Regering zegt privacy impact assements toe

Met dank overgenomen van M.H.A. (Tineke) Strik i, gepubliceerd op woensdag 18 mei 2011.

Gisteren kruisten de Eerste Kamer en minister Donner en staatssecretaris Teeven de degens over de privacy. De Eerste Kamer wil in meerderheid een zorgvuldiger afweging bij wetgeving: welk effect heeft een wet op de privacy, en is een inbreuk op de privacy echt nodig? Op dit punt lijkt de regering zich iets van onze volhardendheid aan te trekken. Voortaan zal ze bij relevante wetten in de Memorie van Toelichting ingaan op het effect op de privacy. Dat is grote winst, dat betekent een helderder debat en afweging.

Verder drong de Senaat aan op meer regie bij de burger zelf, en ook meer verantwoordelijkheid door de overheid voor een zorgvuldige omgang met persoonsgegevens. Dat laatste vormde nog het grootste conflictpunt. Donner, normaal niet vies van regels en kaders stellen, vond dat hij niet het bedrijfsleven kon dwingen tot maatregelen om de privacy van burgers te garanderen. Het zou het bedrijfsleven te veel geld kosten. Absurd, als je technologie kunt gebruiken om een inbreuk te maken, kun je dat ook om de privacy te beschermen. Als je daar bij het ontwerpen van een systeem al aan denkt, is dat echt niet een rib uit het lijf van het bedrijfsleven.

Ook was Donner niet van plan om veel met horizonbepalingen te gaan werken, wetten dus die na een aantal jaren vanzelf ophouden. Een wet wordt dan alleen verlengd als die noodzakelijk en deugdelijk is gebleken. Hier bleek enige spanning tussen CDA en VVD. In het regeerakkoord en in het kabinetsstandpunt staat het namelijk wél opgenomen. Wij willen dat in de concrete voorstellen terugzien.

De Eerste Kamer heeft het debat in elk geval aangegrepen om het kabinet te voorzien van kaders waarbinnen het de concrete voorstellen gaat uitwerken. Hopelijk voorkomt deze werkwijze een tweede debacle zoals het EPD. Het kabinet hoeft zich een volgende keer niet verrast te tonen bij een tegenstem als wij onze uitgangspunten niet terugzien. Hopelijk gaat de Tweede Kamer zich nu ook meer van de privacy van hun kiezers aantrekken.

Zie hieronder mijn eerste en tweede termijn

Mevrouw Strik (GroenLinks):

Voorzitter. Gedurende de afgelopen vijftien jaar lijkt onze bezorgdheid over de privacy te zijn omgeslagen in onbekommerdheid. In datzelfde tempo is de inbreuk erop verder toegenomen. Sindsdien heeft de overheid op Europees en nationaal niveau een scala aan bevoegdheden vergaard om persoonsgegevens op te eisen en uit te wisselen. Vooral de aanslagen van september 2001 hebben een onstilbare informatiehonger bij de regeringen teweeg gebracht. Daarom zijn onze telefoon- en internetgegevens en onze banktransacties

opvraagbaar voor justitie. Zelf zijn we te traceren via onze mobiele telefoon. Als we willen vliegen, moeten we voor lief nemen dat de overheid ons lichaam scant en de luchtvaartmaatschappij onze persoonsgegevens overdraagt aan de autoriteiten

van het land van bestemming. Om de dader niet te missen, volgt de overheid iedereen. En zo zijn we geruisloos allemaal in het verdachtenbankje terechtgekomen.

Niets meer voor jezelf kunnen houden, is een vorm van vrijheidsverlies. Dreigt juist dat

opdringerige veiligheidsbeleid ons niet te verstikken? Waar beginnen veiligheid en vrijheid

onbehaaglijk te schuren? Waar ligt de grens tussen een betere dienstverlening en bescherming van onze persoonsgegevens? Burgers willen zelf die

grens bepalen. De overheid moet haar bevoegdheden aanwenden om ons daartoe in staat

te stellen. Dat vergt een ingrijpende koerswijziging.

