| Ingediend | 31 mei 2023 |
|---|---|
| Beantwoord | 1 september 2023 (na 93 dagen) |
| Indiener | Hind Dekker-Abdulaziz (D66) |
| Beantwoord door | Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | bestuur organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z09658.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3509.html |
Ja.
Het kabinet betreurt het zeer dat het vertrouwen gedaald is in de overheid met betrekking tot persoonsgegevens. De overheid moet de normen van de Algemene Verordening Gegevensbescherming (AVG) in acht nemen. In de afgelopen jaren is gebleken dat dit niet altijd het geval is. Dit was voor het vorige kabinet reden om onderzoek te laten doen naar de naleving van de AVG door overheden. Dat onderzoek heeft de Minister voor Rechtsbescherming, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, op 9 februari jl. aan uw Kamer aangeboden.2 In het onderzoek is nagegaan welke onduidelijkheden en problemen zich voordoen bij naleving van de AVG door overheden en welke oorzaken dit heeft. Een inhoudelijke reactie namens beide bewindspersonen op dit onderzoek volgt na het zomerreces.
Met de Werkagenda Waardengedreven Digitaliseren3 zet het kabinet zich onder de noemer «algoritmes reguleren» in om tot een verantwoorde inzet van algoritmes te komen.
Momenteel onderzoekt het kabinet hoe een verplichte mensenrechtentoets (zoals een IAMA4), waar uw Kamer om heeft gevraagd, kan worden ingevoerd. Dit moet bekeken worden in samenhang met verplichtingen die er al zijn, zoals een Data Protection Impact Assessment (DPIA), en nieuwe verplichtingen die zullen volgen uit de AI-verordening. In de positie van de Raad van de Europese Unie (hierna: Raadstekst) en de positie van het Europees Parlement (EP) van de AI-verordening staat onder andere dat de aanbieder bij de ontwikkeling van een AI-systeem expliciet moet kijken naar de risico’s voor fundamentele rechten. Hoe deze Europese verplichtingen precies eruit komen te zien, is nog niet zeker. Recentelijk heeft uw Kamer gevraagd om, vooruitlopend op de AI-verordening, alle nieuw te starten algoritmes met een hoog risico (op basis van meeste recente tekst in de AI-verordening) een IAMA te laten ondergaan en het algoritme te publiceren in het algoritmeregister.
Daarnaast heeft uw Kamer mij gevraagd u te informeren over een mogelijkheid van een verplicht algoritmeregister, vooruitlopend op de AI-verordening. Hierover heb ik een brief gestuurd naar uw Kamer.5 Ook hier is de samenhang met de AI-verordening van belang. Volgens de AI-verordening zijn aanbieders van hoog-risico AI-systemen verplicht om hun systemen in de EU-databank te registreren. Aanvullend stelt de Raadstekst alsook het EP voor dat overheden als gebruikers van hoog-risico AI-systemen hun gebruik van die systemen ook in de EU-databank moeten registreren. Het is nog niet bekend hoe de definitieve tekst van de verordening eruit gaat zien. Daarop vooruitlopend een wetsvoorstel in procedure brengen, leidt niet tot tijdswinst ten opzichte van de inwerkingtreding van de AI-verordening, maar mogelijk wel tot regels die daar niet op aansluiten. Uiteraard wil het kabinet ongewenste effecten van algoritmes in overheidstoepassingen zoveel mogelijk voorkomen. Of daar extra registratieverplichtingen voor nodig zijn, kan pas na vaststelling van de AI-verordening worden bepaald. Ministeries zijn aan het werk om, vooruitlopend op de komst van het verplichte algoritmeregister, eind 2025 hoog risico algoritmes te publiceren in het algoritmeregister, conform de werkafspraken in de Werkagenda Waardengedreven Digitaliseren.
Zie antwoord vraag 2.
