Regering zegt privacy impact assements toe - Main contents
Gisteren kruisten de Eerste Kamer en minister Donner en staatssecretaris Teeven de degens over de privacy. De Eerste Kamer wil in meerderheid een zorgvuldiger afweging bij wetgeving: welk effect heeft een wet op de privacy, en is een inbreuk op de privacy echt nodig? Op dit punt lijkt de regering zich iets van onze volhardendheid aan te trekken. Voortaan zal ze bij relevante wetten in de Memorie van Toelichting ingaan op het effect op de privacy. Dat is grote winst, dat betekent een helderder debat en afweging.
Verder drong de Senaat aan op meer regie bij de burger zelf, en ook meer verantwoordelijkheid door de overheid voor een zorgvuldige omgang met persoonsgegevens. Dat laatste vormde nog het grootste conflictpunt. Donner, normaal niet vies van regels en kaders stellen, vond dat hij niet het bedrijfsleven kon dwingen tot maatregelen om de privacy van burgers te garanderen. Het zou het bedrijfsleven te veel geld kosten. Absurd, als je technologie kunt gebruiken om een inbreuk te maken, kun je dat ook om de privacy te beschermen. Als je daar bij het ontwerpen van een systeem al aan denkt, is dat echt niet een rib uit het lijf van het bedrijfsleven.
Ook was Donner niet van plan om veel met horizonbepalingen te gaan werken, wetten dus die na een aantal jaren vanzelf ophouden. Een wet wordt dan alleen verlengd als die noodzakelijk en deugdelijk is gebleken. Hier bleek enige spanning tussen CDA en VVD. In het regeerakkoord en in het kabinetsstandpunt staat het namelijk wél opgenomen. Wij willen dat in de concrete voorstellen terugzien.
De Eerste Kamer heeft het debat in elk geval aangegrepen om het kabinet te voorzien van kaders waarbinnen het de concrete voorstellen gaat uitwerken. Hopelijk voorkomt deze werkwijze een tweede debacle zoals het EPD. Het kabinet hoeft zich een volgende keer niet verrast te tonen bij een tegenstem als wij onze uitgangspunten niet terugzien. Hopelijk gaat de Tweede Kamer zich nu ook meer van de privacy van hun kiezers aantrekken.
Zie hieronder mijn eerste en tweede termijn
Mevrouw Strik (GroenLinks):
Voorzitter. Gedurende de afgelopen vijftien jaar lijkt onze bezorgdheid over de privacy te zijn omgeslagen in onbekommerdheid. In datzelfde tempo is de inbreuk erop verder toegenomen. Sindsdien heeft de overheid op Europees en nationaal niveau een scala aan bevoegdheden vergaard om persoonsgegevens op te eisen en uit te wisselen. Vooral de aanslagen van september 2001 hebben een onstilbare informatiehonger bij de regeringen teweeg gebracht. Daarom zijn onze telefoon- en internetgegevens en onze banktransacties
opvraagbaar voor justitie. Zelf zijn we te traceren via onze mobiele telefoon. Als we willen vliegen, moeten we voor lief nemen dat de overheid ons lichaam scant en de luchtvaartmaatschappij onze persoonsgegevens overdraagt aan de autoriteiten
van het land van bestemming. Om de dader niet te missen, volgt de overheid iedereen. En zo zijn we geruisloos allemaal in het verdachtenbankje terechtgekomen.
Niets meer voor jezelf kunnen houden, is een vorm van vrijheidsverlies. Dreigt juist dat
opdringerige veiligheidsbeleid ons niet te verstikken? Waar beginnen veiligheid en vrijheid
onbehaaglijk te schuren? Waar ligt de grens tussen een betere dienstverlening en bescherming van onze persoonsgegevens? Burgers willen zelf die
grens bepalen. De overheid moet haar bevoegdheden aanwenden om ons daartoe in staat
te stellen. Dat vergt een ingrijpende koerswijziging.
