Vastgesteld 26 januari 2024
De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.
Inhoudsopgave
ALGEMEEN DEEL |
2 |
||
1. |
Inleiding |
2 |
|
2. |
Beleidscontext |
3 |
|
3. |
Datagovernanceverordening |
3 |
|
3.1 |
Hergebruik van beschermde gegevens die in het bezit zijn van openbare lichamen |
3 |
|
3.2 |
Databemiddelingsdiensten |
5 |
|
3.3. |
Data-altruïsme |
5 |
|
3.4. |
Internationale datastromen |
5 |
|
4. |
Inhoud uitvoeringswet |
5 |
|
4.1 |
Toezicht en handhaving |
6 |
|
5. |
Verhouding tot hoger recht |
6 |
|
5.1 |
Bescherming van persoonsgegevens, AVG |
6 |
|
6. |
Uitvoerbaarheid en handhaafbaarheid |
7 |
|
6.1 |
Adviescollege Openbaarheid en Informatiehuishouding |
7 |
|
7. |
Overgangsrecht en inwerktreding |
7 |
|
OVERIG |
7 |
De leden van de PVV-fractie hebben kennisgenomen van de Uitvoering van verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Uitvoeringswet datagovernanceverordening) en de bijbehorende documenten. Naar aanleiding hiervan hebben deze leden nog enkele vragen. Voorts merken de leden op dat de toelichting op het niet navolgen van de door de Afdeling advisering van de Raad van State gedane aanbeveling inzake de verhouding tussen de uitvoeringswet en de DGA tot de AVG niet ingaat op de mogelijke tegenstrijdigheden. Kan een overzicht van deze conflicterende punten worden opgeleverd met de onderbouwing waarom het prevaleren van de Algemene Verordening Gegevensbescherming tot conflict zou kunnen leiden?
De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van de uitvoeringswet. In een datagedreven samenleving vinden zij het van groot belang om het uitwisselen van gegevens betrouwbaar, transparant en in dienst van de publieke zaak te laten verlopen. Over de uitvoeringswet hebben de leden enkele opmerkingen en vragen. De leden zijn van mening dat gevoelige data, indien het wordt hergebruikt, moeten bijdragen aan de publieke zaak. Zij vinden het niet gepast als bedrijven gevoelige data hergebruiken om meer winst te maken, omdat mensen dan producten worden verkocht die tot stand zijn gekomen door hun eigen data. Dat vinden deze leden geen wenselijk gebruik van persoonsgegevens. Welke financiële prikkels bevat deze uitvoeringswet voor bedrijven? Hoe mogen private bedrijven gebruik maken van deze data voor economische winst?
De leden van de VVD-fractie hebben kennisgenomen van de uitvoering van de verordening. De leden hebben nog enkele vragen en opmerkingen. De leden lezen dat de Raad van State verschillende opmerkingen en adviezen heeft gemaakt. Hoe leest de regering deze kanttekeningen? Kunt u hier specifiek ingaan op de kritiek met betrekking tot de voorgestelde verhouding tussen de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP)?
Voorts vinden de leden van de VVD-fractie het goed om te horen dat bij de verwerking van persoonsgegevens de regelgeving met betrekking tot persoonsgegevens altijd van toepassing is. De leden van de VVD-fractie vragen zich af in hoeverre de AI-verordening invloed heeft op wat er nu voor ligt. Kan de regering hier nader op ingaan?
De leden van de NSC-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover enkele vragen en opmerkingen.
De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover enkele vragen en opmerkingen.
De leden van de BBB-fractie hebben met interesse de stukken gelezen en hebben over een aantal onderdelen vragen.
De leden van de BBB-fractie vragen waarom ervoor is gekozen om geen internetconsultatie over dit wetsvoorstel te houden. Welke afwegingen zijn hiervoor gemaakt?
De leden van de SP-fractie hebben kennisgenomen van de (uitvoering van) de verordening en hebben enkele vragen hierover.
De leden van de GroenLinks-PvdA-fractie lezen dat het begrip «data» niet altijd duidelijk gedefinieerd is in beleidsinitiatieven. Welke definitie van «data» hanteert de regering in deze uitvoeringswet?
De leden van de D66-fractie vragen of de regering kan toelichten in hoeverre het uiteindelijke resultaat van de Uitvoeringswet datagovernanceverordening verschilt met de inzet als opgenomen in het BNC-fiche en of de regering deze verschillen kan toelichten.