Op dit moment kunnen burgers zich niet tot één verantwoordelijke wenden, want de potentiële schenders vertegenwoordigen alle aspecten van de overheid, de samenleving en het bedrijfsleven. Zijn ze aan te spreken op hun handelen door burgers? Er zijn veel dwarsverbanden en uitruilen, maar is er ook een regisseur? Om burgers greep op hun eigen

data terug te geven, zal de overheid en dus ook de politiek de regie moeten gaan nemen om ons grondwettelijk recht op bescherming van onze persoonsgegevens te waarborgen. Dat vergt regie op normering, transparantie, voorlichting, toezicht en handhaving.

Het is nog niet zo gemakkelijk om die regie zodanig te voeren, dat de daaraan ten grondslag

liggende normering klip-en-klaar is voor iedereen. Praktisch altijd wordt wetgeving gemaakt op basis van een afweging van belangen. Het belang van de Staat bij de bescherming van de openbare orde of het belang van de burger bij zijn veiligheid hebben een bepaald gewicht, net zoals het belang bij het zelfbeschikkingsrecht over de eigen gegevens of bij rechtsbescherming. Het is echter allang niet meer zwart-wit veiligheid versus privacy. Efficiency speelt een rol bij de dienstverlening, in de gezondheidszorg en in het bedrijfsleven. Ook daar zijn onze gegevens geliefd om het consumentengedrag te doorgronden en het aanbod van de producten nog passender te maken. Het belang van het bedrijfsleven dus. De gegevens die bedrijven verzamelen, komen allemaal weer beschikbaar voor de opsporing, kortom voor de veiligheid. De heer Franken heeft de normen die wat ons betreft bij de toets van ontwerpwetgeving als uitgangspunt moeten dienen, die voortvloeiden uit onze expertmeeting van 2008, zojuist opgesomd. Wij steunen dan ook graag de motie die

hij vanavond zal indienen.

Een toets voorafgaande aan een wetgevingsvoorstel, aan noodzaak, effectiviteit en

hanteerbaarheid, en proportionaliteit, is alleen mogelijk als we inzicht hebben in het effect van ontwerpwetgeving op onze privacy. Een privacy impact assessment is dus een conditio sine qua non voor een zorgvuldige afweging tussen het belang van de bevoegdheden, gegevens en het belang van burgers bij de bescherming van persoonsgegevens. Waarom kiest de regering ervoor om nu eerst onderzoek te doen naar de mogelijkheid van het

gebruik van privacy impact assessments? Ook de regering zelf zou die gegevens op tafel moeten willen hebben alvorens een afweging te maken. Een assessment maakt het ook mogelijk dat onbedoelde effecten tijdig boven water komen, zodat ontwerpwetgeving daarop kan worden aangepast. De regering noemt het kostenaspect in relatie tot

het niet verplicht stellen, maar voor een PIA bij wetgeving is alleen de overheid verantwoordelijk. Een verwijzing naar het arme midden- en kleinbedrijf is dan niet op zijn plaats. Heeft de regering eraan gedacht dat een PIA ook bijzonder kostenbesparend kan werken? Wetgeving kan nog tijdig worden aangepast in plaats van aan het eind van een traject. De vele miljoenen die verloren zijn gegaan met het voorbereidingstraject van het

elektronisch patiëntendossier hadden wellicht kunnen worden bespaard als alle effecten meteen op tafel hadden gelegen. Een PIA is ook een goede gelegenheid voor een onderbouwde reactie op adviezen van officiële adviesorganen. Momenteel zien we te vaak dat ook zeer kritische commentaren van de EDPS of het CBP zonder veel argumenten in

de wind worden geslagen. Dat past niet in een democratische rechtsstaat.