Op dit moment kunnen burgers zich niet tot één verantwoordelijke wenden, want de potentiële schenders vertegenwoordigen alle aspecten van de overheid, de samenleving en het bedrijfsleven. Zijn ze aan te spreken op hun handelen door burgers? Er zijn veel dwarsverbanden en uitruilen, maar is er ook een regisseur? Om burgers greep op hun eigen
data terug te geven, zal de overheid en dus ook de politiek de regie moeten gaan nemen om ons grondwettelijk recht op bescherming van onze persoonsgegevens te waarborgen. Dat vergt regie op normering, transparantie, voorlichting, toezicht en handhaving.
Het is nog niet zo gemakkelijk om die regie zodanig te voeren, dat de daaraan ten grondslag
liggende normering klip-en-klaar is voor iedereen. Praktisch altijd wordt wetgeving gemaakt op basis van een afweging van belangen. Het belang van de Staat bij de bescherming van de openbare orde of het belang van de burger bij zijn veiligheid hebben een bepaald gewicht, net zoals het belang bij het zelfbeschikkingsrecht over de eigen gegevens of bij rechtsbescherming. Het is echter allang niet meer zwart-wit veiligheid versus privacy. Efficiency speelt een rol bij de dienstverlening, in de gezondheidszorg en in het bedrijfsleven. Ook daar zijn onze gegevens geliefd om het consumentengedrag te doorgronden en het aanbod van de producten nog passender te maken. Het belang van het bedrijfsleven dus. De gegevens die bedrijven verzamelen, komen allemaal weer beschikbaar voor de opsporing, kortom voor de veiligheid. De heer Franken heeft de normen die wat ons betreft bij de toets van ontwerpwetgeving als uitgangspunt moeten dienen, die voortvloeiden uit onze expertmeeting van 2008, zojuist opgesomd. Wij steunen dan ook graag de motie die
hij vanavond zal indienen.
Een toets voorafgaande aan een wetgevingsvoorstel, aan noodzaak, effectiviteit en
hanteerbaarheid, en proportionaliteit, is alleen mogelijk als we inzicht hebben in het effect van ontwerpwetgeving op onze privacy. Een privacy impact assessment is dus een conditio sine qua non voor een zorgvuldige afweging tussen het belang van de bevoegdheden, gegevens en het belang van burgers bij de bescherming van persoonsgegevens. Waarom kiest de regering ervoor om nu eerst onderzoek te doen naar de mogelijkheid van het
gebruik van privacy impact assessments? Ook de regering zelf zou die gegevens op tafel moeten willen hebben alvorens een afweging te maken. Een assessment maakt het ook mogelijk dat onbedoelde effecten tijdig boven water komen, zodat ontwerpwetgeving daarop kan worden aangepast. De regering noemt het kostenaspect in relatie tot
het niet verplicht stellen, maar voor een PIA bij wetgeving is alleen de overheid verantwoordelijk. Een verwijzing naar het arme midden- en kleinbedrijf is dan niet op zijn plaats. Heeft de regering eraan gedacht dat een PIA ook bijzonder kostenbesparend kan werken? Wetgeving kan nog tijdig worden aangepast in plaats van aan het eind van een traject. De vele miljoenen die verloren zijn gegaan met het voorbereidingstraject van het
elektronisch patiëntendossier hadden wellicht kunnen worden bespaard als alle effecten meteen op tafel hadden gelegen. Een PIA is ook een goede gelegenheid voor een onderbouwde reactie op adviezen van officiële adviesorganen. Momenteel zien we te vaak dat ook zeer kritische commentaren van de EDPS of het CBP zonder veel argumenten in
de wind worden geslagen. Dat past niet in een democratische rechtsstaat.
