Meldplicht datalekken - Eerste Kamer€¦ · Meldplicht datalekken Aan de orde is de behandeling...

9Meldplicht datalekken

Aan de orde is de behandeling van:- het wetsvoorstel Wijziging van de Wet beschermingpersoonsgegevens en enige andere wetten in verband metde invoering van een meldplicht bij de doorbreking vanmaatregelen voor de beveiliging van persoonsgegevensalsmede uitbreiding van de bevoegdheid van het Collegebescherming persoonsgegevens om bij overtreding vanhet bepaalde bij of krachtens de Wet bescherming persoons-gegevens een bestuurlijke boete op te leggen (meldplichtdatalekken en uitbreiding bestuurlijke boetebevoegdheidCbp) ( 33662 ).

De algemene beraadslaging wordt geopend.

De voorzitter:Aan de beurt is de spreker van de zijde van D66, als eerstespreker van de zijde van de Kamer. Hij heeft een spreektijdvan 20 minuten aangevraagd.

De heer Schouw (D66):

Voorzitter, dank u wel dat ik aan de beurt ben.

De meldplicht datalekken en uitbreiding bestuurlijke boete-bevoegdheid is een belangrijk wetsvoorstel voor debescherming van persoonsgegevens en eindelijk ligt heter. Eindelijk, want het heeft wel héél erg lang geduurdvoordat het kabinet met zijn belofte uit het regeerakkoordover de brug kwam. Ondertussen is de noodzaak voor zoweleen meldplicht als een boetebevoegdheid voor het Collegebescherming persoonsgegevens spectaculair gegroeid. Detechnologische ontwikkelingen vliegen ons om de oren.Informatie wordt steeds belangrijker en maakt ons levensteeds gemakkelijker, maar we betalen daarvoor ook eenprijs. Steeds meer van onze persoonsgegevens wordenopgevraagd, vastgelegd en uitgewisseld. Ze geven veelbloot van wie we zijn, wat we doen, wanneer en zelfs metwie. De grip op die eigen gegevens over wie wat over jeweet of te weten kan komen, verliezen heel veel burgerssteeds vaker. Dat is zorgelijk, want het recht op een eigenlevenssfeer is in onze vrije samenleving een grondrechtvan bijna 17 miljoen mensen. Een grondrecht verdient hetom serieus genomen te worden en om beschermd te wor-den tegen misbruik en onzorgvuldigheid.

Partijen die hechten aan die gegevensbescherming riepende staatssecretaris dan ook meerdere malen op: treuzel nouniet langer en kom met een boetebevoegdheid, geef deprivacywaakhond ook tanden. Dat is namelijk het meestkernachtige waarom we hier vandaag bij elkaar zijn,namelijk om de privacywaakhond tanden te geven. Te vaakgaat het mis en te vaak worden regels niet nageleefd of kande toezichthouder onvoldoende handhaven. De grote vraagis nu natuurlijk of met het onderhavige wetsvoorstel aandie lang gekoesterde wens tegemoet wordt gekomen. Regeltdit wetsvoorstel nu een slagvaardige toezichthouder diedaadkrachtig kan optreden met een noodzakelijke en uit-voerbare meldplicht? Heeft de boetebevoegdheid degewenste afschrikwekkende, preventieve werking?

Alles overziend, vreest de fractie van D66 dat het nog nietzo ver is. De staatssecretaris presenteert een privacywaak-hond die wordt uitgerust met een klappergebitje. Het klap-pert maar het bijt nog niet echt door. Het is als — ik probeermij een beetje in de taal van de staatssecretaris te verplaat-sen — een politieagent die met de handen op de ruggebonden de boeven moet vangen. En de staatssecretarisweet zelf dat dat niet werkt. Ik wil het daarom achtereenvol-gens hebben over de boetebevoegdheid, de ministeriëlegoedkeuring, de meldplicht en niet te vergeten de naams-wijziging van het College bescherming persoonsgegevens.

Eerst die boetebevoegdheid. Het hele idee van de boetebe-voegdheid is dat van een robuust extern toezicht. Dat zegik een organisatie als de FNV na, die er een indringendebrief over heeft gestuurd naar deze Kamer. Stevige handha-ving van de regels van de Wet bescherming persoonsgege-vens zodat die wet niet uitgroeit tot een wassen neus, ach-terhaald door technologie of ondermijnd door slechtehandhaving. Het strafrecht als beschermheer van privacy,als stok achter de deur verdwijnt met dit voorstel wat meernaar de achtergrond, want alle heil wordt gezocht in debestuurlijke boete. Op zichzelf is dat prima, maar welk heilmoet daarvan komen als niet onmiddellijk een bestuurlijkeboete opgelegd kan worden en als er eerst in vrijwel allegevallen een bindende aanwijzing moet worden gegeven?Verliest de toezichthouder dan niet die stevigheid alsgegevensverwerkers weten dat zij er eerst met een waar-schuwing van af kunnen komen? Dat is volgens mij foutnummer één in het huidige wetsvoorstel. De bindendeaanwijzing die altijd nodig is voordat een boete kan wordenopgelegd, moet eruit.

Wat is eigenlijk nodig voor opzet in bestuursrechtelijke zin?Wanneer is een inbreuk zo ernstig dat de toezichthoudermeteen een boete mag opleggen? En mag de toezichthou-der straks ook rekening houden met de aard van een over-treding, de kenmerken van een overtreding, de mate vanverwijtbaarheid of herhaalde overtredingen? Stel nou dathet om gegevens van kwetsbare groepen gaat, zoals kinde-ren. Is het dan ernstiger? Als de overtreder als hoofdactivi-teit gegevensverwerking heeft, en op dit terrein dus geenonbekende is, is het dan ernstiger? Hoe weegt de mate vanonzorgvuldigheid, onachtzaamheid of onoordeelkundighandelen mee? En wat als de overtreder bij herhaling deprivacywet overtreedt?

Kortom, welke ruimte biedt het wetsvoorstel aan al dieoverwegingen die het opleggen van boetes juist zorgvuldi-ger moeten maken in plaats van rigide? Mijn fractie steltvoor dat we de bindende aanwijzing als tussenstap nietverplicht stellen, en dat we de boetebevoegdheid niet uit-sluitend ophangen aan begrippen als "opzet" en "ernstigverwijtbare nalatigheid", zoals opgenomen in het amende-ment van de Partij van de Arbeid en de VVD. Dat voorsteldoen we samen met de fractie van de ChristenUnie. Debevoegdheden moeten namelijk zorgvuldig en adequaatworden toegepast. Daarbij geldt primair dat mensen straksprecies moeten weten wat de regels zijn en wat ze kunnenverwachten als ze de regels niet opvolgen. Dat halen zij nietuit de wet. Dat kan dadelijk alleen maar gebaseerd zijn opde richtsnoeren en beleidsregels van het College bescher-ming persoonsgegevens. Die zijn daarvoor cruciaal.

Mijn grote vrees is dat als we de wet nu te nauw formulerendoor in de wettekst allerlei beperkingen op te nemen overwanneer het College bescherming persoonsgegevens direct

51-9-1

5 februari 2015

TK 51Meldplicht datalekkenTweede Kamer

kan overgaan tot een boete, het noodzakelijke maatwerkonnodig wordt beperkt en allerlei vormen van juridiseringontstaan die mijn fractie niet wil. Mijn fractie wil dus vande staatssecretaris weten wat nu precies het bezwaar is alswe de escalatieladder van de boetebevoegdheid regelen inde beleidsregels, en het wetsvoorstel vrijhouden van enigeinperking op dat punt. De rechter kan het College bescher-ming persoonsgegevens tot de orde roepen als de normniet voldoende duidelijk wordt of kenbaar was voorbetrokkene. Dat zijn naar de opvatting van mijn fractie tochde waarborgen voor correcte, zorgvuldige, kenbare envoorziene toepassingen. Graag hoor ik de reactie van destaatssecretaris.

Het andere punt is de ministeriële goedkeuring. Daar heb-ben we in de schriftelijke voorbereiding ook al uitgebreidover gecorrespondeerd. Richtsnoeren en beleidsregels vande toezichthouders behoeven instemming van twee minis-ters. Dat is een aangelegen punt. Met de boetebevoegdheidheeft het College bescherming persoonsgegevens straksde normstelling en de bestraffing in één hand. Dat isnatuurlijk een aandachtspunt. De vraag is hoe je dat nouwettelijk gaat regelen. Kunnen ministers die verantwoorde-lijk zijn voor de privacywetgeving betrokken zijn bij naderenormstellingen door een nationale toezichthouder waar deministers zelf ook onder vallen? Met andere woorden: kande minister regels goedkeuren of vaststellen waar hij zichals overheidsorgaan eigenlijk ook zelf aan moet houden?Dat lijkt mijn fractie een beetje een gewrongen constructie.Hoe gaat de staatssecretaris straks de onafhankelijkheidvan de toezichthouder precies waarborgen als deze minis-ters bemoeienis krijgen met de toepassing van privacynor-men?

De heer Van Wijngaarden (VVD):

Graag een korte verduidelijking op het amendement opstuk nr. 19, want ik hoorde de heer Schouw zojuist aangevendat de verplichte tussenstap van de bindende aanwijzingwat hem betreft niet hoeft. Maar als ik het amendementgoed begrijp, staat daarin dat het niet-nakomen van eenbindende aanwijzing beboetbaar is. Daar wordt die dantoch niet in weggelaten? Of lees ik dat verkeerd?


Wat ik wil doen, is meegaan in de redenering die de heerVan Wijngaarden namens zijn fractie heeft gevolgd in zijnamendement waar het gaat om ernstig verwijtbare nalatig-heid, omdat die begrippen volgens mij een enorme inper-king betekenen aan de voorkant van de directe boetebe-voegdheid die het College bescherming persoonsgegevensmoet hebben vanwege de afschrikwekkende werking. Metandere woorden, daar gaat een preventieve werking vanuit. Nu is gepoogd in het amendement van de heer VanWijngaarden om die preventieve werking aan banden teleggen. Dat vind ik niet verstandig.


Ik stel het zeer op prijs dat de heer Schouw ingaat op hetandere amendement, maar ik had eigenlijk een vraag overdit amendement, te weten het amendement op stuk nr. 19van hem en de heer Segers.

De voorzitter:U zegt dat uw vraag niet is beantwoord. Laten wij de heerSchouw dan vragen of hij wel meent de vraag te hebbenbeantwoord.


Ik dacht dat ik mijn hele setje amendementen bij me had,alleen het amendement op stuk nr. 19 heb ik nu net niet bijme.

De voorzitter:Ik geef het aan u.


Wat was de vraag?


Zojuist gaf u aan dat die verplichte tussenstap wat u betreftniet nodig is. Ik lees het zo dat hier staat dat u het beboet-baar wilt maken als die tussenstap, dus die bindende aan-wijzing, niet wordt nagekomen.


Ja, maar verder beperken wij dit niet. Daarom verwees iknet ook naar uw amendement, want u wilt hetzelfde, maaru maakt het heel erg beperkend, waardoor de effectiviteitvan het College bescherming persoonsgegevens volgensmij aan banden wordt gelegd.

De voorzitter:U vervolgt uw betoog.


De verplichte ministeriële goedkeuring geldt voor nieuween bestaande richtsnoeren van de toezichthouder. Wat alséén van de zes bestaande richtsnoeren niet wordt goedge-keurd? Wat betekent dat dan voor het optreden van hetCollege bescherming persoonsgegevens in het verleden?Kan de staatssecretaris daarop een reactie geven? Hoe langduurt zo'n goedkeuringstraject en hoe gaan we om met detussentijdse actualisering van richtsnoeren?

Wat zijn eigenlijk de Europese implicaties van dit voorstel?Want als ik de reactie van het College bescherming per-soonsgegevens goed lees, spreekt dat uit dat het wel dui-delijk is dat dit zal leiden tot een infractieprocedure, omdathet goedkeuringsvereiste in strijd is met de onafhankelijk-heid van het privacytoezicht. Kan de staatssecretaris datrisico uitsluiten?

Collega Segers en ik hebben daarvoor een oplossing in devorm van een amendement om de ministeriële goedkeuringte schrappen en om de schijn van belangenverstrengelingte voorkomen. Graag een reactie op dit punt.

Dan de meldplicht, want waar gegevens worden verzameld,bestaat het risico op datalekken. Aangezien de dataverza-meling spectaculair is toegenomen, zijn de risico's dat hetmisgaat ook steeds groter. Gegevens van burgers kunnen

51-9-2

5 februari 2015


op straat komen te liggen, worden gehackt, misbruikt ofdoorverkocht aan derden. Als we persoonsgegevens ade-quaat willen beschermen en willen optreden als het mis-gaat, dan is een meldplicht voor datalekken nu en voor detoekomst dus simpelweg noodzakelijk. Mijn fractie begrijptdan ook niet waarom de staatssecretaris zijn oorspronkelijkewetsvoorstel rigoureus heeft gewijzigd ten nadele van dieprivacy van burgers. Als wij de meldplicht tot de meesternstige gevallen beperken, dempen wij de put dus pas alshet kalf verdronken is. Een meldplicht heeft nadrukkelijkmeerwaarde in die gevallen waarin de ernstige gevolgennog niet zijn opgetreden, maar wel dreigen. Daarom hebbenwij met de fracties van de PvdA en de VVD een amendementingediend waarmee wij de privacybescherming aanscher-pen en tegelijkertijd de meldplicht werkbaar houden voorde gegevensverwerkers. Daarbij hechten wij eraan dat degegevensverwerkers binnen de organisatie een overzichtbijhouden van ten minste de ernstige inbreuken die ookeen meldingsplicht kennen. Zo'n trackrecord houdt degegevensverwerker scherp op zijn gegevensbeveiliging.Burgers, consumenten en cliënten hebben er recht op omte weten of hun persoonsgegevens veilig zijn, of juistonderhevig aan voortdurende ernstige inbreuken of dreigin-gen daarvan. De staatssecretaris zal het amendementinmiddels gezien hebben. Wat vindt hij van deze tussenva-riant?

Wij hebben ook een amendement gesteund dat over deversleutelde gegevens gaat. Ik neem aan dat dit dadelijkdoor een van de indieners zal worden toegelicht.

Tot slot heb ik nog het punt van de naam. Het Collegebescherming persoonsgegevens krijgt ook een nieuwenaam, de Autoriteit persoonsgegevens, zo lezen wij tussenneus en lippen door in het wetsvoorstel. Dat is goed. Mijnfractie vraagt al langer om een andere duiding, die beteraansluit bij de stevige positie van een toezichthouder. Zoalswij de Autoriteit Consument & Markt en de AutoriteitFinanciële Markten hebben, verdient ook privacy een echteautoriteit. In Europa wordt al langer gesproken over de"autoriteit dataprotectie", een sterke combinatie van positieen kerntaak van de privacytoezichthouder. Wij missen diebescherming echter in het voorstel van de staatssecretaris,terwijl dit juist de essentie is. Mijn fractie stelt dan ook voorom de naam wat scherper te formuleren. Wij zouden hetCollege bescherming persoonsgegevens willen omdopentot Autoriteit Gegevensbescherming. Dit lijkt ons veel meeraan te sluiten bij de Europese begrippen, de "autoriteitdataprotectie". Bovendien kan er dan geen misverstandover ontstaan, zelfs niet qua naam.

Ik rond af. Wij hebben lang naar dit wetsvoorstel uitgezien.Het is goed dat het er is. Het is nodig dat er een privacywaak-hond met tanden komt, maar er zouden nog twee dingenaan het wetsvoorstel moeten veranderen. Ten eerste zoudenwij graag zien dat de ministeriële goedkeuring uit dit wets-voorstel verdween. Daarvoor hebben de ChristenUnie enD66 een amendement voorbereid. Ten tweede willen wijgeen grote beperkingen voor het College beschermingpersoonsgegevens om direct over te gaan tot een boete.

Mevrouw Helder (PVV):

Voorzitter. Naar aanleiding van een aantal incidentenwaarbij door een inbreuk op de beveiliging van websites

persoonsgegevens vrijkwamen, met nadelige gevolgenvoor de persoonlijke levenssfeer van betrokkenen, is destaatssecretaris gekomen met het wetsvoorstel dat wijvandaag bespreken. In het wetsvoorstel wordt een meld-plicht geïntroduceerd in de Wet bescherming persoonsge-gevens, de Wbp. Op dit moment geldt de beveiligingsver-plichting van artikel 13 Wbp. Die bepaling verplicht de ver-antwoordelijke om passende technische en organisatorischemaatregelen te treffen om persoonsgegevens te beveiligentegen verlies of enige vorm van onrechtmatige verwerking.De voorgestelde meldplicht van datalekken staat in nauwverband met deze beveiligingsverplichting. Is de beveiligingdoorbroken, dan bestaat er in een aantal gevallen namelijkeen meldplicht voor diegene die verantwoordelijk is voorhet beheer en/of de verwerking van de persoonsgegevens.De klemtoon bij deze meldplicht ligt op het lekken van per-soonsgegevens als gevolg van beveiligingsproblemen. Bijeen ernstige inbreuk op de getroffen maatregelen terbeveiliging van persoonsgegevens moet de verantwoorde-lijke, dus degene die de gegevens verwerkt, op grond vanhet voorgestelde artikel 34a die inbreuk melden bij de toe-zichthouder, dus het College bescherming persoonsgege-vens. De meldplicht geldt alleen in geval van een inbreukdie ernstige nadelige gevolgen heeft voor de beschermingvan de persoonsgegevens.

Verder komt er een uitbreiding van de boetebevoegdheidvan het College bescherming persoonsgegevens, het CBP.Volgens het wetsvoorstel kan het CBP een bestuurlijke boetegaan opleggen van maximaal €450.000, maar wel met devoorwaarde dat eerst een bindende aanwijzing is gegeven,met daarbij een termijn waarbinnen de aanwijzing moetworden opgevolgd. Een boete mag alleen in uitzonderings-gevallen terstond, dus meteen en zonder waarschuwing ofzonder bindende aanwijzing, worden opgelegd als sprakeis van een willens en wetens gepleegde opzettelijke over-treding van de Wbp. De PVV heeft het belang van debescherming van persoonsgegevens hoog in het vaandelstaan en vindt dat inbreuk op de beveiliging dan ook zoveel mogelijk dient te worden voorkomen. Als er dan tochsprake is van zo'n inbreuk, moet er natuurlijk zo snelmogelijk worden gemeld. Mijn fractie kijkt daarom positiefnaar het wetsvoorstel. Toch heeft zij nog een aantal vragenvoor de staatssecretaris alvorens zij een definitief standpuntkan innemen.

De eerste vraag is de volgende. In het oorspronkelijkewetsvoorstel gold als voorwaarde voor de meldplicht dathet daarbij moet gaan om een ernstige inbreuk waarvanredelijkerwijs kan worden aangenomen dat hij leidt tot eenaanmerkelijke kans op verlies of onrechtmatige verwerkingvan persoonsgegevens. In de nota van wijziging is dat ver-anderd. Nu is de voorwaarde dat sprake moet zijn van eeninbreuk met ernstige nadelige gevolgen. Als we dit letterlijklezen, betekent dit volgens mijn fractie dat de drempel voorde meldplicht is verhoogd. Er is geen sprake meer van "eenaanmerkelijke kans", maar van "ernstige gevolgen hebbend".Ik concludeer daaruit dat de gevolgen zich al moeten heb-ben voorgedaan. Zo lees ik het. Klopt dat en, zo ja, waaromis dit veranderd? Juist de meldplicht zou stimulerendmoeten werken bij het op een juiste manier beveiligen vanpersoonsgegevens. De PVV vindt dat die stimulans vooreen deel wegvalt als er alleen nog maar bij ernstige nadeligegevolgen gemeld hoeft te worden. Is de staatssecretarisdat met de PVV eens?

51-9-3

5 februari 2015


Ik kom bij mijn tweede vraag. Het CBP moet volgens deregering "voldoende tanden hebben" als toezichthouder.Daarom is in het wetsvoorstel bepaald dat het CBP in eenaantal gevallen niet eerst een bindende aanwijzing hoeft tegeven. Het CBP hoeft dan dus niet te waarschuwen, magmeteen tot actie overgaan en kan direct een boete of zelfseen stevige boete opleggen. Ik zei eerder al dat dit alleenis toegestaan als er sprake is van een opzettelijke overtre-ding van de Wbp. Dit lijkt echter enigszins op een dodeletter, want het bewijzen van opzet of van willens en wetenshandelen, lijkt mij in de praktijk nagenoeg onmogelijk. Hetenige voorbeeld dat ik nu zo snel kan bedenken, is hetvoorbeeld dat we enige tijd geleden zagen waarbij patiëntenvan het VUmc bij aankomst op de eerste hulp — zij warendus ook nog in een zwakke positie — werden gefilmd zonderdat zij daar vooraf toestemming voor hadden gegeven.

Ik zie dat de heer Van Wijngaarden wil interrumperen.

De voorzitter:Dat zie ik ook. U hebt gelukkig gepauzeerd. Dat geeft deheer Van Wijngaarden de mogelijkheid om een vraag testellen.


Mevrouw Helder zegt dat de drempel voor een melding inhet gewijzigde wetsvoorstel wel erg hoog komt te liggen.Wat vindt zij wat dat betreft van het amendement Schouwc.s. op stuk nr. 18, waarin die drempel weer iets wordt ver-laagd? In dat amendement staat dat het moet gaan om eendatalek dat leidt tot een aanzienlijke kans op ernstigenadelige gevolgen, dan wel een datalek dat ernstige nade-lige gevolgen heeft voor de bescherming van persoonsge-gevens. In dat amendement komt de "kans" dus eigenlijkweer terug. Ik ben benieuwd naar de reactie daarop vanmevrouw Helder.


Ik kan wel ingaan op al die amendementen die op die ter-men ingaan, of ze willen aanpassen. Het gaat daarin over"aanzienlijke kans", over "verwijtbaar handelen", over"ernstig verwijtbaar handelen" en over "ernstig verwijtbaarnalaten". Daarmee treed je steeds in casuïstiek. Mijn fractievindt dat het wetsvoorstel dat had moeten voorkomen. Alsje vindt dat een toezichthouder tanden moet hebben, moetje met iets komen waarvan duidelijk is dat de toezichthouderdaar ook iets mee kan. Mijn vraag hierbij is of je wel kuntaantonen dat er opzettelijk is gehandeld. Er zijn verschil-lende fracties die die drempel willen aanpassen. Mijn vraagzou ook zijn: kun je wel aantonen dat er willens en wetensverwijtbaar is gehandeld en er verwijtbaar is nagelaten? Ikkan situaties bedenken, maar dit is nu juist een casuïstiekwaarvan ik vind dat die in de wet zelf geregeld had moetenzijn, zodat het CBP daarmee aan de slag kan. Het feit datwij er hier al over aan het discussiëren zijn, geeft wat mijnfractie betreft al aan dat dit is aan te tonen.


Is mevrouw Helder het dan ook met mij eens dat wij hierals medewetgever de verantwoordelijkheid hebben omalsnog te zorgen voor een tekst waarmee we goed kunnenleven?


Wij zijn inderdaad medewetgever, maar als er iets komtwaarvan je je voordat je hier staat al afvraagt of het doelwel bereikt zal worden — dat is ook mijn inbreng — dan gaik niet iets amenderen. Dan zou ik met een eigen initiatief-wetsvoorstel komen. Ik vind dat je dan de verantwoordelijk-heid zelf maar moet nemen. Mijn fractie vindt wat er gere-aliseerd moet gaan worden een positief idee, maar heefter ernstige vragen bij of dat ook gaat gebeuren. Als we datallemaal moeten amenderen, mag ik hopen dat de staats-secretaris er dadelijk zijn oordeel over gaat geven. Aan dehand daarvan kan mijn fractie haar standpunt bepalen meteen positieve grondhouding. Meer kan ik er niet van maken.

Voorzitter. Ik was net aan het einde van het voorbeeld. Alsde regering het CBP daadwerkelijk tanden wil geven — daaris hij weer — dan moet er iets aan de wet veranderd wor-den. Collega's proberen dat met een amendement en ikprobeer dat met vragen aan de staatssecretaris. Enerzijdskomt de regering met een soort van gele kaart in de vormvan een bindende aanwijzing, maar volgens mij heeft hetCBP die mogelijkheid al, alleen heet die geen bindendeaanwijzing. Anderzijds wordt de uitzondering gecreëerddat de bindende aanwijzing achterwege mag blijven enmeteen een boete mag worden opgelegd. De drempel isdan wel erg hoog, gezien het criterium van opzet. Is destaatssecretaris dit met de PVV eens? Ik hoor daar graaghet antwoord op.

In dat kader heb ik ook aandacht voor de Europese regelge-ving — ja, zelfs mijn fractie! — want daar kun je nietomheen. Ook op Europees niveau is nieuwe regelgevingin de maak over de meldplicht bij het lekken van data: dealgemene verordening gegevensbescherming, ofwel deGeneral Data Protection Regulation. In die verordening staatde algemene verplichting tot het melden van datalekken.Die verordening heeft rechtstreekse werking, dus die hoeftniet te worden omgezet in nationale wetgeving en kan dushet wetsvoorstel dat we vandaag bespreken toch enigszinsom zeep helpen. De onderhandelingen over deze verorde-ning lopen nog, maar we weten al dat deze geen onder-scheid maakt tussen lekken met en lekken zonder ernstigegevolgen. Het wetsvoorstel doet dat echter wel. Is het danniet beter om geen onderscheid te maken tussen degevolgen van het lek en aan te sluiten bij een brederemeldplicht of denkt de staatssecretaris daar anders over?Voor de volledigheid zeg ik erbij — iedereen zal het weten— dat mijn fractie altijd zegt dat je nationaal moet regelenwat je nationaal wilt regelen. Zij vindt dus ook dat destaatssecretaris dat zelf moet doen.

Hoewel de PVV-fractie het eens is met de regering dat eentoezichthouder stevig moet kunnen optreden — ik zei netal dat we een positieve grondhouding jegens het wetsvoor-stel hebben — vindt zij het wel merkwaardig dat het CBPde voorwaarde die ik net heb genoemd en die ernstigegevolgen heeft gehad, zelf invult, maar dat het CBP dus ookde instantie is die de boete oplegt. Ofwel: de norminvullingkomt te liggen bij de instantie die ook de sanctie oplegt.Dat lijkt een beetje op "wij van WC-Eend …"; u kent hetallemaal wel. De PVV wil dan ook weten hoe de staatssecre-taris hierover denkt. Ziet hij dat gevaar ook? Zo nee, waaromniet? Is het gevaar voldoende ingekaderd door de verplichteministeriële goedkeuring van de richtsnoeren die het CBPvaststelt ter invulling van de normen die het zelf handhaaft?We hebben hierover drie dagen geleden een brief gekregen.