De regering zegt wel toe om de voorgenomen maatregelen nadrukkelijker te gaan toetsen aan effectiviteit en transparantie. Betekent dit ook dat wij dit herkenbaar en toetsbaar zullen

terugzien in de ontwerpwetgeving? Voor medewetgevers is het van belang om dezelfde toets

te kunnen doen als de regering. Ook het voornemen tot een evaluatie of horizonbepalingen

gaat in de goede richting. Waarom heeft de regering het in dit verband over "of/of"? Is het niet logischer om de horizonbepaling vergezeld te laten gaan van een evaluatie op een bepaald tijdstip ruim voorafgaand aan het aflopen van de horizonbepaling? Het gaat om de stok achter de deur voor een zorgvuldig tegen het licht houden van nut en noodzaak, maar ook om een waarborg dat ondeugdelijke wetgeving niet automatisch doorloopt. Ik hoor hierop graag een reactie van de regering. Wat is de wenselijke normering? De WRR

heeft de kern te pakken met de conclusie dat het gaat om regie op informatiestromen, niet alleen op applicaties. Wat willen we weten als overheid en waarom? Welke informatie willen we koppelen en met welk beleidsdoel of politiek doel? Alleen vanuit die inhoudelijke uitgangspunten is het mogelijk om selectief te zijn. Daarom zal de regering zich bij een

wetsvoorstel eerst moeten afvragen of de inbreuk op de privacy noodzakelijk is. Verkeren we in problemen omdat we een bepaalde wettelijke bevoegdheid nog niet hebben? Onderbouw dat dan met feiten en laat zien wat wordt opgelost met extra bevoegdheden en data.

Dat vraagt om een kritisch blik van iedereen: departementen, politiek en uitvoerders.

De neiging naar meer en meer mogelijkheden is groot, omdat we dat verwarren met daadkracht, maar het kan zich evengoed tegen ons keren. Het onderzoek "doelwit Europa" naar aanslagen of half gelukte aanslagen laat zien dat de politie de meeste plegers al in het vizier had, gewoon via het ambachtelijke opsporingswerk. Het gevaar van een onbeperkte hoeveelheid gegevens beschikbaar stellen, is dat nog meer data en bevoegdheden juist

het ambacht verzwakken en er nog meer langs elkaar heen wordt gewerkt. We creëren heel veel hooibergen waarin de politie mag gaan zoeken. Hetzelfde zien we gebeuren bij het

elektronisch kinddossier. Er zijn nu zo immens veel als risicokinderen getypeerde kinderen opgenomen in de databanken, dat gerichte hulpverlening onmogelijk wordt of preventiemaatregelen ondoenlijk te nemen zijn. De profilering is te grof,

waardoor we ons doel voorbij schieten. Bovendien leidt het tot stigmatisering en onrechtvaardige uitsluitingen, bijvoorbeeld als iemand te boek komt te staan als wanbetaler omdat hij een bepaalde postcode hebt en ergens één keer een rekening te lang open heeft laten staan.

Hetzelfde gebeurt als data voor te veel verschillende doelen worden gebruikt. Zo is het

Schengen Informatie Systeem gestart om de grenscontroles effectiever te. maken. Nu mogen opsporingsdiensten ook voor strafrechtelijke doeleinden gebruikmaken van de databanken. Dat betekent dat migranten vaker voorkomen in databanken waar politie en justitie vrij over kunnen beschikken. Het valt te bezien of dit gebruik niet indruist tegen de uitgangspunten die het EHRM heeft neergelegd in de Marper-zaak, omdat het onschuldige migranten kan stigmatiseren. Met profilering is het gevaar voor stigmatisering nog

nadrukkelijker aanwezig. Het Hof heeft in deze zaak nadrukkelijk op de grote verantwoordelijkheid voor overheden gewezen bij het gebruik van nieuwe technologieën.

Zij dienen de juiste balans te vinden. Opspoorders in de voorhoede dienen tevens privacybeschermers in de voorhoede te zijn.

