Verslag van een algemeen overleg, gehouden op 15 september 2011, inzake notitie privacybeleid - Verwerking en bescherming persoonsgegevens - Main contents
Dit verslag van een algemeen overleg is onder nr. 2 toegevoegd aan dossier 32761 - Verwerking en bescherming persoonsgegevens.
Contents
Officiële titel | Verwerking en bescherming persoonsgegevens; Verslag van een algemeen overleg; Verslag van een algemeen overleg, gehouden op 15 september 2011, inzake notitie privacybeleid |
---|---|
Document date | 27-09-2011 |
Publication date | 27-09-2011 |
Nummer | KST327612 |
Reference | 32761, nr. 2 |
Commission(s) | Veiligheid en Justitie (VJ) and Binnenlandse Zaken (BIZA) |
External link | original article |
Original document in PDF |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2011–2012
32 761
Verwerking en bescherming persoonsgegevens
Nr. 2
1 Samenstelling:
Leden: Van der Staaij (SGP), Arib (PvdA), Çörüz (CDA), Bruins Slot (CDA), De Roon (PVV), voorzitter, Brinkman (PVV), Vermeij (PvdA), ondervoorzitter, Van Raak (SP), Thieme (PvdD), Gesthuizen (SP), Dibi (GroenLinks), Van Toorenburg (CDA), Peters (GroenLinks), Berndsen (D66), Van Nieuwenhuizen-Wijbenga (VVD), Schouw (D66), Marcouch (PvdA), Van der Steur (VVD), Recourt (PvdA), Hennis-Plasschaert (VVD), Helder (PVV), Taverne (VVD) en Schouten (ChristenUnie).
Plv. leden: Dijkgraaf (SGP), Bouwmeester (PvdA), Van Bochove (CDA), Koopmans (CDA), Dille (PVV), Elissen (PVV), Smeets (PvdA), Kooiman (SP), Ouwehand (PvdD), Karabulut (SP), Van Tongeren (GroenLinks), Smilde (CDA), Voortman (GroenLinks), Pechtold (D66), Van der Burg (VVD), Koşer Kaya (D66), Kuiken (PvdA), De Liefde (VVD), Spekman (PvdA), Azmani (VVD), Bontes (PVV), Dijkhoff (VVD) en Slob (ChristenUnie).
2 Samenstelling:
Leden: Van Bommel (SP), Van der Staaij (SGP), Timmermans (PvdA), Albayrak (PvdA), Ormel (CDA), Ferrier (CDA), Cörüz (CDA), Eijsink (PvdA), ondervoorzitter, Irrgang (SP), De Roon (PVV), Voordewind (ChristenUnie), Pechtold (D66), voorzitter, Ten Broeke (VVD), Thieme (PvdD), Peters (GroenLinks), Kortenoeven (PVV), Bosman (VVD), Dikkers (PvdA), El Fassed (GroenLinks), Hachchi (D66), Dijkhoff (VVD), Driessen (PVV) en De Caluwé (VVD). Plv. leden: Van Raak (SP), Dijkgraaf (SGP), Samsom (PvdA), Bruins Slot (CDA), Haverkamp (CDA), Knops (CDA), Arib (PvdA), Jasper van Dijk (SP), De Mos (PVV), Wiegman-van Meppelen Scheppink (ChristenUnie), Schouw (D66), Hennis-Plasschaert (VVD), Ouwehand (PvdD), Sap (GroenLinks), Wilders (PVV), Leegte (VVD), Heijnen (PvdA), Braakhuis (GroenLinks), Van Veldhoven (D66), Taverne (VVD), Bontes (PVV), Mulder (VVD) en Recourt (PvdA).
VERSLAG VAN EEN ALGEMEEN OVERLEG
Vastgesteld 18 oktober 2011
De vaste commissie voor Veiligheid en Justitie1 en de vaste commissie voor Binnenlandse Zaken2 hebben op 15 september 2011 overleg gevoerd met staatssecretaris Teeven van Veiligheid en Justitie en met minister Donner van Binnenlandse Zaken en Koninkrijksrelaties over: – de brief van de staatssecretaris van Veiligheid en Justitie d.d. 29 april 2011 over het kabinetsstandpunt inzake de verwerking van gegevens en de bescherming van gegevens en een nadere visie op de Europese en internationale ontwikkeling op het gebied van gegevensverwerking (32 761, nr. 1).
Van dit overleg brengen de commissies bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de vaste commissie voor Veiligheid en Justitie, De Roon
De voorzitter van de vaste commissie voor Binnenlandse Zaken, Dijksma
De griffier van de vaste commissie voor Veiligheid en Justitie, Nava
Voorzitter: De Roon Griffier: Hessing-Puts
Aanwezig zijn acht leden der Kamer, te weten: De Roon, Elissen, Van Raak, Recourt, Schouw, Van der Steur, Thieme, Van Toorenburg,
en staatssecretaris Teeven van Veiligheid en Justitie en minister Donner van Binnenlandse Zaken en Koninkrijksrelaties, die vergezeld zijn van enkele ambtenaren van hun ministeries.
De voorzitter: Ik open de vergadering en heet alle aanwezigen welkom.
De heer Recourt (PvdA): Voorzitter. Uitgangspunt voor de PvdA is het gegeven dat iedere burger eigenaar is van zijn eigen persoonsgegevens. Alleen met zijn uitdrukkelijke toestemming kan een derde daar wat mee doen. Die toestemming kan ook weer worden ingetrokken. Dat gegeven moet doordrongen zijn in alle regelgeving rond privacy, publiek en privaat. We leven in een digitale wereld, waarin we geen overzicht meer hebben waar en bij wie onze persoonsgegevens worden bewaard. De overheid moet zo goed mogelijk borgen dat onze privacy niet meer worden geschonden dan strikt noodzakelijk. Dat moet zij in de eerste plaats doen voor haar eigen handelen. De overheid verwerkt en de actualiteit beschermt zeer grote hoeveelheden vertrouwelijke gegevens. In de tweede plaats heeft de overheid de opdracht om het omgaan met vertrouwelijke gegevens door bedrijven goed te regelen. Zo moet de overheid ervoor zorgdragen dat bedrijven alleen na uitdrukkelijke toestemming commercieel gebruikmaken van persoonsgegevens. Eerst iets over die private bedrijven. De PvdA wil dat socialemediasites nadrukkelijk en duidelijk toestemming vragen voor het gebruik van privacygevoelige gegevens, dus niet stiekem ergens iets ontvinken. Wij vragen de minister of hij dit uitgangspunt deelt en hier actief op gaat toezien. Niet in de zin van zelfregulering, maar van accountability. Gewoon de waakhond laten controleren. Persoonsgegevens leveren de Googles en Linkedln’s van deze wereld namelijk veel geld op. Met uitdrukkelijke toestemming, informed consent, zoals de wet dat vereist, is dat geen probleem. Geen stiekem gedoe meer en geen diefstal van persoonsgegevens. Verder vraag ik de minister of hij een collectieve actie mogelijk wil maken, zodat de burgers of de belangenbehartigers gezamenlijk de mogelijkheid krijgen schadevergoeding te halen bij de civiele rechter bij privacyschending. Dan krijgen burgers zelf ook tanden om te bijten.
Artikel 5 van de Wet bescherming persoonsgegevens (Wbp) bepaalt dat de ouders van kinderen tot 16 jaar toestemming moeten geven voor het verstrekken van persoonsgegevens. Kan de minister of staatssecretaris mij zeggen hoe de wet op dit punt wordt gehandhaafd? Is de minister bereid het zo te regelen, als handreiking in de goede richting, dat als voorwaarde voor het verstrekken van persoonlijke gegevens van minderjarigen via een e-mail apart toestemming van de ouders wordt gevraagd? Die toestemming kan dan niet via de sites zelf worden geven, maar moet via een aparte e-mail worden gegeven. Zo weten ouders op welke sociale netwerken en mediasites hun kinderen acteren. Verder wil mijn fractie dat de overheid regels stelt, zodat alleen vriendjes – dus personen die de kinderen kennen en die ze actief toestemming hebben gegeven voor toegang – toegang hebben tot het profiel van die minderjarigen. Een kind zit niet te wachten op een hijgerige 60-jarige op Hyves. Dat is privacy by design. Wil de overheid erop toezien dat private partijen het zo organiseren dat ouders worden geholpen bij de opvoeding en dat kinderen verstoken blijven van aandacht op internet van volwassenen die niet deugen? Wij overwegen een motie op dit punt.
Dan ga ik naar de publieke sector, de meldplicht datalekken. Wij steunen het voornemen van het kabinet om de meldplicht bij de toezichthouders in te stellen als gevolg van ontoereikend gebleken beveiligingsmaatregelen. Een actuele discussie. Ik laat het hierbij omdat er een apart algemeen overleg over zal plaatsvinden. Vanmorgen was er van alles op het nieuws over veertien incidenten, de veiligheid van de Staat enz. Ik vraag de minister of staatssecretaris of hij hier wellicht wat kou uit de lucht kan halen.
Wat betreft bestuurlijke beboeting voor privacyschendingen bij de toezichthouder zelf vinden wij het prima dat het College bescherming persoonsgegevens (CBP) deze boetetanden krijgt naast de last onder dwangsom. Het is een volgende stap in het optuigen van een effectieve privacywaakhond.
Dan kom ik op het belangrijkste stuk, wat mijn fractie betreft. Wij vragen het CBP steeds meer, maar geven hem steeds minder. Het CBP valt onder een generieke korting van 7%. Ik vraag de minister of staatssecretaris hoe het CBP die extra ambitie moet realiseren met minder middelen. Meer concreet: hoeveel onderzoeken kan het CBP jaarlijks nog uitvoeren als de bezuinigingen plus die extra taken zijn gerealiseerd? Het kabinet wil de termijn voor de bewaring van camerabeelden van particuliere camera’s gelijkmaken aan de termijn voor de bewaring van beelden die door camera’s van gemeenten worden opgenomen. Dat betekent concreet dat de bewaartermijn wordt opgetrokken van 24 uur naar vier weken. De PvdA heeft daar geen bezwaar tegen, mits gegarandeerd wordt dat die gegevens niet op straat komen te liggen. Nu gebeurt het te vaak dat bewijs wordt gewist.
Bij privacy gaat het om het zoeken naar balans en proportionaliteit. Maatregelen die ingrijpen in het leven van burgers moeten niet verdergaan dan noodzakelijk. Dit kabinet laat zich in het eerste jaar kennen als een kabinet dat erg praktisch is. Rechtsbeschermende elementen die in de weg zitten, zoals het Europese Hof voor de Rechten van de Mens (EHRM) en het verdrag erachter, moeten aan de kant. Ik hoop in de antwoorden van de minister of staatssecretaris te horen dat privacy niet wordt gezien als zo’n lastig obstakel, maar als wezenlijk en essentieel onderdeel van de samenleving. Ik hoop dat dit kabinet hier de balans weet te vinden. De PvdA zal het kabinet kritisch volgen op dit punt.
De heer Schouw (D66): Voorzitter. Vrijheid en zelfontplooiing staan centraal en bescherming van de persoonlijke levenssfeer is daarbij cruciaal. Privacy is gelukkig geen besmet woord meer, maar hoger op de maatschappelijke en politieke agenda gekomen. D66 is daar blij mee. De vraag is of de Notitie privacybeleid van dit kabinet wel de versterking van de bescherming van de persoonlijke levenssfeer brengt, waar we op hadden gehoopt. Naar de opvatting van mijn fractie is deze notitie eigenlijk niet meer dan een likje oude margarine op een al bestaande bruine boterham. Wat zijn nou de nieuwe maatregelen die de privacy echt gaan beschermen? Mijn constatering is dat de regering op dit punt toch een beetje achteroverleunt en te vrijblijvend opereert in het privacy-dossier. Ik mis ook een heldere en krachtige visie. Ik zal een aantal onderwerpen uit de notitie langslopen.
Eerst de meldplicht datalekken. Dat is een welkom voorstel, hoewel het wat lang geduurd heeft. Het zou medio 2011 in consultatie gaan en ik vraag het kabinet of dat gelukt is. Het is belangrijk om het tempo erin te houden, zeker gezien het feit dat het vorige kabinet al een verankering in de Wbp had toegezegd. Wat is precies de reikwijdte van die meldplicht? Gaat het niet alleen om het verlies van persoonsgegevens, maar ook om diefstal van die gegevens? Hoe zou die beoogde meldplicht uitwerken als je die bijvoorbeeld zou leggen langs de casus DigiNotar? Hoe zou het scenario van de staatssecretaris eruitzien als zijn wet op dit punt al in werking was getreden? Ik begrijp uit het stuk dat zowel betrokkene als de toezichthouder wordt ingelicht. Ik vraag de staatssecretaris of er geen poortwachtersrol voor de toezichthouder is. Is die toezichthouder steeds een en dezelfde of is die toezichthouder sectoraal georganiseerd? Ik lees dat er voor de handhaving sprake zal zijn van punitieve sancties. Kan de staatssecretaris aangeven of dit betekent dat buiten het domein van de bestuurlijke boete zal worden gekeken? Hoe zit het met de Europese dimensie hiervan? Wil dit kabinet ook in Europees verband zo’n meldplicht? Anders moeten bedrijven straks misschien aan meer dan twintig verschillende regimes voldoen. Welke landen hebben al zo’n meldplicht ingevoerd?
De andere kant van het verhaal is het voorkomen van een datalek. Hoe beoordeelt de staatssecretaris de huidige stand van zaken met betrekking tot de handhaving en sanctionering van misbruik van persoonsgegevens? Zitten we daar met z’n allen voldoende adequaat bovenop, bijvoorbeeld bij het gebruik voor doeleinden buiten het domein van de doelbinding en in gevallen van grove nalatigheid of diefstal van persoonsgegevens? Welke mogelijkheden zijn er om direct misbruik te straffen, privaatrechtelijk of via de onrechtmatige daad? Zijn die straffen voldoende afschrikwekkend of vertrouwt de staatssecretaris hiervoor uitsluitend op de nieuw te creëren boetebevoegdheid van het CBP? Dan hebben we nu ter voorkoming van die datalekken eigenlijk geen waterdicht controlesysteem. Dan kan er van alles en nog wat gebeuren en als er wat gebeurt schreeuwen we moord en brand. Hoe preventief is het beleid op dat punt? Is het kabinet van plan het CBP op te tuigen als een strenge waakhond, zoals wij noodzakelijk vinden voor het beschermen van de privacy? Er komen meer taken en bevoegdheden bij, maar het budget wordt steeds minder. Met minder geld kun je dit allemaal niet waarmaken, dus wij vrezen dat als het kabinet zo doorgaat de waakhond al gauw een schoothondje wordt. Wij verbazen ons ook over het feit dat het kabinet bezwaar en beroep wil openstellen tegen een definitief rapport van bevindingen van het CBP. Op tal van plekken perkt het kabinet inspraak en bezwaar in, maar hier wordt het juist uitgebreid. Het is voor mij een raadsel waarom dat gebeurt.
De belangrijke motie-Franken brengt tot uitdrukking dat de Notitie privacybeleid niet voldoende is in de ogen van de Eerste Kamer. Hoe gaat het kabinet uitvoering geven aan de motie-Franken? Kan het kabinet toelichten waarom het het privacy impact assessment niet verplicht wil stellen? Ik heb het idee dat de samenleving daarop zit te wachten.