51-9-4

5 februari 2015


Tot slot heb ik nog een technisch punt. Het voorgesteldeartikel 34a, vierde lid van de Wbp bepaalt dat de kennisge-ving aan het CBP meer elementen omvat dan een meldingvan de inbreuk aan de betrokkene, dus wiens gegevens hetbetreft. Dat gaat vooral om gegevens van technische aard.Volgens de memorie van toelichting stelt dit het CBP beterin staat om het toezicht effectief uit te oefenen. Maar ishiervoor niet meer technische kennis vereist dan het CBPin huis heeft, mede gezien de snelle veranderingen op ditgebied? Zo ja, waarom is er dan geen bijstand geregelddoor bijvoorbeeld het Nationaal Cyber Security Centrum?Als de overheid een toezichthouder met tanden wil, danmoet zij er ook voor zorgen dat de kennis hiervoor aanwezigis dan wel goed te raadplegen is op een eenvoudige manier.Is de staatssecretaris dat met de PVV eens? Zo ja, is hijbereid dit te gaan regelen?

Ik rond af met de samenvatting. Ik kom tot de conclusie dathet wetsvoorstel goedbedoeld is, maar dat het duidelijk optwee gedachten hinkt: meer tanden voor de toezichthouder,maar met de waarschijnlijkheid dat die niet voldoende kanbijten. Om maar een beetje in de beeldspraak te blijven —ik doe ook maar een gooi — zeg ik het volgende. Het lijkteen beetje op die tandjes die je opdraait en die heel leukstuiteren op je tafeltje, waarna ze eraf vallen. Iedereen vindtdat leuk, maar er gebeurt dus niks, behalve dat we even lolhebben gehad. Dat kan natuurlijk niet de bedoeling zijn.Maar goed, het wetsvoorstel kan op sympathie van de PVVrekenen, zeg ik nog maar eens. Ik wacht het antwoord opde vragen met belangstelling af, alvorens een standpunt tebepalen.

De heer Van Nispen (SP):

Voorzitter. Ik vervang vandaag mijn collega Gesthuizen, diedoor omstandigheden niet aanwezig kan zijn.

Het recht op bescherming van de persoonlijke levenssfeeris een heel belangrijk grondrecht. De SP is een groot voor-stander van het invoeren van de meldplicht datalekken,omdat het voor betrokkenen van wie persoonsgegevensworden gelekt, van groot belang is om hiervan op de hoogtegesteld te worden. Dan kunnen zij zelf maatregelen nemenom zich te beschermen tegen inbreuk op hun privacy enbeducht zijn voor identiteitsfraude. Het is ook goed datgeregeld wordt dat een datalek ook wordt gemeld aan hetCollege bescherming persoonsgegevens, onze privacywaak-hond.

Het invoeren van de meldplicht moet gaan bijdragen aanbehoud en herstel van vertrouwen in de omgang met per-soonsgegevens. Dat is hard nodig. Op dit moment hebbenveel mensen onvoldoende vertrouwen in een zorgvuldigeomgang met hun persoonsgegevens. Zij hebben vaak hetgevoel niet te weten waar hun persoonsgegevens blijven.Wat wordt er over mij verzameld? Wie kan daarbij? Zijn diegegevens wel veilig?

Nogmaals, het is goed dat er een meldplicht voor datalekkenwordt ingevoerd, maar we spreken vandaag wel over eenafgezwakte wet. Eerst moest een datalek nog bij het Collegebescherming persoonsgegevens gemeld worden als rede-lijkerwijs kon worden aangenomen dat het lek leidt tot eenaanmerkelijke kans op nadelige gevolgen. Maar omdat deregering deze normering achteraf wat vaag achtte, moeten

de gevolgen inmiddels ernstig nadelig zijn, waardoor hetwetsvoorstel ernstig nadelig is afgezwakt.

Er ligt nu een amendement van de heer Schouw c.s. opstuk nr. 18 om dit aan te passen. Mijn fractie staat daar inbeginsel positief tegenover, al gaat het wellicht nog nietver genoeg. We moeten namelijk voorkomen dat een stimu-lans om te zorgen voor een veilige en dus beveiligdeomgeving wegvalt. Bij nadelige gevolgen die niet als ernstigkunnen worden gekwalificeerd, heeft een instantie niets tevrezen van het CBP. De betrokkene of het slachtoffer heeftechter des te meer te vrezen van de gevolgen van diedatalekken.

Bovendien ontstaat er misschien een beetje een gekkesituatie, als ik de bepalingen in artikel 34a goed lees enbegrijp. Slachtoffers moeten wel door instanties en bedrij-ven die te maken hebben met datalekken geïnformeerdworden als er waarschijnlijk sprake is van ongunstigegevolgen. Deze drempel is minder hoog. Dit leidt ertoe dateen datalek wel aan de betrokkene moet worden gemeld,maar niet aan het College bescherming persoonsgegevens.Waar heb je dan nog een toezichthouder voor?

Het CBP schrijft hierover zelf dat de melding het karakterkrijgt van de put die gedempt wordt wanneer het kalf reedsverdronken is, zoals al is gezegd. De preventieve rol dievoor de toezichthouder in het oorspronkelijke wetsvoorstelwas weggelegd, is na de nota van wijziging geheel verdwe-nen. Wat vindt de staatssecretaris van deze situatie? Is datniet gek? Als dit niet de bedoeling is, kan hij dan toelichtenhoe we deze artikelen dan wel zouden moeten lezen?

Het College bescherming persoonsgegevens kan partijennog wel opdragen om de betrokkene te informeren, maardat zou onder het nieuwe wetsvoorstel geen enkele zinmeer hebben. Een melding met ernstig nadelige gevolgenis bij voorbaat, en dus eigenlijk altijd, een ongunstig gevolg.De betrokkene moet dan al op de hoogte worden gebracht.Het probleem is juist dat het CBP zelf niet op de hoogtewordt gesteld van een melding met "slechts" ongunstigegevolgen, die niet ernstig zijn. Een partij wordt dan nietgestimuleerd om te leren van eventueel gemaakte fouten.De toezichthouder wordt immers niet meer in de gelegen-heid gesteld om te beoordelen of de getroffen technischebeschermingsmaatregelen afdoende zijn?

Waarom heeft de staatssecretaris het wetsvoorstel zoafgezwakt op dit punt? De oorspronkelijke formulering datmoet worden gemeld indien redelijkerwijs kan wordenaangenomen dat het leidt tot een aanmerkelijke kans opnadelige gevolgen, is niet gestuit op kritiek van het Collegebescherming persoonsgegevens. Dat kan er dus mee wer-ken of in ieder geval de uitwerking vastleggen in richtsnoe-ren, zoals het altijd doet. Bovendien hebben we de meld-plicht in artikel 11, 3a, lid 1 van de Telecommunicatiewet,waarin wordt gesproken over nadelige gevolgen. Hier isniets ernstigs aan. Het woordje "ernstig" komt daar niet invoor. Waarom heeft de staatssecretaris hier niet bij aange-sloten?

Ik kom op het volgende punt: de versleuteling van gege-vens. Het lekken van versleutelde gegevens hoeft namelijkook niet te worden gemeld. Dat is toch vreemd? Versleu-telde gegevens zijn immers ook gewoon te ontsleutelen enniet per se onbruikbaar. Het werkt volgens de SP ook pre-ventief als duidelijk is dat dergelijke datalekken moeten

51-9-5

5 februari 2015


worden gemeld. Het is goed dat hierover het amendementop stuk nr. 14 is ingediend. Ik had dezelfde vraag alsmevrouw Helder. Het CPB moet richtsnoeren opstellen overencryptie. Waarom wordt het Nationaal Cyber SecurityCentrum hier niet voor gevraagd? Dat heeft toch de exper-tise hiervoor?

Nu de inbreuk op de beveiliging. In dit wetsvoorstel wordtgesproken over datalekken naar aanleiding van een inbreukop de beveiliging. Wat is "inbreuk op de beveiliging"eigenlijk? Uit de antwoorden van de staatssecretaris heb ikbegrepen dat elk datalek hieronder valt, omdat niemand zodom is om zijn netwerk of systeem niet te beveiligen. Maarwat als iemand wel zo onverstandig is? Of er is dan geensprake van een inbreuk op de beveiliging, maar slechts vanonbevoegde toegang. De staatssecretaris blijft hier naar demening van mijn fractie een beetje vaag over. Hij stelt datdergelijke voorbeelden het wettelijke kader van debescherming van persoonsgegevens te buiten gaan. Dat isdus ook als de onbevoegde toegang leidt tot ernstigenadelige gevolgen voor betrokkenen. Gaat dat dan ook dewerking van dit wetsvoorstel te buiten? Neem bijvoorbeeldziekenhuispersoneel dat het wachtwoord weet van een artsen zo onbevoegd alle medische dossiers kan inzien. Er isdan geen beveiliging doorbroken, maar het kan zeker ern-stige nadelige gevolgen hebben. Een ander voorbeeld iseen werkgever die zichzelf onbevoegd toegang verschafttot de computer van zijn werknemer om informatie te ver-zamelen voor het ontslag van die werknemer. Weer eenander voorbeeld zijn medische gegevens. Graag een uitge-breide toelichting op dit punt. Wanneer is er sprake vaneen inbreuk op de beveiliging?

Bedrijven en instanties die te maken hebben met eendatalek hoeven dit niet bij te houden, hoe vaak het ookgebeurt. Dat maakt het voor het CBP lastig om overzicht tehouden en om controle uit te oefenen. Het kan dit onmoge-lijk allemaal zelf bijhouden. Ook op die manier wordt toe-zicht houden lastiger. Graag een reactie op dit punt. Volgensmij biedt het amendement van de leden Schouw c.s. opstuk nr. 18 hier een oplossing voor. Graag hoor ik destaatssecretaris hierover.

Ook de SP wil graag weten hoe deze wet zich verhoudt totde Europese verordening bescherming persoonsgegevens.In deze verordening wordt gesproken van een inbreuk inverband met persoonsgegevens, maar niet van ernstigenadelige gevolgen. Deze verordening is nog niet in werkinggetreden, maar wat als dat wel gebeurt? Welke consequen-ties heeft dat voor deze wet?

Nog enkele opmerkingen over de bestuurlijke boete en debindende aanwijzing. De SP dringt al geruime tijd aan opeen privacywaakhond met scherpe tanden; dus op een rui-mere boetebevoegdheid. Het CBP krijgt nu een bestuurlij-keboetebevoegdheid. De SP is daar blij mee, maar is datniet helemaal met de manier waarop deze werkt. Een boetemag alleen direct worden opgelegd als er sprake is van eenwillens en wetens gepleegde opzettelijke overtreding vande Wet bescherming persoonsgegevens. Is die op dezemanier geen dode letter geworden? Brengt dit geenonhaalbare bewijslast mee? Waarom alleen bij opzet? Alseen soort tussenoplossing wordt op advies van de Raadvan State een bindende aanwijzing mogelijk. Waar is datvoor nodig? Is het op die manier geen dode letter? Wehebben namelijk al de last onder dwangsom. Ik zou denkendat het College Bescherming Persoonsgegevens een rode

kaart moet kunnen geven en niet alleen een gele kaart. Ikhad hetzelfde voorbeeld willen geven van het VUmc en detelevisieopnames, maar dat is al uitgebreid beschreven.Het was niet met opzet gedaan, maar het was wel bijzonderslordig. Het CBP zou dan graag een bestuurlijke boeteopleggen, want het kwaad is als geschied. De regering zoudan op grond van dit wetsvoorstel zeggen dat er eerst eenbindende aanwijzing moet worden gegeven. Wat wil je dannog opleggen? Dat ze de camerabeelden vernietigen? Dieprivacyschending kan dan niet meer ongedaan wordengemaakt. Er is geen directe boetebevoegdheid voor ernstigeovertredingen waarbij geen opzet in het spel is. Wij denkendat dat wel goed zou zijn. Waarom kiest de staatssecretariser niet voor om de boete mogelijk te maken als vaststaatof het zeer waarschijnlijk is dat de overtreder wist of hadmoeten weten dat hij de wet overtrad, dan wel dat hijzodanig onzorgvuldig, onachtzaam en onoordeelkundighandelde dat overtreding het onvermijdelijke gevolg zouzijn? Mocht dat dan niet zo zijn, hebben we altijd nog delast onder dwangsom. De bindende aanwijzing heeftbovendien alleen meerwaarde naast het andere instrumen-tarium, als een last onder dwangsom dus nog te vergaandis. Het College bescherming persoonsgegeven is nu ver-plicht het op te leggen. In ons voorstel zou het CBP dat zelfmogen bepalen. Ik hoor graag een reactie op dit idee.

Een volgend argument is dat de conceptprivacyverordeninggeen verplichting bevat tot het opleggen van een bindendeaanwijzing voorafgaand aan het opleggen van een boete.Waarom doen wij dit wel in Nederland? Hoe is dit in anderelanden geregeld? Gelet op de vragen die ik hier nu opwerp,zal het niet verbazen dat wij positief staan tegenover hetamendement van Schouw en Segers op stuk nr. 19.

De richtsnoeren die het College bescherming persoonsge-gevens maakt, worden op dit moment breed ter consultatievoorgelegd. Ook het ministerie krijgt ze vooraf te zien. HetCBP houdt de eindverantwoordelijkheid. Dit heeft, voorzover ik weet, nooit tot kritiek geleid. De regering eist nudat ze richtsnoeren van het CBP vooraf kunnen toetsen.Waarom nu deze inmenging? Waar is dit voor nodig? Deregering en de Raad van State vinden dat het CBP een ver-regaande boetebevoegdheid moet krijgen. Beschermingvan persoonsgegevens is een grondrecht en daarom zouoverheidsinmenging op deze schaal gegrond zijn. De SPziet dit anders. Het CBP is een onafhankelijke toezichthou-der, ook omdat het toezicht houdt op de overheid zelf. Hetis de rechter die het CBP kan controleren. Heeft deze vol-gens de staatssecretaris weleens moeten ingrijpen, waar-door inmenging vooraf nu vereist is? Waarom wordt hiernu voor gekozen?

Bovendien lijkt dit strijdig met het onafhankelijkheidsver-eiste dat is neergelegd in artikel 28 van de Europese priva-cyrichtlijn en in relevante jurisprudentie van het EuropeseHof. Volgens het College bescherming persoonsgegevenszal deze bepaling kunnen leiden tot een inbreukprocedure.Dat is heftig. Wat vindt de staatssecretaris ervan als dit zozou zijn? Hoe schat hij dat risico in? Zo moet ik het eigenlijkvragen. Ik kan hier alvast melden dat er een amendementis dat onze warme sympathie heeft, het betreft amende-ment-Segers/Schouw op stuk nr. 13.

Tot slot enkele opmerkingen over de capaciteit van hetCollege bescherming persoonsgegevens. Het heeft nuongeveer 125 medewerkers. Dat is niet bijster veel. Hoe zitdit bij toezichthouders, privacywaakhonden, in andere lan-

51-9-6

5 februari 2015


den? Klopt het dat deze naar verhouding meer capaciteithebben? Het CBP heeft geadviseerd om op korte termijnde beheersmatige gevolgen van de invoering van demeldplicht in kaart te brengen en de uitkomsten tot uitingte laten komen in het budget van het College beschermingpersoonsgegevens. Dit is niet gebeurd. Het CBP heeft hetnu al heel druk. De staatssecretaris verwacht dat de gevol-gen van dit wetsvoorstel summier zijn. Dit zegt overigensgenoeg over de reikwijdte van de meldplicht en debestuurlijke boete. Wat bedoelt hij met "summier"? Kan hijdaar nader op ingaan? Hoe wordt dit in de gaten gehouden?Wanneer wordt het geëvalueerd? Is de regering bereid ombij te schieten als blijkt dat het college, door de invoeringvan deze wet, niet uitkomt met de huidige hoeveelheidmensen?

Ik heb gelezen dat wij, een jaar na inwerkingtreding van deEuropese verordening gegevensbescherming, een verslagkrijgen over de doeltreffendheid en de effecten van dezewet in de praktijk. Het eerste probleem is volgens mij datwij niet weten wanneer dat zal zijn, want de onderhandelin-gen gaan nog niet razendsnel. Ik druk mij dan nog voorzich-tig uit. De tweede vraag is of er bij dat verslag op datmoment ook echt wordt gekeken naar de capaciteit van hetCollege bescherming persoonsgegevens en of die aansluitbij de hoeveelheid mensen die er zijn in verhouding tot dehoeveelheid werk die dit wetsvoorstel heeft opgeleverd.


De vraag is eigenlijk of de SP vindt dat hetgeen de mensenop hun bankrekening hebben staan tot de privésfeerbehoort.


Ik zou menen van wel.


Hoe verklaart u dan het voorstel van uw collega Merkiesom een vermogensregister verplicht te stellen waarin indi-viduen moeten aangeven hoeveel vermogen ze hebben enhoeveel winst ze daarop maken, zoals dat heel onlangs isgedaan?


Ik heb inderdaad gehoord dat mijn collega Merkies datvoorstel heeft gedaan. Ik vind het lastig om daar nu op dezemanier antwoord op te geven. Ik denk dat het goed is dater ook naar de privacyaspecten wordt gekeken. Dat lijkt mevoor de hand liggend. Wij doen dat met heel veel voorstel-len. Ik denk dat de heer Van Wijngaarden ook wel weet watde achtergrond van dat voorstel is, onze fractie kennende.Wij willen natuurlijk iets doen aan de scheve vermogens-verdeling in Nederland. Nogmaals, er moet altijd, wat erook voorgesteld wordt, gekeken worden naar de privacyas-pecten.

De heer Bisschop (SGP):

Voorzitter. Op allerlei manieren worden gegevens van per-sonen verwerkt door overheden en andere organisaties.Dat gebeurt al zolang er overheden en andere organisatieszijn. In onze gedigitaliseerde maatschappij zijn de hoeveel-

heden info wel exponentieel toegenomen. Naast alle mooiekanten die dit biedt, zoals verlichting van administratievelasten, vereenvoudiging van processen enzovoorts, zijn erook schaduwkanten. Vanmiddag hebben wij het over zo'nschaduwkant. Hoe kan worden voorkomen dat wordt inge-broken in gegevensbestanden of dat die misbruikt wordenals er fouten zijn gemaakt? Er kunnen immers belangrijkepersoonlijke of financiële gegevens in het spel zijn.

Ik wil een drietal punten aan de orde stellen. In de eersteplaats zal ik ingaan op de meldplicht, in de tweede plaatszal ik ingaan op de sancties en in de derde plaats zal ik nogenige woorden wijden aan preventie.

Ik begin met de meldplicht. Goede bescherming van degegevens is absoluut nodig. De SGP vindt het dan ook eengoede zaak dat het in bepaalde gevallen noodzakelijk is omeen datalek te melden. Daar noodzaakt dit wetsvoorstel toe.Dit biedt de mogelijkheid om, waar nodig, het vertrouwenvan het publiek, de klanten, de markt, de overheid of detoezichthouders in de betreffende instelling of het betref-fende bedrijf te herstellen of te bevestigen.

In de schriftelijke rondes is het voorstel op diverse puntenbekritiseerd. De SGP heeft de indruk dat het uiteindelijkevoorstel daardoor is verbeterd. De normen zijn verduidelijkten geven minder vaag aan wie wat wanneer moet meldenen in welke gevallen. Een van de discussiepunten daarbijis de vraag of er in alle gevallen een melding nodig is ofalleen als er sprake is van bepaalde risico's. De SGP is vanmening dat de in de eerste nota van wijziging voorgesteldeclausule om het te beperken tot meldingen die ernstigenadelige gevolgen hebben voor de beveiliging van persoons-gegevens, een goed criterium biedt. Het voert naar onzemening te ver om letterlijk iedere kleine problematiek temelden. Dat maakt het voor betrokkenen belastend. Hetroept onnodige twijfels op over de betrouwbaarheid vansystemen en belast tevens nodeloos het College bescher-ming persoonsgegevens. Een bepaalde schifting op voor-hand lijkt ons noodzakelijk. Zijn er wel of geen wezenlijkegevolgen te vrezen voor de betrokkenen?

De uitzondering voor een meldplicht van versleuteldegegevens in de eerste nota van wijziging roept nog vragenop bij de SGP. Op zichzelf biedt versleuteling van gegevenseen beter beschermingspeil dan onversleutelde gegevens,maar er blijven nog steeds risico's bestaan. Is het altijdduidelijk wanneer er passende maatregelen genomen zijn?In haar antwoorden op vragen van de Kamer geeft deregering aan dat de uitzondering een strenge norm is. Bijgeconstateerde problemen rond de beveiliging ontstaatdan alsnog een verplichting tot melding. Biedt het begrip"passend" in alle gevallen voldoende duidelijkheid?

Dan kom ik op mijn tweede punt, de sancties. De normenuit de wet vragen om een nadere verduidelijking in depraktijk. Het is niet meer dan logisch dat het CBP hiervoorrichtsnoeren ontwikkelt. De vraag is wel of die richtsnoerenniet op de een of andere manier in de wet verankerd moetenworden, zodat de basisregels in ieder geval via wet enAMvB voor eenieder kenbaar zijn. De regering geeft aandat zij hiervoor niet wil kiezen. In de tweede nota van wijzi-ging is er in artikel 67 wel indirect iets voor geregeld. Debeleidsregels waarop strafmaatregelen mogelijk zijn,behoeven namelijk wel de goedkeuring van de minister.Het lijkt erop dat dit een wat bijzondere constructie oplevert,waarbij er niet letterlijk sprake is van een AMvB met regels

51-9-7

5 februari 2015


maar wel van goedgekeurde regels door de minister.Waarom is voor deze ietwat bijzondere constructie gekozen?

Dat is ook ons belangrijkste aandachtspunt bij de tweedenota van wijziging, waarin een uitbreiding wordt voorge-steld van de mogelijkheden van het gebruik van eenbestuurlijke boete door het CBP. Dat die mogelijkheid er is,steunen we. Het is goed als de normen op adequate wijzegehandhaafd kunnen worden, zo nodig door middel vanzo'n bestuurlijke boete. In hoeverre is het echter aanvaard-baar — daarmee sluit ik aan bij een vraag die een van decollega's al heeft gesteld — dat normstelling en sanctione-ring in één hand liggen? Is er intussen meer duidelijkheidover de vraag of dit Europeesrechtelijk gezien wel kan? Isde voorgestelde regeling naar het oordeel van de staatsse-cretaris afdoende?

Mijn derde punt betreft preventie. Vooral voor overheidsin-stellingen moet het duidelijk zijn dat in alle gevallen moetworden voorkomen dat persoonlijke gegevens op straatkomen te liggen. Op deze instellingen rust een bijzondereverantwoordelijkheid. Zij hebben een voorbeeldfunctie, zouje kunnen zeggen. Is de staatssecretaris er zeker van dat alzijn collega's zich hier altijd voldoende rekenschap vangeven? Betekent dit wetsvoorstel voor de overheidsinstel-lingen daadwerkelijk een groter bewustzijn van de risico's?

Daarnaast vragen wij aandacht voor voorlichting over derisico's en de oplossingen hiervoor. De SGP roept destaatssecretaris ertoe op om publiek en bedrijven hier blij-vend op te wijzen om zo de maatschappelijke alertheid tebevorderen. Ook het CBP kan op dit punt een belangrijkefunctie vervullen. Deelt de staatssecretaris die benadering?

We kunnen er niet omheen: soms werken mensen zelf meeaan het beschikbaar stellen van hun meest persoonlijkegegevens, bijvoorbeeld door het invullen van een enquête-formulier van 26 pagina's, waarin hun gevraagd wordt naarhun voorkeuren, bezit, aankopen, schulden enzovoorts. Diegegevens worden dan netjes op postcode in databasesondergebracht. De beloning voor het invullen van zo'nenquête — ik heb dat nooit gedaan, maar ik vermoed datdit op zijn minst een halfuur tijd vergt — is het potloodjedat op voorhand is meegeleverd. Misschien kan de staats-secretaris dat potloodje gebruiken als symbool in eencampagne om de maatschappelijk alertheid op beschermingvan persoonlijke gegevens te bevorderen.


Voorzitter. Ik begin graag met een vraag. Wat is de overeen-komst tussen het hebben van privacy en het hebben vaneen fiets? Ik moet wel zeggen dat ik deze vraag vanuit mijnenigszins gekleurde Amsterdamse perspectief behandel.Zoals men weet, zijn Amsterdammers allesbehalve zuinigop hun fiets, totdat hun fiets is verdwenen. Dan is de wereldte klein. Met privacy is het niet veel anders. Ook hierovermaken mensen zich niet dagelijks druk. We gaan bijnaallemaal akkoord met de privacyvoorwaarden van apps enspelletjes op telefoons zonder die gezien te hebben. Eenvrouw ging zelfs akkoord met privacyvoorwaarden waarinbij wijze van grap stond dat zij haar kind zou weggeven,wat zij niet gezien had. Als echter blijkt dat privégegevensniet meer privé zijn, slaat de stemming snel om en dat isterecht. Niettemin is het ook terecht en begrijpelijk dat pri-vacy voor de meeste mensen niet op de eerste plaats komt

van zaken waar zij zich dagelijks zorgen over maken. Hoewelmensen er ook zelf verantwoordelijk voor zijn om na tedenken over de vraag welke gegevens zij met wie delen,kun je redelijkerwijs ook weer niet van hen verwachten datzij toezicht houden op de manier waarop overheden enbedrijven met hun persoonsgegevens omgaan. Juist omdie reden hebben we een instantie als het CBP, dat straksde naam Autoriteit persoonsgegevens krijgt, als het zo magblijven heten.

