Verslag van de vergadering van 19 februari 2019 (2018/2019 nr. 19)
Status: gecorrigeerd
Aanvang: 17.29 uur
De heer Ganzevoort i (GroenLinks):
Voorzitter. Ik heb vandaag de eer mede namens de collega's van de Socialistische Partij te spreken. Voor onze beide fracties is het belangrijk een goede balans te vinden tussen enerzijds het optimaliseren van de zorg voor leerlingen, hun instroom en doorstroom, begeleiding, enzovoorts, en anderzijds het bewaken van de privacy. Dat laatste wordt des te belangrijker waar de overheid in toenemende mate in staat is om data te genereren en te integreren.
De voorliggende wet is op zichzelf genomen positief te waarderen. Ze draagt eraan bij dat de verschillende registers van onderwijsdeelnemers binnen hetzelfde wettelijke kader gaan vallen, waardoor meer uniformiteit in de registers zal kunnen ontstaan en het duidelijker zou moeten worden welke gegevens waarvoor gebruikt mogen worden. Daarmee is bijvoorbeeld de zorgvuldigheid van de informatie-uitwisseling tussen de basisschool en het voortgezet onderwijs gediend. Een goede intentie, want eenduidige wetgeving is een waardevolle zaak.
De wet verandert ook als zodanig niets aan de inhoud van de registers en koppelt die registers ook niet aan elkaar. Ook dat is positief, maar de regering geeft in de beantwoording van de vragen aan dat dit wetsvoorstel het samenvoegen van gegevens ook niet uitsluit. De kernboodschap van de regering is eigenlijk vooral dit: we veranderen niets aan de manier van werken, we veranderen niets aan de opslag, dit is alleen maar een wetstechnische verbetering door het kader eenduidiger te maken. Met andere woorden: maakt u zich geen zorgen.
Maar dat neemt niet weg dat het doelbindingsbeginsel hier net zo goed geldt. En op dat punt ligt precies onze eerste vraag. Juist waar het gaat over privacygevoelige gegevens — het gaat hier onder andere over bijzondere persoonsgegevens van gezondheid, strafrecht, religieuze en culturele achtergrond van mensen, ras — moeten ook bestaande manieren van werken kritisch tegen het licht worden gehouden. In onze tijd is de koppeling van databestanden aan de orde van de dag met alle gevolgen van dien. En ook de overheid, laten we daar eerlijk over zijn, blijkt op allerlei terreinen de mogelijkheden van zulke koppelingen gretig te onderzoeken en te willen gebruiken. Daarom is het wat ons betreft nog niet bevredigend dat de minister zegt dat deze koppeling hier niet geregeld wordt. We willen graag van de minister horen hoe hij denkt te voorkomen dat dergelijke koppelingen en samenvoeging van gegevens ontstaan of, als ze dan ontstaan, dat ze in ieder geval zorgvuldig worden gewaarborgd als het gaat om de privacy.
Immers, de persoonsgegevens die wellicht voor een specifiek doel van belang zijn en dus door een bepaalde instantie moeten kunnen worden verwerkt, zijn dat voor een ander doel helemaal niet. Kan de minister aangeven hoe hij proactief koppeling tegengaat en kan hij toezeggen dat wijzigingen op dit punt niet zonder parlementaire instemming zullen plaatsvinden?
We zijn overigens in dat kader blij met de amendementen die ertoe leiden dat de AMvB's bij de artikelen 15 tot 24 aan het parlement worden voorgelegd voordat ze in werking treden. Maar waarom wordt dat niet gewoon bij wet geregeld? Zijn de uitwerkingen in die AMvB's zo veranderlijk dat ze telkens moeten kunnen worden aangepast? Kan de minister uitleggen wat daarvoor de reden is en voorbeelden geven? Had niet ten minste een kader voor doelbinding en voor dataminimalisatie moeten worden vastgelegd?
