CIP Podcast - voor meer kennis over informatieveiligheid

CIP Podcast - Verzamelwet privacy

Walter van Wijk

Op 15 maart 2023 spraken Gerrit-Jan Zwenne en Taetske van der Reijt in een CIP webinar over de Verzamelwet. Deze podcast is de geluidsregistratie van dit webinar.

Gerrit-Jan, advocaat en hoogleraar aan de universiteit van Leiden, en Taetske, wetgevingsjurist bij het Ministerie van Justitie & Veiligheid spraken over de diverse onderdelen van deze nieuwe wet. Wat betekent het voor privacybescherming, welke impact zien zij, wanneer wordt hij (waarschijnlijk) van kracht, wat is de internationale context, e.d. 

Intro podcast: Dit is een podcast van het CIP, het Centrum voor Informatiebeveiliging en Privacybescherming.

Walter van Wijk: Wij gaan het vandaag hebben over de Verzamelwet gegevensbescherming. Sprekers zijn Taetske van der Reijt en Gerrit-Jan Zwenne. Taetske is voor ons een niet zo heel erg bekende spreker, omdat zij nog niet eerder bij het netwerk betrokken is geweest. Maar ze is wel van invloed, want zij is raadsadviseur aan de directie Wetgeving bij het ministerie van Justitie en Veiligheid, met als specialisatie gegevensbeschermingsrecht. In die hoedanigheid heeft ze ook veel te maken met de UAVG en de update daarvan die in de Verzamelwet terugkomt zo meteen. Gerrit-Jan Zwenne zullen de meesten van jullie, als je professional bent in de privacywereld, allemaal kennen. Zo niet via ons, dan wel via andere contacten en netwerken. Van harte welkom allebei. We gaan met elkaar in gesprek door allerlei onderdelen van deze voorgenomen wet heen, want het is nog geen wet. Hoe dat precies zit, horen jullie zo meteen ook.

Gerrit-Jan Zwenne: Dank je wel, Walter. Goedemiddag. Vandaag gaan we het hebben over het wetsvoorstel Verzamelwet gegevensbescherming. En ik ga met Taetske van der Reijt, die bij Justitie en Veiligheid verantwoordelijk is voor dat wetsvoorstel, daarover in gesprek. Meestal is een Verzamelwet een nogal technisch vehikel, waarin allerlei punten en komma's en verschrijvingen en verwijzingen worden aangepast. Deze Verzamelwet is ook een beetje inhoudelijk. En we zullen in de loop van dit seminar zien hoe inhoudelijk dat is. De consultatie van het wetsvoorstel is al een paar jaar geleden, 20 mei 2020 tot en met 14 juli. Ik zag op de website van Internetconsultatie.nl dat er 33 reacties waren, maar dat zijn dan de openbare reacties. Taetske, hoeveel reacties waren er in totaal en waren er ook niet openbare reacties?

Taetske van der Reijt: Jazeker. Goedemiddag allemaal. Ja, er waren in totaal 49 reacties. Dus vaak zijn dat ook: de politie, de Nederlandse vereniging gemeenten die dat apart sturen en niet via de internetconsultatie website. Dus 49 totaal.

Gerrit-Jan Zwenne: Ja. En sommigen hadden ook wel hele interessante en aardige opmerkingen. Het Kamerstuknummer weten we inmiddels. Het advies van de Raad van State was al wat eerder bekend gemaakt. Ik meen dat Anna Berlee, hoogleraar aan de open universiteit, een Who-verzoek of een Wob-verzoek had gedaan en dat advies al wat eerder boven tafel had gekregen.

Taetske van der Reijt: Ja, dat klopt. Dat is eigenlijk het eerste wetsadvies voor de Raad van State wat gewhoond is inderdaad. En naar aanleiding daarvan heeft de Raad van State besloten om vanaf dat moment gewoon alles vrij onmiddellijk openbaar te maken aan hun adviezen. Dus ik zat net in die overgangsperiode met dit wetsvoorstel. Ja.

Gerrit-Jan Zwenne: Nou, dat heeft Anna Berlee dan toch maar mooi bereikt.

Taetske van der Reijt: Ja, precies.

Gerrit-Jan Zwenne: Je ziet op de slide, maar dat is niet zo heel erg goed leesbaar, een planning die ik van de website van de Tweede Kamer heb gehaald. Maar het is niet zo goed leesbaar. Sterker nog: als het wel leesbaar zou zijn, dan zou het ook niet zo heel veel inzicht geven. Taetske, wat is de stand van zaken en wanneer kunnen we verwachten dat het in werking treedt?

Taetske van der Reijt: Ja, dat is voor ons als departement altijd ook een beetje afwachten hoe de Kamer dat plant. We hebben het overigens in december al ingediend bij de Tweede Kamer, maar die hebben dat wat heen en weer lopen sturen tussen commissies, omdat ze niet zo goed wisten welke commissie dit nou eigenlijk wil behandelen. Het is uiteindelijk in de commissie Digitale Zaken, wat trouwens op zich best een beetje gek is, maar vooruit. Als alles heel vlot gaat dan schat ik in dat het op z'n vroegst 1 januari in werking zou kunnen treden, maar dan moet het dus vrij rap door de Tweede Kamer behandeld worden. Tot nu toe wijst dat er niet heel erg op, gezien het feit dat we al in half maart zitten. Er is morgen een technische briefing. Dan moet het natuurlijk ook door de Eerste Kamer behandeld worden. Dus ik vermoed dat 1 juli volgend jaar eigenlijk realistischer is, maar we hebben dat niet in de hand. Dat is echt aan de Kamers om die planning zelf te bepalen.

Gerrit-Jan Zwenne: Ja. Denk je dat er heikele punten in het wetsvoorstel zitten?

Taetske van der Reijt: Ik denk in het wetsvoorstel zelf eigenlijk niet. Op het gebied van privacy speelt natuurlijk van alles en de AP heeft regelmatig rondetafelgesprekken en brieven aan de Kamer. We komen zo ook nog over een specifieke brief te spreken. Ik vind het echt wel lastig te beoordelen of de Kamer dit gaat aangrijpen om punten te gaan maken of om ingewikkelde dingen er nog bij in te willen. Onze insteek is wel om erop aan te dringen om dit wetsvoorstel voortgang te laten vinden en eventueel vrij snel met nieuwe wijzigingen te komen. Dan niet een Verzamelwet, maar gewoon een wijziging van de AVG om daar een aanvang mee te maken, omdat dit al zolang duurt. Ik bedoel, die consultatie was in 2020. Daar zijn allerlei redenen voor: kabinetsformatie maar ook personeelswisselingen bij ons op het departement en best een aantal complexe onderwerpen in die consultatie. En dat is natuurlijk een waaier van onderwerpen dus dat heeft gewoon al lang geduurd. Ik hoop dat ze wel zo verstandig zijn om dit nu een beetje vlot door te voeren en dan zich te focussen op een eventuele nieuwe wijziging van de UAVG. Maar dat is altijd even afwachten. Dat is in ieder geval onze insteek.