De heer Van Raak (SP): Voorzitter. Eindelijk kunnen we weer serieus debatteren over de privacy. Een paar jaren geleden hebben we de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) bijna Kamerbreed, op de SP na, aangenomen. De Eerste Kamer heeft die wet onlangs naar de prullenbak verwezen. Ik weet nog dat tijdens dat debat de heer Boekestijn van de VVD mij vroeg waarom ik sympathisant van de Taliban was. Dat gebeurde er een paar jaar geleden als je vragen stelde over privacy. Tegenwoordig hebben wij in de Kamer mevrouw Hennis-Plasschaert van de VVD. Samen met haar en anderen in de Kamer hebben wij de opslag van vingerafdrukken in een databestand tegengehouden. Je ziet dat er in de Kamer echt iets is veranderd. Een ander voorbeeld is de Paspoortwet (Ppw). De heer Brinkman van de PVV zei bij de behandeling van die wet: politie, justitie en inlichtingendiensten moeten zoveel mogelijk informatie van mensen kunnen krijgen, want als je niks te verbergen hebt, heb je niks te vrezen. Dat is echt de retoriek van toen. Over de heer Elissen, ook van de PVV, mocht ik lezen dat hij kritische vragen gaat stellen over de bemoeienis van de veiligheidsdiensten in de Verenigde Staten (VS) met onze burgers. Ontzettend goede ontwikkelingen. Er is eindelijk weer ruimte in deze Kamer om serieus te spreken over privacy.
De heer Elissen (PVV): Ik begreep dat de heer Van Raak het onterecht vindt dat als hij vragen stelt over de Taliban, hij gezien wordt als sympathisant van de Taliban. Maar hij doet nu hetzelfde. Als ik vragen stel over de Amerikanen wil dat niet zeggen dat ik sympathisant ben van de Amerikanen. Maar voor alle duidelijkheid: ik heb niets tegen de Amerikanen.
De heer Van Raak (SP): Ik heb ook niets tegen de Amerikanen. Er wonen heel goede mensen in dat land, alleen de regeringen zijn daar wat vreemd.
De heer Elissen (PVV): Is de heer Van Raak het met mij eens dat we niet al te snel conclusies moeten trekken uit het simpele feit dat we vragen stellen en dat we de vragen sec op hun merites moeten beoordelen?
De heer Van Raak (SP): Ik ben blij dat hier niet de heer Brinkman zit, maar de heer Elissen die kritische vragen stelt over en opkomt voor de privacy. Dat was bedoeld als compliment.
Door die wet Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 (USA PATRIOT Act) – alleen die naam al – ben je als je kritische vragen stelt over privacy geen goede vaderlander, geen goede Amerikaan. Klopt het dat de minister of staatssecretaris eisen wil stellen aan de aanbesteding? Bijvoorbeeld voor bedrijven als Microsoft of Google, die een server hebben staan in de VS en die mogelijk informatie over Nederlandse burgers aan de Amerikaanse overheden doorgeven, ook als wij dat in Nederland niet willen? Kloppen de verhalen dat de regering eisen wil stellen aan de aanbesteding, zodat dit soort bedrijven niet meer in aanmerking komt voor zo’n aanbesteding of die in ieder geval niet meer kan winnen? Het zou een heel grote winst zijn als wij kunnen afspreken dat we soeverein zijn in Nederland en als als wij in Nederland de privacy van onze burgers beschermen een ander land er niet met de gegevens van onze burgers vandoor kan gaan. Om wat voor soort gegevens gaat het eigenlijk in die USA PATRIOT Act? Gaat het om vliegbewegingen of telecomverkeer? En wat gebeurt er met die data? Wordt dat gebruikt voor datamining? Is dat de reden waarom er mogelijk Nederlanders staan op de terroristenlijst van Amerika, die al tussen de 500 000 en miljoen mensen bevat? Die lijst is op een idiote manier tot stand gekomen. Dat vindt onze regering ook. Staan daar Nederlanders op en wat betekent dat voor die mensen? Ik hoop dat de regering hier vandaag kan mededelen dat de aanbestedingsregels worden aangepast.
We hebben het toezicht op de privacy min of meer uitbesteed aan het CBP. Dat is een goed college en dat krijgt in de toekomst veel werk te doen. Waarom gaat de regering daarop bezuinigen? De SP-fractie heeft al lang geleden gevraagd waarom er niet meer sancties en boetes zijn. Grote bedrijven die de privacy schenden, lachen om die paar duizend euro boete die ze krijgen. In november 2009 heeft de regering al toegezegd dat het sanctiearsenaal en de boetes zouden worden uitgebreid. Ik vraag de staatssecretaris de schenders van privacy eens aan te pakken. Waar blijft die wet? Waar blijven de sancties en boetes?
Wij hebben vragen over het feit dat de kans bestaat dat het CBP wordt kapot geprocedeerd, doordat bedrijven straks bezwaar en beroep kunnen aantekenen tegen het rapport van bevindingen, de feitenverzameling. Ik vind het goed als mensen in beroep gaan tegen conclusies, maar niet tegen het feitenmateriaal. Dat kan door grote bedrijven, waar we hier mee te maken hebben, aangegrepen worden voor oneindige rechtszaken. Waarom wil de regering bezwaar en beroep mogelijk maken tegen het rapport van bevindingen? Aan de andere kant zou het, als het CBP straks meer sancties en boetes kan opleggen, misschien wel goed zijn om die bevindingen openbaar te maken, net als de conclusies en de sancties. Volgens mij levert het CBP goed werk, dus dat kan geen probleem zijn. Vroeger konden mensen naar het CBP met klachten en vragen over hun persoonlijke situatie. Daar heeft het college nu het geld en de mensen niet meer voor, want ze moeten van de regering zo veel doen en er wordt ook nog bezuinigd. Er is wel een website, www.mijnprivacy.nl, maar dat is toch niet hetzelfde. Er moet een persoon zijn waar je heen kunt als je vragen hebt. Vroeger zat die persoon bij het CBP, maar dat is ook de toezichthouder. Het is een beetje raar om te klagen bij de toezichthouder. Waar kunnen mensen naartoe met vragen, bijvoorbeeld als ze op die rare lijst van de Amerikanen staan, die door datamining tot stand is gekomen? Kunnen ze met de minister of staatssecretaris bellen? Waar kunnen ze anders heen?
Mevrouw Thieme (PvdD): Voorzitter. Privacy is een recht dat steeds meer en steeds vaker geschonden wordt. De geesten worden daar rijp voor gemaakt. In een wereld waar staatsvijanden en cybercriminelen een bedreiging vormen voor al onze verworvenheden, inclusief de privacy, zullen veel mensen openstaan voor overheidsmaatregelen die de privacy inperken. Dat is ten onrechte. We moeten ons realiseren dat we in een tijd leven waarin Google ons surfgedrag te gelde maakt, TomTom informatie over ons gaan en staan te koop aanbiedt en camera’s op straat vastleggen op welke momenten we waar zijn, ondersteund door OV-chipkaarten die dat kunnen bevestigen. In een land waar de huidige vicepremier in een vorige functie meende te kunnen zeggen dat hij liever tien onschuldigen in de gevangenis ziet dan één schuldige op straat, moeten we waakzaam zijn bij het bewaken van grondrechten die al te gemakkelijk met een beroep op bijzondere omstandigheden buiten werking worden gesteld. Juist nu veel burgers in paniek zijn over het financiële noodweer dat is veroorzaakt door politiek opportunisme is het zaak om geen misbruik te maken van die omstandigheden. We moeten de privacy blijven zien als een grote verworvenheid in de westerse beschaving en los daarvan als een onvervreemdbaar grondrecht. In de Eerste Kamer is de motie-Franken aangenomen met criteria waaraan het kabinet zou moeten voldoen bij het toepassen van privacybeperkende maatregelen. Te weinig komt daarvan terug in de Notitie privacybeleid van het kabinet en wij betreuren dat. Het is niet alleen de ruime meerderheid waarmee de motie-Franken werd aangenomen, maar ook de denktrant van waaruit geschreven werd, die vraagt om navolging. Kan het kabinet toezeggen dat de motie-Franken met nadruk en integraal zal worden uitgevoerd wanneer sprake is van privacybeperkende maatregelen?
Om te beginnen zou er een meldplicht dienen te worden ingevoerd ingeval van datalekken. Wanneer lekken worden vastgesteld, dienen betrokkenen daarvan onverwijld op de hoogte gebracht te worden. Vanuit een centraal meldpunt met een serieus mandaat kunnen de noodzakelijke maatregelen getroffen worden ingeval van datalekken. Het fiasco met DigiNotar is een goed voorbeeld, waarmee we leergeld betaald zouden moeten hebben. Als er maar enige dreiging is dat persoonsgegevens in verkeerde handen kunnen vallen, dienen betrokkenen en de overheid via genoemd meldpunt op de hoogte te worden gebracht. Is de regering bereid om een dergelijk meldpunt op korte termijn in te stellen? Verder dient er een serieus sanctiebeleid te worden gevoerd, dat overtredingen van de privacywetgeving zwaar bestraft, zozeer dat potentiële overtreders niet snel doorgaan met hun plannen op basis van gecalculeerd risico. Het recht op inzage en verwijdering van privacygevoelige gegevens behoort daar onderdeel van uit te maken. Het meldings-register van het CBP moet gehandhaafd worden en vormt een onmisbaar instrument in de opsporing van misstanden. Het is te prijzen dat het kabinet de wetgeving rond de privacy wil aanpassen aan de laatste stand van de techniek en de laatste opvattingen op het gebied van privacy. Maar gewaakt dient te worden tegen inperking van vrijheden van grondrechten, die in afgelopen decennia zwaar bevochten zijn. Het CBP en de burgerrechtenbeweging Bits of Freedom moeten met nadruk betrokken worden bij de totstandkoming van nieuwe wetgeving, omdat zij bij uitstek expertise op dit terrein hebben opgebouwd. Ook is het werk van het college dermate belangrijk dat haar gezag niet moet worden uitgehold, zoals Jacob Kohnstamm, voorzitter van het CBP, constant aangeeft. Het gezag van het CBP dient gewaarborgd te worden met serieuze sancties die zelfstandig opgelegd kunnen worden, zoals nu reeds het geval is bij andere toezichthouders. Graag hoor ik van het kabinet of en in hoeverre het bereid is om het CBP en Bits of Freedom met meer nadruk te betrekken bij nieuwe wetgeving op het terrein van privacybeleid. In hoeverre is dat al gebeurd? Is het kabinet met onze fractie van mening dat privacy nooit mag worden ingeruild om gevoelens van onveiligheid te compenseren c.q. te vervangen door een andere onveiligheid?
Mevrouw Van Toorenburg (CDA): Voorzitter. In het regeerakkoord wordt op verschillende plaatsen krachtig ingezet op meer aandacht voor informatiebeveiliging en bescherming van persoonsgegevens. Laat mij meteen zeggen dat dat soort passages ons zeer aanspreekt. Er staan wel noodzakelijke maatregelen in het regeerakkoord die ons meer pijn doen. Het is goed dat wij vandaag de breed gesteunde motie-Franken in herinnering roepen. Alleen de VVD steunde deze motie niet in de Eerste Kamer. Wij willen graag van het VVD-duo van vandaag horen hoe de motie-Franken bij deze heren ligt. De motie-Franken is een CDA-motie die door de VVD niet werd gesteund. Graag een reactie hierop van de bewindspersonen.
Ik wil allereerst ingaan op het cameratoezicht. Dit is een kwestie van aanpak door decentrale overheden en particulieren. Het is heel goed dat het kabinet voornemens is om de bewaartermijnen voor de beelden gelijk te trekken: nu is het voor de overheid 4 weken en voor particulieren 24 uur. Hierdoor ontstaat minder tijdsdruk en meer ruimte voor burgers en bedrijven om af te wegen of zij de beelden wensen te gebruiken voor het verbeteren van hun eigen veiligheid of voor het doen van aangifte. Heel actueel in dezen is de discussie wat particulieren met deze beelden mogen doen. Concreet: mag een ondernemer die beelden heeft van een overval op zijn zaak deze op internet zetten of moet hij dan zwaar worden beboet? Wat het CDA betreft is het de omgekeerde wereld om een ondernemer een boete op te leggen, omdat hij de privacy van zijn overvallers zou hebben geschonden. Die schending hadden de overvallers namelijk vrij gemakkelijk kunnen voorkomen door de ondernemer niet te overvallen.
De heer Recourt (PvdA): Hoe weet je dat het de overvaller is? Volgens mij is het nog een verdachte. Is het niet beter de minister aan te spreken om de politie zijn werk beter te laten doen? Volgens mij is het een taak van de politie om die overvaller op te sporen.
Mevrouw Van Toorenburg (CDA): Dat is een heel terecht punt. Ik heb met de heer Recourt mooie debatten mogen voeren in het reces. Ik maak af wat ik wilde zeggen, want dan geef ik ook het antwoord op zijn vraag. Wij mogen namelijk onze ogen niet sluiten voor de gevaren die dit met zich kan meebrengen. Als een ondernemer zomaar beelden van passanten op internet plaatst met de duiding dat die mensen zijn winkel hebben overvallen, hebben we een serieus probleem. Bovendien hecht het CDA aan het geweldsmonopolie van de politie. Wij stimuleren liever niet het eigen rechter spelen. Bovendien kan dit gevaarlijk zijn. Heel veel mensen hebben een beveiligingsinstallatie in hun huis en tegenwoordig betaalt de verzekering soms niet uit als je hem niet had aanstaan. In wat voor rol gaan we burgers dan dwingen? Wij begrijpen heel goed dat je daar voorzichtig mee moet zijn. Wij hebben onze oplossing al gegeven in het reces. Laat iedereen die beelden en/of geluidsopnames heeft van een misdrijf deze presenteren aan de politie. Die kan vervolgens bekijken of de verdachten bekenden zijn. Onze voorkeur gaat ernaar uit dat de politie die beelden beoordeelt en ze op internet plaats, al dan niet nadat daadwerkelijk aangifte is gedaan. Wij verzoeken de staatssecretaris om dat nader uit te werken en tot die tijd geen boetes te geven, zeker niet van Neelie Kroes-achtige proporties.
De heer Van Raak (SP): Principieel is er veel over te zeggen, maar praktisch ook. Het is niet zo dat er in Nederland te weinig beelden van boeven worden gemaakt. Er worden voortdurend beelden gemaakt, overal en door iedereen. Het probleem is dat de politie geen mensen en middelen heeft om die allemaal goed te bekijken, dus als iedereen zijn beelden naar de politie stuurt, zou dat wel eens een teleurstelling kunnen worden. Die agenten zitten heus niet te wachten om al die opnames te bekijken, laat staan onderzoek te doen. Zullen we bij het begin beginnen?
Mevrouw Van Toorenburg (CDA): Ik heb in het reces veel met de politie gepraat. Zij zegt dat ze er klaar voor is en het graag wil, omdat het haar veel tijd gaat schelen. Zij wil daar graag een prioriteit van maken en een goede website optuigen zodat ze burgers kan betrekken bij het oplossen van delicten. Daarom vragen wij aan het kabinet om dit te organiseren.
De heer Van Raak (SP): Natuurlijk wil de politie dat heel graag. Met elke burger die kan meehelpen met het vangen van boeven zijn ze heel erg blij. Maar als mevrouw Van Toorenburg met de mensen van de werkvloer had gepraat, had ze gehoord dat ze daar op dit moment de mensen niet voor hebben en dat de gaten nu gevuld worden met aspiranten en vrijwilligers. Dit is het organiseren van teleurstellingen bij agenten die een hoop beelden binnenkrijgen, maar niks kunnen doen en bij burgers die een hoop beelden sturen waar weinig mee gebeurt.