De VVD-fractie waardeert het dat in dit wetsvoorstel wordtonderschreven dat het CBP er primair is om datalekken tehelpen voorkomen en dichten, en niet om zo veel mogelijkboetes uit te delen. We willen een privacymachine, en geenboetemachine. Het is goed dat overheidsinstellingen enbedrijven daarom in beginsel eerst een herstelmogelijkheidkrijgen via de appellabele dwingende aanwijzing. Metboetes dicht je tenslotte geen datalekken. De VVD hecht ersterk aan dat risico's in de beveiliging van gegevens dieniet noemenswaardig zijn, niet gemeld hoeven te worden.Op een meldingencircus zit niemand te wachten. Hierdoorblijven de potentiële administratieve lasten voor hetbedrijfsleven en de overheden beperkt tot gevallen waarinde privacy van het individu daadwerkelijk in het geding is.Het moet echt gaan om het verdwijnen van persoonsgege-vens of een ongeautoriseerde toegang tot die gegevenswaarbij gevreesd moet worden voor nadelige gevolgen.

Ik heb nog enkele openstaande vragen. Hoe verhoudt deeis van ministeriële goedkeuring van beleidsregels van hetCBP die inhoud geven aan een boete, zich tot de eis vaneen afhankelijke privacyautoriteit? De leden Segers enSchouw hebben op dit punt een amendement ingediend.In mijn ogen gaat het hier om het vinden van het juisteevenwicht. Aan de ene kant van de weegschaal ligt deopmerking van de Raad van State dat een bewindspersoonverantwoordelijk en betrokken moet zijn. De Raad van Statebenadrukt in mijn ogen terecht dat het hier gaat om eengrondrechtelijke aangelegenheid die de hele samenlevingraakt. Aan de andere kant van de weegschaal attendeerthet CBP ons echter op indringende wijze op de onafhanke-lijkheidseis die is neergelegd in artikel 28 van de Europeseprivacyrichtlijn en in de rechtsspraak van het Europees Hofvan Justitie. De EU discussieert hier nog over, dus ik wilgraag een visie van de staatssecretaris op dit punt.

Zoals gezegd discussieert de EU nog over een nieuwe ver-ordening gegevensbescherming. Ik wil de staatssecretarisbij dezen vragen om het voorliggende wetsvoorstel te ver-gelijken met de definitieve inhoud van deze verordeningzodra die bekend is, teneinde onwenselijke nationale koppente voorkomen. Is hij daartoe bereid? De onderhandelingenover het Europese traject zijn overigens nog volop gaande.Een eventuele inwerkingtreding zal niet plaatsvinden voor2018.

Ik wil de staatssecretaris graag vragen hoe de samenwer-king tussen het CBP en het Cyber Security Center geborgdis, zodat snel en goed kan worden ingespeeld op privacyri-sico's die samenhangen met nieuwe vormen van techniekwaarmee data-analyse mogelijk is. Is die samenwerkingstructureel geborgd? Kan het CBP ook echt rekenen opvolledige medewerking van het Cyber Security Center? Datadie voorheen als ongevoelig werden beschouwd, kunnendoor middel van nieuwe analyse mogelijk alsnog gevoeligworden.

51-9-8

5 februari 2015


Ik kom op het publicatie- en persbeleid van het CBP. Uitla-tingen van het CBP kunnen grote gevolgen hebben voorde reputatie van een bedrijf of een overheidsinstelling. Datis vaak onvermijdelijk. Het is echter onwenselijk als er,boven op de punitieve maatregel van een boete, vermijd-bare publicitaire schade zou optreden. Daarom wijs ik ergraag op dat de huidige beleidsregels voor openbaarmakingdoor het CBP, die zijn gepubliceerd in de Staatscourant van14 november 2013, nr. 31433, logischerwijs nog niet voor-zien in een openbaarmakingsbeleid ten aanzien van debestuurlijke boete. Die bevoegdheid is immers nog niet aanhet CBP toegekend. De vraag is zodoende: op welke wijzezal het CBP de belangen van de partijen straks afwegen?Wat is een passende wijze om een boetebesluit zo objectiefmogelijk te publiceren? Is de staatssecretaris bereid om hetCBP te vragen om de Kamer te informeren over de wijzewaarop de Autoriteit persoonsgegevens straks inhoud geeftaan het publicatiebeleid alvorens deze wet van krachtwordt?

Ik kom op de toelichting op de amendementen. De VVDheeft samen met de Partij van de Arbeid en D66 eenamendement ingediend over datalekken met versleuteldegegevens. Door de collega's werd daar al even aan gerefe-reerd. Bij een lek van versleutelde gegevens hoeft het CBPvolgens het voorliggende voorstel niet geïnformeerd teworden. Dat vind ik een gemis. Versleutelde persoonsgege-vens zijn in de regel juist extra gevoelig. Denk bijvoorbeeldaan e-mail-, creditcard- of bankgegevens. Versleuteldegegevens kunnen bovendien ontsleuteld worden en eenlek van deze gegevens kan iets zeggen over het beveiligings-niveau bij een overheidsinstelling of bedrijf.

De VVD heeft verder samen met de PvdA een amendementingediend om het CBP ook de mogelijkheid geven, inbepaalde gevallen direct een boete op te leggen. Soms iseen waarschuwing namelijk niet genoeg. Waar het gaat omheel gevoelige persoonsgegevens, zoals medische gege-vens, moet het CBP al helemaal volle slagkracht hebben.

Om de urgentie en het belang van ons amendement teillustreren, noem ik graag enkele voorbeelden. Het voor-beeld van het VUmc is al uitgebreid aan de orde gekomen.Dat zal ik hier dus niet herhalen. Die casus is inmiddelsbekend.

Een ander voorbeeld is de arboarts. Je spreekt met dearboarts op je werk, omdat je last hebt van zware depres-sieve klachten en je tijdelijk minder wilt werken. Je legt jehele hebben en houden op tafel. Nadat het gesprek isbeëindigd en de arboarts alles heeft verwerkt in het dossier,stuurt de arts dat dossier per e-mail naar de werkgever. Datgebeurt niet één keer, maar systematisch. Dat is als hetware het verdienmodel van die arbodienst.

Weer een ander voorbeeld is een zaak die in de VS speelde,maar die in afgezwakte vorm ook in Nederland heeftgespeeld. Het betrof een website die geheel op kinderenwas gericht, waarbij het kind als het eenmaal was ingelogd,tien punten kreeg om een beestje naar keuze te voederenen te onderhouden. Elke keer als het kind weer inlogde,kwam het gekozen beestje in beeld, vaak hongerig en/ofkwispelend. Als het kind na verloop van tijd door zijn puntenheen was, kon het met het beantwoorden van vragennieuwe punten verdienen om het beestje te blijven voeren.Dat was bijvoorbeeld een vraag naar de naam, het adres,het e-mailadres en het rekeningnummer van de ouders.

Nogmaals, het ging hier om een website die was gerichtop kinderen. Indien het kind geen vragen beantwoorddeen toch de website af en toe aanklikte, zag het het gekozenbeestje langzaam wegkwijnen en doodgaan.

Tegen iemand die dronken met 170 km/u over de snelwegrijdt, zegt de agent ook niet: volgende keer niet meer doen.Wij hebben dit amendement ingediend om in heel ernstigegevallen direct een boete op te kunnen leggen.


Ik begrijp dat deze drie voorbeelden passen binnen hetbegrip "ernstig verwijtbare nalatigheid". Begrijp ik dat goed?


Ja, dat is naar onze overtuiging het geval. Die opsommingvan voorbeelden is natuurlijk niet uitputtend, maar ik wilhier ook niet vervallen in een eindeloze verhandeling vanallerlei casuïstiek.


Ik vind dat de voorbeelden nogal willekeurig overkomen.De heer Van Wijngaarden zegt erg gemakkelijk: dat valthieronder. We zijn bezig met een wetsbehandeling. Er iseen amendement van de Partij van de Arbeid en de VVDwaarmee wordt geprobeerd om een wat willekeurige for-mulering in die wet te brengen. Mijn vervolgvraag luidt: alsdie drie voorbeelden er kennelijk wel onder vallen, wat valter dan niet onder? Waar ligt de scheidslijn tussen ernstigverwijtbare nalatigheid en gewone verwijtbare nalatigheid?


Het is in de eerste plaats van belang dat er op het niveauvan de formele wet duidelijkheid komt over de situatieswaarvan wij zeggen dat die eronder zouden moeten vallen.Daar geven wij hier criteria voor. Daarover staat een uitlegin de toelichting. Voor het overige zal het CBP moeten doenwat het altijd doet, namelijk dit uitwerken in richtsnoerenen publiceren.

De voorzitter:Ik sta de heer Schouw bij uitzondering een derde keer toe.


Dat is nu precies waar ik naartoe wil. Er zit iets dubbelhar-tigs in. De heer Van Wijngaarden zegt dat het Cbp dat inrichtlijnen moet uitwerken, omdat we dat hebben afgespro-ken. Maar waarom zou je dan aan de voorkant, via zo'nvage formulering waarmee je alle kanten op kunt, de zaaktoch complex en ingewikkelder maken? Dat begrijp ik niet,omdat we hier dadelijk ook nog over de verdere uitwerkingin richtsnoeren kunnen praten. Dus waarom moet dit nuaan de voorkant worden gecompliceerd?


U noemt dat complicerend, ik stel dat het een verbeteringis van de rechtszekerheid doordat je op het niveau van deformele wet duidelijkheid creëert over het type situaties dathieronder valt. Ik verwijs u naar de toelichting in hetamendement. Het moet gaan om gevolgen van grof, aan-

51-9-9

5 februari 2015


zienlijk, onzorgvuldig, onachtzaam, dan wel onoordeelkun-dig handelen. Dat is een brede set aan criteria. De verdereinvulling daarvan zal zoals altijd door het Cbp zelf moetenworden gegeven. Door dit op het niveau van de formelewet te regelen, komen we ook tegemoet aan de kritiek vande Raad van State, die zei dat dit op het niveau van de for-mele wet moet worden geregeld om het rechtszekerheids-beginsel in te bouwen. Bovendien wordt het wetsvoorsteldaardoor ook kansrijker in de Eerste Kamer, want wij voelener niets voor om een heel vage bevoegdheid te creëren.Vandaar de heldere toelichting in het amendement.

De heer Oskam (CDA):

De heer Schouw heeft natuurlijk een punt, maar wat ikeigenlijk mis in de toelichting van de heer Van Wijngaardenis het vijfde lid van artikel 66, namelijk waar hij metmevrouw Oosenbrug beoogt een boete te kunnen opleggenbij niet-nakoming van de bindende aanwijzing. Heb ik hetgoed begrepen dat het niet-nakomen van de bindendeaanwijzing eigenlijk een boetewaardig feit op zich is? Ofmoet ik het zo zien dat die boete wordt opgelegd voor deonderliggende gedraging? Graag krijg ik daarop een toelich-ting.


Voor niet-nakoming van de bindende aanwijzing ligt eenamendement, dat net ook al is toegelicht. Dus daarmeewordt dat punt geadresseerd.


Dat is dan duidelijk. Dan heb ik misschien nog wel eensuggestie voor de heer Van Wijngaarden en mevrouwOosenbrug. Collega Van Nispen zei net dat je als het mis-gaat bijvoorbeeld de beelden kunt vernietigen. Maar er zijnnatuurlijk ook andere voorbeelden te bedenken, namelijkdat het College bescherming persoonsgegevens zegt: "umoet veiligheidsmaatregelen nemen, u moet de slachtofferscompenseren of ze anderszins tegemoetkomen. Als u datniet doet, kunt u in dit amendement zien dat u daarvooreen boete krijgt". Zou het niet beter zijn om bijvoorbeeldaan een bindende voorwaarde een voorwaardelijke boeteop te leggen? Dat moet niet maar het zou dan wel kunnen.Dan is het transparanter, dan valt het beter en dan weet jeook waarvoor je die boete krijgt, namelijk dat je lekt, dat jezorgt voor problemen door middel van een datalek. Eigenlijkmoet je daarvoor een boete krijgen, maar dan zegt het Cbpdat je de kans krijgt om het op te lossen of in ieder gevalherhaling te voorkomen. Doe je dat niet, dan moet je alsnogdie boete betalen. Dan is het veel duidelijker voor het bedrijfwaarvoor men het doet en waarvoor men ook probeert hetherstel te plegen dan te zeggen dat je de norm hebt over-schreden en niet hebt geluisterd naar de heer Kohnstammen dat je daarom die boete krijgt. Dat lijkt me dan veel zui-verder. Wat vindt u van dit idee?


Volgens mij wordt de heer Oskam op zijn wenken bediendmet dit wetsvoorstel, omdat juist dit wetsvoorstel inbeginsel zegt: we geven een bindende aanwijzing met alsdoel dat het datalek wordt gedicht, niet om een boete opte leggen. Dan is het lek hersteld en volgt er helemaal geenboete. Alleen in de heel ernstige gevallen is er ook een lik-

op-stukbeleid nodig, daarover zijn we het volgens mij ookallemaal eens.

De voorzitter:Mijnheer Oskam, ook voor u maak ik een uitzondering. Alsje er eenmaal aan begint, moet je consequent zijn.


Sorry, voorzitter, maar dit vraagt om een reactie. Materieelkomt het natuurlijk op hetzelfde neer, het is alleen deonderliggende gedachte, namelijk dat op fout gedrag eenboete hoort. Het Cbp krijgt de mogelijkheid om voorwaar-den en termijnen te stellen. Als je niet aan die voorwaardenvoldoet, zou het logisch zijn dat die boete wordt geëffectu-eerd. Maar ik vind het iets anders dan wanneer je zegt: jeluistert niet naar het Cbp en daarom krijg je een boete. Datzou minder goed voelen dan mijn voorstel.


Wat wij hier zien, is toch een verschil van inzicht tussen deheer Oskam en mij. Hij zegt dat op fout gedrag een boetehoort. Ik zeg dat je fout gedrag moet omzetten in goedgedrag. Het is ook de rol van het CBP als deskundig toezicht-houder om dat te stimuleren en daartoe aan te zetten. Alsiemand onverhoopt echt hardleers is — ik denk dat dat inde praktijk niet zo heel vaak zal voorkomen — dan is er diestok achter de deur van de boete.

De heer Segers (ChristenUnie):

Ik probeer de ratio te achterhalen achter de formulering dieis gekozen in het amendement op stuk nr. 16, over de boe-tebevoegdheid. Daarin is gekozen voor de formulering dathet moet gaan om een gevolg van ernstig verwijtbarenalatigheid. Wat betekent dat precies? We hebben nu eenaantal casussen voorbij horen komen. Als er wordtgesproken van nalatigheid, valt handelen daar dan ookonder? Als je iets nalaat, is er iets wat je niet doet. Maarvalt handelen er ook onder? Wat is het verschil tussen"ernstig verwijtbaar" en "verwijtbaar"? Iets kan verwijtbaarzijn, maar als het niet ernstig verwijtbaar is, mag er geenboete worden opgelegd. Wat is precies de ratio achter dezeformulering?


Ik denk dat wij ontzettend voorzichtig moeten zijn met hetcreëren van een te ruime en te gemakkelijke lik-op-stukboe-tebevoegdheid. Het is een beetje de klassieke vraag vanhet Juvenalis Dilemma: wie bewaakt de bewakers? Het CBPis onze bewaker en wij moeten het CBP bewaken. Ik denkdus dat we voorzichtig moeten zijn met het creëren van eente ruime algemene lik-op-stukboetebevoegdheid, vandaarde toevoeging van het woord "ernstig". Het moet nietzomaar verwijtbaar zijn, maar het moet ernstig verwijtbaarzijn. Ik heb twee casussen genoemd in aanvulling op decasus van het VU medisch centrum. Dit is dus de ratioachter de toevoeging van het woord "ernstig".


Het is mij niet helder waar we de grens overgaan wat betreftverwijtbare nalatigheid of verwijtbaar handelen. Nogmaals

51-9-10

5 februari 2015


vraag ik: is dat hetzelfde? Waar houdt dat op en beginternstig verwijtbare nalatigheid? Kan de heer Van Wijngaar-den dat helder schetsen? Kan hij daarbij meenemen dat hetCBP zegt: hier kunnen wij moeilijk mee uit de voeten?Waarom zouden we niet wachten op beleidsregels, die weinderdaad nog kunnen bespreken? Waarom zouden we hetniet de vrijheid geven om tanden te ontwikkelen? Bij zo'nbelangrijk onderwerp en zo'n belangrijke waarde als privacy,hebben we immers een goede waakhond nodig.


Maar er is ook nog een andere waarde, namelijk de waardevan rechtszekerheid. Ik heb daar net op gewezen. Je moetervoor oppassen dat je van die waakhond een pitbull maaktdie je te pas en te onpas op iedereen kunt afsturen.

Wat betreft het punt van nalaten: nalaten is ook een vormvan handelen. Dank voor die vraag! In de toelichting staatook: "dat wil zeggen het gevolg is van grof, aanzienlijkonzorgvuldig, onachtzaam dan wel onoordeelkundig han-delen". Met nalaten wordt dus ook handelen bedoeld.


Ik had nog een andere vraag, voorzitter.

De voorzitter:Omdat het hierbij gaat om een verheldering van eenamendement, geef ik wat extra ruimte, dus ook aan u.


Ik had de heer Van Wijngaarden nog gevraagd: schets noueens precies waar verwijtbaar handelen ophoudt en ernstigverwijtbaar handelen begint.


Voor het precieze antwoord op die vraag hebben wenatuurlijk het CBP. Anders zou ik het bij wijze van sprekenin mijn eentje kunnen gaan doen. Ik hoorde net dat daar150 mensen zijn. Die zitten daar niet voor niks. Het is juisthun deskundigheid om dat soort zaken te beoordelen.

De voorzitter:Mijnheer Van Wijngaarden, was u aan het einde van uwtermijn?


Nee, ik wilde eigenlijk naar een afronding gaan.

De voorzitter:Gaat u verder.


Ik rond af. De bescherming van persoonsgegevens is niettoevallig een grondrechtelijke aangelegenheid. Dat is eenextra reden, die ook de Raad van State heeft aangegeven,om zaken op het niveau van de formele wet te regelen.Artikel 10 van de Grondwet draagt ons als wetgever op om

de persoonlijke levenssfeer te beschermen. Dit wetsvoorstelis uiteindelijk een afgeleide van die opdracht. De kernvraagbij privacy is misschien wel het beste gesteld door hoogle-raar Koops van de Universiteit Tilburg, hoewel ik weet datje tegenwoordig "Tilburg University" moet zeggen van deuniversiteit. Volgens deze hoogleraar is de vraag: watmogen anderen van ons weten? Over die vraag moet je zoveel mogelijk zelf beslissen. Privacy is een pijler van derechtsstaat en staat daarom terecht in de Grondwet. Zonderprivacy belanden wij in een samenleving waarin de enemens is onderworpen aan de informatiemacht van deandere. Dit wetsvoorstel helpt zo'n maatschappij te voorko-men. Er moet ergens een plek zijn waar je niet wordtbespied. Waar je alleen met jezelf kunt zijn, of intiem meteen ander, waarover je geen verantwoording schuldig benten waarbij je vrij bent van andermans morele oordelen.Een plek waar je onbevangen jezelf kunt zijn, geheimenkunt koesteren en ongezien in je dagboek kunt schrijven.Privacy is daarvoor de waarborg.


De VVD verraadde zichzelf net een beetje. De heer VanWijngaarden zei: wij hebben helemaal geen behoefte aaneen pitbull. Dat is interessant, want de Partij van de Arbeidroept nu in allerlei persberichten "wij hebben nu echt eenpitbull met tanden". De heer Van Wijngaarden zegt: ik hebeen beetje listig amendement ingediend om er eenschoothondje van te maken, want ik ben bang dat er te pasen te onpas wordt opgetreden. Dank voor de openhartig-heid. Dank ook voor het eerlijke motief voor dit amende-ment. De VVD-fractie heeft helemaal geen behoefte aaneen College bescherming persoonsgegevens dat kandoorbijten. Mijn vraag is hoe de heer Van Wijngaarden hetin zijn hoofd haalt om in dezelfde zin over die pitbull tezeggen dat er anders te pas en te onpas boetes zullenworden uitgedeeld. Dat begrijp ik niet. Wij hebben allemaalbrieven gekregen van het College bescherming persoons-gegevens, waarin het college heel precies aangeeft onderwelke condities het dit wil doen. Uit welke alinea heeft deheer Van Wijngaarden gelezen dat het CBP te pas en teonpas boetes wil gaan uitdelen?


Ik heb niet gezegd dat het CBP dat zal doen of wil doen. Ikheb gezegd dat, op het moment dat je een te ruime alge-mene bevoegdheid creëert om lik-op-stukboetes uit te delen,het CBP dit kan doen. Wij hebben als wetgever enerzijdsde taak om er op te letten dat de macht van een toezicht-houder scherp genoeg is om te kunnen doorbijten. Eenwaakhond met tanden is prima, daar zijn wij het allemaalover eens en daarom verruimen wij de lik-op-stukboetebe-voegdheid. Anderzijds hebben wij de plicht — daartoeaangespoord door de Raad van State — om erop te lettendat wij die macht niet onnodig groot maken. De kern vanhet wetsvoorstel is nu juist dat je eerst de bindende aanwij-zing hebt, in de trant van: probeer uw leven te beteren enprobeer het datalek te dichten. Als het echt niet lukt en alsje je plicht verzaakt, is een boete mogelijk. Voor de heelernstige gevallen is de lik-op-stukboete bedoeld.


Mijn conclusie is echt niet anders dan dat met dit amende-ment het College bescherming persoonsgegevens aan de

51-9-11

5 februari 2015


ketting wordt gelegd, dat dit ook de diepste wens is van deVVD en dat de Partij van de Arbeid zo naïef is geweest omhaar handtekening daaronder te zetten. Naar aanleidingvan deze kwestie heeft het College bescherming persoons-gegevens een brief gestuurd. Ik vraag aan de heer VanWijngaarden of deze brief voor hem niet voldoende waar-borgen biedt dat het College bescherming persoonsgege-vens niet zal overgaan tot het te pas en te onpas uitdelenvan boetes. Is hij het met mij eens dat je dit niet kunt aflei-den uit die brief, met die intentie van het college?


De heer Schouw gebruikt grote woorden. Dat mag hij doen,maar ik constateer dat er een amendement ligt, met eenheldere toelichting, dat zorgt voor een waakhond met tan-den, dat niet verder gaat dan nodig is en dat ook past bin-nen het karakter van het wetsvoorstel. De privacy gaat onsallen aan het hart. Er is in dit parlement niet één partij diehet monopolie heeft op privacy, dus het staat ook anderepartijen vrij om op dit punt voorstellen te doen.


Mijn collega Schouw had zojuist wel een punt. Maar ik hebeen andere vraag. Mijn vraag is of informatie over vermo-gensverdeling in Nederland, die niet tot personen is teherleiden, valt onder de Wet bescherming persoonsgege-vens. Met andere woorden: zijn dat persoonsgegevens?


Dat lijkt mij een goede vraag om aan het CBP te stellen.


Kom op! Dit kan niet. De heer Van Wijngaarden heeft mijzojuist de spiegelbeeldige vraag gesteld en ik heb gepro-beerd die vraag naar eer en geweten te beantwoorden. Nuweigert hij echter een antwoord op mijn vraag te geven. Ikzal het maar meteen zeggen: de heer Van Wijngaarden hoeftniet bang te zijn dat de SP en GroenLinks exact willen wetenwat er op zijn bankrekening staat, of wat hij waar dan ookaan vermogen heeft. Hij hoeft dus straks niet bibberendnaar huis te gaan, want het voorstel van GroenLinks en deSP, waarover hij zojuist een vraag stelde, gaat niet overpersoonsgegevens. Ik neem aan dat hij dat wel wist, dusde poging om ons in een verkeerd daglicht te stellen, ismislukt.

De voorzitter:Mijnheer Van Wijngaarden, wilt u hierop nog reageren?


Ik heb gisteren geen voorstel gedaan om een vermogens-register op te richten waarin dat allemaal wordt bijgehou-den. Ik heb nu niets anders gedaan dan de vraag stellen dieik gesteld heb.


Het zou de heer Van Wijngaarden sieren om toe te gevendat het vermogensregister van de SP niet op persoonsni-veau te herleiden is, dus dat het niets van doen heeft met

persoonsgegevens en dat het slechts gaat over informatieover vermogensverdeling in Nederland. Het siert hem nietdat hij nu de indruk blijft wekken dat dit anders zou zijn.

De voorzitter:Mijnheer Van Wijngaarden, heeft u behoefte aan een reac-tie?


Nee. Ik vind het veel te kort door de bocht om hier even teconstateren dat dit het geval is, dus dat het vermogensre-gister aan de privacy-eisen voldoet. Ik denk dat wij daar hetCBP voor hebben.

De voorzitter:U bent daarmee aan het eind gekomen van uw termijn. Ikgeef het woord aan de heer Segers, die heeft ingeschrevenvoor tien minuten spreektijd.


Voorzitter. Er staat een belangrijke waarde op het spel, endat is privacy. Bij datalekken lopen mensen het gevaar datongevraagd en ongewild hun gegevens op straat of op dedigitale snelweg belanden, met alle ellende van dien. In datgeval kan immers gemakkelijk misbruik van de situatiegemaakt worden. Het wetsvoorstel verplicht allen die metpersoonsgegevens werken tot zorgvuldigheid, juist ook opde momenten dat het onverhoopt misgaat. Het wetsvoorstelis daarmee een terechte versterking van de positie van deburger.

Als waakhond is het College bescherming persoonsgege-vens benoemd. Dat krijgt er nu een aantal belangrijke takenbij. De vraag is of het wetsvoorstel gaat werken. Met anderewoorden: heeft het CBP effectieve instrumenten om teblaffen indien dit nodig is en te bijten als het echt nietanders kan? De fractie van de ChristenUnie is daar nog nietgeheel van overtuigd.

Uit de laatste evaluatie van de Wet bescherming persoons-gegevens, gehouden in 2009, werd duidelijk dat de wetdoor zowel de overheid als het bedrijfsleven slecht wordtnageleefd. Een stevige en treurige conclusie. Er is genoegaanleiding om tot nieuwe wetgeving te komen, zoals dewet die vandaag wordt besproken. Tegelijk moet ook wor-den opgemerkt dat veranderingen nooit alleen op wetgevingkunnen stoelen. Het komt ook aan op de houding van allebetrokkenen, op een cultuur waarin de waarde van privacygeëerbiedigd wordt. Welke voornemens heeft het kabinetop dit punt en hoe meet het eventuele verbeteringen eneventuele verslechteringen?

