaar, de rechten van de betrokkene kan uitoefenen en dat het daarnaast mogelijk is dat de wettelijk vertegenwoordiger deze uitoefent. De leden van de CDA-fractie vragen of dit betekent dat bij conflicterende verzoeken van de betrokkene en van de wettelijk vertegenwoordiger, die van de betrokkene voor gaat. Deze leden vragen voorts of de betrokkene bijvoorbeeld mag aangeven dat zij niet wenst dat de wettelijk vertegenwoordiger inzage in haar persoonsgegevens heeft. Zij begrijpen niet goed waarom de wetgever op deze wijze de wet gebruikt om spanning te creëren tussen betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers. Kan de regering aangeven voor welk probleem dit een oplossing is? En hoeveel concrete gevallen zijn er waarin er spanning bestaat tussen de wensen van betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers?
In hoeveel andere EU-lidstaten is de leeftijd op deze 12 jaar gesteld?
Het is correct dat, naast de wettelijk vertegenwoordiger, ook de betrokkene tussen de twaalf en zestien jaar de rechten van betrokkene mag uitoefenen. Hierbij gaat het onder meer om het recht van inzage en rectificatie. Deze regeling wordt ingevoerd om tegemoet te komen aan de behoefte van jongeren om meer zeggenschap over hun eigen persoonsgegevens te hebben en aan de wens te komen tot meer bescherming van persoonsgegevens van jongeren. Het wetsvoorstel biedt dus de mogelijkheid aan jongeren om zelfstandig te handelen. Het is de verantwoordelijkheid van de wettelijk vertegenwoordiger, doorgaans de ouder, om de jongere hierin te begeleiden. Er is daarom niet voor gekozen om de gezinsverhoudingen verder te juridificeren door de wens van één van beide partijen de doorslag te laten geven. Er ligt hier daarom een taak en verantwoordelijkheid bij de wettelijk vertegenwoordiger om in bepaalde gevallen het belang van de minderjarige tussen 12 en 16 te laten prevaleren ten opzichte van zijn eigen belang. Bij een aanhoudend verschil van inzicht tussen de wettelijk vertegenwoordiger en de minderjarige heeft ook de verwerkingsverantwoordelijke hierin een verantwoordelijkheid. Vergelijk in dit kader de regeling die bestaat in de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Ook daarin zal de hulpverlener soms een afweging in belangen moeten maken tussen de minderjarige en zijn wettelijk vertegenwoordiger.
Het is niet mogelijk om aan te geven in hoeveel concrete gevallen de wensen van de minderjarige en diens wettelijk vertegenwoordiger uiteenlopen, omdat dit niet wordt bijgehouden. De voorgestelde regeling is ook ingegeven vanwege meer principiële redenen en onderzoek waaruit in algemene zin blijkt dat jongeren ouder dan twaalf jaar vaak goed in staat zijn om hun belangen te behartigen en behoefte hebben aan meer zeggenschap en grip op de verwerking van hun eigen persoonsgegevens. Er is niet onderzocht in hoeveel andere EU-lidstaten de grens op twaalf jaar is gesteld. Deze grens sluit goed aan bij andere Nederlandse wetgeving, waar in vergelijkbare situaties vaker de leeftijdsgrens van twaalf jaar wordt gehanteerd.28
Een hiermee samenhangend punt is het volgende. Op 19 december 2023 is een arrest gewezen door het Hof Arnhem-Leeuwarden, waaruit blijkt dat er een omissie in de UAVG bestaat ten aanzien van de mogelijkheid voor minderjarigen die de leeftijd van zestien jaren hebben bereikt om zelfstandig te kunnen procederen voor de civiele rechter, terwijl zij dit bestuursrechtelijk wel kunnen.29 Bij nota van wijziging wordt deze lacune hersteld.
40. De leden van de CDA-fractie hebben begrepen dat de AP wordt aangewezen als nationaal controleorgaan als bedoeld in de Verordening (EU) 2016/794 van het Europees parlement en de Raad van 11 mei 2016. Deze leden hebben begrepen dat het hier om de zogenaamde Europol-zaken gaat en vragen of dit klopt. En zo ja, dan vragen deze leden of dit betekent dat het toezicht op politiegegevens door de AP wordt uitgevoerd op de AVG in plaats van de Wet politiegegevens (Wpg). En hoe verhoudt zich dit met artikel 35 lid 1 van de Wpg waarin staat dat de AVG niet van toepassing is op «de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen met inbegrip van de bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens»? Zij vragen of de AP niet als controleorgaan dient te worden opgenomen in de Wpg.
Deze vraag van de leden van de CDA-fractie lijkt te zijn gebaseerd op de internetconsultatieversie van het wetsvoorstel. In artikel XI onder B van het bij de Tweede Kamer ingediende wetsvoorstel wordt de aanwijzing van de AP als toezichthouder voor Europolzaken opgenomen in artikel 35, tweede lid van de Wet politiegegevens.
41. De leden van de ChristenUnie-fractie vragen naar de handhaving van het toestemmingsvereiste voor het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar. Deze leden denken hierbij onder meer aan het verlenen van toestemming voor gebruik van sociale media. Betekent het voorliggende voorstel dat er ook strengere eisen kunnen worden gesteld aan platforms om te controleren dat een gebruiker daadwerkelijk toestemming heeft en dat er wordt gecontroleerd of een gebruiker daadwerkelijk ouder is dan zestien jaar?
Dit wetsvoorstel brengt geen verandering aan ten aanzien van het verlenen van toestemming ten opzichte van de huidige regeling. Het blijft zo dat alleen de wettelijk vertegenwoordiger toestemming kan verlenen, indien de betrokkene jonger is dan zestien jaar, ook voor het gebruik van sociale media. Platforms dienen zich dus nu al aan deze regel te houden en voldoende inspanning te verrichten om dit te controleren. Dit artikel ziet niet op de vraag of dat gebeurt en of dit voldoende gehandhaafd wordt en ook kan worden.
42. De leden van de ChristenUnie-fractie merken op dat in het coalitieakkoord staat dat kinderen het recht krijgen om niet gevolgd te worden en dat zij geen dataprofielen zullen krijgen. Deze leden vragen of dit in voorliggend voorstel reeds afdoende wordt geborgd. Indien dit in de ogen van de regering nog niet het geval is, vragen zij de regering aan te geven wanneer wel tot deze borging zal worden overgegaan.
Dit wetsvoorstel ziet niet op dit vraagstuk. Het regelt slechts de wijze van het verlenen van toestemming. In de Digitaledienstenverordening is in artikel 28 een verbod van reclame opgenomen op basis van profilering.30 Aanbieders van online platforms mogen geen reclame tonen op hun interface op basis van profilering zoals gedefinieerd in artikel 4, vierde lid van de AVG, met gebruikmaking van persoonsgegevens van de afnemer van de dienst wanneer zij zich er met redelijke zekerheid van bewust zijn dat de afnemer van de dienst minderjarig is.31
43. De leden van de ChristenUnie-fractie hebben kennisgenomen van het plan om de leeftijdsgrens te veranderen naar 12 jaar voor het intrekken van de toestemming van de wettelijke vertegenwoordiger. Deze leden vernemen daarnaast de adviezen van de Raad van de Rechtspraak, de VNO-NCW en de politie om hierbij te waken voor het belanden in een vicieuze cirkel. Zij vernemen ook het advies van de regering om de relatie tussen kind en wettelijke vertegenwoordiger niet verder te juridiseren. Toch vragen de leden van de ChristenUnie-fractie of de regering over deze gang van zaken meer verduidelijking kan geven in de memorie van toelichting.
In het antwoord op de vragen 36 en 38 van de leden van de D66 en CDA-fractie wordt ingegaan op deze vragen van de ChristenUnie-fractie. Aanvullend kan hieraan wordt toegevoegd dat er geen advies van de regering is over dit onderwerp. Er is juist de keuze gemaakt om de verhouding tussen de wettelijk vertegenwoordiger en de jongere niet verder te juridificeren en die keuze is toegelicht in de memorie van toelichting en in antwoord op de eerdere vragen. Mocht er overeenstemming blijven ontbreken, dan dient de oplossing te worden gevonden in goed overleg binnen de omgeving van de betrokkene en diens wettelijk vertegenwoordigers, in plaats van in regelgeving.
Onderdeel G
44. De leden van de CDA-fractie vragen of het klopt dat er geen (maximale) boete voor het overtreden van de toe te voegen artikel(en) 10 van de AVG en 31 van de UAVG is vastgesteld. Deze leden vragen of het niet verstandig is om duidelijk te maken wat de maximale boetes kunnen zijn bij het overtreden van de toegevoegde feiten uit de genoemde artikelen.
In het wetsvoorstel zoals dat in consultatie is gegaan, was een wijziging opgenomen van artikel 18 UAVG, waarin de mogelijkheid werd geregeld om ook aan overheden een boete te kunnen opleggen voor het maken van een inbreuk op artikel 10 AVG of artikel 31 UAVG. Zoals in de memorie van toelichting bij het ingediende wetsvoorstel is opgenomen, heeft naar aanleiding van reacties van de Politie en de Vereniging Nederlandse Gemeenten (VNG) een nadere beoordeling plaatsgevonden en is gebleken dat deze toevoeging niet noodzakelijk is, omdat er op grond van artikel 17 UAVG reeds een boete kan worden opgelegd voor het maken van een inbreuk door overheden op artikel 10 AVG of artikel 31 UAVG. Deze boete is gesteld op maximaal 20 miljoen euro of voor een onderneming op ten hoogste 4% van de totale wereldwijde jaaromzet.
Onderdeel I
45. De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 23a UAVG, waarin een uitzondering wordt opgenomen op het verbod om bijzondere categorieën persoonsgegevens te verwerken. De uitzondering uit dit voorgestelde artikel geldt voor verplichte accountantsopdrachten. Bijzondere categorieën persoonsgegevens zijn: «persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid». Zou de regering kunnen toelichten wanneer het in het kader van een verplichte accountantscontrole noodzakelijk zou zijn om deze bijzondere categorieën persoonsgegevens te verwerken?
De verplichte accountantsopdrachten hebben tot doel dat de controlerende accountant een gevalideerde uitspraak kan doen over het getrouwe beeld, het rechtmatig handelen of het voldaan hebben aan bepaalde wet- en regelgeving. In een aantal gevallen bestaat de noodzaak van verwerking van bijzondere categorieën van persoonsgegevens. Er kan in dit verband worden gedacht aan controleverklaringen bij zorgaanbieders en regelingen voor het (speciaal) onderwijs of voor nieuwkomers. De accountant kan anders geen gevalideerde uitspraak doen en moet zich dan van een oordeel onthouden of een oordeel onder beperkingen afgeven. Het doel van de verplichte accountantsopdracht wordt dan niet behaald. De accountants zullen de verwerking van bijzondere categorieën van persoonsgegevens (veelal) beperken tot casusposities die zij op basis van door hen getrokken steekproeven hebben geselecteerd. Die zijn representatief voor het geheel aan casussen voor de accountantsopdrachten. De accountants trekken op basis van hun bevindingen bij de geselecteerde casusposities conclusies over het geheel. De accountants kunnen indien zij de noodzakelijke bijzondere categorieën van persoonsgegevens niet mogen verwerken het gevraagde oordeel niet geven en de verplichte accountantsopdracht niet (goed) uitvoeren.
46. In de toelichting staat als voorbeeld genoemd dat bijvoorbeeld gezondheidsgegevens aan de orde kunnen zijn bij controleverklaringen bij zorginstellingen. De leden van de D66-fractie vragen of de regering kan aangeven waarom en wanneer deze gezondheidsgegevens relevant kunnen zijn bij de taak die een accountant dient uit te voeren (los van de vraag of deze gegevens gepseudonimiseerd zijn).
De zorgaanbieders moeten op grond van artikel 40b van de Wet marktordening gezondheidszorg een jaarverantwoording openbaar maken. Dat artikel regelt in combinatie met de daarop berustende Regeling jaarverantwoording WMG een verplichte accountantsopdracht bestaande uit het doen van onderzoek naar onder andere het getrouwe beeld van de jaarverantwoording. De accountant kan zonder verwerking van gegevens over gezondheid geen gevalideerde uitspraak doen over het getrouwe beeld van de jaarverantwoording. Er wordt voor een nadere toelichting verwezen naar het antwoord op de vorige vraag van de leden van de D66-fractie.
47. In artikel 29 staat opgenomen dat voor het gebruik van biometrische gegevens een dubbele noodzakelijkheidstoets wordt ingevoerd. De leden van de D66-fractie zien dit als een goede stap. Wel moet er duidelijkheid worden verschaft over wat er onder «een zwaarwegend algemeen belang» wordt verstaan en wat daarbuiten valt. Kan de regering verder toelichten wanneer het gebruik van deze gegevens noodzakelijk is voor beveiliging en wanneer niet?