Walter van Wijk: Mag ik even een vraag stellen voor de niet-juristen?

Taetske van der Reijt: Ja.

Walter van Wijk: Wat het verschil is tussen de dingen die nu in de Verzamelwet staan en straks een nieuwe of een geüpdate AVG? Wat is het verschil tussen die twee? Waarom heet dit de Verzamelwet?

Taetske van der Reijt: Dat hangt er natuurlijk een beetje vanaf welke dingen je dan gaat opschrijven in die eventuele nieuwe wet. Maar als je echt wat fundamentelere wijzigingen wil gaan opnemen over echt nieuwe onderwerpen, dus beleidsrijke onderwerpen over bijvoorbeeld iets wil gaan regelen over privacy van overledenen - om maar eens even een helder voorbeeld te noemen - dan is dat toch gek om dat in een Verzamelwet op te nemen die naar zijn aard wat meer technisch is, zoals Gerrit-Jan net zei. En in deze Verzamelwet komen ook nog een aantal andere wetten dan de UAVG, een aantal sectorwetten. De faillissementswet, vreemdelingenwet, wegenverkeerswet worden ook nog gewijzigd. Mijn voorstel zou zijn omdat in een volgend traject niet te doen en dat gewoon echt te beperken tot de UAVG.

Walter van Wijk: Waar gaat het over? Wat naar mijn gevoel de meer belangrijke onderwerpen waren. Ik loop ze even met u af. De gegevens van strafrechtelijke aard, dat was een wat apart begrip. Dat betrof de strafrechtelijke gegevens en nog wat meer, zoals we dat ook kenden uit de wet bescherming persoonsgegevens. En het gerechtshof Den Haag heeft daar op 24 december 2019 over gezegd: ho nationale wetgever, het is niet aan u om dit soort unierechtelijke begrippen op te rekken. En de regering, de wetgever, is het daarmee eens, althans dat blijkt uit het wetsvoorstel. Dus het begrip gegevens strafrechtelijke aard wordt wel gehandhaafd, zeg ik het goed Taetske?

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Maar het krijgt dezelfde betekenis als strafrechtelijke gegevens van artikel 10.

Taetske van der Reijt: Precies. Als unie rechterlijk begrip, ja.

Gerrit-Jan Zwenne: En het voordeel is dan dat Taetske niet 200 andere wetten hoeft aan te passen.

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Het lijkt me niet onbelangrijk. Wat ik wel aardig vond om te lezen in de memorie van toelichting. Ik ben nu bij een kopje: Verduidelijking regeling voor de krijgsmacht. Als onze soldaten in den vreemde moeten vechten tegen een vijand, dan gaan we ze niet van tevoren informeren over de gegevensverwerking. Dat doen we niet. En we gaan ook geen DPIA's doen. Ik zou haast zeggen dat het mij voor de hand liggend lijkt. De twaalf- en zestienjarigen, dat is toch wel interessant, artikel 41. Daar ga ik straks nog dieper op in. Het is naar mijn gevoel één van de meer belangrijke onderwerpen waarvan ik vermoed dat die niet in de Verzamelwet geregeld gaat worden, maar wellicht in een andere wet. Maar eerst dan die twaalf en zestienjarige. Als ik het goed begrijp - en Taetske gaat me gewoon aanvullen en corrigeren als ik het fout zeg - maar als ik het goed begrijp, krijgen twaalf- en zestienjarigen de mogelijkheid om de toestemming die hun ouders hebben gegeven in te trekken, maar vervolgens kunnen de ouders wel opnieuw toestemming geven. Dat is toch de regeling? Wat is de gedachte erachter Taetske?

Taetske van der Reijt: Ja, er zit natuurlijk in de AVG een mogelijkheid om de leeftijd voor toestemming te verlagen. In Nederland hebben we er niet voor gekozen om het geven toestemming naar twaalf of dertien daaronder te brengen, maar dus wel het intrekken. Dat leek ons - de regering, het kabinet- passen binnen wat ook in de WGBO eigenlijk een beetje als richtlijn wordt gehanteerd, om toch de zelfstandigheid en de vrijheid van jongeren enigszins tegemoet te komen. Kijk als hun ouders zeggen tegen de school: ja hoor, plaats maar een foto van mijn kind op alle social media die de school heeft. En dat kind denkt: ja hallo, daar heb ik eigenlijk helemaal geen zin in. Dan kunnen ze gewoon zelf in ieder geval wel zeggen: ja, nee, dat wil ik echt niet. Kijk, dan heb je dus dat gekke wat Gerrit-Jan net schetst: in theorie kunnen de ouders wederom toestemming gaan geven. Maar we gaan er toch een beetje vanuit dat de school dat die dan wel zo wijs zal zijn om dat dan volgens niet te doen. Want om dan nog een stap verder te gaan en het in een wet als de UAVG zo ingewikkeld te gaan regelen dat je al dit soort van verhoudingen ook gaat juridificeren, daar is dan dus niet voor gekozen. Maar zuiver theoretisch gezien zit er natuurlijk een gek gaatje in.

Gerrit-Jan Zwenne: Dat we interne gezinsverhoudingen op dit punt niet juridificeren dat lijkt me heel verstandig.

Taetske van der Reijt: Ja, vind ik ook.

Gerrit-Jan Zwenne: Waar het misschien ook nog betekenis zou kunnen hebben - en dan wordt het wel iets serieuzer dan een foto op een website - is dat je in sommige contexten, denk aan slimme meters, kan toestemming van de betrokkene nodig zijn. En de betrokkene is natuurlijk niet alleen degene die het contract heeft met Eneco of Vattenfall, maar dat is ook degene die in dat huis woont. En je kunt je voorstellen wat er gebeurt als een veertienjarige misschien een beetje opstandig is zegt: ik trek de toestemming, in die slimme meter dat vind ik maar helemaal niks. Terwijl misschien mama die het contract heeft eigenlijk wel die slimme meter zou willen hebben. Maar we gaan dat niet verder juridificeren, dat moeten ze maar eens [crosstalk 00:12:35]. Wat ik nog wel aan een aardige vond is en misschien is het een beetje marginaal punt, maar we zien in de Verzamelwet dat er nadere regels worden gesteld over de nodige kwalificaties waarover een lid van AP moet beschikken. Dus een lid van AP dat is hier: Aleid Wolfsen de voorzitter, Katja Mur en Monique Verdier. Ik weet niet precies hoe je het uitspreekt.