Mevrouw Van Toorenburg (CDA): Denkt de SP een monopolie te hebben op praten met mensen op de werkvloer? Ik praat met niemand anders dan mensen op de werkvloer. Ik ga de straat op met agenten en die vertellen mij wat ik net zei. Daarom vraag ik aan het kabinet om het uit te werken.
De heer Schouw (D66): Ik begrijp heel goed dat het CDA opkomt voor de ondernemers, maar ik ken het CDA ook als een partij die zegt dat rechtshandhaving en het recht wel in goede banen moeten worden geleid. Mevrouw Van Toorenburg sprak over een voorkeur voor het aanbrengen van beelden bij de politie. Dat vind ik onduidelijk, want dat laat ruimte aan ondernemers en particulieren om in het wilde weg beelden via websites te verspreiden. Ik vraag haar of het niet verstandig is dat alleen een overheidsmonopolist die beelden aan het internet mag toevertrouwen. Wie zich daar niet aan houdt, zou een bekeuring moeten krijgen.
Mevrouw Van Toorenburg (CDA): Dat is anders geformuleerd hetzelfde als ik zei. Alleen over die boetes wil ik het niet hebben tot ik een fatsoenlijke regeling zie, waardoor mensen die beelden naar de politie kunnen brengen en er daar wat mee gebeurt. Daar gaat mijn voorkeur naar uit, want dan hoeven burgers het helemaal niet zelf op internet te zetten.
De heer Schouw (D66): Ik concludeer dat het CDA het met D66 eens is en dat we moeten kijken hoe we dat zo snel mogelijk bij een overheidsmono-polist kunnen neerleggen. Aangezien het een indringende materie is, vraag ik het kabinet om daar snel mee te komen. Het zou fijn zijn als dit lek over een halfjaar gedicht is.
Mevrouw Van Toorenburg (CDA): Daar ben ik het helemaal mee eens. Ik kan me niet anders voorstellen dan dat de staatssecretaris daar al mee begonnen is. Hij was natuurlijk ook verrast door de felheid van de discussie in het reces. Ik ben ervan overtuigd dat mensen op het ministerie al kijken hoe ze dat kunnen oplossen. Zo niet, dan gaan wij de staatssecretaris een beetje opjagen. Als het CBP al een boete zou willen geven voor de schending van privacy dan denken wij aan situaties waarin de Googles, de Hyves of de Facebooks van deze wereld privégegevens van burgers zouden verkopen. Financieel gemotiveerd gebruik door machtige ondernemingen kan wat het CDA betreft fors beboet worden. Dan mogen ferme tikken op de vingers volgen.
Wat betreft de nummerplaatherkenning lezen we dat de minister een wetsvoorstel in consultatie heeft gegeven. We begrijpen dat er een solide regeling komt voor het bewaren van kentekengegevens voor de opsporing van strafbare feiten. Maar de actualiteit van de krantenlezer is dat men in Amsterdam nummerplaatlezing boven de snelweg gaat gebruiken om mensen te vinden die nog een boete open hebben staan of gezocht worden. Een soort digitale slotgracht. Wat kan er met die gegevens en hoe worden die bewaard? Tegelijkertijd weten we dat die snelwegschutter in de buurt van Rotterdam maar niet gevonden wordt omdat de camerabeelden soms niet uitgelezen kunnen worden. Hoe ver gaan we daarin? Wat mag wel en wat mag niet? Wat het CDA betreft, gaat wat in Amsterdam gebeurt heel ver, maar tegelijkertijd zint het ons niet dat we in Rotterdam geen goede oplossing hebben. Graag hoor ik van dit kabinet een heldere visie over hoe we daar het beste mee kunnen omgaan.
Tot slot de verbetering van de bescherming van de persoonsgegevens. Het is hoog tijd dat er een verplichting wordt ingesteld om in gevallen van verlies, diefstal of misbruik van persoonsgegevens melding te doen bij de toezichthouder. Dit onderwerp krijgt momenteel terecht alle aandacht. DigiNotar had overigens contractueel die meldplicht al lang. We hebben het over een wettelijke meldplicht, maar feitelijk was die in de casus die zoveel onrust veroorzaakt ook al aanwezig. Jammer dat het kabinet op dit punt een vooruitziende blik had – kijk maar naar de Notitie privacybeleid – maar dat het publiek de indruk krijgt dat men eindelijk de put dempt, nu het kalf verdronken is. Wat het CDA betreft moet de meldplicht snel wet worden met – daar wel – afschrikwekkende boetes van Neelie Kroes-achtige proporties, zoals door de directeur van het CBP geïntroduceerd. Wij hebben twijfels bij de noodzaak om bezwaar en beroep aan te kunnen tekenen tegen het rapport van bevindingen van het CBP en wij hebben dezelfde twijfels ten aanzien van die openbaarmaking. Graag het commentaar van de bewindslieden hierop.
De heer Elissen (PVV): Voorzitter. Ik zit nog bij te komen van het fijne compliment van de heer Van Raak. Ik kan hem geruststellen: ook voor de PVV is privacy van groot belang. Een overheid heeft gegevens van burgers nodig om te kunnen functioneren, maar deze gegevens mogen uiteraard niet in verkeerde handen vallen. Echter, uiteindelijk kan ieder systeem gekraakt worden. Dat is wel gebleken. De vraag is dus niet alleen hoe we moeten voorkomen dat de databanken gekraakt worden, maar vooral hoe we de schade kunnen beperken wanneer dit gebeurt. Het beheren en beschermen van gegevens is te vergelijken met rampenbestrijding en crisisbeheersing. Binnen de rampenbestrijding wordt vaak gebruik gemaakt van de veiligheidsketen. Hiermee wordt het onderwerp integraal benaderd en ik stel voor om dat ook met de privacy te doen. Ik vraag de staatssecretaris hoe hij daartegen aankijkt. Ik licht dit kort toe en begin met proactiviteit. Heeft de overheid bepaalde gegevens van burgers wel nodig? Zo nee, sla ze dan niet op, zodat ze ook niet gestolen kunnen worden. Als de overheid vervolgens alleen de gegevens opslaat die echt nodig zijn, is het belangrijk om ondubbelzinnig vast te stellen en vast te leggen waarvoor de gegevens gebruikt mogen worden. Hiermee voorkomen we dat gegevens worden gekoppeld, verrijkt of gedeeld op een manier die misbruik of oneigenlijk gebruik in de hand werkt. Daarnaast moet de beveiliging natuurlijk op orde zijn en dienen we ons goed voor te bereiden op scenario’s waarbij datalekken ontstaan of systemen gekraakt worden. Ik denk hierbij aan een goed georganiseerde organisatie met een duidelijke en eenduidige commandostructuur. Als het misgaat, dient er direct opgetreden te worden. Voor repressie is echter goede preparatie noodzakelijk en het debacle rondom DigiNotar heeft ons geleerd dat we kennelijk nog niet zover zijn. Wie heeft bijvoorbeeld de eenkoppige leiding: minister Opstelten, minister Donner of staatssecretaris Teeven? Of zit Iran erachter en is het cyberwar, waardoor de minister van Defensie de leiding heeft? Ik vraag de staatssecretaris hoe hij hier als beschermer van de privacy tegen aankijkt.
De laatste schakel van deze veiligheidsketen, die ik het best de privacy-keten kan noemen, wordt gevormd door de nazorg. Een deugdelijke evaluatie waarin bezien kan worden welke punten verbetering behoeven, zit in de pijplijn, dus daar ga ik verder niet op in.
Naar aanleiding van deze metafoor vraag ik de staatssecretaris of hij als portefeuillehouder privacy een rol gaat spelen bij een integraal beleid van de gehele Nederlandse overheid om de gegevens van burgers te beschermen en de privacy niet verder aan te tasten dan noodzakelijk. Ik vraag hier met name naar de relatie en verbinding tussen enerzijds integrale benadering van privacy en de nationale cybersecuritystrategie. Een ander belangrijk punt is de bescherming van gegevens van burgers die de overheid in beheer heeft. Is de staatssecretaris het met de PVV eens dat geen enkel onderdeel van de overheid – en dan bedoel ik uiteraard ook agentschappen en zbo’s – gegevens van Nederlandse staatsburgers zou mogen opslaan buiten de grenzen van het Koninkrijk der Nederlanden? Is hij het daarnaast met de PVV eens dat als de overheid gegevens van Nederlandse staatsburgers beheert en bij de beheertaak gebruikmaakt van externe bedrijven, dit uitsluitend Nederlandse bedrijven mogen zijn? Zo nee, waarom niet en hoe gaat de staatssecretaris dan uitsluiten dat gegevens van Nederlanders in handen vallen van buitenlandse mogendheden? Hoe kijkt de staatssecretaris er tegenaan om privacy by design verplicht te stellen voor overheidsprojecten? Dan kom ik op de rol van het CBP en de boetebevoegdheid. Bescherming van privacy is erg belangrijk. Echter, wanneer burgers het slachtoffer worden van criminelen, dan komt het helaas voor dat de politie geen capaciteit heeft om de daders te pakken. Het is van de gekke dat de hardwerkende burger, die dus slachtoffer is en door de overheid niet adequaat wordt geholpen, nogmaals gestraft wordt als hij de daders op internet zet. Deze regering zet nota bene in op een actieve en betrokken burger. Wat de PVV betreft houdt de vrijheid en privacy van een crimineel op waar deze de vrijheid van een andere hardwerkende burger raakt. Het voorstel van de PVV is dat burgers camerabeelden van inbrekers op internet kunnen zetten, mits – en dat is een absolute voorwaarde – ze aangifte doen bij de politie en het beeldmateriaal tevens beschikbaar stellen aan politie en justitie. Hoe kijkt de staatssecretaris daar tegenaan? Een eventuele boetebevoegdheid voor het CBP, waarmee burgers of ondernemers boetes kunnen krijgen, ziet de PVV op dit moment niet zitten. Wij vragen de staatssecretaris dat nader uit te werken en voorlopig in de ijskast te zetten. Het CBP moet zich wat de PVV betreft ondertussen vooral richten op databeveiliging bij de overheid en grootschalige schending van de privacy door bedrijven. Wij vinden dat er pas een mogelijkheid van bezwaar moet zijn wanneer er een daadwerkelijke uitspraak ligt. Het CBP moet gewoon onderzoeken kunnen uitvoeren. Voorts is de PVV blij dat er in de Notitie privacybeleid gesproken wordt over de meldplicht datalekken. Wat ons betreft zo snel mogelijk.
De heer Schouw (D66): Begrijp ik goed dat de heer Elissen zegt dat iedereen beelden van overvallers of vermeende overvallers op internet mag zetten als het maar even gemeld wordt bij de politie?
De heer Elissen (PVV): Ik heb het gehad over de verplichting om aangifte te doen en de verplichting om dat beeldmateriaal ter beschikking te stellen van politie en justitie. Dat zijn twee absolute voorwaarden. De werkelijkheid is dat de politie vandaag de dag weinig tijd heeft. Met de zelfredzaamheid van de burger om actief zijn bezittingen te beschermen, hebben wij geen enkele moeite. Wat ons betreft mag de burger die beelden best op internet zetten als klip en klaar is dat we met een overval te maken hebben. Een overvaller kun je doorgaans herkennen aan het masker op zijn hoofd en het vuurwapen in zijn hand.
De heer Schouw (D66): Het kan de heer Elissen niet ontgaan zijn dat er van alles circuleert op internet wat niet de waarheid is. Is het niet veel verstandiger om iemand die verantwoordelijk is voor een overheids- of geweldsmonopolie daar goedkeuring aan te laten geven? Laat hem de keuze maken of je het wel moet doen, want anders kunnen er veel nadelige effecten optreden.
De heer Elissen (PVV): We hebben het hier niet over de buurman die de buurvrouw treitert. Dat gaat om smaad en laster en het delict valse aangifte doen. De vraag is wat de PVV betreft niet zozeer of het zou moeten kunnen, maar meer hoe we het moeten regelen. Dat is tevens de vraag aan de staatssecretaris: ziet hij mogelijkheden en zo ja, hoe gaat hij dat regelen, zodat de burgers zelf foto’s op internet kunnen zetten en deze tegelijkertijd ter beschikking stellen van politie en justitie? Op deze manier komen de zaken snel in beeld, want voor opsporen en handhaven moeten er geen dagen overheen gaan.
In relatie tot de datalekken ben ik benieuwd hoe de staatssecretaris de meldplicht voor de getroffen burgers ziet in vergelijking met de meldplicht bij een centraal overheidsorgaan. Gaat de staatssecretaris ervoor zorgen dat het voor bedrijven en overheidsorganen altijd duidelijk is wanneer en waar ze moeten melden?
De heer Van Raak (SP): Op Webwereld lees ik dat een woordvoerder van de Kamerfractie van de PVV zegt dat André – dat is de heer Elissen – de staatssecretaris om een brief zal vragen waarin hij aangeeft hoe hij data van burgers in beheer van de overheid gaat beschermen tegen vreemde mogendheden. Dat gaat over de USA PATRIOT Act. Is de heer Elissen dat vergeten?
De heer Elissen (PVV): Ik heb volgens mij een vraag gesteld aan de staatssecretaris op dit thema. Ik wacht het antwoord in eerste termijn af en kom er desnoods in tweede termijn op terug.
De heer Van der Steur (VVD): Voorzitter. Ik stel vast dat alle hier aanwezige partijen zich in essentie achter het regeerakkoord scharen en achter de brief die door het kabinet aan ons is gestuurd, zij het dat er nuances zijn ten aanzien van de reikwijdte, diepgang en snelheid waarmee het beleid dat is neergelegd, wordt uitgevoerd. De VVD-fractie ziet dat er in de afgelopen jaren door de toename van de technologische mogelijkheden enorm veel risico’s zijn bijgekomen ten aanzien van de privacy van onze inwoners. Datalekken, hacken, identiteitsfraude, smartphones die de mogelijkheid bieden te weten waar iemand zich bevindt, Deep Packet Inspection (DPI). Maar ook het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) is heel belangrijk. Daarin stelt men vast dat de overheid van een E-overheid naar een I-overheid, een informatieoverheid, is gegaan en dat de overheid zich niet op alle punten voldoende bewust is van die nieuwe rol. Daarnaast rennen boeven rond op internet en willen we gaan werken aan cloud computing met ideale mogelijkheden, maar daarnaast ook grote risico’s voor de bescherming van gegevens. Voor de VVD-fractie betekent dat dat niet alleen de bescherming van de privacy van onze inwoners maar ook die van de inwoners in Europees verband hoog op de agenda moet staan. Gegeven de grensoverschrijdende technologische ontwikkelingen moeten we naar Europa en misschien zelfs wel naar de wereld kijken. Wij zijn dan ook met blij met de brief en zien met enthousiasme uit naar de uitwerking die aan al die onderwerpen moet worden gegeven. Voor de VVD blijft bij de bescherming van de privacy essentieel dat we kijken naar het nut, de noodzaak en naar eventuele alternatieven voor de voorgestelde maatregelen. We moeten hoge eisen stellen aan de beveiliging – het meldpunt datalek is op dat punt al genoemd – maar de VVD-fractie vraagt de staatssecretaris of hij ook vindt dat niet alleen het datalek zelf moet worden gemeld, maar dat ook een security breach notification, het doorbreken van de veiligheid, moet worden gemeld. Natuurlijk niet aan iedereen die zich in dat bestand bevindt, maar wel aan de overheid dan wel het CBP, want het is de voorbode van een datalek. Het lijkt de VVD-fractie verstandig om ook die veiligheidsdoorbraak te melden, zodat de toezichthouder vervolgens onderzoek kan doen naar een eventueel datalek. Graag een antwoord hierop van de staatssecretaris.
