2026-06-25 - Bescherming persoonsgegevens en grote datalekken
Debat IndirectdutchnlpublicupdatedRead in about 5 minutes instead of watching 196 minutes.
Opening en inzet Kamer
- De commissie opent het debat over bescherming van persoonsgegevens en grote datalekken met drie staatssecretarissen en meerdere Kamerleden; spreektijd en interrupties worden vastgesteld.
- JA21 stelt dat privacybescherming vraagt om duidelijke wetgeving, effectieve handhaving en robuuste cyberbeveiliging, niet alleen om keuze voor Europese technologie.
- VVD benadrukt schade door datalekken, vraagt naar slachtofferinformatie, ondersteuning van getroffen organisaties, opsporing van cybercriminelen en digitale autonomie.
- D66 pleit voor meer regie van burgers over hun gegevens via digital wallets, dataminimalisatie en sterker proactief toezicht door de Autoriteit Persoonsgegevens.
- CDA waarschuwt voor datahonger, online tracking en te ruime toegang binnen organisaties, en vraagt om strengere bewaartermijnen, slachtofferhulp en toezichtcapaciteit.
- GroenLinks-PvdA bekritiseert tracking cookies en surveillancekapitalisme, vraagt om een steviger aanpak van datahonger, betere nazorg en steun tegen misbruik van locatiedata.
AVG, bewaartermijnen en toezicht
- JA21 en D66 wijzen op onduidelijkheid in de AVG, vooral rond begrippen als noodzakelijk bewaren en gerechtvaardigd belang, en vragen om meer rechtszekerheid.
- Het kabinet erkent dat sommige AVG-begrippen in de praktijk lastig zijn, maar benadrukt dat beoordelingsruimte ook nodig is voor maatwerk.
- Nederland zet in Europees verband via de digitale omnibus in op vereenvoudiging en verduidelijking van de AVG zonder afbreuk aan gegevensbescherming.
- De Autoriteit Persoonsgegevens wordt als onafhankelijke toezichthouder gezien; volgens het kabinet heeft de AP voldoende middelen voor huidige taken, met extra middelen bij nieuwe AI-taken.
- Voor doelmatigheid en effectiviteit van de AP worden indicatoren en meetinstrumenten ontwikkeld, mede in samenhang met Europees vergelijkend onderzoek.
Datalekken en slachtoffers
- Meerdere Kamerleden vragen om betere communicatie, hulp en rechtspositie voor slachtoffers van grote datalekken.
- Het kabinet werkt aan een handelingskader voor slachtoffers van grote datalekken en wil dit op korte termijn afronden met betrokken instanties, toezichthouders en bedrijfsleven.
- Organisaties blijven zelf verantwoordelijk om slachtoffers in duidelijke taal te informeren over wat er is gebeurd, de gevolgen en mogelijke maatregelen.
- Bij gemeenten wijst het kabinet op ondersteuning via de Informatiebeveiligingsdienst van de VNG en waar nodig het Nationaal Cyber Security Centrum.
- Over ransomware blijft het kabinetsadvies om geen losgeld te betalen, hoewel erkend wordt dat organisaties in de praktijk onder zware druk kunnen staan.
Cyberveiligheid en digitale autonomie
- JA21 stelt dat de kwaliteit van beveiliging belangrijker is dan de herkomst van technologie en vraagt om investeringen in cyberweerbaarheid, audits en betere databeheerpraktijken.
- Het kabinet erkent dat Europese technologie op zichzelf geen garantie biedt tegen datalekken of cyberaanvallen.
- De aankomende cyberbeveiligingswet moet organisaties verplichten passende maatregelen te nemen om risico’s en incidenten te beheersen.
- Periodieke onafhankelijke IT-audits, zoals ISO 27001-certificering, kunnen volgens het kabinet bijdragen aan betere bescherming van persoonsgegevens.
- Het kabinet werkt via een agenda voor digitale open strategische autonomie aan prioriteiten zoals cloud, AI, open source en digital commons.
AI en persoonsgegevens
- JA21 vraagt dat AI-functies die persoonsgegevens verwerken standaard uit staan en dat burgers vooraf controle en toestemming hebben voor gebruik van hun data bij training.
- Het kabinet vindt controle door gebruikers belangrijk en ziet standaard opt-in als mogelijke bijdrage aan bescherming bij AI-systemen.
