Rapport brouwer korf

Eerste�Kamer Rapport�commissie-Brouwer-Korf 17 mei 2011EK�27 27-2-2

2Rapport�commissie-Brouwer-Korf

Aan�de�orde�is�het�beleidsdebat�over�de�rol�van�de�over-heid�bij�digitale�dataverwerking�en�-uitwisseling�in�hetkader�van�het�rapport�van�de�commissie-Brouwer-Korf.

De�voorzitter:Ik�heet�de�minister�van�Binnenlandse�Zaken�en�Konink-rijksrelaties�en�de�staatssecretaris�van�Veiligheid�en�Justi-tie�van�harte�welkom�in�de�Eerste�Kamer.Het�woord�is�aan�mevrouw�Tan.

De�beraadslaging�wordt�geopend.

Mevrouw�Tan�(PvdA):Mijnheer�de�voorzitter.�Dezer�dagen�draait�in�de�biosco-pen�de�documentaire�Inside�Job�van�Charles�Ferguson.De�film�gaat�over�de�economische�crisis�die�in�het�voor-jaar�van�2008�in�de�Verenigde�Staten�begon�door�het�in-storten�van�banken�als�Bear�Stearns�en�Lehman�Brothers.Uiteindelijk�hebben�de�bankiers�zich�met�miljoenen�dol-lars�verrijkt�ten�koste�van�miljoenen�gewone�mensen.�Huninvloed�reikt�tot�in�de�hoogste�kringen�van�de�overheid�ende�wetenschappelijke�wereld.�Hoogleraren�Economie�vanHarvard�en�Columbia�University�brengen�voor�hen�posi-tieve�rapporten�uit�tegen�extreem�hoge�honoraria.�Tot�opde�dag�van�vandaag�lukt�het�de�overheid�niet�greep�te�krij-gen�op�de�financiële�sector:�niet�op�de�bonuspraktijken�enniet�op�de�rest.�In�2008�publiceerde�Jeroen�Smit�het�ont-hullende�en�schokkende�verhaal�over�de�deconfiture�vanABN�AMRO�in�"De�Prooi".�Vergeleken�bij�Inside�Job�is�datkwantitatief�gezien�qua�impact�kinderspel,�maar�inhoude-lijk�gezien�is�het�in�overtreffende�trap�meer�van�hetzelfde.Is�tegen�deze�praktijken�nog�enig�kruid�gewassen?De�westerse�wereld�heeft�wellicht�nog�wat�te�leren�van

zogenaamde�derdewereldlanden�zoals�China�of�de�landenvan�de�Arabische�lente,�in�plaats�van�het�gebruikelijk�arro-gante�vingertje�te�heffen�richting�samenlevingen�"die�noghet�nodige�te�gaan�hebben"�voor�ze�de�verheven�Wester-se�standaarden�bereiken.�Met�behulp�van�nieuwe�mediablijken�burgers�van�die�landen�immers�de�kans�te�grijpenvoor�het�van�onderop�aan�het�wankelen�brengen�van�ge-vestigde�dictaturen.�Nieuwe�media�als�vehikel�voor�demo-cratisering,�als�remedie�tegen�oligarchieën�van�gevestig-de�regimes�bestaande�uit�old�boys�networks�à�la�de�InsideJob�van�Manhattan?Daar�is�wel�moed�voor�nodig,�eens�temeer�als�de�open-

heid�en�openbaarheid�van�bovenaf�aan�banden�wordengelegd.�In�de�Nederlandse�verhoudingen�vergt�het�een�ac-tieve�opstelling�van�bevolking�en�politiek.�Nog�onlangsheeft�minister�Donner�bij�de�dag�voor�de�persvrijheid�dejournalistieke�wereld�weer�eens�de�kast�op�gekregen�–�datwas�niet�voor�het�eerst�–�door�beperkingen�op�de�WOB�uitkostenoverwegingen�aan�te�bevelen�en�daarvoor�ook�nogeen�beleefd�applausje�te�krijgen�op�de�Dag�van�de�pers-vrijheid.�Een�kunststukje,�met�daarna�ook�nog�veel�publi-citeit�achteraf�van�diezelfde�journalisten�die�alsnog�kritiekin�de�media�naar�voren�brachten.Maar�de�regering�doet�er�ons�inziens�wel�goed�aan,

zichzelf�te�behoeden�voor�het�zich�ingraven�in�het�uitge-sleten�karrenspoor�van�de�bezuinigingen.�Hoe�noodzake-

lijk�die�volgens�deze�regering�ook�zijn,�als�die�resulterenin�financiële�oogkleppen�zou�dat�wel�eens�onbedoelde�te-genkrachten�kunnen�losmaken,�zoals�bijvoorbeeld�eenhausse�aan�WikiLeaks.�Proefballonnen,�al�dan�niet�door-spekt�met�badinerende�metaforen�over�fabricage�van�wor-sten,�zouden�maar�zo�effecten�van�de�tovenaarsleerlingkunnen�krijgen.Het�denken�en�doen�in�de�digitale�samenleving�ken-

merkt�zich�naar�de�opvatting�van�de�Partij�van�de�Arbeiddoor�disbalans�tussen�overheid�en�instanties�enerzijds�ende�individuele�burger�anderzijds.�Naast�dit�eendimensio-nale�sudokudenken�is�meer�cryptogramachtige�verbeel-ding�aan�de�macht�hoognodig�voor�het�kunnen�grijpenvan�geboden�kansen.�Voor�een�beweging�van�onderopis�immers�nodig�dat�de�burger�meer�empowered�wordtdoor�een�beter�besef�van�kansen�en�risico's,�gevoed�doormeer�transparantie�in�de�informatie�daarover.�Geen�be-zuinigingsoogkleppen�dus,�maar�juist�ruim�baan�voor�deWOB!Het�parlement�heeft�hierbij�een�voortrekkersrol,�gese-

condeerd�door�groepen�uit�de�samenleving�zoals�Bits�ofFreedom,�Privacy�First�en�Ambtenaar�2.0.�Naast�informa-tie�over�wetgeving�en�overheidsprojecten�met�inbegripvan�die�over�gegevensbestanden�is�om�te�beginnen�meerbewustzijn,�kennis�en�informatie�nodig�over�hetgeen�aangegevens�is�verzameld�over�individuele�burgers�en�hoedaarmee�wordt�omgegaan.�Ook�daarvoor�zal�de�overheiduit�de�karrensporen�van�het�sudokudenken�moeten�tredenen�meer�rechter-�naast�linkerhersenhelft�moeten�aanspre-ken.�Wat�is�hierop�de�visie�van�de�regering?Immers,�naast�de�ongekende�kansen�die�de�digitalise-

ring�de�samenleving�te�bieden�heeft,�zijn�er�uiteraard�ooknet�zo�veel�ingrijpende�risico's.�In�de�Volkskrant�van�7 meistond�het�artikel�Spion�in�je�broekzak�van�Sander�Heijne.De�Duitse�politicus�Malte�Spitz�kostte�het�de�nodige�moei-te,�alle�gegevens�te�bemachtigen�die�het�telecombedrijf�T-Mobile�over�hem�heeft�opgeslagen.�Aan�de�hand�van�diegegevens�was�zijn�hele�leven�volledig�te�reconstrueren.De�tussenkop�in�dit�artikel�luidde�Bij�Orwell�wist�alleen�deoverheid�alles.Onlangs�zijn�in�de�Nederlandse�pers�verontrustende

berichten�verschenen�over�de�wijze�waarop�bijvoorbeeldTomTom�en�KPN�met�in�hun�bestanden�opgeslagen�gege-vens�omgaan.�Hoe�heeft�onze�overheid�het�toezicht�op�be-drijven�en�de�rechten�van�burgers�op�inzicht,�controle�entoegang�tot�opslag�van�eigen�persoonsgegevens�gewaar-borgd?�Kan�de�regering�daar�een�visie�op�geven?In�de�Verenigde�Staten�hebben�de�senatoren�John�Ker-

ry�van�Massachusetts�en�John�McCain�van�Arizona�vande�Democratische�respectievelijk�de�Republikeinse�par-tij�een�initiatiefwetsvoorstel�ingediend�voor�de�privacybe-scherming�van�consumenten�op�internet.�Alle�commotieten�spijt�rond�een�meerderheid�in�de�Eerste�Kamer�voorde�coalitie�of�niet�en�de�gevolgen�daarvan�voor�dit�kabi-net,�is�het�toch�genoegzaam�bekend�dat�de�positie�van�deAmerikaanse�senaat�van�een�gans�andere�orde�is�dan�diein�het�Nederlandse�bestel.�De�portee�van�dit�bipartiete�ini-tiatief�door�senatoren�van�deze�statuur�is�significant�voorde�politieke�lading�die�deze�kwestie�in�de�Verenigde�Sta-ten�krijgt.�Het�wetsvoorstel�verplicht�bedrijven�tot:�bevei-liging�van�gegevens,�het�inlichten�van�consumenten�dathun�gegevens�worden�opgeslagen�met�een�opt-outmo-gelijkheid,�een�opt-inverplichting�bij�gevoelige�gegevensals�over�medische�zaken�of�religie,�het�bieden�van�de�mo-gelijkheid�aan�de�consument�van�toegang�tot�en�correctievan�diens�verzamelde�gegevens,�het�bieden�van�de�moge-

Tan


lijkheid�aan�de�consument�om�te�verzoeken�tot�het�stop-zetten�van�het�verzamelen�of�distribueren�van�gegevensen�het�beperken�van�het�verzamelen�van�informatie�overeen�individu�tot�het�benodigde�voor�een�specifieke�trans-actie�voor�een�specifieke�periode.Is�het�niet�de�hoogste�tijd�dat�de�regering�de�wetgeving

rond�identiteitsmanagement�ter�hand�neemt:�de�afbake-ning�van�rechten�en�plichten�tussen�individuen�en�instan-ties�ten�aanzien�van�profilering�en�privacy?�Wat�is�hieropde�visie�van�de�regering?De�kansen�die�Web�2.0�aan�burgers�biedt�voor�het

doorbreken�van�structuren�in�combinatie�met�risico's�voorde�persoonlijke�levenssfeer�zijn�evenzeer�aan�de�orde�bijde�digitalisering�door�de�overheid�zelve.�Wij�gaan�nu�al-lereerst�in�op�de�beantwoording�van�onze�schriftelijke�vra-gen�in�de�kabinetsbrief�van�29 april.�Vervolgens�gaan�wijin�op�de�aanbevelingen�van�de�WRR�en�de�vooruitzichtenvoor�de�toekomst.Het�dossier�waar�we�het�vandaag�over�hebben,�is�twee

jaar�geleden,�in�2009�aan�de�Tweede�Kamer�aangebodenen�een�jaar�later�aan�de�Eerste�Kamer.�De�fractie�van�dePartij�van�de�Arbeid�heeft�onlangs�bij�schriftelijke�vragenvan�april�2011�vier�zeer�recentelijk�verschenen�rapportenbetrokken,�te�weten�"Databases.�Over�ICT-beloftes,�infor-matiehonger�en�digitale�autonomie"�en�"Check�in/Checkuit.�Digitalisering�van�de�openbare�ruimte",�beide�van�hetRathenau�Instituut,�iOverheid�van�de�WRR�en�het�rapportvan�de�staatscommissie-Thomassen�(StaatscommissieGrondwet�2010,�nr.�67).In�de�kabinetsbrief�van�29 april�2011�geeft�de�regering

aan,�separaat�te�zullen�reageren�op�het�WRR-rapport�datinderdaad�pas�op�15 maart�jongstleden�aan�de�ministervan�BZK�is�aangeboden.�Niettemin�wil�de�regering�welverschillende�hoofdzaken�uit�dat�rapport�in�de�kabinetsre-actie�van�29 april�behandelen.De�kabinetsreactie�als�totaal�overziende,�is�de�PvdA-

fractie�vooral�getroffen�door�het�gebrek�aan�urgentiebe-wustzijn�dat�daaruit�naar�voren�komt,�zeker�afgezet�tegende�teneur�in�de�zojuist�genoemde�rapporten.�De�speechwaarmee�minister�Donner�het�WRR-rapport�in�ontvangstnam,�was�zoals�gebruikelijk�spitsvondig,�maar�er�was�in-houdelijk�helaas�sprake�van�een�soortgelijk�gebrek�aan�devolgens�ons�benodigde�urgentie.Het�hoofdrapport�van�de�WRR�met�de�titel�iOverheid

signaleert�immers�dat�de�facto�en�bijna�ongemerkt�sa-menhangende�informatiestromen�het�karakter�van�deoverheid�domineren,�waarmee�nieuwe�mogelijkheden,maar�ook�afhankelijkheden�en�kwetsbaarheden�voor�zo-wel�de�overheid�als�haar�burgers�ontstaan.�Dit�gebeurtterwijl�in�de�dagelijkse�praktijk�allerminst�vanuit�een�sa-menhangende�visie�wordt�bestuurd,�maar�overheidsini-tiatieven�tot�digitalisering�met�bijbehorende�informatie-stromen�binnen�de�verschillende�sectoren�geïsoleerd�vanelkaar�worden�ontwikkeld.�De�WRR�stelt�dat�de�overheidalert�dient�te�zijn�op�de�kwaliteit�van�de�informatie�–�kwali-teit�in�de�zin�van�karakter,�betrouwbaarheid,�kenbaarheid,contextualiteit�en�herleidbaarheid�–�en�op�de�organisa-torische�inbedding�van�informatiestromen.�Openheid�entransparantie�richting�burgers�is�volgens�de�WRR�nodig,zodat�zij�inzicht�krijgen�in�wat�over�hen�geregistreerd�is�enondersteuning�beschikbaar�is�indien�correctie�noodzake-lijk�is.�Dit�laatste�is�een�zeer�essentieel�punt.Wat�is�de�reactie�van�de�regering�op�de�in�de�expert-

meeting�in�deze�Kamer�van�februari�jongstleden�gesig-naleerde�foutpercentages�in�bestanden�van�onder�ande-re�de�Belastingdienst?�De�Rekenkamer�gaf�in�die�expert-

meeting�aan�dat�een�streven�van�70%�foutloze�registratieniet�werd�gehaald,�zonder�dat�bekend�was�hoeveel�het�re-ële�foutpercentage�dan�wel�bedroeg.�Deze�fouten�kunnenburgers�enorme�overlast�bezorgen.�Hoe�beschermt�en�on-dersteunt�de�overheid�haar�burgers�hierin?De�WRR�verkennende�studie�nr.�47�"Rolverdeling�tus-

sen�Overheid�en�Burger�bij�Bescherming�van�Identiteit"door�Jelle�Attema�en�David�de�Nood�heeft�drie�conclusies.Ten�eerste,�de�stelling�dat�privacy�een�gepasseerd�stati-on�is�voor�burgers�wordt�door�de�onderzoeksresultatenontkracht.�Ten�tweede,�burgers�wensen�een�strakkere�re-gie�van�de�overheid�op�het�gebruik�van�het�burgerservi-cenummer�in�het�maatschappelijk�verkeer.�Ten�derde,�res-pondenten�willen�inzage�hebben�in�eigen�elektronischedossiers,�zodat�ze�gegevens�kunnen�corrigeren�en�kunnenzien�wie�gegevens�bewerkt�en�inziet.�Dit�laatste�punt,�decontrole�over�de�toegang�tot�de�eigen�gegevens,�is�zeeressentieel.Vervolgens�stelt�de�WRR�in�de�epiloog�van�het�rapport

dat�de�overheid�niet�alleen�verantwoordelijk�is�voor�het�ei-gen�gebruik�van�ICT,�maar�ook�voor�de�ontwikkeling�vande�informatiesamenleving�in�zijn�algemeenheid,�met�in-begrip�van�de�informatiemacht�van�mondiale�spelers�alsGoogle,�Facebook�en�Apple.�In�de�reactie�van�29 april�2011gaat�de�regering�nauwelijks�in�op�deze�rol�en�verantwoor-delijkheid�van�de�overheid�en�evenmin�op�mogelijke�voor-nemens�om�inhoud�en�vorm�te�geven�aan�haar�systeem-verantwoordelijkheid,�terwijl�de�overheid�voor�haar�bur-gers�dient�op�te�komen�ten�opzichte�van�die�genoemdeprivate�partijen.�Evenmin�gaat�de�regering�in�op�de�vraag,die�we�ook�schriftelijk�gesteld�hebben,�over�het�dilemmazoals�geformuleerd�door�John�Naughton�in�het�dagbladthe�Guardian:�"Live�with�the�WikiLeakable�world�or�shutdown�the�net,�it's�your�choice".Niets�van�dat�al,�de�regering�volstaat�in�het�slot�van�de

reactie�met�een�op�handen�zijnde�meldplicht�datalekkenen�de�constatering�dat�Googlezoekopdrachten�geen�deeluitmaken�van�de�telecommunicatieverkeersgegevens.�Ditwekt�eens�temeer�bevreemding�afgezet�tegen�de�publie-ke�ophef�die�bijvoorbeeld�is�ontstaan�door�de�genoemdepraktijken�van�TomTom�en�KPN�met�het�doorspelen�vangegevens.�Kan�de�regering�dan�hier�en�nu,�in�dit�plenairedebat,�hier�een�uiteenzetting�over�geven?Op�diverse�plaatsen�wordt�in�de�kabinetsreactie�inge-

gaan�op�de�afweging�tussen�veiligheid�en�privacy,�uit-mondend�in�de�conclusie�dat�een�zorgvuldige�afwegingplaatsvindt�op�basis�van�evenwichtige�regelingen�met�vol-doende�waarborgen.�Hoe�denkt�de�regering�echter�overde�recente�bevindingen�met�de�opslag�van�biometrischegegevens,�iets�waaraan�de�Tweede�Kamer�zo�haar�conclu-sies�heeft�verbonden,�en�over�de�steekproef�van�het�CBPnaar�de�gegevensuitwisseling�tussen�opsporingsdien-sten�en�telecommunicatieaanbieders,�waarbij�het�nodigeniet�in�orde�bleek�te�zijn?�Dit�geeft�de�burgers�toch�geredeaanleiding�tot�gevoelens�van�onbehagen?�Graag�een�reac-tie.Om�te�beginnen�is�naar�de�mening�van�de�PvdA-fractie

meer�urgentiebewustzijn�op�zijn�plaats,�gelet�op�de�schaalwaarop�digitalisering�van�de�samenleving�inmiddels�heeftplaatsgevonden.�Professor�Corien�Prins,�lid�van�de�WRR,wees�in�de�expertmeeting�in�de�Eerste�Kamer�van�febru-ari�2011�op�de�omstandigheid�dat�de�digitalisering�overmeer�gaat�dan�losse�applicaties.�Er�is�volgens�professorPrins�een�gekoppelde,�verketende�en�vernetwerkte�wereldontstaan,�waarin�de�burger�wordt�geconfronteerd�met�welhonderd�organisaties�binnen�één�dossier�waarbij�hij�moet

