Open Kamerbeta
Kamerstuk 35772-41

Verslag van een schriftelijk overleg over de reactie op de motie van het lid Leijten over de Kamer informeren over wetten, pilots en andere alternatieven die zijn ontstaan in de ministeriƫle commissie aanpak fraude (Kamerstuk 35772-27) (Kamerstuk 35772-39)

Dossier: Wijziging van de Wet basisregistratie personen in verband met de invoering van een centrale voorziening ter ondersteuning van de colleges van burgemeester en wethouders bij het onderzoek of een persoon als ingezetene in de basisregistratie personen op een adres in de gemeente dient te worden ingeschreven alsmede naar de juistheid van de gegevens betreffende het adres van een ingezetene in de basisregistratie personen
Gepubliceerd: 26 oktober 2023
Indiener(s): Kiki Hagen (D66)
Onderwerpen: bestuur gemeenten
Bron: https://zoek.officielebekendmakingen.nl/kst-35772-41.html
ID: 35772-41

Nr. 41 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 26 oktober 2023

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 30 maart 2023 over de reactie op de motie van het lid Leijten over de Kamer informeren over wetten, pilots en andere alternatieven die zijn ontstaan in de ministeriële commissie aanpak fraude (Kamerstuk 35 772, nr. 27) (Kamerstuk 35 772, nr. 39).

De vragen en opmerkingen zijn op 21 april 2023 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 25 oktober 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Hagen

Adjunct-griffier van de commissie, Morrin

Inleiding

Hierbij bied ik u aan de beantwoording van de schriftelijke vragen n.a.v. de brief inzake «Uitvoering van de motie van het lid Leijten over de Kamer informeren over wetten, pilots en andere alternatieven die zijn ontstaan in de ministeriële commissie aanpak fraude» (Kamerstuk 35 772, nr. 27) (Kamerstuk 35 772, nr. 39).

D66, SP, BBB en het lid Omtzigt vragen om een overzicht van wetten, pilots en andere alternatieven, conform de motie van het lid Leijten. Zoals in mijn brief van 30 maart 2023 aangegeven heeft de MCF zelf geen wetten, pilots of andere alternatieven geïnitieerd. De activiteiten werden onder de individuele verantwoordelijkheid van elk departement ontwikkeld. Het overzicht van kamerbrieven over de resultaten ten tijde van de MCF dat in de brief van 30 maart 2023 is opgesomd geeft weer welke onderwerpen in de MCF besproken zijn. Na interdepartementale afstemming blijkt dat het kabinet niet over andere overzichten beschikt die hierop aanvullend gedeeld zouden kunnen worden.

De fractie VVD heeft verdiepende vragen over de autorisatie op en het gebruik van gegevens uit de BRP gesteld.

Ik dank de fractie voor hun bijdrage en ga graag in op de – hieronder gecursiveerde – vragen en opmerkingen. Hierbij is de indeling en volgorde van het verslag aangehouden.

Op de vragen van D66, SP, BBB en het lid Omtzigt naar het overzicht van wetten, pilots en andere alternatieven, zoals gevraagd in de motie Leijten, heeft afstemming binnen het kabinet plaats gevonden. Het kabinet heeft daarbij niet meer stukken aangetroffen dan reeds met u gedeeld. Zoals in de brief van 30 maart 2023 aangegeven heeft de MCF zelf geen wetten, pilots of andere alternatieven geïnitieerd. De activiteiten werden onder de individuele verantwoordelijkheid van elk departement ontwikkeld. Het kabinet beschik niet over een ander overzicht over de resultaten ten tijde van de MCF dan de in de vorige brief1 gemelde kamerbrieven.

De aanvullende vraag van het lid Omtzigt naar vergaderdata van de MCF en de samenstelling van de commissie kan wel beantwoord worden.

Vragen en opmerkingen van de leden van de VVD-fractie met antwoorden

De leden van de VVD-fractie vragen zich af hoe, als een onderzoeksinstelling voldoet aan een aantal voorwaarden, wordt geborgd dat de gegevens veilig zijn, vooral in het licht van recente hacks bij dergelijke instellingen. (1)

Deze leden lezen in de brief dat de medewerkers van gemeentes worden getraind, maar geldt dit ook voor samenwerkingsverbanden zoals regio's? (2)