De heer Recourt (PvdA): Ik hoor verstandige woorden van de zijde van de VVD, maar ik hoor ook weer een extra taak voor het CBP. Hoe komt de boter dan bij de vis?
De heer Van der Steur (VVD): Ik heb niet gezegd dat het per definitie door het CBP moet worden gedaan. Gegeven de situatie waarin we ons bevinden is het voor de VVD-fractie van belang dat die securitybreaches worden gemeld. Vervolgens moet bekeken wordt wat een passende reactie daarop is. We moeten niet, in het kader van de bezuinigingsoperatie die we in Nederland uitvoeren, het CBP daarvan uitsluiten. Toegang tot persoonsgegevens is zowel voor de overheid als voor bedrijven ongelofelijk belangrijk. Daarbij moet vooral worden bijgehouden wie toegang heeft en wie daartoe bevoegd is, maar ook als er sprake is van een eventueel datalek moet je kunnen zien wie op welk moment toegang heeft gekregen tot bepaalde informatie. Dat is privacy by design en dat is de uitvoering die onder andere de VVD-fractie daaraan geeft. De bewaartermijn en het inzagerecht zijn belangrijk en natuurlijk ook de doelbepaling en de horizonbepaling, zoals in de Eerste Kamer door de VVD-fractie is gezegd. Die vond de motie-Franken overbodig maar niet onbelangrijk, in die zin dat die niet hoefde te worden gesteund, omdat de minister destijds in dat debat al heeft aangegeven dat hij de uitgangspunten van die motie onderschreef. De VVD-fractie in de Tweede Kamer onderschrijft de motie en de uitgangspunten net als de VVD-fractie in de Eerste Kamer, met één opmerking, namelijk dat het privacy impact assessment ook op systeemniveau moet worden uitgevoerd en niet alleen op wettelijk niveau. Hoe zit het met het specifieke systeem dat wordt voorgesteld? Wat is daarvan de eventuele impact op de privacy? De VVD-visie op langere termijn is dat we grote stappen kunnen maken in het vereenvoudigen van de wet- en regelgeving op het terrein van de bescherming van persoonsgegevens waar het gaat om de bagatelkwesties. Als je ziet welke stappen een lokale slager moet zetten om zijn klantenbestand te mailen of een brief te sturen over zijn gehaktaan-bieding: dat brengt enorme administratieve lasten met zich mee. Tegelijkertijd hebben we hier allemaal gezegd dat de Googles van onze samenleving stevig aan allerlei voorwaarden moeten voldoen om de privacy te beschermen. Doel in de toekomst – en ik vraag of het kabinet zich daarachter schaart – is aan de ene kant zorgen voor de persoonlijke autonomie van onze inwoners ten aanzien van hun gegevens en aan de andere kant proportionaliteit in wet- en regelgeving. Dat is lastig maar moeten we wel doen, omdat anders heel veel bedrijven last hebben van privacywetgeving die we eigenlijk niet zo bedoeld hebben en tegelijkertijd de echt grote risico’s niet voldoende zijn afgedekt.
Dan kom ik op het element van de opsporing. Voor de VVD-fractie is het van essentieel belang dat de opsporingsdiensten – politie, marechaussee, douane – die heel vaak tegen bestaande barrières oplopen op het gebied van privacy, effectief, efficiënt en privacybewust informatie kunnen delen. Dat onderdeel van de brief van de staatssecretaris van 29 april jl. wordt van harte ondersteund.
De VVD-fractie schaart zich tenslotte achter de boetebevoegdheid, met name omdat het voor de grote bedrijven van essentieel belang is dat zij een stok achter de deur hebben. Maar met de slager of andere ondernemer die iemand op internet zet, moet je proportioneel omgaan. Echter, als iemand onterecht op internet wordt gezet, hoort daar wel een boete bij, want daar kom je nooit meer vanaf.
De heer Schouw (D66): Er is een heel indringend betoog gehouden door de VVD alsof allerlei privacyregels de opsporing van boeven in de weg staan. Kan de heer Van der Steur concrete voorbeelden geven? Om welke regelgeving gaat het?
De heer Van der Steur (VVD): Dat is heel gemakkelijk. Ik geef als voorbeeld de Wet Politiegegevens die bepaalt dat er allerlei meldingen moeten worden gedaan als opsporingsinstanties informatie met elkaar willen delen, waarmee men heel veel tijd kwijt is. Een ander voorbeeld is het werkbezoek dat wij recentelijk aan Schiphol hebben gebracht. De douane aan de ene kant en de marechaussee aan de andere kant zijn met exact dezelfde gegevens aan het werk, maar mogen niet met elkaar overleggen en die informatie niet met elkaar delen. Het gaat er uiteindelijk toch om dat mensen die drugs of illegale vreemdelingen Nederland binnenbrengen, worden gepakt?
Dat zijn voorbeelden waarover de VVD-fractie zich ernstig zorgen maakt. Het gaat nog verder: de ketenaanpak mensenhandel in Rotterdam, waar een aantal instanties bij elkaar zit om ervoor te zorgen dat Bulgaarse mensenhandelaren worden gepakt en Bulgaarse meisjes uit die afschuwelijke situatie worden gehaald. Zij delen informatie met elkaar van bijvoorbeeld de Kamer van Koophandel en de woningbouwvereniging, waarbij je je kunt afvragen of dat op dit moment is toegestaan, terwijl tegelijkertijd het effect daarvan heel groot kan zijn.
De heer Schouw (D66): De vraag daarachter is natuurlijk op basis van welke wet- of regelgeving die mensen op Schiphol die gegevens niet mogen uitwisselen. Verhalen zijn er altijd, maar het is voor de Tweede Kamer interessant te bekijken welke regels dat precies zijn en af te wegen of die regels belastend zijn voor het werk wat wordt gedaan in relatie tot de privacy.
De heer Van der Steur (VVD): Ik vind zoektochten altijd interessant. Maar het is heel simpel: de Wbp, de Vreemdelingenwet en waarschijnlijk de Douanewet leiden er in onderlinge samenhang toe dat men voor een deel denkt – ten onrechte volgens het CBP – dat ze dat zo moeten doen en voor een groot deel gebonden is aan ingewikkelde convenanten, discussies en meldingsplichten waar we niet op zitten te wachten. Ik begrijp dat de heer Schouw bereid is om te zijner tijd samen met mij al die barrières weg te werken, zodra wij helderheid hebben over het doel en de horizonbepaling. Dat staat buiten kijf. Het is geen carte blanche voor het verzamelen, verspreiden en verwerken van persoonsgegevens.
De heer Elissen (PVV): Ik hoop dat de heer Van der Steur ook niet zit te wachten op de individuele burger die geconfronteerd wordt met een boete van € 25 000 omdat hij een foto op internet zet. Het verbaast me dat de heer Van der Steur geen behoefte heeft aan een nadere uitwerking van dat hele boetegebeuren. Wij hebben wel behoefte aan kaders. Als we vaststellen dat het CBP al zeer schaars in haar middelen en capaciteit zit, is de heer Van der Steur dan met mij van mening dat de prioriteit voor die club vooral moet liggen bij de grote multinationals en bedrijven en dat het vooral moet wegblijven bij die individuele burger? Daar zijn andere mogelijkheden voor, zoals die valse aangifte, smaad, laster enz.
De heer Van der Steur (VVD): Ik denk dat het woord proportionaliteit door de heer Elissen niet is gehoord. Het spreekt voor de VVD-fractie voor zich dat als een ondernemer – getergd doordat hij niet gehoord wordt – besluit om een klaarblijkelijke inbreker of overvaller op internet te zetten, daarop een proportionele sanctie moet volgen. Dat hoeft wat de VVD-fractie betreft geen € 25 000 te zijn en in sommige gevallen zelfs helemaal geen boete. Tegelijkertijd moet er, als er een foto van je dochter op internet wordt gezet in een positie die je niet wilt, een proportionele boetemaatregel zijn, waarmee je dat gedrag kunt voorkomen. Het gaat om een glijdende schaal. Ik stel voor dat het kabinet met een verstandig en geproportioneerd voorstel komt. Als je praat over enorme inbreuken op de privacy door spambedrijven of bedrijven die moedwillig misbruik maken van persoonsgegevens, moet daar een fikse boete tegenover staan. Je moet de bevoegdheid creëren en vervolgens organiseren dat er proportioneel en verstandig mee wordt omgegaan. De privacywetgeving er is niet om ondernemers te pesten. Het gaat erom dat we de burgers beschermen.
De heer Elissen (PVV): Ik dank de heer Van der Steur voor dit fantastische antwoord. Als hij zegt helemaal geen boete, dan zitten we op bijna op één lijn. Bij proportionaliteit moeten we ook gaan voor efficiëntie en een efficiënt werkende overheid en niet zozeer voor de dubbeltjes en de kwartjes. We moeten die privacywaakhond scherpe tanden geven. Ik vind het fijn dat de heer Van der Steur met belangstelling uitziet naar een voorstel. Mag ik daaruit concluderen dat zijn absolute ja tegen een boetebevoegdheid op dit moment nog niet aan de orde is, maar dat hij net als wij behoefte heeft aan een nader uitgewerkt voorstel alvorens definitief te beslissen?
De heer Van der Steur (VVD): De VVD-fractie zegt ja tegen het uitgangspunt dat er bij ernstige inbreuken op iemands privacy een boetebevoegdheid moet zijn. Het woord ernstig geeft daarbij aan wat de proportionaliteit is.
Minister Donner: Voorzitter. Er is een beperkt aantal vragen aan mij gericht, omdat ik tweede ondertekenaar ben bij de Wbp. Daar is de staatssecretaris in eerste instantie bij betrokken en de tweede plaats ben ik uiteraard betrokken omdat de discussie over de privacy ook de bescherming van de grondrechten raakt. De derde invalshoek zijn het beheer en de ontwikkelingen bij de overheid met betrekking tot gegevensverwerking, meer in het bijzonder de recente ontwikkelingen bij DigiNotar. Ik ga niet specifiek op die situatie in, behoudens op de vragen in hoeverre die situatie geraakt wordt door de meldplicht, die wordt overwogen. Dank dat wij op deze wijze kunnen discussiëren over het privacybeleid specifiek en in het algemeen. Zoals de Kamer weet is dit ook voorwerp van bespreking geweest in de Eerste Kamer, uitmondend in de motie-Franken. Het is goed om op dat niveau te spreken over de algemene ontwikkelingen. Daar is strikt genomen de beste gelegenheid voor wanneer het kabinet komt met een visie op het WRR-rapport over de
i-samenleving. Daarin wordt een aantal structurele vragen aan de orde gesteld, waarop het kabinet zal reageren met de vraag hoe we verder moeten, welke maatregelen er zijn, of de structuren die wij hebben nog passend zijn, hoe we omgaan met de door de WRR gesignaleerde disbalans en of dat leidt tot nog explicietere en concretere beleidsafwe-gingen. Het is beter om dat in dat kader aan de orde te stellen. Dat laat onverlaat dat hier veel verwezen is naar de motie-Franken. In de Notitie privacybeleid kondigt het kabinet een aantal voornemens aan dat leidt tot versterking van uitgangspunten die in de motie-Franken worden genoemd. Voor een deel wordt de motie-Franken uitgevoerd, omdat in alle gevallen wanneer een voorstel raakt aan de bescherming van de persoonlijke levenssfeer het ook raakt aan de Grondwet. Daarmee is de noodzaak effectiviteit en proportionaliteit per definitie voorwerp van toetsing. Of Nederland, zoals in de VS, een privacy impact assessment moet maken en bij welke wetten dat zou moeten, wordt op dit moment onderzocht. Er wordt bij een aantal van de hier genoemde systemen, zoals kentekenherkenning, een privacy impact assessment gemaakt. Daarnaast wordt bezien in hoeverre de passagiersgegevens op Schiphol samengevoegd kunnen worden. Ook daar wordt een privacy impact assessment gemaakt en op basis van die ervaring wordt bezien in welke gevallen dat opportuun is. In dat kader wordt ook gekeken naar de mogelijkheden om met evaluatie en horizonbepalingen te werken. Het systematisch in alle gevallen een horizonbepaling opnemen, is niet zinvol. De Kamer heeft binnenkort een discussie over de modernisering van de systematiek van de Gemeentelijke Basisadministratie persoonsgegevens (GBA). Het is niet zinvol dit de eerstkomende tien jaar te doen en daarna terug te vallen op papier en kaartjes, dus je moet even kijken waar wel en waar niet. Ik wijs er meer in het algemeen op dat er een opvallende ontwikkeling in de discussie met de Kamer is. Als ik met de Kamer spreek vanuit de invalshoek bedrijfsvoering en overheid kan de Kamer mij niet open genoeg zijn. Ieder gegeven van de overheid moet open en toegankelijk zijn en door iedereen hergebruikt kunnen worden. Hier beluister ik de tegengestelde beweging: alles moet zoveel mogelijk gesloten gehouden worden. Op dat punt zal er een zekere balans gevonden moeten worden, ook voor de dienstverlening van de overheid op Schiphol. De Kamer wil graag het beginsel hebben dat eenmaal verstrekte gegevens hergebruikt kunnen worden door alle andere overheidsdiensten, wat per definitie betekent het circuleren van persoonsgegevens. De voornemens die bij de Kamer zijn neergelegd met betrekking tot de bedrijfsvoering van de overheid bieden in belangrijke mate antwoord op die vragen, namelijk het streven om te komen tot een drastische reductie van het aantal datacenters dat in gebruik is bij de overheid en tot één beveiligingsinstituut voor de beveiliging van gegevensverkeer bij de overheid. In de notitie die naar de Kamer is gegaan over cloud computing is bewust gekozen voor een gesloten cloud voor gebruik door het Rijk van dit soort gegevens, met het oog op punten die hier aan de orde zijn gekomen. Dat betekent niet dat wij kunnen waarborgen dat persoonsgegevens slechts in Nederland gebruikt zullen worden. Dat is in strijd met de ter zake geldende Europese verplichtingen. Het gaat erom gelijke waarborgen te verlangen bij de verschillende instellingen waar die gegevens zitten. Onze paspoorten zijn bijvoorbeeld aanbesteed bij een Frans bedrijf en dat betekent dat de persoonsgegevens naar dat Franse bedrijf gaan voor verwerking in de paspoorten. Dat zijn de consequenties van het verkeer dat we hebben, waar nu geen wijziging in aangebracht kan worden.
De heer Van Raak (SP): De minister is wel heel selectief in zijn voorbeelden. Het gaat erom dat bedrijven in Amerika die servers met onze gegevens hebben informatie over ons doorgeven aan de Amerikanen, terwijl wij dat niet willen. Dat hoort niet zo. Als wij in Nederland beslissen dat de privacy van onze burgers op een bepaalde manier wordt beschermd, kan het niet zo zijn dat dezelfde informatie niet naar de Nederlandse maar wel naar de Amerikaanse overheid gaat. Gaat de minister de aanbesteding aanpassen?
Minister Donner: Hier lopen twee discussies door elkaar. Op de ene vraag of persoonsgegevens nog slechts bij Nederlandse bedrijven verwerkt zouden kunnen worden, geef ik een antwoord. Binnen Europa wordt door middel van de richtlijn gewaarborgd dat de eisen die gesteld worden aan bedrijven die daarmee belast zijn, gelijkwaardig zijn binnen Europa. Onderdeel daarvan is de aanwijzing in welke landen ten minste gelijkwaardige bescherming van persoonsgegevens bestaat. De andere vraag gaat over bedrijven die onder de jurisdictie van meerdere landen vallen en de vaak extraterritoriale toepassing van jurisdictie, de USA PATRIOT Act. De staatssecretaris zal erop ingaan op welke wijze daar de waarborgen worden gegarandeerd. Ik ga alleen over het overheids-beheer.