Tan


aankloppen�als�er�iets�niet�klopt.�Een�onderzoek�van�hetCBP�naar�de�vraag�in�hoeveel�databases�mensen�zitten,wijst�uit�dat�een�maatschappelijk�weinig�actieve�persoontoch�nog�altijd�in�zo'n�250�databases�zit�en�maatschappe-lijk�actieve�individuen�zoals�wij�wel�in�1000,�1500�of�zelfsmeer�databases,�waar�dus�nog�eens�zo'n�honderd�organi-saties�achter�zitten.De�kabinetsreactie�noemt�een�verkennend�onderzoek

naar�het�aantal�overheidsdatabases�waarin�de�Neder-landse�burger�geregistreerd�staat,�een�onderzoek�van2009,�dat�geen�betrouwbare�schatting�kon�geven.�Waar-om�vindt�hierover�op�korte�termijn�geen�nader�onder-zoek�plaats�door�de�regering?�Dit�is�toch�ook�relevantvoor�de�standpuntbepaling�die�de�regering�aankondigtover�het�rapport�van�de�staatscommissie-Thomassenover�een�eventuele�grondwetbepaling�over�dit�thema?Wanneer�is�overigens�dat�standpunt�over�aanpassing�vaninformatie(grond)rechten�naar�aanleiding�van�de�digitaleontwikkelingen�te�verwachten?Professor�Prins�refereerde�bovendien�aan�de�consta-

tering�in�het�rapport�van�de�commissie-Brouwer-Korf�datnaast�handhaving�ook�advisering�en�voorlichting�cruciaalzijn,�onder�andere�over�de�interpretatie�van�essentiële�cri-teria�als�doelbinding.�In�de�kabinetsreactie�bevestigt�deregering�dat�voor�de�advisering�aan�de�professionals�inhet�kader�van�het�rapport�van�de�commissie-Brouwer-Korfper�1 januari�2012�drie�fte's�voor�het�servicecentrum�pri-vacy�en�veiligheid�zijn�vrijgemaakt.�De�regering�verwachthiermee�voldoende�ondersteuning�te�kunnen�bieden.�Inhet�voorlopige�verslag�van�februari�2010�heeft�de�PvdA-fractie�onder�andere�haar�zorgen�geuit�over�de�uithollingvan�privacywaarborgen�door�gebrek�aan�robuustheid�vanhet�toezicht�in�combinatie�met�achterblijvende�bewust-wording�bij�professionals�en�burgers,�dit�mede�naar�aan-leiding�van�signalen�vanuit�het�CBP. Is�er,�gelet�op�de�aarden�omvang�van�de�problematiek,�niet�veel�meer�prioriteitnodig,�ook�in�menskracht�en�budget,�ter�bescherming�enondersteuning,�niet�alleen�van�professionals,�maar�ookvan�individuele�burgers?�Waar�kunnen�die�burgers�terechtbij�fouten�in�de�registratie�van�hun�persoonsgegevens�inde�genoemde�massa�aan�databases�en�daarmee�samen-hangende�organisaties?Bij�de�behandeling�van�het�wetsvoorstel�ter�invoering

van�het�burgerservicenummer�in�2008�heeft�de�PvdA-frac-tie�met�nadruk�gevraagd�naar�een�algemeen�ex�ante�toet-singskader�voor�sectorale�regelingen�voor�de�toepassingvan�het�bsn.�De�regering�verwees�naar�nadere�uitwer-king�in�later�stadium,�ex�post�dus,�in�de�sectorale�toepas-singen.�In�deel�II�van�het�WRR-rapport�"De�staat�van�in-formatie"�worden�de�verwijsindex�risicojongeren�en�hetepd�aan�de�hand�van�de�beginselen�in�het�toetsingskaderlangsgelopen�en�voorzien�van�op�onderdelen�zeer�kriti-sche�kanttekeningen.�Het�rapport�"Databases.�Over�ICT-beloftes,�informatiehonger�en�digitale�autonomie"�van�hetRathenau�Instituut�bevat�case�studies�van�de�ov-chipkaart,het�epd,�het�elektronisch�kinddossier,�klantenprofielen,het�Schengen�Informatie�Systeem�en�de�GBA. Heeft�de�re-gering�kennisgenomen�van�de�conclusie?�Ik�citeer:�"Allesbij�elkaar�genomen�schetsen�de�case�studies�een�vrij�ont-hutsend�beeld�van�wat�er�in�de�praktijk�kan�misgaan�bijhet�gebruik�van�databases.�Deze�risico's�hangen�samenmet�de�keuzes�die�worden�gemaakt�over�de�architectuurvan�de�betreffende�database."In�de�reactie�van�29 april�2011�verwijst�de�regering�naar

de�komende�visie�op�het�WRR-rapport.�De�PvdA-fractieverneemt�graag�bij�dezen�een�indicatie�van�de�regering

over�de�urgentie�waarmee�deze�vraagstukken�worden�in-geschat�en�opgepakt.�De�kabinetsreactie�vermeldt�de�toe-zegging�van�de�toenmalige�staatssecretaris�van�BZK,�ge-daan�op�13 oktober�2010,�dat�zij�over�twee�jaar�zal�rap-porteren�over�de�mogelijkheid�om�te�komen�tot�een�over-koepelend�beoordelingskader.�in�juli�2007�heeft�dezelfdestaatssecretaris�bij�de�behandeling�van�de�Wet�inzake�hetbsn�in�de�Eerste�Kamer�een�evaluatie�toegezegd�over�vierjaar,�dat�is�dus�juli�2011.�Die�evaluatie�betreft�dus�ook�hettoegezegde�servicepunt�met�doorzettingsmacht�voor�bur-gers.�Op�welke�wijze�is�de�regering�voornemens�de�werk-zaamheden�voor�die�evaluatie�en�voor�het�overkoepelendbeoordelingskader�op�elkaar�af�te�stemmen?Op�onze�vragen�over�de�bijna�spreekwoordelijke�over-

heidsmissers�bij�grootschalige�ICT-projecten�is�in�de�ka-binetsreactie�het�antwoord�achterwege�gebleven�op�devraag�in�hoeverre�de�centrale�positie�van�de�rijks-CIO's�alsonderdeel�van�de�bureaucratie�van�de�rijksdienst�voldoen-de�tegenwicht�kan�bieden�bij�de�gebruikelijke�valkuilen�bijgrootschalige�ICT-projecten�in�opdracht�van�de�rijksdienst.Ook�willen�wij�graag�een�antwoord�op�de�vraag�over�deconstatering�van�de�WRR�dat�geloofwaardige�evaluatieszeldzaam�zijn,�omdat�–�zo�die�al�plaatsvinden�–�de�discus-sie�blijft�steken�in�de�veiligheid�van�de�technologie�danwel�de�financiële�debacles.�Is�de�regering�voornemensmeer�aandacht�te�geven�aan�de�kwaliteit�van�evaluaties?Tot�zover�de�analyse�van�de�WRR. Ik�kom�nu�bij�de�aan-

bevelingen�van�de�WRR. De�WRR�bepleit�een�paradigma-wisseling�van�een�e-overheid�naar�een�iOverheid�en�wilde�spagaat�verkennen�van�de�overheid�die�de�dienstver-lening�aan�burgers�verbetert�enerzijds�en�tegelijkertijdwaakt�over�grondrechten�zoals�privacy�en�autonomie�vanburgers�anderzijds.�Is�dit�niet�de�gebruikelijke�spanningtussen�rechten�en�plichten�van�individuen�en�groepen,�in-clusief�publieke�en�private�instituties�waarin�de�overheidals�wetgever�een�ordenende�kernfunctie�vervult?�Ligt�dan,toegespitst�op�nieuwe�media,�het�spanningsveld�van�deburger�niet�eerder�tussen�de�behoefte�aan�profilering,�zo-als�op�Facebook�en�dergelijke,�versus�die�aan�privacy�enzelfbeschikking?�Wat�is�de�visie�van�de�regering?Concreet�komt�het�WRR-advies�neer�op�het�instellen

van�instituties�als�een�permanente�commissie�voor�deiOverheid,�een�iPlatform�en�een�iAutoriteit�met�doorzet-tingsmacht.�Tot�verwondering�van�de�PvdA-fractie�blijkthieruit�niets�anders�dan�een�traditionele�top-downbena-dering�met�voorbijgaan�aan�de�elders�in�het�WRR-rap-port�bepleite�betrokkenheid�van�de�samenleving.�Waaruitblijkt�een�meer�actieve�inbreng�van�de�samenleving,�groe-pen�en�individuele�burgers?�Waarom�wordt�de�burger�nietveel�meer�interactief�betrokken�bij�de�digitale�middelen?Wat�is�de�mening�van�de�regering?Wat�is�de�meerwaarde�van�nog�meer�instanties�naast

de�bestaande�zoals�het�CBP?�Komen�er�andere�instrumen-ten,�methoden�of�werkwijzen?�Zo�ja,�welke�dan?�Waar-om�zouden�die�ineens�wel�effectief�zijn�en�waarom�kun-nen�die�niet�worden�toegepast�door�de�bestaande�instan-ties?�Komt�er�een�herhaling�van�zetten�zoals�met�de�Cen-tra�voor�Jeugd�en�Gezin�naast�de�Bureaus�Jeugdzorg?In�plaats�van�verbeteringen�brengen�grote�extra�investe-ringen�meer�belasting�voor�de�dienstverlening�volgenshet�gebruikelijke�bestuurlijke�Pavlovreactiepatroon.�1.�Wehebben�een�probleem�dus�we�stellen�nog�een�instantie�inwaarmee�we�aangeven�"iets"�te�doen.�Die�instantie�noe-men�we�autoriteit,�taskforce�of�iets�dergelijks�en�die�gaatsoortgelijke�instanties�beconcurreren,�waardoor�de�uit-voering�extra�en�vaak�tegenstrijdige�instructies�krijgt�2.�De

Tan


instantie�krijgt�targets,�meestal�kwantitatief,�want�kwaliteitis�moeilijk�meetbaar.�Daartoe�wordt�een�informatiesys-teem�ontwikkeld,�want�"meten�is�weten".�Jammer�genoegalleen�van�het�kwantitatieve�deel�van�het�product.�3.�Dewerkvloer�moet�bijhouden�of�de�targets�worden�gehaald.Dus�de�bureaucratische�last�wordt�groter,�temeer�als�ookprotocollen�zijn�voorgeschreven.�De�administratieve�be-lasting�gaat�nog�meer�ten�koste�van�de�beschikbare�capa-citeit�voor�de�primaire�taak.�4.�Het�systeem�van�honore-ring�en�subsidiëring�op�basis�van�kwantitatieve�prestatieshoudt�het�risico�in�van�perverse�prikkels.�5.�De�beschik-bare�informatie�leidt�tot�schijnzekerheid,�want�de�kernin-formatie,�de�kwaliteit�en�wat�de�klant�daarvan�vindt,�ont-breekt.�6.�De�professional�komt�minder�aan�het�eigenlijkewerk�toe.Kortom:�de�klant�gaat�er�in�alle�opzichten�op�achteruit.Geeft�dit�niet�aan�dat�het�om�meer�gaat�dan�de�WRR-

spagaat�tussen�dienstverlening�en�privacy?�Naar�onzemening�is�nog�onvoldoende�het�besef�doorgedrongendat�de�effectiviteit�en�efficiency�van�het�overheidsfuncti-oneren�als�zodanig�in�het�geding�is.�Herkent�de�regeringhet�boven�geschetste�beeld�dat�de�bestaande�informati-seringspraktijk�de�kwaliteit�van�de�dienstverlening�aan�deburger�eerder�aantast�dan�verbetert?Bij�de�uitvoerende�taak�van�de�overheid�is�het�begrijpe-

lijk�dat�de�automatisering�in�eerste�instantie�heeft�geleidtot�registratie�van�allerlei�gegevens.�De�nieuwe�geavan-ceerde�technologieën�maken�echter�een�tot�dusverre�teweinig�toegepaste�individuele�insteek�mogelijk.�Het�kante-len�van�algemene�databestanden�naar�op�het�individu�ge-concentreerde�gegevensverzamelingen�biedt�een�uitwegvoor�ogenschijnlijk�onoplosbare�patstellingen�vanwegeprivacy-�en�veiligheidsrisico's.Als�veel�voorkomend�probleem�bij�het�systeemontwerp

signaleert�de�WRR�de�zogeheten�"function�creep",�doel-vervuiling�tijdens�de�doorlooptijd�bij�de�ontwikkeling�vansystemen�met�als�resultaat�een�onontwarbaar�systeemmet�alle�gevolgen�van�dien�voor�de�praktijk�van�de�uit-voering�en�de�kosten.�Een�ander�veel�voorkomend�feno-meen�is�het�aanbod�dat�de�vraag�creëert.�Er�is�een�nieuwetechniek�waar�een�toepassing�bij�wordt�gezocht�of�er�iseen�bestand�ontwikkeld�waarvan�al�te�gemakkelijk�gebruikgemaakt�wordt.�Een�voorbeeld�is�het�Schengenbestand,waarop�naast�de�oorspronkelijke�drie�inmiddels�zo'n�hon-derd�gebruikers�zijn�aangesloten.�Is�de�regering�zich�be-wust�van�de�risico's�van�deze�koppelingen�voor�burgers,zeker�gelet�op�de�eerder�door�de�Rekenkamer�gesigna-leerde�foutregistraties?�Is�hier�geen�strenge�effectiviteits-toets�vooraf�nodig�op�basis�van�wettelijke�criteria?Van�belang�voor�de�kwaliteit�van�beleid�en�praktijk�zijn

waarborgen�voor�het�opdrachtgeverschap�en�toezicht�inde�vorm�van�instrumenten�en�instituties.�Instrumenten�alsprivacy�impact�assessment�(PIA),�privacy�by�design,�pri-vacy�enhancing�technologies�(PET)�en�gateway�reviewszijn�de�meest�gangbare.�Over�de�PIA's�hebben�wij�schrif-telijke�vragen�gesteld�die�deels�zijn�beantwoord.�In�aan-vulling�daarop�de�vraag�hoe�de�regering�de�PIA's�en�deoverige�genoemde�instrumenten�wil�inzetten�bij�de�ont-wikkelingstrajecten�en�of�de�regering�een�vorm�als�socialimpact�assessment�denkbaar�acht?�Hoe�denkt�de�regeringover�versterking�van�het�toezichtinstrumentarium�metverplichte�openbaarheid�bij�onderzoek�naar�praktijken�vanbedrijven�en�over�hogere�sancties,�zoals�dwangsommenen�boetes?Inzake�de�instituties�geeft�de�regering�aan�voor-

alsnog�vast�te�houden�aan�de�huidige�opzet�van�het

CBP. Niettemin�wijst�het�CBP�bij�voortduring�op�knelpun-ten�bij�de�uitvoering�vanwege�capaciteitstekort.�Uit�de�sa-menleving�komen�inderdaad�signalen�over�moeilijke�toe-gang�tot�het�CBP�tot�op�het�niveau�van�Kamerleden�vande�Eerste�Kamer,�zoals�bij�de�voorbereiding�van�de�be-sluitvorming�over�de�slimme�meters.�Acht�de�regering�hetter�versterking�van�een�robuuste�toezichtfunctie�niet�raad-zaam�de�capaciteit�van�het�CBP�uit�te�breiden�met�meerfte's�en�daarnaast�de�taak�van�het�CBP�meer�toe�te�spitsenop�het�toezicht�op�naleving�van�de�wet?�Zou�dan�het�ser-vicecentrum�ter�ondersteuning�van�veiligheid�en�jeugd-zorgprofessionals�niet�moeten�worden�verbreed�naar�allesectoren�en�naar�burgers�naast�professionals?�Uiteraardzijn�de�drie�fte's�dan�helemaal�niet�meer�voldoende.Essentieel�in�de�WRR-aanbevelingen�is�de�permanen-

te�commissie�die�jaarlijks�rapporteert�over�de�staat�vande�informatie,�met�inbegrip�van�een�effectiviteittoets�vankoppeling�en�verwerking�van�persoonsgegevens,�inclu-sief�de�effectiviteittoets�vooraf,�en�van�een�evaluatie�vanlopende,�gestrande�en�afgeronde�projecten.�Kan�de�rege-ring�aangeven�of�een�dergelijk�instituut�niet�zozeer�recht-streeks�aan�het�parlement�rapporteert,�maar�ook�kan�wor-den�gepositioneerd�als�specifiek�onderdeel�van�het�onder-zoeksbureau�van�de�Tweede�Kamer�zelf?�Meer�in�het�alge-meen:�zijn�genoemde�instrumenten�niet�alleen�voor�be-staande�instituties�maar�ook�voor�de�Tweede�Kamer�toe-pasbaar?De�WRR-aanbevelingen�zijn�volgens�de�PvdA-fractie

kenmerkend�voor�de�eenzijdige�nadruk�op�de�overheidenerzijds�en�de�veronachtzaming�van�de�individuele�be-hoeften�en�mogelijkheden�van�de�burger�anderzijds.�Erdient�een�meer�gelijkwaardige�wisselwerking�te�komentussen�de�instituties�die�namens�ons�werken�en�de�indivi-duen�voor�wie�ze�dat�doen.�Met�behulp�van�Web�2.0�kande�burger�de�resultaten�van�democratie�en�dienstverle-ning�eerder�en�beter�beïnvloeden.�Stemmen�met�de�voe-ten�wordt�stemmen�met�de�vingers.�De�burger�moet�alseerste�de�beschikking�over�zijn�persoonsgegevens�heb-ben.�Het�beschikkingsrecht�voor�instituties�daarover�moetuitzondering�in�plaats�van�regel�worden.�Is�de�regeringbereid�een�wetsvoorstel�inzake�identiteitsmanagementvoor�te�bereiden,�mede�gebaseerd�op�het�voorstel�van�deVS-senatoren�Kerry�en�McCain?Overheidsprojecten�moeten�standaard�zijn�voorzien

van�openbare�kosten-batenanalyses,�openbaarheid�vanhaalbaarheidsstudies,�pilots�en�onderzoeksrapportages,ondersteuning�door�externe�expertmeetings�en�onafhan-kelijk�advisering.�Publieke�betrokkenheid�door�openheidover�opdrachtverstrekking,�reikwijdte,�inhoud�en�resul-taten�van�onderzoek�en�ontwikkeling�van�door�de�over-heid�gefinancierde�systemen�is�een�must.�Door�transfor-matie�naar�bottom-up�in�plaats�van�top-down�kan�vanuitde�burger�tegenmacht�ten�opzichte�van�grootmachten�inde�publieke�en�private�sector�worden�gegenereerd,�meteen�voortrekkersfunctie�van�de�volksvertegenwoordiging,vooral�de�Tweede�Kamer.�Ook�particuliere�instanties�alsconsumentenorganisaties,�mediaprogramma's,�zoals�Ra-dar,�en�privacygroepen�hebben�een�aanjaagfunctie.�Doorde�openbaarheid�en�transparantie�van�instituties�te�waar-borgen�dient�de�overheid�zich�te�verantwoorden�ten�op-zichte�van�de�burger�in�plaats�van�vice�versa.�Inperkenvan�de�WOB�is�dus�uit�den�boze.�Graag�een�reactie�van�deregering�op�deze�visie.

Franken


De�heer�Franken�(CDA):Voorzitter.�Dagelijks�laten�u�en�ik�digitale�sporen�achter.Wie,�waar,�wanneer�wij�bellen�of�mailen,�wat�we�kopen–�denk�aan�de�barcode�–�welke�tv-programma's�wij�bekij-ken,�welke�medicijnen�wij�gebruiken:�het�is�bij�vele�ande-ren�bekend.�Soms�laten�wij�die�sporen�vrijwillig�achter,omdat�we�een�tegenprestatie�ontvangen�of�denken�te�ont-vangen�als�gewaardeerde�klant,�maar�wij�weten�niet�datwe�op�grond�van�die�informatie�in�het�vervolg�misschienjuist�zullen�worden�uitgesloten.�Wij�realiseren�ons�niet�ofnauwelijks�dat�Hyves,�Facebook,�Twitter�en�LinkedIn�al�on-ze�gegevens,�meestal�geanonimiseerd,�gebruiken�en�ver-kopen.�Ook�worden�veel�sporen�ons�afgedwongen�doorde�overheid�op�doorgaans�gerespecteerde�gronden,�maardan�weten�wij�evenmin�wat�er�in�werkelijkheid�met�"onze"gegevens�gebeurt.�Men�weet�ontzettend�veel�van�ons�ter-wijl�wij�dat�zelf�niet�weten.De�overheid�houdt�ons�in�de�gaten�met�passagierslijs-

ten,�met�controle�van�ons�betalingsverkeer,�met�black-lists�op�EU-�of�VN-niveau�en�is�door�middel�van�de�be-waarplicht�verkeersgegevens�een�permanente�luistervink.Het�CIOT�wordt�naar�het�schijnt�300.000�keer�per�maandbevraagd,�dat�wil�zeggen�10.000�keer�per�dag.�Bedrijvenanalyseren�ons�koop-�en�betaalgedrag�en�maken�daardoor�middel�van�statistische�bewerkingen�profielen�van,waarmee�men�ons�een�identiteit�toekent�en�eigenschap-pen�toedicht,�die�wij�misschien�niet�eens�zouden�willenhebben.De�vraag�is:�is�dat�nu�zo�erg?�"Nee",�zegt�een�slinken-

de�groep�mensen,�"want�ik�heb�niets�te�verbergen".�Datzei�bijvoorbeeld�de�presentator�van�een�populair�BBC-pro-gramma�–�hij�stond�gisteren�in�de�NRC�–�en�hij�maaktezijn�eigen�rekeningnummer�bekend.�In�een�mum�van�tijdwist�iemand�zich�toegang�tot�zijn�rekening�te�verschaffenom�een�maandelijkse�afschrijving�aan�te�maken�van�£500naar�een�goed�doel.�De�man�is�sindsdien�van�mening�ver-anderd.�Ook�is�de�toonzetting�in�de�pers�niet�meer�nega-tief.�Datalekkages�zijn�nu�serieus�nieuws�in�Engeland.�Eris�zelfs�een�minister�over�gestruikeld.�Het�privacybewust-zijn,�dat�in�Nederland�tot�voor�kort�bijzonder�laag�was�–32%�in�2008�ten�opzichte�van�een�gemiddelde�in�de�Euro-pese�Unie�van�68%�–�is�beduidend�gestegen.Een�recente�voorstudie�voor�het�WRR-rapport�toont�aan

dat�privacy�voor�de�burger�beslist�geen�gepasseerd�stati-on�meer�is.�De�respondenten�in�dat�onderzoek�geven�aandat�zij�inzage�willen�hebben�in�de�elektronische�dossiers,zodat�ze�gegevens�kunnen�corrigeren�en�weten�wie�de�ge-gevens�inziet�en�bewerkt.Het�is�dus�zeker�belangrijk�om�als�burger�zo�veel�mo-

