[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Verslag van een schriftelijk overleg over het ontwerpbesluit Derdenbesluit BRP

Modernisering Gemeentelijke Basisadministratie persoonsgegevens (GBA)

Verslag van een schriftelijk overleg

Nummer: 2022D53254, datum: 2022-12-12, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-27859-167).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 27859 -167 Modernisering Gemeentelijke Basisadministratie persoonsgegevens (GBA).

Onderdeel van zaak 2022Z24791:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2022-2023

27 859 Modernisering Gemeentelijke Basisadministratie persoonsgegevens (GBA)

Nr. 167 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 12 december 2022

De vaste commissie voor Binnenlandse Zake heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 17 juni 2022 over het ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 158) en over de 1 juli 2022 over de reactie op verzoek commissie over het verlengen voorhangtermijn voor het Ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 159).

De vragen en opmerkingen zijn op 7 september 2022 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 9 december 2022 zijn de vragen beantwoord.

De voorzitter van de commissie,
Hagen

De griffier van de commissie,
De Vos

Beantwoording schriftelijke vragen

1. Inleiding

Het verheugt mij dat de leden van de fracties van de VVD, D66 en SP kennis hebben genomen van de algemene maatregel van bestuur (AMvB) tot wijziging van het Besluit basisregistratie personen (Besluit BRP) in verband met het aanwijzen van werkzaamheden met gewichtig maatschappelijk belang (hierna: Derdenbesluit). De leden van voornoemde fracties hebben over het ontwerpbesluit verschillende vragen en opmerkingen. Ik dank de fracties voor hun bijdrage en ga graag in op de – hieronder gecursiveerde – vragen en opmerkingen. Hierbij is de indeling en volgorde van het verslag aangehouden. Achter de diverse vragen van de fracties is dikgedrukt het vraagnummer genoteerd zodat bij de beantwoording van vragen ook verwezen kan worden naar de beantwoording van andere vragen. Voordat ik inga op de afzonderlijke vragen, sta ik in algemene zin stil bij het wettelijke stelsel voor gegevensverstrekking uit de BRP, de waarborgen die daarbij gelden en het toezicht.

1.1 Verstrekking aan derden

Overheidsorganen, zoals DUO en UWV, krijgen gegevens uit de BRP omdat zij die nodig hebben om hun publieke taken uit te voeren. Ook een aantal organisaties buiten de overheid («derden») hebben toegang tot de BRP. Het gaat om partijen met belangrijke maatschappelijke taken zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Voor deze derden (niet-overheidsorganisaties) geldt dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang.

Overheidsorganen en derden (niet overheidsorganisaties), die aangesloten willen worden op het centrale BRP-systeem moeten daarvoor toestemming krijgen van de Minister van BZK. De Minister toetst of de organisatie een taak heeft waarvoor gegevens uit de BRP nodig zijn. Als dat zo is neemt de Minister een zogenaamd autorisatiebesluit. In dat besluit wordt precies beschreven welke gegevens van welke personen de organisatie mag opvragen en op welke manier de gegevens met de organisatie worden gedeeld. Het is dus niet zo dat een aangesloten organisatie automatisch toegang heeft tot de volledige BRP (alle gegevens van alle ingeschrevenen). De autorisatiebesluiten zijn openbaar: deze worden gepubliceerd in de Staatscourant en zijn ook te raadplegen op publicaties.rvig.nl.

Voor derden (niet-overheidsorganisaties) geldt – als gezegd – naast het autorisatiebesluit de voorafgaande eis dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang. Een dergelijke aanwijzing wordt in dit Derdenbesluit dat nu voorligt, voorgesteld voor de werkzaamheden van klinisch-genetische centra en levens- en natura-uitvaartverzekeraars. Juist omdat het organisaties buiten het overheidsdomein betreft, is deze voorafgaande eis van aanwijzing gesteld. In het Besluit worden de doelgroep (categorieën van derden) en de maximale set gegevens vastgesteld. Via de voorhangprocedure is parlementaire betrokkenheid bij de aanwijzing geborgd. Dit vereiste van aanwijzing met parlementaire betrokkenheid geldt niet voor verstrekking aan overheidsorganisaties, zoals DUO en UWV, waarbij een autorisatiebesluit volstaat.

1.2 Waarborgen, verantwoordelijkheidsverdeling en toezicht

Bij de verstrekking van gegevens uit de BRP gelden de volgende waarborgen. In de eerste plaats is de verstrekking transparant. De autorisatiebesluiten zijn zoals hiervoor aangegeven openbaar. Iedere burger kan verder bij de gemeente een overzicht opvragen van alle organisaties die zijn of haar gegevens uit de BRP hebben opgevraagd; het protocolleringsoverzicht. Dat overzicht geeft ook aan voor welke taken deze organisaties de gegevens uit de BRP gebruiken. Het protocolleringsoverzicht verwijst voor meer gedetailleerde informatie over de gegevens die gebruikt worden naar de autorisatiebesluiten op publicaties.rvig.nl. Ook kunnen burgers sinds 15 maart van dit jaar via MijnOverheid inzien welke organisaties automatisch BRP-gegevens krijgen uit de centrale voorziening als er een gegeven wijzigt, bijvoorbeeld bij verhuizing. Het gaat om een gepersonaliseerd overzicht. Bij iedere organisatie wordt uitgelegd waarvoor de BRP-gegevens worden verstrekt.

In de tweede plaats wordt de verstrekking aan geautoriseerde overheidsorganen en derden gelogd en geprotocolleerd door de Rijksdienst voor Identiteitsgegevens, onderdeel van het Ministerie van BZK (hierna RvIG). Dit gebeurt ten behoeve van de veiligheid en het recht van de burger op inzage in het gebruik van de BRP. Overheidsorganen en derden zijn op grond van de AVG verplicht om de gegevensverwerking te loggen.