Tot zover mijn vragen en opmerkingen over de wenselijke normering, maar wat is de feitelijke

normering? Wij zien dat de techniek uiteindelijk nog steeds de norm is; een groot contrast met de wijze waarop dit kabinet bijvoorbeeld met gentechnologie omgaat, zeker als het gaat om menselijke cellen. Dan wordt het van belang geacht om eerst een ethische discussie te voeren en op basis daarvan grenzen te stellen. Zo niet bij privacy: elke nieuwe mogelijkheid die een nieuwe techniek biedt, zullen we uiteraard toepassen. Zonde om niet te gebruiken! De "waaromvraag" sneuvelt te vaak onder dit enthousiasme. Tegelijkertijd weten we inmiddels

dat de privacy vooral afhangt van de wijze waarop mensen met die techniek omgaan. Aan wie verstrek je het mandaat om in een databestand te kijken? Maakt iemand fouten bij de invoering? Vallen de gegevens in verkeerde handen? De menselijke factor is een zwakke schakel en die kunnen we beter wantrouwen. We moeten ons tegen onszelf beschermen,

zo beschouw ik het uitgangspunt select before you ollect. Eerst weten wat je waarom nodig hebt en dan de wetgeving en de toepasselijke technieken zo ontwerpen, dat er ook geen andere informatie wordt opgeslagen of bewaard. Dit is het zogenaamde zero knowledge-uitgangspunt. Je moet wel eerst een cursus Engels volgen voordat je je

het privacydebat eigen kunt maken. Dat alles betekent een zorgvuldige afbakening al in het

stadium van het ontwerp van de wetgeving.

Dat verkleint tevens de kans dat gegevens voor een ander doel worden gebruikt en wat ons betreft is dat winst, want een ander doel verdient een nieuw debat in de Staten-Generaal, een doordachte, welbewuste keuze. Bovendien kan gebruik van gegevens voor een ander doel dan de wet oorspronkelijk in voorzag, alleen met instemming van de persoon zelf. Dat is iets anders dan een wet ergens publiceren en er dan van uitgaan dat iedereen op de hoogte is gebracht. Bovendien moet er een gegronde reden voor zijn. Deze twee criteria betekenen per definitie dat datamining uit den boze is. Toch blijkt in de praktijk keer op keer dat

datamining en profilering worden toegepast, evenals het zogenaamde function creep, het

gebruik van gegevens voor een ander doel. Hier worden burgers ongemakkelijk van. Je hebt geen greep op je gegevens, je weet zelfs niet in wiens handen ze zijn en waarom. Graag hoor ik klip-enklaar van de regering welke grenzen zij stelt ten aanzien van het omgaan met bulkgegevens, bijvoorbeeld in een databank, los van het doel waarvoor ze zijn opgeslagen. En welke waarborgen biedt de regering om deze grenzen te bewaken? De regering illustreert meteen ook zelf hoe lastig het is om selectiviteit te betrachten. Wegens doorslaand

succes zou de automatische nummerplaatherkenning (ANPR) moeten leiden tot

nieuwe wetgeving om kentekens voor meerdere doelen te kunnen gebruiken. Kan de regering aan de hand van dit voorbeeld nu eens uitleggen waarom het geoorloofd is om kentekens op grote schaal te gebruiken voor het volgen van bestuurders met een geheel ander doel dan

waarvoor de nummerplaatherkenning ooit bedoeld was? En kan ze daarbij een vergelijking trekken met de beslissing om niet verder te gaan met proeven voor de kilometerheffing, omdat dit de privacy te veel zou aantasten? Die maatregel zou zorgen voor 15% minder auto's op de weg en volgens de toenmalige regering, maar ook het Rathenau Instituut, was de privacy bijzonder goed gewaarborgd. In de woorden van de toenmalige

minister Eurlings: "U zou banger moeten zijn voor

uw gsm dan voor het kastje in uw auto".