gelijk�een�afweging�te�maken�waar�en�wanneer�je�sporenachterlaat.�Ik�moet�daarbij�vaak�denken�aan�een�roman�uitde�jaren�dertig�van�de�vorige�eeuw:�"Der�Mann�ohne�Ei-genschaften".�Nu�krijgt�een�burger,�die�wel�eigenschap-pen�heeft,�er�een�of�meerdere�opgeplakt,�die�hij�of�zij�nietwil.�Erger�is�nog�wanneer�iemand�anders�zich�jouw�iden-titeit�toe-eigent.�Dat�is�niet�zo�moeilijk.�"Spoofing"�heetdat�in�het�jargon.�Ik�wil�graag�van�de�bewindslieden�horenwat�zij�tegen�deze�gedragingen�in�onze�"geketende�net-werken"�denken�te�ondernemen�en�wel�tegen�de�achter-grond,�dat�identiteitsfraude�in�de�Verenigde�Staten�wordtgezien�als�de�snelst�groeiende�vorm�van�misdaad.�Ik�komer�straks�nog�even�op�terug.Vandaag�wil�ik�spreken�over�het�vinden�van�een�ba-

lans�tussen�het�overheidsbelang�tot�dataverzameling�en

-verwerking�ten�behoeve�van�voornamelijk�veiligheid�enpreventie�enerzijds�en�de�inbreuk�op�het�recht�op�eerbie-diging�van�het�privéleven�en�de�bescherming�van�per-soonsgegevens�anderzijds.�Aan�dit�onderwerp�zijn�doorde�CDA-fractie�in�de�algemene�politieke�beschouwingenvan�2008�al�beschouwingen�gewijd.�Wij�spreken�hier�overde�werking�van�twee�grondrechten:�de�artikelen�7�en�8van�het�Europese�Handvest�met�analoge�bepalingen�in�ar-tikel�8�EVRM�en�artikel�10�van�de�Grondwet.�Beperkingenop�deze�rechten�voor�de�burger�zijn�mogelijk,�maar�diemoeten�aan�strikte�voorwaarden�voldoen.Ik�zal�eerst�trachten�de�schuivende�panelen�van�de�twee

gebieden�aan�te�geven.�Daarna�zal�ik�ingaan�op�de�stuk-ken�die�de�beide�bewindspersonen�ons�als�antwoordop�onze�vragen�hebben�toegestuurd,�waarin�een�aantalmaatregelen�wordt�voorgesteld.�Overigens�mijn�dankvoor�de�toezending�van�deze�stukken.�Ten�slotte�leg�ik�eenaantal�aandachtspunten�en�suggesties�voor,�die�ondermeer�zullen�uitmonden�in�een�motie�met�betrekking�tothet�wetgevingsproces.Er�is�al�veel�geschreven�en�ook�veel�geregeld�met�be-

trekking�tot�de�verhouding�tussen�veiligheid�en�de�be-scherming�van�de�persoonlijke�levenssfeer.�De�uitgangs-punten�voor�de�privacybescherming�zijn�neergelegd�in�deWbp�van�2001,�die�is�gebaseerd�op�een�richtlijn�van�1995.De�hoofdlijn�betreft�de�informatie�aan�en�de�toestemmingvan�de�betrokkene,�zijn�inzage-�en�correctierecht�en�dedoelbinding.�Dat�laatste�wil�zeggen�dat�alleen�onder�be-paalde�voorwaarden�gegevens�mogen�worden�gebruiktbuiten�het�domein�waarvoor�zij�zijn�verzameld.�Deze�uit-zonderingen�zijn:- het�voorkomen,�opsporen�en�vervolgen�van�strafbarefeiten;- de�bescherming�van�belangrijke�financiële�en�economi-sche�belangen�van�de�staat;- de�bescherming�van�de�betrokkene�of�de�rechten�envrijheden�van�anderen.

Van�deze�uitzonderingsmogelijkheden�is�in�een�hele�se-rie�wetten�gebruik�gemaakt.�Een�groot�aantal�daarvan�da-teert�al�van�vóór�9/11,�maar�ook�daarna�zijn�er�stelselmatignieuwe�of�meer�uitgebreide�bevoegdheden�voor�politie�enOpenbaar�Ministerie�bijgekomen.�Daar�spelen�natuurlijkmaatschappelijke�ontwikkelingen�een�rol.�Ik�denk�aan�detoename�van�de�georganiseerde�criminaliteit,�de�toenamevan�de�bevolkingsdichtheid�met�als�gevolg�minder�socialecontrole,�alsmede�technologische�ontwikkelingen�waar-door�datamining�en�profilering�mogelijk�zijn�gemaakt.�Wijkunnen�echter�–�en�in�het�Rathenaurapport�staat�het�nogeens�netjes�op�een�rij�–�in�de�uitbreiding�van�wetgevingeen�aantal�trends�onderscheiden.- Politieonderzoek�wordt�steeds�vaker�uitgebreid�tot�per-sonen�op�wie�zelf�geen�verdenking�rust.�Nu�is�het�zelfs�zodat�iedere�Europeaan�een�verdachte�is,�omdat�zijn�com-municatiegegevens�onder�het�bereik�van�de�opsporings-instanties�worden�gebracht.- Politioneel�onderzoek�krijgt�in�toenemende�mate�devorm�van�een�verkenning,�waarin�op�basis�van�risicopro-fielen�potentieel�verdachte�groepen�worden�gevolgd.- Bestaande�wettelijke�beperkingen�die�gelden�voor�hetgebruik�van�bepaalde�onderzoeksmethoden�worden�ver-licht.- Opsporingsdiensten�krijgen�meer�mogelijkheden�omzelfstandig�onderzoek�te�verrichten�zonder�dat�de�toe-stemming�van�een�rechter-commissaris�voor�ingrijpendemaatregelen�nodig�is.

Franken


- Opsporingsdiensten�kunnen�in�toenemende�mate�be-schikken�over�persoonsgegevens�afkomstig�van�ande-re�(semi)overheidsdiensten,�die�voor�andere�dan�opspo-ringsdoeleinden�zijn�verzameld.- Opsporingsdiensten�dwingen�steeds�vaker�andere�par-tijen�tot�medewerking�aan�onderzoek.

Nu�zijn�al�die�maatregelen�op�zich�best�verdedigbaar,althans�verklaarbaar,�maar�er�is�geen�overzicht�meer.�Wijbevinden�ons�op�een�"slippery�slope".�Er�worden�steedsnieuwe�bevoegdheden�geschapen,�terwijl�de�grenzen�vande�bestaande�bevoegdheden�nog�niet�echt�zijn�verkend.Hoe�moet�het�nu�verder�gaan�of�moet�het�überhaupt�nogwel�verder�gaan?Wij�verwachten�binnenkort�de�"slimme"�camera's,�die

zelfstandig�afwijkingen�van�tevoren�vastgestelde�patronenkunnen�herkennen.�De�wachter�wordt�een�onverbiddelij-ke�robot.�Met�RFID�kun�je�mensen�overal�en�altijd�volgen.De�zelfdenkende�computers�doen�hun�intrede.�Deze�com-puters�nemen�zelfstandig�beslissingen.�Moeten�wij�dan�deopsporingsbevoegdheden�–�op�voorhand�–�weer�gaan�uit-breiden?�Zal�er�meer�"function�creep",�toe-eigening�vanbevoegdheden�in�strijd�met�de�doelbinding,�worden�ge-creëerd?�Is�het�mislukken�van�de�centrale�opslag�van�vin-gerafdrukken�niet�een�nieuwe�les,�dat�naast�het�epd,�waarde�autorisatie�het�knelpunt�bleek,�nu�door�de�ontoerei-kende�verificatie�het�totale�systeem�nog�niet�rijp�was?�Hetgaat�dan�niet�alleen�om�de�techniek,�maar�vooral�om�deorganisatie.�Daar�mag�toch�geen�basis�liggen�voor�de�uit-oefening�van�opsporingsbevoegdheden?�Ik�houd�hiermeeeen�pleidooi�voor�zowel�techniekonafhankelijke�wetge-ving�als�voor�grote�terughoudendheid�ten�opzichte�vanhet�scheppen�van�nieuwe�bevoegdheden.�Graag�de�me-ning�van�de�bewindslieden�hierover.Ik�sprak�al�even�over�het�gevaar�van�identificatiefraude.

Er�is�recentelijk�onderzoek�gedaan�naar�de�kennis,�de�hou-ding�en�het�gedrag�van�burgers�ten�aanzien�van�de�voor-koming�van�identiteitsfraude.�Het�blijkt,�dat�de�burgers�erniet�zoveel�van�weten.�Zij�hebben�behoefte�aan�informatiedaarover�en�voelen�zich�medeverantwoordelijk.�Immers,veel�gevallen�zijn�te�voorkomen.�Ziet�het�kabinet�hier�eentaak�door�het�aanbieden�van�"slachtofferhulp�avant�la�Iet-tre"�en�door�strafbaarstelling�van�bepaalde�gedragingen?Wil�de�minister�of�de�staatssecretaris�medewerking�ver-

lenen�om�encryptietechnieken�te�bevorderen�en�daardoorherroepbare�privacy�in�brede�zin�mogelijk�te�maken?�Inhet�boek�Check�in/Check�out�van�het�Rathenau�Instituut�isbeschreven�hoe�een�betrouwbare�digitale�identiteit�kanworden�opgebouwd�met�een�machtiging�aan�de�politieom�onder�bepaalde�voorwaarden�in�kennis�te�worden�ge-steld�van�de�sleutel.�De�collega's�van�de�PvdA-fractie�heb-ben�hiernaar�gevraagd,�maar�er�is�op�deze,�naar�mijn�me-ning�voor�de�toekomst�uitermate�belangrijke�vraag�noggeen�antwoord�gegeven.In�de�paragraaf�Visie�van�de�regering�gaan�de�bewinds-

personen�gedegen�in�op�de�vraagstukken�die�het�makenvan�profielen�met�zich�kan�brengen.�Ik�heb�daar�toch�nogenige�vragen�over.�We�moeten�ervan�uitgaan�dat�ICT-toe-passingen�allesbehalve�neutraal�zijn.�Onder�invloed�vande�inzet�van�technologie�gaat�de�overheid,�zoals�iederegebruiker,�anders�handelen�en�functioneren.�Natuurlijkworden�er�al�veel�langer�grote�hoeveelheden�gegevensverzameld.�Nu�gaat�het�erom�uit�de�berg�van�verzamel-de�gegevens�de�relevante�informatie�te�vergaren.�Daar-voor�worden�beelden�van�burgers,�typeringen�van�consu-menten�of�categorieën�van�klanten�gemaakt.�In�de�publie-

ke�sfeer�wordt�die�identiteit�benut�voor�een�specifiek�doel-groepenbeleid:�fraudebestrijding,�jeugdbeleid,�huiselijkgeweld�enzovoort.�De�vraag�is�nu�hoe�dynamisch�deze�ge-construeerde�digitale�identiteiten�zijn.�Bestaat�de�moge-lijkheid�om�profielen�aan�te�passen�en�veranderde�identi-teiten�te�wissen?�Is�er�een�recht�om�te�worden�vergeten,of�is�wie�eens�steelt�inderdaad�voor�altijd�een�dief?Deze�typeringen�kunnen�bovendien�multifunctioneel

worden�ingezet,�met�als�gevolg�dat�er�samenwerkingsvor-men�tussen�overheidsorganen�ontstaan�en�het�principevan�doelbinding�wordt�veronachtzaamd.�Bovendien�ligtfunction�creep�hierbij�voor�de�hand.�Juridisch�rijzen�hierook�nog�vragen:�wie�is�dan�de�in�de�Wbp�voorgeschrevenverantwoordelijke�voor�de�gegevensbescherming?�En�hoestaat�het�met�de�mogelijkheid�tot�inzage�en�correctie�voorde�"Mann�mit�zugeschriebenen�Eigenschaften"?Waar,�zoals�bij�de�hantering�van�de�Wbp,�belangen

moeten�worden�afgewogen,�is�het�voor�de�praktijk�nuttigom�criteria�aan�te�reiken�die�daarbij�kunnen�helpen.�Decommissie-Brouwer-Korf�heeft�voor�de�afwegingen�metbetrekking�tot�gegevensverwerking�in�het�veiligheidsdo-mein�een�richtinggevend�kader�aangeboden�voor�de�fei-telijke�omgang�met�persoonsgegevens.�Het�gaat�om�degrondslagen�die�de�personen�die�de�betreffende�afwegingmoeten�maken�bij�hun�keuzes�moeten�hanteren.�Deze�cri-teria�dienen�serieus�te�worden�genomen.Daarnaast�verdient�een�leidraad�voor�de�wetgever�aan-

dacht.�Dan�gaat�het�niet�zozeer�om�het�departementaledocument�dat�de�titel�draagt�"Leidraad�afstemmen�vanwetgeving�op�de�Wet�bescherming�persoonsgegevens",overigens�een�prima�leer-�en�handboek�voor�wetgevings-ambtenaren.�Het�gaat�om�noodzakelijke�aandachtspun-ten�voor�de�wetgever�die�aan�de�orde�moeten�komen�bijbeslissingen�inzake�privacygevoelige�wetgevingsprojec-ten.�We�hebben�in�deze�Kamer�in�maart�2008�daarover�tij-dens�een�expertmeeting�gediscussieerd�en�toen�Kamer-breed�tezamen�met�alle�aanwezige�deskundigen�gecon-cludeerd�dat�ieder�wetsvoorstel�waarbij�de�beschermingvan�de�persoonlijke�levenssfeer�een�rol�kan�spelen,�ge-toetst�moet�worden�aan�de�volgende�vijf�criteria.Als�eerste�noem�ik�de�noodzaak,�effectiviteit�en�han-

teerbaarheid�van�de�maatregel.�Vooral�die�noodzaak�isniet�zo�vanzelfsprekend�als�het�lijkt.�Het�gaat�erom�dat�jegegevens�alleen�mag�verzamelen�en�verwerken�omdathet�moet�en�niet�omdat�het�kan.�Het�tweede�criterium�isde�proportionaliteit:�de�inbreuk�mag�niet�groter�zijn�danstrikt�noodzakelijk�is.�Het�derde�aandachtspunt�gaat�overde�resultaten�van�een�privacy�impact�assessment.�Hier-door�wordt�vooraf�onderzocht�welke�risico's�de�maatre-gel�met�zich�meebrengt.�Vier:�effectief�toezicht�en�contro-le.�Het�laatstgenoemde�begrip�is�hierbij�niet�opgevat�in�deAngelsaksische�zin�van�beheersen�("to�control"),�maar�vande�Franse�benadering�"contre�rôle",�waarbij�het�gaat�omtegenspel,�onder�meer�te�realiseren�door�audits�door�deonafhankelijke�toezichthouder.�Ten�slotte�het�vijfde�aan-dachtspunt:�de�beperking�van�de�geldigheidsduur�dooreen�horizonbepaling,�of�in�ieder�geval�een�evaluatiebepa-ling.Wij�stellen�voor�dat�er�in�de�memorie�van�toelichting

van�de�in�aanmerking�komende�wetsvoorstellen�tot�uit-drukking�wordt�gebracht�hoe�er�aan�deze�toetsingscriteriais�voldaan,�net�zoals�dat�gebeurt�bij�het�nemen�van�ande-re�vaste�stappen�in�het�wetgevingsproces.�Het�komt�onsopportuun�voor�om�deze�conclusies�thans�in�een�motievast�te�leggen.�Ik�kom�in�de�tweede�termijn�met�de�motie

Franken


omdat�ik�nog�op�zoek�ben�om�deze�zo�breed�mogelijk�ge-dragen�te�doen�zijn.Een�van�de�toetsingscriteria�die�ik�zojuist�besprak,�de

privacy�impact�assessment,�is�in�de�schriftelijke�ronde�ookter�sprake�gekomen.�De�regering�heeft�geantwoord�datzij�initiatieven�vanuit�het�bedrijfsleven�voor�het�ontwik-kelen�van�PIA's�ondersteunt,�maar�geen�voorstander�isvan�het�verplicht�voorschrijven�van�het�gebruik�van�PIA'sin�de�wetgeving.�Als�argument�voert�de�regering�aan�dateen�dergelijke�verplichting�zou�leiden�tot�een�onevenredigzware�financiële�belasting�van�het�bedrijfsleven.Wij�zijn�het�hiermee�niet�eens.�Het�gaat�nu�om�een�ori-

ënterend�onderzoek�dat�het�departement�dient�te�verrich-ten.�Van�het�bedrijfsleven�zal�in�een�enkel�geval�misschienworden�gevraagd�een�vragenlijst�in�te�vullen.�Het�gaathier�niet�om�een�milieueffectrapportage�waarvoor�een�se-rie�deskundigen�uitgebreide�studies�moet�verrichten.�Bo-vendien�is�het�afwijzende�antwoord�niet�in�lijn�met�de�be-geleidende�brief�waarin�de�beantwoording�van�de�Kamer-vragen�wordt�aangeboden.�In�de�brief�staat�namelijk�on-der�punt�j�dat�een�onderzoek�zal�worden�gedaan�"naar�demogelijkheid�om�de�Awb�te�benutten�voor�het�delen�vantoezichtgegevens�en�de�mogelijkheden�voor�het�gebruikvan�PIA's".�Daarnaast�staat�in�de�notitie�Privacybeleid�oppagina�13�dat�het�wetsvoorstel�ANPR�een�goede�gelegen-heid�vormt�om,�in�mijn�woorden,�als�proeftuin�te�dienen.Aansluitend:�privacy�by�design�wordt,�terecht,�door�de�re-gering�aanvaard.�Het�ministerie�van�EL&I�heeft�TNO�ge-vraagd�daar�onderzoek�naar�te�doen.�Kan�de�minister�ofde�staatssecretaris�een�indruk�geven�van�de�vraagstellingvoor�en�vormgeving�van�dit�onderzoek?In�het�kader�van�de�Europese�en�internationale�ont-

wikkelingen�wil�ik�aandacht�vragen�voor�cloudcompu-ting.�Deze�vorm�van�dataverwerking�maakt�een�ongeken-de�flexibiliteit�en�schaalbaarheid�mogelijk�en�biedt�daar-om�zeer�gunstige�economische�perspectieven.�Er�bestaanechter�twijfels�over�de�privacywaarborgen�en�de�toegan-kelijkheid�van�data,�waardoor�de�maatschappelijke�accep-tatie�en�het�brede�gebruik�van�clouddiensten�stagneert.Ziet�de�regering�kans�om�maatregelen�te�treffen�waar-door�aan�de�gebruikers�de�zekerheid�wordt�gegeven�datzij�over�"hun"�gegevens�kunnen�beschikken�en�dat�zij�zon-der�al�te�veel�moeite�kunnen�overstappen�naar�een�ande-re�leverancier,�zoals�dat�ook�in�de�telecommunicatiesectormet�de�nummerportabiliteit�is�geregeld?�De�gebruikerszouden�er�ook�op�moeten�kunnen�vertrouwen�dat�hun�da-ta�die�bij�cloudcomputing�her�en�der�worden�verspreid,goed�zullen�worden�beveiligd�en�niet�zullen�worden�mis-bruikt.Daarnaast�zijn�er�nog�veel�vragen�met�betrekking�tot

de�aansprakelijkheid�van�de�ISP's,�het�toepasselijke�rechten�de�individuele�toegang,�correctie�en�verwijdering.�Zietde�regering�een�middel�om�desondanks�deze�economi-sche�gangmaker�te�faciliteren?�Naar�ik�aanneem�–�maar�ikvraag�voor�de�zekerheid�nog�even�een�bevestiging�–�on-dersteunt�de�regering�de�netneutraliteit�en�zal�zij�zich�metkracht�tegen�iedere�vorm�van�filtering�verzetten.Ten�slotte.�Ondanks�het�feit�dat�wij�een�schriftelijke�ron-

de�hebben�gehad,�zijn�er�nog�veel�vragen.�Ik�zal�me�des-ondanks�beperken�tot�een�laatste�opmerking�met�het�ver-zoek�om�commentaar�daarop�van�de�beide�bewindslie-den.�Als�uitgangspunt�voor�de�benadering�van�informatie-grondrechten�kies�ik�het�adagium�"kennis�is�vrij".�Dat�be-tekent�dat�in�beginsel�alle�informatie�vrij�is.�Informatie�be-heersen,�zoals�dictators�gewoon�zijn�te�doen�door�mediate�verbieden,�past�in�een�verouderd,�hiërarchisch�informa-

tiemodel.�Nu�heeft�iedereen�een�mobieltje�en�is�zelf�ver-slaggever.�Dat�leidt�tot�twee�veranderingen.�In�de�eersteplaats�wordt�de�aandacht�verplaatst�van�de�verwerkingvan�data,�processing�of�data,�naar�het�datagebruik�en�deconsequenties�daarvan�voor�de�burgers,�zoals�het�mani-puleren�van�identiteiten.Daarnaast�zien�we�een�verschuiving�van�privacy�als�in-

dividueel�afweerrecht�in�de�richting�van�collectieve�doe-len�zoals�autonomie,�sociale�cohesie�en�gelijke�behande-ling.�De�oorzaak�daarvan�vormen�de�technologische�ver-anderingen�van�web�2.0.�Wij�zien�privacy�van�"the�rightto�be�let�alone",�het�afweerrecht�dat�het�privédomein�be-schermt,�overgaan�naar�"the�right�to�act�alone",�een�ac-tierecht.�Dat�betekent:�ik�bepaal�zelf�mijn�profiel.�Andersgezegd:�er�bestaat�een�collectief�georganiseerde�bescher-ming�van�persoonsgegevens�met�daarnaast�het�recht�omindividueel�de�wijze�van�gebruik�van�de�eigen�persoons-gegevens�te�bepalen.�Het�optreden�van�de�twitteraar�enFacebookadept�moet�daartoe�dan�ook�worden�gefacili-teerd.�In�deze�zin�wordt�privacy,�evenals�de�vrijheid�vanmeningsuiting,�een�voorwaarde�voor�een�vrije�en�demo-cratische�samenleving.�Graag�verneem�ik�de�visie�van�deregering�op�deze�ontwikkeling.

