Nr. 52 VERSLAG VAN EEN ALGEMEEN OVERLEG

Voorzitter: Gesthuizen

Griffier: Van de Wiel

De heer Bontes (PVV): Voorzitter. Privacy is een groot goed. Het is een grondrecht. Als regering moet je je burgers die bescherming bieden. Je moet hun privacy garanderen. Er is een brief van de regering, die ik op sommige onderdelen wat vaag vind en op sommige onderdelen ook weer niet. Privacy by design staat er bijvoorbeeld heel duidelijk in. De PVV-fractie heeft daarover een motie ingediend. Ik zie dat onderwerp ook terugkomen in de brief, dus dat is op zich een goede zaak. Als je bedrijfsmodellen en businessprocessen ontwikkelt, moet je vanuit de basis rekening houden met privacy. Als je dus een dienst of een product opbouwt, moet je rekening houden met privacy. Dat staat er heel nadrukkelijk in en dat is een goede zaak. Verder staat in de brief dat als de privacy wordt gewaarborgd, dit een groei van de internethandel kan betekenen van een miljard. Ik durf niet zo hard te stellen dat er een causaal verband is tussen privacy en een groei met een miljard. Als je iets koopt, gaat het er ook om dat het gegarandeerd geleverd wordt en dat je gemakkelijk kunt ruilen. Ook is belangrijk hoe het zit met de betaling. Privacy maakt daarvan wel deel uit, maar ik zet er mijn vraagtekens bij of je hard kunt stellen dat daarmee een miljard gemoeid is. Dit is echter wel een duidelijk deel van de brief.

Het wordt onduidelijker als het gaat om de balans tussen de privacy van de burger en de belangen van en voor het bedrijfsleven. Als voorbeeld noem ik de zaak van Equens, de betalingsverwerker die plannen had om pintransacties te verkopen aan het bedrijfsleven. Je kunt dan zeggen dat dit een zaak is waar het economisch belang speelt. Het is goed voor de handel als de middenstand bekend is met het koopgedrag van mensen. Het raakt echter ook de privacy, want niemand van deze mensen heeft destijds toestemming gegeven om pingegevens door te verkopen. Destijds is dit on hold gezet omdat er heel veel kritiek kwam. Het is alweer een aantal maanden geleden, dus de meeste mensen zullen het alweer vergeten zijn, maar ik gelukkig niet. Er was veel over te doen. Onder druk en om maatschappelijke onrust te voorkomen, heeft Equens gezegd het voorlopig stop te zetten, hoewel het bedrijf juridisch in zijn recht stond en had kunnen doorgaan. Dit is een punt waarop ik graag van de regering hoor hoe zij erin staat. Waar kiest zij voor? Kiest zij nu voor Equens, dat de gegevens toch moet kunnen verkopen? Of zegt zij: nee, hier staat de privacy van de burger centraal; hier is de balans duidelijk verstoord? Ik hoor graag een heldere visie en een duidelijk standpunt van de regering in dezen.

Mijn laatste punt betreft het recht om vergeten te worden. Op zich is dat natuurlijk goed. We kennen het al in Nederland; er zijn waarborgen voor. Wat zie je nu echter? Dat de Europese Commissie het naar zich toe aan het trekken is. Het zal niemand verbazen als ik zeg dat de PVV er geen voorstander van is dat dit soort zaken op EU-niveau worden geregeld. Dat kunnen we heel goed in Nederland. Ik begrijp de internationale context natuurlijk wel, maar dan moet je dat maar met verdragen afhandelen in plaats van alle macht bij de Europese Commissie neer te leggen. Daar zijn we fel tegenstander van, want die trekt het naar zich toe. Voordat je het weet, is de salamitactiek er weer. Ook hier krijg je het dan weer stukje bij beetje door de strot geduwd en voordat je het weet, heb je de hele worst binnen. Dit moet dus niet op Europees niveau. Ik begrijp dat er inmiddels een verordening is en dat het helaas een feit is, maar toch benadruk ik nogmaals dat we er tegenstander van zijn.

Laat ik daar inhoudelijk op ingaan. Verschillende deskundigen die de media hebben opgezocht en publicaties hebben geschreven, zeggen dat de wijze waarop de Commissie het voorstelt, ook nog wel eens de vrijheid van meningsuiting zou kunnen aantasten. Het gaat namelijk ook over sociale media. Het gaat er niet alleen om dat je oude provider al je gegevens moet wissen als je overstapt naar een andere provider. Dat begrijp ik; dat is op zich ook niet verkeerd. Als het de vrijheid van meningsuiting echter gaat aantasten, waar het op het lijkt, want de Commissie gaat zich ook buigen over en richten op sociale media, is het een ander verhaal. Stel dat ik wat zeg over een collega-politicus. Moet dat er dan vanaf of valt het onder de journalistieke vrijheid? Dat zijn allemaal vaagheden. Ik krijg hierop graag een reactie van de regering. Mijn fractie maakt zich daar ernstig zorgen over. Dit soort zaken is niet in goede handen bij de Europese Commissie. Ik wil echt duidelijkheid over de vraag of de vrijheid van meningsuiting gevaar loopt.

De heer Verhoeven (D66): Voorzitter. Ik heb de Minister van Economische Zaken de afgelopen tijd wel eens een gebrek aan visie verweten, maar vandaag zal ik dat niet doen. De e-privacyvisie van het kabinet die vandaag voorligt, is namelijk wel degelijk een visie en bevat ook de fundamenten van een echte visie. Allereerst is er een analyse van de situatie met trends, patronen en ontwikkelingen. Ten tweede worden de uitgangspunten vermeld waarmee deze visie als het ware wordt bekeken door het kabinet, het wettelijk kader maar ook het regeerakkoord en de manier van benaderen van het kabinet. Ten derde is er een concretisering aan de hand van maatregelen. Daardoor vind ik het een vrij helder verhaal. Wij zijn dus eigenlijk heel blij met de manier waarop de motie-Gesthuizen/Verhoeven, waarin om deze visie werd gevraagd, is opgevolgd. Het moment waarop de visie komt, is ook nog eens een heel goed moment, want privacy is de afgelopen tijd steeds actueler geworden. Vooral de publieke kant van privacy is heel veel aan de orde geweest: de NSA-afluisterpraktijken, de drones en de rol van onze eigen AIVD. Het is ook heel goed om het over de privacy met betrekking tot bedrijven te hebben, te meer omdat bleek dat bijvoorbeeld de opstelling van bedrijven bij het PRISM-schandaal een heel dubbele was. Deden ze nu wel of niet mee? Hoe zit dat nu? Ook is het nog steeds heel opvallend dat bedrijven een heel mooie, gebruikersvriendelijke dienst kunnen ontwikkelen en daarbij tegelijkertijd heel complexe privacyvoorwaarden hanteren. Je vraagt je bijna af waarom het een zo ingewikkeld moet en het ander zo ontzettend makkelijk kan voor de gebruiker. Het is dus echt een onderwerp waarover we graag praten. Ik ben blij met de visie.

Ook ben ik blij met het inzicht in de visie dat goede privacybescherming ook goed is voor de economie. Ik kijk dan ook even naar de Staatssecretaris, die gelukkig ook aanwezig is. Het lijkt namelijk alsof de Minister van Economische Zaken heel ver is in zijn denken. Hij ziet in dat de privacy van belang is voor het digitaal vertrouwen en een groeiende economie. Alleen wil zijn collega, de Staatssecretaris voor Veiligheid en Justitie, nog wel eens doen alsof privacy iets is wat het bedrijfsleven heel veel kost, wat heel ingewikkeld is en waarbij je voortdurend het economisch belang tegen privacy moet afwegen. Dat is een schijntegenstelling waarvan wij hopen dat de Minister van Economische Zaken de Staatssecretaris van Veiligheid en Justitie eens aan zijn jasje zou kunnen trekken. Dat belooft dus nog wat bij de beantwoording door beide heren! Ook in dit opzicht zie ik graag consistent kabinetsbeleid, in dezen dan liever dat van de Minister van Economische Zaken.

Ik ga in op een aantal punten. Het kabinet schrijft dat er vaak voor gratis diensten wordt betaald met persoonsgegevens, maar dat het vaak niet duidelijk is voor mensen dat dit zo is. Weten de bewindspersonen hoe weinig mensen dit weten? Zijn daar gegevens of feiten over? Kunnen ze ook bekijken of er statistieken zijn over alternatieve opties voor het betalen voor diensten, zoals Tweakers? Tweakers heeft de mogelijkheid om te betalen voor een website zonder reclame en zonder cookies. Kunnen de bewindspersonen deze initiatieven meer onder de aandacht brengen in het kader van bewustzijn?

Ik zei het al. D66 is echt positief over deze visie. Er zit een aantal concrete dingen in. Ik noem het digitaal briefgeheim, de bredere rol voor het College bescherming persoonsgegevens, inclusief de dialoog, maar ook de bredere capaciteit waar ik nog op terugkom, de boetemogelijkheid en de meldplicht datalekken die erin wordt beschreven. Dat is ook een goede stap. Ik noem de privacy quick scan voor het midden- en kleinbedrijf. Een goed punt. Ik noem ook de privacy-by-designbenadering, een belangrijke benadering om ervoor te zorgen dat je van te voren nadenkt over de privacygevolgen van jouw apparatuur.

Maar zonder verbetersuggesties bestaat er geen D66-inbreng. Wat ons betreft mogen de acties hier en daar wat concreter. Een consultant zou zeggen: het is niet echt SMART. De brief gaat aan het eind een beetje als een nachtkaars uit, omdat er wordt gesteld dat er wordt gemonitord, gekeken, en dat er op een aantal dingen wordt teruggekomen. Graag zou ik daar nog wat data, uitwerkings- en uitvoeringspunten en concretiseringen bij horen.

Dan profiling. Ik vind de drie randvoorwaarden die het kabinet stelt, controle, transparantie en verantwoordelijkheid, heel goed, maar wat betekent dat voor het specifieke punt van profiling? Onze fractie is bezorgd dat dit leidt tot beperkte keuzen voor internetters door de zogenaamde geautomatiseerde beslissing. Eigenlijk kan een geheim algoritme, gebruikt door grote bedrijven, ervoor zorgen dat de een iets ander ziet op internet dan de ander. Dat is een groot gevolg. Wij vinden het jammer dat het kabinet niet echt een positie inneemt over dit onderwerp. Het kabinet beschrijft het, maar er wordt niet gezegd wat men ervan vindt. Dat zou bij een visie, zeker in dit geval, wel van belang zijn. Waarom neemt het kabinet wat dit betreft geen positie in? Op die manier kan men het bedrijfsleven ook laten waar men in de toekomst wel en niet in moet investeren. Als bedrijven heel erg op profiling gaan zitten, terwijl het kabinet uiteindelijk vindt dat het te ver gaat, lijkt het mij goed als bedrijven dat weten.