Uit artikel 29 volgt dat per geval een dubbele noodzakelijkheidstoets moet worden aangelegd; de verwerking van biometrische gegevens moet noodzakelijk zijn om redenen van zwaarwegend algemeen belang én voor authenticatie- of beveiligingsdoeleinden. In de toelichting bij dit artikel zijn voorbeelden opgenomen van situaties waarin deze bepaling kan worden ingeroepen. Dit is gedaan om meer duidelijkheid te creëren dan de voorbeelden in de memorie van toelichting bij de UAVG. Wanneer het gebruik van deze gegevens noodzakelijk is voor beveiliging en wanneer niet, zal aan de hand van deze voorbeelden, de rechtspraak en de normuitleg van de AP per geval moeten worden onderbouwd en beoordeeld.
48. Wat betreft artikel 23a delen de leden van de D66-fractie de overtuiging van de AP dat deze specifieke bepalingen mogelijk geen plek hebben in overkoepelende wetgeving als deze.
Kan de regering een inschatting geven van de regeldruk om dit soort wetgeving uitsluitend in sectorale wetgeving vast te leggen?
De bestaande formele wetten voor de accountantssector lenen zich niet voor de regeling van de verwerking van bijzondere categorieën van persoonsgegevens voor de verplichte accountantsopdrachten. De Wet op het accountantsberoep (Wab) regelt aangelegenheden met betrekking tot de Nederlandse Beroepsorganisatie van Accountants (NBA), het accountantsregister, het tuchtrecht en de beroepsopleiding. De Wet toezicht accountantsorganisaties (Wta) regelt de vergunning van de Stichting Autoriteit Financiële Markten (AFM) voor accountantsorganisaties, haar openbare register voor vergunninghouders, verplichtingen voor vergunninghouders en het toezicht op de naleving en de handhaving door de AFM.
De verplichte accountantsopdrachten zijn verspreid over een groot aantal sectorspecifieke wettelijke voorschriften. Het gaat niet alleen om formele wetten maar ook om algemene maatregelen van bestuur, ministeriële regelingen en verordeningen van decentrale overheden en om verordeningen van instellingen van de Europese Unie. Het is niet alleen vanuit praktisch oogpunt maar ook vanuit juridisch oogpunt ongewenst dat elke materiële wetgever een eigen afweging maakt over de mogelijkheid tot en de inhoud van de verwerking van bijzondere categorieën van persoonsgegevens. De verwerking van bijzondere categorieën van persoonsgegevens vraagt gezien het ingrijpende karakter daarvan om een uniforme, inhoudelijke regeling op het niveau van de formele wet. Een regeling verspreid over de betrokken diverse sectorspecifieke formele wetten zou voor wat betreft de materiële inhoud neerkomen op herhaling van de regeling in het voorgestelde artikel 23a UAVG. Eenzelfde inhoudelijke regeling verspreid over talloze formele wetten in plaats van de uniforme regeling in de UAVG leidt tot onnodige regeldruk.
49. Dit artikel regelt dat het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing is wanneer de verwerking noodzakelijk is voor een door een accountant te verrichten wettelijk voorgeschreven controle. Gemeenten hebben bij de leden van de CDA-fractie aangegeven dat dit praktische vragen oproept, bijvoorbeeld voor overeenkomsten tussen gemeenten en zorgverleners.
Deze leden vragen of in de wettelijke voorschriften per voorgeschreven controle aangegeven wordt welke bijzondere categorieën van persoonsgegevens noodzakelijk zijn.
Deze leden vragen of het vaststellen van deze categorieën en de noodzakelijkheid een afweging voor de verstrekker is. Of zal een ander orgaan hier nadere invulling aangeven?
Wie bepaalt de noodzakelijkheid: de zorgverlener, de opdrachtgever of de accountant? En wie van deze partijen is verantwoordelijk voor pseudonimisering van de persoonsgegevens? En in hoeverre wordt hiervoor gewerkt met een Trusted Third Party? De leden van deze fractie vragen of de regering op deze onderdelen meer duidelijkheid wil verschaffen.
De UAVG vormt een uitwerking van de AVG. De toepassing van de UAVG kan dan ook alleen in combinatie met de AVG plaatsvinden. Op grond van artikel 5, eerste lid, onderdeel c, AVG, dient de verwerking van persoonsgegevens beperkt te blijven tot wat noodzakelijk is voor de verwerkingsdoeleinden. Uit de materiële inhoud van het desbetreffende wettelijke voorschrift vloeit voort welke categorieën van bijzondere persoonsgegevens bij de betrokken verplichte accountantsopdracht, gezien de vereiste noodzakelijkheid, wel en niet voor verwerking in aanmerking komen.
De accountant bepaalt de noodzakelijkheid van de te verwerken persoonsgegevens voor de uitvoering van de verplichte accountantsopdracht. De accountant kan vanzelfsprekend de verstrekking van de noodzakelijke persoonsgegevens niet afdwingen. Hij zal zonder de noodzakelijke persoonsgegevens de opdracht niet goed kunnen uitvoeren, hetgeen consequenties heeft voor de opdrachtgever. Het gevolg van het niet goed kunnen uitvoeren van de opdracht, is bijvoorbeeld dat hij zich van een oordeel moet onthouden of een oordeel onder beperkingen moet afgeven. De opdrachtgever van de accountant, is verantwoordelijk voor de vereiste pseudonimisering van persoonsgegevens waarop het medisch beroepsgeheim rust. Die opdrachtgever is degene op wie de wettelijke verplichting tot het laten uitvoeren van de accountantsopdracht rust. De opdrachtgever van de accountant moet de pseudonimisering (laten) uitvoeren. Hij hoeft daarvoor geen Trusted Third Party (TTP) in te schakelen, er zijn ook andere ondernemingen beschikbaar die de pseudonimisering kunnen uitvoeren.
50. De leden van de CDA-fractie lezen dat pseudonimisering inhoudt dat de persoonsgegevens niet meer door de accountant aan een specifieke betrokkene gekoppeld kunnen worden zonder het gebruik van aanvullende gegevens en dat de accountant niet over deze gegevens beschikt.
Deze leden vragen of dit in lijn is met de richtlijnen van Europese toezichthouders ten aanzien van het begrip «anonieme gegevens». Zij vragen bovendien waarom een verwerkingsgrondslag nodig is als de accountant louter toegang heeft tot anonieme gegevens. De leden vragen of de regering dit punt wil verhelderen in de toelichting.
De begrippen «anonimiseren» en «pseudonimiseren» zijn, net als andere begrippen uit de AVG, autonome Europeesrechtelijke begrippen die slechts op Europees niveau kunnen worden uitgelegd. Het is dus niet aan een lidstaat om deze criteria te verduidelijken of nader in te vullen. Er is op 26 april 2023 een arrest gewezen door het gerecht (in eerste aanleg) van het Hof van de Europese Unie, waarin het Hof (in overweging 104 e.v.) oordeelt dat de verstrekker van niet direct identificeerbare gegevens dient te onderzoeken of de ontvanger over wettelijke en in de praktijk uitvoerbare middelen beschikt om toegang te krijgen tot de aanvullende informatie die nodig is om de gegevens wel te identificeren.32 Alleen als dat het geval is kunnen deze gegevens als persoonsgegevens in de zin van de AVG worden beschouwd. De EDPB werkt overigens ook aan nieuwe richtlijnen over dit onderwerp.
51. De leden van de fractie van GroenLinks onderschrijven het voorstel om de gegevensbescherming bij de krijgsmacht meer algemeen te regelen. Wel roept het mogelijk maken van ad hoc besluiten naast een algemene regeling vragen op. In de memorie van toelichting wordt benadrukt dat er op deze manier meer maatwerk per missie geleverd kan worden.
Deze leden vragen wel wat voor uitzonderingen de regering verwacht te moeten (kunnen) maken per missie en waarom dat niet kan worden verwerkt in een algemene regeling. Daarnaast vragen zij wat de afweging was om te kiezen voor een ministeriële regeling in plaats van een algemene maatregel van bestuur.
In antwoord op de vraag van de fractie van GroenLinks bevestig ik dat uitgangspunt moet zijn dat de uitzonderingen in de algemene regeling staan en dat hiernaast in beginsel niet dan wel bij hoge uitzondering een ad hoc besluit tot stand wordt gebracht. Dat is dan juist voor een situatie die niet voorzienbaar is. De gevallen die voorzienbaar zijn, kunnen in de algemene regeling worden opgenomen. Het valt echter niet uit te sluiten dat voor een bepaalde missie nog een aanvullende uitzondering moet worden gemaakt. Vanuit de gedachte dat de totstandbrenging van een ad hoc-besluit dan naar verwachting sneller is gerealiseerd en meer maatwerk biedt dan aanpassing van de algemene regeling, is er voor gekozen de uitzonderingsmogelijkheid bij ad hoc besluit te handhaven.
Met betrekking tot de keuze voor een ministeriële regeling kan worden opgemerkt dat dit een bestendiging betreft van de bestaande situatie. Zoals ook in de memorie van toelichting bij de UAVG is verwoord, laten de omstandigheden waarin de krijgsmacht in militaire operaties soms moet functioneren niet toe dat de bepalingen van de (U)AVG onverkort worden toegepast en werd het door de wetgever wenselijk geacht om de Minister van Defensie de bevoegdheid te geven om op de (U)AVG een uitzondering te maken als er sprake is van daadwerkelijke operationele inzet van de krijgsmacht. De mogelijkheid voor de Minister van Defensie om in het geval van militaire operaties af te wijken van de reguliere wettelijke privacybepalingen bestaat in de kern al sinds de inwerkingtreding van de Wet bescherming persoonsgegevens uit 2002 en de AVG laat dit ook toe.
52. Ter nadere invulling van de wettelijke regeling van de benoemingsvereisten van de Autoriteit Persoonsgegevens wordt voorgesteld om dit bij gedelegeerde wetgeving vast te stellen. De leden van de fractie van GroenLinks vragen of er naast de reeds in de memorie van toelichting genoemde voorbeelden zoals ervaring, opleiding en achtergrond, nog andere benoemingsvereisten zijn die het kabinet overweegt in te stellen voor leden van de AP. Deze leden vragen verder hoe gangbaar het is in Nederland bij andere onafhankelijke autoriteiten, en in andere lidstaten bij hun gegevensbeschermingsautoriteiten, om dergelijke kwalificatievereisten bij gedelegeerde regelgeving vast te stellen.
Het is nog niet duidelijk welke specifieke benoemingsvereisten in de regeling zullen worden opgenomen. Vooralsnog wordt gedacht aan de in de memorie van toelichting opgenomen eisen. Het is niet bekend of in andere lidstaten ook kwalificatievereisten bij gedelegeerde regelgeving zijn vastgesteld. In België zijn de benoemingsvereisten opgenomen in de Wet tot oprichting van de Gegevensbeschermingsautoriteit.33 De vereisten voor de voorzitter zijn opgenomen in de UAVG zelf.
53. Het wetsvoorstel houdt enkele uitzonderingen op het verwerken van bijzondere gegevens in voor accountants, met een beroep op redenen van zwaarwegend algemeen belang. Uiteraard erkennen de leden van de fractie van GroenLinks het algemene belang van de wettelijk verplichtte accountantscontroles, maar voor het verwerken van bijzondere persoonsgegevens op grond van artikel 9, tweede lid, sub g AVG is een zwaarwegend algemeen belang vereist. Net zoals de Raad van State vragen deze leden of er in zo een algemene zin gesteld kan worden dat er sprake is van redenen van zwaarwegend algemeen belang, voor alle wettelijk verplichte accountantscontroles en voor alle categorieën bijzondere persoonsgegevens.
De verplichte accountantsopdrachten dienen een grote variëteit aan belangen in het maatschappelijk verkeer die zich ook uitstrekt tot andere gebruikers dan enkel de opdrachtgever. De accountants vervullen met de verplichte accountantsopdrachten een taak van zodanig groot algemeen belang dat de wetgever heeft verzekerd dat die taak ook wordt uitgevoerd. De wetgever stelt een accountantsopdracht niet lichtvaardig verplicht gezien de met de opdracht gemoeide kosten en andere regeldrukgevolgen. De accountant moet indien de wetgever de keuze voor verplichtstelling heeft gemaakt, de desbetreffende opdracht ook goed kunnen uitvoeren. Het voorgestelde artikel 23a AVG bewerkstelligt dat. De uitvoering van een verplichte accountantsopdracht vergt een gecombineerde toepassing van het wettelijk voorschrift voor de verplichtstelling, het voorgestelde artikel 23a UAVG en de AVG. De verwerkingen voor bij wettelijk voorschrift verplichte accountantsopdrachten zijn dan ook noodzakelijk om redenen van zwaarwegend algemeen belang. De vrijwillige accountantsopdrachten vormen daarentegen geen redenen van zwaarwegend algemeen belang.
54. Is het niet denkbaar dat met het voorgestelde artikel 23a UAVG er schijnzekerheid wordt geboden, omdat bij gebrek aan een zwaarwegend algemeen belang in een concreet geval, de verwerking alsnog in strijd met de AVG kan zijn?