Het is namelijk helemaal niet zo moeilijk om elke keer ad hoc een extra toepassing of een extra verbinding te bedenken die best wel handig is. Maar het uitgangspunt bij het gebruiken van persoonsgegevens is niet wat handig is maar wat noodzakelijk is. En daar is bijvoorbeeld artikel 24 rijkelijk vaag, precies omdat daar ook andere bestuursorganen kunnen worden toegevoegd. En dan gaat de deur toch wel wijd open, lijkt het. Hoe is het bijvoorbeeld geregeld met de samenwerkingsverbanden voor passend onderwijs? Die kwam ik niet tegen in de behandeling of in de tekst. En krijgt het OM bij een jeugdige verdachte ook toegang tot het hele dossier, inclusief bijzondere persoonsgegevens? Dat soort vragen komen allemaal zijdelings aan bod in artikel 24, maar ze worden niet beantwoord.
Onze fracties zien op dit moment eerlijk gezegd niet hoe function creep en ongewenste gegevenskoppeling adequaat worden tegengehouden door de kaders die deze wet stelt. We worden op dat punt graag gerustgesteld, met name omdat deze wet wel de kapstok biedt, maar niet de uitwerking die in de AMvB's volgt.
Er staat in de wet een goede beschrijving van de typen gegevens, de typen verwerkers en de verschillende doelen die er zijn. Maar wat ontbreekt, is een matrix die aangeeft welke gebruiker welke gegevens op welk aggregatieniveau, met welke doelen en met welke waarborgen mag gebruiken. En dat is nu net de crux van de passende waarborg die onder andere door de AVG aan de orde wordt gesteld en die als kader verondersteld wordt.
Er wordt bijvoorbeeld wel bepaald dat de autorisatie voor de verwerking in een ministeriële regeling komt, maar alleen voor diegenen die onder het gezag van deze minister vallen en dus niet voor anderen. Dat zijn allemaal risico's voor de privacy, die je wel kunt tackelen, maar de vraag is waarom dat niet strakker wordt vastgelegd op het niveau van de wet zelf. We horen graag een toelichting.
Verder antwoordt de minister op onze vragen naar het gebruik van gegevens voor beleidsvoorbereiding door het ministerie — ook dat is een van de doelen die mogelijk worden gemaakt of worden geregeld — dat daarmee bedoeld is het "ontwikkelen, bepalen en evalueren van beleid". Niet verrassend. Sterker nog, dat hadden we zelf wel kunnen bedenken. Maar wat daarvoor nodig is, komt dan in de AMvB. Kan de minister ons daar iets meer over vertellen, want dit blijft wel heel erg vaag? Wordt er bijvoorbeeld gebruikgemaakt van gegevensprofielen, waarin weliswaar geanonimiseerde persoonsgegevens worden gebruikt maar die zo veel data kunnen bevatten dat ze toch weer op persoon of in elk geval op groep herleidbaar zijn? Hoe kan dan worden voorkomen dat de overheid of door de overheid ingeschakelde bedrijven met die gegevens ongewenste dingen doen? Bijvoorbeeld door te kijken of een leerling in een bepaald profiel past en daarom op een bepaalde manier behandeld wordt?
Een ander voorbeeld: de bewaartermijn wordt geminimaliseerd, maar deze is voor gegevens over inschrijving in het hoger onderwijs 50 jaar vanwege het effect van eerdere inschrijvingen op de collegegelden. Dat klinkt logisch. Maar stel nu eens dat een volgend kabinet — je weet nooit wie daarin zit — besluit om de hogere collegegelden voor tweede studies te schrappen. Daarmee zou de noodzaak vervallen om deze gegevens zo lang te bewaren. Betekent dat dan ook dat deze gegevens worden verwijderd uit de systemen, zoals op een ander punt genoemd wordt? Of worden ze gehandhaafd voor het geval een andere regering daarna — je weet nooit wie er dan in zit — besluit om toch weer te gaan differentiëren tussen eerste en tweede studies? Oftewel: hoe voorkom je dat je allerlei gegevens extra bewaart voor het geval je ze ooit nodig hebt, en waar wordt dat nu geregeld?
