Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Omnibussen AI en Digitaal
[0:00:01] Welkom allemaal.
[0:00:01] Hierbij open ik de vergadering van de Commissie Digitale Zaken en wel voor een technische briefing over de Omnibus AI en de Omnibus Digitaal.
[0:00:12] Mijn naam is Ralf Dekker en we hebben verder mevrouw Boudjani en heer Verkuilen aanwezig vanuit de Kamer.
[0:00:18] Misschien is het goed als u zich even voorstelt, dan kunnen we daarna beginnen met de presentatie.
[0:00:24] Sorry, ik zit hier niet elke dag.
[0:00:27] Mijn naam is Richard Blad.
[0:00:28] Ik werk voor het ministerie van Binnenlandse Zaken en Koningsrijksrelaties.
[0:00:32] Maar ik werk voor de staatssecretaris van Digitale Economie en Soevereiniteit.
[0:00:38] En ik hou me bezig met de omnibus digitaal en dan met name de hoofdstukken vijf.
[0:00:44] Dat gaat over overheden die informatie bij bedrijven mogen opvragen in het geval van crisis.
[0:00:51] Hoofdstuk tegenwoordig vijf A. Dat gaat over data altruïsme.
[0:00:58] En hoofdstuk 5C, dat gaat over hergebruik van overheidsinformatie.
[0:01:05] Goedemiddag, mijn naam is Martijn Lucas.
[0:01:07] Ik ben directeur Digitale Economie van EZK.
[0:01:12] Goedemiddag, ik ben Marieke van der Stoel.
[0:01:13] Ik ben clustercoördinator bij de directie Digitale Economie van EZK.
[0:01:19] Ik ben Brian Jansen, senior beleidsmedewerker afdeling gegevensbescherming en privacy bij Justitie en Veiligheid.
[0:01:28] Jan Rinia, afdelingshoofd gegevensbescherming en privacy bij het ministerie van Justitie en Veiligheid.
[0:01:35] Pieter van der Wergh, waarnemend afdelingshoofd bij de NCTV, afdeling Cybersecurity, onderdeel van het ministerie van Justitie en Veiligheid.
[0:01:44] Sabrina Mes, senior beleidsmedewerker en ook werkzaam bij de afdeling Cybersecurity van de NCTV.
[0:01:51] Heel goed, dank u wel.
[0:01:52] We hebben zo even afgesproken dat er is een...
[0:01:56] Een redelijk omvangrijke presentatie, dat we die presentatie, waar meerdere van u een rol in spelen, dat we die eerst helemaal aflopen.
[0:02:03] En daarna is er geleerd voor vragen, dat zullen we zo wel zien.
[0:02:07] Dus ik weet niet wie ik kan uitnodigen, maar gaat uw gang.
[0:02:11] Dank u wel, voorzitter.
[0:02:13] We gaan proberen een beetje de vaart erin te houden, want het is een omnibus, dus er zit heel veel in de omnibus.
[0:02:19] Daarom zitten er ook veel mensen, want het zijn meerdere wetten, maar dat is jullie, neem ik aan, bekend.
[0:02:23] Allereerst bedankt voor de uitnodiging om hier de voorstellen voor de Omnibus Digitaal en de Omnibus AI, want ze zijn eigenlijk Omnibus Sun, maar wel als één pakket.
[0:02:33] gepresenteerd te bespreken.
[0:02:36] En die omnibusserie bevat ontzettend veel en vaak technische wijzigingen van verschillende bestaande verordeningen.
[0:02:42] En met deze briefing willen we u natuurlijk zo goed mogelijk beeld geven wat daar in die voorstellen staat.
[0:02:48] Eén, twee, hoe die voorstellen door het kabinet worden beoordeeld en drie, hoe de onderhandelingen tot nu toe verlopen.
[0:02:54] Goedemiddag.
[0:02:58] Dus ik ga even naar, ik heb hier ook nog een afstandsbediening, kijk of het werkt, de agenda.
[0:03:03] We willen hem dus even stapsgewijs doorlopen als volgt.
[0:03:07] Eerst wat vertellen over de omnibus in het algemeen en de processen hieromtrend in Brussel.
[0:03:13] Dan kort lichten we de algemene inzet van het kabinet op de digitale omnibussen toe, dus in algemene zin.
[0:03:20] Vervolgens zullen we de inhoud van de omnibussen toelichten in drie blokken.
[0:03:24] Eerst de omnibus AI, vervolgens de onderdelen van de omnibussen digitaal over de AVG en het centraal meldpunt voor incidentmeldingen.
[0:03:32] Maar trouwens, wil ik zeggen, het eerste stukje over Omnibus AI zullen we vanuit EZK doen, dan vanuit de collega's van JNV, AVG en het Centraal Meldpunt voor Incidentmelding.
[0:03:42] En tot slot, die onderdelen die in de Omnibus digitaal zitten, die zien op data-wetgeving en de Platform to Business-verordening.
[0:03:48] En dat zullen we ook even vanuit EZK, omdat we daar coördinerend op zijn, proberen toe te lichten.
[0:03:55] En dan heeft u vast nog een boel vragen.
[0:03:58] Allereerst de omnibus in het proces.
[0:04:00] Wat is dat nou, een omnibus?
[0:04:02] Het bestaat al langer, maar laten we even beperken tot de huidige commissie in Brussel onder mevrouw Von der Leyen.
[0:04:08] Zij zien simplificatie van wetgeving echt als een belangrijke prioriteit om de concurrentievermogen van de EU te verbeteren.
[0:04:19] En in 2025 is de commissie daarom ook begonnen met een omnibus aanpak om bestaande wetgeving te vereenvoudigen, te versimpelen.
[0:04:27] Er zijn inmiddels al tien omnibussenvoorstellen gepresenteerd.
[0:04:33] De digitale omnibussen vormen samen de zevende omnibus.
[0:04:37] Dus het is echt onderdeel van een brede reeks die over van allerlei onderwerpen gaat.
[0:04:41] In de Europese Raad is ook brede steun voor die simplificatieagenda.
[0:04:45] Het is echt een prioriteit van de Europese Unie, ook in relatie tot andere concurrerende blokken op het mondiale toneel.
[0:04:56] Nationaal is regeldrukverlaging ook een prioriteit van het kabinet en het kabinet is daarom ook in algemene zin positief over de omnibus aanpak.
[0:05:07] En die omnibussen zijn dus wetgevende pakketten die meerdere bestaande wetten tegelijkertijd in één omnibus wijzigen.
[0:05:16] En gezien de, ook door mij net genoemde, politieke prioriteit en ook de urgentie, heeft de Raad begin 2025 ook in Brussel een apart gremium opgericht voor de behandeling van omnibusvoorstellen.
[0:05:27] Dat is het zogenaamde Anti-G Group on Simplification.
[0:05:30] Dus dat is een speciale raadswerkgroep die dicht onder het comité van permanente vertegenwoordigers zit in Brussel.
[0:05:40] Onderhandelingen over die omnibussen.
[0:05:42] Goedemiddag.
[0:05:45] Die gaan meestal ook...
[0:05:47] Belangrijk dat dit gremium er is, want dat zorgt er ook voor dat die onderhandelingen over de omnibus in de regel aanzienlijk sneller gaan dan reguliere wetgevingsonderhandelingen.
[0:05:57] En ook gezien de urgentie voert de Commissie voor Omnibussen geen formeel impact assessment uit.
[0:06:02] Dat is een algemeen uitgangsprincipe van omnibus-trajecten.
[0:06:09] Maar ze publiceren wel een staff working document waarin een en ander wordt onderbouwd.
[0:06:14] De algemene inzet op de omnibus is dat het kabinet de versimpeling van digitale wetgeving steunt, zolang, zeg ik met nadruk, de doelen en de ambitie van die wetgeving daarbij overeind blijven.
[0:06:25] Dat heeft u ook in de BNC-fiche ter zaken kunnen lezen.
[0:06:29] Voor veel kleine bedrijven en overheden is het lastig om om te gaan met veel nieuwe digitale wetgeving die in relatief korte tijd is ingevoerd.
[0:06:39] Nogmaals een goede middag.
[0:06:43] Fijn dat we de volle rij tegenover ons hebben.
[0:06:48] En het is daarom ook belangrijk om die bedrijven waar mogelijk daarin te ondersteunen, juist dus ook door wetgeving te versimpelen, maar ook door standaarden en richtsnoeren te ontwikkelen om die wetgeving goed uit te kunnen voeren.
[0:07:00] Het scheelt niet alleen administratieve lasten.
[0:07:02] Als het makkelijker is wetgeving toe te passen, wordt deze ook effectiever.
[0:07:05] Dus daarom is het kabinet voorstander van deze aanpak.
[0:07:10] Zoals ook aangegeven in onder andere het BNC-visie ziet het kabinet dat sommige onderdelen van de omnibussen verder lijken te gaan dan de simplificatie alleen en wel afbreuk doen mogelijk aan de doelen van de wetgeving.
[0:07:24] Met name bij een aantal voorgestelde wijzigingen aan de AVG baart dit serieuze zorgen omdat deze impact hebben op de bescherming van grondrecht.
[0:07:32] En daar zullen de collega's van JNV straks nader op ingaan.
