Vraag 1

Kent u het het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»?1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)?2

Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.

Vraag 3

Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3
DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.

Vraag 4

Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.
In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.
De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.

Vraag 5

Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.
De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.

Vraag 6

Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).

Vraag 7

Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.
Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.

Vraag 8

Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.
De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.

Vraag 9

Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.
Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.

Vraag 10

Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.
Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.

Vraag 11

Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.
Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.
Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.

Vraag 12

Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).
De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.
Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.

Vraag 13

Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.
Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.
Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.

Vraag 14

Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.

Vraag 15

Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.

Vraag 16

Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.
De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.
Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.

Vraag 17

Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).
De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.
De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.

Vraag 18

Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.

Vraag 19

Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.
De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.
De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.
Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.

Vraag 20

Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.
In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.
Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.

Vraag 21

Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).
DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.

Vraag 22

Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.
De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.
Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.

Vraag 23

Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.

Vraag 24

Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.
Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.

Vraag 25

Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.

Vraag 26

Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.

Vraag 27

Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.

Vraag 28

Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?

Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.

Vraag 1

Bent u bekend met het nieuwsbericht «Open of dicht? Hoe het misging met signalen van Economische Zaken aan winkels»?1

Ja.

Vraag 2

Deelt u de conclusie van dit bericht dat er onjuiste en verwarrende signalen zijn gegaan naar winkels over de mogelijkheid om open te gaan via de website van de rijksoverheid en via het departement Economische Zaken?

Op maandag 14 december jl. is in de persconferentie van de Minister-President en de Minister van Volksgezondheid, Welzijn en Sport meegedeeld dat Nederland in lockdown ging. Onderdeel van het maatregelenpakket was het sluiten van de niet-essentiële detailhandel. Aangezien het sluiten van niet-essentiële detailhandel geen maatregel is die in de toen geldende routekaart2 was opgenomen, was deze maatregel voordien nog niet uitgewerkt.
In die dagen (14, 15 en 16 december 2020) heeft op verschillende momenten en in wisselende samenstelling overleg plaatsgevonden tussen de ministeries van Justitie en Veiligheid (J&V), Volksgezondheid, Welzijn en Sport (VWS), Binnenlandse Zaken en Koninkrijksrelaties (BZK), Algemene Zaken (AZ) en Economische Zaken en Klimaat (EZK) over de juiste en de gewenste afbakening tussen niet-essentiële en essentiële detailhandel, en dus de grens tussen winkels die de deuren moesten sluiten en de winkels die open mochten blijven.
In aanloop naar de persconferentie op maandagavond 14 december 2020 is vanaf het voorafgaande weekend contact geweest tussen de ministeries van J&V, VWS, BZK en EZK over hoe een afbakening tussen essentiële en niet-essentiële detailhandel er uit zou kunnen zien (zie bijlagen3 1a en 1b) in de daarvoor benodigde wijziging van de Tijdelijke regeling maatregelen Covid-19.
Op maandag 14 december is contact geweest tussen de ministeries van EZK, J&V, BZK en VWS over de benodigde wijziging van de Tijdelijke regeling maatregelen Covid-19, waarin de sluiting van de niet-essentiële detailhandel moest worden geregeld. Daarbij is op verschillende momenten, onder meer door het Ministerie van EZK, aandacht gevraagd voor het belang om het verschil tussen essentieel en niet-essentieel te specificeren in de wijzigingsregeling (in het bijzonder in het voorgestelde artikel 4.a1, eerste lid, onderdeel e, van de Tijdelijke regeling maatregelen Covid-19) of de toelichting daarbij. Ter illustratie zijn de reacties van EZK (bijlage4 2a) en van andere ministeries bijgevoegd (bijlage5 2b t/m 2e). Daarbij is meermaals gesuggereerd om de uitzondering (welke winkels mochten wel open blijven) specifiek te richten op winkels die «overwegend levensmiddelen verkopen», waarbij door EZK de vraag is gesteld of met de voorgestelde formulering de Hema wel gesloten kon worden (bijlage6 2a). Het contact tussen de ministeries heeft geleid tot de volgende passage in de toelichting bij deze regeling:
«In de regel is bepalend waar de betreffende plaats in hoofdzaak op is gericht: als dat de levensmiddelenbranche is, zoals een supermarkt of slager, dan valt een dergelijke winkel onder de uitzondering en kan deze geopend zijn. Dat laat onverlet dat in die supermarkt mogelijk ook in beperkte mate non-foodartikelen worden verkocht.» (Toelichting bij artikel I, onder B, van de Regeling van de Ministers van Volksgezondheid, Welzijn en Sport, van Justitie en Veiligheid en van Binnenlandse Zaken en Koninkrijksrelaties van 14 december 2020, kenmerk 1800138–216052-WJZ tot wijziging van de Tijdelijke regeling maatregelen covid-19 in verband met een verzwaring van de maatregelen, Staatscourant 2020, 66909).
De wijzigingsregeling is op 14 december 2020 om 21.30 uur in de Staatscourant gepubliceerd, en inwerking getreden met ingang van dinsdag 15 december 2020.
Toen de volgende morgen bleek dat een aantal winkels met een gemengd assortiment hun deuren niet sloten, omdat zij uit de gepubliceerde regeling concludeerden dat zij open konden gaan, hebben de ministeries van EZK, VWS, J&V en AZ ’s morgens direct overleg gevoerd. Op basis van dat gesprek is een verduidelijkend tekstvoorstel opgesteld. In dat tekstvoorstel werden twee categorieën «winkels in de levensmiddelenbranche» onderscheiden: enerzijds winkels die «in hoofdzaak» zich richten op levensmiddelen (waaronder een afgescheiden supermarkt in een filiaal van een warenhuis) en anderzijds «filialen van een warenhuis met een algemeen assortiment», waar «in aanzienlijke mate» levensmiddelen worden aangeboden. Winkels die in hoofdzaak levensmiddelen aanbieden mochten open blijven en hun gehele assortiment aanbieden; winkels die «in aanzienlijke mate» levensmiddelen aanboden mochten open, maar uitsluitend voor die functie (zie bijlage7 3).
Vanuit de betrokken ministeries zijn in het vervolg daarop enkele verduidelijkende suggesties gedaan, met vanuit EZK onder meer de suggestie om de begrippen «in hoofdzaak gericht op» en «aanzienlijke mate» te verduidelijken door deze te kwantificeren en te voorzien van een percentage (respectievelijk 70 en 30%), zodat deze begrippen eenduidig geïnterpreteerd zouden worden (zie bijlage8 4 voor de gehele reactie). Alleen dit punt is in het gezamenlijke tekstvoorstel verwerkt door J&V. Deze lijn is vervolgens ook uitgedragen in een brief aan de Veiligheidsregio’s, waarover die middag contact is geweest tussen de Minister van J&V en de Minister van EZK. Die brief is diezelfde middag verzonden door de Minister van J&V, mede namens de Minister van EZK en mijzelf (zie bijlage9 5), en de verduidelijking is ook gepubliceerd in een vraag en antwoord op rijksoverheid.nl. Ik heb die avond ook nog contact gezocht met de Minister van J&V over deze brief.
Op woensdagochtend 16 december jl. heeft nader overleg plaatsgevonden tussen de Minister van J&V, de Minister van EZK en mijzelf over de situatie. Wij vonden het bij nader inzien onwenselijk dat alle winkels met een algemeen assortiment deze uitleg aangrepen om toch open te blijven om alleen levensmiddelen te verkopen. Dit was niet in lijn met het doel van de sluiting van de niet-essentiële detailhandel: het zoveel mogelijk contactmomenten en mobiliteit beperken in het kader van de bestrijding van Covid-19. Daarom is toen besloten om de openstelling voor winkels in de levensmiddelenbranche alleen te laten gelden voor winkels die in hoofdzaak (ten minste 70%) levensmiddelen verkopen.
Deze aangescherpte lijn is vervolgens ook toegelicht in een brief van de Minister van EZK en mijzelf, mede namens de Minister van J&V, aan de detailhandelsector, welke in afschrift aan de Tweede Kamer is gestuurd (Kamerstuk 35 420, nr. 223). De Minister van J&V heeft een brief met dezelfde boodschap die middag ook aan de Veiligheidsregio’s gestuurd, mede namens de Minister van EZK en mij.
Doordat op 16 december een verduidelijking en aanscherping is aangebracht in de uitzondering voor winkels in de levensmiddelenbranche, die afweek van de lijn die op 15 december is gecommuniceerd, is de berichtgeving vanuit het kabinet naar ondernemers in de loop van die dagen aangepast. De lijn die op 16 december door het kabinet is vastgesteld, is nog diezelfde dag toegelicht aan de sector. Het is spijtig dat door deze gang van zaken onduidelijkheid is ontstaan, waardoor mogelijk verschillende signalen zijn afgegeven aan ondernemers. Uiteindelijk is door de regels nader te expliciteren, duidelijkheid richting de ondernemers verschaft.

Vraag 3

Deelt u de mening dat tegenstrijdige signalen zorgen voor onrust bij ondernemers, hetgeen slecht is voor het draagvlak voor de coronamaatregelen en dus het terugdringen van het virus?

Het is belangrijk bij de bestrijding van COVID-19 om zoveel mogelijk eenduidige en duidelijke regels met een zo beperkt mogelijk aantal uitzonderingen op te stellen en uit te dragen. Dit komt de naleving ten goede en leidt tot een hogere effectiviteit bij het bestrijden van COVID-19.

Vraag 4

Hoe heeft kunnen gebeuren dat op de website van de rijksoverheid stond dat winkels die meer dan 30 procent van hun omzet uit essentiële producten halen ook voor een deel open zouden mogen terwijl dat niet de bedoeling was?

Zie antwoord vraag 2.

Vraag 5

Heeft uw departement tegen de bedoeling van het kabinetsbeleid in signalen gegeven aan winkels dat ze deels open zouden kunnen? Zo ja, waarom zegt u tegen de NOS dat er «absoluut geen signalen» zijn geweest? Zo nee, hoe verklaart u dat vanuit uw departement een sms-bericht zou zijn gestuurd aan een woordvoerder van één van de winkelketens om hen succes te wensen met het ombouwen van de winkel? In hoeverre en wanneer was u daarvan op de hoogte?

Er zijn vanuit mijn ministerie geen signalen gegeven aan winkels die afweken van het kabinetsbeleid van dat moment. Het bericht waarnaar u verwijst was onderdeel van berichtenverkeer tussen een medewerker van mijn ministerie en een medewerker van een winkelketen, op 15 december tussen 13.00u en 23.30u. Dat berichtenverkeer kwam op gang op initiatief van de medewerker van de winkelketen, die wilde weten of zij ook open mochten, aangezien zij constateerden dat een andere winkelketen met een algemeen assortiment de deuren geopend had. In bijlage10 6 geef ik – mede gelet op vraag 6 – het berichtenverkeer (via Whatsapp) weer. Dit berichtenverkeer is – zoals u uit de voorgaande antwoorden kan afleiden – niet bepalend geweest in de besluitvorming rondom de afbakening van essentiële en niet-essentiële detailhandel. Ik ben daar dan ook niet van op de hoogte gebracht, en heb er via de media over vernomen.

Vraag 6

Kunt u de volledige tijdslijn hieromtrent naar de Kamer sturen met alle hierop betrekking hebbende stukken, notities, memo’s, verslagen en berichten inclusief het betreffende sms-bericht waarover in de media is gesproken?

Ja; ik verwijs hiervoor naar de vorige antwoorden en de bijlagen11.

Vraag 7

Kunt u deze vragen binnen een week beantwoorden?

Het is niet gelukt om de vragen binnen een week te beantwoorden.

Vraag 1

Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde Kamervragen over het niet naleven van de wet en het grootschalig en onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang asielzoekers (COA), de politie, Defensie, inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV?2

Deze vragen zijn bekend en inmiddels beantwoord door de Minister voor Rechtsbescherming, mede namens de Minister van Justitie en Veiligheid, de Minister van Defensie en de Minister van Sociale Zaken en Werkgelegenheid.

Vraag 3

Wist u van het grote datacontract tussen het Centraal Bureau voor de Statistiek (CBS) en T-Mobile uit 2017? Zo ja, sinds wanneer wist u dit en waarom is de Kamer niet geïnformeerd? Zo nee, hoe is het mogelijk dat u hier niets van afwist?

Voor de volledigheid, het ging om een pilot waarvan de resultaten door het CBS bekend zijn gemaakt op hun website3. Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Hierdoor ligt het dus niet voor de hand dat ik van tevoren op de hoogte word gesteld van een dergelijke samenwerking tussen T-Mobile en het CBS. Het publicatiebeleid en de methoden waarmee de statistieken gemaakt worden, vallen onder de eigen verantwoordelijkheid van de DG CBS. Directe politieke invloed op de onderzoeksmethoden en de wijze van publicatie van de resultaten van statistieken zou de geloofwaardigheid en de betrouwbaarheid van de onderzoeken ter discussie kunnen stellen.

Vraag 4

Wist u dat het CBS op grote schaal werkte met direct en indirect herleidbare locatiegegevens van miljoenen burgers? Wat heeft u gedaan met signalen en zorgen dat het verzamelen van data via T-Mobile strijdig was met privacywetgeving? Wanneer zijn de eerste stappen ondernomen?

Het CBS heeft naar eigen zeggen geen toegang gehad tot individuele klantgegevens van personen. De onderzoeksgegevens zouden, aldus het CBS, niet direct of indirect herleidbaar zijn naar personen en het betroffen evenmin direct of indirect herleidbare locatiegegevens van personen. In het artikel van NRC wordt gesteld dat de CBS-medewerkers mogelijk toegang hebben gehad tot verkeersgegevens van klanten van T-Mobile. Het Agentschap Telecom heeft besloten naar aanleiding hiervan een onderzoek in te stellen, bijgestaan door de Autoriteit Persoonsgegevens. Over het onderzoek kunnen op dit moment geen uitlatingen worden gedaan. Het is aan het oordeel van de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens of deze pilot voldeed aan de wettelijke privacy-eisen.

Vraag 5

Wat vindt u van de opportunistische handelwijze van T-Mobile, inclusief het verzwijgen van activiteiten en het openlijk bepleiten van terughoudendheid met commercieel datagebruik?

Met deze vraag doelt de heer Verhoeven vermoedelijk op de door hem vermeende tegenstelling in de houding van T-Mobile over de CBS-pilot en de kritische houding van T-Mobile over de Tijdelijke wet informatieverstrekking RIVM. Ik vind het echter niet aan mij om hier namens de regering een uitspraak over te doen.

Vraag 6

Wat is de stand van zaken van de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 (Kamerstuk 35 479)? Klopt het dat het kabinet deze wet heeft stilgelegd dan wel ingetrokken na brede kritiek binnen en buiten de Kamer over de negatieve gevolgen voor de privacy van miljoenen mensen?

De behandeling van het wetsvoorstel ligt momenteel stil omdat de Tweede Kamer het wetsvoorstel controversieel heeft verklaard (zie Besluitenlijst extra-procedurevergadering commissie EZK groslijst controversieel verklaren) op 26 januari 2021.

Vraag 7

Deelt u de zorgen van de voorzitter van de Autoriteit Persoonsgegevens (AP) dat met zulke zeer grote datasets het risico bestaat dat met het combineren van de locatiegegevens achterhaald kan worden wie bij welke locatiegegevens hoort en het risico bestaat dat we een surveillancemaatschappij optuigen?

Ik deel de constatering van de voorzitter van de Autoriteit Persoonsgegevens dat het gebruik van grote datasets risico’s met zich meebrengt en dat het van evident belang is nut, noodzaak en risico’s van gebruik te wegen en risico’s met adequate maatregelen te adresseren.

Vraag 8

Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?

Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden. Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden4, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht5, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht.

Vraag 9

Zijn alle CBS-proefprojecten met grote dataverzamelingen inmiddels geheel stopgezet?

Zoals aangegeven bij het antwoord op vraag 8 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling.

Vraag 10

Welke persoonsgegevens verzamelt, koppelt of verwerkt het CBS momenteel allemaal?

Het CBS koppelt en verwerkt persoonsgegevens uit alle beschikbare overheidsregistraties. Het gaat onder meer om informatie van de Belastingdienst, het UWV en de BRP (bevolkingsadministratie). Dit gebeurt allemaal conform de CBS-wet en met inachtneming van de AVG en andere wettelijke voorschriften. Voor zover noodzakelijk vraagt het CBS daarnaast gegevens direct uit bij bedrijven en burgers via enquêtes. Een overzicht van bronnen en gegevens is te vinden in de algemene bronnencatalogus6.

Vraag 11

Welke overige informatie verzamelt het CBS momenteel allemaal?

Op de website van het CBS zijn de bronnen waarmee het CBS informatie verzamelt, weergegegeven. De website van het CBS biedt beschrijvingen van de onderzoeken die het CBS verricht en de statistische methoden die het CBS daarbij gebruikt7.

Vraag 12

Is het CBS wel de «veilige haven» voor data die het zegt te zijn? Voldoet het CBS aan alle eisen van de Algemene verordening gegevensbescherming (AVG)?

Daar ga ik in beginsel vanuit. De CBS-wet bevat waarborgen voor de gegevensbescherming en het CBS voldoet naar eigen zeggen ook aan de AVG. Bovendien worden jaarlijks audits door externe auditors uitgevoerd naar de taakuitoefening door het CBS, waaronder op het gebied van privacy. HetCBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen8.Dit neemt niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 13

Hoe beoordeelt u het verzwijgen van het datacontract door CBS en T-Mobile tegenover het Agentschap Telecom?

Het CBS heeft aangegeven dat het proactief met het Agentschap Telecom in contact is getreden. Op 21 mei 2019 is volgens het CBS met het Agentschap Telecom gesproken over de pilot. Daarnaast heeft het CBS aangegeven de Autoriteit Persoonsgegevens medio 2020 te hebben geïnformeerd over de pilot.

Vraag 14

Hoe beoordeelt u het gegeven dat met overheidsgeld een lucratief algoritme zou worden ontwikkeld dat ook een private contractpartner kon gaan gebruiken?

Het CBS ontwikkelt, in sommige gevallen samen met private partners, algoritmen die het nodig heeft voor de uitoefening van zijn wettelijke taak en stelt deze vervolgens publiekelijk beschikbaar, zoals het CBS dat altijd doet met alle producten die het ontwikkelt. Het staat alle partijen, dus ook private partijen, vrij gebruik te maken van deze producten.

Vraag 15

Welke stappen onderneemt u tegen de oneerlijke concurrentie met het publiek gefinancierde CBS dat ten koste gaat van bedrijven als Mezuro?

Overheidspartijen kunnen voor statistische informatie die ze nodig hebben bij de uitvoering van hun publieke taak bij het CBS terecht. Aangezien het CBS en marktpartijen elkaar steeds vaker tegenkomen op de markt voor statistische diensten, zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden. Deze regels beogen meer duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS, alsmede een relatieverbetering tussen het CBS en een aantal marktpartijen en brancheverenigingen te faciliteren, zodat meer kansen voor productieve samenwerking benut worden. Het CBS richt zich daarvoor zichtbaarder op zijn kerntaken en heeft bij het leveren van aanvullende diensten of het uitvoeren van innovatieve projecten permanent aandacht voor de belangen van marktpartijen. Deze regelingen zullen twee jaar na inwerkingtreding (in 2022) worden geëvalueerd.

Vraag 16

Kunt u de vragen beantwoorden voor dinsdag 16 maart 2021?

Het is niet gelukt om de beantwoording voor 16 maart naar de Tweede Kamer te versturen.

Vraag 1

Bent u bekend met het bericht «Historicus Nadia Bouras thuis bedreigd: «Locatie in de gaten gehouden»?1

Ja.

Vraag 2

Hoe duidt u het gegeven dat de anonieme organisatie Vizier op Links stickers verstrekt waarop wordt vermeld dat locaties geobserveerd worden en dat men tips kan doorgeven om «zicht te krijgen op linkse activisten»?

Ik vind deze gedragingen intimiderend en onwenselijk. Ik doe verder geen uitspraken over individuele gevallen. De noodzaak tot interventies en de interventiemogelijkheden hangen sterk af van de concrete feiten en omstandigheden van het geval.

Vraag 3

Deelt u de mening dat het onacceptabel is dat wetenschappers, journalisten, politici en andere mensen die publiekelijk hun mening uiten op deze manier geïntimideerd worden? Welke mogelijkheden ziet u om deze vorm van intimidatie een halt toe te roepen?

Ja. De vrijheid van meningsuiting is een bijzonder groot goed. Het staat buiten kijf dat eenieder zonder belemmeringen zijn of haar standpunten – al dan niet publiekelijk – zou moeten kunnen uitdragen, behoudens ieders verantwoordelijkheid voor de wet. Agressie en intimidatie zijn daarom volstrekt onaanvaardbaar.
Voor politici in het bijzonder is het cruciaal dat zij onbevangen kunnen deelnemen aan het publieke debat. Wanneer de spelregels van het publieke debat met voeten getreden worden door middel van intimidatie is dit onacceptabel.
Met betrekking tot het decentrale openbaar bestuur vervult het Netwerk Weerbaar Bestuur onder leiding van het Ministerie van BZK een rol om de weerbaarheid te versterken en steun na incidenten te bieden. Het netwerk biedt onder anderen handvatten aan om duidelijke grenzen te stellen en bij grensoverschrijding steun in te schakelen waardoor kwaadwillenden niet het beoogde effect bereiken. Aan de hand van bijvoorbeeld woningscans, trainingen, normstelling, agressieprotocollen en persoonlijke bijstand worden decentrale politici en hun organisaties concreet ondersteund.

