Verslag - Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming) - Hoofdinhoud
Dit verslag is onder nr. 5 toegevoegd aan wetsvoorstel 36264 - Verzamelwet gegevensbescherming i.
Inhoudsopgave
| Officiële titel | Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming); Verslag (initiatief)wetsvoorstel (nader); Verslag |
|---|---|
| Documentdatum | 27-03-2023 |
| Publicatiedatum | 27-03-2023 |
| Nummer | KST362645 |
| Kenmerk | 36264, nr. 5 |
| Commissie(s) | Digitale Zaken (DIZA) |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2022-
2023
36 264
Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming)
Nr. 5
VERSLAG
Vastgesteld 27 maart 2023
De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.
Inhoudsopgave blz.
3.2. Advies Autoriteit persoonsgegevens en samenhangende reacties 7
3.3. Overige consultatiereacties 9
II ARTIKELSGEWIJZE TOELICHTING 10
ARTIKEL I. Uitvoeringswet Algemene verordening gegevensbescherming 10
ARTIKEL II. Faillissementswet 17
Artikel X. Wet op het financieel toezicht 19
kst-36264-5 ISSN 0921 - 7371 's-Gravenhage 2023
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het voorstel van wet tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (hierna: het wetsvoorstel). Deze leden merken op dat er sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 op veel terreinen de bescherming van persoonsgegevens beter is gewaarborgd. Desondanks zijn er al sinds de invoering van de AVG serieuze vragen gerezen over een groot aantal onderwerpen. Deze leden achten het van belang dat de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) bij de tijd wordt gehouden en verwelkomen in die zin de voorstellen die omissies herstellen, dan wel extra duidelijkheden en mogelijkheden bieden. Zij stellen nog een aantal vragen.
De leden van de VVD-fractie kunnen begrijpen dat de regering heeft gekozen de omvang van dit wetsvoorstel beperkt te houden, omdat het gaat om een verzamelwet, waarvan de verschillende onderdelen niet van een omvang en complexiteit mogen zijn of dermate gevoelig, dat ze een afzonderlijk wetsvoorstel rechtvaardigen. Gelet op de hoeveelheid onderwerpen die raken aan het herstellen van omissies en moderniseringen van het gegevensbeschermingsrecht die op andere momenten worden behandeld, dringt wel de vraag op in hoeverre het voor de Tweede Kamer inzichtelijker kan worden gemaakt welke trajecten wanneer worden behandeld. Kan de regering een overzicht verschaffen van de onderwerpen die verband houden met gegevensbeschermingsrecht in de voorbereiding van het onderhavige wetsvoorstel of gelijktijdig naar voren zijn gekomen en die geen plek hebben gekregen in het wetsvoorstel? Deze leden zouden het op prijs stellen als er ook een inschatting kan worden gegeven van het tijdspad dat de regering voor ogen staat om de voorstellen uit te werken en naar de Kamer te sturen. Daarbij vragen de leden ook of de knelpunten die worden omschreven in de motie Koopmans c.s.1, voor zover ze nog niet zijn opgelost, ook aan bod kunnen komen.
De leden van de D66-fractie hebben met interesse kennisgenomen van het voorstel van wet, de memorie van toelichting, het wetgevingsrapport Verzamelwet gegevensbescherming, het advies van de Raad van State, het nader rapport en de reacties van diverse adviserende partijen. Deze leden willen de regering nog enkele vragen voorleggen.
De leden van de CDA-fractie hebben kennisgenomen van het voorstel tot de Verzamelwet Gegevensbescherming. Deze leden danken de regering voor het ontwerp van het wetsvoorstel en hebben hierover een aantal vragen.
De leden van de CDA-fractie vragen aan de regering welke specifieke knelpunten naar voren zijn gekomen op het gebied van de UAVG waardoor de noodzaak is ontstaan om de onderhavige Verzamelwet gegevensbescherming in te dienen. Deze leden zien bijvoorbeeld op bepaalde vlakken een noodzaak om gegevensdeling juist te vergemakkelijken, zoals wanneer het gaat om het oplossen van zaken omtrent mensenhandel of zorgfraude, maar vragen daarbij aan de regering welke concrete gevallen zij voor ogen heeft gehad wat betreft de voorgestelde wetswijziging.
De leden van de CDA-fractie vragen in hoeverre de regering de afweging heeft gemaakt tussen het doel van de wet en de belangen die hiermee gediend worden, aldus specifieker de afweging van de proportionaliteit en subsidiariteit van de wet. Deze leden vragen ook in hoeverre de onderhavige wet zal gaan leiden tot een hogere mate van bureaucratie op het gebied van gegevensdeling en privacy. Welke maatregelen neemt de regering om de bureaucratie zoveel mogelijk in te dammen?
De leden van de CDA-fractie vragen aan de regering of zij in kaart kan brengen hoe de UAVG zich verhoudt tot de uitvoeringswetten van de AVG in andere Europese lidstaten. Verschilt de UAVG van Nederland op bepaalde vlakken van de uitvoeringswetten van de AVG in andere Europese lidstaten en brengt de UAVG van Nederland een andere toepassing en uitvoering teweeg dan in andere Europese lidstaten?
De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel Verzamelwet Gegevensbescherming. Deze leden begrijpen dat met dit wetsvoorstel de nodige wijzigingen worden doorgevoerd om het gegevensbeschermingsrecht te actualiseren. Daarover hebben zij nog enkele vragen.
De leden van de SP-fractie hebben kennisgenomen van de voorgenomen wijziging van de UAVG en hebben hierover nog een enkele opmerking en vragen. Deze leden begrijpen dat deze verzamelwet er niet op ziet grote inhoudelijke wijzigingen aan te brengen, maar merken desalniettemin op dat zij het betreuren dat het noodzakelijk debat over artikel 41 niet gevoerd wordt. Zij zien dat in de praktijk dit betekent dat mensen nog steeds essentiële informatie wordt onthouden door instanties die een beroep doen op dit artikel. De regering geeft aan dat, zoals het advies van de Autoriteit Persoonsgegevens (AP) luidt, de gevolgen van het schrappen van deze bepaling niet te overzien zijn. De regering geeft tevens aan dat er «wel naar aanleiding van de opmerkingen en suggesties van de AP zal worden bezien of er voldoende aanleiding is om alsnog tot wijziging in de door de AP voorgestelde zin moet worden overgegaan. Dit vergt echter tijd.» Kan er aangegeven worden hoe hierover wordt nagedacht en op welke termijn hierover geïnformeerd kan worden? Wat is er sinds de wijziging in 2020 van dit voorstel gebeurd op dit terrein?
De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben behoefte aan het stellen van nadere vragen.
De leden van de SGP-fractie hebben kennisgenomen van de wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht. Deze leden hebben nog enkele vragen over het wetsvoorstel.
De leden van de Volt-fractie hebben kennisgenomen van het wetsvoorstel Verzamelwet gegevensbescherming. Deze leden merken daarbij op dat na vijf jaar AVG gebleken is dat de Europese verordening een meerwaarde heeft voor de bescherming van persoonsgegevens en privacy voor EU-burgers. Om de bescherming van Nederlandse EU-burgers scherper te krijgen, zien zij dit voorstel als een stap in de goede richting. Over het voorstel hebben zij nog wel enkele vragen.
Het lid Omtzigt heeft kennisgenomen van het voorstel van wet tot Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming).
De leden van de VVD-fractie stellen dat sinds de inwerkingtreding van de UAVG er veel klachten zijn van ondernemers die veelvuldig worden getroffen door fraude en die onvoldoende kunnen doen om nieuwe fraude te voorkomen. Reeds bij de implementatie van de AVG hebben onderne-mingsbranches aangegeven moeite te hebben met de invulling van fraudepreventiebeleid, omdat effectief fraudepreventiebeleid thans in hoge mate wordt belemmerd door een mogelijke ontbrekende wettelijke grondslag. Vorig jaar organiseerde de vaste commissie voor Justitie en Veiligheid nog een rondetafelgesprek over fraudepreventie en de toepasbaarheid van een systeem in Nederland dat vergelijkbaar is met de Credit Industry Fraud Avoidance System (Cifas). Kan de regering ten aanzien van het onderwerp cross-sectorale gegevensdeling de laatste stand van zaken schetsen? Op welke termijn is de regering bereid om een voorstel te doen om cross-sectorale gegevensuitwisseling mogelijk te maken, voorzien van adequate waarborgen voor privacy? Is de regering bereid hierover in contact te treden met in elk geval VNO-NCW, MKB-Nederland, de Politie en de AP?