De regering zegt wel toe om de voorgenomen maatregelen nadrukkelijker te gaan toetsen aan effectiviteit en transparantie. Betekent dit ook dat wij dit herkenbaar en toetsbaar zullen
terugzien in de ontwerpwetgeving? Voor medewetgevers is het van belang om dezelfde toets
te kunnen doen als de regering. Ook het voornemen tot een evaluatie of horizonbepalingen
gaat in de goede richting. Waarom heeft de regering het in dit verband over "of/of"? Is het niet logischer om de horizonbepaling vergezeld te laten gaan van een evaluatie op een bepaald tijdstip ruim voorafgaand aan het aflopen van de horizonbepaling? Het gaat om de stok achter de deur voor een zorgvuldig tegen het licht houden van nut en noodzaak, maar ook om een waarborg dat ondeugdelijke wetgeving niet automatisch doorloopt. Ik hoor hierop graag een reactie van de regering. Wat is de wenselijke normering? De WRR
heeft de kern te pakken met de conclusie dat het gaat om regie op informatiestromen, niet alleen op applicaties. Wat willen we weten als overheid en waarom? Welke informatie willen we koppelen en met welk beleidsdoel of politiek doel? Alleen vanuit die inhoudelijke uitgangspunten is het mogelijk om selectief te zijn. Daarom zal de regering zich bij een
wetsvoorstel eerst moeten afvragen of de inbreuk op de privacy noodzakelijk is. Verkeren we in problemen omdat we een bepaalde wettelijke bevoegdheid nog niet hebben? Onderbouw dat dan met feiten en laat zien wat wordt opgelost met extra bevoegdheden en data.
Dat vraagt om een kritisch blik van iedereen: departementen, politiek en uitvoerders.
De neiging naar meer en meer mogelijkheden is groot, omdat we dat verwarren met daadkracht, maar het kan zich evengoed tegen ons keren. Het onderzoek "doelwit Europa" naar aanslagen of half gelukte aanslagen laat zien dat de politie de meeste plegers al in het vizier had, gewoon via het ambachtelijke opsporingswerk. Het gevaar van een onbeperkte hoeveelheid gegevens beschikbaar stellen, is dat nog meer data en bevoegdheden juist
het ambacht verzwakken en er nog meer langs elkaar heen wordt gewerkt. We creëren heel veel hooibergen waarin de politie mag gaan zoeken. Hetzelfde zien we gebeuren bij het
elektronisch kinddossier. Er zijn nu zo immens veel als risicokinderen getypeerde kinderen opgenomen in de databanken, dat gerichte hulpverlening onmogelijk wordt of preventiemaatregelen ondoenlijk te nemen zijn. De profilering is te grof,
waardoor we ons doel voorbij schieten. Bovendien leidt het tot stigmatisering en onrechtvaardige uitsluitingen, bijvoorbeeld als iemand te boek komt te staan als wanbetaler omdat hij een bepaalde postcode hebt en ergens één keer een rekening te lang open heeft laten staan.
Hetzelfde gebeurt als data voor te veel verschillende doelen worden gebruikt. Zo is het
Schengen Informatie Systeem gestart om de grenscontroles effectiever te. maken. Nu mogen opsporingsdiensten ook voor strafrechtelijke doeleinden gebruikmaken van de databanken. Dat betekent dat migranten vaker voorkomen in databanken waar politie en justitie vrij over kunnen beschikken. Het valt te bezien of dit gebruik niet indruist tegen de uitgangspunten die het EHRM heeft neergelegd in de Marper-zaak, omdat het onschuldige migranten kan stigmatiseren. Met profilering is het gevaar voor stigmatisering nog
nadrukkelijker aanwezig. Het Hof heeft in deze zaak nadrukkelijk op de grote verantwoordelijkheid voor overheden gewezen bij het gebruik van nieuwe technologieën.
Zij dienen de juiste balans te vinden. Opspoorders in de voorhoede dienen tevens privacybeschermers in de voorhoede te zijn.
