Ontvangen 12 februari 2024
De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.
Inhoudsopgave
I |
ALGEMEEN |
00 |
1. |
Inleiding |
00 |
2. |
Hoofdlijnen van het wijzigingsprotocol |
00 |
3. |
Uitvoering van het wijzigingsprotocol |
00 |
4. |
Verwerking van persoonsgegevens op grond van de Wiv 2017 |
00 |
5. |
Advies en consultatie |
00 |
II |
ARTIKELSGEWIJZE TOELICHTING |
00 |
De leden van de GroenLinks-PvdA-fractie hebben met belangstelling kennisgenomen van de zogenaamde Conventie 108. Zij onderstrepen het belang van het actualiseren van wetgeving rondom persoonsgegevens. De snelheid waarmee de wereld digitaliseert dwingt wetgevers om ertoe om altijd aansluiting te blijven vinden tussen de meest moderne technieken en het recht van mensen op regie over hun eigen data. Over de aanpassingen geregeld in deze wet hebben de fractieleden vragen en opmerkingen.
Met enige verbazing lezen de leden van deze fractie dat wijzigingen aan de onderliggende wet, die meer dan twintig jaar geleden zijn voorgesteld, nog altijd niet in werking zijn getreden. Slechts dertig van de deelnemende partijen hebben dit geratificeerd. Welke partijen hebben dit nog niet gedaan? Welk perspectief is er op de implementatie van deze wijzigingen? Welke gevolgen heeft het dat er nog altijd partijen zijn die dit niet hebben gedaan?
Eveneens zijn de leden verbaasd dat het verdrag uit 1981 nog moet worden goedgekeurd voor Aruba, Curaçao en Sint-Maarten. Kan de regering toelichten waarom dit nog niet is gebeurd? De kaders voor het omgaan met persoonsgegevens komen voort uit het beschermen van universele mensenrechten. Die dienen in heel het Koninkrijk gelijk te zijn, dus sporen de leden aan om zo snel mogelijk de datawetgeving in alle delen van Nederland te harmoniseren. Zij volgen hierin de lijn van de Autoriteit Persoonsgegevens. Wanneer kunnen de leden verwachten dat een dergelijke harmonisatie is gelukt? Wat is er nodig aan middelen, onderzoek en regelgeving om de rijkswet succesvol te implementeren, zo vragen de leden van deze fractie.
De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel en hebben enkele vragen.
De leden van de GroenLinks-PvdA-fractie begrijpen dat wetten die zien op gegevensverwerking enige flexibiliteit vereisen om de voortgang van digitale technologie bij te benen. Hoe toekomstbestendig is de geactualiseerde wet? Welke gevolgen heeft het dat er nog lang gebruik is gemaakt van een verouderd verdrag uit 1981? Heeft de regering concrete voorbeelden waarin het verdrag wegens haar ouderdom schuurde met nieuwere regelgeving?
Ook lezen deze leden dat het wijzigingsprotocol betrekking heeft op de bevoegdheden van de EU. Hoe ziet Europa erop toe dat het verdrag door al haar lidstaten succesvol wordt geïmplementeerd? Hoe treedt zij op als lidstaten dit niet doen? Bovendien heeft de wijziging van Conventie 108 betrekking op de verwerking van persoonsgegevens door veiligheidsdiensten en defensie. Wat vraagt het van lidstaten om deze wijzigingen door te voeren? Zijn alle partijen hiertoe uitgerust, vooral gezien de onstabiele internationale situatie die veel vraagt van onze veiligheidsdiensten en militaire diensten?
De leden lezen dat het wijzigingsprotocol de bepaling uit artikel 3, betreffende het uitsluiten van sectoren of activiteiten van het verdrag, schrapt. Dit vinden de leden een terechte wijziging; veilige verwerking van persoonsgegevens dient immers in de hele breedte plaats te vinden. Kunt u concrete voorbeelden noemen van sectoren en activiteiten die door verdragspartijen zijn uitgesloten? Heeft Nederland wel eens een dergelijke uitzondering gemaakt? Ook lezen de leden dat het wijzigingsprotocol het niveau van de gegevensbescherming verhoogt en de bescherming van bijzondere persoonsgegevens versterkt. Kunt u dit uitgebreider toelichten?