Walter van Wijk: Verdier.

Gerrit-Jan Zwenne: Verdier. In de Verzamelwet wordt dan geregeld dat er eisen kunnen worden gesteld aan de kwalificaties die deze drie collegeleden moeten hebben. Ik zag in de consultaties dat VIRA, dus de vereniging van Informaticarecht Advocaten een suggestie deed van: nou misschien zou je de eisen die je aan FG stelt, ook wel kunnen stellen aan leden van het college. Is dat de bedoeling Taetske, gaan we dat zo oplossen?

Taetske van der Reijt: Ja, ik moet eerlijk zeggen het ministerie is groter dan ikzelf, dus dat is weer de beleidsafdeling die heeft moet bepalen welke eisen er dan precies gesteld gaan worden. Aan de voorzitter worden volgens mij al eisen gesteld, die moet ook tot rechter benoemd kunnen worden Maar het had inderdaad met kwalificatie-eisen te maken en de gedachte dat bijvoorbeeld mensen ook wel verstand hebben - om maar zo te zeggen - van digitale aangelegenheden of wat meer specifieke, dat je daar op z'n minst in kunt sturen. Je moet overigens wel goed rekening blijven houden met ook de onafhankelijkheid van de AP natuurlijk, daar moet je wel zorgvuldig in zijn. Dus ik kan hier nog niet zeggen - ik weet het oprecht ook niet - op welke wijze dit dan precies ingevuld gaat worden door het ministerie. Want dat zal dan ministeriële regeling worden. Het is nog niet concreet.

Gerrit-Jan Zwenne: Het zou dus kunnen zijn dat de eisen die we aan FG stellen ook gaan worden gesteld aan AP, maar dat zien we dan later wel bij de [cross talk 00:14:41] regeling. Wat ik ook nog wel grappig vond, het was denk ik een beetje vileine opmerking van de Koninklijke Nederlandse Tennisbond, de KNLBT, die suggereerde dat incapabele leden van het college weggestuurd zouden mogen worden. Ik geloof dat het ook op vrij diplomatieke manier wordt weggeschreven in de memorie van toelichting. Dan de accountants.

Walter van Wijk: Mag ik nog heel even terugkomen op het vorige punt van die twaalf- tot zestienjarigen want er komen wat vragen bij de chat binnen, bij de V&A. Iemand die vraagt: is na tweede toestemming van ouders de organisatie verplicht het aan het kind te melden?

Gerrit-Jan Zwenne: Nou ik denk het wel, want de betrokkene is hier het kind. En gewoon de informatieplicht van dertien, veertien en twaalf trouwens ook, betekent dat het wel moet zijn bekendgemaakt aan de betrokkenen.

Walter van Wijk: Oké. En iemand die borduurt er even op door van: is het niet zo dat je bij twaalf- tot zestienjarige sowieso gezamenlijk of samen toestemming dient te geven, door zowel ouders als de jeugdige zelf?

Gerrit-Jan Zwenne: Nee, dat is volgens mij niet zo.

Taetske van der Reijt: Nee.

Walter van Wijk: Oké. Nou duidelijke vraag, duidelijk antwoord. Dank u.

Gerrit-Jan Zwenne: De accountant. Een accountant die moet af en toe een boekhouding controleren en in dat kader zou die accountant wel eens bijzondere gegevens moeten verwerken. Nou daarin wordt voorzien, dat mag en dat kan. Een accountant is natuurlijk niet een verwerker, want dan zou je het nog kunnen doen op de grondslag waar de degene die gecontroleerd wordt het op doet. Een account is zelfstandig verwerkingsverantwoordelijke. Je kan moeilijk je accountant de instructie geven: wilt u even mijn boekhouding goedkeuren? Nee, dat bepaalt die accountant zelf wel, of hij dat gaat goedkeuren of niet. Dus die is zelfstandig verwerkingsverantwoordelijke. En in de Verzamelwet wordt geregeld dat die dan ook bijzondere gegevens voor dat doel mag verwerken. Ik heb wel gehoord in de wandelgangen zo gezegd dat er wel op aangedrongen wordt dat ook andere beroepen die een min of meer vergelijkbare positie hebben ook die mogelijkheid zouden krijgen, maar ik zag dat niet in het wetsvoorstel terug. Dit is echt beperkt tot de accountant, hè?

Taetske van der Reijt: Ja. Dit is echt beperkt tot de account en dan ook nadrukkelijk tot de wettelijk verplichte accountantscontroles. Dus niet de wat meer vrije opdrachten of de adviespraktijken van accountants. Dan ligt dat anders. Dus echt als het wettelijk verplicht is. Kijk, voor bijzondere persoonsgegevensverwerking is dat natuurlijk de grondslag, de uitzondering zwaarwegend in het algemeen belang, als je het bij wet regelt. En dat wordt hier dan aanwezig geacht te zijn, bij die wettelijk verplichte. En ik weet niet zo goed of er meerdere beroepen zijn die deze type wettelijk verplichte werkzaamheden hebben, waarvoor dat dan niet geldt. Er zijn natuurlijk wel in diverse sectorwetgeving andere regelingen ook opgenomen dat die dat wel kunnen verwerken, bijvoorbeeld bij advocaten. Maar dit is beperkt tot accountants. Overigens is voor het medisch beroepsgeheim - dat is altijd lastig - gezondheidsgegevens AVG zijn natuurlijk net een iets andere categorie dan het medische beroepsgeheim, het medisch dossier, en die worden wel geacht te worden gepseudonimiseerd. Dus dat is ook nog wel een extra beveiligingseis.

Gerrit-Jan Zwenne: Ja, maar dan blijft het natuurlijk wel persoonsgegevens maar dan iets beter of een stuk beter beveiligd.

Taetske van der Reijt: Beveiligd.

Gerrit-Jan Zwenne: Ja.

Walter van Wijk: Er komen nog twee vragen binnen. Die fladderen een beetje door de verschillende items heen. Iemand die stelt: je begrijpt dat we eindelijk niet meer de AVG beleidsneutraal, lees: behoud van Nederlands juridisch erfgoed toepassen. Sinds Van Gent en Loos zijn kosten ANL, kon dat beleidsneutraal natuurlijk helemaal niet. Overigens heeft aansluiten bij het Unierecht qua strafrechtelijke gegevens ook implicaties voor de richtlijn 680 en de WPG. Een redelijk technische vraag, maar wil iemand daarop reageren?

Gerrit-Jan Zwenne: Ja dat wil ik wel, maar ik ben even aan het bedenken of ik het kan. Taetske, kan jij dat?