Het lijkt erop dat verschillende persoonsgegevens richting de minister worden gepersonaliseerd voor de beleidsuitvoering, bijvoorbeeld over lesgelden, en geanonimiseerd voor de beleidsvoorbereiding. Hoe vindt dat dan plaats? Hoe voorkomen we dat dit toch bij elkaar komt? Klopt het dat de gegevens zonder anonimisering naar bijvoorbeeld het college van burgemeester en wethouders gaan? Opnieuw: hoe is dat dan zo ingeperkt dat noodzaak en privacy in balans blijven?
Al met al brengt dat ons tot het volgende punt. De memorie van toelichting meldt dat er geen privacy impact assessment is gedaan omdat er materieel geen nieuwe wetgeving plaatsvindt. Volgens artikel 35 AVG, lid 3, sub b is er een data protection impact assessment nodig "bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten", ik citeer. Zo'n situatie is hier aan de orde en al deze informatie raakt direct aan de privacy van de onderwijsdeelnemer.
Volgens de AVG is dit assessment niet nodig als er al een algemene effectbeoordeling heeft plaatsgevonden. Kan de regering nog eens uitleggen dat het hier inderdaad niet nodig was? Het lijkt ons toe dat de koppelingsmogelijkheden, die hier makkelijker worden, een assessment wel zouden legitimeren. Het kan zijn dat hij inderdaad blijft volhouden dat dit alleen maar een technische wet is. Ik kan me die redenering wel voorstellen, dat geef ik een beetje toe, want dat helpt weer, dan hoeven we dat zo meteen niet te wisselen.
Maar dan komt het volgende punt. Dat betekent dat de uitwerking plaatsvindt in de AMvB's. De matrix van de verwerkers, de doelen, het type gegevens en de waarborgen die daarbij horen, staat niet in deze wet, maar komt zo meteen in de concretisering van de AMvB. Op dat punt wordt het dan bij uitstek van belang om goed te borgen dat de privacy niet in het geding is. Daarom vragen we de regering om een privacy impact assessment te doen uitvoeren voor de AMvB's die dat op basis van deze wet gaan concretiseren.
Er staat al in de memorie van toelichting dat dit gaat gebeuren in het geval de AMvB op grond van het wetsvoorstel nieuwe gegevensuitwisseling zal regelen. Maar juist omdat die matrix van gegevens, verwerkers en waarborgen niet duidelijk is, verzoeken we de minister om de in deze wet bedoelde AMvB's die dat gaan uitwerken, standaard voor advies voor te leggen aan de Autoriteit Persoonsgegevens. Op het moment dat de AMvB wordt voorgehangen, ook bij deze Kamer, moeten we dat advies er ook bij hebben, zodat we op een goede manier kunnen wegen wat dat betekent voor de privacywaarborging. Is de minister bereid om toe te zeggen dat hij dat assessment laat doen?
Ik rond af. Op zichzelf steunen onze fracties de richting van een betere inkadering en uniformering van registers van onderwijsdeelnemers, omwille van toegankelijkheid van het onderwijs en goede zorg voor de onderwijsdeelnemers. Maar de bescherming van de privacy roept toch wel vragen op, omdat het hele wetsvoorstel een kapstokvoorstel is. Het wordt vooral gekenmerkt door dat wat er niet in staat; niet in de wetstekst en niet in de memorie van toelichting. Ik zeg er maar even bij dat dit helaas steeds vaker gebeurt, naar onze indruk, en dat de regering daar in deze Kamer ook vaker kritiek op krijgt.
Bij dit belangrijke wetsvoorstel worden hele brede categorieën gegevens beschreven, waar heel veel gegevens onder worden ingedeeld. De doeleinden en zelfs verwerkersgroepen zijn breed en niet limitatief beschreven en het ontbreekt aan die fijnmazige matrix van gegevens, verwerkers en passende waarborgen. Dat alles zal hopelijk duidelijk worden in een AMvB, maar als de minister wil dat we deze kapstok toch vandaag al aan de muur schroeven, dan helpt het wel heel erg als hij onze vragen overtuigend beantwoordt en toezegt dat hij een privacy impact assessment wil laten doen bij de AMvB's.