In de derde plaats dient de ontvanger van gegevens (hier: de «derde») technisch aan te sluiten op de centrale voorziening van de BRP; hiervoor gelden strenge eisen. Zo zal de systematische verstrekking aan derden plaatsvinden in overeenstemming met de systeembeschrijving van de BRP. De systeembeschrijving bevat voorschriften over de technische en administratieve inrichting, werking en beveiliging van de BRP en over de berichtuitwisseling met de ontvangers van gegevens. Op grond van artikel 5 van het Besluit BRP dient een organisatie er zorg voor te dragen dat haar eigen voorzieningen functioneren in overeenstemming met deze voorschriften. Afnemers kunnen via een eigen applicatie toegang krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V). De verstrekking gaat via een besloten systeem (Diginetwerk) en er geldt de internationale standaard voor authentiseren en het versleutelen van communicatie (PKI overheid certificaat).1

Ten slotte is er het toezicht. Op grond van artikel 4.1 van de Wet BRP is de Autoriteit Persoonsgegevens (AP) belast met het toezicht op de naleving van de Wet BRP. Als het gaat om het gebruik van persoonsgegevens door de ontvanger zelf (de derde), geldt dat het de zelfstandige verantwoordelijkheid is van deze ontvanger om zich te houden aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te voorkomen. Ook hierbij geldt dat de AP belast is met het toezicht.

Vragen en opmerkingen van de leden van de VVD-fractie en reactie van de bewindspersoon

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit Derdenbesluit BRP, dat betrekking heeft op klinisch genetische centra en levens- en natura-uitvaartverzekeraars. Allereerst merken deze leden op dat betrokken burgers baat kunnen hebben bij datgene wat in dit besluit wordt voorgesteld. De memorie van toelichting geeft dat wat hen betreft goed aan.

Graag willen zij de Staatssecretaris een aantal vragen stellen. Als het gaat om de toegang tot de Basisregistratie Personen (BRP) voor klinisch genetische centra begrijpen de leden van de VVD-fractie het toch goed dat de gegevens van familieleden pas worden opgevraagd als de patiënt in kwestie, die die gegevens niet heeft, toestemming geeft voor het opvragen daarvan bij de BRP? Hoe verhoudt het opvragen van die gegevens zich tot het principe van het «recht op niet-weten» van familieleden? Verandert daar iets aan? Graag krijgen deze leden een nadere verduidelijking. (1)

De leden van de VVD-fractie constateren terecht dat de voorgestelde BRP-raadpleging van gegevens van familieleden door klinisch genetische centra pas mogelijk is als de patiënt in kwestie daar toestemming voor geeft. Deze voorwaarde is expliciet in het Derdenbesluit opgenomen. De mogelijkheid om gegevens op te vragen uit de BRP doet geen afbreuk aan het «recht op niet-weten». Het Derdenbesluit stelt slechts regels over het bevragen van de BRP en brengt geen verandering in de kaders die gelden voor het uitvoeren van klinisch genetisch onderzoek zelf. Hiertoe is door de Vereniging van Klinische Genetica Nederland (VKGN) de Richtlijn Informeren van familieleden bij erfelijke aandoeningen opgesteld.2 De richtlijn geeft de arts een (ethisch) kader en stappenplan3 om te bepalen of het gezien de uitkomsten van het erfelijkheidsonderzoek nodig is om familieleden te informeren over een erfelijke aanleg in de familie en zo ja, welke familieleden het betreft. In dat kader wordt onder meer aandacht besteed aan het recht op niet-weten.

Met betrekking tot de levens- en natura-uitvaartverzekeraars geldt dat «spontane» verstrekking van het overlijdensgegeven beperkt blijft tot personen die bij de betreffende verzekeraar verzekerd zijn. De leden van de VVD-fractie achten het op zich begrijpelijk dat een en ander beperkt is tot de personen die bij de verzekeraar zijn verzekerd. Maar hoe gaat dat dan in praktische zin? In de BRP is toch niet vastgelegd welke persoon bij welke verzekeraar is verzekerd? Graag krijgen deze leden een verduidelijking. (2)

De leden van de VVD-fractie constateren terecht dat in de BRP niet is vastgelegd wie bij welke verzekeraar verzekerd is. De volgende werkwijze is dan ook voorzien. Na de aanwijzing zal per verzekeraar een technische en juridische autorisatie (aansluiting) op de BRP plaatsvinden. De verzekeraar plaatst in de BRP een zogenaamde afnemersindicatie bij de persoonslijsten van de personen die bij hem verzekerd zijn. Vervolgens krijgt de verzekeraar enkel spontaan het overlijdensgegeven verstrekt als het een persoon betreft bij wie de afnemersindicatie is geplaatst. Zo wordt voorkomen dat meldingen worden verstuurd over andere personen, buiten de reikwijdte van de autorisatie. De verzekeraar is verplicht om de afnemersindicatie te verwijderen wanneer de verzekerde geen klant meer is, als zijn gegevens niet meer nodig zijn. Dit alles is overeenkomstig de werkwijze bij partijen die op dit moment al aangesloten zijn op de BRP voor spontane gegevensverstrekking. Een voorbeeld is de zorgverzekeraar, die ook enkel spontaan BRP-gegevens verstrekt krijgt over personen die bij hem verzekerd zijn.