De leden van de VVD-fractie stellen vast dat zowel de lidstaten als de Europese Commissie en het Europees Comité voor gegevensbescherming (EDPB) meermaals aandacht hebben gevraagd voor het belang van harmonisering van regels, interpretatievraagstukken en handhaving. Deze leden vragen in hoeverre naar aanleiding van voorstellen van het EDPB inmiddels voorstellen worden voorbereid die bevorderen dat in lidstaten meer geharmoniseerd omgaan met interpretatievraagstukken rondom de AVG, en of de regering in de kabinetsreactie op de evaluatie van de UAVG expliciet kan ingaan op de wijze waarop toezicht en handhaving kan worden geharmoniseerd.
De leden van de D66-fractie hebben ook met interesse kennisgenomen van het advies van de AP in relatie tot artikel 41 (de rechten van betrokkenen). De AP stelt voor het artikel drastisch te wijzigen of te schrappen. De regering kiest er nu niet voor om dit artikel fundamenteel te wijzigen. Deze leden willen graag weten wat de redenen zijn om de waarborgen niet in sectorale wetgeving te regelen, zoals de AP voorstelt. Deze leden volgen de redenatie dat er op die manier maatwerk kan worden geboden. De regering kiest er voor om in een later stadium te bekijken of dit artikel moet worden aangepast. In hoeverre acht de regering het wenselijk en mogelijk om dit artikel mogelijk toch te herzien, op basis van de evaluatie van de UAVG, die in mei 2023 met de Tweede Kamer zal worden gedeeld?
De leden van de CDA-fractie lezen dat in artikel 50 van de UAVG is bepaald dat de Minister voor Rechtsbescherming binnen drie jaar na de inwerkingtreding van de UAVG, en vervolgens telkens na vier jaar, aan de Staten-Generaal een verslag zendt over de effecten en uitvoering van deze wet in de praktijk. Deze evaluatie is in juni 2022 door het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) gepubliceerd2. Kan de regering inmiddels een reactie geven op de bevindingen uit dit onderzoek? Daarnaast vragen deze leden of dit onderzoek aanleiding heeft gegeven om opnieuw wijzigingen van de UAVG in overweging te nemen.
De leden van de SGP-fractie constateren dat de UAVG «beleidsneutraal» moest zijn en tot een nadere invulling op de AVG moest dienen. Deze leden overwegen dat in de praktijk de UAVG stringenter wordt uitgevoerd en uitgelegd dan de AVG verplicht. Zij constateren dat het zorgdomein geen gegevens met het justitiedomein meer durft te delen en andersom uit angst om de AVG te overtreden. De leden van deze fractie vrezen dat de AVG en UAVG té stringent worden uitgelegd en dat dit niet dient ter bescherming van de privacy van burgers, maar eerder een belemmering in de uitvoering vormt. Deze leden vragen de regering of hierop gereflecteerd kan worden en vragen de regering hoe aan deze partijen en bestuursorganen de juiste handvaten worden meegegeven om de AVG en UAVG te implementeren.
De leden van de SGP-fractie constateren dat ook binnen bestuursorganen, zoals gemeenten, gegevens niet gedeeld kunnen worden tussen verschillende afdelingen waar dit voor de invoering van de AVG wel het geval was. Zorgwekkende constateringen wat betreft de veiligheid van gezinssituaties kunnen vanuit de Wet maatschappelijke ondersteuning (WMO) niet gedeeld worden met het juridische domein. Deze leden vragen de regering of de AVG niet strenger wordt toegepast dan nodig en vragen de regering hoe voorkomen wordt dat stringente toepassing deze hulp in de weg staat.
De leden van de SGP-fractie constateren dat ook binnen het veiligheids-domein tegen de stringente toepassing van de AVG en UAVG wordt gelopen. Gegevens van veiligheidsdiensten worden niet gedeeld met opsporingsdiensten, waardoor onderzoek opnieuw moet plaatsvinden. Dit is zeer inefficiënt en kan ook grote veiligheidsrisico's met zich meebrengen. Deze leden vragen de regering of de uitzonderingsmogelijkheden van zwaarwegend algemeen belang standaard gelden als de nationale veiligheid in het geding is of wanneer er sprake is van een mogelijk veiligheidsincident waardoor gegevens tussen diensten gedeeld kunnen worden. Zij vragen tevens of binnen de opsporingsdiensten niet gemakkelijker gegevens gedeeld moeten kunnen worden in het belang van veiligheid en efficiëntie in de opsporing. Deze leden stellen een algemene uitzonderingsgrond voor ten behoeve van veiligheidsdiensten en vragen de regering om hierop te reflecteren.
De leden van de SGP-fractie constateren dat ook in het schulden-en armoedebeleid gegevensdeling moeizaam verloopt. Deze leden wijzen op de expliciete toestemming die burgers moeten geven alvorens gegevens gedeeld mogen worden. Met name in dit domein kan vanuit gevoelens van schaamte een zekere drempel bestaan om aan te kloppen bij hulporganisaties. Deze leden vragen de regering of onderzocht wordt hoe eenmalige expliciete toestemming voldoende is voor het delen van gegevens tussen organisaties zodat burgers hier niet steeds mee geconfronteerd worden.
De leden van de SGP-fractie constateren dat de Belastingdienst een belangrijke partner is voor opsporingsinstanties en veiligheidsdiensten wat betreft crimineel vermogen. Deze leden constateren tevens dat de Belastingdienst onder een vergrootglas ligt en terughoudend is met het delen van cruciale informatie. Zij overwegen dat de AVG de burger moet beschérmen tegen het onrechtmatig delen van gegevens, niet de crimineel moet beschermen ten kóste van die bezorgde burger. De leden vragen de regering wat kan worden gedaan om te bevorderen dat cruciale informatie in het opsporingsonderzoek tijdig en afdoende wordt gedeeld. Kunnen de opsporings-en veiligheidsdiensten niet weer op basis van vertrouwen samenwerken om criminelen aan te pakken? Kan de regering met een duidelijk werkplan komen met oog voor de knelpunten in de AVG waarin voorop staat wat wel kan?
Het lid Omtzigt leest dat op hoofdlijnen er sprake is van vrij technische verbeteringen en aanvullingen die in beginsel bijdragen aan verduidelijking van de UAVG. Met name het regelen van de bevoegdheden van curatoren (in faillissement) kan bijdragen aan het doorstarten van ondernemingen en daarmee de werkgelegenheid en positie van werknemers.
Wel is het lid Omtzigt benieuwd hoe de regering denkt over het voorstel van de AP in haar reactie op het wetsvoorstel d.d. 26 januari 2023 om ook gegevens van overledenen onder de werking van de AVG te brengen? Zal dit wetenschappelijk onderzoek en verwerking door erfgenamen niet onnodig hinderen? De AP stelt in dezelfde brief voor bedrijven een rechtsingang bij de rechter te verschaffen waardoor degenen die concurrentievervalsing ervaren een actie hebben tegen andere bedrijven die zich niet aan de AVG houden en hierdoor ten onrechte voordeel behalen. Hoe beoordeelt de regering dit voorstel? En hoe beoordeelt de regering het voorstel van de AP bij UAVG mogelijk te maken dat burgers actief geïnformeerd worden over het gebruik van algoritmes?
Regelmatig blijkt dat de Staat een beperkte uitleg van de AVG hanteert waar het gaat om inzage door betrokkenen in, en een kopie verkrijgen van, documenten die zij nodig hebben voor het beoordelen van hun rechtspositie of het handhaven van hun rechtspositie tegenover de Staat. Zo worden documenten waarin code 88 (fraudeur) van de Belastingdienst voorkomt of een toelichting waarom iemand als fraudeur wordt aangemerkt niet ter inzage gegeven. Het lid Omtzigt vraagt of de regering vindt of het, mede tegen de achtergronden van de misstanden die in de Toeslagenaffaire aan het licht zijn gekomen, niet op de weg van de regering ligt om in de UAVG een ondubbelzinnige regeling op te nemen, die waarborgt dat een betrokkene inzage in en afschrift van alle documenten krijgt die van invloed kunnen zijn op zijn rechtspositie als de betrokkene oordeelt dat zulks het geval is. Dit lid verzoekt bij de beantwoording op deze vraag de uitspraken HvJEU 20 december 2017 zaak C-434/16 (Nowak) en 12 januari 2023 zaak C-154/21 (Österreichische Post) te betrekken.
