Preview document (🔗 origineel)

---

Hierbij bied ik aan uw Kamer het WODC‑rapport aan met de titel: “Openbare registers, de toegankelijkheid daarvan en het gegevensbeschermingsrecht”. Dit rapport bevat de weergave van het onderzoek van de Open Universiteit naar de gegevensbescherming in de openbare registers, dat is uitgevoerd in opdracht van het Wetenschappelijk onderzoek- en datacentrum (WODC).

Met deze brief wil ik uw Kamer tevens informeren over de achtergrond en inhoud van dit onderzoek, de bevindingen van de onderzoekers en een eerste reactie daarop van de beheerders van de onderzochte registers. Een uitgebreide reactie volgt op een later moment, nadat ik over de bevindingen en aanbevelingen uit het rapport overleg heb gevoerd met betrokkenen en belanghebbenden. Vanwege de complexiteit van dit onderwerp verwacht ik u uiterlijk in het eerste kwartaal van 2026 een beleidsreactie te sturen.

Aanleiding voor het uitvoeren van dit onderzoek

De bescherming van persoonsgegevens in openbare registers staat onder druk. Door digitalisering en met name het internet, is het verzamelen, combineren en hergebruiken van persoonsgegevens uit openbare registers veel eenvoudiger geworden. Tegelijkertijd heeft de digitalisering van openbare registers niet alleen geleid tot een betere toegankelijkheid voor de beoogde gebruikers. Met de digitalisering van de registers is het risico groter geworden dat misbruik van persoonsgegevens wordt gemaakt, variërend van identiteitsfraude tot intimidatie. Zowel de Autoriteit Persoonsgegevens (AP) als de registerbeheerders, waaronder de Raad voor de rechtspraak, hebben daarover zorgen geuit.

De ‘wake-upcall’ over de toegenomen spanning tussen openbaarheid en de bescherming van persoonsgegevens in openbare registers kwam van het Europese Hof van Justitie met het ‘UBO‑arrest’¹. In deze prejudiciële zaak oordeelde het Europese Hof dat het in strijd is met het gegevensbeschermingsrecht wanneer de in een UBO-register opgenomen persoonsgegevens in alle gevallen en voor alle leden van de bevolking toegankelijk zijn. Met name naar aanleiding van deze uitspraak heeft de AP² aan alle bewindspersonen het verzoek gedaan om te laten analyseren of het publiceren van- en toegang geven tot persoonsgegevens in openbare registers plaatsvindt in overeenstemming met de eisen van het gegevensbeschermingsrecht.

Daarom is begin 2023 door het ministerie van Justitie en Veiligheid aan het WODC opdracht gegeven onderzoek te doen naar gegevensbescherming in openbare registers die worden beheerd door organisaties onder de verantwoordelijkheid van het ministerie.

In dit onderzoek betrokken openbare registers

Het WODC heeft de volgende openbare registers betrokken in het onderzoek:

• Lijst vergunninghouders Wpbr (Wet particuliere beveiligingsorganisaties en recherchebureaus) – beheerder Justis;

• Nederlands Register Gerechtelijk Deskundigen (NRGD) – beheerder College gerechtelijk deskundigen;

• Centraal Insolventie Register (CIR- faillissement, surseance van betaling, schuldsanering natuurlijke personen en homologatie onderhands akkoord) - beheerder Raad voor de rechtspraak;

• Huwelijksgoederenregister (HGR) - beheerder Raad voor de rechtspraak;

• Boedelregister - beheerder Raad voor de rechtspraak;

• Centraal Gezagsregister (CGR), beheerder Raad voor de rechtspraak;

• Register Beëdigde Tolken en Vertalers (RBTV) - beheerder Bureau Wbtv, onderdeel van de Raad voor Rechtsbijstand;

• Centraal Curatele en Bewindregister (CCBR) - beheerder Raad voor de rechtspraak;

• Register Nevenbetrekkingen Rechterlijke Ambtenaren: rechters en leden OM (NERO/NEOM) - beheerder Raad voor de rechtspraak.

Onderzoeksvraag

In het onderzoek staat de volgende onderzoeksvraag centraal: voldoet de openbaarheid van persoonsgegevens in openbare registers aan het gegevensbeschermingsrecht en welke privacybeschermende maatregelen zijn nodig zijn om de registers in overeenstemming te houden met het gegevensbeschermingsrecht?

Bevindingen en aanbevelingen

Korte samenvatting

Na een analyse van de dertien onderzochte registers komen de onderzoekers, kort samengevat, tot de volgende conclusies:

• bij het Register vergunningshouders Wpbr, CGR en CIR faillissement, surseance van betaling, schuldsanering natuurlijke personen is sprake van een ontbrekende wettelijke grondslag voor publicatie van bepaalde persoonsgegevens. Het Register vergunninghouders Wpbr en het CGR zouden in het geheel niet openbaar moeten zijn. Voor openbaarmaking van het Register vergunninghouders Wpbr ontbreekt een wettelijke grondslag. Bij het CGR zijn proportionaliteit, subsidiariteit en doelmatigheid in het geding. Op korte termijn zijn maatregelen nodig;

• voor het NRGD, CIR homologatie van akkoord, HGR, CCBR en NEOM bevat het rapport aanbevelingen om op korte termijn maatregelen te nemen ter verbetering van de gegevensbescherming; en

• het Boedelregister, RBTV en NERO voldoen nu aan de eisen van het gegevensbeschermingsrecht, waarbij verbeteringen worden aanbevolen om in de toekomst te blijven voldoen aan de eisen.