[0:07:36] Belangrijk te memoreren dat de adviezen van het Europese Comité voor Gegevensbescherming in dit kader, het EDPB, en ook de Europese Toezichthouder voor Gegevensbescherming, EDPS, hier heel belangrijk in zijn, naast onze eigen analyse en de informatie uit de onderhandelingen, omdat we dus, zoals gezegd, geen impact assessments hebben.
[0:07:54] Dus dit zijn hele belangrijke instanties om ons van advies en duiding te voorzien.
[0:08:01] Dat zullen de collega's van JV straks meer over zeggen.
[0:08:03] Ik geef zo het woord aan mijn collega's voor de inhoudelijke toelichting.
[0:08:07] En om de presentatie niet langer te laten duren, hebben wij ons in onze presentatie, wil ik even als algemene wijzing of duiding aangeven, gericht op de voorgestelde wijziging waar wij de meeste potentiële impact, zeker uw zorg, zien.
[0:08:23] Ik wil graag benadrukken, het overgrote deel van wat in de omnibussen staat, daar hebben we het dan niet over, maar is voor ons positief, verwelkomen wij,
[0:08:32] Het doet de regeldruk verlagen en maakt het daardoor makkelijker ook om het uit te voeren als partij en ook om daarop te handhaven, zo nodig.
[0:08:41] Maar we vinden ook wat van de dingen die niet goed gaan, dat hebben we ook in de BNC-visie opgeschreven, maar dat gaan we hier dus nu bloksgewijs nader toelichten.
[0:08:50] Dan geef ik het woord aan mijn collega.
[0:08:52] Als dat mag, via u, voorzitter.
[0:09:00] Beginnen we met de AI-omnibus, die is ook het verste in het proces.
[0:09:03] Daar kom ik later zometeen op terug.
[0:09:05] De AI-omnibus, die verandert de AI-verordening, die al van kracht is, maar nog niet helemaal van toepassing.
[0:09:14] Nog even in de herinnering de AI-verordening, daar heeft u volgens mij ook al een technische briefing over gehad, maar heel in het kort, waar gaat die over?
[0:09:20] Die creëert een Europese gemeenschappelijke markt voor de ontwikkeling en het gebruik van AI-systemen.
[0:09:25] De verordening zorgt ervoor dat die systemen in de Europese markt veilig zijn en vooral fundamentele rechten beschermen.
[0:09:31] Voor systemen met een minimaal risico gelden geen specifieke eisen.
[0:09:37] En zoals je ziet, systemen met een hoog risico hebben veel eisen.
[0:09:41] En er zijn ook systemen die gewoon verboden zijn.
[0:09:44] Dat is overigens al sinds februari 2025 het geval.
[0:09:49] En de rest van de EIA-verordening wordt later van toepassing.
[0:09:55] Maar daar kom ik dadelijk op terug met de Omnibus.
[0:09:59] Zoals ik al zei, de Omnibus-EID's zijn al verder in het proces.
[0:10:03] Er is al een raadscompromis bereikt op 13 maart al.
[0:10:07] Daarover is uw Kamer ook geïnformeerd.
[0:10:10] Wij zijn er als kabinet in het algemeen ook positief over.
[0:10:15] Zo zijn er nu vaste data van toepassing voor het van toepassing worden van de onderdelen van de AI-act.
[0:10:22] Die zijn ook in lijn met het kabinets standpunt.
[0:10:25] Het enige is dat er was onvoldoende steun om dit voor de hoog risico AI minder lang uit te stellen dan 16 maanden.
[0:10:31] We hadden dat liever sneller gehad.
[0:10:33] Verder is de registratieplicht voor AI-systemen met hoog risico in stand gebleven en dat is ook wat het kabinet graag wilde.
[0:10:42] De bevoegdheid voor bias-detectie is grotendeels in lijn gebracht met het advies van de EDPB en de EDPS en is gelimiteerd tot verwerkingen die strikt noodzakelijk zijn voor het detecteren, corrigeren en voorkomen van bias die waarschijnlijk de gezondheid en veiligheid van personen aantast, grondrechten schaadt of tot discriminatie kan leiden.
[0:11:03] Verder met betrekking tot de AI-geletterdheid is nu verduidelijk dat, hoewel de verantwoordelijkheid is verschoven naar de lidstaten, dat niet betekent dat organisaties helemaal geen verantwoordelijkheid meer hebben.
[0:11:14] En heel laat in het proces, dat is nadat wij uw Kamer hebben geïnformeerd, is er ook nog een nieuw onderdeel toegevoegd aan de omnibus, namelijk een verbod op uitkleedapplicaties.
[0:11:25] Dus dit is het raadscompromis.
[0:11:27] Vorige week heeft ook het Europarlement gestemd over het voorstel.
[0:11:32] Een paar belangrijke dingen eruit.
[0:11:34] Ook hier een latere inwerkingstreding van de eisen voor hoog risico AI-systemen.
[0:11:41] Verder dat strikt gebruik van bijzondere persoonsgegevens is toegestaan, dus in sommige gevallen.
[0:11:48] En tot slot, dat vinden wij wel belangrijk om te noemen, wil het parlement ook wijzigen waar de vereisten voor de AI-toepassingen worden vastgelegd.
[0:11:56] Ze willen dat namelijk niet in de AI-Act, maar in sectorale wetgeving.
[0:11:59] En het kabinet heeft daar bezwaren tegen.
[0:12:01] Want dat betekent dat deze eisen in verschillende wetsgevingen moeten worden opgenomen.
[0:12:06] Dat kost heel veel tijd en is kans op dat er verschillen ontstaan.
[0:12:09] Niet alleen in het Nederlands, maar ook per lidstaat.
[0:12:12] Dus dat hebben wij ook al naar voren gebracht in de onderhandelingen.
[0:12:17] Zoals ik al zei, deze twee posities zijn nu ingenomen.
[0:12:19] De trilogen staan op het punt van beginnen, dus wordt vervolgd.
[0:12:24] En dan geef ik nu het woord aan mijn collega's van JIV.
[0:12:32] Dank u wel.
[0:12:33] En voordat ik... En allereerst heel veel dank voor deze uitnodiging.
[0:12:37] En voordat wij de omnibus induiken op het gebied van de AVG-aanpassingen, toch even een korte schets waar de AVG ook alweer allemaal over gaat.
[0:12:48] De AVG regelt de bescherming van persoonsgevens in de Europese Unie.
[0:12:53] Daarnaast waarborgt deze AVG het vrije verkeer van persoonsgevens binnen de Europese Unie.
[0:12:59] En de AVG waarborgt zo een eerlijke en veilige, transparante verwerking van persoonsgegevens, waarbij individuele burgers de controle hebben op de verwerking van hun persoonsgegevens.
[0:13:10] Degenen die persoonsgegevens verwerken, zijn verantwoordelijk voor de naleving van deze regels en moeten dat kunnen aantonen.
[0:13:17] Hier houdt in Nederland de autoriteit persoonsgegevens, kort geweg ook de AP genoemd, toezicht op.
[0:13:25] En dan kunnen we wat mij betreft direct doorduiken naar...
[0:13:29] ...de omnibus digitaal en de overzicht van de wijzigingen van de AVG.
[0:13:34] Hier hebben we een aantal wijzigingen opgenoemd, gelet op de tijd.
[0:13:37] U kunt natuurlijk ook vragen stellen straks over de andere wijzigingen... ...die op dit gebied staan vernoemd.
[0:13:44] Maar ik dacht, deze vinden wij belangrijk om uit te lichten.
[0:13:48] En daar ga ik dan nu verder op in.
[0:13:51] U moet wel goede ogen hebben op dit allemaal, mevrouw.
[0:13:53] GELACH
[0:13:58] Volgens mij bent u nog allemaal enorm jong en kunt u dat allemaal heel goed lezen.
[0:14:03] De digitale omnibus doet voorstellen tot wijzigingen in de AVG, zoals genoemd.
[0:14:09] De wijzigingen zien op centrale elementen in de AVG, zoals de definitie van persoonsgegevens, de verwerking van bijzondere persoonsgegevens, gebruik van gerechtvaardig belang en AI, de rechten van betrokkenen, automatische besluitvorming, meldplicht data lekken,
[0:14:25] de gegevensbeschermingseffectbeoordeling, ook wel de DPA genoemd, en regels over cookies.
[0:14:34] En wat ik zei, gelet op de tijd, licht ik er slechts een aantal uit.
[0:14:38] En dan beginnen we bij de definitie van persoonsgegevens.
[0:14:42] En in het voorstel van de Europese Commissie wordt deze gewijzigd.
[0:14:48] Het begrip persoonsgegevens bepaalt eigenlijk voor een grote mate het toepassingsbereik van de verordening en de Europese Commissie beoogt met de voorgestelde wijziging de jurisprudentie van het Hof van Justitie van de Europese Unie te codificeren.
[0:15:03] In onze analyse leidt de aanpassing tot een beperking van de rijkwijte van de AVG.
[0:15:09] Een dergelijke beperking past naar ons idee niet bij het doel van de omnibus simplificatie en doet daarmee afbreuk aan de rechtsbescherming die de AVG biedt.
[0:15:21] Voor deze analyse vinden wij steun in de opinie van de Europese privacy-toezichthouders, de EDPB en de EDPS.
[0:15:29] In de EDPB zitten alle nationale toezichthouders plus de EDPS en de EDPS is de Europese toezichthouder, die dus toezicht houdt op de Europese instellingen en haar organen.
