| Ingediend | 15 juli 2020 |
|---|---|
| Beantwoord | 22 september 2020 (na 69 dagen) |
| Indieners | Kees Verhoeven (D66), Marijke van Beukering-Huijbregts (D66) |
| Beantwoord door | Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD) |
| Onderwerpen | openbare orde en veiligheid politie, brandweer en hulpdiensten |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z14049.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-124.html |
Ja.
Nee, deze persoonsgegevens worden niet gebruikt bij proactieve controles zoals in het Handelingskader proactief controleren is omschreven.
Nee, de verkregen data worden niet in het Criminaliteits Anticipatie Systeem verwerkt.
Het houden van toezicht op de naleving van de Vreemdelingenwet 2000 is onderdeel van de algemene politietaak naast het opsporen van strafbare feiten, handhaven van de openbare orde en hulpverlening. Hiervoor mag de politie persoonsgegevens gebruiken.
De politie heeft gegevens en inlichtingen nodig om op basis van artikel 1 Politiewet 2012, in het kader van taken ten dienste van de justitie, uitvoering te geven aan wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000. De politie heeft vooraf geen persoonsgegevens van groepen mensen nodig om te handhaven op incidenten.
De juridische basis voor het verstrekken van gegevens en inlichtingen door het COA aan de politie, is gelegen in artikel 107 van de Vreemdelingenwet 2000. Als de politie om die gegevens en inlichtingen vraagt, is het COA verplicht die te verstrekken.
Omdat naar het oordeel van COA en politie geen twijfel mag zijn over de rechtmatigheid van deze uitwisseling van persoonsgegevens, doet, in opdracht van het COA, momenteel een externe partij onderzoek hiernaar. In afwachting van de uitkomsten van de externe toetsing heeft het bestuur van het COA op 16 juli jl. besloten het delen van persoonsgegevens met de politie per direct op te schorten. Wij zullen uw Kamer zo snel mogelijk informeren over de uitkomst van deze externe toetsing. Aan de hand van de resultaten van de externe toetsing en een actualisatie van de Data Protection Impact Assessment (DPIA) van het COA over het verstrekken van gegevens en inlichtingen aan de politie zullen het COA en de politie de gemaakte afspraken opnieuw bezien en bekijken of deze aanpassingen behoeven.
Het Nationaal Vreemdelingen Informatie Knooppunt (NVIK) van de politie, laat sinds maart van dit jaar door een extern bureau een DPIA uitvoeren over de gehele vreemdelingenadministratie. De DPIA wordt naar verwachting in het vierde kwartaal van 2020 afgerond. Er is bij het NVIK geen deelbare DPIA die specifiek ziet op de uitwisseling van gegevens met het COA. Door het COA is een DPIA uitgevoerd voor deze overeenkomst, maar deze heeft plaatsgevonden onder de oude Wet bescherming persoonsgegevens. Op dit moment wordt de DPIA herijkt, waarbij het resultaat afhankelijk is van de uitkomsten van de onder vraag 5 genoemde externe toetsing. Wanneer het externe onderzoek gereed is, zullen we uw Kamer informeren over de externe toetsing en de DPIA’s van het COA toezenden.
Zie beantwoording vraag 2, 4 en 5.
De verstrekking van gegevens en inlichtingen door het COA aan de politie vindt plaats op grond van artikel 107 van de Vreemdelingenwet 2000. In afwachting van de externe toetsing heeft het COA in afstemming met de politie het delen van deze gegevens aan het NVIK opgeschort.
Voor het verwerken van persoonsgegevens door hen die met de opsporing zijn belast is de Wet politiegegevens van toepassing. Hierin staat dat wanneer een bepaald soort verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, er een «gegevensbeschermingseffectbeoordeling» moet plaatsvinden (artikel 4c Wpg). Er is geen overzicht van alle soorten verwerkingen en dus ook niet of ooit, indien nodig, een dergelijke beoordeling is uitgevoerd. Wel kan worden gesteld dat bij bijvoorbeeld de inzet van nieuwe technologieën dit soort beoordelingen standaard plaatsvinden. Dit is eerder toegelicht in de brief over de inzet van AI en algoritmes bij de politie3.