3.1 Inleiding
De leden van de VVD-fractie stellen in algemene zin dat de memorie van toelichting niet tot nauwelijks in gaat op enkele onderdelen uit adviezen van geconsulteerde organisaties. Ook al is het doel van het wetsvoorstel niet om te voorzien in een uitputtende lijst van ingrijpende wijzigingen en keuzes om sommige onderwerpen pas later in andere trajecten te behandelen, toch zou het voor de begrijpelijkheid van deze keuzes goed zijn om waar mogelijk toch te reageren op de gedane voorstellen van geconsulteerde organisaties. Met name waar het gaat om de adviezen van VNO-NCW en MKB-Nederland en de politie vragen deze leden of de regering hier alsnog nader op in kan gaan en of het College van Procureurs-Generaal ook is geconsulteerd bij het wetsvoorstel, en zo ja, wat hun reactie was.
Specifiek vragen de leden van de VVD-fractie aandacht voor het volgende. Deze leden lezen in het advies van de Korpschef uit mei 2020 dat er bij de politie een sterke behoefte bestaat om het mogelijk te maken dat persoonsgegevens die worden verwerkt voor een zuiver persoonlijk of huishoudelijke activiteit beter kunnen worden verstrekt aan de politie, met een beperking van de verplichtingen voor een verwerkingsverantwoorde-lijke. Het is voor deze leden op basis van de memorie van toelichting niet duidelijk hoe dit advies is opgevolgd. Hetzelfde geldt voor het advies van de Korpschef om een betere grondslag te creëren om het beheer van meldkamers beter uit te voeren en daartoe artikel 30, derde lid onder a van de UAVG te wijzigen. Kan de regering hier een reactie op geven? Verder adviseerde de Nederlandse Orde van Advocaten (NOvA) om het wetsvoorstel aan te vullen nu de Wet Homologatie Onderhands Akkoord (WHOA) inmiddels in werking is getreden. Kan de regering aangeven waarom het niet nodig is naar aanleiding daarvan nader te specificeren hoe gegevensverwerking kan plaatsvinden?
3.2 Advies Autoriteit persoonsgegevens en samenhangende reacties
De leden van de VVD-fractie lezen dat er aanvankelijk mede naar aanleiding van de motie Koopmans c.s.3 een grondslag in het wetsvoorstel was opgenomen op grond waarvan onder meer verenigingen voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. Naar aanleiding van een opmerking van de AP is deze grondslag geschrapt, omdat de AP aangaf dat van een zwaarwegend algemeen belang op dit moment niet blijkt. De regering schrijft hierbij dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van gezondheidsgegevens, naast de al mogelijke grondslag uitdrukkelijke toestemming. Waarop baseert de regering deze stelling? Op basis van welke informatie en gesprekken kan de regering dit op dit moment concluderen? Als er geen noodzaak is voor uitbreiding, waarom wordt dan nog verder hierover gesproken met de betrokken partijen?
De leden van de VVD-fractie begrijpen het verzoek van de AP om een voorziening te treffen om voor bepaalde activiteiten een tarief in rekening te kunnen brengen, zoals bijvoorbeeld het aanvragen van een vergunning of het aanvragen van een voorafgaande raadpleging. Nu dit niet in het onderhavige wetsvoorstel wordt geregeld en dit onderwerp voor het kabinet nog een nadere afweging vergt, wordt dit onderwerp ook betrokken in de gesprekken over de financiering van de AP? Deze leden vragen of de regering bij gesprekken over de taken, bevoegdheden en capacitaire uitdagingen ook aan de orde komt welke mogelijkheden er zouden zijn om tarieven in rekening te brengen voor diensten die de AP levert en hoe dit in de praktijk het beste vorm kan worden gegeven. Alhoewel de AVG niet van toepassing is op de verwerking van persoonsgegevens van overleden personen, kunnen lidstaten hier wel regels voor opnemen. De leden begrijpen de keuze om eerst te bezien of een probleem met betrekking tot de verwerking van gegevens van overleden personen niet eerst kan worden opgelost door de markt zelf, bijvoorbeeld via voorlichting, tools en specifieke dienstverlening. Wordt dit onderwerp ook betrokken bij de gesprekken op EU-niveau over een herschikte verordening? En zo ja, wanneer wordt de Kamer hier nader over geïnformeerd?
De leden van de D66-fractie lezen dat de AP heeft gesuggereerd te overwegen om de mogelijkheid te benutten die de UAVG in artikel 80, tweede lid, biedt. Het betreft de mogelijkheid om maatschappelijke organisaties onafhankelijk van de opdracht van een betrokkene een klacht te kunnen laten indienen als die organisatie van oordeel is dat rechten van betrokkenen zijn geschonden. De regering heeft aangegeven de noodzaak niet te zien dit in te voeren. Heeft de regering onderzocht of bij maatschappelijke organisaties de behoefte bestaat aan deze mogelijkheid? Zo ja, wat is daar uitgekomen?
De leden van de D66-fractie hebben ook kennisgenomen van het onderdeel over digitale nalatenschap. De regering geeft aan dat zij het te vroeg vindt voor wettelijke maatregelen hierover. Eerst zouden de verdere ontwikkelingen en de maatschappelijke discussie verder moeten worden uitgekristalliseerd. Bovendien heeft volgens de regering een Europese regeling de voorkeur boven een nationale regeling. De Europese Commissie heeft aangegeven nut te zien in verder onderzoek naar de noodzaak van nadere regelgeving. Kan de regering aangeven wat hieromtrent de concrete plannen zijn?
De leden van de CDA-fractie lezen dat in het wetsvoorstel zoals dat in consultatie is gegaan, een grondslag was opgenomen op grond waarvan onder meer verenigingen voor cliëntenbelangen in de zorg- en welzijnssector gegevens over de gezondheid van hun leden mogen verwerken voor intern gebruik in bijvoorbeeld hun ledenbestand. De Autoriteit Persoonsgegevens (AP) had onder andere opgemerkt dat een wettelijke grondslag tot gevolg kan hebben dat zelfs tegen de wil van de betrokkene diens bijzondere persoonsgegevens zouden mogen worden verwerkt. De regering heeft aan deze opmerkingen gevolg gegeven en de wettelijke grondslag geschrapt, met als reden dat de problemen in de praktijk niet van zodanige aard zijn dat op dit moment sprake is van een noodzaak voor uitbreiding van de grondslag voor de verwerking van gezondheids-gegevens. Deze leden vragen wat de aanleiding en achterliggende gedachte was om de wettelijke grondslag in eerste instantie wel op te nemen in het wetsvoorstel, nu blijkt dat er geen noodzaak toe is. Zij vragen waarom niet is gekozen voor een opt-out systeem.
De leden van de fractie van GroenLinks constateren dat de AP essentieel is in het realiseren van de beloften van de AVG. Het bevreemdt deze leden dan ook enigszins dat in deze verzamelwet geen voorstellen worden gedaan om de effectiviteit en slagkracht van de AP te verbeteren. Deze leden hebben echter het idee dat daar wel aanleiding toe bestaat. Zo blijkt uit een recent rapport van de Nationale ombudsman4 dat de behandeltermijn van klachten zeer lang is, en dat mensen ook moeilijk reactie krijgen als de AP besluit geen onderzoek te doen naar aanleiding van hun klacht. Hoe kijkt de regering naar een algemene verplichting voor de AP om minstens een keer per drie maanden een klager te informeren over de voortgang van de behandeling, en daarbij een verwachting te geven wanneer een beslissing op de klacht zal worden genomen? In het Verenigd Koninkrijk publiceert de toezichthouder Information Commissioners Office (ICO) elk kwartaal een overzicht van alle klachten in machineleesbaar formaat, wanneer deze zijn ingediend, wanneer er een besluit is genomen, en wat voor besluit er is genomen. Hoe kijkt de regering naar een dergelijk middel om de Autoriteit Persoonsgegevens (en eventueel andere toezichthouders) meer publieke verantwoording te geven van hun activiteiten?
Daarnaast vragen de leden van de GroenLinks-fractie zich af of de regering overwogen heeft om een algemene verplichting in te stellen voor de AP om haar besluiten op klachten (geanonimiseerd) te publiceren?
Deze leden zien toegevoegde waarde in een dergelijke publicatieplicht, zodat de normuitleg in de klachtbeslissingen van de AP meer impact kan hebben.