De leden van de GroenLinks-PvdA-fractie steunen de ambitie van de Europese Commissie om de marktmachtsconcentratie van Big Tech-bedrijven op te breken. Dit achten zij hard nodig om het speelveld op de digitale markt eerlijker te maken. De leden lezen dat openbare lichamen verantwoordelijk worden voor het nemen van adequate technische maatregelen om de gegevensbescherming, privacy en vertrouwelijkheid te borgen. Is het duidelijk welke maatregelen er minimaal genomen moeten worden door openbare lichamen om te voldoen aan de verordening? Welke «enkele andere uitzonderingen» bedoelt de regering bij het verbod op exclusieve overeenkomsten? Waarom zijn deze uitgezonderd?
De leden van de VVD-fractie onderschrijven dat bij datadeling de bescherming van persoonsgegevens, rechten van derden en wettelijke doelbinding goed geborgd moeten worden. De regering stelt voor dat onafhankelijke derde partijen een belangrijke rol kunnen spelen in de technische ondersteuning. Hoe wordt de bescherming van de gegevens bij deze partijen ingebouwd?
De leden van de VVD-fractie lezen dat openbare lichamen technische maatregelen moeten nemen om ervoor te zorgen dat de vertrouwelijkheid volledig wordt geborgd. Hoe wordt deze borging gecontroleerd en hoe lang krijgen deze organisaties om deze aanpassing door te voeren? Wat zijn de consequenties als niet alle organisaties tijdig aan deze privacy eisen voldoen? Blijft deze data dan buiten de scope van de verordening?
De leden van de NSC-fractie verzoeken verduidelijking over het centrale contactpunt binnen Nederland. Kan de regering nader toelichting geven over de instantie die tot taak heeft om «onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens», en om «structuren op te zetten om zo openbare lichamen technische en juridische bijstand te bieden»? In paragraaf 3.1 van de memorie van toelichting (MvT) lijkt dit contactpunt gelijkgesteld te worden aan het centraal informatiepunt. Klopt dit, en dient de MvT dan zo gelezen te worden dat het agentschap Logius de rol toebedeeld zal krijgen van dit contactpunt c.q. informatiepunt, en daarmee zowel de functie van portaal (data.overheid.nl) als die van algemeen ondersteunend/technisch/juridisch loket zal krijgen? Zo niet, hoe zullen deze rollen dan ingevuld worden?
De leden van de D66-fractie vragen in hoeverre de veronderstelling klopt dat de Datagovernanceverordening toeziet op het delen van beschermde gegevens, waar de Open data richtlijn dit doet op niet-beschermde gegevens.
De leden van de D66-fractie zien graag een toelichting van de regering over hoe «het algemeen» belang wordt gedefinieerd binnen deze context.
De leden van de BBB-fractie constateren dat de lidstaten één contactpunt moeten oprichten om onderzoekers en innovatieve bedrijven te ondersteunen bij het identificeren van geschikte gegevens en structuren moeten opzetten om openbare lichamen technische en juridische bijstand te bieden. De leden vragen de regering of dit contactpunt eenvoudig te vinden is voor burgers en bedrijven, en in hoeverre verwacht wordt hoe vaak dit contactpunt gebruikt gaat worden en of de middelen en capaciteiten van het contactpunt hierop aansluiten.
De leden van de SP-fractie lezen dat een aantal beschermde categorieën van data, zoals persoonsgegevens die buiten het toepassingsbeleid van de Open data richtlijn vallen en data waarop intellectuele-eigendomsrechten van derden rusten, te gevoelig zijn om als open data voor een ieder algemeen beschikbaar te stellen, maar niet zo gevoelig dat elke vorm van hergebruik principieel moet worden uitgesloten. De leden zien niet goed voor zich welk beeld de regering hier probeert te schetsen. In welke gevallen acht de regering het wenselijk om deze beschermde categorieën van data voor hergebruik beschikbaar te stellen? Hoe groot is het risico dat persoonsgegevens hierdoor de markt op komen, waardoor een inbreuk op privacy wordt gemaakt?