De overheid dient bij de verwerking van persoonsgegevens in de naleving van de AVG en het EVRM het goede voorbeeld te geven. Voor zover de overheid daarin niet slaagt, is dat laakbaar. In gevallen waarin de naleving tekort schiet, dienen dan ook zo spoedig mogelijk maatregelen te worden getroffen om daar een eind aan te maken. Dat kan, afhankelijk van het specifieke geval, door bepaalde systemen buiten werking te stellen of door andersoortige technische of organisatorische maatregelen te nemen. Het is het desbetreffende bestuursorgaan dat daarvoor verantwoordelijk is en daarop kan worden aangesproken.
Onze rol is ervoor te zorgen dat het algemene wettelijk kader waarbinnen persoonsgegevens worden beschermd op orde is en dat algemene beleidsmaatregelen worden getroffen om aan de verdere bescherming van persoonsgegevens bij te dragen. Een voorbeeld van dat laatste is de ontwikkeling van richtlijnen voor het gebruik van algoritmes door overheden.4 Dat een overheid of overheidsdienst aan de AVG voldoet, is de verantwoordelijkheid van de desbetreffende bestuursorganen zelf. Het is de rol van de vertegenwoordigende organen, de Autoriteit persoonsgegevens (AP) en de rechter om erop toe te zien dat dit ook daadwerkelijk gebeurt.
Het is aan de colleges van B&W om ervoor te zorgen dat hun gemeentelijke diensten de AVG naleven. Zij kunnen daarop worden aangesproken door de gemeenteraad. Op de naleving van de AVG wordt ook toegezien door de AP, die zo nodig handhavend kan optreden. Voor ons is op dit punt geen specifieke rol weggelegd. Het is daarom ook niet aan ons om vanaf enig moment te garanderen dat alle gemeenten overeenkomstig de AVG persoonsgegevens verwerken.
Zie antwoord vraag 11.
Volgens de AP zijn in 2019 in totaal ruim 27.800 klachten ontvangen. Ongeveer een derde van die klachten (9.000 stuks) betrof volgens de AP klachten in de zin van artikel 77 van de AVG, waarbij de indiener een klacht heeft over de verwerking van zijn of haar eigen persoonsgegevens. Dit zijn de klachten die de AP verplicht dient af te handelen. De andere klachten zijn klachten die bijvoorbeeld anoniem zijn, over iemand anders dan de melder zelf gaan of algemeen zijn. De AP is niet verplicht die klachten te behandelen, maar doet dat wel omdat ze volgens de AP belangrijk zijn voor haar onderzoekstaak. Die klachten leiden niet automatisch tot een individueel onderzoek. De wachttijd voor de behandeling van klachten was volgens de laatste meting van de AP zes maanden.
Naast klachten ontvangt de AP ook meldingen van datalekken. In 2019 waren dat er volgens de AP bijna 27.000. Bij 1.180 datalekmeldingen heeft de AP naar aanleiding van de melding actie ondernomen richting de organisatie die het datalek heeft gemeld. Naast datalekmeldingen ontvangt de AP ook klachten en signalen die betrekking hebben op datalekken. Naar aanleiding hiervan zijn nog circa 70 acties ondernomen richting de organisaties waar het datalek plaatsvond.
De AP en het Ministerie van JenV zijn een gezamenlijk extern onderzoek gestart naar de grondslagen van de financiering van de AP, de omvang van het budget en de risico’s behorende bij verschillende scenario’s. Dit onderzoek is uitgebreid en kijkt bijvoorbeeld ook naar mogelijke efficiencyverbetering en omvat een vergelijking met de toerusting van collega-privacytoezichthouders in Europa. Het onderzoek kost meer tijd dan vooraf werd verwacht. De resultaten worden in het najaar van 2020 verwacht.
Hierbij deel ik u mede dat de schriftelijke vragen van de leden Verhoeven en Van Beukering-Huijbregts (beiden D66), van uw Kamer aan de Minister voor Rechtsbescherming over het bericht «Politie en COA «overtreden privacywet» met delen persoonlijke data asielzoekers» (ingezonden 15 juli 2020) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.