Plenair Van Toorenburg bij behandeling Wet gegevensverwerking door samenwerkingsverbanden



Verslag van de vergadering van 11 juni 2024 (2023/2024 nr. 35)

Status: gecorrigeerd

Aanvang: 15.19 uur


Bekijk de video van deze spreekbeurt

Mevrouw Van Toorenburg i (CDA):

Voorzitter. 17 december 2020 nam de Tweede Kamer dit wetsvoorstel aan om een juridische grondslag te maken voor de samenwerkingsverbanden. Ik benadruk hierbij meteen "een juridische grondslag", want er werd al heel veel gedeeld op basis van convenanten. Eigenlijk hingen alle samenwerkingsverbanden van convenanten aan elkaar. Dat was heel onwenselijk. Naar deze wettelijke regeling werd halsreikend uitgekeken. We zijn sinds 17 december 2020 ruim drie jaar en drie maanden verder en eindelijk voeren we het debat. Goede wijn heeft tijd nodig, zullen we maar zeggen. Laten we het daarop houden.

Voorzitter. Het gaat ook wel echt ergens over. De overheid is buitengewoon machtig en kan over zeer veel persoonlijke informatie beschikken. Zij moet daar heel erg zorgvuldig mee omgaan. Het kan ook niet zo zijn dat informatie zomaar voor allerlei doelen wordt gedeeld, en ook niet met Jan en alleman. De overheid dient prudent met persoonlijke informatie om te gaan en mag alleen delen als het goed geregeld is. Daartoe dient dit voorstel.

De behoefte aan gereguleerde gegevensdeling bestond eigenlijk al heel lang, maar kwam pas echt naar voren rond 2008, ten tijde van de RIEC's, de Regionale Informatie en Expertise Centra. Rond 2014 werd het nog prudenter. Toen werd de fraudeaanpak geïntensiveerd. Ik herinner mij uit die tijd nog de ronkende stelling: de aanpak van de georganiseerde ondermijnende criminaliteit vereist een georganiseerde overheid, een die niet met de handen op de rug moet opereren maar met de handen uit de mouwen slagvaardig kan optreden.

Maar er is sindsdien natuurlijk wel veel gebeurd. Met de toeslagenaffaire in het achterhoofd lees je bepaalde alinea's toch anders dan voorheen. Het kan ook gaan om — ik citeer — "gemeenschappelijke data-analyses, waarmee patronen worden blootgelegd of groepsprofielen worden opgesteld, teneinde aan de hand daarvan een lijst te kunnen opstellen van personen, organisaties of bedrijven die met het oog op het doel van een samenwerkingsverband een hoog risico laten zien". Hm, dat noopt echt tot zorgvuldigheid. Ik heb deze wet en ook het ontwerpbesluit anders gelezen dan toen ik in de Tweede Kamer deze wet behandelde. Ik snap de voorwaarden ook beter, maar het blijft heel moeilijke materie. Ik heb verschillende collega's gehoord die zeiden dat ze bijna in de stress schoten van de hoeveelheid informatie. Normaal draai ik alles uit, maar ik heb dat deze keer niet gedaan, want ik dacht: dan krijg ik een paniekaanval.

Het is ook wel begrijpelijk dat we zo veel documenten hebben, want aanvankelijk leek deze wet bijna een ruif waaruit iedereen naar believen zou kunnen eten. De samenwerkingsverbanden waren onbepaald. De doelbinding was vaag. Terecht werd er vanuit heel veel kanten tegen geageerd. Zo zijn de samenwerkingsverbanden gespecificeerd. Het Financieel Expertise Centrum, de infobox, de Regionale Informatie en Expertise Centra en de Zorg- en Veiligheidshuizen: daar gaat het nu om. Dit zijn allemaal verbanden die gaan over inbreuken op de integriteit van het financiële stelsel, over witwas- en fraudeconstructies, over georganiseerde criminaliteit en over complexe problemen van personen op het vlak van zorg en veiligheid. We begrijpen de kritiek van met name burgemeesters wel die zeggen: oe, zat het Informatie Knooppunt Zorgfraude er maar bij. Maar laten we eerst hiermee beginnen. We moeten kritisch genoeg kijken naar de werking.

Voorzitter. Mijn voorgangers hebben net al heel terechte vragen gesteld. Ook de CDA-fractie is zeer benieuwd naar de antwoorden. Ze hebben fundamentele kritiekpunten en daar moeten we naar luisteren. Maar dat geeft mij nu de ruimte om even een heel andere invalshoek te kiezen. U begrijpt dat ik inmiddels wat meer kijk heb gekregen op de werkzaamheden en uitdagingen van de decentrale overheden. Dan maak ik mij wel zorgen over de mate waarin met name kleine gemeenten volledig zouden kunnen voldoen aan de zorgvuldigheidseisen. Er wordt al zo gigantisch veel van ze gevraagd. Te allen tijde voldoen aan de Baseline Informatiebeveiliging Overheid, de BIO, is gemakkelijker opgeschreven dan uitgevoerd. En geloof me, een gemeente met anderhalve boa wordt helemaal ratgek wanneer audits worden gedaan, eerst interne en dan externe audits op de gegevensverwerking ten aanzien van hun taken en verantwoordelijkheden. Dus bij alles wat ze nu al moeten doen, komt daar heel erg veel bij.