In de memorie van toelichting lezen de leden van de fractie van GroenLinks dat gezien de mogelijkheden van artikel 3:305a BW sinds de invoering van de Wet afwikkeling massaschade in collectieve actie (WAMCA), de regering onvoldoende aanleiding ziet om het mogelijk te maken voor maatschappelijke organisaties om zonder opdracht van betrokkenen klachten in te dienen bij de Autoriteit Persoonsgegevens, ondanks dat de AVG hier via art. 80, tweede lid de mogelijkheid toe biedt. Deze leden zien echter ook naast artikel 3:305a BW nut voor een collectief klachtrecht. Zoals de AP ook zelf aangeeft, kan van maatschappelijke organisaties verwacht worden dat zij goed onderbouwde klachten over breed spelende problematiek kunnen indienen. Draagt een collectief klachtrecht zo niet bij aan een effectieve én efficiënte handhaving van de AVG? Kan de regering nader ingaan op waarom de bestaande regeling voor collectieve vorderingen als voldoende middel worden beschouwd voor de bijdrage van maatschappelijke organisaties aan de handhaving van de AVG?
Verder zien de leden van de GroenLinks-fractie dat de AP in haar consultatiereactie stelt dat de werking van art. 42 UAVG momenteel te breed is, en dat deze beperkt zou moeten worden tot de financiële ondernemingen waar daadwerkelijk een risico op bankrun bestaat. In reactie hierop schrijft de regering in de memorie van toelichting: «reeds lang onder de Wft bestaande praktijk [is] dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouders, maar niet aan betrokkene. Dit is niet alleen bij banken te risicovol om dwingend te worden voorgeschreven». Waarom is de regering van mening dat dit te risicovol is om dwingend voor te schrijven? Uit welke concrete aanwijzingen blijkt dat het nodig is om zo een grote groep geheel uit te zonderen van deze meldplicht?
De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat artikel 80 lid 1 van de AVG niet de mogelijkheid biedt aan maatschappelijke organisaties om zonder een opdracht van een betrokkenen een klacht in te dienen. Daarnaast nemen zij kennis van het advies van de AP en de Consumentenbond om de maatschappelijke organisaties wel de mogelijkheid te bieden om een klacht zonder opdracht van een betrokkenen via het bestuursrecht in te dienen. Deze leden achten het wenselijk dat rechten van burgers zowel via het privaatrecht als het bestuursrecht gewaarborgd kunnen worden. Kan de regering aangeven waarom dit advies niet is overgenomen?
3.3 Overige consultatiereacties
De leden van de Volt-fractie constateren dat in de reactie op het advies van de Raad van State de regering schrijft dat het begrip «zwaarwegend algemeen belang» een relatief begrip is. Dat is logisch. Afhankelijk van de specifieke context moet worden bepaald of in dat specifieke geval sprake is van een zwaarwegend algemeen belang. Voor zover de regering van mening is dat zij dit begrip niet nader in de wet kan toelichten, is zij bereid om indicatoren en een wegingskader op te stellen waarmee in de uitvoering kan worden getoetst of in dat concrete geval sprake is van een zwaarwegend belang (dat wil zeggen: een algemeen belang dat in die specifieke situatie zodanig is dat het zwaarder weegt dan het belang van de bescherming tegen inbreuk op de persoonlijke levenssfeer door het gebruik van bijzondere categorieën van persoonsgegevens)? In hoeverre heeft de regering de opinies van de EDPB (voormalig WP29) betrokken bij het opstellen van de wettekst?
II ARTIKELSGEWIJZE TOELICHTING
Artikel I. Uitvoeringswet Algemene verordening gegevensbescherming
Onderdeel D
De leden van de D66-fractie lezen dat er wordt voorgesteld dat minderjarigen die de leeftijd van twaalf jaar hebben bereikt voortaan zelf hun toestemming kunnen intrekken voor het verwerken van persoonsgegevens. De toelichting vermeldt dat het aan de verwerkingsverantwoorde-lijke is om hier zorgvuldig mee om te gaan en een goede belangenafweging te maken, waarbij de wens van de minderjarige om geen toestemming te verlenen zwaar meeweegt. Kan de regering toelichten waar deze gevraagde zorgvuldigheid bij minderjarigen concreet uit bestaat en wat het verschil is ten opzichte van meerderjarigen? In hoeverre geeft dit ook aanleiding voor een bredere inzet op het gebied van de verwerking van persoonsgegevens van minderjarigen, bijvoorbeeld door techbedrijven en/of sociale media platforms? In hoeverre heeft de regering instrumenten om daar op te sturen?
De leden van de CDA-fractie lezen dat door de regering minderjarigen tussen 12 en 16 jaar in staat worden geacht om zelfstandig de toestemming in te kunnen en mogen trekken om persoonsgegevens te verwerken. Deze leden vragen aan de regering of zij een aantal voorbeelden kan geven van gevallen waarin een minderjarige tussen 12 en 16 jaar zou besluiten om deze beslissing te nemen. Zij vragen daarnaast welke urgentie is gebleken om tot de aanpassing van dit artikel te komen en dus de beslissing tot toestemming ook te beleggen bij minderjarigen tussen de 12 en 16 jaar zonder dat de minderjarige afhankelijk is van de wettelijke vertegenwoordiger. De leden vragen of de regering ook hier concrete voorbeelden van kan geven.
Door de wijze van formuleren lijkt het erop dat het uitgangspunt is dat de betrokkene van 12 jaar en ouder, maar jonger dan 16 jaar, de rechten van de betrokkene kan uitoefenen en dat het daarnaast mogelijk is dat de wettelijk vertegenwoordiger deze uitoefent. De leden van de CDA-fractie vragen of dit betekent dat bij conflicterende verzoeken van de betrokkene en van de wettelijk vertegenwoordiger, die van de betrokkene voor gaat. Deze leden vragen voorts of de betrokkene bijvoorbeeld mag aangeven dat zij niet wenst dat de wettelijk vertegenwoordiger inzage in haar persoonsgegevens heeft. Zij begrijpen niet goed waarom de wetgever op deze wijze de wet gebruikt om spanning te creëren tussen betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers. Kan de regering aangeven voor welk probleem dit een oplossing is? En hoeveel concrete gevallen zijn er waarin er spanning bestaat tussen de wensen van betrokkenen van 12 jaar en ouder en jonger dan 16 jaar en wettelijk vertegenwoordigers? In hoeveel andere EU-lidstaten is de leeftijd op deze 12 jaar gesteld?
De leden van de CDA-fractie hebben begrepen dat de AP wordt aangewezen als nationaal controleorgaan als bedoeld in de Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016. Deze leden hebben begrepen dat het hier om de zogenaamde Europol-zaken gaat en vragen of dit klopt. En zo ja, dan vragen deze leden of dit betekent dat het toezicht op politiegegevens door de AP wordt uitgevoerd op de AVG in plaats van de Wet politiegegevens (Wpg). En hoe verhoudt zich dit met artikel 35 lid 1 van de Wpg waarin staat dat de AVG niet van toepassing is op »de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen met inbegrip van de bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en het vrije verkeer van die gegevens»? Zij vragen of de AP niet als controleorgaan dient te worden opgenomen in de Wpg.
De leden van de ChristenUnie-fractie vragen naar de handhaving van het toestemmingsvereiste voor het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar. Deze leden denken hierbij onder meer aan het verlenen van toestemming voor gebruik van sociale media. Betekent het voorliggende voorstel dat er ook strengere eisen kunnen worden gesteld aan platforms om te controleren dat een gebruiker daadwerkelijk toestemming heeft en dat er wordt gecontroleerd of een gebruiker daadwerkelijk ouder is dan zestien jaar?
De leden van de ChristenUnie-fractie merken op dat in het coalitieakkoord staat dat kinderen het recht krijgen om niet gevolgd te worden en dat zij geen dataprofielen zullen krijgen. Deze leden vragen of dit in voorliggend voorstel reeds afdoende wordt geborgd. Indien dit in de ogen van de regering nog niet het geval is, vragen zij de regering aan te geven wanneer wel tot deze borging zal worden overgegaan.
De leden van de ChristenUnie-fractie hebben kennisgenomen van het plan om de leeftijdsgrens te veranderen naar 12 jaar voor het intrekken van de toestemming van de wettelijke vertegenwoordiger. Deze leden vernemen daarnaast de adviezen van de Raad van de Rechtspraak, de VNO-NCW en de politie om hierbij te waken voor het belanden in een vicieuze cirkel. Zij vernemen ook het advies van de regering om de relatie tussen kind en wettelijke vertegenwoordiger niet verder te juridiseren. Toch vragen de leden van de ChristenUnie-fractie of de regering over deze gang van zaken meer verduidelijking kan geven in de memorie van toelichting.
