Ingediend | 15 januari 2021 |
---|---|
Beantwoord | 9 april 2021 (na 84 dagen) |
Indiener | Kees Verhoeven (D66) |
Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66), Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66), Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Ank Bijleveld (minister defensie) (CDA) |
Onderwerpen | openbare orde en veiligheid organisatie en beleid recht staatsrecht |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2021Z00730.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-2287.html |
Het kabinet meent dat de overheid zelf voorop moet lopen bij de eerbiediging van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. De overheid heeft een voorbeeldfunctie bij de naleving van wettelijke en verdragsrechtelijke normen. Burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd waar deze worden verwerkt door de overheid. Dat geldt uiteraard ook voor de in de vraag aangehaalde voorbeelden, waarover het kabinet met uw Kamer in veel gevallen al heeft gesproken. Daarbij is tevens gesproken over de lessen die daaruit getrokken kunnen worden. Ook bij deze gelegenheid wil het kabinet tot uitdrukking brengen dat wanneer de overheid het in haar gestelde vertrouwen beschaamt, het kabinet zich dat aan trekt. De Minister voor Rechtsbescherming heeft dit eveneens benadrukt in het debat met uw Kamer over het Privacylek in de systemen van de GGD van 3 februari jl1. Verder is tijdens het debat onderstreept dat elk onderdeel van de overheid zelf is gehouden om processen zo in te richten dat de verwerking van persoonsgegevens voldoet aan de regels uit de Algemene verordening gegevensbescherming (AVG) en diens uitvoeringswet, en dat voldoende middelen worden gealloceerd voor het treffen van passende technische en organisatorische maatregelen. Een functionaris voor gegevensbescherming dient vervolgens interne controle uit te oefenen op de naleving ervan en hierover te adviseren. Indien blijkt dat overheidsorganisaties hier niet of onvoldoende toe in staat zijn, dan gaat het kabinet hierover met het desbetreffende onderdeel in gesprek.
Voor een toelichting op de nulmeting 2018/2019 die de politie zelf uitvoerde op de mate waarin de 36 door de politie geselecteerde systemen voldoen aan wet- en regelgeving verwijs ik u naar de verslaglegging van een schriftelijk overleg over de politie over het onderwerp datagebruik. Vernieuwing en verbetering van de systemen is een doorlopend proces.2
Het vernieuwen van de digitale infrastructuur is – gezien de aard, omvang en complexiteit van de politieorganisatie en voortdurende technologische en maatschappelijke ontwikkelingen – een doorlopend proces, waarbij de politie eveneens voortdurend werkt aan compliance op het gebied van gegevensbescherming en informatiebeveiliging.
De politie heeft de nulmeting ten aanzien van de kritieke systemen in 2018/19 uitgevoerd om daarmee inzicht te krijgen in hoeverre deze systemen voldoen aan de verplichtingen in de Wet politiegegevens (Wpg) en aan het eigen beleid op dit terrein. Ten tijde van deze nulmeting voldeed het grootste deel van de 36 onderzochte applicaties niet aan alle wettelijke eisen. De mate waarin en de oorzaken hiervan zijn divers en zijn niet enkel gelegen in de betreffende ICT-systemen. Zo is uit evaluaties gebleken dat de Wpg niet goed aansluit op de technologische ontwikkelingen. Er wordt gewerkt aan een nieuw wettelijk kader.
Naar aanleiding van de nulmeting heeft de politie verbeteringen aangebracht. Zoals in het antwoord 2 en 3 is aangegeven betreft dit een doorlopend proces. Voor een verdere toelichting hierop verwijs ik u wederom naar het verslag van een schriftelijk overleg over de politie.3 Bij de ontwikkeling van nieuwe systemen worden de principes van Privacy and Security by Design gevolgd, zoals vereist in de Wpg sinds 2019.
