Vraag 1

Bent u bekend met de berichten «Paspoorthandel: schatrijke buitenlanders kopen staatsburgerschap op Malta1», «Wat is de rol van deze Nederlandse hoogleraar bij omstreden paspoorthandel?»2 en «Onderzoek naar Groningse hoogleraar vanwege paspoorthandel Malta»?3

Ja.

Vraag 2

Hoeveel paspoorten en visa heeft Malta in de afgelopen vijf jaar verkocht?

Volgens het rapport van de Office of the Regulator on the Individual Investor Programme (ORiip) d.d. november 2018, zijn er tot 1 juli 2018 961 paspoorten afgegeven.4

Vraag 3

Welke nationaliteiten hebben de personen die deze paspoorten en visa hebben gekocht?

Volgens hetzelfde Oriip-rapport is er voor wat betreft paspoortafgifte over de periode 1 juli 2015 tot 1 juli 2018 een geografische verdeling bekend: 266 uit Europa, 70 uit Azië, 67 uit de Golfregio, 36 uit Afrika, 20 uit Noord Amerika, 16 uit het Midden Oosten, 4 uit Zuid Amerika, 3 uit het Caribisch gebied en 1 uit Oceanië. In de eerste editie van het rapport (2014) en de tweede editie (2015) is de geografische verdeling voor wat betreft aanmeldingen wel bijgehouden maar niet de afgifte.

Vraag 4

Is het mogelijk dat Malta paspoorten verkoopt aan mensen die (elders) in de EU worden verdacht van of zijn veroordeeld voor ernstige strafbare feiten, zoals witwassen of corruptie? Zo ja, hoe beoordeelt u dat? Zo nee, hoe kunt u dat garanderen?

De Maltese overheid geeft aan dat zij bij de aanvraag voor een Maltees paspoort een uitgebreide due dilligence toets uitvoert, onder meer bestaande uit het checken van Interpol en Europol en voor niet-EU burgers de standaard Schengentoetsing (check op onder meer EURODAC) en een toets of het politically exposed persons betreft dan wel of zij op een internationale sanctielijst voorkomen. Daarnaast wordt aanvullend onderzoek gedaan in het land van herkomst naar de achtergronden van de betreffende investeerder en gezinsleden, wat kan bestaan uit interviews met personen die de betrokkenen kennen.
Een dergelijke uitgebreide toets is helaas nooit een garantie dat er geen paspoort wordt verkocht aan de in de vraag genoemde personen.

Vraag 5

Hoe beoordeelt u de verkoop van paspoorten door de overheid van Malta, waarbij iemand zich voor 900.000 euro kan laten naturaliseren tot Maltees, waarmee iemand indirect ook het EU-burgerschap kan kopen?

Het kabinet acht het zogenoemd verkopen van paspoorten, waardoor een derdelander ook het EU-burgerschap kan verkrijgen, een onwenselijke wijze van naturalisatie. Evenwel bepaalt elke staat zelf, op grond van internationaal recht en met inachtneming van de daarin gegeven beperkingen, op basis van zijn eigen wetgeving wie zijn onderdanen zijn. Deze nationale wetgeving wordt door andere Staten geaccepteerd voor zover zij overeenstemt met internationaal recht. Het is aan het land om vast te stellen of aan nationale (wettelijke) voorwaarden voor verstrekking van een paspoort is voldaan.

Vraag 6

Deelt u de mening dat de mogelijkheid om paspoorten te kopen criminaliteit in de hand kan werken en een halt toegeroepen zou moeten worden? Deelt u voorts de mening dat het überhaupt niet mogelijk zou moeten zijn om het Europese burgerschap te kunnen kopen? Wat gaat u doen om deze problematiek aan te kaarten bij uw Europese, en in het bijzonder uw Maltese collega’s?

De mogelijkheid om een paspoort te verkrijgen op basis van een investering kan criminaliteit in de hand werken indien er geen goede toets is op openbare orde.
Met betrekking tot de tweede vraag verwijs ik naar het antwoord op vraag 5.
Met betrekking tot de derde vraag wijs ik erop dat de bezorgdheid om regelingen, op basis waarvan paspoorten kunnen worden afgegeven aan buitenlandse investeerders, breder leeft binnen de EU. Zo heeft de Europese Commissie naar aanleiding van haar rapport over Investor Citizenship and Residence Schemes 2 van 23 januari jl. aangegeven dat zij de genoemde regelingen zal monitoren. Bovendien heeft zij een expertgroep in het leven geroepen die de risico’s van deze regelingen nader onderzoekt. Naar aanleiding daarvan bereidt de Commissie een gezamenlijke set van veiligheidschecks voor om risico’s op het gebied van veiligheid, witwassen en corruptie tegen te gaan. Op basis van de uitkomst van dit initiatief van de Commissie wil het Kabinet de dialoog – bij voorkeur op EU-niveau – over genoemde regelingen aangaan.

Vraag 7

Deelt u de mening dat het verkrijgen van een EU-paspoort een logische vervolgstap kan zijn in het wegsluizen van grote sommen geld en vermogensbestanddelen, en daarmee in feite een schakel in corruptie en witwassen is, omdat het na het veiligstellen van vermogen logisch is dat mensen ongestoord van hun vermogen willen kunnen genieten? Zo ja, is hier dan geen sprake van het mogelijk faciliteren van corruptie en witwassen? Zo nee, waarom niet?

Ik kan niet uitsluiten dat er gevallen zijn waarin het verkrijgen van een EU-paspoort een schakel vormt in een groter corruptie- en witwasplan. Of dit feitelijk het geval is en of er daarbij sprake is van het faciliteren van corruptie en witwassen, vergt per geval een beoordeling. Zoals gemeld in de beantwoording van vraag6 heeft Malta aangegeven een uitgebreide due dilligence toets uit te voeren bij de aanvraag van een paspoort.

Vraag 8

Deelt u de mening dat het indirect kunnen kopen van het EU-burgerschap de veiligheid en integriteit van het vrije verkeer van personen in de Europese Unie kan ondermijnen? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Vanuit het oogpunt van veiligheid en integriteit is het zorgelijk wanneer het kopen van het EU-burgerschap de uitwerking heeft zoals die recent werd geschetst in de uitzending van Nieuwsuur.
In het antwoord op vraag zes is aangegeven dat op EU-niveau dit risico ook wordt onderkend en dat Nederland bij voorkeur in EU-verband de dialoog over dit soort regelingen wil aangaan.

Vraag 9

In hoeverre is bekend of de personen die een paspoort of visum hebben gekocht in Malta, daar ook verblijven of anderzijds een link hebben met Malta? Indien deze personen niet in Malta verblijven maar daar wel een woonadres hebben, hoe beoordeelt u dat en welke risico’s ziet u daarbij?

Het is mij niet bekend of genoemde personen die de Maltese nationaliteit hebben verkregen ook daadwerkelijk in Malta wonen. Het hebben verkregen van een nationaliteit brengt geen verplichting met zich mee om in het desbetreffende land te verblijven. Zo zijn er ook personen met een Nederlands paspoort die zelden of nooit in Nederland verblijven.
Ten aanzien van de risico’s verwijs ik naar de beantwoording van vraag7 over initiatieven terzake van de Europese Commissie.

Vraag 10

Hoe heeft Nederland zich tot nu toe opgesteld in de Europese Unie als het gaat om visa- en paspoorthandel, en in het bijzonder bij de inspanningen van de Europese Commissie op dit terrein naar aanleiding van de initiatieven volgend op het rapport «Investor Citizenship and Residence Schemes in the European Union»?4 Ziet u aanleiding om de opstelling van het Nederlandse kabinet te veranderen? Zo ja, op welke wijze? Zo nee, waarom niet?

Nederland heeft een expert afgevaardigd naar een bijeenkomst op 5 april jl. van de expertgroep (Group of Member States Experts on Investor Citizenship and Residence Schemes) die de Commissie in het leven heeft geroepen (zie ook vraag9 en is betrokken bij het opstellen van een rapport dat de Commissie aan het schrijven is. Dit rapport zal naar verwachting aan het einde van het jaar openbaar worden. Zoals in de beantwoording van vraag 6 is aangegeven, is het verstandig om de uitkomst van deze initiatieven van de Commissie af te wachten en op basis daarvan de dialoog – bij voorkeur op EU-niveau – over genoemde regelingen aan te gaan.

Vraag 11

Op welke wijze levert het kabinet expertise om de Europese Commissie te ondersteunen in de monitoring van deze problematiek en wat voor resultaten heeft dit tot nu toe opgeleverd? Kunt u bevestigen dat er inderdaad geen misbruik van bestaande regelingen wordt gemaakt?5

Nederland heeft een expert afgevaardigd naar een bijeenkomst op 5 april jl. van de expertgroep die de Commissie in het leven heeft geroepen (zie ook vraag11 en is betrokken bij het opstellen van een rapport dat de Commissie aan het schrijven is. Dit rapport zal naar verwachting aan het einde van het jaar openbaar worden. Ik kan op dit moment niet bevestigen dat er geen misbruik wordt gemaakt van bestaande regelingen in andere lidstaten.

Vraag 12

Hoe beziet u het probleem dat EU-lidstaten zelf beslissen wie hun nationaliteit krijgt, maar daarmee ook zelf beslissen wie het Europese burgerschap krijgt? Is dit wenselijk volgens u? Kunt u uw antwoord toelichten?

Op grond van internationaal recht, en met inachtneming van de daarin gegeven
beperkingen, bepaalt elke Staat op basis van zijn eigen wetgeving wie zijn onderdanen zijn – en derhalve ook wie het EU-burgerschap verkrijgt. Deze wetgeving wordt door andere Staten geaccepteerd voor
zover zij overeenstemt met internationaal recht. Het is aan het land om vast te
stellen of aan de nationale (wettelijke) voorwaarden voor verstrekking van een paspoort is voldaan en om te voorkomen dat daardoor mogelijkerwijs criminelen worden gefaciliteerd.
Het kabinet is van mening dat het verlenen van de nationaliteit de bevoegdheid van de EU-lidstaten moet blijven. Vanwege de relatie met het EU-burgerschap is het wel wenselijk dat, wanneer het verlenen van de nationaliteit negatieve effecten zou hebben voor andere lidstaten dit – het liefst op EU-niveau – met de desbetreffende lidstaat wordt besproken. Zie ook het antwoord op vraag 6.

Vraag 13

Bent u ervan op de hoogte dat de AIVD eerder heeft gewaarschuwd voor de risico’s die deze paspoorthandel met zich meebrengt? Zo ja, wat heeft u gedaan met deze waarschuwing? Welke oplossingen draagt de AIVD aan en wat heeft u daar tot nu toe mee gedaan?

Ik verwijs in dit verband naar de brief aan uw Kamer van de Staatssecretaris van Justitie en Veiligheid van 5 november jl. (kenmerk 2019Z21261). Daarin is vermeld dat vanuit het oogpunt van (nationale) veiligheid en openbare orde het zorgelijk is wanneer het Maltese programma de uitwerking heeft zoals die recent werd geschetst in de uitzending van Nieuwsuur. Belangrijk is daarom dat bij regelingen van lidstaten waarbij derdelanders het recht krijgen om vrij binnen de EU te reizen (zoals bij de paspoortregeling van Malta) een toets op gevaar voor (nationale) veiligheid en openbare orde wordt uitgevoerd.

Vraag 14

Wat vindt u ervan dat de AIVD deze paspoorthandel een «gevaar voor de nationale veiligheid» noemt? Bent u dit met de AIVD eens? Zo nee, waarom niet? Zo ja, kunt u dit toelichten?

Ik verwijs naar de brief van de Staatssecretaris van Justitie en Veiligheid van 5 november jl. (Kamerstuk 30 573, nr. 177) en de beantwoording van vraag 4 hierboven.

Vraag 15

Hoe beoordeelt u de waarschuwing van de AIVD dat door deze paspoorthandel «inlichtingenofficieren met kwade bedoelingen vrij kunnen reizen binnen de EU»?

Ook voor dit antwoord verwijs ik naar de brief van de Staatssecretaris van Justitie en Veiligheid van 5 november jl. (Kamerstuk 30 573, nr. 177) en de beantwoording van vraag 4 hierboven.

Vraag 16

In hoeverre is het u bekend dat deze zorgen ook bij inlichtingendiensten van andere lidstaten leven? Welke kansen ziet u om samen op te trekken met andere lidstaten en hun inlichtingendiensten om deze handel aan banden te leggen?

Er worden in het openbaar geen mededelingen gedaan over de informatievoorziening van of de samenwerking met buitenlandse inlichtingendiensten.

Vraag 17

In welke andere EU-lidstaten is het mogelijk paspoorten en visa te kopen? Hoeveel paspoorten en visa hebben deze lidstaten individueel verkocht? Welke nationaliteiten hebben de personen die deze paspoorten en visa hebben gekocht? Welke zaken vallen u op als u deze informatie bekijkt?

In het rapport van de Europese Commissie «Investor Citizenship and Residence Schemes in the European Union» d.d. 23 januari jl. staat aangegeven, dat dergelijke paspoortregelingen in drie lidstaten bestaan: Bulgarije, Cyprus en Malta. Wat betreft dergelijke visa regelingen gaat het om twintig lidstaten: Bulgarije, Tsjechië, Estland, Ierland, Griekenland, Spanje, Frankrijk, Kroatië, Italië, Cyprus, Letland, Litouwen, Luxemburg, Malta, Nederland, Polen, Portugal, Roemenië, Slowakije en het VK.
De regering beschikt niet over eigenstandige gegevens ten aanzien van de verstrekking van paspoorten en visa aan derdelanders. Het hierboven aangehaalde rapport van de Europese Commissie stelt bovendien dat beschikbare informatie hierover incompleet is.

Vraag 18

Welk verband is er volgens u tussen de moord op journaliste Caruana Galizia, die veel onderzoek deed naar de paspoorthandel, en de Maltese overheid die verantwoordelijkheid draagt voor de paspoorthandel in Malta? Hoe kijkt u naar het besluit dat is genomen door de Maltese overheid om een openbaar en onafhankelijk onderzoek in te stellen naar de moord?

In de beantwoording van de vragen van uw Kamer over het moordonderzoek naar Daphne Caruana Galizia (Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 867) heb ik verwelkomd dat de Maltese regering onlangs, conform de aanbeveling van de Raad van Europa, een openbaar onderzoek heeft ingesteld. Het kabinet ziet dit als een teken dat Malta de zaak serieus neemt en open staat voor de aanbevelingen van gezaghebbende instituties zoals de Raad van Europa. De samenstelling van de onderzoekscommissie is nog onderwerp van overleg tussen de regering en de familie. Het is aan de onderzoekscommissie om het onderzoek op onafhankelijke wijze vorm te geven.
Ik verwacht dat de Maltese overheid pas na afronding van de volledige rechtsgang en bovengenoemd openbaar onderzoek uitsluitsel zal kunnen geven over diverse vragen die er leven rondom deze afschuwelijke moord.

Vraag 19

Hoe beoordeelt u de rol van de Nederlandse hoogleraar bij deze paspoorthandel?

Over de rol van deze hoogleraar kan het Kabinet op dit moment geen oordeel geven. Zijn rol in de advisering van de Maltese overheid is onderwerp van een onafhankelijk onderzoek dat onder verantwoordelijkheid van de Rijksuniversiteit Groningen zal worden uitgevoerd.

Vraag 20

Bent u van mening dat hij voldoende onafhankelijk is om te kunnen opereren als onafhankelijk academicus op de Rijksuniversiteit Groningen? Zo ja, waarom? Zo nee, welke consequenties verbindt u daaraan?

Ook hierover kan het Kabinet op dit moment geen oordeel vellen. Het door de Rijksuniversiteit Groningen in te stellen onderzoek zal hierover duidelijkheid moeten geven.

Vraag 21

Herinnert u zich de antwoorden op de Kamervragen van de leden Groothuizen en den Boer, ingezonden op 24 januari 2019?6

Ja.

Vraag 22

Bent u van mening dat u het probleem van gouden paspoorten en visa voldoende serieus neemt, gelet op uw eerdere antwoorden dat «het een probleem kan zijn als bij de afgifte van «gouden paspoorten» en «gouden visa» door lidstaten onvoldoende wordt getoetst op openbare orde en nationale veiligheid»? Kunt u uw antwoord toelichten?

Het Kabinet neemt de risico’s van de afgifte van «gouden paspoorten» en «gouden visa» zeer serieus. Omdat het een EU-breed vraagstuk is, kijkt Nederland in de eerste plaats naar een aanpak op het niveau van de Europese Unie en steunt Nederland de Commissie in het haar streven om de regelingen te monitoren op mogelijke risico’s en op verenigbaarheid met het EU-recht.

Vraag 23

Hoeveel mensen hebben er sinds de invoering van de toelatingsregeling voor buitenlandse investeerders7 in 2013 gebruik gemaakt van deze regeling? Kunt u aangeven of de regeling sinds hij van kracht is wel eens misbruikt is, doordat het bijvoorbeeld is ingezet voor corrupte doeleinden?

Tot nu toe zijn er minder dan 10 verblijfsvergunningen aan buitenlandse investeerders afgegeven. Van misbruik van de regeling is het Kabinet niets bekend. Met name de inschakeling van de Financial Intelligence Unit (FIU) in Nederland en in het land van herkomst van de investeerder is een effectief middel om misbruik te voorkomen.

Vraag 24

Hoe effectief beoordeelt u de regeling? Bent u van mening dat de regeling wordt ingezet waarvoor het oorspronkelijk bedoeld was? In hoeverre overweegt u de regeling stop te zetten, gelet op het feit dat de Europese Commissie zorgen heeft over zogehete «investor citizenship?

Nederland stelt, in vergelijking met overige lidstaten, hoge eisen aan haar invulling van de toelatingsregeling die borgen dat de investering van toegevoegde waarde is voor de Nederlandse economie en misbruik wordt voorkomen.
Investeringen binnen de regeling moeten van voldoende toegevoegde waarde zijn voor de Nederlandse economie. De Rijksdienst voor Ondernemend Nederland (RVO) is verantwoordelijk voor de toetsing. Er is sprake van toegevoegde waarde als de investering aan twee van de volgende criteria voldoet:14 Binnen vijf jaar worden ten minste 10 arbeidsplaatsen gecreëerd,15 De investering draagt bij aan vergroting van de innovativiteit van het Nederlandse bedrijf,16 Er is sprake van een overige niet-financiële toegevoegde waarde, zoals specifieke kennis, netwerken, afnemers en actieve betrokkenheid van de investeerder.
Ondanks de tegenvallende resultaten in het verleden, wil het kabinet bezien of via het aanpassen van de regeling deze meer potentie krijgt om een bijdrage te leveren aan het Nederlandse investeringsklimaat en (door)ontwikkeling van innovatieve bedrijven. Dit is in lijn met de inzet zoals beschreven in de Kamerbrief «Technologie en Ondernemerschap; de hoogste tijd voor een nieuwe impuls», van 3 juni 2019 van de Staatssecretaris van Economische Zaken en Klimaat, waarin het belang van verbinding tussen startups en buitenlandse investeerders wordt onderstreept. Mocht na één jaar blijken dat de regeling deze potentie niet heeft, dan wordt zij afgeschaft. In dit jaar wordt rekening gehouden met de door de Europese Commissie aankondigde gezamenlijk set van aanbevelingen inzake veiligheidschecks op vergelijkbare regelingen om risico’s op het gebied van veiligheid, witwassen en corruptie tegen te gaan.
De verplichte tussenkomst van de Nederlands Financial Intelligence Unit (FIU, onderdeel van de politie belast met de bestrijding van witwassen) en die van het land van herkomst blijft behouden om misbruik, bijvoorbeeld in de vorm van witwassen, in de toekomst te blijven voorkomen. Met deze tussenkomst is de Nederlandse invulling van de regeling binnen de Europese Unie uniek.