Onderdeel G
De leden van de CDA-fractie vragen of het klopt dat er geen (maximale) boete voor het overtreden van de toe te voegen artikel(en) 10 van de AVG en 31 van de UAVG is vastgesteld. Deze leden vragen of het niet verstandig is om duidelijk te maken wat de maximale boetes kunnen zijn bij het overtreden van de toegevoegde feiten uit de genoemde artikelen.
Onderdeel I
De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 23a UAVG, waarin een uitzondering wordt opgenomen op het verbod om bijzondere categorieën persoonsgegevens te verwerken. De uitzondering uit dit voorgestelde artikel geldt voor verplichte accountants-opdrachten. Bijzondere categorieën persoonsgegevens zijn: «persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid». Zou de regering kunnen toelichten wanneer het in het kader van een verplichte accountantscontrole noodzakelijk zou zijn om deze bijzondere categorieën persoonsgegevens te verwerken?
In de toelichting staat als voorbeeld genoemd dat bijvoorbeeld gezond-heidsgegevens aan de orde kunnen zijn bij controleverklaringen bij zorginstellingen. De leden van de D66-fractie vragen of de regering kan aangeven waarom en wanneer deze gezondheidsgegevens relevant kunnen zijn bij de taak die een accountant dient uit te voeren (los van de vraag of deze gegevens gepseudonimiseerd zijn).
In artikel 29 staat opgenomen dat voor het gebruik van biometrische gegevens een dubbele noodzakelijkheidstoets wordt ingevoerd. De leden van de D66-fractie zien dit als een goede stap. Wel moet er duidelijkheid worden verschaft over wat er onder «een zwaarwegend algemeen belang» wordt verstaan en wat daarbuiten valt. Kan de regering verder toelichten wanneer het gebruik van deze gegevens noodzakelijk is voor beveiliging en wanneer niet?
Wat betreft artikel 23a delen de leden van de D66-fractie de overtuiging van de AP dat deze specifieke bepalingen mogelijk geen plek hebben in overkoepelende wetgeving als deze. Kan de regering een inschatting geven van de regeldruk om dit soort wetgeving uitsluitend in sectorale wetgeving vast te leggen?
Dit artikel regelt dat het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing is wanneer de verwerking noodzakelijk is voor een door een accountant te verrichten wettelijk voorgeschreven controle. Gemeenten hebben bij de leden van de CDA-fractie aangegeven dat dit praktische vragen oproept, bijvoorbeeld voor overeenkomsten tussen gemeenten en zorgverleners. Deze leden vragen of in de wettelijke voorschriften per voorgeschreven controle aangegeven wordt welke bijzondere categorieën van persoonsgegevens noodzakelijk zijn. Deze leden vragen of het vaststellen van deze categorieën en de noodzakelijkheid een afweging voor de verstrekker is. Of zal een ander orgaan hier nadere invulling aangeven? Wie bepaalt de noodzakelijkheid: de zorgverlener, de opdrachtgever of de accountant? En wie van deze partijen is verantwoordelijk voor pseudonimisering van de persoonsgegevens? En in hoeverre wordt hiervoor gewerkt met een Trusted Third Party? De leden van deze fractie vragen of de regering op deze onderdelen meer duidelijkheid wil verschaffen.
De leden van de CDA-fractie lezen dat pseudonimisering inhoudt dat de persoonsgegevens niet meer door de accountant aan een specifieke betrokkene gekoppeld kunnen worden zonder het gebruik van aanvullende gegevens en dat de accountant niet over deze gegevens beschikt. Deze leden vragen of dit in lijn is met de richtlijnen van Europese toezichthouders ten aanzien van het begrip «anonieme gegevens». Zij vragen bovendien waarom een verwerkingsgrondslag nodig is als de accountant louter toegang heeft tot anonieme gegevens. De leden vragen of de regering dit punt wil verhelderen in de toelichting.
De leden van de fractie van GroenLinks onderschrijven het voorstel om de gegevensbescherming bij de krijgsmacht meer algemeen te regelen. Wel roept het mogelijk maken van ad hoc besluiten naast een algemene regeling vragen op. In de memorie van toelichting wordt benadrukt dat er op deze manier meer maatwerk per missie geleverd kan worden. Deze leden vragen wel wat voor uitzonderingen de regering verwacht te moeten (kunnen) maken per missie en waarom dat niet kan worden verwerkt in een algemene regeling. Daarnaast vragen zij wat de afweging was om te kiezen voor een ministeriële regeling in plaats van een algemene maatregel van bestuur.
Ter nadere invulling van de wettelijke regeling van de benoemingsvereisten van de Autoriteit Persoonsgegevens wordt voorgesteld om dit bij gedelegeerde wetgeving vast te stellen. De leden van de fractie van GroenLinks vragen of er naast de reeds in de memorie van toelichting genoemde voorbeelden zoals ervaring, opleiding en achtergrond, nog andere benoemingsvereisten zijn die het kabinet overweegt in te stellen voor leden van de AP. Deze leden vragen verder hoe gangbaar het is in Nederland bij andere onafhankelijke autoriteiten, en in andere lidstaten bij hun gegevensbeschermingsautoriteiten, om dergelijke kwalificatievereisten bij gedelegeerde regelgeving vast te stellen.
Het wetsvoorstel houdt enkele uitzonderingen op het verwerken van bijzondere gegevens in voor accountants, met een beroep op redenen van zwaarwegend algemeen belang. Uiteraard erkennen de leden van de fractie van GroenLinks het algemene belang van de wettelijk verplichtte accountantscontroles, maar voor het verwerken van bijzondere persoonsgegevens op grond van artikel 9, tweede lid, sub g AVG is een zwaarwegend algemeen belang vereist. Net zoals de Raad van State vragen deze leden of er in zo een algemene zin gesteld kan worden dat er sprake is van redenen van zwaarwegend algemeen belang, voor alle wettelijk verplichte accountantscontroles en voor alle categorieën bijzondere persoonsgegevens. Is het niet denkbaar dat met het voorgestelde artikel 23a UAVG er schijnzekerheid wordt geboden, omdat bij gebrek aan een zwaarwegend algemeen belang in een concreet geval, de verwerking alsnog in strijd met de AVG kan zijn? Waarom is er niet voor gekozen om per wettelijke verplichting tot het laten doen van een accountantscontrole, aan te geven welke bijzondere gegevens verwerkt mogen worden? In een dergelijke constructie is het ook mogelijk om per geval de vereiste passende en specifieke maatregelen vast te stellen die nodig zijn om de verwerking van de bijzondere persoonsgegevens rechtmatig te laten zijn in het licht van artikel 9, tweede lid, sub g AVG.
De leden van de fractie van GroenLinks vragen zich ook af of deze uitzonderingen niet te breed zijn. Is het überhaupt nodig voor accountants om alle categorieën bijzondere persoonsgegevens te verwerken? En waarom is er niet voor gekozen om bij deze uitzondering een algemene verplichting voor anonimisering of pseudonimisering van de gegevens in kwestie te eisen, als passende maatregel om het privacyrecht te eerbiedigen in de zin van art. 9, tweede lid onder g AVG? Kan de regering aangeven in welke gevallen het noodzakelijk is voor accountants om (niet-geanonimiseerde of niet-gepseudonimiseerde) persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, te verwerken?
De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van het waarborgen van het medische beroepsgeheim. Waarom wordt er echter in het voorgestelde artikel 23a, tweede lid UAVG ingezet op pseudonimisering van de medische gegevens bij een accountantscontrole, en niet op anonimisering? En wie is uiteindelijk verantwoordelijk voor het realiseren van de pseudonimisering?
Onderdeel K
Het is voor de leden van de VVD-fractie op grond van de memorie van toelichting niet duidelijk welk probleem wordt opgelost door het introduceren van de nieuwe dubbele noodzakelijkheidstoets. Kan de regering daarop in gaan? Welke voorbeelden van gegevensverwerking zijn er in de rechtspraktijk geweest die aanleiding hebben gegeven voor deze wijziging? En hebben onze buurlanden ook een dergelijke dubbele noodzakelijkheidstoets geïntroduceerd? De complexiteit die voorgestelde wijziging mogelijk met zich meebrengt, leidt mogelijk tot nog meer voorzichtigheid bij organisaties bij de inzet van biometrische gegevens, wat op zichzelf al een knelpunt is dat ook wordt gesignaleerd in de evaluatie van de UAVG5. Deze leden vragen naar een reactie van de regering hierop.