Met betrekking tot het verzoek van de Kamercommissie voor Binnenlandse Zaken om het Derdenbesluit BRP ná het advies van de Raad van State te mogen ontvangen, vragen de leden van de VVD-fractie om een nadere verduidelijking van het standpunt van de regering om dat verzoek niet te willen honoreren. Wat is er op tegen om dit Derdenbesluit BRP, zoals het luidt na ontvangst van het advies van de Raad van State, naar de Tweede Kamer te sturen? (3)

Ik heb begrip voor de wens van de leden van de VVD-fractie om kennis te krijgen van het advies van de Raad van State en zal uw Kamer dan ook informeren over het moment van openbaarmaking van dit advies.4 In mijn brief aan uw Kamer van 17 juni jongstleden heb ik aangegeven dat de Wet BRP voor deze AMvB een voorhangprocedure heeft voorgeschreven, waardoor het concept vóór de advisering door de Raad van de State aan de Eerste en de Tweede Kamer wordt voorgelegd. Deze voorhangvariant is in de praktijk de meest gebruikte vorm van gecontroleerde delegatie omdat hierin maximale flexibiliteit bestaat om rekening te houden met opmerkingen vanuit het parlement, zoals de door uw Kamer gestelde vragen. Het verwerken van opmerkingen vanuit het parlement, in een nagehangen AMvB zou immers een wijziging van een reeds vastgestelde AMvB vereisen en, indien de wijzigingen van ingrijpende aard zijn, tot een hernieuwde adviesaanvraag bij de Raad van State leiden. Ik hecht er waarde aan om het proces te volgen zoals in de Wet BRP is voorgeschreven door de wetgever. Dit betekent dat ik uw Kamer zal informeren over het openbaar worden van het advies van de Raad van State, maar er niet een zogenaamde nahangprocedure is, waarin de Kamer zich binnen een vastgestelde termijn kan uitspreken over het advies van de Raad van State en de reactie daarop van het kabinet, voordat het Derdenbesluit in werking treedt. Een en ander laat de inzet van het reguliere instrumentarium van uw Kamer, zoals het stellen van vragen en agenderen van debatten onverlet.

Vragen en opmerkingen van de leden van de D66-fractie en reactie van de bewindspersoon

De leden van de D66-fractie hebben kennisgenomen van het ontwerpbesluit Derdenbesluit BRP en hebben hierover vragen en opmerkingen. De leden van de D66-fractie vinden dat de overheid altijd voorzichtig moet zijn met het delen van persoonsgegevens van onze burgers aan private partijen. Deze leden snappen dat het delen van persoonsgegevens soms noodzakelijk is om werkzaamheden van gewichtig maatschappelijk belang te kunnen verrichten. Zij verwachten echter dat de overheid daar te allen tijde zorgvuldig mee omgaat. Deze leden zijn enigszins teleurgesteld over het feit dat de categorieën, de set van persoonsgegevens en de wijze van verstrekking niet in dit besluit worden vastgelegd, maar elders in het proces namelijk in het autorisatiebesluit. Zij zijn van mening dat de leden van de Tweede Kamer namelijk een voorhangprocedure hebben gevraagd om voorafgaand te weten door wie, op welke wijze en op welk moment de gegevens van burgers aan derden worden verstrekt. De leden van de D66-fractie zijn benieuwd in hoeverre de handhaving van de bescherming persoonsgegevens van de burgers en de financiële dekking van dit besluit voldoende worden gewaarborgd. Deze leden willen de Staatssecretaris nog enkele (kritische) vragen voorleggen.

Het informeren van familieleden van een patiënt bij een geconstateerde erfelijke aandoening (klinisch genetische centra)

De leden van de D66-fractie hebben kennisgenomen van het verzoek van de Vereniging van Klinische Genetica Nederland (hierna VKGN), om naast gegevens ten behoeve van het opsporen en analyseren van mogelijke erfelijke aspecten van aangeboren afwijkingen, ook gegevens te verstrekken ten behoeve van het informeren van familieleden van patiënten bij wie een erfelijke aandoening is geconstateerd. Deze leden vragen aan de Staatssecretaris welke persoonsgegevens de VKGN precies nodig heeft en op welke familieleden dit besluit betrekking heeft? Deze leden vragen aan de Staatssecretaris of zij nader kan toelichten waarom het raadplegen van bijvoorbeeld een bsn-nummer van belang is om de familie te informeren? Zij vragen in hoeverre een naam en adres alleen voldoende zijn? (4)

De aanwijzing van klinisch genetische centra in dit Derdenbesluit bevat een beperking in de set gegevens die ten hoogste op grond van een autorisatiebesluit aan klinische genetische centra verstrekt kunnen worden. Het betreft hier de gegevens over de naam, de ouders en kinderen, het adres, het burgerservicenummer (hierna: BSN) en het naamgebruik van de ingeschrevene. Het BSN is nodig om de juiste personen te kunnen vinden in BRP. Dit werkt als volgt. Als de gegevens over familieleden niet op een andere wijze (via de patiënt) achterhaald kunnen worden en de patiënt vervolgens toestemming geeft om de BRP te bevragen, dient eerst de persoonslijst van de patiënt gezocht te worden in de BRP. Dit gebeurt aan de hand van het BSN. Door het BSN in te voeren in het BRP-systeem kan met zekerheid de juiste persoonslijst worden opgehaald en niet die van een andere persoon met bijvoorbeeld dezelfde naam en geboortedatum. Vervolgens kan de arts op de persoonslijst van de patiënt zien wie de gerelateerden (ouders en kinderen) zijn, en als nodig via de persoonslijsten van die gerelateerden de persoonslijsten van verdere verwanten (bijvoorbeeld neven en nichten) raadplegen. Het is aan de arts om te bepalen welke familieleden geïnformeerd dienen te worden. Er zijn in deze stappen (het vinden van persoonslijsten) in ieder geval identificerende persoonsgegevens van gerelateerden (naam en geboortedatum) nodig om persoonslijsten van deze personen te vinden. De reden hiervoor is dat – anders dan bij de patiënt – de arts niet bevoegd is om het BSN van gerelateerden te verwerken. Als de juiste persoon is gevonden in de BRP worden diens adresgegevens en de naam gebruikt om de persoon aan te schrijven.

Levensverzekeraars en natura uitvaartverzekeraars

De leden van de D66-fractie hebben kennisgenomen van het verzoek van levensverzekeraars en natura-uitvaartverzekeraars (hierna gezamenlijk: verzekeraars), om in plaats van de gemeentelijke verstrekking, systematische verstrekking uit de BRP mogelijk te maken.

