Antwoorden van de minister voor Rechtsbescherming op de schriftelijke vragen van de leden Verhoeven en Van Beukering-Huijbregts (beiden D66) over het bericht ‘Politie en COA 'overtreden privacywet' met delen persoonlijke data asielzoekers’
(Ingezonden 15 juli 2020, 2020Z14049)
Vraag 1
Bent u bekend met het bericht ‘Politie en COA 'overtreden privacywet' met delen persoonlijke data asielzoekers’? [1]
Antwoord op vraag 1
Ja
Vraag 2
Gebruikt de politie deze persoonsgegevens bij proactieve controles? Hoe verhoudt zich dit tot het handelingskader proactief controleren waarin de politie stelt dat onderscheid maken op basis van afkomst zonder objectieve rechtvaardiging niet is toegestaan? [2]
Antwoord op vraag 2
Nee, deze persoonsgegevens worden niet gebruikt bij proactieve controles zoals in het Handelingskader proactief controleren is omschreven.
Vraag 3
Wordt de verkregen data gebruikt in het Criminaliteits Anticipatie Systeem (CAS) of andere predictive policing systemen? Welke toetsingskaders gebruikt de politie om te voorkomen dat deze systemen etnischprofileren in de hand werken?
Antwoord op vraag 3
Nee, de verkregen data worden niet in het Criminaliteits Anticipatie Systeem verwerkt.
Vraag 4
Waarom heeft de politie vooraf persoonsgegevens van groepen mensen nodig om te handhaven op incidenten?
Antwoord op vraag 4
Het houden van toezicht op de naleving van de Vreemdelingenwet 2000 is onderdeel van de algemene politietaak naast het opsporen van strafbare feiten, handhaven van de openbare orde en hulpverlening. Hiervoor mag de politie persoonsgegevens gebruiken.
De politie heeft gegevens en inlichtingen nodig om op basis van artikel 1 Politiewet 2012, in het kader van taken ten dienste van de justitie, uitvoering te geven aan wettelijke voorschriften gesteld bij of krachtens de Vreemdelingenwet 2000. De politie heeft vooraf geen persoonsgegevens van groepen mensen nodig om te handhaven op incidenten.
Vraag 5
Bent u het eens dat er geen juridische basis is voor de betreffende overeenkomst tussen het Centrum Opvang Asielzoekers (COA) en de politie?
Antwoord op vraag 5
De juridische basis voor het verstrekken van gegevens en inlichtingen door het COA aan de politie, is gelegen in artikel 107 van de Vreemdelingenwet 2000. Als de politie om die gegevens en inlichtingen vraagt, is het COA verplicht die te verstrekken.
Omdat naar het oordeel van COA en politie geen twijfel mag zijn over de rechtmatigheid van deze uitwisseling van persoonsgegevens, doet, in opdracht van het COA, momenteel een externe partij onderzoek hiernaar. In afwachting van de uitkomsten van de externe toetsing heeft het bestuur van het COA op 16 juli jl. besloten het delen van persoonsgegevens met de politie per direct op te schorten. Wij zullen uw Kamer zo snel mogelijk informeren over de uitkomst van deze externe toetsing. Aan de hand van de resultaten van de externe toetsing en een actualisatie van de Data Protection Impact Assessment (DPIA) van het COA over het verstrekken van gegevens en inlichtingen aan de politie zullen het COA en de politie de gemaakte afspraken opnieuw bezien en bekijken of deze aanpassingen behoeven.
Vraag 6
Is er een Data Protection Impact Assessment (DPIA) uitgevoerd over deze overeenkomst? Kunt u deze naar de Kamer sturen?
Antwoord op vraag 6
Het Nationaal Vreemdelingen Informatie Knooppunt (NVIK) van de politie, laat sinds maart van dit jaar door een extern bureau een DPIA uitvoeren over de gehele vreemdelingenadministratie. De DPIA wordt naar verwachting in het vierde kwartaal van 2020 afgerond. Er is bij het NVIK geen deelbare DPIA die specifiek ziet op de uitwisseling van gegevens met het COA. Door het COA is een DPIA uitgevoerd voor deze overeenkomst, maar deze heeft plaatsgevonden onder de oude Wet bescherming persoonsgegevens. Op dit moment wordt de DPIA herijkt, waarbij het resultaat afhankelijk is van de uitkomsten van de onder vraag 5 genoemde externe toetsing. Wanneer het externe onderzoek gereed is, zullen we uw Kamer informeren over de externe toetsing en de DPIA’s van het COA toezenden.