[0:15:41] En daarom hebben wij in de onderhandelingen voorgesteld de wijzigingen in de definitie van persoonsgegevens te schrappen.
[0:15:48] En dit voorstel lijkt weer klank te vinden in de Raad van de Europese Unie tijdens onze onderhandelingen met andere lidstaten.
[0:15:58] Verder zit er ook een voorstel in voor zwarte en witte lijsten.
[0:16:03] voor de dpa's.
[0:16:04] Volgens dit voorstel dient de commissie lijsten te publiceren van gegevensverwerkingen bij dpa's, wel en niet verplicht zijn.
[0:16:12] Het kabinet is voorstander van verduidelijking van de gevallen waar een dpa nodig is.
[0:16:19] Bedrijven worstelen immers met onzekerheid over de vereisten van de avg.
[0:16:25] Zeker voor het mkb zou dit
[0:16:27] ...administratieve lasten kunnen terugbrengen.
[0:16:29] Het geeft immers in veel gevallen duidelijkheid... ...wanneer een bedrijf wel of geen DPA zou moeten uitvoeren.
[0:16:34] En zo'n DPA, nou, dat kost tijd, zeker als je dat goed moet doen.
[0:16:39] Bij het voorstel is het kabinet echter van mening... ...dat het aan een onafhankelijke toezichthouder...
[0:16:46] het Europese Comité voor Gegevensbescherming, de IDPWIR, moet zijn en niet, zoals in het voorstel staat, aan de commissie om dergelijke lijsten te maken, te publiceren en vast te stellen.
[0:16:59] En ook dit standpunt lijkt gehoor te vinden bij diverse andere lidstaten.
[0:17:05] En dan ga ik graag met u verder naar het gerechtvaardig belang bij verwerking in AI-context.
[0:17:11] De commissie beoog te verduidelijken dat gerechtvaardig belang als grondslag kan dienen bij de ontwikkeling en training van AI-systemen of AI-modellen.
[0:17:20] Het kabinet ziet in het voorstel niettemin een verandering van de toepassingsmogelijkheden van de grondslag gerechtvaardig belang, speciaal voor AI.
[0:17:28] Deze aanpassing past niet het doel van de simplificatie.
[0:17:33] Op dit moment kan bij verwerking van persoonsgevers, ook in de AI-context, onder voorwaarden van de AVG, gebruik worden gemaakt van de grondslag gerechtvaardig belang.
[0:17:44] Wel dient hierbij de verwerking van persoonsgevers dan noodzakelijk te zijn en er dient een belangenafweging te worden gemaakt.
[0:17:54] Met het voorgestelde artikel zou de EU-wetgever speciaal voor AI regelen dat gerechtvaardig belang als grondslag mogelijk is.
[0:18:02] Deze regeling roept onder andere de vraag op of er andere vereisten gelden voor gerechtvaardig belang bij R.I.
[0:18:08] dan in andere gevallen.
[0:18:10] Zoals ook de EDPS en de IDPB in hun opinie stellen, leidt dit tot rechtsonzekerheid en naar ons idee past dit niet heel goed bij het doel van de simplificatie en Nederland heeft ook voorgesteld in de onderhandelingen om deze bepaling, deze wijziging, te schrappen.
[0:18:31] En dan hebben we bijzondere persoonsgegevens bij het gebruiken en het trainen van AI.
[0:18:38] De AVG verbiedt in beginsel de verwerking van bijzondere persoonsgegevens, tenzij er een uitzonderingsgrond is zoals uitdrukkelijke toestemming van de betrokkenen.
[0:18:49] Dit geldt tot op heden ook voor AI.
[0:18:52] De commissie heeft voorgesteld een uitzonderingsgrond te creëren op het verwerkingsverbod voor zogenaamde residuele gegevens bij het trainen van AI.
[0:19:01] Het gaat dan om gegevens die eigenlijk niet mogen worden verwerkt, omdat ze niet noodzakelijk zijn voor het doel, maar waarvan het verwijderen onevenredig veel inspanning zou vergen.
[0:19:11] Om in aanmerking te komen voor de uitzonderingsgrond, dienen voorzorgsmaatregelen en waarborgen te worden genomen.
[0:19:19] Het kabinet is kritisch op deze voorgestelde uitzonderingen op het verwerkingsverbod.
[0:19:22] Bijzondere persoonsgegevens genieten niet voor niets een bijzondere bescherming in de AVG, juist omdat de verwerking van deze gegevens grote impact kan hebben op personen.
[0:19:35] Het gaat immers om gevoelige gegevens over ras, religie, seksuele oriëntatie, gezondheid, politieke voorkeur enzovoort.
[0:19:44] Ook hier wreekt zich het beginsel van technologie-neutraliteit.
[0:19:49] Een bijzonder pijnpunt in het voorstel is dat bij de grootschalige verwerking van bijzondere persoonsgegevens naar zijn aard gemakkelijker een beroep kan worden gedaan op deze voorgestelde exceptie.
[0:20:00] Een grootschalige verwerking vereist iemand veel meer inspanning om deze gegevens te wissen.
[0:20:06] En ook Nederland heeft voorgesteld deze bepaling te schrappen.
[0:20:12] Concluderend.
[0:20:13] Wij zijn voorstander van het verlagen van de regeldruk, zolang deze geen afbruk doen aan de doelen van de wetgeving.
[0:20:23] Al met al heeft het kabinet bij aantal wijzigingen serieuze zorgen over het niveau van gegevensbescherming, terwijl ook niet duidelijk is of de betreffende wijzigingen de regeldruk verlagen.
[0:20:33] De impact van opgrondrechten weegt voor het kabinet zwaar in het oordeel over dit voorstel.
[0:20:39] Het kabinet is daarom kritisch bij voorstellen die leiden tot een lager beschermingsniveau.
[0:20:44] In hoeverre daar sprake van is, moet goed in kaart worden gebracht en ook of deze voorstellen nu echt zullen bijdragen aan het verminderen van regeldruk en het verbeteren van onze Europese concurrentiekracht.
[0:20:55] Waar dat passend is, heeft het kabinet amendementen ingediend om ongewenste of onbedoelde impact
[0:21:01] van voorstellen weg te nemen.
[0:21:03] Ook wordt mede op initiatief van Nederland het advies van de EDPS en IDPB natrukkelijk betrokken bij de onderhandelingen.
[0:21:10] Zij hebben veel verbeterd voorstellen, naar onze bescheiden mening.
[0:21:15] Daarmee zet het kabinet erop in om voorstellen die verder gaan dan versimpeling te behandelen op een wijze die recht doet aan de potentiële impact en de zorgpunten.
[0:21:24] Dank u wel.
[0:21:25] Dan geef ik hem graag door aan mijn collega.
[0:21:37] Dank u wel.
[0:21:37] Een ander onderdeel of belangrijk onderdeel in de omnibus digitaal is het Single Entry Point, oftewel het voorstel om ENISA, het Europese Agentschap voor Cyberbeveiliging, een centraal meldpunt te laten inrichten waarbij incidentmeldingen vanuit verschillende soorten wetgevingen op Europees niveau gedaan kunnen worden.
[0:22:00] Het betreft dan meldplichten
[0:22:03] vanuit de wet en regelgeving vanuit Europa op het gebied van de CERA, de Cyber Resilience Act, de NIST II-richtlijn, die nationaal in de Cyberbewijdingwet wordt geïmplementeerd, de CER-richtlijn, nationaal in de WBKE geïmplementeerd, maar ook de GDPR, dus de AVG, en de Digital Operational Resilience Act, de DORA, die betrekking heeft op de financiële sector, en ook de Regulation on Electronic Identification Trust Services, die EIDAS-veroordening.
[0:22:33] Daar gaat ook het voorstel op in om daar een centraal Europees meldpunt voor te creëren.
[0:22:40] Op dit moment worden voor deze wet- en rechtgeving de incidentmeldingen op nationaal niveau gedaan en dat is ook in de wet- en rechtgeving vastgelegd.
[0:22:50] En de entiteit of de organisaties die onder de wetgeving vallen doen de verschillende meldplicht of hun meldingen
[0:22:59] direct bij de daarvoor aangewezen nationale instanties en autoriteiten.
[0:23:03] En dat doen ze via de structuren die daar momenteel voor worden ingericht of al zijn ingericht.
[0:23:12] Door het voorstel wat in de omnibus staat wordt dus een Europees toegangspunt zou moeten worden gecreëerd met dus rapportageverplichtingen vanuit die verschillende Europese wetgeving die daarmee wordt samengebracht.
[0:23:26] En dat betekent dus ook dat deze Europese wet- en regelgeving moet worden geamendeerd, zodat straks volgens het voorstel de entiteiten straks de incidentmeldingen niet meer direct op nationaal niveau doen, maar bij dit Europese toegangspunt.
[0:23:42] Waarbij wel uiteindelijk dan de nationale autoriteiten de ontvangers worden en blijven van de incidentmeldingen.
[0:23:50] Het voorstel bevat ook dat de inrichting, het BR en de beveiliging van dit Europese meldpunt wordt belegd bij NISA, dus het Europese Agentschap voor Cyberbeveiliging.
[0:24:03] Wat we nog niet hebben gezien in het voorstel is hoe dit meldpunt precies technisch moet worden ingericht.
[0:24:09] Dus er is ook nog veel onduidelijkheid en we hebben ook nog veel vragen over
[0:24:12] het exacte technische ontwerp, de inrichting, de technische specificaties.