Taetske van der Reijt: Nou ja, als ik deze vraagformulering zo hoor. Kijk, het is niet helemaal zo dat wij het Gegevensbeschermingsrecht beleidsneutraal op de oude leest zaten in te interpreteren. We moesten natuurlijk wel degelijk al rekening houden met actuele Hof jurisprudentie en de AVG, et cetera. Het is wel zo dat de UAVG toentertijd beleidsneutraal is opgesteld, maar dat is inmiddels ook alweer een paar jaar terug. Maar na die tijd heeft natuurlijk de ontwikkeling niet stilgestaan en kom je er dus achter dat je sommige dingen ook in je wetgeving moet aanpassen. Dus bijvoorbeeld de WPG, de wet Politiegegevens en de WSG die zijn ook aangepast met het inwerkingtreden van de richtlijn politie en justitie, want daar werd volgens mij aan gerefereerd in de vraag. Dus dat wordt nu ook Europees rechterlijk conform verder geïnterpreteerd. Alleen dat is een richtlijn met een implementatiebed en de AVG is natuurlijk een verordening met een uitvoeringswet, dus dat is een iets andere juridische verhouding.

Walter van Wijk: Ja, oké.

Taetske van der Reijt: Helpt dit iets?

Walter van Wijk: Dat lijkt mij wel, maar dat mag de vraagsteller beoordelen. Er komt nog iemand terug even op het verhaal van de AP, en die stelt: van mij is wel gebleken dat de AP redelijk strikt oordeelt over zaken als mogelijk belangenverstrengeling. En hij stelt: ik ben benieuwd of dit nu ook voor de collegeleden van AP gaat gelden. Is dat bekend?

Gerrit-Jan Zwenne: Ja, ik denk dat dat niet per se gegevensbeschermingsrecht is, maar gewoon het verbod van vooringenomenheid. Als jij een belang hebt bij een partij, een onderneming, dan kun je als bestuursorgaan of persoon werkzaam voor een bestuursorgaan een oplossing moeten bedenken. Maar je wilt de schijn van belangenverstrengeling ten alle tijden voorkomen en dat is niet iets specifiek voor het gegevensbeschermingsrecht dat is gewoon het bestuursrecht, het verbod op vooringenomenheid Er wordt vaak een beroep op gedaan, maar het wordt zelden gehonoreerd, de lat ligt wel vrij hoog. Maar een verstandig bestuursorgaan zal iemand die aandelen heeft in een onderneming onderzoeken. Dat laat je natuurlijk niet doen door die ambtenaar die aandelen heeft in de onderneming die wordt onderzocht. Je wil de schijn van belangenverstrengeling voorkomen. Ik weet niet of dat een antwoord is op de vraag, maar dat is het antwoord wat ik erop geef.

Walter van Wijk: Lijkt me wel. Iemand komt nog even terug op de accountants. Geldt dit alleen voor de accountants of ook voor andere audit instellingen of andere beroepsgroepen zoals: de Raad voor de rechtspraak en de Nederlandse Zorgautoriteit, overheidsaccounts? Kunnen jullie hem even iets verbreden naar die vragen toe?

Gerrit-Jan Zwenne: Nou, ik denk dat de Zorgautoriteit die doet het gewoon op basis van zijn eigen sectorspecifieke wetgeving. Daar staat gewoon ingeregeld dat ze gezondheidsgegevens mogen verwerken. Ik had het zo gelezen dat dit echt beperkt is tot de accountant, en dan ook nog de accountant die een wettelijke taak uitvoert.

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: En dus niet voor belastingadviseurs of advocaten. Die moeten het maar uit hun eigen wetgeving halen.

Taetske van der Reijt: Ja. En de Raad van State had ook opmerkingen over dit artikel, zo van: waarom wordt dit niet in de sectorwetgeving geregeld? Maar de wetten die gelden voor accountants, de Wet op het accountantsberoep en de Wet toezicht accountantsberoep - geloof ik - die regelen eigenlijk iets anders. Die regelen meer de beroepsorganisatie van de accounts. En die wettelijke opdrachten die accounts uitvoeren, die staan in een waaier misschien van allerlei wetten: provinciewet, gemeentewet. Dus er was eigenlijk niet een goede sectorwet te vinden om dat in te regelen. Dus vandaar dat die accountants in de UAVG terecht zijn gekomen. Het is een beetje opmerkelijk zou je kunnen zeggen, maar dat ligt dus aan de wetgevingssystematiek dat daarvoor gekozen is.

Walter van Wijk: Nou en iemand heeft nog een soort schuine doorsnee hierop gesteld en dan gaat het over het Keurmerk sociaal ondernemen, waarin wordt gekeken naar specifieke doelgroep en bijzondere persoonsgegevens. Geeft dat nog een andere haak hieraan?

Taetske van der Reijt: Ik sla hier even niet op aan, maar dat ligt waarschijnlijk aan mij, Gerrit-Jan?

Gerrit-Jan Zwenne: Nee. Ja, ik ook niet direct maar de regeling voor gezondheidsgegevens, voor bijzondere gegevens is niet zonder reden vrij streng. 9.1 het is verboden. En dan ga je in 9.2 op zoek naar de uitzonderingen. Je kunt een keertje uitdrukkelijke toestemming hebben, iemand die het zelf openbaar heeft gemaakt, dan kan je het wel verwerken. En voor de rest kom je er al snel uit bij lid statelijk recht, zwaarwegend belang. En dan moet het gewoon ergens in de wet geborgd zijn. En dat is wat hier met de accountant is gedaan hè. Dat zal wel ook verwijzen naar 9.2 onderdeel G zeg ik uit mijn hoofd.

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Ik ga door. Voor archieven hebben we bijzondere regels, hè? In een archief is het niet de bedoeling dat je dat kan gaan aanpassen. Het staat je niet aan dat in een archief wordt vermeld dat je dit of dat hebt gedaan. Dat kun je dus niet verbeteren, zelfs niet als het evident onjuist is, maar je kunt er wel een aantekening aan toevoegen. Die regeling, die was alleen beperkt tot de officiële archiefbewaarplaats en ik begrijp dat het nu ook wordt uitgebreid tot archieven die geen officiële archiefbewaarplaats zijn, maar wel min of meer eenzelfde functie hebben. En we zullen in de praktijk wel wat uitlegkwesties gaan krijgen, maar dat lost zich wel op.

Taetske van der Reijt: Ja, het heeft ook te maken met een wijziging van de Archiefwet, die nu ook ter behandeling in de Tweede Kamer ligt.

Gerrit-Jan Zwenne: Weet je toevallig wanneer die in werking gaat treden?

Taetske van der Reijt: Ik begreep wel dat dat ook niet heel vlot gaat, want het is ook weer van die technisch ingewikkelde wetgeving die de politiek nou niet altijd het hoogst op prioriteitenlijst heeft staan, maar hij loopt voor op deze wet. Dus je zou mogen veronderstellen dat zij 1 januari wel gaan halen.