Mevrouw�Slagter-Roukema�(SP):Voorzitter.�Ik�voer�mede�namens�de�Partij�voor�de�Dierenhet�woord,�dus�dat�scheelt�in�de�tijd.�Daardoor�wordt�mijnbijdrage�misschien�iets�langer,�maar�in�totaal�zal�het�ietskorter�worden.Een�debat�zoals�we�vandaag�voeren�met�de�minis-

ter�van�Binnenlandse�Zaken�en�Koninkrijksrelaties�ende�staatssecretaris�van�Veiligheid�en�Justitie�heeft�alsgrootste�valkuil�dat�het�te�veel�gaat�uitwaaieren.�Hierdoorwordt�over�veel�zaken�iets�gezegd�maar�komt�er�vervol-gens�weinig�uit�als�het�om�afspraken�en�resultaten�gaat.Toch�is�een�debat�als�dit�nodig,�verwijderd�van�de�hectiekvan�alledag,�gevoerd�in�een�omgeving�waar�de�politiekuiteindelijk�misschien�wel�het�eindoordeel�velt,�maar�waarook�plaats�is�voor�bezinning�en�reflectie,�plaats�voor�eeninhoudelijk�debat.�Het�is�de�mening�van�mijn�fractie�dathet�hoog�tijd�is�om�ons�te�bezinnen�op�de�stand�van�za-ken�met�betrekking�tot�de�balans�tussen�bewaken�van�deveiligheid�en�het�recht�van�de�burger�op�bescherming�vanzijn�persoonlijke�levenssfeer.Ter�voorbereiding�op�dit�debat�heb�ik�me�laten�leiden

door�de�bevindingen�van�de�adviescommissie�veiligheiden�persoonlijke�levenssfeer�oftewel�de�commissie-Brou-wer-Korf,�de�evaluatierapporten�van�de�Wet�beschermingpersoonsgegevens�en�de�brief�en�notitie�van�29 april�vanbeide�bewindslieden�over�privacybeleid.�Het�was�prach-tig�dat�wij�die�op�tijd�hebben�gekregen,�waarvoor�mijnhartelijke�dank�aan�de�bewindslieden.�Daarnaast�heb�ikde�publicaties�van�het�Rathenau-instituut�over�databases,over�ICT-beloften,�informatiehonger�en�digitale�autonomieen�de�recente�publicatie�van�de�Wetenschappelijke�Raadvoor�het�Regeringsbeleid�over�de�iOverheid�gelezen.Tot�slot�waren�er�in�het�voorbereidingstraject�op�dit�de-

bat�twee�expertbijeenkomsten�op�20 maart�2008�en�op21 februari�2011�met�deskundigen�op�het�gebied�van�vei-ligheid�en�privacy.�In�beide�bijeenkomsten�zijn�veel�za-ken�aan�de�orde�geweest�die�voor�het�debat�van�vandaagvan�groot�belang�zijn.�Omdat�de�verslagen�openbaar�zijn,hoop�ik�dat�de�bewindslieden�ook�zelf�kennis�hebben�ge-nomen�van�de�discussies�en�dat�niet�alleen�aan�hun�amb-

Slagter-Roukema


tenaren�hebben�over�gelaten.�Ik�ben�overigens�wel�heelerg�verheugd�door�het�grote�aantal�ambtenaren�op�de�tri-bune.�Dat�geeft�het�belang�van�dit�debat�aan.Eigen�observaties�en�eigen�ervaringen�zijn�belangrijk

bij�het�vormen�van�een�mening�en�bij�het�voeren�van�dis-cussies�over�een�zo�belangrijk�onderwerp�als�wij�vandaagbehandelen.�Over�ervaringen�gesproken:�de�ervaringenvan�deze�Kamer�met�de�gang�van�zaken�rondom�het�wets-voorstel�31466,�dat�beoogde�te�komen�tot�een�landelijkepd,�zijn�mijns�inziens�bijzonder�leerzaam�voor�het�debatvan�vandaag.Vorige�week�had�de�commissie�voor�VWS�van�de�Eer-

ste�Kamer�een�mondeling�overleg�met�minister�Schip-pers.�In�dit�overleg�werd�zowel�teruggekeken�op�het�pro-ces�als�ook�vooruitgekeken.�Wat�valt�er�te�leren�van�hetverloop�van�dit�grote�digitaliseringsproject�dat�door�deoverheid�met�zo�veel�ambitie�is�neergezet�en�dat�tot�nutoe�300�mln.�kostte?�Ook�van�dit�overleg�komt�overigenseen�openbaar�verslag.We�hebben�met�elkaar�geconstateerd�dat�de�trein�die

zou�moeten�leiden�tot�een�landelijk�epd�gaandeweg�debehandeling�van�het�wetsvoorstel�een�andere�bestem-ming,�een�ander�doel�en�een�andere�vorm�heeft�gekre-gen.�Er�is�function�creep�opgetreden.�Het�systeem�was�tegrootschalig�en�daardoor�ook�moeilijk�te�beveiligen.�Hetis�begonnen�met�een�valse�start�doordat�het�ministerievan�VWS�de�vorige�minister�op�pad�stuurde�met�een�fouteen�misleidende�introductiebrief�en�er�was�veel�te�weinigaandacht�voor�de�kwaliteit�van�de�gegevens.Tot�onze�vreugde�heeft�minister�Schippers�de�commis-

sie�beloofd�om�op�korte�termijn�een�commissie�in�te�stel-len�die�als�opdracht�krijgt�om�de�rol�van�veld�en�politiekin�dit�hele�proces�te�analyseren�en�te�evalueren,�om�–�ikzeg�het�nog�maar�eens�–�ervan�te�leren.�Ik�verwacht�datde�conclusies�van�de�commissie�niet�alleen�leerzaam�zijnvoor�het�ministerie�van�VWS,�maar�dat�het�leermomentenvoor�alle�ministeries�zal�bevatten.�Ik�ben�benieuwd�naarhet�commentaar�van�de�bewindslieden.In�het�plenaire�debat�dat�op�15 maart�jongstleden�met

de�minister�van�VWS�gevoerd�is,�heb�ik�een�aantal�rand-voorwaarden�genoemd�waaraan�digitaliseringsprojectenvan�de�overheid,�als�grootste�speler�op�het�gebied�vanveiligheid�en�de�belangrijkste�verwerker�van�persoonsge-gevens,�getoetst�dienen�te�worden.�Ze�zijn�gedestilleerduit�hetgeen�de�commissie-Brouwer-Korf�heeft�aanbevo-len�en�wat�de�deskundigen�in�de�expertmeetings�hebbenopgemerkt.�Ze�kleuren�de�bril�waarmee�mijn�fractie�er-naar�wil�kijken.�Ik�zal�die�kort�schetsen.�1.�Van�te�vorenmoeten�bestuurlijke�keuzes�worden�gemaakt.�Het�doelmoet�duidelijk�omschreven�en�afgebakend�zijn.�Er�dienteen�beoordelings-�en�afwegingskader�te�zijn�en�er�moetgewaakt�worden�voor�function�creep.�2.�Privacyaspectenmoeten�vanaf�het�begin�in�het�design�worden�meegeno-men,�evenals�privacy�impact�assessments�tijdens�de�ont-wikkeling.�3.�Toezicht�in�de�ontwerpfase�en�transparantieen�verantwoording�in�de�verschillende�uitvoeringsfasenmoeten�wettelijk�verplicht�zijn,�evenals�externe�onafhan-kelijke�audits.�De�slager�moet�niet�zijn�eigen�vlees�willenkeuren.�4.�De�positie�van�de�burger�dient�versterkt�te�wor-den.�In�jargon,�ik�citeer�hier�de�heer�Kohnstamm:�trans-parantie,�toestemming,�informed�consent,�recht�op�inza-ge,�correctie,�afscherming�en�verzet�inclusief�gezamenlijkoptreden�in�rechten�van�consumer�collective�redress.�5.Compleetheid�van�gegevens�is�niet�te�garanderen.�Houdsystemen�daarom�kleinschalig:�select�before�you�collect.6.�Het�stellen�van�deadlines�zet�de�ontwikkeling�van�een

groot�ICT-project�makkelijk�onder�druk.�Politiek,�ministeren�ICT-industrie�moeten�waken�voor�een�complexiteitsspi-raal�waarmee�ze�elkaar�in�een�wurggreep�houden.Zoals�de�bewindslieden�natuurlijk�al�gemerkt�hebben,

kom�ik�zo�langzamerhand�meer�in�de�buurt�van�de�docu-menten�die�onder�hun�verantwoordelijkheid�zijn�geprodu-ceerd.�Ik�zal�de�genoemde�punten�langslopen�en�van�op-merkingen�voorzien.In�de�eerste�plaats:�het�doel�moet�duidelijk�omschre-

ven�en�afgebakend�zijn.�Er�dient�een�beoordelings-�en�af-wegingskader�te�zijn.�Tijdens�het�debat�in�juli�2007�overwetsvoorstel�30312,�de�invoering�van�het�BSN,�heeft�destaatssecretaris�van�BZK�deze�Kamer�toegezegd�te�ko-men�met�een�voorstel�voor�een�overkoepelend�beoorde-lingskader.�Uit�latere�correspondentie�en�ook�uit�de�beant-woording�van�de�vragen�die�in�de�aanloop�naar�het�debatvan�vandaag�zijn�gesteld,�blijkt�dat�het�nog�niet�zo'n�vaartloopt�met�de�productie�van�het�gevraagde�en�toegezegdekader.�Collega�Tan�wees�daar�ook�al�op.Het�argument�dat�er�op�dit�moment�geen�basis�bestaat

om�te�komen�tot�een�dergelijk�kader�omdat�er�momenteelgeen�nieuwe�wetgeving�of�wetgevingswijzigingen�zijn�in-gediend,�lijkt�mijn�fractie�niet�erg�valide.�Een�beoorde-lingskader,�een�kader�waaraan�je�toetst,�dient�toch�ex�antevervaardigd�te�worden?�Er�ligt�toch�genoeg�materiaal�opbasis�waarvan�in�ieder�geval�een�ontwerpkader�gemaaktkan�worden?Ik�verwijs�daarbij�naar�hetgeen�collega�Franken�heeft

benoemd�tijdens�de�plenaire�behandeling�van�het�wets-voorstel�BSN�in�de�zorg.�Hij�maakte�onderscheid�tussenalgemene,�wettelijke�normen�en�standaarden�voor�kop-peling�van�bestanden�en�een�gelaagd�normenkader,�toete�spitsen�per�sector.�Hierin�zijn�ondergebracht:�transpa-rantie�en�doelbinding;�nut�en�noodzaak�met�effectiviteiten�hanteerbaarheid;�proportionaliteit�van�te�nemen�maat-regelen;�kosten,�baten,�prognose�van�het�gebruik;�priva-cy�impact�assessments�–�ik�zal�dat�vanaf�nu�maar�PIA�noe-men,�uitgesproken�op�zijn�Nederlands�omdat�dat�leukerbekt�dan�de�Engelse�uitspraak�en�doet�denken�aan�eennieuwsgierig�aagje�–�periodieke�controle�op�vervuilingvan�de�bestanden;�een�horizonbepaling.Graag�hoor�ik�een�toelichting�van�de�bewindslieden

op�het�gebrek�aan�actie�op�dit�punt,�waarbij�ik�ook�aante-ken�dat,�zolang�niet�duidelijk�is�hoe�de�overheid�zelf�om-gaat�met�digitale�dataverzameling�en�-uitwisseling,�hetook�moeilijk�voor�de�burger�is�om�de�overheid�erop�aan�tespreken.�Dat�maakt�burger�en�overheid�kwetsbaar.De�Staatscommissie�Grondwet,�de�commissie-Thomas-

sen,�adviseerde�zelfs�om�in�een�grondwettelijke�bepalingover�het�recht�op�de�bescherming�van�persoonsgegevens,het�principe�van�doelbinding�vast�te�leggen.�Dit�zou�be-tekenen�dat�een�precies�doel�moet�worden�aangegevenvoor�de�verwerking�van�gegevens�en�dat�degene�die�ge-gevens�verwerkt,�zich�moet�houden�aan�het�doel�waar-voor�hij�gegevens�heeft�verzameld.Ook�tijdens�de�expertmeeting�van�21 februari�is�het�be-

lang�van�doelbinding�nog�eens�duidelijk�neergezet.�Wewaren�het�er�met�elkaar�over�eens�dat�gegevens�verza-meld�voor�een�specifiek�doel�slechts�voor�een�ander�doelgebruikt�mogen�worden,�mits�dat�doel�verenigbaar�is�methet�oorspronkelijke�doel.�Dat�vereist�dat�het�doel�duidelijkomschreven�is,�dat�het�transparant�is�en�met�argumentenomkleed�en�het�liefst�per�wet�geregeld.Een�belangrijke�reden�om�eventueel�de�specifieke�doel-

binding�te�doorbreken,�zou�kunnen�zijn,�zoals�de�bewinds-lieden�vermelden�in�de�brief�van�29 april,�in�situaties

Slagter-Roukema


waarin�het�vitaal�belang�daartoe�dringend�noodzaakt.�Der-gelijke�situaties�worden�gedefinieerd�als�een�onmiddel-lijke�of�dreigende�aantasting�van�leven�of�gezondheidvan�betrokkene�of�een�derde.�Wij�begrijpen�dat�het�hierbijgaat�om�een�wijziging�van�de�Wet�bescherming�persoons-gegevens�en�vragen�een�toelichting�van�de�bewindslie-den.�Mijn�fractie�is�voor�privacy�by�design�en�niet�voormission�creep�by�design,�zeker�niet�als�dit�by�law�dreigt�teworden�ingevoerd.Mogelijk�kunnen�de�bewindslieden�zich�bij�hun�beant-

woording�laten�inspireren�door�de�gang�van�zaken�rondde�centrale�opslag�van�vingerafdrukken�in�het�kader�vande�Ppw�en�daarbij�ook�de�overweging�meenemen�dat�on-der�het�mom�van�veiligheid�–�centraal�opslaan�van�vinger-afdrukken�dient�de�veiligheid�–�een�andere�veiligheid�ge-schaad�kan�worden:�vingerafdrukken�bevatten�bijzonderkwetsbare�persoonlijke�gegevens.Ik�wil�de�bewindslieden�oproepen�om�kritisch�te�blij-

ven.�Een�term�als�vitaal�belang�is�multi-interpretabel�enafhankelijk�van�de�achtergrond�van�degene�die�hem�han-teert.�Eén�van�de�redenen�dat�het�landelijk�epd-wetsvoor-stel�sneuvelde,�was�juist�dat�het�doel�in�de�loop�van�detijd�veranderde.Mijn�tweede�punt.�Privacy�aspecten�moeten�evenals

PIA's�vanaf�het�begin�in�het�design�worden�meegenomen,voorafgaand�aan�en�tijdens�de�ontwikkeling.�De�bewinds-lieden�melden�ten�aanzien�van�verplichte�PIA's�dat�het�ka-binet�op�dit�moment�onvoldoende�reden�ziet�om�het�ge-bruik�van�PIA's�in�wetgeving�voor�te�schrijven.�De�ver-wachting�is�dat�de�kosten�niet�opwegen�tegen�de�batenen�het�zou�met�name�voor�het�midden-�en�kleinbedrijf�lei-den�tot�een�onevenredig�zware�verplichting.�Wel�zal�bijde�ontwikkeling�van�het�wetsvoorstel�voor�automatischenummerplaatherkenning�–�collega�Franken�wees�hier�ookal�op�en�noemde�het�een�proeftuin�–�ervaring�worden�op-gedaan�met�het�in�kaart�brengen�van�de�effecten�van�devoorgenomen�maatregelen�op�de�persoonlijke�levens-sfeer.�Die�zouden�van�nut�kunnen�zijn�voor�het�ontwikke-len�van�PIA's�voor�eventuele�nieuwe�gegevensverwerkin-gen�op�het�gebied�van�het�ministerie�van�Veiligheid�enJustitie.Mijn�fractie�hoopt�dat�de�conclusie�van�die�exercitie�zal

zijn�dat�een�PIA�in�ieder�geval�voor�alle�overheidsactivi-teiten�verplicht�moet�worden�gesteld�en�openbaar�moetzijn.�Het�is�toch�opvallend�dat�in�de�rest�van�Europa�PIA'sveel�gebruikelijker�zijn�dan�bij�ons.�Met�een�assessmentkomen�de�risico's�rond�de�bescherming�van�persoonsge-gevens�indringend�en�openbaar�op�het�netvlies.�Daarmeekan�dan�bij�het�design�rekening�gehouden�worden.�Mijtrof�de�opmerking�van�professor�Bart�Jacobs�in�het�arti-kel�over�het�epd�in�de�Rathenaupublicatie:�"architecture�ispolitics".�De�ICT-architectuur�die�gekozen�wordt,�geeft�eengoed�beeld�van�de�onderliggende�machtsverhoudingen.Bij�veel�ontwerpen�is�de�positie�van�patiënten,�cliënten�ofburgers�niet�groot.�De�gebruiker,�de�verzamelaar,�bepaaltin�de�meeste�gevallen�de�architectuur.Dat�is�een�extra�reden�om�het�design�kritisch�te�be-

schouwen�en�kennis�van�de�kansen�en�belemmeringenvan�privacy�by�design�breed�te�verspreiden.�Want�wat�isde�reden�dat�privacy�bij�design�in�ons�land�nog�niet�breedwordt�toegepast,�ondanks�dat�het�een�goede�manier�isom�privacybescherming�concreet�vorm�te�geven�in�infor-matiesystemen�waarin�persoonsgegevens�worden�ver-werkt?�Kunnen�de�bewindslieden�in�dit�kader�toelichtenmet�welke�opdracht�TNO�is�begonnen�aan�een�onderzoek

naar�privacy�by�design�en�wanneer�de�resultaten�van�ditonderzoek�zijn�te�verwachten?Mijn�punten�drie�en�vier.�Toezicht�in�de�ontwerpfase�en

transparantie�en�verantwoording�in�de�verschillende�uit-voeringsfasen�moeten�wettelijk�verplicht�zijn.�De�opmer-kingen�die�te�maken�hebben�met�toezicht�en�transparan-tie�en�ook�die�te�maken�hebben�met�het�daarna�genoem-de�punt�van�versterking�van�de�positie�van�de�burger�ra-ken�beide�aan�de�taken�en�bevoegdheden�van�het�Collegebescherming�persoonsgegevens.�Mijn�fractie�is�blij�metde�meeste�voorstellen�tot�wijziging�van�de�Wbp�zoals�ver-meld�in�de�brief�van�29 april,�voorstellen�die�ook�kunnenrekenen�op�instemming�vanuit�het�CBP�zelf.�De�voorzitterJacob�Kohnstamm�vertelde�ons�tijdens�de�laatste�expert-meeting�dat�hij�zich�soms�voelde�als�een�lam�in�plaats�vande�door�hemzelf�gewenste�leeuw.�Ik�heb�enige�moeite�omde�heer�Kohnstamm�als�een�leeuw�te�visualiseren,�maarhet�zijn�zijn�woorden.Een�volwassen�CBP�moet�kunnen�beschikken�over�vol-

doende�sanctiemogelijkheden,�die�ook�nog�afschrikwek-kend�zijn.�Afschrikwekkend�is�kennelijk�een�Neelie�Kroes-achtige�boete.�De�toezichthouder�vraagt�om�meer�bud-get�en�meer�bevoegdheden.�Hij�vraagt�om�een�verplich-ting�tot�materiële�en�formele�samenwerking�met�colle-ga-toezichthouders�en�hij�wil�graag�verplicht�worden�tothet�openbaar�maken�van�zijn�onderzoeksbevindingen.�Ikvond�het�saillant�om�te�horen�dat�de�toezichthouders�ineen�kort�geding�op�zeker�moment�zelf�moesten�strijdenom�de�onderzoeksgegevens�openbaar�te�krijgen.�Wat�isde�stand�van�zaken�ten�aanzien�van�de�ontwikkeling�vanhet�wetsvoorstel?�Gaat�de�regering�ook�iets�doen�met�denuttige�adviezen�van�het�CBP?In�dit�kader�vraag�ik�nogmaals�naar�de�beantwoording

van�de�vraag�door�mijn�fractie�gesteld�tijdens�de�voorbe-reiding�van�dit�debat.�Het�betreft�de�vraag�naar�de�dubbe-le�petten�van�het�CBP,�een�positie�waarvan�de�voorzitterzelf�aangaf�dat�hij�dat�het�ongemakkelijk�vond.�Mijn�frac-tie�vindt�dat�de�beantwoording�van�onze�vraag�niet�ade-quaat�was.�Het�CBP�combineert�taken�die�volgens�de�tri-as�politica�niet�bij�elkaar�horen.�Hij�is�toezichthouder�enhandhaver,�is�betrokken�bij�beleidsvorming�en�adviseerthet�kabinet�over�wetgeving.�Daarnaast�geeft�hij�voorlich-ting�aan�burgers�en�aan�bewerkers�en�behandelt�hij�klach-ten.�De�bewindslieden�melden�op�onze�vraag�dat�het�CBPvolledig�vrij�is�in�zijn�prioriteitsstelling.�Dat�was�niet�devraag.�Daarom�nogmaals�en�nu�nog�duidelijker�gesteld:is�de�regering�met�de�heer�Kohnstamm�en�met�mijn�frac-tie�van�mening�dat�de�taken�van�het�CBP�strijdig�met�el-kaar�kunnen�zijn?�Als�de�bewindslieden�dat�ook�vinden,wat�gaan�ze�er�dan�aan�doen?Mijn�fractie�is�overigens�van�mening�dat�de�regering�in

het�commentaar�op�het�WRR-rapport�over�de�iOverheidvooral�ook�moet�ingaan�op�de�opmerkingen�die�gaan�overhet�gebrek�aan�ICT-kennis�bij�overheid�en�toezichthouderen�dan�niet�alleen�van�de�techniek,�maar�ook�hoe�tech-niek�kan�ingrijpen�in�de�persoonlijke�levenssfeer.�Wil�detoezichthouder�goed�kunnen�functioneren,�dan�is�beterekennis�dringend�geboden.�Graag�een�indicatie�in�welkerichting�de�bewindslieden�denken�dat�het�toezicht�zich�zalmoeten�gaan�ontwikkelen:�als�een�aparte�ICT-toezichthou-der,�of�als�een�uitbreiding�in�taken,�kennis�en�budget�vanhet�CBP?Het�vijfde�punt.�Compleetheid�van�gegevens�is�niet�te

garanderen.�Houd�systemen�daarom�kleinschalig,�selectbefore�you�collect.�De�relatie�tussen�kleinschaligheid�eneffecten�op�de�veiligheid�van�de�persoonlijke�levenssfeer