Tot zover mijn vragen en opmerkingen over de wenselijke normering, maar wat is de feitelijke
normering? Wij zien dat de techniek uiteindelijk nog steeds de norm is; een groot contrast met de wijze waarop dit kabinet bijvoorbeeld met gentechnologie omgaat, zeker als het gaat om menselijke cellen. Dan wordt het van belang geacht om eerst een ethische discussie te voeren en op basis daarvan grenzen te stellen. Zo niet bij privacy: elke nieuwe mogelijkheid die een nieuwe techniek biedt, zullen we uiteraard toepassen. Zonde om niet te gebruiken! De "waaromvraag" sneuvelt te vaak onder dit enthousiasme. Tegelijkertijd weten we inmiddels
dat de privacy vooral afhangt van de wijze waarop mensen met die techniek omgaan. Aan wie verstrek je het mandaat om in een databestand te kijken? Maakt iemand fouten bij de invoering? Vallen de gegevens in verkeerde handen? De menselijke factor is een zwakke schakel en die kunnen we beter wantrouwen. We moeten ons tegen onszelf beschermen,
zo beschouw ik het uitgangspunt select before you ollect. Eerst weten wat je waarom nodig hebt en dan de wetgeving en de toepasselijke technieken zo ontwerpen, dat er ook geen andere informatie wordt opgeslagen of bewaard. Dit is het zogenaamde zero knowledge-uitgangspunt. Je moet wel eerst een cursus Engels volgen voordat je je
het privacydebat eigen kunt maken. Dat alles betekent een zorgvuldige afbakening al in het
stadium van het ontwerp van de wetgeving.
Dat verkleint tevens de kans dat gegevens voor een ander doel worden gebruikt en wat ons betreft is dat winst, want een ander doel verdient een nieuw debat in de Staten-Generaal, een doordachte, welbewuste keuze. Bovendien kan gebruik van gegevens voor een ander doel dan de wet oorspronkelijk in voorzag, alleen met instemming van de persoon zelf. Dat is iets anders dan een wet ergens publiceren en er dan van uitgaan dat iedereen op de hoogte is gebracht. Bovendien moet er een gegronde reden voor zijn. Deze twee criteria betekenen per definitie dat datamining uit den boze is. Toch blijkt in de praktijk keer op keer dat
datamining en profilering worden toegepast, evenals het zogenaamde function creep, het
gebruik van gegevens voor een ander doel. Hier worden burgers ongemakkelijk van. Je hebt geen greep op je gegevens, je weet zelfs niet in wiens handen ze zijn en waarom. Graag hoor ik klip-enklaar van de regering welke grenzen zij stelt ten aanzien van het omgaan met bulkgegevens, bijvoorbeeld in een databank, los van het doel waarvoor ze zijn opgeslagen. En welke waarborgen biedt de regering om deze grenzen te bewaken? De regering illustreert meteen ook zelf hoe lastig het is om selectiviteit te betrachten. Wegens doorslaand
succes zou de automatische nummerplaatherkenning (ANPR) moeten leiden tot
nieuwe wetgeving om kentekens voor meerdere doelen te kunnen gebruiken. Kan de regering aan de hand van dit voorbeeld nu eens uitleggen waarom het geoorloofd is om kentekens op grote schaal te gebruiken voor het volgen van bestuurders met een geheel ander doel dan
waarvoor de nummerplaatherkenning ooit bedoeld was? En kan ze daarbij een vergelijking trekken met de beslissing om niet verder te gaan met proeven voor de kilometerheffing, omdat dit de privacy te veel zou aantasten? Die maatregel zou zorgen voor 15% minder auto's op de weg en volgens de toenmalige regering, maar ook het Rathenau Instituut, was de privacy bijzonder goed gewaarborgd. In de woorden van de toenmalige
minister Eurlings: "U zou banger moeten zijn voor
uw gsm dan voor het kastje in uw auto".
