De Minister voor Basis- en Voorgezet Onderwijs en Media zegt de Kamer, naar aanleiding van een vraag van het lid Ganzevoort (GroenLinks), toe bij het regelen van nieuwe zaken in de AMvB een Privacy Impact Assessment (PIA) uit te voeren en de Autoriteit Persoonsgegevens te vragen wat zij qua privacy-toets nodig acht voor zaken die reeds in het verleden zijn geregeld. De Kamer wordt geïnformeerd over het advies van de Autoriteit en over wat de regering ermee gedaan heeft.
| Nummer | T02695 |
|---|---|
| Status | voldaan |
| Datum toezegging | 19 februari 2019 |
| Deadline | 1 juli 2019 |
| Verantwoordelijke(n) | Minister voor Basis- en Voortgezet Onderwijs en Media |
| Kamerleden | Prof.dr. R.R. Ganzevoort (GroenLinks) |
| Commissie | commissie voor Onderwijs, Cultuur en Wetenschap (OCW) |
| Soort activiteit | Plenaire vergadering |
| Categorie | overig |
| Onderwerpen | Algemene Maatregel van Bestuur persoonsgegevens Privacy Impact Assessment |
| Kamerstukken | Wet register onderwijsdeelnemers (34.878) |
Handelingen I 2018-2019, nr. 19, item 10 - blz. 3-4
De heer Ganzevoort (GroenLinks): Al met al brengt dat ons tot het volgende punt. De memorie van toelichting meldt dat er geen privacy impact assessment is gedaan omdat er materieel geen nieuwe wetgeving plaatsvindt. Volgens artikel 35 AVG, lid 3, sub b is er een data protection impact assessment nodig "bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten", ik citeer. Zo'n situatie is hier aan de orde en al deze informatie raakt direct aan de privacy van de onderwijsdeelnemer.
Volgens de AVG is dit assessment niet nodig als er al een algemene effectbeoordeling heeft plaatsgevonden. Kan de regering nog eens uitleggen dat het hier inderdaad niet nodig was? Het lijkt ons toe dat de koppelingsmogelijkheden, die hier makkelijker worden, een assessment wel zouden legitimeren. Het kan zijn dat hij inderdaad blijft volhouden dat dit alleen maar een technische wet is. Ik kan me die redenering wel voorstellen, dat geef ik een beetje toe, want dat helpt weer, dan hoeven we dat zo meteen niet te wisselen.
Maar dan komt het volgende punt. Dat betekent dat de uitwerking plaatsvindt in de AMvB's. De matrix van de verwerkers, de doelen, het type gegevens en de waarborgen die daarbij horen, staat niet in deze wet, maar komt zo meteen in de concretisering van de AMvB. Op dat punt wordt het dan bij uitstek van belang om goed te borgen dat de privacy niet in het geding is. Daarom vragen we de regering om een privacy impact assessment te doen uitvoeren voor de AMvB's die dat op basis van deze wet gaan concretiseren.
Er staat al in de memorie van toelichting dat dit gaat gebeuren in het geval de AMvB op grond van het wetsvoorstel nieuwe gegevensuitwisseling zal regelen. Maar juist omdat die matrix van gegevens, verwerkers en waarborgen niet duidelijk is, verzoeken we de minister om de in deze wet bedoelde AMvB's die dat gaan uitwerken, standaard voor advies voor te leggen aan de Autoriteit Persoonsgegevens. Op het moment dat de AMvB wordt voorgehangen, ook bij deze Kamer, moeten we dat advies er ook bij hebben, zodat we op een goede manier kunnen wegen wat dat betekent voor de privacywaarborging. Is de minister bereid om toe te zeggen dat hij dat assessment laat doen?
(…)
Handelingen I 2018-2019, nr. 19, item 10 - blz. 8
Minister Slob: De meest spannende vraag over de privacy is misschien wel gesteld door de heer Ganzevoort, ook namens de SP. Er wordt heel veel in een AMvB uitgewerkt. Hoe ga ik om met die gegevens, ook in het kader van de privacy? Ik heb even overwogen om de strijd met de heer Ganzevoort aan te gaan, want je maakt wel een afweging met betrekking tot de PIA, zoals we die in het jargon afkorten. Waar wil je die nu wel of niet op laten slaan? In principe veranderen we niets aan de huidige situatie. Dat betekent dat er wat ons betreft geen reden is om allerlei nieuwe toetsen te gaan maken op het moment dat we de verschillende wetgeving in één wet gaan onderbrengen.