Soms gloort er een begin van inzicht dat we niet op de weg van eindeloos vergaren van data

verder moeten. Een centrale databank voor de vingerafdrukken komt er voorlopig niet. Graag hoor ik van de regering hoe dit debat verder verloopt en wat er gebeurt met onze biometrische gegevens die inmiddels al zijn afgenomen. Zijn die gegevens veilig? Worden ze vernietigd? Dat laatste lijkt mij de meest logische weg. Graag informatie daarover.

Een zwaluw maakt nog geen zomer. Ook dit kabinet lijkt weer te barsten van energie om data

van ons te verkrijgen en te gebruiken voor zijn politieke ambities. De regering wil bijvoorbeeld

instanties verplichten om data te delen als het noodzakelijk is voor de veiligheid. Dit is dus een plicht voor professionals om te breken met het doelbindingsprincipe. We hebben met name de afgelopen jaren gezien hoe subjectief het begrip "veiligheid" is. Dus hoe ziet de regering dit voor zich? Wie mag bepalen of het nodig is? Het zijn die instanties zelf die deze afweging moeten maken.

In het kader van zelfbescherming en uniformiteit juicht onze fractie dan ook het idee van

de helpdesk toe, waarbij professionals worden geadviseerd over hun omgang met data. De vraag is wel onder wie die helpdesk zou moeten fungeren. Wat ons betreft, wordt een dergelijke helpdesk breed ingericht, ook voor burgers en het bedrijfsleven. Zo kan er een centraal expertisecentrum ontstaan met een eenduidige advisering, wie de hulpvrager ook is. Als we burgers weer meer greep op hun gegevens willen geven, zullen we moeten beginnen met meer transparantie en overzicht moeten scheppen. Dat betekent een herkenbare plek met functionarissen die vragen beantwoorden en adviseren, maar tegelijkertijd de

doorzettingsmacht hebben om gegevens te corrigeren of verwijderen, ten aanzien van alle

departementen en uitvoeringsinstanties. Hoe kijkt de regering hier tegenaan? Wat ons betreft, zou de commissie die de WRR voorstelt om jaarlijks de ontwikkelingen in de informatiestromen tegen het licht te houden en de Kamer en de regering daarover te adviseren, ook aan dit expertisecentrum gekoppeld kunnen worden. Dan zou een goede basis kunnen vormen voor haar bevindingen. Vanuit het burgerperspectief is de transparantie nog ver onder de maat. Naast een dergelijk expertisecentrum zou de wettelijke informatieplicht moeten worden versterkt en ook de mogelijkheden voor recht op inzage, bezwaar of

klachten moeten worden versterkt. Dan het toezicht. Burgers krijgen hun regie

echter niet terug met een helpdesk en een aansprakelijke met doorzettingsmacht. De overheid dient daarvoor zelf uit de mist te treden: laten zien wat ze weet van ons en wat ze daarmee doet. Het begint dus met inzage te krijgen in de registratie door de overheid en het gebruik van de gegevens. Zoals ik al bij aanvang zei: de overheidsregie moet zich ook uitstrekken over de private sector. Bepaal doelstellingen en randvoorwaarden en organiseer

toezicht. De regering stelt voor om het externe toezicht te verstevigen, maar wel meer achteraf in te zetten. Het interne toezicht bij bedrijven zou versterkt worden door middel van privacyofficieren. Het aantrekkelijke hiervan is dat wellicht het bewustzijn en de verantwoordelijkheid van bedrijven zelf hierdoor worden vergroot. De normen

worden van binnenuit opgebouwd, maar hoe voorkomen we het risico dat het beperkt blijft tot zo'n privacyofficier? En dient die officier niet ook de belangen van het bedrijf daar tegenover af te wegen?