Gerrit-Jan Zwenne: Ja, die datum heb ik ook wel gehoord. Het gaat wel heel belangrijk zijn, ook voor het veiligstellen van e-mailberichten en dergelijke.

Taetske van der Reijt: Dus dat is echt een inhoudelijke verbeteringen of wijziging, ja.

Gerrit-Jan Zwenne: Dan de regeling voor gegevensverwerking door de adviescolleges. Volgens mij ziet dat bijvoorbeeld op de gedachte: nou, we hebben in Nederland een maatschappelijke discussie over adoptiedossiers - om maar eens wat te noemen - en daar komen we niet uit. Dus dan stellen we een aantal hooggeleerde mensen aan die dat gaan onderzoeken. Die doen dat natuurlijk weliswaar in opdracht van de minister, maar wel in onafhankelijkheid. Ik bedoel: er moet een onafhankelijk advies uit komen en die kunnen zich dus niet laten sturen door de minister. Dus ik denk dat die zelf verwerkingsverantwoordelijk zijn, en hebben dus ook een grondslag nodig voor de verwerking van die gegevens. En dat wordt in de UAVG geregeld, begrijp ik. Zeg ik het zo goed Taetske?

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Dan had Walter...

Taetske van der Reijt: Sorry, een kleine aanvulling. Die krijgen ook een grondslag om bijzondere persoonsgegevens te mogen verwerken onder voorwaarden, met wel flink wat waarborgen erin, want daar vroeg de Raad van State ook om, omdat je loopt ook daarvoor dan nu tegen het verwerkingsverbod aan.

Gerrit-Jan Zwenne: Ja, natuurlijk. En het voorbeeld van de adoptiedossier is natuurlijk duidelijk. Dan wil je meteen met etniciteit en nationaliteit te maken krijgen, maar wellicht ook gezondheid.

Taetske van der Reijt: Ja, katholieke kerk, Jeugdzorg en dat soort dingen, ja.

Gerrit-Jan Zwenne: Walter had me gezegd dat de curator dat vindt de doelgroep niet zo interessant, dus die sla ik over. Dan nog wel even artikel 41 en dat is iets wat niet wordt geregeld in de Verzamelwet, maar AP vindt dat het wel moet worden geregeld. Sterker nog, AP vindt - u ziet het staan - dat artikel 41 uit de UAVG moet. Zoals u weet ben ik ook wel een praktijkjurist. Ik doe nogal eens zaken over inzage rechten en over verwijderingsverzoeken. Ik zie in die procedures dat er nogal eens een beroep wordt gedaan op artikel 15 , 4e lid, dan hoef je niet te voldoen aan inzageverzoeken. Maar ook op artikel 41. Ik denk dat het schrappen van artikel 41 in de praktijk tot enorm veel problemen zou kunnen leiden. In ieder geval, je kunt dat zien als een probleem, je kunt dat zien als iets wat misschien maar snel moet worden afgeschaft. Maar de gedachte dat je bij de beoordeling van een inzageverzoek niet meer zou kunnen zeggen: ja, de bescherming van de betrokkene of van de rechten en vrijheden van anderen - dus artikel 41, 1e lid, onderdeel I - als dat er niet meer is, dat heeft nogal een impact. En wat ik ook nog wel aardig vond in de consultatie versie van de Verzamelwet werd er wel een wijziging van artikel 41 voorzien, maar die is er gelukkig uitgehaald. Want wat wilde de wetgever aanvankelijk doen? Eén: die wilde als een inzageverzoek wordt afgewezen, dan moet dat gemotiveerd worden. Nou, dat lijkt me terecht, natuurlijk moet je dat motiveren. Maar twee: een kopie van die motivering zou naar AP moeten worden gestuurd. Daar was vrijwel niemand die ik gesproken heb gelukkig mee. En ik ben ook wel blij dat dat eruit is gehaald. Maar nog steeds hebben we de discussie dat AP zegt: dat hele artikel 41 moet weg. Wat is daar de achtergrond van Taetske? Waarom vind je 41 niet goed?

Taetske van der Reijt: Nou, dit is dus één van die dingen die we in een eventuele volgende wet en niet in deze Verzamelwet willen meenemen, omdat dit best wel complex is. Dat zie je eigenlijk ook wel aan de memorie van toelichting bij de UAVG, maar artikel 41 is een uitwerking van artikel 23 AVG. Daarin staan natuurlijk een aantal doelen waar op grond waarvan je de rechter mag beperken. Maar in het 2e lid staat er hoe je dat bij wet heel nauwkeurig moet bepalen. Dus je moet rekening houden in de wet die je dus maakt om inbreuk, om rechten te kunnen beperken van betrokkenen moet je de doeleinden, de categorieën: persoonsgegevens, het toepassingsgebied, de waarborgen, de specificatie van de categorieën van gegevens, de opslagperiode, risico's voor recht. Nou, daar zit eigenlijk best wel een beetje wat spanning op. Enerzijds de uitbreiding van de doelen waarvoor je mag inperken als bedoeld in artikel 23, 1e lid van de AVG. En dan zeggen ze: maar dan gaan we het wel allemaal wat strakker procedureel regelen. En dat is gewoon lastig om dat vorm te geven. En het idee is eigenlijk dat je dit ook in sectorwetgeving wat beter per sectorwet moet regelen. En het idee van artikel 41 is ook dat dit alleen in individuele casuïstieken en wanneer het strikt noodzakelijk is, door de verwerk verantwoordelijke kan worden toegepast. En dat vindt de AP dus een te ruime mogelijkheid. Dat zou dus niet een goede interpretatie of implementatie zijn van artikel 23 AVG. Ja, juridisch gezien valt daar best wat voor te zeggen, maar het is nog niet per se makkelijk om dan te bedenken hoe je dat anders doet. Zeker in een algemene wet als de UAVG, waarbij je het toch niet zodanig wil inperken dat je onvoorziene dingen niet meer kunt regelen. Dat is ook niet wenselijk. Nou, dat is de worsteling waar we een beetje mee zitten.

Gerrit-Jan Zwenne: Ja weet je, ik zie het nog wel voor me voor zover het gaat om overheden die toch altijd werken op basis van een bevoegdheid die in de wet is geregeld. Dus dan zou je het in de desbetreffende wet [cross talk 00:32:01], maar wat doen we dan met een onderneming, een private partij? Aan de andere kant zou ik denken dat we dan gewoon meer gebruik gaan maken van de uitzondering van artikel 15, 4e lid, hè. Ik pak even mijn gele boekje erbij, want die zegt: het in lid 3 bedoelde recht, dat is het recht op inzage, doet geen afbreuk aan de rechten en vrijheden van anderen. Dus voor inzagen kun je daarop terugvallen, bij wissing en verzet of bezwaar heb je ook nog wel uitzonderingen, maar het wordt wel juist minder duidelijk hè?