[0:24:16] En dat is wel ook een belangrijk punt voor ons, maar daar ga ik zo uitgebreid op in.
[0:24:22] Nou, zoals de heer Lucas ook al eerder aangaf, steunt het kabinet natuurlijk het voorstel om same-security-wetgeving ook te simplificeren en te harmoniseren en ook de regeldruk voor organisaties, voor het bedrijfsleven, maar ook voor de overheid
[0:24:38] te verlagen.
[0:24:41] Alleen volgens onze appreciatie heeft de Europese Commissie op dit moment nog onvoldoende inzichtelijk gemaakt of het Europees meldpunt daadwerkelijk ook zal bijdragen aan die beoogde lastaflichting en die simplificatie.
[0:24:56] Het kabinet vraagt zich ook af of dit dus de beste manier is om de gestelde doelstellingen van simplificatie te bereiken.
[0:25:02] En dat hangt dus ook af van hoe precies dat meldpunt zal worden ingericht, of het effectief zal bijdragen aan het verlagen van die regeldruk en of ook niet de nationale competenties rondom nationale veiligheid mogelijk worden aangetast en of het interfereert met de nationale structuren die we momenteel aan het ontwikkelen zijn.
[0:25:24] Omdat er ook nog zoveel onduidelijk is hoe het meldpunt er precies uit gaat zien, heeft het kabinet ook veel vragen over de precieze technische inrichting en de werking van dat in te richten platform.
[0:25:37] En zoals het in het BNV-fiche ook is aangegeven van december vorig jaar, is het voor het kabinet belangrijk dat er geen overlap plaatsvindt van het Europese meldpunt en meldportaal met de nationale meldprocessen en ook met onze nationale dienstverlening.
[0:25:54] En daar zal het kabinet ook bij de commissie op helding over vragen wat precies daar de doelen zijn.
[0:26:06] We hebben ook een aantal zorgen, net als overigens een aantal andere lidstaten.
[0:26:12] Nederland heeft ook aangegeven dat we op nationaal niveau diverse meldplatformen hebben.
[0:26:18] En bijvoorbeeld bij het NCC wordt voor de NIS2, maar ook voor de WBKE, al een meldportaal ingericht waar organisaties ook centraal hun incidenten, hun cyberincidenten kunnen melden.
[0:26:33] En het is ook belangrijk dat nationale meldstructuren en meldpunten goed aansluiten bij, nou ja, zeg maar de manier van samenwerken, hoe we dat in Nederland doen,
[0:26:45] Dat, zeg maar, organisaties in Nederland en bedrijven ook weten waar ze terecht moeten op het moment dat ze meldingen doen of dat ze specifieke vragen hebben, ook op het riet van cybersecurity.
[0:26:54] En het lijkt er nu op dat het inrichten van een Europees meldpunt een deel van die nationale dienstverlening rondom incidentafhandeling lijkt te verschuiven ook naar het Europese niveau.
[0:27:06] En dat geldt in het bijzonder voor de meldingen rondom NIS2 en de CEA, dus de CBW en de WWKE.
[0:27:10] terwijl juist het van belang is dat incidenten bijvoorbeeld bij de Rijksoverheid, maar ook onze nationale vitale infrastructuur, ja, daar zit gevoelige informatie in en dat dat ook beperkt bij de juiste instanties in Nederland terechtkomt.
[0:27:27] In lijn met de nationale competenties rondom nationale veiligheid moeten daarom nationale meldstructuren volgens het kabinet behouden blijven en moeten lidstaten de directe en primaire ontvanger zijn van die incidentinformatie.
[0:27:39] Het kabinet verwacht dat het verlagen van regeldruk meer efficiënt en tijdig kan worden bereikt door voor te bouwen op bestaande nationale oplossingen die we dus aan het ontwikkelen zijn in plaats van een dergelijke Europees meldpunt.
[0:27:53] En het kabinet ziet ook beveiligingsrisico's door dit op centraal, op Europees niveau te regelen als door het zeg maar echt op Europees niveau te centraliseren.
[0:28:04] omdat incidentmeldingen gevoelige gegevens kunnen bevatten over kwetsbaarheden, over wat er bij een organisatie mogelijk aan de hand is.
[0:28:14] Het kabinet is daarom ook bezorgd dat het verwerken van zeer gevoelige incidentmeldingen en gegevens, en in het bijzonder dus de meldingen vanuit 27 lidstaten, dat dat een kwetsbaar punt gaat worden en dus ook een heel aantrekkelijk doelwit voor kwaadwillenden.
[0:28:30] Dat kunnen staten zijn,
[0:28:32] kunnen cybercriminelen zijn.
[0:28:36] Dus dat is een extra reden dat wij dat met zorg volgen.
[0:28:42] Omdat het kabinet het achterliggende doel van dit voorstel heel duidelijk steunt, namelijk simplificeren, kijken we ook naar mogelijke alternatieve oplossingen voor het simplificeren, ook op Europees niveau.
[0:28:52] Dat doen we bijvoorbeeld ook in de Europese Cooperation Group, die onder de NIS2-richtlijn hangt.
[0:28:58] Maar ook nationaal zijn we aan het kijken hoe we dingen kunnen versimpelen en simplificeren.
[0:29:04] Ik denk dat dat mijn deel van het verhaal over het meldpunt eindigt.
[0:29:11] En dan geef ik via de voorzitter het woord weer terug aan mijn collega van EZK.
[0:29:19] Dan het laatste stukje van de omnibus digitaal.
[0:29:23] Dat gaat dus over niet-persoonlijke data.
[0:29:26] Even kijken, de belangrijkste wijzigingen in de digitale omnibus voor wat betreft dat onderdeel zijn... Nou ja, goed, de omnibus wil een aantal wetten samenvoegen.
[0:29:39] Dus dan gaat het om de Data Governance-verordening, de Free Flow of Non-Personal Data-richtlijn en de Open Data-richtlijn.
[0:29:46] Die komen allemaal samen in één data-act.
[0:29:49] En ja, die komen samen inderdaad voor mij.
[0:29:52] Wat hier ook mee gebeurt, is dat overlappende definities en verplichtingen worden samengevoegd.
[0:29:58] En dat zijn vooral technische wijzigingen die regels verduidelijken en versimpelen.
[0:30:01] Zoals bijvoorbeeld het versoepelen van de eisen waaraan data-bemiddelingsdiensten en data-altruïstische organisaties moeten voldoen om zich te laten certificeren.
[0:30:09] Over deze wijzigingen zijn we dan ook overwegend positief.
[0:30:13] Een wijziging is nog wel goed uitgelegd.
[0:30:18] Er komen namelijk uitzonderingen voor aanbieders van bepaalde clouddiensten om te voldoen aan de regels in de dataverordening, die overstappen tussen clouddiensten mogelijk moet maken.
[0:30:27] Er komt een uitzondering voor clouddiensten waarvan de contracten zijn afgesloten voor de inwerkingstreding van de verordening.
[0:30:33] En voor clouddiensten die op maat zijn gemaakt voor specifieke klanten.
[0:30:37] Of die worden aangeboden door MKB of small mid-cap bedrijven.
[0:30:41] Dit komt feitelijk neer op een uitstel van de inwerkingtreding van de verplichtingen voor deze diensten.
[0:30:46] En daarom is het kabinet hier kritisch op.
[0:30:48] Want de dataverordening is ook een belangrijk instrument om de cloudmarkt beter te laten functioneren.
[0:30:53] En dit soort uitzonderingen verminderen of vertragen mogelijk de effectiviteit van deze regels.
[0:30:59] Maar andere lidstaten lijken over het algemeen positief.
[0:31:02] over dit onderdeel van de Omnibus.
[0:31:04] Ik moet hier wel bij zeggen dat over dit onderdeel nog weinig gesproken is, omdat de Omnibus AI voorrang heeft gekregen en andere onderdelen van de digitale Omnibus die meer discussie nodig hadden.
[0:31:17] En dan als laatste, wat de Omnibus digitaal ook doet, we gaan goed met de tijd, geloof ik, is dat die de Platform to Business-verordening, de P2B, intrekt.
[0:31:31] Wat doet P2B?
[0:31:32] Die beschermt ondernemers die zaken doen met digitale platforms.
[0:31:37] Wat gebeurt er nou als we die intrekken?
[0:31:42] Hij wordt overigens niet helemaal ingetrokken, want bepaalde definities en klachtenmechanismen blijven in stand op 2032.
[0:31:47] Dan geeft de commissie namelijk tijd om die bepalingen in een andere wetgeving onder te brengen.
[0:31:53] Zij geven aan als reden voor het intrekken van deze verordening dat die overlapt met andere wetgeving voor platforms
[0:31:58] die later tot stand zijn gekomen, zoals bijvoorbeeld de digitale dienstenverordening en de digitale marktenverordening.
[0:32:05] Het kabinet vindt echter het helemaal intrekken van de P2B-verordening eigenlijk te rigoureus.
[0:32:11] Er is weliswaar wat overlap met DSA en DMA, maar niet volledig.
[0:32:15] Bijvoorbeeld, de regels uit de DMA gelden alleen voor poortwachtersplatforms.
[0:32:21] En in de P2B geldt voor alle platforms.
[0:32:24] En zonder de P2B-verordening zou de bescherming van ondernemers op platforms afnemen, vooral ten opzichte van platforms die buiten Nederland zijn gevestigd.