Het verdrag voert enkele nieuwe rechten in, waaronder het recht dat er geen besluiten over je mogen worden gemaakt door een geautomatiseerde verwerking van persoonsgegevens. Gezien de wijzigingen uit 2018 stammen en met name kunstmatige intelligentie de afgelopen jaren heel snel haar entree heeft gemaakt op allerlei werkplekken en maatschappelijke functies, vragen de leden zich af of dit gewijzigde verdrag bepaalt dat ook AI-applicaties geen besluiten mogen maken over personen. Ziet u in het verdrag verder nog punten die kwetsbaar zijn om snel te verouderen ten opzichte van nieuwe technologie? Is er met de verdragspartijen afgesproken wanneer een nieuwe actualisatie van het verdrag noodzakelijk is? Hoe wordt dat beoordeeld?
De leden van voornoemde fractie lezen met enige twijfel dat het verdrag vrijheid kent voor deelnemers om de bepalingen om te zetten in nationaal beleid. Hoewel het lidstaten uiteraard vrij staat om democratisch tot eigen kaders te komen waarbinnen zij omgaan met de gegevens van inwoners, vinden de leden het ook van belang dat er een duidelijke ondergrens is waar minstens aan voldaan moet worden om burgers goed te beschermen. Vindt u dat dit verdrag een dergelijke ondergrens stelt? Hoe veel vrijheid hebben deelnemende partijen om af te zien van verdragsbepalingen? Hoe groot is die vrijheid met betrekking tot de nationale inlichtingen- en veiligheidsdiensten, die volgens de leden een extra verantwoordelijkheid dragen om secuur met persoonsgegevens om te gaan?
In de memorie van toelichting staat dat het evaluatiemechanisme nog wordt uitgewerkt in de Raad van Europa. Wanneer is dat proces rond? Acht de regering het van belang dat het evaluatiemechanisme nog voor de implementatie van dit verdrag wordt afgerond? Nationale autoriteiten worden aangewezen om «besluiten te nemen met betrekking tot schendingen van het verdrag». Wat voor besluiten bedoelt de regering daarmee?
Het Aanvullende Protocol treedt buiten werking zodra het wijzigingsprotocol in werking treedt. Geldt dat per land, of moeten alle verdragspartijen het wijzigingsprotocol implementeren voordat het Aanvullende Protocol in z’n geheel komt te vervallen? Ook blijft de EU aansporen om het wijzigingsprotocol zo snel mogelijk te ratificeren. Welke verdragspartijen lopen hiermee achter? Hoe dwingend is de EU in haar aansporingen? Heeft zij een deadline gesteld voor implementatie of is het geheel vrijblijvend?
Het belang van het wijzigingsprotocol wordt duidelijk in de tegenstrijdige verplichtingen die soms gelden bij het hanteren van het oude verdrag, zo lezen de leden. Heeft de regering concrete voorbeelden van zulke tegenstrijdige verplichtingen? Heeft dit eerder in de praktijk tot problemen geleid?
De leden hebben enige twijfel bij de volgende claim dat het gemoderniseerde verdrag «een hoog niveau van bescherming voor de datasubjecten verenigt met de nodige flexibiliteit voor de verdragspartijen om de bescherming van persoonsgegevens te kunnen afwegen tegen andere fundamentele rechten, vrijheden en belangen.» Deze leden zien de verantwoordelijke omgang met persoonsgegevens juist als integraal onderdeel van fundamentele rechten en vrijheden. Welke ondergrens stelt het gemoderniseerde verdrag aan het afwegen van die belangen? Hoe wordt het hoge niveau van veiligheid gewaarborgd als verdragspartijen het recht op de persoonlijke levenssfeer makkelijk op zij zetten voor andere belangen? Hoe rijmt de flexibele toepassing met de bewering dat «het wijzigingsprotocol een belangrijke bijdrage [kan] leveren aan de wereldwijde versterking van het recht op privacy met betrekking tot de geautomatiseerde verwerking van persoonsgegevens»? Dit klopt toch alleen als het verdrag zo breed mogelijk omarmd wordt en wereldwijd wordt geïmplementeerd? In hoeverre is deelname aan het verdrag vrijblijvend? Welke sancties worden er genomen als landen het verdrag niet implementeren? Welke voordelen heeft het voor een niet-deelnemende partij om toe te treden tot het verdrag? Welke nadelen kleven daar aan, zo vragen de leden van voornoemde fractie.