Deze leden vragen aan de Staatssecretaris om nader te verduidelijken waarom de huidige regeling van gemeentelijke verstrekkingen onvoldoende is om de problematiek van slapende polissen op te lossen. (5) Zij vragen de Staatssecretaris om nader toe te lichten op welke wijze wordt gewaarborgd dat alleen bevoegde personen van de verzekeraars toegang hebben tot de persoonsgegevens. Deze leden vragen aan de Staatssecretaris hoe het «lekken» van deze persoonsgegevens wordt voorkomen. (6)

De gemeentelijke verstrekkingen bieden onvoldoende oplossing voor de problematiek van de slapende polissen omdat de verzekeraar niet altijd kennis zal hebben van het overlijden van de verzekerde. Daardoor is het niet goed mogelijk voor de verzekeraar om op het juiste moment (direct na overlijden) schriftelijk BRP-gegevens op te vragen bij het college van B&W. De aanwijzing in bijlage 4 betekent dat verzekeraars toegang krijgen tot systematische gegevensverstrekking uit de BRP. Bij systematische gegevensverstrekking is het mogelijk dat uit de BRP spontaan (automatisch) mutaties in de gegevens van een ingeschrevene worden verstrekt, zonder dat daarvoor een zoekvraag van de ontvanger (hier: verzekeraar) nodig is. Zie aanvullend hierop het antwoord op vraag 2.

Voor wat betreft het «lekken» van persoonsgegevens is het volgende van belang. Het is de zelfstandige verantwoordelijkheid van de ontvanger van gegevens om zich te houden aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te voorkomen. Hiernaast geldt dat de verstrekking aan geautoriseerde overheidsorganen en derden wordt geprotocolleerd door RvIG. Dit gebeurt ten behoeve van de veiligheid en het recht van de burger op inzage in het gebruik van de BRP. Overheidsorganen en derden zijn op grond van de AVG verplicht om de gegevensverwerking te loggen.

Verder dient de ontvanger van gegevens (hier: de «derde») technisch aan te sluiten op de centrale voorziening van de BRP; hiervoor gelden strenge eisen. Afnemers kunnen via een eigen applicatie toegang krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V). De afnemer aangesloten zijn op Diginetwerk. Diginetwerk is een publiek-private samenwerking waarover Logius, in opdracht van het Ministerie van BZK, de regie voert. Door het besloten karakter is Diginetwerk een veiliger alternatief voor het open internet. Om toegang te kunnen krijgen tot BRP-V dient de betreffende afnemer bovendien te beschikken over een «PKI overheid-certificaat». PKI staat voor Public Key Infrastructure. Dit is de internationale standaard voor authentiseren en het versleutelen van communicatie tussen systemen. Beide systemen (afnemer en BRP-V) stellen daarmee «elkaars identiteit» vast. Ten slotte verwijs ik naar de inleiding, onder 1.2, waar ik ben ingegaan op de waarborgen en toezicht in het BRP-stelsel.

Gewichtig maatschappelijk belang en noodzaak gegevensverstrekking

De leden van de D66-fractie hebben kennisgenomen van het feit dat van de actuele gegevens over de begunstigde, de verzekerde en de verzekeringsnemer kunnen worden opgevraagd. Deze leden vragen de Staatssecretaris om verder te concretiseren welke actuele persoonsgegevens worden opgevraagd van bovengenoemde belanghebbenden. (7)

Voorzien is dat de verzekeraar op basis van een zoekvraag (ad hoc), als bedoeld in artikel 37, eerste lid, onder c van het Besluit BRP gegevens uit de BRP verstrekt kan krijgen. Deze mogelijkheid kan gebruikt worden om actuele gegevens van de verzekerde, verzekeringsnemer en potentiële begunstigden te achterhalen, voor zover die nog niet bij de verzekeraar bekend zijn. Omdat verzekeraars voor deze werkzaamheden niet bevoegd zijn om het BSN te verwerken zullen personen (potentiële begunstigden) in de BRP gevonden moeten worden aan de hand van een set identificerende gegevens (zoals naam en geboortedatum). Van deze begunstigden kunnen vervolgens adresgegevens worden opgevraagd uit de BRP om met hen in contact te komen.

Clausulering van de werkzaamheden en de beperking van gegevens die kunnen worden verstrekt

De leden van de D66-fractie hebben kennisgenomen van het voornemen om bij algemene maatregel van bestuur (AMvB) te borgen dat opgevraagde informatie niet wordt gebruikt voor commerciële doeleinden. Deze leden willen graag weten op welke wijze de Staatssecretaris erop zal toezien dat de verzekeraars zich beperken tot wat noodzakelijk is voor de verwerking van de doeleinden en dat zij niet bewust of onbewust deze gegevens toch inzetten voor commerciële doeleinden. Kan de Staatssecretaris nader toelichten hoe monitoring en handhaving hierop is georganiseerd en door wie? (8)

Er mogen nooit willekeurig gegevens worden opgevraagd. Voor iedere organisatie die op de BRP is aangesloten (de gebruikers) wordt nauwkeurig getoetst welke gegevens over welke personen zij nodig heeft om haar taken uit te voeren. Daarbij wordt ook bepaald op welke wijze de gegevens worden verstrekt. In het kader van de totstandkoming van het Derdenbesluit ben ik reeds in goed overleg met het Verbond van Verzekeraars, de belangenvereniging van schade- en levensverzekeraars in Nederland, over het voorziene gebruik van de BRP. Ook het autorisatiebesluit zal tot stand komen in samenwerking met het Verbond, waarbij aandacht zal zijn voor voorlichting en instructie aan verzekeraars over het gebruik van de BRP.

Voor de verdere verwerking van persoonsgegevens, door de ontvanger (hier: verzekeraar) geldt dat deze plaatsvindt onder de AVG en de UAVG, waarbij de AP toezichthouder is.