Wat D66 betreft is het helder: de internetter moet kunnen zien op basis van welk profiel hem welke keuze wordt voorgelegd. Hij moet de weg van A naar B dus snappen en hij moet zijn eigen profiel kunnen inzien en aanpassen.

Dan het privacy impact assessment, het pia, zoals wij dat in de fractie noemen. Dat is een hartstikke goed idee, maar doe het eerder. Het wordt nu gezien als een onderdeel van de aanbesteding, maar wij zeggen: laat het meewegen in het besluit of je überhaupt een bepaald project, een bepaald internetproject of dienst gaat ontwikkelen. Het moet een graal onderdeel zijn van een projectbeslissing en niet van de aanbesteding. Wil de Minister deze analyse overnemen?

Dan een zorg over het toezicht. Heeft het College bescherming persoonsgegevens voor de nieuwe rol die het heeft of krijgt toebedeeld in het regeerakkoord en deze visie wel voldoende capaciteit om effectief op te treden? Neem de dialoog, maar ook andere zaken. Kan het college die grotere en belangrijkere taak goed uitvoeren? Graag een reactie.

Ik had het er liever niet over willen hebben, maar de VVD begon er vandaag toch weer over, namelijk de cookies. Het is jammer, want de Minister is druk bezig, wat hij ook schrijft in zijn brief, met een consultatie. We hebben er hiervoor veel over gesproken. Wij hadden liever gezien dat de broedende kip niet tijdens het broeden was gestoord, want nu ligt er weer een nieuw voorstel. Het is ook nog een voorstel waarbij men de toestemming probeert te regelen via een zogenaamde nee-knop. Volgens mij kun je de toestemming alleen regelen met een ja-knop. Graag een reactie van de Minister of hij dit voorstel serieus neemt, of hij dat gaat betrekken in zijn consultatie, of dat hij op de nee-knop drukt om het vervolgens in de prullenbak te laten verdwijnen.

De heer De Liefde (VVD): Dat scheelt in ieder geval één interruptie van de heer Verhoeven, schat ik zo in.

4% van de beroepsbevolking in Nederland werkt in de digitale economie. Ruim 280.000 arbeidsplaatsen en een omzet van meer dan 30 miljard euro. Als het aan dit kabinet en de VVD ligt, gaan daar in de komende jaren nog wel wat miljarden bijkomen. Deze visie kan daar een bijdrage aan leveren. De digitale economie is wat ons betreft een van de nieuwe pijlers waarop Nederland zijn groei en welvaart gaat uitbouwen. In de visie van de Minister is het organiseren van privacy in de digitale wereld heel belangrijk, voor de consument, maar dezelfde consument is ook geïnteresseerd in nieuwe producten, nieuwe onlinediensten. Wij worstelen in de Kamer voortdurend met dat spanningsveld. Dat geldt ook voor de overheid. Een van de voorbeelden betreft big data. Door voortdurende innovatie en nieuwe technologieën slaan bedrijven grote hoeveelheden data op om die te kunnen analyseren, bewerken en er wellicht nu of in de toekomst geld mee te verdienen. Wat deze ontwikkeling betreft vinden wij het belangrijk dat we met elkaar goed nadenken hoe hiermee om te gaan. De Minister heeft daar een voorzet voor gegeven. De VVD is ook benieuwd naar het voorstel van de Minister om gebruikers en bedrijven te bewegen tot een tegengestelde beweging, namelijk dataminimalisering. De VVD vraagt zich af hoe de Minister dit voor zich ziet en hoe hij denkt dat te gaan bereiken, zonder met aanvullende wet- of regelgeving te komen. Graag een reactie.

Als het gaat om profiling stelt de Minister terecht dat de consumenten gebaat kunnen zijn bij een doelgerichte reclame, maar dat dit niet mag leiden tot prijsdiscriminatie of beperking van de keuzevrijheid. Dat is de VVD met hem eens. Ik ben dan ook benieuwd hoe de Minister dit denkt tegen te gaan en hoe hij de balans die ik eerder noemde concreet denkt vorm te geven.

De VVD stelt wat betreft cloud computing voor om de ontwikkeling van eigen clouds te stimuleren. Dat betekent wat ons betreft twee dingen. Een investering en een impuls voor de Nederlandse economie en werkgelegenheid en een mogelijkheid voor organisaties en bedrijven om hun vertrouwelijke informatie conform de Nederlandse wetgeving op te slaan. Openbare informatie die niet privacy- of bedrijfsgevoelig is, kan natuurlijk prima in een willekeurige cloud worden opgeslagen. Dat is vaak ook wat goedkoper. Maar data die gevoelig of vertrouwelijk is, of valt onder de privacywetgeving kent natuurlijk meer restricties. Openbaar waar het kan en beveiligd waar het moet is het credo. Graag een reactie van de Minister.

Dan het punt waar de heer Verhoeven altijd aanslaat, de cookiewetgeving, een ander belangrijk punt voor de VVD. De huidige cookiewetgeving, zoals wij die nu kennen, is haar doel voorbijgeschoten. Ik ben blij dat wij het afgelopen jaar in meerderheid in de Kamer hebben geconcludeerd dat die wet moet worden gewijzigd. De Minister komt binnenkort met dat wetsvoorstel, maar wat mij betreft kunnen wij nu ook al iets doen. Het is mijn partij opgevallen dat er in de afgelopen tijd heel veel varianten van het verkrijgen van toestemming in omloop waren, sommige met een akkoord- of niet-akkoordknop, toestaan, niet toestaan, sommige alleen met een sluitenknop, weer andere met: u kunt op akkoord drukken en dan ben je met vele muisklikken weg; sommige een keer met een uitleg over cookies. Soms kun je ze wel of niet uitzetten en ergens helemaal onderin verstopt zit de boodschap: toch liever niet. En dan gaat de site op zwart. Over dat op zwart gaan, wil ik het niet hebben, want dat is de keuzevrijheid van een privaat bedrijf, maar de manier waarop de informatie beschikbaar is voor de consument om een keus te kunnen maken of hij wel of niet cookies toestaat vanaf een site, kan eenduidiger. Het zit wat dat betreft net iets anders in elkaar dan de heer Verhoeven dacht en bedoelde. Ik denk dat het College bescherming persoonsgegevens in de richtlijnen hierover een goede rol zou kunnen vervullen. Het CBP zou wat meer een meedenkend toezichthouder kunnen worden. Er zijn afgelopen jaar stappen gezet. Daar zijn wij verheugd over, maar bedrijven en consumenten zouden er nog meer bij zijn gebaat als in een vroegtijdig stadium de dialoog wordt gestart en niet verderop in het traject.

De heer De Liefde (VVD): Een van de meest in het oog springende voorbeelden is de website NPO.nl. Die had geclaimd per juni van dit jaar volledige toegang te verschaffen tot de site, maar als je nu kijkt naar de manier waarop dat gebeurt, voldoet dat volgens ons op geen enkele wijze aan de voorwaarden die wij hier Kamerbreed hebben gesteld. Ik ben het met de PvdA eens dat publieke sites op een zeer laagdrempelige en eenduidige wijze informatie beschikbaar moeten stellen. Dat doet de NPO op dit moment niet.

Wat betreft de cookiewetgeving en de rol van het CBP daarbij, wil ik afsluiten met de vraag aan de Minister of hij bereid is om met het CBP in gesprek te gaan over het meedenkend toezichthouderschap van het CBP. Wij willen namelijk graag voor de toekomst voorkomen dat wij, ook als de nieuwe wet van de Minister naar de Kamer komt en wij die hier vaststellen, alsnog weer allerlei discussies met bedrijven en consumenten krijgen over de vraag hoe wij het zodanig organiseren dat het consumentenbelang en het bedrijfsbelang in evenwicht zijn.

Ik kom op mijn laatste punt: privacy by design. De Minister wil dit bevorderen door het wegnemen van drempels. Ik vraag mij af of dit wel afdoende is. Kan de Minister zijn voorstel verder toelichten? De toelichting in de brief was namelijk vrij summier. De VVD is positief over privacy impact assessments. Wel maakt zij zich, net als D66, zorgen over het moment waarop zo'n pia uitgevoerd dient te worden. Als dat namelijk pas na een aanbesteding geschiedt, kan het kostenplaatje van die aanbesteding veranderen, met alle mogelijke problemen van dien. Wie betaalt de eventuele meerkosten? Wie is debet aan eventuele vertragingen? Is de Minister bereid, te bevorderen dat de zogenoemde pia's zo veel mogelijk voorafgaand aan een aanbesteding geschieden?

Mevrouw Oosenbrug (PvdA): Voorzitter. Vol verwachting klopte mijn hart toen de brief met de klinkende naam «e-privacyvisie» verscheen. Ik deel echter niet helemaal het enthousiasme van D66, want dat van mij is toch wat weggeëbd. Ik maak me namelijk zorgen over de uitwerking van de visie in de brief. Aan de ene kant erkent de regering het grote belang van privacy en het belang van vertrouwen in het digitale domein, maar aan de andere kant neemt de regering te weinig concrete maatregelen om de privacy beter te waarborgen.

Het is goed om te lezen dat de regering doordrongen is van het belang van goede bescherming van persoonsgegevens, al lijken de motieven daarvoor vooral economisch getint te zijn. Ik vraag aandacht voor de erkenning van de grondrechten van betrokken personen en het recht op zelfbeschikking over hun eigen gegevens. Bij mij roept dit automatisch de vraag op wie welke verantwoordelijkheid heeft. De regering heeft oog voor de mogelijkheden die wetgeving biedt, maar geeft bijvoorbeeld over het aanbieden van begrijpelijke informatie over het gebruik van gegevens aan dat dit onderdeel is van maatschappelijk verantwoord ondernemen. Dat verbaast mij. Het is toch gewoon de wettelijke plicht van bedrijven om mij een geïnformeerde keus te laten maken over het vrijgeven van mijn gegevens? Daar kunnen bedrijven zich niet met een onbegrijpelijke juridische tekst van afmaken. Daarom roep ik de Minister nogmaals op om met bedrijven in gesprek te blijven om deze zogenoemde disclaimers in jip-en-janneketaal op te stellen.