De leden van de fractie van GroenLinks merken terecht op dat het voorgestelde artikel 23a UVAG moet passen binnen de reikwijdte van artikel 9, tweede lid, onderdeel g, AVG, om werking te kunnen hebben. In het antwoord op de vorige vraag van de leden van de fractie van GroenLinks is uiteengezet dat verwerking voor een accountantsopdracht waarvan de wetgever via verplichtstelling zeker wil stellen dat die wordt uitgevoerd, noodzakelijk is om redenen van zwaarwegend algemeen belang.
55. Waarom is er niet voor gekozen om per wettelijke verplichting tot het laten doen van een accountantscontrole, aan te geven welke bijzondere gegevens verwerkt mogen worden? In een dergelijke constructie is het ook mogelijk om per geval de vereiste passende en specifieke maatregelen vast te stellen die nodig zijn om de verwerking van de bijzondere persoonsgegevens rechtmatig te laten zijn in het licht van artikel 9, tweede lid, sub g AVG.
De verplichte accountantsopdrachten zijn verspreid over een groot aantal sectorspecifieke wettelijke voorschriften. Het gaat niet alleen om formele wetten maar ook om algemene maatregelen van bestuur, ministeriële regelingen en verordeningen van decentrale overheden en om verordeningen van instellingen van de Europese Unie. Het is niet alleen vanuit praktisch oogpunt maar ook vanuit juridisch oogpunt ongewenst dat elke materiële wetgever een eigen afweging maakt over de mogelijkheid tot en de inhoud van de verwerking van bijzondere categorieën van persoonsgegevens. De verwerking van bijzondere categorieën van persoonsgegevens vraagt gezien het ingrijpende karakter daarvan om een uniforme, inhoudelijke regeling op het niveau van formele wet.
56. De leden van de fractie van GroenLinks vragen zich ook af of deze uitzonderingen niet te breed zijn. Is het überhaupt nodig voor accountants om alle categorieën bijzondere persoonsgegevens te verwerken?
De accountants mogen voor de uitvoering van een verplichte accountantsopdracht niet alle categorieën van bijzondere persoonsgegevens verwerken. Het voorgestelde artikel 23a UAVG vormt een invulling van de AVG. De AVG vergt voor een verwerking van bijzondere categorieën van persoonsgegevens die noodzakelijk is om redenen van zwaarwegend algemeen belang een grondslag in EU-recht dan wel lidstatelijk recht. Het voorgestelde artikel 23a UAVG voorziet in dat lidstatelijk recht. De toepassing van de UAVG kan dan ook alleen in combinatie met de AVG plaatsvinden. Op grond van artikel 5, eerste lid, onderdeel c, AVG, dient de verwerking van persoonsgegevens, beperkt te blijven tot wat noodzakelijk is voor de verwerkingsdoeleinden. Uit de materiële inhoud van de opdracht en het desbetreffende wettelijke voorschrift vloeit voort welke categorieën van bijzondere persoonsgegevens bij de betrokken verplichte accountantsopdracht wel en niet voor verwerking in aanmerking komen. Het voorgestelde artikel 23a UAVG geeft de accountants kortom geen vrijbrief voor het gebruik van alle categorieën van bijzondere persoonsgegevens bij de uitvoering van de verplichte accountantsopdrachten.
57. En waarom is er niet voor gekozen om bij deze uitzondering een algemene verplichting voor anonimisering of pseudonimisering van de gegevens in kwestie te eisen, als passende maatregel om het privacyrecht te eerbiedigen in de zin van art. 9, tweede lid onder g AVG?
De uitvoering van een aantal verplichte accountantsopdrachten vergt wel directe identificatie van de betrokkenen. Een algemene verplichting voor anonimisering of pseudonimisering heeft tot gevolg dat de betrokken accountants de bovenbedoelde verplichte accountantsopdrachten niet goed kunnen uitvoeren. Een algemene verplichting tot anonimisering of pseudonimisering roept daarnaast ook nog andere uitvoeringsvragen op, zo is door de beroepsorganisatie van accountant NBA aangeven in de consultatiereactie. Zo moet voor accountants duidelijk zijn dat de gegevens betrouwbaar zijn, dat toezichthouders deze gegevens accepteren en wat accountants moeten doen als de organisatie de gegevens niet gepseudonimiseerd kan aanleveren. Voor medische gegevens wordt dit probleem niet voorzien, omdat die meestal al apart zijn geregistreerd, vanwege het bijzondere beschermingsregime op grond van de WGBO.
58. Kan de regering aangeven in welke gevallen het noodzakelijk is voor accountants om (niet-geanonimiseerde of niet-gepseudonimiseerde) persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, te verwerken?
Het is niet mogelijk dit uitputtend te beantwoorden. Vanwege de verscheidenheid aan organisaties die een verplichte accountantscontrole moeten laten doen, is het voor verschillende categorieën van bijzondere persoonsgegevens denkbaar dat die verwerkt moeten kunnen worden. Hierbij kan gedacht worden aan regelingen voor de subsidiëring van politieke partijen op grond van de Wet financiering politieke partijen, regelingen voor het (speciaal) onderwijs of nieuwkomers of betaling van vakbondscontributie uit te brutoloon. Overigens werken accountants doorgaans met steekproeven, dus slechts de bijzondere categorieën van persoonsgegevens die in de steekproef terecht komen, worden verwerkt.
59. De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van het waarborgen van het medische beroepsgeheim. Waarom wordt er echter in het voorgestelde artikel 23a, tweede lid UAVG ingezet op pseudonimisering van de medische gegevens bij een accountantscontrole, en niet op anonimisering? En wie is uiteindelijk verantwoordelijk voor het realiseren van de pseudonimisering?
De accountant moet bij de uitvoering van de verplichte accountantsopdracht wel gegevens uit verschillende bestanden met elkaar in verband kunnen brengen. Hij hoeft daarbij weliswaar niet de identiteit van de betrokken(en) vast te stellen maar het dient wel vast te staan dat de persoonsgegevens betrekking hebben op dezelfde betrokken(en). De accountant hoeft dus niet te weten wie die betrokkenen zijn maar alleen dat het om dezelfde betrokkenen gaat. Het met elkaar in verband brengen van gegevens uit verschillende bestanden is mogelijk bij pseudonimisering maar niet bij anonimisering.
De pseudonimisering kan ertoe kan leiden dat de betrokken persoonsgegevens anonieme gegevens voor de accountant zijn geworden. De accountant verwerkt dan geen persoonsgegevens meer voor de uitvoering van de opdracht. De omslag van persoonsgegeven naar anonieme gegevens doet zich voor indien de accountant niet over de in de praktijk uitvoerbare middelen beschikt om toegang te krijgen tot de aanvullende gegevens die nodig zijn voor heridentificatie van de betrokken(en). De heridentificatie door de accountant is zonder de in de praktijk uitvoerbare middelen redelijkerwijs niet mogelijk. Het gerecht (in eerste aanleg) van het Hof van de Europese Unie heeft in het eerder in vraag 50 genoemde arrest van 26 april 2023 het bovenbedoelde criterium bepaald, daarbij voortbordurend op het Breyer-arrest van het Hof van Justitie van de Europese Unie van 19 oktober 2016.34 De opdrachtgever van de accountant is verantwoordelijk voor de pseudonimisering en moet die (laten) uitvoeren. Die opdrachtgever is degene op wie de wettelijke verplichting tot het laten uitvoeren van de accountantsopdracht rust.
Onderdeel K
60. Het is voor de leden van de VVD-fractie op grond van de memorie van toelichting niet duidelijk welk probleem wordt opgelost door het introduceren van de nieuwe dubbele noodzakelijkheidstoets. Kan de regering daarop in gaan? Welke voorbeelden van gegevensverwerking zijn er in de rechtspraktijk geweest die aanleiding hebben gegeven voor deze wijziging? En hebben onze buurlanden ook een dergelijke dubbele noodzakelijkheidstoets geïntroduceerd? De complexiteit die voorgestelde wijziging mogelijk met zich meebrengt, leidt mogelijk tot nog meer voorzichtigheid bij organisaties bij de inzet van biometrische gegevens, wat op zichzelf al een knelpunt is dat ook wordt gesignaleerd in de evaluatie van de UAVG.35 Deze leden vragen naar een reactie van de regering hierop.
Wat nieuw is in de voorgestelde wijziging van artikel 29 UAVG, is daarin niet meer alleen staat dat verwerking van biometrische gegevens toegestaan kan zijn wanneer dat noodzakelijk is voor de authenticatie of beveiligingsdoeleinden, maar dat uitdrukkelijk ook wordt gemeld dat die verwerking noodzakelijk moet zijn omwille van een zwaarwegend algemeen belang. Daardoor zit er niet langer licht tussen artikel 9, lid 2, onder g, AVG en artikel 29 UAVG.
Artikel 29 UAVG stoelt namelijk op de mogelijkheid die artikel 9, eerste lid, onder g, AVG, biedt om bij lidstatelijk recht een uitzondering te maken op het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken. Die uitzondering dient volgens artikel 9 AVG noodzakelijk te zijn om redenen van zwaarwegend algemeen belang. Zoals de toenmalige Minister voor Rechtsbescherming schreef in de Kamerbrief van 31 oktober 2019,36 heeft de Europese Commissie zich kritisch erover uitgelaten dat artikel 29 UAVG geen verwijzing kent naar het voornoemde zwaarwegende algemeen belang zoals neergelegd in artikel 9, eerste lid, onder g AVG. De voorbeelden en uitleg, zoals opgenomen in de artikelsgewijze toelichting van artikel 29 UAVG, vond de Commissie niet afdoende. Om tegemoet te komen aan deze kritiek is ervoor gekozen om in artikel 29 UAVG expliciet het zwaarwegend algemeen belang te benoemen. Het gaat hier dus louter om een verduidelijking van de wettekst en geen verzwaring van het toetsingskader.
Daarnaast zijn in de toelichting bij dit artikel meer voorbeelden opgenomen van situaties waarin deze bepaling kan worden ingeroepen. Dit is mede gedaan zo gedaan naar aanleiding van de daartoe door VNO-NCW en MKB-Nederland geuite wens in consultatie om meer duidelijkheid te creëren dan de summiere voorbeelden in de memorie van toelichting bij de UAVG. Bij de voorbeelden kan gedacht worden aan bedrijven of sectoren waarbinnen zich processen afspelen, waarvan de verstoring bijvoorbeeld schade kan toebrengen aan de volksgezondheid, het milieu of de voedselvoorziening. Veiligheid in het algemeen of belangen als efficiëntie of kostenbesparing vallen er dus niet onder.
Dat er meer voorzichtigheid komt bij organisaties bij de inzet van biometrische gegevens, acht ik op zichzelf geen slechte ontwikkeling. De verwerking van biometrische gegevens om iemand te identificeren, is per slot van rekening een verwerking van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn door hun aard gevoelig en worden daarom door de wetgever extra beschermd. Het verwerken van bijzondere persoonsgegevens is dan ook verboden, tenzij is voldaan aan strenge voorwaarden. Juist bij biometrische gegevens is dit van groot belang.
61. De leden van de CDA-fractie lezen in de toelichting dat een verwerkingsverantwoordelijke een «actieve toets» moet doen om te beoordelen of ook in het specifieke geval wel aan het vereiste «noodzakelijk voor een zwaarwegend algemeen belang» is voldaan, voordat een beroep kan worden gedaan op de uitzondering op het verbod om biometrische gegevens te verwerken.
Deze leden vragen wat precies wordt bedoeld met zo’n actieve toets, en wat een verwerkingsverantwoordelijke moet doen om te kunnen aantonen dat deze actieve toets daadwerkelijk heeft plaatsgevonden? Zij hebben begrepen dat er behoefte bestaat in het veld aan nadere duidelijkheid en rechtszekerheid met betrekking tot de vraag in welke gevallen de uitzondering kan worden toegepast. Vindt de regering niet dat dit niet iets is om aan de toezichthouder over te laten, maar afweging vanuit beleid vereist? Zij vragen daarom om verduidelijking in de memorie van toelichting (MvT) inzake (a) controle op toegangsbevoegdheden op vitale en gevaarlijke locaties, zoals bedrijven uit de vitale infrastructuur; (b) beveiliging van vertrouwelijke informatie, waaronder persoonsgegevens, alsmede het netwerk van de organisatie; (c) beveiliging van supermarkten en andere winkels; (d) controle op identiteit in het kader van de Wet Ketenaansprakelijkheid en (e) beveiliging van geld of andere waardevolle zaken.
De leden vragen of de regering bereid is om in de memorie van toelichting duidelijkheid te verschaffen zodat bijvoorbeeld bedrijven meer duidelijkheid vooraf hebben.
Een veelgehoorde wens bij de toelichting van artikel 29 UAVG luidde dat – behalve het voorbeeld van de kerncentrale – er meer voorbeelden zouden worden gegeven van gevallen waarop deze uitzondering kan worden toegepast, zodat de praktijk nadere duidelijkheid en rechtszekerheid heeft over de situaties waarin de uitzondering kan worden toegepast. Aan deze wens is tegemoetgekomen. Naar mijn oordeel is hiermee een goede balans gevonden tussen meer duidelijkheid en tegelijk ruimte voor de rechtspraktijk zich terzake te ontwikkelen. Wanneer alle mogelijke gevallen zouden worden beschreven waarin artikel 29 UAVG kan worden ingeroepen, ligt het gevaar op de loer van overregulering en weinig ruimte voor praktische toepassing.