Bevindingen en aanbevelingen per onderzocht register

Ook zend ik u een schematisch overzicht bij deze brief waarin per onderzocht register een korte weergave staat van de bevindingen en aanbevelingen van de onderzoekers.

Eerste reactie van de beheerders van de onderzochte registers

De constatering dat bij een aantal van de onderzochte registers een wettelijke grondslag ontbreekt voor het openbaar maken van persoonsgegevens en dat op korte termijn maatregelen nodig zijn, is aanleiding geweest aan de beheerders van de betreffende registers een eerste reactie te vragen. Met name is aan de beheerders gevraagd te reageren op de door de onderzoekers voorgestelde maatregelen. Uit de ontvangen reacties blijkt, dat de registerbeheerders de bevindingen in het rapport grotendeels onderschrijven. Hieronder volgt per onderzocht register een korte weergave van de reactie van de registerbeheerder.

Reacties op bevinding dat twee van de registers niet openbaar zouden moeten zijn

De Raad voor de rechtspraak (verder: de Raad) heeft voor wat betreft het Centraal Gezagsregister (CGR) het volgende laten weten. De Rechtspraak kan zich vinden in de conclusie dat het CGR in de huidige vorm te open is. Hoewel deze openbaarheid in lijn is met de bestaande wetgeving, acht de Rechtspraak het wenselijk dat de toegang wordt heroverwogen. De Raad onderschrijft de in het rapport genoemde redenen om de toegang te beperken tot een aantal specifieke partijen en daarnaast de ouders van de minderjarige. De beschikbaarheid van de Basisregistratie Personen (BRP) Gezagsmodule maakt bovendien dat de huidige open toegang op termijn verder kan worden beperkt zodat het register weer voldoet aan het gegevensbeschermingsrecht.

Justis heeft in reactie op de bevindingen rond het Register Vergunninghouders Wpbr aangegeven, dat momenteel wordt gewerkt aan het realiseren van een wettelijke grondslag voor het register. In dat traject zullen door het Ministerie van JenV de aanbevelingen van de onderzoekers over privacybeschermende maatregelen worden meegenomen. Hierbij is overigens van belang, dat de omvang van de persoonsgegevens in het register zeer beperkt is en dat géén sprake is van openbaarmaking van gevoelige gegevens in de zin van de artikelen 9 en 10 van de AVG. Daarbij dient te worden aangemerkt dat het register met de openbaarheid van gegevens in een belangrijke taak voorziet waarbij een ieder kan controleren of een bedrijf is ingeschreven als beveiligingsorganisatie.

Reacties op ontbrekende wettelijke grondslag voor publicatie persoonsgegevens

De Raad is ook beheerder van het Centraal Insolventie Register (CIR).

In reactie op de oproep van de onderzoekers om onmiddellijk de publicatie van faillissementsverslagen op te schorten, benadrukt de Raad de maatschappelijke rol van de Rechtspraak, waarin zowel het belang van de schuldeiser als dat van de schuldenaar zorgvuldig dient te worden gewaarborgd. Het onmiddellijk opschorten van de publicatie van faillissementsverslagen doet tekort aan het belang van schuldeisers, die erop moeten kunnen vertrouwen dat zij tijdig op de hoogte worden gesteld van uitspraken die hun positie raken. Een dergelijke maatregel vormt een risico op maatschappelijke ontwrichting, gezien de cruciale taak en rol die de Rechtspraak in het maatschappelijk verkeer vervult. Ook wijst de Raad op het bestaan van een algemene juridische basis voor publicatie van faillissementsverslagen, die volgt uit een eerdere toezegging van het voormalige College Bescherming Persoonsgegevens. Op basis van deze interpretatie zet de Rechtspraak vooralsnog de huidige werkwijze voort. Tegelijkertijd wordt al enige tijd uitgezien naar een herziening van de formele regeling van het CIR. De Rechtspraak roept de wetgever op om dit met prioriteit ter hand te nemen.

Ook meldt de Raad dat, anders dan vermeld staat in het rapport, in WSNP‑zaken geen verslagen worden gepubliceerd. De Rechtspraak benadrukt de noodzaak van een geïntegreerde benadering van wetgeving en uitvoering, waarbij zowel nationale als Europese kaders op elkaar worden afgestemd.