Zie de antwoorden 1 t/m 5 in het verslag van een schriftelijk overleg over de politie met betrekking tot datagebruik.4
De AP heeft de Minister van Justitie en Veiligheid hier niet op aangesproken. Voldoen aan privacywetgeving is de verantwoordelijkheid van de verwerkingsverantwoordelijke en dus van het desbetreffende bestuursorgaan zelf. Hierop houdt de AP toezicht en het contact op dit gebied verloopt tussen de AP en het betreffende bestuursorgaan. De politie is op deze risico’s overigens evenmin aangesproken door de AP. Organisaties horen natuurlijk niet te wachten tot ze aangesproken worden, zij zijn verplicht zelf actief aan de slag te gaan om te laten zien dat ze aan de wet voldoen. Dit vraagt om degelijke positionering en borging van het interne toezicht, hetgeen gestalte krijgt in de vorm van een Functionaris Gegevensbescherming (FG). De FG is de wettelijke, onafhankelijke, interne toezichthouder op het gebied van gegevensbescherming. De FG is niet verantwoordelijk voor het opstellen en naleven van het privacybeleid, maar houdt hier wel toezicht op en signaleert eventuele risico’s. De politie heeft zelf het initiatief genomen tot genoemde nulmeting.
Op 27 november 2020 is uw Kamer per brief door de Minister van Defensie geïnformeerd over een eigenstandig onderzoek naar de naleving van de Algemene Verordening Gegevensbescherming (AVG) bij de dataverzameling door het Land Informatie Manoeuvre Centre (LIMC) dat de FG Defensie verricht.5
De FG Defensie legt de resultaten van haar onderzoek en de aanbevelingen vast in een rapport. De Minister van Defensie zal dat rapport dan samen met haar appreciatie naar de Tweede Kamer sturen. Zoals ook gemeld in de brief van 15 december jl. wacht de Minister van Defensie voor de beantwoording van Kamervragen over het LIMC de resultaten van dit onderzoek af.6
De Minister van Defensie heeft uw Kamer op 27 november 2020 per brief geïnformeerd dat zij in afwachting van de uitkomsten van het onafhankelijke onderzoek van de FG Defensie, heeft besloten het verzamelen en analyseren van informatie door het LIMC te staken. Het AVG-onderzoek bij LIMC is tevens aanleiding bij alle defensieonderdelen nadrukkelijk aandacht te besteden aan naleving van de AVG bij de verwerking van persoonsgegevens. Uit voorzorg is in afwachting van het onderzoek een aantal activiteiten aangepast of stilgelegd. Hierover wordt uw Kamer nader geïnformeerd door de Minister van Defensie in de brief met haar appreciatie bij het rapport van de FG over het LIMC.
De CTIVD heeft in haar reactie op de Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017 gesteld dat dit beleid in het licht kan worden geplaatst van haar aanbeveling (in de rapporten 70 en 71) om overkoepelend beleid voor bulkdatasets te maken ongeacht de bevoegdheid waarmee deze zijn verkregen.7 Tevens merkt de CTIVD op dat, zoals ook de toelichting op het beleid duidt, het beleid onverlet laat dat de bepalingen van de Wiv 2017 onverkort van toepassing zijn. De CTIVD herhaalt in dit licht hetgeen zij in de rapporten 70 en 71 heeft gesteld omtrent de relevantiebeoordeling van gegevens in bulkdatasets. De CTIVD heeft op 13 januari jl. een technische briefing over dit onderwerp gegeven aan uw Kamer.
Zoals vermeld in de Kamerbrief van 5 oktober 2020, kent het systeem SONAR tekortkomingen op het gebied van informatiebeveiliging en privacy (IB&P).8 SONAR is een essentieel systeem voor de UWV dienstverlening aan werkzoekenden. In de kern zijn de informatiebeveiliging en privacy (IB&P) tekortkomingen van SONAR het gevolg van eerdere ontwerpkeuzes gericht op effectieve dienstverlening aan klanten. De wetgeving op het gebied van privacy – en vooral ook de maatschappelijke en politieke aandacht hiervoor – heeft de afgelopen jaren een grote ontwikkeling doorgemaakt. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er ook bij UWV steeds meer aandacht voor de risico’s voor privacy die hierbij kunnen ontstaan. Om de IB&P-risico’s van SONAR volledig in kaart te brengen heeft UWV het initiatief genomen voor een extern onderzoek. Uit dat onderzoek is onder meer gebleken dat de toegang tot gegevens in SONAR te breed is ingericht. In de Kamerbrief van 5 oktober jl.9 – en in meer detail in de brief Stand van de Uitvoering van december 202010 – is uiteengezet welke maatregelen UWV op korte en langere termijn neemt om de geconstateerde tekortkomingen op te lossen.