Vraag 4

Herkent u het beeld dat slachtoffers op basis van de huidige wetgeving weinig mogelijkheden hebben om juridische stappen te zetten? Herinnert u zich de antwoorden die u op 11 januari 2021 gaf op Kamervragen over het fenomeen doxing, waarin u aangeeft dat de Algemene verordening gegevensbescherming (AVG) en de aanpak van internetpesten van toepassing zijn, en dat u een separate aanpak niet nodig acht? Herinnert u zich tevens de uitspraak tijdens het notaoverleg politie op 3 februari 2021, waarin u stelt dat doxing een dusdanig ernstig fenomeen is dat een separate aanpak wellicht toch nodig is? Ziet u op basis van die conclusie en de dreiging veroorzaakt door Vizier op Links nu wel de urgentie in van een specifieke aanpak van doxing?2 3

De politie heeft naar aanleiding van diverse incidenten met burgers die persoonsgegevens van politieambtenaren op internet plaatsten om hen ondemocratisch of onrechtmatig te beïnvloeden een handelingskader doxing opgesteld. De politie heeft aangegeven graag vroegtijdiger tegen dit soort praktijken te willen optreden en heeft mij verzocht te verkennen of strafbaarstelling van kale doxing een oplossing zou kunnen bieden. Ik ga dit onderzoeken in samenhang met het beleidskader internetpesten dat is ontwikkeld en waarvan de verschillende stappen momenteel worden uitgevoerd.

Vraag 5

Erkent u dat de huidige werking van het Handelsregister van de Kamer van Koophandel onvoldoende bescherming biedt tegen dit soort misbruik van adresgegevens, zoals uitgesproken door de Kamer in de motie van het lid Verhoeven c.s. over geen privéadressen verstrekken van ingeschrevenen die aangeven dat niet te willen? Hoe staat het met de aanpassing van het Handelsregisterbesluit die ervoor dient te zorgen dat de adresgegevens van zelfstandigen niet meer door iedereen kunnen worden ingezien?4 5

De Staatssecretaris van Economische Zaken heeft een voorstel tot aanpassing van het Handelsregisterbesluit in voorbereiding dat de afscherming van het als zodanig geregistreerde woonadres van de ondernemer uitbreidt naar alle inschrijvingen. Op dit moment geldt dat nog alleen voor rechtspersonen. Dat voorstel ligt voor advies bij de Autoriteit Persoonsgegevens en moet daarna naar de Raad van State. Dit voorstel regelt dus de afscherming van het woonadres en niet de afscherming van het vestigingsadres, ook niet als dat het adres is waar de ondernemer woont. Inzicht in vestigingsadressen is een basisfunctie van het Handelsregister. De ondernemer moet daar bij het kiezen van een vestigingsadres ook rekening mee houden.
Overigens ziet KVK zich steeds nadrukkelijker geconfronteerd met moeilijk verenigbare wensen van belanghebbenden bij het handelsregister van binnen en buiten de overheid. Dit betreft vooral de afweging tussen privacy en openbaarheid. EZK en KVK zijn voornemens daarover op korte termijn het gesprek aan te gaan met stakeholders.

Vraag 6

Hoe groot acht u het risico dat de organisatie Vizier op Links bijdraagt aan de online radicalisering van rechts-extremistische eenlingen zoals geschetst in het Dreigingsbeeld Terrorisme Nederland 53? Wat kunt u hiertegen doen?6

Twitter heeft het account van Vizier op Links inmiddels geschorst omdat het in strijd zou hebben gehandeld met de regels van het sociale medium.
De activiteiten van Vizier op Links kunnen bijdragen aan een verdere polarisatie tussen «links» en «rechts». Het is activistisch van aard, maar er gaat veel intimidatie van uit waardoor waakzaamheid is geboden omdat escalatie rond gebeurtenissen zou kunnen plaatsvinden. Dit online polariserend fenomeen kan door inzet van minimale middelen voor maximale polarisatie zorgen.
In een gepolariseerd klimaat is de kans op het radicaliseren van eenlingen aanwezig. De lokale, persoonsgerichte aanpak wordt ingezet wanneer sprake is van radicalisering of rechts-extremistische uitingen door individuen, met als doel de dreiging die van een persoon uitgaat te onderkennen en daarop te interveniëren. Op landelijk niveau zet de overheid zich in om terroristische en extremistische uitingen, zowel online als offline, geen vat te laten krijgen op de samenleving. Wanneer er sprake is van extremistische gedragingen die een vermoeden van een strafbaar feit opleveren, waaronder intimidatie en bedreiging, kan het Openbaar Ministerie een strafrechtelijk onderzoek instellen en indien opportuun overgaan tot vervolging.

Vraag 7

Ziet u mogelijkheden om ook de verantwoordelijkheid aan te scherpen die sociale netwerk bedrijven dragen in het faciliteren van doxing en het handhaven van de eigen richtlijnen?

Ik ben blij met de voortgang die op Europees en op nationaal niveau is geboekt om afspraken te maken met de grote platformen over het melden en verwijderen (Notice and Take Down) van illegale en anderszins onrechtmatige content. Platformen als Facebook doen zichtbaar hun best om beter inzichtelijk te maken welke afwegingen ze maken bij het al dan niet verwijderen van content op hun platform. Toch ben ik van mening dat platformen meer kunnen – en ook zouden moeten – doen om ongewenste content tegen te gaan, door het ontoegankelijk maken van strafbare en anderszins onrechtmatige uitingen, maar ook door het actief beperken van de verspreiding van schadelijke content, het blootleggen van onjuiste assumpties en het organiseren van tegengeluid. Ik ben voornemens om – waar mogelijk samen met andere landen – verdergaande afspraken te maken om platformen ertoe te bewegen zich (nog) meer in te spannen om ongewenst online gedrag te voorkomen.

Vraag 1

Bent u bekend met het bericht «Historicus Nadia Bouras thuis bedreigd: «Locatie in de gaten gehouden»?1

Ja.

Vraag 2

Hoe duidt u het gegeven dat de anonieme organisatie Vizier op Links stickers verstrekt waarop wordt vermeld dat locaties geobserveerd worden en dat men tips kan doorgeven om «zicht te krijgen op linkse activisten»?

Ik vind deze gedragingen intimiderend en onwenselijk. Ik doe verder geen uitspraken over individuele gevallen. De noodzaak tot interventies en de interventiemogelijkheden hangen sterk af van de concrete feiten en omstandigheden van het geval.

Vraag 3

Deelt u de mening dat het onacceptabel is dat wetenschappers, journalisten, politici en andere mensen die publiekelijk hun mening uiten op deze manier geïntimideerd worden? Welke mogelijkheden ziet u om deze vorm van intimidatie een halt toe te roepen?

Ja. De vrijheid van meningsuiting is een bijzonder groot goed. Het staat buiten kijf dat eenieder zonder belemmeringen zijn of haar standpunten – al dan niet publiekelijk – zou moeten kunnen uitdragen, behoudens ieders verantwoordelijkheid voor de wet. Agressie en intimidatie zijn daarom volstrekt onaanvaardbaar.
Voor politici in het bijzonder is het cruciaal dat zij onbevangen kunnen deelnemen aan het publieke debat. Wanneer de spelregels van het publieke debat met voeten getreden worden door middel van intimidatie is dit onacceptabel.
Met betrekking tot het decentrale openbaar bestuur vervult het Netwerk Weerbaar Bestuur onder leiding van het Ministerie van BZK een rol om de weerbaarheid te versterken en steun na incidenten te bieden. Het netwerk biedt onder anderen handvatten aan om duidelijke grenzen te stellen en bij grensoverschrijding steun in te schakelen waardoor kwaadwillenden niet het beoogde effect bereiken. Aan de hand van bijvoorbeeld woningscans, trainingen, normstelling, agressieprotocollen en persoonlijke bijstand worden decentrale politici en hun organisaties concreet ondersteund.

Vraag 4

Herkent u het beeld dat slachtoffers op basis van de huidige wetgeving weinig mogelijkheden hebben om juridische stappen te zetten? Herinnert u zich de antwoorden die u op 11 januari 2021 gaf op Kamervragen over het fenomeen doxing, waarin u aangeeft dat de Algemene verordening gegevensbescherming (AVG) en de aanpak van internetpesten van toepassing zijn, en dat u een separate aanpak niet nodig acht? Herinnert u zich tevens de uitspraak tijdens het notaoverleg politie op 3 februari 2021, waarin u stelt dat doxing een dusdanig ernstig fenomeen is dat een separate aanpak wellicht toch nodig is? Ziet u op basis van die conclusie en de dreiging veroorzaakt door Vizier op Links nu wel de urgentie in van een specifieke aanpak van doxing?2 3

De politie heeft naar aanleiding van diverse incidenten met burgers die persoonsgegevens van politieambtenaren op internet plaatsten om hen ondemocratisch of onrechtmatig te beïnvloeden een handelingskader doxing opgesteld. De politie heeft aangegeven graag vroegtijdiger tegen dit soort praktijken te willen optreden en heeft mij verzocht te verkennen of strafbaarstelling van kale doxing een oplossing zou kunnen bieden. Ik ga dit onderzoeken in samenhang met het beleidskader internetpesten dat is ontwikkeld en waarvan de verschillende stappen momenteel worden uitgevoerd.

Vraag 5

Erkent u dat de huidige werking van het Handelsregister van de Kamer van Koophandel onvoldoende bescherming biedt tegen dit soort misbruik van adresgegevens, zoals uitgesproken door de Kamer in de motie van het lid Verhoeven c.s. over geen privéadressen verstrekken van ingeschrevenen die aangeven dat niet te willen? Hoe staat het met de aanpassing van het Handelsregisterbesluit die ervoor dient te zorgen dat de adresgegevens van zelfstandigen niet meer door iedereen kunnen worden ingezien?4 5

De Staatssecretaris van Economische Zaken heeft een voorstel tot aanpassing van het Handelsregisterbesluit in voorbereiding dat de afscherming van het als zodanig geregistreerde woonadres van de ondernemer uitbreidt naar alle inschrijvingen. Op dit moment geldt dat nog alleen voor rechtspersonen. Dat voorstel ligt voor advies bij de Autoriteit Persoonsgegevens en moet daarna naar de Raad van State. Dit voorstel regelt dus de afscherming van het woonadres en niet de afscherming van het vestigingsadres, ook niet als dat het adres is waar de ondernemer woont. Inzicht in vestigingsadressen is een basisfunctie van het Handelsregister. De ondernemer moet daar bij het kiezen van een vestigingsadres ook rekening mee houden.
Overigens ziet KVK zich steeds nadrukkelijker geconfronteerd met moeilijk verenigbare wensen van belanghebbenden bij het handelsregister van binnen en buiten de overheid. Dit betreft vooral de afweging tussen privacy en openbaarheid. EZK en KVK zijn voornemens daarover op korte termijn het gesprek aan te gaan met stakeholders.

Vraag 6

Hoe groot acht u het risico dat de organisatie Vizier op Links bijdraagt aan de online radicalisering van rechts-extremistische eenlingen zoals geschetst in het Dreigingsbeeld Terrorisme Nederland 53? Wat kunt u hiertegen doen?6

Twitter heeft het account van Vizier op Links inmiddels geschorst omdat het in strijd zou hebben gehandeld met de regels van het sociale medium.
De activiteiten van Vizier op Links kunnen bijdragen aan een verdere polarisatie tussen «links» en «rechts». Het is activistisch van aard, maar er gaat veel intimidatie van uit waardoor waakzaamheid is geboden omdat escalatie rond gebeurtenissen zou kunnen plaatsvinden. Dit online polariserend fenomeen kan door inzet van minimale middelen voor maximale polarisatie zorgen.
In een gepolariseerd klimaat is de kans op het radicaliseren van eenlingen aanwezig. De lokale, persoonsgerichte aanpak wordt ingezet wanneer sprake is van radicalisering of rechts-extremistische uitingen door individuen, met als doel de dreiging die van een persoon uitgaat te onderkennen en daarop te interveniëren. Op landelijk niveau zet de overheid zich in om terroristische en extremistische uitingen, zowel online als offline, geen vat te laten krijgen op de samenleving. Wanneer er sprake is van extremistische gedragingen die een vermoeden van een strafbaar feit opleveren, waaronder intimidatie en bedreiging, kan het Openbaar Ministerie een strafrechtelijk onderzoek instellen en indien opportuun overgaan tot vervolging.

Vraag 7

Ziet u mogelijkheden om ook de verantwoordelijkheid aan te scherpen die sociale netwerk bedrijven dragen in het faciliteren van doxing en het handhaven van de eigen richtlijnen?

Ik ben blij met de voortgang die op Europees en op nationaal niveau is geboekt om afspraken te maken met de grote platformen over het melden en verwijderen (Notice and Take Down) van illegale en anderszins onrechtmatige content. Platformen als Facebook doen zichtbaar hun best om beter inzichtelijk te maken welke afwegingen ze maken bij het al dan niet verwijderen van content op hun platform. Toch ben ik van mening dat platformen meer kunnen – en ook zouden moeten – doen om ongewenste content tegen te gaan, door het ontoegankelijk maken van strafbare en anderszins onrechtmatige uitingen, maar ook door het actief beperken van de verspreiding van schadelijke content, het blootleggen van onjuiste assumpties en het organiseren van tegengeluid. Ik ben voornemens om – waar mogelijk samen met andere landen – verdergaande afspraken te maken om platformen ertoe te bewegen zich (nog) meer in te spannen om ongewenst online gedrag te voorkomen.

Vraag 1

Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde Kamervragen over het niet naleven van de wet en het grootschalig en onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang asielzoekers (COA), de politie, Defensie, inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV?2

Deze vragen zijn bekend en inmiddels beantwoord door de Minister voor Rechtsbescherming, mede namens de Minister van Justitie en Veiligheid, de Minister van Defensie en de Minister van Sociale Zaken en Werkgelegenheid.

Vraag 3

Wist u van het grote datacontract tussen het Centraal Bureau voor de Statistiek (CBS) en T-Mobile uit 2017? Zo ja, sinds wanneer wist u dit en waarom is de Kamer niet geïnformeerd? Zo nee, hoe is het mogelijk dat u hier niets van afwist?

Voor de volledigheid, het ging om een pilot waarvan de resultaten door het CBS bekend zijn gemaakt op hun website3. Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Hierdoor ligt het dus niet voor de hand dat ik van tevoren op de hoogte word gesteld van een dergelijke samenwerking tussen T-Mobile en het CBS. Het publicatiebeleid en de methoden waarmee de statistieken gemaakt worden, vallen onder de eigen verantwoordelijkheid van de DG CBS. Directe politieke invloed op de onderzoeksmethoden en de wijze van publicatie van de resultaten van statistieken zou de geloofwaardigheid en de betrouwbaarheid van de onderzoeken ter discussie kunnen stellen.

Vraag 4

Wist u dat het CBS op grote schaal werkte met direct en indirect herleidbare locatiegegevens van miljoenen burgers? Wat heeft u gedaan met signalen en zorgen dat het verzamelen van data via T-Mobile strijdig was met privacywetgeving? Wanneer zijn de eerste stappen ondernomen?

Het CBS heeft naar eigen zeggen geen toegang gehad tot individuele klantgegevens van personen. De onderzoeksgegevens zouden, aldus het CBS, niet direct of indirect herleidbaar zijn naar personen en het betroffen evenmin direct of indirect herleidbare locatiegegevens van personen. In het artikel van NRC wordt gesteld dat de CBS-medewerkers mogelijk toegang hebben gehad tot verkeersgegevens van klanten van T-Mobile. Het Agentschap Telecom heeft besloten naar aanleiding hiervan een onderzoek in te stellen, bijgestaan door de Autoriteit Persoonsgegevens. Over het onderzoek kunnen op dit moment geen uitlatingen worden gedaan. Het is aan het oordeel van de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens of deze pilot voldeed aan de wettelijke privacy-eisen.

Vraag 5

Wat vindt u van de opportunistische handelwijze van T-Mobile, inclusief het verzwijgen van activiteiten en het openlijk bepleiten van terughoudendheid met commercieel datagebruik?

Met deze vraag doelt de heer Verhoeven vermoedelijk op de door hem vermeende tegenstelling in de houding van T-Mobile over de CBS-pilot en de kritische houding van T-Mobile over de Tijdelijke wet informatieverstrekking RIVM. Ik vind het echter niet aan mij om hier namens de regering een uitspraak over te doen.

Vraag 6

Wat is de stand van zaken van de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 (Kamerstuk 35 479)? Klopt het dat het kabinet deze wet heeft stilgelegd dan wel ingetrokken na brede kritiek binnen en buiten de Kamer over de negatieve gevolgen voor de privacy van miljoenen mensen?

De behandeling van het wetsvoorstel ligt momenteel stil omdat de Tweede Kamer het wetsvoorstel controversieel heeft verklaard (zie Besluitenlijst extra-procedurevergadering commissie EZK groslijst controversieel verklaren) op 26 januari 2021.

Vraag 7

Deelt u de zorgen van de voorzitter van de Autoriteit Persoonsgegevens (AP) dat met zulke zeer grote datasets het risico bestaat dat met het combineren van de locatiegegevens achterhaald kan worden wie bij welke locatiegegevens hoort en het risico bestaat dat we een surveillancemaatschappij optuigen?

Ik deel de constatering van de voorzitter van de Autoriteit Persoonsgegevens dat het gebruik van grote datasets risico’s met zich meebrengt en dat het van evident belang is nut, noodzaak en risico’s van gebruik te wegen en risico’s met adequate maatregelen te adresseren.

Vraag 8

Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?

Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden. Zoals aangegeven bij het antwoord op vraag 3 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling. Op de website van het CBS zijn het meerjarenprogramma en jaarplan van het CBS te vinden4, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht5, en een overzicht van de omschrijvingen van de onderzoeken die het CBS verricht.

Vraag 9

Zijn alle CBS-proefprojecten met grote dataverzamelingen inmiddels geheel stopgezet?

Zoals aangegeven bij het antwoord op vraag 8 ben ik niet op de hoogte van alle individuele contracten die het CBS sluit, waaronder alle proefprojecten met grootschalige dataverzameling.

Vraag 10

Welke persoonsgegevens verzamelt, koppelt of verwerkt het CBS momenteel allemaal?

Het CBS koppelt en verwerkt persoonsgegevens uit alle beschikbare overheidsregistraties. Het gaat onder meer om informatie van de Belastingdienst, het UWV en de BRP (bevolkingsadministratie). Dit gebeurt allemaal conform de CBS-wet en met inachtneming van de AVG en andere wettelijke voorschriften. Voor zover noodzakelijk vraagt het CBS daarnaast gegevens direct uit bij bedrijven en burgers via enquêtes. Een overzicht van bronnen en gegevens is te vinden in de algemene bronnencatalogus6.

Vraag 11

Welke overige informatie verzamelt het CBS momenteel allemaal?

Op de website van het CBS zijn de bronnen waarmee het CBS informatie verzamelt, weergegegeven. De website van het CBS biedt beschrijvingen van de onderzoeken die het CBS verricht en de statistische methoden die het CBS daarbij gebruikt7.

Vraag 12

Is het CBS wel de «veilige haven» voor data die het zegt te zijn? Voldoet het CBS aan alle eisen van de Algemene verordening gegevensbescherming (AVG)?

Daar ga ik in beginsel vanuit. De CBS-wet bevat waarborgen voor de gegevensbescherming en het CBS voldoet naar eigen zeggen ook aan de AVG. Bovendien worden jaarlijks audits door externe auditors uitgevoerd naar de taakuitoefening door het CBS, waaronder op het gebied van privacy. HetCBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen8.Dit neemt niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 13

Hoe beoordeelt u het verzwijgen van het datacontract door CBS en T-Mobile tegenover het Agentschap Telecom?

Het CBS heeft aangegeven dat het proactief met het Agentschap Telecom in contact is getreden. Op 21 mei 2019 is volgens het CBS met het Agentschap Telecom gesproken over de pilot. Daarnaast heeft het CBS aangegeven de Autoriteit Persoonsgegevens medio 2020 te hebben geïnformeerd over de pilot.

Vraag 14

Hoe beoordeelt u het gegeven dat met overheidsgeld een lucratief algoritme zou worden ontwikkeld dat ook een private contractpartner kon gaan gebruiken?

Het CBS ontwikkelt, in sommige gevallen samen met private partners, algoritmen die het nodig heeft voor de uitoefening van zijn wettelijke taak en stelt deze vervolgens publiekelijk beschikbaar, zoals het CBS dat altijd doet met alle producten die het ontwikkelt. Het staat alle partijen, dus ook private partijen, vrij gebruik te maken van deze producten.

Vraag 15

Welke stappen onderneemt u tegen de oneerlijke concurrentie met het publiek gefinancierde CBS dat ten koste gaat van bedrijven als Mezuro?

Overheidspartijen kunnen voor statistische informatie die ze nodig hebben bij de uitvoering van hun publieke taak bij het CBS terecht. Aangezien het CBS en marktpartijen elkaar steeds vaker tegenkomen op de markt voor statistische diensten, zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden. Deze regels beogen meer duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS, alsmede een relatieverbetering tussen het CBS en een aantal marktpartijen en brancheverenigingen te faciliteren, zodat meer kansen voor productieve samenwerking benut worden. Het CBS richt zich daarvoor zichtbaarder op zijn kerntaken en heeft bij het leveren van aanvullende diensten of het uitvoeren van innovatieve projecten permanent aandacht voor de belangen van marktpartijen. Deze regelingen zullen twee jaar na inwerkingtreding (in 2022) worden geëvalueerd.

Vraag 16

Kunt u de vragen beantwoorden voor dinsdag 16 maart 2021?

Het is niet gelukt om de beantwoording voor 16 maart naar de Tweede Kamer te versturen.

Vraag 1

Herinnert u zich uw brief waarin schrijft dat de kwetsbaarheden in IT-systemen voor testen en traceren die blijken uit de risicoanalyse niet openbaar worden gemaakt?1 Deze kwetsbaarheden zijn inmiddels toch opgelost en vormen daardoor toch geen bedreiging meer?

Er zijn mitigerende maatregelen genomen waarmee eerder geconstateerde kwetsbaarheden tot het minimum zijn gereduceerd. Om alle kwetsbaarheden op te lossen zullen enkele applicaties – waaronder HP Zone – moeten worden vervangen. Hierover worden nu concrete afspraken gemaakt en acties in gang gezet tussen GGD, RIVM en VWS. Daarnaast vindt er actieve monitoring plaats op de IT systemen. Indien afwijkingen zich voordoen wordt hier 7 dagen per week direct actie op ondernomen.