62. De leden van de fractie van GroenLinks delen de zorgen die zijn geuit door het Rathenau Instituut in zijn consultatiereactie omtrent de gebrekkige regeling van bepaalde categorieën van intieme gegevens die worden verzameld. Het onderhavige voorstelt tracht iets meer duidelijkheid te scheppen door aanscherping van artikel 29, maar laat nog steeds veel aan de praktijk over. Ook is er geen voorafgaande toetsing of de verwerking van dergelijke intieme persoonsgegevens rechtmatig kan zijn. Hoe kijkt de regering tegen de suggestie van het Rathenau Instituut om de verwerking van biometrische gegevens in de publieke ruimte geheel te verbieden, en daarbuiten dit afhankelijk te stellen van een vergunning?
Op basis van het bestaand juridisch kader kan gezichtsherkenningstechnologie, in het bijzonder in openbare ruimten, alleen in een beperkt aantal gevallen worden ingezet. Onder de AVG is het verwerken van bijzondere persoonsgegevens (waaronder biometrische gegevens, zoals bij de inzet van gezichtsherkenning) in beginsel immers al verboden. Voor een verdergaand verbod zie ik geen aanleiding. Er moet ruimte blijven voor uitzonderingssituaties waarbinnen voldaan kan zijn aan de voorwaarden om een degelijke wijze van verwerking te rechtvaardigen.
63. Deelt de regering de mening dat, omdat de voorbeelden die steeds genoemd zijn waar biometrische authenticatie daadwerkelijk de inhoudelijke toets van artikel 29 zal kunnen overleven zo gering zijn, een dergelijk vergunningsstelsel maar een beperkte extra last zal zijn voor een kleine groep organisaties?
Zoals geantwoord op de vorige vraag ben ik van mening dat een vergunningenstelsel bovenop het verwerkingsverbod van bijzondere persoonsgegevens uit de AVG niet zinvol is.
64. Hoe vaak denkt de regering dat binnen het voorgestelde kader het rechtmatig kan zijn om biometrische gegevens te verwerken in de publieke ruimte?
Dit zal niet vaak het geval zijn. Gezichtsherkenning in de hier bedoelde zin kan alleen bij «uitdrukkelijke toestemming» of wanneer noodzakelijk voor beveiligings- en authenticatiedoeleinden vanwege een zwaarwegend algemeen belang.
65. Daarnaast vragen de leden van de fractie van GroenLinks of het voor de toelaatbaarheid van de verwerking meeweegt welk type biometrische gegevens wordt verwerkt. En wat wordt concreet bedoeld met het begrip «werkprocessystemen», dat ingevoegd wordt in artikel 29 om duidelijker te maken waar biometrische gegevens voor authenticatie gebruikt mogen worden?
De essentie van artikel 29 is dat per voorkomend geval een dubbele noodzakelijkheidstoets wordt aangelegd; de verwerking van biometrische gegevens moet noodzakelijk zijn om redenen van zwaarwegend algemeen belang én voor authenticatie- of beveiligingsdoeleinden. Welk type biometrische gegevens speelt daarbij geen rol. Met het begrip «werkprocessystemen» wordt gedoeld op systemen die voor beveiligings- of authenticatiedoeleinden worden gebruikt.
Onderdeel M
66. De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 30a van de UAVG. Dit artikel geeft uitzonderingen op het verbod om gegevens over gezondheid te verwerken. Er wordt voorgesteld in artikel 30a een specifieke regeling op te nemen met betrekking tot de overdracht van dossiers door hulpverleners. De voorgestelde regeling bevat ook de bepaling dat de betrokkene in beginsel wordt geïnformeerd over de overdracht van zijn of haar dossier. Uit de memorie van toelichting blijkt dat bewust niet is gekozen voor het vragen van toestemming aan de betrokkene. Onder het kopje «gegevensbeschermingseffectbeoordeling» wordt als een van de belangrijkste risico’s genoemd dat een medisch dossier tegen de wil van een patiënt wordt overgedragen. Is de regering van oordeel dat dit risico kan worden weggenomen door in de wettelijke bepaling wél toestemming van de betrokkene te vereisen?
Wat is het bezwaar tegen het opnemen van de hoofdregel dat toestemming van de betrokkene moet worden gevraagd?
Persoonsgegevens in medische dossiers zijn gegevens over de gezondheid en mogen slechts worden verwerkt indien daarvoor een grondslag als bedoeld in artikel 9, tweede lid, AVG bestaat. Een grondslag is bijvoorbeeld door de betrokkene gegeven uitdrukkelijke toestemming37 of een bij Unierecht of lidstaatrechtelijk recht gemaakte uitzondering.38 In artikel 30, derde lid, UAVG wordt een uitzondering geregeld. In het voorgestelde artikel 30a, eerste lid, UAVG wordt deze uitzondering verder uitgewerkt door te regelen dat ook de overdracht van dossiers door hulpverleners met het oog op het voldoen aan de beheer- en bewaarplicht onder deze uitzondering valt.
Bij het overdragen van medische dossiers is tevens sprake van een doorbreking van het medisch beroepsgeheim.39 In de voorgestelde artikelen 30a, vijfde lid, en 30b, tweede lid, in samenhang met het voorgestelde artikel 30a, vijfde lid, UAVG zijn doorbrekingsgronden voor het medisch beroepsgeheim opgenomen.
Er is niet gekozen voor het vragen van uitdrukkelijke toestemming aan de betrokkene, omdat uit de inbreng van partijen is gebleken dat dit in de praktijk vaak onuitvoerbaar, onmogelijk of niet wenselijk is. Het gaat immers vaak om een groot aantal dossiers (denk aan het faillissement van het MC Slotervaart ziekenhuis) of het kan gaan om situaties waarin er geen juiste contactgegevens (meer) zijn van de betrokkene (bijvoorbeeld als de betrokkene is overleden) of het zeer vervelend zou zijn als medische gegevens per ongeluk bij derden terecht zouden komen (bijvoorbeeld bij patiënten met een psychische aandoening en er door oude adresgegevens de kans bestaat dat er medische gegevens naar het verkeerde adres worden gestuurd). Alhoewel het vragen van toestemming van de betrokkene het risico wegneemt dat een medisch dossier tegen de wil van de patiënt wordt overgedragen, brengt dit dus andere risico’s met zich mee die zwaarder wegen.
Patiënten hebben er namelijk een groot belang bij dat medische dossiers worden bewaard en beheerd. Het risico dat een dossier tegen de wil van de patiënt wordt overdragen wordt bovendien zoveel mogelijk gemitigeerd door in het wetsvoorstel voor te stellen dat de betrokkene over de overdracht moet worden geïnformeerd of dat tijdig zo breed mogelijke kenbaarheid moet worden gegeven aan de overdracht, bijvoorbeeld via (plaatselijke) media. Dit sluit aan bij de huidige praktijk. Niet is gebleken dat dit tot grote bezwaren leidt, omdat patiënten door deze informatie hun rechten kunnen uitoefenen. Daarnaast is een absolute voorwaarde dat op de personen die de dossiers overdragen of bewaren en beheren een geheimhoudingsplicht rust. Zo wordt geborgd dat uiterst voorzichtig wordt omgegaan met de medische gegevens.
De hierboven genoemde bezwaren tegen het vragen van uitdrukkelijke toestemming van de betrokkene maken dat de regering van oordeel is dat op die manier het risico dat een medisch dossier tegen de wil van een patiënt wordt overdragen, niet kan worden weggenomen.
67. Deelt de regering de mening dat het overdragen van medische gegevens aan niet-hulpverleners een sterke afbakening vereist?
De voorgestelde artikelen 30a en 30b UAVG regelen de overdracht van dossiers door hulpverleners aan andere hulpverleners respectievelijk de overdracht van dossiers door niet-hulpverleners aan hulpverleners. Medische gegevens zouden in beginsel alleen moeten kunnen worden overdragen aan hulpverleners.
Alleen in de situatie dat door de hulpverlener niet goed is geregeld dat de verantwoordelijkheid voor het beheren en bewaren van medische dossiers wordt overgenomen door een andere hulpverlener, kunnen er medische dossiers bij een niet-hulpverlener terecht komen. Bijvoorbeeld een curator (in geval van faillissement) of erfgenaam of een in het testament aangewezen executeur (in geval van overlijden). Het voorgestelde artikel 30b UAVG maakt het mogelijk dat deze niet-hulpverlener de medische dossiers alsnog kan overdragen aan een hulpverlener. De hiervoor genoemde informatie- of bekendmakingsplicht en geheimhoudingsplicht borgen dat voorzichtig met de medische gegevens wordt omgegaan.
68. De leden van de D66-fractie lezen ook dat de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) heeft aangegeven dat op dit moment in de praktijk bij overname niet vooraf toestemming aan patiënten wordt gevraagd. Vindt de regering dit een goede reden om geen toestemming te vereisen in de nieuwe wettelijke regeling?
In de huidige praktijk worden patiënten door hulpverleners geïnformeerd en gewezen op hun rechten wanneer dossiers worden overgedragen aan een opvolger, maar wordt inderdaad niet vooraf expliciet om toestemming gevraagd. Reden hiervoor is dat het vragen van toestemming vaak onuitvoerbaar, onmogelijk of onwenselijk is (zie de reactie op vraag 66 over onderdeel M voor een aantal voorbeelden). De redenen die ten grondslag liggen aan deze praktijk waarbij geen toestemming aan de betrokkene wordt gevraagd, maken het wenselijk om dit in de voorgestelde artikelen over te nemen.
69. Verder wordt in de toelichting nadrukkelijk aandacht gevraagd voor de «gevoeligheid» van de betreffende gegevens. Om die reden heeft de regering de hierboven benoemde informatieplicht voorgesteld. Is de regering niet van oordeel dat een vereiste om toestemming te vragen meer recht doet aan de gevoeligheid van de gegevens dan een informatieplicht?
Persoonsgegevens in medische dossiers zijn gegevens over de gezondheid. Deze gegevens zijn gevoelig en de AVG bepaalt daarom dat dit bijzondere persoonsgegevens zijn. Verwerking van deze gegevens is alleen toegestaan indien daarvoor een grondslag als bedoeld in artikel 9, tweede lid, AVG bestaat. In de voorgestelde artikelen is hieraan voldaan door bij lidstaatrechtelijk recht een uitzondering te maken. In de reactie op vraag 66 over onderdeel M is met voorbeelden omschreven waarom er niet is gekozen voor het vragen van uitdrukkelijke toestemming. Hieruit volgt dat het vragen van toestemming aan de betrokkenen gezien de gevoeligheid van de gegevens juist niet passend is. Dit rechtvaardigt ook de doorbreking van het medisch beroepsgeheim.
Het risico dat een dossier tegen de wil van de patiënt wordt overdragen wordt zoveel mogelijk gemitigeerd door in het wetsvoorstel te bepalen dat de betrokkene over de overdracht moet worden geïnformeerd of dat tijdig zo breed mogelijke kenbaarheid moet worden gegeven aan de overdracht. Daarnaast geldt er voor de personen die de dossiers overdragen of bewaren en beheren een geheimhoudingsplicht. Op deze manier wordt zoveel mogelijk recht gedaan aan de gevoeligheid van de gegevens.
Een vereiste om toestemming te vragen doet dus niet meer recht aan de gevoeligheid van de gegevens dan een informatieplicht.
70. De leden van de D66-fractie lezen in de voorgestelde regeling dat nadere regels hieromtrent kunnen worden gesteld bij ministeriële regeling van de Minister van Volksgezondheid, Welzijn & Sport (VWS). Kan de regering toelichten waarom is gekozen voor een nadere invulling bij ministeriële regeling?
Een ministeriële regeling geeft de nodige flexibiliteit. Een ministeriële regeling maakt het daarnaast mogelijk om gedetailleerd per situatie te kunnen bepalen wanneer op welke wijze invulling wordt gegeven aan de voorgestelde artikelen 30a, eerste tot en met derde lid, en 30b, eerste en tweede lid. Bij de vormgeving van nadere regels over werkprocessen ten aanzien van de methode van overdracht, bewaarplicht of bekendmaking kan dan bijvoorbeeld rekening gehouden worden met omvang (groot aantal dossiers), doelgroep (GGZ) en/of situatie (dossiers zijn in beheer bij bepaalde hulpverlener, erfgenaam of curator).
71. Dit artikel biedt een verruiming van het verbod om gezondheidsgegevens te verwerken voor een stichting, vereniging of andere instantie zonder winstoogmerk werkzaam op het gebied van de volksgezondheid en waarvan de verwerking van bijzondere persoonsgegevens onlosmakelijk verbonden is met de doelstelling van die organisaties. Het gaat hier om gezondheidsgegevens.