Slagter-Roukema


wordt�in�de�beantwoording�van�een�vraag�van�deze�frac-tie�door�de�bewindslieden�ontkend.�Dat�is�jammer,�wantjuist�de�grootschaligheid�en�complexiteit�van�het�ontwerplandelijk�epd,�naast�het�feit�dat�de�kwaliteit�van�de�gege-vens�–�in�dit�geval�gegevens�de�gezondheid�betreffende,gegevens�die�vaak�subjectief�en�multi-interpretabel�zijn�–maakten�dat�er�te�grote�beveiligingsrisico's�werden�gecre-ëerd�en�maakten�dat�het�wetsvoorstel�werd�verworpen.Het�principe�van�select�before�you�collect�moet�uit-

gangspunt�zijn�als�men�aan�digitale�dataverzameling�be-gint.�Niet�alles�moet�wat�kan.�Het�risico�is�ook�groot�datmen�dan�door�de�bomen�het�bos�niet�meer�ziet.�Ter�rela-tivering:�de�verzamelwoede�is�pas�echt�losgebroken�nade�gebeurtenissen�in�september�2001.�Sindsdien�zijn�metname�de�Verenigde�Staten�de�drijvende�kracht�geweestachter�het�idee�dat�naarmate�je�meer�verzamelt,�je�eerderdingen�te�weten�komt.�Toch�duurde�het�tien�jaar�voordatze�uitvonden�waar�Osama�Bin�Laden�zat,�onder�de�neusvan�het�Pakistaanse�leger�en�op�enkele�kilometers�afstandvan�de�Pakistaanse�hoofdstad�waar�het�stikt�van�de�Ame-rikaanse�veiligheidsfiguren.�Maar�wel�zonder�internet�enzonder�mobieltje,�dus�onzichtbaar�voor�alle�databases.Met�de�toename�van�een�aantal�bewerkingsslagen�op

informatie,�het�aantal�betrokken�functionarissen�en�de�be-trokken�werkprocessen�neemt�bovendien�de�kans�toe�datde�juistheid�en�volledigheid�van�de�informatie�wordt�aan-getast.�Hiervoor�zijn�geen�adequate�maatregelen�te�tref-fen.�Zijn�de�bewindslieden�met�mijn�fractie�van�meningdat�ook�de�iOverheid�betrouwbaar�dient�te�zijn�en�dus�be-leid�niet�moet�bouwen�op�wankele�gegevens?�Dat�voedthet�wantrouwen�van�de�burgers.�De�kwaliteit�van�de�ge-gevens�wordt�door�de�mens�bepaald,�is�mensenwerk,�enis�afhankelijk�van�de�mate�van�objectiviteit�die�mogelijkis.�Die�verschilt�per�categorie.�Eenmaal�fout�aangeleverd,gaan�de�gegevens�een�eigen�leven�leiden�en�is�correctiebijna�onmogelijk,�in�ieder�geval�niet�als�de�overheid�nieteens�zicht�heeft�op�de�aantallen�–�gekoppelde�–�databan-ken.In�dit�kader�blijft�de�vraag�relevant�hoe�groot�het�aan-

tal�databanken�is�waarin�de�overheid�gegevens�van�deburgers�verwerkt�en�hoeveel�koppelingen�er�zijn.�Ik�vindhet�bijzonder�om�te�vernemen�dat�het�niet�doenlijk�is�de-ze�vraag�te�beantwoorden.�Kunnen�de�bewindslieden�aan-geven�of�zij�met�mijn�fractie�van�mening�zijn�dat�alles�opalles�gezet�moet�worden�om�dat�inzicht�wel�te�verkrijgen,ook�al�is�het�arbeidsintensief�en�ook�al�moeten�er�langdu-rig�inspanningen�worden�verricht?�Dat�kan�toch�geen�ar-gument�zijn?Het�laatste�punt�dat�ik�wil�bespreken,�is�dat�het�stel-

len�van�deadlines�de�ontwikkeling�van�een�groot�ICT-pro-ject�gemakkelijk�onder�druk�zet.�"Politiek,�minister�en�ICT-industrie�moeten�waken�voor�een�complexiteitsspiraal,waarmee�ze�elkaar�in�een�wurggreep�houden",�verzucht-te�een�van�de�deelnemers�aan�de�expertmeeting.�Er�kan,zoals�gezegd,�ICT-technisch�heel�veel:�dataverzameling,datamining,�cloud�computing,�profilering.�Mijn�collegaFranken�voegde�er�net�nog�twee�dingen�aan�toe�die�ik�nogniet�kende.�Zo�gaat�het�natuurlijk�maar�door.�Risico's�kun-nen�in�kaart�gebracht�worden,�hele�groepen�kunnen�alsrisico�gekwalificeerd�worden�en�uiteindelijk�gaan�wij�alsdatapakketten�onze�weg.�Het�elektronisch�kinddossier�isdaar�een�heel�goed�en�ook�heel�slecht�voorbeeld�van.Dat�brengt�mij�de�opmerking:�bewindslieden�houdt�de

menselijke�maat,�de�vrijheid�en�waardigheid�in�het�oog;�eris�geen�enkel�bewijs�dat�onze�samenleving�door�alle�data-verzamelingen�en�-koppelingen�veiliger�is�geworden.�En

voor�de�andere�kant�van�de�medaille�is�al�helemaal�weinigoog.�In�hoeverre�speelt�de�overheid�met�al�deze�gekoppel-de�databestanden�criminelen�in�de�kaart?Het�is�tijd�voor�bezinning�en�een�pas�op�de�plaats.�Ik

verwees�er�al�naar�aan�het�begin�van�mijn�bijdrage.�Waar-om�niet�eens�de�rug�rechtgehouden,�ook�als�de�politiek�–daaronder�versta�ik�zowel�parlement�als�regering�–�weermogelijkheden�bepleit�tot�uitbreiding�van�systemen,�uit-breidingen�waar�die�systemen�niet�voor�waren�bedoeld?Ik�zou�zeggen:�bewindslieden,�lees�het�rapport�van�de

WRR�en�kom�terug�met�een�degelijke�analyse�en�een�stap-penplan.�Met�een�deltaplan�tegen�het�gevaar�van�eendatasnoodramp,�om�Marc�Chavannes�uit�de�NRC�van10 april�2011�te�citeren.Voorzitter.�Tot�slot.�Het�is�belangrijk�dat�de�politiek,�re-

gering�en�parlement,�zich�naast�de�voordelen�terdege�ookvan�de�grote�risico's�van�het�almaar�opslaan�van�gege-vens�bewust�is.�Minstens�zo�belangrijk�is�het�dat�het�pu-bliek�beseft�wat�er�allemaal�gedaan�kan�worden�met�ver-gaarde�persoonlijke�gegevens�en�daardoor�ook�zorgvul-dig�met�de�eigen�gegevens�omgaat.�Om�dat�laatste�te�on-dersteunen�heeft�de�schrijver�en�voormalig�rechtbankgrif-fier�Ton�Theunis�zich�verdiept�in�de�warrige�wereld�vanhet�dataverzamelen�en�datakoppeling.�Het�resultaat�daar-van�is�het�voortreffelijke�boek�De�kluizenaar,�dat�ik�voormij�heb�liggen.�Overigens�heeft�de�SP-fractie�in�het�Eu-roparlement�hem�daarin�ondersteund.�Wij�ontdekten�datzelf�ook�redelijk�laat.�Het�eerste�exemplaar�was�terechtvoor�Jacob�Kohnstamm�van�het�CBP. Maar�dit�boek,�datnu�het�einde�van�zijn�commerciële�cyclus�nadert,�hoort�ze-ker�ook�in�de�boekenkasten�te�staan�van�de�hier�aanwe-zige�bewindslieden.�Als�het�te�moeilijk�is�om�alle�rappor-ten�te�lezen,�is�er�misschien�wel�tijd�voor�deze�thriller.�Hetgaat�immers�ook�over�hun�verantwoordelijkheden.�Ik�geefhet�hun�daarom�vandaag�graag�als�een�spannende�versievan�hetgeen�waarover�wij�hier�vandaag�met�elkaar�debat-teren,�wat�misschien�iets�minder�spannend�is.�Ik�zie�de�re-actie�op�mijn�inbreng�met�belangstelling�tegemoet.

De�heer�Holdijk�(SGP):Voorzitter.�Ik�zou�willen�beginnen�met�aan�de�samenvat-ting�van�het�rapport�van�de�WRR�over�de�iOverheid�hetvolgende�te�ontlenen."De�alomtegenwoordige�inzet�van�informatie-�en�com-

municatietechnologie�(ICT)�door�de�overheid�heeft�ervoorgezorgd�dat�deze�niet�langer�meer�zoals�een�e-overheid,gericht�op�dienstverlening�en�gebruikmakend�van�tech-niek,�kan�worden�gekarakteriseerd.�In�de�dagelijkse�prak-tijk�is�veeleer�een�iOverheid�ontstaan.De�beleidsplannen�voor�de�e-oveheid�–�gericht�op�de

(interne)�bedrijfsvoering,�de�dienstverlening�van�de�over-heid�en�op�de�techniek�zelf�–�ademen�stuk�voor�stuk�eengroot�vertrouwen�in�de�ICT�als�middel�om�de�overheideffectiever,�klantvriendelijker,�toegankelijker,�kwalitatiefbeter�en�voorbereid�op�de�toekomst�te�maken.�In�toene-mende�mate�wordt�ICT�enthousiast�binnengehaald�doorbeleid�en�politiek�voor�zowel�de�complexe�administratie-ve�opdracht�van�de�overheid,�als�de�aanpak�van�urgen-te�maatschappelijke�uitdagingen,�zoals�terrorisme,�veilig-heid,�mobiliteit�en�goede�en�betaalbare�zorg.Het�technovertrouwen�van�politiek�en�beleid�vertaalt

zich�in�grote�ambities�met�ICT,�niet�alleen�in�technische,maar�zeker�ook�in�beleidsinhoudelijke�zin."

Holdijk


Het�is�een�bekende�ontwikkeling�en�het�zijn�voor�iederbekende�verschijnselen,�waaraan�ook�negatieve�aspec-ten�verbonden�zijn.�Steeds�meer�informatie�wordt�vastge-legd,�bewaard,�gekoppeld�en�hergebruikt,�ook�buiten�deoorspronkelijke�context,�met�het�risico�van�foute�interpre-taties�en�conclusies.�Burgers�worden�zo�soms�jarenlangvastgepind�op�informatie�uit�het�verleden.�Ik�noem�slechtshet�ekd.�De�overheid�haalt�"overal�en�nergens"�gegevensvandaan�en�dan�moet�de�betrokkene�maar�aantonen�dathet�fout�is,�om�maar�niet�te�spreken�van�datalekken,�ver-vuilde�of�verouderde�informatie.�Informatiestromen�trek-ken�zich�bovendien�tegenwoordig�niets�meer�aan�van�degrenzen�tussen�publiek,�semipubliek�en�privaat.Een�technisch�systeem,�dat�bedacht�en�bedoeld�is�om

mens�en�samenleving�te�dienen�dreigt,�zoals�meer�ge-beurt,�hen�te�gaan�overheersen.�Dat�blijkt�bijvoorbeeldwanneer�er�een�fout�zit�in�de�informatie�die�de�overheidover�de�burger�heeft.�Dan�kan�men�eindeloos�bezig�zijnom�herstel�te�bewerkstelligen.�Ook�de�overheid�wordt�ge-confronteerd�met�systemen�die�steeds�complexer�wordenen�in�die�complexiteit�vastlopen�–�ik�noem�slechts�de�Be-lastingdienst�en�de�politie�–�waardoor�deze�niet�meer�be-heersbaar�is.Natuurlijk�zijn�de�positieve�effecten�van�de�ICT-ontwik-

keling�te�waarderen.�Wij�behoeven�ook�niet�bij�voorbaatuit�te�gaan�van�kwade�bedoelingen�en�wij�doen�dat�ookniet.�Veel�vaker�zullen�het�gemakzucht�en�kostenoverwe-gingen�zijn�die�misbruik�en�oneigenlijk�gebruik�in�de�handwerken.Het�is�een�waagstuk�om�als�digibeet�of,�zoals�het�tegen-

woordig�wel�wordt�genoemd,�als�"digitaalimmigrant"�aaneen�debat�als�dit�deel�te�nemen.�Enige�bescheidenheid�isdaarom�gepast.�Nochtans�stel�ik�er�prijs�op�om�namensde�fracties�van�SGP�en�ChristenUnie�nog�enkele�opmer-kingen�naar�voren�te�brengen.Aan�de�schriftelijke�voorbereiding�van�dit�debat�als�zo-

danig�hebben�onze�fracties�niet�deelgenomen,�wel�aande�reactie�op�het�rapport�van�de�commissie-Brouwer-Korfover�veiligheid�en�de�persoonlijke�levenssfeer.�Op�die�the-matiek�zal�ik�mijn�bijdrage�thans�toespitsen.�Weliswaarstaat�de�relatie�overheid-burger�centraal,�maar�deze�is�vanasymmetrische�aard.�Het�is�daarom�dat�wij�menen�dat�deweerbaarheid�van�de�burger�moet�worden�vergroot,�bij-voorbeeld�bij�het�verwerken�van�persoonsgegevens�in�devorm�van�datamining�of�profilering.�Ik�denk�onder�ande-re�aan�medische�gegevens.�Voor�ons�zijn�aanvaarde�prin-cipes�bij�de�omgang�met�persoonsgegevens�ter�bescher-ming�van�de�burger�onder�andere�het�volgende�drietal.�1.Het�recht�op�uitdrukkelijke,�voorafgaande�en�volledig�ge-ïnformeerde�toestemming�bij�gebruik�en�hergebruik,�doorwie�ook.�2.�Elk�gebruik�van�persoonsgegevens�dient�striktnoodzakelijk�en�doelgebonden�te�zijn.�3.�De�burger�heeftte�allen�tijde�recht�op�inzage,�correctie�en�eventuele�ver-wijdering�van�zijn�persoonsgegevens.Nogmaals,�dit�zijn�vrij�algemeen�aanvaarde�principes

die�wij�hier�nog�eens�willen�onderstrepen.�Ik�heb�uit�destukken�op�kunnen�maken�dat�het�kabinet�gelukkig�nietstilzit,�maar,�zoals�gewoonlijk,�loopt�de�ontwikkeling�vande�technische�mogelijkheden�soms�ver�en�geruime�tijdop�wet-�en�regelgeving�vooruit.�Dat�is�een�gegeven�waarniets�aan�te�veranderen�is.�Daarbij�komt�dan�nog�dat�ge-gevens�steeds�meer�wereldwijd�verspreid�worden�of�ra-ken,�hetgeen�veel�internationale�afstemming�vergt.Ik�zou�naar�de�thematiek�van�veiligheid�en�privacy�te-

rugkeren.�Wij�zijn�met�de�regering�van�oordeel�dat�de�be-scherming�van�de�persoonlijke�levenssfeer�en�de�zorg

voor�veiligheid�van�samenleving�en�individu�niet�per�de-finitie�en�noodzakelijkerwijs�tegengestelde�belangen�zijn.Het�zijn�echter�wel�belangen�die�telkens�weer�met�uiter-ste�zorgvuldigheid�tegen�elkaar�moeten�worden�afgewo-gen.�In�de�recente�Notitie�privacybeleid�van�het�kabinetwordt�erkend�dat�de�wetgever�de�burger�dient�te�bescher-men�tegen�negatieve�aspecten�van�de�informatiesamen-leving�op�het�punt�van�de�bescherming�van�de�persoonlij-ke�levenssfeer.�Er�worden�ook�concrete�initiatieven�op�ditterrein�aangekondigd.�Een�wijziging�van�de�Wet�bescher-ming�persoonsgegevens�moet�leiden�tot�een�verdere�in-formatiebeveiliging�en�bescherming�van�persoonsgege-vens.�Bij�de�afweging�van�beide�genoemde�belangen�be-horen�wettelijke�maatregelen,�die�voorzien�dienen�te�zijnvan�een�transparante�toets�aan�de�grondrechten.�Bij�vol-gende�initiatieven�zal�steeds�wel�minimaal�moeten�wor-den�voorzien�in�een�evaluatiebepaling.�Een�horizonbepa-ling�noemt�de�regering�echter�niet�meer�dan�een�optie,�enwel�voor�die�gevallen�waarin�dat�gelet�op�de�mate�en�deaard�van�inmenging�in�de�grondrechten�enerzijds�en�dete�plegen�investeringen�in�ICT�anderzijds�gerechtvaardigdis.�Die�opmerking�heeft�bij�mij�wel�de�wenkbrauwen�doenfronsen.De�afweging�van�deze�beide�belangen�lijkt�niet�zonder

meer�gerechtvaardigd.�De�afweging�van�deze�beide�be-langen�vraagt�wat�ons�betreft�nog�wel�om�een�nadere�ver-duidelijking�en�argumentatie.�Voor�ons�is�het�de�vraag�ofhet�hier�nog�wel�gaat�om�afweegbare�belangen.�Men�kanwel�af�willen�wegen,�maar�men�kan�niet�alles�tegen�elkaarafwegen.�Wat�bedoelt�de�regering�met�de�aansporing�alshet�over�die�horizonbepaling�gaat�om�in�dezen�terughou-dendheid�te�betrachten?Het�kabinet�kondigt�ook�een�nader�wetenschappelijk

onderzoek�aan�naar�de�mogelijkheden�om�in�de�Algeme-ne�wet�bestuursrecht�een�voorziening�op�te�nemen�omtoezichtgegevens�–�waaronder�persoonsgegevens�–�opstructurele�basis�te�kunnen�uitwisselen�tussen�toezicht-houders,�de�politie�en�het�OM. Dat�daarbij�in�het�bijzon-der�geheimhoudingsverplichtingen�maar�ook�justitiële�on-derzoeksbelangen�aandacht�verdienen,�ligt�voor�de�hand.Een�vraag�voor�ons�is�echter�wel�om�welke�toezichthou-ders�het�zou�moeten�gaan.�Moet�wat�dat�betreft�niet�ge-differentieerd�worden?�Hoe�uitgebreid�is�het�veld�van�toe-zicht�op�de�burger�niet�geworden!�Hoe�wordt�doelbindingin�dit�verband�verzekerd�en�bewaakt?�Daarom�zouden�wijde�noodzaak�willen�onderstrepen�om�inhoudelijke�criteriate�formuleren�waaronder�het�recht�op�bescherming�vanpersoonsgegevens�in�concreto�moet�wijken�voor�het�be-lang�van�de�veiligheid.�Onderkent�de�regering�die�nood-zaak?�De�heer�Franken�heeft�hierover�veel�uitgebreider�ge-sproken,�maar�ik�hoop�dat�ook�de�regering�de�noodzaakdaarvan�onderkent.Ten�slotte�nog�een�opmerking�over�het�zogenaamde

recht�om�vergeten�te�worden.�Thans�is�krachtens�de�Wetbescherming�persoonsgegevens�de�verantwoordelijke�de-gene�die�bepaalt�welke�gegevens�om�welke�reden�voorwelke�termijn�bewaard�mogen�worden.�Bewaartermijnenmoeten�volgens�ons�transparanter�worden.�Onze�hoop�isgevestigd�op�de�Mededeling�van�de�Europese�Commissievan�4 november�2010�die�een�grotere�zeggenschap�van�deburger�over�de�eigen�gegevens�aankondigt.�Daartoe�be-hoort�het�verplicht�wissen�van�persoonsgegevens�na�af-loop�van�een�–�bekend�gemaakte�–�bewaartermijn�of�nahet�intrekken�van�de�toestemming�voor�verwerking�doorbetrokkene.