[0:32:33] De ACM ontvangt ook regelmatig klachten over platforms die zich niet aan deze verordening houden.
[0:32:42] En er zijn verder ook geen signalen dat de P2B te veel regeldruk oplevert.
[0:32:48] Verschillende lidstaten zijn het inmiddels eens met ons standpunt.
[0:32:51] Er is ook recentelijk een non-paper gepubliceerd en met uw Kamer gedeeld, wat we samen met Oostenrijk, België en Italië hebben opgesteld.
[0:33:00] En sinds die tijd zijn er ook andere lidstaten die interesse hebben getoond in deze opinie.
[0:33:06] Dus voor zover dit stukje.
[0:33:09] Ik schreef als laatste weer aan Martijn.
[0:33:13] Dat is het slotstukje.
[0:33:16] Dank u wel.
[0:33:17] Nou, wat we hier hebben geprobeerd neer te zetten, is dat we hebben willen inzoomen op die onderdelen van de omnibussen die meer doen dan alleen wetgeving versimpelen.
[0:33:32] Zoals ik aan het begin ook al zei, er staat ook heel veel in wat echt technisch, administratief vereenvoudiging voor ons geen discussie is en waar we dus positief over zijn.
[0:33:42] We hebben het hierover gehad over de onderdelen waar we aandacht voor hebben, CQC kritisch op zijn.
[0:33:49] Maar er zijn dus echt veel aanpassingen die in lijn met onze digitale wetgeving echt versimpelen, verduidelijken en stroomlijnen zonder afbreuk te doen aan de doelen van die wetten.
[0:33:59] Maar om de zorgen die we genoemd hebben te adresseren, willen we binnen het omnibusproces aan de slag, zodat die voorstellen geen afbreuk meer doen aan de digitale wetgeving zoals wij die graag staande willen houden.
[0:34:12] We denken, en collega Van der Stoel weet er al opgezien het verschillende tempo, dat voor de Omnibus AI dit goed is gelukt.
[0:34:21] Er ligt ook al een algemene oriëntatie in de Raad en de triloog die staat op het punt van beginnen, want ook het EP heeft een positie.
[0:34:29] We denken dat binnen de Omnibus AI het echt goed gelukt is om de Nederlandse aandachtspunten geadresseerd te krijgen en daarmee dus het voorstel zoals de Raad dat nu inbrengt in de triloog
[0:34:39] in lijn te brengen met de Nederlandse positie.
[0:34:42] Daar hebben we uw Kamer ook over geïnformeerd met een brief recentelijk.
[0:34:47] Binnen de omnibus digitaal merken we, en dat hoor je ook uit de inbreng van de collega's, dat er weliswaar veel zorgen zijn, maar dat we wel tractie hebben om de onderdelen van de voorstellen waar wij zorg over hebben te adresseren.
[0:35:07] Dus we merken dat steeds meer lidstaten onze zorgen over die voorstellen die verder gaan versimpeling begrijpen en onderkennen, ondanks het feit dat er wel echt brede steun in de Raad is geconstateerd voor het doen van deze omnibus-exercitie in het algemeen.
[0:35:22] Dat zien we als een positief signaal, dus we hebben tractie, maar daarmee is de kabinetsinzet, zeker op een onderdeel als de AVG, maar bijvoorbeeld ook het centraal meldpunt, nog niet binnen.
[0:35:32] Dus wij blijven de komende maanden ons hard inzetten om in Brussel die inzet alsnog afdoende gerealiseerd te krijgen, waarbij we ook weten dat we zeer waarschijnlijk niet 100 procent gaan binnenkrijgen, maar wij willen wel voldoende realiseren in die tijd.
[0:35:47] Ik dank voor uw aandacht en u heeft ongetwijfeld nog een aantal vragen.
[0:35:51] Dat denk ik ook.
[0:35:51] Heel veel dank.
[0:35:52] Een uitgebreid en efficiënt overzicht waarbij je ook een beetje
[0:35:58] Het tipje van de sluier wordt opgelicht over de verschillende onderhandelingsposities die er aan de orde zijn.
[0:36:02] Interessant is dat.
[0:36:03] Ik kan me voorstellen dat er vragen zijn.
[0:36:04] Ik stel voor dat we één vraag stellen per persoon en dan misschien hebben we tijd voor een tweede ronde.
[0:36:08] Dat weet ik niet zeker, maar dan begin ik bij de heer Verkuilen.
[0:36:12] Ja, dank u, voorzitter.
[0:36:14] En dank aan u allen voor uw bijdrage.
[0:36:19] Ik heb één vraag, voorzitter, en die zou ik willen stellen aan de heer Rinia, maar ook aan de heer Van den Berg.
[0:36:24] En dat zit er met name op de AVG.
[0:36:27] U zei in uw bijdrage dat er een... Hoe zei u dat zo mooi?
[0:36:33] Een gerechtvaardig belang moet zijn om de AVG, zeg maar, aan te tasten.
[0:36:40] En zoals ik het nu heb begrepen, is het nu een zwart-wit-rijdenatie.
[0:36:44] Dus de AVG blijft in stand.
[0:36:46] Dat is ook een belangrijk punt wat we, denk ik, in de fiche terug kunnen lezen.
[0:36:50] Maar is er ook een gerechtvaardig belang om dat aan te tasten dan?
[0:36:53] Of is het gewoon zwart-wit, we willen de AVG houden zoals die is?
[0:36:57] En dat vraag ik aan u beiden eigenlijk.
[0:37:02] We verzamelen de vragen wel.
[0:37:03] Ik vind het eigenlijk prettiger als ze meteen beantwoord worden.
[0:37:05] Dat is veel makkelijker, tenzij dat u problemen oplevert.
[0:37:08] Maar dan kunnen we een of andere vraag afwikkelen.
[0:37:10] Ja?
[0:37:15] Dank u wel, voorzitter.
[0:37:19] Ik begrijp de vraag van het lid Verkuilen niet helemaal goed, maar als ik hem zo mag interpreteren dat het waar het gaat over de grondslagen van de AVG, dan heb je diverse, waaronder bijvoorbeeld toestemming, maar ook gerechtvaardig belang.
[0:37:38] En dat gerechtvaardig belang zou bijvoorbeeld nu al bij de training van AI ook,
[0:37:44] ...kunnen worden ingezet.
[0:37:46] Dat bestaat nu al.
[0:37:48] Alleen zie je nu bij de voorstellen die worden gepresenteerd... ...dat die grondslag, gerechtvaardig belang, eigenlijk iets anders wordt vormgegeven... ...waardoor die bij het trainen van AI breder ingezet zou kunnen worden.
[0:38:08] Dus ik hoop dat dat een antwoord is op de vraag van het lid Verkuilen.
[0:38:13] De heer Van den Berg, u heeft ook gevraagd.
[0:38:16] Ik heb daar niet heel veel aan toe te voegen.
[0:38:19] Ik kijk vooral vanuit de cybersecuritywetgeving, waarbij we het toch over andere grondslagen hebben dan in het geval van de AVG.
[0:38:28] Natuurlijk zitten in beide wetgevingen ook meldplichten, maar wel zijn het hele andere instanties die de incidenten ontvangen en daar opvolging aan moeten geven.
[0:38:40] Maar of het een zwart-wit-benadering is, dat durf ik vanuit mijn expertise niet aan te geven.
[0:38:47] Oké, dank u wel.
[0:38:48] Mevrouw Baudjani.
[0:38:51] Ja, dank u wel en dank ook voor uw beantwoording.
[0:38:55] Heel fijn.
[0:38:55] Ik heb eigenlijk heel veel vragen, dus ik moet even de juiste keuze nu gaan maken.
[0:39:02] Vanuit onze fractie, vanuit D66, onderschrijven we ook zeker dat regeldrukvermindering heel fijn is, maar ik denk dat de aandachtspunten die u net benoemde, vooral degenen die raken aan de grondrechten, gewoon echt wel...
[0:39:14] dat we daar scherp op moeten blijven.
[0:39:17] En voor mij is het proces daarom, van hoe nou zo'n omnibus dan precies wordt behandeld, eigenlijk nog steeds best wel troebel.
[0:39:24] Dus u geeft...
[0:39:26] Ik weet dus ook niet precies wie het meeste weet over het proces omnibus.
[0:39:31] De heer Lukassen dan, dan is de vraag aan u gericht.
[0:39:34] Want hoe...
[0:39:36] Ik hoorde u zeggen, nog steeds kunnen de aandachtspunten dus worden meegenomen en ook nog steeds worden neergelegd in de Raad.
[0:39:44] Maar in hoeverre is er dan nog onderhandelingsruimte?
[0:39:47] En weten we dan ook waar we op in moeten zetten, zodat we dus bepaalde dingen echt voor elkaar kunnen krijgen?
[0:39:56] En ja, hoe kunnen we die ruimte zo goed mogelijk innemen daar?
[0:40:02] Want ik heb echt wel een aantal zorgen over, nou ja, bepaalde punten die naar onze privacygrondrechten ook gewoon raken.
[0:40:11] Onder andere over de persoonsgegevens, die verruiming.
[0:40:22] Dank, voorzitter.
[0:40:23] En dank voor de vraag slash vragen.
[0:40:27] Nee, maar dat is helemaal oké.
[0:40:29] En ik begrijp de vraag ook, want dit is ook wel een beetje een soort snelkookpan.