De leden van de CDA-fractie zouden graag een toelichting hebben hoe in het voorgestelde artikel «passende waarborgen» worden ingevuld. Bovendien willen deze leden dat duidelijk wordt welke partijen precies worden bedoeld met «andere instantie». Deze leden vragen verder of de regering wil bevestigen dat gegevensuitwisseling verplicht digitaal gaat en verwijzen daarvoor naar de Wet elektronische gegevensuitwisseling in de zorg (Wegiz).
Ook deze vragen van de CDA-fractie zien op het wetsvoorstel zoals dat in consultatie is gebracht. Naar aanleiding van het advies van de AP dat het vereiste van uitdrukkelijke toestemming bij een verwerking als deze in beginsel juist gepast lijkt, is, zoals ook in de memorie van toelichting wordt onderbouwd, dit voorstel dan ook niet opgenomen in het voorstel dat is ingediend.
72. De leden van de CDA-fractie vragen in hoeverre met dit wetsvoorstel invulling wordt gegeven aan de motie van de leden Van den Berg en Van der Staaij (Kamerstuk 39 925 XVI, nr. 53).
Er wordt met dit wetsvoorstel geen invulling aan deze motie gegeven. Op 13 april 2023 is aan beide Kamers der Staten-Generaal een brief toegezonden inzake heroriëntatie grondslagen40. In die brief is uitvoering gegeven aan het deel van de motie van de leden Van den Berg en Van der Staaij, waarin de regering wordt verzocht in kaart te brengen bij welke wetgeving Nederland afwijkt van andere landen doordat er een andere interpretatie van de AVG wordt gehanteerd.41
73. Deze leden vragen of de criteria voor het anonimiseren van patiëntgegevens worden verduidelijkt. Zij constateren namelijk dat er geen richtlijnen vanuit de Autoriteit Persoonsgegeven (AP) bestaan en slechts zeer beperkte richtlijnen vanuit de European Data Protection Board (EDPB) over wanneer data dusdanig gedeïdentificeerd zijn dat men ze onder de UAVG als geanonimiseerd kan beschouwen. De leden van de CDA-fractie zien dat dit in de praktijk leidt tot grote verschillen tussen partijen over de definitie van «anoniem» en lastige gesprekken tussen partijen.
De begrippen «anonimiseren» en «pseudonimiseren» zijn, net als andere begrippen uit de AVG, autonome Europeesrechtelijke begrippen, die slechts op Europees niveau kunnen worden uitgelegd. Het is dus niet aan mij om deze criteria te verduidelijken of nader in te vullen. Ook hier is het eerder in vraag 45 en 52 genoemde arrest van het gerecht van de Europese Unie van 26 april 2023, waarin het Hof, o.a in overweging 104 e.v., oordeelt dat de verstrekker van niet direct identificeerbare gegevens dient te onderzoeken of de ontvanger over wettelijke en in de praktijk uitvoerbare middelen beschikt om toegang te krijgen tot de aanvullende informatie die nodig is om de gegevens wel te identificeren. Alleen als dat het geval is kunnen deze gegevens als persoonsgegevens in de zin van de AVG worden beschouwd. De EDPB werkt overigens ook aan nieuwe richtlijnen over dit onderwerp.
74. De leden van de CDA-fractie vragen of nader beschreven kan worden wat de definitie is van «onevenredige inspanning» op basis waarvan toestemming vragen niet noodzakelijk zou zijn. Deze leden verwijzen daarvoor ook naar de brief van 23 februari 202342 betreffende het verzoek uitstel plenaire behandeling Wet zeggenschap lichaamsmateriaal, waarin staat: «Het vragen van toestemming voor het nader gebruik van herleidbaar lichaamsmateriaal en voor secundair gebruik van zorggegevens zou formeel al praktijk moeten zijn op basis van de bestaande regelgeving (UAVG en Wet op de geneeskundige behandelovereenkomst, WGBO). De meeste ziekenhuizen gaan evenwel uit van een geen-bezwaar-systeem». Waar toestemming gevraagd zou moeten worden, is dat niet gebeurd. De leden van de CDA-fractie vragen hoe op een praktische en realistische manier vorm wordt gegeven aan «toestemming» zoals vereist vanuit de UAVG en WGBO.
Het is lastig een definitie te geven van het begrip «onevenredige inspanning» omdat de invulling hiervan afhangt van de exacte omstandigheden van het geval. Zeker in een algemene wet als de UAVG is het niet mogelijk dit nader te concretiseren. Het gaat hier om een zogenaamde «open norm», waarvan het niet wenselijk is dit op wetgevingsniveau nader te concretiseren. Dit zal moeten gebeuren in de rechtspraktijk.
75. De leden van de CDA-fractie vragen daarnaast of de regering wil toelichten of er wordt aangegeven wat partijen zouden moeten doen als een betrokkene de toestemming intrekt en de gegevens geanonimiseerd (niet meer herleidbaar) verstrekt zijn aan een derde partij. Deze leden vragen verder of de regering nader wil toelichten hoe dit artikel zich verhoudt tot het voorstel van de European Health Data Space (EHDS).
Op het moment dat de gegevens geanonimiseerd zijn verstrekt aan een derde partij en dus niet meer herleidbaar zijn tot een identificeerbare natuurlijk persoon, is er geen sprake van persoonsgegevens en is de AVG niet van toepassing. Voor dergelijke gegevensverwerking is dan ook geen toestemming op grond van de AVG vereist.
76. De leden van de CDA-fractie constateren, gelet op bovenstaande vragen, dat er nog enige onduidelijkheid is als het gaat om het delen van patiëntgegevens met andere partijen dan zorginstellingen (met name commerciële instellingen). Deze leden willen hiervan een voorbeeld noemen. Leveranciers worden tijdens de inkoop van medische apparatuur gevraagd om middels voorbeeldgegevens van andere zorginstellingen (beelden van werkelijke patiënten) de kwaliteit van medische apparatuur aan te tonen. Hierbij is echter de leverancier afhankelijk van zorginstellingen om dit te faciliteren, waarbij zorginstellingen tegen de bovenstaande onzekerheden aanlopen en daarom niet altijd meewerken. Dit betekent dat leveranciers dergelijke gegevens met name uit het buitenland moeten halen. Dit geldt ook voor het beschikbaar stellen van gegevens ten behoeve van educatie van zorgprofessionals in het gebruik van medische apparatuur. De leden van de CDA-fractie vragen of de regering de mening deelt dat dit onwenselijk is en of de regering zich wil inspannen om mogelijke onduidelijkheid weg te nemen.
Vanuit het zorgveld zijn er veel signalen dat er in de huidige situatie onvoldoende sprake is van (legitiem) beschikbare Nederlandse gezondheidsdata voor hergebruik. Dit komt onder andere door de verschillende interpretaties van de wet- en regelgeving die van toepassing is op het gebruik van (bijzondere) persoonsgegevens voor secundair gebruik, bijvoorbeeld voor het testen en trainen van algoritmes als voor het beoordelen van de kwaliteit van medische apparatuur. In een brief van 13 april 2023 is de Tweede Kamer reeds geïnformeerd over de strategie voor secundair datagebruik.43 Hieruit volgt dat het veld meer duidelijkheid zal worden geboden over de toepassing van de juridische kaders voor het secundair gebruik van gezondheidsgegevens. Daarnaast wordt databeschikbaarheid bevorderd en waar nodig en opportuun zal nationale regelgeving hiervoor worden aangepast. Naar verwachting zal een groot deel van de onduidelijkheid al weggenomen worden na de inwerkingtreding van verordening betreffende de Europese ruimte voor gezondheidsgegevens (EHDS). In het op 3 mei 2022 gepresenteerde Commissievoorstel voor de verordening betreffende de Europese ruimte voor gezondheidsgegevens (COM(2022) 197 final) is in artikel 34 een lijst opgenomen met doeleinden waarvoor elektronische gezondheidsgegevens voor secundair gebruik kunnen worden verwerkt. Onder punt f van artikel 34 van het Commissievoorstel is opgenomen dat toegang tot gezondheidsgegevens verleend kan worden voor «ontwikkelings- en innovatieactiviteiten voor producten en diensten die bijdragen tot de volksgezondheid of sociale zekerheid, of tot het waarborgen van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, geneesmiddelen of medische hulpmiddelen».
Onderdeel P
77. De leden van de CDA-fractie zouden graag willen weten hoe de regering aankijkt tegen het voorstel van het Platform Bijzondere Opsporingsdiensten (Platform BOD) om in de memorie van toelichting expliciet op te nemen dat in het geval er gebruik wordt gemaakt van artikel 41 lid 2 onder h er geen melding aan de AP nodig is.
De reactie van het platform BOD’s was een reactie op het consultatievoorstel. Zoals in de memorie van toelichting is aangegeven, is, gezien de reacties op dit voorstel in de Verzamelwet, besloten de voorgestelde verplichtingen niet door te voeren. Er was enerzijds de reactie van de AP, die een meer fundamentele herziening voorstelt van dit hele artikel en anderzijds de overige reacties, onder meer van het platform BOD, die daarentegen juist wijzen op de onwenselijkheid van het geven van redenen voor beperking van rechten, bij bijvoorbeeld fraudeonderzoek, en op de hoge administratieve lasten die deze voorstellen met zich meebrengen. Vervolgens is, naar aanleiding van opmerkingen van de Afdeling advisering van de Raad van State, besloten artikel 41 van de UAVG pas te wijzigen na nader onderzoek. Het concept wetsvoorstel is hierop aangepast.
Onderdeel R
78. Het wetsvoorstel beoogt de uitzonderingen voor archivering van het algemeen uit te breiden, zodat deze ook geldt voor andere archiefbewaarplaatsen dan die genoemd in artikel 1, onderdeel f van de Archiefwet 1995. De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van het goed functioneren van de in de memorie van toelichting genoemde archieven, maar is wel bezorgd dat de voorgestelde aanpassing mogelijk tot meer onduidelijk kan zorgen. In de rechtspraak is nu al onduidelijkheid over wanneer art. 45 UAVG van toepassing is44. Deze leden zijn bezorgd dat de voorgestelde tekst ertoe kan leiden dat bijvoorbeeld een zelfstandig bestuursorgaan (zbo) of gemeente zichzelf gaat zien als een publiek toegankelijke instelling die een beroep kan doen op de uitzondering van art. 45, lid 1 UAVG zoals wordt voorgesteld, om zo de rechten die betrokkenen hebben ingevolge de AVG kunnen beperken. Kan de regering bevestigen dat overheden die de persoonsgegevens in kwestie verwerken voor het uitvoeren van hun taak – en niet primair bezig zijn met archivering – geen beroep kunnen doen op art. 45 UAVG zoals wordt voorgesteld? En kan de regering bevestigen dat art. 45 UAVG alleen van toepassing is op persoonsgegevens nadat deze over zijn gebracht naar een archiefbewaarplaats?
Artikel 45, eerste lid, van de UAVG is enkel van toepassing indien sprake is van archiefcollecties van blijvende waarde voor het algemeen belang, die worden beheerd (i) door archiefbewaarplaatsen in de zin van de Archiefwet 1995 of (ii) door – kortgezegd – andere voor het publiek toegankelijke instellingen die geen winstoogmerk hebben en waarvan de activiteiten in hoofdzaak uit publieke middelen worden bekostigd. Met het vereiste dat sprake moet zijn van «archiefcollecties van blijvende waarde voor het algemeen belang» wordt mede tot uitdrukking gebracht dat het niet kan gaan om documenten die nog voor de primaire taakvervulling worden gebruikt. Artikel 45, eerste lid, is daarom inderdaad uitsluitend van toepassing ten aanzien van persoonsgegevens die voor blijvende bewaring berusten bij een archiefbewaarplaats in de zin van de Archiefwet of bij een andere publiek toegankelijke archiefinstelling. Om dit te verduidelijken zal dit worden aangepast in het wetsvoorstel bij nota van wijziging.
Onderdeel T
79. De leden van de VVD-fractie vragen naar een uitputtende lijst van de adviescolleges en commissies (met bijvoorbeeld peildatum 1 februari 2023) waar deze bepaling op van toepassing zal zijn. Ook vragen deze leden of er nog instellingsbesluiten moeten worden gewijzigd naar aanleiding van deze nieuwe bepalingen.
Er is geen uitputtende lijst van adviescolleges waar deze bepaling op van toepassing zal zijn. Dit zal ook pas relevant zijn na inwerkingtreding van dit wetsvoorstel. Omdat het hier gaat om tijdelijke adviescolleges en commissies, is het maar de vraag voor welke huidige tijdige commissies dit te zijner tijd aan de orde zal zijn. Tegen de tijd dat dit wetsvoorstel in werking treedt, kan de Tweede Kamer geïnformeerd worden voor welke commissies en adviescolleges dit artikel relevant is en of het noodzakelijk is dat instellingsbesluiten moeten worden gewijzigd. Het is overigens zo dat dergelijke adviescolleges en commissies nu op grond van hun taak wel gewone persoonsgegevens mogen verwerken, en bijzondere persoonsgegevens slechts mogen verwerken voor zover daarvoor uitdrukkelijke toestemming is verleend door de betrokkene. Dat is in veel gevallen voldoende.