Het gebruik van cookies is een ander onderwerp dat duidelijk de privacy raakt. We spraken er al even over. Ik verbaas me erover, omdat er al technische oplossingen voor zijn. De vraag is hoe je ervoor kunt zorgen dat mensen er echt grip op kunnen krijgen en data in eigen hand kunnen houden. Een van die oplossingen biedt internetbrowser Firefox al aan in de vorm van een «do no track me»-optie. De visie is namens de regering ontwikkeld. Ik vraag de Minister om met de browsermakers te gaan praten om te bekijken wat je gebruikers kunt aanbieden. Wij moeten ervoor zorgen dat mensen ook zelf begrijpen wat er gebeurt als zij het internet opgaan. Je kunt een bestandje aanbieden en daarin dingen uitleggen, maar je kunt ook het heft in eigen hand nemen en jezelf verantwoordelijker gaan voelen.

Mevrouw Oosenbrug (PvdA): Ik deel absoluut niet de visie van D66 dat dit plan gaat stranden. Het heeft te maken met opensourcesoftware. Ik ben inderdaad redelijk goed ingevoerd in het onderwerp. Waarom kan een goed voorbeeld op een gegeven moment niet worden overgenomen door andere browsers? Waarom zou Internet Explorer er uiteindelijk niet voor kiezen om het goede voorbeeld van Firefox te volgen? De heer Verhoeven zegt dat er aan één oplossing wordt gewerkt, maar ik denk dat er twee wegen zijn. Er is volgens mij één weg naar het nemen van je eigen verantwoordelijkheid en een andere weg naar het nemen van verantwoordelijkheid door de overheid, onder andere wat betreft de cookiewet. Waarom zou je niet twee sporen kunnen volgen?

Voorzitter. De regering geeft aan dat zij een actievere rol voor het CBP wenselijk vindt, met name in de advisering van bedrijven om gegevensverwerkingen te bouwen die aan de eisen van de wet voldoen. Het CBP heeft er bewust voor gekozen om deze rol niet meer te vervullen en heeft zich toegelegd op handhaving. De PvdA ziet een groeiende behoefte bij bedrijven aan een CBP dat meer meedenkt, maar vraagt zich wel af wat dit voor de handhaving betekent. Dat is zeker van belang als het zeer grote gegevensverwerkers zoals Google en Facebook betreft. Dan moet je een goede toezichthouder hebben die van onschatbare waarde is. Die toezichthouder moet ook Europees samenwerken, want daar ontkom je niet aan. Graag krijg ik de visie van het kabinet daarop.

Ik kom op het enorme rapport van TNO over privacy by design. Het betreft twee heel mooie concepten die in theorie een grote bijdrage aan het beschermen van privacy kunnen leveren. Het zijn echter ook twee concepten die hard ingaan tegen de trend van big data, oftewel het verzamelen en analyseren van zo veel mogelijk gegevens. De regering geeft aan, de waarde van deze concepten in te zien en bedrijven daarvoor te willen interesseren, maar wat wil de regering hiervoor doen? Ook wil de regering deze concepten zelf toepassen, maar tegelijkertijd verzamelt de overheid veel gegevens. Dat gebeurt natuurlijk binnen de grenzen van de wet, maar er is behoefte aan data. Graag willen wij de regering de ruimte geven om uit te leggen hoe de concepten haalbaar zijn en zich verhouden tot de tendens van big data.

Over de pia's is volgens mij alles al gezegd. Dat brengt mij op mijn laatste punt: de Nederlandse opstelling in de onderhandelingen over een nieuwe Europese verordening voor gegevensbescherming. Waar de Minister in zijn brief zeer positief is over deze verordening, lijkt zijn collega bij V en J vooral bang voor de kosten. V en J gaat onderhandelen. De PvdA is ook kritisch over extra kosten, maar ziet wel de waarde in van instrumenten die in de ontwerpverordening worden voorgesteld. Wil de Minister het belang van concrete instrumenten om privacy te bevorderen nog één keer met zijn collega van V en J bespreken?

Mevrouw Gesthuizen (SP): Voorzitter. Na eventjes wachten is het kabinet met een gedegen e-privacyvisie gekomen. Ik vind het wel tijd om daartegenover mijn eigen visie te zetten. In mijn ogen geeft Nederland op dit moment buitenlandse internetbedrijven vrije toegang tot de Nederlandse markt, zonder noemenswaardige barrières. Dat gebeurt niet alleen vanwege economische belangen, maar ook vanwege internationale samenwerking op het gebied van het verzamelen van inlichtingen door veiligheidsdiensten en het werk van internationale politiële opsporingsdiensten.

In relatie tot het voorgaande is voor de Nederlandse digitale burger en het Nederlandse bedrijfsleven onvoldoende duidelijk wat zijn privacy-positie respectievelijk zijn concurrentiepositie is in dezen. Het is voor landen als de Verenigde Staten en het Verenigd Koninkrijk immers vrij eenvoudig om langs deze weg inlichtingen in het kader van de nationale veiligheid te verzamelen en op die manier gaandeweg ook informatie te vergaren over Nederlandse burgers en bedrijven ten behoeve van bijvoorbeeld het eigen bedrijfsleven en de eigen concurrentiepositie. Het is onduidelijk wat het betekent voor Nederlandse burgers en bedrijven als de eerste groep zich fysiek begeeft naar de Verenigde Staten dan wel het Verenigd Koninkrijk en die landen beschikking hebben over informatie over in Nederland ontplooide activiteiten die in de Verenigde Staten of het Verenigd Koninkrijk als bezwaarlijk kunnen worden gezien en als de tweede groep een poging doet om vanuit Nederland e-commerce-activiteiten te ontplooien.

Het lijkt alsof de Nederlandse economie ten prooi valt aan grote, buitenlandse internetbedrijven en de privacy en juridische positie van de Nederlandse burger ten prooi vallen aan de landen die intensief samenwerken met diezelfde bedrijven. Belangrijker nog: ongeacht ons juridisch regime inzake spionage en privacy en ongeacht het regime van de EU zullen wij het niet raar moeten vinden dat het juridische regime van de grote buitenlandse internetbedrijven en de landen die hen hebben voortgebracht, zal prevaleren. Dat is in mijn ogen de tamelijk ernstige situatie waarvoor wij ons nu gesteld zien.

Hoewel ik gedeeltelijk het constructieve optimisme van de heer Verhoeven, en de opbouwende kritiek die daarin zit, onderschrijf, sluit ik mij ook zeer zeker aan bij de kritische noten die mevrouw Oosenbrug hier heeft gekraakt. Er is natuurlijk al een heleboel gezegd; dat krijg je als je als laatste aan de beurt bent. Ik maak mij in elk geval ernstig zorgen. In de privacyvisie wordt een aantal zaken zeer nauwgezet benoemd. Ik mis evenwel het gevoel van urgentie en de daaraan gekoppelde daadkracht die mijns inziens nodig is om wat in mijn ogen gewoon klip-en-klaar is, waarmee wij in de afgelopen maanden ook geconfronteerd zijn, het hoofd te bieden. Het is opvallend stil gebleven in Nederland nadat de activiteiten van de NSA bekend werden; de heer Verhoeven refereerde daar ook aan. Er zijn wel debatten over gevoerd, maar toch is het tamelijk rustig gebleven. Ik vind dat eigenlijk niet terecht. Ik vind het meer dan zorgwekkend dat op deze manier de grondrechten van burgers te grabbel zijn gegooid. Ik zou eigenlijk verwachten dat het kabinet als een leeuw vecht voor de belangen van Nederlandse burgers en op Europees niveau steun zoekt bij partners om dat samen te doen. Tot zover mijn bescheiden visie op de stand van zaken.

Een aantal zaken leg ik aan het kabinet voor aan de hand van heel concrete vragen. Die hebben alles te maken met de documenten die ons zijn toegestuurd. Ik heb het idee dat het kabinet wacht op de Europese verordening over privacy. Heeft de Staatssecretaris enig idee wanneer die wordt vastgesteld? Duurt het niet te lang om daarop te wachten? Op welke wijze volgt het kabinet de ontwikkeling van gegevensverzameling door big data? Hoe wordt dit gerapporteerd? Wanneer en hoe kan het kabinet ingrijpen als dat gebeurt in strijd met de huidige wetgeving?

Op het punt van cloud computing stel ik de volgende vragen. Welke stappen kunnen wij in de komende periode verwachten van het kabinet? Heeft het kabinet er vertrouwen in dat een dialoog met de Verenigde Staten voldoende inzicht geeft in de handelwijze van de Verenigde Staten? Vragen over de privacy impact assessment zijn uitvoerig gesteld dus die laat ik achterwege.

Ik kom te spreken over de leeftijdsgrens zoals die is vastgelegd in onze Wet bescherming persoonsgegevens. In artikel 5 staat de leeftijdsgrens van 16 jaar voor het gebruik van persoonsgegevens van minderjarigen. De door de Europese Commissie voorgestelde verordening bevat een leeftijdsgrens van 13 jaar voor het vereiste van ouderlijke toestemming bij verwerking van persoonsgegevens, bij het aanbod van diensten van de informatiemaatschappij. De door de Europese Commissie voorgestelde leeftijdsgrens van 13 jaar sluit aan bij Amerikaanse wetgeving en de daarop gebaseerde gebruikersovereenkomsten. Is de Minister daarvan een voorstander? Is de leeftijd van 13 jaar niet erg laag?

In het rapport van TNO, Privacy by design, geven de geïnterviewden aan dat zij de wetgeving als complex ervaren. Voor veel bedrijven is het lastig om te weten waar zij precies aan moeten voldoen. Hoe ziet het kabinet dit? Hoe kijkt het kabinet naar het voorstel om een platform op te richten waar ondernemers met vragen terecht kunnen? Op welke wijze kan het kabinet dat eventueel faciliteren?

Ik kom bij mijn laatste opmerking. Ik vind de antwoorden van het kabinet op de vragen die gesteld zijn over het door providers opslaan van niet-geanonimiseerde gegevens teleurstellend. Het College bescherming persoonsgegevens constateert serieuze overtredingen. Waarom worden deze bedrijven niet direct beboet? Naar aanleiding van het onderzoek zijn providers gestopt met bepaalde overtredingen, maar moeten zij niet toch alsnog een boete krijgen voor het overtreden van de wet? Is het kabinet ervan overtuigd dat de huidige wetgeving voldoende is om de grote jongens uit de telecomindustrie te weerhouden van het overtreden van privacywetgeving? Is het economisch belang niet groter dan de mogelijke boete die zij krijgen opgelegd?

Minister Kamp: Voorzitter. Ik zal proberen de taakverdeling met de Staatssecretaris van Veiligheid en Justitie goed in acht te nemen. Mocht ik iets behandelen wat op zijn gebied ligt, zal hij mij even op de arm tikken en komen wij daar samen wel weer uit.