Vraag 25

Wat vindt u van het idee om bijvoorbeeld EuropOL of de Europese Commissie onafhankelijk onderzoek te laten doen naar de paspoorthandel in Malta en andere lidstaten om onafhankelijk te kunnen vaststellen wat de effecten, gevolgen en gevaren zijn van deze handel? Zo nee, waarom niet? Zo ja, bent u bereid hiervoor te pleiten bij uw Europese collega’s?

Ik verwijs naar de beantwoording van vraag 6.

Vraag 26

Zijn er Nederlandse bedrijven, dan wel in Nederland ingeschreven bedrijven die actief zijn in de handel in paspoorten? Zo ja, hoe beoordeelt u deze activiteiten vanuit het oogpunt van het bestrijden van witwassen en corruptie?

Het is het Kabinet niet bekend dat Nederlandse dan wel in Nederland ingeschreven bedrijven actief zijn in de handel in paspoorten.

Vraag 27

Hoe rijmt u de Nederlandse en Europese inzet op het bestrijden van grensoverschrijdende criminaliteit zoals witwassen en corruptie tegenover de visa- en paspoorthandel die zich in Malta en andere lidstaten afspeelt? Deelt u de mening dat dit tegenstrijdig is met elkaar? Zo nee, waarom niet?

Binnen de Europese Unie wordt actief ingezet op het tegengaan van onder meer witwassen. Dit is ook de Nederlandse inzet, zie het recente gezamenlijke paper van Nederland met Frankrijk, Duitsland, Spanje, Italië en Letland over Europees anti-witwastoezicht. De actieve inzet leidt bijvoorbeeld tot regels op het gebied van openbare orde en nationale veiligheid en tot EU-richtlijnen inzake het voorkomen en bestrijden van witwassen. Deze maatregelen beogen complementair te zijn aan elkaar, niet strijdig. Elke lidstaat van de Europese Unie is hieraan gehouden.

Vraag 28

Bent u nog steeds van mening dat «EU-regelgeving op dit gebied niet wenselijk [is] en naar verwachting ook geen oplossing [biedt]», zoals geschetst in uw brief van 7 februari jl.?8 Deelt u de mening dat het bestrijden van witwassen en corruptie een Europese aanpak vraagt, zoals tevens ook bepleit door dit kabinet, en dat er dus ook kritisch gekeken moet worden naar regelingen voor het verkrijgen van paspoorten en verblijfsvergunningen in ruil voor investeringen, zowel door Nederland als door de andere lidstaten en de Europese Unie tezamen?

Beide vragen kan ik bevestigend beantwoorden. Zie ook het antwoord op vraag 22.

Vraag 29

Bent u bereid deze vragen individueel te beantwoorden?

Ja.

Vraag 30

Bent u bereid deze vragen uiterlijk te beantwoorden voor aanvang van het plenaire debat over de paspoorthandel in Malta?

Dat is afhankelijk van het tijdstip van dat debat.

Vraag 1

Bent u bekend met het bericht «Family of murdered Maltese journalist raise concerns over public inquiry»?1

Ja.

Vraag 2

Deelt u de mening dat het noodzakelijk is dat de moord op de Maltese anti-corruptie journalist Daphne Caruana Galizia geheel onafhankelijk wordt onderzocht?

De afschuwelijke moord op de onderzoeksjournaliste Daphne Caruana Galizia krijgt terecht veel aandacht, ook in Nederland, en verdient zoals eerder door mij is aangegeven, een grondig onderzoek.
Ik verwelkom het feit dat de Maltese regering onlangs, conform de aanbeveling van de Raad van Europa, een openbaar onderzoek heeft ingesteld en zie dit als een teken dat Malta de zaak serieus neemt en open staat voor de aanbevelingen van gezaghebbende instituties zoals de Raad van Europa. De samenstelling van de onderzoekscommissie is nog onderwerp van overleg tussen de regering en de familie. Het is aan de onderzoekscommissie om het onderzoek op onafhankelijke wijze vorm te geven.

Vraag 3

Deelt u de mening dat voor een onafhankelijke onderzoekscommissie het noodzakelijk is dat zij geen banden hebben met personen die de vermoordde journalist onderzocht en er geen enkele twijfel mag bestaan over de onafhankelijkheid?

Zie antwoord vraag 2.

Vraag 4

Deelt u de mening dat de onafhankelijkheid van de leden van de onderzoekscommissie naar de moord op Daphne Caruana Galizia in twijfel te trekken valt, vanwege relaties met personen die de journalist onderzocht en vanwege een afhankelijkheidsrelatie van de regering? Zo nee, kunt u dit toelichten?

Zie antwoord vraag 2.

Vraag 5

Bent u bereid, in het kader van rechtsstatelijke ontwikkelingen in de Europese Unie, dit onderwerp te bespreken met uw Maltese collega en er bij hem op aan te dringen dat de onderzoekscommissie geheel onafhankelijk moet zijn?

Het Kabinet blijft, zoals in eerdere beantwoording door mij aangegeven, deze kwestie op de voet volgen. Dit geldt ook voor de Raad van Europa en de Europese Commissie, die aangaven de ontwikkelingen rondom het proces zorgvuldig te bekijken.
Het onderwerp stond niet geagendeerd tijdens de Raad Justitie en Binnenlandse Zaken van 7 en 8 oktober jl of de Raad Algemene Zaken van 15 oktober jl. De regering van Malta heeft een openbaar onderzoek ingesteld en is hierover in overleg met de familie van Daphne Caruana Galizia. Op dit moment is er daarom wat het kabinet betreft geen noodzaak de kwestie binnen de EU te agenderen.
Bilateraal blijft Nederland de zaak en het belang van gedegen en onafhankelijk onderzoek bij Malta onder de aandacht brengen. De Nederlandse ambassade volgt de ontwikkelingen op de voet en brengt de Nederlandse zorgen op in gesprekken met vertegenwoordigers van de Maltese overheid. Ook ik breng de zaak regelmatig op in gesprekken die ik voer met mijn Maltese collega.

Vraag 6

Bent u van plan deze situatie en de vragen die het oproept over de rechtsstatelijkheid in Malta te bespreken met uw Europese collega’s? Bent u van plan dit te bespreken tijdens de Raad Algemene Zaken van 15 oktober 2019 en/of de Raad Justitie en Binnenlandse Zaken van 7/8 oktober 2019? Kunt u deze vragen beantwoorden voor deze Raden?

Zie antwoord vraag 5.

Vraag 7

Kunt u zich uw BNC-fiche «Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie» van 29 mei 2019 herinneren? Kunt u daaruit de uitspraak «Als waardengemeenschap zijn de EU en haar lidstaten verplicht om erop toe te zien dat de democratische rechtsstaat binnen de Unie wordt gerespecteerd en versterkt»2 herinneren? Kunt u uw inzet op rechtsstatelijkheid in Malta toelichten in licht van deze uitspraak?

Nederland acht het van groot belang dat de rechtsstaat in de Europese Unie en haar lidstaten goed functioneert, en maakt zich hiervoor samen met gelijkgezinde lidstaten in Europees verband sterk.
Zoals ik in mijn beantwoording van de vragen van het lid Leijtern (Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 1481) heb aangegeven, worden in de rapportage van de Venetië Commissie zorgen geuit over het functioneren van onderdelen van de rechtsstaat in Malta, en worden aanbevelingen gedaan.
Het kabinet neemt de zorgen van de Venetië Commissie serieus, en ziet graag dat Malta de aanbevelingen uit het rapport overneemt. Het kabinet vindt het bemoedigend dat de Maltese regering heeft aangegeven de aanbevelingen en conclusies in het rapport op te willen volgen. Malta heeft inmiddels de aanbeveling opgevolgd om de verantwoordelijkheden van de Procureur-Generaal te splitsen. Andere aanbevelingen worden momenteel door Malta bestudeerd. Het kabinet blijft de ontwikkelingen volgen en is bereid, als verdere stappen uitblijven, hierover het gesprek aan te gaan met Malta.

Vraag 8

Hoe ziet u de rechtsstatelijke situatie in Malta? Deelt u de mening dat effectief onafhankelijk onderzoek en rechtspraak essentieel zijn? Hoe duidt u specifiek de rechtsstatelijke situatie in Malta in het kader van «bevorderen, voorkomen, handhaven»?

Zie antwoord vraag 7.

Vraag 9

Bent u bekend met het rapport van de Venetië-Commissie van de Raad van Europa over Malta?3 4 Bent u van mening dat Malta alle aanbevelingen uit dat rapport moet implementeren? Bent u op de hoogte hoe ver Malta hiermee is? Zo ja, kunt u de Kamer hierover informeren?

Zie antwoord vraag 7.

Vraag 10

Bent u ervan op de hoogte dat er nog steeds strafzaken in het kader van smaad en laster lopen tegen Daphne Caruana Galizia?5 Bent u het eens dat deze zo spoedig mogelijk moeten worden ingetrokken? Bent u bereid uw Maltese collega hierop aan te spreken? Kunt u uw mening toelichten?

Het is aan de Maltese rechter om over deze zaken een uitspraak te doen.

Vraag 11

Kunt u de Kamer informeren over de relevante ontwikkelingen op het gebied van de rechtsstaat in Malta?

Zie beantwoording van de vragen 7–9.

Vraag 12

Bent u bereid deze vragen uiterlijk te beantwoorden voor aanvang van het plenaire debat over de paspoorthandel in Malta?

Ja, op het moment van schrijven is een debat nog niet ingepland.

Vraag 1

Kent u het bericht «Volgens Minister helpt privacy bedrijven om klanten binnen te houden»?1

Ja.

Vraag 2

Wat gaat u doen om het de facto verbod op cookiemuren onder de aandacht te brengen bij bedrijven?

De Autoriteit Persoonsgegevens (hierna: AP) heeft als nationale privacytoezichthouder de taak helderheid te verschaffen aan organisaties over de uitleg van wettelijke privacynormen. Zo heeft de AP in een eerder stadium de juridische normen rond cookiewalls uitgelegd en onder meer uitgelegd dat websites die bezoekers alleen toegang geven tot hun site als deze akkoord gaan met het plaatsen van zogeheten «tracking cookies» of andere vergelijkbare manieren van volgen en vastleggen van gedrag door middel van software of andere digitale methodes, niet voldoen aan de Algemene verordening gegevensbescherming (AVG).2
De AP gaf hierbij ook aan dat met de bekendmaking van deze uitleg van de norm er voor betrokken organisaties de opdracht ligt hun praktijk waar nodig hierop aan te passen. De AP heeft mij voorts laten weten de organisaties waar zij de meeste klachten over heeft ontvangen een brief te hebben gestuurd met de normuitleg. Daarin kondigde de AP ook aan dat zij de controle de komende tijd intensiveert om te bezien of de norm, in het belang van de bescherming van de privacy, op de juiste wijze wordt toegepast. De AP heeft de normuitleg ook met enkele brancheorganisaties gedeeld.

Vraag 3

Deelt u de mening dat conform artikel 25 (Privacy by Design) van de Algemene verordening gegevensbescherming (AVG) de standaardinstelling van websites, browsers, apps, etc. met betrekking tot tracking cookies, of «volgsoftware», zo ingericht moet zijn dat mensen niet gevolgd worden?2

De AP heeft al eerder aangegeven dat een toestemming voor het plaatsen van «tracking cookies» alleen rechtsgeldig is wanneer deze is verkregen door een opt-in maatregel. Een dergelijke maatregel houdt in dat de bezoeker of gebruiker de mogelijkheid moet worden gegeven om een keuze te maken tussen «ja» en «nee», alvorens de «tracking cookies» kunnen worden ingezet en behoort tot de standaardinstellingen van websites, browsers of apps. Daarnaast heeft het Hof van Justitie in een recente uitspraak uitgelegd dat voor het uitlezen van cookies een expliciete handeling van de betrokkenen wordt vereist en dat het verboden is om toestemming te vragen voor «tracking cookies» door middel van een standaard aangevinkt selectievakje.4
Hieruit volgt dat websites, apps of andere diensten die persoonsgegevens verwerken door middel van «tracking cookies» of «volgsoftware» dusdanig ingericht moeten zijn dat mensen niet zonder expliciete toestemming c.q. handeling gevolgd worden.
Voor nadere uitleg over het toestemmingsvereiste verwijs ik naar vraag 2 van mijn antwoorden op Kamervragen over het bericht «Websites overtreden massaal cookiewallverbod».5

Vraag 1

Zijn er naast het systeem Catch Strafrecht Verdachte en Veroordeelde (Catch) nog andere gezichtsherkenningssystemen die door de politie gebruikt worden?1

Naast Catch Strafrecht Verdachte en Veroordeelde maakt de politie ook gebruik van het systeem Catch in de uitvoering van de vreemdelingentaak. Het gaat hierbij om dezelfde applicatie als Catch Strafrecht Verdachte en Veroordeelde, maar in dit geval wordt gebruik gemaakt van gelaatsfoto’s die zijn opgenomen in de Basisvoorziening Vreemdelingen (BVV). De BVV bevat persoons- en statusgegevens van vreemdelingen. Naast de identificatie van vreemdelingen, mag dit systeem ook worden geraadpleegd ten behoeve van de opsporing en vervolging van strafbare feiten indien er een redelijk vermoeden bestaat dat de verdachte een vreemdeling is, of in het belang van het onderzoek en het opsporingsonderzoek op een dood spoor is beland, dan wel snel resultaat geboden is bij de opheldering van het misdrijf. Raadpleging is alleen toegestaan in geval van een misdrijf waarvoor voorlopige hechtenis is toegestaan en na schriftelijke machtiging van de rechter-commissaris op vordering van de officier van justitie.2
Naast deze toepassingen onderzoekt de politie of gezichtsherkenning breder kan worden ingezet bij de uitvoering van de politietaak. Zo worden opsporingsfoto’s (en dat kunnen ook «stills» van bewegende beelden zijn) afkomstig van camera’s in de openbare ruimte aangeboden voor gelaatsvergelijking in Catch. In alle gevallen wordt daarbij gekeken naar de wettelijke waarborgen, juridische mogelijkheden en beperkingen en de praktische bruikbaarheid.

Vraag 2

Worden gezichtsherkenningssystemen ook toegepast in de openbare ruimte? Zo ja, kunt u beschrijven hoe dit in de praktijk vormgegeven is?

Zie antwoord vraag 1.

Vraag 3

Gebruikt de politie scraping technieken voor andere doeleinden, specifiek voor doeleinden ten behoeve van gezichtsherkenning of anderszins? Zo ja, welke?

In algemene zin kan gesteld worden dat de politie te allen tijde de mogelijke toepasbaarheid beziet van methoden en technieken die van belang zouden kunnen zijn voor taakuitvoering (zoals in beperkte mate web crawling en scraping). Het (laten) doen van onderzoek, het kennisnemen van of opbouwen van kennis, en het kennis nemen van of zelf uitvoeren van experimenten zijn daarbij onderdeel van de inzet.

Vraag 4

Wat is de reden dat tijdens een audit zoals bedoeld in artikel 33 Wet politiegegevens (Wpg) niet wordt gekeken naar specifieke werkwijzen of systemen? Is toetsing aan de praktijk niet juist noodzakelijk voor een effectieve audit? Bent u bereid toe te zeggen dat volgende audits (art. 33 Wpg) worden uitgebreid zodat ook gekeken wordt naar de feitelijke situatie bij specifieke werkwijzen en systemen?

De audit (hierna: privacy audit) zoals bedoeld in artikel 33 Wet politiegegevens (hierna: Wpg) is gericht op de werking van het stelsel van gegevensbescherming. Bij de uitvoering van de privacy audit toetst een onafhankelijke auditor primair of de organisatie adequaat is ingericht om in voldoende mate tegemoet te komen aan de wettelijke bepalingen. Tijdens deze audit wordt niet gekeken naar specifieke werkwijzen of systemen.3
Voor de toetsing van specifieke werkwijzen en systemen hecht ik waarde aan de verplichte gegevensbeschermingseffectbeoordeling zoals opgenomen in artikel 4c van de Wpg. Het systeem Catch dateert van voor de inwerkingtreding van dit artikel (1 januari 2019). Er wordt bij de vernieuwing van het systeem Catch – die momenteel door de politie wordt uitgevoerd – een gegevensbeschermingseffectbeoordeling4 uitgevoerd die het gehele systeem Catch omvat.

Vraag 5

Ziet u het overschrijven van de wettelijke bewaartermijnen als een inbreuk op de beveiliging (art. 33a Wpg) en de onrechtmatige verwerking na de wettelijke bewaartermijn als een risico voor de rechten en vrijheden van de betrokkenen? Zo ja, worden deze overschrijdingen aan de Autoriteit Persoonsgegevens en aan de betrokkenen gemeld?

Artikel 1q Wpg geeft een definitie van inbreuk op de beveiliging. Volgens deze definitie is het overschrijden van wettelijke bewaartermijnen dan wel het raadplegen van te lang bewaarde data geen inbreuk op de beveiliging in de zin van art. 33a van de Wpg. Er is daarom geen sprake van een datalek waarvoor een meldplicht geldt.
Het overschrijden van de wettelijke bewaartermijn en de verwerking van te lang bewaarde gegevens levert echter wel een risico op voor de rechten en vrijheden van de betrokkenen. Tegenover dat risico staat het maatschappelijke belang van de opsporing van zware misdrijven, die soms lang onopgelost blijven. Zoals ik in de brief over de aanpak van cold cases5 heb geschetst, streef ik ernaar om bij de herziening van de Wpg/Wjsg een beter evenwicht te vinden tussen beide belangen. Daarbij moet ook goed gekeken worden naar de uitvoerbaarheid.
De (beleids)voorbereidingen voor de herziening van de Wpg en de Wjsg zijn inmiddels gestart. Dit gaat om een algehele herziening en modernisering van beide wetten die de informatiehuishouding van zowel de politie, bijzondere opsporingsdiensten, boa-werkgevers als het justitiële domein regelen. Ik verwacht de contourennota over deze herziening in het voorjaar van 2020 naar uw Kamer te kunnen sturen. Terwijl ik werk aan een structurele oplossing, heb ik de korpschef gevraagd tijdelijke maatregelen te nemen om de risico’s te beperken. In dit kader verwijs ik kortheidshalve naar mijn antwoord op vraag 11 van de eerder gestelde Kamervragen over de gezichtsdatabase6.

Vraag 1

Herinnert u zich de beantwoording van de schriftelijke vragen over het bericht «Polen sleept kritische juristen voor de rechter», ingezonden op 21 juni 2019?1

Ja.

Vraag 2

Herinnert u zich uw antwoord op vraag 2, waarin gevraagd werd hoe u het bericht duidt dat de Poolse regering kritische academici, bijvoorbeeld de hoogleraar Wojciech Sadurski, voor de rechter sleept (zoals genoemd in aangehaald artikel van Euractiv) en waarop u antwoordde dat het Poolse Ministerie van Justitie deze aanklacht heeft afgezien?2

Zie antwoord vraag 1.

Vraag 3

Herinnert u zich uw antwoord op vraag 5 en 7 dat u het niet opportuun achtte deze specifieke casus op te brengen in de Raad Algemene Zaken, omdat de aanklacht was ingetrokken?

Zie antwoord vraag 1.

Vraag 4

Kunt u toelichten waarop u uw antwoorden baseerde, waarin u de indruk wekt dat er geen procedures meer lopen tegen academici in Polen vanwege kritiek op de door Recht en Rechtvaardigheid (PiS) geleide regering zoals tegen de genoemde hoogleraar Wojciech Sadurski?

Vraag 5

Klopt het dat u zich alleen baseerde op een enkele zaak tegen zes Poolse academici die inderdaad is ingetrokken, maar dat u andere lopende zaken tegen academici vanwege het bekritiseren van de regering (zoals Wojciech Sadurski) niet heeft meegenomen in uw antwoord, ondanks dat deze hoogleraar specifiek is genoemd in de schriftelijke vragen?