80. De leden van de fractie van GroenLinks onderschrijven het voornemen om een duidelijke regeling te geven voor de verwerking van persoonsgegevens door tijdelijke commissies en adviescolleges. Wel vragen deze leden zich af of er, zeker met betrekking tot het verwerken van bijzondere persoonsgegevens, voldoende effectieve waarborgen aanwezig zijn.
In dit artikel wordt verplicht gesteld dat tijdelijke commissies en adviescolleges passende waarborgen opnemen. Bijzondere en strafrechtelijke persoonsgegevens mogen bovendien pas verwerkt worden, indien dit noodzakelijk is in het kader van een zwaarwegend algemeen belang. Dit moet worden opgenomen in de instellingsregeling. Tevens moet blijken dat het vragen van uitdrukkelijke toestemming aan de betrokkenen, onmogelijk is, of een onevenredige inspanning vergt. In veel gevallen zal er wel uitdrukkelijke toestemming gevraagd kunnen worden en is dat de grondslag voor de verwerking van de bijzondere persoonsgegevens. Denk bijvoorbeeld aan de situatie dat personen zich vrijwillig melden bij een onderzoekscommissie en toestemming aan de commissie geven om hun gegevens te verwerken ten behoeve van het onderzoek.
Pas als deze toestemming niet mogelijk is, bijvoorbeeld omdat niet duidelijk (meer) is waar betrokkenen zich bevinden, of zich in het buitenland bevinden, zoals bijvoorbeeld het geval kan zijn bij onderzoek naar buitenlandse adoptie, dan mogen de bijzondere en strafrechtelijke persoonsgegevens van deze betrokkene op grond van dit wetsvoorstel toch verwerkt worden, mits er voldoende waarborgen in de instellingsregeling zijn opgenomen. Het hangt af van de aard van de tijdelijke commissie of adviescollege welke waarborgen getroffen moeten worden, dat kan niet in algemene zin worden voorgeschreven. Overigens zijn er ook al verplichtingen die sowieso al gelden op grond van de AVG, zoals voldoende beveiliging van de gegevens en dataminimalisatie. Ook is expliciet bepaald dat in het verslag verantwoording wordt afgelegd over de wijze waarop deze gegevens zijn verwerkt.
81. Klopt het dat er, omdat er gekozen is voor een nahangprocedure, in het huidige voorstel geen bindende toets vooraf is aan de voorwaarden van het voorgestelde art. 47a, derde lid UAVG?
Een nahangprocedure houdt in dat een besluit pas in werking treedt nadat deze is overgelegd aan één of beide Kamers der Staten-Generaal en er geen opmerkingen zijn gemaakt over het voorstel. Dat wordt niet voorgesteld in dit artikel. In dit artikel wordt, zoals ook in artikel 6, tweede lid van de Kaderwet adviescolleges is geregeld ten aanzien van de instelling van een adviescollege voor de eenmalige advisering over een bepaald vraagstuk, slechts voorgeschreven dat de instellingsregeling of besluit wordt medegedeeld aan beide Kamers der Staten-Generaal.
Er is inderdaad geen bindende toets door de Kamers vooraf. Het is zaak dat de Staten-Generaal op de hoogte zijn van de instelling, taakstelling en doelstelling van een tijdelijk adviescollege of commissie, maar het is niet nodig dat een regeling over persoonsgegevens vooraf wordt getoetst door het parlement. Dit verhoudt zich ook niet met het uitgangspunt van het gegevensbeschermingsrecht, waarin verplichtingen veelal in de AVG en eventuele uitvoeringsregelgeving zijn neergelegd en er een verantwoordingsplicht bestaat voor de verwerkingsverantwoordelijke. Uiteraard is de AP, als toezichthouder, bevoegd toezicht te houden.
82. Is de regering het er mee eens dat het vanwege de tijdelijkheid van deze organen wenselijk zou zijn om van te voren duidelijkheid te verschaffen over of met de instellingsregeling daadwerkelijk voldaan wordt aan de voorwaarden van art. 47a, derde lid UAVG?
Het is nu juist de bedoeling om met dit voorstel meer duidelijkheid en transparantie vooraf te verschaffen over de verwerking van persoonsgegevens, en dan met name bijzondere en strafrechtelijke persoonsgegeven, door tijdelijke commissies en adviescolleges. Het gaat er dan vervolgens om dat de wijze van verwerking ook conform de regeling plaatsvindt. Een commissie die van zins is bijzondere persoonsgegevens te gaan verwerken, zal moeten kunnen aantonen dat er sprake is van een zwaarwegend algemeen belang, en dat het vragen van uitdrukkelijke toestemming onmogelijk is of een onevenredige inspanning vergt. Hierbij zal ook voldaan moeten worden aan alle overige vereisten die gelden op grond van de AVG en de UAVG.
83. Zal de Autoriteit Persoonsgegevens of de Raad van State daartoe vooraf geconsulteerd worden wanneer overwogen wordt om een tijdelijke commissie of adviescollege uit te zonderen van het verbod op het verwerken van bijzondere persoonsgegevens of persoonsgegevens van strafrechtelijke aard? Zo ja, is dat dan wettelijk verankerd? Zo nee, waarom is ervoor gekozen om dat niet te doen?
Er is niet in voorzien dat voordat een tijdelijke commissie of adviescollege bijzondere en strafrechtelijke persoonsgegevens mag gaan verwerken de Raad van State geconsulteerd wordt. Dat hoeft ook niet; dit is slechts vereist bij wetgeving in formele zin of algemene maatregelen van bestuur en daarvan is hier geen sprake. Op basis van artikel 36, vierde lid van de AVG is het in dat geval wel verplicht om de AP om advies te vragen.
84. De leden van de ChristenUnie-fractie hebben kennisgenomen van het advies van de Raad van State, waarin wordt gesteld het begrip «zwaarwegend algemeen belang» beter te concretiseren. Deze leden vernemen dat het zwaarwegend algemeen belang niet is geconcretiseerd, noch in het wetsartikel zelf (art. 47a) noch in de memorie van toelichting. Zij vragen of de regering kan uitleggen waarom dit zwaarwegend algemeen belang niet verder is geconcretiseerd.
Zoals in het nader rapport ook is aangegeven, is het niet altijd makkelijk het onderscheid tussen een algemeen belang en een zwaarwegend algemeen belang exact te maken, ook omdat de maatschappelijke opvattingen hierover zich al naar gelang de ontwikkelingen in de samenleving kunnen wijzigen. Bij een zwaarwegend algemeen belang is er sprake van een algemeen belang dat zodanig is dat het zwaarder weegt dan het belang van de bescherming tegen inbreuk op de persoonlijke levenssfeer waarvan sprake is bij de verwerking van bijzondere persoonsgegevens. Het is daarmee een begrip dat zich niet goed leent voor concrete definiëring en dat bij uitstek in de rechtspraktijk bepaald wordt. Het enkele bestaan van een zwaarwegend algemeen belang betekent overigens nog niet dat een verwerking is toegestaan; zo zal er ook altijd een scherpe afweging ter zake van proportionaliteit en subsidiariteit moeten worden gemaakt, waarbij ook de noodzaak van de gegevensverwerking nadrukkelijker moet worden onderbouwd.
Dit geldt ook in geval van tijdelijke adviescommissies. Juist bij dit artikel is het lastig om een nadere concretisering van het zwaarwegend algemeen belang te maken, omdat op dit moment niet is te voorzien voor welke situaties een dergelijke commissie zal worden ingesteld. Vaak gaat dit om urgente maatschappelijke kwesties. Er moet natuurlijk daarnaast ook een noodzaak zijn om, zonder toestemming van de betrokkenen, die bijzondere persoonsgegevens te verwerken. Dit was bijvoorbeeld het geval bij de commissie die onderzoek deed naar interlandelijke adoptie in het verleden. Er zal op het moment dat duidelijk is wat precies de taak van zo’n commissie is, moeten worden afgewogen of daarmee een zwaarwegend algemeen belang gepaard gaat én of het noodzakelijk is dat daarvoor bijzondere of strafrechtelijke persoonsgegevens worden verwerkt. Dit moet worden getoetst aan voornoemde eisen van proportionaliteit en subsidiariteit, met andere woorden zal beoordeeld moeten worden of de inbreuk op de persoonlijke levenssfeer in verhouding staat tot de taak van zwaarwegend algemeen belang. Dus ook daarin zal meewegen hoe zwaarwegend deze taak beoordeeld wordt. De subsidiariteit houdt in dat beoordeeld moet worden of het doel redelijkerwijze niet bereikt kan worden op een wijze die minder inbreuk op de persoonlijke levenssfeer maakt. En overigens geldt dit alleen als het onmogelijk of onredelijk bezwarend is om uitdrukkelijke toestemming te vragen van betrokkenen. Vaak zal dat laatste namelijk wel mogelijk zijn, bijvoorbeeld als een commissie werkt op basis van vrijwillige meldingen van personen. Uiteraard dient er dan wel voldaan te worden aan de eisen die aan het geven van toestemming worden gesteld en moet het voor het betrokkene duidelijk te zijn wat er met zijn of haar gegevens gebeurt.
85. Het lid Omtzigt vraagt zich af of het mogelijk is onder de werking van artikel 47a een tijdelijke commissie in te stellen die uit onafhankelijke wetenschappelijke onderzoekers bestaat met een specifieke onderzoeksopdracht?
Vaak hebben wetenschappers zitting in een dergelijke onderzoekscommissie. Het moet echter wel gaan om een commissie of adviescollege, die een taak van algemeen belang uitvoert, dan wel, in het geval van bijzondere persoonsgegevens, van zwaarwegend algemeen belang. Het is daarmee uitdrukkelijk iets anders dan zuiver onafhankelijk wetenschappelijk onderzoek. Hiervoor bestaat overigens in artikel 24 van de UAVG al een uitzondering op het verwerkingsverbod van bijzondere persoonsgegevens.
Overigens regelt artikel 47a niet de instelling van tijdelijke commissies en adviescolleges, maar slechts de eisen die gelden voor het geval ze (bijzondere en strafrechtelijke) persoonsgegevens willen gaan verwerken.
86. Is het dan ook mogelijk dat de opdracht van deze commissie onderzoek naar een medisch wetenschappelijk vraagstuk uitvoert?
Het voorgestelde artikel geeft geen extra mogelijkheden voor het instellen van commissies. Het gaat om tijdelijke adviescolleges en tijdelijk ingestelde commissies conform de Wet vergoedingen tijdelijke adviescolleges en commissies. Een adviescollege heeft krachtens het publiekrecht tot taak de regering te adviseren over algemeen verbindende voorschriften of te voeren beleid45. Een commissie kan een bredere taakstelling hebben, maar moet wel zijn ingesteld bij of krachtens de wet, koninklijk besluit of ministeriele regeling46. Het zal afhangen van het medisch wetenschappelijke vraagstuk of het voor de hand ligt dit uit te laten voeren door een commissie als bedoeld in deze wet.
Artikel II. Faillissementswet
87. De leden van de D66-fractie lezen in de toelichting dat de taak van de curator of bewindvoerder in de loop der jaren is veranderd en uitgebreid. Volgens de regering hoort daar een nieuwe, heldere bepaling omtrent de verwerking van persoonsgegevens door curatoren of bewindvoerders bij. Onder omstandigheden mogen zij ook bijzondere categorieën persoonsgegevens verwerken.
Kan de regering toelichten wat de veranderde taakopvatting van curatoren of bewindvoerders voor gevolgen heeft voor de verwerking van persoonsgegevens door deze beroepsgroepen? Kan worden gespecificeerd wat in het kader van de verwerking van persoonsgegevens bijvoorbeeld eerst niet aan de orde was en thans wel?