Taetske van der Reijt: Nou precies. Maar de AVG zelf ook, want in artikel 14 AVG, 5e lid staan ook nog weer uitzonderingen op. Dus het is ook een beetje van: gaat het het doel van je verwerking ondermijnen? Bijvoorbeeld als je zelfstandig als bedrijf fraude-onderzoek doet, hoe zit dat dan precies? Of je wordt verplicht om iets te melden richting AIVD of openbaar ministerie, maar dat kun je nog wel regelen. En overigens zie je ook in allerlei buitenlandse uitvoeringswetten dat het heel verschillend is opgepakt dit artikel, de uitwerking van artikel 23.

Gerrit-Jan Zwenne: Dus dit is iets wat je dus niet in de Verzamelwet kan regelen. Dit heeft zulke enorme consequenties. Zelfs als je het dan voor overheden in de specifieke wetten gaat regelen, wordt dat een omvangrijk wetsvoorstel.

Taetske van der Reijt: Nou daarom. Dan moet je het dus in iedere sectorwet eigenlijk apart gaan regelen, en dat moet dan allemaal heel specifiek. Dus dat is toch een beetje de vraag.

Gerrit-Jan Zwenne: Maar dan heb je het nog niet opgelost voor de private sector.

Taetske van der Reijt: Nee, dat is [cross talk 00:34:06].

Gerrit-Jan Zwenne: En de financiële sector kun je nog daar regelen. Maar er zijn natuurlijk talloze sectoren waar betrekkelijk weinig sectorspecifieke regelingen zijn. We hebben wat uitzonderingen in de AVG, maar dat artikel 41 was toch wel erg behulpzaam. Walter, zijn er vragen?

Walter van Wijk: Ja, iemand die vraagt maar het is al even langs gekomen, maar om toch heel even specifiek scherp te stellen: betekent dat het advies van de AP nou aanduidt dat het recht van op inzage van de één boven de bescherming van de rechten en vrijheden van een ander zou moeten gaan?

Gerrit-Jan Zwenne: Nee, want bij inzage hebben we in artikel 15, 4e lid, een soort vangnet. Het inzagerecht doet geen afbreuk aan de rechten en vrijheden van anderen. En die andere is dan andere dan de betrokkene, dus dat is ook de verwerkingsverantwoordelijke zelf. Dus daar kun je nog wel iets mee. Maar 41 gaf toch een mooie catalogus van allerlei belangen waar je iets mee kon. Dat rücksichtslos schrappen zou ik gek vinden. Ik begrijp de overwegingen, maar ik denk dat het eigenlijk wel een beetje werkbaar moet blijven.

Taetske van der Reijt: Daarom wordt dus wel het inhoudelijke punt van de AP onderkend van daar zit iets. En wat ik al vertelde: in de memorie van toelichting bij de UAVG zie je dat die spanning eigenlijk al een beetje beschreven wordt. De regering in dit voorstel heeft er niet voor gekozen om te zeggen: schrappen! Dat heeft ook zulke onvoorziene gevolgen, wat Gerrit-Jan net aangaf. Met name voor het bedrijfsleven, maar ook voor allerlei overheden, omdat die sectorwetgeving gewoon niet voorziet nog, dat dat toch niet wenselijk bleek. Maar de AP die zegt dan: als we een klacht krijgen, dan gaan we zeggen dat dit artikel niet geldt. Dus die verwachten dat de rechtspraak dat ook zal volgen, maar vooralsnog past de rechtspraak het wel gewoon toe.

Gerrit-Jan Zwenne: Maar we hebben het wel over het verlanglijstje van AP. Misschien dat daar de verklaring ligt. Natuurlijk vragen ze om meer bevoegdheden. Dat zijn we van de toezichthouder wel gewend. De richtlijn gegevensbescherming bij rechtshandhaving, is dat wat we in het Engels noemen: the law enforcement directive?

Taetske van der Reijt: Ja, de richtlijn politie en justitie ook wel.

Gerrit-Jan Zwenne: Oh, dat is die richtlijn op basis waarvan we een wet politiegegevens hebben?

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Oké. Dan het tweede item op het verlanglijstje was: AP wil de bevoegdheid hebben om een verwerkingsverantwoordelijke te verplichten schadevergoeding te betalen. Daar had ik zelf het gevoel: maar die bevoegdheid hebben ze toch allang? AP kan een partij een boete opleggen en dan zouden ze kunnen zeggen: u krijgt een boete van laten we zeggen 525.000 euro volgens hun boetebeleidsregels, maar verwerkingverantwoordelijke als u bereid bent de betrokkene schadeloos te stellen, dan matigen wij de boete tot 300.000 euro. Dat kan AP gewoon nu doen, en volgens mij zeggen ze dat ook met zoveel woorden. Dus dan begrijp ik niet zo goed waarom je die bevoegdheid zou moeten hebben. En ik zou trouwens wel aanbevelen dat de toezichthouder dat soort wat meer creatieve mogelijkheden gaat gebruiken om te handhaven. Misschien is dit een voorbode dat ze dat gaan doen, maar ik denk dat het wel kan om bevoegdheid op te leggen. Schadevergoedingsmaatregelen: ik geloof niet dat de AVG dit uitsluit, maar ik zie het nut er niet zo van in omdat ze al een rechtsingang voor ondernemingen hebben. Dus dit is de gedachte dat je ziet dat je concurrent grote winsten maakt door de AVG met voeten te treden, en dan zou die onderneming kunnen klagen over de concurrent. Nou, dat lijkt me op zich wel nuttig, maar ook daar heb ik het gevoel dat je daar niet per se een juridische basis voor hoeft te creëren. Dat kan volgens mij al. Het is volgens mij niet dat je als onderneming niet bevoegd zou zijn of niet ontvankelijk zou zijn. Ik zie het probleem eerlijk gezegd niet zo, dan een lang gekoesterde wens van de toezichthouder. Ook Jacob Kohnstamm, toen hij de voorzitter was van het college bescherming persoonsgegevens drong daarop aan. Een plicht om boetebesluiten openbaar te maken. Nou zou je kunnen zeggen: de Who heeft al zo'n plicht. Sterker nog, als je al in de UAVG zou opnemen dat AP boetebesluiten openbaar moet maken, dan nog kun je altijd als beboette partij naar de rechter. Dus ook hier kun je afvragen: wat voegt het nou precies toe?