De keuze in het wetsvoorstel voor transparantie waar hetmisgaat, via de meldplicht, en de sanctionering indien datverwijtbaar is, is een goede aanvulling op de gereedschaps-kist van het College bescherming persoonsgegevens. Watdie meldplicht betreft is het een goede zaak dat het CPBeen vinger aan de pols kan houden, om de omvang en ernstvan een aantal datalekken en de risico's die burgers lopente kunnen vaststellen. Het bevreemdt dan ook dat demeldplicht opeens vervalt als er sprake is van een datalek

51-9-12

5 februari 2015


bij versleutelde data. Ik zie de ratio daarvan niet. Graagontvangen wij daarop een toelichting. Het amendement-Van Wijnbergen/Schouw/Oosenbrug biedt naar mijn meningop dit punt soelaas.

Extra verwonderlijk is het dat de memorie van toelichtingvervolgens wel aan het college de kennis toeschrijft om opde hoogte te zijn van alle versleutelingstechnieken en diein een up-to-dateregister ook bij te houden. Daar zijn alvragen over gesteld, in ieder geval door de PVV-fractie ende SP-fractie. Ook zij vroegen: daar zijn toch andereinstanties voor? Ik hoor graag een reactie van de staatsse-cretaris, en dan gaat het mij heel specifiek om de rol vanhet National Cyber Security Centrum, onderdeel van hetNCTV.

Dan de invulling van de gereedschapskist, of anders gezegd:kan het college bijten? Dat was wel de wens van de Kamerbij het aannemen van de motie-Recourt. De boetebevoegd-heid die nu wordt voorgesteld, wordt door het college alsniet effectief gezien, simpelweg omdat moet worden aan-getoond dat de overtreding willens en weten is begaan. Alsdat niet lukt, moet er eerst een aanwijzing worden gegeven.Het is volstrekt logisch dat het college altijd probeert repa-ratoir te werken, maar er zijn situaties waarin daarmee nietalles gezegd is. De cameraploegen van VUmc zijn al vaaklangsgekomen. Dat was een beeldende illustratie, eenbeeldende casus, waarbij zonder toestemming van patiën-ten opnames begonnen. Alles kon in beeld wordengebracht. Dan past stevig optreden in plaats van reparatie.

Ik vind het echt iets voor deze staatssecretaris om stevigop te treden. Dat ligt toch wel in zijn aard, zou ik zeggen.Waarom dan de angst om het college een boetebevoegd-heid te geven waarvan het college zelf zegt: die bevoegd-heid als ultimum remedium te zien? De boetebevoegdheidzal niet te pas en te onpas worden toegepast. Is de staats-secretaris bekend met de situatie in andere landen als hetgaat om die boetebevoegdheid? Wat is de tendens in denieuwe Europese richtlijn die binnenkort zal verschijnen?Samen met collega Schouw meen ik dat een waakhond inuitzonderlijke gevallen hoort te kunnen bijten. Vandaar ookons amendement.

In de tweede nota van wijziging werd de verplichting voorhet college toegevoegd om wetsinterpreterende beleidsre-gels te onderwerpen aan ministeriële goedkeuring. Dat istoch wat wonderlijk, want daarmee hebben de ministeriesvan Veiligheid en Justitie en Binnenlandse Zaken directbemoeienis met de wijze waarop het toezicht op hun eigendoen en laten wordt vormgegeven en ingericht. Dat wringttoch? Ik heb met collega Schouw een amendement op ditpunt ingediend en ik vraag de staatssecretaris om datamendement ook te bezien in het licht van de Europeseregelgeving en jurisprudentie.

Samenvattend is dit wetsvoorstel een verbetering van dehuidige situatie, maar de staatssecretaris kiest toch vooreen nogal zachte aanpak. Zo kennen wij hem niet. Gelukkigliggen er meerdere amendementen, die het geheel tot eenstevig wetsvoorstel maken. Het doel moet zijn dat burgerszich beschermd weten en op de hoogte zijn als er zakenmisgaan. Dan moet een toezichthouder in staat zijn om inte grijpen. De volgende evaluatie van de Wet beschermingpersoonsgegevens moet een andere uitkomst hebben dandegene waar ik net aan refereerde. Ook na het vaststellenvan dit wetsvoorstel zit het werk er daarom nog niet op.

In dat licht nog een laatste nabrander. Toen hier de Wetbescherming persoonsgegevens werd vastgesteld, werder afgesproken om na vijf jaar te evalueren. Dat staat ookin de wet en heeft onder andere geleid tot het nu voorlig-gende wetsvoorstel. Het is mij onduidelijk wat het vervolgis. De wet spreekt niet over een vervolg, maar de resultatenvan destijds geven daar wel aanleiding toe. Wanneer wordtdeze wet tegen het licht gehouden en de werking ervan?Wellicht hoeft dat niet in een speciale evaluatie te gebeuren,maar kan het worden meegenomen als er anderszins priva-cygerelateerd onderzoek wordt gedaan. Dát wij nog eenkeer kritisch naar deze wet moeten kijken, lijkt mij welwenselijk.

De voorzitter:Dank, mijnheer Segers. Dan geef ik het woord aan de heerOskam, die eveneens heeft ingeschreven voor tien minuten.


Voorzitter. In het wetsvoorstel dat de Kamer bespreekt,wordt de meldplicht geïntroduceerd in de Wet beschermingpersoonsgegevens voor verantwoordelijken voor de verwer-king van persoonsgegevens in geval van gebleken doorbre-king van de getroffen maatregelen ter beveiliging van per-soonsgegevens. Het is een hele mondvol, maar zo is dejuridische tekst. De meldplicht rust op alle verantwoordelij-ken voor de verwerking, zowel in de private als in depublieke sector. Het nalaten om aan deze verplichting tevoldoen, kan worden gesanctioneerd met een bestuurlijkeboete van maximaal €810.000 of, indien de hoogste boete-categorie geen passende bestraffing toelaat, met 10% vande jaaromzet, op te leggen door het CBP.

De CDA-fractie steunt het wetsvoorstel. Het doel van demeldplicht is het voorkomen van datalekken ten gevolgevan doorbreking van beveiligingsmaatregelen. Als dezezich toch voordoen, worden de gevolgen ervan voor debetrokkenen zo veel mogelijk beperkt. Met de meldplichtwordt bijgedragen aan het behoud en het herstel van hetvertrouwen in de omgang met persoonsgegevens. Dat isvolgens de CDA-fractie in het tijdperk van digitalisering engrootschalige verwerking van persoonsgegevens een goedezaak.

De CDA-fractie wil wel aan de regering voorleggen hoebewaakt kan worden dat dit wetsvoorstel recht doet aan deproportionaliteit van de boetebevoegdheid. De CDA-fractieis dan ook tevreden dat mede naar aanleiding van haaropmerkingen in het verslag de regering in de nota van wij-ziging de meldplicht heeft geherformuleerd. Hierdoor hoe-ven niet alle inbreuken op de beveiliging van persoonsge-gevens bij de toezichthouder te worden gemeld, maar alleendie inbreuken die ernstige nadelige gevolgen hebben voorde bescherming van de verwerkte persoonsgegevens. Tij-dens het debat bleek al weer dat daar discussie over was.Ik vraag de staatssecretaris of hij toch nog eens nader kanduiden wat er precies bedoeld wordt met "ernstige nadeligegevolgen".

Dit lijkt de CDA-fractie een zinnige wijziging, ook met hetoog op het voorkomen van een te grote administratieveballast voor de betrokken bedrijven en voor de overheids-organisaties die het aangaat. Bovendien zou het meldenvan iedere vorm van ongeoorloofde toegang tot persoons-

51-9-13

5 februari 2015


gegevens aan de betrokkene weinig zinvol zijn, omdatdaarmee tal van situaties onder de reikwijdte van de meld-plicht worden gebracht waarin geen noemenswaardigeongunstige gevolgen voor de persoonlijke levenssfeer zijnte duchten, bijvoorbeeld bij menselijke fouten of systeem-fouten waarbij personen betrokken zijn die geen misbruikzullen maken van gegevens die zij ten onrechte hebbeningezien. Dan is het niet nodig en hoeven wij het CPB nietverder op te tuigen. Een dergelijke ruime verplichting dientnaar de mening van de CDA-fractie dan ook geen redelijkdoel.

Ook een tweede wijziging, namelijk die om de normstellingaan ministeriële goedkeuring te onderwerpen, kan op steunvan de CDA-fractie rekenen; anders dan sommige collega'szojuist naar voren hebben gebracht. De CDA-fractie deeltwel de reserves die de Raad van State op dit punt had.Gewaakt moet worden voor een te grote machtsconcentratiebij het CPB. Als dit wetsvoorstel in werking treedt, kan hetcollege boetes tot zeer grote hoogtes opleggen. Maar methet oog op de onafhankelijkheid van het toezicht is devoorgestelde wijziging wel verstandig.

De CDA-fractie heeft als enige vragen over het opzetbegripzoals door de regering voorgesteld in artikel 66. Wat is dereikwijdte van dit begrip? Ik denk dat ik het wel weet, maarik wil het toch zeker weten. Ik hoor daarom graag van destaatssecretaris dat voorwaardelijke opzet hier ook ondervalt. Daar is ook discussie over geweest.

Er zijn genoeg concrete casussen waaraan gedacht kanworden waarbij wel degelijk sprake is van voorwaardelijkeopzet: het bewust aanvaarden van de aanmerkelijke kansdat gegevens geschaad kunnen worden. De CDA-fractiehaalt een ander sprekend voorbeeld aan, ditmaal uit deVerenigde Staten. De winkelketen Target installeerde gea-vanceerde beveiligingssoftware om zijn netwerk te monito-ren. Ondanks dat er alarmbellen afgingen, deed het bedrijfniets. Het resultaat was dat de gegevens van 40 miljoencreditcardhouders gestolen werden. In dat soort zaken moetje redelijkerwijs vermoeden dat het fout gaat als je nietsdoet. Dat lijkt mij logisch.

De CDA-fractie steunt in een dergelijke casus de boetebe-voegdheid van het college, maar zij vraagt de staatssecre-taris of hij ervoor wil waken dat het CPB te gretig wordtmet het opleggen van boetes. Eerder is gezegd dat dewaakhond tanden moet krijgen. Dat vinden wij zeker ook.Die tanden moeten ook gebruikt kunnen worden, maar nietde klauwen.

Dan ons amendement op stuk nr. 17. Wat ons betreft, werktdat mee aan meer maatwerk voor het College beschermingpersoonsgegevens. Als je de boetebevoegdheid van hetCPB serieus neemt, moet je ook een toetsing in volleomvang kunnen laten verrichten. Laat het CPB de norm-schending bekijken, de feiten en omstandigheden waaron-der die is begaan en eventuele gevolgen bij de afwegingof er wel of geen boete moet worden opgelegd. Wellichtkan worden volstaan met een bindende aanwijzing ofanderszins. Te denken valt aan situaties waarin vergeten isom de gegevens te wissen toen de bewaartermijn wasverstreken. Ik noem ook de situaties waarin het beveiligings-niveau niet volgens de stand van de voortschrijdendetechniek is bijgewerkt of waarin de privacyverklaring op dewebsite niet is geüpdated. Dit zijn kleine fouten waarvan

het CPB moet zeggen: het is niet goed wat je gedaan hebt,maar wij laten het hierbij of wij geven een aanwijzing alsdaar aanleiding voor is.


De heer Oskam gaf net aan dat hij de punten die de Raadvan State heeft aangedragen zeer serieus neemt. Maar hoeverhoudt het zinnetje "tenzij het college dit niet redelijkacht", zo'n algemene formulering, zich enerzijds tot het lexcertabeginsel en anderzijds tot het punt dat de grondwetge-ver de wetgever heeft opgedragen om hier duidelijkheid inte creëren?


Het CDA staat natuurlijk ook voor duidelijkheid en wil ookgraag duidelijkheid creëren, maar we zijn met elkaar aanhet kijken hoe dit zich gaat zetten. Het CBP heeft een briefgestuurd waarin staat wanneer het denkt een boete temoeten opleggen en noemt de criteria daarvoor. De heerSchouw noemde dit punt al. Het is een zoektocht. Het CDAis ook voor het idee dat de minister mee moet kijken, zodathet van twee kanten bekeken wordt, want dan heeft deKamer ook invloed. Maar het moet zich zetten. Eigenlijk ishet CBP een soort rechter die zegt: deze normschending iser geweest; hoe gaan we die het beste oplossen? Ik heb netgezegd wat het doel daarvan is. We proberen natuurlijk zoveel mogelijk die schade te voorkomen, dus het is primaals er een bindende aanwijzing komt waarin staat welkeveiligheidsmaatregelen moeten worden genomen zodathet in de toekomst niet meer kan gebeuren of dat degedupeerden gecompenseerd moeten worden. Het voor-beeld van grove normschendingen is al eerder genoemd.Als een databeheerder bewust gegevens verkoopt terwijlhij weet dat dit niet kan, dan moet diegene flink wordenaangepakt. Dan zijn wij voor lik-op-stuk. De zinsnede vande redelijkheid heeft betrekking op de toetsing in volleomvang door het CBP. Laat dat de feiten en omstandighe-den, de normschending en de gevolgen tegen elkaarafwegen en bekijken of een boete noodzakelijk is. Dat is hetidee. Ik denk dat daar niks onduidelijk aan is.


Maar daarmee negeert het CDA toch gewoon de aanmaningvan de Raad van State, die heeft gezegd dat de grondwet-gever de wetgever opdraagt om op het niveau van de for-mele wet zo veel mogelijk duidelijkheid te creëren? Metdeze zin negeert het CDA die toch?


Nee, ik negeer die niet. Ik heb gezegd dat wij positief warenover het advies van de Raad van State om niet alles bij hetCBP neer te leggen en dat er ook nog een ministeriële ver-antwoordelijkheid in zit — lees: ook voor de Kamer — maardat wil niet zeggen dat wij die grondwettelijke principesmet voeten treden. Zo is het niet.

Voorzitter. Ik gaf een aantal voorbeelden waarin het CBPmaatwerk zou kunnen leveren. Ik noem de situatie datgegevens tijdelijk zijn kwijtgeraakt zonder dat die achterafinzichtelijk blijken te zijn geweest voor derden, dus dat erverder geen consequenties aan zitten. In dergelijke situatiesmenen wij dat het passender is dat het CBP kiest voor eenbindende aanwijzing. Indien die niet wordt opgevolgd, kan

51-9-14

5 februari 2015


het CBP alsnog de bestuurlijke boete opleggen. In hetamendement van de heer Van Wijngaarden en mevrouwOosenbrug zou dat zijn vanwege het overtreden of het niet-naleven van de bindende aanwijzing, maar wat mij betreftzou het beter zijn om aan zo'n bindende aanwijzing eenvoorwaardelijke boete op te leggen. Soms gaat het zelfsverder. Soms is een bindende aanwijzing — dit voorbeeldgaf Van Nispen ook — eigenlijk helemaal niet meer vantoepassing omdat de schade al is hersteld of omdat er almaatregelen zijn genomen. Het CBP kan dan een bindendeaanwijzing geven, maar die heeft in dat geval geen functie.Wat wel een functie kan hebben is om een voorwaardelijkeboete op te leggen. Dat kan nu niet. Niemand heeft daareen amendement over ingediend en het wetsvoorstel zieter ook niet op, maar ik vraag de staatssecretaris wel of hijdat een goed idee vindt. Wat dat betreft is er nog wel eentussenoplossing te bedenken.

Mevrouw Oosenbrug (PvdA):

Het CDA zegt erg voor duidelijkheid te zijn. Daar ben ik blijom, want er worden wel wat dingen onduidelijk voor mij.De heer Oskam geeft het voorbeeld van een situatie waariner wel gegevens gelekt zijn, maar er geen derden bij kunnen.Hoe moet ik dat voor mij zien? Het probleem is juist dat je,als er een hack plaatsvindt waarbij persoonsgegevens opwelke manier dan ook gecompromitteerd worden, nooitzeker weet of die naar buiten zijn gebracht of binnen hetbedrijf zijn gebleven. Waar leggen we dan de grens? Hoeduidelijk kun je dat vastleggen in wetgeving?


Ik zal het heel beeldend maken. Een medewerker vanXS4ALL krijgt inzage in gegevens die hij eigenlijk niet magzien. Hij meldt dat aan zijn baas en doet er verder niks mee.De baas meldt het vervolgens aan het CBP. Als er geenbloed uitgevloeid is, kan het CPB het daarbij laten of eenaanwijzing geven dat het niet meer gebeurt. Dat soort zaken.


Dan gaat het niet over datalekken, maar over iets wat internin een bedrijf gebeurt. Dat is iets heel anders dan wanneerer van buitenaf een aanval plaatsvindt of een hack. Het kanook dat een usb-stickje in een envelop, onversleuteld, ver-stuurd wordt via de post en verdwijnt. Dat kan bij TPG Postergens onder een kast terecht zijn gekomen, maar het kanook door iemand meegenomen zijn. Dat weten we niet.Waar ligt die grens? Wanneer kunnen we wel zeggen datdie aanwijzing of die boete verdiend is? Hoe krijg je diewetgeving dan wel duidelijk?


Ik heb hier geen transactielijst waarbij je zegt: als je 5 cmnaar links gaat, krijg je zoveel. Ik vind dat dit aan het collegeis. Ik vind dat we maatwerk moeten maken. We kunnennatuurlijk allerlei voorbeelden bespreken, maar er zijn veelmeer voorbeelden te bedenken. De techniek schrijdt voort.Er gaat van alles gebeuren. Dit hele proces is in ontwikke-ling. Het CBP zal ook moeten bekijken hoe het daarmeeomgaat. Dadelijk wordt door het CBP een vorm van juris-prudentie gemaakt die we nauwlettend zullen volgen, maarik ga niet zeggen dat iemand die 5 cm naar links gaat, weleen boete krijgt en bij 4 cm niet. Dat is echt aan het CBP.


U vroeg collega Van Wijngaarden om helderheid over deamendementen die wij hebben ingediend, maar mijn con-clusie is dat dit eigenlijk op hetzelfde neerkomt. Mijn collegaVan Wijngaarden zei ook: laat het CBP dat op sommigemomenten bepalen. U zegt eigenlijk precies hetzelfde. Datis geen vraag, maar een conclusie van mij.


Dan maak ik er een vraag van. Mevrouw Oosenbrug heefthet niet goed begrepen. Ik bedoelde aan de heer VanWijngaarden te vragen waarvoor het CBP die boete geeftop grond van het amendement op stuk nr. 16, lid 5. De heerVan Wijngaarden heeft daarover duidelijkheid geschapen,door te zeggen dat dit komt doordat dat bedrijf of dieorganisatie de aanwijzing van het CBP niet heeft opgevolgd.Dat is duidelijk. Om het amendement beter te maken hebik gezegd dat je het ook vorm kunt geven als een voorwaar-delijke boete als je geen bindende aanwijzing wilt geven.Dan geef je toch tools om ellende in de toekomst te voorko-men. Stel dat ik als directeur van een bedrijf bij het CBPmoet komen, figuurlijk gezegd. Het CBP zegt dan: joh, jehebt buiten de boot gevist, om het zo maar te zeggen —dat is een verkeerde uitdrukking, maar u snapt wel wat ikbedoel — je moet eigenlijk een boete betalen, maar het isde eerste keer, je hebt veiligheidsmaatregelen genomen,je bent er zelf mee gekomen of je hebt schade vergoed ofmensen gecompenseerd, in dat geval laten we het bij ietsvoorwaardelijks. Je kunt ook het amendement van mevrouwOosenbrug en de heer Van Wijngaarden nemen en zeggen:je hebt die norm overtreden, je hebt niet geluisterd naarhet CBP en daarom moet je €810.000 of €400.000 of €20.000betalen, dat kan allemaal. Ik denk dat het transparanter isom te zeggen: dat staat erop, dat vinden wij het waard,maar als je ervoor zorgt dat het niet meer gebeurt of als jeluistert naar die aanwijzing dan ga je vrijuit. Dat lijkt mebeter.

Ik was bij de voorbeelden van maatwerk. Er is ook nog delast onder dwangsom, zoals collega Van Nispen heeftgezegd. Het amendement dat ik net heb besproken, zou incombinatie met het wetsvoorstel goed kunnen uitpakken.Bedrijven en organisaties worden door de dreiging van eenhoge boete geprikkeld om alles in het werk te stellen omprivacygerelateerde schade te voorkomen. Daarnaast wordtduidelijk of het CBP boetes kan opleggen bij alle tekortko-mingen. Soms valt erover te twisten of deze zulke ernstigegevolgen hebben gehad of een zodanige normschendingzijn dat er een boete op moet komen.

Ik heb nog een vraag aan de staatssecretaris over hetamendement op stuk nr. 16. Is het niet beter om bij hetsysteem dat wij hebben bedacht, er toch een voorwaarde-lijke boete in te fietsen en deze eventueel te koppelen aandie bindende aanwijzing? Het is ook mogelijk dat er geenbindende aanwijzing moet worden gegeven, maar dat eenvoorwaardelijke boete op zijn plaats zou zijn.

De voorzitter:Dank meneer Oskam, ook voor het verrijken van hetNederlands met een nieuwe uitdrukking.

51-9-15

5 februari 2015



Voorzitter. De PvdA is sinds lange tijd voorstander van eenmeldplicht voor datalekken. Mijn fractie is er dan ook ver-heugd over dat met dit wetsvoorstel de bescherming vanpersoonsgegevens kan worden versterkt. Onze persoons-gegevens worden op steeds meer plekken digitaal verza-meld en opgeslagen. De kans op verlies of diefstal van diegegevens, het zogenaamde "datalekken", neemt daardoortoe. Door een meldplicht voor gevallen waarin gegevenswaarschijnlijk zijn gestolen en door het aanscherpen vande tanden van het College bescherming persoonsgegevensmet een brede boetebevoegdheid komt het wetsvoorsteltegemoet aan de wens van mijn fractie.

Met dit wetsvoorstel geeft de regering invulling aan dewens van de Tweede Kamer, zoals onder andere verwoordin de motie van collega Recourt over de uitrusting van hetCBP. We zien het toenemende belang van een goedebescherming van digitale persoonsgegevens vooral omdater steeds meer informatie over mensen digitaal beschikbaaris en er met regelmaat pogingen worden ondernomen omdeze gegevens te ontvreemden. Ook delft de privacyregelmatig het onderspit in de strijd met de commercie enworden daarbij de regels van de Wet bescherming persoons-gegevens overtreden. Een meldplicht en een stevigereboetebevoegdheid zullen bijdragen aan een beterebescherming van de persoonsgegevens.

Voor een meldplicht voor datalekken die goed werkt, is hetbelangrijk dat men niet alleen maar informatie krijgt overinbreuken waarbij al duidelijk is dat er gegevens zijn mis-bruikt; dan is er namelijk weinig preventieve reactie nodig.Ook kan niet altijd goed worden ingeschat hoe groot derisico's op misbruik zijn na een lek. Het is goed als dit bijtwijfel juist wél wordt gemeld, in plaats van dat men ditvoor zich houdt. Ook als gegevens zijn versleuteld, is hetbelangrijk om de inbreuk wel bij het CBP te melden. Het isnamelijk niet altijd van tevoren te zeggen in hoeverre dediefstal van versleutelde gegevens gevaar kan opleveren.Niet alle versleuteling is even sterk.

Daarom was ik onaangenaam verrast door de eerste notavan wijziging, waarin de meldplicht onnodig werd ingeperkt.Ik begrijp de zorgen over een toename van de administra-tieve lasten. Bedrijven zijn bang dat ze meer moeten meldendan nodig is. Bovendien is het uiteraard niet leuk om temoeten melden dat er bij je is ingebroken; dat kan slechtzijn voor je imago. Ik kan me echter ook voorstellen dat hetCBP er geen behoefte aan heeft om te worden overspoeldmet onnodige meldingen. Ik ben ervan overtuigd dat hier-voor in de praktijk een werkbare vorm kan worden gevon-den, waarbij het CBP eventueel nadere regels stelt. Dat hetbedrijfsleven moet investeren in beveiliging van de gege-vens die het verzamelt en ook in het melden van inbreuken,hoort volgens mijn fractie bij de plicht om zorgvuldig metdeze gegevens om te gaan. Daarom heb ik mede met deheer Schouw een amendement ingediend, waardoor deoorspronkelijk bedoelde meldplicht een stukje wordtteruggebracht. Ik hoor graag van de staatssecretaris welkeproblemen hij met deze meldplicht verwacht en welkenieuwe inzichten hij heeft opgedaan sinds de indiening vanhet wetsvoorstel.

De leden van de PvdA-fractie delen de mening van deregering dat het onverstandig zou zijn om het wachten op

de databeschermingsverordening, terwijl een meldplichtde veiligheid nu al zou kunnen vergroten. Na de komst vaneen meldplicht op basis van een Europese verordening ishet van belang dat er uiteindelijk wordt geharmoniseerd.De PvdA-fractie hoort graag van de regering de meestrecente ontwikkelingen ten aanzien van een Europesemeldplicht voor datalekken.

Naast het vergroten van het vertrouwen in digitale gege-vensverwerking is het belangrijk dat er zo veel mogelijklessen worden getrokken uit opgetreden datalekken.Daarom is het belangrijk dat er informatie van het CBPwordt gedeeld met het Cyber Security Centrum en met detoezichthouders van DNB, de AFM en de ACM. Dit is aleerder genoemd door de collega's. Ik zou graag wat meeruitleg van de regering horen over de wijze waarop de aan-gemelde datalekken worden gebruikt om lessen te trekkenen onveiligheden te bestrijden.

In de nota van wijziging die de boetebevoegdheid regelt,zie ik twee mogelijke knelpunten naast de lang gewensteuitbreiding van de bevoegdheden van het CBP om echt inte grijpen. Dat is de noodzaak van opzet om direct een boetete kunnen opleggen zonder voorgaande aanwijzing. Ik maakmij zorgen dat dit te beperkend geformuleerd is om op tekunnen treden in die gevallen waar, volgens de Wetbescherming persoonsgegevens, het klakkeloos over hethoofd is gezien, maar er geen opzettelijke overtreding isbegaan. Ik steun het amendement van collega Van Wijngaar-den om ook grove nalatigheid meteen beboetbaar te maken.Daarnaast is het CBP bang dat een ministeriële goedkeuringvan zijn beleidsregels zijn onafhankelijkheid kan aantasten.Het college spreekt zelfs van strijd met de Europese priva-cyrichtlijn en het risico van een infractieprocedure. Heeftde staatssecretaris hier navraag naar gedaan bij de Euro-pese Commissie?