Vraag 2

Bent u bereid de risico-analyses alsnog openbaar te maken zodat de Kamer op basis van zo volledig en transparant mogelijke informatie haar taak kan uitvoeren?

In mijn brief aan uw Kamer van 12 februari ben ik op dit verzoek ingegaan. Zowel de NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn.

Vraag 3

Maakt het oefenen met cyberscenario's deel uit van het aanpakken van de kwetsbaarheden en wordt dit structureel ingezet? Zo nee, waarom niet?

Ja, er worden structureel cyberaanvallen testen ingezet. De resultaten daarvan worden gebruikt om kwetsbaarheden proactief te traceren en op te lossen.

Vraag 4

Wordt inmiddels wel «volcontinu» en «volautomatisch» gecontroleerd op misbruik van de GGD-systemen?

Ja, er wordt continu en grotendeels automatisch gemonitord op misbruik van de GGD systemen. Indien er afwijkingen worden geconstateerd, vindt hier direct een afgewogen actie op plaats.

Vraag 5

Wordt een scheiding gemaakt tussen persoonsgegevens en de andere gegevens of wordt dit nog steeds gecombineerd opgeslagen?

De gegevens worden gecombineerd opgeslagen, echter de functionaliteiten zijn dermate sterk gereduceerd dat de kans op frauduleuze handelingen zo veel mogelijk is verkleind.

Vraag 6

Ligt er bij alle GGD's een draaiboek klaar in het geval van een volgend datalek om onmiddellijk actie te ondernemen en het lek direct te dichten?

Het recent ingerichte en nu volledig operationele SOC (Security Operations Center) van GGD GHOR Nederland staat in nauw contact met alle GGD'en en onderneemt direct actie als er incidenten optreden. De te nemen maatregelen zijn afhankelijk van het incident.

Vraag 7

Hoe wordt beter gecommuniceerd dat burgers hun gegevens kunnen laten verwijderen uit de GGD IT-systemen? Er is teveel verwarring over de consequenties van de verwijdering ten aanzien van vaccinatie; kunt u ervoor zorgen dat verwijdering van testgegevens niet van invloed is op vaccinatie?

Als eerdere gegevens gewist zijn, kan er nog steeds een afspraak worden gemaakt om gevaccineerd te worden. Op de website van GGD GHOR Nederland is informatie beschikbaar over het verwijderen van persoonsgegevens bij de GGD'en: https://ggdghor.nl/actueel-bericht/informatie-over-verwijderen-persoonsgegevens-bij-de-ggden/. Ook op de websites van de regionale GGD'en is informatie beschikbaar. Bij vragen kan contact opgenomen worden met het landelijk informatienummer: 085-1308226 dat op werkdagen bereikbaar is van 9.00–17.00 uur.

Vraag 8

Kunt u deze vragen voor 17 maart 2021 beantwoorden?

We streven ernaar om de antwoorden sneller dan de reguliere procedure af te wikkelen maar vóór 17 maart 2021 is niet haalbaar.

Vraag 1

Bent u bekend met het bericht «Overheid werkt aan plan voor afzwakken encryptie: «taak voor nieuw kabinet»»?1

Ja.

Vraag 2

Klopt het dat het demissionair kabinet werkt aan het wijzigen van de Telecommunicatiewet teneinde het aftappen van Over-the-top (OTT) diensten – zoals iMessage, Messenger en WhatsApp – mogelijk te maken?

In mijn brief over internetcriminaliteit van 20 mei jl. heb ik aangegeven dat het kabinet de mogelijkheden voor toegang tot communicatie via OTT-diensten onderzoekt.2 Omdat een verplichting om de telecommunicatie aftapbaar te maken (een verplichting op grond van de Telecommunicatiewet) niet geldt voor OTT-diensten is het overwegen van een wetswijziging inherent aan dit onderzoek.

Vraag 3

Realiseert u zich dat het kabinet demissionair is, dat dit tegen het bestaande encryptiestandpunt van Nederland in gaat, dat het aantasten van encryptie zeer controversieel is en dat de Kamer zich herhaaldelijk tegen de verzwakking van encryptie heeft uitgesproken?

In mijn eerdergenoemde brief heb ik aangegeven dat het effectief invoeren van een dergelijke verplichting niet eenvoudig is, onder andere omdat meerdere OTT-diensten gebruik maken van end-to-end versleuteling.3 Ik ben mij bewust dat het onderwerp encryptie gevoelig is. Dit dilemma is verwoord in het kabinetsstandpunt encryptie van 2016, maar ook in de brief over de verklaring die de lidstaten van de Europese Unie hebben uitgebracht.4 Daarin staat dat de beschikbaarheid, het gebruik en de ontwikkeling van sterke encryptie blijvend moet worden aangemoedigd. Dit is belangrijk voor de systeem- en informatiebeveiliging van de maatschappij, bedrijven en overheid. Eveneens is dit belangrijk voor de bescherming van fundamentele rechten, zoals het recht op de persoonlijke levenssfeer en het communicatiegeheim. Tegelijkertijd kan het nadelige effect van versleuteling op de uitvoering van de wettelijke taak van opsporings- en inlichtingen en veiligheidsdiensten niet worden genegeerd.
Opsporings- en inlichtingen en veiligheidsdiensten moeten nu en in de toekomst gebruik kunnen maken van hun wettelijke bevoegdheden zodat zij de nationale veiligheid kunnen beschermen, criminaliteit bestrijden en slachtoffers genoegdoening kan worden gegeven. Het is dus zaak om de beschermende waarde van versleuteling hoog te houden, terwijl de negatieve effecten voor opsporings- en inlichtingen en veiligheidsdiensten worden verminderd. Technische oplossingen dienen adequaat en evenwichtig te zijn. Belangrijke componenten hierbij zijn de proportionaliteit en subsidiariteit van de oplossing en dat hierover goed overleg wordt gevoerd met het bedrijfsleven.
Zoals gemeld in eerdere Kamervragen van het lid Verhoeven (D66) streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt die recht doen aan de belangen van de opsporing en de nationale veiligheid.5 In de brief over de raadsverklaring wordt uitgebreider ingegaan op de verhouding van de inventarisatie van oplossingen tot het kabinetsstandpunt.6
Ik heb er begrip voor dat uw Kamer de brief over de Raadsverklaring over rechtmatige toegang tot versleuteld bewijs controversieel heeft verklaard. Zoals aangegeven in het door uw Kamer aangehaalde artikel wordt het onderwerp pas na de verkiezingen behandeld. De uiteindelijke behandeling van een eventueel wetsvoorstel is aan de Tweede Kamer.

Vraag 4

Wilt u per direct stoppen met alle werkzaamheden die erop gericht zijn encryptie te verzwakken?

Zie antwoord vraag 3.

Vraag 5

Waarom weigert u enerzijds uitvoering te geven aan een aangenomen motie die oproept tot meer budget voor de Autoriteit Persoonsgegevens, maar werkt u anderzijds tegen aangenomen moties in, wel aan het verzwakken van encryptie?2 3

Het budget van de Autoriteit Persoonsgegevens is onderdeel van de portefeuille van de Minister voor Rechtsbescherming. Zie voor zijn reactie op deze motie de brief die op 1 maart 2021 naar uw Kamer is verzonden (kenmerk 25 268, nr. 197). Indien u verwijst naar de motie Baudet (FvD) die uw Kamer op 11 november jl. heeft aangenomen kan worden vastgesteld dat de motie de regering oproept zich tegen de ontwikkeling te verzetten om het versleutelen van digitale berichten te verbieden en niet akkoord te gaan met enig voorstel om versleuteling van berichtgeving te verbieden. Er is geen sprake van een voornemen om versleuteling te verbieden en het kabinet zal het verbieden van encryptie in de toekomst niet steunen.

Vraag 6

Wilt u deze vragen beantwoorden voor dinsdag 9 maart 2021?

Ik heb uw vragen op 9 maart beantwoord.

Vraag 1

Kent u het het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»?1

Ja.

Vraag 2

Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)?2

Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.

Vraag 3

Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3
DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.

Vraag 4

Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.
In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.
De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.

Vraag 5

Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.
De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.

Vraag 6

Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).

Vraag 7

Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.
Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.

Vraag 8

Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.
De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.

Vraag 9

Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.
Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.

Vraag 10

Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.
Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.

Vraag 11

Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.
Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.
Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.

Vraag 12

Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).
De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.
Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.

Vraag 13

Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.
Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.
Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.

Vraag 14

Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.

Vraag 15

Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.

Vraag 16

Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.
De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.
Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.

Vraag 17

Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).
De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.
De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.

Vraag 18

Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.

Vraag 19

Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.
De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.
De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.
Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.

Vraag 20

Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.
In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.
Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.

Vraag 21

Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).
DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.

Vraag 22

Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.
De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.
Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.

Vraag 23

Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.

Vraag 24

Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.
Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.

Vraag 25

Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.

Vraag 26

Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.

Vraag 27

Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.

Vraag 28

Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?

Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.

Vraag 1

Wat is uw mening over het feit dat het afgelopen jaar de overheid op grote schaal niet voldoet aan de AVG of het Europees Verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) – met als voorbeeld de dataverzameling op Nederlands grondgebied door LIMC bij Defensie, de algoritmes in proeftuinen die gebruikt worden door de politie, persoonsgegevens van meer dan vier miljoen personen die in te zien zijn door duizenden ambtenaren van het UWV, het Fraude Signaleringsysteem (FSV) van de belastingdienst, het feit dat vrijwel alle politiesystemem niet voldoen aan de AVG en informatieveiligheid, en onrechtmatige gegevensuitwisseling tussen COA en politie?

Het kabinet meent dat de overheid zelf voorop moet lopen bij de eerbiediging van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. De overheid heeft een voorbeeldfunctie bij de naleving van wettelijke en verdragsrechtelijke normen. Burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd waar deze worden verwerkt door de overheid. Dat geldt uiteraard ook voor de in de vraag aangehaalde voorbeelden, waarover het kabinet met uw Kamer in veel gevallen al heeft gesproken. Daarbij is tevens gesproken over de lessen die daaruit getrokken kunnen worden. Ook bij deze gelegenheid wil het kabinet tot uitdrukking brengen dat wanneer de overheid het in haar gestelde vertrouwen beschaamt, het kabinet zich dat aan trekt. De Minister voor Rechtsbescherming heeft dit eveneens benadrukt in het debat met uw Kamer over het Privacylek in de systemen van de GGD van 3 februari jl1. Verder is tijdens het debat onderstreept dat elk onderdeel van de overheid zelf is gehouden om processen zo in te richten dat de verwerking van persoonsgegevens voldoet aan de regels uit de Algemene verordening gegevensbescherming (AVG) en diens uitvoeringswet, en dat voldoende middelen worden gealloceerd voor het treffen van passende technische en organisatorische maatregelen. Een functionaris voor gegevensbescherming dient vervolgens interne controle uit te oefenen op de naleving ervan en hierover te adviseren. Indien blijkt dat overheidsorganisaties hier niet of onvoldoende toe in staat zijn, dan gaat het kabinet hierover met het desbetreffende onderdeel in gesprek.

Vraag 2

Geen van de 36 «mission critical»-systemen van de politie voldoet aan de privacywetgeving. Ook blijkt geen enkel politiekorps te voldoen aan alle gestelde eisen van de bescherming van gegevens van burgers. Sommige van de gebruikte systemen van de politie verwerken zeer gevoelige informatie, zoals over verdachten of kroongetuigen. Hoe is het mogelijk dat de politie applicaties gebruikt waarvan de ontwikkeling al jaren stilstaat?

Voor een toelichting op de nulmeting 2018/2019 die de politie zelf uitvoerde op de mate waarin de 36 door de politie geselecteerde systemen voldoen aan wet- en regelgeving verwijs ik u naar de verslaglegging van een schriftelijk overleg over de politie over het onderwerp datagebruik. Vernieuwing en verbetering van de systemen is een doorlopend proces.2

Vraag 3

Hoe rijmt u de achterstand van de digitale infrastructuur van de politie met de regels rond privacy en informatiebeveiliging?

Het vernieuwen van de digitale infrastructuur is – gezien de aard, omvang en complexiteit van de politieorganisatie en voortdurende technologische en maatschappelijke ontwikkelingen – een doorlopend proces, waarbij de politie eveneens voortdurend werkt aan compliance op het gebied van gegevensbescherming en informatiebeveiliging.

Vraag 4

Vindt u het niet zorgwekkend dat de politie niet kan voldoen aan alle eisen rond privacy en informatiebeveiliging, zoals bewaartermijnen of toegang, met de huidige verouderde systemen?

De politie heeft de nulmeting ten aanzien van de kritieke systemen in 2018/19 uitgevoerd om daarmee inzicht te krijgen in hoeverre deze systemen voldoen aan de verplichtingen in de Wet politiegegevens (Wpg) en aan het eigen beleid op dit terrein. Ten tijde van deze nulmeting voldeed het grootste deel van de 36 onderzochte applicaties niet aan alle wettelijke eisen. De mate waarin en de oorzaken hiervan zijn divers en zijn niet enkel gelegen in de betreffende ICT-systemen. Zo is uit evaluaties gebleken dat de Wpg niet goed aansluit op de technologische ontwikkelingen. Er wordt gewerkt aan een nieuw wettelijk kader.
Naar aanleiding van de nulmeting heeft de politie verbeteringen aangebracht. Zoals in het antwoord 2 en 3 is aangegeven betreft dit een doorlopend proces. Voor een verdere toelichting hierop verwijs ik u wederom naar het verslag van een schriftelijk overleg over de politie.3 Bij de ontwikkeling van nieuwe systemen worden de principes van Privacy and Security by Design gevolgd, zoals vereist in de Wpg sinds 2019.

Vraag 5

Hoe kan het dat de politie jarenlang zelf de wet overtreedt, zonder dat er enig vooruitzicht is op het herstellen van de huidige problemen?

Zie de antwoorden 1 t/m 5 in het verslag van een schriftelijk overleg over de politie met betrekking tot datagebruik.4

Vraag 6

Bent u op deze risico’s aangesproken door de Autoriteit Persoonsgegevens?

De AP heeft de Minister van Justitie en Veiligheid hier niet op aangesproken. Voldoen aan privacywetgeving is de verantwoordelijkheid van de verwerkingsverantwoordelijke en dus van het desbetreffende bestuursorgaan zelf. Hierop houdt de AP toezicht en het contact op dit gebied verloopt tussen de AP en het betreffende bestuursorgaan. De politie is op deze risico’s overigens evenmin aangesproken door de AP. Organisaties horen natuurlijk niet te wachten tot ze aangesproken worden, zij zijn verplicht zelf actief aan de slag te gaan om te laten zien dat ze aan de wet voldoen. Dit vraagt om degelijke positionering en borging van het interne toezicht, hetgeen gestalte krijgt in de vorm van een Functionaris Gegevensbescherming (FG). De FG is de wettelijke, onafhankelijke, interne toezichthouder op het gebied van gegevensbescherming. De FG is niet verantwoordelijk voor het opstellen en naleven van het privacybeleid, maar houdt hier wel toezicht op en signaleert eventuele risico’s. De politie heeft zelf het initiatief genomen tot genoemde nulmeting.

Vraag 7

Ook is er sprake van grootschalige dataverzameling door de krijgsmacht, het onderdeel LIMC. Op welke grond mag Defensie op zulke grote schaal data van Nederlandse burgers verzamelen en bewaren?

Op 27 november 2020 is uw Kamer per brief door de Minister van Defensie geïnformeerd over een eigenstandig onderzoek naar de naleving van de Algemene Verordening Gegevensbescherming (AVG) bij de dataverzameling door het Land Informatie Manoeuvre Centre (LIMC) dat de FG Defensie verricht.5
De FG Defensie legt de resultaten van haar onderzoek en de aanbevelingen vast in een rapport. De Minister van Defensie zal dat rapport dan samen met haar appreciatie naar de Tweede Kamer sturen. Zoals ook gemeld in de brief van 15 december jl. wacht de Minister van Defensie voor de beantwoording van Kamervragen over het LIMC de resultaten van dit onderzoek af.6

Vraag 8

Wie is verantwoordelijk voor het toezicht voor het verzamelen van de data door LIMC?

Vraag 9

Welke waarborgen gelden bij het verzamelen van deze data?

Vraag 10

Zijn er bewaartermijnen vastgelegd voor de verzamelde data?

Vraag 11

Is de grootschalige verzameling van data door LIMC een manier om toezicht op het gebruik van gegevens (waaronder bulkdatasets), zoals vastgelegd in de Wet op de Inlichtingen- en Veiligheidsdiensten, te omzeilen?

Vraag 12

Wat wordt verstaan onder «semi-openbare bronnen» waarvan LIMC informatie verzameld? Kunnen hier voorbeelden van worden gegeven?

Vraag 13

Is er nog steeds sprake van het verzamelen van data op Nederlands grondgebied door LIMC of door andere onderdelen van Defensie? Is het programma nu definitief stopgezet? Zo nee, waarom niet?

De Minister van Defensie heeft uw Kamer op 27 november 2020 per brief geïnformeerd dat zij in afwachting van de uitkomsten van het onafhankelijke onderzoek van de FG Defensie, heeft besloten het verzamelen en analyseren van informatie door het LIMC te staken. Het AVG-onderzoek bij LIMC is tevens aanleiding bij alle defensieonderdelen nadrukkelijk aandacht te besteden aan naleving van de AVG bij de verwerking van persoonsgegevens. Uit voorzorg is in afwachting van het onderzoek een aantal activiteiten aangepast of stilgelegd. Hierover wordt uw Kamer nader geïnformeerd door de Minister van Defensie in de brief met haar appreciatie bij het rapport van de FG over het LIMC.

Vraag 14

In september 2020 kwam de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) met een kritisch rapport naar buiten over het verzamelen en bewaren van gegevens. Kunt u toelichten hoe de CTIVD oordeelt over de nieuwe tijdelijke maatregelen, genomen rondom de verzameling en opslag van bulkdata?

De CTIVD heeft in haar reactie op de Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017 gesteld dat dit beleid in het licht kan worden geplaatst van haar aanbeveling (in de rapporten 70 en 71) om overkoepelend beleid voor bulkdatasets te maken ongeacht de bevoegdheid waarmee deze zijn verkregen.7 Tevens merkt de CTIVD op dat, zoals ook de toelichting op het beleid duidt, het beleid onverlet laat dat de bepalingen van de Wiv 2017 onverkort van toepassing zijn. De CTIVD herhaalt in dit licht hetgeen zij in de rapporten 70 en 71 heeft gesteld omtrent de relevantiebeoordeling van gegevens in bulkdatasets. De CTIVD heeft op 13 januari jl. een technische briefing over dit onderwerp gegeven aan uw Kamer.

Vraag 15

Bij de UWV bleken persoonsgegevens van miljoenen burgers in te zien door duizenden medewerkers. Hoe is het mogelijk dat zo veel ambtenaren toegang hebben tot gegevens van burgers die nu of in het verleden gebruik hebben gemaakt van het UWV?

Zoals vermeld in de Kamerbrief van 5 oktober 2020, kent het systeem SONAR tekortkomingen op het gebied van informatiebeveiliging en privacy (IB&P).8 SONAR is een essentieel systeem voor de UWV dienstverlening aan werkzoekenden. In de kern zijn de informatiebeveiliging en privacy (IB&P) tekortkomingen van SONAR het gevolg van eerdere ontwerpkeuzes gericht op effectieve dienstverlening aan klanten. De wetgeving op het gebied van privacy – en vooral ook de maatschappelijke en politieke aandacht hiervoor – heeft de afgelopen jaren een grote ontwikkeling doorgemaakt. Waar de nadruk eerder juist lag op transparantie in het systeem, kwam er ook bij UWV steeds meer aandacht voor de risico’s voor privacy die hierbij kunnen ontstaan. Om de IB&P-risico’s van SONAR volledig in kaart te brengen heeft UWV het initiatief genomen voor een extern onderzoek. Uit dat onderzoek is onder meer gebleken dat de toegang tot gegevens in SONAR te breed is ingericht. In de Kamerbrief van 5 oktober jl.9 – en in meer detail in de brief Stand van de Uitvoering van december 202010 – is uiteengezet welke maatregelen UWV op korte en langere termijn neemt om de geconstateerde tekortkomingen op te lossen.

Vraag 16

Waarom behouden ambtenaren bij het UWV toegang tot persoonsgegevens als zij deze gegevens niet nodig hebben voor hun werk?

De Minister van Sociale Zaken en Werkgelegenheid is van mening dat gegevens van burgers uitsluitend ingezien mogen worden door medewerkers die daartoe bevoegd zijn voor het uitvoeren van hun wettelijke taken. Het is belangrijk te benadrukken dat de gegevens in SONAR toegankelijk zijn voor geautoriseerde medewerkers en dat deze gegevens relevant zijn voor de belangrijke taak van UWV in de arbeidsbemiddeling. Geautoriseerde medewerkers hebben voor hun werkzaamheden toegang nodig tot een bepaalde set persoonsgegevens. Er is echter geconstateerd dat de toegang tot gegevens te breed is ingericht, waardoor geautoriseerde gebruikers toegang hebben tot gegevens die mogelijk niet direct noodzakelijk zijn voor de uitvoering van hun specifieke taken. Dat moet worden opgelost. UWV heeft een aanpak ontwikkeld om de IB&P-risico’s stap voor stap te mitigeren. SONAR wordt zoveel mogelijk verbeterd en in fases volledig vervangen.

Vraag 17

Klopt het dat wettelijke bewaartermijnen van persoonsgegevens niet worden nageleefd? Hoe is dit mogelijk?