Het voornemen dat wij met de Tweede Kamer hebben besproken, is dat als er aanvullingen komen — die zijn er; deze Kamer heeft er al vier kunnen traceren in de stukken— we daar in ieder geval de PIA-toets op loslaten. Op het moment dat de AMvB dan voorligt, is het volstrekt helder wat de privacyconsequenties zijn van de stappen die we dan zetten. De Autoriteit Persoonsgegevens wordt in ieder geval altijd geraadpleegd. Daar is ook naar gevraagd en dat is onze route. Die PIA's zijn overigens best wel een hele klus. Ik heb er eentje meegekregen, maar het zijn heel uitgebreide documenten waar enorm veel tijd in gaat zitten. Op het moment dat je de volledige AMvB aan die toets onderwerpt, weet je in ieder geval dat het aardig wat werk gaat opleveren. De kosten zijn ook niet helemaal helder, maar die zijn niet voor de gebruikers. Het is aan de overheid om die te betalen. Als de Kamer erop staat dat wij dat voor de volledige AMvB gaan doen, dan ben ik bereid om dat toe te zeggen, maar wel in de wetenschap dat het een enorme kluif is en dat het afwachten is wat het gaat opleveren met betrekking tot de zaken die we onder de toets laten vallen, maar die in de oude wetgeving ook al aan de orde waren en waarvoor eigenlijk niets verandert. We zijn in ieder geval van plan om het standaard te doen bij iedere aanvulling. Dat zal de Kamer ook zien in de AMvB die straks komt, want er wordt nu al gewerkt aan de aanvullingen qua gegevens. Maar nogmaals, als u aangeeft het zeer op prijs te stellen dat de AMvB in de breedte ook langs deze lat wordt gelegd, dan zijn we bereid om dat te doen. Dat gaat wel wat tijd kosten, en we weten niet precies hoeveel tijd. Het brengt ook wel wat kosten met zich mee. We weten niet precies hoe veel het kost omdat dit wel een nieuwe manier van werken is met betrekking tot informatie die in het verleden — naar we aannemen op zorgvuldige wijze — uiteindelijk in wetgeving terechtgekomen is.
(…)
Handelingen I 2018-2019, nr. 19, item 10 - blz. 9
De heer Ganzevoort (GroenLinks): Noch de heer Bruijn, noch ik spreekt namens de hele Kamer. U maakt het een beetje ingewikkeld door te zeggen iets wel te willen toezeggen als de Kamer het in z'n geheel vraagt. In dat geval zouden we een motie op tafel moeten leggen. Dat is weer een ander gesprek dan wanneer het een toezegging is. Er komt een vraag vanuit de Kamer om dit te doen. Het is aan de minister om te constateren dat daar vanuit de Kamer belang aan wordt gehecht. Dat is wat anders dan "als de Kamer dit wil". Daar maakt u het een beetje ingewikkeld mee.
Maar ik wil wel een beetje meedenken. Ik snap wel dat je niet op alle onderdelen zo'n heel groot PIA zou willen doen. De route die de minister in ieder geval noemt is die van de Autoriteit Persoongegevens. Ik kan me voorstellen dat we de Autoriteit Persoonsgegevens ook een stem geven bij de vraag wanneer we een PIA van belang vinden en wanneer niet. Dat is iets anders dan alleen maar het politieke debat of de regering dat wil of dat de Kamer dat wil. Ik vraag dat nu, omdat juist het regelen van de matrix die ik noemde in de AMvB toch iets meer is dan alleen maar dat we die dingen technisch bij elkaar brengen. Daar worden de beslissingen genomen, en daar wil ik toch graag een onafhankelijke toets op horen.
Minister Slob: Mijn antwoord op de vraag die in ieder geval bij u vandaan kwam, was niet bedoeld om het hier ingewikkeld te maken. Ik wilde wel duidelijk maken dat het gewoon een weging is. Er is bij ons geen principieel bezwaar om dat te doen. Ik snap zelfs ook de vraag wel.
Een groot deel van de informatie die nu overgaat naar de nieuwe wet is echter identiek aan het verleden, en wat die informatie betreft hebben we nooit over dit soort zaken in deze termen gesproken. Vandaar dat wij ervoor gekozen hebben om alles wat er nieuw bij komt in ieder geval die toets te laten ondergaan.
Misschien is er een werkbare situatie. We zijn aan het kijken hoe we met elkaar een weg kunnen vinden. We gaan in ieder geval de route van de Autoriteit Persoonsgegevens bewandelen. We spreken in ieder geval af dat alles wat nieuw is, die PIA-toets ook zal moeten ondergaan. Mocht de Autoriteit Persoonsgegevens in onze richting aangeven dat ze vinden dat er toch nog wat dieper gekeken moet worden naar de aspecten die in de AMvB zitten, dan nemen we dat gewoon mee.
Dus dan is het eigenlijk gewoon heel praktisch zoeken naar een werkbare weg, zonder dat we heel veel overhoop gaan halen waarvan we straks moeten zeggen "het was niet nodig, maar toch bedankt dat u het gedaan heeft". Is dat een begaanbare weg? Wat mij betreft zou dat ook een route zijn die we met elkaar kunnen bewandelen. Ik hoor dat graag straks als u daar op reageert.