Vraag 6

Bent u het ermee eens dat u met het antwoord op vraag 2, 5 en 7 de indruk wekt dat er geen aanklachten meer lopen tegen academici vanwege het bekritiseren van de regering en dat dit feitelijk onjuist is, aangezien er nog steeds drie zaken lopen tegen professor Wojciech Sadurski, zoals hij zelf ook aangaf in zijn tweet van 25 augustus 2019?3

Vraag 7

In hoeverre heeft het Nederlandse kabinet voldoende zicht op de realiteit in Polen als het gaat om het vervolgen van kritische academici en intellectuelen vanwege hun kritiek op de regering in Polen en het heersende klimaat als het gaat over de vrijheid van meningsuiting?

Vraag 8

Wat is uw reactie op het feit dat er nog steeds rechtszaken lopen tegen academici vanwege hun kritiek op de PiS-regering in Polen en daarmee vrijheid van meningsuiting onder druk staat? Deelt u de mening dat vrijheid van meningsuiting een hoeksteen is van de democratische rechtsstaat en daarom te allen tijde gewaarborgd dient te worden?

Vraag 9

Bent u bereid, nu duidelijk is dat er in Polen nog steeds wel degelijk academici vervolgd worden vanwege hun kritiek op de PiS-regering, dit in Europees verband in de Raad Algemene Zaken en in bilaterale contacten met uw Poolse collega aan te kaarten en de Kamer te informeren over de reactie van de Poolse autoriteiten?

Vraag 1

Bent u bekend met het bericht «Brussel trekt 900 miljoen uit voor gevolgen harde Brexit» waaruit blijkt dat de Europese Commissie een no-dealbrexit gelijkstelt aan een natuurramp?1

Ja.

Vraag 2

Wat is uw reactie op de berichtgeving dat de Europese Commissie bijna 900 miljoen euro uit wil trekken uit het Solidariteitsfonds van de Europese Unie (SFEU) (normaliter gebruikt voor natuurrampen) en het globaliseringsfonds voor EU-landen, bedrijven en werknemers die getroffen worden als het Verenigd Koninkrijk de Europese Unie zonder deal verlaat?

Het kabinet steunt de voorstellen van de Europese Commissie om deze twee fondsen in te zetten om de financieel economische consequenties van een no deal Brexit op te vangen. De Europese Commissie laat op deze manier blijken oog te hebben voor de mogelijk aanzienlijke financiële en economische gevolgen van een no deal voor sommige lidstaten, waaronder Nederland. De verwachting is namelijk dat Nederland, vanwege haar sterke economische verwevenheid met het VK, relatief hard geraakt zal worden door een no deal Brexit. Voor de goede orde benadrukt het kabinet dat het verbreden van de werkingssfeer van beide fondsen expliciet wordt bezien vanuit de uitzonderlijke context van de Brexit. Tegen die achtergrond schept dit voorstel geen precedent om de werkingssfeer van andere fondsen te verbreden.
Het kabinet wenst te benadrukken dat de voorstellen niets afdoen aan de eigen verantwoordelijkheid van bedrijven en (mede-)overheden om zich voor te bereiden op een no dealBrexit.
Het kabinet steunt ook de inzet van de Europese Commissie om gebruik te maken van bestaande fondsen binnen de huidige Europese begroting en het huidig MFK. Hiermee zet de Europese Commissie geen onnodige en additionele financiële druk op de bijdragen van de lidstaten aan de Europese begroting. De voorstellen hebben betrekking op de jaren 2019–2020 en lopen niet vooruit op de vormgeving van het volgende MFK en de onderhandelingen daarover; het kabinet steunt deze tijdelijkheid. Bij de beoordeling van beide voorstellen heeft Nederland de eenheid binnen de EU27 meegewogen.

Vraag 3

Aangezien het Europees parlement en de lidstaten dit voorstel nog moeten goedkeuren, verwacht u dat dit op korte termijn zal gebeuren? Ondersteunt u dit voorstel? Kunt u het speelveld in de Raad schetsen?

Naar verwachting is er voldoende steun voor het EGF-voorstel van de Commissie in zowel de Raad als het Europees parlement.
Er is nog discussie voorzien tussen lidstaten die het EUSF vooral voor de originele doelstelling wensen te behouden en lidstaten die wijzen op de praktische mogelijkheden om voor het EUSF een aanvraag te kunnen indienen. De tweede groep lidstaten zal hierbij mogelijk pleiten voor een verlaging van de drempelwaarden.

Vraag 4

Deelt u de mening dat Nederland bij uitstek één van de landen is die het meest getroffen zal worden in het geval van een no-dealbrexit? Deelt u daarom de mening dat juist Nederland, Nederlandse bedrijven en werknemers aanspraak zouden moeten kunnen maken op deze fondsen? Zo nee, waarom niet?

Zoals eerder met uw Kamer gedeeld2, zullen de gevolgen van een no deal Brexit voor de Nederlandse economie en werkgelegenheid aanzienlijk zijn. Elke vorm van Brexit is nadelig voor Nederland en dat geldt bovenal voor een no deal Brexit. Desondanks kan ik nu nog niet inschatten of de Nederlandse overheid een aanvraag kan indienen omdat het nu nog niet mogelijk is om in te schatten wat de omvang van de financiële en economische schade ten gevolge van een no deal Brexit is.

Vraag 5

Op welke wijze gaat u zich er voor inzetten dat Nederland in geval van een no-dealbrexit waarbij Nederland hard getroffen wordt, aanspraak kan maken op deze fondsen?

Het kabinet merkt op dat hiervoor drie zaken van belang zijn: communicatie over de mogelijkheden richting belanghebbenden, tijdige aanpassing van de procedures naar aanleiding van de voorgestelde wijzigingen en goede samenwerking tussen rijksoverheid, mede-overheden en bedrijfsleven om aanvragen met een zo’n groot mogelijke kans van slagen tot stand te laten komen.
Het kabinet is voornemens om via de reguliere informatiekanalen die het bedrijfsleven informeren over de gevolgen van een no dealBrexit, zoals het Brexit loket en de stakeholderbijeenkomsten van de verschillende ministeries, informatie te verschaffen over de mogelijkheden en voorwaarden.
De kennis en kunde om een eventuele steunaanvraag te beoordelen is al aanwezig en het kabinet zal dit borgen. Tevens zal het kabinet ervoor zorgen dat interne procedures, uiterlijk op het moment dat de gewijzigde verordeningen in werking treden, waar nodig geactualiseerd worden zodat deze overeenkomen met de nieuwe situatie.
Om aanvragen met een zo hoog mogelijke kans van slagen tot stand te laten komen, is het van belang dat de rijksoverheid nauw samenwerkt met mede-overheden en het bedrijfsleven. Op die manier kan de informatie benodigd voor een aanvraag zo snel als mogelijk verzameld worden en dat zal het interne proces bespoedigen.

Vraag 6

Hoe kunnen Nederlandse bedrijven en werknemers die hard getroffen worden door de Brexit aanspraak maken op het globaliseringsfonds? Welke voorwaarden zullen hierbij gelden? Worden zij hierover geïnformeerd?

Om in aanmerking te komen voor steun uit het EGF kan door de lidstaten een (sector-)aanvraag worden ingediend bij de Europese Commissie. Deze aanvraag dient aan een aantal criteria te voldoen. De voorgestelde aanpassing van de EGF-verordening verbreedt de doelstelling van het EGF maar wijzigt de aanvraagcriteria niet. Dit betekent dat op basis van het voorstel van de Commissie bedrijven en sectoren die hard getroffen worden door de Brexit aanspraak kunnen maken op steun uit het EGF als er minimaal 500 werknemers binnen een referentieperiode ontslagen zijn als gevolg van een no deal Brexit.3 Deze referentieperiode is verschillend voor bedrijven en sectoren. Als het één bedrijf betreft is deze referentieperiode gesteld op vier maanden, wat betekent dat alle ontslagen binnen deze periode moeten vallen. Als het een groep bedrijven ofwel een sector betreft is deze periode negen maanden als de ontslagen zijn gevallen in een bepaalde sector in één of twee aan elkaar grenzende provincies. Aanvragen lopen via het Ministerie van Sociale Zaken en Werkgelegenheid. Op de website4 van Uitvoering van Beleid SZW staat meer informatie over de aanvraagcriteria. Uitvoering van Beleid SZW licht bedrijven voor en begeleidt en ondersteunt EGF-aanvragen. Uiterlijk op het moment dat de gewijzigde verordeningen in werking treden, zal de informatie op de website geactualiseerd worden.

Vraag 7

Welke specifieke voorwaarden gelden er voor Nederland om aanspraak te kunnen maken op het Solidariteitsfonds van de Europese Unie?

Om in aanmerking te komen voor steun uit het EUSF moet Nederland een aanvraag indienen bij de Europese Commissie. Deze aanvraag moet voldoen aan een aantal vereisten, zoals gesteld in het voorstel van de Europese Commissie. Zo mag iedere lidstaat slechts één aanvraag indienen. De aanvraag dient uiterlijk eind april 2020 ingediend te worden. Vervolgens geldt een ondergrens om in aanmerking te komen voor financiële vergoeding uit het EUSF. Deze grens bedraagt 1,5 miljard euro of 0,3% van het bruto nationaal inkomen voor totale uitgaven te relateren aan een no deal Brexit. De uitgaven mogen alleen gerelateerd zijn aan maatregelen in reactie op een no deal Brexit, in de periode vanaf de uittredingsdatum van het VK tot uiterlijk eind 2020. In de aanvraag dient de lidstaat deze kosten te onderbouwen en te kwantificeren. De Europese Commissie zal nadere details over deze vereisten binnenkort publiceren.

Vraag 8

Klopt het dat de 590 miljoen euro uit het Solidariteitsfonds van de Europese Unie onder meer bedoeld is om de overheidsuitgaven van extra douaniers en grenscontroles op te vangen? Komen de kosten voor de extra aangestelde Nederlandse douaniers en dierenartsen (NVWA) hiervoor in aanmerking?

In het voorstel voor de aanpassing van het EUSF geeft de Commissie aan dat zij nog met aanvullende guidance komt over de manier waarop steunaanvragen beoordeeld moeten worden. De Europese Commissie stelt nadrukkelijk vast dat financiële steun alleen wordt verleend ter compensatie van kosten van een no deal Brexit en dat Contingency maatregelen die voor Brexitdatum gemaakt zijn niet in aanmerking komen. Het kabinet gaat er daarom vanuit dat de door u genoemde kosten niet in aanmerking komen.
Extra onvoorziene kosten na de Brexitdatum komen wel in aanmerking. Het kabinet zal de mogelijkheden om gebruik te maken van dit fonds onderzoeken indien er onvoorziene kosten gemaakt worden.

Vraag 9

Kunt deze vragen binnen drie weken beantwoorden?

Vraag 1

Kent u het bericht ««Anonieme OV-chipkaart is niet anoniem», betoogt Michiel Jonker?1

Ja. Op 5 september 2019 is de rechtbank Gelderland tot een vonnis gekomen en zijn de beroepen ongegrond verklaard. De rechter stelt dat NS een wettelijke grondslag heeft om de gegevens te verzamelen en verwerken en dat dit noodzakelijk is voor de uitvoering van de overeenkomst tussen NS en de reiziger. Zonder deze gegevens is niet te controleren of het abonnementsgeld is betaald, of op de juiste wijze is in- en uitgecheckt, of de juiste reissom is betaald en of er sprake is van misbruik of fraude.

Vraag 2

Welke gegevens van de OV-chipkaart (de anonieme OV-chipaart en de persoonlijke OV-chipkaart) worden opgeslagen door Nederlandse Spoorwegen (NS)?

In het Privacystatement van NS op www.ns.nl/privacy is na te lezen welke persoonsgegevens NS gebruikt wanneer een reiziger gebruik maakt van een OV-chipkaart. Indien een reiziger met een door NS afgegeven persoonlijke
OV-chipkaart (dus een OV-chipkaart op naam) reist, dan gebruikt NS die persoonsgegevens (bijvoorbeeld kaartgegevens, bankgegevens en reisgegevens) om de reis mogelijk te maken. NS verwerkt alleen noodzakelijke gegevens die de reiziger aan NS heeft verstrekt om een reisproduct op naam te gebruiken. De Autoriteit Persoonsgegevens heeft dit getoetst en geconcludeerd dat NS de privacyregels hiermee niet overtreedt.
Wanneer een reiziger geen persoonsgegevens (aan NS) wil verstrekken, dan kan de reiziger reizen met een anonieme OV-chipkaart (dus een niet op naam gestelde OV-chipkaart). De chip van de anonieme OV-chipkaart bevat geen persoonlijke informatie zoals NAW-gegevens. NS heeft ook geen zicht op deze informatie indien de persoonlijke OV-chipkaart afgegeven is door een andere vervoerder, Translink of Bedrijvenkaartaanbieder.
Tijdens het in- en uitchecken met de OV-chipkaart, en de controle door een conducteur, wordt het volgende vastgelegd:
De elektronische identificatie van de OV-chipkaart (dit is niet het nummer dat zichtbaar is afgedrukt op de kaart, maar een identificatie van de unieke chip van de fabrikant) Stationscode (bij in- en uitchecken)
Tijdstip van de handeling Product (abonnement of voltarief) en klasse waarmee is in- of uitgecheckt Afgerekende bedragen, saldo-informatie en automatisch opgehoogde saldobedragen Technische informatie t.b.v. van robuustheid en herstelbaarheid, zoals transactievolgnummer, eerder betaalde borg, laatst uitgevoerde actie, overstaprechten en gehanteerde tarief. Deze informatie dient voornamelijk om storingen in apparatuur of kaarten te detecteren en gaten in de registratie door uitvallende apparatuur te kunnen herstellen.

Vraag 3

In hoeverre mogen deze reisgegevens gedeeld worden met derden? En welke gegevens worden er nu gedeeld?

Wanneer een reiziger met een OV-chipkaart reist, dan geeft de vervoerder de gegevens, die in antwoord 2 zijn genoemd, door aan Translink.
Translink is vervolgens verantwoordelijk voor het afhandelen van de (reis)transacties.2
NS schakelt derden in voor de uitvoering van IT-diensten. Deze derden verwerken de gegevens slechts ten behoeve van NS en voor geen enkel ander doel.
Bovenstaand geldt voor individuele reisgegevens. In het kader van bijvoorbeeld de openbare informatiehuishouding van het Nationaal OV Beraad (NOVB) worden statistieken, die niet tot individuele personen te herleiden zijn, bijgehouden over het gebruik van het OV die worden gedeeld met derden zoals concessieverleners.

Vraag 4

Welke gegevens logt Translink (vh. Trans Link Systems) over anonieme OV-chipkaarten en met welke reden?

Translink is naast uitgever van de OV-chipkaart ook beheerder van het saldo. Translink maakt gebruik van het kaartnummer aangevuld met locatiegegevens om het saldo op een anonieme OV-chipkaart bij te houden en transacties te kunnen verwerken. Zie vraag 2 voor de opsomming van wat wordt vastgelegd.
Translink heeft mij laten weten op geen enkele manier achter de NAW-gegevens van de reiziger te kunnen komen, ook niet als er gepind wordt om het saldo op de anonieme OV-chipkaart aan te vullen.

Vraag 5

In hoeverre correspondeert het loggen van deze gegevens met de «privacy by design»- en «privacy bij default»-principes uit de Algemene Verordening Gegevensbescherming (AVG)?

Alle verwerkingen zijn conform de AVG ingericht. Zie ook mijn antwoord op de Kamervraag over deze principes in relatie tot de contouren Toekomstbeeld OV 2040.3

Vraag 6

Wordt de reiziger op de hoogte gebracht van het feit dat deze gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen? Zo nee, deelt u de mening dat gebruikers van de OV-chipkaart hiervoor expliciet toestemming moeten geven?

Ja, de reiziger wordt hierover geïnformeerd via het Privacystatement. Translink en openbaar vervoerbedrijven hebben conform de eisen van de AVG deze gepubliceerd op hun website. Daar waar het gaat om verwerkingen die plaatsvinden in het kader van de uitvoering van de (reis)overeenkomst wordt niet nogmaals expliciet om toestemming gevraagd. De grondslag toestemming is hiervoor niet van toepassing.

Vraag 7

Op welke manier wordt de privacy van de reiziger beschermd die gebruik maakt van een OV-chipkaart? Kunt u hierbij onderscheid maken tussen de anonieme OV-chipkaart en de persoonlijke OV-chipkaart?

In het privacy statement op de website www.ov-chipkaart.nl staat dit uitvoerig beschreven. Kort samengevat worden alleen de noodzakelijke gegevens geregistreerd en de bewaartermijn is niet langer dan noodzakelijk voor het gegeven doel, met een maximale termijn van 18 maanden.
Hierbij wordt voor wat betreft die persoonsgegevens die worden verzameld bij aanschaf en gebruik onderscheid gemaakt tussen gebruik van een anonieme
OV-chipkaart en een persoonlijke OV-chipkaart. Zie ook antwoord 2.

Vraag 8

Wat is de reden dat er op de anonieme OV-chipkaart geen voordeelurenabonnement gezet kan worden en wat is er voor nodig om dit mogelijk te maken?

Een (voordeeluren)abonnement is persoonlijk en contractueel tussen twee partijen overeengekomen en daarom niet overdraagbaar. De prijsstelling van kortingsrechten is gebaseerd op individueel gebruik en niet op gebruik binnen gezins- of groepsverband. Daarom wordt dit persoonsgebonden product alleen aangeboden op een persoonsgebonden OV-chipkaart en kan het niet gebruikt worden door anderen dan door de reiziger zelf.
Ik wil u in dit verband ook nog wijzen op een uitspraak van 30 augustus jl. door de bestuursrechter van de rechtbank Midden-Nederland in een soortgelijke zaak. Een treinreiziger die vindt dat de Autoriteit Persoonsgegevens (AP) tegen de NS moet optreden omdat hij niet met zijn abonnement anoniem kan reizen heeft van de rechter ongelijk gekregen. De rechter vindt dat de AP voldoende heeft gemotiveerd dat NS de privacyregels niet overtreedt. De verwerking van persoonsgegevens bij het in- en uitchecken is volgens de rechter noodzakelijk voor het gebruik van het NS-abonnement.

Vraag 1

Kent u het bericht «Alziend oog voor politie»?1

Ja.

Vraag 2

Was u op de hoogte van het gegeven dat de politie een particuliere stichting inzet om alle denkbare bewakingsbeelden van bijvoorbeeld gemeenten, NS-stations en bodycams van agenten aan elkaar te koppelen? Hoe beoordeelt u deze aanpak? Welke risico’s ziet u door de inzet van deze werkwijze?

Ik was op de hoogte van het bestaan van de regionale toezichtruimte in Nijmegen. Uw kamer werd geïnformeerd over het bestaan van regionale toezichtruimtes in diverse brieven en rapporten.2
Uit informatie van de politie over de reguliere werkwijze van de regionale toezichtruimte in Nijmegen komt naar voren dat de camerabeelden op grond van artikel 151c van de Gemeentewet worden verkregen ten behoeve van de handhaving van de openbare orde. De verwerking van de camerabeelden (o.a. het uitkijken van de beelden) vindt plaats onder verwerkingsverantwoordelijkheid van de korpschef en onder het regime van de Wet politiegegevens.3 De politie kijkt deze camerabeelden in de regionale toezichtruimte uit, hiervoor maakt zij soms gebruik van externe ingehuurde krachten, welke werkzaam zijn bij de stichting Regionaal Toezicht Ruimte (RTR-NL). Dit is weliswaar een privaatrechtelijke rechtspersoon, maar in de Raad van Toezicht zijn enkel overheden vertegenwoordigd, namelijk gemeenten en politie. Deze stichting fungeert als een verwerker in de zin van artikel 1, aanhef en onder i, van de Wet politiegegevens dat ten behoeve van de korpschef als verwerkingsverantwoordelijke, politiegegevens verwerkt.
Het systeem zoals in gebruik tijdens de Nijmeegse Vierdaagse is volgens de politie geen geautomatiseerd ICT-systeem, maar een zorgvuldig samengesteld proces. De beelden zijn niet aan elkaar gekoppeld, maar de beeldschermen zijn naast elkaar geplaatst, zodat een beter beeld van de openbare ruimte ontstond.
Tijdens de Vierdaagse werden naast de beelden van de camera’s ten behoeve van de handhaving van de openbare orde, ook de beelden van de NS en Rijkswaterstaat in de regionale toezichtruimte uitgekeken. Ook werden bodycams van de politie uitgekeken. Hierbij moet worden vermeld dat bij dit systeem, dat tijdens de Vierdaagse werd gebruikt, enkel politiemedewerkers worden ingezet. In dat kader is dan ook geen sprake van inzet van externe observanten.