Volgens mij is mevrouw Oosenbrug al voorbij het omstre-den amendement op stuk nr. 16, maar daarover heb ik eenpaar vragen. De heer Van Wijngaarden heeft onthuldwaarom hij dit gemaakt heeft. Hij wil geen pitbull makenvan de privacywaakhond. Het mag geen pitbull worden endus wordt het ingeperkt met een listig amendement waaringesproken wordt over ernstig verwijtbare nalatigheid ennog een aantal van die inperkingen. Wat vindt mevrouwOosenbrug van zo'n kwalificatie van de heer Van Wijngaar-den?


Ik heb andere dingen gehoord in de woorden van de heerVan Wijngaarden dan de woordvoerder van D66. Ik heb ditamendement mede ingediend omdat het de boetebevoegd-heid ruimer maakt dan in het oorspronkelijke wetsvoorstel.Er worden juist tanden gegeven aan het schoothondje —het wetsvoorstel dat nu voorligt — en geen tanden wegge-haald, zoals de heer Schouw suggereert. Het is niet aan mijom er een pitbull of een bouvier van te maken.


Ik kan wel helpen. Een bejaarde pitbull heeft geen tandenmeer, dat maakt iedereen weer blij. De heer Van Wijngaar-den heeft het echt zo gezegd: ik heb dit gemaakt, omdat iker geen pitbull van wil maken. Het moet wel redelijk blijven,

51-9-16

5 februari 2015


zei hij. De heer Van Wijngaarden heeft voorbeeldengenoemd waarvan hij denkt dat ze onder de formuleringvallen. Ik heb ook enkele voorbeelden bedacht. Ik wil zemevrouw Oosenbrug voorhouden met de vraag of ze vallenonder de definitie van ernstig verwijtbare nalatigheid. Heteerste voorbeeld gaat over de medewerkers van een zieken-huis. Zij hebben toegang tot alle elektronische patiënten-dossiers, ongeacht hun directe behandelrelatie. Het gaatom honderden medewerkers. Is dit een geval van ernstigverwijtbare nalatigheid?


Aangezien ik wat ervaring heb als systeembeheerder eninmiddels weet hoe het er bij veel bedrijven aan toegaatmet het uitdelen van inlognamen en wachtwoorden, zou ikdit niet direct een ernstig verwijtbare nalatigheid noemen.Ik zou wel heel graag zien dat het CBP de rode kaart trekten zegt dat dit niet meer kan. Het gaat niet alleen over dezorg, maar over heel veel bedrijven alsmede overgemeenten. Dit gebeurt op dit moment overal en ik vinddat persoonlijk, vanuit mijn achtergrond als systeembeheer-der, ernstig nalatig. Als ik vanuit de wet naar de taak vanhet CBP kijk, dan zeg ik nee. Er zal eerst een rode kaartmoeten worden getrokken. Er zal eerst moeten wordenuitgelegd waarom dit niet goed is.

De voorzitter:Mijnheer Schouw, ik weet niet hoeveel voorbeelden u hebt,maar anders gaat het heel lang duren.


Nog heel even verder met dit voorbeeld en dan houd ikecht op, hoor. Het gebeurt dus al een jaar in dat ziekenhuis,ze hebben het allemaal verzwegen en iedereen zit in diepatiëntendossiers te rommelen. Uiteindelijk komt het col-lege er via een klokkenluider achter. Zegt de Partij van deArbeid dat dit niet zo ernstig is dat er direct een boetegegeven mag worden, maar dat er eerst een waarschuwinggegeven moet worden? Begrijp ik dat goed?


Ja. Er zijn nog geen duidelijke richtsnoeren hiervoor. Dat-zelfde probleem is er op gemeenteniveau. Ook daarbijhebben we de minister gevraagd om strikter op te treden.Mijn fractie kiest ervoor om eerst een waarschuwing telaten geven. U gaat een stuk verder. Ik vind het een anderverhaal als ze ook in die dossiers rommelen of rotzooienof andere dingen doen. Dan moet er wel een boete tegen-over staan. Dan gaat het namelijk veel verder. Het gaat omde wijze waarop men omgaat met inloggegevens. Eensecretaresse kan bijvoorbeeld in bestanden die eigenlijkalleen beschikbaar zouden mogen zijn voor de directeur.Daarvoor moet er een rode kaart komen. Dat gebeurt ookin ziekenhuizen. Op dit moment hebben heel veel secreta-resses gewoon de inlogcodes van de psychiaters of vanwie dan ook om bestanden toe te voegen of te verwijderen.Als we dat niet meer willen, moeten daar duidelijke richtlij-nen voor komen.


Ik vind het amendement wel duidelijk. Ik kijk altijd lievernaar de tekst. De uitleg moet daarbij passen. Ik heb dewoorden van collega Van Wijngaarden in mijn achterhoofd,maar de tekst is duidelijk. Na de uitleg van mevrouw VanOosenbrug begrijp ik het echter niet meer. Volgens mij vultzij de definitie van een rode kaart nu heel anders in. Eenrode kaart betekent toch: stop acuut, boete en hatseflats?


Er is een verschil. De bindende aanwijzing is voor mij derode kaart. Misschien gebruik ik de term "bindende aanwij-zing" verkeerd. Dan is er ook nog de boete.

De voorzitter:Met een rode kaart bedoelt u dus een bindende aanwijzing?


Dan bedoel ik de bindende aanwijzing. Sorry.


Dan begint het voor mij duidelijk te worden. Ze kunnen nual een gele kaart geven. Zo heb ik het begrepen. Een bin-dende aanwijzing lees ik ook als een gele kaart, want daarmoet eerst aan voldaan worden. Als het niet gebeurt, krijgje inderdaad een rode kaart. In het wetsvoorstel is er echterook de mogelijkheid om in bepaalde gevallen, als er sprakeis van opzet, acuut een rode kaart uit te delen. Dan ben jedus meteen aan de beurt. Ik begrijp dat de rode kaart, dushet meteen aan de beurt zijn, waarvan sprake is in hetamendement, ook de bedoeling is als er sprake is van ern-stig verwijtbare nalatigheid. Heb ik dat goed begrepen?


Als de rode kaart een boete is, dan wel. Even voor de hel-derheid: ik heet niet Van Oosenbrug. Die "Van" mag eraf.Ik heet gewoon Oosenbrug, maar de hele Kamer begint ditnu al over te nemen.


Ik zal het proberen. Ik heb een vraag voor mevrouwOosenbrug. Vertrouwt de PvdA het aan het Collegebescherming persoonsgegevens toe om zelf de afwegingte maken om in een bepaald geval direct een boete te gevenzonder dat deze wordt voorafgegaan door een bindendeaanwijzing? Ik ben daar oprecht benieuwd naar.


Ik vertrouw het CBP zeker. Ik vraag de minister wel waaromdie ministeriële toetsing nodig is. Ik weet niet of ik dat algevraagd heb of dat ik dat nog ging vragen. Waarom moetdie ministeriële toetsing ertussen? Bedoelt u dat?


Nee. Dat is natuurlijk ook een interessant punt, maar daarkomt u dan nog op. Het gaat mij om het amendement opstuk nr. 16, dat u samen met de heer Van Wijngaarden hebtingediend, versus het amendement op stuk nr. 19 van de

51-9-17

5 februari 2015


heer Schouw en de heer Segers. Het verschil is dat er vol-gens u eerst sprake moet zijn van een bindende aanwijzingen dat het CBP pas daarna een stevige boete mag opleggen.Zo lees ik het amendement. Mijn collega's van de Christen-Unie en D66 zeggen echter dat het aan het college zelf isom te beoordelen of het in bepaalde gevallen terecht zouzijn om het direct te doen, zonder tussenkomst van dieaanwijzing.


Ik ben even heel snel de toelichting aan het lezen. Volgensmij zeggen wij hetzelfde. Met het amendement wordtgeregeld dat het College bescherming persoonsgegevensgeen bindende aanwijzing hoeft te geven aan de overtrederalvorens het een bestuurlijke boete kan opleggen. Ik begrijpde verwarring dus niet helemaal, maar misschien heb ikzelf het amendement dan niet heel helder. Dat is wat ik voorogen had: geef het CBP nu het gereedschap om ervoor tezorgen dat het dit zelf kan bepalen. Als er dus een grove …Wacht, ik moet wel de juiste woorden gebruiken. Als er eenernstig verwijtbare nalatigheid is, zoals in het geval van hetziekenhuis waar camera's naar binnen gereden worden —dat voorbeeld is al honderd keer genoemd — waarbij jeweet dat je een enorme schending van de privacy pleegt,hoor je daar gelijk voor beboet te worden.


Ik concludeer dat er echt een belangrijk verschil zit tussenhet amendement op stuk nr. 16 en dat op stuk nr. 19. Ikdenk dat het goed is om daar nog even heel goed naar tekijken. Het amendement op stuk nr. 19, van de ChristenUnieen D66, maakt het toch echt een stuk scherper. In mijn ogen— zo zie ik het — geven we daarmee meer vertrouwen aanhet College bescherming persoonsgegevens om maatwerktoe te passen.


Dank u voor de tip. Ik denk dat wij hierna nog even metelkaar moeten kijken of wij nog verder kunnen komen. Ikkan nu nog niet zeggen dat het een beter dan het ander is.

Ik was gebleven bij de vraag aan de staatssecretaris of hijnavraag heeft gedaan bij de Europese Commissie over deEuropese privacyrichtlijn. Kan hij bevestigen dat het onthou-den van goedkeuring terughoudend gebruikt zal worden,mede door de beperkte gronden "strijd met de wet" en"strijd met het algemeen belang"? Hoe wordt de Kamergeïnformeerd over het eventueel weigeren van goedkeuringaan een beleidsregel van het CBP?

Het nu introduceren van de wetgeving heeft het risico inzich dat er in de toekomst aanpassingen nodig zullen zijndoordat er gewerkt wordt aan nieuwe Europese regelgevingvoor privacy, waarin regels voor een meldplicht en boetesopgenomen worden.


Goedkeuring is een belangrijk punt. Ik geloof dat mevrouwOosenbrug dat in haar inbreng al heeft aangekaart. DePartij van de Arbeid zit op de wip als het gaat om de goed-keuring. Het is mij niet helemaal helder wat de opvattingvan de PvdA is. Kan het voor de PvdA nog twee kanten op:

wel goedkeuring door de minister of geen goedkeuringdoor de minister, zoals wordt beoogd in het amendementvan collega Segers? Zijn beide opties nog open?


Op dit moment staan beide opties voor mij nog open. Ikheb iets met wetgeving over de ANPR (Automatic NumberPlate Recognition), zoals sommige mensen misschien welweten; ik weet dat daarover een vraag is gesteld. De vraagis inderdaad: kan de minister van V en J daarover wel eeneerlijk advies geven aan het CBP? Die vraag wilde ik stellenen heb ik dan bij dezen gesteld. Daar zit voor mij namelijkwel de pijn. Hoe onafhankelijk ben je dan nog? Dat wil ikheel graag weten. Dat wil ik graag horen van de staatsse-cretaris in dit debat, net als de reactie op het amendementvan de heer Segers. Ik moet zeggen dat de wipwap wel watmeer doorslaat naar de ene kant dan naar de andere kant,maar ik wil graag eerst een duidelijk antwoord.


Ik denk dat het antwoord van de staatssecretaris zal zijn: ja,dat kan ik. Dat kunnen we voorspellen. Zit er niet een watmeer principiële kant aan? Bij heel veel toezichthouders —het is nu eenmaal niet anders geregeld — liggen normstel-ling en handhaving in één hand. Dat zie je ook bij de Auto-riteit Financiële Markten en nog een paar van die instellin-gen. Zou het niet logisch zijn om die lijn consistent door tetrekken?


Ja, maar toch wil ik het debat openhouden. Daarvoor voerenwe een debat met elkaar. Daarin wil ik vragen kunnen stellenaan de staatssecretaris en daarop wil ik gewoon antwoordkrijgen. Aan de hand daarvan en met de visie van mijnfractie erachter, zullen wij daar in tweede termijn zeker opterugkomen. In eerste termijn ga ik echter nog niet zeggennaar welke kant de wipwap doorslaat, juist om het debatop een open manier te kunnen blijven voeren.


Als onafhankelijkheid belangrijk is, dan hebben we maartwee smaken: of je bent onafhankelijk, of je bent het niet.Als je die onafhankelijkheid echt in de wet wilt onderstre-pen, is het natuurlijk wel de vraag of je die ministeriëleregeling niet moet doorknippen.


Er zijn ook kanttekeningen gemaakt in de trant van "stop jeop een gegeven moment niet te veel macht bij een partij?"Daar heb ik gewoon vragen over. Volgens mij zijn daar meervragen over gesteld. Ik ben echt oprecht benieuwd naar hetantwoord daarop. Voor mij blijft het een afweging. Watweegt op een gegeven moment zwaarder? Is dat echt dieonafhankelijke positie — wij zijn daar heel erg mee bezigook bij andere toezichthouders — of moet het toch toezichtop de toezichthouder worden, of hoe je het dan ook noemt?Je hebt al Train de Trainer. Dan heb je vast ook wel iets als"wie let er op de opletter?" Ik snap het amendement van deheer Segers dus. Ik sta daar heel sympathiek tegenover,maar ik wil toch graag de beantwoording van de staatsse-

51-9-18

5 februari 2015


cretaris afwachten voordat ik zeg welke weg mijn fractiekiest.

De voorzitter:Mijnheer Segers, ik geloof niet dat er op dit moment eenbeslissing komt, maar wellicht hebt u toch een vervolg-vraag.


Nee, ik heb geen vervolgvraag, maar ik wil wel graag hetbelang dat de PvdA-fractie hecht aan die onafhankelijkepositie, markeren. Het is van belang dat het CBP echt in depositie is om volwaardig toezicht te kunnen uitoefenen, ookop de ministeries waar we het over hebben. Dat markeerik even en in de tweede termijn gaan we daar verder overin debat.


Daarom gaf ik ook dat sprekende voorbeeld van ANPR. Datgaat mij erg aan het hart.

De voorzitter:Vervolgt u uw betoog, mevrouw Oosenbrug.


Ik kom op de Europese regelgeving voor privacy. Wij vindendat deze wetgeving lang genoeg op zich heeft laten wachtenen wij waarderen de keuze van het kabinet om niet tewachten op deze traag vorderende Europese regels. DePvdA is van mening dat we met dit wetsvoorstel een stapvooruit zetten in de bescherming van persoonsgegevens.

De voorzitter:Daarmee is een einde gekomen aan de eerste termijn vande Kamer.

De vergadering wordt van 18.12 uur tot 19.13 uur geschorst.

Staatssecretaris Teeven:

Voorzitter. De bescherming van persoonsgegevens is eenbelangrijk onderwerp dat iedereen nauw aan het hart gaat.Dat geldt zeker ook voor de overheid. De leden hebben daarin eerste termijn uitgebreid aandacht aan besteed. Er is eenaantal voorbeelden genoemd die heel treffend waren.Iedereen kent natuurlijk de casus van het VU medisch cen-trum in Amsterdam van ongeveer anderhalf jaar geleden,maar er is ook een aantal andere casussen genoemd. Zoheeft de heer Oskam gesproken over de casus in Amerikamet 40 miljoen creditcards. Dat was natuurlijk ook een heelbijzondere casus.

Het kabinet doet het voorstel om de Wet bescherming per-soonsgegevens meer op de Europese leest te schoeien entoe te groeien naar het systeem van de Europese verorde-ning die op dit moment in voorbereiding is. We hebbendaar zo'n anderhalf tot twee jaar geleden al een keer vangedachten over gewisseld. De heer Schouw van D66 vroegtoen: je kunt wel de hele tijd wachten op die EU-verorde-

ning, maar moet je dat gat dat op nationaal niveau bestaatniet dichten? Ook de heer Van Nispen heeft daar toen vra-gen over gesteld. Ik heb destijds gezegd dat ik eigenlijk opdie EU-verordening wilde wachten, omdat het mijn verwach-ting was dat die verordening begin 2015 kon worden afge-rond.

Wat dat betreft, moet ik zeggen dat het goed is dat wevandaag wel bezig zijn met de nationale wetgeving. Wemoeten er natuurlijk wel voor oppassen dat er geen natio-nale koppen op komen. Daar heeft de heer Van Wijngaardenook aandacht voor gevraagd. Tegelijkertijd moet ik vaststel-len dat ik na de informele Raad in Letland van vorige weekniet zo optimistisch ben over het tijdschema van de veror-dening. Die zal niet in 2015 en misschien zelfs niet tijdenshet Nederlandse voorzitterschap in de eerste helft van 2016kunnen worden afgerond. Die verordening zou weleens pasin de tweede helft van 2016 dan wel tijdens de eerste helftvan 2017 onder Maltees voorzitterschap kunnen wordenafgerond. Dat heeft onder meer te maken met bijvoorbeeldde moeilijke vraag onder welk beschermingsregime depolitiegegevens vallen.

Ik zal na wat algemene opmerkingen eerst de amendemen-ten van de leden behandelen. Normaal doe je het andersom,door eerst de vragen en dan de amendementen te behan-delen, maar bij de behandeling van de amendementen kanik al heel veel vragen beantwoorden die bij de leden leven.Daarna kom ik bij de vragen, waar heel serieuze bij zitten,ook over afzonderlijke zaken die wat aandacht verdienen.

We hebben over dit onderwerp van de gegevensbescher-ming ook de afgelopen week gesproken tijdens de informeleJBZ-raad. Ook daar kwamen de twee hoofdonderwerpenvan dit wetsvoorstel aan de orde, namelijk een algemenemeldplicht voor datalekken en een uitbreiding van debevoegdheden van nationale toezichthouders, in dit gevalhet College bescherming persoonsgegevens, om bij over-treding van de wet een bestuurlijke boete op te leggen.

De heer Schouw heeft een opmerking gemaakt over denaamgeving van het College bescherming persoonsgege-vens. Die naam wordt in dit wetsvoorstel in een klein artikelgewijzigd. Ik heb daarover veel gesproken met de voorzittervan het college. We hebben daar echt wel even aandachtaan besteed. Het is na zeer lang beraad dat ook het Collegebescherming persoonsgegevens een voorkeur heeft voorde naamgeving Autoriteit persoonsgegevens. Er is ook alwat voorwerk gedaan in dit opzicht, dus het lijkt me nu nietverstandig om weer een andere naam te kiezen. Ik heb ditook nog even afgetast naar aanleiding van de opmerkingvan de heer Schouw en zijn voorstel om een andere naamte kiezen. Ik dacht "what's in a name", maar dat ligt tochecht iets ingewikkelder. Dus ook de voorzitter van het col-lege is daar geen groot voorstander van.

De voorzitter:De heer Schouw op dit punt. Alweer? Sorry, het knopjestaat uit.


Als het maar geen opzet is, voorzitter!

Even om mijn onafhankelijkheid te bewijzen, ik vind het fijndat er een mededeling komt dat de voorzitter van het col-

51-9-19

5 februari 2015


lege dat van mening is, maar dat vindt de fractie van D66op zichzelf geen overtuigend argument. Dus ik vraag destaatssecretaris toch om daar wat inhoudelijker op in tegaan. Ik denk namelijk dat ik een parallelliteit zag met denaamgeving in Europa.


Dat heb ik gehoord. Er zijn dus praktische voorbereidingendie al een tijdje lopen op grond waarvan je zou moetenzeggen dat je het niet moet doen, maar ik zal zo dadelijk opde wat meer principiële vraag van de heer Schouw ingaan.Ik dacht het even zo te kunnen oplossen, maar dat is iets tesnel.

De voorzitter:Een tussenopmerking. Er is naar gekeken. Het blijkt statisti-citeit te zijn, dus gebruik het voetpedaal, is het advies vande technische dienst.


De staatssecretaris noemde praktische dingen. Betekentdat dat de letters er al zijn, dus dat de Kamer eigenlijk geenkeuze meer heeft? Moet ik dat zo zien?


Nee, zeker niet. De Kamer heeft natuurlijk altijd een keuze,maar bij een onderwerp als dit kan ik me voorstellen dathet college daar wel over nadenkt en misschien ook watvoorbereidingen treft. Je kunt natuurlijk altijd een anderekeus maken in het wetgevingstraject. What's in a name,maar daar hangt soms wel wat aan vast. Ik zal straks op deprincipiële kant ingaan.

Ik kom tot een algemene opmerking over de meldplichtdatalekken. Verschillende woordvoerders hebben gevraagdwaarom er een nota van wijziging is ingediend nadat hetwetsvoorstel al was ingediend. Ik heb in het schriftelijkverslag moeten constateren dat verschillende fracties kri-tisch waren over het oorspronkelijke wetsvoorstel. Ik noemeven wat punten van kritiek die terugkomen in het verslag.Men vond de begrippen vaag en algemeen. Zo haalden opdit punt een aantal fracties ook de kritiek van de Afdelingadvisering van de Raad van State aan, die erop wees dathet een meldplicht betreft door straffen te handhaven. Bijde meldplicht voor datalekken laat dit kabinet zich in iedergeval leiden door een risicogerichte benadering. Nieuweverplichtingen als deze moeten een reëel doel dienen engeen onnodige administratieve en toezichtslasten genere-ren.

De nieuwe verplichtingen moeten het Cbp ook in staatstellen om waar nodig op te treden en moeten de burgersin de gelegenheid stellen zo snel mogelijk maatregelen tenemen in het geval van een belangrijk datalek. Daarom ishet ook belangrijk dat in zekere mate van een drempel wordtingebouwd om de meldplicht ook echt effectief te laten zijn.Het voorstel legt de grens bij incidenten die daadwerkelijkernstige nadelige gevolgen hebben voor de beschermingvan de persoonlijke levenssfeer. Die grens is natuurlijk nietin beton gegoten; laat dat helder zijn. Ik heb in eerste termijngoed geluisterd. Ik constateer dat bij een aantal fracties de

wens leeft om die grens enigszins te verruimen. Ik zal daarbij de bespreking van de amendementen op terugkomen.

Ik kom op de boetebevoegdheid. Bij de uitbreiding van debevoegdheid van onze nationale autoriteit om overtredingente bestraffen met forste boetes, staat het kabinet niet alleenvoor een toezichthouder met tanden. Die formulering isvanavond al een aantal keren langsgekomen in het kadervan de verschillende uitdrukkingsvormen van honden. Ookis er een systeem waarin van de verantwoordelijke geenonmogelijke inspanning kan worden verwacht om uit tepuzzelen of hij zij wel of niet aan de wet voldoet. Zoals ookuit de evaluatie van de Wet bescherming persoonsgegevensis gebleken, is de Wbp voor de praktijk een heel lastige wet,met algemeen geformuleerde normen, ook wel "open nor-men" of "vage normen" genoemd.

Dat levert ook spanning op met het rechtszekerheidsbegin-sel, zoals dat in artikel 16 van de Grondwet is vervat maarook in artikel 7 van het EVRM en artikel 15 van het Interna-tionaal Verdrag inzake burgerrechten en politieke rechten.Onder anderen de heer Van Wijngaarden heeft daar aan-dacht voor gevraagd. De Raad van State heeft dit ookgeconstateerd. Om die spanning weg te nemen, heeft hetkabinet gemeend dat de checks-and-balances moetenworden verstevigd. Daarbij spelen twee "nieuwe" aanvul-lende instrumenten een rol, namelijk de bindende aanwij-zing als in beginsel — ik zeg er altijd nadrukkelijk bij "als inbeginsel" — een tussenstap voor het opleggen van eenbestuurlijke boete en de ministeriële goedkeuring van doorhet college op te stellen richtsnoeren waarin het de normenuitlegt en interpreteert en waarvan overtreding met eenbestuurlijke boete kan worden bestraft. Het gaat hierbij ominstrumenten waartoe de Raad van State heeft geadviseerd.Daarbij is nadrukkelijk benadrukt dat het om een grondwet-telijke aangelegenheid gaat, waarin de wetgever een bijzon-dere verantwoordelijkheid draagt. Ik denk dat we met deamendementen wel een oplossing hebben. Ik kom zo directtot de bespreking van de amendementen. Ik denk dat weer wel uitkomen. Ik denk ook dat we de grondwettelijkeinsteek van de Raad van State ook wel voldoende kunnenstutten.

Ik sta overigens niet afwijzend tegenover een iets andereinvulling van het instrumentarium — dat zullen de ledenook merken — indien de Kamer dat in meerderheid mochtwensen, zolang maar wordt voldaan aan het rechtszeker-heidsbeginsel. Er zijn op dit punt een aantal amendementeningediend. Ik wil die amendementen nu bespreken, omdatwe bij de bespreking van die amendementen al een grootaantal vragen kunnen beantwoorden. Ik houd daarbij devolgorde van de nummering aan.

Allereerst kom ik op het amendement op stuk nr. 13 van deheren Segers en Schouw. Dat amendement regelt dat hetvoorgestelde artikel 67 van de Wet bescherming persoons-gegevens inzake de goedkeuring van richtsnoeren zoukomen te vervallen. Ik constateer dat in de visie van deindieners de Europese onafhankelijkheidseis voor de toe-zichthouder in de weg zou staan van de ministeriële goed-keuring van de richtsnoeren van de toezichthouder, waar-mee deze uitleg geeft aan de materiële normen van de wetwaarvan overtreding door diezelfde toezichthouder meteen bestuurlijke boete kan worden bestraft. Ik denk dat hethierbij echt gaat om de checks-and-balances. Het is heelbelangrijk om te constateren, dat de normstelling en de

51-9-20

5 februari 2015


bestraffing als gevolg daarvan in belangrijke mate in éénhand komen te liggen. Je kunt vragen zetten bij de wense-lijkheid hiervan.

Dat ook de ministers onder het toezicht van het Collegebescherming persoonsgegevens vallen, is op zichzelf eenterechte constatering van de indieners, maar een formeelbeletsel is het niet. De ministers mogen zich namelijk nietbemoeien met de taakuitoefening door het Collegebescherming persoonsgegevens. Dat verandert ook doorhet wetsvoorstel niet. Ik denk dat het in dit concrete gevalwel mogelijk is om een andere invulling te geven aan ditgeheel, in de zin dat wij niet kiezen voor de ministeriëlegoedkeuring sec, maar dat wij een en ander op een anderemanier invulling geven. Ik zou daartoe eigenlijk het vol-gende willen voorstellen, geconstateerd hebbende dat inde Kamer bezwaren leven tegen het vereiste van de minis-teriële goedkeuring. Ook bij het College bescherming per-soonsgegevens leven daartegen bezwaren. Laten wij naaralternatieven kijken, in de trant van: hoe kunnen wij het dananders oplossen met dit amendement? Dan denk ik dat zoukunnen worden volstaan met de verplichting voor het Col-lege bescherming persoonsgegevens om, voorafgaand aande vaststelling van beleidsregels, in overleg te treden metde ministers van Binnenlandse Zaken en van Veiligheid enJustitie.