Ik dank de heer Verhoeven voor de constructieve benadering die hij heeft gekozen. Dat stellen wij altijd zeer op prijs. Wij zien dat wij nog niet alle antwoorden hebben op wat hier gaande is en dat wij nu nog niet precies weten hoe alles geregeld moet worden. Het is nog niet allemaal uitgezocht en duidelijk. Het terrein is enorm in ontwikkeling. Hier is zich een enorme economie aan het ontwikkelen. Wij hadden hier twintig jaar geleden nog geen idee van en nu is het een steeds groter deel van ons leven aan het uitmaken. Daar proberen wij een weg in te vinden. Wij proberen ervoor te zorgen dat de privacy wordt beschermd en dat klanten de producten kunnen krijgen waar zij behoefte aan hebben. Wij proberen ervoor te zorgen dat bedrijven ruimte hebben om te innoveren en steeds nieuwe producten te ontwikkelen. Wij proberen dus de goede dingen te stimuleren en de negatieve kanten van wat er gebeurt in de hand te houden en te corrigeren waar dat nodig is.

Er is een sterk groeiend aanbod van diensten en een groot economisch belang. Privacybescherming is echter ook van groot belang. De kunst voor ons is om een goede balans te vinden tussen de bescherming van de privacy en het bieden van ruimte aan het bedrijfsleven om dingen te doen die goed zijn, die mogen en die in het belang van zijn van de klant. Dat moet dus gebeuren zonder dat het privacybelang van de klant wordt aangetast. Daar streven wij naar.

Wij proberen ervoor te zorgen dat bedrijven op een goede manier gebruikmaken van de persoonsgegevens waarover zij mogen beschikken omdat de klant daar toestemming voor geeft. Bedrijven proberen ook gegevens te verzamelen die niet de persoon betreffen en die niet privacygevoelig zijn, maar die ze wel kunnen leren hoe hun klantenbestand als geheel tegen iets aankijkt en wat hun klantenbestand waardeert en wat niet. Dat mag ook. Dat laten wij ook graag toe. Op die manier kunnen zij er ook voor zorgen dat zij de producten hebben in de vorm die hun klanten van belang vinden en die zij graag willen afnemen.

Het moet echter voortdurend duidelijk zijn dat een goede bescherming van de persoonsgegevens vooropstaat. De klanten, de gebruikers, moeten met een gerechtvaardigd vertrouwen gebruik kunnen maken van onlinediensten. Nu is dat nog niet altijd zo. Wij moeten als overheid de dingen doen waarmee dat uiteindelijk wordt bereikt. Dat betekent dat wij er van onze kant voor willen zorgen dat er transparantie bestaat over wat er allemaal gebeurt op het punt van verzamelen en verwerken van gegevens. Er moet in grote lijnen transparantie bestaan over hoe bedrijven dat benaderen en hoe zij dat aanpakken, maar ook over hoe zij er in individuele gevallen mee omgaan. Wij willen dat de klanten zich bewust zijn van wat er allemaal kan gebeuren, wat er mis kan gaan en wat er goed kan gaan. Wij willen dat ze daarover geïnformeerd zijn en dat ze erin geïnteresseerd zijn. Wij willen ook dat de klanten controle krijgen over de gegevens die bij hun leveranciers, de aanbieders van websites, in gebruik zijn.

Ik kom daarmee op het punt van profiling. Er is gezegd door woordvoerders, onder wie de heer Verhoeven, dat als er een profiel is van iemand, hij daar kennis van moet kunnen nemen en hij het moet kunnen corrigeren als hij dat wenst. Dat is op dit moment nog niet geregeld, maar ik vind het een heel terechte wens van de heer Verhoeven. Ik denk dat wij ervoor moeten zorgen dat wij dit bespreken in de contacten die wij permanent hebben met de aanbieders van diensten. Wij moeten ze laten weten dat wij dit een gerechtvaardigde wens vinden en ze vragen hoe ze daarmee omgaan en op welke wijze zij die invullen. Als wij zien dat er profilers zijn die dat op een goede manier doen, kunnen wij best practices verzamelen en die aan anderen aanbieden. Dan kunnen wij ook tegen de klanten zeggen: op die manier gaat het verkeerd en op die manier gaat het goed en daar zou je zus en zo op moeten reageren. Wij moeten er ook voor zorgen dat onze wetgeving daar goed bij aansluit.

De wetgeving is behoorlijk op peil aan het komen. Onze eigen Telecommunicatiewet is zeker niet slecht. Die houden wij ook actueel, nu bijvoorbeeld door hem aan te passen wat betreft de cookies. Ook wat er in Europa gebeurt in de verordening, waar de Staatssecretaris op zal ingaan, is natuurlijk positief. Dit soort zaken kun je immers niet in Nederland regelen. Dat moet je ten minste in Europees verband doen. Je moet eigenlijk ook invloed uitoefenen op de grote Amerikaanse bedrijven. Dat kun je het allerbeste vanuit Europa doen.

Wij moeten zowel in Nederland onze zaken op orde hebben als de mogelijkheden benutten die er in Europa zijn om de goede dingen te doen, alsook de kracht die wij als Europa hebben gebruiken om te proberen afspraken te maken met de grote Amerikaanse bedrijven die iedereen kent. Mocht dat niet lukken, mochten die afspraken niet goed gemaakt kunnen worden, zullen wij ervoor moeten zorgen dat wij onze eigen zaken zodanig op orde hebben dat wij het daarmee in de hand kunnen houden. Wij moeten er dan voor zorgen dat, los van wat die grote Amerikaanse bedrijven doen, de bedrijven die in Nederland concreet producten aanbieden aan de Nederlandse consument aan de Nederlandse voorwaarden voldoen. Daar moeten wij goede wettelijke regels voor hebben, samen met de Europese regels. Wij moeten er vervolgens voor zorgen dat die regels worden nageleefd.

Het gaat niet alleen maar om regels. Zoals ik al zei, gaat het ook om transparantie en een kritische en bewustere consument. Het gaat om overleg met het bedrijfsleven. Wij moeten proberen om duidelijkheid te bieden vanuit de overheid. Dingen die goed gaan, moeten zo breed mogelijk worden uitgedragen. Als je ziet dat er dingen misgaan waar je niet tegen kunt optreden, moet je kijken hoe je de wet kunt aanpassen om ervoor te zorgen dat je toch kunt optreden. Op die manier benaderen wij dat.

Wij moeten het geheel van wat hier loopt, volgen. Dat volgen, dat monitoren, van wat hier gebeurt, is bepaald niet eenvoudig. Het is echter wel van het grootste belang omdat de ontwikkelingen heel snel gaan. Die monitor moet dus op een zorgvuldige manier worden opgezet, niet weer een monitor naast de andere monitor. Wij moeten kijken wat er al aan monitors is, hoe het kan worden ingepast en hoe wij die kunnen aanvullen. Wij zullen met het veld en met het College bescherming persoonsgegevens overleggen over het opstellen van die monitor om ervoor te zorgen dat het een monitor wordt waar wij iets aan hebben. Vervolgens zullen wij ervoor zorgen dat via die monitor alle onderwerpen die aan de orde zijn geweest, die de woordvoerders hebben genoemd, de aandacht krijgen die zij verdienen. Wij moeten zien of de combinatie van transparantie, een bewuste en kritische consumenten en overleg met het bedrijfsleven, plus onze eigen wetgeving en de Europese verordening voldoende werkt. Waar het instrumentarium niet voldoende werkt, moeten wij ervoor zorgen dat het wordt aangevuld.

Ik heb niet de behoefte om alles in de eerste plaats via wetgeving voor elkaar te krijgen. Ik heb de behoefte om het in de eerste plaats voor elkaar te krijgen via transparantie, kritische klanten en overleg met het bedrijfsleven. Pas als blijkt dat er aanvullend, corrigerend of normstellend toch iets nodig is op het punt van wetgeving, denk ik dat wij dat vooral via de Europese verordening moeten doen. Dan geldt het immers voor alle Europese lidstaten. Daarnaast hebben wij onze eigen wetgeving waarin wij de dingen vast kunnen leggen die wij belangrijk vinden.

Ik ga op de verschillende onderwerpen. Een aantal woordvoerders heeft gesproken over de cookies. De heer Verhoeven zei dat de Kamer eerst via een amendement haar stempel op de wet heeft gedrukt, dat zij daarna heeft aangegeven dat het toch iets anders moet en dat het kabinet daar goed naar heeft geluisterd en iets heeft opgezet waarover nauw overleg is geweest met het College bescherming persoonsgegevens. Daar is een consultatie over geweest en er komt nog een advies van de Raad van State over. Als de Kamer dat resultaat krijgt met de memorie van toelichting, zal zij het beoordelen. Dat zou ook mijn lijn zijn.

De opmerkingen die zijn gemaakt door mevrouw Oosenbrug en de heer De Liefde begrijp ik echter ook goed. Zij zeggen eigenlijk dat hoewel wij een wettelijke bepaling hebben, het kan zijn dat men het een beetje verstopt, dat een paar keer moet worden doorgeklikt voordat je ergens bij komt of dat het ergens bovenaan een scherm in een hoek staat waar je niet zo snel de aandacht op vestigt. Zij zeggen dat je er dan toch geen lekker gevoel over hebt en dat het dan niet zo loopt als het moet. Ik denk dat dat zo is. We zullen moeten kijken hoe onze nieuwe cookie-bepaling kan worden ondersteund door goede afspraken met het bedrijfsleven. We moeten als overheid het goede voorbeeld geven. De heer De Liefde verwees naar de website van de NPO, waarover hij nog steeds niet tevreden is. De websites in de overheidssfeer en de semi-overheidssfeer zullen een duidelijk voorbeeld moeten zijn voor het bedrijfsleven. Ik voel mee met de heer De Liefde, maar alleen een «nee»-knop kan niet. Een combinatie van een «ja»- en een «nee»-knop zou duidelijker zijn. Eerst moeten we ervoor zorgen dat in een goede bepaling wordt vastgelegd wat de eisen zijn. Daar is al grondig overleg over geweest. Ons eindoordeel op dat punt komt nog naar de Kamer. We zullen daar ook op ingaan in de memorie van toelichting. Dingen waarmee mensen heel vaak worden geconfronteerd, zoals cookies, moeten makkelijk herkenbaar zijn. De oplossing moeten we vinden in een combinatie van het geven van het goede voorbeeld via een wettelijke bepaling, en afspraken met het bedrijfsleven op grond van best practices.

Minister Kamp: Dat antwoord heb ik niet paraat. Ik kom daar nog op terug.