Vraag 3

Bent u van mening dat het verantwoord is de beoordeling van dergelijke gevoelige materie in de handen te leggen van een particuliere stichting? Zo ja, waarom? Zo nee, wat gaat u hieraan doen?

Conform artikel 151c van de Gemeentewet bepaalt de burgemeester, nadat hem deze bevoegdheid is verleend door de gemeenteraad, tot het inzetten van camera’s om toezicht te houden op een openbare plaats. Voor de uitvoering van dit besluit bedient de burgemeester zich van de onder zijn gezag staande politie. De politie heeft de operationele regie op het uitkijken van de beelden.
In de memorie van toelichting van artikel 151c van de Gemeentewet staat expliciet dat met het in handen geven van de operationele regie aan de politie geen dwingende eis is ontstaan dat de beelden uitsluitend door politiefunctionarissen mogen worden bekeken. Anderen dan politiefunctionarissen mogen de beelden bekijken, mits dit plaatsvindt onder regie van de politie. Vooropstaat dat de beslissing tot het inzetten van politiefunctionarissen naar aanleiding van de beelden slechts genomen kan worden door de politie zelf.4
Het is niet ongebruikelijk dat camerabeelden door camera-observanten zonder opsporingsbevoegdheid, onder operationele regie van de politie, worden uitgekeken. Al in de nulmeting cameratoezicht op openbare plaatsen uit 2006 staat dat in 11% van de onderzochte gemeentes de beelden worden uitgekeken door particuliere beveiligers. Vijf jaar later was dat zo bij 16% van de onderzochte gemeentes. Deze werkwijze wordt ook beschreven door de Autoriteit Persoonsgegevens (AP) in haar «Beleidsregels Cameratoezicht».5
De beoordeling of de beelden voor de politie aanleiding zijn om op te treden en de aansturing van de politie bij dat ingrijpen worden uitgevoerd door een politiemedewerker van het Team Technisch Toezicht of door een medewerker van de meldkamer van de politie.
In algemene zin geldt dat het voorkomen van discriminatie en etnisch profileren bij de politie hoog in het vaandel staat. Dit is nodig voor het verwezenlijken van het vertrouwen in de rechtsstaat en zijn instituties zoals de politie. De aanpak van discriminatie door de politie heeft in de afgelopen jaren bijzondere aandacht gekregen via het project Proactieve politiecontroles. Dit alles geldt uiteraard ook voor het werk dat in de regionale toezichtruimte wordt verricht.

Vraag 4

Deelt u de mening dat het onwenselijk is dat door deze werkwijze binnenkomende beelden door burgers zonder opsporingsbevoegdheid worden beoordeeld en dat dit bovendien het risico op bijvoorbeeld etnisch profileren/discriminatie en privacyschending vergroot? Wat gaat u doen om dit te voorkomen? Bent u bereid de Nationale Politie hierop aan te spreken?

Zie antwoord vraag 3.

Vraag 5

In hoeverre is deze praktijk in lijn met de Algemene Verordening Gegevensbescherming (AVG)? Bent u bereid advies bij de Autoriteit Persoonsgegevens (AP) in te winnen over deze werkwijze?

Op grond van artikel 151c, negende lid, van de Gemeentewet valt de verwerking van camerabeelden onder het regime van de Wet politiegegevens. Daaruit volgt dat de korpschef de verwerkingsverantwoordelijke is. Zie artikel 1, onderdeel f, onder 1°, van de Wet politiegegevens.
Zoals in antwoord op vraag 4 is aangegeven, is de AP bekend met de inzet van extern ingehuurde cameraobservanten door de politie en wordt deze ook beschreven in de «Beleidsregels Cameratoezicht» van de AP.

Vraag 6

Wat doet de particuliere stichting Regionaal Toezicht Ruimte (RTR) met de data die wordt gegenereerd op basis van het beeldmateriaal, ook nadat deze zijn aangeleverd bij de politie of de veiligheidsregio? Hoe waarborgt u een zorgvuldige omgang met deze data?

De regionale toezichtruimte in Nijmegen wordt bemand door medewerkers van de stichting RTR-NL. Zoals aangegeven fungeert deze stichting als een verwerker in de zin van artikel 1, aanhef en onder i, van de Wet politiegegevens die politiegegevens verwerkt onder verwerkingsverantwoordelijkheid van de korpschef. De medewerkers hebben een geheimhoudingsverklaring getekend.
De camerabeelden ten behoeve van de handhaving van de openbare orde worden opgeslagen bij de politie en worden 7 dagen bewaard, waarna de beelden worden vernietigd. De beelden die zijn gemaakt tijdens de Vierdaagse zijn 28 dagen bewaard.

Vraag 7

Kunt u aangeven hoe het digitale systeem dat door RTR is ontwikkeld, eruit ziet? Hoe worden de aan elkaar gekoppelde beelden beschermd? Welke apparatuur en software wordt voor deze aanpak gebruikt? Welke leveranciers leveren de apparatuur en de software? Is er een aanbestedingstraject? Zo ja, kunt u de Tweede Kamer informeren over deze aanbesteding? Zo ja, heeft het Bureau ICT-toetsing (BIT) deze aanbesteding getoetst? Wat was daarvan de uitkomst?

Het systeem waarmee wordt gewerkt in de regionale toezichtruimte heb ik beschreven onder vraag 2. Het gaat om het uitkijken van beelden op beeldschermen die naast elkaar zijn opgesteld. Daarvoor is geen bijzondere apparatuur nodig. Er was dan ook geen aanleiding voor een aanbesteding of een BIT-toets.

Vraag 8

Welk soort screening krijgen de personeelsleden van RTR? Wat houdt de korte cursus in om verdachte situaties vooraf te herkennen? Hoe beoordeelt u dit opleidingstraject? Is het bewuste beoordelingstraject geaccrediteerd en, zo ja, door welke instantie?

De particuliere beveiligers die werkzaam zijn in de regionale toezichtruimte in Nijmegen beschikken over een beveiligingsdiploma en zijn voorzien van een Verklaring Omtrent Gedrag (VOG).
Camera-observanten worden altijd van tevoren door politiemedewerkers van het Team Technisch Toezicht geïnstrueerd en begeleid. Tijdens deze instructie wordt aandacht besteed aan de werkwijze en worden elementen uit de opleiding ProActief Surveilleren (PAS) gedoceerd. Naast de instructie worden de observanten voor de start van de dienst gebriefd over actuele aandachtspunten.
Zoals aangegeven worden de beoordeling of de beelden voor de politie aanleiding geven om op te treden en de aansturing van de politie bij dat optreden, uitgevoerd door een politiemedewerker van het Team Technisch Toezicht of door een medewerker van de meldkamer van de politie.

Vraag 9

Deelt u de mening dat het een uiterst complexe en serieuze taak is om verdachte situaties te leren herkennen, de politie hier jarenlang op traint en dat dit niet door een korte cursus aan burgers zonder ervaring kan worden afgedaan? Bent u van plan de Nationale Politie hierop aan te spreken? Zo nee, waarom niet?

Zie antwoord vraag 8.

Vraag 10

Wat is het resultaat geweest van dit systeem, toen dit is ingezet bij de Nijmeegse Vierdaagse feesten in juli j.l.? Heeft er nadien ook een evaluatie plaatsgevonden? Zo nee, waarom niet? Zo ja, wat waren hiervan de conclusies? In hoeverre kan worden bevestigd dat er op een correcte wijze en in lijn met de AVG is omgegaan met de beelden?

Voor een uitleg over het proces dat werd ingericht tijdens de Nijmeegse Vierdaagse verwijs ik u naar mijn antwoord op vraag 2.
Tijdens de Vierdaagse-periode is een SGBO (Staf Grootschalig en Bijzonder Optreden) actief. In die periode vervulden politieambtenaren de rol van camera-observant in de crowdcontrol-ruimte.
Zij bekeken naast de beelden in het kader van artikel 151c Gemeentewet, ook de camerabeelden van de NS, Rijkswaterstaat en bodycams die speciaal voor het evenement in de crowdcontrol-ruimte ontsloten waren.
De beelden van de NS en Rijkswaterstaat werden live uitgekeken en de beelden zijn gedurende 28 dagen bewaard. Die beelden zijn niet gekoppeld aan de camerabeelden ten behoeve van de handhaving van de openbare orde.
Zoals ieder jaar zal er een evaluatie plaatsvinden, in opdracht van de gemeente Nijmegen, naar de Vierdaagse waarbij verschillende aspecten worden meegenomen, waaronder openbare orde en veiligheid. In de nog uit te voeren evaluatie over de Vierdaagse 2019 zal het privacyaspect worden meegenomen.

Vraag 11

Op welke wijze is de Nationale Politie van plan dit systeem verder te implementeren in haar werkwijze? Deelt u de mening dat eerst moet worden gegarandeerd dat deze aanpak in lijn is met de AVG en dat de mensen die de beeldmaterialen beoordelen, adequaat moeten zijn opgeleid, voordat dergelijke systemen mogen worden ingezet? Zo nee, waarom niet?

Ik deel uw mening dat het belangrijk is dat cameratoezicht geschiedt volgens het wettelijk kader. De politie besteedt veel aandacht aan het inrichten van werkprocessen in lijn met de Wet politiegegevens. Ook in de instructie aan medewerkers van de regionale toezichtruimte wordt hier aandacht aan besteed.
Voor het overige is hier, zoals ik al eerder aangaf, geen sprake van de ontwikkeling of inzet van een nieuw ICT-systeem door de politie.

Vraag 1

Kent u het bericht «Gezichtendatabase van politie bevat foto’s van 1,3 miljoen mensen»?1

Ja.

Vraag 2

Wat is de wettelijke grondslag op basis waarvan deze foto’s worden bewaard?

Het genoemde artikel gaat over gelaatsvergelijking met het systeem Catch Strafrecht Verdachte en Veroordeelde (hierna te noemen Catch).
Veel politiebureaus beschikken over een zogenaamde identificatiezuil2 waarmee onder andere een (frontale) foto van het gezicht en een kopie van het identiteitsbewijs worden gemaakt. De bevoegdheid om deze gelaatsfoto's te nemen van verdachten is neergelegd in artikel 55c, tweede lid, van het Wetboek van Strafvordering (WvSv), dat op 1 oktober 2010 in werking is getreden. Een deel van de bij de politie aanwezige foto’s is genomen vóór de inwerkingtreding van artikel 55c WvSv. De bevoegdheid tot het nemen van die (gelaats)foto’s was destijds neergelegd in artikel 61a WvSv. De politie maakt geen gebruik van scraping technieken om foto's te vergaren voor Catch.
De bij de identificatiezuil gemaakte foto en vingerafdrukken worden automatisch (gelijktijdig) zowel naar de Justitiële Informatiedienst (hierna: Justid) als naar de relevante politiesystemen gestuurd (HAVANK, Catch). De Foto Confrontatie Module (FCM) wordt gebruikt om slachtoffers en getuigen te confronteren met gelaatsfoto’s van verdachten. De FCM is al langer in gebruik dan de identificatiezuilen.
In het Besluit identiteitsvaststelling verdachten en veroordeelden (Bivv) zijn de bewaartermijnen voor foto’s die worden bewaard in de SKDB vastgelegd. De termijn varieert van 20 tot 80 jaar. De termijn voor het bewaren van politiegegevens is geregeld in de Wet politiegegevens (Wpg) Er zijn dus meerdere bewaartermijnen van toepassing op dezelfde foto. Dit leidt in de praktijk tot onduidelijkheid.
De onduidelijkheid over bewaartermijnen vind ik onwenselijk. Op dit moment is het beter om deze onvolkomenheid in de naleving van de wet te accepteren en genoegen te nemen met de maatregelen van de korpschef om de toegang tot de data te beperken tot het strikt noodzakelijke. Het alsnog voldoen aan de letter van de wet zou alleen kunnen via een grove selectiemethode waardoor ook gegevens worden vernietigd die kunnen bijdragen aan de opsporing in cold case zaken. Het oplossen van deze zaken zal hierdoor ernstig worden belemmerd. Wel hecht ik er belang aan dat er in de praktijk passende waarborgen zijn getroffen om de persoonlijke levenssfeer van betrokkenen te waarborgen3. Ik ga hier in het antwoord op vraag 11 nader op in.
Uit de evaluatie4 van de Wpg en de Wjsg in 2014 bleek al dat politie en justitie op onderdelen niet (kunnen) voldoen aan de wetgeving. Eén van de toentertijd geconstateerde gebreken was dat gegevens in de digitale tijd niet altijd tijdig kunnen worden vernietigd. In mijn aanbiedingsbrief bij die wetsevaluatie heeft mijn ambtsvoorganger al gemeld dat de Wpg (en ook de Wet justitiële en strafvorderlijke gegevens (Wjsg)) zal worden gemoderniseerd. Ik ben momenteel bezig met beleidsvorming ten aanzien van de integrale herziening van deze wetten. Minister Dekker en ik verwachten uw Kamer in het voorjaar van 2020 een brief te sturen met onze beleidsvoornemens op dit punt. Daarin wordt dit onderwerp meegenomen.

Vraag 3

Is er een privacy audit uitgevoerd op de verwerking van deze foto’s conform artikel 33 van de wet politiegegevens? Zo ja, bent u bereid deze naar de Kamer te sturen?

Bij een audit zoals bedoeld in artikel 33 Wpg wordt gecontroleerd of de politie de Wpg uitvoert overeenkomstig de bij of krachtens deze wet gegeven regels. Tijdens zo’n audit wordt niet gekeken naar specifieke werkwijzen of systemen. De politie laat deze privacyaudit elke vier jaar uitvoeren door een externe onafhankelijke instantie, de Auditdienst Rijk (ADR). De uitkomst van de laatste afgeronde audit is in december 2015 aangeboden aan uw Kamer5. Ik verwacht dat ik de uitkomsten van de externe audit 2019 dit najaar aan uw Kamer kan aanbieden.

Vraag 4

Hoe heeft de politie deze foto’s verworven? Gebruikt de politie «scraping»-technieken teneinde foto’s van onschuldige Nederlanders te vergaren?

Zie antwoord vraag 2.

Vraag 5

Kunt u nader ingaan op het feit dat er van 1,3 miljoen Nederlanders foto’s worden bewaard door de politie? Klopt het, dat dit alleen foto’s zijn van mensen die zijn verdacht van een misdrijf waar minimaal 4 jaar celstraf op staat? Hoeveel van de 1,3 miljoen mensen zijn daadwerkelijk veroordeeld? Klopt het voorts dat er tussen deze 1,3 miljoen Nederlanders onschuldige mensen zitten die geen misdrijf hebben gepleegd? Om hoeveel onschuldige Nederlanders gaat het?

Er zijn foto’s opgenomen van 1,3 miljoen personen van verschillende nationaliteiten. Voor de wijze waarop de politie deze verkrijgt en opslaat, verwijs ik naar het antwoord op vraag 4.
De systemen bevatten in hoofdzaak foto’s van personen die – op het moment dat de foto werd genomen – werden verdacht van een misdrijf waarvoor voorlopige hechtenis mogelijk is. Een uitzondering hierop doet zich voor als er twijfel bestaat over de identiteit van een verdachte. Op bevel van de (hulp)officier van justitie mogen er dan ook voor lichtere vergrijpen vingerafdrukken en foto's worden genomen. Een tweede uitzondering hierop betreft de foto’s die zijn genomen vóór 2010. Die foto’s zijn destijds genomen op grond van artikel 61a WvSv. In tegenstelling tot artikel 55c WvSv noemt artikel 61a WvSv niet de voorwaarde dat de persoon minimaal moet worden verdacht van een misdrijf waarvoor voorlopige hechtenis mogelijk is.

Vraag 6

Waarom worden foto’s van verdachten die onschuldig blijken, niet verwijderd?

Zie mijn antwoord op vraag 2.

Vraag 7

Staan er Nederlanders in de database die nog nooit zijn verdacht van een misdrijf? Zo ja, wat is hier de reden voor?

Nee, op grond van artikel 55c WvSv (en vóór de inwerkingtreding van artikel 55c WvSv in 2010 op grond van artikel 61a WvSv) mogen alleen foto’s worden gemaakt van verdachten.

Vraag 8

Kunt u een statistisch onderbouwde analyse naar de Kamer sturen over nut en noodzaak van deze database van miljoenen foto’s?

In het verleden zijn er vele maatregelen getroffen om identiteitsvaststelling in de strafrechtsketen te verbeteren. De Wet identiteitsvaststelling verdachten, veroordeelden en getuigen (Wivv) is daar een voorbeeld van. Uit de wetshistorie blijkt de noodzaak van het instellen van een centrale databank. In de memorie van toelichting6 wordt de noodzaak onderbouwd aan de hand van de toen beschikbare cijfers7. Uit cijfers van de politie blijkt dat onderzoek met Catch in 2018 in ruim 8% van de zaken een herkenning opleverde die heeft geleid tot een aanknopingspunt voor vervolgonderzoek.

Vraag 9

Acht u het proportioneel om van onschuldige Nederlanders een database met foto’s aan te leggen?

De foto's die worden gemaakt op grond van artikel 55c WvSv (en vóór de inwerkingtreding van artikel 55c WvSv in 2010 op grond van artikel 61a WvSv), worden alleen gemaakt omdat de persoon in kwestie wordt verdacht van een strafbaar feit.

Vraag 10

Waarom is gekozen voor een bewaartermijn van 20 tot 80 jaar? Acht u deze bewaartermijn proportioneel?

De bewaartermijn van 20 tot 80 jaar zijn geregeld in het Bivv en gelden voor de foto’s die zijn opgenomen in de SKDB.
Bij het bewaren van strafrechtelijke gegevens moet er een balans zijn tussen het profijt dat de opsporing en vervolging heeft van deze bewaring en het recht op bescherming van de persoonlijke levenssfeer zoals geregeld in art. 8 EVRM. Hierbij gelden de beginselen van proportionaliteit en subsidiariteit. Ik verwijs kortheidshalve naar de memorie van toelichting bij het wetsvoorstel identiteitsvaststelling verdachten, veroordeelden en getuigen voor een nadere toelichting8.

Vraag 11

Welke risico’s ziet u met betrekking tot de beveiliging van deze database? Wat voor gevolgen voorziet u bij het uitlekken van de database? Wat voor maatregelen zijn er getroffen teneinde dit te voorkomen?

Op grond van artikel 4a en artikel 5 Wpg is de politie verplicht om technische en organisatorische maatregelen te treffen om de gegevens te beschermen. De database is beveiligd volgens de gebruikelijke werkwijze van de politie. Een van de reeds getroffen maatregelen betreft de toegankelijkheid van het systeem Catch. Alleen de 30 geautoriseerde experts van het Centrum voor biometrie (onderdeel van het Landelijk Forensisch Service Centrum van de Landelijke eenheid van politie) hebben toegang tot het systeem Catch. Iedere aanvraag wordt in een registratiesysteem bijgehouden. Verder zijn de foto’s die de experts beoordelen geanonimiseerd. Omwille van vertrouwelijkheid kan ik geen specifieke uitspraken doen over de getroffen maatregelen.