Dank u wel.
De voorzitter:
De heer Bruijn heeft nog een vraag.
De heer Bruijn i (VVD):
Ik heb nog een vraag aan de heer Ganzevoort over die privacy impact assessments. Kan hij iets meer toelichten wat de aard daarvan is — hoeveel administratief werk, hoeveel vertraging in tijd, hoeveel kosten — en hoe je de opbrengst zou moeten wegen? Bij welke opbrengst zou je zo'n AMvB eventueel niet moeten laten passeren? Wellicht is daar iets meer over te zeggen, zodat wij dat ook in de afweging kunnen meenemen. Misschien ook niet, maar dat is mijn vraag.
De heer Ganzevoort (GroenLinks):
In technische zin kan de minister ons ongetwijfeld meer vertellen over wat dat kost. Het is namelijk een standaardprocedure. Een privacy impact assessment wordt op allerlei momenten gedaan en is ook voorgeschreven. Je kunt zeggen dat het in dit geval niet hoeft te worden uitgevoerd op wetsniveau, omdat er op dat punt geen nieuwe dingen gebeuren, maar bij de concretisering of de samenhang van de typen gegevens, verwerkers, doeleinden en waarborgen gaat het erom spannen. Het ligt heel erg voor de hand; als dat in de wet had gestaan, was er een privacy impact assessment op de wet gedaan, en nu het bij de AMvB komt, vragen we om het daar te doen. Als u wil weten wat dat financieel of anderszins betekent, dan zal de minister daar ongetwijfeld op kunnen antwoorden.
De heer Bruijn (VVD):
En dan nog de laatste vraag die ik stelde: hoe bruikbaar is de opbrengst daarvan? Ik begrijp in ieder geval dat dit niet nu al geregeld is voor de AMvB's. Daarom vraagt de heer Ganzevoort dat, dus dat is nieuw. Hoe uitvoerbaar is dat straks? Dan krijgen we zo'n AMvB-voorhang en daar zit zo'n privacy assessment bij. Wat gaan we dan doen? Bij welke mate van impact gaan we die AMvB niet laten passeren? Is dat praktisch te doen voor deze Kamer?
De heer Ganzevoort (GroenLinks):
Hoe het nu werkt, is dat wanneer er een privacy impact assessment wordt gedaan dat leidt tot adviezen aan de regering om dingen aan te passen, in de meeste gevallen de regering die adviezen overneemt. Dat betekent dat het er niet zozeer om gaat dat wij hier aan het eind kunnen zeggen of we al dan niet een reden hebben om er voor te gaan liggen, maar veeleer dat er een reinigend effect optreedt waardoor de waarborgen worden aangebracht die nodig zijn. Dus dat privacy impact assessment is gewoon deel van het traject en uiteindelijk van de vormgeving van die AMvB.
De heer Bruijn (VVD):
Dan begrijp ik tussen de regels door dat eigenlijk het advies van de heer Ganzevoort aan de regering is om dat privacy impact assessment te laten uitvoeren voordat de AMvB wordt voorgehangen en de AMvB überhaupt nog niet voor te hangen als de impact van dat privacy assessment te hoog is.
De heer Ganzevoort (GroenLinks):
Ik weet niet anders dan dat dit de standaardprocedure is.
De heer Bruijn (VVD):
Maar als dat al gebeurt, is het de vraag of het nog iets toevoegt om dat privacy assessment uit te voeren bij die AMvB.
De heer Ganzevoort (GroenLinks):
Nee, wat ik zeg, is dat wanneer er een privacy impact assessment plaatsvindt, het op dat moment in de procedure gebeurt. Op dit moment is het nog niet geregeld dat het moet gaan gebeuren. Vandaar dat ik de minister vraag om toe te zeggen dat hij dat assessment bij de vormgeving van de AMvB laat doen.
De voorzitter:
Dat lijkt mij helder. Meneer Ganzevoort, dank u wel. Wil een van de andere leden bij dit wetsvoorstel nog het woord? Dat is niet het geval.