De heer Bontes gaf aan dat wat is gebeurd met Equens, voor hem niet acceptabel was. Hij vindt dat dat ook voor mij niet acceptabel zou moeten zijn. Ik denk dat hij daarin gelijk heeft. Het bedrijf heeft naar aanleiding van de commotie die is ontstaan, afgezien van het doorverkopen van gegevens van klanten. De heer Bontes zal begrijpen dat in een zich ontwikkelende markt af en toe dingen worden geprobeerd waarop correctie komt, waarna die dingen niet doorgaan. Daarom is het goed dat een bedrijf zich op een gegeven moment terugtrekt. Maar hier is toch duidelijk dat het principe moet gelden dat gegevens alleen mogen worden gebruikt voor het doel waarvoor je ze gekregen hebt. Bovendien moet je toestemming krijgen als het om persoonsgegevens gaat. Ik zag niet in hoe de opzet van Equens tot iets acceptabels zou kunnen leiden. Het is goed dat dat beëindigd is. Als dat niet was gedaan, was dat initiatief waarschijnlijk gesneuveld.

Minister Kamp: Het eerste slot bestond uit de banken, die groot belang hebben bij een goede vertrouwensrelatie met hun klanten. De banken willen natuurlijk niet dat daar iemand bij zit die iets gaat doen met gegevens die via hen zijn binnengekomen. Zij schermen dat dus af. Persoonsgegevens mogen door bedrijven alleen gebruikt worden voor het doel waarvoor zij die gegevens hebben gekregen. Daar moet ook apart toestemming voor gegeven worden. Als dat gebeurt en als het bedrijf dat doet, mag dat. Als het bedrijf ook gegevens verzamelt die niet tot een persoon te herleiden zijn en waarbij de Wet bescherming persoonsgegevens niet aan de orde is, mag dat als het bedrijf daar op een verantwoorde manier en binnen de wet mee omgaat. Zodra echter sprake is van een niet-toegestaan gebruik, wordt dat niet geaccepteerd. Als ik de opzet goed heb begrepen, zou daar in dit geval sprake van zijn. Ik denk dus dat terecht is afgezien van het plan. Als een vergelijkbaar plan weer aan de orde komt, als dat de banken passeert en als een bedrijf dit wil doen zoals Equens het destijds wilde doen, zullen wij heel goed bekijken hoe dat zich tot de wettelijke bepalingen verhoudt. Als het bedrijf daar niet aan voldoet, zullen wij optreden.

De heer Bontes sprak zich uit over de Europese Commissie. Ik wil niet op het terrein van mijn collega komen, maar in algemene zin mag ik misschien ook van hem het volgende opmerken. Als de Europese Commissie dingen naar zich toe trekt met betrekking tot het regelen van zaken die niet alleen voor Nederland maar voor alle landen in Europa van belang zijn ten aanzien van privacybescherming, het zich ontwikkelen van producten en diensten op internet en het stimuleren van die markt, waarbij wel verantwoord wordt omgegaan met persoonsgegevens, en als de Europese Commissie daarbij de goede dingen doet zoals zij volgens mij tot nu toe heeft gedaan en ook met de verordening wil doen, vind ik dat positief. Ik denk niet dat wij dat allemaal alleen met onze Telecomwet in goede banen kunnen leiden. Ik ervaar die betrokkenheid van de Europese Commissie als nuttig. Ik denk ook dat wij ervoor moeten zorgen dat onze regelgeving daar goed bij aansluit. Ik kijk hier dus anders tegen aan dan de heer Bontes. Ik sta hier niet bij voorbaat negatief tegenover; integendeel.

De heer Verhoeven zei dat wij op het punt van profiling hebben beschreven wat er gebeurt en dat wij daar verder geen standpunt over innemen. Ik heb al tegen hem gezegd dat wij zijn punt met betrekking tot profiling onderschrijven: ik ben het met hem eens dat een profiel individueel gezien zou moeten kunnen worden en dat daarin ook wijzigingen moeten kunnen worden aangebracht. Zover is het nog niet; dit kan nog niet. We zullen de verschillende ontwikkelingen die gaande zijn en de verschillende mogelijkheden om ontwikkelingen te beïnvloeden, moeten benutten om het daar uiteindelijk naartoe te brengen.

De heer De Liefde heeft aangegeven wat hij op het punt van cloud computing als het goede principe ziet. Hij vindt dat openbare gegevens zo veel mogelijk openbaar en goedkoop, liefst gratis, beschikbaar moeten zijn. Ten aanzien van beveiligde gegevens is zijn standpunt: als beveiligen moet, moet dat en dan mag dat ook iets kosten. Zo kijken ook wij daartegen aan: zo veel mogelijk openbaar en door iedereen laten gebruiken. Als beschermen nodig is, mag dat en moet je dat ook doen. Dat doen wij als Rijk ook: wij gaan onze eigen cloud vormen, de rijkscloud. Daarvan zullen geen anderen gebruikmaken. Wij moeten daarbij zelf de vertrouwelijkheid van gegevens kunnen garanderen. Zo kunnen ook anderen dat doen. Het College bescherming persoonsgegevens heeft een zienswijze gegeven over de bescherming van persoonsgegevens in het buitenland bij cloud computing en heeft daarbij aangegeven dat het uitgangspunt moet zijn dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een buitenlandse aanbieder, de verantwoordelijkheid niet bij die buitenlandse aanbieders kunnen neerleggen. Nee, die verantwoordelijkheid ligt bij henzelf, hier in Nederland. Zij moeten zelf aan de wettelijke bepalingen voldoen. Ik denk dat dit de manier is waarop wij dit moeten organiseren.

Er is ook gesproken over privacy by design. Er is gevraagd hoe wij die ontwikkeling willen bevorderen. Wij zien privacy by design als de beste manier. Als je als consument iedere keer weer moet knokken voor je privacy en als je daar als toezichthouder of als wetgever iedere keer mee bezig moet zijn, is dat niet bevredigend. Het is veel bevredigender als het voor een aanbieder van een product normaal is dat het product zodanig vorm is gegeven dat de privacy van de afnemers gewaarborgd is. Het is heel goed denkbaar dat daar een soort keurmerk voor komt, zodat de klant weet dat bij een bepaalde aanbieder met een bepaald keurmerk de privacy helemaal is ingebakken in het design van het product en zodat de klant in vertrouwen naar die aanbieder kan gaan. Dat zijn allemaal ontwikkelingen die wij kunnen gaan stimuleren.

Wij hebben in gang gezet dat wij het bedrijfsleven hier zo veel mogelijk toe aanzetten. TNO gaat in opdracht van het Ministerie van Economische Zaken best practices verzamelen op het gebied van privacy by design. Wij komen nog in dit jaar met een eindrapportage over wat er allemaal verzameld is. Dat leggen wij dan neer bij het veld en dan vragen wij het veld om daarop te reageren. Aan de hand van die reacties gaan we de beste voorbeelden van privacy by design publiceren. Dan nodigen wij het bedrijfsleven uit om daarop in te spelen. Misschien halen we daar zelfs de norm uit en vragen wij het bedrijfsleven om het op die manier te doen. We gaan daar dus echt heel gericht mee aan de slag.

Naast het onderzoek dat TNO voor ons doet, is ook het samenwerkingsverband op dit punt, ECP, hiermee aan de slag gegaan. ECP heeft al een eerste scan gemaakt van wat er allemaal gaande is. Ook die resultaten zullen wij publiceren. Op grond daarvan zullen wij de verdere discussie met het bedrijfsleven aangaan.

Wat speelt er op dit punt bij het Rijk? Wij gaan hiervoor natuurlijk ons eigen toetsingskader opstellen. We gaan ons eigen privacy impact assessment maken voor nieuwe diensten.

Meerdere woordvoerders zeiden dat het privacy impact assessment niet pas in beeld gebracht zou moeten worden op het moment dat er aanbesteed gaat worden, maar dat het zo veel mogelijk al in het begin ingebracht moet worden, zodat de bedrijven, de aanbieders, daar zo veel mogelijk al in het begin bewust mee bezig zijn. Dat verhoudt zich heel goed met privacy by design. De manier waarop wij privacy by design aanpakken, leent zich dus ook hier goed voor, zodat men zich in een zo vroeg mogelijk stadium bewust is van wat er speelt en de impact van wat men doet, onder ogen ziet. Vervolgens moet worden bekeken hoe men dat laat resulteren in de vormgeving van de diensten die men aanbiedt.

De heer De Liefde zei dat het bij big data niet zozeer gaat om het verzamelen van zo veel mogelijk gegevens. Het gaat erom dat men bekijkt hoe men met zo weinig mogelijk gegevensverzameling toch zijn werk goed kan doen. Dat vind ik een verstandige benadering. Op zich zijn big data heel goed. Als een bedrijf weet dat zijn klanten een bepaald product in een bepaalde vorm heel mooi vinden en een ander product niet, kan het bedrijf extra aandacht geven aan het product dat de klanten mooi vinden en kan het bedrijf dat product misschien verder verbeteren. Ik denk dus dat het bedrijfsleven daar zeer nuttig gebruik van kan maken, maar als het bedrijfsleven steeds maar doorgaat met het verzamelen van gegevens, weet je niet waar die gegevens uiteindelijk allemaal terechtkomen en hoe zij gebruikt gaan worden. Het wordt ook moeilijk om dat te controleren. Met een tendens om je te beperken tot datgene wat noodzakelijk is en om daar op een verantwoorde manier gebruik van te maken, misschien gecombineerd met anderen, heeft de heer De Liefde dus een heel nuttig aandachtspunt naar voren gebracht. Voor ons is dit bruikbaar in het contact met de bedrijven en in de uitwerking die wij hier als overheid zelf aan geven.

Enkele woordvoerders vroegen of het CBP met enige regelmaat kan meedenken. Daar zal mijn collega Teeven op ingaan.

Mevrouw Oosenbrug vindt dat wij moeten gaan praten met de browsermakers, natuurlijk met name met de grote Amerikaanse bedrijven, zoals Google en Microsoft. Nederland kan daar weinig mee doen. Europa heeft al grote moeite om met hen afspraken daarover te maken. We moeten dus op Europees niveau onze energie op die bedrijven richten. Daarin moeten we ambitieus zijn. Europa is tenslotte de grootste markt van de wereld. We stellen echt wat voor bij die bedrijven. Europa moet dus ambitieus zijn om daar dingen voor elkaar te krijgen. Als die bedrijven niet meewerken, dan moeten we ervoor zorgen dat we zodanige Nederlandse en Europese regels hebben dat we kunnen zeggen: dit gaat niet goed, dit accepteren we niet, dat moet dus en als je dat niet doet, dan is dit het gevolg. Ik denk dat we de browsermakers op die manier moeten benaderen.