Vraag 12

Kunt u toelichten op welke manier Nederlandse opsporingsdiensten gezichtsherkenningssoftware gebruiken? Heeft de politie zelf software ontwikkeld of koopt de politie deze software in bij een bedrijf? Zo ja, welk bedrijf levert gezichtsherkenningssoftware aan de politie?

De politie en de bijzondere opsporingsdiensten kunnen een aanvraag doen voor het zoeken naar de identiteit van een onbekende persoon door middel van Catch. Catch zoekt op basis van een biometrisch profiel van de kenmerken van het gezicht naar overeenkomsten en genereert een kandidatenlijst van gezichten die technisch het meest op de gezochte afbeelding lijken. Een expert kijkt naar dit resultaat. Als deze expert er van overtuigd is dat er sprake is van voldoende overeenkomst met één van de kandidaten uit de lijst, wordt de match voorgelegd aan twee andere experts die de overeenkomst onafhankelijk van elkaar beoordelen. Als beide experts tot dezelfde conclusie komen, dan wordt die gezamenlijke conclusie als eindconclusie gerapporteerd. Bij een ongelijke conclusie wordt de meest conservatieve conclusie gerapporteerd. Deze rapportage wordt door de politie als aanknopingspunt gebruikt voor vervolgonderzoek.
De politie maakt gebruik van software van het bedrijf IDEMIA. IDEMIA publiceert regelmatig over de doorontwikkeling van deze software. De testresultaten zijn openbaar.

Vraag 13

Hoe vaak wordt deze technologie toegepast? Hoe vindt goedkeuring van het gebruik van deze technologie plaats? Moet een rechter-commissaris toestemming geven voor het gebruik?

De politie heeft mij laten weten dat in 2018 door opsporingsinstanties ruim 1300 afbeeldingen ter vergelijking werden aangeboden. De aanvragen betreffen onderzoeken variërend van woninginbraken, overvallen, liquidatieonderzoeken tot aan terreurzaken. Een deel van de foto’s was ongeschikt. Bijvoorbeeld doordat de afbeelding onvoldoende scherp was of het gezicht niet goed in beeld was. De resterende afbeeldingen konden door de gelaatsvergelijkingssoftware worden gebruikt om te zoeken naar een match in de database. In het antwoord op vraag 12 gaf ik al aan dat de experts uiteindelijk tot een match komen, niet de software. Voor het gebruik is geen toestemming nodig van de rechter-commissaris.
De eisen waaraan de software moet voldoen betreffen onder andere functionaliteit, betrouwbaarheid, accuratesse en veiligheid.

Vraag 1

Bent u bekend met het bericht «Ministerie onduidelijk over omstreden software»?1

Ja.

Vraag 2

Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van de rijksoverheid?

Op dit moment kan niet bevestigd worden dat de Kaspersky-antivirussoftware binnen de IT-systemen van de rijksoverheid volledig is uitgefaseerd. Momenteel heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties voor een volledig beeld hiervan een uitvraag lopen voor de rijksoverheid waarvan de resultaten eind 2019 verwacht worden. Daarna zal de Minister van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer hier over informeren.

Vraag 3

Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van onze vitale infrastructuur?

Zoals vermeld in de brief van 14 mei 2018 aan uw Kamer (Kamerstuk 30 821, nr. 46) betrof de voorzorgsmaatregel ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab, naast het uitfaseren hiervan bij de rijksoverheid, het advies aan organisaties met vitale diensten en processen en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) om datzelfde te doen. De beslissing om het gebruik van genoemde antivirussoftware al dan niet uit te faseren, is aan deze organisaties en bedrijven zelf.

Vraag 1

Kent u het bericht «Canada en Nederland testen trans-Atlantische vluchten zonder paspoort»?1

Ja, dit bericht is mij bekend.

Vraag 2

Kunt u uitleggen hoe en wanneer dit pilotproject tot stand is gekomen? Welke partijen waren daarbij betrokken? Wat was daarbij uw rol? Wanneer heeft de besluitvorming over dit pilotproject plaatsgevonden en wie waren daarbij betrokken?

In januari 2018 is Nederland benaderd door de Canadese overheid en het World Economic Forum (WEF) om deel te nemen aan een pilotproject om het Known Traveller Digital Identity (KTDI) concept in de praktijk te toetsen.
Het KTDI-concept ziet op het gehele reisproces; van vertrek uit het land van verblijf tot en met aankomst in het land van bestemming. De kern van het idee is dat het passagiersproces vergemakkelijkt wordt doordat een burger zich op basis van vrijwilligheid, op digitale wijze, op een manier die betrouwbaar en door de overheid gevalideerd is, met behulp van biometrische gegevens kan identificeren en de grens kan passeren.
De KTDI-pilot stelt de KMar in staat in toenemende mate risicogericht te opereren op de grens en de schaarse capaciteit zo effectief en efficiënt mogelijk in
te zetten doordat door de overheid gevalideerde informatie wordt gedeeld. Tevens levert dit de reiziger waardevolle tijdswinst op.
Voor de uitvoering van het project is een publiek-privaat consortium ingericht, bestaande uit het World Economic Forum, de Canadese autoriteiten, Air Canada, Toronto Pearson International Airport, Aéroports de Montréal, de Nederlandse autoriteiten, KLM Royal Dutch Airlines, Schiphol Nederland B.V, Accenture en Vision-box. Het projectmanagement aan Nederlandse zijde is belegd bij het Ministerie van Justitie en Veiligheid. In december 2018 heeft in aanwezigheid van alle betrokken partijen uit Canada en Nederland de eerste bijeenkomst van de internationale stuurgroep voor het WEF KTDI project plaatsgevonden in Ottawa, Canada. Op 26 juni 2019 hebben de betrokken partijen een intentieverklaring ondertekend waarin zij aangeven zich in te zetten voor de uitvoering van de pilot. Voor Nederland is deze verklaring, met mandaat SJenV, ondertekend door de Nederlandse ambassadeur in Canada.

Vraag 3

Wat voor contact heeft u hierover gehad met het World Economic Forum en wie van het World Economic Forum waren daar exact bij betrokken?

Het WEF heeft voor dit project een initiërende rol gehad; zij heeft de betrokken partijen bijeengebracht. De inhoudelijke voorbereiding is de verantwoordelijkheid van de deelnemende publieke en private partijen. Het contact met het WEF verloopt via het team dat verantwoordelijk is voor het System Initiative on the Future of Mobility.

Vraag 4

Hoe beoordeelt u dit pilotproject? In hoeverre zijn noodzaak en proportionaliteit aangetoond, ook al gaat het om een pilotproject?

Op dit moment is het aantal reizigers sterk afgenomen door de uitbraak van Covid-19. De vraag is hoe lang deze situatie duurt en wat de structurele gevolgen zullen zijn. Deze pilot is met name van belang voor het effectief en efficiënt verwerken van grote aantallen reizigers, maar biedt ons daarnaast tevens de mogelijkheid om kennis en ervaring op te doen om het passagiersproces van vertrek tot en met aankomst op de plaats van bestemming efficiënt in te richten. Deze innovatieve aanpak past bij eerdere initiatieven. Met de invoering van Self Service Passport Control e-gates (SSPC) heeft de Nederlandse overheid al een eerste stap gezet om reizigers efficiënt de grens te laten passeren. Inmiddels zijn er nieuwere technologische oplossingen beschikbaar (of worden die ontwikkeld) waarmee de effectiviteit en efficiëntie kan worden verbeterd.
Met de invoering van SSPC is het gebruik van biometrische gegevens bij de grenscontrole op de luchthaven ingevoerd waarbij gezichtsherkenning wordt uitgevoerd (gelaat van de aanbieder van een reisdocument wordt vergeleken met de gezichtsopname zoals opgeslagen in dat reisdocument). In verschillende landen, waaronder Nederland, wordt onderzocht of het «papieren» reisdocument op termijn kan worden vervangen door een digitale representatie daarvan en aan welke voorwaarden moet zijn voldaan om dat mogelijk te maken. Ook de International Civil Aviation Organization (ICAO) en International Air Transport Association (IATA) onderzoeken deze ontwikkelingen.
Identiteitsvaststelling in den brede en toekomstige wensen en ontwikkelingen zoals de ontwikkeling van een digitale identiteit in het algemeen en het ontwikkelen van een digitaal reisdocument in het bijzonder behoren tot de verantwoordelijkheid van de Staatssecretaris van BZK.
Het technisch en operationeel testen van, alsmede het verkennen van nut, noodzaak en voorwaarden voor het verdergaand experimenteren met het KTDI-concept past binnen het voornemen, zoals opgenomen in het regeerakkoord, dat in deze kabinetsperiode geïnvesteerd wordt in innovaties in grensmanagement.

Vraag 5

Wat is de duur van dit pilotproject? Wat zal er met de resultaten gedaan worden? Kunt u toezeggen dat deze resultaten met de Tweede Kamer gedeeld worden zodra deze bekend zijn? Zo nee, waarom niet?

De pilot start naar verwachting eind 2020 met een technische en operationele test door een besloten doelgroep bestaande uit medewerkers van de betrokken partijen. Als uit deze test blijkt dat de benodigde processen goed kunnen worden uitgevoerd, de technische ondersteuning van die processen stabiel blijkt te zijn en dat de maatregelen voortkomend uit de zogenoemde Gegevensbeschermingseffectbeoordeling zijn doorgevoerd (zie vraag 7), zal er gedurende zes maanden, mogelijk verlengd met nog eens zes maanden verdergaand worden geëxperimenteerd met het KTDI-concept.
Dit experiment houdt het volgende in:
er zal gebruik worden gemaakt van een door de Koninklijke Marechaussee (KMar) gevalideerde, digitale kopie van het paspoort, aansluitend op het Privium2-proces dat reeds vele jaren wordt uitgevoerd in het grensproces op Schiphol. Het huidige, fysieke paspoort blijft het enige document waarmee reizigers legaal de Schengenbuitengrens kunnen passeren. Daarom zullen participerende reizigers in de pilot hun paspoort ook altijd bij zich moeten dragen. De validatie van het paspoort heeft echter al eerder plaatsgevonden, namelijk bij de registratie en het genereren van een digitale kopie van het paspoort, zodat bij het passeren van de grens kan worden volstaan met deze digitale kopie (met dien verstande dat Canadese staatsburgers hun fysieke paspoort nog wel moeten laten stempelen). De digitale kopie van het paspoort wordt opgeslagen in een beveiligde database die beheerd wordt door de Rijksdienst voor Identiteitsgegevens (RvIG) van het Ministerie van BZK. Participerende reizigers kunnen, door middel van de voor KTDI ontwikkelde mobiele applicatie, de opgeslagen gegevens delen met de aan de pilot deelnemende organisaties, zoals de luchtvaartmaatschappijen of de grensautoriteiten. De opgeslagen gegevens worden na afloop van de pilot gewist.
Uiteindelijk doel is te bezien of de toepassing van het KTDI-concept bijdraagt aan een effectievere en efficiëntere uitvoering van processen van de deelnemende organisaties èn of het KTDI-concept zorgt voor een grotere tevredenheid van reizigers. De uitkomsten en evaluatie van de test worden gepubliceerd en deel ik met uw Kamer.

Vraag 6

In hoeverre zijn reizigers die vliegen tussen Montreal of Toronto en Amsterdam verplicht mee te werken aan deze pilot? Zo ja, vindt u dit redelijk?

Deelname aan de pilot is altijd op basis van vrijwilligheid.
Conform de vereisten van de Algemene verordening gegevensbescherming (AVG) worden de uitgenodigde reizigers uitgebreid geïnformeerd over onder andere het doel van de pilot, welke gegevens door welke deelnemende organisatie worden verwerkt en hoe de reiziger zijn rechten kan uitoefenen.

Vraag 7

Deelt u de mening dat het gebruik van gezichtsherkenning grote risico’s kan hebben voor fundamentele rechten van mensen als het bijvoorbeeld gaat om de privacy? Welke precieze waarborgen zijn hiervoor ingesteld, zowel door de Nederlandse en Canadese autoriteiten, als door andere betrokkenen?

Ja. Biometrische gegevens, waaronder de gezichtsopname uit het reisdocument (paspoort), vormen een bijzondere categorie persoonsgegevens in de zin van de AVG en de Uitvoeringswet AVG (UAVG). De AVG en de UAVG stellen strikte eisen aan het verwerken van biometrische gegevens, welke eisen bij de KTDI-pilot in acht zullen worden genomen. In de Gegevensbeschermingseffectbeoordeling (GEB) worden (technische, organisatorische en juridische) maatregelen en waarborgen opgenomen die nodig zijn voor het zorgvuldig gebruik van biometrie. Op basis van de GEB worden aan de deelnemende overheidspartijen en commerciële organisaties maatregelen opgelegd die de privacy van passagiers moeten waarborgen en zal het proces technisch zo worden ingericht dat alle persoonsgegevens zorgvuldig en rechtmatig worden verwerkt.

Vraag 8

Wat gebeurt er met de data die wordt gegenereerd op basis van deze pilot? Hoe waarborgt u een zorgvuldige omgang met deze data en dat deze niet worden ingezet voor andere doeleinden?

Voor zover het verwerking is van persoonsgegevens in Nederland, geldt de AVG. Indien en voor zover op enig moment persoonsgegevens door de passagier worden verstrekt aan Canadese partners, geldt de Canadese privacywetgeving. De verwerking van persoonsgegevens geschiedt op basis van vrijwilligheid. Het betreft hier persoonsgegevens die in het kader van de grenscontroles verstrekt moeten worden.
Geanonimiseerde c.q. statistische gegevens die tijdens de test worden gegenereerd, worden gebruikt als input voor de evaluatie.
De passagier bepaalt zelf of, en met welke deelnemende partijen, hij zijn gegevens via de KTDI mobiele applicatie deelt, wat vanuit het oogpunt van privacybescherming waardevol is. Daarnaast maakt KTDI het voor het eerst mogelijk om «gegevens op maat» uit te wisselen conform het principe van minimale gegevensverwerking. De passagier deelt alleen die set gegevens met een deelnemende organisatie, die deze organisatie echt nodig heeft voor de correcte uitvoering van haar taak/processen.
Maatregelen die voortkomen uit de GEB (zie onder vraag 7) garanderen dat persoonsgegevens niet voor andere doeleinden worden ingezet dan waarvoor zij zijn verzameld.

Vraag 9

Kunt u aangeven welke apparatuur en software gebruikt wordt voor de pilot? Welke leveranciers leveren de apparatuur en software? Is er een aanbestedingstraject?

Voor de KTDI-pilot is een aanbestedingstraject niet nodig. Het WEF stelt de KTDI mobiele applicatie en de KTDI-blockchain, die beiden worden gerealiseerd door Accenture, ter beschikking aan de organisaties die deelnemen aan de pilot. RvIG stelt een beveiligde server in een overheidsdatacentrum ter beschikking, waarop de digitale kopie van het paspoort van participerende reizigers wordt opgeslagen. In opdracht van RvIG levert Identiteit & Diensten B.V., de producent van de Nederlandse reisdocumenten, een bijdrage aan de KTDI-pilot. Deelnemende organisaties zullen bestaande systemen moeten aanpassen ten behoeve van de gegevensuitwisseling met de KTDI mobiele applicatie en/of de KTDI-blockchain. De kosten hiervoor worden gedragen door de deelnemende organisaties. De aanpassingen zullen na de einddatum van de pilot ongedaan gemaakt worden.

Vraag 10

deelt u de mening dat een project met gezichtsherkenning dat gepresenteerd wordt als verbetering van de reiservaring voor reizigers eenvoudig kan leiden tot «function creep», oftewel dat de technologie wordt ingezet voor andere doeleinden terwijl deze daar niet oorspronkelijk voor bedoeld is? Deelt u de mening dat dit onwenselijk is? Zo nee, waarom niet? Zo ja, welke garanties geeft u teneinde te waarborgen dat dit niet zomaar gaat gebeuren?

Ja. «Function creep» is om meerdere redenen onwenselijk en moet met technische, organisatorische en juridische maatregelen worden voorkomen. Deze maatregelen komen terug in de Gegevensbeschermingseffectbeoordeling (GEB) die op dit moment wordt uitgevoerd. Zij vormen mede de voorwaarden voor het houden van de pilot en zullen worden opgenomen in onder andere de verwerkersovereenkomsten met de betrokken pilotpartijen.

Vraag 11

In hoeverre bent u van plan ook met andere landen dit soort pilotprojecten uit te rollen? Zo ja, met welke landen? Is Nederland reeds in contact met deze regeringen hierover?

Op dit moment bestaan hiervoor geen plannen.

Vraag 1

Bent u bekend met berichten op Twitter dat mensen een sms kregen van Forum voor Democratie zonder dat zij zich hebben ingeschreven bij de partij?1

Ja.

Vraag 2

Hoe kan het dat mensen die geen lid zijn (of zich anderszins hebben aangemeld) bij Forum voor Democratie toch een SMS hebben ontvangen van die partij?

Er zijn verschillende manieren waarop Forum voor Democratie (FvD) op rechtmatige wijze aan de telefoonnummers van deze mensen kan zijn gekomen, ook als zij geen lid zijn of zich anderszins hebben aangemeld bij FvD.
De Algemene Verordening Gegevensbescherming is van toepassing indien het telefoonnummer een persoonsgegeven is. Een telefoonnummer is een persoonsgegeven wanneer degene die de gegevens verwerkt het telefoonnummer kan herleiden tot een specifiek natuurlijk persoon, oftewel wanneer de persoon «identificeerbaar» is, bijvoorbeeld omdat men ook over gegevens omtrent naam of adres beschikt. Of een telefoonnummer een persoonsgegeven is, is dus afhankelijk van welke gegevens FvD nog meer tot zijn beschikking heeft, omdat dat bepaalt of zij het telefoonnummer naar een identificeerbaar natuurlijk persoon kunnen herleiden.
In het geval dat het telefoonnummer als persoonsgegeven moet worden gezien is de AVG van toepassing en is de meest voor de hand liggende manier om deze persoonsgegevens rechtmatig te verwerken het vragen van toestemming. Het vragen van toestemming kan mede inhouden dat de organisatie die toestemming vraagt de desbetreffende persoonsgegevens mag doorgeven aan derden. Dit zou dus ook FvD kunnen zijn. Voor deze toestemming is wel vereist dat deze uitdrukkelijk en voldoende specifiek is.
Ook als er geen persoonsgegevens van betrokkene zijn verwerkt om de SMS te versturen geldt altijd nog het regime van de Telecommunicatiewet voor het gebruik van telefoonnummers. Voor het verzenden van ongevraagde elektronische communicatie als deze is in beginsel ook toestemming vereist. Deze toestemming kan onder bepaalde voorwaarden worden verondersteld, het is aan de Autoriteit Consument en Markt (ACM) om te bepalen of hier aan is voldaan.
Zoals FvD kennelijk zelf heeft aangegeven kan er ook sprake zijn van een fout bij de verwerking van gegevens. Het is evident dat er dan geen sprake kan zijn van een rechtmatige gegevensverwerking op basis van toestemming, zowel niet in het regime van de AVG als dat van de Telecommunicatiewet.

Vraag 3

Bent u bereid de Autoriteit Persoonsgegevens te verzoeken hier onderzoek naar te doen?

Betrokkenen kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (AP) als zij vermoeden dat hun persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywetgeving.
Navraag bij de AP leert dat er inderdaad klachten over deze situatie zijn ingediend. Daarmee is de situatie reeds in voldoende mate onder de aandacht van de AP gebracht. Het is vervolgens aan de AP zelf om te bepalen of er een vervolgonderzoek wordt ingesteld.
Overigens kunnen betrokkenen een klacht bij de Autoriteit Consument & Markt (ACM) indienen als zij menen dat de Telecommunicatiewet is overtreden. De ACM heeft in totaal zes klachten ontvangen over SMS berichten van politieke partijen. ACM heeft verder geen klachten meer binnengekregen over dit soort berichten na de verkiezingen voor de provinciale staten. De ACM heeft ook politieke partijen aangeschreven. In deze brief werden de politieke partijen gewezen op de regels omtrent het versturen van ongevraagde elektronische berichten, waaronder e-mail, whatsapp- en sms-berichten.