De heer Van Raak (SP): De minister draait er een beetje omheen. Vanuit het ministerie van Veiligheid en Justitie (V en J) werd gezegd dat niet kan worden uitgesloten dat informatie is opgeslagen door of in samenwerking met een Amerikaans bedrijf. Deze minister gaat daarover. Kan hij dat uitsluiten en is hij bereid om in die aanbesteding een eis op te nemen, als een bedrijf dat gevestigd is in Amerika voor Nederland werkt en met Nederlandse gegevens omgaat waarvan het verboden is om die überhaupt aan de Nederlandse regering te geven, dat het niet stiekem via de achterdeur wel naar de Amerikaanse regering gaat?
Minister Donner: Ik constateer dat die aanbestedingen beheerst worden door onder andere de eisen die op dat terrein door de Europese richtlijnen gesteld worden. De staatssecretaris zal ingaan op problemen met bedrijven die door de claim van jurisdictie van de USA PATRIOT Act gegevens doorgeven.
De heer Elissen (PVV): In het verlengde daarvan heeft de minister het over het gebruik van data. Daar hebben wij geen moeite mee, als het maar gebeurt onder de juiste voorwaarden. Waar het in de kern om gaat is, los van de aanbestedingseisen waar minister Opstelten iets over gezegd heeft, of de minister van mening is dat dat voldoende juridische dekking geeft. De USA PATRIOT Act is een soort Amerikaanse grondwet en volgens mij is die onvoldoende. Hoe gaat de minister de veiligheid van de persoonsgegevens van de Nederlanders garanderen?
Minister Donner: Op dat punt geldt de discussie die wij ook op andere terreinen hebben met betrekking tot conflicterende jurisdictie. Het eerste dat je kunt doen is wijzen op de situatie die kan ontstaan. Van de zijde van de Nederlandse overheid waarborgen dat er garanties zijn dat dat niet voorkomt, is iets heel anders. Ik kan alleen waarborgen scheppen ten aanzien van de persoonsgegevens die bij de overheid gebruikt worden. Dat is waar minister Opstelten op ingegaan is en waar de staatssecretaris nog op zal ingaan. Het brede middel dat wij gebruiken – internet – onttrekt zich aan de greep van de wetgever van één land, maar is internationaal verkeer. Daar zal vooral gekeken worden wat je in onderlinge samenhang kunt doen. We proberen dat op Europees niveau te doen. Het kan niet zo zijn dat gegevens per definitie bij Nederlandse bedrijven worden opgeslagen, ook niet als ze uitsluitend door de overheid gebruikt worden.
De heer Elissen (PVV): Dan toch nog een vraag om het duidelijker te krijgen. Als de minister spreekt over conflicterende jurisdictie betekent dat in mijn vertaling een eindeloze weg. Je moet duidelijkheid willen. Is de minister bereid met landen als de VS, waar ze een conflicterende jurisdictie hebben, keiharde afspraken te maken om te voorkomen dat Nederlandse belangen worden geschaad, sterker nog, dat gegevens van Nederlandse burgers in handen komen van die andere mogendheden?
Minister Donner: Dat is op dit terrein en op andere terreinen juist voorwerp van voortdurende discussie, vooral tussen Europa en de VS, omdat alleen Nederland in dat soort relaties minder gewicht heeft dan wanneer de Europese landen gezamenlijk optreden. Er ligt nog de specifieke vraag waar burgers terecht kunnen met vragen over de privacy. Vanuit mijn departement wordt door Pricewaterhouse-Coopers (PwC) bekeken in hoeverre daaraan tegemoetgekomen kan worden. Dit is niet bedoeld voor het indienen van klachten, maar gaat om een breder informatiepunt waar je terechtkunt met vragen op dit terrein. Met betrekking tot de risico’s die aan het licht zijn gekomen door de inbraak bij DigiNotar en de gevolgen daarvan, is het goed om een duidelijk onderscheid te maken met inbreuken die rechtstreeks leiden tot het verlies van persoonsgegevens. Dat is voorwerp van de meldplicht die is aangekondigd in de Notitie privacybeleid. Bij DigiNotar zijn we geconfronteerd met een totaal ander risico, namelijk de inbreuk op de veiligheid van het systeem, waardoor gegevens in het systeem eventueel een risico lopen, zonder dat er al duidelijke aanwijzingen zijn van verlies van persoonsgegevens. Dat is ook onderwerp van de brief die ik vorige week aan de Kamer hebt gestuurd. Die zal nog uitgebreid worden met de consequenties van wat we hebben vastgesteld bij DigiNotar. In hoeverre moet op dit soort terreinen meldplicht bestaan? Geldt dat specifiek voor die terreinen waar de overheid werkzaam is of alleen voor de Telecommunicatiewet met betrekking tot de gekwalificeerde certificaten? Ik wijs erop dat op dit moment een regeling bij de Eerste Kamer in behandeling is over de meldplicht met betrekking tot de Telecommunicatiewet, waar inbreuken zijn geconstateerd in de integriteit van de systemen. Dat gaat dus over systemen die onder de Telecommunicatiewet vallen en een uitbreiding van de al bestaande meldplicht voor het verlies van persoonsgegevens door aanbieders van openbare elektronische communicatienetwerken en -diensten.
Over de bredere vraag hoe gereageerd moet worden op systeeminbreuken, zoals bij DigiNotar, zal ik de Kamer zo snel mogelijk informeren zodra we een duidelijker beeld van de consequenties bij DigiNotar hebben. Dat is ook voorwerp van discussie in de Nationale Cyber Security Strategie.
Bij situaties zoals bij DigiNotar vindt het crisisberaad altijd onder voorzitterschap van de minister van V en J plaats met de meest betrokken ministers, in dit geval de ministers van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Economische Zaken, Landbouw en Innovatie (EL&I) en de staatssecretaris van Financiën.
Mevrouw Thieme (PvdD): Ik wil kunnen bepalen in hoeverre de minister privacybescherming serieus neemt. Ik heb in mijn eerste termijn gezegd dat we onze grondrechten, zoals die van de privacy, moeten bewaken. Omdat ik een tendens bij de overheden zie van «liever tien onschuldigen in de gevangenis dan één schuldige op straat» vraag ik de minister of hij het eens is met die uitspraak. Ik wil kunnen beoordelen of privacybescherming bij hem in goede handen is.
Minister Donner: Ik verwijs mevrouw Thieme naar het antwoord van de toenmalige minister van Justitie in reactie op deze opmerking van de heer Verhagen. De toen verantwoordelijke minister van Justitie was ik. Mijn antwoord was dat dat niet de uitgangspunten zijn waarop ons systeem van bescherming berust. Maar deze opmerking werd gemaakt in verband met de discussie over terrorisme. Bij privacy en andere grondrechten zoeken we weer andere balansen.
Mevrouw Thieme (PvdD): Dus de minister vindt de privacybescherming bij de terrorismebestrijding minder belangrijk dan bij andere zaken?
Minister Donner: Nee, ik geef alleen aan dat in onze rechtsorde met betrekking tot verschillende grondrechten verschillende balansen zijn. Er is geen afweging die absoluut is, zelfs de bescherming van het leven niet. Het is al vele jaren zo dat die belangen van verschillend gewicht zijn en verschillend gewogen worden in het maatschappelijk verkeer. Met betrekking tot het onschuldigen in de gevangenis zetten, is ons strafrecht zeer rigide op het punt van het voorkomen daarvan.
De heer Schouw (D66): Ten eerste, begrijp ik goed uit het betoog van de minister dat de motie-Franken wordt overgenomen, maar dat een aantal dingen nog uitgewerkt moet worden? Ten tweede had ik gevraagd of die meldplicht gedistribueerd zal worden over verschillende sectoren of dat het kabinet ernaar streeft om dit bij één instantie neer te leggen.
Minister Donner: De staatssecretaris kan het beste het antwoord geven met betrekking tot de meldplicht bij datalekken. Bij de nog nader te bespreken meldplicht met betrekking tot de inbreuk op de systemen wil ik eerst kijken wat nu het beeld is. Bij die certificaten constateer ik in hoge mate onderscheid tussen verschillende sectoren. Bij de banken is het weer totaal anders dan op andere terreinen. De vraag waar en hoe dat te melden, zal aan de orde komen, maar daar kan ik nu nog geen antwoord op geven.
De heer Recourt (PvdA): De minister zegt dat het niet zinvol is om een horizonbepaling in te voeren, maar de motie-Franken is daar wat genuanceerder in, want die heeft het ook over een mogelijke evaluatie. Mag ik de minister zo begrijpen dat als we geen horizonbepaling doen, dan toch wel een evaluatie?
Minister Donner: Ik probeer duidelijk te maken dat we inderdaad hieraan verder werken en dat is in wezen ook de teneur van de Notitie privacybeleid. Op basis van de motie-Franken is een aantal elementen al onderdeel van de toetsing van wetgeving, voor andere onderdelen zijn we aan het bekijken wat mogelijk is. Horizon- en evaluatiebepaling behoren tot de mogelijkheden die bekeken worden.
Staatssecretaris Teeven: Voorzitter. Ik dank de leden van de commissie voor hun inbreng. Dit is een onderwerp dat ons allen beroert in wisselende toonhoogten en in de tijd met meer of minder belangstelling. Mevrouw Thieme vroeg waarom de motie-Franken niet is meegenomen in de notitie. Die notitie is van 29 april en de motie-Franken is van 17 mei en kort daarna aangenomen in de Eerste Kamer. De minister van BZK heeft al duidelijk aangegeven dat wij voornemens zijn die motie uit te voeren, onder het voorbehoud dat we doen wat nodig is. De heer Schouw miste ondanks de brief van 29 april met uitgebreide bijlage de algemene beleidsvisie. Ik denk dat juist die notitie een visie geeft op tal van onderwerpen. Een aantal aspecten zal nog nader uitgewerkt worden.
Ik wil de Kamer het spoorboekje van het kabinet meegeven van wat we concreet gaan doen met betrekking tot die verschillende punten uit de notitie.
De meldplicht datalekken, gericht op de bescherming van persoonsgegevens, zullen we zo snel mogelijk gaan opzetten en voorzien van een robuuste bestuurlijke sanctie en een strafrechtelijke boete, als dat noodzakelijk is.
De minister van BZK heeft inzake de Telecommunicatiewet gesproken over het wetsvoorstel met betrekking tot integriteitskwesties dat bij de
Eerste Kamer ligt. Ik spreek erover met betrekking tot datalekken. Het wetsvoorstel dat bij de Eerste Kamer ligt, dekt nog niet alle problemen die zich lijken voor te doen bij DigiNotar. De minister van BZK en ik moeten zo spoedig mogelijk in de breedte bekijken welke omissies er in de Telecommunicatiewet zitten als het om integriteitsschending gaat of als het om een instelling gaat die niet in strikte zin onder de Telecommunicatiewet kan worden gebracht. De vraag is of we dat onder de Wbp moeten brengen of dat we het wetsvoorstel nog moeten aanvullen. Met dat onderdeel gaan we met gezwinde spoed verder, zoals ook in het gedoog-en regeerakkoord staat.
Het tweede onderdeel betreft een betere regeling voor het beschikbaar stellen van beeldmateriaal van strafbare feiten door particulieren, kortom, wat in het veiligheidsdomein gebeurt, de uitwisseling van informatie en hoe we omgaan met beeldmateriaal. Ons voornemen is om te komen met een regeling die dat verwerkingsverbod van de gegevens in de Wbp onder voorwaarden opheft. Soms zijn die verboden niet strikt en is het een cultuuraspect. Dan is de mogelijkheid er wettelijk wel, maar wordt het niet gedaan. Soms zijn er belemmeringen en als die er zijn willen we dat verwerkingsverbod opheffen. Die voorwaarden zullen uiteraard betrekking hebben op het primaat van opsporing en vervolging door de overheid. Onderwerp van discussie de komende maanden zullen zijn: camerabeelden, de Automatic Numberplate Recognition (ANPR), gaan we dat in de Wbp regelen en blijft het CBP de toezichthouder of gaan we die toezichthoudende taak ergens anders in afzonderlijke wetten neerleggen. Dat gebeurt al bij de strafvordering in bepaalde zaken. Daar is niet het CBP maar een andere instantie binnen de rijksoverheid de toezichthouder. Dat is punt van onderzoek voor de komende maanden. De beslissing om het weg te halen bij het CBP is nog niet genomen, maar we kijken wel naar de mogelijkheden om het concreet te regelen.
De heer Schouw (D66): Dit is een indringend punt. Als we de verkeerde weg inslaan, zal het toezicht op de privacy in dit land versnipperd gaan plaatsvinden. Ik begrijp dat het kabinet het nog bestudeert. Ik vraag aan de staatssecretaris hoe hij deze discussie op een ordelijke manier met deze Kamer wil gaan voeren. De keuze tussen centraliseren of versnipperen is nogal wat. Wanneer kunnen we daar stukken over de pro’s en contra’s over verwachten en dat in de volle omvang met elkaar bespreken?
Staatssecretaris Teeven: Ik denk dat het een urgente discussie is. Diverse fracties vragen om het waarborgen van de gegevensuitwisseling. Wat mij betreft gaat het in twee fasen. We gaan eerst bekijken of we het allemaal via de Wbp kunnen regelen of via afzonderlijke wetten. Daarna gaan we bepalen, kijkende naar de werkzaamheden van het CBP en naar wat functioneel is, of het zinvol is om het te laten waar het nu is of om het onder te brengen in de veiligheidssector of een andere plaats binnen de rijksoverheid. Dit onderwerp kun je op verschillende manieren regelen en daar wil het kabinet zich op beraden. We zullen dit najaar met een brief komen, waarin staat hoe we het wettelijk regelen en waar we het toezicht neerzetten.
De heer Schouw (D66): Dus in september of oktober komt het kabinet met een brief met de keuzes en opties die we hier in de Kamer met elkaar kunnen bespreken. Ik wil graag met de staatssecretaris afspreken dat het kabinet geen onomkeerbare stappen neemt totdat we dat hier met elkaar hebben besproken.
Staatssecretaris Teeven: Het kabinet is voornemens om de situatie rondom de camerabeelden wettelijk te gaan regelen. Over die eerste stap zullen wij de Kamer informeren. We hebben in de notitie gezegd dat we gaan voor optimale informatie-uitwisseling. Zeker in de interne dimensie van het ministerie van V en J bij de informatie-wisseling tussen jeugdzorg en politie en justitie, zitten we met een aantal acute problemen. Niet alleen de camerabeelden vormen een probleem, maar ook de ANPR en de informatie-uitwisseling binnen de veiligheidshuizen. De eerste stap is een aantal zaken op te lossen. De tweede stap is wie het toezicht houdt en daar zullen we de Kamer eerst over berichten en fundamenteel met elkaar over van gedachten wisselen.
Het derde onderdeel betreft de stevige sanctionering in het domein van de private sector, het toezicht op grotere spelers in de private sector. Daar gaan we met gezwinde spoed mee voort. Gezegd werd dat het CBP geen schoothondje moet worden, maar tanden moet krijgen. Het kabinet is van mening dat er voor het CBP op dat onderdeel daadwerkelijk behoorlijke mogelijkheden van sanctionering moeten zijn. In Brussel worden op dit moment in Europees verband ook over die sanctionering in de private sector stappen genomen. We zullen het nationale model in nauw contact met de Europese ontwikkelingen implementeren. Die Europese dimensie moet nadrukkelijk worden meegenomen. Je moet niet nationaal snel dingen gaan regelen als er straks voor de lidstaten van Europa een model komt waar het onze dan niet bij aansluit. We moeten dat parallel laten lopen en dat gaat dit najaar gebeuren.