[0:40:33] En als een omnibus over een meer technisch traject gaat en niet potentieel raakt aan grondrechten, dan is het ook minder gevoelig.
[0:40:43] Ik snap dat hier zorgvuldig naar gekeken wordt.
[0:40:46] Dat doet het kabinet en deze departementen gezamenlijk ook.
[0:40:51] En we hebben geprobeerd om in het BNC-fietsje al meteen aan de voorkant onze zorgen in kaart te brengen en ook aan te geven wat de inzet is om te realiseren.
[0:41:03] Ik denk dat het goed is om in het proces ook even onderscheid te maken, ook al hebben we het net al wel gezegd, tussen de stand van zaken, en dat zegt ook iets over de beïnvloedingsruimte nog, rond het AI-omnibusdeel en de digitale omnibus in brede zin.
[0:41:17] Die verkeren dus in een verschillende fase.
[0:41:20] is een algemene oriëntatie in raadskade, dus tussen de lidstaten, bereikt in eind februari, zeg ik uit mijn hoofd?
[0:41:29] 13 maart.
[0:41:29] 13 maart, oké, dank u wel.
[0:41:31] Daarover is ook de Kamer geïnformeerd en dat betekent dat in het proces dus de...
[0:41:37] de eerste lezing zogezegd in de Raad is gedaan.
[0:41:42] Het Europees Parlement heeft een vergelijkbaar traject doorgelopen en ze hebben dus de EP-positie geformuleerd.
[0:41:49] En die werd ook toegelicht door collega Van der Stoel in de slide.
[0:41:53] Op dit moment is dus de triloogfase aanstaande, dat is dus de onderhandeling tussen de instellingen, Raad, EP en ook de Commissie daarbij, om tot een uitkomst te komen die vervolgens weer wordt teruggelegd voor akkoord in de Raad.
[0:42:07] En de regel is eigenlijk dat als het akkoord dat bereikt wordt binnen het mandaat van het voorzitterschap, in dit moment Cyprus, blijft, dat is vastgesteld in die raadspositie, dan zijn we daar dus, dat is het vertrouwen in het mandaat wat je meegeeft, dat wordt natuurlijk al even nog bekeken, maar als het binnen de raad wordt gebleven, raadspositie, in het akkoord, dan kunnen we daar ook mee instemmen.
[0:42:31] Als er van de raadspositie wordt afgeweken in die onderhandelingen, omdat men ziet dat er geen uitkomst is en er wordt een poging gedaan om toch een compromis te vinden, dan moet het voorzitterschap terug naar de Raad.
[0:42:44] Dat is nu aanstaande, die onderhandelingen.
[0:42:45] Ik kan daar nu nog niets over zeggen.
[0:42:47] Wat wij ook constateren, is dat er best veel overlap zit tussen de positie van het EP en de Raad.
[0:42:52] We hebben wel vertrouwen dat we eruit komen.
[0:42:54] De collega Van der Stoel lichtte er wel één punt uit over die meer sectorale oriëntatie
[0:42:59] versus de algemene.
[0:43:02] Dat is voor ons een belangrijk aandachtspunt, maar daar zijn we binnen de Raad niet de enige in.
[0:43:06] En wij geven dat uiteraard ook door aan het voorzitterschap die namens de Raad onderhandelt.
[0:43:11] Maar dat is wel hun verantwoordelijkheid.
[0:43:12] Zij zitten daar aan tafel namens de 27.
[0:43:15] Dat is de AI.
[0:43:18] Sorry.
[0:43:19] Sorry, u bent nog niet klaar.
[0:43:21] Ik denk dat uw zorg ook zit op het tweede deel.
[0:43:24] Want de tweede deel van dit omnibuspakket is de omnibus digitaal, waar onder andere de AVG en het meldpunt in zitten.
[0:43:32] En ook de punten zoals de collega van de stoel toelichtte rond data.
[0:43:37] Daar zijn de onderhandelingen minder ver, dus er is nog geen raadpositie.
[0:43:41] indachtig het BNC-fietsje, maar ook alle antwoorden die we hebben gegeven op de vragen die door uw Kamer zijn gesteld, de Nederlandse positie in en zoeken daar medestanders voor.
[0:43:53] En dat doen wij door soms de papers te maken, het werd ook gezegd, position papers.
[0:43:57] Dat doen wij door amendementen in te dienen.
[0:43:59] Dat doen wij door met lidstaten contact te zoeken en te kijken of we coalities kunnen bouwen.
[0:44:04] Dat doen wij door te pleiten voor het betrekken van gezaghebbende instanties zoals de EDPB en de EDPS, want die zijn ook gezaghebbend en wat ons betreft ook medestander in het zijn van een hoeder van die zorgen rond grondrechten, privacy en whatnot.
[0:44:22] waardoor we proberen de raadspositie zo te beïnvloeden, ten opzichte van het commissievoorstel, dat dat binnen onze kaders gaat vallen, zoals we die ook in het BNC-fichier hebben neergezet.
[0:44:32] We zullen uiteindelijk altijd moeten wegen, totaalpakket, hoe dat eruitziet.
[0:44:37] 100 procent van alle Nederlandse wensen binnenhalen, maar zo is het altijd in Europese onderhandelingen, zal niet lukken.
[0:44:44] Maar we proberen wel zoveel mogelijk, zeker waar de fundamentele zorgen zitten, van onze positie binnen te halen.
[0:44:51] Dank u wel.
[0:44:53] En dan de heer Van den Berg, onze meneer Van den Berg, houdt overstaan.
[0:44:55] Ja, een populaire naam.
[0:44:56] Dank u wel, voorzitter.
[0:44:57] En ook dank voor de uitleg aan jullie allen.
[0:45:01] Ik wil eigenlijk ingaan op de saaie beveiligingswet en de wet weerbaarheid, kritiek en identiteit, maar in dit geval dan het Europese component.
[0:45:08] In het geval van een datalek, dan zou dan nu een datalek gemeld moeten worden bij dat single point of entry, dat is dan de ENISA.
[0:45:15] En dan gaat die termijn omhoog van 72 uur naar 96 uur.
[0:45:21] Ik maak mij daar zorgen om, het werd net ook even benoemd door de NCTV, dat die data dan vanuit het nationaal perspectief naar Europese instanties gaat en dat we daar dan ook weer extra risico's lopen.
[0:45:36] Dus daar wilde ik toch een extra reflectie op van, zien we daar nog onderhandelingsruimte om bijvoorbeeld ten eerste die termijn terug te brengen?
[0:45:44] Want verruiming vind ik tegelijkertijd een verslechtering.
[0:45:48] Maar ook hoe gaan we er nou voor zorgen dat dat gewoon weer een nationale bevoegdheid wordt?
[0:45:54] Zeker, en daar zou ik eigenlijk ook een reflectie op willen, dat evenredigheidsbeginsel.
[0:45:59] Volgens mij hoeft dit niet naar Europees niveau, dan volgens mij moeten we dat dan ook niet toestaan.
[0:46:05] Misschien is het... Laat ik maar mijn naamgenoot vragen.
[0:46:09] Dank u wel, dank u wel voor de vraag.
[0:46:11] Ik zal aftrappen en misschien dat mijn collega daar nog wat op wil aanvullen.
[0:46:15] Ik denk dat het twee verschillende dingen zijn.
[0:46:17] Inderdaad, meldtermijnen of drempelwaardes.
[0:46:21] Wanneer is nou een incident meldingsplichtig?
[0:46:26] Dat zijn dingen die we ook in Europees verband bespreken, want dat kan ook helpen aan simplificatie en het harmoniseren van wanneer is nou een incident meldingsplichtig?
[0:46:37] En dat organisaties, bedrijven ook weten
[0:46:40] U breed weten van het is in het geval van een cyberbeveiligingsincident in het kader van de NIS 2 een bepaalde periode dat dat dus niet uiteenloopt tussen lidstaten.
[0:46:53] Tegelijkertijd ook drempelwaardig.
[0:46:54] Wanneer is nou een cyberincident significant te noemen?
[0:46:59] Ook daar kun je met onderling met elkaar afspraken over maken.
[0:47:02] Hoewel dat natuurlijk nationaal ook nog wel iets kan verschillen, omdat in de ene land net de infrastructuur anders in elkaar kan zitten dan in het andere land.
[0:47:10] Maar ook daar helpt het wel als je met lidstaten onderling daar zoveel mogelijk probeert te harmoniseren.
[0:47:16] Dat is de ene kant.
[0:47:17] De andere kant is inderdaad de zorg die wij ook delen of die ook in het BNC-visio opgeschreven is van is het nou wenselijk om toch ook gevoelige gegevens en informatie
[0:47:29] over incidentmeldingen en organisaties in Nederland die een incident moeten melden, om dat bij een Europese instelling neer te leggen.
[0:47:38] Nou, daar zit dus een zorg voor ons en daar hebben we dus ook vragen over gesteld die we ook opgenomen hebben in het PNC-fietsje.
[0:47:44] Hoe is de beveiliging geregeld?
[0:47:45] Hoe gaat NISA dat centrale meldpunt inrichten?
[0:47:49] En daar zien we ook wel alternatieve mogelijkheden waarbij je zonder, zeg maar, in te loggen en gegevens achter te laten, misschien wel via een website-achtige structuur, EU-breed, de nationale structuren kunt verbinden.
[0:48:05] Dus denk ik misschien...