Vraag 4

Is het mogelijk dat mensen die zonder toestemming een SMS van Forum voor Democratie hebben ontvangen ook onterecht als lid staan ingeschreven bij de partij? Bent u bereid hier onderzoek naar te (laten) doen?

Mijn ambtgenoot van Binnenlandse Zaken en Koninkrijksrelaties en ik hebben geen signalen ontvangen dat mensen onterecht ingeschreven staan als lid van FvD. Mocht dit later alsnog blijken dan kunnen wij hier een onderzoek naar laten instellen.

Vraag 5

Hoe kunnen mensen controleren of hun telefoonnummer bekend is bij Forum voor Democratie en de partij verzoeken hun gegevens te verwijderen?

Betrokkenen wiens persoonsgegevens worden verwerkt kunnen een inzageverzoek bij FvD doen. FvD is in beginsel verplicht om de betrokkene inzicht te geven in de persoonsgegevens die het van betrokkene verwerkt.2
Daarnaast kunnen betrokkenen een verzoek indienen om hun gegevens te verwijderen door middel van een zogenoemd vergetelheidsverzoek.3

Vraag 6

Wat zijn de mogelijke sancties als blijkt dat een bedrijf of organisatie op grote schaal telefoonnummers in bezit heeft en gebruikt terwijl hier geen toestemming voor is ontvangen?

Artikel 83 van de Algemene Verordening Gegevensbescherming (AVG) gaat over sancties die kunnen worden opgelegd ingevolge overtredingen van de AVG. Uit dit artikel volgt dat de toezichthouder grote vrijheid toekomt bij het al dan niet opleggen van een sanctie en het bepalen van de hoogte van een administratieve boete.
Leden 4 en 5 van artikel 83 AVG bepalen de maximale hoogte van administratieve boetes door de toezichthoudende autoriteit. Afhankelijk van de begane overtreding is dit maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet (lid 4), of maximaal 20 miljoen euro of tot 4% van de totale wereldwijde jaaromzet (lid 5).
De AP heeft op grond van artikel 58 nog een aantal (onderzoeks)bevoegdheden, zo ook tot het nemen van corrigerende maatregelen. De AP kan vervolgens op basis van artikel 16 UAVG een last onder bestuursdwang opleggen.

Vraag 7

Wordt gecontroleerd of leden van een politieke partij daadwerkelijk toestemming hebben gegeven om lid te worden van een partij? Zo nee, hoe bekijkt u dit in het licht van de uitvoering van de Wet Financiering op de Politieke Partijen, gezien het feit dat de financiering van politieke partijen deels gebaseerd is op ledenaantallen?

Om voor subsidie op basis van de Wet Financiering op de Politieke Partijen (Wfpp) in aanmerking te komen moet een politieke partij over ten minste 1.000 leden beschikken die vergader- en stemrechten in de politieke partij hebben en elk jaar minimaal 12 euro contributie betalen. Het lidmaatschap moet blijken uit een wilsverklaring van betrokkenen. Indien er geen sprake is van een dergelijke wilsverklaring, worden deze leden niet gekwalificeerd als subsidiabel lid in de zin van de Wfpp. Deze eisen hebben echter uitsluitend betrekking op de subsidiabele leden; in de Wfpp worden geen regels gesteld over de overige leden van politieke partijen.
Politieke partijen moeten jaarlijks een subsidieverantwoording indienen bij het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties. Bij deze subsidieverantwoording moet een goedkeurende accountantsverklaring worden overgelegd. Deze verklaring moet ook betrekking hebben op het aantal subsidiabele leden, inclusief de wilsverklaring. Indien hier aanleiding voor is, kan de Minister van Binnenlandse Zaken en Koninkrijkrelaties in zijn rol als toezichthouder de Auditdienst Rijk vragen om het accountantsverslag te reviewen.

Vraag 1

Kent u de berichten «Independer overgenomen door de Persgroep»1, «De Persgroep en TMG starten joint venture rond occasionmarkt»2 en «2018 was een prima jaar voor dagbladuitgevers»?3

Ja

Vraag 2

Kent u voorts de berichten «Freelance (foto)journalisten eisen via de rechter hogere vergoeding van De Persgroep»4 en «Eerste resultaten Monitor: Freelancetarieven Persgroep en Mediahuis verder gedaald?5

Ja

Vraag 3

Hoe duidt u het gegeven dat De Persgroep door overnames en andere samenwerkingsvormen qua omvang fors uitbreidt en een steeds grotere speler op de markt van dagbladuitgeverijen wordt?

Nederland kent een hybride mediasector waarin zowel publieke aanbieders als private nieuwsorganisaties actief zijn. Op de van oudsher private dagbladenmarkt is al geruime tijd sprake van een hoge concentratie van eigenaarschap. De Persgroep en Mediahuis Nederland zijn de twee grootste spelers op deze markt,6 die sinds 2000 dalende omzetcijfers laat zien. De transitie van papier naar digitaal toont zich in de jaarverslagen van de sector. Ondanks een duidelijke stijging van inkomsten uit digitaleabonnementen en advertenties daalde de totale lezersmarkt – die voor papier én digitaal – in 2018 met ongeveer € 4 miljoen. De totale inkomsten uit advertenties stegen met bijna € 1 miljoen. Onder druk van de digitalisering zoeken mediaorganisaties naar schaalvoordelen in hun productieproces, naar nieuwe bedrijfsmodellen en naar een positie op de markt voor online advertenties. Het is in het publiek belang dat Nederlanders toegang hebben tot een pluriform en onafhankelijk aanbod van nieuws. Een private markt met rendabele nieuwsorganisaties draagt daaraan bij.

Vraag 4

Hoe duidt u het feit dat door met de verdere uitbreiding van De Persgroep de competitie binnen deze markt steeds verder afneemt?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat met dergelijke marktconcentratie van dagbladen steeds verdere kartelvorming in de richting van oligopolie plaatsvindt? Hoe duidt u dit in het kader van het publieke belang van onafhankelijke nieuwsvoorziening en onafhankelijke pers?

Zie antwoord vraag 3.

Vraag 6

Hoe duidt u de toenemende marktconcentratie van dagbladen in relatie tot de steeds betere verkoopcijfers van dagbladuitgeverijen? In hoeverre is hier nog sprake van een voldoende competitieve markt?

Zie antwoord vraag 3.

Vraag 7

Op welke wijze wordt marktconcentratie van in dit geval De Persgroep getoetst? Welke rol voor de Autoriteit Consument en Markt (ACM) ziet u hier?

Een voorgenomen concentratie moet bij de ACM gemeld worden indien bepaalde omzetdrempels worden behaald. Nadat de partijen hun voornemen hebben gemeld, zal de toezichthouder onderzoeken wat de mogelijke effecten zullen zijn van de voorgenomen concentratie op de mededinging. Hiertoe zal de ACM allereerst kijken naar de marktafbakening (productmarkt en geografische markt). Vervolgens onderzoekt zij de mogelijke effecten van de voorgenomen concentratie op deze markten. De toezichthouder kijkt daarbij onder andere naar de marktposities van de betrokken partijen, concurrentiedruk van andere partijen, mogelijke toetreding tot de markt en eventuele afnemersmacht. In dat laatste geval kan de sterke onderhandelingspositie van afnemers, het grotere marktaandeel van partijen na de concentratie compenseren.
De overname van Independer door De Persgroep is eind oktober 2018 bij de ACM gemeld. De Persgroep is een Nederlandse uitgever en eigenaar van een aantal landelijke (AD, Volkskrant, Trouw, Parool) en regionale kranten. Daarnaast biedt Persgroep een aantal online diensten aan waaronder vacaturesites (Intermediair, Nationale Vacaturebank), advertentieplatform Autotrack, Tweakers.net, Reclamefolder.nl en een video-website (MyChannels). Independer exploiteert het Nederlandse prijsvergelijkingsplatform «www.independer.nl» dat prijsvergelijkingsdiensten aanbiedt voor diverse verzekeringsproducten, financiële producten en energieproducten. De ACM heeft in haar beoordeling van de overname gekeken naar de mogelijke effecten van deze overname op de mededinging, waarbij de rol van data is meegenomen. Na onderzoek heeft de ACM deze concentratie goedgekeurd aangezien zij geen reden had om aan te nemen dat de overname de mededinging op de Nederlandse markt of een deel daarvan op significante wijze zou kunnen belemmeren.7

Vraag 8

Hoe duidt u het feit dat de tarieven voor freelancejournalisten en -fotografen bij de grootste mediaorganisaties in 2018 zijn gedaald?

De arbeidsmarktpositie van werkenden in de culturele en creatieve sector heeft al geruime tijd mijn aandacht. De SER en de Raad voor Cultuur hebben in 2017 geconstateerd dat werkenden in de culturele en creatieve sector een zwakke onderhandelingspositie hebben.8 Ongeacht het niveau van concentratie in de markt is het van belang dat de journalistieke sector de ruimte heeft om zelf maatregelen te nemen om de positie en de inkomsten van freelance journalisten te verbeteren.
Zoals vermeld in de Kamerbrief «Voortgang uitwerking maatregelen werken als zelfstandige»,9 komt er o.a. een minimumtarief voor zzp’ers van € 16 en werkt de ACM momenteel aan een nieuwe leidraad over zzp’ers en minimumtarieven. Met de nieuwe leidraad wil de toezichthouder meer duidelijkheid scheppen over de omstandigheden waaronder zzp’ers collectief minimumtarieven mogen afspreken en collectieve afspraken mogen maken die hun markt- en inkomenspositie kunnen versterken. Daarnaast geeft het kabinet uitvoering aan de motie Ellemeet/Asscher inzake collectieve onderhandeling in de culturele en creatieve sector, waarbij de eerder genoemde maatregelen in ogenschouw worden genomen.10 Zoals vermeld in de Uitgangspuntenbrief Cultuurbeleid 2021–2024 wordt uw Kamer in het najaar geïnformeerd over de voortgang van de uitvoering van deze motie.11

Vraag 9

Hoe verhoudt zich de verlaging van de tarieven voor freelancers bij de grootste mediaorganisaties tot de hoge marktconcentratie van deze organisaties?

Zie antwoord vraag 8.

Vraag 10

In hoeverre benadeelt het gegeven dat zzp’ers niet collectief mogen onderhandelen, hun onderhandelingspositie ten opzichte van deze mediaorganisaties? Hebben freelancers voldoende marktmacht om over hun tarieven te onderhandelen? Hoe duidt u dit?

Zie antwoord vraag 8.

Vraag 11

In hoeverre heeft deze marktconcentratie effect op concurrentie onder dagbladen rondom abonneetarieven en vergoedingen voor het inhuren van freelance(foto)journalisten?

Zie antwoord vraag 8.

Vraag 12

Hoe verhoudt de concentratiegraad van dagbladuitgevers in Nederland zich tot andere EU-lidstaten?

Mij zijn geen studies bekend waaruit een cijfermatige vergelijking tussen EU-lidstaten op te maken is.

Vraag 1

Heeft u kennisgenomen van de berichten «Polen sleept kritische juristen voor de rechter» en «Strengthening EU rule of law protection: start with freedom of expression»?1

Ja.

Vraag 2

Hoe duidt u het bericht dat de Poolse regering kritische academici, bijvoorbeeld de uitgesproken hoogleraar Wojciech Sadurski, voor de rechter sleept?

Het Poolse Ministerie van Justitie dreigde met een aanklacht tegen zes Poolse academici, maar heeft hier inmiddels van afgezien. Het Nederlandse kabinet beschouwt vrijheid van meningsuiting en academische vrijheid als hoekstenen van een vrije democratische samenleving, en zal dat ook blijven uiten richting Polen in zowel bilateraal als Europees verband.

Vraag 3

Deelt u de mening dat vrijheid van meningsuiting een hoeksteen is van de democratische rechtsstaat en daarom te allen tijde gewaarborgd dient te worden? Zo ja, heeft u hier met uw Poolse collega over gesproken (direct dan wel op diplomatiek niveau)?

Zie antwoord vraag 2.

Vraag 4

Deelt u de conclusie dat de afbrokkeling van de rechtsstaat in een lidstaat van de Europese Unie ook nadelige gevolgen heeft voor andere lidstaten, bijvoorbeeld wanneer nationale rechters vragen krijgen over het uitvoeren van Europese aanhoudingsbevelen die door Poolse rechterlijke instanties zijn uitgevaardigd? Wat is uw appreciatie van deze situatie?2

Afbrokkeling van de rechtsstaat in een EU-lidstaat kan inderdaad nadelige gevolgen hebben voor andere lidstaten en het functioneren van de Unie in haar geheel, onder andere waar het gaat om een goede werking van de Europese ruimte van vrijheid, veiligheid en recht. Ten aanzien van het genoemde voorbeeld geldt als uitgangspunt dat de wederzijdse erkenning van rechterlijke beslissingen zoals het Europees aanhoudingsbevel (EAB) op wederzijds vertrouwen is gestoeld.
Hoewel de ontwikkeling van de rechtsstaat in Polen zeker reden geeft tot aanhoudende zorg, kunnen er slechts in uitzonderlijke situaties redenen zijn om bij de uitvoering van een EAB niet onverkort uit te gaan van wederzijdse erkenning. Het is aan de onafhankelijke rechter om in individuele gevallen te beoordelen of eventuele algemene tekortkomingen in de rechtsstaat de concrete samenwerking met de autoriteiten van de betreffende lidstaat in de weg staan. Dat is pas het geval als moet worden vastgesteld dat de betrokkene in het concrete geval na overlevering gevaar loopt dat zijn grondrecht op een eerlijk proces (artikel 47 Handvest) in de kern zal worden geschonden (zie in dit verband arrest van het Hof van Justitie EU in zaak C-216/18, LM). De uitvoerende justitiële autoriteit kan gebruik maken van de mogelijkheid om aanvullende inlichtingen te vragen aan de uitvaardigende justitiële autoriteit. De uitvaardigende justitiële autoriteit krijgt daardoor de gelegenheid om haar visie op de zaak te geven en dus ook om eventueel aan te tonen dat er in het voorliggende geval geen redenen zijn om het vertrouwen te beperken.

Vraag 5

Kunt u toelichten hoe dit incident zich verhoudt tot de lopende artikel-7-procedure in de Raad tegen Polen?

De artikel 7-procedure jegens Polen ziet uitsluitend op de zeven zorgpunten die door de Commissie zijn geïdentificeerd in haar met redenen omklede voorstel uit december 2017. Bovendien is de aanklacht tegen de Poolse academici uiteindelijk niet ingediend. Derhalve acht het kabinet het niet opportuun om deze specifieke casus op te brengen tijdens de aankomende Raad Algemene Zaken. Wel zal het kabinet wederom zijn zorgen uiten over de situatie van de rechtsstaat in Polen, en aandringen op het adequaat en spoedig adresseren door Polen van alle door de Commissie geïdentificeerde zorgen.

Vraag 6

Wat is de stand van zaken daaromtrent? Klopt het dat er in de Raad Algemene Zaken van 18 juni niet over de rechtsstaat gesproken is?

Op de Raad Algemene Zaken van 18 juni jl. was de artikel 7-procedure jegens Polen inderdaad niet geagendeerd. Het Voorzitterschap heeft de stand van zaken met betrekking tot deze procedure echter voor de volgende Raad Algemene Zaken van 18 juli a.s. wel geagendeerd. Zoals gebruikelijk is de Kamer hier via de geannoteerde agenda nader over geïnformeerd.

Vraag 7

Bent u van plan om deze laatste schrijnende aanval op de rechtsstaat wederom in de Raad Algemene Zaken (d.d. 23 juli 2019) aan te kaarten? Zo ja, met welke lidstaten kunt u optrekken? Zo nee, waarom niet?

Zie antwoord vraag 5.

Vraag 8

Kunt u toelichten hoe de overige lidstaten reageerden op de recente mededeling van de Europese Commissie over versterking van de rechtsstaat tijdens de Raad Algemene Zaken van 21 mei?3

De Commissie is voornemens om de ingestuurde bijdragen, waaronder ook die van de lidstaten, na verkregen toestemming online te publiceren. Het kabinet verwijst in dit opzicht dan ook graag naar deze toekomstige publicaties.

Vraag 9

Verwacht u op basis hiervan het komende half jaar stappen te kunnen zetten op dit dossier? Werkt u samen met het Voorzitterschap en gelijkgezinde lidstaten om een doorbraak te creëren? Zo nee, waarom niet?

Het kabinet zal nu eerst de ontvangen voorstellen van de Commissie (COM(2019) 343 – mededeling Versterking van de rechtsstaat binnen de Unie) nader bestuderen. In het algemeen blijft gelden dat Nederland nauw optrekt met gelijkgezinde lidstaten als het gaat om het versterken van rechtsstatelijkheid in de Unie, en waar nodig ook met het Voorzitterschap samenwerkt. In dat opzicht is het bemoedigend dat het zojuist begonnen Fins Voorzitterschap van dit thema een prioriteit zal maken.

Vraag 10

Herinnert u zich dat in het verslag van de Raad Algemene Zaken van 21 mei Nederland een schriftelijke reactie toezegde aan de Commissie op de in de mededeling gestelde vragen? Kunt u deze reactie de Kamer doen toekomen? Zo nee, waarom niet?4

De schriftelijke bijdrage van Nederland aan het door de Commissie geïnitieerde debat is samen met de kabinetsreactie op het rapport-Van der Graaf op 2 juli jl. naar beide Kamers gestuurd. De bijdrage is gebaseerd op het BNC-fiche dat beide Kamers op 29 mei jl. toeging.

Vraag 11

Ziet u in deze laatste mededeling van de Europese Commissie aanknopingspunten om te starten met het jaarlijks toetsen van lidstaten op basis van grondrechten en democratie door experts, zoals de Venetië Commissie? Zo nee, waarom niet?

De mededeling van 3 april jl. biedt naar de mening van het kabinet geen concrete aanknopingspunten om te starten met het jaarlijks toetsen van lidstaten door experts zoals de Venetië Commissie. Nederland heeft in zijn input richting de Commissie wel de suggestie gedaan dat zij zou kunnen overwegen om in het geval van specifieke landensituaties op een systematischer wijze te (laten) monitoren hoe de lidstaat in kwestie omgaat met de aandachtspunten op het terrein van de rechtsstaat en nader te bepalen thematische onderwerpen. Ook steunt het kabinet het Belgisch-Duits initiatief om te komen tot een peerreviewmechanisme rechtsstatelijkheid en marge van de Raad Algemene Zaken. Deze systematische review van de aan het mechanisme deelnemende landen heeft tot doel een constructieve, gestructureerde en interactieve politieke discussie tussen alle lidstaten te bevorderen, zodat daadwerkelijke verbetering van de rechtsstaat kan worden bewerkstelligd. Dit mechanisme wordt momenteel op ambtelijk niveau verder uitgewerkt en besproken tussen de lidstaten.

Vraag 12

Wanneer verwacht u de verdere meer concrete uitwerking van de voorstellen die in deze mededeling gedaan worden?

Op 17 juli jl. is de nieuwe Commissiemededeling verschenen met daarin nadere voorstellen. Het kabinet zal deze voorstellen nader bestuderen en beide Kamers hierover zoals gebruikelijk via een BNC-fiche informeren.

Vraag 1

Kent u het bericht «Nederlander in buitenland moet op pad voor extra check DigiD»?1

Ja

Vraag 2

Bent u het ermee eens dat tweestapsverificatie een goede stap vooruit is naar veiliger inloggen bij DigiD?