Dus, met de meldplicht datalekken gaan we meteen verder, want daar zitten een aantal omissies in. In het verhaal van het veiligheidsdomein zitten een aantal problemen die wetgevingstechnisch moeten worden geregeld en met de Kamer zal gediscussieerd worden waar we het toezicht neerleggen. Voor het toezicht in de private sector zullen we, kijkend naar de Europese ontwikkeling, het CBP uitrusten met boetes van Neelie Kroes-achtige proporties of met slagtanden.
De heer Elissen (PVV): Ik begrijp dat de staatssecretaris ook kijkt naar Europese ontwikkelingen maar ik hoop dat hij het met mij eens is dat het dermate belangrijk is voor de nationale veiligheid dat we in Brussel vooraan moeten staan om onze belangen veilig te stellen.
Staatssecretaris Teeven: De Kamer moet mij goed verstaan. Er zijn drie dimensies: de ontwikkelingen in de veiligheidssector, de ontwikkelingen in het private domein met de Europese ontwikkelingen op de achtergrond en de zaken die keihard in het regeerakkoord staan met betrekking tot die meldplicht datalekken. In de veiligheidssector zitten twee dimensies: wetgeving en toezicht. In de wetgeving zitten een aantal urgente dingen, waar we snel mee moeten komen. De minister heeft op dit punt een aantal zaken in zijn portefeuille en ikzelf ook. We gaan ons oriënteren op de toezichthoudende taak en bekijken waar we dat moeten neerleggen. Het is zo dat je het CBP niet oneindig meer taken kunt blijven geven en vervolgens zeggen dat die binnen het huidige raam moeten worden gedaan. Dit is het spoorboekje zoals ik dat in mijn hoofd heb. Het is natuurlijk een beetje bijzonder dat we eerst met de Eerste Kamer hebben gesproken en nu pas met deze Kamer.
Op de vraag of we een collectief klachtrecht voor betrokkenen gaan regelen, kan ik antwoorden dat er al een mogelijkheid bestaat tot het bundelen van klachten. Artikel 3:305a van het Burgerlijk Wetboek kent die mogelijkheid. Een specifieke mogelijkheid voor privacyklachten kan beter op Europees niveau worden geregeld. Daar worden initiatieven toe ondernomen. We zullen daarover op een volgende vergadering van de Europese Raad spreken en die ontwikkelingen wil ik nog meenemen. Op dit moment bestaat zo’n mogelijkheid al wel, maar je kunt je afvragen of die voldoende effectief is.
Op de vraag van de heer Recourt of je altijd uitdrukkelijk toestemming moet vragen bij het uitwisselen van gegevens met betrekking tot de sociale media, antwoord ik dat dat uitgangspunt moet zijn. Maar volgens de huidige richtlijn en wet is dat niet de enige rechtvaardigingsgrond. We gaan daar bij de verdere ontwikkeling van de Wbp naar kijken, maar ik verwacht op dit punt geen verandering.
De heer Recourt heeft gevraagd of de regering voornemens is bijzondere voorzieningen te treffen voor kinderen met betrekking tot de uitwisseling van gegevens. Ik begrijp de zorg die bij de PvdA-fractie bestaat, maar ik wil vooralsnog vertrouwen op de handhaving door het CBP. Ik zie als overheid op dit moment geen reden om in te grijpen. Het is natuurlijk ook een verantwoordelijkheid van ouders om daar op te letten. Ik daag de heer Recourt uit om in tweede termijn nader aan te geven waar zijn gedachten naar uitgaan op het punt van een wettelijke regeling van de zijde van de overheid. Of het noodzakelijk is om het CBP te voorzien van extra financiering weten we binnen een aantal maanden. Het is nog de vraag of er werkelijk sprake zal zijn van een taakverzwaring. Er wordt natuurlijk ook geprioriteerd, De adviesfunctie lijkt hierdoor ten onder te gaan. We gaan 18 mld. bezuinigen en misschien nog wel meer. Het is naar het oordeel van de regering niet onredelijk om ook het CBP te vragen een steentje bij te dragen aan de totale bezuiniging, maar je kunt er natuurlijk niet steeds opnieuw werkzaamheden bovenop blijven zetten.
De heer Recourt (PvdA): In de algemene inleiding hoorde ik de staatssecretaris zeggen dat het CBP stevige slagtanden en wellicht draconische boetes krijgt. Daar heb je toch alleen wat aan als je ook onderzoekscapaciteit hebt en voldoende mankracht in kunt zetten tegen die grote multinationals? De staatssecretaris noemde het herprioriteren en de redelijkheid van het leveren van een kleine bijdrage door het CBP, maar daar krijgt het geen slagtanden van. We bouwen een club zonder iets aan de capaciteit te doen, dus ik ben bang dat het een schoothondje gaat worden.
Staatssecretaris Teeven: Ik denk dat het niet altijd een kwestie van geld is. Het CBP zelf heeft de prioriteiten gewijzigd en een verschuiving van advisering naar handhaving bewerkstelligd. Ik ken de noden van het CBP en heb er een aantal malen over gesproken met de voorzitter van het college. We zitten in tijden van financiële krapte. Desondanks wil ik toezeggen dat ik dat, op het moment dat die wetgeving uitgekristalliseerd is en we een totaaloverzicht hebben van de uitbreiding van het handha-vingsarsenaal, opnieuw wil bezien. Ik hoop dat voor de behandeling van de justitiebegroting te kunnen bewerkstelligen. Op dit moment ga ik daar geen toezeggingen over geven.
Er is gevraagd of ik van mening ben dat de sociale media vooraf toestemming moeten vragen voor het gebruik van persoonsgegevens. De rechtvaardigingsgrond is het geven van toestemming. Ik heb al geantwoord op schriftelijke Kamervragen daarover van diverse fracties. Het is aan het CBP om te bepalen of wordt voldaan aan de eisen van de Wbp en of dat ook in concrete individuele gevallen gebeurt. Het is voor mij moeilijk om daar een algemene uitspraak over te doen. De handhaver is het CBP.
Ik ga niet regelen dat voor minderjarigen per e-mail aan de ouder toestemming wordt gevraagd voor toegang tot internet. Dat vind ik een eigen verantwoordelijkheid van ouders. Daar zijn ook softwarepakketten voor, zodat kinderen bepaalde sites niet kunnen benaderen zonder toestemming van de ouder. Ik zie op dit moment geen rol voor de overheid om wettelijk in de eigen verantwoordelijkheid van de gezinnen te interveniëren.
De vragen van de heer Schouw zal ik allemaal nalopen. We waren al een eind op streek om met het wetsvoorstel in consultatie te gaan, maar het is nog niet zover. Met de privaatrechtelijke sector wil ik nadrukkelijk nog even kijken naar Europa. Met betrekking tot de meldplicht wil ik de voortgang erin houden. In de veiligheidssector moet ik een aantal zaken opnieuw bekijken, gezien de discussie van deze zomer en het aantal knelpunten dat er is. Het is wel mijn voornemen om het snel in consultatie te brengen. In de woorden over het totaal ontbreken van een beleidsvisie herken ik me niet, want sinds 29 april ligt er wel degelijk een stuk. We hebben dat op 17 mei in de Eerste Kamer besproken en we hebben de ontwikkelingen in de zomer gehad, ook op andere terreinen rondom privacy. Dat vraagt om een herbezinning, anders krijg ik het verwijt dat ik te ver voor de troepen uitloop. Er komt dus een meldplicht lekken persoonsgegevens, enerzijds aan de betrokkene zelf en anderzijds aan de toezichthouder. Dat wordt gesanctioneerd met een bestuurlijke boete en/of een strafsanctie. We zijn vrij ver met het kijken naar de hoogte van die boete, maar we moeten een aantal zaken opnieuw schikken. Daarna gaat het in consultatie.
Met betrekking tot DigiNotar is het goed om scherp te hebben dat de wijzigingen in de Telecommunicatiewet mogelijk niet alles dekken wat er bij dat bedrijf is gebeurd, omdat het misschien geen instelling is die compleet onder de Telecommunicatiewet valt. Dat brengt met zich mee dat er in de Wbp in het kader van de integriteitsmeldplicht aanvullend zaken geregeld moeten worden.
Er is op dit moment onvoldoende reden om de privacy impact assessment in wetgeving voor te schrijven. Ik wijs de heer Schouw erop dat daar voor het bedrijfsleven ook de nodige kosten mee zijn gemoeid. Dat moet in aanvaardbare verhouding staan tot de risico’s, die met een PIA in kaart kunnen worden gebracht. Wat de minister van BZK daarover gezegd heeft, en wij beiden ook in de Eerste Kamer, zeg ik ook tegen de heer Schouw: als het gaat om de overheid hebben we een aantal afspraken gemaakt en ook de uitvoering van de motie-Franken, waaraan we loyaal uitvoering zullen geven, dekt een aantal van die problemen. Het is zeer aannemelijk dat het houden van een PIA voor het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting.
Hoe gaan we privacy by design stimuleren? Het is belangrijk dat dat wordt ingebakken in de opbouw van informatiesystemen. Daar hoort ook bij te weten wie er inlogt en hoe systemen aan elkaar worden gekoppeld. We willen de toepassing van privacy by design, maar er is goede kennis voor nodig van kansen en belemmeringen. Het ministerie van Economische Zaken (EZ) en de Nederlandse Organisatie voor toegepast natuurwetenschappelijk onderzoek (TNO) doen daar onderzoek naar. De uitkomst wordt dit najaar bekend gemaakt en die doen we aan de Kamer toekomen. Ik ben het met de heer Schouw eens dat je er met de tekst in het regeerakkoord alleen niet bent. Het moet ook body krijgen.
Gevraagd is of het CBP, Bits of Freedom en andere organisaties betrokken worden bij de wetgeving. Jazeker, Bits of Freedom in de consultatiefase en het CBP uiteraard in zijn rol als wetgevingsadviseur. De voorzitter van het CBP, de medewerkers van het ministerie en ikzelf staan in direct contact met elkaar. We zijn het niet altijd met elkaar eens, maar proberen er in de rollen die wij hebben op een goede manier uit te komen. Dat lukt tot nu toe prima.
Een heikel punt – en ik verbaas met een beetje over de opstelling van de leden van de commissie – is wat het kabinet heeft geschreven over bezwaar en beroep in relatie tot bevindingen en in relatie tot conclusies. Het is mij volstrekt helder dat de opmerkingen die in augustus in de media zijn verschenen niet correct zijn. De voorzitter van het CBP heeft daar uiteraard met mij over gesproken. Anderzijds heb ik te maken met rechtsbescherming voor de burger, ook op het punt van boetes en sancties die worden opgelegd door het CBP. Je kunt onderscheid maken in bezwaar en beroep in relatie tot bevindingen en tussenrapportages en tot eindconclusies. We zullen daar nog een keer scherp naar kijken. We zullen dat in de uitwerkingen meenemen. Ik vind het belangrijk – en hoop dat de commissie dat ook vindt – dat burgers en bedrijven tegen zo’n rapport in rechte kunnen opkomen als zij daar niet mee akkoord zijn. Dat bevordert ook de zorgvuldigheid bij het opleggen van sancties. Een aantal van de leden heeft in de zomermaanden terecht aandacht voor die zorgvuldigheid gevraagd. We moeten altijd kijken naar draagkracht, proportionaliteit en subsidiariteit in voorkomende gevallen. Zo’n maatregel van bezwaar en beroep kan daartoe bijdragen.
De heer Elissen (PVV): Ik heb begrepen van het CPB dat er zelfs in de fase waarin nog sprake is van een voorlopig rapport van bevindingen al bezwaar en beroep mogelijk zou moeten worden gemaakt. Dat vind ik frustrerend. Dat moment zou er pas moeten zijn als er een voor beroep vatbaar besluit ligt, gericht op een rechtsgevolg. Ik vind het wat prematuur om dat middel al zo vroeg in te zetten. Dat leidt volgens mij tot heel veel extra bureaucratie en dat moeten we niet willen. Hoe kijkt de staatssecretaris daar tegenaan?
Staatssecretaris Teeven: Ik heb al gezegd dat ik, de opmerkingen van de commissie gehoord hebbende, nog eens kritisch zal kijken wat je tussentijds met bezwaar en beroep doet en wat je aan het eind doet. Ik ben er bij de uitwerking van deze maatregelen wel steeds vanuit gegaan dat de commissie rechtsbescherming voor burgers en bedrijven bij dit soort zaken een belangrijk punt vindt. Het is continu een afweging tussen enerzijds scherpere tanden en meer handhavingsmogelijkheden en anderzijds dat de rechtsbescherming bij dit kabinet in goede handen moet zijn. Het gaat om een afweging van belangen.
De heer Elissen (PVV): Over die rechtsbescherming zijn wij het eens, die is goed geregeld, namelijk op het moment dat het besluit er ligt. Volgens mij houdt het CBP op basis van het voorlopig rapport van bevindingen hoor en wederom en komt het daarna pas tot een maatregel. Dat kan een waarschuwing of een last of dwangsom zijn. Dat maakt het nodeloos om al in het voortraject met dat hele gedoe van bezwaar en beroep te beginnen. Het is inefficiënt. Als het gaat om die scherpe tanden zou ik zeggen: concentreer je op de hoektanden.
Staatssecretaris Teeven: We zijn het erover eens. Ik heb al gezegd dat er slagtanden moeten komen, zeker in de privaatrechtelijke sector. Maar ik heb leden van de commissie en de PVV-fractie daarover deze zomer andere uitlatingen horen doen, bijvoorbeeld dat individuele burgers niet met onnoemelijk hoge boetes geconfronteerd moeten worden voor bagatelfeiten. Dan is het heel goed dat mensen in een vroeg stadium kunnen optreden. Wij gaan er nog eens heel scherp naar kijken. Misschien moeten we onderscheid maken tussen de verschillende spelers, als dat mogelijk is.
De heer Van Raak (SP): Waarom niet beroep en bezwaar mogelijk maken tegen de conclusies en sancties, want dan zal het rapport van bevindingen ook onderwerp van discussie kunnen zijn. Daarom stel ik voor het CBP te vragen het rapport van bevindingen openbaar te maken zodra het klaar is. Dan kan het op het moment dat er bezwaar of beroep is tegen de conclusies en sancties worden meegenomen. Volgens mij is dat een goede rechtsbescherming. Het gevaar dat je anders loopt, is dat bedrijven en organisaties met veel geld al in een heel vroeg stadium bezwaar gaan maken tegen een onderzoek dat nog nauwelijks af is en daarmee de zaak gaan traineren en verlengen en die scherpe tanden weer bot gaan maken.
Staatssecretaris Teeven: De heer Van Raak heeft een punt, maar hij ziet over het hoofd dat, als je het rapport van bevindingen openbaar gaat maken als naming and shaming voordat er bezwaar of beroep mogelijk is, dat heel veel schade kan toebrengen aan burgers en bedrijven. Dat is de weg die ik niet wil volgen. Dan kunnen mensen nog wel in bezwaar of beroep gaan, maar dan is het leed al aangericht en het bedrijf al ten gronde gericht. Ik ga opnieuw bekijken of we daar een oplossing voor kunnen vinden. Er zit discrepantie tussen enerzijds transparantie, zoals de heer Van Raak bepleit, om zo’n rapport van bevindingen meteen openbaar te maken en dan bezwaar en beroep in te dienen tegen de conclusies en anderzijds schade die al is aangericht terwijl dat misschien niet terecht is. Daar moeten we zorgvuldig mee omgaan.