De leden van de CDA-fractie lezen in de toelichting dat een verwerkings-verantwoordelijke een «actieve toets» moet doen om te beoordelen of ook in het specifieke geval wel aan het vereiste «noodzakelijk voor een zwaarwegend algemeen belang» is voldaan, voordat een beroep kan worden gedaan op de uitzondering op het verbod om biometrische gegevens te verwerken. Deze leden vragen wat precies wordt bedoeld met zo'n actieve toets, en wat een verwerkingsverantwoordelijke moet doen om te kunnen aantonen dat deze actieve toets daadwerkelijk heeft plaatsgevonden? Zij hebben begrepen dat er behoefte bestaat in het veld aan nadere duidelijkheid en rechtszekerheid met betrekking tot de vraag in welke gevallen de uitzondering kan worden toegepast. Vindt de regering niet dat dit niet iets is om aan de toezichthouder over te laten, maar afweging vanuit beleid vereist? Zij vragen daarom om verduidelijking in de memorie van toelichting (MvT) inzake (a) controle op toegangsbe-voegdheden op vitale en gevaarlijke locaties, zoals bedrijven uit de vitale infrastructuur; (b) beveiliging van vertrouwelijke informatie, waaronder persoonsgegevens, alsmede het netwerk van de organisatie; (c) beveiliging van supermarkten en andere winkels; (d) controle op identiteit in het kader van de Wet Ketenaansprakelijkheid en (e) beveiliging van geld of andere waardevolle zaken. De leden vragen of de regering bereid is om in de memorie van toelichting duidelijkheid te verschaffen zodat bijvoorbeeld bedrijven meer duidelijkheid vooraf hebben.
De leden van de fractie van GroenLinks delen de zorgen die zijn geuit door het Rathenau Instituut in zijn consultatiereactie omtrent de gebrekkige regeling van bepaalde categorieën van intieme gegevens die worden verzameld. Het onderhavige voorstelt tracht iets meer duidelijkheid te scheppen door aanscherping van artikel 29, maar laat nog steeds veel aan de praktijk over. Ook is er geen voorafgaande toetsing of de verwerking van dergelijke intieme persoonsgegevens rechtmatig kan zijn. Hoe kijkt de regering tegen de suggestie van het Rathenau Instituut om de verwerking van biometrische gegevens in de publieke ruimte geheel te verbieden, en daarbuiten dit afhankelijk te stellen van een vergunning? Deelt de regering de mening dat, omdat de voorbeelden die steeds genoemd zijn waar biometrische authenticatie daadwerkelijk de inhoudelijke toets van artikel 29 zal kunnen overleven zo gering zijn, een dergelijk vergunningsstelsel maar een beperkte extra last zal zijn voor een kleine groep organisaties? Hoe vaak denkt de regering dat binnen het voorgestelde kader het rechtmatig kan zijn om biometrische gegevens te verwerken in de publieke ruimte?
Daarnaast vragen de leden van de fractie van GroenLinks of het voor de toelaatbaarheid van de verwerking meeweegt welk type biometrische gegevens wordt verwerkt. En wat wordt concreet bedoeld met het begrip «werkprocessystemen», dat ingevoegd wordt in artikel 29 om duidelijker te maken waar biometrische gegevens voor authenticatie gebruikt mogen worden?
Onderdeel M
De leden van de D66-fractie hebben kennisgenomen van het voorgestelde artikel 30a van de UAVG. Dit artikel geeft uitzonderingen op het verbod om gegevens over gezondheid te verwerken. Er wordt voorgesteld in artikel 30a een specifieke regeling op te nemen met betrekking tot de overdracht van dossiers door hulpverleners. De voorgestelde regeling bevat ook de bepaling dat de betrokkene in beginsel wordt geïnformeerd over de overdracht van zijn of haar dossier. Uit de memorie van toelichting blijkt dat bewust niet is gekozen voor het vragen van toestemming aan de betrokkene. Onder het kopje «gegevensbescher-mingseffectbeoordeling» wordt als een van de belangrijkste risico's genoemd dat een medisch dossier tegen de wil van een patiënt wordt overgedragen. Is de regering van oordeel dat dit risico kan worden weggenomen door in de wettelijke bepaling wél toestemming van de betrokkene te vereisen? Wat is het bezwaar tegen het opnemen van de hoofdregel dat toestemming van de betrokkene moet worden gevraagd? Deelt de regering de mening dat het overdragen van medische gegevens aan niet-hulpverleners een sterke afbakening vereist?
De leden van de D66-fractie lezen ook dat de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) heeft aangegeven dat op dit moment in de praktijk bij overname niet vooraf toestemming aan patiënten wordt gevraagd. Vindt de regering dit een goede reden om geen toestemming te vereisen in de nieuwe wettelijke regeling? Verder wordt in de toelichting nadrukkelijk aandacht gevraagd voor de «gevoeligheid» van de betreffende gegevens. Om die reden heeft de regering de hierboven benoemde informatieplicht voorgesteld. Is de regering niet van oordeel dat een vereiste om toestemming te vragen meer recht doet aan de gevoeligheid van de gegevens dan een informatieplicht?
De leden van de D66-fractie lezen in de voorgestelde regeling dat nadere regels hieromtrent kunnen worden gesteld bij ministeriële regeling van de Minister van Volksgezondheid, Welzijn & Sport (VWS). Kan de regering toelichten waarom is gekozen voor een nadere invulling bij ministeriële regeling?
Dit artikel biedt een verruiming van het verbod om gezondheidsgegevens te verwerken voor een stichting, vereniging of andere instantie zonder winstoogmerk werkzaam op het gebied van de volksgezondheid en waarvan de verwerking van bijzondere persoonsgegevens onlosmakelijk verbonden is met de doelstelling van die organisaties. Het gaat hier om gezondheidsgegevens. De leden van de CDA-fractie zouden graag een toelichting hebben hoe in het voorgestelde artikel «passende waarborgen» worden ingevuld. Bovendien willen deze leden dat duidelijk wordt welke partijen precies worden bedoeld met «andere instantie».
Deze leden vragen verder of de regering wil bevestigen dat gegevensuitwisseling verplicht digitaal gaat en verwijzen daarvoor naar de Wet elektronische gegevensuitwisseling in de zorg (Wegiz).
De leden van de CDA-fractie vragen in hoeverre met dit wetsvoorstel invulling wordt gegeven aan de motie van de leden Van den Berg en Van der Staaij (Kamerstuk 39 925 XVI, nr. 53). Deze leden vragen of de criteria voor het anonimiseren van patiëntgegevens worden verduidelijkt. Zij constateren namelijk dat er geen richtlijnen vanuit de Autoriteit Persoonsgegeven (AP) bestaan en slechts zeer beperkte richtlijnen vanuit de European Data Protection Board (EDPB) over wanneer data dusdanig gedeïdentificeerd zijn dat men ze onder de UAVG als geanonimiseerd kan beschouwen. De leden van de CDA-fractie zien dat dit in de praktijk leidt tot grote verschillen tussen partijen over de definitie van «anoniem» en lastige gesprekken tussen partijen.
De leden van de CDA-fractie vragen of nader beschreven kan worden wat de definitie is van «onevenredige inspanning» op basis waarvan toestemming vragen niet noodzakelijk zou zijn. Deze leden verwijzen daarvoor ook naar de brief van 23 februari 20236 betreffende het verzoek uitstel plenaire behandeling Wet zeggenschap lichaamsmateriaal, waarin staat: «Het vragen van toestemming voor het nader gebruik van herleidbaar lichaamsmateriaal en voor secundair gebruik van zorgge-gevens zou formeel al praktijk moeten zijn op basis van de bestaande regelgeving (UAVG en Wet op de geneeskundige behandelovereenkomst, WGBO). De meeste ziekenhuizen gaan evenwel uit van een geen-bezwaar-systeem». Waar toestemming gevraagd zou moeten worden, is dat niet gebeurd. De leden van de CDA-fractie vragen hoe op een praktische en realistische manier vorm wordt gegeven aan «toestemming» zoals vereist vanuit de UAVG en WGBO.
De leden van de CDA-fractie vragen daarnaast of de regering wil toelichten of er wordt aangegeven wat partijen zouden moeten doen als een betrokkene de toestemming intrekt en de gegevens geanonimiseerd (niet meer herleidbaar) verstrekt zijn aan een derde partij. Deze leden vragen verder of de regering nader wil toelichten hoe dit artikel zich verhoudt tot het voorstel van de European Health Data Space (EHDS).