Holdijk


Voorzitter.�Met�deze�enkele�fragmentarische�opmerkin-gen�willen�onze�fracties�graag�deze�eerste�termijn�beslui-ten�en�zien�wij�met�belangstelling�naar�een�reactie�van�deregering�uit.

Mevrouw�Dupuis�(VVD):Voorzitter.�Er�is�veel�gezegd�waar�mijn�fractie�het�meeeens�kan�zijn.�Toch�zal�ik�proberen�namens�mijn�fractie�ingrote�lijnen�het�liberaal�perspectief�weer�te�geven.Wij�spreken�vandaag�over�een�klassiek�probleem�in�een

21ste-eeuwse�jas.�Het�thema�is�voor�liberalen�een�politiekkernprobleem,�en�in�zekere�zin�zelfs�de�oorzaak�en�aan-leiding�van�het�ontstaan�van�het�liberalisme,�namelijk�deverhouding�burger-overheid.�Kon�het�klassiek�liberalismenog�volstaan�met�de�formulering�van�vrijheidsrechten�vande�burger,�vandaag�komt�er�een�lastige�dimensie�bij:�depotentiële�voordelen�en�bedreigingen�van�gebruik�van�ICTdoor�de�overheid�met�het�oog�op�de�privacy�van�de�bur-ger.�Klassieke�grondrechten,�waar�wij�in�het�Westen�voorgaan,�ook�niet-liberalen,�vragen�in�het�licht�van�de�infor-matie�en�communicatietechnologie�om�een�nieuwe�be-zinning�en�een�nieuwe�uitwerking.�Mijn�fractie�doet�daar-aan�graag�mee.�Daarbij�vragen�wij�aandacht�voor�de�bij-zondere�positie�van�de�overheid,�die�enerzijds�de�privacyvan�burgers�dient�te�beschermen,�maar�anderzijds�onder-deel�is�van�het�probleem:�de�overheid�zelf�levert�volgensal�onze�bronnen�een�niet�geringe�bedreiging�van�de�priva-cy�op.Ons�uitgangspunt�bij�dit�debat�betreft�de�vraag:�is�de

privacy�van�de�burger�bij�de�Nederlandse�overheid�in�goe-de�handen�en�dan�op�twee�manieren:�beschermt�de�over-heid�de�burger�voldoende,�en�is�de�overheid�zelf�een�vol-doende�betrouwbare�speler?�Bij�de�beantwoording�vandeze�vragen�hebben�we�ons�gebaseerd�op�drie�verschil-lende�soorten�bronnen.�1.�Bestaande�wetgeving,�zoalsvanzelfsprekend�de�Grondwet,�artikel�10,�de�Wet�bescher-ming�persoonsgegevens,�het�EVRM,�artikel�8�en�de�Euro-pese�richtlijn�nummer�95.�2.�De�behandeling�van�en�dis-cussies�rondom�al�of�niet�ingevoerde�wetgeving�op�deel-gebieden�van�de�samenleving,�zoals�het�ekd,�het�epd,�enhet�eld.�3.�Een�groot�aantal�rapporten,�die�door�de�anderewoordvoerders�zijn�genoemd�en�die�ik�kortheidshalve�nuniet�meer�zal�noemen.Bij�deze�inleiding�behoren�ten�slotte�nog�twee�observa-

ties.�De�eerste�is�dat�bij�de�bespreking�van�de�vraag�of�deprivacy�van�de�burger�in�goede�handen�is�bij�onze�over-heid,�twee�zaken�om�te�beginnen�nodig�zijn:�kennis�vande�feiten�–�hetgeen�lang�niet�altijd�simpel�is�–�en�de�capa-citeit�tot�het�maken�van�morele�en�politieke�afwegingen,hetgeen�al�even�lastig�is.�Ik�verwijs�in�dit�verband�graagnaar�wat�de�heer�Holdijk�zojuist�gezegd�heeft�over�belan-genafweging.De�tweede�observatie�is�dat�het�hier�inderdaad�om�mo-

rele�afwegingen�gaat,�maar�dat�deze�term�werkelijk�ner-gens�te�vinden�is�in�de�door�mij�geziene�vele�literatuur�engehoorde�debatten.�Hoe�kunnen�wij,�vraagt�mijn�fractie,over�principiële�morele�zaken�spreken,�zoals�de�privacyvan�de�burger,�als�wij�niet�eens�inzien�dat�het�hier�om�mo-rele�aangelegenheden�gaat?�Door�dit�niet�onder�ogen�tezien�missen�we�ook�de�kans�om�ten�aanzien�van�deze�mo-rele�of�ethische�kwesties�op�de�geëigende�wijze�te�argu-menteren.�Dit�is�natuurlijk�een�opmerking�voor�de�liefheb-bers.

Het�eerste�antwoord�op�de�vraag�of�de�privacy�van�deburger�in�goede�handen�is�bij�deze�overheid�is�niet�een-duidig.�Uiteraard�is�er�wetgeving�en�is�duidelijk�dat�deoverheid,�althans�sommige�afdelingen�op�sommige�de-partementen,�zich�bezighoudt�met�de�bescherming�vanprivacy�van�de�burger.�In�dit�verband�noem�ik�allereerstde�zeer�recente�notitie�van�Justitie�over�het�privacybeleidvan�deze�regering.�De�notitie�gaat�in�op�een�aantal�zeerrelevante�thema's�en�kondigt�diverse�maatregelen�aan.Met�veel�in�deze�nota�kan�de�VVD-fractie�instemmen,�alzou�het�allemaal�nog�wel�een�stuk�daadkrachtiger�kun-nen.�Waarom�niet�meteen�een�privacy�impact�analyse�ver-eisen�voor�alle�grootschalige�elektronische�dossiers�vande�overheid�en�van�andere�instanties?�De�regering�zegtvoorts�"grootschalige�verwerkingen�van�persoonsgege-vens�nadrukkelijker�dan�voorheen�het�geval�is�te�willentoetsen�op�effectiviteit".�Ja,�eindelijk.�Dit�is�wel�een�stapvooruit,�maar�het�had�allang�gemoeten,�want�het�heeftecht�ontbroken�en�het�ontbreekt�nog,�bijvoorbeeld�bij�hetekd,�het�epd�–�dat�er�nu�niet�meer�is�–�en�het�eld.�Ik�komhier�nog�op�terug.De�nota�pleit�voorts�voor�een�meldplicht�van�datalek-

ken,�en�kondigt�aan�dat�de�regering�gaat�werken�aan�ver-dere�sanctionering�van�overtredingen�van�de�Wet�be-scherming�persoonsgegevens�en�veel�meer.�Ook�wordtgekeken�naar�de�uitwerking�van�Europese�dataprotectie-regels�en�andere�zaken.�De�overheid�is,�kortom,�bezig�metde�privacybescherming�van�de�burgers,�althans,�zij�uit�deintentie�daartoe�in�deze�notitie.�Nu�nog�de�daden.�Er�is�ze-ker�nog�aanvullende�wetgeving�nodig,�zoals�alle�woord-voerders�hiervoor�betoogd�hebben,�opdat�de�overheidhaar�beschermende�functie�optimaal�kan�invullen.Dan�de�tweede�kwestie,�namelijk�de�vraag�in�hoever-

re�de�overheid�zelf�onderdeel�is�van�het�probleem.�Watdit�betreft�hebben�we�kunnen�zien�hoe�zonder�voldoendeonderbouwing�qua�doelstelling,�effectiviteit,�en�bescher-ming�van�zeer�persoonlijk�gegevens�van�burgers,�eenelektronisch�kinddossier�is�opgetuigd,�waarbij�steeds�dui-delijker�wordt�dat�je�wel�kunt�proberen�veel�gegevens�teverzamelen,�maar�dat�het�bijhouden�van�de�gegevens,�hetbeheer�en�de�interpretatie�ervan�cruciaal�zijn�voor�de�kansvan�slagen�van�zo'n�project.�Het�ziet�er�naar�uit�dat�aandeze�laatste�punten�veel�te�weinig�aandacht�is�geschon-ken�bij�het�ekd.�Helaas�heeft�het�parlement�in�de�Tweedenoch�in�de�Eerste�Kamer�dit�ekd�gestopt.

Mevrouw�Slagter-Roukema�(SP):Voorzitter.�Ik�heb�een�vraag�aan�mevrouw�Dupuis.�Ik�benhet�met�haar�eens�dat�we�tegen�het�ekd�hadden�moetenstemmen,�maar�kan�zij�analyseren�waarom�wij�toen�welvoorgestemd�hebben?�Ik�heb�het�nog�eens�nagekeken�en…

Mevrouw�Dupuis�(VVD):De�fractie�van�de�VVD�heeft�tegengestemd,�als�enige.�Dusik�kan�moeilijk�analyseren�wat�uw�beweegredenen�ge-weest�zijn.

Mevrouw�Slagter-Roukema�(SP):Excuus,�dan�heb�ik�dat�over�het�hoofd�gezien.�Misschienis�het�dan�nu�niet�zo�relevant�als�ik�vertel�waarom�wijvoorgestemd�hebben.�In�mijn�herinnering�had�het�ervooral�mee�te�maken�dat�het�elektronisch�kinddossier�ge-plaatst�werd�in�een�wetsvoorstel�waarin�de�rest�best�welgoed�was�en�dat�wij�heel�lang�gesproken�hebben�over�devraag�hoe�we�zo'n�belangrijk�punt�konden�onderbrengen

Dupuis


in�een�wet,�waarmee�wij�als�het�ware�een�schaap�met�vijfpoten�creëerden.

Mevrouw�Dupuis�(VVD):Dat�is�het�bekende�probleem.�Daar�hebben�we�het�vakerover�gehad.�De�VVD-fractie�was�als�enige�tegen,�tot�onsgrote�verdriet.Wat�betekent�dit�nu?�De�VVD-fractie�dringt�er�bij�de�re-

gering�alsnog�op�aan�om�het�ekd�te�toetsen�aan�de�ei-sen�die�de�regering�zelf�stelt�in�genoemde�nota,�en�aande�eisen�van�het�WRR-rapport.�Zoals�bekend,�is�het�epdverworpen�en�ligt�het�eld�nog�in�deze�Kamer�voor�ter�be-handeling.�Ook�dit�dient�naar�de�mening�van�de�VVD-fractie�te�worden�getoetst�op�door�de�regering�zelf�ge-noemde�criteria.�De�vraag�is�natuurlijk�of�de�regering�ditgaat�doen.�Wij�zouden�dat�absoluut�noodzakelijk�vinden.Voor�dit�moment�stellen�we�vast�dat�de�overheid�bij�al�de-ze�drie�dossiers�naar�de�mening�van�de�VVD-fractie�zichgeen�adequate�behoeder�van�de�privacy�van�de�Neder-landse�burger�heeft�betoond.Wat�is�er�dan�mis?�Als�wij�het�goed�zien,�is�de�overheid

te�lichtvaardig�en�te�naïef�aan�de�slag�gegaan�met�ge-noemde�dossiers.�Ook�was�sprake�van�tunneldenken.�Ditgold�volgens�de�vele�analyses�en�commentaren�ten�min-ste�de�volgende�punten:�de�te�behalen�doelstelling�wasonvoldoende�verkend�en�geformuleerd,�het�kwaliteitsbe-houd�en�dus�onderhoud�van�de�data�was�onvoldoendegeregeld,�de�veiligheid�en�de�positie�van�de�burger�alscontroleur�van�de�opslag�van�zijn�eigen�gegevens�was�on-voldoende�uitgewerkt�en�het�toezicht�en�de�verantwoor-delijkheid�daarvoor�waren�niet�transparant.�Ook�–�en�datis�ernstig�–�lijkt�de�overheid�weinig�of�niets�te�willen�we-ten�van�expiratietermijnen�en�wordt�zo�"het�recht�om�ver-geten�te�worden"�volledig�uitgehold.�Eigenlijk�zeggen�alledeskundigen�steeds�hetzelfde:�de�doelbinding�ontbreekt,er�is�te�weinig�aandacht�voor�dataminimalisatie,�de�toe-gang�tot�en�controle�van�de�burger�van�zijn�eigen�gege-vens�is�problematisch�en�over�structureel�toezicht�wordtte�weinig�nagedacht.�Mevrouw�Corien�Prins�van�de�WRRwijst�er�op�dat�een�manier�van�redeneren�nodig�is,�waar-bij�van�een�werkelijke�afweging�van�belangen�–�zie�ookde�heer�Holdijk�–�van�de�burger�sprake�is,�veel�explicieterdus,�en�met�aandacht�voor�bovengenoemde�aspecten.�Ditgeldt�in�de�ogen�van�de�VVD-fractie�a�fortiori�voor�databe-standen�waarbij�er�van�de�overheid�uit�sprake�is�van�eenverplichting�voor�burgers�om�daarin�te�worden�opgeno-men.Wat�moet�er�gebeuren?�Er�is�al�veel�genoemd,�maar�de

VVD�heeft�nog�een�aantal�andere�zaken.�Volgens�de�VVDfractie�is�belangrijk�dat,�zoals�de�commissie-Brouwer-Korfook�aangeeft,�een�empowerment�plaatsvindt�van�profes-sionals�die�betrokken�zijn�bij�de�opslag�van�privégegevensvan�burgers.�Wetgeving�alleen�is�niet�voldoende.�Het�gaatom�een�alom�aanwezig�besef�bij�de�vele�dienaars�van�deoverheid�en�bij�anderen�die�bezig�zijn�met�het�ontwerpenen�gebruiken�van�grootschalige�elektronische�datasys-temen,�dat�zij�niet�de�eigenaar�zijn�van�de�gegevens�vanburgers,�maar�de�burgers�zelf.�Bij�aanwezigheid�van�ditbesef�zou�een�uitglijder�als�het�ministerie�van�VWS�maak-te�in�november�2008�niet�hebben�plaatsgevonden.�Toenwerd�door�het�departement�zelfs�contra�legem�gehandeld,namelijk�tegen�de�WGBO,�door�alle�burgers�domweg�meete�delen�dat�er�een�epd�zou�komen,�waarin�24�uur�per�dagop�alle�plaatsen�in�Nederland�ieders�medische�gegevenstoegankelijk�zouden�worden�voor�hulpverleners.

Het�gaat�om�awareness,�om�een�attitude�die�er�hadmoeten�zijn�en�die�er�toen�niet�was.�Hoe�uitgebreid,�effec-tief,�en�waterdicht�wetgeving�ook�zou�worden,�altijd�dienter�het�besef�te�zijn�inzake�het�eigenaarschap�van�privége-gevens�van�burgers�en�van�respect�voor�grondwetsartikel10.�Dat�is�er�niet�voor�niets.�Hoe�denkt�de�regering�dit�be-sef�te�vergroten�bij�ambtenaren?Concreet�zou�de�VVD-fractie�graag�zien�dat�de�departe-

menten�die�werken�aan�een�grootschalige�dataopslag�zichveel�meer�zouden�blootstellen�aan�kritiek�van�buitenaf�enniet�krampachtig�hun�eigen�vermeende�gelijk�zouden�wil-len�halen.�Aan�benepen�geesten�is�geen�behoefte.�Weesopen,�wees�dienstbaar�aan�de�rechten�van�de�burgers�enniet�aan�de�inperking�daarvan.De�VVD-fractie�zou�zich�ook�kunnen�voorstellen�dat�het

College�bescherming�persoonsgegevens�meer�het�karak-ter�krijgt�van�een�ICT-autoriteit.�Wat�is�de�mening�van�deregering�hierover?Ten�slotte�vraagt�de�VVD-fractie�aandacht�voor�de�aan-

bevelingen�van�het�WRR-rapport�iOverheid.�Het�is�omte�beginnen�zeer�spijtig�dat�de�recente�notitie�van�deoverheid�die�wij�bespraken�met�de�aanbevelingen�nogniets�doet.�Ik�neem�aan�dat�het�woordje�"nog"�hier�op�zijnplaats�is.�Is�dat�zo,�vragen�wij�de�regering?�De�aanbeve-lingen�zijn�samen�te�vatten�onder�de�formulering:�van�e-overheid�naar�iOverheid,�een�mooie,�maar�vooral�beteke-nisvolle�vondst.�De�WRR�geeft�hiermee�aan�dat�de�over-heid�zich�veel�meer�bewust�dient�te�zijn�van�haar�eigen�rolals�informatieoverheid.�Ik�citeer�graag�bladzijde�194�vanhet�WRR-rapport�iOverheid:�"De�paradox�van�de�iOver-heid�bestaat�erin�dat�de�overheid�een�iOverheid�opbouwtwaar�ze�zelf�het�bestaan�niet�van�afweet.�Het�ontbrekenvan�een�politiek�besef�'een�iOverheid'�te�zijn,�maakt�datdeze�in�feite�geen�natuurlijke�begrenzing�heeft."�De�VVD-fractie�raadt�de�regering�aan�om�de�volgende�40�bladzij-den�uit�dit�rapport�goed�te�lezen�en�uit�het�hoofd�te�le-ren.�Het�gaat�om�tal�van�zeer�constructieve�aanbevelingenwaardoor�de�beide�rollen�van�de�overheid,�namelijk�be-schermer�zijn�van�de�privacy�enerzijds�en�een�goed�functi-onerend�en�veilig�onderdeel�zijn�van�de�informatiewerke-lijkheid�anderzijds,�optimaal�kunnen�worden�ingevuld.�Ikhoor�hierop�gaarne�het�commentaar�van�de�regering.

De�heer�Staal�(D66):Voorzitter.�De�leden�van�de�D66-fractie�zijn�vanzelfspre-kend�geïnteresseerd�in�de�ontwikkelingen�en�nieuwe�mo-gelijkheden�op�het�gebied�van�digitale�informatieverwer-king�en�communicatie.�De�fractieleden�delen�de�meningvan�diverse�experts�dat�het�gebruik�van�informatiesys-temen�intussen�noodzakelijk�is�geworden�voor�het�func-tioneren�van�de�overheid.�Naast�het�nut�en�de�noodzaakvoor�de�overheid�hebben�bedrijfsleven�en�burgers�ookbaat�bij�de�door�informatietechnologie�gefaciliteerde�mo-gelijkheden.�Dit�neemt�echter�niet�weg�dat�de�potentiëlekracht�van�deze�technieken�diverse�en�aanzienlijke�risico'smet�zich�brengt.�De�afgelopen�jaren�is�dit�door�problemenmet�verschillende�overheidsprojecten�duidelijk�geworden.Een�recent�en�veelzijdig�voorbeeld�hiervan�is�de�proble-matiek�rond�de�ov-chipkaart.�Men�bleek�niet�alleen�betrek-kelijk�snel�in�staat�te�zijn�om�de�beveiliging�te�omzeilen,maar�ook�werd�duidelijk�dat�de�privacy�van�reizigers�inhet�geding�was�doordat�men�via�de�kaart�de�reiziger�alshet�ware�kon�volgen.