(…)
Handelingen I 2018-2019, nr. 19, item 10 - blz. 10-11
De heer Ganzevoort (GroenLinks): De grote vraag blijft wat ons betreft staan over de PIA. De minister doet een beetje zijn best om daar iets heel groots en zwaars van te maken. Dat is een beetje jammer, want we hebben juist in de hele wetgeving op dat terrein geprobeerd het zo te regelen dat we het gewoon doen waar dat nodig is. Van een instantie die werkt met persoonlijke gegevens vragen we gewoon om het inzichtelijk te maken waar dat nodig is. Nu het aan de overheid wordt gevraagd, zeggen we: het is heel ingewikkeld, het is zwaar en duur, het kost veel tijd en het is heel veel werk. Dat vind ik een beetje jammer, want het betekent eigenlijk dat "privacy by design", "privacy by default" kennelijk niet de houding is waarmee we hiernaar kijken. Dat vind ik zorgelijk. Laten we geen overkill plegen, maar laten we ook niet onszelf tekortdoen. Laten we niet onze onderwijsdeelnemers tekortdoen door bij voorbaat zo ingewikkeld te doen over een PIA. Je kunt het heel erg gedetailleerd doen, maar je kunt ook naar de vragen kijken waar het echt om gaat. Het gaat niet alleen om een technische wijziging. We praten over een veranderende wereld, waarin steeds nieuwe data en nieuwe datamogelijkheden zijn en waarin steeds makkelijker allerlei grootschalige bestanden, ook al worden ze misschien niet formeel gekoppeld, langs allerlei lijnen en profielen wel degelijk informatie ontsluiten. Over dat soort technieken hebben we nu zorgen.
Op het moment dat een aantal van deze wetten en registers werden opgesteld, waren die zorgen misschien minder groot, maar vandaag de dag maken we ons meer zorgen over die privacy. Dan vind ik het jammer als de minister zich op dat punt te veel terugtrekt. Ik zou hem daarom willen vragen, niet om dat hele grote, zware, enorme PIA-ding te doen dat hij kennelijk in zijn hoofd heeft, maar om aan de AP advies te vragen en ons daarover te informeren, bij de AMvB maar ook concreet in het algemeen. Wat is nou nodig en wat is er ook mogelijk om op een realistische manier een goed assessment te maken van de privacyrisico's? Als de minister dat wil toezeggen, komen wij volgens mij een stapje verder. Dan mag hij het voor mijn part een PIA-light noemen.
(…)
Handelingen I 2018-2019, nr. 19, item 10 - blz. 11
Minister Slob: Dan de PIA: ik heb niet geprobeerd het te problematiseren, maar ik heb u wel even willen meenemen in het feit dat het wel even een stap is als je de PIA gaat loslaten op allerlei wetgeving uit het verleden, die nu even in een ander jasje wordt gestoken, maar waaraan in principe niets verandert. Als het veel werk is en het kost veel, maar we vinden het met elkaar noodzakelijk, gaan we het natuurlijk gewoon doen. Maar hier is ook door ons de afweging gemaakt dat we daarvoor niet direct een hele grote noodzaak zagen. We begrepen wel goed dat als er nieuwe zaken aan toegevoegd werden, die dan wel in een keer moesten worden meegenomen en dat daar dan wel de toets van het PIA op los moet worden gelaten, ongeacht of dat een PIA-strong of een PIA-light is. Ik heb daar ook allerlei andere associaties bij, trouwens, maar dat zal aan mij liggen misschien. Ik heb u goed gehoord. We gaan aan de slag, in ieder geval ook met het PIA voor de aanvullende zaken. We gaan de Autoriteit Persoonsgegevens vragen, in het kader van de wijziging die we nu inzetten, wat zij met betrekking tot het PIA nodig vindt, ook als het gaat om de gegevens die vanuit het verleden nu op een andere manier worden ondergebracht.
(…)
Handelingen I 2018-2019, nr. 19, item 10 - blz. 12
De heer Ganzevoort (GroenLinks): Ik begrijp dat u ons informeert over het advies aan de AP met deze context van de veranderende tijd et cetera.
Minister Slob: Zeker. Op het moment dat de AMvB naar de Tweede Kamer gaat, maar hij wordt ook hier voorgehangen, zullen we ons daarover uiteraard verantwoorden. U kunt dan beoordelen of u de uitwerking zoals we die hier hebben afgesproken light of strong vindt of wat voor benaming u er ook aan wilt geven.
Brondocumenten
-
behandeling (zonder stemming aangenomen ) Verslag EK 2018/2019, nr. 19, item 10
-
1 oktober 2019
nieuwe status: voldaan
Voortgang: -
23 september 2019
nieuwe status: voldaan
Voortgang: -
25 juni 2019
nieuwe status: voldaan
Voortgang: -
18 juni 2019
nieuwe status: voldaan
Voortgang: -
3 juni 2019
nieuwe status: openstaand
Voortgang: -
19 februari 2019
toezegging gedaan
verslag van een schriftelijk overleg met de minister voor BVOM inzake de halfjaarlijkse stand van zaken van de toezeggingen die door de bewindspersonen aan de Eerste Kamer zijn gedaan.