De leden van de D66-fractie hebben kennisgenomen van het voornemen van de Staatssecretaris om per individuele verzekeraar nader te bepalen welke categorieën van persoonsgegevens worden verstrekt. Deze leden vragen aan de Staatssecretaris waarom zij er niet voor kiest om een beperkte lijst van persoonsgegevens op te stellen en dat deze dan voor alle verzekeraars geldt, in plaats van met elke verzekeraar een aparte lijst op te stellen. Zij vragen de Staatssecretaris hoe de waarborging van persoonsgegevens gemonitord wordt, als zij met verschillende verzekeraars verschillende afspraken erop nahoudt. (9)

Het is niet mijn bedoeling dat er verschillende afspraken worden gemaakt. Verzekeraars zullen voor dezelfde taken dezelfde categorieën persoonsgegevens verstrekt krijgen. In het kader van de aansluiting op de BRP zal dan ook voor levens- en natura-uitvaartverzekeraars een zogenaamde modelautorisatie worden opgesteld, waarnaar in de individuele autorisaties wordt verwezen. Een modelautorisatie is van toepassing op een groep gebruikers van de BRP met dezelfde taken, doelgroepen en gegevensbehoefte. Iedere gebruiker die onder de modelautorisatie valt, wordt op dezelfde wijze geautoriseerd. Iedere individuele verzekeraar krijgt vervolgens wel een eigen autorisatiebesluit omdat er ook in technische zin sprake is van een eigen aansluiting op de BRP en de aansluiting steeds beperkt is tot de eigen doelgroep van de verzekeraar (verzekerden/ potentiële begunstigden). Deze autorisatiebesluiten worden gepubliceerd in de Staatscourant en op publicaties.rvig.nl.

Inbreuk op de persoonlijke levenssfeer

De leden van de D66-fractie hebben kennisgenomen van de juridische onderbouwing van dit besluit. Deze leden zijn van mening dat op papier de doelstellingen voldoende juridische onderbouwing heeft, maar dat vanwege het gebrek aan informatie over het autorisatiebesluit dat niet voldoende is vastgesteld. Zij zijn van mening dat in dat besluit wordt bepaald welke categorieën persoonsgegevens daadwerkelijk worden gedeeld met private partijen in dit geval klinische centra en verzekeraars. Zij vragen of de Staatssecretaris alsnog bereid is om het autorisatiebesluit te voorzien met een juridische onderbouwing en de Tweede Kamer daarover te informeren. (10)

In het autorisatiebesluit wordt naast de vaststelling van de gegevensset ook de juridische onderbouwing (grondslag) voor gegevensverstrekking aangegeven, die grondslag is gelegen in de Wet BRP en dit Derdenbesluit (de aanwijzing tot derde). Het autorisatiebesluit kan daarom nooit meer of andere gegevens bevatten dan opgenomen in deze AMvB. Ik begrijp de wens van de leden van D66-fractie om inzicht te krijgen in de autorisatiebesluiten en ik zal uw Kamer informeren over het moment van openbaar worden van deze besluiten. De autorisatieprocedure (feitelijke aansluiting van betreffende organisaties) zal naar verwachting op het moment van inwerkingtreding van dit besluit nog niet afgerond zijn. Dit betekent overigens niet dat deze organisaties vooruitlopend daarop alvast gegevens uit de BRP (mogen) ontvangen. Dat gebeurt pas op het moment dat de autorisatiebesluiten zijn vastgesteld.

Doelbinding en minimale gegevensverwerking

De leden van de D66-fractie hebben kennisgenomen van de doelstellingen van het autorisatiebesluit dat per individuele derde partij wordt afgesloten. Deze leden vragen aan de Staatssecretaris om nader toe te lichten of de algemene maatregel van bestuur ten aanzien van de autorisatiebesluiten wederom worden getoetst door de Autoriteit Persoonsgegevens (AP). (11)

Het Derdenbesluit bevat, in samenhang met de Wet BRP, de juridische onderbouwing voor de gegevensdeling. Daarbij is in de nota van toelichting uitvoerig ingegaan op de privacyaspecten; de toetsing aan de Grondwet, het EVRM en de AVG. De AMvB met deze onderbouwing is, conform hetgeen de AVG voorschrijft, getoetst door de AP. Het autorisatiebesluit bevat geen zelfstandige weging van deze privacyaspecten en zal dan ook niet separaat getoetst worden door de AP.

Risico’s en maatregelen

De leden van de D66-fractie vragen aan de Staatssecretaris om nader uit te leggen welke risico’s van oneigenlijk gebruik van persoonsgegevens door derden veelal niet te handhaven zijn voor de AP. Daarnaast vragen deze leden aan de Staatssecretaris om concreet uiteen te zetten wat de mogelijke risico’s voor burgers zijn indien door systematische verwerkingen verzekeraars toch onjuiste informatie ontvangen. Zij vragen wat die mitigerende omstandigheden concreet inhouden. (12)

Vooropgesteld wordt dat de kwaliteit van de gegevens in de BRP hoog5 is, waardoor het risico op de verstrekking van onjuiste informatie klein is. Een fout in een BRP-gegeven (bijvoorbeeld omdat een verhuizing niet is doorgegeven) kan er voor verzekeraars en klinisch genetische centra toe leiden dat zij ook met de BRP de betrokkene (begunstigde of familielid) niet kunnen bereiken. Er ontstaat dan niet een nieuw risico voor burgers. De BRP heeft dan alleen niet de beoogde toegevoegde waarde: het kunnen bereiken van personen die door de verzekeraar/ arts zelf niet gevonden worden. Voor wat betreft het toezicht door de AP geldt dat de AP zelf beleid (prioritering) heeft omtrent toezicht en handhaving.