De leden van de CDA-fractie constateren, gelet op bovenstaande vragen, dat er nog enige onduidelijkheid is als het gaat om het delen van patiëntgegevens met andere partijen dan zorginstellingen (met name commerciële instellingen). Deze leden willen hiervan een voorbeeld noemen. Leveranciers worden tijdens de inkoop van medische apparatuur gevraagd om middels voorbeeldgegevens van andere zorginstellingen (beelden van werkelijke patiënten) de kwaliteit van medische apparatuur aan te tonen. Hierbij is echter de leverancier afhankelijk van zorginstellingen om dit te faciliteren, waarbij zorginstellingen tegen de bovenstaande onzekerheden aanlopen en daarom niet altijd meewerken. Dit betekent dat leveranciers dergelijke gegevens met name uit het buitenland moeten halen. Dit geldt ook voor het beschikbaar stellen van gegevens ten behoeve van educatie van zorgprofessionals in het gebruik van medische apparatuur. De leden van de CDA-fractie vragen of de regering de mening deelt dat dit onwenselijk is en of de regering zich wil inspannen om mogelijke onduidelijkheid weg te nemen.
Onderdeel P
De leden van de CDA-fractie zouden graag willen weten hoe de regering aankijkt tegen het voorstel van het Platform Bijzondere Opsporingsdiensten (Platform BOD) om in de memorie van toelichting expliciet op te nemen dat in het geval er gebruik wordt gemaakt van artikel 41 lid 2 onder h er geen melding aan de AP nodig is.
Onderdeel R
Het wetsvoorstel beoogt de uitzonderingen voor archivering van het algemeen uit te breiden, zodat deze ook geldt voor andere archiefbewaarplaatsen dan die genoemd in artikel 1, onderdeel f van de Archiefwet 1995. De leden van de fractie van GroenLinks onderschrijven uiteraard het belang van het goed functioneren van de in de memorie van toelichting genoemde archieven, maar is wel bezorgd dat de voorgestelde aanpassing mogelijk tot meer onduidelijk kan zorgen. In de rechtspraak is nu al onduidelijkheid over wanneer art. 45 UAVG van toepassing is7. Deze leden zijn bezorgd dat de voorgestelde tekst ertoe kan leiden dat bijvoorbeeld een zelfstandig bestuursorgaan (zbo) of gemeente zichzelf gaat zien als een publiek toegankelijke instelling die een beroep kan doen op de uitzondering van art. 45, lid 1 UAVG zoals wordt voorgesteld, om zo de rechten die betrokkenen hebben ingevolge de AVG kunnen beperken. Kan de regering bevestigen dat overheden die de persoonsgegevens in kwestie verwerken voor het uitvoeren van hun taak - en niet primair bezig zijn met archivering - geen beroep kunnen doen op art. 45 UAVG zoals wordt voorgesteld? En kan de regering bevestigen dat art. 45 UAVG alleen van toepassing is op persoonsgegevens nadat deze over zijn gebracht naar een archiefbewaarplaats?
Onderdeel T
De leden van de VVD-fractie vragen naar een uitputtende lijst van de adviescolleges en commissies (met bijvoorbeeld peildatum 1 februari 2023) waar deze bepaling op van toepassing zal zijn. Ook vragen deze leden of er nog instellingsbesluiten moeten worden gewijzigd naar aanleiding van deze nieuwe bepalingen.
De leden van de fractie van GroenLinks onderschrijven het voornemen om een duidelijke regeling te geven voor de verwerking van persoonsgegevens door tijdelijke commissies en adviescolleges. Wel vragen deze leden zich af of er, zeker met betrekking tot het verwerken van bijzondere persoonsgegevens, voldoende effectieve waarborgen aanwezig zijn. Klopt het dat er, omdat er gekozen is voor een nahangprocedure, in het huidige voorstel geen bindende toets vooraf is aan de voorwaarden van het voorgestelde art. 47a, derde lid UAVG? Is de regering het er mee eens dat het vanwege de tijdelijkheid van deze organen wenselijk zou zijn om van te voren duidelijkheid te verschaffen over of met de instellingsregeling daadwerkelijk voldaan wordt aan de voorwaarden van art. 47a, derde lid UAVG? Zal de Autoriteit Persoonsgegevens of de Raad van State daartoe vooraf geconsulteerd worden wanneer overwogen wordt om een tijdelijke commissie of adviescollege uit te zonderen van het verbod op het verwerken van bijzondere persoonsgegevens of persoonsgegevens van strafrechtelijke aard? Zo ja, is dat dan wettelijk verankerd? Zo nee, waarom is ervoor gekozen om dat niet te doen?
De leden van de ChristenUnie-fractie hebben kennisgenomen van het advies van de Raad van State, waarin wordt gesteld het begrip «zwaarwegend algemeen belang» beter te concretiseren. Deze leden vernemen dat het zwaarwegend algemeen belang niet is geconcretiseerd, noch in het wetsartikel zelf (art. 47a) noch in de memorie van toelichting. Zij vragen of de regering kan uitleggen waarom dit zwaarwegend algemeen belang niet verder is geconcretiseerd.
Het lid Omtzigt vraagt zich af of het mogelijk is onder de werking van artikel 47a een tijdelijke commissie in te stellen die uit onafhankelijke wetenschappelijke onderzoekers bestaat met een specifieke onderzoeksopdracht? Is het dan ook mogelijk dat de opdracht van deze commissie onderzoek naar een medisch wetenschappelijk vraagstuk uitvoert?
De leden van de D66-fractie lezen in de toelichting dat de taak van de curator of bewindvoerder in de loop der jaren is veranderd en uitgebreid. Volgens de regering hoort daar een nieuwe, heldere bepaling omtrent de verwerking van persoonsgegevens door curatoren of bewindvoerders bij. Onder omstandigheden mogen zij ook bijzondere categorieën persoonsgegevens verwerken. Kan de regering toelichten wat de veranderde taakopvatting van curatoren of bewindvoerders voor gevolgen heeft voor de verwerking van persoonsgegevens door deze beroepsgroepen? Kan worden gespecificeerd wat in het kader van de verwerking van persoonsgegevens bijvoorbeeld eerst niet aan de orde was en thans wel?
De leden van de fractie van GroenLinks hebben begrip voor het voorstel van de regering om een duidelijkere regeling te treffen voor de verwerking van persoonsgegevens door curatoren en (Wsnp-)bewind-voerders. Echter is het voor hen niet volledig duidelijk in hoeverre het huidige voorstel hiervoor de juiste oplossing is. In hoeverre is er uit de praktijk gebleken dat er te veel onduidelijkheid is over het verwerken van persoonsgegevens bij faillissement, surseance en schuldsanering? Blijkt er uit de rechtspraak dat hier problemen ontstaan? En hoe pakken andere lidstaten de problematiek die in deze situaties kan ontstaan op?
Daarnaast vragen de leden van de fractie van GroenLinks zich af hoe de lijsten met vooraf aangewezen noodzakelijke handelingen (art. 68a lid 2, art. 215b lid 2 en art. 316a lid 2 Fw zoals voorgesteld) tot stand zijn gekomen. Is er gekozen voor handelingen die essentieel zijn in de relevante insolventieprocedures, of is er gekeken voor welke handelingen doorgaans geen andere verwerkingsgrondslag in de AVG te vinden is? Ook wordt voorgesteld om het mogelijk te maken om bij AMvB deze lijsten aan te kunnen passen. Waarom wordt dit, mede in het licht van de voorlichting van de Raad van State inzake voorhangprocedures en AMvB's (Kamerstuk 35 957, nr. 14), voorgesteld, terwijl de lijst ook bij wetswijziging aangepast kan worden? Hoe zijn toekomstig toe te voegen handelingen anders dan degene die nu voorgesteld worden, dat zij zonder parlementaire tussenkomst binnen de reikwijdte van de respectievelijke eerste leden moeten kunnen worden gebracht?
Ook vragen de leden van de fractie van GroenLinks of er, zeker met betrekking tot de verwerking van bijzondere persoonsgegevens, geen rol ligt voor (extra) toezicht of inmenging van de rechter-commissaris in de respectievelijke insolventieprocedure? Wat is de rol van de rechtercommissaris in het faillissement, surseance en schuldsanering met betrekking tot de verwerking van persoonsgegevens in het huidige voorstel? Kan de regering duiden wat het verschil is tussen de «redenen van zwaarwegend algemeen belang» in de zin van artikel 9, tweede lid, sub g AVG en «dringend maatschappelijk belang» in de zin van de voorgestelde artikelen 68a, derde lid, sub a en 316a, derde lid, sub a Fw? Ontstaat hier niet het risico dat het begrip «dringend maatschappelijk belang» anders wordt ingevuld dan «zwaarwegend algemeen belang» waardoor er strijd ontstaat met de AVG?