Het klopt dat UWV de bewaartermijn met betrekking tot persoonsgegevens in SONAR onvoldoende heeft nageleefd. Op grond van de Archiefwet hanteert UWV voor deze gegevens een bewaartermijn van 5 jaar. Derhalve dient UWV de gegevens van klanten die 5 jaar of langer inactief zijn, uit het systeem te verwijderen. De mogelijkheden om het systeem «te schonen» waren echter beperkt. Dit is één van de geconstateerde tekortkomingen die verholpen moeten worden. UWV heeft dit inmiddels met prioriteit opgepakt, en de gegevens van klanten die 5 jaar of langer inactief zijn, worden door UWV in het eerste kwartaal van 2021 verwijderd. In het vervolg wordt de bewaartermijn van persoonsgegevens in SONAR structureel nageleefd.

Vraag 18

Binnen welke termijn stelt u dat het Sonar systeem bij het UWV wel conform de AVG werkt?

Niet alle IB&P kwetsbaarheden en tekortkomingen in relatie tot de AVG kunnen worden verholpen in het huidige systeem (SONAR). Daarom wordt SONAR zoveel mogelijk verbeterd en in fases volledig vervangen. De volledige vervanging van SONAR zal niet voor 2025 afgerond zijn. Met deze gefaseerde aanpak worden de IB&P risico’s stap voor stap verminderd, waardoor er ook in de aanloop naar de (volledige) vervanging van SONAR al in toenemende mate wordt voldaan aan de AVG. Hierbij prioriteert UWV de benodigde verbeteringen op basis van de aard en omvang van de geconstateerde IB&P risico’s. Uiteraard zou het wenselijk zijn dat alle tekortkomingen al eerder volledig opgelost worden. Tegelijkertijd is het essentieel dat de UWV dienstverlening aan klanten te allen tijde doorgang heeft. Dat maakt deze operatie bijzonder complex. UWV kiest daarom bewust voor een zorgvuldige, geleidelijke aanpak.

Vraag 19

Gaat het UWV er in de toekomst voor zorgen dat persoonsgegevens van oud-klanten niet langer zo maar toegankelijk zijn?

De gegevens van klanten die 5 jaar of langer inactief zijn, worden door UWV verwijderd. Voor (oud-)klanten die minder dan 5 jaar inactief zijn is het – naast wettelijke verplichtingen die volgen uit de Archiefwet – ook onwenselijk om gegevens (eerder) te verwijderen, omdat een deel van deze klanten regelmatig in- en uitstroomt als gevolg van korte dienstverbanden of tijdelijk werk. Deze klanten zouden dan telkens opnieuw hun gegevens moeten doorgeven. UWV onderzoekt of het technisch mogelijk is om de gegevens van klanten in SONAR – gedurende inactiviteit – onzichtbaar te maken. De Minister van Sociale zaken en Werkgelegenheid blijft met UWV in gesprek over de ontwikkelingen in dit dossier en zal uw Kamer hierover steeds in de Stand van de Uitvoering informeren.

Vraag 20

Kunt u toelichten hoe het mogelijk was dat het Centraal Orgaan opvang Asielzoekers (COA) structureel bijzondere persoonsgegevens zeven jaar deelde met de politie, terwijl dit hoogstwaarschijnlijk niet was toegestaan?

Op 17 juli 2020 heeft de Staatssecretaris van Justitie en Veiligheid uw Kamer geïnformeerd over de opschorting van de verstrekking van dagelijkse bezettingsgegevens van alle asielzoekers door het COA aan het Nationaal Vreemdelingen Informatieknooppunt (NVIK) van de politie.11 In de beantwoording op de vragen van lid Van Toorenburg (CDA) en de vragen van leden Verhoeven en Van Beukering-Huijbregts (beiden D66) benadrukken de Minister en Staatssecretaris van Justitie en Veiligheid dat er geen twijfel over de rechtmatigheid van de verstrekking mag zijn.12 Na onderzoek van het extern adviesbureau PMP blijkt dat deze verstrekking een onevenredige impact had op de persoonlijke levenssfeer van asielzoekers.13 In de afgelopen jaren is het belang van data-minimalisatie en databescherming duidelijk geworden. De ketenpartners hebben uit deze casus belangrijke lessen getrokken. Het NVIK is overgestapt naar het gebruik van de Basisvoorziening Vreemdelingen (BVV) waarbij de privacy van asielzoekers is gewaarborgd en waardoor het delen van dagelijkse bezettingsgegevens van alle asielzoekers niet meer noodzakelijk is.

Vraag 21

Kunt u onderbouwen waarom de politie structureel recht zou hebben op bijzondere persoonsgegevens als deze «incidenteel relevant» zouden kunnen zijn bij hun handhavingstaak?

Het NVIK is bevoegd om gegevens en inlichtingen op te vragen bij bestuursorganen ten behoeve van de uitvoering van de Vreemdelingenwet.14 Het rapport van het externe adviesbureau PMP stelt dat het NVIK de noodzaak van de verwerking van bijzondere persoonsgegevens heeft kunnen aantonen. Deze gegevens kunnen relevant zijn in de uitvoering van de toezicht- en handhavingstaken van de politie. Zo kunnen deze gegevens van belang zijn voor het voorkomen van geweldsincidenten en bij het opsporen van weggelopen asielzoekers. De juridische grondslag voor het gericht opvragen en verwerken van bijzondere persoonsgegevens ten behoeve van de uitvoering van de Vreemdelingenwet staat daarmee ook niet ter discussie.

Vraag 22

Acht u de bovenstaande grond voor het delen van gevoelige informatie, over de gezondheid of religieuze achtergrond, niet veel te breed en een onnodige inbreuk is op de persoonsgegevens van mensen die zich niet hebben misdragen?

Het NVIK vervaardigt informatieproducten voor de vreemdelingenketen. Met behulp van deze informatieproducten kan het NVIK trends met betrekking tot vreemdelingen waarnemen en daarop tijdig acteren. Hierbij zijn bijzondere persoonsgegevens relevante informatie om bijvoorbeeld ontwikkelingen van asielstromen in kaart te brengen. Geaggregeerde bijzondere persoonsgegevens zijn dus van belang bij een effectieve uitvoering van het vreemdelingenbeleid. Het NVIK werkt aan een werkwijze waarbij deze informatieproducten kunnen worden vervaardigd zonder dat de persoonlijke leefsfeer van asielzoekers onevenredig wordt geschaad.

Vraag 23

Hoe gaat u ervoor zorgen dat onrechtmatig verzamelde data, zoals in de voorbeelden hierboven naar voren komen, die breed gedeeld wordt via samenwerkingsverbanden, zoals onder Wet Gegevensverwerking door Samenwerkingsverbanden (WGS), niet gebruikt gaat worden in geautomatiseerde analyses of beslissingen? Op welke wijze gaat u de risico’s hierop minimaliseren?

In aanvulling op het algemene regels uit de AVG, voorziet de WGS in diverse aanvullende waarborgen. Zo beoordelen de verplichte rechtmatigheidsadviescommissies de rechtmatigheid van de verwerking van persoonsgegevens en doen zij aanbevelingen op dat vlak. Daarnaast zijn er onafhankelijke privacy audits; elk samenwerkingsverband wordt periodiek doorgelicht op compliance met de AVG en de WGS. De resultaten van de privacy audits moeten worden toegezonden aan de AP. Tevens komt er een coördinerende functionaris voor de gegevensbescherming, voor de coördinatie van het bestaande toezicht door de functionarissen voor de gegevensbescherming.

Vraag 24

Kunt u toelichten wat er gebeurt met gedeelde data die onrechtmatig blijkt te zijn verkregen?

De WGS bevat een transparantieplicht over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Het resultaat van geautomatiseerde gegevensanalyse mag uitsluitend worden gedeeld na menselijke tussenkomst, waarbij wordt beoordeeld of het resultaat op een zorgvuldige wijze tot stand is gekomen. Daarbij moet uitleg worden gegeven over gehanteerde patronen, indicatoren en andere onderliggende logica. Zo wordt voorkomen dat een niet op juistheid en objectiviteit geverifieerd signaal wordt verstrekt, en dat ten onrechte een risico wordt gesignaleerd. Onrechtmatige data zullen worden hersteld en niet worden gebruikt als sturingsinformatie of interventie-advies. Tot slot verbiedt de WGS oncontroleerbare of onnavolgbare algoritmes (artikel 1.9, zesde lid, zoals ingevoegd bij amendement van de leden Van Nispen (SP) en Buitenweg (GroenLinks).

Vraag 25

In de hier boven geschetste kwesties komt naar voren dat het afgelopen jaar overheidsinstanties, die zelf de wet moeten handhaven, de wet overtreden door onrechtmatig data van burgers te verzamelen en te gebruiken. Hoe kan het dat er niet gehandhaafd wordt op wetshandhavers die de wet overtreden?

Het is van belang om per casus te beoordelen welke wetgeving van toepassing is.
In het geval dat de AVG of WPG van toepassing is op de verwerking van gegevens ziet de AP toe op naleving, ook door de overheid. De AP heeft het thema «digitale overheid» voorts aangewezen als één van haar focusgebieden voor de periode 2020–2023.15 Verder heeft de AP geadviseerd over voorgenomen verwerkingen door de overheid en bijbehorende wettelijke grondslagen, zoals de adviezen over de trajecten om gegevens in te zetten ter bestrijding van de COVID-19 pandemie.
Het is vervolgens aan de toezichthouder in kwestie om per casus te bepalen of er een onrechtmatige gegevensverwerking plaats heeft gevonden. Indien dit het geval is wordt er ook ten aanzien van wetshandhavers door de toezichthouder in kwestie gehandhaafd.

Vraag 26

Hoe is de Minister voor Rechtsbescherming van plan om in de toekomst soortgelijke overtredingen die hierboven zijn geschetst Rijksbreed te voorkomen?

Er is wet- en regelgeving over verwerken van gegevens, dit omvat ook de verzameling van gegevens. Dit betreft in hoofdzaak de normen uit het bestuurs- en gegevensbeschermingsrecht. Kern van die wetgeving is dat gegevensverwerkingen binnen de overheid, rechtmatig, behoorlijk en transparant zijn en berusten op een wettelijke grondslag. Dit is neergelegd in de AVG en uitgewerkt in de UAVG. Voor politie en justitie geldt de richtlijn politie en justitie, die is neergelegd in de Wpg en de WjSG. Op grond van de AVG is vereist dat overheidsorganisaties, indien zij gegevens verzamelen ten behoeve van een wettelijke taak, daarvoor een wettelijke grondslag hebben, met de nodige waarborgen. Dit kan uitgewerkt worden in sectorale wetgeving. Conform de systematiek van genoemde wetgeving is het aan de overheidsorganisatie in kwestie om er zorg voor te dragen dat de verwerking past binnen de wettelijke grondslag en geschiedt op een wijze zoals in de wet voorzien. Dit omvat logischerwijs mede dat het beginsel van doelbinding wordt gerespecteerd; en verzamelde gegevens dus niet voor een ander doel worden gebruikt. De overheidsorganisatie in kwestie moet aan de toezichthouder aan kunnen tonen dat haar gegevensverwerking rechtmatig, behoorlijk en transparant is en voldoet aan de in de AVG en nationale wetgeving gestelde eisen. Zoals in antwoord 25 aangegeven is het aan de toezichthouder, en in voorkomend geval de rechter, om te beoordelen of overheidsorganisaties conform deze wetgeving hebben gehandeld bij de verzameling van gegevens.
In aanvulling hierop wordt vanuit het Rijk gewerkt aan een verbetering van haar informatiehuishouding. Het stelt hiervoor meerjarenplannen op. Hier komt bij dat er door het kabinet beleid wordt gevoerd om het analyseren van rechtmatig verzamelde data aan verdere waarborgen te onderwerpen. Dit doet het door in te zetten op verdere waarborgen vóór (algoritmische) data-analyse en de ontwikkeling van een mensenrechten impact assessment, als door in te zetten op extra normen die in acht moeten worden genomen wanneer data-analyse wordt toegepast (de richtlijnen voor data-analyse door de overheid).16 Over de stand van zaken betreffende deze initiatieven wordt uw Kamer dit kwartaal nog nader geïnformeerd.

Vraag 27

Toont deze lange lijst van misstanden niet aan dat de Autoriteit Persoonsgegevens beschikking moet krijgen over meer middelen, zodat er adequaat toezicht op naleving van privacywetgeving kan worden gehouden?

De resultaten van het vorig jaar uitgevoerde onderzoek van KPMG naar taken en middelen van de AP laten zien dat zowel het werkveld als de organisatie van de AP nog volop in ontwikkeling is. De AP heeft in de afgelopen jaren steeds extra budget toegekend gekregen om haar taken uit te kunnen voeren. Eind 2020 heeft de AP nog eens 4,7 miljoen euro extra ontvangen voor het oplossen van incidentele problematiek en voor het doen van een investering in haar bedrijfsvoering. Voor 2021 is haar budget éénmalig verhoogd naar in totaal 24,6 miljoen euro. Zoals de Minister voor Rechtsbescherming per brief van 19 november 2020 en tijdens het debat over het privacylek in de systemen van de GGD van 3 februari jl. heeft medegedeeld, is het aan een volgend kabinet om te besluiten over een eventuele structurele verhoging van de middelen van de AP. De Minister voor Rechtsbescherming gaat in zijn brief, in antwoord op de aangenomen motie, hier nader op in.17

Vraag 28

Kunnen deze vragen ieder apart worden beantwoord?

De vragen zijn zoveel mogelijk separaat beantwoord.

Vraag 1

Bent u bekend met het nieuwsbericht «Open of dicht? Hoe het misging met signalen van Economische Zaken aan winkels»?1

Ja.

Vraag 2

Deelt u de conclusie van dit bericht dat er onjuiste en verwarrende signalen zijn gegaan naar winkels over de mogelijkheid om open te gaan via de website van de rijksoverheid en via het departement Economische Zaken?

Op maandag 14 december jl. is in de persconferentie van de Minister-President en de Minister van Volksgezondheid, Welzijn en Sport meegedeeld dat Nederland in lockdown ging. Onderdeel van het maatregelenpakket was het sluiten van de niet-essentiële detailhandel. Aangezien het sluiten van niet-essentiële detailhandel geen maatregel is die in de toen geldende routekaart2 was opgenomen, was deze maatregel voordien nog niet uitgewerkt.
In die dagen (14, 15 en 16 december 2020) heeft op verschillende momenten en in wisselende samenstelling overleg plaatsgevonden tussen de ministeries van Justitie en Veiligheid (J&V), Volksgezondheid, Welzijn en Sport (VWS), Binnenlandse Zaken en Koninkrijksrelaties (BZK), Algemene Zaken (AZ) en Economische Zaken en Klimaat (EZK) over de juiste en de gewenste afbakening tussen niet-essentiële en essentiële detailhandel, en dus de grens tussen winkels die de deuren moesten sluiten en de winkels die open mochten blijven.
In aanloop naar de persconferentie op maandagavond 14 december 2020 is vanaf het voorafgaande weekend contact geweest tussen de ministeries van J&V, VWS, BZK en EZK over hoe een afbakening tussen essentiële en niet-essentiële detailhandel er uit zou kunnen zien (zie bijlagen3 1a en 1b) in de daarvoor benodigde wijziging van de Tijdelijke regeling maatregelen Covid-19.
Op maandag 14 december is contact geweest tussen de ministeries van EZK, J&V, BZK en VWS over de benodigde wijziging van de Tijdelijke regeling maatregelen Covid-19, waarin de sluiting van de niet-essentiële detailhandel moest worden geregeld. Daarbij is op verschillende momenten, onder meer door het Ministerie van EZK, aandacht gevraagd voor het belang om het verschil tussen essentieel en niet-essentieel te specificeren in de wijzigingsregeling (in het bijzonder in het voorgestelde artikel 4.a1, eerste lid, onderdeel e, van de Tijdelijke regeling maatregelen Covid-19) of de toelichting daarbij. Ter illustratie zijn de reacties van EZK (bijlage4 2a) en van andere ministeries bijgevoegd (bijlage5 2b t/m 2e). Daarbij is meermaals gesuggereerd om de uitzondering (welke winkels mochten wel open blijven) specifiek te richten op winkels die «overwegend levensmiddelen verkopen», waarbij door EZK de vraag is gesteld of met de voorgestelde formulering de Hema wel gesloten kon worden (bijlage6 2a). Het contact tussen de ministeries heeft geleid tot de volgende passage in de toelichting bij deze regeling:
«In de regel is bepalend waar de betreffende plaats in hoofdzaak op is gericht: als dat de levensmiddelenbranche is, zoals een supermarkt of slager, dan valt een dergelijke winkel onder de uitzondering en kan deze geopend zijn. Dat laat onverlet dat in die supermarkt mogelijk ook in beperkte mate non-foodartikelen worden verkocht.» (Toelichting bij artikel I, onder B, van de Regeling van de Ministers van Volksgezondheid, Welzijn en Sport, van Justitie en Veiligheid en van Binnenlandse Zaken en Koninkrijksrelaties van 14 december 2020, kenmerk 1800138–216052-WJZ tot wijziging van de Tijdelijke regeling maatregelen covid-19 in verband met een verzwaring van de maatregelen, Staatscourant 2020, 66909).
De wijzigingsregeling is op 14 december 2020 om 21.30 uur in de Staatscourant gepubliceerd, en inwerking getreden met ingang van dinsdag 15 december 2020.
Toen de volgende morgen bleek dat een aantal winkels met een gemengd assortiment hun deuren niet sloten, omdat zij uit de gepubliceerde regeling concludeerden dat zij open konden gaan, hebben de ministeries van EZK, VWS, J&V en AZ ’s morgens direct overleg gevoerd. Op basis van dat gesprek is een verduidelijkend tekstvoorstel opgesteld. In dat tekstvoorstel werden twee categorieën «winkels in de levensmiddelenbranche» onderscheiden: enerzijds winkels die «in hoofdzaak» zich richten op levensmiddelen (waaronder een afgescheiden supermarkt in een filiaal van een warenhuis) en anderzijds «filialen van een warenhuis met een algemeen assortiment», waar «in aanzienlijke mate» levensmiddelen worden aangeboden. Winkels die in hoofdzaak levensmiddelen aanbieden mochten open blijven en hun gehele assortiment aanbieden; winkels die «in aanzienlijke mate» levensmiddelen aanboden mochten open, maar uitsluitend voor die functie (zie bijlage7 3).
Vanuit de betrokken ministeries zijn in het vervolg daarop enkele verduidelijkende suggesties gedaan, met vanuit EZK onder meer de suggestie om de begrippen «in hoofdzaak gericht op» en «aanzienlijke mate» te verduidelijken door deze te kwantificeren en te voorzien van een percentage (respectievelijk 70 en 30%), zodat deze begrippen eenduidig geïnterpreteerd zouden worden (zie bijlage8 4 voor de gehele reactie). Alleen dit punt is in het gezamenlijke tekstvoorstel verwerkt door J&V. Deze lijn is vervolgens ook uitgedragen in een brief aan de Veiligheidsregio’s, waarover die middag contact is geweest tussen de Minister van J&V en de Minister van EZK. Die brief is diezelfde middag verzonden door de Minister van J&V, mede namens de Minister van EZK en mijzelf (zie bijlage9 5), en de verduidelijking is ook gepubliceerd in een vraag en antwoord op rijksoverheid.nl. Ik heb die avond ook nog contact gezocht met de Minister van J&V over deze brief.
Op woensdagochtend 16 december jl. heeft nader overleg plaatsgevonden tussen de Minister van J&V, de Minister van EZK en mijzelf over de situatie. Wij vonden het bij nader inzien onwenselijk dat alle winkels met een algemeen assortiment deze uitleg aangrepen om toch open te blijven om alleen levensmiddelen te verkopen. Dit was niet in lijn met het doel van de sluiting van de niet-essentiële detailhandel: het zoveel mogelijk contactmomenten en mobiliteit beperken in het kader van de bestrijding van Covid-19. Daarom is toen besloten om de openstelling voor winkels in de levensmiddelenbranche alleen te laten gelden voor winkels die in hoofdzaak (ten minste 70%) levensmiddelen verkopen.
Deze aangescherpte lijn is vervolgens ook toegelicht in een brief van de Minister van EZK en mijzelf, mede namens de Minister van J&V, aan de detailhandelsector, welke in afschrift aan de Tweede Kamer is gestuurd (Kamerstuk 35 420, nr. 223). De Minister van J&V heeft een brief met dezelfde boodschap die middag ook aan de Veiligheidsregio’s gestuurd, mede namens de Minister van EZK en mij.
Doordat op 16 december een verduidelijking en aanscherping is aangebracht in de uitzondering voor winkels in de levensmiddelenbranche, die afweek van de lijn die op 15 december is gecommuniceerd, is de berichtgeving vanuit het kabinet naar ondernemers in de loop van die dagen aangepast. De lijn die op 16 december door het kabinet is vastgesteld, is nog diezelfde dag toegelicht aan de sector. Het is spijtig dat door deze gang van zaken onduidelijkheid is ontstaan, waardoor mogelijk verschillende signalen zijn afgegeven aan ondernemers. Uiteindelijk is door de regels nader te expliciteren, duidelijkheid richting de ondernemers verschaft.

Vraag 3

Deelt u de mening dat tegenstrijdige signalen zorgen voor onrust bij ondernemers, hetgeen slecht is voor het draagvlak voor de coronamaatregelen en dus het terugdringen van het virus?

Het is belangrijk bij de bestrijding van COVID-19 om zoveel mogelijk eenduidige en duidelijke regels met een zo beperkt mogelijk aantal uitzonderingen op te stellen en uit te dragen. Dit komt de naleving ten goede en leidt tot een hogere effectiviteit bij het bestrijden van COVID-19.

Vraag 4

Hoe heeft kunnen gebeuren dat op de website van de rijksoverheid stond dat winkels die meer dan 30 procent van hun omzet uit essentiële producten halen ook voor een deel open zouden mogen terwijl dat niet de bedoeling was?

Zie antwoord vraag 2.