Het is de zelfstandige verantwoordelijkheid van de ontvanger BRP-gegevens om zich te houden aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te voorkomen. Hiernaast geldt dat de verstrekking aan geautoriseerde overheidsorganen en derden wordt geprotocolleerd door RvIG. Dit gebeurt ten behoeve van de veiligheid en het recht van de burger op inzage in het gebruik van de BRP. Ontvangers van BRP-gegevens zijn op grond van de AVG verplicht om de gegevensverwerking te loggen. Verder dient de ontvanger van gegevens technisch aan te sluiten op de centrale voorziening van de BRP; hiervoor gelden strenge eisen. Afnemers kunnen via een eigen applicatie toegang krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V). De afnemers zijn aangesloten op Diginetwerk. Diginetwerk is een publiek-private samenwerking waarover Logius, in opdracht van het Ministerie van BZK, de regie voert. Door het besloten karakter is Diginetwerk een veiliger alternatief voor het open internet. Om toegang te kunnen krijgen tot BRP-V dient de betreffende afnemer bovendien te beschikken over een «PKI overheid-certificaat». PKI staat voor Public Key Infrastructure. Dit is de internationale standaard voor authentiseren en het versleutelen van communicatie tussen systemen. Beide systemen (afnemer en BRP-V) stellen daarmee «elkaars identiteit» vast.

Hoewel de Rijksdienst voor Identiteitsgegevens (RvIG) aangeeft snel te kunnen handelen, hoe zorgvuldig wordt de toets uitgevoerd om te bepalen wie toegang kan krijgen tot BRP-gegevens? (3)

Overheidsorganen, zoals DUO en UWV, krijgen gegevens uit de BRP omdat zij die nodig hebben om hun publieke taken uit te voeren. Ook een aantal organisaties buiten de overheid («derden») hebben toegang tot de BRP. Het gaat om partijen met belangrijke maatschappelijke taken zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Voor deze derden (niet-overheidsorganisaties) geldt dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang. Overheidsorganen en derden (niet overheidsorganisaties), die aangesloten willen worden op het centrale BRP-systeem moeten daarvoor toestemming krijgen van de Minister van BZK. De Minister (RvIG) toetst of de organisatie een taak heeft waarvoor gegevens uit de BRP nodig zijn. Als dat zo is neemt de Minister (RvIG) een zogenaamd autorisatiebesluit. In dat besluit wordt precies beschreven welke gegevens van welke personen de organisatie mag opvragen en op welke manier de gegevens met de organisatie worden gedeeld. Het is dus niet zo dat een aangesloten organisatie automatisch toegang heeft tot de volledige BRP (alle gegevens van alle ingeschrevenen). De autorisatiebesluiten zijn openbaar: deze worden gepubliceerd in de Staatscourant en zijn ook te raadplegen op publicaties.rvig.nl. De ontvanger van gegevens is verplicht om wijzigingen in haar taken die betrekking hebben op de BRP-verstrekking, te melden aan RvIG. Zo kan beoordeeld worden of de verstrekking aangepast of beëindigd moet worden.

Klopt het dat er binnen sommige gemeentes en andere overheidsinstanties Landelijke Stuurgroep Interventieteams (LSI)-projecten worden gedraaid? Zo ja, kan de Staatssecretaris inzichtelijk maken bij welke gemeentes en overheidsinstanties dit wordt toegepast? Toetst naast de LSI ook de RvIG of hier een wettelijke grondslag voor is? Door wie wordt of is de toets uitgevoerd voor een wettelijke grondslag? (4)

Ja, dat klopt. Het Ministerie van Sociale Zaken en Werkgelegenheid neemt sinds 2003 het voortouw om handhaving in het sociale zekerheidsdomein integraal te benaderen op basis van het LSI convenant. Alle gemeenten in Nederland kunnen (kosteloos en zonder verplichtingen) het LSI convenant tekenen. Een nieuw toegetreden gemeente wordt vermeld in de Staatscourant. Een overzicht van de LSI-projecten is meegestuurd op 15 december 2022 met de bijlagen bij de beantwoording van Kamervragen2.

De wettelijke grondslag voor de LSI is te vinden in artikel 64 Wet SUWI. In deze wet is het doeleinde van de LSI beschreven, namelijk het voorkomen en tegengaan van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, het voorkomen en bestrijden van belasting- en premiefraude en het niet naleven van de arbeidswetten. De partijen die in artikel 64 Wet SUWI samenwerken kunnen de gegevens uitwisselen die daarvoor noodzakelijk zijn. De RvIG toetst geen grondslagen in dit verband.

LSI-partners die deelnemen aan een LSI-project, zijn gezamenlijk verwerkingsverantwoordelijken voor de gegevensverwerking die ten behoeve van het project plaatsvindt. Het is zo aan de deelnemende LSI-partners om gezamenlijk te bezien of in een project volledig binnen deze kaders wordt en is gehandeld. Voordat een project wordt gestart, zijn er afwegingsmomenten van de noodzaak van een project en welke LSI-partners deelnemen. Er bestaat een standaard model voor een overeenkomst voor gegevensuitwisseling (blauwdruk DPIA). Levering van gegevens mag pas plaatsvinden nadat de LSI het projectplan heeft goedgekeurd. Een dergelijke werkwijze is voorgeschreven door artikel 35 van de AVG. Daarnaast verantwoorden de LSI-partners – als zij aan een project deelnemen – zelf de gegevens die zij onder eigen verantwoordelijkheid verwerken conform de vereisten die de AVG daaraan stelt.