Soms gloort er een begin van inzicht dat we niet op de weg van eindeloos vergaren van data
verder moeten. Een centrale databank voor de vingerafdrukken komt er voorlopig niet. Graag hoor ik van de regering hoe dit debat verder verloopt en wat er gebeurt met onze biometrische gegevens die inmiddels al zijn afgenomen. Zijn die gegevens veilig? Worden ze vernietigd? Dat laatste lijkt mij de meest logische weg. Graag informatie daarover.
Een zwaluw maakt nog geen zomer. Ook dit kabinet lijkt weer te barsten van energie om data
van ons te verkrijgen en te gebruiken voor zijn politieke ambities. De regering wil bijvoorbeeld
instanties verplichten om data te delen als het noodzakelijk is voor de veiligheid. Dit is dus een plicht voor professionals om te breken met het doelbindingsprincipe. We hebben met name de afgelopen jaren gezien hoe subjectief het begrip "veiligheid" is. Dus hoe ziet de regering dit voor zich? Wie mag bepalen of het nodig is? Het zijn die instanties zelf die deze afweging moeten maken.
In het kader van zelfbescherming en uniformiteit juicht onze fractie dan ook het idee van
de helpdesk toe, waarbij professionals worden geadviseerd over hun omgang met data. De vraag is wel onder wie die helpdesk zou moeten fungeren. Wat ons betreft, wordt een dergelijke helpdesk breed ingericht, ook voor burgers en het bedrijfsleven. Zo kan er een centraal expertisecentrum ontstaan met een eenduidige advisering, wie de hulpvrager ook is. Als we burgers weer meer greep op hun gegevens willen geven, zullen we moeten beginnen met meer transparantie en overzicht moeten scheppen. Dat betekent een herkenbare plek met functionarissen die vragen beantwoorden en adviseren, maar tegelijkertijd de
doorzettingsmacht hebben om gegevens te corrigeren of verwijderen, ten aanzien van alle
departementen en uitvoeringsinstanties. Hoe kijkt de regering hier tegenaan? Wat ons betreft, zou de commissie die de WRR voorstelt om jaarlijks de ontwikkelingen in de informatiestromen tegen het licht te houden en de Kamer en de regering daarover te adviseren, ook aan dit expertisecentrum gekoppeld kunnen worden. Dan zou een goede basis kunnen vormen voor haar bevindingen. Vanuit het burgerperspectief is de transparantie nog ver onder de maat. Naast een dergelijk expertisecentrum zou de wettelijke informatieplicht moeten worden versterkt en ook de mogelijkheden voor recht op inzage, bezwaar of
klachten moeten worden versterkt. Dan het toezicht. Burgers krijgen hun regie
echter niet terug met een helpdesk en een aansprakelijke met doorzettingsmacht. De overheid dient daarvoor zelf uit de mist te treden: laten zien wat ze weet van ons en wat ze daarmee doet. Het begint dus met inzage te krijgen in de registratie door de overheid en het gebruik van de gegevens. Zoals ik al bij aanvang zei: de overheidsregie moet zich ook uitstrekken over de private sector. Bepaal doelstellingen en randvoorwaarden en organiseer
toezicht. De regering stelt voor om het externe toezicht te verstevigen, maar wel meer achteraf in te zetten. Het interne toezicht bij bedrijven zou versterkt worden door middel van privacyofficieren. Het aantrekkelijke hiervan is dat wellicht het bewustzijn en de verantwoordelijkheid van bedrijven zelf hierdoor worden vergroot. De normen
worden van binnenuit opgebouwd, maar hoe voorkomen we het risico dat het beperkt blijft tot zo'n privacyofficier? En dient die officier niet ook de belangen van het bedrijf daar tegenover af te wegen?