Walter van Wijk: Even tussendoor met één opmerking vanuit de deelnemers hierover, of een vraag eigenlijk: zou de AP dan ook niet toe moeten naar het kunnen toekennen van de last of dwangsom?

Gerrit-Jan Zwenne: Ja, dat, dat kan altijd. Maar het punt over die openbaarmaking is: het wordt nu voorgesteld alsof de wetgever de toezichthouder zou kunnen opdragen te alle tijden moeten publiceren. Maar zo werkt het niet. Volgens mij heeft het ACM ook zo'n publicatieplicht en nog steeds kun je als beboette partij naar de rechter gaan en die rechter laten afwegen of publicatie hier passend is of niet. En dat gaat allemaal over: zijn de gevolgen van publicatie onherstelbaar en hoe evident onrechtmatig of rechtmatig is het boete besluit. Dus ik heb het gevoel dat dit heel weinig toevoegt en dat er misschien ook een zekere schijnzekerheid wordt gecreëerd, want de rechter blijft gewoon altijd bevoegd om dat te toetsen. En terecht, want het zal niet voor het eerst zijn dat een boetebesluit van een toezichthouder onderuit gaat. En als het al wel gepubliceerd is, dan kan de beboette partij inmiddels al enorme schade hebben geleden. VoetbalTV is omgevallen, failliet, weg. Dan ééntje die ik dan wel weer interessant voor AP vind: dat ze boetes moet kunnen opleggen aan andere dan verwerkingsverantwoordelijke of verwerkers.. Dus de normadressaten van de AVG zijn de verwerkingsverantwoordelijke en de verwerkers, maar je zou ook nog iets kunnen hebben als medeplichtigheid. En ik moest meteen een beetje denken aan die casus van Tesla, die u misschien de afgelopen weken in de pers heeft gezien. Tesla heeft op zijn auto's allerlei sensoren ingebouwd, maar wie controleert die sensoren, die camera's en sensoren? Dat is natuurlijk de automobilist, dat is niet Tesla. Maar Tesla was wel bereid om op verzoek van AP de standaard instellingen van de camera's en de sensoren aan te passen. En misschien dat deze wens van AP op dat soort situaties ziet. Bij het actief informeren over het gebruik van algoritmes vraag ik me weer af wat dat toevoegt. Volgens mij staat al in artikel 13 en 14 dat je de logica van het systeem moet kunnen uitleggen. Uitbreiding werkingssfeer vergeetrecht, dat is wel weer een interessante. In het Google CNIL-arrest heeft het Hof van Justitie gezegd: ja, als u zoekresultaten wilt verwijderen, dus als iemand zoekt op uw naam, dan wilt u niet dat het vervelende bericht over dat faillissement van u van een aantal jaren geleden naar boven komt. Dat moet niet in de zoekresultaten staan. Dan heeft het Hof van Justitie gezegd: ja, maar dat geldt natuurlijk alleen voor Europa, het is niet zo dat wij in Nederland de regels kunnen stellen voor de Verenigde Staten. Nou daar heeft het Hof van Justitie goed over nagedacht, heeft de advocaat-generaal goed over geadviseerd, maar AP vindt toch dat ze wereldwijd zoekresultaten moet kunnen laten verwijderen. Nou, we gaan het zien. Taetske sprak al over de overledene, dat gaat niet in de Verzamelwet worden geregeld, maar wellicht in een andere wet, in een meer inhoudelijke wet. En over de rechten van betrokkenen hebben we het al gehad. Zijn er vragen, Walter?

Walter van Wijk: Ja, ééntje gaat over de schadevergoedingsmaatregelen. Hoe werkt het dan wanneer de betrokkenen geen Nederlanders zijn?

Gerrit-Jan Zwenne: Nou, daar kijk je gewoon of de AVG en de UAVG van toepassing zijn. Als de UAVG van toepassing is, dan is AP bevoegd. Dus dan ga je kijken: is er een vestiging van de verwerkingsverantwoordelijke of verwerker in Nederland in het kader waarvan persoonsgegevens worden verwerkt? Dus dat is een op zichzelf eenvoudige toets. Wie is verwerkingsverantwoordelijke? Heeft die een vestiging? Worden er in het kader van die vestiging persoonsgegevens verwerkt. Een vestiging in Nederland hè! En is er geen vestiging in Nederland, dan kijk je of er producten of diensten worden aangeboden aan mensen in Nederland en of er gedrag wordt gemonitord van mensen in Nederland. Als aan die voorwaarde is voldaan dan is de UAVG van toepassing, is AP bevoegd en kan AP zijn bevoegdheid op grond van de AVG inzetten.

Walter van Wijk: Nog even ten aanzien van de openbaarmakingsplicht, iemand die vraagt: dus nu hoef je het handhavingsbesluit niet te publiceren, maar straks de last wel?

Gerrit-Jan Zwenne: Nee, zo werkt dat niet. In de praktijk werkt het zo en dit gaat over boetebesluit, hè, dus niet per se over last op de dwangsommen. In de praktijk werkt het zo: AP legt een boetebesluit op, dat is niet openbaar, en dan moet er separaat een openbaarmakingsbesluit worden genomen en daar kun je dan bezwaar tegen maken. Als AP niet bereid is om daarover te praten, dan zul je een voorlopige voorziening, een kort geding, moeten voeren tegen dat publicatiebesluit. BKR heeft daarmee te maken gehad en die heeft toen de procedure tegen het openbaarmakingsbesluit verloren en daarmee werd de zaak publiek. Dat was die zaak over inzageverzoeken waarvoor BKR ten onrechte kosten in rekening bracht. Dus zo gaat dat in de praktijk. En zo'n openbaarmakingsplicht verandert er helemaal niks aan, volgens mij.

Walter van Wijk: Er wordt ook iets gezegd over het gebruik van algoritmes dat je actief moet informeren. Nou zijn er ook allerlei algoritmeregisters in opkomst. Blijkbaar het verwerkingsregister krijgt dan [onhoorbaar 00:45:15] algoritmeregister wellicht. Is daar nog iets over te zeggen?

Gerrit-Jan Zwenne: Ja, je verwerkingsregister is niet openbaar. Ik bedoel: je ziet wel overheden die het openbaar maken en dat mogen ze doen, maar je verwerkingsregister is niet openbaar op grond van 13, 14 AVG. Je moet ook informeren over de logica van je systeem. En wellicht dat AP hier wil dat er wat meer informatie wordt verstrekt. Ik heb het gevoel dat het al in de AVG zit, maar je zou dat wat meer handen en voeten kunnen geven. Het in zo'n register opnemen zou een manier van informeren kunnen zijn, maar ik denk dat hier toch ook de bedoeling is dat je gewoon betrokken rechtstreeks vertelt: wij maken gebruik van een algoritme. Dus een gemeente die gebruik maakt van een algoritme, die zal dat moeten melden. Maar wat ik zeg, ik heb het gevoel dat het allang in de AVG zit.