Vraag 7
Bent u het eens dat met de overeenkomst zeer gevoelige data wordt verzameld door de politie over mensen die nergens van verdacht worden? Bent u het eens dat dit een mate van surveillance creëert over onschuldige mensen die onwenselijk is in Nederland?
Antwoord op vraag 7
Zie beantwoording vraag 2, 4 en 5.
Vraag 8
Wanneer wordt deze overeenkomst teruggedraaid en de gedeelde informatie gedeletet?
Antwoord op vraag 8
De verstrekking van gegevens en inlichtingen door het COA aan de politie vindt plaats op grond van artikel 107 van de Vreemdelingenwet 2000. In afwachting van de externe toetsing heeft het COA in afstemming met de politie het delen van deze gegevens aan het NVIK opgeschort.
Vraag 9
Kunt u een overzicht geven van alle systemen van de opsporingsdiensten waarbij persoonsgegevens worden verzameld en daarbij aangeven of er DPIA’s zijn uitgevoerd? Zijn er systemen die nog gebruikt worden die niet voldoen aan de Algemene verordening gegevensbescherming (AVG) en/of de Wet politiegegevens (WPG)?
Antwoord op vraag 9
Voor het verwerken van persoonsgegevens door hen die met de opsporing zijn belast is de Wet politiegegevens van toepassing. Hierin staat dat wanneer een bepaald soort verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, er een ‘gegevensbeschermingseffectbeoordeling’ moet plaatsvinden (artikel 4c Wpg). Er is geen overzicht van alle soorten verwerkingen en dus ook niet of ooit, indien nodig, een dergelijke beoordeling is uitgevoerd. Wel kan worden gesteld dat bij bijvoorbeeld de inzet van nieuwe technologieën dit soort beoordelingen standaard plaatsvinden. Dit is eerder toegelicht in de brief over de inzet van AI en algoritmes bij de politie[3].
Vraag 10
Wat is uw mening over het feit dat het afgelopen jaar is gebleken dat de overheid op grote schaal – neem bijvoorbeeld Syri, de algoritmes die gebruikt worden door de reclassering, het Fraude Signaleringsysteem (FSV) van de belastingdienst, het feit dat een kwart van de gemeenten niet voldoet aan de AVG, DUO dat volgsoftware in e-mails gebruikte en gegevensuitwisseling tussen politie en COA - niet voldoet aan de AVG of het Europees Verdrag voor de Rechten van de Mens en de Fundamentele Vrijheden (EVRM)? Hoe ziet u uw rol ervoor te zorgen dat overheden en overheidsdiensten voldoen aan de AVG?
Antwoord op vraag 10
De overheid dient bij de verwerking van persoonsgegevens in de naleving van de AVG en het EVRM het goede voorbeeld te geven. Voor zover de overheid daarin niet slaagt, is dat laakbaar. In gevallen waarin de naleving tekort schiet, dienen dan ook zo spoedig mogelijk maatregelen te worden getroffen om daar een eind aan te maken. Dat kan, afhankelijk van het specifieke geval, door bepaalde systemen buiten werking te stellen of door andersoortige technische of organisatorische maatregelen te nemen. Het is het desbetreffende bestuursorgaan dat daarvoor verantwoordelijk is en daarop kan worden aangesproken.
Onze rol is ervoor te zorgen dat het algemene wettelijk kader waarbinnen persoonsgegevens worden beschermd op orde is en dat algemene beleidsmaatregelen worden getroffen om aan de verdere bescherming van persoonsgegevens bij te dragen. Een voorbeeld van dat laatste is de ontwikkeling van richtlijnen voor het gebruik van algoritmes door overheden.[4] Dat een overheid of overheidsdienst aan de AVG voldoet, is de verantwoordelijkheid van de desbetreffende bestuursorganen zelf. Het is de rol van de vertegenwoordigende organen, de Autoriteit persoonsgegevens (AP) en de rechter om erop toe te zien dat dit ook daadwerkelijk gebeurt.