Minister Kamp: Het antwoord is: ja. Alleen, dat antwoord is het waardevolst als het ook door mijn collega Plasterk gegeven wordt. Hij bekijkt hoe dit vanuit de overheid moet worden georganiseerd. Hij is ook erg in dit onderwerp geïnteresseerd. De benadering van mevrouw Oosenbrug bevalt me wel. Ze gaat uit van transparantie. Ze gaat uit van het volgende. Als je een product hebt dat aan je voorwaarden voldoet terwijl je met andere producten risico's loopt, kijk dan in de eerste plaats naar het product dat wel garanties kan bieden. Dat zijn waardevolle gedachten. Ik zal ze ook doorspelen naar mijn collega Plasterk. Bij gelegenheid zullen we daarop dus terugkomen.

Ik kom bij een aantal opmerkingen van mevrouw Gesthuizen. Zij heeft vooral gewezen op wat er speelt met het NSA en op de consequenties daarvan voor hetgeen hier aan de orde is. Ik denk dat mijn collega daarop ingaat, en anders zal ik daar in tweede termijn op terugkomen.

De voorzitter: Ik zie dat er geen vragen meer zijn van de Kamerleden.

Voordat ik het woord geef aan de Staatssecretaris voor zijn beantwoording, heb ik als SP-woordvoerder nog wel een interruptie voor de Minister. Hij heeft heel duidelijk gesproken over big data. Hij sluit zich aan bij de wens van de heer De Liefde om de tendens te volgen om je te beperken tot het bewaren van hetgeen echt noodzakelijk is en om dat ook te stimuleren. Toch heb ik nog een vraag aan de Minister, een vraag die ik in eerste termijn aan de hier aanwezige bewindspersonen heb gesteld. Op welke wijze volgt het kabinet de ontwikkeling van die gegevensverzameling? Wellicht is het kabinet nog niet zo ver om er al conclusies aan te verbinden, maar mocht blijken dat er op dat terrein toch behoefte is aan aanpassing van de wetgeving, kan de Minister of de Staatssecretaris dan aangeven of dat nu al nodig is? Zo nee, wat kunnen we dan in de toekomst op dit terrein van hen verwachten?

Staatssecretaris Teeven: Voorzitter. Ik dank de leden voor hun inbreng in eerste termijn. Tegen de heer Verhoeven, die er een kwinkslag over maakte, althans zo heb ik het opgevat, zeg ik: het was een voorrecht om met mijn collega samen te werken; hij is een ruime denker, terwijl ik meer een beetje een man ben die af en toe vanuit Justitie de puntjes op de i moet zetten. Maar alle gekheid op een stokje: ik zal straks, als het gaat over de kosten in verband met de verordening, nog wel een paar opmerkingen maken over de reden waarom Justitie er zo moeilijk over doet, zoals de heer Verhoeven het onder woorden bracht.

Mijn collega heeft al even geschetst hoe we op de langere termijn denken over de verordening. Daarom ga ik zo snel mogelijk naar de opmerkingen die met name op mijn terrein liggen. Er zijn opmerkingen gemaakt over de EU-verordening en over het College bescherming persoonsgegevens.

Mevrouw Gesthuizen, de heer De Liefde en de heer Verhoeven hebben opmerkingen gemaakt over de verordening. We zijn sinds 2012 aan het onderhandelen in Europa. De verordening waarover we praten, zal ook gelden voor de diensten voor de informatiemaatschappij. Ook de kabinetsnota gaat daarover. Er zijn dus wel degelijk raakvlakken. Het Ierse voorzitterschap heeft in het afgelopen halfjaar grote vorderingen gemaakt. Het is de bedoeling dat deze verordening in 2014 tot stand komt, maar er zijn nog wel wat leeuwen en beren op de weg. Ook het Litouwse voorzitterschap zet er behoorlijk druk op. Het is een ambitieus werkprogramma. Medewerkers van diverse departementen reizen in dat kader regelmatig naar Brussel om de artikelen ervan te bespreken. Het is in ieder geval de ambitie van het Litouwse voorzitterschap om nog dit jaar – er wordt gedacht aan de JBZ-Raad in oktober – een gedeeltelijk akkoord te bereiken met de lidstaten. Het zal de leden via hun Europese collega's bekend zijn dat er heel veel amendementen op de verordening zijn ingediend. Het zijn er net geen 1.000, maar het zit daar niet heel ver vanaf. Dat maakt het buitengewoon ingewikkeld om de snelheid erin te houden. Toch hebben we goede hoop dat we het voor elkaar krijgen.

De heer Bontes stelde in zijn inbreng meteen al een vraag over de vrijheid van meningsuiting. Hij gaf aan dat die niet te lichtvaardig mag worden beperkt. Artikel 17 van de conceptverordening gaat over het recht om te worden vergeten. We moeten bedenken dat dat recht om te worden vergeten niet absoluut is. Ik kan me voorstellen dat iemand een opmerking maakt in het kader van de vrijheid van meningsuiting en dat een ander dan zegt: ik wil dat niet op het internet hebben, ik wil dat verwijderen. Ik verwijs de leden van de commissie ook naar artikel 80 van de conceptverordening, waarin wel degelijk een uitzondering wordt gemaakt voor de vrijheid van meningsuiting. Er is wel degelijk ruimte om af te wegen of iets valt onder het recht om te worden vergeten of dat het iets is waarbij de vrijheid van meningsuiting moet worden beschermd. Die aparte bepaling zit dus ook in de verordening.

Er ligt straks ook een opdracht aan de lidstaten om het in nationale wetgeving verder uit te werken. Dat komt precies tegemoet aan de zorg van de heer Bontes en zijn fractie. Zij willen onder geen beding dat de vrijheid van meningsuiting in het geding komt. De nationale wetgever heeft de opdracht om dit uit te werken. Artikel 80 van de verordening biedt ook wel degelijk de ruimte om dat te doen. De vrijheid van meningsuiting heeft in de verordening dus niet per definitie voorrang op de privacy, maar lidstaten krijgen wel de ruimte om regels op te stellen, zodat beide delen met elkaar in balans worden gebracht. De heer Bontes vroeg daarvoor terecht aandacht.

Mevrouw Gesthuizen heeft gesproken over de leeftijdsgrens. Ook anderen hebben gesproken over die leeftijdsgrenzen van 13 jaar en 16 jaar. De Europese Commissie heeft in 2012 een Europese strategie voorgesteld voor een beter internet voor kinderen. Daarin is een aantal maatregelen beschreven. De verordening kent op dit moment een leeftijdsgrens van 13 jaar voor diensten van de informatiemaatschappij. Dit is in navolging van Amerikaanse wetgeving. Dit zal op Europees niveau verder handen en voeten moeten krijgen. Ik verwijs naar de zojuist genoemde Europese strategie voor een beter internet voor kinderen.

In Nederland is er ook voorlichting op dit punt. Het programma Digibewust heeft een aparte website www.meldknop.nl ontwikkeld. Dit wordt ondersteund door de politie. Op die website wordt minderjarigen informatie geboden. Als zij vervelende ervaringen hebben op het internet kunnen zij die ook melden.

Het College bescherming persoonsgegevens heeft richtsnoeren gepubliceerd waarin wordt ingegaan op de zorgplicht die aanbieders van sociale media hebben jegens kinderen zoals het belang van ouderlijke toestemming en het uitgangspunt dat alleen zelfgekozen vrienden toegang hebben tot het profiel van de deelnemer.

Mevrouw Gesthuizen wijst er terecht op dat in de huidige Wet bescherming persoonsgegevens de grens op 16 jaar ligt. In de verordening wordt de grens bij 13 jaar gelegd. Op dit punt wordt echter nog onderhandeld in Europa.

Staatssecretaris Teeven: Als wij de waarborgen en de bescherming goed kunnen regelen, is de leeftijdsgrens op dit moment niet het grootste bezwaar voor het Nederlandse kabinet. Dit neemt niet weg dat er nog wel zorgen zijn. Wij kennen nu de bescherming van 16 jaar en als wij overgaan naar 13 jaar is dat wezenlijk anders. Er wordt ook voor gepleit dat de lidstaten hier ruimte in krijgen, maar dat is nog onderwerp van onderhandeling.

De heer Verhoeven heeft de omgekeerde wereld beschreven. Hij zei dat je mag verwachten dat de Minister van Economische Zaken die weidse blik heeft op de vraag waar het heen moet met de privacy, terwijl Justitie vanuit een wat benepen situatie zit te morrelen aan de kosten, als ik het zo mag samenvatten. Dat is toch niet helemaal het geval. Ik heb begin augustus nog uitgebreid gesproken met de voorzitter van VNO-NCW die vroeg naar de inzet van het Nederlandse kabinet in de onderhandelingen. Ik zeg heel voorzichtig in de richting van de heer Verhoeven dat dit toch ook een fractie als D66 zorgen zou moeten baren, want de nalevingskosten zullen aanzienlijk stijgen als gevolg van de verordening. Wij hebben daar al diverse keren over gesproken. Ook andere lidstaten – ik noem Groot-Brittannië en Duitsland – maken zich hierover zorgen en wij staan hier zeker niet alleen in.

Het kabinet zal zijn uiterste best blijven doen, ook bij de totstandkoming van de verordening, om die administratieve lasten en nalevingskosten zo veel mogelijk te beperken. Dit is met name van belang voor het midden- en kleinbedrijf en ook voor zzp'ers staat dit nadrukkelijk op de agenda.

De berekening van de kosten leverde aanvankelijk enorme bedragen op. Eerst was er een onderzoek uit Engeland en later een uit Nederland waarin de kosten werden genoemd die verband houden met de verordening. Ik neem de uitkomsten van die berekeningen serieus, maar ik geef de heer Verhoeven graag toe dat je die wel in perspectief moet plaatsen. De verordening levert niet alleen kosten, maar ook baten op. Die opmerking wordt terecht gemaakt. De verordening levert 2,3 miljard op voor de Unie als geheel. Die baten volgen ook uit het instrument van de verordening: één regelgevend kader voor iedereen en dus geen belastende fragmentatie meer.