En begrijp me goed, ik heb de andere woordvoerders vandaag gehoord die terecht een aantal zorgvuldigheidseisen benadrukken, maar dan zet ik onder elkaar wat ik in artikel 1.9 en in het ontwerpbesluit lees over een systeem van autorisaties, verplichte screening van medewerkers, verplichte logging van gegevens, rechtmatigheidsadviescommissies, contactpunten, vernietigingstermijnen, het adequate beveiligingsniveau met meldpunt datalekken en de verplichting tot periodieke audits en jaarverslagen. En dan heb ik het nog niets eens over het feit dat er voldoende gekwalificeerd personeel moet komen, wetende dat 10% tot 20% van de gemeenten de vacatures die ze open hebben staan, ook op dit veld, op dit moment niet kunnen invullen.

Het is allemaal zo makkelijk opgeschreven, maar hoe gaan kleine gemeenten als partner in vele samenwerkingsverbanden hun taken en verantwoordelijkheden goed uitvoeren als het water ze nu al aan de lippen staat? Dan kijk ik ook naar de financiële belasting van gemeenten. Die opschalingskorting mag dan zijn geschrapt, maar er is een andere pittige bezuiniging voor in de plaats gekomen. Dan probeer ik optimistisch te blijven maar ik heb zorgen over hoe het in de praktijk gaat uitpakken. Kan de minister ons toezeggen dat de praktische uitvoering van de voorliggende wet en vooral de inzet die moet worden gepleegd om te voldoen aan al die waarborgen en zorgvuldigheidseisen, met enige regelmaat zeer serieus onderwerp van gesprek zal zijn met de VNG en dat dit punt expliciet en uitvoerig wordt meegenomen in de evaluatie? Ik vraag om dit zodanig te doen dat de controle niet louter op papier wordt uitgevoerd, want ik zie de verantwoordingsdocumenten al op het veld afkomen. Ik zou graag willen dat mensen uit de torens van Justitie en Binnenlandse Zaken komen en gaan kijken in het werkveld wat daar echt gebeurt. Want besef hoe moeilijk het is voor alle partners om de administratieve huishouding op orde te krijgen en te houden met alle checks-and-balances.

Ik had vorige week nog een intensief gesprek met de functionaris gegevensbescherming die nu onder meer toeziet op de Wet politiegegevens en hoe die wordt nageleefd. Er viel een klem om mijn hart hoe ingewikkeld het is en hoeveel ze moeten bijzetten en als ik zie hoe moeilijk het is om te voldoen aan het landelijk aangestuurde verantwoordingstraject van informatiebeveiliging, de ENSIA, de horror van alle gemeenten. Ik realiseer mij dat er nog een hele weg te gaan is. De Network and Information Security Directive, de NIS2, is eind 2022 door de Europese Unie aangenomen en over alle gemeentes heen gekieperd. Overal zijn gemeentes voortvarend aan de slag gegaan met het inrichten van toekomstbestendige informatiebeveiliging en privacy-organisaties. En echt, dat is niet zomaar voor elkaar. De basis is nog niet op orde en die basis is nodig om aan de waarborgen die het voorliggende wetsvoorstel terecht eist, te voldoen.

Kortom, daar waar deze minister altijd zegt "ik sta naast u", vraag ik haar nu om naast de partners te gaan staan in die samenwerkingsverbanden om mee te kijken, om mee te helpen, om ze te ondersteunen en om niet op ze te bezuinigen. Eisen stellen is één ding, er zorg voor dragen dat ook in de praktijk aan al die eisen kan worden voldaan, is helaas iets heel anders. Met de voorliggende wet is zorgvuldigheid en invulling geven aan de waarborgen, waar de collega's terecht op inzoomen, belangrijker dan ooit. Ik hoor graag hoe de minister naast die samenwerkingsverbanden gaat staan.

Ik zie uit naar de beantwoording van alle relevante vragen.

De voorzitter:

Een interruptie van de heer Nicolaï.

De heer Nicolaï i (PvdD):

Een vlammend betoog. Ik moet er ook niet aan denken om in zo'n kleine gemeente te zitten en aan de slag te gaan met al die regelingen, waar ik als jurist al weinig van begrijp. Als ik dan denk aan wat de mensen op de werkvloer daar allemaal mee moeten … Dat is een hele klus. Ik begrijp dat mevrouw Van Bijsterveld eigenlijk zegt: de mensen op de werkvloer kunnen dat gewoon niet aan, dus doe daar wat aan. Maar als de mensen op de werkvloer het niet aankunnen …

De voorzitter:

Het is mevrouw Van Toorenburg.

De heer Nicolaï (PvdD):

Sorry, ja, mevrouw Van Toorenburg. Kunnen we deze wet dan eigenlijk wel invoeren? Dat is natuurlijk wel de vraag die dan bij ons als Eerste Kamer voorligt.