De bedrijven zouden zelf belang moeten krijgen bij een zorgvuldig gebruik van gegevens

van hun klanten. Dat hebben wij gezien bij het bedrijf TomTom. Toen burgers ervan op de hoogte kwamen dat hun gegevens aan justitie werden verstrekt om snelheidsovertredingen te kunnen vaststellen, realiseerde de eigenaar van TomTom zich dat het bedrijf voorzichtiger moest zijn met het uitwisselen van gegevens. Als de overheid meer voorlichting geeft aan burgers over de wijze waarop het bedrijfsleven omgaat met data, kan de interne

druk om zorgvuldigheid te betrachten worden vergroot. Een doelmatig toezicht zit niet alleen in hoge boetes, maar onze fractie acht het wel van groot belang dat het CBP die boetes kan uitdelen. De leeuw moet inderdaad een beetje eng worden.

De overheid zou erop moeten toezien, bij zichzelf en het bedrijfsleven, dat de technologie

vooral benut wordt om ons te beschermen tegen ongewenst gebruik van onze gegevens. Meer privacy by design dus en daar mag een financieel belang nooit iets aan afdoen. Regie door de overheid betekent ook regie over de rol van toezichthouders. Het antwoord van de regering op de vraag over de rol van het CBP is tot nu toe nogal

ontwijkend. Wij ondersteunen een versterkende rol van wetgevingsadvies en toezicht op de naleving van die wetten. De advisering van bedrijven en uitvoerende instanties zien wij liever in een andere hand, wat het CBP vrijheid geeft in zijn toezichthoudende taak. Wellicht dat het CBP bij het kwijtraken van deze taak wel voldoende capaciteit krijgt. Dat zou zeer nauwgezet moeten worden uitgezocht.

Ten slotte: het wordt steeds duidelijker dat niemand meer het overzicht heeft. En de overheid zou het wel moeten willen hebben om enigszins grip te houden en sturing te geven. Wij als volksvertegenwoordigers dienen het burgerrecht serieus te nemen en een gevoel van urgentie te ontwikkelen ten aanzien van de onmacht die veel burgers voelen bij de technologische ontwikkelingen. Privacy gaat om veel meer dan om het kunnen afschermen van je persoonsgegevens. Het heeft met vrijheid te maken, waardigheid, autonomie, maar ook de democratische rechtsstaat. De door de WRR voorgestelde commissie die

jaarlijks rapporteert over die ontwikkelingen en ons aanspreekt op onze verantwoordelijkheid, zou dat gevoel van urgentie kunnen versterken. Maaruiteindelijk draait het om de politieke wil. Ik ben blij met het gevoel van urgentie dat ik vanochtend heb

gehoord. Laten we onze wetgevingstoets gewetensvol verrichten en geen genoegen nemen

met vage wettelijke criteria, controle houden op normering die in lagere regelgeving wordt

neergelegd, Europese ontwerpwetgeving becommentariëren en implementatiewetgeving

kritisch toetsen op de strikte noodzaak. Als we consistent zijn, zal de regering gedwongen zijn om onze uitgangspunten al bij aanvang van het wetgevingsproces ernstig te nemen.

Tweede termijn

Mevrouw Strik (GroenLinks): Voorzitter. Ik dank

beide bewindslieden voor hun beantwoording. Ik

vind het mooi te zien hoe gemakkelijk de

staatssecretaris zijn rol van onvermoeibare

crimefighter heeft ingeruild voor een rol als

bewindspersoon die de belangen kan afwegen

tussen veiligheid en persoonsbescherming. Ik moet

de staatssecretaris ook toegeven dat de

privacyparagrafen de enige lichtpuntjes waren voor

onze fractie in het verder duistere akkoord. Als het

op veiligheid aankomt, blijkt toch dat privacy bij de

belangenafweging vaak het onderspit delft bij deze

staatssecretaris, zij het dat die privacy bij andere

belangenafwegingen weer wel in betere handen lijkt

te zijn. Die indruk kreeg ik tenminste van zijn

antwoord op mijn constatering dat het

veiligheidsbeleid ook wel eens verstikkend kan

werken. Ik hoor graag van hem dat het niet zo is

dat hij even in zijn oude rol terug schoot.