[0:48:06] Er is wel winst te halen, maar in onze orgen...
[0:48:10] We hebben zorgen over als dat allemaal centraal op één punt bij een Europese instelling als de NISA gebeurt.
[0:48:17] Maar ik denk dat dat de twee perspectieven zijn ten aanzien van enerzijds gegevens onderbrengen of overhevelen naar een Europese instelling en anderzijds het kijken hoe kunnen we toch zoveel mogelijk drempelwaarden, meldtermijnen met elkaar harmoniseren.
[0:48:34] Dank u wel.
[0:48:36] Als ik nog mag aanvullen op de vraag van de heer Van den Berg.
[0:48:41] Ik denk dat het een relevante vraag is.
[0:48:43] Er is ook discussie over die termijn die in het voorstel staat dat je opgerekt wordt naar 96 uur en de huidige termijn is 72 uur.
[0:48:56] De oprekking van die termijn na 96 uur had ook vaak te maken met weekenden, bijvoorbeeld, die daartussen zitten.
[0:49:04] Maar er is inderdaad discussie over of die 96 uur niet te lang is.
[0:49:09] In ieder geval, wat ik wil opmerken, is dat het altijd gaat om een maximale termijn.
[0:49:15] Dus je kan altijd eerder melden, het in principe altijd onverwijderd melden, maar soms duurt het gewoon langer voordat je alle informatie compleet hebt.
[0:49:26] Ik denk ook, vanuit het kabinet denken we dat 72 uur een goede termijn is en dat die 96 uur aan de lange kant is.
[0:49:36] Dank u wel.
[0:49:38] Dank u wel.
[0:49:39] Mevrouw Swinkels.
[0:49:40] Ik had ook een vraag ten aanzien van de omnibus digitaal.
[0:49:46] Ik hoorde op een aantal punten ook dat u aangaf een alternatief zou beter zijn.
[0:49:51] Ten aanzien van de nationale veiligheid, ten aanzien van de centrale meldpunt op Europees niveau in plaats van op blijkbaar nationaal niveau.
[0:49:57] Ik was benieuwd in hoeverre is dat ook de kansrijke onderhandelingsstrategie door met alternatieven te komen.
[0:50:04] Op dit punt kan ik me voorstellen dat er misschien andere landen niet zo ver zijn als Nederland en dus een andere startpositie hebben qua kennisopbouw en infrastructuur.
[0:50:15] om daar wel of niet in mee te willen gaan.
[0:50:18] Terwijl je zou denken, elk land wil misschien wel gewoon die nationale bevoegdheid gewoon in het kader van veiligheid zelf houden.
[0:50:23] En diezelfde vragen over die alternatieven heb ik ook bij die uitzonderingsgrond voor residuele data en dat gerechtvaardig belang, waar ook net een collega al naar vroeg.
[0:50:36] Ik begrijp, Nederlandse inzet is dan meteen, wij willen graag de goede randvoorwaarden die nodig zijn.
[0:50:41] Wij willen graag een belangenafweging
[0:50:43] Mijn vraag is dus, zijn dit dan redenen om met alternatieven te gaan komen?
[0:50:52] Met wie stelt u die vraag?
[0:50:54] Ja, om te beginnen aan de heer Rinia, maar ik kan me ook voorstellen dat de heer Van den Berg wil reageren.
[0:51:04] Zal ik beginnen?
[0:51:05] Dank u wel voor de vraag.
[0:51:07] Nee, dat is zeker ook een onderhandelingsstrategie van het kabinet.
[0:51:12] En zoals de heer Lukas al aangaf, er zijn ook non-papers opgesteld die ook met uw Kamer zijn gedeeld, specifiek ook over het Single Entry Point op zes maartjongstleden, waar we bijvoorbeeld in de non-paper dat samen met Frankrijk, Duitsland, Italië, Zweden en Denemarken is opgesteld, waar we ook
[0:51:34] een aantal alternatieve richtingen beschrijven wat in onze ogen of in de ogen van het kabinet wel kansrijk zou kunnen zijn.
[0:51:44] Dus we proberen ook niet alleen maar zorgen uit te spreken of aandachtspunten over te brengen richting de Europese Commissie, maar ook heel nadrukkelijk te kijken van wat zou wel kunnen werken en daar ook met andere lidstaten dan kijken hoe het bij hun nationaal aansluit, bij hun nationale structuren.
[0:52:02] Dus dat onderschrijf ik.
[0:52:05] Dank u wel.
[0:52:10] En voorzitter, als ik het mag aanvullen richting het lid Swinkels.
[0:52:16] over meer de onderhandelingsinzet, als ik uw vraag zo een beetje mag begrijpen, maar vult u mij vooral aan als u toch een andere richting opvult met mijn antwoord.
[0:52:25] Ik hoop dat ik duidelijk was, maar bij het voorstel voor die verwerking van die residuele gegevens, daar hebben wij als Nederland het voorstel juist gedaan om deze mogelijkheid te schrappen.
[0:52:40] Dus dat is een, zeg maar, ook een amendement om juist te schrappen.
[0:52:46] En wij hebben op dit moment nog geen oog op een tussenweg in deze fase van de onderhandeling.
[0:52:54] Maar wat nog niet is, zou natuurlijk altijd kunnen komen, want ik denk wat de heer Lucas net zei, is juist dat je niet altijd alle punten, zeg maar, je inzet behaalt.
[0:53:08] Dank aan de twee heren voor de antwoorden.
[0:53:12] Ten laatste, dit bedoel ik precies, als wij nu zeggen we willen dit schrappen, je zou kunnen zeggen we houden het gewoon bij wat er lag, geen verruiming, hou het bij de oorspronkelijke
[0:53:25] definities, interpretaties, etc.
[0:53:27] Maar als dat gaat schuiven, dan ben ik dus benieuwd, u gaf aan, zegt vierde voorzitter, dat het ook heel veel tijd en moeite kan kosten om die gegevens weer te verwijderen voor bedrijven.
[0:53:39] En dat is dus de regeldruk blijkbaar die erachter schuil gaat.
[0:53:42] En dan ben ik benieuwd als wij dus met een amendering komen om dat te schrappen, komen wij dan met een alternatief hoe we dan toch
[0:53:51] bedrijven tegemoet kunnen komen om voor preventief maatregelen te nemen zodat ze überhaupt niet die data onnodig opslaan.
[0:53:59] Ik noem maar iets.
[0:54:00] Dan komen we dan met een andere maatregel.
[0:54:05] Ik probeer hier een beetje technisch op te reageren en mij te laten ontlokken tot een bepaalde mening hierover.
[0:54:13] Zeker niet, maar ik begrijp denk ik wel exact uw punt.
[0:54:17] Het punt is, ook al willen bedrijven die grote datasets verwerken niet bijzondere persoonsgegevens verwerken, kan het zijn natuurlijk dat die bijzondere persoonsgegevens worden aangetroffen in die datasets.
[0:54:29] En naarmate je meer verwerkt, is de kans natuurlijk groter dat die bijzondere persoonsgevens daarin worden aangetroffen.
[0:54:39] En wij proberen natuurlijk een balans te vinden.
[0:54:42] Enerzijds, hoe kunnen we de grondrechten hierbij op een juiste manier beschermen?
[0:54:48] En anderzijds natuurlijk ook...
[0:54:51] te kijken naar hoe bedrijven hiermee omgaan en hoe dit kan doorwerken op de regeldruk.
[0:55:02] Maar het is best ingewikkeld, dit artikel, om daar een goede balans in te vinden.
[0:55:08] En op dit moment is de Nederlandse positie in ieder geval dat wij voorstellen deze bepaling te schrappen.
[0:55:21] Heel goed, dank u wel.
[0:55:23] Dan ben ik aangekomen bij mevrouw Katman.
[0:55:24] Misschien een vraag?
[0:55:25] Ja, dank voorzitter.
[0:55:26] Ik heb een vraag over die AI-omnibus.
[0:55:29] Want het werd aangegeven dat we er niet op zitten te wachten dat het naar sectorale wetgeving wordt gebracht.
[0:55:38] En dat is vooral omwille van de tijd.
[0:55:40] Is er nog een argument behalve dan omwille van de tijd?
[0:55:46] Wat ik ook heb genoemd, een ander argument, dat is vooral dat het dan in allemaal verschillende wetten moet worden vastgelegd, waarbij de kans groot is dat het misschien net gaat verschillen.
[0:55:57] Terwijl als je het horizontaal vastlegt, in vergelijking met de AVG, alles wat over persoonsgeefs gaat, is in die wet geregeld.
[0:56:04] En daar zou je ook zeggen dat alle eisen over AI-systemen, dat dat ook centraal wordt geregeld in één wet.
[0:56:12] En dan krijg je geen verschillen in sectorale wetgeving.
[0:56:15] Maar dan kan je naar één wet verwijzen.
[0:56:18] Misschien nog één aanvulling.
[0:56:19] Dit is één van de redenen dat er een AI-act is gekomen.
[0:56:23] allerlei dimensies in alle facetten van de samenleving binnendringt.
[0:56:26] En er is gezegd, wij hebben juist voor deze systeemtechnologie, voor deze disruptieve technologie, één wettelijk kader, waarin je vanuit een aantal fundamentele principes eigenlijk de toepassing en de toelating tot onze markt en onze samenleving wilt reguleren, zodat daar een eenvormige praktijk voor de verantwoorde inzet van AI op ontstaat.