Mevrouw Van Toorenburg (CDA):

Ik heb bijna anderhalve minuut om te zeggen hoe het nu in de praktijk gaat. In Limburg was ik gedeputeerde. Ik heb gezien hoe de RIEC's op dit moment informatie uitwisselen. In een kleine gemeente zie ik hoe de Zorg- en Veiligheidshuizen informatie uitwisselen. Dat doet iedereen nu gewoon, zonder goede wettelijke grondslag. Ik kijk dus naar de praktijk van nu en denk dan: hmm, zo moet je het niet willen. Het werkt wel. Gelukkig kunnen we, als we heel schrijnende situaties in het zorg- en veiligheidsdomein kunnen koppelen aan de informatie van de RIEC's, soms iets doen. Maar dat gaat nu een beetje houtje-touwtje, met een convenantje hier en een convenantje daar, terwijl eigenlijk niemand precies weet wat daarvan de basis is. Alles wat ik nu noem, zijn mijn zorgen over de toekomstige wet. Mijn zorgen over de huidige praktijk zijn tien keer zo groot.

De heer Nicolaï (PvdD):

U heeft het over uw zorgen over deze wet. Begrijp ik nou goed dat u zegt: er wordt hier iets aangenomen wat op gemeentelijk niveau waarschijnlijk niet uitvoerbaar is?

Mevrouw Van Toorenburg (CDA):

Ik heb in antwoord op de interruptie gezegd dat wat er nu in de praktijk gebeurt, vele malen zorgwekkender is dan wat er nu voorligt. Ik heb gezegd dat deze minister, samen met haar collega van Binnenlandse Zaken, ervoor zal moeten zorgen dat alle terechte waarborgen die hier worden genoemd, daadwerkelijk uitvoerbaar zijn. Ik heb gezien wat voor lijvig besluit er naar de Kamer is gegaan, waarin al die voorwaarden zijn uitgespit en waarin precies staat wat wanneer wel en niet mag worden gedeeld. Dan word ik wel een beetje onrustig als ik zie dat sommige gemeenten vier uur in een gemeenschappelijke regeling kunnen genieten van een functionaris gegevensbescherming. Dat zal moeten worden opgeplust. Er zal dus serieus werk gemaakt moeten worden van een goede administratieve organisatie voor al die veiligheid. Maar dan hebben we wel een wet die het mogelijk maakt om informatie te delen; dat gebeurt dan niet op basis van toch een beetje wankele en onduidelijke convenanten.

De voorzitter:

Tot slot, meneer Nicolaï.

De heer Nicolaï (PvdD):

Als de minister straks zegt dat wat u wilt, haar niet gaat lukken, zegt u dus: dan is het onverantwoord om deze wet in te voeren. Begrijp ik dat goed?

Mevrouw Van Toorenburg (CDA):

Als de minister straks tegen mij zegt "leuk dat u allemaal voorwaarden noemt, mevrouw Van Toorenburg, maar het zal allemaal wel; gemeenten zoeken het maar uit", heeft ze een heel groot probleem. Maar ik kan u verzekeren — daarvoor ben ik te lang met deze minister opgetrokken op dit dossier — dat dat niet zal zijn wat zij gaat zeggen tegen mij; al helemaal niet tegen mij, voorzitter.

De heer Griffioen i (BBB):

Ik wil nog even ingaan op de interessante opmerking die u maakte over hele kleine gemeenten en de zorgen die u daarover hebt. Ziet u dan bijvoorbeeld ook de mogelijkheid dat veiligheidsregio's daarin een coördinerende rol gaan spelen, zodat niet elke kleine gemeente als het ware zelf het wiel hoeft uit te vinden in een situatie waarin er te weinig mensen zijn om dat te doen?

Mevrouw Van Toorenburg (CDA):

Op belangrijke plaatsen overlapt de veiligheidsregio met een gemeente of samenwerkingsverband. Dan geldt weer dat elke regio het overal anders telt, want in de regio Amsterdam past het veel meer in elkaar dan in een regio in Zuidoost-Brabant. Ik zou dus niet willen zeggen dat het per definitie op het niveau van de veiligheidsregio moet, want dan maken we het misschien weer heel ingewikkeld voor een regio waarin die samenwerking juist net anders is. Maar natuurlijk — dat zou een voorbeeld kunnen zijn waar de minister mee zou kunnen komen — zou de minister er op basis van een aantal grote regio's voor kunnen gaan zorgen dat het heel goed wordt ingebed en dat er mensen naartoe worden gestuurd om mee te kijken hoeveel fte een gemeente en een gemeenschappelijke regeling nodig hebben om invulling te geven aan al deze belangrijke waarborgen. Dat kan soms op veiligheidsregioniveau, maar soms heeft het RIEC net een andere structuur.

De voorzitter:

Dank u wel, mevrouw Van Toorenburg. Dan geef ik nu het woord aan de enige echte mevrouw Van Bijsterveld.