Vraag 5

Heeft uw departement tegen de bedoeling van het kabinetsbeleid in signalen gegeven aan winkels dat ze deels open zouden kunnen? Zo ja, waarom zegt u tegen de NOS dat er «absoluut geen signalen» zijn geweest? Zo nee, hoe verklaart u dat vanuit uw departement een sms-bericht zou zijn gestuurd aan een woordvoerder van één van de winkelketens om hen succes te wensen met het ombouwen van de winkel? In hoeverre en wanneer was u daarvan op de hoogte?

Er zijn vanuit mijn ministerie geen signalen gegeven aan winkels die afweken van het kabinetsbeleid van dat moment. Het bericht waarnaar u verwijst was onderdeel van berichtenverkeer tussen een medewerker van mijn ministerie en een medewerker van een winkelketen, op 15 december tussen 13.00u en 23.30u. Dat berichtenverkeer kwam op gang op initiatief van de medewerker van de winkelketen, die wilde weten of zij ook open mochten, aangezien zij constateerden dat een andere winkelketen met een algemeen assortiment de deuren geopend had. In bijlage10 6 geef ik – mede gelet op vraag 6 – het berichtenverkeer (via Whatsapp) weer. Dit berichtenverkeer is – zoals u uit de voorgaande antwoorden kan afleiden – niet bepalend geweest in de besluitvorming rondom de afbakening van essentiële en niet-essentiële detailhandel. Ik ben daar dan ook niet van op de hoogte gebracht, en heb er via de media over vernomen.

Vraag 6

Kunt u de volledige tijdslijn hieromtrent naar de Kamer sturen met alle hierop betrekking hebbende stukken, notities, memo’s, verslagen en berichten inclusief het betreffende sms-bericht waarover in de media is gesproken?

Ja; ik verwijs hiervoor naar de vorige antwoorden en de bijlagen11.

Vraag 7

Kunt u deze vragen binnen een week beantwoorden?

Het is niet gelukt om de vragen binnen een week te beantwoorden.

Vraag 1

Bent u bekend met het bericht dat binnen het Nederlandse bedrijfsleven in China op grote schaal leden van de Communistische Partij werkzaam zijn?1

Ja.

Vraag 2

Was het bij de Nederlandse overheid bekend dat er binnen het Nederlandse bedrijfsleven invloed is van de Communistische Partij? Zo ja, wordt hier actief op gehandeld?

Ja. In de kabinetsnotitie «Nederland-China: Een Nieuwe Balans» van 15 mei 20192 wordt gewezen op het feit dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven. In bedrijven met meer dan drie partijleden van de Chinese Communistische Partij (CCP) is het instellen van een partijcomité verplicht. Dit geldt eveneens voor joint ventures met buitenlandse bedrijven.
Bedrijven die zaken willen doen in en met China kunnen zowel bij de RVO als het postennetwerk in China terecht voor voorlichting over alle aspecten die komen kijken bij het zakendoen in China. Een goede voorbereiding en verdieping in het land, de economie en marktkansen, maar ook potentiële risico’s, zijn van belang voor ieder bedrijf dat zich op de Chinese markt wil begeven of vestigen.

Vraag 3

Heeft de Nederlandse overheid afspraken gemaakt met Nederlandse bedrijven die in China opereren en in aanraking komen met de wensen en eisen van de Communistische Partij?

Het kabinet investeert in het stroomlijnen en versterken van de kennis- en informatievergaring ten aanzien van China en in de China-capaciteit van de RVO. Zoals in antwoord op vraag 2 aangegeven, kunnen bedrijven die zaken willen doen in en met China zowel bij de RVO als het postennetwerk in China terecht voor voorlichting over alle aspecten die komen kijken bij het zakendoen in China.

Vraag 4

Wat voor economische, strategische of andere effecten heeft deze Chinese invloed op de Nederlandse bedrijven die in China opereren?

Zoals in het NOS-artikel wordt geschetst, lijkt de invloed van partijcomités op de bedrijfsstrategie van de genoemde bedrijven op dit moment gering. Dit wordt bevestigd door contacten van het kabinet met het Nederlandse bedrijfsleven. Uit de Business Confidence Survey van de Europese Kamer van Koophandel komt hetzelfde beeld komt naar voren.3 Van de geraadpleegde bedrijven zegt 60% procent zich niet bewust te zijn van de aanwezigheid van de CCP binnen het eigen bedrijf. 22% procent geeft aan dat de CCP aanwezig is, maar zich niet bemoeit met de bedrijfsvoering. 7% geeft aan dat de CCP een waardevolle bijdrage levert aan de interne besluitvorming. 5% laat weten dat de CCP in staat is om beslissingen te vetoën. Tot slot geeft 3% aan dat de CCP het besluitvormingsproces vertraagt.

Vraag 5

Worden deze Chinese departementen gebruikt om verdere invloed op deze bedrijven, ook buiten China, te vergroten?

Zie antwoord vraag 4.

Vraag 6

Hoeveel bestuursleden bij Nederlandse bedrijven actief in China zijn direct of indirect gelieerd aan de Communistische Partij?

Dat er bij buitenlandse bedrijven in China, waaronder vestigingen van Nederlandse bedrijven, leden van de communistische partij werkzaam zijn, is bekend, maar het kabinet beschikt niet over precieze aantallen.

Vraag 7

Heeft u inmiddels contact gehad met de top van deze Nederlandse bedrijven Zo ja, wat voor afspraken heeft u hierover gemaakt?

Het kabinet staat regulier in contact met diverse bedrijven, groot en klein, en spreekt met hen onder meer over kansen en risico’s in het (internationale) ondernemingsklimaat, waarbij zakendoen in en met China tevens onderwerp van gesprek is. Uit contacten met een aantal bedrijven dat actief is in China, blijkt dat het beeld uit het artikel herkend wordt.

Vraag 8

Zijn er enige aanwijzingen gevonden dat er sprake zou zijn van het stelen of doorsluizen van intellectueel eigendom van deze Nederlandse bedrijven?

In de jaarverslagen van AIVD en MIVD staat dat economische samenwerking met China kansen en risico’s biedt, waaronder het risico dat intellectueel eigendom van Nederlandse bedrijven ongewild in Chinese handen terecht komt. Over het kennisniveau van de Nederlandse inlichtingen- en veiligheidsdiensten doet het kabinet in het openbaar geen uitspraken.

Vraag 9

Brengt de Nederlandse overheid de dataset actief in kaart, om het lek ook in het strategisch voordeel van Nederland in te zetten?

Zie het antwoord op vraag 2. Over specifieke onderzoeken van de Nederlandse inlichtingen- en veiligheidsdiensten doet het kabinet in het openbaar geen uitspraken.

Vraag 10

In hoeverre is er bekend dat dit ook bij andere westerse bedrijven in China gebeurt? Heeft u daarover contact met uw Amerikaanse of Europese ambtgenoten?

Zie het antwoord op vragen 4 en 5 waarin wordt verwezen naar de Business Confidence Survey van de Europese Kamer van Koophandel. Aan de enquête hebben 626 bedrijven meegedaan, waardoor het resulterende rapport een goed beeld geeft van de Europese ervaringen op het gebied van zakendoen in China.

Vraag 11

Bent u bereid om een open gesprek te voeren met de Chinese ambassadeur in Nederland om deze kwestie aan te kaarten, en tekst en uitleg te vragen?

Belemmeringen waar bedrijven tegenaan lopen maken onderdeel uit van de agenda die Nederland bij verschillende gelegenheden met China bespreekt. Zo heb ik vorige maand in mijn gesprek met de Chinese viceminister van Handel het belang van betere markttoegang, bescherming van intellectueel eigendom, het beëindigen van (informele) gedwongen technologieoverdracht en het realiseren van een gelijk speelveld voor buitenlandse ondernemingen in China benadrukt.

Vraag 12

Deelt u de mening dat Chinese werknemers die bedrijfsgeheimen van Nederlandse bedrijven stelen op de Chinese listing van de Europese Magnitsky dienen te komen?

Diefstal van bedrijfsgeheimen valt buiten de reikwijdte van het EU-mensenrechtensanctieregime.

Vraag 1

Kunt u de metadata (EXIF inclusief datum en tijd van de opnames en van de laatste bestandswijzigingen) delen van de originele foto’s te zien in de tweet1 waarin zij deelneemt aan de (digitale) Raad met Europese defensieministers?

Beide foto’s zijn 20 november jl. bij mij thuis gemaakt, tijdens de ministeriële bestuursraad van het Europees Defensieagentschap (EDA SB), die voorafgaand aan de Raad Buitenlandse Zaken (RBZ) Defensie plaatsvond.
De foto waarop het laptopscherm te zien is, heeft er toe geleid dat de journalist van RTL zich toegang kon verschaffen tot de RBZ Defensie. Dit was mogelijk doordat de EDA SB en RBZ Defensie via dezelfde VTC-verbinding plaatsvonden. Deze foto is, zoals ik ook in het vragenuurtje van 24 november jl. aangaf, door mijzelf gemaakt, om 09:23 uur.
De andere foto, de foto waarop ik zelf ben te zien, is door mijn echtgenoot gemaakt om 09:37 uur.

Vraag 2

Kunt u ook de metadata van de oorspronkelijk foto (waar de url met inlogcode zichtbaar was) die te zien was in de inmiddels verwijderde tweet delen?2

Zie antwoord vraag 1.

Vraag 1

Bent u bekend met het bericht «Nederland: maak een einde aan gevaarlijke politie-experimenten met massasurveillance»?1

Ja

Vraag 2

Hoeveel projecten zijn er op dit moment waarbij de politie gebruik maakt van «predictive policing»? Op welke locaties lopen deze projecten? Welke systemen worden in elk van deze projecten gebruikt?

Predictive policing is het voorspellen van gedrag door middel van monitoring en analyse van historische informatie. De Operationele Proeftuin Roermond (OPTR) maakt geen gebruik van «predictive policing». In de OPTR wordt gewerkt met risicotaxatie op basis van profielen. Dat is een vorm van technologisch versterkt waarnemen.
In mijn antwoord op Kamervragen over artificiële intelligentie bij de politie2 gaf ik aan dat de politie gebruikt maakt van (klassieke) risicotaxatiemodellen om inschattingen te kunnen maken ten aanzien van het potentieel gebruik maken van geweld of het optreden van recidive bij personen met antecedenten zoals vastgelegd in de politiesystemen. Het taxatiemodel geeft alleen een inschatting of er een verhoogd risico is op het gebruik van geweld of het optreden van recidive bij een geselecteerde groep personen.
Een voorbeeld van wat wél onder predictive policing kan vallen, is het Criminaliteits Anticipatie Systeem (CAS) dat in 2014 in Amsterdam is ontwikkeld. In vier politie-eenheden heeft hiermee een pilot plaatsgevonden. Het systeem is vervolgens landelijk uitgerold. Op basis van gegevens uit politiesystemen en historische data van het Centraal Bureau voor de Statistiek, kan CAS voorspellen op welke plaatsen en op welk moment de kans het grootst is dat misdrijven plaatsvinden. Dit wordt weergegeven op een rasterkaart van Nederland in vakken van 125 bij 125 meter. Een informatiemedewerker beoordeelt vervolgens de door CAS gegenereerde voorspelling alvorens hij een advies voor het basisteam formuleert. Dat kan een advies zijn om extra te surveilleren of om samen met woningcorporaties afspraken te maken over het verbeteren van hang- en sluitwerk. Helder is dat de voorspelling ziet op omgeving en nooit op personen. Met ingang van juli 2018 beschikken alle basisteams van de politie over de mogelijkheid om het systeem te gebruiken.

Vraag 3

Hoe toetst de politie projecten waarbij surveillance data verzameld wordt aan eisen op het gebied van privacy?

De eisen op het gebied van privacy die hier van toepassing zijn staan in de Politiewet 2012 (Pw) en de Wet Politiegegevens (Wpg). In projecten wordt altijd eerst beoordeeld binnen welke wettelijke kaders de data verzameld kan worden. Ook wordt er een Gegevensbeschermings Effects Beoordeling (GEB of DPIA) opgesteld. Eerder in 2020 is ook het kwaliteitskader Big Data vastgesteld, waaraan nieuwe projecten getoetst dienen te worden.
Bij aanvang van de OPTR is er een Nota van Rechtmatigheid3 en een GEB opgesteld. De Nota van Rechtmatigheid beschrijft het juridisch kader waarbinnen de OPTR wordt uitgevoerd. Bij elke voorgenomen wijziging van werkwijze of inzet van sensoren wordt het juridisch kader opnieuw afgewogen en vastgesteld met het bevoegd gezag. In de GEB wordt rekening gehouden met de stand van de techniek, uitvoeringskosten, alsook met de aard, omvang, de context, verwerkingsdoeleinden en risico’s voor de rechten en vrijheden van personen. De functionaris voor gegevensbescherming van de politie is vanaf december 2018 betrokken bij deze proeftuin.

Vraag 4

Hoe wordt voorkomen dat bestaande vooroordelen doorwerken in «predictive policing» systemen en op die manier leiden tot discriminatie?

Er moet nogmaals benadrukt worden dat de OPTR geen gebruik maakt van «predictive policing».
Voorafgaand aan de start van deze proeftuin heeft er een cijfermatige analyse en een literatuurverkenning plaatsgevonden en zijn er respondenten bevraagd. Dit vooronderzoek4 heeft inzicht gegeven in de aantallen en achtergrondkenmerken van mobiel banditisme delicten en dader(groepen). Deze informatie vormt de basis voor de daderprofielen die de politie binnen de OPTR gebruikt.
De werkwijze omvat een zogenaamde leerlus. Het profiel omvat een aantal kenmerken van mobiel banditisme. Wanneer in de praktijk blijkt dat bepaalde kenmerken niet worden aangetroffen of wanneer bepaalde kenmerken wel worden aangetroffen, maar na opvolging blijkt dat voertuigen die worden stil gehouden niet bij de dadergroep passen, vindt er analyse en aanpassing van het profiel plaats.
Niet aangetroffen kenmerken of kenmerken die niet onderscheidend blijken te zijn voor de dadergroep, worden verwijderd uit het profiel. Een voorbeeld hiervan is een bepaald model voertuig, waarvan werd gedacht dat dit vaak wordt gebruikt door de dadersgroep, maar waarvan in de praktijk blijkt dat dat niet het geval is.

Vraag 5

Hoe duidt u het oordeel van Amnesty International dat projecten als het Sensing-project in Roermond de rechten op privacy, databescherming en non-discriminatie schenden?

Het oordeel van Amnesty dat in Roermond de rechten op privacy, databescherming en non-discriminatie worden geschonden is vooral gebaseerd op hun conclusie dat er sprake is van ongerichte massasurveillance en dat er met name wordt geselecteerd op mensen uit Oost-Europa.
In de OPTR is echter geen sprake van ongerichte massasurveillance. Er wordt gericht gezocht naar mobiel banditisme op basis van een daderprofiel.
De politie hanteert een definitie van mobiel banditisme zoals die in 2010 door de Raad van de Europese Unie is geformuleerd: «Een mobiele (rondtrekkende) dadergroep is een vereniging van daders die zich stelselmatig verrijken door middel van vermogenscriminaliteit of fraude (met name winkel- en ladingdiefstal, inbraak in woningen en bedrijven, oplichting, skimming en zakkenrollerij), binnen een breed gebied waarin ze activiteiten uitvoeren en die internationaal actief zijn».
De OPTR richt zich enkel op mobiel banditisme. Dat is overigens maar een deel van de veroorzakers van bepaalde vormen van criminaliteit in Roermond, zoals bijvoorbeeld winkeldiefstal en zakkenrollen. Ook die criminaliteit wordt bestreden en daarbij wordt evident ook gebruik gemaakt van wat de politie weet over de betreffende dadergroepen. Alleen gaat dit zonder de sensortoepassingen van deze pilot.
Uit cijfermatige analyse4 door de politie en het OM blijkt dat de groep die zich schuldig maakt aan mobiel banditisme in Roermond in hoofdzaak afkomstig is uit een drietal landen. Het kenteken (land van herkomst van het voertuig) is daarom één van de kenmerken in het profiel. Een bijzonder persoonsgegeven als etniciteit maakt geen onderdeel uit van het profiel. De weging of dit geheel passend is, is aan de verantwoordelijke Officier van Justitie. Deze heeft in dit geval de opname van het land van herkomst van het voertuig in de profielregel in combinatie met de andere selectiecriteria als passend en noodzakelijk beoordeeld voor de aanpak van deze criminaliteitsvorm. Het staat elke betrokken burger uiteraard vrij om hierop de rechter een oordeel te vragen.
Een voertuig zal echter nooit stil worden gehouden op basis van één kenmerk, zoals het kenteken. Er moet sprake zijn van een combinatie van kenmerken voordat er sprake is van een «hit». Zodra de politie opvolging geeft aan een hit en het voertuig wordt aangetroffen, dan bepaalt een politieagent zelf of het voertuig zal worden gecontroleerd. Kortom het is en blijft uiteindelijk een beslissing van een mens, niet van het systeem.

Vraag 6

Hoe duidt u de analyse van Amnesty International die uiteenzet hoe het Sensing-project door het ontwerp («discrimination by design») automatisch leidt tot etnisch profileren? Kunt u daarbij bijvoorbeeld in gaan op het gegeven dat de politie in de definitie van «mobiel banditisme» alleen bepaalde nationaliteiten meeneemt?

Zie antwoord vraag 5.

Vraag 7

Hoe verhoudt het staande houden van voertuigen op basis van een algoritmisch model zich tot het handelingskader proactief controleren, dat stelt dat proactieve controles plaats dienen te vinden op basis van een redelijk vermoeden van schuld?

Proactieve controles zijn alle controles die politieagenten op eigen initiatief doen, zonder dat bijvoorbeeld de meldkamer een opdracht heeft gegeven. De politie heeft eind 2017 een handelingskader 5 gepresenteerd, dat als een richtsnoer dient voor alle agenten en helpt om het vakmanschap bij proactieve controles te vergroten.
In het kader van de OPTR worden er geen controles op eigen initiatief uitgevoerd. Indien een passerend voertuig voldoet aan de profielkenmerken van de OPTR, dan is er sprake van een «hit». Deze hit wordt gemeld aan de meldkamer. Tegelijkertijd ontvangen de dienstdoende agenten een melding op hun mobiele telefoon en kan er opvolging plaatsvinden. Voor de stappen die hierna volgen wordt er naar de principes van het handelingskader proactief controleren gehandeld. Dat wil zeggen dat er wordt uitgelegd waarom je controleert, de bejegening correct is en er opbouwend wordt gereflecteerd.
Als het bewuste voertuig wordt aangetroffen besluit de betrokken agent op grond van waarneming, gedrag, feiten en omstandigheden of er een stopteken wordt gegeven of dat het voertuig wordt doorgelaten. Indien het voertuig is stilgehouden wordt de reden van de controle uitgelegd en vindt controle van de identiteit plaats6.

Vraag 8

Heeft de politie een kader aan de hand waarvan de bewezen positieve effecten van nieuwe technologieën worden afgewogen tegen de mogelijke negatieve maatschappelijke effecten, bijvoorbeeld op het gebied van privacy en discriminatie? Zo ja, tot welke afweging heeft dit geleid bij de inzet van «predictive policing»? Zo nee, op basis waarvan wordt dan een afweging gemaakt om nieuwe technologieën te implementeren?

Er bestaat voor de politie nog geen algemeen afwegingskaderkader op de bruikbaarheid van technologie en maatschappelijke effecten. Wel hanteert de politie een aantal instrumenten op basis waarvan binnen deze proeftuin wordt afgewogen om een nieuwe technologie in te zetten.
In de aanpak van de operationele proeftuin toetst de politie met het bevoegd gezag of de inzet van technologie toegevoegde waarde kan hebben, of dit wettelijk mag en of het past binnen de waarden van de rechtstaat. Er wordt gewerkt met bewezen technologie. De eerdergenoemde Nota van Rechtmatigheid wordt bij elke aanpassing actueel gemaakt. Bij de afweging of er nieuwe technologie of een nieuwe profielregel moet worden toegevoegd gewerkt met de methode van begeleidingsethiek. De begeleidingsethiek is een methode om de ethische dialoog over technologie te voeren en weloverwogen keuzes te maken7. Er wordt getoetst wat de risico’s zijn van inbreuk op de waarden van de rechtstaat en welk handelingsperspectief daarbij open staat. Door aandacht te besteden aan ethische aspecten wordt in proeftuinen ook inzicht opgedaan hoe de techniek binnen aanvaardbare morele kaders toegepast kan worden door de politie.
Op verzoek van de politie heeft het Rathenau instituut in 2019 onderzoek gedaan naar de beleving van burgers bij het gebruik van sensoren8. Daaruit zijn 8 spelregels geformuleerd, die houvast bieden bij de beoordeling van de inzet van sensortechnologie door de politie.
Dit jaar heeft de politie het kwaliteitskader Big Data9 vastgesteld, waarlangs projecten waarin wordt gewerkt met grote hoeveelheden data worden getoetst. De OPTR wordt momenteel getoetst aan dit kwaliteitskader.
Tenslotte wil ik opmerken dat ik het belangrijk vind dat de politie ervaring opdoet met het gebruik van nieuwe technologie in haar werkzaamheden. Hierbij lettend op het raakvlak tussen het gebruik van die technologie en de ethische aspecten daarvan. Juist door hiermee te kunnen experimenteren, kan de politie ervan leren. In de kamerbrief uit 2015 over de visie op sensing heb ik al gewezen op het belang van experimenteren 10.

Vraag 9

Bent u bereid de aanbeveling van Amnesty International over te nemen om het Sensing-project stop te zetten en de verzamelde data te vernietigen? Zo nee, waarom niet?

Nee, ik ben het niet eens met het oordeel van Amnesty dat in Roermond de rechten op privacy, databescherming en non-discriminatie worden geschonden. In de antwoorden op uw vragen en op die van het lid Buitenweg geef ik daar een onderbouwing voor.
Vanwege een grote daling van incidenten in 2020, en een andere keuze voor prioriteiten in 2020 ligt het project nu feitelijk stil. De stuurgroep maakt daarom de afweging of het project op dit moment operationeel moet blijven.