Het enthousiasme waarmee de criminaliteit

wordt bestreden, ontneemt de regering soms het

zicht op de nodige effectiviteit. Dat blijf ik toch

vinden. Al die hooibergen van PNR, bewaarplicht en

SWIFT geven niet bepaald een garantie dat het

veiliger wordt in Nederland of Europa. Mijn fractie

was evenmin onder de indruk van de vragenlijst die

de regering heeft ingeleverd bij de Commissie voor

de evaluatie van de Dataretentierichtlijn en

evenmin van de evaluatie van de Commissie zelf.

Zojuist was ik ook behoorlijk verrast, te horen van

de bewindslieden dat er op dit moment onderzoek

wordt gedaan naar de omvang van

identiteitsfraude, terwijl die grote omvang al het

argument was voor de invoering van de

vingerafdrukken in het kader van de Paspoortwet.

Ik vraag dus aandacht, ook in de toekomst, voor

een goede onderbouwing met feiten, op basis

waarvan we kunnen bepalen of meer bevoegdheden

echt noodzakelijk zijn.

Mijn fractie is blij met de toezeggingen over

de PIA in de aanwijzing van de regelgeving. De PIA

wordt echt een onderdeel van een integraal

afwegingskader. Mijn fractie wil wel een

onderscheid maken tussen een PIA en Privacy by

Design. De bewindspersonen zeggen te gemakkelijk

dat ze bij Privacy by Design, met name voor het

bedrijfsleven, toch aan het kostenelement moeten

denken. Ik vraag me af of het niet toch vooral een

kwestie is van het bedrijfsleven te verplichten tijdig

rekening te houden met de privacy. Op het moment

dat het systeem wordt ontworpen, kost dat altijd

heel veel geld. Dan moet er aan heel veel criteria

worden voldaan, gebruiksvriendelijkheid en

dergelijke.

Als je dan meteen de privacy erbij neemt, hoeft het

niet per se extra sloten geld te kosten. Dan is het

gewoon een kwestie van meenemen in de criteria.

Bovendien, hoe meer er geïnvesteerd wordt in

privacyvriendelijke systemen, hoe goedkoper het

uiteindelijk wordt. In dat opzicht, richting het

bedrijfsleven, vond ik beide bewindslieden

teleurstellend en afwachtend. Minister Donner was

zelfs enigszins fatalistisch. Zo ken ik de minister

ook helemaal niet. Volgens hem heeft de overheid

alleen regie over de overheid en niet over het

bedrijfsleven. Anders is hij echter niet te beroerd

om kaders en regels te stellen voor het

bedrijfsleven.

Ik vind het pertinent onjuist om als

overheid uit te stralen dat empowerment van de

burgers, het krachtiger maken van de burger, het

enige is wat je kunt doen. Dat is ook onzin. De

overheid heeft vanuit een grondwettelijk recht op

bescherming van persoonsgegevens gewoon de

dure plicht om dat recht te waarborgen. Het is geen

absoluut recht. Dat vraagt ook niemand. De

overheid moet er wel voor zorgen dat dit recht voor

burgers ook ten opzichte van de private sector

wordt beschermd. Naast het wettelijk kader van de

Wbp is het zaak het toezicht te versterken en

strenge eisen te stellen aan de technologie.

De overheid moet waarborgen dat in de

private sector het beschermen van de privacy niet

een soort sluitpost is, die vrij gemakkelijk van tafel

kan vallen. Ik vind dat de regering deze rol als

bewaker serieus moet nemen. Natuurlijk heeft de

minister gelijk als hij zegt dat de Nederlandse

jurisdictie beperkt is in onze mondiale en digitale

wereld. Dat ontslaat hem niet van zijn

verantwoordelijkheid of plicht om op Europees of

internationaal niveau afspraken te maken.