Het kabinet verwacht dat dit bijdraagt aan de transparantie en onderzoekt hoe dit gerealiseerd kan worden. De Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming bestuderen dit momenteel in het kader van het wetsvoorstel Wet versterking waarborgfunctie Algemene wet bestuursrecht (Awb), dat in het voorjaar in preconsultatie is geweest. In dit traject wordt de uitvoering van de motie van het lid Van Baarle meegenomen.6 Het kabinet hecht er daarnaast aan te benoemen dat er tijdens de onderhandelingen over de Europese AI-verordening actief op wordt ingezet dat in de AI-verordening wordt opgenomen dat kenbaar gemaakt wordt als een besluit gemaakt wordt met behulp van AI. Nederland bestudeert daarom het voorstel van het EP voor een notificatieplicht.
Het is van belang dat we, wanneer AI en/of algoritmes impact hebben op mensen, bij de inzet van AI en/of algoritmes laten zien wat onze motieven zijn en dat we zorgen dat voor mensen duidelijk is op welke manier de inzet van algoritmes invloed heeft op onze beslissingen als overheid. Het is van belang dat mensen weten dat procedures eerlijk zijn, beslissingen zorgvuldig worden genomen en dat die beslissingen onbevooroordeeld zijn en worden geleid door consistente, transparante en logische redeneringen. Ook bij de inzet van algoritmes.
Naast de oplossingen die genoemd zijn en die kunnen bijdragen aan vertrouwen, heb ik een implementatiekader «inzet van algoritmes»7 naar uw Kamer gestuurd dat ervoor moet zorgen dat er een logisch en consistent kader is met daarin belangrijke normen en ethische eisen. Op die manier zorgen we ervoor dat controle en toetsing van allerlei ontwerp en – implementatiekeuzes in AI en/of algoritmes tijdig plaatsvinden. Hiermee wordt de kans op negatieve effecten bij voorbaat verkleind.
Datzelfde geldt ook voor het toezicht op algoritmes. Het kabinet versterkt het toezicht via de nieuwe Directie Coördinatie Algoritmes (DCA) bij de Autoriteit Persoonsgegevens die in samenwerking met andere toezichthouders vroegtijdig risico’s signaleert.
Het kabinet herkent dat de huidige praktijk onprettig is. Er is wetgeving die bepaalt dat gegevens van (internet)gebruikers niet zonder toestemming gebruikt mogen worden. Echter zien we dat door consentmoeheid en dark patterns8 consumenten vaak akkoord gaan zonder dat ze dat echt willen. Het zou mogelijk moeten zijn voor internetgebruikers om in één keer aan te geven waarmee zij akkoord gaan en waarmee niet, zodat zij niet langer per website hoeven te klikken. Het kabinet wil dat eenmaal gegeven of geweigerde toestemming voor een bepaalde website onthouden wordt, zodat de vraag om toestemming niet telkens opnieuw gesteld hoeft te worden. Dit zou mogelijk kunnen worden geregeld door instellingen in de browser, als toestemmingsverzoeken van websites daar dan ook op worden aangepast. Het is van belang dat we dit op Europees niveau regelen om het zo effectief mogelijk te maken. Hetzelfde geldt voor de mogelijkheid om een eenmaal verleende toestemming weer in te trekken. Het kabinet wil deze praktijk verbeteren. Hier ontvangt uw Kamer binnenkort een brief over.