Regeldrukeffecten

De leden van de D66-fractie hebben kennisgenomen van kosten voor derden indien zij gegevensverstrekking nodig hebben vanuit de BRP. Deze leden vragen aan de Staatssecretaris of zij bereid is om de uitvoeringslasten jaarlijks te monitoren en deze mee te nemen in de evaluatie. Zij vragen verder of de regeldruk voor gemeenten en voor de AP ook is meegenomen in het kostenplaatje en of de Staatssecretaris bereid is deze extra kosten voor AP en gemeenten te monitoren en ook mee te nemen in de evaluatie. (13)

Er is voor wat betreft deze derdenaanwijzing geen evaluatie voorzien. Naast eenmalige kosten voor de aansluiting op de BRP dragen alle gebruikers samen (overheidsorganen en derden) bij in de kosten van de BRP-voorzieningen. De hoogte van de bijdrage van een organisatie hangt af van het aantal verstrekkingen uit de BRP aan die organisatie. Voor wat betreft de gemeenten zal deze AMvB niet leiden tot extra kosten; de verstrekkingen aan verzekeraars en klinisch genetische centra worden door BZK/ RvIG zelf uitgevoerd. Voor de AP geldt dat zij gefinancierd wordt om het toezicht op het BRP-stelsel als geheel uit te voeren. De verstrekking aan derden valt daaronder.

Meer risico’s op datalekken en onrechtmatig gebruik van gegevens

De leden van de D66-fractie vragen aan de Staatssecretaris hoe zij van plan is te waarborgen dat private partijen die nu toegang krijgen tot de BRP geen misbruik maken van de door hen opgevraagde gegevens. Deze leden willen weten hoe hierop zal worden gehandhaafd. Kan de Staatssecretaris een schets maken van de handhaving (niet alleen van het toezicht)?(14)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure en het toezicht door de AP.

De leden van de D66-fractie vragen of de Staatssecretaris bereid is het verbod om commercieel gebruik van data van onze burgers niet alleen in een AMvB te zetten, maar ook wettelijk vast te leggen (15). Deze leden vragen in hoeverre de autorisatiebesluiten door burgers gemakkelijk te raadplegen zijn. Zij vragen de Staatssecretaris of het mogelijk is om dit soort besluiten te ontsluiten via het MijnOverheid-platform zodat een burger kennis heeft van welke van haar persoonsgegevens door welke instanties gezien en geraadpleegd worden. (16)

Persoonsgegevens mogen op grond van de AVG alleen voor vooraf welbepaalde doeleinden verwerkt worden. Het is, gelet op de aanwijzing in dit besluit, onrechtmatig om gegevens voor andere doeleinden, waaronder commerciële, te verwerken. Voor wat betreft de raadpleegbaarheid van de autorisatiebesluiten en de inzagemogelijkheden voor de burger verwijs ik naar de inleiding, onder 1.2.

De leden van de D66-fractie lezen dat de Staatssecretaris betoogt dat de wet zich beperkt tot de grondslagen voor het bijhouden en de verstrekking van de BRP-gegevens. Door middel van deze AMvB wordt de verstrekking uitgebreid. Tegelijkertijd wordt gesteld dat er veel waarborgen zijn (op papier), maar geen handhaving op oneigenlijk gebruik van de belangrijkste gegevens van onze burgers. Deze leden vragen of de Staatssecretaris hierop kan reflecteren. Zij vragen zich tevens af of het dan verstandig is grondslagen van verstrekking uit te breiden. (17)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op het wettelijke stelsel voor gegevensdeling met partijen buiten de overheid, de autorisatieprocedure en het toezicht door de AP.

De leden van de D66-fractie zijn van mening dat er uiterst zorgvuldig moet worden omgegaan het verstrekken van persoonsgegevens van burgers aan derden. Deze leden moeten helaas concluderen dat in het besluit onvoldoende uiteen is gezet welke garanties er zijn dat er daadwerkelijk zorgvuldig hiermee wordt omgegaan. De leden van de D66-fractie constateren dat de Staatssecretaris stelt dat er bij de aanwijzing staat dat de verzekeraar geen commercieel gebruik mag maken van de gegevens uit de BRP. Tegelijkertijd staat dit niet in de wet en lezen deze leden onvoldoende terug dat er iets aan handhaving wordt gedaan. Deze leden stellen dat bij de wet is geregeld dat wij maximale snelheden hanteren op onze wegen, maar zonder adequate handhaving zijn wetten papieren tijgers. Zij vragen aan de Staatssecretaris waarom er weinig tot geen handhaving of toezicht is op dit besluit. Deze leden vragen aan de Staatssecretaris in hoeverre een audit zo nu en dan niet op zijn plaats zou zijn. Bijvoorbeeld op de reguliere evaluaties van de wet BRP? (18)

Ik deel de visie van de leden van de D66-fractie dat bij dergelijke (verbods)regels over de verwerking van persoonsgegevens ook een stelsel van toezicht en handhaving hoort. De in deze AMvB gestelde regels staan niet op zichzelf, maar zijn de invulling van normen die volgen uit de AVG; bijvoorbeeld de beginselen van doelbinding en dataminimalisatie. Gegevensverwerking mag niet verder gaan dan noodzakelijk is om het doel (waarvoor de gegevens verstrekt zijn) te bereiken. Voor de verwerking van BRP-gegevens gelden aldus in hoofdzaak geen andere uitgangspunten dan voor de verwerking van persoonsgegevens die uit andere (overheids)bronnen of rechtstreeks van de burger zelf afkomstig zijn. Dit verklaart ook waarom er voor het gebruik van BRP-gegevens geen bijzonder toezichtregime geldt, naast het reguliere toezicht dat wordt gehouden door de AP. Dit neemt niet weg dat ik begrip heb voor de zorgen zoals geuit door de leden van de D66-fractie. Ik ben dan ook voornemens deze te bespreken met de AP. Ik zal daarbij stilstaan bij de inrichting van het toezicht, specifiek met betrekking tot het gebruik van BRP-gegevens.

Gegevens mogen alleen worden gedeeld met partijen met publieke taken, niet met private partijen

De leden van de D66-fractie begrijpen dat er ook private partijen zijn met publieke taken. Daarom is verstrekking van BRP-gegevens soms noodzakelijk. Deze leden vragen aan de Staatssecretaris of de overheid naar aanleiding, of ten behoeve van deze nieuwe verstrekking aan derden, zelf ook nieuwe BRP-gegevens gaat verzamelen van burgers. Zo ja, over welke gegevens gaat het dan?(19)

Dat is niet aan de orde. Het Derdenbesluit voorziet niet in een uitbreiding van de gegevens die over burgers geregistreerd worden. De derden (verzekeraars en klinisch genetische centra) kunnen dan ook slechts gegevens ontvangen die op dit moment al geregistreerd worden.