Als laatste vragen de leden van de fractie van GroenLinks of en in hoeverre de voorgestelde verwerkingsgrondslag niet eerder meer onduidelijkheid schept, omdat het doelbindingsprincipe en andere fundamentele beginselen van de AVG mogelijk in de weg kunnen staan van de verwerking van de persoonsgegevens door de curator of (Wsnp-)bewindvoerder?
In de reactie schrijft de regering ook dat de taak van de curator of bewindvoerder van een zodanig zwaarwegend algemeen belang is, dat bijzondere categorieën van persoonsgegevens verwerkt moeten kunnen worden. De leden van de Volt-fractie kunnen deze opvatting volgen, maar vragen de regering om toe te lichten of de regering van mening is dat de taak op zich voldoende rechtvaardiging geeft voor de grondslag. Gaat het niet juist om dat een curator of bewindvoerder de ruimte krijgt om af te wegen of er sprake is van een zwaarwegend belang, maar dat de rol op zich geen rechtvaardiging is voor een verwerkingsgrondslag?
Het lid Omtzigt leest dat het artikel 68a lid 2 sub h vermeldt «met inbegrip van het geven van inzage in gegevens aan derden in het kader van een mogelijke verkoop [...] van de bedrijfsactiviteiten». In de memorie van toelichting wordt uitgelegd, dat deze bepaling de verkoop van een onderneming beoogt mogelijk te maken door het met de onderneming overdragen van persoonsgegevens toe te staan. Dit lid steunt dit beoogde doel maar merkt op dat het niet uit de wetstekst volgt. In de eerste plaats wordt het woord «gegevens» gebruikt waar in het wetsontwerp consequent naar «persoonsgegevens» wordt verwezen. In de tweede plaats wordt gesproken over inzage in het kader van een mogelijke verkoop van bedrijfsactiviteiten, waar waarschijnlijk «overdracht in het kader van een verkoop van bedrijfsactiviteiten» wordt bedoeld. Zoals het nu geformuleerd is lijkt het zich te beperken tot het verstrekken van inzage en niet het ter beschikking stellen van persoonsgegevens. Waarbij de aanduiding dat het een mogelijke verkoop betreft de indruk wekt dat het uitsluitend om een voorbereidingshandeling gaat.
Op grond van artikel 68a lid 3 sub a wordt het de curator toegestaan bijzondere persoonsgegevens te verwerken in gevallen als bedoeld in artikel 68a lid 2 sub a, c, f, h en j, maar artikel 68a lid 2 sub i. wordt niet genoemd. Is het de bedoeling, zo vraag het lid Omtzigt, dat in geval van overdracht van een onderneming bijzondere persoonsgegevens niet mee mogen worden overgedragen door de curator? In sommige gevallen zal artikel 30a hier een oplossing kunnen bieden, maar niet in alle gevallen. Denk bijvoorbeeld aan het klantenbestand van een handelsonderneming in medische hulpmiddelen. Welke overwegingen hebben ten grondslag gelegen aan het uitzonderen van het onder i. bepaalde en kan de regering overwegen het onder i. bepaalde alsnog toe te voegen?
Artikel X. Wet op het financieel toezicht
De leden van de fractie van GroenLinks vragen of het niet meer voor de hand had gelegen om de wettelijke verankering van transactiemonitoring door financiële instellingen mee te nemen in het Wetsvoorstel plan van aanpak witwassen (Kamerstuk 36 228).
De leden van de CDA-fractie zien dat binnen instellingen voor gezondheidszorg, maar ook binnen zorgnetwerken, zorgketens en overige samenwerkingsverbanden, een grote behoefte bestaat om patiëntgegevens te (kunnen) gebruiken voor verschillende vormen van onderzoek naar de kwaliteit van de geleverde zorg. Nu de focus steeds meer komt te liggen op zogenaamde «uitkomstgerichte zorg» wordt deze behoefte alleen maar groter. Deze leden willen graag een duidelijke uiteenzetting hoe de onderhavige wet zich verhoudt tot de Wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken. Zij constateren verder dat de Commissie Governance van Kwaliteitsregistratie (commissie Van der Zande) in haar eindrapport onder andere heeft aangegeven dat op dit moment een verwerkings-grondslag voor het gebruik van gezondheidsgegevens voor dergelijk onderzoek ontbreekt. Deze leden vragen in hoeverre deze wijziging van de UAVG kan worden benut om een grondslag voor deze vormen van gegevensgebruik te creëren dan wel te verduidelijken wat het bestaande kader is voor de verwerking van persoonsgegevens in het kader van kwaliteitsregistraties en te bevestigen dat dit kader voldoende is.
Met betrekking tot artikel 47 UAVG hebben de leden van de fractie van GroenLinks nog enkele vragen. Momenteel kan het inzagerecht (art. 15 AVG) worden uitgezonderd bij openbare registers, zonder dat het nodig is dat de wettelijke regeling van het desbetreffende register voorziet in inzage van de gegevens door de betrokkene (art. 47, eerste lid UAVG). Ook is het voor betrokkenen praktisch niet mogelijk om te achterhalen wie hun persoonsgegevens geraadpleegd hebben uit de registers. Hoe zou de regering het voorstel beoordelen om ook «inzage» toe te voegen aan de bij wet te regelen bijzondere procedures genoemd in art. 47, eerste lid UAVG? En ziet de regering wellicht een taak voor de beheerders van openbare registers om redelijke maatregelen te nemen opdat de ontvangers van persoonsgegevens uit de desbetreffende registers ook daadwerkelijk de verplichtingen uit artikel 14 AVG naleven?
De leden van de fractie van GroenLinks delen ook de geuite zorgen door het Rathenau Instituut over de verwerking van genetische gegevens. Het Rathenau Instituut pleit voor een (de facto) verbod op commerciële DNA-analyses, specifiek als het gaat om direct-to-consumer DNA-analyses. Dit omdat de privacy hierbij vaak niet goed gewaarborgd is, en omdat genetische gegevens per definitie ook betrekking hebben op mensen die genetisch verwant zijn aan de persoon die zijn gegevens afstaat. Ook kunnen genetische gegevens, als deze bijvoorbeeld uitlekken, niet worden herroepen zoals dat kan met een wachtwoord. Hoe kijkt de regering naar de probleemanalyse van het Rathenau Instituut? Ziet de regering voordelen in commerciële DNA-analyses, en wegen deze op tegen de nadelen, waaronder grote privacyrisico's voor klanten van deze DNA-analyses en de genetische aanverwanten van de klanten? Het Rathenau Instituut constateert dat in Duitsland en Frankrijk direct-to-consumer DNA-analyses de facto verboden zijn. Hoe gaan andere lidstaten van de EU om met deze problematiek? Het Rathenau Instituut constateert ook dat DNA-tests gebruikt worden door sommige werkgevers om (potentiële) werknemers te beoordelen. Acht de regering een dergelijke praktijk wenselijk en verenigbaar met de AVG en huidige UAVG? Zo nee, deelt de regering de mening dat het vanuit een rechtsze-kerheidsperspectief wellicht wenselijk is om expliciet in de UAVG op te nemen dat dit verboden is?
Als laatste constateren de leden van de fractie van GroenLinks dat de regering in de memorie van toelichting niet heeft gereageerd op paragraaf 1.3 inzake gezondheidsgegevens van de consultatiereactie van het Rathenau Instituut. Aangezien deze leden de zorgen delen die door het Rathenau Instituut worden geuit, vragen zij de regering om hier alsnog op in te gaan.
De voorzitter van de commissie,
Kamminga
De adjunct-griffier van de commissie,
Muller
Tweede Kamer, vergaderjaar 2022-2023, 36 264, nr. 5 20
Kamerstuk 34 851, nr. 19.
bijlage bij Kamerstuk 32 761, nr. 246.
Kamerstuk 34 851, nr. 19.
Nationale ombudsman, 2021/139 Voor een dichte deur, 21 december 2021.
Bijlage bij Kamerstuk 32 761, nr. 246.
Kamerstuk 35 844, nr. 10.
ECLI:NL:RBNHO:2021:8514, JBP 2021/114 m.nt. M.H. Paapst.