De hoofdtaak van de curator is van oudsher – kort gezegd – het beheren en vereffenen van het vermogen van de schuldenaar (hierna: de faillissementsboedel). De opbrengst die daarbij gerealiseerd wordt, verdeelt de curator onder de schuldeisers (artikelen 14, 23, 68, 70 en 192 Fw). De curator doet ook onderzoek naar de oorzaken van het faillissement en beziet in dit verband wat er in de aanloop van de faillietverklaring is voorgevallen. Het is mogelijk dat de curator constateert dat er voorafgaand aan het faillissement rechtshandelingen zijn verricht waardoor de schuldeisers zijn benadeeld. De curator kan deze rechtshandelingen dan vernietigen en er op die manier voor zorgen dat de daarmee gemoeide gelden terugvloeien naar de faillissementsboedel (artikel 42 e.v. Fw). De taak van de curator is in de loop der jaren verder ontwikkeld. Deels is dit een automatisch gevolg van economische en maatschappelijke veranderingen. De bedrijven van nu zien er heel anders uit dan ten tijde van de inwerkingtreding van de Faillissementswet. Zo opereren ondernemingen steeds vaker internationaal. Ook heeft de privatisering ertoe geleid dat private partijen activiteiten zijn gaan uitoefenen die voorheen door de overheid zelf werden opgepakt en waarmee maatschappelijke belangen gediend worden, zoals ziekenhuizen en energiebedrijven. De werkzaamheden die een curator tijdens het faillissement moet verrichten, zijn daardoor ook veranderd. Daarnaast hebben wetswijzigingen gezorgd voor aanpassingen in het takenpakket van de curator. Zo wordt sinds de inwerkingtreding van de Wet versterking positie curator op 14 juli 2017 van de curator verwacht dat hij ook oog heeft voor eventuele onregelmatigheden in aanloop naar of tijdens het faillissement. De curator heeft daarbij ook een aanvullend instrumentarium gekregen om een en ander te traceren en redresseren. Daartoe zijn de inlichtingen- en medewerkingsverplichtingen voor de schuldenaar en voor degenen die nauw bij de schuldenaar betrokken zijn, verruimd en is er een verplichting geïntroduceerd voor derden die over de administratie van de schuldenaar beschikken om die aan de curator over te leggen (artikelen 105 e.v. Fw).47 Als de curator onregelmatigheden constateert, dient hij de rechter-commissaris hier vertrouwelijk over te informeren. Als de rechter-commissaris dit nodig acht, dient de curator vervolgens melding te maken of aangifte te doen bij de bevoegde instanties (artikel 68, tweede lid, Fw). Verder zijn uitspraken van de civiele en de bestuursrechtelijke rechter ook van invloed geweest op de taakopvatting van de curator. Uit de jurisprudentie van de Hoge Raad is gevolgd dat de curator ook rekening dient te houden met (zwaarwegende) belangen van maatschappelijke aard, zoals de continuïteit van de onderneming en behoud van werkgelegenheid.48 Daarbij komt dat bedrijven onderworpen kunnen zijn aan bijzondere wet- en regelgeving, die specifiek in het leven is geroepen om bepaalde maatschappelijke belangen te waarborgen, zoals milieuwetgeving. Uit de rechtspraak van de Afdeling bestuursrechtspraak van de Raad van State en van het College van Beroep voor het bedrijfsleven volgt dat in faillissement op de curator een eigen, zelfstandige verplichting kan rusten tot naleving van die milieuwetgeving.49 De genoemde ontwikkelingen hebben ertoe geleid dat de taak van de curator in de loop der jaren is veranderd en uitgebreid. Dit kan meebrengen dat de curator nu werkzaamheden moet verrichten, die voorheen niet aan de orde waren. Daarbij kan het ook gaan om nieuwe werkzaamheden waarbij de verwerking van persoonsgegevens nodig is.
88. De leden van de fractie van GroenLinks hebben begrip voor het voorstel van de regering om een duidelijkere regeling te treffen voor de verwerking van persoonsgegevens door curatoren en (Wsnp-)bewindvoerders. Echter is het voor hen niet volledig duidelijk in hoeverre het huidige voorstel hiervoor de juiste oplossing is. In hoeverre is er uit de praktijk gebleken dat er te veel onduidelijkheid is over het verwerken van persoonsgegevens bij faillissement, surseance en schuldsanering? Blijkt er uit de rechtspraak dat hier problemen ontstaan? En hoe pakken andere lidstaten de problematiek die in deze situaties kan ontstaan op?
Naar aanleiding van de vragen van de fractie van GroenLinks ga ik graag nader op de achtergrond van het voorstel in. Naar aanleiding van artikelen in de literatuur en gesprekken met vertegenwoordigers uit de praktijk, werd duidelijk dat curatoren steeds vaker worstelen met de verplichtingen die voortvloeien uit gegevensbeschermingswetgeving.50 Zo is bijvoorbeeld onduidelijk of en onder welke voorwaarden zij persoonsgegevens in faillissementsverslagen mogen vermelden en hoe zij met persoonsgegevens in faillissementsboedels moeten omgaan. De voorgestelde wijzigingen beogen duidelijkheid te verschaffen. Na raadpleging van de Commissie insolventierecht, het adviescollege op het terrein van insolventiewetgeving, werd duidelijk dat ook behoefte bestaat aan een specifieke regeling voor de bewindvoerder bij schuldsanering natuurlijke personen en voor de bewindvoerder in surseance. Een (informele) consultatie van belangenorganisaties bevestigde deze behoefte. Aan die behoefte is met aanvulling van het wetsvoorstel gevolg gegeven. Mij is niet bekend hoe andere lidstaten hierin te werk gaan.
89. Daarnaast vragen de leden van de fractie van GroenLinks zich af hoe de lijsten met vooraf aangewezen noodzakelijke handelingen (art. 68a lid 2, art. 215b lid 2 en art. 316a lid 2 Fw zoals voorgesteld) tot stand zijn gekomen. Is er gekozen voor handelingen die essentieel zijn in de relevante insolventieprocedures, of is er gekeken voor welke handelingen doorgaans geen andere verwerkingsgrondslag in de AVG te vinden is? Ook wordt voorgesteld om het mogelijk te maken om bij AMvB deze lijsten aan te kunnen passen. Waarom wordt dit, mede in het licht van de voorlichting van de Raad van State inzake voorhangprocedures en AMvB’s (Kamerstuk 35 957, nr. 14), voorgesteld, terwijl de lijst ook bij wetswijziging aangepast kan worden? Hoe zijn toekomstig toe te voegen handelingen anders dan degene die nu voorgesteld worden, dat zij zonder parlementaire tussenkomst binnen de reikwijdte van de respectievelijke eerste leden moeten kunnen worden gebracht?
Bij het samenstellen van de lijsten is inderdaad gekeken welke handelingen nodig zijn om een failliete boedel (of surseance respectievelijk schuldsanering) naar behoren te beheren en te vereffenen. Daarbij is met name gekeken naar handelingen die niet direct zijn te herleiden tot de letter van de faillissementswet, zoals de verkoop van bedrijfsonderdelen (vgl. artikel 68a, tweede lid, onderdeel i) of naar handelingen die meer gegevensverwerkingen veronderstellen dan de wettelijke bepaling doet vermoeden (denk aan het faillissementsverslag onder artikel 68a, tweede lid, onderdeel d). Gelet op de voortdurende ontwikkelingen binnen het faillissementsrecht en de daaruit voortvloeiende mogelijkheid dat in de nabije toekomst een handeling moet worden toegevoegd die thans nog onbekend is, is de mogelijkheid opgenomen om bij AMvB handelingen toe te voegen. Dit biedt naar mijn oordeel een goede balans tussen rechtszekerheid en flexibiliteit, mede gelet op de tijdsduur om een wetswijziging te realiseren. Gelet op het technische karakter van de lijst en het feit dat de hoofdlijnen in de voorgestelde wettelijke bepalingen zijn opgenomen, is naar mijn opvatting het niveau van een AMvB passend, ook in het licht van de door de Raad van State gegeven voorlichting.51
90. Ook vragen de leden van de fractie van GroenLinks of er, zeker met betrekking tot de verwerking van bijzondere persoonsgegevens, geen rol ligt voor (extra) toezicht of inmenging van de rechter-commissaris in de respectievelijke insolventieprocedure? Wat is de rol van de rechter-commissaris in het faillissement, surseance en schuldsanering met betrekking tot de verwerking van persoonsgegevens in het huidige voorstel? Kan de regering duiden wat het verschil is tussen de «redenen van zwaarwegend algemeen belang» in de zin van artikel 9, tweede lid, sub g AVG en «dringend maatschappelijk belang» in de zin van de voorgestelde artikelen 68a, derde lid, sub a en 316a, derde lid, sub a Fw? Ontstaat hier niet het risico dat het begrip «dringend maatschappelijk belang» anders wordt ingevuld dan «zwaarwegend algemeen belang» waardoor er strijd ontstaat met de AVG?
Toezicht op de verwerking van persoonsgegevens, ook verwerking van persoonsgegevens door de curator of bewindvoerder, vindt plaats door de AP en niet door de rechter-commissaris. Reden hiervoor is dat de AP gespecialiseerd is in het gegevensbeschermingsrecht en bij de uitvoering van de AVG is aangewezen als algemene toezichthouder op verwerking van persoonsgegevens. De rechter-commissaris houdt toezicht op het beheer en de vereffening van de boedel door de curator en het ligt niet in de rede om hem een extra taak te geven ten aanzien van specifiek het toezicht op gegevensverwerking. De rechtbank heeft wel de mogelijkheid om een curator te ontslaan, onder meer op verzoek van een schuldeiser of op verzoek van de rechter-commissaris. In de praktijk gaat de rechtbank alleen op zwaarwegende gronden tot ontslag over. In dat kader is wel denkbaar dat het onzorgvuldig omgaan met persoonsgegevens door de curator of schending van wettelijke verplichtingen inzake gegevensverwerking kan leiden tot ontslag van de curator in faillissement. Zo overwoog de Rechtbank Rotterdam dat een voldoende ernstige inbreuk op het privéleven van betrokkenen door publicatie van persoonsgegevens door de curator een grond voor ontslag zou kunnen opleveren.52 Het voorgaande geldt uiteraard ook voor de bewindvoerder in surseance en de bewindvoerder in WSNP.53
Naar aanleiding van de vragen van GroenLinks over de verschillen tussen «redenen van zwaarwegend algemeen belang» en «dringend maatschappelijk belang» ga ik graag nader op de betekenis van deze begrippen in. Gekozen is voor de termen «dringend maatschappelijk belang» in de Faillissementswet als nadere invulling van het begrip «zwaarwegend algemeen belang» in de zin van de AVG. Deze termen zijn opgenomen wanneer de curator gegevensbestanden moet overdragen waarin bijzondere persoonsgegevens voorkomen. Deze overdracht kan alleen aan de orde kan zijn, wanneer sprake is van een dringend maatschappelijk belang, zoals de in de toelichting genoemde overdracht van een leerlingenbestand als een school tijdens het schooljaar failliet gaat. De bestanden moeten dan kunnen worden overgedragen aan een andere school, zodat de leerlingen hun schooljaar aldaar kunnen voortzetten. In zo’n geval is dan tevens sprake van een «zwaarwegend algemeen belang». Beoogd is om in ieder geval de overdracht van bijzondere gegevens voor puur commerciële redenen uit te sluiten.
91. Als laatste vragen de leden van de fractie van GroenLinks of en in hoeverre de voorgestelde verwerkingsgrondslag niet eerder meer onduidelijkheid schept, omdat het doelbindingsprincipe en andere fundamentele beginselen van de AVG mogelijk in de weg kunnen staan van de verwerking van de persoonsgegevens door de curator of (Wsnp-)bewindvoerder? In de reactie schrijft de regering ook dat de taak van de curator of bewindvoerder van een zodanig zwaarwegend algemeen belang is, dat bijzondere categorieën van persoonsgegevens verwerkt moeten kunnen worden. De leden van de Volt-fractie kunnen deze opvatting volgen, maar vragen de regering om toe te lichten of de regering van mening is dat de taak op zich voldoende rechtvaardiging geeft voor de grondslag. Gaat het niet juist om dat een curator of bewindvoerder de ruimte krijgt om af te wegen of er sprake is van een zwaarwegend belang, maar dat de rol op zich geen rechtvaardiging is voor een verwerkingsgrondslag?
Met deze nieuwe grondslag voor verwerking van persoonsgegevens in faillissement, surseance en WSNP wordt duidelijkheid geschapen en dit wordt ondersteund door de reacties vanuit de praktijk en de wetenschap. De leden van de fracties van Volt en GroenLinks wijzen er terecht op dat de verwerkingsgrondslag slechts één van de aspecten is die gegevensverwerking rechtmatig maakt. Daarnaast zullen fundamentele beginselen en principes zoals doelbinding, gegevensverwerkingsminimalisatie, transparantie en recht op juiste gegevensverwerking in acht moeten worden genomen. Ik begrijp – en onderschrijf – dan ook graag de strekking van de woorden van de leden van de Volt-fractie in dit verband: de curator mag niet vanwege zijn taak automatisch in alle gevallen persoonsgegevens verwerken maar zal per geval zorgvuldig moeten afwegen onder meer voor welke doel hij gegevens verwerkt, of dit doel gerechtvaardigd is en of de te verwerken persoonsgegevens ook echt allemaal noodzakelijk zijn voor het te bereiken doel.
92. Het lid Omtzigt leest dat het artikel 68a lid 2 sub h vermeldt «met inbegrip van het geven van inzage in gegevens aan derden in het kader van een mogelijke verkoop [...] van de bedrijfsactiviteiten». In de memorie van toelichting wordt uitgelegd, dat deze bepaling de verkoop van een onderneming beoogt mogelijk te maken door het met de onderneming overdragen van persoonsgegevens toe te staan. Dit lid steunt dit beoogde doel maar merkt op dat het niet uit de wetstekst volgt. In de eerste plaats wordt het woord «gegevens» gebruikt waar in het wetsontwerp consequent naar «persoonsgegevens» wordt verwezen. In de tweede plaats wordt gesproken over inzage in het kader van een mogelijke verkoop van bedrijfsactiviteiten, waar waarschijnlijk «overdracht in het kader van een verkoop van bedrijfsactiviteiten» wordt bedoeld.