- Toezicht op grote AI-bedrijven ligt deels bij buitenlandse toezichthouders, zoals de Ierse privacytoezichthouder wanneer Europese hoofdkantoren daar gevestigd zijn.
- De AP heeft al een coördinerende rol rond algoritmes en AI; bij uitvoering van de AI-verordening komen aanvullende toezichtstaken in beeld.
Tracking, cookies en kinderen
- CDA en GroenLinks-PvdA stellen dat online tracking te veel leunt op toestemming en doorklikken, en vragen om betere bescherming, vooral voor minderjarigen.
- Het kabinet herkent de risico’s uit het Rathenau-rapport over gratis internet en wil de privacypositie van burgers in Europa versterken.
- Onder de DSA mogen gegevens van minderjarigen niet worden gebruikt voor profilering en gerichte advertenties; lopende Europese onderzoeken worden gevolgd.
- Het kabinet ziet contextueel adverteren als privacyvriendelijker alternatief en neemt dit mee in Europese onderhandelingen over e-privacy en AVG-wijzigingen.
- Een volledig verbod op tracking cookies wordt nu als ingrijpend en Europees afhankelijk beoordeeld; verbetering van het huidige systeem wordt op dit moment realistischer geacht.
Digital wallets en dataminimalisatie
- D66 ziet digitale wallets als manier om minder persoonsgegevens te delen, bijvoorbeeld leeftijd bevestigen zonder geboortedatum of identiteitsgegevens te tonen.
- Het kabinet werkt aan het Europese digitale-identiteitsstelsel en een publieke wallet, maar wacht nog op technische richtlijnen van de Europese Commissie.
- Het streven is om eind 2026 een uitvoeringswet voor de wallet in consultatie te brengen.
- Het Rotterdamse ID010-initiatief wordt positief gevolgd als use case voor regie over digitale identiteit en gegevensdeling.
- Zero-knowledge-technologie kan volgens het kabinet helpen bij dataminimalisatie doordat alleen een noodzakelijke bevestiging wordt gedeeld, niet de onderliggende gegevens.
Toezeggingen en vervolg
- Aan het einde van het debat worden meerdere toezeggingen opgesomd, waaronder brieven over AVG-aanpak, slachtoffers, AP-indicatoren, tracking cookies, AI-opt-in, Adobe en AVG-handreikingen.
- GroenLinks-PvdA vraagt een tweeminutendebat aan om mogelijke moties te kunnen indienen over digitale veiligheid en concrete vervolgstappen.
- Het kabinet zegt toe de Kamer na een brede werkconferentie in Q3 te informeren over de verdere aanpak rond AVG, persoonsgegevens en nationale doorwerking van Europese regelgeving.
- Het kabinet zegt toe dit jaar terug te komen op het handelingskader voor slachtoffers, inclusief communicatie, landelijke standaard voor hulp en de relatie met bewaartermijnen.
- Het kabinet zegt toe terug te komen op samenwerking tussen AP en politie bij toezicht, handhaving en grote datalekken.
Actiepunten
- Organiseer in Q3 een brede werkconferentie over AVG, gegevensbescherming en nationale doorwerking van Europese regelgeving, en informeer daarna de Kamer over de verdere aanpak.
- Rond het handelingskader voor slachtoffers van grote datalekken af in overleg met instanties, toezichthouders en bedrijfsleven, en informeer de Kamer dit jaar nader.
- Vraag de AP wanneer het meetinstrument met indicatoren voor doelmatigheid en doeltreffendheid wordt afgerond.
- Informeer de Kamer na de zomer over de gevolgen van de AI-verordening voor extra financiële middelen voor de AP.
- Breng in kaart hoe de samenwerking tussen AP en politie bij toezicht en handhaving rond datalekken precies verloopt.
- Kom schriftelijk terug op de vraag welke rol slachtofferhulp of rechtsbijstand heeft wanneer slachtoffers van datalekken aangifte doen.
- Informeer de Kamer volgens de bestaande afspraken over de uitkomst van de digitale omnibusonderhandelingen, inclusief tracking cookies, kinderen en contextueel adverteren.
- Kom na de zomer terug op de uitwerking van aanbevelingen uit het Rathenau-rapport over online tracking, inclusief mogelijke nationale verbeteringen.
- Onderzoek rijksbreed de door JA21 genoemde Adobe- en trackingkwesties op overheidswebsites.
- Kom schriftelijk terug op een handreiking of verduidelijking van de AVG voor de rijksoverheid.