Vraag 10

Welke andere projecten worden uitgevoerd door de overheid waarbij geëxperimenteerd wordt met kunstmatige intelligentie? Bij welk van die projecten wordt gehandeld op basis van voorspellingen die gedaan worden door een algoritme? Welke wettelijke kaders dienen daarbij als basis en wie ziet toe op de naleving daarvan?

Uw vraag suggereert dat in OPTR wordt geëxperimenteerd wordt met kunstmatige intelligentie. Zoals gemeld in de beantwoording van de schriftelijke vragen over artificiële intelligentie (AI) bij de politie van 18 februari 202011, beschikt de politie momenteel over slechts een beperkt aantal toepassingen van AI in de zin dat systemen intelligent gedrag vertonen en in meer of mindere mate zelfstandig kunnen leren en acties kunnen ondernemen. De OPTR valt daar niet onder.
Er zijn toepassingen die het werk van politiemedewerkers vergemakkelijken, maar die geen aanmerkelijke gevolgen voor burgers hebben. Daarbij kan worden gedacht aan het doorzoeken van een inbeslaggenomen gegevensdrager op afbeeldingen met beeldherkenning om een bepaald object te vinden. Dit versnelt het werk van rechercheurs en maakt het werk effectiever en efficiënter. De uitkomst van de analyse heeft dezelfde gevolgen voor burgers als wanneer deze analyse handmatig was uitgevoerd, en is bovendien slechts een van de vele aanwijzingen in het totale onderzoek. Een ander voorbeeld is de in mijn brief van 3 december 201912 reeds genoemde keuzehulp die wordt ingezet bij meldingen van internetoplichting.
Zoals gemeld in mijn brief van 3 december 2019 is AI nadrukkelijk bedoeld als ondersteunend middel voor de politiemedewerkers. Dat betekent dat de toepassing van AI binnen de politiecontext ook binnen de gebruikelijke wettelijke kaders plaatsvindt. Afhankelijk van de context van de inzet van de AI-toepassing kan dat bijvoorbeeld de Wpg (bij uitvoering van de politietaak), of de AVG (bij inzet in bijvoorbeeld bedrijfsvoeringscontext) zijn als er persoonsgegevens worden verwerkt. Als er geen sprake is van verwerking van persoonsgegevens kan er bijvoorbeeld gedacht worden aan de Politiewet 2012 of het Wetboek van Strafvordering.
De werking van het stelsel van toezicht op de toepassing van AI bij de politie heb ik uitgelegd in mijn brief van 3 december 2019 over AI bij de politie.

Vraag 11

Hoe staat het met de uitwerking van de waarborgen tegen risico’s van data-analyses door de overheid, zoals aangekondigd in uw brief van 8 oktober 2019? Hoe bent u van plan toezicht te houden op lopende experimenten met voorspellende algoritmes totdat de richtlijnen voor de gehele rijksoverheid zijn geïmplementeerd die privacy en non-discriminatie waarborgen?2

Zoals toegezegd in de brief van de Minister voor Rechtsbescherming en de staatssecretarissen van Binnenlandse Zaken en Koninkrijksrelaties en van Economische Zaken en Klimaat van 20 april 202014, zullen de evaluatie en aangepaste versie van de Richtlijnen begin 2021 aan uw Kamer worden aangeboden.
De toezichthouder op het gebied van gegevensbescherming en privacy is de Autoriteit Persoonsgegevens (AP). Zij houdt toezicht binnen haar mandaat. De AP is onafhankelijk toezichthouder op grond van de AVG. De AVG bepaalt de reikwijdte van het handelen van de AP. Ik heb als Minister van JenV geen mogelijkheid om het handelen van de AP te beïnvloeden.

Vraag 1

Heeft u kennisgenomen van het bericht «Lab in Abu Dhabi gaat Nederlandse coronatests analyseren»?1

Ja.

Vraag 2

In welk stadium zijn de onderhandelingen op dit moment met de laboratoria in de Verenigde Arabische Emiraten?

De onderhandelingen over het versturen van materiaal naar de Verenigde Arabische Emiraten zijn inmiddels stopgezet.

Vraag 3

Op welke wijze valt de verwerking van genetisch materiaal, in dit geval bijzondere persoonsgegevens, door een laboratorium in de Verenigde Arabische Emiraten, onder Algemene verordening gegevensbescherming (AVG)?

Er is zeer intensief en constructief gekeken naar alle aspecten die u noemt en ook zijn verschillende oplossingen verkend om alle privacy- en beschermingsrisico’s af te dekken. Er was sprake van een beperkt restrisico, en aangezien op dat moment ook al andere, meer duurzame oplossingen waren gevonden om de testcapaciteit te vergroten, is besloten de onderhandelingen stop te zetten.

Vraag 4

Wordt gekeken naar het anonimiseren of pseudonimiseren van het genetisch materiaal zodat dit niet herleidbaar is tot individuen? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 5

Staan de Verenigde Arabische Emiraten op de lijst met derde landen met een passend beschermingsniveau voor internationale overdracht van gegevens, en die dus goedgekeurd zijn door de Europese Commissie? Zo nee, welke maatregelen zult u dan moeten nemen alvorens een overdracht van deze bijzondere persoonsgegevens mogelijk zijn?

Zie antwoord vraag 3.

Vraag 6

Kunt u de zorgen wegnemen dat er een kans bestaat op misbruik van genetisch materiaal met andere doeleinden – zoals bijvoorbeeld in het strafrecht of met betrekking tot toelating tot het land?

Vraag 7

Informeert u de Kamer nader als de contracten met de laboratoria in de Verenigde Arabische Emiraten eenmaal zijn afgerond?

Vraag 1

Bent u bekend met het bericht «U staat op een zwarte lijst»?1

Ja, ik ben bekend met dit artikel.

Vraag 2

Klopt het dat de in het artikel genoemde praktijken tot op de dag van vandaag doorgang vinden?

De Autoriteit Persoonsgegevens heeft me laten weten dat ze veel klachten ontvangt over dit soort praktijken. Ze doet daarom op dit moment onderzoek naar meerdere handelsinformatiebureaus.

Vraag 3

Klopt het dat de genoemde bedrijven in het artikel (EDR, Lindorff en Focum) databases met persoonlijke gegevens bijhouden van miljoenen Nederlanders zonder dat zij hierover zijn geïnformeerd en dat deze gebruikt worden om vergaande beslissingen te nemen die invloed hebben op het leven van mensen?

De Autoriteit Persoonsgegevens houdt toezicht op dergelijke verwerkingen van persoonsgegevens. Ze doet in beginsel geen uitspraak over individuele zaken, tenzij een onderzoek is afgerond.

Vraag 4

Klopt het dat bij sommige mensen de levering van diensten geweigerd wordt op basis van een «score» van dergelijke bedrijven, die soms alleen gebaseerd is op het adres?

Gelet op dat het onderzoek van de Autoriteit Persoonsgegevens nog niet is afgerond, is het niet mogelijk om inhoudelijk op zaken in te gaan. Wel heeft de Autoriteit Persoonsgegevens laten weten dat de ontvangen klachten in veel gevallen betrekking hebben op scoring. In andere gevallen gaat het om klachten die betrekking hebben op direct marketing. Daarnaast krijgt de Autoriteit Persoonsgegevens klachten binnen die zien op het niet verlenen van inzage of het niet inwilligen van verwijderverzoeken.

Vraag 5

Klopt het dat deze praktijken in strijd zijn met de Algemene verordening gegevensbescherming (AVG) en kunt u hier een eigen juridische analyse op geven? Zo ja, welke stappen gaat u nemen om deze praktijk te stoppen?

Het geciteerde artikel uit De Groene Amsterdammer stamt uit 2017. Op dat moment was de AVG nog niet in werking getreden.
Het basisbeginsel van de AVG is dat persoonsgegevens alleen mogen worden verwerkt als hiervoor een geldige grondslag bestaat. Deze zes grondslagen zijn te vinden in artikel 6, eerste lid, AVG. Of de genoemde bedrijven een geldige grondslag hebben, is ter beoordeling van de Autoriteit Persoonsgegevens en uiteindelijk de rechter.
Daarnaast hebben burgers het recht om niet te onderworpen worden aan geautomatiseerde individuele besluitvorming.2 Er dient in ieder geval voor dergelijke verwerkingen passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten.3
Tot slot hebben de verwerkingsverantwoordelijken, zoals de genoemde bedrijven, een transparantieplicht.4 Zo dient er bij de verwerking van de persoonsgegevens al aan de betrokken personen te worden gemeld welke gegevens worden verzameld, door wie, met welk doel en de ontvangers van de persoonsgegevens.5 Daarnaast dienen ze de betrokkenen ook op de hoogte te stellen van hun rechten, zoals het recht op inzage.6

Vraag 6

Klopt het dat het in strijd is met de wet om diensten in te kopen van dergelijke bedrijven en welke stappen gaat u nemen om ervoor te zorgen dat energiebedrijven, woningcorporaties, kredietaanbieders en zorgverzekeraars geen gebruik meer maken van dergelijke onrechtmatige diensten? Bent u bereid in gesprek te gaan met deze bedrijven en organisaties?

De koop en verkoop van persoonsgegevens zijn ook verwerkingen van persoonsgegevens. Ook de kopers van deze diensten zullen dus een geldige grondslag in de zin van artikel 6, eerste lid, AVG moeten hebben. Zowel de verkoper van de gegevens als de koper ervan zullen ervoor moeten zorgen dat ze handelen in overeenstemming met de AVG. Zo dienen ze onder andere de betrokken personen te informeren dat hun gegevens worden verwerkt.7
Zoals eerder aangegeven is de Autoriteit Persoonsgegevens bezig met een onderzoek naar meerdere handelsinformatiebureaus. Indien uit het onderzoek van de Autoriteit Persoonsgegevens blijkt dat deze praktijken niet zijn toegestaan onder de AVG, dan ben ik bereid om samen met de Autoriteit Persoonsgegevens in gesprek te gaan met de bedrijven en organisaties die deze diensten afnemen.

Vraag 7

Welke stappen kunnen mensen nemen om hun recht te halen als zij onterecht door deze bedrijven, en de algoritmes die de bedrijven gebruiken, als wanbetaler worden bestempeld?

Een van de basisbeginselen van de AVG is dat persoonsgegevens juist dienen te zijn en indien nodig worden geactualiseerd.8 Dit houdt in dat de genoemde bedrijven alle redelijke maatregelen moeten nemen dat onjuiste gegevens onverwijld worden gerectificeerd of gewist. Wanneer een burger constateert dat er onjuiste persoonsgegevens worden verwerkt, kan hij eisen dat het bedrijf deze gegevens rectificeert.9
Indien de grondslag voor de verwerking van de persoonsgegevens rust op gerechtvaardigd belang of op toestemming, dan kan een burger tevens bezwaar maken tegen de geautomatiseerde individuele besluitvorming en de profilering die daarmee gepaard gaat.10 In deze gevallen is het ook mogelijk voor de burger om te eisen dat zijn persoonsgegevens worden gewist.11
Verder kan een consument, indien het desbetreffende bedrijf hierbij is aangesloten, bij de Nederlandse Vereniging van Handelsinformatiebureaus (NVH) terecht. De NVH heeft een gedragscode en een klachtenprocedure.
Wanneer burgers de verwerking van hun persoonsgegevens onrechtmatig achten, dan kunnen ze ook een klacht indienen bij de Autoriteit Persoonsgegevens.

Vraag 8

Kunnen mensen die in sommige gevallen, bijvoorbeeld door energieleveranciers, worden gevraagd een «borg» te betalen om klant te mogen worden, deze borg terugvorderen?

Het Ministerie van Economische Zaken en Klimaat heeft mij laten weten dat het vragen van een waarborgsom een bestaande praktijk is in de energiesector. In 2013 zijn Energie Nederland en de Consumentenbond tot overeenstemming gekomen over een set algemene voorwaarden voor energielevering. In deze voorwaarden is opgenomen dat de leverancier van de contractant (consument) zekerheden, zoals een bankgarantie of waarborgsom, mag verlangen voor de bedragen die de consument voor de energielevering verschuldigd is.12
Bij de vraag of een consument de waarborgsom kan terugvorderen, is het belangrijk te benadrukken uitgangspunt van het contractenrecht is dat partijen in beginsel contractsvrijheid hebben. Hieronder vallen ook bepalingen waarin een aanbieder van diensten vooraf een borg aan zijn klanten vraagt en de wijze waarop deze wordt teruggegeven. Of een persoon deze borg kan terugvorderen, hangt daarom af van hoe dit in het desbetreffende contract is geregeld.

Vraag 9

Kunt u uiteenzetten, als het gaat om deurwaarders en incassobureaus, welke gegevens deze bedrijven over mensen mogen verzamelen en wat voor stappen mensen kunnen zetten om deze gegevens, conform de AVG, in te zien, te wijzigen of te verwijderen?

Er dient een onderscheid te worden gemaakt tussen gerechtsdeurwaarders en incassobureaus. De taken en bevoegdheden van gerechtsdeurwaarders zijn wettelijk vastgelegd en dit kan ook dienen als grondslag voor de verwerking van persoonsgegevens. Incassobureaus daarentegen zijn commerciële bedrijven en zullen dus op basis van een andere grondslag handelen.
De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders heeft een Gedragscode waarin de verwerking van persoonsgegevens door gerechtsdeurwaarders nader wordt gespecificeerd.13 De gedragscode stelt onder meer dat de verstrekking van persoonsgegevens door de gerechtsdeurwaarder aan derden aan strikte regels is gebonden en dat persoonsgegevens slechts uit een beperkt aantal bronnen mogen worden verkregen, afhankelijk van de soort werkzaamheid die de gerechtsdeurwaarder uitoefent. De Gedragscode bevat ook een lijst met het soort persoonsgegevens dat in dit kader mag worden gebruikt.14
Wat betreft incassobureaus is het beginsel van minimale gegevensverwerking belangrijk.15 Incassobureaus zullen de gegevens die ze verwerken moeten beperken tot datgene dat strikt noodzakelijk is voor het doel waarvoor ze worden verwerkt.
Wat betreft de stappen die mensen kunnen zetten, biedt de AVG de mogelijkheid om de persoonsgegevens in te zien, te rectificeren en te laten wissen.16

Vraag 1

Bent u bekend met het artikel «Einde afstandregel, maar bruine vloot blijft in gevaar»?1

Ja.

Vraag 2

Bent u bekend met de signalen uit het bericht, namelijk dat schippers dit jaar en volgend jaar nog veel te weinig inkomsten hebben door onder andere de capaciteitsbeperkingen, hoge vaste lasten en kosten gerelateerd aan de verlenging van de veiligheidscertificaten?

Ja. Nadat Uw Kamer in juni de motie had aangenomen van het lid Postma c.s.2 hebben de Ministeries van IenW, EZK en OC&W herhaaldelijk overleg gehad met de Vereniging voor Beroepschartervaart (BBZ). De BBZ heeft deze signalen tijdens deze gesprekken overgebracht.

Vraag 3

Deelt u de mening dat de bruine vloot, als grootste nog varende zeevloot ter wereld en bestaande uit 300 historische schepen, een belangrijke culturele waarde voor Nederland vertegenwoordigt?

Ik draag de bruine vloot een warm hart toe en erken de culturele waarde van de bruine vloot. Dit geldt ook voor mijn ambtgenoten van EZK en OC&W.

Vraag 4

Deelt u de mening dat het van groot belang is om de bruine vloot, als nationaal historisch erfgoed, te hulp te schieten nu deze door de coronacrisis in zwaar weer verkeert?

Bij brief van 28 augustus 2020 maakte de Minister van OC&W bekend dat met inzet van het Ministerie van EZK, € 15 miljoen beschikbaar komt voor het borgen van het voortbestaan van de historische zeilvloot (bruine vloot). Hiermee erkent het kabinet de noodzaak om de bruine vloot te hulp te schieten. Ik ga ervan uit dat met de beschikbaarstelling van dit bedrag en de beantwoording van deze vragen, de eerdergenoemde motie van het lid Postma c.s. is uitgevoerd.

Vraag 5

Deelt u de mening dat de huidige regelingen de specifieke problemen in deze sector niet oplossen?

Naast eerdergenoemd bedrag zijn er ook andere regelingen waarop de branche een beroep kan doen, zoals de Regeling Tegemoetkoming Vaste Lasten. Tezamen met de beschikbaarheid van dit aanvullend bedrag ga ik ervan uit dat het voortbestaan van de historische zeilvloot geborgd is.

Vraag 6

Bent u bereid het uitstel voor de veiligheidscertificaten en de bijbehorende periodieke keuringen zoals aangegeven in uw brief van 23 juni 2020 te verlengen?2

De reden dat in eerste instantie werd besloten om de termijn voor de keuringen uit te stellen, is enerzijds dat het door de beperkende maatregelen in verband met COVID19 vaak niet mogelijk was om fysiek keuringen uit te voeren aan boord van schepen. Anderzijds kozen ondernemers ervoor om keuringen uit te stellen om daarmee de lasten zo laag mogelijk te houden.
De fysieke beperkingen voor het uitvoeren van de keuringen zijn in de binnenvaart niet meer aan de orde. In internationaal verband is daarom afgesproken dat de maatregelen zoals voorzien in het CCR-besluit van maart jl. van toepassing blijven tot 23 september 2020 en dat een verdere verlenging vooralsnog niet nodig is. Mochten er vanwege Covid-19 opnieuw problemen ontstaan om keuringen uit voeren, dan biedt de internationale regelgeving voor een scheepseigenaar de mogelijkheid een verzoek tot verlenging van het certificaat te doen zonder periodiek onderzoek. In uitzonderingsgevallen wordt het certificaat in dat geval met een periode van 6 maanden verlengd als de scheepseigenaar hiervoor goede redenen heeft.
Ook in de zeevaart zijn er momenteel geen beperkingen voor wat betreft de mogelijkheid om fysiek keuringen uit te voeren. Zou het onverwacht nodig zijn certificaten te verlengen in verband met Covid-19, dan zal ik het IMO-advies volgen voor de zeevaart. De IMO heeft op 22 juli jl. een bijgestelde werkwijze gepubliceerd die verdragspartijen kunnen hanteren met betrekking tot een aanvullende verlenging van reeds verlengde certificaten. Deze geeft ruimte voor een verdere verlenging van de geldigheidsduur van scheepscertificaten en bemanningsdocumenten. Naar aanleiding van het IMO-advies zal elk verzoek (door een reder) om verlenging van de geldigheid van een of meer wettelijke scheepscertificaten zorgvuldig worden overwogen.
Met de aanvullende € 15 miljoen die nu beschikbaar is gesteld, is het bovendien niet te verwachten dat ondernemers er nog voor zullen kiezen om keuringen uit te stellen. Dit zou met het oog op veiligheid ook onwenselijk zijn.

Vraag 7

Kunt u alle vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Amsterdamse universiteiten werken samen met omstreden techgigant Huawei»?1

Ja.

Vraag 2

Kunt u toelichten waarom Huawei, onder andere op voorspraak van de inlichtingendiensten, deels geweerd wordt bij de kritieke infrastructuur rond 5G in Nederland maar niet in samenwerking met universiteiten zoals de Universiteit van Amsterdam en de Vrije Universiteit?

Het kabinet is extra alert waar het gaat om mogelijke risico’s voor de vitale infrastructuur. Voor de telecomnetwerken is een risicoanalyse uitgevoerd door de Taskforce Economisch Veiligheid, met medewerking van de drie grote telecomaanbieders. Uw Kamer is op 1 juli 2019 geïnformeerd over de uitkomsten hiervan.2 Op basis van deze risicoanalyse wordt een aantal maatregelen genomen door het kabinet. Een van deze maatregelen is de mogelijkheid om een aanbieder van een openbaar elektronisch communicatienetwerk of -dienst te kunnen verplichten om in bepaalde onderdelen van diens netwerk of bijbehorende faciliteiten, uitsluitend gebruik te maken van producten of diensten van een andere dan de daarbij door de Minister genoemde partij. Momenteel worden de beschikkingen, waarin telecomaanbieders worden verplicht in de kritieke onderdelen geen gebruik te maken van producten of diensten van daarin genoemde partijen, voorbereid.
De betreffende onderzoekssamenwerking tussen de VU en UvA en Huawei Finland3 heeft geen betrekking op de vitale infrastructuur. De universiteiten zijn vanuit hun autonomie op grond van de WHW zelf verantwoordelijk voor het besluit om – binnen de kaders van bestaande wet- en regelgeving – al dan niet een bepaalde (internationale) onderzoekssamenwerking aan te gaan. Evenwel is door medewerkers van EZK, evenals in een vervolggesprek door de NCTV, de AIVD en OCW met de universiteiten gesproken over verschillende aspecten van de samenwerking. Er is gesproken over de kansen voor innovatie en wetenschappelijk onderzoek en er is gewezen op mogelijke risico’s, zoals die naar voren komen in de recente jaarverslagen van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). De instellingen is nadrukkelijk verzocht om al deze aspecten mee te nemen in hun afweging.

Vraag 3

Kunt u toelichten wat nu de Nederlandse aanpak en benadering is ten opzichte van samenwerking met bedrijven die onder invloed staan van buitenlandse overheden, zoals Huawei?