[0:56:48] En met sectorale wetgeving heb je dus het risico zoals door collega Van der Stoel geschetst.
[0:56:52] En we zien eigenlijk in algemene zin met de digitale wetgeving dat we juist proberen niet in sectorale wetgeving oplossingen te vinden, maar bijvoorbeeld via de NIS 2 of ook de CRA, de Cyber Resilience Act, dat is gewoon een algemeen marktoelating.
[0:57:04] voorstel voor digitaal verbonden producten om een cyberveiligheidsstandaard in de markt neer te zetten.
[0:57:09] En in feite doen we dat hiermee ook.
[0:57:11] We maken een AI-standaard voor producten en diensten die we gebruiken in onze economie en onze samenleving.
[0:57:17] Daarom zijn we, dat is eigenlijk een soort fundamenteel principe van dit stuk wetgeving, echt voorstander van het behoud van die aanpak.
[0:57:26] GESPREKSLEIDER DE JONGEREN DOOR ELKAAR
[0:57:27] Nog één korte vervolgvraag op, omdat we dus bijvoorbeeld ooit wel eens hebben gesproken over de Europese data verordening, de open data verordening.
[0:57:36] En daarin werd dan door experts gezegd, want daarvoor hadden we een ronde tafel, dat dus nu eigenlijk die handelingsverlegenheid vanuit die AVG die er is, dat heel vaak dingen niet gedeeld worden, terwijl dan uiteindelijk de AAP zegt dat mag wel, dat dat ook komt omdat wetgever en medewetgever eigenlijk niet zorgvuldig genoeg zijn geweest en juist bepaalde
[0:57:56] dingen niet in sectorale wetgeving zorgvuldig hebben geborgd.
[0:58:00] Omdat zowel de AVG als de AI-act eigenlijk kan wet te zijn.
[0:58:03] Zo zijn ze eigenlijk bedoeld om juist dingen mogelijk te maken.
[0:58:06] En dat zie je nu ook met de AVG, dat juist het soms het tegenstelde gebeurt.
[0:58:10] En bij de AI-voording is nou ook juist, laten we nou bepaalde dingen borgen, zorgvuldig, zodat alles, dan heb je dat geborgen en dan kan je gaan, zeg maar.
[0:58:20] Dus ik vraag me wel af van, dan is het misschien dat stuk wat u bedoelt, wat we dan misschien niet moeten doen.
[0:58:26] Maar zitten er niet dingen in die we misschien toch weer zorgvuldig aan sectoren moeten meegeven?
[0:58:31] Ga nou, want dat kan.
[0:58:37] Dat is in ieder geval wat ze toen vanuit de AVG aan ons hebben meegegeven.
[0:58:40] En dat we dat eigenlijk nog steeds achterstallig onderhoud zouden moeten doen in Nederland.
[0:58:49] Uw vraag bewoog zich uiteindelijk toe naar de AVG.
[0:58:55] Het komt omdat uw antwoord bewoog naar de AVG.
[0:58:57] Ik was onbewust aan het bewegen.
[0:59:03] Ik probeerde vooral de algemene inrichting van het hele digital rulebook te schetsen.
[0:59:10] Waarbij we juist hebben gezegd dat we een aantal algemene
[0:59:14] wettelijke kaders nodig om het digitale domein te organiseren en een consistente wetspraktijk vast te leggen.
[0:59:23] En de AI-Act past goed in die traditie.
[0:59:26] Dat is eigenlijk wat ik vooral wilde zeggen.
[0:59:29] En wij vinden dat ook belangrijk voor de AI-Act.
[0:59:31] Wij zijn daar voorstander van, of het kabinet, ook omdat we dus zien dat dit echt een heel belangrijk stuk digitale technologie is, waarvan wij het belangrijk vinden om daar goede afspraken over te maken, die in algemene zin gelden.
[0:59:48] Ja, laat ik het daar even bij houden.
[0:59:50] Nee, nee, nee.
[0:59:52] En in de vergelijking probeerde ik vooral...
[0:59:55] Ik wees bijvoorbeeld naar de CRA en de NIS2, waar ik zelf iets meer bekend mee ben, omdat we die vanuit de EZK ook actief mee implementeren of coördineren, zoals de CRA.
[1:00:07] En dat vind ik goede vergelijkingen.
[1:00:09] En als het over een vergelijking met de AVG...
[1:00:12] Het kan zijn dat die er is, maar die durf ik niet te maken, maar dat durft misschien collega Irinia wel.
[1:00:19] Dank u wel.
[1:00:20] Ja, we zijn eigenlijk een beetje door de tijd heen.
[1:00:22] Ik heb zelf eigenlijk nog één vraag, ter afsluiting.
[1:00:27] Is het nou zo dat er tussen de lidstaten geweldige grote verschillen bestaan en dat we daar allerlei discussies hebben?
[1:00:33] Of zijn de discussies vooral, de onderhandelingen vooral, met de commissie zelf en de lidstaten veel minder verschillend in hun individuele positie?
[1:00:41] Kun je daar iets over zeggen?
[1:00:44] Ik kan daar iets over zeggen.
[1:00:45] Tegelijkertijd gelden er ook informatieafspraken.
[1:00:47] Er is een praktijk ten aanzien van in hoeveel detail je kunt spreken over posities van lidstaten zolang de onderhandelingen nog lopen.
[1:00:57] Dus dan heb ik dat vastgezegd.
[1:01:00] En ook hier, als ik de splitsing maak, ik constateer dat de Raad is geconfigureerd op één positie bij de AI-omnibus.
[1:01:06] Dus daar zijn we, weliswaar door daar stevig over te onderhandelen.
[1:01:10] Dus er zaten verschillende vertrekpunten.
[1:01:11] Er zijn ook lidstaten die zeggen, alles wat ruikt of klinkt als simplificatie, moeten we doen.
[1:01:16] Nou, zo zitten wij erin.
[1:01:18] Laat ik het voor ons houden.
[1:01:19] Zo zit het kabinet er dus niet in.
[1:01:21] We kijken daar wel kwalitatief scherp naar.
[1:01:23] En we zijn heel tevreden dat er dus weer klank is op ook de positie die Nederland heeft ingenomen in de onderhandeling, want we vinden eigenlijk dat het overgrote deel van de kernpunten die wij hebben ingebracht zijn geadresseerd.
[1:01:34] Dus ik zie daar eigenlijk inderdaad best wel configentie en een eenduidige lijn.
[1:01:40] Bij de digitale omnibus, waar de overige onderdelen onder vallen, zitten we nog vroeger in het proces, maar positioneren wij ons ook daarop vanuit de inhoud op al die onderwerpen.
[1:01:52] En we zien op veel van die onderwerpen ook wel de weerklank.
[1:01:55] Dat woord werd ook door collega's gebruikt.
[1:01:57] Het helpt dus om, zoals wij dat doen, snel een positie in te nemen, daar goed naar te kijken, mandaat te halen via het visie in de Kamer, om vervolgens met een inhoudelijk inzet te komen en die steun te vinden.
[1:02:11] of we dat op alle onderwerpen helemaal gaan binnenhalen, die glazen bol heb ik niet.
[1:02:16] Ik heb niet het idee dat het een enorm gepolariseerde discussie is, maar hij staat wel onder tijdsdruk.
[1:02:22] En de bedoeling is wel om die AVG... Of die omnibussen, pardon, erdoor te krijgen uiteindelijk, om wel ook het doel overal wat er is, een vereenvoudiging van wetgeving en het verlagen van regel- en lastendruk, te realiseren.
[1:02:38] Maar wij zeggen daarbij, zonder de essentie van de wetgeving, te niet te doen of af te zwakken.
[1:02:43] Nou, dat is in één zin eigenlijk de essentie van onze positie.
[1:02:46] En ik kan wel zeggen dat dat echt wel weerklank vindt.
[1:02:50] Maar the devil is in the detail, om het in goed Nederlands te zeggen, voorzitter.
[1:02:56] Heel goed, heel veel dank.
[1:02:58] Nog een allerlaatste vraag?
[1:03:00] Die wilde ik heel kort.
[1:03:05] Wat ik alleen nog mis in de stuk is, als wij een Europese melding moeten doen bij Enisa, hoe lang duurt het dan vanuit Enisa, voordat het door wordt gezet, naar een nationale toezichthouder?
[1:03:19] Ik hoop dat het een heel kort termijn is.
[1:03:23] Korte antwoord.
[1:03:25] Volgens mij is dat nog niet helemaal duidelijk.
[1:03:27] Onze inzet zou echt zijn zo snel als mogelijk, want je moet daar nationaal dan ook mee aan de slag.
[1:03:32] Zowel het CSIRT, het Nationale Cybersecurity Centrum, of het sectorale CSIRT moet dan natuurlijk ook actie nemen richting de sectoren waar het om gaat.
[1:03:41] En de toezichthouder moet het ook snel weten.
[1:03:44] Eigenlijk moet dat via een technische voorziening dan zo snel als mogelijk.
[1:03:47] Maar ik weet niet helemaal scherp of er iets over staat in de voorstellen.
[1:03:52] En zo ja, wat er precies over staat.
[1:03:55] Maar dat zou wel onze inzet zijn.
[1:03:57] Oké, dan nogmaals hartelijke dank.
[1:04:00] Ik sluit de vergadering hierbij.