Het is belangrijk om twee zaken van elkaar te onderscheiden. Het klopt dat Nederland zich actief inzet om te komen tot nieuwe Europese wetgeving over cookies. In de bij antwoord 6 genoemde brief, zullen we dieper ingaan op onze inzet. Dit staat los van het toezicht op en de handhaving van de huidige wetgeving rondom cookies, de ePrivacy-richtlijn en de AVG. Het is aan de nationale toezichthouders om de wetgeving te interpreteren en te handhaven. Het kan dus zijn dat de Franse toezichthouder andere keuzes maakt over de inzet van hun capaciteit dan de Nederlandse. In Nederland zijn dat zowel de Autoriteit Consument en Markt (ACM) voor de cookiebepaling uit de Telecommunicatiewet als de Autoriteit Persoonsgegevens (AP) voor de AVG, die naast de Telecommunicatiewet regels geeft over de verwerking van met cookies verkregen persoonsgegevens. De AP en de ACM hebben hierover een samenwerkingsprotocol.10
Artikel 11.7a van de Telecommunicatiewet (Tw), waarin de ePrivacyrichtlijn is geïmplementeerd, schrijft duidelijk voor dat toestemming vereist is voor het plaatsen en lezen van cookies. Deze toestemming moet gebaseerd zijn op voldoende informatie over het plaatsen van de cookies en wat er vervolgens met de via de cookies verzamelde informatie gebeurt. De beoordeling daarvan is aan de toezichthouder en de rechter, maar de huidige praktijk lijkt daar in veel gevallen niet aan te voldoen. Bijvoorbeeld wanneer cookiebanners (de pop up op een website waarin gemeld wordt dat er cookies worden geplaatst als je er mee instemt) alleen een duidelijke mogelijkheid om cookies te accepteren aanbieden, en het weigeren van cookies vrijwel onmogelijk wordt gemaakt. Dan levert een weg geklikte cookiebanner zeer waarschijnlijk geen «vrije» wilsuiting op, zoals de Tw en AVG vereisen. Volgens de wet zouden dan geen cookies mogen worden geplaatst. Ook wordt niet altijd aan het vereiste voldaan dat de gebruiker voldoende «geïnformeerd» is over waar de cookies precies voor worden gebruikt. Daar kan op basis van de huidige wetgeving al op worden gehandhaafd en dat is in het verleden ook gebeurd.11
In het verleden is hier goed toezicht op gehouden en het is belangrijk dat dit goede toezicht blijft. Het kabinet heeft al geïnvesteerd in extra middelen voor de AP. Het kabinet wil in gesprek gaan met de toezichthouders over hoe we het toezicht, maar ook de informatievoorziening aan internetgebruikers, verder kunnen versterken.
Daarnaast kan door de toezichthouders worden aangehaakt op de bevindingen van onder meer de werkgroep onder het Europees Comité voor gegevensbescherming (EDPB), een onafhankelijk orgaan waarin de toezichthouders uit de verschillende lidstaten samenwerken met het oog op een consistente toepassing van de AVG en andere Europese privacyregelgeving. De Cookie Banner Taskforce van de EDPB buigt zich momenteel bijvoorbeeld over cookie banners en dark patterns aan de hand van bestaande wetgeving.12
Het kabinet ziet geen (effectieve) mogelijkheden om binnen de AVG en de ePrivacyrichtlijn middels nationale wetgeving de huidige praktijk rondom het toestemming geven voor cookies te verbeteren. Het kabinet is hier nader op ingegaan in de toegezegde Kamerbrief over het onderwerp cookies.
Het kabinet vindt het van belang dat er spoedig betere ePrivacyregels komen. De onderhandelingen over de ePrivacyverordening zitten zoals bekend al jaren vast. Om die reden kijkt het kabinet naar alternatieve oplossingen. Uw Kamer heeft ook een motie13 aangenomen om daarvoor te pleiten. Ik heb op 1 juni 2023 gesproken met Eurocommissaris voor Justitie Reynders, die bezig is met een vrijwillig initiatief op dit onderwerp. Het doel is om op vrijwillige basis mogelijkheden te vinden om het simpeler maken voor internetgebruikers om cookies te weigeren als ze dat willen en om alternatieven te vinden voor op tracking gebaseerde reclame. Daarbij wordt ook gekeken naar de mogelijkheid om cookies te weigeren of accepteren via de browser, zonder elke keer opnieuw met een cookiebanner te worden geconfronteerd. Het kabinet steunt dit initiatief van harte. Als dit initiatief onverhoopt niet slaagt, moet gewerkt worden aan verbeterde Europese regelgeving met betrekking tot het toestemmingsvereiste.
Op 2 juni 2023 heb ik in de Telecomraad eveneens gepleit voor een Europese oplossing voor het cookievraagstuk, desnoods los van de ePrivacyverordening. Indachtig de motie van uw Kamer zal het kabinet de komende tijd hiervoor blijven pleiten in Europa.
Op 31 mei heeft het lid Dekker-Abdulaziz (D66) schriftelijke vragen gesteld aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het bericht dat Nederlanders de overheid steeds minder vertrouwen met persoonsgegevens. Vanwege de interdepartementale afstemming en de sterke inhoudelijke samenhang met Kamerbrieven over algoritmen en cookies die ik voor de zomer naar uw Kamer zend, is het niet gelukt deze binnen de termijn van drie weken te beantwoorden. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.