De heer Schouw (D66): Ik maakte bezwaar tegen het huidige voorstel. Ik stel vast dat de staatssecretaris zegt dat hij er opnieuw en open naar wil kijken. Ik wil hem vragen te bekijken hoe dat bij andere toezichthouders geregeld is en een procedure te volgen die gebruikelijk is in die wereld van het opleggen van sancties en boetes. Het huidige voorstel lijkt daar nogal van af te wijken.
Staatssecretaris Teeven: We gaan het opnieuw bekijken, ook de openbaarmaking of mogelijk latere openbaarmaking van de stukken die zijn opgesteld.
Ik wijs er naar aanleiding van diverse vragen op dat het bij de aangenomen motie-Franken in de Eerste Kamer om drie stappen gaat: een integraal afwegingskader en de voorbereiding van wetgeving, het wetgevingskwaliteitsbeleid en de toetsing van de wetgeving en ten slotte het zorgvuldig afwegen van evaluatie- en horizonbepalingen. Dat gaan we uitvoeren, onder het voorbehoud dat de minister van BZK heeft gemaakt met betrekking tot die evaluatie- en horizonbepaling, want de vraag is of dat altijd nodig is.
De heer Schouw heeft nog gevraagd welke mogelijkheden er zijn om privacyschendingen door datalekken aan te pakken. Artikel 13 van de Wbp schrijft voor dat de verantwoordelijke voor de gegevensverwerking ervoor moet zorgdragen dat de verwerking van persoonsgegevens voldoende beveiligd is. Bij overtreding van die eis kan het CBP handhavend optreden.
De vraag welke informatie op grond van de USA PATRIOT Act naar de VS gaat, heeft minister Donner aan mij doorverwezen. De USA PATRIOT Act is hetzelfde als het Nederlandse Wetboek van Strafvordering. Dat ziet toe op een aantal zaken rondom strafzaken en bevoegdheden op strafvorderlijk terrein. Dat verschilt niet veel van Nederland, hoewel wij bepaalde bevoegdheden kennen die de Amerikanen niet in hun wet willen. Onder rechterlijk toezicht vindt in de VS de bevoegdheid tot het vorderen van gegevens plaats. Complicerend is de territoriale werking van die extraterritoriale wetgeving in de VS. Dat is met betrekking tot de USA PATRIOT Act al vaker aan de orde geweest. Soms leidt dat tot een conflict van plichten. De passagiersgegevens is hét onderwerp waar dat speelt en waar we proberen dat in samenwerking met lidstaten van de Europese Unie op te lossen. Ik wijs de Kamer erop dat Nederland op het punt van die conflicten van plichten, zeker met die passagiersgegevens, laatst heeft gezegd dat er niet voldoende garantie is om daar op dit moment mee door te gaan. Ik verwijs de Kamer naar de verslaglegging van de Europese Raad van 18 en 19 juli jl. Ik heb daar expliciet aandacht gevraagd voor het punt van die botsende belangen. We moeten niet te snel akkoord gaan met de Amerikanen. Ik ga ervan uit dat de minister van V en J dat met de Kamer heeft gewisseld.
De heer Van Raak (SP): Ik heb de staatssecretaris gevraagd wat voor soort informatie er aan de Amerikanen wordt gegeven. Hij antwoordde: passagiersgegevens. Maar welke gegevens worden er nog meer gegeven? We hebben een probleem omdat er informatie wordt gegeven die we niet kwijt willen. Dat kunnen nooit alleen passagiersgegevens zijn. Ik heb begrepen dat de regering overweegt om in de aanbestedingsprojecten eisen te stellen, zodat Microsoft, Google en andere bedrijven die hier diensten verlenen geen informatie meer aan Amerika of andere landen geven als wij dat niet willen. Gaat de regering dat eisen in de aanbesteding?
Staatssecretaris Teeven: Daar heeft de minister van BZK zojuist een aantal opmerkingen over gemaakt. Op dat punt heeft hij gezegd dat we dat aan het onderzoeken zijn en aan het bekijken hoe we daarmee om moeten gaan. Dat is zijn verantwoordelijkheid. De vraag was om wat voor gegevens het gaat. Passagiersgegevens waren een voorbeeld, maar ik heb tegelijkertijd gezegd dat het ook om individuele strafzaken gaat. Dat gebeurt op last van de rechter. Ik denk dat het niet gepast is om in dit overleg te kijken wat er in die individuele strafzaken is gebeurd.
De heer Van Raak (SP): Met alle respect, de minister heeft gezegd dat hij ging bekijken wat hij in onderlinge samenhang kon doen. Misschien moeten we als Kamer een motie indienen, anders komt de regering er te gemakkelijk mee weg. De staatssecretaris zegt dat het om individuele strafzaken gaat. Ik vraag geen namen en rugnummers, maar wat voor soort informatie er in algemene zin wordt uitgewisseld. Dan kan de minister zich niet verschuilen achter individuele strafzaken.
Staatssecretaris Teeven: Ik kan in algemene zin zeggen: in de strafzaken die het hier betreft moet je denken aan passagiersgegevens, bankgegevens, financiële informatie en vervoersinformatie. Mevrouw Thieme maakte de opmerking dat privacy niet mag worden ingeruild om gevoelens van onveiligheid te compenseren. Ik denk dat het kabinet op dat punt hetzelfde beleid voert als het vorige kabinet. Het is niet zo dat privacy tegenover het bevorderen van de veiligheid staat. Die dingen kunnen heel goed samengaan en wij proberen dat in dit regeerakkoord ook te laten samengaan. Het gaat erom dat we bijvoorbeeld binnen de interne dimensie van veiligheid en justitie optimaal informatie uitwisselen tussen de instanties en tegelijkertijd de privacy waarborgen. Die uitdaging zit in het regeerakkoord verscholen. Het is niet of of, maar en en.
De vraag van mevrouw Van Toorenburg hoe ik denk over het verruimen van de mogelijkheden voor burgers om foto’s en camerabeelden op internet te zetten, is nog blijven liggen. De koninklijke weg is en blijft dat burgers hun beelden aanbieden aan de politie en dat die vervolgens actie onderneemt. Politie en justitie kunnen beter individuele afwegingen maken dan burgers. Dan voorkomen we dat beelden van burgers onterecht op internet blijven kleven. Desondanks wil ik met betrekking tot burgers en particuliere beveiligingsorganisaties en recherchebureaus kijken hoe beelden daarmee kunnen worden gedeeld en bewaard en hoe de veiligheid optimaal kan worden bevorderd. Dan komt de vraag aan de orde hoe en waar je dat wettelijk gaat regelen en wie je er toezicht op laat houden. Dat speelt zich in het veiligheidsdomein af. Dat is een stapje verder dan politie en justitie en zal nadrukkelijk onderwerp zijn van het onderzoek dat de komende weken ter oriëntering zal plaatsvinden. Burgers moet ik wijzen op het onterechte schandpaaleffect. Zij moeten zich ervan bewust zijn dat als zij onzorgvuldig handelen het CBP moet optreden. Ik zeg wel dat ik, als het gaat om kleine private partijen, het CBP niet meer bestuurlijke bevoegdheden wil geven dan een paar kleine melktandjes. Dat is de lijn die het kabinet wil inzetten en daar zal het CBP niet veel moeite mee hebben, want dat is niet voornemens hoge boetes op te leggen aan kleine private partijen. Burgers moeten zich er wel van vergewissen dat andere burgers behoorlijk beschadigd kunnen raken door die beelden.
Het voornemen van het kabinet is inderdaad om de termijn voor het bewaren van beelden te verlengen. Mevrouw Van Toorenburg heeft gevraagd of die beelden gebruikt kunnen worden om de snelwegschutter op te sporen. Afgezien van de vraag of er een snelwegschutter is, zou dit een middel kunnen zijn. Hoe we dat gaan regelen, wordt nadrukkelijk meegenomen in de wetgeving. De beide bewindspersonen op Veiligheid en Justitie zijn het er volstrekt over eens dat het prioriteit heeft. We hebben al van gedachten gewisseld over die openbaarmakingsbe-voegdheid. We moeten constateren dat het CBP voorlopig zelf op basis van artikel 8 van de Wet openbaarheid van bestuur tot op zekere hoogte sanctiebesluiten openbaar kan maken. Op de definitieve keuze hoe hiermee verder te gaan, ga ik nog niet in. We moeten wel voorkomen dat mensen ten onrechte worden beschadigd, doordat iets te snel openbaar wordt gemaakt. Dat is ook privacy.
Komen de gegevens van Nederlanders in handen van buitenlandse mogendheden? Dat is zeker niet de bedoeling, maar via hacking kan het wel. Dat kan nooit helemaal worden voorkomen. Verder geldt dat de Wbp en de richtlijnen een uitgewerkte regeling bevatten voor de rechtmatige overdracht van gegevens aan het buitenland. Die mogelijkheid is er al. In het strafrecht gaat dat uiteraard via de weg van de rechtshulp. De heer Elissen heeft gevraagd wat er valt onder de integrale benadering. Daar vallen onder de standaardzaken, alleen gegevens verstrekken die nodig, doelbinding, beveiliging, scenario’s voor problemen met datalekken, wie de leiding heeft en wat de rol van de staatssecretaris is. Het is de bedoeling dat ik die kar trek binnen het kabinet en dat gaat via het spoorboekje dat ik in de algemene inleiding heb geschetst. De heer Van der Steur heeft het gehad over cloud computing. Dat is een heel fundamentele zaak. De effecten van cloud computing zijn van zeer grote invloed op de nieuwe EU-instrumenten. Het is ook onderwerp van discussie in de JBZ-Raad. Ik wil de Europese ontwikkelingen afwachten, want het heeft geen nut om dit alleen voor Nederland te bespreken. We zullen het monitoren. Voor de Nederlandse overheid wordt uit veiligheidsoverwegingen gewerkt aan een eigen «rijkscloud».
Ik kan over de gegevensdeling zeggen dat de minister van V en J en ik van mening zijn dat, als er op dit moment zo’n honderdduizend mensen werken aan een veiliger Nederland, het uitgangspunt binnen de doelbinding moet zijn dat gegevens altijd worden gedeeld. Wettelijke belemmeringen moeten zo veel mogelijk worden weggenomen, evenals culturele belemmeringen. We moeten soms ook buiten die doelbinding kunnen delen. Bij kindermishandeling en jeugdzorgproblematiek kan het niet zo zijn dat kinderen het slachtoffer worden als er niet optimaal kan worden gedeeld. Aan de belemmeringen die er zijn, gaan we het komend halfjaar wat doen. We zullen de Kamer daarover informeren. Als er gedeeld kan worden binnen het domein van veiligheid van justitie – en soms ook daarbuiten en misschien zelfs met doorbreking van geheimhoudingsplichten – zullen dat onderwerpen zijn die de komende tijd nadrukkelijk op de agenda worden gezet.
Om de administratieve lasten voor het mkb te verminderen is al heel veel gedaan. Er ligt op dit moment een wetsvoorstel in de Eerste Kamer om de meest in het oog springende lasten te verminderen en er is een wijziging van het vrijstellingsbesluit in voorbereiding om de lasten die in gedelegeerde regelgeving verscholen liggen te reduceren. Ik heb al eerder aangegeven dat dat besluit dit najaar in procedure zal gaan. Dan kunnen we die lastenvermindering daadwerkelijk vormgeven.
De heer Van der Steur (VVD): De staatssecretaris verwijst in het antwoord over de lastenvermindering naar het wetsvoorstel dat wij ook in de Tweede Kamer behandeld hebben. Hij weet dat de VVD-fractie over dat wetsvoorstel niet zo enthousiast was, omdat dat was wat er uiteindelijk overbleef van alle voorstellen die in de vier of vijf jaar daarvoor waren gedaan. Ik roep de staatssecretaris namens de VVD-fractie op in de komende tijd, nu hij terecht zo gefocust is op privacy, die lastenverlichting nog eens goed in ogenschouw te nemen ten behoeve van het mkb.
Staatssecretaris Teeven: Het ministerie heeft het bedrijfsleven nadrukkelijk uitgenodigd om uitvoerbare voorstellen te doen om de lasten te beperken. Daar hebben we er een aantal van gekregen, maar ik wil niet verhullen dat ik ook denk aan de vereenvoudiging van de meldplicht bij de verwerking van persoonsgegevens, de vergemakkelijking van grensoverschrijdende gegevensdoorgifte en concernverhoudingen. Wij hebben dat bij de behandeling van dat wetsvoorstel ook gewisseld met elkaar. De kritiek van de Kamer is goed doorgekomen en staat ook op de agenda. Volgens mij zijn wij het er volstrekt over eens dat proportionaliteit niet alleen een belangrijke rol speelt bij de boeteoplegging, maar ook bij de procedures.
De heer Elissen heeft nog vragen gesteld over dat servicecentrum bij veiligheid en justitie. We hebben de adviesrol van het CBP, maar binnen het domein van veiligheid en justitie voor professionals hebben we nu een servicecentrum. Dat is in het debat met de Eerste Kamer aan de orde gekomen en in januari jl. operationeel geworden. Dat servicecentrum zal met name in de advisering over de interpretatie van privacymaatregelen een belangrijke rol gaan vervullen. Juist binnen de overheid denken veel mensen dat privacy een belemmering is voor de uitwisseling van gegevens, terwijl dat in werkelijkheid niet zo is.
De heer Recourt (PvdA): Voorzitter. De collectieve schadevergoedingsactie is volstrekt onvoldoende, maar die moeten we maar apart agenderen. Dan de commerciële markt. De staatssecretaris wijst naar het CBP om de Googles enz. te controleren, maar dat is achteraf. Ik vraag dit kabinet juist om normen te stellen waaraan ze moeten voldoen en dan kan achteraf een boete worden opgelegd door het CBP. Dit moeten we niet aan de markt laten, want er zit daar een belang om geld te verdienen aan persoonsgegevens. Als overheid moeten we dat normeren. Begrijp ik betreffende de centenkwestie goed dat de staatssecretaris er nog eens kritisch naar gaat kijken en liefst voor de begroting een conclusie zal trekken, die met ons gedeeld wordt middels een brief? Ik word er graag van op de hoogte gesteld, want als we het geen handen en voeten geven, blijft het een papieren tijger.
Als laatste artikel 5 van de Wbp. Ook hier geldt weer: stel als overheid normen. Je kunt ouders het niet zelf laten uitzoeken. Ze willen graag geholpen worden. Ook kinderen zitten er niet op te wachten dat hun profiel gezien wordt door vieze mannen. Laten we als overheid die norm aan het bedrijfsleven stellen, dan kan het CBP artikel 5 later handhaven met boetes. We moeten aan de voorkant beginnen en zo helpen we ouders om hun eigen verantwoordelijkheid te pakken.
De heer Schouw (D66): Voorzitter. Ik heb in de eerste termijn het privacybeleid van de regering vergeleken met een bruine boterham met een heel dun laagje oude margarine. Ik wil er twee blokken uithalen die daar de bewijsvoering voor zijn.
Ten eerste moet de meldplicht een substantieel ding worden van dit nieuwe kabinet, maar is er nog weinig mee gebeurd. Dank aan de staatssecretaris voor het verhaal, maar ik wil gewoon een datum weten waarop het in consultatie gaat en wanneer we er hier in de Kamer over kunnen spreken, zodat er iets wordt gerealiseerd. Ik daag de staatssecretaris uit om dat wettelijke traject rondom die meldplicht binnen een jaar af te ronden. Dan toont de staatssecretaris ambitie.