Daarmee is de onafhankelijkheid van het college gegaran-deerd, want het college stelt zelf de beleidsregels vast,zonder dat daarvoor goedkeuring is vereist. Er is wel sprakevan systeemverantwoordelijkheid van de ministeries. Deheer Van Wijngaarden zei dat je als systeemverantwoorde-lijke ook naar de toezichthouder moet kijken. Hij noemdedat "bewaking" van de toezichthouder. Ik zou het de sys-teemverantwoordelijkheid van de departementen noemen.De betrokkenheid van de beide ministeries is gegarandeerddoor het overleg in het voortraject. In de afgelopen vier jaardat ik heb mogen werken met de voorzitter en het bestuurvan het College bescherming persoonsgegevens is datoverleg altijd op een goede wijze verlopen. Ik heb geenenkele aanleiding om te denken dat wij op deze wijze — alshet amendement in deze zin zou kunnen worden gewijzigd— geen recht zouden kunnen doen aan de betrokkenen. Wijkunnen dan recht doen aan wat de indieners, de herenSchouw en Segers, hebben beoogd en wij kunnen rechtdoen aan de systeemverantwoordelijkheid die er bij beidedepartementen voor het college bestaat. Ik doe dus hetvoorstel aan de indieners om het amendement in deze zinte wijzigen. Dan laat ik uiteraard het oordeel aan de Kamer,maar dan sta ik er zeer positief tegenover.


De staatssecretaris zegt terecht dat de vaststelling van debeleidsregels een verantwoordelijkheid is en blijft van hetcollege. Dat was inderdaad het oogmerk. Als wij elkaar zonaderen, denk ik dat het goed werkbaar is. Wij zullen hetamendement in die zin aanpassen.


Dan kom ik op het amendement-Van Wijngaarden c.s. opstuk nr. 14. De zorgen van de indieners betreffen het onderde meldplicht houden van adequaat versleutelde persoons-gegevens. Waar praten wij over? Het gaat om e-mailberich-ten en creditcard- en bankgegevens. De heer Van Wijngaar-

den zei het al, maar ook anderen hebben het genoemd. Ikdacht dat ook mevrouw Helder daar aandacht aan heeftbesteed. De heer Oskam noemde een voorbeeld van water in de Verenigde Staten heeft plaatsgevonden. In de toe-lichting op het amendement wordt gesproken van situatieswaarin ontsleuteling een reële dreiging vormt. In dat gevalzijn er risico's voor de persoonlijke levenssfeer van degetroffen personen. De beperking tot een reële dreiginglijkt mij van belang. Van het college kan immers niet wordenverlangd dat het toekomstige technologische ontwikkelingenkan voorspellen. Dat lijkt een stap te ver. Mocht er een reëledreiging zijn, dan is het wel goed dat het college een mel-ding aan de getroffen personen kan afdwingen om hen tewaarschuwen en te informeren over de nadeelbeperkendemaatregelen. Dat is de bevoegdheid die is opgenomen inartikel 34a onder lid 7. Daarvoor is het nodig dat er eersteen melding aan het college wordt gedaan. Ik sta positieftegenover dit amendement en laat het oordeel erover graagaan de Kamer over.

Ik kom bij het amendement op stuk nr. 16, ingediend doorde heer Van Wijngaarden en mevrouw Oosenbrug. Overdit amendement heeft de Kamer in de eerste termijn veelgediscussieerd. In het amendement worden in feite tweedingen geregeld. Ten eerste wordt geregeld dat het Collegebescherming persoonsgegevens geen bindende aanwijzinghoeft te geven aan de overtreder voor de overtredingenwaarvoor de zwaarste boete kan worden opgelegd, nietalleen indien de overtreding opzettelijk dan wel voorwaar-delijk opzettelijk is begaan, maar ook indien de overtredinghet gevolg is van ernstig verwijtbare nalatigheid. Tentweede wordt in het amendement een vereenvoudigingvan de handhaving geregeld, omdat ook het niet-nakomenvan een bindende aanwijzing zelfstandig beboetbaar wordtgesteld. Eerder heb ik al aangegeven dat ik de uitzonderingop de verplichting om eerst een bindende aanwijzing tegeven juist heb opgenomen met het oog op de rechtszeker-heid en de slagvaardigheid van het College beschermingpersoonsgegevens. Zo nodig kan dus meteen een rodekaart — mevrouw Helder sprak daar bij interruptie over —worden getrokken. Dat zit ook in het amendement op stuknr. 16. Die rode kaart moet meteen kunnen worden getrok-ken, om de slagvaardigheid van het College beschermingpersoonsgegevens niet onnodig te belemmeren.

Het lijkt mij belangrijk om te constateren dat er sprake isvan een versterking — zo lees ik het amendement althans— van het lik-op-stukkarakter in de situaties van ernstigverwijtbare nalatigheid die hier worden genoemd. Danpraten wij over iets grofs, iets aanzienlijk onzorgvuldigs,iets onachtzaams, dan wel over onoordeelkundig handelen.Dat sluit aan bij de benadering die ik in het wetsvoorstelhad voorzien. Ik sta derhalve positief tegenover het amen-dement op stuk nr. 16. Het oordeel over dit amendementlaat ik aan de Kamer.

In het amendement op stuk nr. 17, ingediend door de heerOskam, wordt iets soortgelijks geregeld als in het eerstedeel van het amendement op stuk nr. 16: de uitzonderingvoor het geven van een bindende aanwijzing voor hetopzettelijk begaan van een overtreding wordt aangevuldmet de bevoegdheid van het College om de bindende aan-wijzing ook in het geval van opzet achterwege te laten,indien het College dit redelijk acht. Ik denk dat dit overbodigis, omdat het amendement op stuk nr. 16 in combinatie methet oorspronkelijke wetsvoorstel dit al mogelijk maakt. Vanbelang vind ik wat de indiener van het amendement heeft

51-9-21

5 februari 2015


gezegd over "opzet". Vanavond viel in deze zaal de term"willens en wetens". In dat geval is er sprake van volledigeopzet. Als wij in het kader van deze wetgeving spreken over"opzet", praten wij echter ook over de situatie die in hetstrafrecht is omschreven als "voorwaardelijke opzet",waarbij een overtreder redelijkerwijze wist of had kunnenvermoeden, of de aanmerkelijke kans had kunnen aanvaar-den, dat door zijn handelen of nalaten ernstige nadeligegevolgen hadden kunnen plaatsvinden. Die omschrijving,die norm zit ook begrepen in het wetsvoorstel. Dat is brederdan wat ik sommige leden heb horen zeggen over "willensen wetens". Daar heeft de indiener van het amendementop stuk nr. 17 een punt. Ik meen dat de heer Oskam ook zeidat dit eronder moet vallen. Nu, dit valt eronder. Zo moetenwij de wet ook uitleggen.


Dat moet er zeker onder vallen. Het amendement is inge-diend omdat er veel discussie was over wat het CBP moetdoen, wat het kan doen en wat de mogelijkheden zijn.Vandaar dat wij hebben gezegd dat wij moeten kijken naarde redelijkheid en moeten kiezen voor de overall-toets opbasis waarvan wij alles afwegen. De staatssecretaris heefteen en ander nu uitgelegd. Ik snap zijn conclusie dat hetamendement overbodig is, maar wij willen toch nog eensbenadrukken wat wij bedoelen, omdat daar zo veel discussieover was.


Ik ben blij met de uitleg van de heer Oskam. Het vierde lidvan artikel 66 bevat ook een uitzondering op de verplichtetussenstap van de bindende aanwijzing. Daarmee is overi-gens niet gezegd dat de bevoegdheid niet meer zou bestaan;daarmee is alleen gezegd dat de verplichting vervalt. Hetcollege kan daar dus nog steeds voor kiezen. Ook als wel-licht te bewijzen valt dat er sprake is van voorwaardelijkeopzet en een directe boete tot de mogelijkheden behoort,kan het College bescherming persoonsgegevens ervoorkiezen om met een bindende aanwijzing te werken. Hetcollege kan daarbij een termijn stellen waarbinnen deovertreding moet worden beëindigd. Als de aanwijzingwordt opgevolgd, is de boete niet meer nodig.

Ik moet misschien nog wel iets zeggen over een anderesuggestie die door de indiener is gedaan. Die had betrekkingop iets wat we in het strafrecht kennen, het opleggen vaneen voorwaardelijke boete. Stel iemand meldt een datalek,maar heeft zelf al allerlei maatregelen genomen om het lekte beëindigen. Om te voorkomen dat het lek nog een keervoorkomt, leg je dan een boete op met een proeftijd vaneen aantal jaren. Ik moet zeggen dat de Algemene wetbestuursrecht zich daartegen verzet. Ik verwijs uw Kamerdaarvoor naar de behandeling van de vierde tranche vande Algemene wet bestuursrecht, de Handelingen 2003-2004,pagina 133 en 134, waarin nadrukkelijk is opgenomen dateen voorwaardelijke boete zich niet verdraagt met het stelselvan het bestuursrecht. Een voorwaardelijke boete behoortniet tot de mogelijkheden. De heer Oskam noemde het zelfook al. Toen hij met dat op zich sympathieke argumentkwam, zei hij: misschien kun je dat ook op een andere wijzeondervangen. Ik wist dat ook niet uit mijn hoofd, maar benerop gewezen dat dit in de vierde tranche van de Algemenewet bestuursrecht is uitgezonderd. Maar de last onderdwangsom is natuurlijk in feite een instrument dat je op

deze wijze ook zou kunnen gebruiken. Dat kan dezelfdeuitwerking hebben als het opleggen van een voorwaarde-lijke boete. Daar wil ik nog wel op wijzen.

De voorzitter:Ik heb nog een klein formeel puntje. U hebt het amende-ment op stuk nr. 17 nog niet van een kwalificatie voorzien.


Ik heb uitgelegd dat het amendement op stuk nr. 16 eenaantal zaken al regelt, in combinatie met het wetsvoorstel.Ik denk dat het amendement op stuk nr. 17 overbodig is indit geval. Ik heb geprobeerd dat toe te lichten.

Dan kom ik op het amendement op stuk nr. 18, ingedienddoor de heer Schouw c.s. In dat amendement wordt gere-geld dat het bereik van de meldplicht wordt verruimd doorincidenten die leiden tot een aanmerkelijke kans op ernstigenadelige gevolgen eveneens onder het bereik van demeldplicht te brengen. De protocolplicht blijft overigensbeperkt tot de aan het college gemelde lekken. Dat moetenwe nadrukkelijk zien. Ik zie dit amendement als een verrui-ming en als een stimulans om bij incidenten met potentieelernstige nadelige gevolgen voor de bescherming van per-soonsgegevens de toezichthouder daarvan in kennis testellen. Mocht nadien blijken dat het loos alarm was, watuiteraard kan voorkomen, dan kan die melding altijd ach-teraf worden ingetrokken. Wat wel belangrijk is, is dat diemeldplicht ook in verruimde vorm enige clausulering bevat,zodat niet elk potentieel datalek, klein en groot, gemeldgaat worden. Dat is gezien de bredere reikwijdte van deWet bescherming persoonsgegevens ook niet de bedoeling.Ik sta positief tegenover dit amendement en ik laat hetoordeel over dit amendement graag over aan uw Kamer.

Ik kom op het amendement op stuk nr. 19 van de ledenSchouw en Segers. Over dit amendement hebben de ledenin eerste termijn uitgebreid gesproken. Eigenlijk regelt ookdit amendement twee dingen, maar dan in een net ietsandere vorm. Het amendement regelt dat het college nietgebonden is aan enigerlei wettelijke verplichting om voor-afgaand aan het opleggen van een bestuurlijke boete vande zwaarste categorie een bindende aanwijzing te geven.Het CBP is bevoegd om een bindende aanwijzing te gevenen kan daarbij een termijn stellen. Daarnaast regelt hetamendement, net als het amendement op stuk nr. 16, eenvereenvoudiging van de handhaving door het CBP, omdatook niet-nakoming van een bindende aanwijzing zelfstandigbestuurlijk beboetbaar wordt gesteld.

Wat dit amendement doet, is een discretionaire bevoegd-heid toedelen aan het college om voorafgaand aan hetopleggen van een bestuurlijke boete een bindende aanwij-zing op te leggen. Er is dus geen sprake meer van een ver-plichting in bepaalde gevallen. Die bindende aanwijzing isnatuurlijk een normconcretiserend besluit, waarin het col-lege in een individueel geval nog eens precies uitlegt watde normen van de Wet bescherming persoonsgegevensbetekenen. Die normconcretisering is, denk ik, vanuit hetperspectief van bedrijven en organisaties belangrijk. Ik bendat eens met degenen die daar opmerkingen over hebbengemaakt. In tal van situaties kan er discussie ontstaan overde vraag hoe de normen van de Wet bescherming persoons-gegevens precies moeten worden uitgelegd. Dat hangt ook

51-9-22

5 februari 2015


samen met het algemene en abstracte karakter van denormen. Dat is al bij de evaluatie van de Wet beschermingpersoonsgegevens in 2009 geconstateerd.

Het is van belang dat de burger — velen hebben datgenoemd in het kader van de rechtszekerheid — in eenaantal gevallen nadere duidelijkheid krijgt alvorens met eenzeer forse boete te worden geconfronteerd. Dat weegt bijbestuurlijke bestraffing extra zwaar naar het oordeel vanhet kabinet, zeker als normhandhaving en bestraffing inéén hand zijn. Als die extra duidelijkheid niet nodig is omdateen verantwoordelijke heel goed weet wat er van hem wordtverwacht, dan is de bindende aanwijzing niet nodig. Daaromis in artikel 66, lid 4, het opzettelijk handelen, inclusiefvoorwaardelijke opzet, meegenomen. Als het amendementop stuk nr. 16 wordt aangenomen, geldt dit ook voor heternstig nalatig handelen. In de optiek van de regering is hetecht de verantwoordelijkheid van de wetgever in formelezin om die afweging te maken en niet die van de onafhan-kelijke toezichthouder middels een beleidsregel. Tegen devereenvoudiging van de handhaving, het tweede onderdeelvan het amendement, bestaat uiteraard geen bezwaar. Hettweede deel is ook geregeld in het amendement op stuknr. 16, maar het eerste gedeelte van het amendement vande heren Schouw en Segers moet ik ontraden.

Ik kom nu toe aan de beantwoording van de vragen. Deheer Schouw sprak over een evaluatie binnen vijf jaar nainwerkingtreding. De evaluatie moet zich op een aantaldingen richten. Ik noem de naleving van de meldplicht, detoepassing van het college van de boetebevoegdheid in depraktijk, de uitwerking op de bescherming, de hanteerbaar-heid van de administratieve lasten en de nalevingskostenvoor de bedrijven en organisaties die ermee te maken krij-gen. Het wetsvoorstel zelf bevat in artikel IVa een evaluatie-plicht die inhoudt dat er een evaluatie moet worden uitge-voerd op de meldplicht datalekken en de boetebevoegdheidbinnen één jaar na het van toepassing worden van dekomende EU-verordening. Tussen het van kracht wordenen van toepassing worden van de verordening zit naar deinschatting van het kabinet een implematietermijn vanongeveer twee jaar. De gedacht achter de evaluatieplichtin het wetsvoorstel is dat wij lering kunnen trekken uit denationale ervaringen met de meldplicht en de verruimdeboetebevoegdheid ten behoeve van het toezicht en dehandhaving door het CBP. De heer Schouw was nog nietin de zaal toen ik het eerder zei en daarom herhaal ik datde vaststelling en inwerkingtreding van de verordeningzeker niet voor 2016 wordt verwacht, gelet op een aantalonderwerpen die op dit moment in discussie zijn binneneen aantal lidstaten en het Europees Parlement. In hetallergunstigste geval zou een evaluatie eind 2016 kunnenplaatsvinden of anders in 2017.


Ik begrijp dat wij pas goed kunnen evalueren nadat deEuropese verordening in werking is getreden. Dan kunnenwij de wetswijziging vergelijken met wat in de Europeseverordening wordt geregeld. Het valt een beetje tegen quaonderhandelingsproces. Het gaat nog wel even duren. Ishet dan niet goed om toch zelf een termijn van een aantaljaar te kiezen, zoals wij dat ook bij andere wetten doen enhet niet af te laten hangen van enkel het in werking tredenvan die verordening? Het is interessant om te weten hoedeze wet gaat uitpakken. Ik heb daar specifiek naar gevraagdmet het oog op de capaciteit van het CBP.


Het is een beetje onzeker. Aanvankelijk dacht ik dat het snelzou gaan met die verordening, maar na de laatste informeleraad in Letland en gezien het standpunt van de Commissieen het Europees Parlement aan de ene kant en het stand-punt van de overgrote meerderheid van de lidstaten aande andere kant, verwacht ik dat er nog een aantal hardenoten te kraken zijn in 2015. Daarom denk ik dat het goedis om te zeggen dat we deze wet binnen vijf jaar zoudenmoeten evalueren als hij in 2015 in werking zou treden. Ikga er daarbij dus even van uit dat de wet nog dit jaar inwerking zou treden. Die evaluatie binnen vijf jaar zou dandus sowieso moeten gebeuren, los van wat er in Europagebeurt, omdat het volgens mij wel belangrijk is om tebekijken waar de omissies en de problemen zitten. Ik denkdat de heer Schouw en de heer Van Nispen hierin wel gelijkhebben: ook los van de verordening zou je moeten bezienhoe dit op nationaal niveau uitwerkt. Wat kunnen we ervanleren? Dat zal natuurlijk veelvuldig gebeuren in het regulieroverleg dat ik met de voorzitter van het College bescher-ming persoonsgegevens heb. Dat zullen wij ook tussentijdsbezien, maar ik zal de Kamer daarover ook rapporteren.Wat is de uitwerking? Hoeveel meldingen in het kader vande meldplicht datalekken zijn er? Volgens mij is het goedom dat ook te registreren. Ik denk dat een totale evaluatiena vijf jaar een redelijke termijn is.

Ik kom op de reikwijdte van de meldplicht. In eersteinstantie sloot de tekst van het wetsvoorstel aan bij demeldplicht uit artikel 11.3a van de Telecommunicatiewet.Wat ik hierover ga zeggen, is misschien ook nog even eentoelichting bij het amendement op stuk nr. 19. Dit hoortdaar eigenlijk ook nog bij. In de Telecommunicatiewet wordter eigenlijk van uitgegaan dat in beginsel elk datalek moetworden gemeld, ongeacht de impact. Daarom ontbreekt inde Telecommunicatiewet ook het woord "ernstige". Daarbijmoet je je wel bedenken dat de meldplicht voor de Telecom-municatiewet uitsluitend geldt voor aanbieders van open-bare elektronische communicatiediensten, dus telecomaan-bieders. Het wetsvoorstel waarover wij nu spreken, ziet opiedereen die persoonsgegevens verwerkt. Dat kunnen par-ticulieren zijn, zzp'ers, plaatselijke sportclubs, kleinebedrijven, maar ook wereldwijd opererende multinationalsdie in Nederland zijn gevestigd. De reikwijdte van dezemeldplicht is dus vele malen groter dan de meldplicht vande Telecommunicatiewet. Zonder een nadere afbakeningzou de handhaving van deze meldplicht vrijwel onbeheers-baar worden. Vandaar dat in het wetsvoorstel, maar volgensmij ook in de amendementen, staat dat het moet gaan omdatalekken met ernstige gevolgen.

Laat ik eens een voorbeeld noemen. Een en ander betekentbijvoorbeeld dat het in beginsel niet hoeft te worden gemeldals de ledenlijst van de plaatselijke korfbalvereniging opstraat is komen te liggen, maar wel als derden zichonrechtmatig toegang hebben verschaft tot de patiëntgege-vens van een plaatselijk ziekenhuis. Dat voorbeeld is van-avond al langsgekomen. Waar zou je nou naar moeten kij-ken en wat zou je nou moeten meenemen bij de beoordelingof er sprake is van ernstige nadelige gevolgen? Volgensmij is het goed dat we dat bij deze wetsbehandeling aande orde hebben. Ik zou graag enige reflectie daarover horenvan de leden van de Kamer, hetzij in een interruptie, hetzijin de tweede termijn. Volgens het kabinet zou je daarbijkunnen denken aan de aard en de omvang van het datalek.Je zou kunnen denken aan de aard van de gelekte persoons-gegevens. Je zou ook kunnen denken aan de mate waarin

51-9-23

5 februari 2015


technische beschermingsmaatregelen zijn getroffen.Mevrouw Oosenbrug noemde een aantal voorbeelden uithaar oude werkkring. Zelfs als er patiëntgegevens vanslechts één huisarts op straat komen te liggen, kan er alsprake zijn van ernstige gevolgen. In zo'n geval gaat hetimmers dan wel niet om veel gegevens, maar wel om heelgevoelige gegevens. Dan is de omvang van het datalekweer niet van belang. Je moet dus ook nog een verschilmaken tussen enerzijds aard en omvang, en anderzijdsgevoeligheid. Dat kan op zich ook weer met elkaar cumule-ren, maar ook kunnen die zaken los van elkaar omstandig-heden zijn die je mee moet laten wegen.

Komt het ledenbestand van die plaatselijke korfbalvereni-ging op straat te liggen, dan zal er dus niet snel sprake zijnvan ernstige nadelige gevolgen, maar dat zou anders kun-nen zijn als het daarbij gaat om een ledenbestand waarinspecifiek is opgenomen wie van die leden betalingsachter-standen hebben. Dan zou een en ander weer anders kunnenliggen, want dat zijn weer meer gevoelige gegevens. Hetgaat naar mijn mening dus om de omstandigheden van hetgeval. Een aantal leden heeft gezegd: dat moeten we nuecht aan het college laten. Naar mijn mening bevatten hetwetsvoorstel en de amendementen die ik vanavond hebomarmd een werkbare, evenwichtige afbakening van demeldplicht. Ik zie op dit moment achter de rug van de heerSchouw, die bij de interruptiemicrofoon staat, de voorzittervan het college op de publieke tribune instemmend knikken.


Dit zou iets kunnen uitlokken, maar dat laat ik even. Destaatssecretaris vroeg om reflectie en hij noemde een paardingen. Ik houd hem ook even twee dingen voor die ik inmijn inbreng ook aan de orde heb gesteld. Ik doel op depositie hierbij van kwetsbare groepen, bijvoorbeeld vangehandicapten of jongeren. Telt een datalek waarbij hetover zulke groepen gaat volgens de staatssecretariszwaarder mee dan wanneer het gaat om mensen zoals hijen ik?


Het is goed dat de heer Schouw daarvoor aandacht vraagt.Er zijn mensen in de samenleving die zich niet kunnenbeschermen en daarom extra kwetsbaar zijn. Zij zijnafhankelijk van anderen die hen moeten beschermen. Inhet verleden zijn er ook gevallen geweest waarin onzorgvul-dig, ernstig nalatig en opzettelijk onzorgvuldig met hen isomgegaan. Zeker als het mensen betreft die zichzelf nietgoed kunnen beschermen, bijvoorbeeld omdat ze niet bijmachte of niet voldoende toerekeningsvatbaar zijn omerover na te denken, kan dat een omstandigheid zijn diemet zich brengt dat de gegevens extra gevoelig zijn tenopzichte van die van andere personen. In een individuelecasus kunnen de kring van te beschermen personen en degevoeligheid feitelijke omstandigheden zijn die van invloedzijn.


Dan nog een tweede punt. Ik heb het voorbeeld genoemdvan bedrijven en organisaties die als kerntaak hebben omgegevens te verwerken. Als die in de fout gaan, moet datdan zwaarder of anders tellen dan wanneer het bijvoorbeeldgaat om een groentehal, die een andere kernactiviteit heeft?


Ik denk dat iedereen met dit wetsvoorstel te maken kankrijgen. Voor degenen die belast zijn met de verwerkingvan gegevens mag een extra mate van zorgvuldigheidworden verwacht. Ik kan mij voorstellen dat bij herhaling— dat noemen we in het strafrecht recidive — ten aanzienvan die personen de gevoeligheid of in ieder geval de ver-wijtbaarheid eerder een rol kan gaan spelen.


Dat is heel mooi. Begrijp ik goed dat de voorbeelden diewe nu met elkaar bespreken, hun weerslag moeten zien tevinden in de richtlijnen?


Ik denk dat het college bij uitstek de autoriteit is in dezen.De heer Oskam zei het heel treffend: het is een maat voorhet opbouwen van jurisprudentie waardoor je na een peri-ode van vijf jaar inzicht krijgt in wat het college de normacht die gehandhaafd moet worden. Er zijn individuelecasussen mogelijk, bijvoorbeeld een huisarts of een kinder-dagverblijf, waarin op die wijze de jurisprudentie wordtgevormd. Dat is wel iets wat het college moet gaat doen.Dat is immers de toezichthouder die we daarvoor hebbenaangesteld.


De staatssecretaris geeft mooie voorbeelden, maar om hetscherp te krijgen heb ik nog even een ander voorbeeld. Steldat er geen daadwerkelijke schending van de privacyplaatsvindt. Er is een lek of een veiligheidsprobleem, maarde gegevens worden niet door derden ingezien en dat staatook vast. Kan die omstandigheid meewegen? Zou het CBPvoorzichtig moeten zijn om in dat soort gevallen een boeteop te leggen?


Hierover heb ik al iets gezegd bij de bespreking van hetamendement op stuk nr. 17. Ook mevrouw Oosenbrug heeftdaar iets over gezegd. Als iemand constateert dat er eenfout is gemaakt of als iemand constateert dat hij op onjuistewijze is omgegaan met gegevensbestanden, maar hij zelfal herstel heeft gepleegd, dan kan dat uiteraard eenomstandigheid zijn voor het college om te zeggen: dat leidtniet tot een bestraffing. Dat zou heel goed kunnen.