Zorgen over verrijking van BRP-gegevens met andere (bijzondere) persoonsgegevens verzameld door de derden die de BRP gegevens ontvangen

De leden van de D66-fractie onderschrijven deze zorgen. Het antwoord dat de Staatssecretaris geeft op deze vraag is alleen niet zo bevredigend. Deze leden vragen of de Staatssecretaris erkent dat er bij de AP hierop toegezien kan worden en dat er wel meerdere organisaties zijn die niet voldoen aan de AVG. Zij vragen of de Staatssecretaris bereid is een voorwaarde of een aanwijzing toe te voegen bij deze verstrekking aan derden, die stelt dat derde partij in dit geval de nieuwe en extra verkrijgbare gegevens nooit mogen combineren met hun bestaande databases over hun cliënten, met uitzondering van de status wel/niet overleden uiteraard. (20)

Verrijking van BRP-gegevens dient beschouwd te worden als een verdere verwerking als die verrijking een ander doel dient dan waarvoor de gegevens verstrekt zijn. Het is aldus niet nodig om daarvoor een aparte voorwaarde of aanwijzing toe te voegen. In de inleiding en het antwoord op vraag 15 ben ik hier nader op ingegaan.

Autoriteit Persoonsgegevens

De leden van de D66-fractie hebben kennisgenomen van de beoordeling van de AP. De AP constateert zeer terecht dat toelichting nodig is over de categorieën personen over wie de verzekeraar spontaan een overlijdensmeldingen uit de BRP gaat ontvangen. Deze leden vinden het opmerkelijk dat dit besluit niet de doelgroep, de gegeven set of de wijze van verstrekking vastlegt. Zij willen weten waarom de Staatssecretaris er voor gekozen heeft om deze drie zaken in een autoriteitsbesluit vast te leggen en niet in een AMvB? Welke status heeft een autoriteitsbesluit in het democratische proces van wetgeving? Is het door Kamerleden in te zien? En zo nee, is de Staatssecretaris bereid de autorisatiebesluiten met de Kamer te delen (al dan niet vertrouwelijk)? (21)

De autorisatiebesluiten zijn openbaar en worden gepubliceerd in de Staatscourant en op publicaties.rvig.nl. Ik zal uw Kamer informeren over het moment van openbaarmaking van deze besluiten. Verder verwijs ik naar de inleiding, onder 1.1, voor een toelichting over de status van het autorisatiebesluit binnen het wettelijke stelsel voor gegevensverstrekking aan derden.

Afsluiting

De leden van de D66-fractie vragen of de Staatssecretaris kan schetsen wat er gebeurt in het geval van een ««false positive»»? Met andere woorden, wat gebeurt er als de BRP een fout maakt en geautomatiseerd een overlijdensmelding naar een verzekeraar stuurt? Deze leden vragen de Staatssecretaris of zij nader kan toelichten waar de bewijslast ligt en hoe een persoon kan bewijzen dat die nog in leven is. (22)

De overlijdensmelding wordt gestuurd wanneer de datum van overlijden, zoals opgenomen in de overlijdensakte in de Burgerlijke Stand in de BRP is overgenomen. De kans dat er – op basis van een onjuiste akte – onterecht een overlijdensmelding wordt verstuurd is zeer gering. Verder is van belang dat een verzekeraar niet op basis van een enkele melding in de BRP een beslissing zal nemen over bijvoorbeeld het recht op uitkering van gelden. Het signaal (van overlijden) uit de BRP is slechts de aanleiding om nader onderzoek (naar begunstigden) te doen. De BRP-verstrekking brengt geen verandering in eventuele bewijslasten van de verzekerde jegens de verzekeraar.

Vragen en opmerkingen van de leden van de SP-fractie en reactie van de bewindspersoon

De leden van de fractie van de SP hebben het ontwerpbesluit Derdenbesluit BRP gelezen en hebben hierover nog enkele vragen en opmerkingen. De leden van de fractie van de SP maken zich, zoals eerder aangegeven tijdens het debat over de wet, grote zorgen over de vele mensen en instellingen die toegang hebben tot vertrouwelijke gegevens van mensen. Door het besluit dat ook levensverzekeraars en genetische centra structureel toegang krijgen tot de BRP wordt deze groep verder vergroot. Daarmee neemt de kans op datalekken toe maar verhoogt het ook de kans op grotere privacy-schendingen en misbruik van het gebruik van deze data.

De leden van de fractie van de SP vinden de keuze om banken geen directe toegang te verschaffen daarom de juiste, maar zij maken zich ook grote zorgen dat de Staatssecretaris voornemens was banken in eerste instantie wel directe toegang te verlenen. Kan de Staatssecretaris aangeven of er voornemens zijn andere private partijen alsnog toegang tot de BRP te verlenen? Zo ja, welke?(23)

Op dit moment voer ik overleg met de banken over de wijze van eventuele aansluiting op de BRP in lijn met het advies van de AP. Hiernaast heb ik op dit moment geen andere trajecten tot aanwijzing van derden in gang gezet.

Deze leden vragen waarom de verlening van toegang tot de basisregistratie niet per wet geregeld wordt, om de democratische waarborgen te versterken. Daarnaast vragen zij waarom de Staatssecretaris niet tegemoetkomt aan de wens om na het ontvangen van het advies van de Raad van State het Besluit nogmaals voor te leggen aan de Kamer. Dit versterkt immers de democratische legitimiteit. Deze leden vragen de Staatssecretaris om terug te komen op dit verzoek. Indien de Raad van State geen nadere punten van kritiek heeft kan het democratische proces immers daarna vlot verlopen. (24)

De Wet BRP biedt de grondslag voor de gegevensverstrekking aan overheidsorganen en aan derden die werkzaamheden met gewichtig maatschappelijk verrichten. In de inleiding aan het begin van deze beantwoording heb ik een nadere toelichting gegeven over de status van het Derdenbesluit in relatie tot het autorisatiebesluit. Graag verwijs ik naar deze inleiding. Voor de beantwoording van de vraag over het na de advisering door de Raad van State nogmaals aan uw kamer voorleggen van het Besluit, verwijs ik graag naar de hiervoor gaande beantwoording van de gelijkluidende vraag (nr. 3) van de leden van de VVD-fractie.