Zoals het nu geformuleerd is lijkt het zich te beperken tot het verstrekken van inzage en niet het ter beschikking stellen van persoonsgegevens. Waarbij de aanduiding dat het een mogelijke verkoop betreft de indruk wekt dat het uitsluitend om een voorbereidingshandeling gaat.
Als sprake is van een faillissement van een schuldenaar die voor de faillietverklaring een onderneming dreef, wordt door de curator doorgaans altijd bezien of er mogelijkheden zijn om de onderneming van de failliet in faillissement («going concern») te verkopen, waarna de koper de bedrijfsactiviteiten voortzet (hierna: overgang van onderneming). Een dergelijk verkooptransactie levert vrijwel altijd een hogere boedelopbrengst op dan bij een losse («piecemeal») verkoop van de activa behorend tot de faillissementsboedel. Het is dan van belang dat de koper ook in staat wordt gesteld om het personeel dat op het moment van de faillietverklaring werkzaam was bij de onderneming, na de overgang van de onderneming een baan aan te bieden. In dat kader zal de curator de persoonsgegevens van het personeel beschikbaar moeten kunnen stellen. Het voorgestelde artikel 68a, eerste en tweede lid, onderdeel i, Fw biedt hiervoor een wettelijke grondslag. In artikel 68a, eerste lid, Fw is bepaald dat «de curator persoonsgegevens kan verwerken voor zover dit bij of krachtens de wet noodzakelijk is voor het beheer en de vereffening van de boedel [...].» Vervolgens is in artikel 68a, tweede lid, onder i, Fw bepaald dat hieronder «in ieder geval is begrepen gegevensverwerking in het kader van de vervreemding van goederen, bedoeld in artikel 101, alsmede de voorbereiding van een verkoop van het bedrijf van de gefailleerde aan derden met inbegrip van het geven van inzage in gegevens aan derden in het kader van een mogelijke verkoop, dan wel, in het kader van een ordentelijke afwikkeling van de bedrijfsactiviteiten». De verkoop van een onderneming valt daarbij onder de «vervreemding van goederen, bedoeld in artikel 101».
93. Op grond van artikel 68a lid 3 sub a wordt het de curator toegestaan bijzondere persoonsgegevens te verwerken in gevallen als bedoeld in artikel 68a lid 2 sub a, c, f, h en j, maar artikel 68a lid 2 sub i. wordt niet genoemd. Is het de bedoeling, zo vraagt het lid Omtzigt, dat in geval van overdracht van een onderneming bijzondere persoonsgegevens niet mee mogen worden overgedragen door de curator? In sommige gevallen zal artikel 30a hier een oplossing kunnen bieden, maar niet in alle gevallen. Denk bijvoorbeeld aan het klantenbestand van een handelsonderneming in medische hulpmiddelen. Welke overwegingen hebben ten grondslag gelegen aan het uitzonderen van het onder i. bepaalde en kan de regering overwegen het onder i. bepaalde alsnog toe te voegen?
Het lid Omtzigt wijst hier terecht op een onvolkomenheid in de regeling. Zoals uit de toelichting bij het derde lid, onderdeel h, volgt, is het bij een verkoop (en overdracht) van een onderneming in beginsel mogelijk om ook bijzondere gegevens, strafrechtelijke gegevens en het burgerservicenummer over te dragen. Dergelijke informatie kan soms nodig zijn om een onderneming succesvol aan een derde partij over te dragen, zoals ook verder in de toelichting is beschreven. Onderdeel i had hier zowel in onderdeel a, b als in onderdeel c van het derde lid opgenomen moeten zijn. Deze onvolkomenheid is ontstaan toen het onderdeel h, waarbij – kort gezegd – zowel de verwerking van gegevens in het kader van voortzetting van bedrijfsactiviteiten, als bij de verkoop van bedrijfsactiviteiten – was opgenomen, omwille van de duidelijkheid werd gesplitst in twee afzonderlijke onderdelen. Verzuimd is toen om deze splitsing ook in het derde lid door te voeren. Ik ben de heer Omtzigt erkentelijk voor zijn opmerkzaamheid en zal deze onvolkomenheid bij nota van wijziging herstellen.
Artikel X. Wet op het financieel toezicht
94. De leden van de fractie van GroenLinks vragen of het niet meer voor de hand had gelegen om de wettelijke verankering van transactiemonitoring door financiële instellingen mee te nemen in het Wetsvoorstel plan van aanpak witwassen (Kamerstuk 36 228).
Het wettelijk verankeren van de transactiemonitoring past niet goed bij het wetsvoorstel Plan van aanpak Witwassen. Want hoewel in beide wetsvoorstellen bepalingen zijn op genomen over transactiemonitoring, is het doel echt anders. Het wetsvoorstel Plan van aanpak Witwassen heeft als doel om witwassen aan te pakken, en ziet dan ook op mogelijkheden voor gezamenlijke transactiemonitoring. Het voorstel voor wijziging van de Wft in dit wetsvoorstel ziet meer op bescherming van de betrokkene tegen diefstal van zijn rekeningtegoeden. Overigens maakt het voor de werking van het voorstel geen verschil in welk wetstraject de behandeling plaatsvindt. Indien het wordt aangenomen, zal het artikel deel gaan uitmaken van de Wft.
Overig
95. De leden van de CDA-fractie zien dat binnen instellingen voor gezondheidszorg, maar ook binnen zorgnetwerken, zorgketens en overige samenwerkingsverbanden, een grote behoefte bestaat om patiëntgegevens te (kunnen) gebruiken voor verschillende vormen van onderzoek naar de kwaliteit van de geleverde zorg. Nu de focus steeds meer komt te liggen op zogenaamde «uitkomstgerichte zorg» wordt deze behoefte alleen maar groter. Deze leden willen graag een duidelijke uiteenzetting hoe de onderhavige wet zich verhoudt tot de Wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken. Zij constateren verder dat de Commissie Governance van Kwaliteitsregistratie (commissie Van der Zande) in haar eindrapport onder andere heeft aangegeven dat op dit moment een verwerkingsgrondslag voor het gebruik van gezondheidsgegevens voor dergelijk onderzoek ontbreekt. Deze leden vragen in hoeverre deze wijziging van de UAVG kan worden benut om een grondslag voor deze vormen van gegevensgebruik te creëren dan wel te verduidelijken wat het bestaande kader is voor de verwerking van persoonsgegevens in het kader van kwaliteitsregistraties en te bevestigen dat dit kader voldoende is.
Zoals in het begin van deze nota naar aanleiding van het verslag ook is opmerkt, gaat het bij dit wetsvoorstel in de eerste plaats om een verbetering en aanvulling van de UAVG en er worden enkele wijzigingen ten aanzien van gegevensverwerking in andere wetten meegenomen, vooral die waar onduidelijkheden bestonden of kleinere omissies aan licht waren gekomen. Er zijn nog vele vraagstukken en wetsvoorstellen die ook zien op gegevensverwerking, maar toch niet in dit wetsvoorstel worden meegenomen.
De vragen die de leden van de CDA-fractie hier stellen zijn belangrijk, maar dienen eerder in het kader van de behandeling van de voorgestelde wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) te worden behandeld dan in het kader van voorliggend wetsvoorstel. Immers, dit wetsvoorstel ziet niet op een wijziging van de Wkkgz. Iedere sectorale wet, waarin bepalingen omtrent verwerking van persoonsgegevens worden opgenomen, zal in moeten gaan op de verhouding met hoger recht en algemene regelingen. In paragraaf 5 van de memorie van toelichting bij het wetsvoorstel tot wijziging van de Wkkgz is hier ook op ingegaan.54
96. Met betrekking tot artikel 47 UAVG hebben de leden van de fractie van GroenLinks nog enkele vragen. Momenteel kan het inzagerecht (art. 15 AVG) worden uitgezonderd bij openbare registers, zonder dat het nodig is dat de wettelijke regeling van het desbetreffende register voorziet in inzage van de gegevens door de betrokkene (art. 47, eerste lid UAVG). Ook is het voor betrokkenen praktisch niet mogelijk om te achterhalen wie hun persoonsgegevens geraadpleegd hebben uit de registers. Hoe zou de regering het voorstel beoordelen om ook «inzage» toe te voegen aan de bij wet te regelen bijzondere procedures genoemd in art. 47, eerste lid UAVG?
In artikel 47, eerste lid van de UAVG wordt artikel 15 van de AVG, waarin het recht op inzage is geregeld, reeds genoemd en daarmee is al geregeld dat er een bijzondere procedure nodig is.
97. En ziet de regering wellicht een taak voor de beheerders van openbare registers om redelijke maatregelen te nemen opdat de ontvangers van persoonsgegevens uit de desbetreffende registers ook daadwerkelijk de verplichtingen uit artikel 14 AVG naleven?
De ontvangers van gegevens uit openbare registers dienen, voor zover zij onder de werking van de AVG vallen en dus verwerkingsverantwoordelijke zijn voor de verwerking van persoonsgegevens onder de AVG, zich al te houden aan artikel 14 AVG en aan alle andere artikelen in de AVG. Ik zie niet goed voor me hoe de beheerders van openbare registers zouden moeten nagaan of de ontvangers zich wel houden aan de AVG. Dat is een toezichtstaak die is neergelegd bij de AP en eventueel bij een functionaris voor de gegevensbescherming, als de ontvangende organisatie die heeft.
98. De leden van de fractie van GroenLinks delen ook de geuite zorgen door het Rathenau Instituut over de verwerking van genetische gegevens. Het Rathenau Instituut pleit voor een (de facto) verbod op commerciële DNA-analyses, specifiek als het gaat om direct-to-consumer DNA-analyses. Dit omdat de privacy hierbij vaak niet goed gewaarborgd is, en omdat genetische gegevens per definitie ook betrekking hebben op mensen die genetisch verwant zijn aan de persoon die zijn gegevens afstaat. Ook kunnen genetische gegevens, als deze bijvoorbeeld uitlekken, niet worden herroepen zoals dat kan met een wachtwoord. Hoe kijkt de regering naar de probleemanalyse van het Rathenau Instituut? Ziet de regering voordelen in commerciële DNA-analyses, en wegen deze op tegen de nadelen, waaronder grote privacyrisico’s voor klanten van deze DNA-analyses en de genetische aanverwanten van de klanten? Het Rathenau Instituut constateert dat in Duitsland en Frankrijk direct-to-consumer DNA-analyses de facto verboden zijn. Hoe gaan andere lidstaten van de EU om met deze problematiek?
Het Rathenau Instituut heeft zijn zorgen geuit over commerciële DNA-analyse in haar reactie op de Verzamelwet. Ook dit is een onderwerp dat zeker mijn de belangstelling heeft, maar het is niet meegenomen in deze verzamelwet, omdat dit een nieuw onderwerp is waarin diverse beleidskeuzes moeten worden gemaakt. Dit zou een te majeure wijziging betekenen van de UAVG om in dit wetstraject mee te nemen.
99. Het Rathenau Instituut constateert ook dat DNA-tests gebruikt worden door sommige werkgevers om (potentiële) werknemers te beoordelen.
Acht de regering een dergelijke praktijk wenselijk en verenigbaar met de AVG en huidige UAVG? Zo nee, deelt de regering de mening dat het vanuit een rechtszekerheidsperspectief wellicht wenselijk is om expliciet in de UAVG op te nemen dat dit verboden is?
Dit vraagstuk valt buiten dit wetsvoorstel. Er zijn, zoals hiervoor ook aangegeven, nog vele vraagstukken en wetsvoorstellen die ook zien op gegevensverwerking, maar niet in dit wetsvoorstel worden meegenomen. Er is in het kader van dit wetsvoorstel derhalve niet onderzocht wat de praktijk is ten aanzien van het gebruiken van DNA-tests door werkgevers en of deze in strijd is met de AVG of de UAVG. Er staan de betrokkenen die hier mee te maken krijgen overigens diverse rechtsmiddelen ter beschikking, zoals het indienen van een klacht bij de AP of eventueel naar de rechter gaan.
100. Als laatste constateren de leden van de fractie van GroenLinks dat de regering in de memorie van toelichting niet heeft gereageerd op paragraaf 1.3 inzake gezondheidsgegevens van de consultatiereactie van het Rathenau Instituut. Aangezien deze leden de zorgen delen die door het Rathenau Instituut worden geuit, vragen zij de regering om hier alsnog op in te gaan.
Het Rathenau Instituut stelt vragen over de interpretatie van de UAVG en de WGBO en hoe deze zich tot elkaar verhouden in het kader vooral van medisch data-onderzoek. Deze vragen zijn zeker van belang en worden ook bezien, vooral bij het Ministerie van VWS. Het zijn echter geen onderwerpen die in het kader van dit wetsvoorstel voorliggen. Hier zal dus op een ander moment en een ander kader op worden teruggekomen.
De Minister voor Rechtsbescherming, F.M. Weerwind