Natuurlijk heeft het bedrijfsleven een eigen

verantwoordelijkheid. De overheid moet het

bedrijfsleven daarop aanspreken.

De private sector voert bovendien heel vaak

opslag van gegevens uit in opdracht van de

overheid of doordat een publieke taak van de

overheid is uitbesteed aan de private sector. De

grenzen tussen overheid en private sector zijn nu

eenmaal niet zo eenvoudig te trekken.

Ik ben blij dat het infocentrum, de

vraagbaak voor professionals, naar het

bedrijfsleven wordt uitgebreid. Ik zit wel met het

punt van de capaciteit. Er is gesproken over drie

fte's. Dat is natuurlijk helemaal niks als je het echt

goed wilt vormgeven. En waar blijven de burgers

dan? Het burgerperspectief ontbreekt nog enigszins

in de uitgangspunten die wij vandaag hebben

gehoord. Andere woordvoerders hebben dat al

gezegd. Mijn fractie heeft in eerste termijn al

gepleit voor een meer algemene vraagbaak waar

alle actoren in het veld bediend worden met

advisering. Graag een reactie hierop. Als je erkent

dat de advisering niet door het CBP wordt

uitgevoerd, en je het toezicht robuuster wilt maken,

inclusief het uitdelen van boetes, kijk dan nog eens

goed en zorgvuldig of het CBP daartoe voldoende is

uitgerust. De leeuw moet voldoende toegerust zijn

wil die kunnen brullen!

Mijn fractie is blij dat er bij profiling

verplicht wordt tot transparantie. Voor ons is dat

echter niet voldoende. De staatssecretaris zou nog

verder ingaan op de mogelijkheid van het verfijnen

van risicoprofielen. Daar hoor ik graag nog van

terug.

En dan de doelbinding. De minister zei dat

een databestand, als het er eenmaal is, ook voor

andere doelen gebruikt zal worden. Zo gaat dat in

het leven, volgens de minister. Precies daarom

pleiten wij voor "select before you collect". Weet

waar je aan begint. De systemen moeten zo precies

mogelijk afgebakend zijn voor het doel. Dat maakt

het veel moeilijker om later iets anders te willen

doen met de verzamelde gegevens. Beperk jezelf

en bescherm jezelf om het niet, huppetee, verder

uit te breiden.

Ik ben blij dat wij dit debat hebben

gevoerd. Het is goed om kaders te stellen en die

mee te geven aan de regering. De heer Staal heeft

zojuist gezegd dat de Kamer zo haar taken

uitbreidt. Het heeft echter niks met initiatief te

maken. Niemand is blij met het debacle van het

epd. Het is veel fijner om aan het begin dingen mee

te geven dan aan het eind van het traject te

constateren dat wij er niet mee kunnen leven.

Er gaat nog veel uitwerking volgen, zowel

bij reacties op rapporten als in concrete

wetsvoorstellen. Dat biedt ons de kans om dieper

en concreter in te gaan op voorstellen en

waarborgen.

Ik ben benieuwd of wij voldoende terugzien

van het burgerinitiatief, maar ook ben ik benieuwd

in hoeverre burgers extra steun kunnen verwachten

van de Europese normering. Ik ga ervan uit dat het

Handvest van de grondrechten en het

Unierechtelijke evenredigheidsbeginsel in dit

opzicht misschien nog meer bescherming zullen

bieden dan het EVRM. Als het geen Nederlandse

rechters zijn, dan wellicht andere constitutionele

rechters van andere lidstaten die het Hof van

Justitie om uitleg zullen vragen. De senaat hecht er

in elk geval aan om goed op de hoogte te blijven

van de Europese ontwikkelingen en het Nederlands

standpunt daarover.

Ik wacht de nadere voorstellen af.