De Minister van Sociale Zaken en Werkgelegenheid is van mening dat gegevens van burgers uitsluitend ingezien mogen worden door medewerkers die daartoe bevoegd zijn voor het uitvoeren van hun wettelijke taken. Het is belangrijk te benadrukken dat de gegevens in SONAR toegankelijk zijn voor geautoriseerde medewerkers en dat deze gegevens relevant zijn voor de belangrijke taak van UWV in de arbeidsbemiddeling. Geautoriseerde medewerkers hebben voor hun werkzaamheden toegang nodig tot een bepaalde set persoonsgegevens. Er is echter geconstateerd dat de toegang tot gegevens te breed is ingericht, waardoor geautoriseerde gebruikers toegang hebben tot gegevens die mogelijk niet direct noodzakelijk zijn voor de uitvoering van hun specifieke taken. Dat moet worden opgelost. UWV heeft een aanpak ontwikkeld om de IB&P-risico’s stap voor stap te mitigeren. SONAR wordt zoveel mogelijk verbeterd en in fases volledig vervangen.
Het klopt dat UWV de bewaartermijn met betrekking tot persoonsgegevens in SONAR onvoldoende heeft nageleefd. Op grond van de Archiefwet hanteert UWV voor deze gegevens een bewaartermijn van 5 jaar. Derhalve dient UWV de gegevens van klanten die 5 jaar of langer inactief zijn, uit het systeem te verwijderen. De mogelijkheden om het systeem «te schonen» waren echter beperkt. Dit is één van de geconstateerde tekortkomingen die verholpen moeten worden. UWV heeft dit inmiddels met prioriteit opgepakt, en de gegevens van klanten die 5 jaar of langer inactief zijn, worden door UWV in het eerste kwartaal van 2021 verwijderd. In het vervolg wordt de bewaartermijn van persoonsgegevens in SONAR structureel nageleefd.
Niet alle IB&P kwetsbaarheden en tekortkomingen in relatie tot de AVG kunnen worden verholpen in het huidige systeem (SONAR). Daarom wordt SONAR zoveel mogelijk verbeterd en in fases volledig vervangen. De volledige vervanging van SONAR zal niet voor 2025 afgerond zijn. Met deze gefaseerde aanpak worden de IB&P risico’s stap voor stap verminderd, waardoor er ook in de aanloop naar de (volledige) vervanging van SONAR al in toenemende mate wordt voldaan aan de AVG. Hierbij prioriteert UWV de benodigde verbeteringen op basis van de aard en omvang van de geconstateerde IB&P risico’s. Uiteraard zou het wenselijk zijn dat alle tekortkomingen al eerder volledig opgelost worden. Tegelijkertijd is het essentieel dat de UWV dienstverlening aan klanten te allen tijde doorgang heeft. Dat maakt deze operatie bijzonder complex. UWV kiest daarom bewust voor een zorgvuldige, geleidelijke aanpak.
De gegevens van klanten die 5 jaar of langer inactief zijn, worden door UWV verwijderd. Voor (oud-)klanten die minder dan 5 jaar inactief zijn is het – naast wettelijke verplichtingen die volgen uit de Archiefwet – ook onwenselijk om gegevens (eerder) te verwijderen, omdat een deel van deze klanten regelmatig in- en uitstroomt als gevolg van korte dienstverbanden of tijdelijk werk. Deze klanten zouden dan telkens opnieuw hun gegevens moeten doorgeven. UWV onderzoekt of het technisch mogelijk is om de gegevens van klanten in SONAR – gedurende inactiviteit – onzichtbaar te maken. De Minister van Sociale zaken en Werkgelegenheid blijft met UWV in gesprek over de ontwikkelingen in dit dossier en zal uw Kamer hierover steeds in de Stand van de Uitvoering informeren.
Op 17 juli 2020 heeft de Staatssecretaris van Justitie en Veiligheid uw Kamer geïnformeerd over de opschorting van de verstrekking van dagelijkse bezettingsgegevens van alle asielzoekers door het COA aan het Nationaal Vreemdelingen Informatieknooppunt (NVIK) van de politie.11 In de beantwoording op de vragen van lid Van Toorenburg (CDA) en de vragen van leden Verhoeven en Van Beukering-Huijbregts (beiden D66) benadrukken de Minister en Staatssecretaris van Justitie en Veiligheid dat er geen twijfel over de rechtmatigheid van de verstrekking mag zijn.12 Na onderzoek van het extern adviesbureau PMP blijkt dat deze verstrekking een onevenredige impact had op de persoonlijke levenssfeer van asielzoekers.13 In de afgelopen jaren is het belang van data-minimalisatie en databescherming duidelijk geworden. De ketenpartners hebben uit deze casus belangrijke lessen getrokken. Het NVIK is overgestapt naar het gebruik van de Basisvoorziening Vreemdelingen (BVV) waarbij de privacy van asielzoekers is gewaarborgd en waardoor het delen van dagelijkse bezettingsgegevens van alle asielzoekers niet meer noodzakelijk is.