Ten tweede voorziet de verordening in een zwaardere verantwoordelijkheid voor bedrijven, burgers en de overheid. Die zwaardere verantwoordelijkheid gaat natuurlijk gepaard met nalevingskosten. Het kabinet probeert de administratieve lasten en de nalevingskosten zo veel mogelijk te beperken. De bescherming van persoonsgegevens is natuurlijk een belangrijk grondrecht, dat ziet het kabinet ook, maar het is geen absoluut recht. Dit recht moet iedere keer worden afgewogen tegen andere betrokken belangen zoals de economische belangen van het bedrijfsleven. Dat heeft de Minister van Economische Zaken zojuist ook al onder woorden gebracht. Bij het eindoordeel van het kabinet over het onderhandelingsresultaat zullen de te verwachten administratieve lasten en nalevingskosten zeker worden betrokken en dan niet vanuit een gesloten visie, want je moet ook naar de voordelen kijken. Je moet dit afwegen. Dit is een punt waarvoor wij iedere keer in de onderhandelingen in Europa aandacht vragen.

Staatssecretaris Teeven: De administratieve lasten en de nalevingskosten zijn aan verandering onderhevig en worden beïnvloed door de mate waarop de verordening wordt ingevoerd. Dat is natuurlijk ook aan de kant van de opbrengst het geval. Ik kan nu niet in cijfers een beeld geven van de verhouding tussen baten en lasten. Ik heb een grove benadering gegeven van zowel de kosten als de baten. Laat echter volstrekt helder zijn dat de totstandkoming van deze verordening een groot voordeel oplevert. Dit wordt ook zo gezien door de brancheorganisaties. Het feit dat binnen Europa op één wijze wordt omgegaan met de handhaving van het privacyaspect, levert veel voordelen op. Je moet dit niet eenzijdig bekijken en alleen maar naar de centjes kijken. Sterker nog, de brancheorganisaties en de werkgeversorganisaties zien wel degelijk de voordelen van deze verordening. Wij hebben echter ook oog voor de kosten en wij zoeken naar een balans. Wij nemen dit iedere keer mee in de onderhandelingen over de verschillende artikelen. Het eindplaatje komt eraan, maar ik kan de heer Bontes daarover op dit moment nog geen duidelijkheid geven.

De heer De Liefde heeft een opmerking gemaakt over het opnemen van gegevens in de cloud. Ook de EU-verordening bevat instrumenten die toereikend zijn voor de bescherming van data in een cloud. Het regime voor de doorgifte van persoonsgegevens aan derde landen is in de EU-verordening aanzienlijk uitgebreid ten opzichte van de huidige richtlijn. In de onderhandelingsfase waarin we nu zitten, lijkt dit niet helemaal sluitend, dus daaraan zullen we nog aandacht moeten besteden. Met betrekking tot de grensoverschrijdende aspecten wordt in Brussel nog volop onderhandeld over het vraagstuk van de bescherming van de persoonsgegevens. Dit wordt dus meegenomen, maar de kwestie van het opnemen van gegevens in de cloud is wel weerbarstig.

Staatssecretaris Teeven: De Commissie zet heel nadrukkelijk in op een bepaald resultaat. Commissaris Reding is nu niet de aangelegen persoon om ogenblikkelijk te buigen voor de positie van grote Amerikaanse bedrijven. Dat is dus al een bijzondere zekerheid. De Nederlandse regering vindt dat vaak plezierig, maar niet altijd. Voor de heer De Liefde is dit in ieder geval wel een zekerheid.

Mevrouw Oosenbrug vroeg hoe de verplichting om een privacy impact assessment te maken goed kan worden geclausuleerd. Mijn collega heeft over die pia al wat opmerkingen gemaakt. In mijn brief van 21 juni jongstleden over het SIRA-rapport, over gegevensbescherming en administratieve lasten, heb ik aangegeven dat het uitgangspunt van het kabinet is dat het opleggen van een verplichting in een EU-verordening aan verantwoordelijken voor gegevensverwerking, alleen is gerechtvaardigd wanneer het risico dat is gemoeid met die concrete verwerking dit ook rechtvaardigt. Bij standaardverwerking en laagrisicoverwerking is een private-impactbeoordeling een instrument dat in feite weinig bijdraagt aan de beperking van privacyrisico's, maar wel kosten meebrengt. In dat verband moet je proportionaliteit in acht nemen.

Verschillende woordvoerders maakten opmerkingen over de rol van het College bescherming persoonsgegevens jegens het bedrijfsleven. Niet vandaag, maar wel eerder is de vraag aan de orde gekomen of het Cbp individuele bedrijven zou moeten adviseren. Dat is niet wat het kabinet voorstaat. Wij denken dat het van belang is om de rollen die het Cbp heeft als toezichthouder en als handhaver duidelijk te scheiden; in ieder geval duidelijker dan in het verleden is gebeurd. Wij denken dat daarbij de volgende weg moet worden gevolgd: het Cbp adviseert aan brancheorganisaties in het algemeen, niet aan individuele bedrijven. Zoiets zou anders verwarring scheppen over de toezichthoudende en handhavende rol van het Cbp. Dat is de invulling die het kabinet voor ogen staat.

Ik vond het eigenlijk een beetje jammer dat de heer Verhoeven vroeg of het Cbp voldoende was toegerust voor die handhavende taken, gelet op het regeerakkoord waarin de ambitie is neergelegd om de privacy van burgers beter te beschermen. Ik verwijs hem even naar de motie van zijn collega Schouw, naar aanleiding waarvan het kabinet voor extra financiële middelen voor het College bescherming persoonsgegevens heeft gezorgd. Ik verwijs hiervoor ook naar de brief van mijn zijde van 15 april. Wij hebben dit dus in die zin proberen te borgen. De Kamer vond deze zorgen ook gerechtvaardigd. Als het Cbp de brancheorganisaties adviseert, denk ik dat het meer over een gemeenschappelijke problematiek kan adviseren, maar dat laat natuurlijk onverlet dat de toepassing van bestaande instrumenten als richtsnoer en zienswijze duidelijk aangeven wat het Cbp van iets vindt. Advisering aan individuele bedrijven ligt echter niet op de weg van het Cbp. De heer Verhoeven vroeg of het kabinet gaat optreden. Uiteraard is het Cbp de handhaver die uiteindelijk moet optreden; dat is de instantie die uiteindelijk overgaat tot handhaving.

Staatssecretaris Teeven: Dat ben ik ook van mening, maar daartegen bestaan ook geen bezwaren. Het kabinet ziet overigens een Cbp dat zijn rol probeert vast te houden en ook steeds meer groeit in de rol die wij nu met elkaar bespreken. Misschien kijken wij dus net een tikje anders naar de rol van het Cbp. De manier waarop het Cbp een en ander nu wenst in te vullen, lijkt mij goed te passen binnen hetgeen wij met elkaar afspreken.

Mevrouw Gesthuizen heeft nog een vraag gesteld over de boetes voor gemeenten die de cookiebepalingen overtreden. De toezichthouder, het Cbp, kan nu een last onder dwangsom opleggen. Het is bekend dat de boete aanzienlijk zal worden verhoogd, naar € 450.000. Die is voor bedrijven, maar in het kader van het wetsvoorstel datalekken bekijken we ook wat aan publiekrechtelijke organen als boete kan of moet worden opgelegd.

De heer Verhoeven vroeg hoe het staat met dat wetsvoorstel datalekken. Ik begrijp dat het verslag over dit wetsvoorstel ons binnenkort zal bereiken. Wij zullen daar dan een verdere invulling aan kunnen geven.

Voorzitter, ik denk dat ik hiermee alle vragen van de Kamer heb beantwoord.

De heer Verhoeven (D66): Voorzitter. Ik dank beide bewindspersonen. Ik heb het al gezegd: dit kabinet heeft in ieder geval op het gebied van e-privacy wel degelijk een visie. Dat smaakt naar meer, dus wij hopen dat dit ook bij andere onderwerpen wat vaker het geval zal zijn. Laat dit een leidraad zijn voor meer visie. D66 zal daar graag kennis van nemen.

Als ik die visie zou moeten samenvatten in één zin, zou ik zeggen dat het kabinet als hoofdvisie heeft dat vertrouwen in de digitale samenleving of digitaal vertrouwen leidt tot economische groei. Ik denk dat dit een heel goede visie is van dit kabinet. D66 steunt deze lijn van harte.

Ik ben heel blij met de opmerking van de Minister van Economische Zaken over profiling. Hij ziet in dat het kunnen inzien en aanpassen van een profiel dat door anderen is gemaakt, een goede stap zou zijn. Ik ben benieuwd of hij nog iets kan zeggen over het hoe.

Ik ben zeer blij met de verhelderende opmerkingen van de Staatssecretaris over het College bescherming persoonsgegevens. Ik kende natuurlijk de motie-Schouw, maar vraag me tegelijkertijd één ding af: als het kabinet de visie heeft dat het Cbp geen individuele bedrijfsadviezen zou moeten geven, heeft dat dan met budget te maken? Graag daarover meer helderheid van de Staatssecretaris.

Ik ben benieuwd naar het vervolg van de pia's en naar de manier waarop het kabinet zal omgaan met de opmerkingen van de Kamer. De woorden van de Staatssecretaris van Veiligheid en Justitie over de kosten-batenverordening vind ik het zeer geruststellend. Ik hoop die vaker terug te horen van zijn collega, maar hij heeft in ieder geval gezegd dat dit binnen het kabinet zal worden uitgewisseld.

Tot slot de cookies. Daarover hebben we het al uitgebreid gehad, dus één opmerking daarover. Ik hoop echt dat de Minister van Economische Zaken, die nu op dat punt in the lead is, niet blind gaat voor een ja-knop of voor een nee-knop, als een soort nieuwe en simpele oplossing, maar gewoon blijft kijken naar bredere oplossingen, inclusief de mogelijkheid van een ja/nee-knop. Zo geven we aan dat we geloven in een échte keuze. Een keuze moet je actief en uitdrukkelijk kunnen maken.

De heer De Liefde (VVD): Voorzitter. Ik ben blij met een aantal van de antwoorden die het kabinet op mijn vragen heeft gegeven. Er resten mij nog enkele onderwerpen.

De Minister heeft bemoedigende woorden gesproken over de privacy-impactassessment. Op het punt dat ik expliciet aan de orde stelde over het moment waarop zo'n pia binnen een aanbesteding moet plaatsvinden, heb ik echter geen duidelijke reactie gehoord. Het kan ook zijn dat ik op dat moment niet zat op te letten; vergeef mij dat dan. Is de Minister het met mij eens dat zo'n privacy-impactassessment moet plaatsvinden voordat de aanbesteding definitief is? Anders gaan geld en tijd verloren, hetgeen zonde is.

Ik ben heel blij met de inzet van het kabinet ten aanzien van cloud computing. Ik verwacht daar positieve resultaten van. Als launching customer, zo u wilt, gaat de Nederlandse overheid nu investeren in werkgelegenheid en dus in de Nederlandse economie. Dat is een goed punt.