De leden van de D66-fractie constateren dat er lang over het wijzigingsprotocol is onderhandeld. Wat waren tijdens deze onderhandelingen de punten die de meeste tijd in beslag namen?
De leden van deze fractie willen daarnaast weten in hoeverre een lidstaat kan voorstellen om wijzigingen aan te brengen in de Conventie 108. Welk proces moet dan worden gevolgd, zo vragen zij.
De leden van de GroenLinks-PvdA-fractie lezen dat er in de Caribische landen en het Caribische deel van Nederland wordt gestreefd naar het verhogen van de bescherming van persoonsgegevens dat «(minimaal) beantwoordt aan de standaarden van het gemoderniseerde verdrag.» Kunt u toelichten wat de minimale verplichting vanuit het verdrag zou zijn? Op welke manieren zou er ambitieuzer dan het verdrag gehandeld kunnen worden, zo vragen de leden van deze fractie.
De leden van de D66-fractie vernemen graag op welke termijn de regering uitvoeringswetgeving voor het Caribisch deel van het Koninkrijk verwacht met de Tweede Kamer te kunnen delen. In hoeverre verschillen nu de huidige regelingen in het Caribisch deel van het Koninkrijk voor het verwerken van persoonsgegevens door veiligheids- en inlichtingendiensten met die van het Europees deel van het Koninkrijk, zo vragen deze leden.
De leden van de Groenlinks-PvdA-fractie merken op dat de Wiv 2017 verplicht dat er zo spoedig mogelijk, uiterlijk binnen drie maanden, wordt medegedeeld als persoonsgegevens worden verwerkt. Wordt hier altijd tijdig aan voldaan? Hoe controleert de regering of deze informatie ook echt «zo spoedig mogelijk» wordt gedeeld, zo willen deze leden weten.
De leden van de D66-fractie vragen waarom de regering het onnodig acht om de adviserende rol van de toezichthouders Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) en de Toetsingscommissie Inzet Bevoegdheden (TIB) wettelijk vast te leggen. Kan dit worden toegelicht, zo vragen zij.
De leden van de GroenLinks-PvdA-fractie vragen welke rol de bewindspersoon heeft die toeziet op digitalisering bij de verdere uitwerking, aanpassing en controle op de Wiv 2017? Hoe blijft de bewindspersoon maximaal betrokken om toe te zien dat de Wiv 2017 voldoet en bijdraagt aan de ambities voor waardengedreven digitalisering?
Artikel 2
De leden van de GroenLinks-PvdA-fractie vragen hoe het doel om elk individu, ongeacht nationaliteit of woonplaats, goed te beschermen, rijmt met de flexibiliteit die het verdrag toe laat voor deelnemende landen om zelf de afweging te maken tussen veilige omgang met persoonsgegevens en andere nationale belangen? Is de regering het met de leden eens dat dit logischerwijs leidt tot verschillende niveau’s van bescherming in verschillende landen, zo vragen zij.
Artikel 7
De leden van de GroenLinks-PvdA-fractie merken op dat dit artikel bepaalt dat betrokkenen volledig geïnformeerd dienen te worden over de verwerking van hun gegevens. Echter, in acht nemend dat privacy-verklaringen amper worden gelezen, is het toch aannemelijk dat veel mensen niet volledig geïnformeerd zijn over wat er met hun data gebeurt? Welke eisen voor toegankelijkheid bepaalt dit artikel? Zijn er standaarden voor het zo begrijpelijk en duidelijk mogelijk informeren over de verwerking van persoonsgegevens, zo vragen deze leden.
De fungerend voorzitter van de commissie, Kathmann
De griffier van de commissie, Boeve