Ja, inloggen met tweestapsverificatie zorgt ervoor dat gegevens van de burgers beter zijn beschermd. Internetcriminelen kunnen minder makkelijk bij de gegevens, omdat ze niet in het bezit zijn van de telefoon die vereist is bij het inloggen, ook al hebben ze het wachtwoord van iemand wel kunnen bemachtigen.
Het inloggen met gebruikersnaam en wachtwoord bij DigiD is niet toereikend voor diensten met betekenisvolle rechtsgevolgen of waarbij uiterst vertrouwelijke informatie (zoals medische gegevens) wordt uitgewisseld. Dienstverleners moeten om bepaalde diensten digitaal te kunnen aanbieden met meer zekerheid kunnen vaststellen of zij met de juiste (natuurlijke- of rechts-)persoon te maken hebben.

Vraag 3

Kunt u uitgebreid toelichten op welke wijze inloggen met DigiD via «tweestapsverificatie» mogelijk is vanuit het buitenland?

Inloggen via tweestapsverificatie met DigiD werkt in binnen- en buitenland op dezelfde manier, namelijk met een sms-controle of de DigiD-app.
Er zijn voor Nederlanders in het buitenland meerdere scenario’s mogelijk:
Iemand die nog geen DigiD-account heeft, moet bij één van de balies in het buitenland, op Schiphol of bij een grensgemeente een activeringscode ophalen om zijn DigiD te kunnen activeren. Het is van belang dat diegene ook gelijk zijn telefoonnummer toevoegt aan zijn DigiD-account. Dat account is dan gelijk geschikt om in te loggen met de DigiD-app of sms-controle.
Voor Nederlanders in het buitenland die AOW ontvangen, geldt voor het aanvragen van een DigiD een aparte regeling. Zij kunnen via de SVB online een DigiD aanvragen en krijgen de activeringscode dan toegestuurd naar hun adres in het buitenland. Dit betreft een door de SVB gecontroleerd adres.
Iemand die al een DigiD-account heeft, maar op een later moment inloggen met sms-controle wil activeren of de DigiD-app wil downloaden en activeren, kan deze manieren van inloggen op dit moment alleen toevoegen aan zijn of haar account door nogmaals langs een DigiD-balie te gaan om een activeringscode op te halen.
Iemand die zijn identiteitsdocument in Nederland heeft aangevraagd en in het bezit is van een Android telefoon met NFC-lezer kan de DigiD-app ook activeren door zijn identiteitsdocument te scannen met de mobiele telefoon waarop de DigiD-app staat en hoeft dan niet langs een balie. DigiD controleert tijdens het scannen van het identiteitsdocument of dit is geregistreerd in de BRP of het rijbewijsregister. Documenten die niet in een van beide registers zijn geregistreerd, zijn niet geschikt om de DigiD-app te activeren op boven beschreven wijze. Nederlandse paspoorten uitgegeven via een ambassade staan bijvoorbeeld niet in deze registers en kunnen daarom nu niet gebruikt worden om de app te activeren. De ontwikkeling naar een centraal basisregister reisdocumenten, zoals geschetst in mijn brief van 26 juni jl. over vernieuwing van het reisdocumentenstelsel (programma VRS), zal in 2022 aan deze situatie een einde maken.
Het uitgifteproces van DigiD is aan voorwaarden gebonden om de betrouwbaarheid van DigiD op het gewenste niveau te houden. In Nederland kan voor een basis-account voldoende betrouwbaarheid bij uitgifte worden verkregen door de brief met activeringscode naar het adres te sturen waarmee een burger in de basisregistratie personen (BRP) geregistreerd is. Hiermee wordt de identiteit van de aanvrager op afstand gecontroleerd. De adressen van Nederlanders in het buitenland zijn opgenomen in het niet-ingezetenendeel van de BRP, de Registratie niet-ingezetenen (RNI). Hoewel er veel aan wordt gedaan de adressen in deze registratie actueel en betrouwbaar te houden, is dat bij adressen in het buitenland niet goed mogelijk. In die situaties wordt een face-to-face controle vooralsnog als enige mogelijkheid gezien om ervoor te zorgen dat een DigiD in de juiste handen komt. Aan de balie wordt de activeringscode meegegeven, na controle van de aanvraag en de identiteit van de aanvrager.

Vraag 4

Hoe beoordeelt u het functioneren van het tweestapsverificatie-systeem in het algemeen voor Nederlanders in het buitenland? Komen sms-berichten altijd aan en werkt de DigiD-app goed in het buitenland?

De sms-berichten worden in de meeste landen in de wereld goed en snel afgeleverd, maar in enkele landen en door enkele providers worden deze berichten soms later of niet bezorgd. Dit is helaas een situatie waarop de Nederlandse overheid in de betreffende landen geen invloed heeft. Burgers in deze landen kunnen het beste de DigiD-app gebruiken, omdat hiervoor een reguliere internetverbinding volstaat. Een alternatief is het gebruik van een gesproken sms-bericht, dat komt vaker aan. In Mijn DigiD kan deze functie worden ingesteld. Bij het aanvragen van de controle via SMS kan de optie «ik wil gesproken sms-berichten ontvangen» worden gekozen.

Vraag 5

Is het waar dat Nederlanders in het buitenland, die voor het eerst tweestapsverificatie moeten gebruiken, een code moeten ophalen bij een balie die slechts op veertien plaatsen buiten het Koninkrijk te vinden is? Kunnen deze Nederlanders nog inloggen bij het UWV en de Belastingdienst zonder deze code?

Zie het antwoord op vraag 3 voor het aanvragen en uitgeven van de activatiecode op dit moment.
De activatiecode kan op dit moment bij veertien balies in het buitenland worden opgehaald en bij elf grensgemeenten in Nederland, waaronder Haarlemmermeer/Schiphol. Nederlanders die in het buitenland wonen hebben daarmee ook de mogelijkheid om de activatiecode op te halen wanneer zij een bezoek brengen aan Nederland.
Een organisatie bepaalt zelf het betrouwbaarheidsniveau dat is vereist voor de digitale dienstverlening die wordt afgenomen. Steeds meer organisaties gaan over tot het vereisen van een hoger betrouwbaarheidsniveau. Zo vereist het UWV sinds 15 mei 2019 ten minste tweestapsverificatie. Dat betekent dat iemand alleen kan inloggen met de DigiD-app of een sms-controle.
Nederlanders in het buitenland die voor het eerst tweestapsverificatie willen gebruiken dienen bij een balie een activeringscode op te halen alvorens weer in te kunnen loggen bij het UWV, tenzij zij, zoals aangegeven bij het antwoord op vraag 3, de mogelijkheid hebben om de DigiD-app te installeren met behulp van een Android smartphone met NFC-lezer en een geldig identiteitsdocument. Bij de Belastingdienst kan vooralsnog worden ingelogd met een DigiD-gebruikersnaam en -wachtwoord.

Vraag 6

Wat is uw reactie op geluiden van Nederlanders in het buitenland (zie bijvoorbeeld de website van Stichting Nederlanders Buiten Nederland of de resultaten van de enquête van Stichting Goed over het gebruik van DigiD onder Nederlanders in het buitenland), waaruit blijkt dat vele Nederlanders in het buitenland problemen ervaren met het aanvraagproces van de DigiD-code, die ook nodig is voor tweestapsverificatie?2

Ik realiseer mij en betreur dat dit voor een deel van de Nederlanders die in het buitenland wonen en een DigiD willen of moeten hebben tot ongemak leidt en dat zij dit als een probleem ervaren. De gewenste betrouwbaarheid van DigiD en de eisen die deze stelt aan het uitgifteproces laten mij vooralsnog geen andere keuze. Wel bekijkt mijn ministerie samen met het ministerie van Buitenlandse Zaken (BZ), mede in het kader van het project «Loket Buitenland», naar mogelijkheden om de dienstverlening aan Nederlanders in het buitenland op dit punt te verbeteren. Zie ook het antwoord op de vragen 7 en 8 hieronder.

Vraag 7

Wat is uw reactie op het feit dat vele Nederlanders niet in een land wonen waar zo’n «DigiD-balie» is en hiervoor dus lange reizen en kosten moeten maken, zoals bijvoorbeeld mensen die in China of Japan wonen die hiervoor moeten afreizen naar Bangkok of Sydney?

In mijn antwoord op vraag 3 heb ik aangegeven dat het uitgifteproces van DigiD aan voorwaarden is gebonden om de betrouwbaarheid van het systeem hoog te houden. Dit betekent vooralsnog dat een face-to-face controle voor Nederlanders in het buitenland noodzakelijk blijft. Nieuwe technieken die identificatie op afstand mogelijk maken, zijn op dit moment nog onvoldoende bruikbaar.
Dat neemt niet weg dat ik samen met mijn collega van Buitenlandse Zaken mogelijkheden ontwikkel om Nederlanders in het buitenland beter te bedienen.
Hierboven noemde ik al de ontwikkeling naar een centraal basisregister reisdocumenten, waar ook reisdocumenten uitgegeven in het buitenland een plek in krijgen. Hiermee kan op termijn ook met deze documenten – mits iemand beschikt over een DigiD-account en een geschikt apparaat – de DigiD-app worden geactiveerd. In de tussentijd werken het ministerie van Buitenlandse Zaken en Logius samen aan het verbeteren en stroomlijnen van de informatie en communicatie over DigiD in het buitenland. Met RvIG wordt daarnaast gewerkt aan verbetering van de Registratie Niet-Ingezetenen. Ook wordt bekeken of het aantal DigiD-balies in het buitenland kan worden uitgebreid, vooral door inzet van een externe dienstverlener (EDV) zoals nu reeds het geval is voor visa en op een aantal plekken ook voor paspoorten.
Tot slot laat ik voor mensen die al een DigiD-account hebben en naar tweestapsverificatie moeten of willen overgaan de mogelijkheid onderzoeken om de DigiD-app en sms-controle te activeren zonder dat de brief met activeringscode aan een balie moet worden afgehaald, door aanvullend gebruik te maken van de NFC-technologie. Bij een positieve uitkomst zal het vanaf de tweede helft van 2020 mogelijk zijn de DigiD-app of sms-controle te activeren zonder baliebezoek.
Hoewel duidelijk is dat dit allemaal niet op korte termijn is gerealiseerd, heb ik u hiermee wel een beeld willen schetsen van de stappen die worden gezet om het verkrijgen van en werkend houden van DigiD voor Nederlanders in het buitenland, met voldoende waarborgen, te vergemakkelijken.

Vraag 8

Bent u het eens dat dit geen acceptabele situatie is voor Nederlanders in het buitenland? Zo ja, wat bent u van plan hier aan te doen? Zo nee, waarom niet?

Zie antwoord vraag 7.

Vraag 9

Bent u bereid voor Nederlanders in het buitenland een andere oplossing te zoeken zodat zij veilig via tweestapsverificatie kunnen inloggen bij DigiD zonder dat zij daarvoor duizenden kilometers hoeven te reizen?

Zie het antwoord op de vragen 7 en 8.

Vraag 1

Kent u het artikel «In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc»?1

Ja.

Vraag 2

Hoe beoordeelt u de cyberaanval op Baltimore door digitale «afpersers», waarbij e-mail, vastgoedtransacties, rekeningen van waterbedrijven, medische noodoproepen en vele andere diensten zijn geraakt?

Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.

Vraag 3

Hoe analyseert u de gevolgen voor het (openbare) leven in de stad? Kunt u daarbij in het bijzonder ingaan op de impact die het heeft gehad op de lokale overheid van Baltimore? Welke kosten heeft de lokale overheid van Baltimore hierdoor moeten maken?

Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.

Vraag 4

Herkent u de toenemende dreiging van het misbruik van de Eternal Blue exploit voor Europa en Nederland door cybercriminelen? Zo nee, waarom niet? Zo ja, hoe bereidt u zich voor op dergelijke aanvallen?

Aanvallen als deze zijn zeer onwenselijk en het is uitermate vervelend dat burgers (tijdelijk) niet kunnen beschikken over overheidsdiensten waar ze normaal gesproken op moeten kunnen vertrouwen. De lokale overheid van Baltimore heeft gemeld dat alle diensten bereikbaar en leverbaar zijn, zij het soms via alternatieven als tijdelijke mailadressen. Over de kosten zijn geen mededelingen gedaan, anders dan dat de lokale overheid niet aan het verzoek tot betaling van het losgeld zal voldoen2.
Het kabinet doet er alles aan om te voorkomen dat een dergelijke situatie zich in Nederland zal voordoen. Mogelijke dreigingen worden zeer serieus genomen en risico’s worden, waar mogelijk, gemitigeerd. Ten aanzien van Eternal Blue kan gezegd worden dat het kabinet bekend is met deze exploit en de dreiging die daarvan uitgaat. In het Cyber Security Beeld Nederland (CSBN) 2018 is deze exploit al meerdere keren genoemd3. In het in 2017 gepubliceerde beveiligingsadvies (NCSC-2017–02294) van het Nationaal Cyber Security Centrum (NCSC) werd de kans op misbruik van de kwetsbaarheid, door gebruik van deze exploit, als «hoog» geclassificeerd. Deze classificatie was vanwege actief misbruik van deze kwetsbaarheid, met een hoge kans op schade wanneer een organisatie getroffen wordt. Dit beveiligingsadvies is nog steeds van kracht. Het NCSC blijft de ontwikkelingen nauwlettend volgen en indien er reden toe is zal het beveiligingsadvies worden aangepast. Op dit moment is daar echter geen aanleiding voor.
Ten aanzien van het voorbereiden van organisaties op digitale aanvallen is het van belang te melden dat dit kabinet via de Nederlandse Cyber Security Agenda (NCSA) investeert in het versterken van de digitale weerbaarheid. Zo wordt met de uitvoering van verschillende maatregelen onder de NCSA het Nederlandse stelsel van samenwerkingsverbanden versterkt. Door dit stelsel wordt informatie over kwetsbaarheden bij zo veel mogelijk organisaties bekend en kunnen organisaties passende maatregelen treffen. Voor het bereiken van de organisaties die buiten de vitale infrastructuur en de rijksoverheid vallen, is in 2018 het Digital Trust Center (DTC) in het leven geroepen. Het DTC en het NCSC werken samen om, ter verhoging van de cyberweerbaarheid van de onderscheidenlijke doelgroepen (niet-vitale bedrijfsleven; rijksoverheid en vitale bedrijven), zo veel als mogelijk informatie te kunnen ontsluiten. Het uitgangspunt daarbij is dat organisaties binnen genoemde doelgroepen zelf het best in staat zijn om vanuit hun eigen verantwoordelijkheid en inzicht in de bedrijfsprocessen, te bepalen hoe zij patchmanagement voor hun organisatie hebben georganiseerd. Uitstel of afstel van updates en het nemen van alternatieve mitigerende maatregelen kan voor een organisatie soms een keuze zijn in verband met de continuïteit van processen. Wanneer het echter misgaat kan het wel grote gevolgen hebben. Daarom wordt bijvoorbeeld op de website van het NCSC ook informatie gedeeld over het inrichten van patchmanagement om organisaties daarbij te helpen. Daarnaast is er een actieve rol voor het DTC om het niet-vitale bedrijfsleven daarin goed te bereiken. Vanzelfsprekend wordt ook op de website van het Digital Trust Center informatie gedeeld over onder andere updates.

Vraag 5

Hoe beoordeelt u het feit dat Nederland op de achtste plaats staat als het gaat om machines die nog steeds gebruik maken van het SMBv1-protocol waar de Eternal Blue exploit gebruik van kan maken?2

Uiteraard is het zorgelijk dat wordt gesignaleerd dat machines in Nederland mogelijk nog steeds kwetsbaar zijn voor misbruik doordat updates niet zijn gedraaid. Echter de hoge score in de lijst hangt samen met de hoge mate van digitale connectiviteit van Nederland. Nederland is immers één van de meest gedigitaliseerde landen ter wereld. Ondanks deze wetenschap is het belangrijk ervoor te zorgen dat machines in Nederland weerbaar zijn. Het NCSC adviseert met het oog hierop, net als bij alle andere bekende kwetsbaarheden, om systemen tijdig en volledig te updaten met de meest recente beveiligingsupdates of alternatieve mitigerende maatregelen te treffen. Hierover publiceert het NCSC zoals gezegd beveiligingsadviezen. Sinds de komst van het DTC is er ook een mogelijkheid om het niet-vitale bedrijfsleven actief te benaderen. Het NCSC en het DTC werken samen om beveiligingsadviezen zo breed mogelijk te delen.

Vraag 6

Welke maatregelen neemt u om het patchbeleid bij overheden te stimuleren? Ziet u naar aanleiding van de toenemende dreiging van de Eternal Blue exploit aanleiding aanvullende maatregelen te nemen? Zo nee, waarom niet?

Ik zie vanwege deze ene specifieke kwetsbaarheid geen reden het overheidsbrede patchbeleid aan te passen, zoals dat is opgesteld in de Baseline Informatiebeveiliging Overheid6 (BIO). De BIO bevat ten aanzien van kwetsbaarheden en patches de volgende bepalingen:
Zoals gezegd wordt de kans op misbruik van deze kwetsbaarheid sinds 2017 door het NCSC als «hoog» geclassificeerd vanwege actief misbruik dat is waargenomen. In geval van een kwetsbaarheid met een hoge kans op misbruik en hoge vervolgschade neemt het NCSC actief contact op met organisaties in haar doelgroep (rijksoverheid, vitale bedrijven), met het advies direct actie te ondernemen. Het beveiligingsadvies van het NCSC omtrent deze kwetsbaarheid en de daarmee samengaande maatregelen zijn nog steeds van kracht.
Tot slot is het goed te vermelden dat in Baltimore de gemeente werd getroffen. In Nederland is in een dergelijk geval de Informatiebeveiligingsdienst (IBD) het sectorale computercrisisteam voor alle Nederlandse gemeenten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en werkt daartoe onder meer samen met het NCSC.

Vraag 7

Kunt u elke vraag afzonderlijk beantwoorden?

Gelet op de samenhang in de vragen 2, 3 en 4 is ervoor gekozen de beantwoording van deze vragen samen te voegen.

Vraag 1

Bent u bekend met het artikel «WhatsApp Rushes to Fix Security Flaw Exposed in Hacking of Lawyer’s Phone?1

Ja.

Vraag 2

Bent u bekend met de hacksoftware van NSO Group? Wat is uw mening over de wenselijkheid van het bestaan van een markt in hacktools die apparaten en software die gebruikt worden door honderden miljoenen mensen, onveilig houden door gevonden onbekende kwetsbaarheden niet te laten dichten, maar open te houden om te kunnen hacken?

Ik ben er mee bekend dat de NSO Group software produceert die kan worden gebruikt om geautomatiseerde werken binnen te dringen.
Het is onwenselijk dat apparaten of software die door miljoenen mensen worden gebruikt kwetsbaar zijn. De omvang en complexiteit van software voor maatschappelijk gebruik is fors toegenomen. Veel gebruikte applicaties hebben tegenwoordig tientallen miljoenen regels broncode. Kwetsbaarheden zijn daarom talloos en wijdverbreid.2 Het beleid van de regering is gericht op een open, vrij en veilig internet en daarmee op vermindering van het aantal onbekende kwetsbaarheden.3 Uitgangspunt is dat onbekende kwetsbaarheden aan de leverancier of fabrikant worden gemeld.4 De overheid stimuleert het melden van kwetsbaarheden, onder meer met het beleid voor responsible disclosure. Het is aan de producent om deze kwetsbaarheid te verhelpen door herstel van zijn software aan te bieden door een patch of update en het is vervolgens aan de gebruiker om zijn software te updaten.5
De verkoop van binnendringsoftware aan bepaalde partijen, waaronder regimes die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht, is onwenselijk. De regering wil bovendien de markt voor onbekende kwetsbaarheden niet bevorderen, dat zou negatieve gevolgen voor de veiligheid van het internet kunnen hebben.6 Nederland spant zich internationaal in om cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. Zie hiervoor mijn antwoord op vraag 5.

Vraag 3

Bent u het ermee eens dat wereldwijd hacksoftware, waaronder hacksoftware gemaakt door NSO Group, gebruikt wordt om dissidenten, journalisten en mensenrechtenactivisten af te luisteren? Wat is uw mening over deze ontwikkeling? Kunt u daarbij ook ingaan op het onderzoek van de Electronic Frontier Foundation en Citizen Lab over het gebruik van hacksoftware van NSO Group in Mexico?