Walter van Wijk: Oké. Andere. Even over de overledenen. Iemand die vraagt: is er iets bekend over een motivatie waarom gegevens van overledenen een bescherming of wellicht meer bescherming zouden moeten genieten?

Gerrit-Jan Zwenne: Ja, dit gaat natuurlijk over een casus als een sociaal netwerk en toegang tot het profiel van de overledene. Ik ben niet zonder meer gelukkig met het alsmaar uitbreiden van de werkingssfeer van de AVG, omdat de reikwijdte al zo ontzettend groot is en omdat er al zoveel onzekerheid is. Maar het mag wel, de AVG staat het wel toe. Het is echt wel een andere discussie en ook wel een discussie die diepgaand moet gaan voeren, zou ik denken.

Taetske van der Reijt: Ja, ik kan er op dit moment niet veel over zeggen, omdat dit nog in behandeling is. Alleen over die overledene is wel al eerder met de Kamer gecommuniceerd. De opvatting van Nederland is om dat toch eventueel het liefst in Europees verband regelingen te maken. Digitale nalatenschap is natuurlijk een heel specifiek onderdeel van die overledene: het overledene vraagstuk en persoonsgegevens, zeg maar. Daar loopt men toch best wel tegenaan, hoewel het ook niet helemaal duidelijk is hoe de markt dit nou precies zelf gaat oppakken. En het algemene recht op privacy, wat [onhoorbaar 00:47:32] in grondwet en zo staat, dat geldt wel voor overledenen. Dus het is natuurlijk niet de bedoeling dat zodra iemand is overleden, je meteen zijn hele hebben en houden openbaart of zo.

Gerrit-Jan Zwenne: Maar ook het medische beroepsgeheim loopt door na de dood.

Taetske van der Reijt: Ja, precies.

Gerrit-Jan Zwenne: En dat wil je natuurlijk ook hè. Als je bij een arts in behandeling bent en er is een kans dat je doodgaat, dan wil je ook na je dood niet dat je medisch dossier op straat komt te liggen.

Taetske van der Reijt: Nee precies. En het is ook niet zo dat er niks is, maar...

Gerrit-Jan Zwenne: En ook in de context van WOO en Wob zijn er verschillende zaken geweest waar de afdeling heeft gezegd: ja, we vinden het nu niet opportuun om het dossier openbaar te maken. Maar het zou over tien jaar anders kunnen liggen, als het al wat langer geleden is dat iemand overleden is. Ik ga door naar de laatste slide, want we hebben nog een paar minuten.

Walter van Wijk: Ja, klopt.

Gerrit-Jan Zwenne: En ook dit zit niet in de Verzamelwet, maar het is wel een belangrijk ding. Er bestond in consultatieversie - en Taetske moet me maar aanvullen of corrigeren - de gedachte dat we voor de verwerking van gegevens van strafrechtelijke aard een grondslag moesten creëren. Dus als jij aangifte wil doen van een strafbaar feit, Ik dacht dat dit het voorbeeld was, Taetske?

Taetske van der Reijt: Ja.

Gerrit-Jan Zwenne: Dan zou je kunnen zeggen: nou, als jij online aangifte gaat doen van een strafbaar feit, dan verwerk jij wellicht strafrechtelijke gegevens. Dat kan zomaar niet, van artikel 10, dus daar gaan we een oplossing voor verzinnen. We gaan opnemen in de wet dat als je aangifte wil doen je strafrechtelijke gegevens mag verwerken. De gedachte is begrijpelijk. AP zegt dan in haar wetgevingsadvies: nou, dit vinden we niet zo'n verstandig idee, want hier is overduidelijk door de wetgever al bedacht dat je strafrechtelijke gegevens moet kunnen verwerken. Dat is evident! En als we het nou uitdrukkelijk in de wet gaan opschrijven, dan krijg je natuurlijk de a contrario redenering dat mensen zeggen: ja, in andere contexten is dat niet geregeld, dus het mag niet. Die redenering volg ik, ik snap hem. En tegelijkertijd zie ik in de praktijk het enorme probleem dat iedereen gebruik maakt van dit evidentie criterium. Je zegt al heel snel: ja, natuurlijk was dat volstrekt duidelijk dat we hier gezondheidsgegevens gingen gaan verwerken. Dus het is wel een gevaarlijk criterium, vind ik.

Taetske van der Reijt: Nou wat toch wel aardig is, is dat de AP heeft ook ingezien dat ze het misschien nog iets scherper moesten duiden. Dus in het advies over het wetsvoorstel, over het instellen van de dopingautoriteit, hebben ze dit nog eens dunnetjes overgedaan en het iets scherper geformuleerd door te zeggen: als uit wet en memorie zonneklaar blijkt dat het er eigenlijk al staat, dan hoef je niet ook nog eens op te schrijven, dat je dan dus strafrechtelijk gegevens... En heel duidelijk voorbeeld vind ik altijd de Wet op het Nederlanderschap. Als jij terroristische misdrijven gepleegd hebt en daarvoor veroordeeld bent, dan kan je Nederlanderschap worden ingetrokken. Dat staat in die wet, maar dan hoef je niet nog te zetten: en hiervoor mag je strafrechtelijke persoonsgegevens. Dat is een strafrechtelijk vonnis, dat is zo zonneklaar. Dus het is een beetje van: als het er eigenlijk al staat, hoef je het niet nog een keer op te schrijven. Het is eigenlijk alleen om die a contrario redenering, zeker met wat oudere wetgeving die van voor de AVG geldt en die natuurlijk wat minder netjes is toegeschreven op AVG-criteria, niet voor de wielen te rijden. Maar je moet er voorzichtig mee zijn, dat ben ik met Gerrit-Jan eens.

Gerrit-Jan Zwenne: Ja, en het gaat zijn eigen leven leiden, dus maak hier niet te veel gebruik van.

Taetske van der Reijt: Nee.

Gerrit-Jan Zwenne: We zijn door de tijd heen.

Walter van Wijk: Ik wil Taetske van der Reijt en Gerrit-Jan Zwenne enorm bedanken voor het meer inzicht geven in wat de Verzamelwet gaat betekenen en ook wanneer die wellicht van kracht gaat worden. We hebben dus nog even de tijd om ons daarop voor te bereiden. Op zijn vroegst 1 januari volgend jaar, maar waarschijnlijk later. Voor nu: dank iedereen en wellicht tot een volgende keer.

Outro podcast: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer erover kun je vinden op onze website: CIP- overheid.nl. Tot de volgende keer.