Staal


De�praktijk�heeft,�naast�dit�voorbeeld,�een�rijke�collec-tie�aan�potentiële�risico's�met�dergelijke�systemen�ten-toongespreid.�De�risico's�beperken�zich�niet�enkel�tot�sys-temen�of�producten�van�de�overheid.�Ook�als�gebruikge-maakt�wordt�van�gelijksoortige�systemen,�producten�ofservices�uit�de�commerciële�sector�bestaan�deze�risico's.Intussen�is�er�een�situatie�ontstaan�waarbij�een�groeiendaantal�multinationals�gericht�bezig�is�met�het�opzoekenvan�de�grenzen�van�het�recht�op�privacy.�Deze�bedrijvenhebben�hun�verdienmodel�ingericht�op�het�vergaren�vaninformatie�die�in�de�privésfeer�geplaatst�kan�worden.�Vo-rige�week�donderdag�kwamen�telecomproviders�KPN�enVodafone�in�opspraak�door�het�gebruik�van�deep�packetinspection,�waarbij�de�communicatie�tussen�een�mobieletelefoon�en�het�internet�tot�in�detail�door�een�derde,�bui-tenlandse,�partij�geanalyseerd�werd.�In�de�tussentijd�isgebleken�dat�de�situatie�mogelijk�minder�ernstig�is�danaanvankelijk�gedacht�werd.�Het�College�bescherming�per-soonsgegevens�gaat�desalniettemin�onderzoek�doen�naarde�betrokken�bedrijven.De�leden�van�onze�fractie�achten�deze�ontwikkelingen

zorgwekkend.�Bovendien�is�het�gebruikers�vaak�niet�be-kend�is�dat�dit�soort�technieken�toegepast�wordt,�terwijlhet�gebruik�ervan�mogelijk�een�aanzienlijke�inbreuk�maaktop�de�privacy�van�de�eindgebruiker.�Het�is�een�duidelijkvoorbeeld�van�de�noodzaak�om�dit�debat�niet�te�beper-ken�tot�de�wijze�waarop�de�overheid�met�eigen�informa-tiestromen�omgaat,�maar�ook�van�gedachten�te�wisselenover�de�rol�van�de�overheid�in�de�informatiesamenleving.De�adviezen�van�commissie-Brouwer-Korf�geven�een�aan-tal�goede�aanknopingspunten�voor�privacybewust�han-delen�door�overheid.�Het�principe�select�before�you�col-lect�is�bijvoorbeeld�bij�een�nieuw�ICT-project�een�goed�uit-gangspunt.�De�adviezen�zijn�echter�voornamelijk�gerichtop�stroomlijning�van�het�overheidshandelen�binnen�pro-jecten.�De�fractie�van�D66�merkt�op�dat�het�bij�dit�debatook�moet�gaan�over�de�grote�lijnen.�Welke�visie�heeft�deregering�op�de�huidige�informatiemaatschappij?�Het�re-cente�nieuws�uit�de�telecomsector�is�een�voorbeeld�vande�noodzaak�om�een�visie�op�de�in�dit�opzicht�verande-rende�samenleving�te�ontwikkelen.�Hoewel�de�nadruk�vanhet�debat�voornamelijk�bij�de�verwerking�en�uitwisselingvan�informatie�door�de�overheid�zelf�zal�liggen,�heeft�deoverheid�volgens�onze�fractie�ook�een�systeemverant-woordelijkheid.�Hier�kom�ik�later�op�terug.Ten�tijde�van�de�expertmeeting�in�februari�was�het�on-

derzoek�van�de�Wetenschappelijke�Raad�voor�het�Rege-ringsbeleid�helaas�nog�niet�beschikbaar.�Intussen�is�ditwel�het�geval.�Het�onderzoek�is�op�een�aantal�punten�kri-tisch�en�roept�belangrijke�vragen�op.�Het�meest�funda-mentele�punt�van�het�rapport�is�het�signaleren�van�eengebrek�aan�bewustzijn�bij�de�overheid�als�het�gaat�om�defundamentele�verandering�van�de�maatschappij�en�zich-zelf.�De�maatschappij�is�volgens�het�rapport�de�afgelo-pen�jaren�geïnformatiseerd.�Naast�dat�gebrek�aan�bewust-zijn�constateert�de�raad�dat�informatietechnologie�voor-namelijk�wordt�gezien�als�een�middel�om�beleidsdoelente�bereiken,�terwijl�deze�technologie�in�korte�tijd�meer�isgeworden�dan�slechts�een�middel.�Intussen�beheerst�hetin�aanzienlijke�mate�het�karakter,�de�mogelijkheden�ende�kwetsbaarheden�van�de�overheid.�Het�enthousiasmewaarmee�informatietechnologie�door�beleidsmakers�ge-bruikt�wordt,�heeft�geleid�tot�een�wirwar�van�systemen,producten�en�services,�waarbij�the�big�picture�uit�het�oogverloren�is.�De�fractie�van�D66�vindt�dat�deze�twee�ele-menten�centraal�moeten�staan�in�het�debat�over�de�rela-

tie�tussen�de�overheid�en�informatieverwerking�en�de�toe-komst�daarvan.In�het�rapport�wordt�geconcludeerd�dat�de�huidige�si-

tuatie�mede�is�ontstaan�door�een�ongefundeerd�vertrou-wen�in�de�ICT�als�probleemoplosser.�Door�gebrek�aan�be-sef�een�informatieoverheid�te�zijn,�ontstaat�wildgroei.�Deafwezigheid�van�een�institutioneel�kader�dat�verantwoor-delijkheid�draagt�voor�alle�informatietechnische�innova-ties�bij�de�overheid,�is�de�oorzaak�daarvan.�Tijdens�de�ex-pertmeeting�is�het�concept�van�een�nieuwe�toezichthou-der,�autoriteit�of�chief�information�officer�ter�sprake�geko-men.�De�leden�van�de�fractie�van�D66�zijn�van�mening�datenkel�een�nieuwe�externe�toezichthouder�weinig�toege-voegde�waarde�heeft.�De�fractie�deelt�de�mening�van�deraad�dat�het�in�de�eerste�plaats�noodzakelijk�is�om�het�be-sef�te�creëren�een�informatieoverheid�te�zijn.�Het�is�vanbelang�dat�nieuwe�systemen,�producten�en�services�metdit�in�gedachten�ontworpen�worden.�Een�institutioneel�ka-der�zou�daar�in�belangrijke�mate�aan�kunnen�bijdragen.Het�zou�de�verantwoording�kunnen�dragen�voor�de�priva-cy�impact�assessments.�Het�is�echter�van�belang�dat�hetnieuwe�kader�ook�over�algemene�bevoegdheden�zoals�ad-vies,�coördinatie�en�evaluatie�beschikt.Het�feit�dat�informatiesystemen�de�grenzen�van�be-

leidsterreinen�overschrijden,�geeft�al�blijk�van�de�nood-zaak�tot�centrale�coördinatie.�De�leden�van�mijn�fractiedenken�dat�een�aanzienlijk�deel�van�de�problemen,�die�dein�de�aanloop�naar�dit�debat�besproken�zijn,�gebaat�zouzijn�bij�een�gecentraliseerd�kader�voor�informatieverwer-king.�Tijdens�de�expertmeeting�is�een�aantal�modalitei-ten�besproken,�waaronder�de�mogelijkheid�van�een�CIObinnen�een�departement�of�een�externe�toezichthouderdie�mogelijk�naast�het�CBP�zou�komen�te�staan.�De�wijzewaarop�is�vooralsnog�van�ondergeschikt�belang.�Wanneerde�overheid�de�transformatie�naar�een�zelfbewuste�infor-matieoverheid�heeft�gemaakt,�zullen�bepaalde�elementen,zoals�privacy�by�design,�vanzelfsprekend�zijn.�De�ledenvan�de�fractie�van�D66�zijn�van�mening�dat�twee�elemen-ten�van�bijzonder�belang�zijn�bij�het�realiseren�van�dit�in-stitutionele�kader.�Ten�eerste�is�het�essentieel�dat�er�oogis�voor�het�beleidsterreinoverschrijdende�en�mogelijk�in-terdepartementale�karakter�van�projecten.�Daarnaast�deeltde�fractie�de�mening�van�het�Rathenau�Instituut�dat�vooradvisering�en�evaluatie�van�informatiesystemen�gegron-de�kennis�van�informatietechnologie�noodzakelijk�is.�Hetinstitutionele�kader�dient�dan�ook�te�beschikken�over�dezecapaciteiten.Als�het�kader�op�centrale�wijze�wordt�ingericht,�levert

dat�een�aantal�voordelen�op.�Ten�eerste�zal�bij�centraleevaluatie�van�informatiesystemen�een�probleem�als�func-tion�creep�zich�in�mindere�mate�manifesteren�doordat�dewerking�van�alle�informatiestromen�en�systemen�op�cen-traal�niveau�inzichtelijk�worden�gemaakt.�Het�is�op�diemanier�eenvoudiger�om�een�systeem�te�toetsen�aan�bij-voorbeeld�doelbinding.�Daarnaast�kan�bijvoorbeeld�ge-adviseerd�worden�over�de�kwaliteit�van�gegevens�bij�deintentie�om�gekoppelde�data�te�gebruiken�voor�een�be-paald�beleidsdoel.�Ten�derde�wordt�de�door�de�expertsgeschetste�complexiteitsspiraal�doorbroken�door�een�in-stitutioneel�kader�dat�begrip�heeft�van�ICT�en�de�doelenvan�een�project.�Derhalve�kan�een�dergelijk�instituut�eenbetere�inschatting�maken�van�de�benodigde�functionali-teit�en�deze�met�het�oog�op�function�creep�verder�te�be-grenzen.�Verder�wordt,�door�het�instellen�van�dit�kader,een�eerste�stap�gemaakt�in�het�erkenningsproces�van�deinformatisering�van�de�overheid.�Bovendien�maakt�een

Staal


dergelijke�aanpak�het�mogelijk�om�ook�andere�valkuilendie�samenhangen�met�het�ICT-gebruik�door�de�overheid�inkaart�te�brengen.�Het�maakt�het�bijvoorbeeld�eenvoudigerom�het�geheugen�van�de�overheidsinformatie�te�beherenals�een�instituut�inzicht�heeft�in�alle�systemen.�Deelt�de�re-gering�de�overtuiging�dat�een�dergelijk�instituut�noodza-kelijk�is�voor�de�transformatie�naar�een�overheid�die�zichbewust�is�van�de�nadruk�die�op�informatiestromen�is�ko-men�te�liggen?�Hoe�kijkt�de�regering�aan�tegen�het�ver-schil�tussen�het�realiseren�van�oplossingen�op�projectba-sis�versus�oplossingen�op�een�structurele�manier?�Kan�deregering�zich�verenigen�met�een�nieuw�institutioneel�ka-der�of�is�zij�van�mening�dat�de�eerder�genoemde�zakenook�voldoende�gewaarborgd�zijn�door�het�versterken�vanhet�bestaande�kader?�Daarnaast�vragen�de�leden�van�mijnfractie�zich�af�of�de�overheid�de�bestaande�realiteit�vol-doende�meeweegt�bij�de�ontwikkeling�van�nieuwe�en�hetbeheer�van�oude�informatiesystemen?De�leden�van�de�D66-fractie�hebben�bovendien�een

vraag�over�de�schaal�van�systemen.�Tijdens�het�debatover�het�elektronisch�patiëntendossier�is�de�schaal�vanhet�systeem�uitvoerig�ter�discussie�gesteld.�Enerzijdsgeldt:�hoe�grootschaliger�een�systeem�des�te�groter�ookde�daaruit�voortvloeiende�risico's�op�het�gebied�van�be-veiliging�en�privacy.�Anderzijds�leiden�veel�kleine�sys-temen�tot�problemen�van�beheersbaarheid�en�controle.Kan�de�minister�aangeven�hoe�de�regering�deze�afwegingmaakt?�Tot�slot�op�dit�punt�vragen�de�leden�van�de�frac-tie�van�D66�of�en,�zo�ja,�hoe�gevolg�wordt�gegeven�aan�deaanbevelingen�uit�het�rapport�van�de�WRR?De�leden�van�mijn�fractie�erkennen�de�noodzaak�van

privacy�impact�assessments.�Tijdens�de�expertmeetinggaf�de�heer�Kohnstamm�van�het�College�beschermingpersoonsgegevens�aan�dat�bij�de�ontwikkeling�van�eenstandaardmodel�voor�deze�assessments�de�werkgevers-organisaties�de�onderhandelingen�hebben�verlaten.�Kande�minister�aangeven�wat�de�huidige�status�is�van�de�ont-wikkeling�van�deze�model�assessments?�Kan�de�regeringvoorts�ingaan�op�de�vraag�of�deze�modellen�al�toepassingvinden�in�de�praktijk�en,�zo�ja,�hoe�en�in�welke�fase�vanhet�ontwerp�van�nieuwe�systemen�producten�of�dienstendeze�worden�toegepast?De�leden�van�de�D66-fractie�delen�de�mening�van�de

WRR�dat�de�samenleving�net�als�de�overheid�aan�het�in-formatiseren�is.�Het�grote�verschil�tussen�de�ontwikke-lingen�bij�de�overheid�en�de�rest�van�de�samenleving�isde�snelheid�waarmee�dit�gebeurt.�De�fractieleden�hech-ten�veel�waarde�aan�waarborging�van�de�privacy�in�de�sa-menleving.�Uit�het�rapport�"Niets�te�verbergen,�maar�tochbang"�van�het�CPB�komt�naar�voren�dat�burgers�na�zich�tehebben�geïnformeerd�over�privacyrisico's�het�gedrag�tenaanzien�hiervan�aanpassen.�De�leden�van�de�fractie�vanD66�vernemen�graag�van�de�regering�op�welke�wijze�deoverheid�van�plan�is�om�de�burger�verder�te�beschermentegen�de�informatiehonger�van�bedrijven�zoals�Google,Microsoft�en�Facebook.�Mijn�fractie�is�van�mening�dat�me-de�gezien�het�internationale�karakter�van�de�problema-tiek,�de�meest�voor�de�hand�liggende�oplossing�van�hetvraagstuk�is:�het�vergroten�van�het�besef�van�de�burgerten�aanzien�van�de�privacyproblematiek.�Deelt�de�rege-ring�deze�opvatting?�Zo�ja,�heeft�zij�concrete�plannen�omhier�een�actievere�rol�in�te�spelen�dan�tot�nu�toe�het�gevalwas?�De�WRR�spreekt�in�haar�rapport�over�het�belang�vanhet�recht�op�het�wissen�of�"vergeten"�van�informatie.�Kande�regering�dit�vanuit�internationaal�perspectief�toelich-ten?

Tot�slot�signaleert�de�D66-fractie�een�nieuwe�ontwikke-ling�op�het�gebied�van�dataverwerking:�cloud�computing.Het�betreft�een�nieuw�gebruik�van�de�computer�waarbijvrijwel�alle�data�van�een�gebruiker�naar�de�zogenaamde"cloud",�dat�wil�zeggen�het�internet,�verplaatst�wordt.�Hoekijkt�de�regering�vanuit�het�oogpunt�van�privacy�tegen�de-ze�nieuwe�ontwikkeling�aan?Wij�zien�de�antwoorden�van�de�regering�met�belang-

stelling�tegemoet.

Mevrouw�Strik�(GroenLinks):Voorzitter.�Gedurende�de�afgelopen�vijftien�jaar�lijkt�on-ze�bezorgdheid�over�de�privacy�te�zijn�omgeslagen�in�on-bekommerdheid.�In�datzelfde�tempo�is�de�inbreuk�eropverder�toegenomen.�Sindsdien�heeft�de�overheid�op�Eu-ropees�en�nationaal�niveau�een�scala�aan�bevoegdhedenvergaard�om�persoonsgegevens�op�te�eisen�en�uit�te�wis-selen.�Vooral�de�aanslagen�van�september�2001�hebbeneen�onstilbare�informatiehonger�bij�de�regeringen�teweeggebracht.�Daarom�zijn�onze�telefoon-�en�internetgegevensen�onze�banktransacties�opvraagbaar�voor�justitie.�Zelfzijn�we�te�traceren�via�onze�mobiele�telefoon.�Als�we�wil-len�vliegen,�moeten�we�voor�lief�nemen�dat�de�overheidons�lichaam�scant�en�de�luchtvaartmaatschappij�onze�per-soonsgegevens�overdraagt�aan�de�autoriteiten�van�hetland�van�bestemming.�Om�de�dader�niet�te�missen,�volgtde�overheid�iedereen.�En�zo�zijn�we�geruisloos�allemaal�inhet�verdachtenbankje�terechtgekomen.Niets�meer�voor�jezelf�kunnen�houden,�is�een�vorm�van

vrijheidsverlies.�Dreigt�juist�dat�opdringerige�veiligheids-beleid�ons�niet�te�verstikken?�Waar�beginnen�veiligheiden�vrijheid�onbehaaglijk�te�schuren?�Waar�ligt�de�grenstussen�een�betere�dienstverlening�en�bescherming�vanonze�persoonsgegevens?�Burgers�willen�zelf�die�grensbepalen.�De�overheid�moet�haar�bevoegdheden�aanwen-den�om�ons�daartoe�in�staat�te�stellen.�Dat�vergt�een�in-grijpende�koerswijziging.�Op�dit�moment�kunnen�burgerszich�niet�tot�één�verantwoordelijke�wenden,�want�de�po-tentiële�schenders�vertegenwoordigen�alle�aspecten�vande�overheid,�de�samenleving�en�het�bedrijfsleven.�Zijnze�aan�te�spreken�op�hun�handelen�door�burgers?�Er�zijnveel�dwarsverbanden�en�uitruilen,�maar�is�er�ook�een�re-gisseur?�Om�burgers�greep�op�hun�eigen�data�terug�te�ge-ven,�zal�de�overheid�en�dus�ook�de�politiek�de�regie�moe-ten�gaan�nemen�om�ons�grondwettelijk�recht�op�bescher-ming�van�onze�persoonsgegevens�te�waarborgen.�Datvergt�regie�op�normering,�transparantie,�voorlichting,�toe-zicht�en�handhaving.Het�is�nog�niet�zo�gemakkelijk�om�die�regie�zodanig�te

voeren,�dat�de�daaraan�ten�grondslag�liggende�norme-ring�klip-en-klaar�is�voor�iedereen.�Praktisch�altijd�wordtwetgeving�gemaakt�op�basis�van�een�afweging�van�belan-gen.�Het�belang�van�de�Staat�bij�de�bescherming�van�deopenbare�orde�of�het�belang�van�de�burger�bij�zijn�veilig-heid�hebben�een�bepaald�gewicht,�net�zoals�het�belang�bijhet�zelfbeschikkingsrecht�over�de�eigen�gegevens�of�bijrechtsbescherming.�Het�is�echter�allang�niet�meer�zwart-wit�veiligheid�versus�privacy.�Efficiency�speelt�een�rol�bijde�dienstverlening,�in�de�gezondheidszorg�en�in�het�be-drijfsleven.�Ook�daar�zijn�onze�gegevens�geliefd�om�hetconsumentengedrag�te�doorgronden�en�het�aanbod�vande�producten�nog�passender�te�maken.�Het�belang�vanhet�bedrijfsleven�dus.�De�gegevens�die�bedrijven�verza-melen,�komen�allemaal�weer�beschikbaar�voor�de�opspo-

Strik


ring,�kortom�voor�de�veiligheid.�De�heer�Franken�heeft�denormen�die�wat�ons�betreft�bij�de�toets�van�ontwerpwet-geving�als�uitgangspunt�moeten�dienen,�die�voortvloei-den�uit�onze�expertmeeting�van�2008,�zojuist�opgesomd.Wij�steunen�dan�ook�graag�de�motie�die�hij�vanavond�zalindienen.Een�toets�voorafgaande�aan�een�wetgevingsvoorstel,

aan�noodzaak,�effectiviteit�en�hanteerbaarheid,�en�propor-tionaliteit,�is�alleen�mogelijk�als�we�inzicht�hebben�in�heteffect�van�ontwerpwetgeving�op�onze�privacy.�Een�priva-cy�impact�assessment�is�dus�een�conditio�sine�qua�nonvoor�een�zorgvuldige�afweging�tussen�het�belang�van�debevoegdheden,�gegevens�en�het�belang�van�burgers�bijde�bescherming�van�persoonsgegevens.�Waarom�kiest�deregering�ervoor�om�nu�eerst�onderzoek�te�doen�naar�demogelijkheid�van�het�gebruik�van�privacy�impact�assess-ments?�Ook�de�regering�zelf�zou�die�gegevens�op�tafelmoeten�willen�hebben�alvorens�een�afweging�te�maken.Een�assessment�maakt�het�ook�mogelijk�dat�onbedoeldeeffecten�tijdig�boven�water�komen,�zodat�ontwerpwetge-ving�daarop�kan�worden�aangepast.�De�regering�noemthet�kostenaspect�in�relatie�tot�het�niet�verplicht�stellen,maar�voor�een�PIA�bij�wetgeving�is�alleen�de�overheidverantwoordelijk.�Een�verwijzing�naar�het�arme�midden-en�kleinbedrijf�is�dan�niet�op�zijn�plaats.�Heeft�de�regeringeraan�gedacht�dat�een�PIA�ook�bijzonder�kostenbesparendkan�werken?�Wetgeving�kan�nog�tijdig�worden�aangepastin�plaats�van�aan�het�eind�van�een�traject.�De�vele�miljoe-nen�die�verloren�zijn�gegaan�met�het�voorbereidingstra-ject�van�het�elektronisch�patiëntendossier�hadden�wellichtkunnen�worden�bespaard�als�alle�effecten�meteen�op�tafelhadden�gelegen.�Een�PIA�is�ook�een�goede�gelegenheidvoor�een�onderbouwde�reactie�op�adviezen�van�officiëleadviesorganen.�Momenteel�zien�we�te�vaak�dat�ook�zeerkritische�commentaren�van�de�EDPS�of�het�CBP�zonderveel�argumenten�in�de�wind�worden�geslagen.�Dat�pastniet�in�een�democratische�rechtsstaat.De�regering�zegt�wel�toe�om�de�voorgenomen�maatre-

gelen�nadrukkelijker�te�gaan�toetsen�aan�effectiviteit�entransparantie.�Betekent�dit�ook�dat�wij�dit�herkenbaar�entoetsbaar�zullen�terugzien�in�de�ontwerpwetgeving?�Voormedewetgevers�is�het�van�belang�om�dezelfde�toets�tekunnen�doen�als�de�regering.�Ook�het�voornemen�tot�eenevaluatie�of�horizonbepalingen�gaat�in�de�goede�richting.Waarom�heeft�de�regering�het�in�dit�verband�over�"of-of"?Is�het�niet�logischer�om�de�horizonbepaling�vergezeld�telaten�gaan�van�een�evaluatie�op�een�bepaald�tijdstip�ruimvoorafgaand�aan�het�aflopen�van�de�horizonbepaling?�Hetgaat�om�de�stok�achter�de�deur�voor�een�zorgvuldig�tegenhet�licht�houden�van�nut�en�noodzaak,�maar�ook�om�eenwaarborg�dat�ondeugdelijke�wetgeving�niet�automatischdoorloopt.�Ik�hoor�hierop�graag�een�reactie�van�de�rege-ring.Wat�is�de�wenselijke�normering?�De�WRR�heeft�de�kern

te�pakken�met�de�conclusie�dat�het�gaat�om�regie�op�in-formatiestromen,�niet�alleen�op�applicaties.�Wat�willenwe�weten�als�overheid�en�waarom?�Welke�informatie�wil-len�we�koppelen�en�met�welk�beleidsdoel�of�politiek�doel?Alleen�vanuit�die�inhoudelijke�uitgangspunten�is�het�mo-gelijk�om�selectief�te�zijn.�Daarom�zal�de�regering�zich�bijeen�wetsvoorstel�eerst�moeten�afvragen�of�de�inbreukop�de�privacy�noodzakelijk�is.�Verkeren�we�in�problemenomdat�we�een�bepaalde�wettelijke�bevoegdheid�nog�niethebben?�Onderbouw�dat�dan�met�feiten�en�laat�zien�watwordt�opgelost�met�extra�bevoegdheden�en�data.