De bedrijven zouden zelf belang moeten krijgen bij een zorgvuldig gebruik van gegevens
van hun klanten. Dat hebben wij gezien bij het bedrijf TomTom. Toen burgers ervan op de hoogte kwamen dat hun gegevens aan justitie werden verstrekt om snelheidsovertredingen te kunnen vaststellen, realiseerde de eigenaar van TomTom zich dat het bedrijf voorzichtiger moest zijn met het uitwisselen van gegevens. Als de overheid meer voorlichting geeft aan burgers over de wijze waarop het bedrijfsleven omgaat met data, kan de interne
druk om zorgvuldigheid te betrachten worden vergroot. Een doelmatig toezicht zit niet alleen in hoge boetes, maar onze fractie acht het wel van groot belang dat het CBP die boetes kan uitdelen. De leeuw moet inderdaad een beetje eng worden.
De overheid zou erop moeten toezien, bij zichzelf en het bedrijfsleven, dat de technologie
vooral benut wordt om ons te beschermen tegen ongewenst gebruik van onze gegevens. Meer privacy by design dus en daar mag een financieel belang nooit iets aan afdoen. Regie door de overheid betekent ook regie over de rol van toezichthouders. Het antwoord van de regering op de vraag over de rol van het CBP is tot nu toe nogal
ontwijkend. Wij ondersteunen een versterkende rol van wetgevingsadvies en toezicht op de naleving van die wetten. De advisering van bedrijven en uitvoerende instanties zien wij liever in een andere hand, wat het CBP vrijheid geeft in zijn toezichthoudende taak. Wellicht dat het CBP bij het kwijtraken van deze taak wel voldoende capaciteit krijgt. Dat zou zeer nauwgezet moeten worden uitgezocht.
Ten slotte: het wordt steeds duidelijker dat niemand meer het overzicht heeft. En de overheid zou het wel moeten willen hebben om enigszins grip te houden en sturing te geven. Wij als volksvertegenwoordigers dienen het burgerrecht serieus te nemen en een gevoel van urgentie te ontwikkelen ten aanzien van de onmacht die veel burgers voelen bij de technologische ontwikkelingen. Privacy gaat om veel meer dan om het kunnen afschermen van je persoonsgegevens. Het heeft met vrijheid te maken, waardigheid, autonomie, maar ook de democratische rechtsstaat. De door de WRR voorgestelde commissie die
jaarlijks rapporteert over die ontwikkelingen en ons aanspreekt op onze verantwoordelijkheid, zou dat gevoel van urgentie kunnen versterken. Maaruiteindelijk draait het om de politieke wil. Ik ben blij met het gevoel van urgentie dat ik vanochtend heb
gehoord. Laten we onze wetgevingstoets gewetensvol verrichten en geen genoegen nemen
met vage wettelijke criteria, controle houden op normering die in lagere regelgeving wordt
neergelegd, Europese ontwerpwetgeving becommentariëren en implementatiewetgeving
kritisch toetsen op de strikte noodzaak. Als we consistent zijn, zal de regering gedwongen zijn om onze uitgangspunten al bij aanvang van het wetgevingsproces ernstig te nemen.
Tweede termijn
Mevrouw Strik (GroenLinks): Voorzitter. Ik dank
beide bewindslieden voor hun beantwoording. Ik
vind het mooi te zien hoe gemakkelijk de
staatssecretaris zijn rol van onvermoeibare
crimefighter heeft ingeruild voor een rol als
bewindspersoon die de belangen kan afwegen
tussen veiligheid en persoonsbescherming. Ik moet
de staatssecretaris ook toegeven dat de
privacyparagrafen de enige lichtpuntjes waren voor
onze fractie in het verder duistere akkoord. Als het
op veiligheid aankomt, blijkt toch dat privacy bij de
belangenafweging vaak het onderspit delft bij deze
staatssecretaris, zij het dat die privacy bij andere
belangenafwegingen weer wel in betere handen lijkt
te zijn. Die indruk kreeg ik tenminste van zijn
antwoord op mijn constatering dat het
veiligheidsbeleid ook wel eens verstikkend kan
werken. Ik hoor graag van hem dat het niet zo is
dat hij even in zijn oude rol terug schoot.