De leden van de SP-fractie lezen dat de Europese Commissie ziet dat nieuwe markten voor gegevensdeling ontstaan en wil bevorderen dat deze markten zich op een verantwoorde en betrouwbare manier ontwikkelen. De leden zien ook dat deze markten zijn ontstaan en uitgegroeid tot gigantische proporties. Alhoewel de leden het nut zien van het delen van data op altruïstische gronden en het hergebruik van data voor wetenschappelijke- en onderzoeksdoeleinden of voor andere doeleinden in het publiek belang, hebben zij fundamentele bezwaren tegen de privatisering van publieke data en verkoop van persoonsgegevens die plaats kan vinden door deze verordening. Door data voor hergebruik beschikbaar te stellen aan marktpartijen kan het voorkomen dat publiek gefinancierd onderzoek wordt gebruikt door marktpartijen en daardoor publieke informatie geprivatiseerd wordt. De publieke sector heeft hier weinig baat bij. Hoe gaat de regering voorkomen dat publieke informatie op deze manier geprivatiseerd wordt? Persoonsgegevens worden nu door grote techbedrijven als Meta, Amazon en Google verzameld, ingezet en verkocht om zo efficiënt mogelijk te adverteren. Deze verordening creëert ruimte in de markt voor zogenoemde databemiddelingsbedrijven om ook kleinere bedrijven mee te laten doen. De verkoop van persoonsgegevens doet afbreuk aan privacy en geeft bedrijven te veel macht. Faciliteren de Europese Commissie en de regering de verkoop van persoonsgegevens met deze verordening?
De leden van de SP-fractie lezen dat de openbare lichamen die hergebruik toestaan zelf technische maatregelen moeten nemen om gegevensbescherming, privacy en vertrouwelijkheid te waarborgen. De regering geeft als voorbeeld dat een openbaar lichaam kan eisen dat persoonsgegevens geanonimiseerd zijn. Moeten de leden hieruit concluderen dat het aan openbare lichamen is om te besluiten of zij persoonsgegevens anonimiseren? Zo ja, waarom wordt dit niet wettelijk verplicht?
De leden van de GroenLinks-PvdA-fractie hebben vragen over de «databemiddelingsdiensten», waarvan de definitie nog in ontwikkeling is. De aangedragen voorbeelden van wat wel en geen databemiddelingsdiensten zijn, vinden de leden verhelderend maar nog niet concreet genoeg. Kan de regering een concrete definitie geven van een databemiddelingsdienst? Omvat dit ook bedrijven die een indirecte relatie hebben met de datahouder en de -gebruiker? Wanneer handelt een databemiddelingsdienst «in het belang van de datasubjecten», zoals beschreven in de MvT?
De leden van de D66-fractie zien dat in het voorbeeld over de databemiddelingsdiensten wordt gesproken over een Frans bedrijf. In hoeverre zal toezicht vanuit de lidstaat (de Nederlandse toezichthouder) mandaat hebben om een Frans (of een ander land binnen de EU) bedrijf sancties op te leggen?
De leden van de NSC-fractie hebben een vraag aan de regering over de reikwijdte van het data-altruïsme. Is het voor de in de Unie erkende organisaties voor data-altruïsme toegestaan om gegevens die onder deze verordening of onder de Open data richtlijn door enige instantie tegen vergoeding voor hergebruik beschikbaar zijn gesteld, kosteloos breder beschikbaar te stellen?
De leden van de GroenLinks-PvdA-fractie lezen dat de Europese Commissie gedelegeerde handelingen mag vastleggen voor het overdragen van zeer gevoelige data naar derde landen. Welke mogelijke voorwaarden betreft dit? Welke rechten heeft de datahouder, naast het recht om geïnformeerd te worden? Mag de datahouder bezwaar maken?
De leden van de NSC-fractie verzoeken om toelichting waarom is gekozen om de Minister van Economische Zaken en Klimaat verantwoordelijk te maken voor de databemiddelingsdiensten en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voor het hergebruik van overheidsgegevens en de erkende organisaties voor data-altruïsme.1 Met welke reden is deze knip gemaakt?
De leden van de GroenLinks-PvdA-fractie lezen dat de Minister van Economische Zaken en Klimaat verantwoordelijk is voor de databemiddelingsdiensten. Op welke manier is de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties hierbij betrokken? Ook lezen de leden dat kosten in rekening mogen worden gebracht voor het hergebruiken van data. Is dat niet in strijd met de bedoeling van de wet, namelijk om data beter toegankelijk te maken? Onder welke voorwaarden mag er een tarief worden gehanteerd?
De leden van de D66-fractie vragen in hoeverre het klopt het dat de Wet open overheid (Woo) prevaleert boven deze verordening. Klopt het ook dat de Woo, wat geen intellectueel eigendom van derden erkent als reden om documenten niet openbaar te maken, blijft gelden?
De leden van de D66-fractie zien graag een meer uitgebreide toelichting van de regering waarom het advies van de Raad van State om de verplichte samenwerking tussen de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) te schrappen, niet wordt opgevolgd. In hoeverre wordt de ACM verplicht om het advies van de AP op te volgen?