Dat�vraagt�om�een�kritisch�blik�van�iedereen:�departe-menten,�politiek�en�uitvoerders.�De�neiging�naar�meer�enmeer�mogelijkheden�is�groot,�omdat�we�dat�verwarrenmet�daadkracht,�maar�het�kan�zich�evengoed�tegen�onskeren.�Het�onderzoek�"doelwit�Europa"�naar�aanslagen�ofhalf�gelukte�aanslagen�laat�zien�dat�de�politie�de�meesteplegers�al�in�het�vizier�had,�gewoon�via�het�ambachtelijkeopsporingswerk.�Het�gevaar�van�een�onbeperkte�hoeveel-heid�gegevens�beschikbaar�stellen,�is�dat�nog�meer�dataen�bevoegdheden�juist�het�ambacht�verzwakken�en�er�nogmeer�langs�elkaar�heen�wordt�gewerkt.�We�creëren�heelveel�hooibergen�waarin�de�politie�mag�gaan�zoeken.Hetzelfde�zien�we�gebeuren�bij�het�elektronisch�kind-

dossier.�Er�zijn�nu�zo�immens�veel�als�risicokinderen�ge-typeerde�kinderen�opgenomen�in�de�databanken,�dat�ge-richte�hulpverlening�onmogelijk�wordt�of�preventiemaat-regelen�ondoenlijk�te�nemen�zijn.�De�profilering�is�te�grof,waardoor�we�ons�doel�voorbij�schieten.�Bovendien�leidthet�tot�stigmatisering�en�onrechtvaardige�uitsluitingen,bijvoorbeeld�als�iemand�te�boek�komt�te�staan�als�wanbe-taler�omdat�hij�een�bepaalde�postcode�hebt�en�ergens�éénkeer�een�rekening�te�lang�open�heeft�laten�staan.Hetzelfde�gebeurt�als�data�voor�te�veel�verschillende

doelen�worden�gebruikt.�Zo�is�het�Schengen�InformatieSysteem�gestart�om�de�grenscontroles�effectiever�te.�ma-ken.�Nu�mogen�opsporingsdiensten�ook�voor�strafrech-telijke�doeleinden�gebruikmaken�van�de�databanken.�Datbetekent�dat�migranten�vaker�voorkomen�in�databan-ken�waar�politie�en�justitie�vrij�over�kunnen�beschikken.Het�valt�te�bezien�of�dit�gebruik�niet�indruist�tegen�de�uit-gangspunten�die�het�EHRM�heeft�neergelegd�in�de�Mar-perzaak,�omdat�het�onschuldige�migranten�kan�stigmati-seren.�Met�profilering�is�het�gevaar�voor�stigmatiseringnog�nadrukkelijker�aanwezig.�Het�Hof�heeft�in�deze�zaaknadrukkelijk�op�de�grote�verantwoordelijkheid�voor�over-heden�gewezen�bij�het�gebruik�van�nieuwe�technologieën.Zij�dienen�de�juiste�balans�te�vinden.�Opspoorders�in�devoorhoede�dienen�tevens�privacybeschermers�in�de�voor-hoede�te�zijn.Tot�zover�mijn�vragen�en�opmerkingen�over�de�wense-

lijke�normering,�maar�wat�is�de�feitelijke�normering?�Wijzien�dat�de�techniek�uiteindelijk�nog�steeds�de�norm�is;een�groot�contrast�met�de�wijze�waarop�dit�kabinet�bij-voorbeeld�met�gentechnologie�omgaat,�zeker�als�het�gaatom�menselijke�cellen.�Dan�is�het�van�belang,�eerst�eenethische�discussie�te�voeren�en�op�basis�daarvan�grenzente�stellen.�Zo�niet�bij�privacy:�elke�nieuwe�mogelijkheiddie�een�nieuwe�techniek�biedt,�zullen�we�uiteraard�toe-passen.�Zonde�om�niet�te�gebruiken!�De�"waaromvraag"sneuvelt�te�vaak�onder�dit�enthousiasme.�Tegelijkertijdweten�we�inmiddels�dat�de�privacy�vooral�afhangt�vande�wijze�waarop�mensen�met�die�techniek�omgaan.�Aanwie�verstrek�je�het�mandaat�om�in�een�databestand�te�kij-ken?�Maakt�iemand�fouten�bij�de�invoering?�Vallen�de�ge-gevens�in�verkeerde�handen?�De�menselijke�factor�is�eenzwakke�schakel�en�die�kunnen�we�beter�wantrouwen.We�moeten�ons�tegen�onszelf�beschermen,�zo�be-

schouw�ik�het�uitgangspunt�select�before�you�collect.Eerst�weten�wat�je�waarom�nodig�hebt�en�dan�de�wetge-ving�en�de�toepasselijke�technieken�zo�ontwerpen,�dater�ook�geen�andere�informatie�wordt�opgeslagen�of�be-waard.�Dit�is�het�zogenaamde�zero�knowledge-uitgangs-punt.�Je�moet�wel�eerst�een�cursus�Engels�volgen�voordatje�je�het�privacydebat�eigen�kunt�maken.�Dat�alles�bete-kent�een�zorgvuldige�afbakening�al�in�het�stadium�van�hetontwerp�van�de�wetgeving.�Dat�verkleint�tevens�de�kans

Strik


dat�gegevens�voor�een�ander�doel�worden�gebruikt�enwat�ons�betreft�is�dat�winst,�want�een�ander�doel�verdienteen�nieuw�debat�in�de�Staten-Generaal;�een�doordachte,welbewuste�keuze.�Bovendien�kan�gebruik�van�gegevensvoor�een�ander�doel�dan�de�wet�oorspronkelijk�in�voor-zag,�alleen�met�instemming�van�de�persoon�zelf.�Dat�isiets�anders�dan�een�wet�ergens�publiceren�en�er�dan�vanuitgaan�dat�iedereen�op�de�hoogte�is�gebracht.�Bovendienmoet�er�een�gegronde�reden�voor�zijn.�Deze�twee�criteriabetekenen�per�definitie�dat�datamining�uit�den�boze�is.Toch�blijkt�in�de�praktijk�keer�op�keer�dat�datamining

en�profilering�worden�toegepast,�evenals�het�zogenaam-de�function�creep,�het�gebruik�van�gegevens�voor�een�an-der�doel.�Hier�worden�burgers�ongemakkelijk�van.�Je�hebtgeen�greep�op�je�gegevens,�je�weet�zelfs�niet�in�wienshanden�ze�zijn�en�waarom.�Graag�hoor�ik�klip-en-klaar�vande�regering�welke�grenzen�zij�stelt�ten�aanzien�van�hetomgaan�met�bulkgegevens,�bijvoorbeeld�in�een�databank,los�van�het�doel�waarvoor�ze�zijn�opgeslagen.�En�welkewaarborgen�biedt�de�regering�om�deze�grenzen�te�bewa-ken?�De�regering�illustreert�meteen�ook�zelf�hoe�lastig�hetis�om�selectiviteit�te�betrachten.�Wegens�doorslaand�suc-ces�zou�de�automatische�nummerplaatherkenning�(ANPR)moeten�leiden�tot�nieuwe�wetgeving�om�kentekens�voormeerdere�doelen�te�kunnen�gebruiken.�Kan�de�regeringaan�de�hand�van�dit�voorbeeld�nu�eens�uitleggen�waar-om�het�geoorloofd�is�om�kentekens�op�grote�schaal�te�ge-bruiken�voor�het�volgen�van�bestuurders�met�een�geheelander�doel�dan�waarvoor�de�nummerplaatherkenningooit�bedoeld�was?�En�kan�ze�daarbij�een�vergelijking�trek-ken�met�de�beslissing�om�niet�verder�te�gaan�met�proe-ven�voor�de�kilometerheffing,�omdat�dit�de�privacy�te�veelzou�aantasten?�Die�maatregel�zou�zorgen�voor�15%�min-der�auto's�op�de�weg�en�volgens�de�toenmalige�regering,maar�ook�het�Rathenau�Instituut,�was�de�privacy�bijzondergoed�gewaarborgd.�In�de�woorden�van�de�toenmalige�mi-nister�Eurlings:�"U�zou�banger�moeten�zijn�voor�uw�gsmdan�voor�het�kastje�in�uw�auto."Soms�gloort�er�een�begin�van�inzicht�dat�we�niet�op�de

weg�van�eindeloos�vergaren�van�data�verder�moeten.�Eencentrale�databank�voor�de�vingerafdrukken�komt�er�voor-lopig�niet.�Graag�hoor�ik�van�de�regering�hoe�dit�debatverder�verloopt�en�wat�er�gebeurt�met�onze�biometrischegegevens�die�inmiddels�al�zijn�afgenomen.�Zijn�die�gege-vens�veilig?�Worden�ze�vernietigd?�Dat�laatste�lijkt�mij�demeest�logische�weg.�Graag�informatie�daarover.Een�zwaluw�maakt�nog�geen�zomer.�Ook�dit�kabinet�lijkt

weer�te�barsten�van�energie�om�data�van�ons�te�verkrij-gen�en�te�gebruiken�voor�zijn�politieke�ambities.�De�rege-ring�wil�bijvoorbeeld�instanties�verplichten�om�data�te�de-len�als�het�noodzakelijk�is�voor�de�veiligheid.�Dit�is�duseen�plicht�voor�professionals�om�te�breken�met�het�doel-bindingsprincipe.�We�hebben�met�name�de�afgelopen�ja-ren�gezien�hoe�subjectief�het�begrip�"veiligheid"�is.�Dushoe�ziet�de�regering�dit�voor�zich?�Wie�mag�bepalen�ofhet�nodig�is?�Het�zijn�die�instanties�zelf�die�deze�afwegingmoeten�maken.In�het�kader�van�zelfbescherming�en�uniformiteit�juicht

onze�fractie�dan�ook�het�idee�van�de�helpdesk�toe,�waarbijprofessionals�worden�geadviseerd�over�hun�omgang�metdata.�De�vraag�is�wel�onder�wie�die�helpdesk�zou�moetenfungeren.�Wat�ons�betreft,�wordt�een�dergelijke�helpdeskbreed�ingericht,�ook�voor�burgers�en�het�bedrijfsleven.�Zokan�er�een�centraal�expertisecentrum�ontstaan�met�eeneenduidige�advisering,�wie�de�hulpvrager�ook�is.�Als�weburgers�weer�meer�greep�op�hun�gegevens�willen�geven,

zullen�we�moeten�beginnen�met�meer�transparantie�enoverzicht�moeten�scheppen.�Dat�betekent�een�herkenbareplek�met�functionarissen�die�vragen�beantwoorden�en�ad-viseren,�maar�tegelijkertijd�de�doorzettingsmacht�hebbenom�gegevens�te�corrigeren�of�verwijderen,�ten�aanzienvan�alle�departementen�en�uitvoeringsinstanties.�Hoe�kijktde�regering�hier�tegenaan?�Wat�ons�betreft,�zou�de�com-missie�die�de�WRR�voorstelt�om�jaarlijks�de�ontwikkelin-gen�in�de�informatiestromen�tegen�het�licht�te�houden�ende�Kamer�en�de�regering�daarover�te�adviseren,�ook�aandit�expertisecentrum�gekoppeld�kunnen�worden.�Dan�zoueen�goede�basis�kunnen�vormen�voor�haar�bevindingen.Vanuit�het�burgerperspectief�is�de�transparantie�nog�veronder�de�maat.�Naast�een�dergelijk�expertisecentrum�zoude�wettelijke�informatieplicht�moeten�worden�versterkt�enook�de�mogelijkheden�voor�recht�op�inzage,�bezwaar�ofklachten�moeten�worden�versterkt.Dan�het�toezicht.�Burgers�krijgen�hun�regie�echter�niet

terug�met�een�helpdesk�en�een�aansprakelijke�met�door-zettingsmacht.�De�overheid�dient�daarvoor�zelf�uit�de�mistte�treden:�laten�zien�wat�ze�weet�van�ons�en�wat�ze�daar-mee�doet.�Het�begint�dus�met�inzage�te�krijgen�in�de�re-gistratie�door�de�overheid�en�het�gebruik�van�de�gege-vens.�Zoals�ik�al�bij�aanvang�zei:�de�overheidsregie�moetzich�ook�uitstrekken�over�de�private�sector.�Bepaal�doel-stellingen�en�randvoorwaarden�en�organiseer�toezicht.�Deregering�stelt�voor�om�het�externe�toezicht�te�verstevigen,maar�wel�meer�achteraf�in�te�zetten.�Het�interne�toezichtbij�bedrijven�zou�versterkt�worden�door�middel�van�priva-cyofficieren.�Het�aantrekkelijke�hiervan�is�dat�wellicht�hetbewustzijn�en�de�verantwoordelijkheid�van�bedrijven�zelfhierdoor�worden�vergroot.�De�normen�worden�van�bin-nenuit�opgebouwd,�maar�hoe�voorkomen�we�het�risicodat�het�beperkt�blijft�tot�zo'n�privacyofficier?�En�dient�dieofficier�niet�ook�de�belangen�van�het�bedrijf�daar�tegen-over�af�te�wegen?De�bedrijven�zouden�zelf�belang�moeten�krijgen�bij�een

zorgvuldig�gebruik�van�gegevens�van�hun�klanten.�Dathebben�wij�gezien�bij�het�bedrijf�TomTom.�Toen�burgerservan�op�de�hoogte�kwamen�dat�hun�gegevens�aan�jus-titie�werden�verstrekt�om�snelheidsovertredingen�te�kun-nen�vaststellen,�realiseerde�de�eigenaar�van�TomTom�zichdat�het�bedrijf�voorzichtiger�moest�zijn�met�het�uitwis-selen�van�gegevens.�Als�de�overheid�meer�voorlichtinggeeft�aan�burgers�over�de�wijze�waarop�het�bedrijfslevenomgaat�met�data,�kan�de�interne�druk�om�zorgvuldigheidte�betrachten�worden�vergroot.�Een�doelmatig�toezicht�zitniet�alleen�in�hoge�boetes,�maar�onze�fractie�acht�het�welvan�groot�belang�dat�het�CBP�die�boetes�kan�uitdelen.�Deleeuw�moet�inderdaad�een�beetje�eng�worden.De�overheid�zou�erop�moeten�toezien,�bij�zichzelf�en

het�bedrijfsleven,�dat�de�technologie�vooral�benut�wordtom�ons�te�beschermen�tegen�ongewenst�gebruik�van�on-ze�gegevens.�Meer�privacy�by�design�dus�en�daar�mageen�financieel�belang�nooit�iets�aan�afdoen.�Regie�doorde�overheid�betekent�ook�regie�over�de�rol�van�toezicht-houders.�Het�antwoord�van�de�regering�op�de�vraag�overde�rol�van�het�CBP�is�tot�nu�toe�nogal�ontwijkend.�Wij�on-dersteunen�een�versterkende�rol�van�wetgevingsadviesen�toezicht�op�de�naleving�van�die�wetten.�De�adviseringvan�bedrijven�en�uitvoerende�instanties�zien�wij�liever�ineen�andere�hand,�wat�het�CBP�vrijheid�geeft�in�zijn�toe-zichthoudende�taak.�Wellicht�dat�het�CBP�bij�het�kwijtra-ken�van�deze�taak�wel�voldoende�capaciteit�krijgt.�Dat�zouzeer�nauwgezet�moeten�worden�uitgezocht.

Strik


Ten�slotte:�het�wordt�steeds�duidelijker�dat�niemandmeer�het�overzicht�heeft.�En�de�overheid�zou�het�wel�moe-ten�willen�hebben�om�enigszins�grip�te�houden�en�stu-ring�te�geven.�Wij�als�volksvertegenwoordigers�dienen�hetburgerrecht�serieus�te�nemen�en�een�gevoel�van�urgen-tie�te�ontwikkelen�ten�aanzien�van�de�onmacht�die�veelburgers�voelen�bij�de�technologische�ontwikkelingen.�Pri-vacy�gaat�om�veel�meer�dan�om�het�kunnen�afschermenvan�je�persoonsgegevens.�Het�heeft�met�vrijheid�te�ma-ken,�waardigheid,�autonomie,�maar�ook�de�democratischerechtsstaat.�De�door�de�WRR�voorgestelde�commissie�diejaarlijks�rapporteert�over�die�ontwikkelingen�en�ons�aan-spreekt�op�onze�verantwoordelijkheid,�zou�dat�gevoel�vanurgentie�kunnen�versterken.�Maar�uiteindelijk�draait�hetom�de�politieke�wil.�Ik�ben�blij�met�het�gevoel�van�urgen-tie�dat�ik�vanochtend�heb�gehoord.�Laten�we�onze�wetge-vingstoets�gewetensvol�verrichten�en�geen�genoegen�ne-men�met�vage�wettelijke�criteria,�controle�houden�op�nor-mering�die�in�lagere�regelgeving�wordt�neergelegd,�Eu-ropese�ontwerpwetgeving�becommentariëren�en�imple-mentatiewetgeving�kritisch�toetsen�op�de�strikte�nood-zaak.�Als�we�consistent�zijn,�zal�de�regering�gedwongenzijn�om�onze�uitgangspunten�al�bij�aanvang�van�het�wet-gevingsproces�ernstig�te�nemen.

De�beraadslaging�wordt�geschorst.

De�vergadering�wordt�van�12.40�uur�tot�13.45�uur�ge-schorst.

De�voorzitter:De�ingekomen�stukken�staan�op�een�lijst�die�in�de�zaal�terinzage�ligt.�Op�die�lijst�heb�ik�voorstellen�gedaan�over�dewijze�van�behandeling.�Als�aan�het�einde�van�de�vergade-ring�daartegen�geen�bezwaren�zijn�ingekomen,�neem�ikaan�dat�de�Kamer�zich�met�de�voorstellen�heeft�verenigd.

(Deze�lijst�is,�met�de�lijst�van�besluiten,�opgenomen�aanhet�einde�van�deze�editie.)

Rapport brouwer korf

Documents

Transcript of Rapport brouwer korf