Het enthousiasme waarmee de criminaliteit
wordt bestreden, ontneemt de regering soms het
zicht op de nodige effectiviteit. Dat blijf ik toch
vinden. Al die hooibergen van PNR, bewaarplicht en
SWIFT geven niet bepaald een garantie dat het
veiliger wordt in Nederland of Europa. Mijn fractie
was evenmin onder de indruk van de vragenlijst die
de regering heeft ingeleverd bij de Commissie voor
de evaluatie van de Dataretentierichtlijn en
evenmin van de evaluatie van de Commissie zelf.
Zojuist was ik ook behoorlijk verrast, te horen van
de bewindslieden dat er op dit moment onderzoek
wordt gedaan naar de omvang van
identiteitsfraude, terwijl die grote omvang al het
argument was voor de invoering van de
vingerafdrukken in het kader van de Paspoortwet.
Ik vraag dus aandacht, ook in de toekomst, voor
een goede onderbouwing met feiten, op basis
waarvan we kunnen bepalen of meer bevoegdheden
echt noodzakelijk zijn.
Mijn fractie is blij met de toezeggingen over
de PIA in de aanwijzing van de regelgeving. De PIA
wordt echt een onderdeel van een integraal
afwegingskader. Mijn fractie wil wel een
onderscheid maken tussen een PIA en Privacy by
Design. De bewindspersonen zeggen te gemakkelijk
dat ze bij Privacy by Design, met name voor het
bedrijfsleven, toch aan het kostenelement moeten
denken. Ik vraag me af of het niet toch vooral een
kwestie is van het bedrijfsleven te verplichten tijdig
rekening te houden met de privacy. Op het moment
dat het systeem wordt ontworpen, kost dat altijd
heel veel geld. Dan moet er aan heel veel criteria
worden voldaan, gebruiksvriendelijkheid en
dergelijke.
Als je dan meteen de privacy erbij neemt, hoeft het
niet per se extra sloten geld te kosten. Dan is het
gewoon een kwestie van meenemen in de criteria.
Bovendien, hoe meer er geïnvesteerd wordt in
privacyvriendelijke systemen, hoe goedkoper het
uiteindelijk wordt. In dat opzicht, richting het
bedrijfsleven, vond ik beide bewindslieden
teleurstellend en afwachtend. Minister Donner was
zelfs enigszins fatalistisch. Zo ken ik de minister
ook helemaal niet. Volgens hem heeft de overheid
alleen regie over de overheid en niet over het
bedrijfsleven. Anders is hij echter niet te beroerd
om kaders en regels te stellen voor het
bedrijfsleven.
Ik vind het pertinent onjuist om als
overheid uit te stralen dat empowerment van de
burgers, het krachtiger maken van de burger, het
enige is wat je kunt doen. Dat is ook onzin. De
overheid heeft vanuit een grondwettelijk recht op
bescherming van persoonsgegevens gewoon de
dure plicht om dat recht te waarborgen. Het is geen
absoluut recht. Dat vraagt ook niemand. De
overheid moet er wel voor zorgen dat dit recht voor
burgers ook ten opzichte van de private sector
wordt beschermd. Naast het wettelijk kader van de
Wbp is het zaak het toezicht te versterken en
strenge eisen te stellen aan de technologie.
De overheid moet waarborgen dat in de
private sector het beschermen van de privacy niet
een soort sluitpost is, die vrij gemakkelijk van tafel
kan vallen. Ik vind dat de regering deze rol als
bewaker serieus moet nemen. Natuurlijk heeft de
minister gelijk als hij zegt dat de Nederlandse
jurisdictie beperkt is in onze mondiale en digitale
wereld. Dat ontslaat hem niet van zijn
verantwoordelijkheid of plicht om op Europees of
internationaal niveau afspraken te maken.