Van alle Nederlandse bedrijven wordt verwacht dat zij bij het internationaal zakendoen handelen in lijn met de OESO-Richtlijnen4 en UN Guiding Principles on Business and Human Rights.5 Dit betekent dat zij in relatie tot hun waardeketens mogelijke risico’s – waaronder eventuele risico’s die verband houden met samenwerking met bedrijven die onder invloed staan van buitenlandse overheden – dienen te identificeren en te voorkomen of aan te pakken. De Nederlandse kennisinstellingen hebben zich o.a. gecommitteerd aan de Nederlandse gedragscode wetenschappelijke integriteit. Het is echter aan Nederlandse bedrijven en instellingen zelf om te beslissen of zij wel of niet met bepaalde bedrijven in zee gaan. Zij kunnen zich daarbij laten informeren door relevante onderdelen van de rijksoverheid. Wanneer een bedrijf of kennisinstelling aanspraak wil maken op het bedrijfsleveninstrumentarium van Buitenlandse Zaken, wordt het bedrijf door de uitvoeringspartner geïnformeerd over kansen en risico’s met betrekking tot Internationaal Maatschappelijk Verantwoord Ondernemen (IMVO), geadviseerd over de implementatie van IMVO, beoordeeld op IMVO-aspecten in hun aanvragen en gemonitord op IMVO gedurende de looptijd van projecten. Het kabinet is zich bewust van nationale veiligheidsrisico’s bij bepaalde investeringen, in aanbieders van de vitale processen of bij bepaalde ondernemingen die actief zijn op het gebied van hoogwaardige sensitieve technologie. Het kabinet werkt daarom onder andere aan een (landenneutrale) investeringstoets op nationale veiligheidsrisico’s.6

Vraag 4

Klopt het dat andere Europese lidstaten strenger optreden tegen samenwerkingen tussen Huawei en universiteiten?

Binnen Europa is verschil te zien in de manier waarop het hoger onderwijsstelsel in de landen is ingericht en welke vrijheden, bevoegdheden en verplichtingen voor instellingen daaruit voortvloeien. Gevolg daarvan is dat binnen Europa het beeld niet eenduidig is wat betreft het al dan niet aangaan van een samenwerking met Huawei. Er zijn Europese landen waar op nationaal niveau samenwerking met Huawei wordt afgehouden, maar er op instellingsniveau wel degelijk wetenschappelijke samenwerking met het bedrijf plaatsvindt. Er zijn ook individuele universiteiten die zich tegen samenwerking met Huawei hebben uitgesproken.

Vraag 5

Deelt u de mening dat de wijze waarop het kabinet keuzes maakt omtrent risico’s van technologische inmenging door buitenlandse bedrijven – zoals bij het weren van software van Kaspersky, de aangehouden exportvergunning van ASML en de beperkingen van leveranciers bij vitale infrastructuur rondom 5G – binnen een duidelijk kader horen plaats te vinden dat controleerbaar is voor de Kamer?

Het kabinet werkt aan het tegengaan van statelijke dreigingen, zoals gemeld in de brief aan uw Kamer.7 Het kabinet is zich bewust van nationale veiligheidsrisico’s bij zowel het inzetten van (producten of diensten) van bepaalde partijen, als investeringen vanuit bepaalde partijen in de vitale infrastructuur of bij ondernemingen die actief zijn op het gebied van hoogwaardige sensitieve technologie. Daarom werkt het kabinet onder andere aan een (landenneutrale) investeringstoets op nationale veiligheidsrisico’s.
Dit onderwerp en de in de vraag genoemde onderwerpen, vallen onder de verantwoordelijkheden van verschillende ministers. Zij zullen uw Kamer daarover op de gebruikelijke manier blijven informeren.

Vraag 6

Is er een algemeen kader op basis waarop beslissingen tot (technologische) samenwerking met buitenlandse bedrijven die onder invloed staan van buitenlandse overheden gemaakt worden? Zo nee, waarom niet?

Nederlandse bedrijven en (kennis)instellingen die goederen of technologie ontwikkelen of produceren met zowel civiele als militaire toepassing (dual use technologie) zijn gehouden aan wet- en regelgeving op het gebied van exportcontrole. Indien (gevoelige) technologie wordt geëxporteerd die voorkomt op de lijsten van de gecontroleerde goederen en technologie van de EU Dual use Verordening (EUR428/2009) is een exportvergunning vereist. Universiteiten zijn ook gehouden aan wet- en regelgeving op het gebied van exportcontrole. Daarnaast werkt het kabinet aan een investeringstoets op nationale veiligheidsrisico’s. Naast aanbieders van vitale processen en vitale infrastructuur, worden ook bedrijven die werken op het gebied van hoogwaardige sensitieve technologie onder de reikwijdte hiervan gebracht. Voor deze categorie worden de bestaande multilaterale kaders voor exportcontrole zoals hierboven beschreven als uitgangspunt gehanteerd.

Vraag 7

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Privénummers van LinkedIn-gebruikers te koop»?

Ja, ik ben bekend met dit artikel.

Vraag 2

Bent u bekend met de signalen uit het bericht, namelijk dat de onlinedienst Lusha telefoonnummers openbaarmaakt van mensen die dat niet weten en niet willen?

Dankzij het artikel ben ik hiervan op de hoogte.

Vraag 3

Deelt u de mening dat voor het openbaar maken van persoonlijke contactgegevens, zoals telefoonnummers, met een commercieel doel altijd toestemming nodig is van de betrokkenen?

De AVG vereist dat iedere verwerking van persoonsgegevens een geldige grondslag heeft. Artikel 6, eerste lid, AVG bevat zes grondslagen, waaronder toestemming. De uitleg van bepalingen uit de AVG is aan de nationale toezichthouder en aan de rechter. Zo ook de vraag welke grondslag in dergelijke gevallen van toepassing is.

Vraag 4

Kunt u toelichten of de werkwijze van Lusha in strijd is met de Algemene verordening gegevensbescherming (AVG)?

De beoordeling van individuele zaken is aan de Autoriteit Persoonsgegevens, zo ook de vraag of de werkwijze van Lusha in strijd is met de AVG. De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder. Aan deze onafhankelijkheid wil ik geen afbreuk doen door inhoudelijk in te gaan op zaken.

Vraag 5

Bent u van mening dat Lusha een gerechtvaardigd belang heeft om zijn diensten aan gebruikers aan te bieden?

Lusha is zelf van mening dat het een gerechtvaardigd belang heeft bij de verwerking van contactgegevens.1 Bij een gerechtvaardigd belang van de verwerkingsverantwoordelijke dient de verwerking van de persoonsgegevens noodzakelijk te zijn om dit belang te behartigen. Daarnaast dient dit belang zwaarder te wegen dan de belangen of rechten van de betrokkene.2 Als van een gerechtvaardigd belang als bedoeld in deze zin sprake is, dan zou het bedrijf een geldige grondslag hebben om gegevens te verwerken in de zin van artikel 6 AVG. Of daarvan sprake is, is ter beoordeling van de Autoriteit Persoonsgegevens. Daarbij is onder meer van belang of er sprake is van commerciële doeleinden. De AP stelt in haar normuitleg dat zuiver commerciële doeleinden niet als een gerechtvaardigd belang kwalificeren.3 Ook de vraag of daarvan sprake is, is aan de Autoriteit Persoonsgegevens.

Vraag 6

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja, dat heb ik gedaan.

Vraag 1

Bent u bekend met het bericht «Paspoort blijft op zak. Controle op schiphol verdwijnt»?1

Ja.

Vraag 2

Kunt u een overzicht geven van alle technologieën, dataverzameling en sensoren die betrokken zijn bij het toekomstbeeld dat de Koninklijke Marechaussee (KMar) schets, namelijk de «gang waarin je met technische hulpmiddelen wordt gecontroleerd zonder dat je hoeft te stoppen of je paspoort te laten zien»? Welke concrete stappen zijn reeds genomen om tot dit toekomstbeeld te komen?

Nederland zet zich, conform het Regeerakkoord,2 in voor technologische vernieuwing en digitalisering op de grens, zodat het grenstoezicht effectiever en efficiënter ingericht wordt. Het in toenemende mate gebruik maken van techniek voor routinehandelingen komt ten goede aan het reisgemak van bonafide reizigers, het tegengaan van illegale migratie en draagt bij aan de veiligheid van Nederland en het Schengengebied.
Naast huidige en toekomstige verplichtingen die voortvloeien uit (Europese) wet- en regelgeving, zoals het Europese In- en uitreissysteem (EES),3 werkt de Nederlandse overheid momenteel mee aan de ontwikkeling van twee innovatieve grensprojecten waarbij onder andere gebruik wordt gemaakt van gezichtsherkenning. Dit zijn het Seamless Flow Programma en de pilot Known Traveller Digital Identity (KTDI).
Voor de ontwikkeling van Seamless Flow werkt de Nederlandse overheid onder andere samen met Schiphol en KLM. Het programma stelt passagiers in staat om op basis van vrijwilligheid middels hun biometrische kenmerken herkend te worden bij verschillende processtappen op de luchthaven. In de praktijk betekent dit dat passagiers, onder toezicht van de KMar, bij een zuil in de vertrekhal hun gezicht en paspoort kunnen scannen. Het systeem controleert de identiteit en verstuurt deze gegevens aan relevante partijen die de vluchtgegevens en individuele passagiersinformatie nodig hebben voor hun luchtvaartprocessen. Camera’s van Seamless Flow die bij de betreffende controlepunten staan herkennen de passagier, zonder dat de passagier opnieuw zijn paspoort of boardingpass hoeft te laten zien. Hierdoor kan de KMar zich meer focussen op gerichte controles. Hierover is uw Kamer tevens geïnformeerd in de concept-Luchtvaartnota 2020–2050 daterende 15 mei 2020.4 Er wordt nog gewerkt aan de ontwikkeling van de technologie en waarborgen om het bovenstaande geschetste beeld te kunnen realiseren.
Samen met o.a. Canada, Schiphol en KLM neemt de Nederlandse overheid deel aan een pilotproject om het KTDI-concept in de praktijk te toetsen. Hierbij kunnen passagiers tussen Canada en Nederland vliegen met een digitale representatie van hun paspoort. De KTDI-pilot ziet op het gehele passagiersproces; van vertrek tot en met aankomst in het land van bestemming. De kern van het idee is dat het passagiersproces vergemakkelijkt wordt doordat een burger zich op basis van vrijwilligheid en op digitale wijze, op een manier die betrouwbaar en door de overheid gevalideerd is, met behulp van biometrische gegevens kan identificeren en de grens kan passeren. Hierover is uw Kamer tevens geïnformeerd middels de beantwoording van de vragen van Kamerleden Den Boer en Verhoeven daterende 4 mei 2020.5 Ook hier gaat het om een pilot.
Voorwaarde voor deze technologische vernieuwing is dat dit aansluit bij Europese en nationale wet- en regelgeving. Binnen deze kaders wordt bekeken op welke wijze innovatie kan bijdragen aan het verwezenlijken van deze ambities, waarbij oog is voor aspecten als risico- en securitymanagement waaronder cybersecurity en de privacy van reizigers. Analyses op het gebied van privacy zijn onderdeel van de bovengenoemde innovatieve grensprojecten. Momenteel bevinden zowel Seamless Flow als de KTDI-pilot zich in de concept- en pilotfase, waarbij de operationele en technische aspecten getest worden met inachtneming van de relevante juridische kaders. Een besluit over de definitieve en/of structurele implementatie van beide concepten is nog niet genomen. Indien het kabinet het voornemen heeft één van deze of beide concepten in het reguliere grenstoezicht te implementeren, zal de Kamer over het voorgenomen besluit geïnformeerd worden, inclusief over de waarborgen met betrekking tot privacy.

Vraag 3

Betreft het ook de toepassing van gezichtsherkenning? Klopt het dat hiervoor databases met gedetailleerd fotografisch materiaal van elke reiziger aangelegd moeten worden? Welke plannen bestaan hiervoor? Bestaan reeds dergelijke databases of pilots daartoe? Kunt u de juridische kaders hiervoor uiteenzetten?

Voor het Seamless Flow programma is het voornemen dat een platform wordt ingericht waarin de passagiersgegevens en dus ook een gezichtsopname na uitdrukkelijke toestemming van de passagier gedurende maximaal 24 uur bewaard blijven. Voor de KTDI-pilot zal gebruik worden gemaakt van een door de KMar gevalideerde, digitale representatie van het paspoort, zoals nu gebruikt bij het grensproces binnen het reeds bestaande Privium6-proces. Deze digitale representatie van het paspoort wordt, met uitdrukkelijke toestemming van de passagier, opgeslagen in een beveiligde database die beheerd wordt door de Rijksdienst van Identiteitsgegevens (RvIG) van het Ministerie van BZK.7 Deze gegevens blijven bewaard voor de duur van de pilot. De passagier bepaalt zelfstandig of hij aan de pilot deel wil nemen en of hij zijn persoonsgegevens wil delen via de KTDI mobiele applicatie en met welke partij. Zie hiervoor ook de beantwoording van de Kamervragen over KTDI.8
Het juridisch kader wordt gevormd door Europese wet- en regelgeving, zoals de Schengengrenscode en de EES-verordening. Bij de verwerking van (biometrische) persoonsgegevens van passagiers in het kader van grenstoezicht moet ook voldaan worden aan de strikte eisen die de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) stellen. Verder worden de kaders bepaald door de bevoegdheden van de KMar zoals deze volgen uit onze nationale wet- en regelgeving, waaronder de Vreemdelingenwet 2000 en het Vreemdelingenbesluit 2000. Op basis van artikel 46 van de Vreemdelingenwet 2000 is de grenswachter (de KMar) belast met toezicht op de naleving en de uitvoering van de Schengengrenscode en de wettelijke voorschriften met betrekking tot de grensbewaking.

Vraag 4

Wat is de reden dat de KMar het idee heeft dat dit toekomstbeeld sowieso werkelijkheid zal worden? Kunt u alle communicatie tussen uw ministerie en de KMar hierover naar de Kamer sturen? Klopt het dat «de neuzen in dezelfde richting staan»? Waarom heeft u aan de KMar te kennen gegeven dit ingrijpende toekomstbeeld te ondersteunen zonder debat hierover in de Tweede Kamer?

Zie antwoord vraag 2.

Vraag 5

Wat is het beoogde doel van deze technologie?

Zie antwoord vraag 2.

Vraag 6

Welke voordelen verwacht u? Welke risico’s verwacht u? Hoe wegen de voordelen op tegen de risico’s?

Zie antwoord vraag 2.

Vraag 7

Kunt u gemaakte analyses op het gebied van privacy, eventuele Data Privacy-Impact-Assessments (DPIA’s), juridische analyses met betrekking tot het Europees Verdrag van de Rechten van de Mens (EVRM) en eventuele andere privacy gerelateerde analyses naar de Kamer sturen?

Zie antwoord vraag 2.

Vraag 8

Vindt u de inzet van dergelijke ingrijpende surveillance technologie op een zeer groot deel van de bevolking wenselijk, noodzakelijk en proportioneel? Kunt u antwoord geven op elk van de drie kwalificaties?

Zoals ook hierboven beschreven heeft Nederland de ambitie om de effectiviteit en efficiëntie van het grensbeheer te vergroten, dat ten goede komt aan het reisgemak van de reizigers met een laag risico, illegale migratie tegengaat en bijdraagt aan de veiligheid in Nederland en het Schengengebied. Vanuit dit oogpunt is het wenselijk te bezien op welke wijze technologie hieraan kan bijdragen. Uiteraard, mede bezien vanuit proportionaliteit, dient dit uitsluitend op een veilige manier te gebeuren in lijn met nationale en Europese wet- en regelgeving, en mag dit niet ten koste gaan van bijvoorbeeld cybersecurity en de privacy van burgers.

Vraag 9

Kunt u een overzicht geven van alle innovatieprojecten, pilots, of andere initiatieven van alle opsporingsdiensten die voorzien in de toepassing van gezichtsherkenning, sensortechnologie, (big) data-analyses en andere ingrijpende digitale surveillance technologie?

De Kamer is met de brief van de Minister van Justitie en Veiligheid van 20 november 2019 geïnformeerd over de toepassing van gezichtsherkenningstechnologie in het kader van de opsporing door de politie.9 In het kader van de grenscontroles van personen aan de Nederlandse buitengrens wordt bij gebruik van de automatische grenspassage (e-gates) de gezichtsopname gemaakt en vindt verificatie plaats met de gezichtsopname op de chip van het reisdocument. Met de implementatie van het Europees in- en uitreissysteem (EES) aan de buitengrenzen van de Schengenlidstaten wordt het mogelijk dat de gezichtsopname van derdelanders in het grenscontroleproces worden vastgelegd en opgeslagen ter verificatie van de identiteit van de betrokken derdelander.
Ter ondersteuning van de ambitie van de KMar om informatie gestuurd optreden te vergroten zijn de afgelopen jaren enkele kleinschalige plannen uitgewerkt waarbij gebruik zou worden gemaakt van gezichtsherkenning. In een project (proeftuin Camera en Sensoren) is daadwerkelijk gewerkt met vrijwilligers als proefpersoon, maar dit project is in een oriënterende fase gestopt.
De Minister voor Rechtsbescherming heeft de Kamer toegezegd na te gaan of er een jaarlijks overzicht kan worden gegeven van de lopende initiatieven op het gebied van nieuwe surveillancetechnieken en de Kamer daarover voor deze zomer te informeren.10 Inmiddels is duidelijk dat deze inventarisatie meer tijd vergt en is aangegeven dat de Kamer dit najaar hierover zal worden geïnformeerd.

Vraag 10

Hoe verloopt de controle van dergelijke projecten en de uiteindelijke toepassing van dergelijke technologie? Meer specifiek, hoe worden algoritmes gecontroleerd op goede werking en eventuele vooringenomenheden?

Voor het antwoord op deze vraag verwijs ik u graag naar de brief van de Minister van Justitie en Veiligheid van 20 november 2019 over waarborgen en kaders bij het gebruik van gezichtsherkenningstechnologie.11
Daarnaast verwijs ik u naar de brief van de Minister voor Rechtsbescherming van 8 oktober 2019, waarbij richtlijnen voor het toepassen van algoritmes door overheden met uw Kamer zijn gedeeld.12 Voor de stand van zaken met betrekking tot de doorontwikkeling van de richtlijnen die op dit moment gaande is, zie de brief van de Minister voor Rechtsbescherming van 20 april 2020 over de Initiatiefnota «Menselijke grip op algoritmen» en het onderzoek »Toezicht op gebruik van algoritmen door de overheid, in het bijzonder Bijlage 2 bij deze brief alsmede de Antwoorden van de Minister voor Rechtsbescherming van 20 mei 2020 op vragen van de vaste commissie voor Justitie en Veiligheid.13

Vraag 1

Bent u bekend met het bericht «Politie en COA «overtreden privacywet» met delen persoonlijke data asielzoekers»?1

Ja.

Vraag 2

Gebruikt de politie deze persoonsgegevens bij proactieve controles? Hoe verhoudt zich dit tot het handelingskader proactief controleren waarin de politie stelt dat onderscheid maken op basis van afkomst zonder objectieve rechtvaardiging niet is toegestaan?2

Nee, deze persoonsgegevens worden niet gebruikt bij proactieve controles zoals in het Handelingskader proactief controleren is omschreven.

Vraag 3

Wordt de verkregen data gebruikt in het Criminaliteits Anticipatie Systeem (CAS) of andere predictive policingsystemen? Welke toetsingskaders gebruikt de politie om te voorkomen dat deze systemen etnisch profileren in de hand werken?

Nee, de verkregen data worden niet in het Criminaliteits Anticipatie Systeem verwerkt.

Vraag 4

Waarom heeft de politie vooraf persoonsgegevens van groepen mensen nodig om te handhaven op incidenten?

Het houden van toezicht op de naleving van de Vreemdelingenwet 2000 is onderdeel van de algemene politietaak naast het opsporen van strafbare feiten, handhaven van de openbare orde en hulpverlening. Hiervoor mag de politie persoonsgegevens gebruiken.
De politie heeft gegevens en inlichtingen nodig om op basis van artikel 1 Politiewet 2012, in het kader van taken ten dienste van de justitie, uitvoering te geven aan wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000. De politie heeft vooraf geen persoonsgegevens van groepen mensen nodig om te handhaven op incidenten.

Vraag 5

Bent u het eens dat er geen juridische basis is voor de betreffende overeenkomst tussen het Centrum Opvang Asielzoekers (COA) en de politie?

De juridische basis voor het verstrekken van gegevens en inlichtingen door het COA aan de politie, is gelegen in artikel 107 van de Vreemdelingenwet 2000. Als de politie om die gegevens en inlichtingen vraagt, is het COA verplicht die te verstrekken.
Omdat naar het oordeel van COA en politie geen twijfel mag zijn over de rechtmatigheid van deze uitwisseling van persoonsgegevens, doet, in opdracht van het COA, momenteel een externe partij onderzoek hiernaar. In afwachting van de uitkomsten van de externe toetsing heeft het bestuur van het COA op 16 juli jl. besloten het delen van persoonsgegevens met de politie per direct op te schorten. Wij zullen uw Kamer zo snel mogelijk informeren over de uitkomst van deze externe toetsing. Aan de hand van de resultaten van de externe toetsing en een actualisatie van de Data Protection Impact Assessment (DPIA) van het COA over het verstrekken van gegevens en inlichtingen aan de politie zullen het COA en de politie de gemaakte afspraken opnieuw bezien en bekijken of deze aanpassingen behoeven.

Vraag 6

Is er een Data Protection Impact Assessment (DPIA) uitgevoerd over deze overeenkomst? Kunt u deze naar de Kamer sturen?

Het Nationaal Vreemdelingen Informatie Knooppunt (NVIK) van de politie, laat sinds maart van dit jaar door een extern bureau een DPIA uitvoeren over de gehele vreemdelingenadministratie. De DPIA wordt naar verwachting in het vierde kwartaal van 2020 afgerond. Er is bij het NVIK geen deelbare DPIA die specifiek ziet op de uitwisseling van gegevens met het COA. Door het COA is een DPIA uitgevoerd voor deze overeenkomst, maar deze heeft plaatsgevonden onder de oude Wet bescherming persoonsgegevens. Op dit moment wordt de DPIA herijkt, waarbij het resultaat afhankelijk is van de uitkomsten van de onder vraag 5 genoemde externe toetsing. Wanneer het externe onderzoek gereed is, zullen we uw Kamer informeren over de externe toetsing en de DPIA’s van het COA toezenden.

Vraag 7

Bent u het eens dat met de overeenkomst zeer gevoelige data wordt verzameld door de politie over mensen die nergens van verdacht worden? Bent u het eens dat dit een mate van surveillance creëert over onschuldige mensen die onwenselijk is in Nederland?