Het NVIK is bevoegd om gegevens en inlichtingen op te vragen bij bestuursorganen ten behoeve van de uitvoering van de Vreemdelingenwet.14 Het rapport van het externe adviesbureau PMP stelt dat het NVIK de noodzaak van de verwerking van bijzondere persoonsgegevens heeft kunnen aantonen. Deze gegevens kunnen relevant zijn in de uitvoering van de toezicht- en handhavingstaken van de politie. Zo kunnen deze gegevens van belang zijn voor het voorkomen van geweldsincidenten en bij het opsporen van weggelopen asielzoekers. De juridische grondslag voor het gericht opvragen en verwerken van bijzondere persoonsgegevens ten behoeve van de uitvoering van de Vreemdelingenwet staat daarmee ook niet ter discussie.
Het NVIK vervaardigt informatieproducten voor de vreemdelingenketen. Met behulp van deze informatieproducten kan het NVIK trends met betrekking tot vreemdelingen waarnemen en daarop tijdig acteren. Hierbij zijn bijzondere persoonsgegevens relevante informatie om bijvoorbeeld ontwikkelingen van asielstromen in kaart te brengen. Geaggregeerde bijzondere persoonsgegevens zijn dus van belang bij een effectieve uitvoering van het vreemdelingenbeleid. Het NVIK werkt aan een werkwijze waarbij deze informatieproducten kunnen worden vervaardigd zonder dat de persoonlijke leefsfeer van asielzoekers onevenredig wordt geschaad.
In aanvulling op het algemene regels uit de AVG, voorziet de WGS in diverse aanvullende waarborgen. Zo beoordelen de verplichte rechtmatigheidsadviescommissies de rechtmatigheid van de verwerking van persoonsgegevens en doen zij aanbevelingen op dat vlak. Daarnaast zijn er onafhankelijke privacy audits; elk samenwerkingsverband wordt periodiek doorgelicht op compliance met de AVG en de WGS. De resultaten van de privacy audits moeten worden toegezonden aan de AP. Tevens komt er een coördinerende functionaris voor de gegevensbescherming, voor de coördinatie van het bestaande toezicht door de functionarissen voor de gegevensbescherming.
De WGS bevat een transparantieplicht over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Het resultaat van geautomatiseerde gegevensanalyse mag uitsluitend worden gedeeld na menselijke tussenkomst, waarbij wordt beoordeeld of het resultaat op een zorgvuldige wijze tot stand is gekomen. Daarbij moet uitleg worden gegeven over gehanteerde patronen, indicatoren en andere onderliggende logica. Zo wordt voorkomen dat een niet op juistheid en objectiviteit geverifieerd signaal wordt verstrekt, en dat ten onrechte een risico wordt gesignaleerd. Onrechtmatige data zullen worden hersteld en niet worden gebruikt als sturingsinformatie of interventie-advies. Tot slot verbiedt de WGS oncontroleerbare of onnavolgbare algoritmes (artikel 1.9, zesde lid, zoals ingevoegd bij amendement van de leden Van Nispen (SP) en Buitenweg (GroenLinks).
Het is van belang om per casus te beoordelen welke wetgeving van toepassing is.
In het geval dat de AVG of WPG van toepassing is op de verwerking van gegevens ziet de AP toe op naleving, ook door de overheid. De AP heeft het thema «digitale overheid» voorts aangewezen als één van haar focusgebieden voor de periode 2020–2023.15 Verder heeft de AP geadviseerd over voorgenomen verwerkingen door de overheid en bijbehorende wettelijke grondslagen, zoals de adviezen over de trajecten om gegevens in te zetten ter bestrijding van de COVID-19 pandemie.