Wat de cookiewetgeving betreft ben ik blij met de reactie van de Minister over de ontsluiting van de informatie waarop de consument nu al recht heeft en ongetwijfeld ook bij de nieuwe wetgeving recht zal hebben, zodat hij een afgewogen keuze kan maken. Anders dan mijn collega van D66 denk ik dat er niet altijd op een knop gedrukt hoeft te worden als de informatie voldoende duidelijk en transparant is. Als het maar helder is wat er gebeurt als iemand dat niet doet, is de VVD-fractie al zeer tevreden. Zij juicht transparantie en herkenbaarheid van uitingen ten aanzien van cookiewetgeving van harte toe.

Mevrouw Oosenbrug (PvdA): Voorzitter. Ik dank beide heren voor de beantwoording van de vragen. Ik ben heel blij met de insteek over open source en hoe we daarmee omgaan. Ook ben ik blij met de toezegging om dit op te nemen met Minister Plasterk, van wie ik door bepaalde vragen al weet dat hij er zeer voor openstaat. Hoe meer Ministeries, hoe beter. Ik wacht alleen op V en J, dat eventueel wat transparanter zou kunnen gaan werken.

Misschien heb ik het antwoord gemist omdat het niet in jip-en-janneketaal was, maar ik had gevraagd of er in dialoog met bedrijven voor kan worden gezorgd dat een disclaimer op een site maximaal een half A4'tje in begrijpelijke taal beslaat. Nu kom je op een site waar een disclaimer van 20 pagina's staat die niemand leest, en iedereen drukt op «ja». Dat is eigenlijk dezelfde problematiek als met de cookies. Waar ik toen over viel, val ik ook over bij de disclaimers. De disclaimers zijn te lang en te onduidelijk en zijn niet gesteld in heldere, duidelijke taal. Is de Minister bereid om met de bedrijven in gesprek te gaan om tot een duidelijker disclaimer te komen die voor iedereen begrijpelijk is en niet alleen voor mensen met een enorm hoge opleiding?

Mevrouw Gesthuizen (SP): Voorzitter. Ik heb goed geluisterd naar de antwoorden van beide bewindspersonen. Mij viel toch wel iets op. De Minister van Economische Zaken en de Staatssecretaris van Veiligheid en Justitie hebben er zeker blijk van gegeven dat zij privacy erg belangrijk vinden. Ik vind echter wel dat met name de Minister van Economische Zaken als een echte liberaal heeft geantwoord. Hij legt toch wel heel veel verantwoordelijkheden terug bij het bedrijfsleven. Hij heeft het over stimuleren en over best practices. Hij zei het niet letterlijk, maar volgens mij zit er ook nog wel naming and shaming in het vat. Hij zei echter ook duidelijk dat het kabinet niet alles via wetgeving wil regelen. Daarna zei hij ook nog dat het kabinet niet in eerste instantie zaken via wetgeving wil regelen. Dat zijn wel twee verschillende dingen, denk ik: niet alles via wetgeving willen regelen of in eerste instantie überhaupt niet aan wetgeving te willen beginnen, het vooral te zoeken in het stimuleren van goed gedrag en te bekijken waar de EU mee komt. Wat dat betreft ben ik dus nog niet helemaal tevreden.

Wel heb ik de Minister horen zeggen – daarvoor krijgt hij van mij een pluim – dat burgers controle moeten hebben over hun gegevens. Dat is ontzettend belangrijk. Ik weet zeker dat bij bepaalde organisaties nu bij wijze van spreken de champagne zal worden ontkurkt. Dat zal niet gebeuren, maar dit is wel iets waar veel organisaties die opkomen voor de privacyrechten van burgers in Nederland, enorm om zitten te springen. Burgers moeten de baas worden over wat er met hun gegevens op internet gebeurt. Ik hoop dat ik de Minister goed heb verstaan toen hij dat zei.

Hoe zit het met gemeenten? Ik heb hier een lijstje voor me. Ik zal dat niet voorlezen, want het verdient enig nader onderzoek, maar er zijn heel wat gemeenten die helemaal niet vragen om toestemming voor tracking cookies, maar ze vervolgens toch plaatsen. Een aantal, 15% van het totaal, vraagt het wel, maar bij nee worden toch tracking cookies geplaatst. Dat schreeuwt om nader onderzoek lijkt mij. Ik geef de informatie die ikzelf heb graag aan de Staatssecretaris van Veiligheid en Justitie.

Het is eerlijk van de Minister om te zeggen dat het kabinet er nog niet uit is wat betreft de visie op big data. Ik zie dat tegemoet, maar ik hoop wel dat het niet zo zal gaan als met de e-privacyvisie en dat eind 2013 uiteindelijk eind 2014 of nog later wordt. Ik hoop dat wij die visie in 2013 tegemoet mogen zien.

Ik ben ontstemd over het verlagen van de leeftijdsgrens, waarbij ouderlijke toestemming nodig is voor het verwerken van persoonsgegevens. Ik vind dertien jaar te jong. Ik zie graag dat het kabinet daar hoog op inzet. Ik vind niet dat je van kinderen van veertien kunt verwachten dat ze zich al helemaal kunnen voorstellen wat het risico is van het laten weglekken van hun gegevens in handen van allerlei anderen. Ik vind dat wij de plank dan misslaan, dus ik hoop dat de Staatssecretaris wil toezeggen dat hij zich zal inzetten voor juist een hogere leeftijd. Anders overweeg ik om op dat punt een VAO aan te vragen.

Minister Kamp: Ik denk dat de heer Verhoeven een goede samenvatting gaf van waar het ons in economische zin om gaat. Hij stelt dat digitaal vertrouwen tot economische groei leidt. Zo is het ook. Daar ben ik het helemaal mee eens. Hij vond het mooi dat ik wil werken aan het inzichtelijk worden van het profiel en dat dit veranderd kan worden. Hij vraagt wanneer de Kamer dat hoort. Wij gaan met het bedrijfsleven bespreken hoe dat kan, welke ideeën er bij het bedrijfsleven leven en of wij het over een opzet eens kunnen worden. Ik denk dat ik uiterlijk in het voorjaar met de resultaten bij de Kamer kan komen, zodat zij op dit belangrijke punt het resultaat kan beoordelen.

De heer De Liefde vraagt op welk moment in de aanbesteding ik met het impact assessment kom. Dat moeten wij al voorafgaand aan de aanbesteding doen. De overheid heeft zich voorgenomen om iedere keer bij de planopzet al bezig te gaan met het impact assessment. Het bedrijfsleven willen wij eigenlijk hetzelfde laten doen. Wij gaan er met het bedrijfsleven over spreken om het impact assessment al in een zo vroeg mogelijk stadium te gaan doen. Bij de privacy die in het design van een product ingebakken zit, hoort dat je met die privacy en met de impact van je product in een heel vroeg stadium aan de gang gaat.

Minister Kamp: Ik wil niet zeggen dat wij alles al perfect voor elkaar hebben. Er zal hier en daar best wat misgaan. Ik wil ook geen dingen naar een collega wegschuiven. Mijn collega van BZK draagt daarvoor de eerste verantwoordelijkheid en hij neemt dat heel serieus. Hij is daarmee bezig. Ik wil daar graag in samenwerken met hem en hem daarin ondersteunen. Het moet uiteindelijk zijn zoals de heer De Liefde zegt. Als overheid moet je je zaakjes op orde hebben. Dat betekent dat je met die impact assessment steeds al bij de planopzet bezig moet zijn.

Mevrouw Oosenbrug vindt dat de disclaimer in jip-en-janneketaal moet. Zij heeft gelijk. Die disclaimer moet voor de consument goed begrijpelijk zijn. Die moeten weten wat daarmee wordt bedoeld en hoe het zit. Wij hebben er een aparte werkgroep op gezet. Daar zitten mensen van de overheid in en vertegenwoordigers van het bedrijfsleven. De werkgroep is er op dit moment mee bezig. Dat is ook weer een punt waarover wij de Kamer moeten informeren zodra de informatie beschikbaar is. Wij werken nu met overtuiging aan dat punt.

Mevrouw Gesthuizen stelde vast dat ik veel verantwoordelijkheid bij het bedrijfsleven leg. Dat moet ook, want het bedrijfsleven draagt ook verantwoordelijkheid voor het eigen handelen. Het bedrijfsleven heeft er ook belang bij dat er goed wordt gehandeld, omdat de kritische klant een en ander zal beoordelen. De klant zal zich afvragen of hij te maken heeft met een bedrijf waar hij in vertrouwen op af kan gaan, waar hij producten van kan afnemen, of dat het een bedrijf is waar hij beter weg kan blijven. Ik denk niet dat je alles met wetgeving kunt opvangen. Als je dat namelijk probeert, vindt het bedrijfsleven toch weer nieuwe wegen met alle creativiteit die daar zit. Het is dus veel beter om met het bedrijfsleven de conclusie te trekken dat bepaalde dingen voor iedereen beter zijn. Dan doet het bedrijfsleven het op een bepaalde manier en houd je er toezicht op of het in de praktijk wordt waargemaakt. Voor alle dingen die wij belangrijk vinden en waarvan wij zien dat die niet opgepakt worden zoals het moet, en waarbij overleg niet tot het goede resultaat leidt, blijft wetgeving altijd de laatste mogelijkheid. Daar zullen wij niet te lang mee wachten. In sommige gevallen zijn wij er heel snel mee en in andere gevallen bieden wij wat meer ruimte, maar uiteindelijk moet alles wat belangrijk is, goed gaan. Als het niet goed gaat, komen wij met wetgeving om het af te zegelen.

Mevrouw Gesthuizen vroeg wat wij precies met big data gaan doen. Ik heb aangegeven dat wij aan het einde van het jaar met een grote monitor komen waarin wij duidelijk maken hoe wij dat willen opzetten. Ik wil ook aan het einde van het jaar 2013 de manier waarop wij met big data willen omgaan voor de Kamer inzichtelijk maken. Die informatie komt dus nog dit jaar bij de Kamer terecht.

Staatssecretaris Teeven: Mevrouw Gesthuizen merkte op dat burgers de baas moeten zijn over hun gegevens op internet. Dat is ook het uitgangspunt van de verordening.

Mevrouw Gesthuizen maakte ook een opmerking over de 13 jaarsgrens. Dat was een strategische keuze van de Europese Commissie. Nadrukkelijk is bekeken of op dit punt aansluiting bij Amerikaanse wetgeving moet worden gezocht. Het is bekend dat daarin sprake is van de 13 jaarsgrens. Het is nog onderwerp van onderhandeling. Wellicht is er nog enige ruimte voor nationale inkleuring, maar dat is het dan ook wel.