Zie beantwoording vraag 2, 4 en 5.

Vraag 8

Wanneer wordt deze overeenkomst teruggedraaid en de gedeelde informatie gedeletet?

De verstrekking van gegevens en inlichtingen door het COA aan de politie vindt plaats op grond van artikel 107 van de Vreemdelingenwet 2000. In afwachting van de externe toetsing heeft het COA in afstemming met de politie het delen van deze gegevens aan het NVIK opgeschort.

Vraag 9

Kunt u een overzicht geven van alle systemen van de opsporingsdiensten waarbij persoonsgegevens worden verzameld en daarbij aangeven of er DPIA’s zijn uitgevoerd? Zijn er systemen die nog gebruikt worden die niet voldoen aan de Algemene verordening gegevensbescherming (AVG) en/of de Wet politiegegevens (WPG)?

Voor het verwerken van persoonsgegevens door hen die met de opsporing zijn belast is de Wet politiegegevens van toepassing. Hierin staat dat wanneer een bepaald soort verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, er een «gegevensbeschermingseffectbeoordeling» moet plaatsvinden (artikel 4c Wpg). Er is geen overzicht van alle soorten verwerkingen en dus ook niet of ooit, indien nodig, een dergelijke beoordeling is uitgevoerd. Wel kan worden gesteld dat bij bijvoorbeeld de inzet van nieuwe technologieën dit soort beoordelingen standaard plaatsvinden. Dit is eerder toegelicht in de brief over de inzet van AI en algoritmes bij de politie3.

Vraag 10

Wat is uw mening over het feit dat het afgelopen jaar is gebleken dat de overheid op grote schaal – neem bijvoorbeeld Syri, de algoritmes die gebruikt worden door de reclassering, het Fraude Signaleringsysteem (FSV) van de belastingdienst, het feit dat een kwart van de gemeenten niet voldoet aan de AVG, DUO dat volgsoftware in e-mails gebruikte en gegevensuitwisseling tussen politie en COA – niet voldoet aan de AVG of het Europees Verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden (EVRM)? Hoe ziet u uw rol ervoor te zorgen dat overheden en overheidsdiensten voldoen aan de AVG?

De overheid dient bij de verwerking van persoonsgegevens in de naleving van de AVG en het EVRM het goede voorbeeld te geven. Voor zover de overheid daarin niet slaagt, is dat laakbaar. In gevallen waarin de naleving tekort schiet, dienen dan ook zo spoedig mogelijk maatregelen te worden getroffen om daar een eind aan te maken. Dat kan, afhankelijk van het specifieke geval, door bepaalde systemen buiten werking te stellen of door andersoortige technische of organisatorische maatregelen te nemen. Het is het desbetreffende bestuursorgaan dat daarvoor verantwoordelijk is en daarop kan worden aangesproken.
Onze rol is ervoor te zorgen dat het algemene wettelijk kader waarbinnen persoonsgegevens worden beschermd op orde is en dat algemene beleidsmaatregelen worden getroffen om aan de verdere bescherming van persoonsgegevens bij te dragen. Een voorbeeld van dat laatste is de ontwikkeling van richtlijnen voor het gebruik van algoritmes door overheden.4 Dat een overheid of overheidsdienst aan de AVG voldoet, is de verantwoordelijkheid van de desbetreffende bestuursorganen zelf. Het is de rol van de vertegenwoordigende organen, de Autoriteit persoonsgegevens (AP) en de rechter om erop toe te zien dat dit ook daadwerkelijk gebeurt.

Vraag 11

Kunt u ingaan op het onderzoek van Argos over het feit dat een kwart van gemeenten niet zou voldoen aan de AVG? Welke stappen onderneemt u concreet om ervoor te zorgen dat gemeenten de privacy van mensen serieus neemt?3

Het is aan de colleges van B&W om ervoor te zorgen dat hun gemeentelijke diensten de AVG naleven. Zij kunnen daarop worden aangesproken door de gemeenteraad. Op de naleving van de AVG wordt ook toegezien door de AP, die zo nodig handhavend kan optreden. Voor ons is op dit punt geen specifieke rol weggelegd. Het is daarom ook niet aan ons om vanaf enig moment te garanderen dat alle gemeenten overeenkomstig de AVG persoonsgegevens verwerken.

Vraag 12

Vanaf wanneer kunt u garanderen dat alle gemeenten volgens de (privacy)wet werken?

Zie antwoord vraag 11.

Vraag 13

Hoeveel meldingen van schending van persoonsgegevens krijgt de Autoriteit Persoonsgegevens (AP)elk jaar? Kunt u aangeven in hoeverre de AP in staat is al die meldingen te onderzoeken? Welke concrete stappen onderneemt u om ervoor te zorgen dat de AP voldoende middelen heeft om haar wettelijke taak goed uit te kunnen voeren?

Volgens de AP zijn in 2019 in totaal ruim 27.800 klachten ontvangen. Ongeveer een derde van die klachten (9.000 stuks) betrof volgens de AP klachten in de zin van artikel 77 van de AVG, waarbij de indiener een klacht heeft over de verwerking van zijn of haar eigen persoonsgegevens. Dit zijn de klachten die de AP verplicht dient af te handelen. De andere klachten zijn klachten die bijvoorbeeld anoniem zijn, over iemand anders dan de melder zelf gaan of algemeen zijn. De AP is niet verplicht die klachten te behandelen, maar doet dat wel omdat ze volgens de AP belangrijk zijn voor haar onderzoekstaak. Die klachten leiden niet automatisch tot een individueel onderzoek. De wachttijd voor de behandeling van klachten was volgens de laatste meting van de AP zes maanden.
Naast klachten ontvangt de AP ook meldingen van datalekken. In 2019 waren dat er volgens de AP bijna 27.000. Bij 1.180 datalekmeldingen heeft de AP naar aanleiding van de melding actie ondernomen richting de organisatie die het datalek heeft gemeld. Naast datalekmeldingen ontvangt de AP ook klachten en signalen die betrekking hebben op datalekken. Naar aanleiding hiervan zijn nog circa 70 acties ondernomen richting de organisaties waar het datalek plaatsvond.
De AP en het Ministerie van JenV zijn een gezamenlijk extern onderzoek gestart naar de grondslagen van de financiering van de AP, de omvang van het budget en de risico’s behorende bij verschillende scenario’s. Dit onderzoek is uitgebreid en kijkt bijvoorbeeld ook naar mogelijke efficiencyverbetering en omvat een vergelijking met de toerusting van collega-privacytoezichthouders in Europa. Het onderzoek kost meer tijd dan vooraf werd verwacht. De resultaten worden in het najaar van 2020 verwacht.

Vraag 1

Bent u bekend met het bericht «Cyberbeveiliger Fox-IT schorst drie directieleden»?1

Ja.

Vraag 2

Kunt u nader ingaan op de situatie bij Fox-IT en de mogelijke gevolgen voor de dienstverlening aan de overheid op het gebied van cyberveiligheid en de versleuteling van staatsgeheimen?

De samenwerking tussen de overheid en Fox-IT is vooralsnog onveranderd, wel houden wij de situatie nauwlettend in de gaten. Er is regulier en goed contact tussen Fox-IT, Fox Crypto BV en de relevante overheidsonderdelen.
Toen Fox-IT in 2015 werd overgenomen door de Britse NCC-Group zijn er speciale afspraken gemaakt zodat de specialistische dienstverlening van Fox-IT voor de Nederlandse overheid niet in gevaar zou komen. Hierover is uw Kamer meermaals geïnformeerd2 Deze afspraken berusten op een aantal voorwaarden zoals het onderbrengen van alle crypto-gerelateerde opdrachten bij een apart bedrijfsonderdeel Fox Crypto BV en het scheiden van ICT-systemen van Fox Crypto BV en de andere onderdelen van Fox-IT. Zolang aan deze voorwaarden wordt voldaan, zien wij geen reden dat de versleuteling van staatsgeheimen, gebruikmakend van de producten van Fox Crypto, in gevaar komt.
Fox Crypto BV, waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, is een in Nederland ingeschreven BV. Voor zowel personen, materieel, informatie als de fysieke locatie is het VIRBI 2013 (Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie) onverkort van toepassing.

Vraag 3

Deelt u de mening dat met name de cryptografische afdeling van Fox-IT van essentieel belang is voor de Nederlandse overheid?

Ja, het is essentieel dat de overheid toegang heeft tot hoogwaardige
cryptologische toepassingen. Fox Crypto BV. levert dergelijke toepassingen en is daarmee een belangrijke partner van en voor de rijksoverheid.

Vraag 4

Ziet u risico’s in de ontstane situatie bij Fox-IT voor de doorgang van dergelijke cruciale diensten aan de overheid? Zo ja, welke stappen neemt u deze risico’s te ondervangen?

Het is essentieel dat de overheid toegang heeft en blijft houden tot hoogwaardige cryptologische toepassingen. Het vervaardigen van dergelijke producten vindt plaats in een uiterst kleine markt, met een beperkt aantal afnemers. De hiervoor benodigde kennis en techniek is slechts bij enkele gespecialiseerde bedrijven aanwezig. Vanuit de rijksoverheid wordt gewerkt aan de Nationale Cryptostrategie. Het uitvoeren daarvan moet dit risico verkleinen.

Vraag 1

Heeft u kennisgenomen van de uitzendingen van Nieuwsuur van 26 en 27 september 2019 over de verkoop van paspoorten op Malta en de rol van professor Kochenov (RUG) hierin en de vele Kamervragen die daarover tot nu toe gesteld zijn?1

Ja.

Vraag 2

Herinnert u zich dat er onafhankelijk onderzoek zou plaatsvinden in opdracht van de RUG, dat in het eerste kwartaal van 2020 zou zijn afgerond, dat het openbaar gemaakt zou worden, naar de inspectie en u gestuurd zou worden en dat de inspectie er een oordeel over zou geven en dat u het onderzoek aan de Kamer zou doen toekomen?

Ja. In antwoord op eerdere vragen van de leden Omtzigt en Van der Molen heb ik aangegeven dat de oplevering van het onderzoeksrapport werd voorzien in het eerste kwartaal van 2020 en dat het rapport van het onderzoek openbaar gemaakt wordt.2 Daarbij heb ik ook aangegeven dat de verspreiding en openbaarmaking een verantwoordelijkheid is van de Rijksuniversiteit Groningen (hierna: RUG) en heb ik toegezegd een afschrift van een door de RUG openbaar gemaakt rapport aan uw Kamer toe te zenden.
Heden is uw kamer bij brief met kenmerk 24674941 geïnformeerd over het onderzoeksrapport. In deze brief heb ik aangegeven dat van de RUG is begrepen dat de oplevering van het onderzoeksrapport door onvoorziene omstandigheden werd vertraagd. Per brief gedateerd 27 mei 2020 ben ik door het College van Bestuur van de RUG geïnformeerd over de besluiten die het bestuur heeft genomen naar aanleiding van het onderzoeksrapport. Het onderzoeksrapport is heden openbaar gemaakt door de RUG, een afschrift van dit rapport heb ik u – conform mijn toezegging – doen toekomen.

Vraag 3

Heeft de heer Kochenov tussen september 2019 en nu nog nevenactiviteiten op het gebied van de advisering over de verkoop van paspoorten verricht? Zo ja welke zijn dat dan en hoe beoordelen de RUG en u die activiteiten gedurende het onderzoek?

In de bijlage bij het onderzoekrapport van de commissie Van Keulen/Berenschot is een overzicht opgenomen van activiteiten van de heer Kochenov. Uit dit overzicht komt naar voren dat door de heer Kochenov tussen september 2019 en nu geen nevenactiviteiten op het gebied van advisering over de verkoop van paspoorten zijn verricht. Van de RUG heb ik begrepen dat er ook geen nevenactiviteiten van deze strekking door de heer Kochenov zijn gemeld of anderszins bekend zijn.
Zoals ook in het onderzoeksrapport van de commissie van Keulen/Berenschot is opgenomen is de heer Kochenov wel aanwezig geweest bij een congres in Londen van Henley & Partners op 13 november 2019, ondanks een dringend advies van de decaan om niet te gaan. In het onderzoeksrapport is opgenomen dat de heer Kochenov er voor heeft gekozen dit congres wel te bezoeken omdat het hem niet verboden was, hij de resultaten van de voorpublicatie van de nieuwe – mede door hem ontwikkelde – Quality of Nationality Index (QNI) wilde presenteren en de wetenschappelijke context en ontmoetingen met collega-hoogleraren voor hem relevant waren. Van de RUG heb ik begrepen dat de heer Kochenov de niet-wetenschappelijke onderdelen van het congres niet heeft bezocht. In antwoorden op eerdere Kamervragen is aangegeven dat het kabinet weinig begrip heeft voor de keuze die de heer Kochenov in onderhavig geval heeft gemaakt.3 Dit standpunt is niet gewijzigd na kennisname van het onderzoeksrapport.

Vraag 4

Kunt u het rapport, inclusief de reactie van de onderwijsinspectie, aan de Kamer doen toekomen?

Ja. Met de brief met kenmerk 24674941 heeft uw Kamer een afschrift van het door de RUG openbaar gemaakt rapport ontvangen. In de brief ben ik ook ingegaan op de reactie van de onderwijsinspectie.

Vraag 5

Wat vindt u zelf van de conclusies van het rapport en de acties van de Rijksuniversiteit Groningen?

In mijn brief met kenmerk 24674941 ben ik ingegaan op het rapport, het oordeel van de inspectie en heb ik aangegeven hoe ik aankijk tegen de belangrijkste conclusies en maatregelen.

Vraag 6

Hoe kan herhaling van een soortgelijke affaire voorkomen worden?

Uit het onderzoeksrapport blijkt dat de heer Kochenov, zijn leidinggevende en de universiteit (i.c. het faculteitsbestuur) bij de naleving en uitwerking van bestaande sectorale regelgeving (cao Nederlandse universiteiten en de sectorale regeling nevenwerkzaamheden 2017) tekort zijn geschoten. Ik kan geen garanties geven op het voorkòmen van soortgelijke affaires. Zoals ook aangegeven in mijn brief met kenmerk 24674941 juich ik toe dat de RUG de naleving, toepassing en handhaving van sectorale regelgeving inzake nevenwerkzaamheden in landelijk overleg agendeert en bespreekt. Ik verwacht over de resultaten hiervan door de VSNU geïnformeerd te worden. De inspectie volgt ook op stelselniveau ontwikkelingen op het terrein van nevenwerkzaamheden en zal hier bij de VSNU, de VH en de KNAW aandacht voor vragen.

Vraag 7

Kunt u deze vragen één voor één en binnen twee weken beantwoorden?

Op 26 mei 2020 heb ik uw Kamer geïnformeerd waarom beantwoording binnen de gestelde termijn voor beantwoording van Kamervragen niet mogelijk was.4 Daarbij heb ik ook aangegeven uw Kamer zo spoedig mogelijk te informeren over het rapport en oordeel van de inspectie. Deze toezegging ben ik heden nagekomen.

Vraag 1

Waarom heeft het Landelijk Consortium Hulpmiddelen (LCH) bewust gekozen voor de strategie om de capaciteit binnen bestaande leveranciers op te schalen in plaats van het aantal leveranciers te vergroten, zoals tijdens de technische briefing aan de Kamer op 30 april 2020 is aangegeven?1

Het LCH laat weten zowel in te kopen bij bestaande leveranciers als bij nieuwe leveranciers. Normaal wordt in Nederland door een zorgaanbieders gewerkt met een of twee vaste leveranciers. Inmiddels heeft het LCH nu contact met meer dan vijftig betrouwbare leveranciers.
Met deze vaste leveranciers is het LCH in staat veel beschermingsmiddelen in te kopen. Zo zijn er inmiddels bijvoorbeeld 1 miljard chirurgische maskers en meer dan 500 miljoen handschoenen besteld. Het LCH kan dankzij de ervaring die met deze producenten en leveranciers is opgedaan, zorgen voor zowel veel volume als voor een goede kwaliteit. Aandachtspunt blijft het transport. Daar heeft het LCH de afgelopen tijd veel aandacht aanbesteed. LCH heeft het aantal vluchten vanuit China flink uitgebreid met diverse maatschappijen en heeft ook transport via scheepsvaart in gang gezet.
Het LCH blijft op zoek naar leveranciers die aanvoerlijnen uit andere landen hebben.

Vraag 2

Wordt hiermee niet de mogelijkheid teniet gedaan om via andere leveranciers nog meer persoonlijke beschermingsmiddelen naar Nederland te krijgen die aan alle veiligheidseisen voldoen?

Het LCH is ingericht om te voorzien in de aanvullende vraag naar persoonlijke beschermingsmiddelen die als gevolg van de Corona uitbraak is ontstaan. Vanuit die doelstelling, en het oogpunt van risicospreiding, heeft het LCH meerdere aanvoerlijnen vanuit het buitenland aangelegd. Het LCH handelt hierin zorgvuldig, omdat aanvoerlijnen en handelsbetrekkingen goed moeten worden onderhouden. Zoals onder antwoord 1 is opgemerkt blijft het LCH op zoek naar nieuwe leveranciers die aanvoerlijnen uit andere landen hebben.

Vraag 3

Zorgt deze strategie van de overheid voor een oneerlijke marktpositie tegenover andere leveranciers die persoonlijke beschermingsmiddelen kunnen leveren aan het LCH die aan alle veiligheidseisen voldoen?

Het LCH geeft aan dat leveranciers die in 2019 persoonlijke beschermingsmiddelen aan de zorg leverden, allen zijn benaderd om mee te doen in het consortium. Daaraan zijn leveranciers toegevoegd die voldeden aan de kwaliteitscriteria (certificaten), kredietwaardigheid, leversnelheid, betrouwbaarheid en prijsstelling. Tevens zijn er leveranciers toegevoegd die in Nederland zijn gaan produceren. Dit draag bij aan verminderde afhankelijkheid van leveringen uit het buitenland.

Vraag 4

Indien er toch afspraken worden gemaakt met nieuwe leveranciers en het blijkt dat de persoonlijke beschermingsmiddelen niet aan de juiste veiligheidseisen voldoen, wordt dan transparant gemaakt wat de reden hiervoor is?

Het LCH is zo transparant mogelijk in de reden waarom een aanbieding wordt afgewezen. Als een fabrikant niet direct de juiste documenten aanlevert, dan wordt hij in de gelegenheid in gesteld dit te herstellen. Het LCH geeft bij een afwijzing inzage in de testresultaten, nadat de aangeboden mondmaskers zijn getest op o.a. doorlaatbaarheid van deeltjes. In het geval dat sprake is van vervalsing van certificaten, worden geen details vrijgegeven, om toekomstige fraude niet in de hand te werken.

Vraag 5

Op welke wijze gaat het LCH de logistiek verzorgen rondom gecertificeerde mondkapjes voor mensen met een beroep waarbij anderhalve meter afstand niet haalbaar is, bijvoorbeeld contactberoepen en beroepen in het openbaar vervoer? Zo ja, gaat het LCH hierbij uit van mondkapjes die in het bezit zijn van het LCH of van de daadwerkelijk beschikbare marktinformatie?

Het OMT heeft een afwegingskader vastgesteld voor veilig werken bij contactberoepen. In dit afwegingskader zijn maatregelen gedefinieerd om het risico op overdracht van het virus tussen de beroepsbeoefenaar en de cliënt te minimaliseren. Voor contactberoepen is essentieel dat naast strikte hygiënemaatregelen, triage wordt toegepast. Met deze maatregelen zijn persoonlijke beschermingsmiddelen, zoals gebruik van mondkapjes en handschoenen, niet noodzakelijk in het kader van de COVID-19-uitbraak.
Het RIVM heeft reeds een richtlijn gepubliceerd die beschrijft wanneer een mondmasker, en welk type mondmasker behoort te worden gebruikt bij verschillende handelingen in de zorg. Daarnaast heeft het RIVM ook op hun website beschreven wanneer het verplicht is om een niet-medisch mondmaskers te gebruiken en wanneer er overwogen kan worden om een niet-medisch mondmasker te gebruiken, zoals bij contactberoepen. Daar wordt ook beschreven hoe tot dit advies is gekomen.
Het kabinet heeft besloten om contactberoepen de ruimte te laten ervoor te kiezen om een niet-medisch mondkapje te gebruiken. Ik vind het van belang te benadrukken dat indien wordt gekozen voor het gebruik van mondneusbescherming, het om mondkapjes gaat die niet in de zorg worden gebruikt. Op de website van de rijksoverheid, en op de website van het NEN, komt inmiddels meer informatie beschikbaar over de specificaties waar niet-medische mondkapjes moeten voldoen.
Het LCH is opgericht om te voorzien in de aanvullende behoefte aan beschermingsmiddelen als gevolg van de Corona uitbraak in de zorg. Het LCH heeft daarom geen rol in de logistiek voor niet-medische mondkapjes voor contactberoepen.
Voor instructies over het juiste gebruik van deze niet-medische mondkapjes kan gebruik worden gemaakt van de algemene informatie voor burgers over mondkapjes op rijksoverheid.nl/mondkapjes.

Vraag 6

Gaat het RIVM (in samenwerking met het LCH) duidelijkheid geven over welk type mondmasker voor welk beroep gaat gelden en hoe tot dit advies is gekomen?

Zie antwoord vraag 5.

Vraag 7

Op welke wijze krijgen mensen met een dergelijk beroep en hun klanten voorlichting en instructie voor het veilig gebruiken van de juiste mondkapjes?

Zie antwoord vraag 5.

Vraag 8

Op welke wijze krijgen burgers die gebruik willen maken van preventieve mondkapjes in de publieke ruimte voorlichting en instructie over de aanschaf en het veilig gebruiken van de juiste mondkapjes, vergelijkbaar met de voorlichting voor de basisregels zoals het wassen van handen?

Burgers kunnen de betreffende informatie vinden via rijksoverheid.nl/mondkapjes.