De leden van de VVD-fractie vragen hoe, op het moment dat een organisatie niet meer de taak heeft om gegevens van de BRP te beheren, wordt geborgd dat er geen lokale kopieën of aansluitingen meer zijn. (5)

Organisaties beheren geen gegevens van de BRP maar gebruiken de actuele gegevens uit de BRP voor uitvoering van hun taak. Als een taak vervalt, vervalt ook de bijbehorende autorisatie voor gebruik van de BRP. De technische aansluiting vervalt dan ook. RvIG trekt het autorisatiebesluit in en sluit de technische aansluiting af. Het verwijderen van persoonsgegevens in de eigen administratie, al dan niet verkregen uit de BRP, is een aangelegenheid van de betreffende organisatie.

Kunnen organisaties die toegang hebben tot gegevens van de BRP deze gegevens delen met andere instanties, zonder tussenkomst van de RvIG? (6)

Ja, die gegevensdeling valt niet onder de wet BRP maar onder de AVG, de Wet algemene bepalingen burgerservicenummer (Wabb) of eventuele specifieke sectorale regelgeving. Organisaties moeten per casus zelf beargumenteren dat de gegevensdeling noodzakelijk en rechtmatig is.

Worden algoritmes die door verschillende organisaties worden gebruikt om gegevens te verwerken ook meegenomen in de toets om te bepalen wie toegang kan krijgen tot de BRP-gegevens? Bijvoorbeeld in het geval van een samenwerkingsverband tussen vijf gemeentes op het gebied van sociaal domein of belastingen. (7)

In het antwoord op vraag 3 heb ik uiteengezet hoe door RvIG wordt getoetst of een organisatie gegevens uit de BRP mag ontvangen. In een autorisatieaanvraag voor de BRP zet een organisatie die geautoriseerd wil worden uiteen voor welke taak de gegevens noodzakelijk zijn. RvIG toetst deze noodzaak. Welke algoritmes een organisatie gebruikt is geen onderdeel van die toets.

De regering wil wel dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Ministerie van BZK werkt aan het Implementatiekader «Inzet van algoritmes». Dat maakt voor overheden duidelijk welke eisen er gelden voor algoritmes en hoe ze ervoor kunnen zorgen dat hun algoritmes aan die eisen kunnen voldoen. Daarnaast is inmiddels het algoritmeregister beschikbaar op algoritme.overheid.nl. De Autoriteit Persoonsgegevens is de toezichthouder en coördineert de controle op algoritmes.

Vragen en opmerkingen van het lid Omtzigt

... Tot slot ontvangt het lid Omtzigt graag een overzicht van wanneer de commissie vergaderd heeft, wie aanwezig waren in die commissie en hij zou graag de besluitenlijsten van de ministeriële commissie aanpak fraude ontvangen. Hij merkt hierbij op dat de regering na «Ongekend Onrecht» besloten heeft besluitenlijsten openbaar te maken.

De MCF is op de volgende data bijeen gekomen:

  • 3 september 2013

  • 1 oktober 2013

  • 12 november 2013

  • 17 december 2013

  • 15 april 2014

  • 8 juli 2014 (pro forma)

  • 9 september 2014

  • 18 november 2014

  • 16 december 2014

  • 24 maart 2015

  • 9 juni 2015

De leden van de MCF waren de Ministers van Binnenlandse Zaken en Koninkrijksrelaties, Buitenlandse Zaken, Defensie, Economische Zaken, Financiën, Veiligheid en Justitie, Onderwijs, Cultuur en Wetenschap, Sociale Zaken en Werkgelegenheid, Volksgezondheid, Welzijn en Sport en Infrastructuur en Milieu. De voorzitter was de Minister-President. Het Ministerie van Veiligheid en Justitie was verantwoordelijk voor de ambtelijke coördinatie.

Van onderraden en ministeriële commissies worden conclusies opgesteld. De conclusies zijn een weergave van het besprokene en de besluiten die in de onderraad of ministeriële commissie zijn genomen. Deze conclusies worden in de daaropvolgende ministerraad vastgesteld. Omdat conclusies ten aanzien van de geheimhouding vergelijkbaar zijn met notulen, worden deze niet openbaar gemaakt. Per april 2021 wordt de besluitenlijst van de ministerraad openbaar gemaakt. Er zijn dus geen besluitenlijsten van de MCF.