Het is vervolgens aan de toezichthouder in kwestie om per casus te bepalen of er een onrechtmatige gegevensverwerking plaats heeft gevonden. Indien dit het geval is wordt er ook ten aanzien van wetshandhavers door de toezichthouder in kwestie gehandhaafd.
Er is wet- en regelgeving over verwerken van gegevens, dit omvat ook de verzameling van gegevens. Dit betreft in hoofdzaak de normen uit het bestuurs- en gegevensbeschermingsrecht. Kern van die wetgeving is dat gegevensverwerkingen binnen de overheid, rechtmatig, behoorlijk en transparant zijn en berusten op een wettelijke grondslag. Dit is neergelegd in de AVG en uitgewerkt in de UAVG. Voor politie en justitie geldt de richtlijn politie en justitie, die is neergelegd in de Wpg en de WjSG. Op grond van de AVG is vereist dat overheidsorganisaties, indien zij gegevens verzamelen ten behoeve van een wettelijke taak, daarvoor een wettelijke grondslag hebben, met de nodige waarborgen. Dit kan uitgewerkt worden in sectorale wetgeving. Conform de systematiek van genoemde wetgeving is het aan de overheidsorganisatie in kwestie om er zorg voor te dragen dat de verwerking past binnen de wettelijke grondslag en geschiedt op een wijze zoals in de wet voorzien. Dit omvat logischerwijs mede dat het beginsel van doelbinding wordt gerespecteerd; en verzamelde gegevens dus niet voor een ander doel worden gebruikt. De overheidsorganisatie in kwestie moet aan de toezichthouder aan kunnen tonen dat haar gegevensverwerking rechtmatig, behoorlijk en transparant is en voldoet aan de in de AVG en nationale wetgeving gestelde eisen. Zoals in antwoord 25 aangegeven is het aan de toezichthouder, en in voorkomend geval de rechter, om te beoordelen of overheidsorganisaties conform deze wetgeving hebben gehandeld bij de verzameling van gegevens.
In aanvulling hierop wordt vanuit het Rijk gewerkt aan een verbetering van haar informatiehuishouding. Het stelt hiervoor meerjarenplannen op. Hier komt bij dat er door het kabinet beleid wordt gevoerd om het analyseren van rechtmatig verzamelde data aan verdere waarborgen te onderwerpen. Dit doet het door in te zetten op verdere waarborgen vóór (algoritmische) data-analyse en de ontwikkeling van een mensenrechten impact assessment, als door in te zetten op extra normen die in acht moeten worden genomen wanneer data-analyse wordt toegepast (de richtlijnen voor data-analyse door de overheid).16 Over de stand van zaken betreffende deze initiatieven wordt uw Kamer dit kwartaal nog nader geïnformeerd.
De resultaten van het vorig jaar uitgevoerde onderzoek van KPMG naar taken en middelen van de AP laten zien dat zowel het werkveld als de organisatie van de AP nog volop in ontwikkeling is. De AP heeft in de afgelopen jaren steeds extra budget toegekend gekregen om haar taken uit te kunnen voeren. Eind 2020 heeft de AP nog eens 4,7 miljoen euro extra ontvangen voor het oplossen van incidentele problematiek en voor het doen van een investering in haar bedrijfsvoering. Voor 2021 is haar budget éénmalig verhoogd naar in totaal 24,6 miljoen euro. Zoals de Minister voor Rechtsbescherming per brief van 19 november 2020 en tijdens het debat over het privacylek in de systemen van de GGD van 3 februari jl. heeft medegedeeld, is het aan een volgend kabinet om te besluiten over een eventuele structurele verhoging van de middelen van de AP. De Minister voor Rechtsbescherming gaat in zijn brief, in antwoord op de aangenomen motie, hier nader op in.17
De vragen zijn zoveel mogelijk separaat beantwoord.
Hierbij deel ik u mede namens de Minister van Defensie, de Minister van Sociale Zaken en Werkgelegenheid, de Minister voor Rechtsbescherming en de Minister van Binnenlandse Zaken en Koninkrijkrelaties dat de schriftelijke vragen van het lid Verhoeven (D66), van uw Kamer aan de Minister van Justitie en Veiligheid over grootschalige en onrechtmatige verzameling van data van burgers door de krijgsmacht, de politie, de Belastingdienst, de Inlichtingen- en Veiligheidsdiensten en andere overheidsorganisaties. (ingezonden 15 januari 2021) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.