Dat is actief optreden. Stel dat er een fout is, een veiligheids-lek, waardoor gegevens op straat kunnen komen. Diegegevens zijn niet ingezien door derden. Het is bijvoorbeeldtijdig opgepakt door de politie of de gegevens zijn anders-zins kwijtgeraakt. In elk geval heeft niemand die gegevensgezien. Is dat een omstandigheid die in het voordeel vandie organisatie kan meewegen?


Ik denk daar even over mee. Het is belangrijk om dit metelkaar te duiden. Het is van belang of degene die betrokkenis bij het gegevenswerk, of hij zelf die fout ontdekt en her-stelt of dat los van de wil van de gegevensverzamelaar de

51-9-24

5 februari 2015


fout wordt hersteld door een derde. Dat is dan toch netweer iets anders. Dat zijn allemaal zaken die het college zalmoeten wegen. Daarvoor zal het de richtsnoeren en debeleidslijnen moeten opstellen. In de praktijk zal elke casusindividueel moeten worden beoordeeld.


De staatssecretaris vraagt om een reflectie op dit onder-werp: in welke casus wel en in welke niet? Dat geeft al aan,terwijl ik hier luister naar mijn collega's, hoe complex dematerie is. Wat is wel een privacyschending en wat niet?Het begint nu een beetje te zweven. Ik denk dat we weereven terug moeten naar de basis. Op het moment dat erbuiten jouw schuld om een hack wordt gepleegd en gege-vens worden gestolen, dan heb je die meldplicht. Daar zijnwe ontzettend blij mee. Het gaat mij persoonlijk te ver omvervolgens een boete op te leggen omdat iemand gehacktis. Diegene meldt het en heeft zijn systemen op orde. Weweten inmiddels: hoe goed je het systeem ook beschermt,there is always a bigger fish. Er wordt altijd gekeken of mentoch het systeem in kan. Waar leg je dan de grens? Ik zoutoch kijken of het bedrijf dat de gegevens moet verwerkener alles aan heeft gedaan om ervoor te zorgen dat die goedbeschermd zijn, via encryptie, een goede firewall of anderemogelijkheden, die ik niet op zal noemen. Of heeft mengedacht toen er extra geld te besteden was: we kopen eenmooi bureau voor de directeur en we laten het systeemnog even met touwtjes aan elkaar hangen? Ik denk dat diteerder de discussie is dan dat je het per casus gaat bekijken.Het gaat om de grondhouding bij het verwerken van per-soonsgegevens.


Ik dank mevrouw Oosenbrug voor de reflectie. Ik heb demate genoemd waarin technische beschermingsmaatrege-len zijn genomen. Dat is bij uitstek iets wat kan bijdragenaan het oordeel of er sprake is van ernstige nadeligegevolgen. Andere punten zijn de omvang van het datalek,de aard van de gelekte gegevens en vooral de gevoeligheiddaarvan. Ik denk dat wij er als wetgever in die vorm overmoeten spreken. Er zijn heel duidelijke voorbeelden voor-gelegd. Als je een gegevensbestand hebt van mensen diezichzelf niet kunnen beschermen, als je daar onzorgvuldigmee omgaat en als dat ernstige nadelige gevolgen heeft,dan kan dat een omstandigheid zijn die extra meeweegt,zoals de heer Schouw naar voren bracht. Dit is wel iets watuiteindelijk casuïstisch moet worden ingevuld, dat ben ikmet de heer Oskam en vele anderen eens.

De heer Bisschop heeft gevraagd of altijd duidelijk is wan-neer passende technische maatregelen zijn genomen. Dangaat het over versleuteling en encryptie. In artikel 34a, lid6, wordt de lat voor die passende technische maatregelenheel hoog gelegd. De verwerkte persoonsgegevens moetenonbegrijpelijk of ontoegankelijk zijn gemaakt voor derdendie geen recht hebben op kennisneming van die gegevens.Daar kan in de praktijk wel discussie over bestaan, wanteen adequate versleuteling is natuurlijk altijd afhankelijkvan de stand van de techniek en de ontwikkelingen diedaarin in de tijd kunnen plaatsvinden. Het CBP zal daar ookrichting en duiding aan moeten geven, door die richtsnoe-ren, maar volstrekte duidelijkheid kunnen we in de wet nietgeven, zeg ik tegen de heer Bisschop.

De heer Segers heeft nog gevraagd hoe die boete in anderelanden is geregeld. Hij vroeg ook om een doorkijkje naarde verordening die voorligt. We hebben daar geen uitvoe-rige studie naar gedaan bij het opstellen van het wetsvoor-stel. In 2012 heeft er een beperkt inventariserend onderzoekplaatsgevonden naar de sanctionering van schending vanprivacyvoorschriften in andere landen. Bestuurlijke boetekomt in andere landen veel voor, maar niet in alle 28 landenvan de Europese Unie. In de verordening is het instrumentvan de bestuurlijke boete een enorme vernieuwing, om dehandhaving van privacybescherming te versterken. Opgrond van de verordening die nu voorligt, die uiteraard nogniet is afgerond, kunnen zeer hoge boetes worden opgelegd.Er is in de JBZ-Raad nog geen algemene overeenstemmingover het hoofdstuk van de verordening waarin de sanctiesworden geregeld. Het is goed om vast te stellen dat daar-over nog onderhandelingen plaatsvinden. Dit hoofdstuk iswel geagendeerd door het Letse voorzitterschap en daarzal Luxemburg mee doorgaan. Ik denk dat het Nederlandsvoorzitterschap daar ook mee door zal moeten gaan.

De heer Van Nispen vroeg om het wetsvoorstel te vergelij-ken met de inhoud van de verordening. Ik heb daar al ietsover gezegd. Ik denk dat de tekst van het wetsvoorstel welruimte bevat om deze ook EU-conform te interpreteren. Datis eigenlijk ook het antwoord op de vraag van de heer VanWijngaarden over nationale koppen: nee, die komen er nietop.

Mevrouw Helder sprak over de meldplicht en wees eropdat de clausulering "tot ernstige nadelige gevolgen" wel inhet wetsvoorstel voorkomt, maar niet in de concepttekstenvan de Europese verordening. Dat heeft mevrouw Helderjuist gezien. In het oorspronkelijke Commissievoorstel vanjanuari 2012 zat nauwelijks enige clausulering. In Europais het denken echter ook voortgeschreden, niet in het minstonder de invloed van de nationale dataprotectietoezichthou-ders, die onder aanvoering van de Europese voorzitter opde trom hebben geslagen. Dat heeft ertoe geleid dat er nuin JBZ-verband wordt gewerkt aan een tekst waarin ookbeperkende elementen zitten. Niet precies op dezelfdemanier als in ons wetsvoorstel, langs iets andere lijnen,maar wel met dezelfde intentie om de plicht op reële priva-cyrisico's toe te spitsen en geen onnodige lasten op te leg-gen.

Mevrouw Oosenbrug heeft mij gevraagd naar de meestrecente ontwikkelingen. In Hoofdstuk VI van de verordening,waarin de meldplicht datalekken is opgenomen, is in okto-ber 2014 wel een algemene benadering vastgesteld. Demeldplicht is daarin toegespitst op beveiligingsincidentendie een hoog risico meebrengen op negatieve gevolgenvoor de fundamentele rechten en vrijheden van betrokke-nen.

De heer Van Nispen vroeg mij nog naar de infractieproce-dure. Eigenlijk is dat nu een beetje achterhaald. Met hetamendement dat ik zojuist heb omarmd, hebben we datrisico in feite afgewend. Kijkend naar de verordening moetik daarover wel opmerken dat de heer Van Nispen, de heerSchouw en anderen die daarover vragen hebben gesteld,wel een punt hadden. Ik merk daarbij op dat de Raad vanState, kijkend naar de thans vigerende richtlijn 95/46, heeftgezegd dat artikel 28 van die thans vigerende richtlijnministeriële goedkeuring mogelijk maakt. Ik heb dit ookgemeld in mijn brief aan de Kamer van 30 januari jongstle-

51-9-25

5 februari 2015


den. Ik moet het wel met het College bescherming persoons-gegevens eens zijn dat er risico's bestaan. ik denk dat wedie risico's met een wijziging van het amendement-Segers/Schouw hebben beperkt tot nul. Dat is de vaststel-ling die ik op dit moment kan doen.

De heer Van Wijngaarden stelde mij een vraag over hetpublicatiebeleid. Ik proefde bij hem enige kritiek op hetpublicatiebeleid van het College bescherming persoonsge-gevens. Ik heb daar zelf ook weleens wat kritiek op geuit.Ik zie de heer Van Wijngaarden naar de interruptiemicrofoonlopen; heb ik dat dus verkeerd geproefd?


Voordat de staatssecretaris op de veronderstelde kritiekingaat, wil ik een en ander corrigeren. Ik heb alleen gewezenop het potentiële effect, het risico op reputatieschade. Somsis dat gewoon onvermijdelijk, maar het vergt wel het nodigeom te voorkomen dat dit ontstaat. Ik wilde dat opgehelderdhebben.


Dan moet ik vaststellen dat ik alleen sta in die kritiek. Maarin antwoord op de vraag: de constatering dat de beleidsre-gels van het college over actieve openbaarmaking aanpas-sing behoeven, lijkt mij op zich juist. De bevoegdheid omdie beleidsregels vast te stellen, komt uiteraard aan het CBPzelf toe. Ik ben echter zeer bereid om aan het CBP te vragenof het college mij, voorafgaand aan de inwerkingtredingvan de wet, in de gelegenheid wil stellen om de Kamer teinformeren over de aangepaste beleidsregels op dit puntvan de publieke voorlichting. Ik weet zeker dat de voorzittervan het college dat ook wil.

De heer Van Nispen vroeg verder hoe hij een "inbreuk opbeveiliging" moet zien. Het enkele tekortschieten van debeveiliging of een kwetsbaarheid in de beveiliging is opzichzelf geen datalek, maar er kan wel sprake zijn van eenovertreding van de beveiligingsplicht die is opgenomen inartikel 13 van de Wet bescherming persoonsgegevens. Hetcollege is dan bevoegd tot de handhaving van de beveili-gingsplicht. Bij het recente voorval rond de energiemeterwas een journalist met persoonsgegevens van een anderbinnengekomen in het systeem waar de meetgegevenswaren opgeslagen. Die actie levert dan strikt genomen weleen datalek op. Die journalist heeft daarmee tegelijkertijdeen zwakke plek in de beveiliging blootgelegd. Dat is dezogenaamde responsible disclosure die dan plaatsvindt.

Mevrouw Helder heeft gevraagd — de heer Van Wijngaar-den en andere leden hebben dit ook gedaan — of het Col-lege bescherming persoonsgegevens voldoende expertiseop het technologisch vlak heeft. De snelle technologischeontwikkelingen roepen voortdurend nieuwe vragen op dieverband houden met de bescherming van persoonsgege-vens. Het gaat dan om de verbinding tussen recht en tech-nologie. Het vraagt ook om kennis op dat snijvlak van rechten technologie. Ik heb alle aanleiding om op dit momentte veronderstellen dat het college zich hiervan bewust isen dat er bereidheid bestaat om bij organisaties die meerknowhow hebben, zoals het Nationaal Cyber Security Cen-trum, expertise in te winnen. Anderzijds is er bij die organi-saties bereidheid om die bijstand te verlenen.

Mevrouw Oosenbrug vroeg mij op welke wijze gemeldelekken worden gebruikt om lessen uit te trekken en onvei-ligheid mee te bestrijden.


Ik kom nog even terug op dat vorige punt. Waaruit bestaatde bereidheid om expertise in te winnen?


Er is bereidheid bij het college om expertise in te winnenals het daarover geen beschikking heeft en er is bereidheidbij het Nationaal Cyber Security Centrum en andere organi-saties, onder meer bij de Nationale Recherche, om het col-lege te informeren over kennis en knowhow die aanwezigis. Er is dus wederzijds bereidheid om technologische kennisuit te wisselen als dit noodzakelijk is.


Ik hoor de staatssecretaris dus ook onderschrijven dat hijzich heel goed kan voorstellen dat die noodzakelijkheid eris.


Dat zou kunnen, maar het is uiteraard aan het college omdat te beoordelen. Ik heb wel geverifieerd of er bereidheidis om de expertise, die noodzakelijkerwijze moet wordeningeleend of verkregen, ook aan de andere zijde te verstrek-ken. Er zijn op dat punt geen belemmeringen.


Bereidheid is altijd mooi, maar is daartoe ook een mogelijk-heid? Ik weet niet hoe het werkt. Is er financiële ruimte ofmoet die nog gemaakt worden? Als die ruimte er is, is debereidheid voldoende. Ik wil dat toch nog graag even scherphoren.


Naar mijn mening zijn er ook structurele gelden bij geplustbij het College bescherming persoonsgegevens. De heerSchouw heeft dit twee jaar geleden nog geregeld. Ik hebgeen aanleiding om te veronderstellen dat het budget vanhet college niet voldoende is.


Van die andere organisaties ook niet? Ik doelde ook op hetNCSC.


Zeker. Het Nationaal Cyber Security Centrum heeft in debegroting ook een bepaald bedrag opgenomen. Er isabsoluut capaciteit, knowhow en kunde aanwezig om dekennis, indien noodzakelijk, met het college te delen.

Dan kom ik op de vraag van mevrouw Oosenbrug over delessen die kunnen worden getrokken. Het is de regulierewerkwijze van het college om signalen uit de samenlevingte monitoren. Signalen kunnen ook aanleiding zijn om hetbeleid van het college aan te passen. Dit kan ook het geval

51-9-26

5 februari 2015


zijn bij meldingen van datalekken. Als een bepaald soortlek heel vaak voorkomt, kan dat voor het college aanleidingzijn om er extra aandacht aan te besteden. Er kan ookinformatie worden uitgewisseld met andere autoriteiten,ook internationaal. Dit wetsvoorstel geeft het CBP ook debevoegdheid om afspraken te maken met andere toezicht-houders en om samenwerkingsprotocollen vast te stellen.Met de ACM is al een dergelijk samenwerkingsprotocolgesloten.

Op de werklasteffecten ben ik al ingegaan. De heer VanNispen heeft gevraagd waarom ik ervan uitga dat diesummier zullen zijn. Ik zal het meenemen in de wettelijkeevaluatie. Het is een goede zaak om dat ook tussentijds temonitoren. De werklast waarvan ik nu denk dat hij summieris, kan in de komende jaren aanzienlijk toenemen. Je kuntdat niet uitsluiten. Ik denk het niet, maar ik weet dat nietzeker. In het reguliere overleg dat wij halfjaarlijks met hetcollege hebben, zullen wij daarnaar kijken.

Ik zou nog ingaan op de naamswijziging. Daar heb ik in hetbegin van mijn termijn al even over gesproken. "Gegevens-bescherming" is principieel een veel ruimer begrip dan"persoonsgegevens". Het wetsvoorstel verandert naar mijnoordeel helemaal niets aan de taakopdracht van het college.Primair houdt het toezicht en blijft het toezicht houden opde bescherming van persoonsgegevens. In de verordeningwordt ook gesproken over toezichthouders op persoonsge-gevens. Ik hecht eraan om dat even te melden. Ik denk dusdat we aan die naamswijziging niets moeten veranderen.

De heer Segers heeft mij gevraagd wanneer de wet wordtgeëvalueerd. De wet en de werking ervan worden binnenéén jaar geëvalueerd, maar we hebben net met elkaarbesproken dat het goed zou zijn om het binnen vijf jaar tedoen. Dit is de hoofdlijn: de verordening treedt binnen eenbepaalde periode in werking na de verordening of losdaarvan, de verordening treedt niet binnen vijf jaar in wer-king op nationaal terrein.

De heer Van Nispen heeft gevraagd waarom de verantwoor-delijke zelf geen registratie moet bijhouden van de inbreukop de beveiliging. De verplichting om binnen de organisatieeen registratie bij te houden van alle inbreuken, ernstigeof minder ernstige, vormt een behoorlijke administratievelast. Scholen en zzp'ers vallen bijvoorbeeld ook onder dereikwijdte van dit wetsvoorstel. Zo'n registratie moet vol-gens mij echt een toegevoegde waarde hebben, andersmoeten we het niet doen. Ik heb al de algemene beveili-gingsverplichting genoemd die in artikel 13 van de Wbp isopgenomen. Daaruit vloeit ook voort dat de verantwoorde-lijke procedures moet hebben voor het tijdig en effectiefbehandelen van beveiligingsincidenten. Daar ziet het CBPook op toe. Ik heb alle respect voor de aandacht die de heerVan Nispen heeft voor dit onderwerp, maar ik vind dat eenregistratieplicht geen of onvoldoende toegevoegde waardeheeft.

Voorzitter, ik heb de vragen tot zover allemaal beantwoord.


Ik kom even terug op de samenwerking en de uitwisselingvan informatie met het Nationaal Cyber Security Centrum.De staatssecretaris zegt dat er aan beide kanten bereidheidis om gebruik te maken van elkaars kennis. Heb ik dat goed

begrepen? Ik zie de staatssecretaris knikken. Waar ligt deverantwoordelijkheid? Er zou namelijk ook een registermoeten worden bijgehouden. Er moeten richtlijnen wordenopgesteld. Het is de vraag of het college daarvoor de aan-gewezen figuur is.


Ik denk wel dat het college de aangewezen instantie isdaarvoor. Dat moeten we met elkaar afspreken. Als hettechnologische bijstand nodig heeft, kan het met andereinstanties samenwerken om die bijstand op peil te krijgen.


Ik kan me voorstellen dat het college op waardeniveau ofop uitgangspuntenniveau richtlijnen kan uitvaardigen enkan zeggen waar een en ander aan moet voldoen. Als hetecht om heel specifieke techniek gaat, ligt het volgens mijmeer op het bordje van het Nationaal Cyber Security Cen-trum. Is dat ook de interpretatie van de staatssecretaris? Ikdenk dat men daar in de praktijk mee uit de voeten kan.


We moeten de bevoegdheid laten daar waar zij hoort, bijhet college, bij de autoriteit. Als er expertise moet wordeningewonnen, moet het college dat doen.

De voorzitter:Ik dank u voor uw antwoorden in eerste termijn. Wij zijntoegekomen aan de tweede termijn van de zijde van deKamer, met als eerste spreker de heer Schouw.


Voorzitter. Ik dank de staatssecretaris, die verantwoordelijkis voor het privacybeleid in dit land, voor zijn uitvoerigebeantwoording van vragen over het wetsvoorstel. Mijnfractie is blij en verheugd dat het er eindelijk van is gekomenen dat we het op deze mooie donderdagavond kunnenbehandelen. We hebben er veel over gevraagd. Het is goeddat we er nu, in het begin van 2015, een klap op kunnengeven. Ik hoop althans dat we dat aanstaande dinsdagkunnen doen, zodat het naar de overkant kan.

Er is veel gesproken over de vraag of het een organisatiemet tanden wordt. Een pitbull mocht het niet worden, maareen schoothondje willen we ook niet. Het zit er ergens tus-senin. Ik kan mij toch niet onttrekken aan het beeld van delabrador. Je komt twee soorten labradors tegen: de luielabrador die een allemansvriend en een vriend van hetbedrijfsleven is en de actieve labrador die jaagt en signaleerten van wie een waarschuwende werking uitgaat. Ik hoopdat we die laatste soort met elkaar hebben gecreëerd.

Ik ben blij met de coulante houding van de staatssecretaristegenover de door de Kamer ingediende wijzigingsvoorstel-len. Van een groot aantal van die wijzigingsvoorstellenwordt het wetsvoorstel volgens mij namelijk beter. In mijneerste termijn heb ik twee belangrijke verbeterpuntengenoemd. Aan een belangrijk verbeterpunt, het amende-ment-Segers/Schouw, is tegemoetgekomen. Daarvoor dankik de staatssecretaris. Het andere verbeterpunt blijft nog

51-9-27

5 februari 2015


staan, maar ik kan mijn knopen tellen. Wij zullen dus moetennagaan hoe het in de praktijk uitwerkt.

Ik heb nog wel een vraag over de omvorming van hetamendement-Segers. De staatssecretaris heeft gezegd: wegaan het amendement zo omvormen dat de term "in over-leg" betekent dat de goedkeuring materieel bij het Collegebescherming persoonsgegevens komt te liggen. Hoe denktde staatssecretaris die term "in overleg" in te vullen? Als jenamelijk op je strepen blijft staan en de andere partij niettegemoet wilt komen, en als wij nu afspreken dat we determ "in overleg" vastleggen in de wet, kan het weleens totsint-juttemis duren voordat je een richtlijn hebt. Ik denk dathet goed is voor de wetsgeschiedenis als de staatssecretarisdaarover iets zegt, want daar ontstaat vaak gedoe over.

De voorzitter:Daarmee bent u, denk ik, aan het einde van uw termijn.


Nee, dat ben ik nog niet, maar ik zie de heer Van Wijngaar-den zo leuk dansen bij de interruptiemicrofoon.

De voorzitter:Dan zullen wij de heer Van Wijngaarden vragen om zijnvraag te stellen.


Ik dank de heer Schouw voor het compliment. Hij heeftvanavond een hele bloemlezing gegeven waarin allerleihonden de revue passeerden. Hij heeft er net nog een paaraan toegevoegd. Het is belangrijk, ook voor de geschiedenis,om aan te geven dat ook wij een heel assertieve privacy-waakhond willen die kan blaffen en bijten. Daarover zijnwij het gewoon eens. Is de heer Schouw nu gerustgesteld,na de interpretatie die de staatssecretaris heeft gegevenaan ons amendement? Ik proefde namelijk nog wat onge-rustheid.


Ik kom nog even terug op de honden, voor de feitelijkegeschiedenis. De heer Van Wijngaarden is begonnen methet noemen van honden. Hij verklaarde achter het kathederdat de VVD-fractie geen pitbull wil. Dat vond ik overigenseen heel opmerkelijke uitspraak, want ik dacht altijd dat deVVD-fractie een waakhond met tanden wilde. Het moestechter geen pitbull worden. Dat heeft mij wel aan het den-ken gezet, niet alleen over de manier waarop de VVD tegenprivacy aankijkt, maar ook over de achtergrond van hetamendement van de heer Van Wijngaarden. Ik ben daarwantrouwig over. Ik heb echter net, toen de heer VanWijngaarden hier even niet was, gezegd dat ik mijn knopenkan tellen. De naam van de PvdA-woordvoerster staat ookonder het amendement en dan heb je een meerderheid;dat snap ik wel. Ik kom hier straks even op terug om tebezien hoe wij hiervoor misschien wat waarborgen kunneninbouwen. Ik had het echter liever niet gehad.

Ik sprak over de term "in overleg". Bij mijn weten — ik hoopdat ik het goed zeg en dat ik het wetsvoorstel goed hebbegrepen — moeten ook vijf andere richtlijnen dan opnieuw,in overleg met de staatssecretaris, worden besproken. Dat

betreft de bestaande richtlijnen, die het CPB nu hanteert.Ik zie de staatssecretaris vragend kijken, maar volgens mijninformatie zouden ook de bestaande richtlijnen uit het oude,nog niet geamendeerde voorstel goedgekeurd moetenworden door de minister. Als we het amendement straksveranderen, betreft de term "in overleg" dan ook debestaande voorstellen?

Ik vraag voorts aan de staatssecretaris of bij de verdereinvulling van de richtlijnen ook gesproken wordt met deFNV. Het is wel heel bijzonder dat ik dit moet zeggen. Hetvalt mij op dat vooral geluisterd is naar de kritiek van VNO-NCW. We hebben een brief gekregen van de FNV. Zij schrijftdaarin: wij zijn er ook om de werknemers te beschermen;met ons is niet gesproken in het voortraject, terwijl werkne-mers soms ook last hebben van bazen die hen bespieden.Zij voelen zich daardoor in hun privacy aangetast. Ik wil destaatssecretaris dus aanmoedigen om ook die partij daarbijte betrekken.

Ten aanzien van de naamgeving wil ik het volgende zeggen.Als je grote dingen regelt, moet je niet zeuren over onder-geschikte zaken, maar ik vind het wel een beetje eengemiste kans. Het wordt nu Autoriteit persoonsgegevens.Het gaat er echter om dat die autoriteit bedoeld is om depersoonsgegevens te beschermen. Dat is de taak:beschermen. Op de een of andere manier had dat tot uit-drukking moeten komen in de naam. Daarmee geef je ookaan wat de activiteit is. Ik vind dat dus een gemiste kans.Ik dien daar geen amendement over in, maar het zou beterzijn om het aspect bescherming in de naam mee te nemen.

Tot slot kom ik op de evaluatie. Daar is over gesproken.Moet die na drie of vier jaar plaatvinden en vindt die danplaats in het kader van Europa? Enfin, dat is mij niet hele-maal helder. Daarom leg ik samen met de heer Segers, mijnmaatje, mijn gelegenheidscollega op dit belangwekkendedossier, de volgende motie voor aan de regering.

Motie

De Kamer,

gehoord de beraadslaging,

overwegende dat de Wet meldplicht datalekken en boete-bevoegdheid het College bescherming persoonsgegevensde mogelijkheid geeft om een bestuurlijke boete op te leg-gen en vereist dat de verantwoordelijken voor gegevensver-werking, datalekken moeten melden en een registratiemoeten bijhouden van datalekken die zich voordoen;

verzoekt de regering, de Wet meldplicht datalekken enboetebevoegdheid binnen vier jaar na inwerkingtreding teevalueren op in elk geval:

- de naleving van de meldplicht;

- de toepassing en de effectiviteit van de boetebevoegd-heid;

- de administratieve lasten en de nalevingskosten voorgegevensverwerkers;

- de aansluiting van de wet op Europese regels overgegevensbescherming;

en de Kamer daarover te informeren,

51-9-28

5 februari 2015


en gaat over tot de orde van de dag.

De voorzitter:Deze motie is voorgesteld door de leden Schouw en Segers.Naar mij blijkt, wordt de indiening ervan voldoendeondersteund.

Zij krijgt nr. 20 (33662).


Tegen de heer Van Wijngaarden zeg ik het volgende. Alshet amendement dat hij samen met mevrouw Oosenburgheeft ingediend, wordt aangenomen — en dat zal wel —dan valt ook het effect van wat in mijn ogen een beperkingis, onder deze evaluatie. We gaan dan echter bekijken hoedat uitvalt.