Het tweede blok waarop dit kabinetsbeleid rondom privacy steunt, is het veel besproken CBP. Ik kan me niet aan de indruk onttrekken dat dit kabinet pogingen doet om dat CBP een arm op de rug te binden. Dat heeft te maken met de financiën, met dat gekke idee over bezwaar en beroep – waar de minister nog eens naar zal kijken – en het vermoeden dat er op verschillende plekken in het land bij verschillende instituties toezicht gehouden gaat worden op de naleving van privacygegevens. Dat is een versnippering en dat lijkt me heel slecht. Ik ben blij met de toezegging van de staatssecretaris dat hij daar nog eens open met de Kamer over wil praten. Het zou fijn zijn als we daar dan op een wat constructievere manier over kunnen praten.
Ik vind het belangrijk dat de beide pijlers – meldplicht en CBP – goed geregeld zijn.
Tot slot de filmpjes op internet. Ik was blij met het eerste deel van het antwoord van de staatssecretaris, waarin hij zei dat het plaatsen van filmpjes op internet bepaald moet worden door een orgaan dat een soort overheidsmonopolie heeft, maar daarna liep het een beetje weg. Stel dat De Telegraaf morgen opent met een verhaal over een juwelier die is overvallen en het filmpje op internet heeft geplaatst. Is de staatssecretaris dan bereid om in een programma als Paul & Witteman de privacy te gaan verdedigen en te zeggen dat dat eigenlijk niet hoort in dit land?
De heer Van Raak (SP): Voorzitter. We kunnen allemaal maatregelen nemen om de privacy van onze burgers te beschermen, maar dat heeft geen zin als andere landen toch informatie krijgen die wij niet kwijt willen. Ik vind het goed dat de regering zich in Europees verband inzet voor afspraken met de VS over de uitlevering van passagiersgegevens, maar het gaat over veel meer gegevens. De minister van BZK zegt dat hij gaat kijken wat hij in onderlinge samenhang kan doen, maar dat is toch echt te weinig. Volgens mij moet de regering gewoon eisen stellen in de aanbesteding en in het programma van eisen van ICT-projecten en de eis formuleren dat leveranciers data niet aan buitenlandse mogendheden geven. Ik vraag een verlengd algemeen overleg aan om daar een motie voor in te dienen. Ik denk dat voor deze opvatting veel steun is in de Kamer.
Ten slotte, waar kunnen mensen met vragen over privacy terecht? De minister van BZK zegt dat PwC dat aan het uitzoeken is. Is de staatssecretaris bereid om namens het ministerie van V en J zijn verontrusting uit te spreken tegenover zijn collega van BZK en te zeggen dat ze daar wat beter op de centen moeten letten en wat terughoudender moeten zijn met de inhuur van dure externen?
Mevrouw Van Toorenburg (CDA): Voorzitter. Dank aan minister en de staatssecretaris voor de beantwoording. Wij constateren dat het kabinet serieus aan de slag is met het thema privacybescherming, maar het wordt vandaag op een aantal punten door de Kamer nog even aangespoord. Bijvoorbeeld ten aanzien van de meldplicht en een goede regeling voor mensen die camerabeelden hebben van overvallers enz., zodat ze deze op een goede manier aan het publiek kunnen tonen en wij ernstige misdaden kunnen oplossen. Dat brengt mij op het punt van internet in gevangenissen, want degenen die daar vastzitten kunnen die beelden ook zien. Zij herkennen elkaar vaak wel, dus het zou jammer zijn dat we die doelgroep moeten missen als we geen internet in de gevangenis hebben. Ten aanzien van het rapport van bevindingen zijn wij blij dat de staatssecretaris goed gaat bekijken wat daar in moet. Wij vragen hem concreet hoe die zaak over Google eruit zou hebben gezien als Google vanuit dat eerste rapport van bevindingen in zo’n heel proces hadden kunnen stappen. Waren we dan verder geweest? Waren dan de privégegevens van mensen niet veel meer in gevaar? Wij vragen die afweging te bezien tegen het licht van deze concrete casuïstiek.
Ten aanzien van die Amsterdamse digitale slotgracht vraag ik of de staatssecretaris vandaag alvast kan zeggen wat wel en wat niet kan, omdat door Amsterdam breeduit in de media wordt verteld dat ze van alles van plan zijn.
Het volgende punt ligt meer op het bordje van de minister. Mij bereiken geluiden dat Amsterdam veel met burgers communiceert via Hyves. Wat zijn de risico’s als mensen persoonlijke burgergegevens via Hyves uitwisselen met gemeentelijke diensten in Amsterdam? Daar zouden wij graag meer zicht op willen krijgen.
De heer Elissen (PVV): Voorzitter. Ook van deze kant dank aan de minister en de staatssecretaris voor de beantwoording. Goede punten zijn de brief die dit najaar komt en het onderzoek dat is aangekondigd. In relatie daarmee is het goed nog eens te kijken naar de functionaliteit met betrekking tot de Wbp. Wij willen daarin graag meegenomen zien de dubbelfunctie die erin zit en die wat ons betreft ongewenst is: enerzijds de adviesfunctie en anderzijds de handhavingsfunctie.
Dan de betrouwbare overheid. Ik vind dat de overheid garant moet staan voor de veiligheid van privacygegevens van de burger. We hebben gehoord over die conflicterende jurisdictie en ik wil graag nog expliciet antwoord hoe de staatssecretaris gaat uitsluiten dat gegevens van Nederlanders in handen vallen van buitenlandse mogendheden. Het is vrij duidelijk dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) zegt dat het vooral cybercriminelen zijn en statelijke actoren. Dan bedoelen we natuurlijk buitenlandse geheime diensten. Misschien is het verstandig te komen tot een inventarisatie van landen die soortgelijke voorzieningen hebben als de Amerikanen met hun USA PATRIOT Act. Ten slotte de boetevoorziening voor het CBP. Ik ben blij met de melktandjes, maar die hebben de neiging om na verloop van tijd uit te vallen. Als er dan nieuwe tandjes komen, vraag ik de staatssecretaris om heel kritisch te bekijken of we die laten groeien of dat we er een gebitje in monteren dat we bij tijd en wijle de mond kunnen snoeren. Dat het hier gaat om zorgvuldigheid ben ik met de staatssecretaris eens, maar hij hoeft zich geen zorgen te maken over die crimineel die op internet komt. Als die vindt dat er inbreuk wordt gemaakt op het portretrecht kan hij zich melden bij de politie.
De heer Van der Steur (VVD): Voorzitter. Dank aan de staatssecretaris voor de beantwoording en complimenten voor de heer Elissen voor zijn laatste opmerking.
Allereerst wil ik een opmerking maken over de Europese wet- en regelgeving. Terecht zegt de staatssecretaris dat hij bij een aantal belangrijke wetten voor Europa niet voorop wil lopen met het risico dat we door Europa worden ingehaald of anderszins actie moeten ondernemen. Ik vind wel dat we de staatssecretaris moeten meegeven – in ieder geval namens de VVD-fractie – dat we eraan hechten dat hij ervoor zorgt dat in Europa met name over richtlijnen en niet over verordeningen ten aanzien van privacybescherming wordt gesproken. Dit omdat verordeningen de neiging hebben om naar het midden te gaan en niet altijd voor het beste te kiezen. Ik denk dat de lidstaten zelf de vrijheid moeten hebben om op basis van de richtlijnen de bescherming van hun eigen inwoners in te richten.
Ik geef de staatssecretaris nog het punt mee dat niet alleen het lekken van data een misdrijf is, maar ook de inbraak in het systeem waar de data uit kunnen lekken. De VVD-fractie vraagt in de uitwerking aandacht voor de security breach notification.
Tot slot een handreiking aan de staatssecretaris. Er komt een aantal onderwerpen naar de Kamer toe ten aanzien van bijvoorbeeld cameratoezicht en registratie van kentekens. In het kader van de afweging die gemaakt moet worden tussen het algemeen belang en de privacy vindt de VVD-fractie het van groot belang dat bij alle voorstellen heel duidelijk en diepgaand aandacht wordt besteed aan wat het precies gaat opleveren in relatie tot de inbreuk die er mogelijkerwijs op de privacy wordt gemaakt. Ik verwijs naar de P+R waar we recentelijk over zijn geïnformeerd op Schiphol. De Engelse resultaten van bijna 300 miljoen onderzoeken die leiden tot 9 000 arrestaties klinken op het eerste gezicht niet heel overtuigend over het nut, de effectiviteit en de noodzaak van die maatregel. Misschien is dat wel zo, maar ik vraag de staatssecretaris met een goed en onderbouwd verhaal te komen.
Staatssecretaris Teeven: Dank aan de leden voor hun inbreng in tweede termijn.
De heer Recourt zegt dat het antwoord over de collectieve actie volstrekt onvoldoende is. Ik merk op dat er nog een aantal dingen mogelijk zijn en dat we geen dingen dubbel moeten doen. Hij vraagt om meer normen vooraf vast te stellen, maar de Wbp geldt al breed. De toestemmingseis is duidelijk: het is uitdrukkelijk uit vrije wil. Dat is er op dit moment aan de voorkant en daar wil ik mee volstaan. Ik wijs erop dat dit een punt is van eigen verantwoordelijkheid.
Over de financiering kan ik tegen de heer Schouw zeggen dat er een brief komt voordat er een beslissing wordt genomen. Een prikkelende vraag van hem was of de staatssecretaris bij Pauw & Witteman de privacy gaat verdedigen. Ik heb het nog niet gedaan maar wat niet is, kan nog komen. De koninklijke weg is dat de uitwisseling via politie en justitie verloopt. Maar er zijn twee problemen. Ten eerste of ze die beelden effectiever kunnen inzetten? Ik ga bezien of er een mogelijkheid is. En ten tweede de heterdaadkracht. Ik ga bezien of particuliere beveiligingsorganisaties daar een sterkere rol in kunnen spelen.
Op de vraag wanneer de meldplicht datalekken er komt, is het antwoord dit najaar. Het wettelijk traject is in zijn volle omvang van consultatie en behandeling in de Kamers een urgentie. Dat staat in het regeerakkoord. Ik denk dat realisatie binnen een jaar mogelijk moet zijn. Er is geen sprake van dat het CBP met één arm op rug gebonden moet werken. Maar 18 mld. en misschien nog meer bezuinigen betekent dat iedereen zijn steentje moet bijdragen. Ik zie wel dat er knelpunten zijn en dat is ook door het CBP zelf onder de aandacht gebracht. Op de vraag van de heer Van Raak over het PwC-onderzoek en waar mensen terechtkunnen die vragen hebben over privacy, kan ik zeggen dat veiligheid en justitie is aangesloten en dat daar op zich geen kosten aan zijn verbonden. Het CBP beantwoordt de vragen en we hebben de servicedesk voor de professionals binnen het interne domein van veiligheid en justitie. De kosten van dat onderzoek zijn nihil. Mevrouw Van Toorenburg vroeg wat er gebeurd was als Google meteen bezwaar en beroep had kunnen instellen. Dat is nou precies de afweging. Haar boodschap is duidelijk, maar ik zet die kleine private partij die niet meteen bezwaar en beroep kan instellen er tegenover, terwijl het al wel volledig openbaar wordt gemaakt. Het is zoeken naar evenwicht. Ik ben het volstrekt met de commissie eens.
Mevrouw Van Toorenburg vroeg naar de privacyimplicaties van het communiceren van de gemeente Amsterdam via Hyves. In beginsel is er niks op tegen als die sociale netwerksites worden gebruikt voor communicatie. Voor de inrichting van die persoonlijke pagina’s op sociale netwerksites gelden natuurlijk de regels van het Wbp onverkort. Organisaties die met Hyves werken zijn daarom verplicht medegebruikers in te lichten over de wijze waarop de gegevensverwerking plaatsvindt en zo nodig inzage-en correctieverzoeken van gebruikers te honoreren. Over wat er beoogd wordt met het gebruik van die milieucamera’s heeft de burgemeester van Amsterdam de commissie algemene zaken en financiën van de Amsterdamse gemeenteraad op 15 augustus jl. per brief geïnformeerd over het voornemen de camera’s van de gemeente ook te gaan inzetten voor opsporings- en handhavingstaken. Dit dubbelgebruik van camera’s en de technische infrastructuur is juridisch toegestaan en past binnen de richtsnoeren van het CBP. Er dient wel sprake te zijn van een gescheiden verwerking van de verzamelde data. Voorts moet de inzet van ANPR voor politietaken gekoppeld zijn aan de mogelijkheid om over te gaan op vrijwel directe opvolging van de zogenaamde hit. Passagege-gevens van auto’s die niet leiden tot een hit mogen en zullen niet worden bewaard, omdat de huidige regelgeving daarvoor geen titel biedt. Beoogd wordt eind 2011 dit dubbelgebruik daadwerkelijk te gaan starten. Van de zijde van het departement zullen we dit monitoren. De heer Elissen vroeg of de staatssecretaris kan uitsluiten dat gegevens van Nederlanders in handen vallen van buitenlandse mogendheden. Dat kan ik niet. Het is onmogelijk om die toezegging te doen, want dat kan niet waargemaakt worden. Wel heb ik de bereidheid om een inventarisatie te maken van welke landen actief informatie verzamelen, maar ik sluit niet uit dat dat informatie rondom staatsveiligheid is en dat ik de Kamer daarover niet kan informeren. Ik denk wel dat er een mogelijkheid is om een eerste scan te doen.
Gevraagd is of het mogelijk is de wetgevingsadvisering van het CBP te scheiden van de handhaving. Ik denk dat dat niet gaat, want de EU-privacyrichtlijn schrijft dat nou eenmaal voor. Ik zie dat niet gauw veranderen. Volgens mij moet het CBP zich vooral concentreren op handhaving, wetgevingsadvisering en advisering, maar niet op politieke advisering.
De heer Van der Steur voert een betoog dat ik goed begrijp. Hij vraagt aandacht voor het algemeen belang en voor de privacy en voor continu dat midden zoeken. Toch hoor ik, ook vanuit de VVD-fractie, vaak aansporingen om snel zaken te doen, informatie te delen en ervoor te zorgen dat de informatie op de goede plaats terechtkomt. Dat is ook ons uitgangspunt en dat knelt af en toe met die privacybescherming. We zijn druk bezig om het evenwicht te vinden. Richtlijnen hebben onze grote voorkeur boven verordeningen. Ik verwijs naar de vergadering van de Europese Raad waarin ik daar opmerkingen over hebt gemaakt. Die zijn terug te vinden in de verslaglegging.
De voorzitter: De heer Van Raak wil dat het verslag van dit algemeen overleg op de plenaire agenda wordt geplaatst. De griffier zal hiervoor zorgdragen.
Ik heb de volgende toezeggingen genoteerd.
– Dit najaar stuurt de staatssecretaris de Kamer een brief over het toezicht in het veiligheidsdomein. – Nadat de conceptwetgeving meer is uitgekristalliseerd, zal de staatssecretaris opnieuw de bezuinigingen op het CBP bekijken en de
Kamer daarover informeren. – De staatssecretaris zal de bezwaar- en beroepsmogelijkheden tegen de rapporten van bevinding van het CBP opnieuw bekijken en daarbij aandacht besteden aan de vraag hoe het bij andere toezichthouders geregeld is.
The EU Monitor enables its users to keep track of the European process of lawmaking, focusing on the relevant dossiers. It automatically signals developments in your chosen topics of interest. Apologies to unregistered users, we can no longer add new users.This service will discontinue in the near future.