Reacties op aanbeveling maatregelen op korte termijn

De Raad heeft in zijn reactie aangegeven in brede zin maatregelen te zullen nemen ter betere bescherming van persoonsgegevens in de door de Raad beheerde registers. Zo zullen data‑georiënteerde maatregelen worden genomen, zoals het geven van gerichte en gelaagde toegang tot een register, het uniform en systematisch doorvoeren van technische bescherming ter voorkoming van ongewenst bulkgebruik of scraping (het automatisch met software vanaf een website verzamelen van gegevens) en het gebruik van aangescherpte zoekvragen, zodat uitsluitend persoonsgegevens worden getoond die noodzakelijk zijn binnen het doel van het betreffende register.

Het Openbaar Ministerie laat ten aanzien van het Register van nevenbetrekkingen rechterlijke ambtenaren: rechters en leden OM (NEOM) weten, de aanbevelingen in het rapport in grote lijnen te onderschrijven en voornemens te zijn deze door te voeren in het daarvoor aangewezen digitale platform.

Met het schrappen van de aanhef ‘dhr/mw/mevrouw’ is al een aanvang gemaakt. Het volledig vermelden van nevenfuncties vergt uitgebreidere technische maatregelen, waarbij ernaar wordt gestreefd dat deze eind 2025 doorgevoerd zullen zijn.

Voor het begrenzen van zoekmogelijkheden, met name om ongewenste bulkverstrekkingen te voorkomen, zal het OM afstemming zoeken met de Raad, onder meer omdat beide organisaties zijn gebonden aan dezelfde wettelijke bepalingen over het nevenregister.

Reacties op aanbevolen verbeteringen voor toekomstige bestendigheid

Het Bureau Wbtv, onderdeel van de Raad voor Rechtsbijstand en beheerder van het Register Beëdigde Tolken en Vertalers (RBTV), vindt het ook wenselijk dat wet- en regelgeving worden aangepast om meer duidelijkheid te scheppen. De adviezen over maatregelen ten behoeve van gegevensbescherming in het register voor de langere termijn zullen worden meegenomen bij de komende wetsevaluatie van de Wet Beëdigde Tolken en Vertalers.

De Raad ziet het belang in van logging en monitoring om het gebruik van een bepaald register beter te begrijpen en misbruik te signaleren. Tegelijkertijd moet worden gewaakt voor disproportionele maatregelen. Voor herkenbare gebruikersgroepen, zoals organisaties met systeemkoppelingen, ziet de Raad meerwaarde voor logging. Een zorgvuldige en proportionele toepassing van logging vraagt om nadere uitwerking en onderzoek.

Het Nederlands Register Gerechtelijk Deskundigen (NRGD) heeft gereageerd op de twee aanbevelingen in het rapport om de gegevensbescherming meer toekomstbestendig te laten zijn. Vanaf medio september zal bij de vraag om instemming van de deskundige met het opnemen van persoonsgegevens in het register aangegeven worden dat het gaat om een wettelijke verplichting. De instemming ziet dan uitsluitend nog op de concrete keuze van persoonsgegevens die deskundige zelf heeft gemaakt en aanlevert ter publicatie in het register.

Ook gaat het NRGD in op de aanbeveling in het rapport om bezoekersgegevens te loggen en zo beter zicht te krijgen op de gebruikers van het register. Het NRGD stelt voldoende zicht te hebben op de gebruikers van het register, zodat het de vraag is of logging wel nodig is.

Vervolgstappen naar aanleiding van dit rapport

Dit onderzoeksrapport over gegevensbescherming in de openbare registers bevat veel materiaal voor nader overleg en verder onderzoek en biedt aanknopingspunten voor mogelijke wijziging of aanvulling van bestaande regelgeving rond wettelijke openbare registers. Ook de technische inrichting van dergelijke registers en de mogelijkheden voor raadpleging zullen moeten worden heroverwogen.

Dat geldt niet alleen voor de in het onderzoek betrokken registers: het aangereikte toetsingskader is van veel breder belang. De komende periode ga ik over de inhoud van dit rapport en mogelijke implicaties daarvan voor de wettelijke openbare registers in gesprek met een brede groep van belanghebbenden. De uitkomsten van dit overleg en nader onderzoek zijn nodig om goed in beeld te krijgen welke vervolgacties nodig zijn.

Ik zal uw Kamer hierover nader berichten in mijn beleidsreactie, die ik verwacht toe te sturen in het eerste kwartaal van 2026.

De Minister van Justitie en Veiligheid,

D. M. van Weel

---

1. Gevoegde zaken C-37/20 Luxembourg Business Registers en C-601/20 Sovim. HvJ EU 22 november 2022, ECLI:EU:C:2022:912, link: CURIA - Documents.↩︎

2. Brief van de AP aan de Staatssecretaris Koninkrijksrelaties en Digitalisering van 28 maart 2023, link: Brief AP openbare registers | Autoriteit Persoonsgegevens en Brief van de AP aan de Minister van Justitie en Veiligheid van 12 oktober 2023, link: Verzoek om informatie openbare registers ministerie van Justitie en Veiligheid (JenV) | Autoriteit Persoonsgegevens.↩︎