Voorzitter. Ik dank de staatssecretaris voor de uitgebreidebeantwoording. Ik rondde mijn eerste termijn af met deconclusie dat het wetsvoorstel goedbedoeld is, maar dathet naar de mening van mijn fractie duidelijk op tweegedachten hinkt. Enerzijds krijgt de toezichthouder meertanden, maar anderzijds zal hij daar naar alle waarschijnlijk-heid niet voldoende mee kunnen bijten. Naar aanleidingvan de antwoorden van de staatssecretaris in eerste termijnkwam ik tot de conclusie dat de drempel voor de meldplichtinderdaad is verhoogd. Het moet gaan om een lek of inbreukdie daadwerkelijk ernstige gevolgen heeft gehad in plaatsvan om een ernstige inbreuk waarvan redelijkerwijs kanworden aangenomen dat hij leidt tot de aanmerkelijke kansop verlies van persoonsgegevens. Wat mijn fractie betreft,is dat jammer. Daarentegen heeft de staatssecretaris eenaantal amendementen omarmd, waaronder een amende-ment waarin wordt geregeld dat het gaat om de aanzienlijkekans op ernstige, nadelige gevolgen. Daarmee wordt dedrempel dus weer verlaagd. Daar ben ik positief over.

Er is voorts een drempel met betrekking tot de bewijslast.Mijn fractie vroeg zich af hoe het CBP kan aantonen dat hetopzet is. Die drempel was, wat mijn fractie betreft, te hoog.Ook op dat gebied heeft de staatssecretaris een amende-ment omarmd. Hij heeft voorts gezegd dat het gaat omopzet in de voorwaardelijke vorm. Daarmee wordt dedrempel natuurlijk ook al enigszins verlaagd.

Ten slotte heeft de staatssecretaris een amendementomarmd dat gaat over ernstige, verwijtbare nalatigheid,waaronder onachtzaam of onoordeelkundig handelen valt,Daarmee wordt de drempel ook verlaagd.

Dat brengt mij tot de conclusie dat het wetsvoorstel metdie amendering meer tanden geeft aan het CBP. Ik eindigdan ook met de opmerking dat ik mijn fractie positief zaladviseren.


Voorzitter. Ik heb in eerste termijn ruim de tijd genomen,dus ik kan het nu een heel stuk korter houden. Ik benadruknogmaals dat de SP dit een wet vindt met heel goede

doelstellingen. Het introduceert een meldplicht datalekkenen het introduceert een boetebevoegdheid met een ruimeboete. Daar had de SP ook al langer op aangedrongen. Datwas dus sowieso al goed.

De SP was kritisch over de uitwerking, maar er zijn opbelangrijke punten amendementen ingediend. Daar is heelgoed op gereageerd door de staatssecretaris. Dat mag ookwel eens gezegd worden. Wat dat betreft, sluit ik mij dusaan bij de woorden van collega Helder.

De ministeriële goedkeuring vooraf was ook voor mijnfractie een belangrijk punt. Dat zal wellicht nog wordengewijzigd in voorafgaand overleg. Dat vind ik een belangrijkpunt. Ik noem voorts de verruiming van het bereik van demeldplicht en het meteen kunnen trekken van de rode kaart.Dat zijn heel goede en noodzakelijke verbeteringen. Ikbenadruk nogmaals dat mijn fractie die amendementenzeker zal steunen, zodat we inderdaad die waakhond mettanden krijgen die we met z'n allen willen.

Ik heb in eerste termijn een heleboel vragen gesteld overhet begrip "ernstig". De staatssecretaris heeft een aantalcriteria en denkrichtingen genoemd en vroeg ons omdaarop te reflecteren. Het ging daarbij om de aard enomvang van het lek, de gevoeligheid van de gegevens ende aard van de doorbreking van de beveiliging. Ik steundie. Ik kan daar vanuit mijn eigen gedachten nog aan toe-voegen: de aard van de in werking getreden gevolgen voorde slachtoffers van een datalek, de tijdigheid van het meldenen/of de pogingen die door de verantwoordelijken zijnondernomen om de schade te beperken. Dat zijn mogelijkeaanvullingen daarop.

Over de inbreuk op de beveiliging heeft de staatssecretarisook het een en ander gezegd. Ik vraag hem toch om speci-fiek in te gaan op mijn twee voorbeelden waarin het gingover de vraag wanneer er nu sprake is van een inbreuk opde beveiliging. Is dat bijvoorbeeld ook als ziekenhuisperso-neel het wachtwoord kent van de arts? Dat was een voor-beeld waarbij er misschien geen sprake is van een datalek.Een ander voorbeeld was de werkgever die zich toegangverschaft tot de computer van de werknemer. Dan is ermisschien geen beveiliging doorbroken, maar zegt destaatssecretaris hier nu toch dat er andere mogelijkhedenzijn om daartegen op te treden, dus dat dat dan als het warehetzelfde effect heeft?

Tot slot heb ik iets recht te zetten, want ik had in eerstetermijn gezegd dat het College bescherming persoonsgege-vens 125 mensen in dienst heeft. Het is nog erger dan ikdacht, want het zijn er slechts 80. Ik had de klassieke foutgemaakt door in de haast het CPB in te voeren. Daar werkennamelijk 125 mensen. Dat is wel erg knullig. Het zijn er dusecht 80 die bij het CBP werken. Ik heb de staatssecretarisgoed gehoord dat hij in de gaten zal houden of dat vol-doende mensen zijn, ook met deze wet in de hand. Ik zounog wel, al hoeft dat niet per se vanavond, een keer eenvergelijking willen zien met de privacywaakhonden inandere landen. Hoe zit het daar verhoudingsgewijs met deomvang van die privacywaakhonden en het aantal mensendat daar in dienst is?

Goed dat we gaan evalueren. Ik heb de motie goed gehoord.Die vind ik wederom sympathiek.

51-9-29

5 februari 2015


De heer Bisschop (SGP):

Voorzitter. Ik wil allereerst de staatssecretaris danken voorzijn gedegen beantwoording en op een aantal punten ookvoor zijn positieve adviezen op amendementen die zijningebracht, waardoor sommige zaken net even iets wordenaangescherpt. Wij stonden positief tegenover het voorsteldat voorlag. Een aantal amendementen zullen wij in iedergeval steunen. We moeten daarin nog als fractie een defini-tief standpunt innemen, maar dat verbetert het wetsvoorstelverder, zodat het nog meer aan het doel beantwoordtwaarom het is ingediend.

Het is en blijft, zoals wij allemaal merken, ook een beetjeeen zoektocht hoe je het goed formuleert en waar je degrenzen legt. Daarom is het goed om niet al te lang tewachten met een evaluatie om goed te bekijken of we dedingen nu goed hebben geregeld, zodat we daar zo nodignog een verbeterslag in kunnen maken.

Ik heb verder geen moties of amendementen, maar dankvoor de gelegenheid om het woord te voeren.

De voorzitter:U dank voor het voeren van het woord.


Voorzitter. Ik dank de staatssecretaris voor zijn constructievegrondhouding vanavond. We hebben vanavond gezochtnaar evenwicht tussen democratische controle en vertrou-wen in het College bescherming persoonsgegevens. Wehebben gezocht naar evenwicht tussen slagkracht enrechtszekerheid. Ik denk dat we dat ook in belangrijke matehebben gevonden.

Ik wil ook die leden danken die met een constructievegrondhouding kijken naar de amendementen. Ik wil degrootst mogelijke waardering uitspreken voor de inzet ende betrokkenheid van het CBP zelf en de 80 mensen diedaar naar we net hebben begrepen werken, omdat we daarin de voorbereiding van dit debat heel veel van hebbengemerkt en gezien. Daaruit spreekt vooral heel veelbetrokkenheid en deskundigheid, dus ik wens hen ooksucces bij het uitoefenen van hun taak, en het CBP alsinstituut met haar rol als bewaker van het belangrijkegrondrecht op privacy. Ongetwijfeld zal dat soms nog totspanning gaan leiden, zowel met overheden als metbedrijven. Ik denk overigens iets meer spanning met over-heden dan met bedrijven, aangezien bij de eerste categoriemeer gevoelige persoonsgegevens liggen. Maar die span-ning is ook precies wat we zoeken. Ik zou zeggen: zonderwrijving geen glans. Ik hoop op een voorspoedige behan-deling in de Eerste Kamer.


Voorzitter. Ik wil de staatssecretaris bedanken voor dereactie, voor de vruchtbare uitwisseling van argumentenen voor de behandeling van de amendementen. Maar ikwil ook u feliciteren, voorzitter. Op 5 juli 2012 is er een motieingediend met als eerste ondertekenaar de heer Recourt.Hij was heel ambitieus. Hij vroeg om uiterlijk voor 1 januari

2013 de boetebevoegdheid van het college te regelen. Datwas heel ambitieus. Het is ietsje later geworden, maar wekunnen vanavond vaststellen dat er brede steun is voor wattoen in die motie is vastgelegd en dat dit nu in wetgevingwordt vastgelegd. Dat is ook een felicitatie waard. U blijftheel neutraal kijken.

De voorzitter:Ik ben nu voorzitter en geen Kamerlid. Desalniettemin ismijn baan als Kamerlid heel duidelijk.


Prima. Ik wil het wel markeren, want het laat ook zien datje soms geduld moet hebben en dat het soms wat langza-mer gaat dan je zou willen, maar dat het resultaat er uitein-delijk mag zijn.

Ik dank de staatssecretaris voor de reactie op het amende-ment. De aanpassing ligt klaar. Mijn kompaan als het gaatom privacy — laat ik het ook eens op zijn Brits uitspreken— heeft nog wat vragen gesteld over het overleg. Misschienis het goed als de staatssecretaris die vragen beantwoordtvoordat we het amendement indienen. Dat ligt namelijkklaar.

Ik heb een laatste vraag over het overleg tussen het collegeen het Nationaal Cyber Security Centrum en de versleute-lingstechniek. Daar leefden zorgen over bij het college:kunnen wij datgene wat aan ons wordt gevraagd; wordenwij niet overvraagd als het gaat om die techniek? Destaatssecretaris heeft gezegd dat er over en weer goedoverleg moet zijn. Het zou misschien goed zijn om nog eenseven met het college om de tafel te gaan zitten en tebespreken hoe er goede werkafspraken kunnen wordengemaakt. Zo kan ook aan dat onderdeel op een goedemanier uitvoering worden gegeven.

Tot slot dank ik de staatssecretaris voor de toezegging omte evalueren. Ik heb op dit punt samen met collega Schouwnog een precisering gegeven. Wellicht komen we daar uit.Als deze wet van wal steekt, laten we hem dan op gezettetijden kritisch tegen het licht houden en bekijken of hij doetwat hij moet doen.

De voorzitter:Mijnheer Segers, nogmaals dank voor het compliment. Datzeg ik mede namens de heer Schouw, die indertijd mede-ondertekenaar was en de andere medeondertekenaar. Ikweet niet meer precies wie dat was. Was u ook medeonder-tekenaar, mevrouw Helder?


Nee, de heer Elissen.

De voorzitter:Dat was dus de heer Elissen van de PVV.


Voorzitter. Ook ik dank de staatssecretaris voor de vlotteen duidelijke beantwoording. Het is goed om te zien dat

51-9-30

5 februari 2015


we, ondanks dat we er verschillend tegenaan keken, zeg ikenigszins genuanceerd, met elkaar hebben geprobeerd omdeze wet sterker te maken en aan te scherpen. Gelukkig iser geen onnodige administratieve ballast voor de organisa-ties, ook niet voor het CBP zelf. Ik denk dat het CBP vol-doende gereedschap heeft om de komende jaren zijn taakuit te voeren.

De staatssecretaris heeft voorgesteld om het amendement-Segers/Schouw op stuk nr. 13 te wijzigen. Mijn inschattingis dat dit amendement het in gewijzigde vorm wel gaathalen. Dat betekent dat de staatssecretaris of de ministereen adviserende rol krijgt. Om te proberen daar invullingaan te geven en om als Kamer te helpen bij het vormgevenvan de jurisprudentie, heb ik samen met collega Bisschopeen motie opgesteld. Die zal ik zo voorlezen.

Het is jammer dat de voorwaardelijke boete niet mogelijkis in het systeem van bestuursrecht, aangezien soms eenboete onnodig is of niet proportioneel en een bindendeaanwijzing niet altijd nut heeft. Dan zou je eigenlijk eenander soort waarschuwing moeten hebben. Maar goed, destaatssecretaris heeft gezegd dat de last onder dwangsomook een mogelijkheid is. Ik hoop dat die passend wordtingezet. We weten er niet zo veel van. Om wat voor bedra-gen gaat het dan bij die dwangsommen? Hoe gaat dat inde praktijk?

Ik dien de volgende motie in.

Motie

De Kamer,

gehoord de beraadslaging,

overwegende dat het CBP in nadere richtlijnen duiding geeftaan de invulling van de wijze waarop onder meer de boete-bevoegdheid zal worden uitgevoerd en dat de regering eenadviserende rol heeft ten aanzien van de invulling van dezerichtlijnen;

overwegende dat gezien de proportionaliteit van de boete-bevoegdheid het van belang is dat dat het CBP rekeninghoudt met alle omstandigheden van het geval;

overwegende dat een omstandigheid van het geval kanbestaan uit het feit dat de betreffende gegevens niet doorderden zijn ingezien en daarmee de privacybelangen vanbetrokken niet daadwerkelijk zijn geschaad;

verzoekt de regering, het CBP te adviseren in zijn richtlijnenrekening te houden met deze omstandigheid,

en gaat over tot de orde van de dag.

De voorzitter:Deze motie is voorgesteld door de leden Oskam en Bis-schop. Naar mij blijkt, wordt de indiening ervan voldoendeondersteund.

Zij krijgt nr. 21 (33662).


Voorzitter. Ik begin meteen met een bekentenis: ik ben veelmeer een kattenmens. Met dat geklets over die honden hebik het nu wel een beetje gehad. Ik zat zelf ook wat door tefilosoferen en dacht: katten zijn lekker eigenwijs en eigen-gereid. Je kunt ze aanhalen, maar als het mis gaat, delenze wel een tik uit. Dat is wat ik het CBP toewens met dewetgeving die voorligt.

De Partij van de Arbeid zat nog een beetje op de wip watbetreft het amendement over de ministeriële toetsing.Eigenlijk is het voor ons op deze manier heel chic opgelost.Het scheelt weer een debat.

Ik dank de staatssecretaris voor zijn goede en duidelijkebeantwoording en ook voor de verheldering van dit wets-voorstel. Ik kijk erg uit naar de evaluatie en ik feliciteer ookde voorzitter.

De voorzitter:Dank u wel.

De staatssecretaris gaat meteen antwoorden.


Voorzitter. Ik dank de leden voor hun opmerkingen intweede termijn. Wij hebben een constructief debat gevoerd,waarin veel problemen die nog waren blijven liggen, zijnopgelost. De amendementen maken het wetsvoorstel stevi-ger en naar mijn oordeel uiteindelijk ook beter. Ik denk datwij de balans waar sommige leden over spraken en waarikzelf ook over heb gesproken, hebben kunnen handhaven.Dat wordt meegegeven aan het college. Ik zie de voorzittervan het college op de tribune en hij knikt dat ook hij beseftdat de balans altijd zeer aanwezig moet zijn.

De heer Schouw sprak over passieve en actieve labradors.Ik zal er verder niet op ingaan. Ik voel me zelf altijd meerthuis bij de passieve labrador, de zogenaamde allemans-vriend. Dat is de typering die ik bij mij zelf altijd een beetjezie, maar daar kun je ook verschillend over denken.

Ik moet nog een opmerking maken van technische aard,die ik eigenlijk in de eerste termijn had moeten maken. Erkomt nog een derde nota van wijziging. Ik zeg dat opdat deleden daar niet door verrast worden. Het zijn enkele wets-technische aanpassingen die moeten plaatsvinden omdater nog een aantal omissies zitten in het wetsvoorstel. Wijzullen die derde nota van wijziging voor de stemmingentoesturen. Dan zult u zien dat deze alleen betrekking hebbenop technische zaken.


Als je begint met "allemansvriend" is het al ongeloofwaar-dig. Wij moeten heel precies zijn wat de technische wijzigin-gen betreft. Die wil ik echt uiterlijk maandag om 12.00 uurhebben.

51-9-31

5 februari 2015



Geen enkel probleem. Ik kan toezeggen dat de nota vanwijzigingen voor morgenmiddag 17.00 uur in de mailboxvan de Kamerleden ligt, zodat men er nog naar kan kijken.Ik zie dat er ook instemmend geknikt wordt in de ambtena-renloge, dus dat gaan wij regelen.

De heer Schouw heeft mij gevraagd om een reactie op hetaangepaste amendement dat op dit moment in conceptvoor mij ligt. Ook de heer Segers refereerde daaraan. Opgrond van het aangepaste amendement zou artikel 67 alsvolgt luiden: "Het College overlegt voorafgaand aan hetvaststellen van een beleidsregel omtrent de uitleg van hetbepaalde bij of krachtens de in artikel 66, tweede lid,genoemde artikelen met Onze Minister en Onze Ministervan Binnenlandse Zaken en Koninkrijksrelaties". Er staatdus inderdaad dat het college overleg pleegt voorafgaandeaan het vaststellen van een beleidsregel. Er wordt niet meerof minder bedoeld in het amendement. Voorafgaande aanhet vaststellen van beleidsregels gaat de voorzitter van hetcollege in gesprek, maar uiteindelijk beslist het college overde richtsnoeren. Het criterium is ook "na overleg" en niet"in overleg". Er wordt dan ook nadrukkelijk gezegd: "gaatin overleg met". Dat is belangrijk.

De andere vraag van de heer Schouw betreft de vijf andererichtlijnen die op dit moment al bestaan. De wet heeft geenterugwerkende kracht en geldt dus niet voor reeds vastge-stelde richtsnoeren. Daarmee heb ik die vraag meteenbeantwoord.

De heer Schouw heeft ook de motie op stuk nr. 20 inge-diend. In deze motie wordt gevraagd om vier jaar na deinwerkingtreding in elk geval een aantal punten te evalue-ren. Daar bestaat geen bezwaar tegen. Het is een ondersteu-ning van mijn eerdere verhaal. De evaluatie zou eerderkunnen plaatsvinden, gelet op hetgeen in het wetsvoorstelwordt gezegd over de verordening, maar ik denk dat ditniet het geval zal zijn. Er zal eerder vier jaar dan twee jaarna de inwerkingtreding van de verordening worden geëva-lueerd. Dat is mijn schatting. Ik laat het oordeel over dezemotie aan de Kamer. Ik heb er geen probleem mee.

Ik dank mevrouw Helder voor haar opmerkingen en voorhet advies dat zij haar fractie over het wetsvoorstel zalgeven. Ik deel haar waarneming dat het wetsvoorstel van-avond aan kracht heeft gewonnen. Het is goed om dat vastte stellen.

De heer Van Nispen sprak over de criteria die van belangzijn in de gevallen waarin sprake is van ernstige gevolgen.Een criterium is de tijdigheid van het melden, want als menniet tijdig meldt, kunnen de gevolgen ernstiger worden.Dat kan een omstandigheid zijn die daarop van invloed is.Een ander criterium is de aard van de gevolgen voordegenen die bescherming behoeven. Als men langer wachtmet melden, heeft dat gevolgen voor de slachtoffers enheeft dat ook invloed op de ernst van die gevolgen. Datgeldt eveneens voor de pogingen om de schade te beper-ken. Dat is in lijn met wat de heer Oskam in zijn bijdrage ineerste termijn opmerkte: als je alles doet om de schade tebeperken, zal het college goed moeten nadenken over hetkomen met een bestraffing. Dat is de andere kant van hetverhaal. Het kan dus ook matigend werken op de ernstigegevolgen.

De heer Van Nispen heeft twee voorbeelden genoemd. Heteerste betrof ziekenhuispersoneel dat het wachtwoord vande arts gebruikt, het tweede betrof een werkgever die zichtoegang verschaft tot de computer van een werknemer. Inbeide gevallen wordt tegen interne voorschriften gehandeld.Ik kan mij niet anders dan voorstellen dat elke zichzelf res-pecterende werkgever eist dat wachtwoorden niet te simpelmogen zijn. Er is in het eerste voorbeeld niet zozeer sprakevan een datalek, maar van schending van interne voorschrif-ten. In eerste instantie liggen dan disciplinaire maatregelenvoor de hand. In de tweede casus, waarin een werkgeverzich toegang verschaft tot de computer van een werknemer,ligt de zaak ingewikkelder. Het beoordelen van deze casushangt af van de omstandigheden, die van geval tot gevalkunnen verschillen. Een dergelijke casus zou nu al bij wijzevan klacht aan het CBP kunnen worden voorgelegd. Dezecasus is heel specifiek en vraagt om een nadere beoordelingdoor het college. Ook artikel 13 van de bestaande Wetbescherming persoonsgegevens kent al een mogelijkheidom beveiligingsmaatregelen aan de orde te stellen bij hetcollege.

De heer Van Nispen vroeg nog iets wat ik eigenlijk opvatals verzoek om informatie. Hij noemde de 80 fte's van hetcollege en vroeg hoe de privacywaakhond er in anderelanden uitziet. Ik zal dat inventariseren en de Kamer daar-over informeren. Het lijkt mij van belang om dat ook meete nemen bij de evaluatie. Dan verwacht ik in ieder gevalde heer Schouw en wellicht ook de heer Van Nispen enanderen weer aan mijn bureau, als die tijd mij nog gegevenis, om bij de begroting weer extra middelen te claimen.

Dan kom ik bij de SGP-fractie. Ik dank de heer Bisschopvoor zijn opmerkingen. De heer Bisschop zei heel terecht:hoe formuleer je het goed? Dat bleek vanavond ook bij debespreking van de criteria. De heer Van Nispen heeft daariets over gezegd in tweede termijn, ik heb er zelf in mijneerste termijn een aantal genoemd. Dat acht ik wel heelbelangrijk, ook in de lijn waarlangs het college die richtsnoe-ren en die beleidsregels gaat vaststellen. Dat zijn dan tochrichtsnoeren voor het college, die je vandaag ook alsmedewetgever meegeeft. Ik denk dat het goed is dat wedie formulering scherp krijgen. Dat geldt ook voor de juris-prudentie die het college gaat vormen met dit gewijzigdewetsvoorstel.

Dank voor de opmerkingen van de heer Van Wijngaarden.Het is goed dat hij een compliment uitdeelde voor debetrokkenheid van het College bescherming persoonsgege-vens en de medewerkers daarvan. Wij zeggen op hetministerie weleens, of ik kan beter zeggen: ik zeg op hetministerie weleens, soms tegen mezelf op mijn kamer, somsook tegen anderen, dat het lobbycircuit goed op orde is.Dat doet echter geen recht aan de betrokkenheid van dewerknemers en de voorzitter van het college. Dat heeft deheer Van Wijngaarden wat meer fijntjes verwoord. Ik zaldat voortaan ook proberen te doen in mijn contacten methet college.

Dan kom ik bij de heer Segers. Ik ben ingegaan op zijngewijzigde amendementen en de vraagstelling. Het lijkt mijgoed om vast te stellen dat uw voorzitter, de heer Recourt,daar niet als voorzitter, maar als Kamerlid een belangrijkebijdrage aan heeft geleverd. In de tussentijd heeft hij ookmij regelmatig opgejaagd. Het is mooi dat dit nu tot resul-taat heeft geleid, dus ook van de zijde van het kabinet veel

51-9-32

5 februari 2015


waardering voor het zo nauwlettend volgen van dit onder-werp.

De heer Segers vroeg mij nog om aandacht te bestedenaan de contacten die ik heb, via de minister dan wel recht-streeks, met deskundigen op technisch gebied, om te bor-gen dat de bijstand die op sommige momenten aan hetcollege moet worden gegeven, dan ook beschikbaar is. Ikzal daarover in overleg treden met de verantwoordelijkenbinnen de politiediensten en de Nationale CoördinatorTerrorisme en Veiligheid en met de minister, en ik zal uwKamer van een antwoord op dit punt voorzien. Die toezeg-ging krijgt u van mij. We zullen dat meenemen in de briefaan de heer Van Nispen, waarin ik die inventarisatie maak.

Dan kom ik bij de heer Oskam en zijn tweede termijn. Dankvoor zijn opmerkingen op dit punt en voor zijn bijdrage, dieook de geest weer even heeft gescherpt. We hebben hetbestuursrecht niet altijd en elke minuut scherp voor degeest, ik tenminste niet. Dan is het goed om een beetjeuitgedaagd te worden om te bezien of er ook nog anderevarianten zijn die bijvoorbeeld in het strafrecht wel voorhan-den zijn. De heer Oskam heeft nog een motie ingediend,waarin de regering wordt verzocht om het CBP te adviserenin haar richtlijnen rekening te houden met deze omstandig-heid. Ik laat het oordeel over deze motie aan uw Kamer. Ikvind die motie een ondersteuning van het beleid dat ik ookde afgelopen jaren al heb gevoerd en ik voel mij van dezijde van het kabinet in ieder geval gesterkt om dit nog eensonder de aandacht van het college te brengen. Ik laat hetoordeel over die motie aan de Kamer.

De heer Oskam vroeg nog om wat voor bedrag het gaat bijde last onder dwangsom. De Algemene wet bestuursrechtstelt als norm dat de bedragen in redelijke verhouding staantot de zwaarte van het geschonden belang en tot debeoogde werking van de dwangsom. Het zijn dus geenvaste bedragen; zij kunnen in hoogte variëren.

Ik dank tot slot ook mevrouw Oosenbrug voor haar inbreng.De opmerkingen die zij vanuit haar vorige dienstbetrekkingheeft gemaakt, markeren scherp het verschil tussen onvol-komenheden op het terrein van beveiliging en de vraag watnu een datalek is. Dat was een welkome aanvulling op dediscussie van vanavond. Ook op dat punt hebben wij dezaak kunnen aanscherpen.

Tot zover mijn tweede termijn.

De algemene beraadslaging wordt gesloten.

De voorzitter:Ik dank de staatssecretaris en de Kamer voor deze zeerconstructieve en positieve avond. Zo kan het ook.

De stemmingen over de amendementen, het wetvoorstelen de motie zijn aanstaande dinsdag, in dier voege dat denota van wijziging maandag vóór 12.00 uur bij de Kameris ingediend.

51-9-33

5 februari 2015


Meldplicht datalekken - Eerste Kamer€¦ · Meldplicht datalekken Aan de orde is de behandeling...

Documents

Transcript of Meldplicht datalekken - Eerste Kamer€¦ · Meldplicht datalekken Aan de orde is de behandeling...