Natuurlijk heeft het bedrijfsleven een eigen
verantwoordelijkheid. De overheid moet het
bedrijfsleven daarop aanspreken.
De private sector voert bovendien heel vaak
opslag van gegevens uit in opdracht van de
overheid of doordat een publieke taak van de
overheid is uitbesteed aan de private sector. De
grenzen tussen overheid en private sector zijn nu
eenmaal niet zo eenvoudig te trekken.
Ik ben blij dat het infocentrum, de
vraagbaak voor professionals, naar het
bedrijfsleven wordt uitgebreid. Ik zit wel met het
punt van de capaciteit. Er is gesproken over drie
fte's. Dat is natuurlijk helemaal niks als je het echt
goed wilt vormgeven. En waar blijven de burgers
dan? Het burgerperspectief ontbreekt nog enigszins
in de uitgangspunten die wij vandaag hebben
gehoord. Andere woordvoerders hebben dat al
gezegd. Mijn fractie heeft in eerste termijn al
gepleit voor een meer algemene vraagbaak waar
alle actoren in het veld bediend worden met
advisering. Graag een reactie hierop. Als je erkent
dat de advisering niet door het CBP wordt
uitgevoerd, en je het toezicht robuuster wilt maken,
inclusief het uitdelen van boetes, kijk dan nog eens
goed en zorgvuldig of het CBP daartoe voldoende is
uitgerust. De leeuw moet voldoende toegerust zijn
wil die kunnen brullen!
Mijn fractie is blij dat er bij profiling
verplicht wordt tot transparantie. Voor ons is dat
echter niet voldoende. De staatssecretaris zou nog
verder ingaan op de mogelijkheid van het verfijnen
van risicoprofielen. Daar hoor ik graag nog van
terug.
En dan de doelbinding. De minister zei dat
een databestand, als het er eenmaal is, ook voor
andere doelen gebruikt zal worden. Zo gaat dat in
het leven, volgens de minister. Precies daarom
pleiten wij voor "select before you collect". Weet
waar je aan begint. De systemen moeten zo precies
mogelijk afgebakend zijn voor het doel. Dat maakt
het veel moeilijker om later iets anders te willen
doen met de verzamelde gegevens. Beperk jezelf
en bescherm jezelf om het niet, huppetee, verder
uit te breiden.
Ik ben blij dat wij dit debat hebben
gevoerd. Het is goed om kaders te stellen en die
mee te geven aan de regering. De heer Staal heeft
zojuist gezegd dat de Kamer zo haar taken
uitbreidt. Het heeft echter niks met initiatief te
maken. Niemand is blij met het debacle van het
epd. Het is veel fijner om aan het begin dingen mee
te geven dan aan het eind van het traject te
constateren dat wij er niet mee kunnen leven.
Er gaat nog veel uitwerking volgen, zowel
bij reacties op rapporten als in concrete
wetsvoorstellen. Dat biedt ons de kans om dieper
en concreter in te gaan op voorstellen en
waarborgen.
Ik ben benieuwd of wij voldoende terugzien
van het burgerinitiatief, maar ook ben ik benieuwd
in hoeverre burgers extra steun kunnen verwachten
van de Europese normering. Ik ga ervan uit dat het
Handvest van de grondrechten en het
Unierechtelijke evenredigheidsbeginsel in dit
opzicht misschien nog meer bescherming zullen
bieden dan het EVRM. Als het geen Nederlandse
rechters zijn, dan wellicht andere constitutionele
rechters van andere lidstaten die het Hof van
Justitie om uitleg zullen vragen. De senaat hecht er
in elk geval aan om goed op de hoogte te blijven
van de Europese ontwikkelingen en het Nederlands
standpunt daarover.
Ik wacht de nadere voorstellen af.