Zoals in de toelichting op het ontwerpbesluit vermeld staat raken private belangen, van in dit geval onder andere verzekeraars, verstrikt met het publieke doel dat de BRP dient. Is de Staatssecretaris het met de leden van de SP-fractie eens dat een verzekering in eerste instantie een zaak is tussen private partijen, te weten de verzekeraar en de verzekerde? Deze leden vragen naar hoe de Staatssecretaris de eigen verantwoordelijkheid van deze private partijen weegt. (25)

Vooropgesteld wordt dat de gegevensverstrekking aan verzekeraars geenszins afbreuk doet aan de informatieplichten die de verzekeringnemer heeft jegens de verzekeraar, bijvoorbeeld om een adreswijziging door te geven. De voorgestelde gegevensverstrekking aan verzekeraars ziet bovendien niet op de uitvoering van een verzekering in den brede (bijvoorbeeld het aanschrijven van een persoon over diens polis). Het gaat specifiek om het voorkomen van het onterecht wel of juist niet uitkeren van gelden. Het voorkomen van onterecht wel uitkeren is net als het voorkomen van het onterecht niet uitkeren (slapende polissen) een gewichtig maatschappelijk belang. Het gaat in beide gevallen om levensverzekeringen, waarbij er – wanneer de verzekeraar geen melding krijgt van een overlijden – onwenselijke gevolgen voor de burger zijn: hij krijgt onterecht wel of onterecht niet de uitkering. Dit zijn beide situaties die zeer onwenselijk zijn voor een grotere groep betrokkenen (begunstigden en nabestaanden). Hiermee is sprake van een breder, maatschappelijk belang dat de relatie klant – verzekeraar overstijgt. Het onverschuldigd betalen heeft, net als het onterecht niet uitkeren, onwenselijke gevolgen voor de burger die kunnen worden tegengegaan door verstrekking uit de BRP. De onwenselijke gevolgen ontstaan wanneer een verzekeraar onterecht na een overlijden een lijfrente-uitkering doet en daarover loonheffing aan de Belastingdienst afdraagt. In deze situatie volgt na «ontdekking» van het overlijden een administratief proces van terugvordering van de uitkeringen die onterecht zijn gedaan aan de reeds overleden persoon. Daarnaast moeten nabestaanden in overleg met de Belastingdienst in verband met de afgedragen loonheffing. Dit proces is voor nabestaanden complex en belastend, omdat er meerdere partijen bij betrokken zijn (Belastingdienst, verzekeraar, eventueel executeur).

De leden van de fractie van de SP hebben meerdere vragen die zien op de uitvoering van het Derdenbesluit. Zo vragen zij naar de praktische uitwerking van het principe dat verzekeraars in eerste instantie zelf moeten proberen contact te zoeken met de verzekerde en pas in het uiterste geval de BRP mogen raadplegen. Welke inspanningen ziet de Staatssecretaris voor zich? Zijn hier richtlijnen voor? Verzekeraars geven aan dat zij het wenselijk achten dat de informatieplicht in die zin beperkt wordt dat er vaker gegevens op mogen worden gevraagd. In dat licht achten deze leden het zorgelijk indien er geen of onvoldoende toezicht of richtlijn is waardoor het aantal bevragingen niet groter is dan noodzakelijk en aan de inspanningsverplichting wordt voldaan. (26)

In het kader van de totstandkoming van het Derdenbesluit ben ik reeds in goed overleg met het Verbond van Verzekeraars over het voorziene gebruik van de BRP. Ook het autorisatiebesluit zal tot stand komen in samenwerking met het Verbond, waarbij aandacht zal zijn voor voorlichting en instructie aan verzekeraars over het gebruik van de BRP.

Daarnaast vragen de leden van de fractie van de SP wie bij de desbetreffende organisaties toegang heeft tot de BRP en wie voor deze verstrekkingen binnen die organisaties verantwoordelijk is. Is hier voldoende toezicht op? Deze leden zien immers dat de Autoriteit Persoonsgegevens weliswaar goed werk levert, maar ook aangeeft overvraagd te zijn. Hoe wordt in dit geval gewaarborgd dat niet onnodig veel medewerkers toegang krijgen tot privacygevoelige informatie en deze informatie niet wordt misbruikt voor andere doeleinden? (27)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure, beveiliging en het toezicht door de AP.


  1. PKI staat voor Public Key Infrastructure.↩︎

  2. Richtlijn Informeren van familieleden bij erfelijke aandoeningen. Voor het ontwikkelen van de richtlijn is in 2017 een multidisciplinaire werkgroep ingesteld, bestaande uit juristen, wetenschappers en vertegenwoordigers van alle relevante specialismen die betrokken zijn bij patiënten en het informeren van familieleden bij erfelijke aandoeningen. https://www.vkgn.org/files/5911/Richtlijn%20informeren%20van%20familieleden%20bij%20erfelijke%20aandoeningen.pdf.↩︎

  3. Zie pagina 76 van de Richtlijn Informeren van familieleden bij erfelijke aandoeningen.↩︎

  4. Zie ook «Voorlichting over op welke wijze de Kamer beschikking kan krijgen over het advies van de Afdeling advisering bij de voorhang van een algemene maatregel van bestuur», punt 5a (W04.22.0112/I/Vo) van de Afdeling Advisering van de Raad van State.↩︎

  5. Kamerstuk 27 859, nr. 161.↩︎