De leden van de BBB-fractie lezen in de MvT dat de Autoriteit Consument & Markt (ACM) wordt aangewezen als toezichthouder. De ACM mag databemiddelingsdiensten sanctioneren, schorsen en dwangsommen opleggen als die zich niet aan de regels houden. Ook houden ze toezicht op inbreuken op verplichtingen m.b.t. deze doorgifte van niet-persoonsgebonden gegevens aan derde landen wanneer deze doorgifte in strijd is met de Europese of nationale wetgeving. De leden vragen de regering of er rekening mee is gehouden met de vraag, wanneer databemiddelingsdiensten die zich bevinden in landen waarin boetes frequent niet betaald worden en sancties worden genegeerd, hoe de ACM hiermee om kan gaan, en wat mogelijke vervolgstappen zijn? Als de vervolgstap om recht te halen in landen (waarin databemiddelingsdiensten zich bevinden) mislukt, wat zou dan het gevolg zijn en hoe beperkt deze wetgeving in een dergelijke situatie? Is er een mogelijkheid om een register van landen te maken van waaruit databemiddelingsdiensten geen toegang hebben tot de Nederlandse en Europese data i.v.m. het mogelijk in gevaar brengen van de nationale veiligheid of grootschalige schending van de privacy?
De leden van de BBB-fractie lezen dat de ACM moet beoordelen of een databemiddelingsdienst of geregistreerde data-altruïstische organisatie (naar verwachting) zal voldoen aan de eisen die de verordening aan de betreffende organisatie stelt. Aangezien de AP echter de toezichthouder is op de AVG, is de AP de aangewezen organisatie om advies te geven met betrekking tot die voorwaarden uit de verordening die verband houden met de bescherming van persoonsgegevens. De leden vragen de regering in hoeveel procent van de gevallen de AVG van toepassing zal zijn bij het beoordelen van een databemiddelingsdienst of geregistreerde data-altruïstische organisatie? Zou het kunnen dat de AP een grotere hoeveelheid aanvragen moet gaan beoordelen dan dat nu verwacht wordt, en zo ja, tussen hoeveel full time equivalent (FTE) schommelt dit en wat betekent dit voor de financiële lasten voor de toezichthouder?
De leden van de GroenLinks-PvdA-fractie merken op dat de wet in 2023 geïmplementeerd had moeten zijn. Ook is er een nauwe samenhang met de Wet implementatie Open data richtlijn. Welke gevolgen heeft het niet op tijd invoeren van deze wet? Welke risico’s brengt het met zich mee als deze wet en de Wet implementatie Open data richtlijn niet tegelijk worden ingevoerd? Vallen er op die manier geen gaten in het beleid?
De leden van de D66-fractie vragen in hoeverre het klopt dat bij tegenstrijdigheid tussen de verordening en de AVG de laatstgenoemde prevaleert? In hoeverre ondervindt dit wetsvoorstel last van het gegeven dat de Wet implementatie Open data richtlijn nog niet is aangenomen? Kan de regering dit toelichten, zo vragen deze leden?
De leden van de BBB-fractie lezen dat een met een publieke taak belaste instelling er voor kan kiezen om de gegevens in kwestie te anonimiseren, alvorens hergebruik daarvan toe te staan. Is het gebruik van «reverse engineering» voor geanonimiseerde persoonsgegevens door middel van kwantum computers als risico meegenomen in deze afweging?
De leden van de PVV-fractie merken op dat de beantwoording van de inbreng van het Adviescollege Openbaarheid en Informatiehuishouding (ACOI) niet volledig is verwoord in de MvT. Derhalve verzoeken de leden alsnog een toelichting op de door het ACOI gedane voorstellen.
De leden van de NSC-fractie verzoeken de regering om nadere toelichting waarom de verordening niet op een eerder moment is geïmplementeerd, aangezien de deadline van 24 september 2023 reeds is verstreken.
De leden van de PVV-fractie merken op dat er geen evaluatie zal plaatsvinden. Gezien de regeldruk nog een onbekende factor is lijkt het voor de hand dat er een evaluatie zal plaatsvinden. Waarom wordt afgezien van een evaluatie?
De leden van de GroenLinks-PvdA-fractie willen weten hoe vaak de Kamer geïnformeerd wordt over de vordering op deze wet. Op welke termijn wordt de uitvoering geëvalueerd?
De leden van de vragen D66-fractie hoe er gecontroleerd zal worden dat data niet gebruikt wordt door de inzet van Artificial Intelligence (AI), bijvoorbeeld bij Large Language Models?
De fungerend voorzitter van de commissie, Kathmann
Adjunct-griffier van de commissie, Muller