Vraag 11
Kunt u ingaan op het onderzoek van Argos over het feit dat een kwart van gemeenten niet zou voldoen aan de AVG? Welke stappen onderneemt u concreet om ervoor te zorgen dat gemeenten de privacy van mensen serieus neemt? [5]
Vraag 12
Vanaf wanneer kunt u garanderen dat alle gemeenten volgens de (privacy)wet werken?
Antwoord op vragen 11 en 12
Het is aan de colleges van B&W om ervoor te zorgen dat hun gemeentelijke diensten de AVG naleven. Zij kunnen daarop worden aangesproken door de gemeenteraad. Op de naleving van de AVG wordt ook toegezien door de AP, die zo nodig handhavend kan optreden. Voor ons is op dit punt geen specifieke rol weggelegd. Het is daarom ook niet aan ons om vanaf enig moment te garanderen dat alle gemeenten overeenkomstig de AVG persoonsgegevens verwerken.
Vraag 13
Hoeveel meldingen van schending van persoonsgegevens krijgt de Autoriteit Persoonsgegevens (AP) elk jaar? Kunt u aangeven in hoeverre de AP in staat is al die meldingen te onderzoeken? Welke concrete stappen onderneemt u om ervoor te zorgen dat de AP voldoende middelen heeft om haar wettelijke taak goed uit te kunnen voeren?
Antwoord op vraag 13
Volgens de AP zijn in 2019 in totaal ruim 27.800 klachten ontvangen. Ongeveer een derde van die klachten (9.000 stuks) betrof volgens de AP klachten in de zin van artikel 77 van de AVG, waarbij de indiener een klacht heeft over de verwerking van zijn of haar eigen persoonsgegevens. Dit zijn de klachten die de AP verplicht dient af te handelen. De andere klachten zijn klachten die bijvoorbeeld anoniem zijn, over iemand anders dan de melder zelf gaan of algemeen zijn. De AP is niet verplicht die klachten te behandelen, maar doet dat wel omdat ze volgens de AP belangrijk zijn voor haar onderzoekstaak. Die klachten leiden niet automatisch tot een individueel onderzoek. De wachttijd voor de behandeling van klachten was volgens de laatste meting van de AP zes maanden.
Naast klachten ontvangt de AP ook meldingen van datalekken. In 2019 waren dat er volgens de AP bijna 27.000. Bij 1.180 datalekmeldingen heeft de AP naar aanleiding van de melding actie ondernomen richting de organisatie die het datalek heeft gemeld. Naast datalekmeldingen ontvangt de AP ook klachten en signalen die betrekking hebben op datalekken. Naar aanleiding hiervan zijn nog circa 70 acties ondernomen richting de organisaties waar het datalek plaatsvond.
De AP en het ministerie van JenV zijn een gezamenlijk extern onderzoek gestart naar de grondslagen van de financiering van de AP, de omvang van het budget en de risico’s behorende bij verschillende scenario’s. Dit onderzoek is uitgebreid en kijkt bijvoorbeeld ook naar mogelijke efficiencyverbetering en omvat een vergelijking met de toerusting van collega-privacytoezichthouders in Europa. Het onderzoek kost meer tijd dan vooraf werd verwacht. De resultaten worden in het najaar van 2020 verwacht.
[1] NRC Next, 13 juli 2020
[2] https://www.politie.nl/binaries/content/assets/politie/nieuws/2017/00-km/handelingskader-proactiefcontroleren-versie-1.9.1-dd-27-oktober2017.pdf
[3]https://www.rijksoverheid.nl/documenten/kamerstukken/2019/12/03/tk-artificiele-intelligentie-bij-de-politie).
[4] Kamerstukken II, 2019/20, 26 643, nr. 641.
[5] https://www.vpro.nl/argos/lees/nieuws/2020/kwart-van-gemeenten-neemt-privacy-nietserieus0.
html#d1cf7c52-e0d1-4600-bd51-fe72994f5003