Het onderzoek van de Electronic Frontier en Citizen lab schrijft over het gebruik van binnendringsoftware bij het schenden van de mensenrechten van mensenrechtenverdedigers en journalisten. Het kabinet wijst dergelijke schendingen af, ongeacht of hierbij gebruik wordt gemaakt van binnendringsoftware of niet.

Vraag 4

Kunt u uitsluiten dat NSO Group hacksoftware verkoopt aan dubieuze regimes? Kunt u een lijst geven van landen waarvan u zeker weet dat zij hacksoftware hebben gekocht van NSO Group?

Ik heb geen inzicht in het klantenbestand van de NSO Group en kan dus geen uitspraken doen over het verkoopbeleid van de NSO Group.

Vraag 5

Aan welke regelgeving omtrent de export van hacksoftware moeten Europese bedrijven die dergelijke software maken voldoen? Bent u van mening dat deze regelgeving voldoende is om misstanden te voorkomen, zoals het misbruik van hacksoftware om dissidenten, journalisten of mensenrechtenactivisten af te luisteren?

Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiele gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt ook voor goederen voor het maken en besturen van binnendringsoftware. Verder is de verkoop van technologie voor de ontwikkeling van «intrusion software», software die gebruik maakt van kwetsbaarheden, onderhevig aan exportcontrole op grond van afspraken in het Wassenaar Arrangement. Deze goederen zijn hierdoor opgenomen in de controlelijst van de Europese Dual-use verordening. Een bedrijf dat binnen de EU gevestigd is, is verplicht voor het exporteren van deze goederen en technologie buiten de EU een vergunning aan te vragen. Vergunningen kunnen worden afgewezen indien er zorgen bestaan ten aanzien van het eindgebruik in relatie tot mensenrechtenschendingen. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen.

Vraag 6

Bent u het ermee eens dat de Nederlandse overheid geen hacksoftware zou moeten kopen die tevens gebruikt wordt door dubieuze regimes of voor het afluisteren van journalisten, dissidenten of mensenrechtenactivisten?

Als Minister van Justitie en Veiligheid kan ik mij alleen uitlaten over de Nederlandse opsporing. Voor de opsporing van strafbare feiten zijn in het huidige Regeerakkoord «Vertrouwen in de toekomst» afspraken gemaakt voor de aanschaf van binnendringsoftware. Voor de uitvoering van de Wet Computercriminaliteit III komt 10 miljoen euro extra beschikbaar. Daarbij zal slechts in een specifieke zaak hacksoftware worden ingekocht door opsporingsdiensten. Leveranciers van dergelijke software worden gescreend door de AIVD en leveren niet aan dubieuze regimes. 7 Het gaat dan om landen die zich schuldig maken aan ernstige schendingen van mensenrechten of internationaal humanitair recht.8 Om deze reden voert de politie een toets uit voordat over wordt gegaan tot de aanschaf van binnendringsoftware. In deze toets wordt de leverancier gevraagd niet te hebben geleverd aan landen waartegen vanuit de EU of de VN restrictieve sancties bestaan en wordt gecontroleerd of in het land waar de leverancier is gevestigd een exportcontroleregime bestaat waar mensenrechten een onderdeel is in de beoordeling voor het verstrekken van een exportvergunning.

Vraag 1

Bent u bekend met het artikel «Wie temt het datamonster in de auto-industrie?»1

Ja.

Vraag 2

Kunt u toelichten wat het standpunt is van Nederland met betrekking tot de plannen van de Europese Commissie om de verkeersveiligheid te verbeteren door middel van dataopslag, camera’s en sensors in auto’s?

Nederland is hier voorstander van, zoals 28 juni jl. aangegeven in reactie op de EU-strategie voor geautomatiseerd vervoer (Kamerstuk 22 112, nr. 2596). Een toenemend gebruik van sensoren en data, is een logisch gevolg van de opkomst van connected en geautomatiseerd wegvervoer en biedt volop kansen voor onze mobiliteitsuitdagingen. Nederland is trekker van de internationale proef die anonieme voertuigdata, via privacy & security by design, gebruikt voor het detecteren van verkeersonveilige situaties.

Vraag 3

Deelt u de mening dat er een onafhankelijke toezichthouder moet komen om de veiligheid van de door de autofabrikanten verzamelde informatie te verzekeren?

In Nederland zijn er onafhankelijke toezichthouders die actief zijn op het gebied van voertuigdata: de Autoriteit Persoonsgegevens en de RDW. De RDW heeft hier een wettelijke taak in het toelaten van voertuigen waarbij veilig functioneren incl. dataprotectie, nu en in de komende jaren, een integraal onderdeel is van het functioneren op de openbare weg. Op grond van de kaderverordening
EU/2018/858 krijgt de Europese Commissie een nieuwe eigenstandige rol, naast die van de nationale autoriteiten voor toelating van en toezicht op (ook in gebruiksfase) bepaalde type motorvoertuigen.

Vraag 4

Bent u ermee bekend dat verzekeraars deze data gebruiken om hun premies te koppelen aan rijgedrag?

Ja.

Vraag 5

Deelt u de mening dat de privacy van mensen niet in geding mag komen door het «datamonster» en hoe gaat u de privacy van de gebruiker/bestuurder bewaken?

Dataprotectie en privacy zijn fundamentele rechten die zeker bewaakt worden. De AVG biedt daarvoor een goede basis en de Nationale en Europese autoriteiten voor persoonsgegevens houden daar toezicht op. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Het is aan haar om te oordelen of de AVG wordt nageleefd. Bij de Autoriteit Persoonsgegevens heb ik deze ontwikkeling van communicatie met- en data uit- voertuigen vorig jaar aangekaart en zij hebben dit onlangs opgenomen als een van hun topprioriteiten in de European Data Protection Board.

Vraag 6

Kunt u een overzicht geven van de verschillende soorten data die nieuwe auto’s verzamelen en delen met autofabrikanten of derden?

Er zijn meerdere publicaties over dit onderwerp. De meeste op Europees niveau zoals het TRL onderzoek «Access to In-Vehicle data and resources»»2. Op dit moment wordt in opdracht van mij en het Ministerie van EZK aanvullend onderzoek gedaan naar de ontwikkelingen op dit terrein.
Een volledig overzicht van alle gegevens die alle typen auto’s genereren en opslaan kan ik niet geven. Er worden verschillende typen data verzameld door autofabrikanten. Het betreft enerzijds data die niet privacygevoelig zijn en iets zeggen over de staat van het voertuig (bijvoorbeeld technische foutmeldingen) en anderzijds data die iets zeggen over een persoon en die, als die data herleidbaar zijn tot die persoon, privacygevoelig zijn (bijvoorbeeld bezochte plaatsen en ander verplaatsingsgedrag of persoonlijke kenmerken). De meeste data die voertuigen en de fabrikanten verzamelen zijn vooralsnog van technische aard en niet zonder meer herleidbaar tot natuurlijke personen.

Vraag 7

Kunt u daarbij aangeven in hoeverre het gaat om persoonsgegevens?

Zie antwoord op vraag 6. Voor het verwerken van persoonsgegevens geeft de geldende Europese wetgeving regels, zoals de informatieplicht. De informatieplicht houdt in dat de fabrikant vooraf meedeelt aan de klant welke data hij wil verwerken, en met welke doeleinden de verwerking plaatsvindt en nadere informatie verstrekt voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder ze worden verkregen of het gebruik dat ervan wordt gemaakt nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking en opslag te waarborgen. De betrokkene kan zo zijn recht op inzage, correctie, verwijdering van of verzet tegen het verwerken van de persoonsgegevens uitoefenen.

Vraag 8

Welke mogelijkheden hebben mensen om ervoor te kiezen data die hun auto verzamelt niet te delen? Hoe kunnen mensen concreet die keuze maken? Kunnen mensen ook na aankoop van een nieuwe auto hun keuzes voor het delen van data wijzigen? Zo ja, hoe? Hoe zit het met de aankoop van tweedehands auto’s?

Ook hiervoor geldt de eerdere genoemde informatieplicht. In het eerdere genoemde ECORYS-onderzoek in opdracht van mij en het Ministerie van EZK worden deze mogelijkheden onderzocht. Op de uitkomsten wil ik echter niet vooruitlopen. Het is wel duidelijk dat er grote verschillen zijn in de wijze waarop dit gebeurt. Mijn uitgangspunt is een zo groot mogelijke keuzevrijheid en maximale transparantie.

Vraag 9

Bent u bekend met de motie van de leden Verhoeven en van Nispen over de uitvoering van de additionele taken door de AP – Uitvoeringswet Algemene verordening gegevensbescherming (Kamerstuk 34 851, nr. 23)? Wanneer wordt de Kamer hierover geïnformeerd?

Dit voorjaar zal de kamer een reactie worden toegezonden op de motie van leden Verhoeven en Van Nispen waarin de kamer zal worden geïnformeerd over de capaciteit en de middelen van de AP in relatie tot haar taken door mijn collega Sander Dekker, Minister voor Rechtsbescherming.

Vraag 1

Kent u het artikel «Medische gegevens duizenden Nederlanders verplaatst naar Google: «Riskant»»?1

Ja.

Vraag 2

Bent u van tevoren door de betrokken ziekenhuizen of het bedrijf Medical Research Data Management op de hoogte gesteld van het verplaatsen van medische gegevens van patiënten naar de Google Cloud?

Nee, deze verplichting is er ook niet.

Vraag 3

Wat is uw mening over deze praktijk? Acht u het een veilige manier van opslaan van medische gegevens?

Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging en privacybescherming. MRDM heeft mij laten weten een uitgebreide risicoanalyse te hebben uitgevoerd voorafgaand aan het besluit over het plaatsen van de data en juist vanuit de overweging van informatiebeveiliging de keuze gemaakt te hebben voor Google Cloud Platform (GCP).
MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen. Google LCC is gecertificeerd onder het EU-US Privacy Shield. De Europese Commissie met het afsluiten van het EU-US Privacy Shield-framework bedrijven in de EU een adequaat mechanisme gebracht voor naleving van de vereisten van de Europese wetten inzake gegevensbescherming die te maken hebben met de overdracht van persoonlijke gegevens van de Europese Unie naar de Verenigde Staten.
MRDM laat daarnaast weten de data dubbel te versleutelen, dus een versleuteling door Google en een eigen versleuteling, waarmee de gegevens niet toegankelijk zijn voor Google. Tenslotte is geregeld dat wanneer beheerders van Google zich vanuit beheerswerkzaamheden toegang verschaffen tot de versleutelde gegevens, MRDM daar melding van krijgt, zodat gecontroleerd kan worden dat Google zich aan wettelijke en contractuele bepalingen houdt.
De verantwoordelijkheid voor het informeren van betrokkenen over de opslag en het gebruik van data ligt bij de betrokken zorginstellingen. Zo ook het in voorkomende gevallen betrekken van de Autoriteit Persoonsgegevens (AP). Na de berichtgeving in de media inzake Medical Research Data Management heb ik contact gezocht met de AP. De AP heeft mij laten weten dat ziekenhuizen onder voorwaarden patiëntgegevens in een cloud mogen opslaan, mits voldaan wordt aan de verplichtingen van de AVG.
Ik zal onafhankelijk onderzoek laten doen naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata.

Vraag 4

Waarom zijn de patiënten niet op de hoogte gesteld van deze praktijk? Is de privacy van de betrokken patiënten voldoende gewaarborgd? Is de Autoriteit Persoonsgegevens op de hoogte gebracht van deze praktijk?

Zie antwoord vraag 3.

Vraag 5

Klopt het dat Google niet bij de gegevens kan? Is het bekend waar de gegevens precies worden opgeslagen? Is dat in een datacenter in Nederland? Welke wettelijke eisen zijn daarbij van toepassing? Zijn er geen meer privacy-vriendelijke alternatieven die minder risico’s met zich meebrengen?

Zie antwoord vraag 3.

Vraag 6

Wat zijn onder zorgaanbieders de meest gebruikte praktijken van opslag van medische gegevens van patiënten en welke risico’s op het gebied van cyberveiligheid en privacy brengen die verschillende methodes met zich mee?

De meest gebruikte praktijk was/is een eigen (in-house) datacentrum/computer. Wij zien nu een versnelde beweging naar de Cloud, met name bij de kleinere zorgaanbieder als huisartsen, tandartsen, fysiotherapiepraktijken, etc. Een belangrijke overweging daarbij is dat deze zorgaanbieders niet de kennis en de middelen hebben om lokale opslag van patiëntgegevens goed te beveiligen. Dataopslag in de cloud komt derhalve relatief vaak voor in de zorg, juist vanwege de gevoeligheid en behoefte aan professionele informatiebeveiligings- en privacywaarborgen.

Vraag 1

Bent u bekend met het Costa-amendement dat op 27 februari 2019 unaniem door het Britse Lagerhuis is aangenomen, dat voorstelt om het burgerrechtengedeelte van het Brexit-uittredingsverdrag los te koppelen en ervoor te zorgen dat dit geïmplementeerd wordt in alle gevallen – deal of no deal?1

Ja.

Vraag 2

Deelt u de mening dat de huidige situatie rondom de Brexit uiterst onzeker is voor vele Nederlanders in het Verenigd Koninkrijk (VK), met nog maar ruim drie weken tot de Brexit-datum van 29 maart 2019 en dat het risico op een no-dealscenario reëel is?

De kans dat er geen akkoord komt tussen de Europese Unie (EU) en het VK blijft aanwezig, met nog minder dan drie weken voor de voorziene Brexitdatum te gaan. Daarom blijven Nederland, de Europese Commissie en de andere lidstaten van de EU zich onverminderd voorbereiden op een no deal scenario.

Vraag 3

Deelt u de mening dat ondanks het feit dat het Nederlandse kabinet het garanderen van verblijfsrechten voor Britse burgers in Nederland serieus neemt, de vele EU-burgers in het Verenigd Koninkrijk -waaronder duizenden Nederlanders- in het geval van een no-dealbrexit voor het beschermen van hun rechten overgeleverd zijn aan de beleidskeuzes van de regering van Theresa May in een land waar immigranten steeds minder welkom lijken te zijn?

Het kabinet deelt de mening in zoverre dat het VK verantwoordelijk is voor het beschermen van de burgerrechten van de EU-burgers in het VK in het geval van een no dealBrexit. Het kabinet is daarom positief gestemd dat premier May in haar speeches meerdere malen heeft benadrukt dat EU burgers die al in het VK zijn, daar mogen blijven, ook in een no deal scenario.
De Britse overheid heeft eind vorig jaar (6 december 2018) een policy paper over de rechten van EU-burgers gepubliceerd2 . Het kabinet ziet publicatie van dit policy paper als een positieve unilaterale stap van het VK om de eerdere toezeggingen van premier May op het gebied van burgerrechten in geval van een no deal nader uit te werken. Het VK is verantwoordelijk voor de uitvoering van het beleid in dit policy paper. Omdat het kabinet groot belang hecht aan het beschermen van de rechten van Europese burgers in het VK, zal het kabinet hier bij de Britse regering aandacht voor blijven vragen. Ook de EU heeft op verschillende manieren aangegeven dat zij verwacht dat het VK concrete stappen zet om de toezeggingen op het gebied van burgers in geval van een no deal na te komen.

Vraag 4

Deelt u de mening dat het burgerrechtengedeelte in het Brexit-uittredingsverdrag een wederkerige basis legt om het verblijfsrecht van Nederlanders in het Verenigd Koninkrijk en Britten in de Europese Unie te beschermen en een aantal coördinatieproblemen oplost, zoals aggregatie van pensioenrechten, sociale zekerheidsrechten, en de toegang tot gezondheidszorg?

Ja, daarom is het kabinet er alles aan gelegen dat het terugtrekkingsakkoord in werking kan treden.

Vraag 5

Deelt u de mening dat ondanks dat dit voorstel in het Costa-amendement niet alle problemen voor Nederlanders en andere Europese burgers in het Verenigd Koninkrijk oplost, er veel onzekerheid bij mensen mee kan worden weggenomen als het burgerrechtengedeelte van het Brexitverdrag in alle gevallen in werking zou treden? Bent u in dit kader nog steeds van mening dat het toestaan van dubbele nationaliteit voor deze groep Nederlanders, waarmee er een fundamentele en bestendige oplossing voor hen komt, onwenselijk is?

Het kabinet betreurt het dat de EU burgers door de politieke meningsverschillen binnen het VK nog geen volstrekte zekerheid hebben over hun verblijfsstatus na Brexitdatum. De beste manier om de rechten van de ongeveer 4,5 miljoen betroffen EU burgers in het VK en VK burgers in de EU te beschermen is door ratificatie van het terugtrekkingsakkoord. Hierin zijn namelijk wederkerige, juridisch bindende afspraken met het VK opgenomen met passende waarborgen voor naleving inclusief een rol voor het EU Hof van Justitie. De EU27 is niet bereid tot het sluiten van een «mini-deal». Dit zou impliceren dat de onderhandelingen over het alomvattende terugtrekkingsakkoord definitief zijn mislukt. Het voorliggende akkoord is niet zomaar tot stand gekomen: het is de uitkomst van lange en moeizame onderhandelingen om een balans te vinden tussen enerzijds de EU-uitgangspunten en anderzijds de rode lijnen van het VK. Het kabinet wil zich volop blijven concentreren op de ratificatie van het terugtrekkingsakkoord en op die manier een einde maken aan de onzekerheid voor burgers.
Het is op dit moment niet noodzakelijk om de bestaande mogelijkheden voor het bezit van een meervoudige nationaliteit voor Nederlanders in het Verenigd Koninkrijk te verruimen. De redenen hiervoor zijn al eerder ter sprake gekomen (bijvoorbeeld tijdens het AO Brexit d.d. 23 januari 2019). Een alomvattend terugtrekkingsakkoord met het VK blijft de beste manier om de rechten van Nederlanders aldaar te waarborgen. Het VK heeft bovendien toezeggingen gedaan op het gebied van verblijfsrecht voor in het VK verblijvende EU-burgers en Nederland gaat ervan uit dat deze toezeggingen worden nagekomen.

Vraag 6

Bent u bekend met het feit dat het Costa-amendement Premier May verplicht om de Europese Raad te verzoeken om het burgerrechtengedeelte van het uittredingsverdrag in alle gevallen – deal of no deal – te garanderen en implementeren?

Ja.

Vraag 7

Bent u bereid binnen de Europese Unie vóór de Europese Top van 22 maart het voortouw te nemen om uw collega’s in de Europese Raad ervan te overtuigen dat garanderen van burgerrechten in álle gevallen noodzakelijk is en aldus positief te reageren op het verzoek van Premier May om zo te regelen dat de rechten van burgers in alle gevallen gegarandeerd zijn? Zo nee, waarom niet?

De rechten van burgers zijn voor het Nederlands kabinet en de rest van de EU altijd topprioriteit in de Brexit onderhandelingen geweest. Ook in de toekomst zal dat zo blijven. Zoals ik in vraag 5 uiteen heb gezet, zal ik mij echter niet inzetten voor een «mini-deal» op de burgerrechten, omdat ik denk dat dit niet de beste oplossing is. De EU-lidstaten, waaronder Nederland, hebben in de ER-richtsnoeren van 29 april 2017 vastgelegd dat er pas overeenstemming over het terugtrekkingsakkoord is als er over alle onderwerpen overeenstemming is bereikt en dat afzonderlijke kwesties niet afzonderlijk kunnen worden geregeld. Een «mini-deal» op burgerrechten zou aanpassing van de ER-richtsnoeren vereisen. Deze aanpassing zou moeten gebeuren met consensus. Het kabinet blijft van mening dat de EU en de Europese Raad namens haar zich vol moeten blijven inzetten voor ratificatie van het terugtrekkingsakkoord.