Kamervraag 2014Z07850

Fraude met vertrouwelijke gegevens die per reguliere post verzonden worden

Ingediend 25 april 2014
Beantwoord 7 juli 2014 (na 73 dagen)
Indieners Pieter Litjens (VVD), Bart de Liefde (VVD), Helma Neppérus (VVD)
Beantwoord door Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Eric Wiebes (staatssecretaris financiën) (VVD)
Onderwerpen bestuur criminaliteit economie openbare orde en veiligheid organisatie en beleid overige economische sectoren
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2014Z07850.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20132014-2492.html
  • Vraag 1
    Kent u het bericht «Postbodes opgepakt vanwege fraude met belastinggeld»?1

    Ja.

  • Vraag 2
    Hoe vaak wordt misbruik gemaakt van vertrouwelijke gegevens die met de post worden verstuurd? Hoe vaak betreft het fraude met gegevens afkomstig van overheidsinstanties? Bent u in het bezit van overzichten daarvan? Is er sprake van een trend?

    In de Postwet is in artikel 4 geregeld dat postvervoerbedrijven ervoor moeten zorgen dat het grondwettelijk (Grondwet artikel 13) briefgeheim niet wordt geschonden. Hiertoe heeft de Autoriteit Consument en Markt (de toezichthouder op de postmarkt) een aantal eisen geformuleerd waar tijdelijke opslaglocaties voor poststukken ten minste aan moeten voldoen. De Postwet en de Autoriteit Consument en Markt zien echter niet op het gebruik of misbruik van via een schending van het briefgeheim verkregen gegevens. Het is dan ook niet mogelijk te achterhalen hoe vaak er misbruik wordt gemaakt van vertrouwelijke gegevens die met de post worden verstuurd. Dat betekent dat niet bekend is hoe vaak er misbruik wordt gemaakt met vertrouwelijke gegevens als gevolg van frauduleuze postbezorging.

  • Vraag 3
    Wie is er verantwoordelijk en aansprakelijk voor de (gevolg-)schade van frauduleus handelen ten gevolge van bijvoorbeeld onjuiste postbezorging? Welke directe financiële kosten komen voor rekening van de staat en hoe groot zijn die kosten? Hoe groot zijn de overige administratieve lasten?

    Allereerst streven postvervoerbedrijven ernaar om de processen rondom postvervoer zo in te richten dat het briefgeheim zo goed mogelijk gewaarborgd wordt. Ook zijn de processen erop gericht om bij incidenten zo snel mogelijk in te grijpen en herhaling te voorkomen, bijvoorbeeld door bij frauduleus handelen ontslag aan te vragen voor de betrokken medewerkers gevolgd door het doen van aangifte, waarna de strafrechtelijke afhandeling aan het OM is.
    Wat betreft de verantwoordelijkheid en aansprakelijkheid voor de (gevolg-)schade van frauduleus handelen ten gevolge van bijvoorbeeld onjuiste postbezorging die voortvloeit uit de Postwet, kan het volgende worden opgemerkt. Op basis van de Postwet is de verlener van de universele postdienst (PostNL) aansprakelijk voor schade als gevolg van verlies, beschadiging of vertraagde aflevering van bepaalde soorten van geregistreerde poststukken die vallen onder de universele postdienst. Onder de universele postdienst vallen poststukken die door burgers en kleine zakelijke gebruikers via brievenbussen of postvestigingen worden aangeboden.
    Voor de postbezorging afkomstig van overheidsinstanties worden over het algemeen afzonderlijke (contractuele) afspraken gemaakt tussen een overheidsinstantie en een postvervoerbedrijf. Het is de verantwoordelijkheid van de desbetreffende overheidsorganisatie om afspraken te maken over de aansprakelijkheid voor de schade van frauduleus handelen ten gevolge van bijvoorbeeld onjuiste postbezorging. Deze afspraken zullen derhalve van geval tot geval verschillen en per overheidsorganisatie geëffectueerd worden. De directe schade kan bestaan uit de eventuele onjuiste betalingen en uit kosten die worden gemaakt om slachtoffers van fraude alsnog te betalen. Slachtoffers mogen immers geen nadeel ondervinden (tenzij medeplichtig). Van de directe financiële kosten die voor rekening van de staat komen en van de omvang van de overige administratieve lasten, is door bovenstaande oorzaken geen totaalbeeld voorhanden.

  • Vraag 4
    Wat is uw risicoanalyse ten aanzien van het, door bijvoorbeeld de Belastingdienst, het Uitvoeringsorgaan Werknemersverzekeringen (UWV), gemeenten en waterschappen, gelijktijdig vermelden van naam, adres, aanslagnummer, subjectnummer, bankrekeningnummer (IBAN) en/of burgerservicenummer (BSN) van de geadresseerde? In welke situaties is het noodzakelijk al deze informatie in één brief of aanslag op te nemen?

    Het uitgangspunt is dat in de communicatie tussen de overheid en de burger herkenbaar moet zijn voor de burger wat er van hem verwacht wordt en dat de burger uit de brief een aantal essentiële zaken moet kunnen destilleren. Daartoe is in de regel noodzakelijk om de identificerende gegevens (naam, adres en woonplaats, BSN) van de burger op te nemen. Aan die gegevens en in het bijzonder aan het BSN, kunnen geen rechten worden ontleend. Naast de NAW gegevens van de burger, gebruikt de overheid het BSN om het contact met de burger zo efficiënt mogelijk te laten verlopen en persoonsverwisseling uit te kunnen sluiten. Navraag bij de Belastingdienst, waterschappen en het UWV heeft opgeleverd dat men bewust omgaat met het gebruik van persoonsgegevens en in brieven of andere communicatie uitingen alleen die gegevens opneemt die samenhangen met de soort communicatie die het betreft. Zo is het bij de belastingaanslagen relevant om gegevens als de soort belasting, het subject en het belastingjaar op te nemen, naast de informatie waarmee de overheidsorganisatie de burger kan identificeren. Een veel voorkomend gebruik is dat uit dienstverleningsoogpunt op de acceptgiro behorende bij de belastingaanslag een, op dat moment bij de overheidsorganisatie bekend, rekeningnummer van de burger wordt opgenomen. Veel burgers betalen hun belasting inmiddels overigens via automatische incasso. In deze gevallen worden geen acceptgiro’s meer verstuurd. Het risico op oneigenlijk gebruik van gegevens neemt hierdoor dus af.
    Overheidsorganisaties versturen overigens steeds minder brieven naar de burger. Dit heeft te maken met de digitalisering van de overheidsdienstverlening. Geleidelijk aan wordt steeds meer beveiligde digitale communicatie gebruikt, zoals de berichtenbox via mijn.overheid.nl, om als overheidsorganisatie met de burger te communiceren.

  • Vraag 5
    In hoeverre ziet u mogelijkheden om nog dit jaar met de Belastingdienst, UWV, gemeenten en waterschappen tot afspraken te komen om de hoeveelheid vertrouwelijk gegevens die via de reguliere post wordt verzonden aanzienlijk te verminderen? Welke mogelijkheden ziet u om met genoemde organisaties nog dit jaar tot afspraken te komen om de vertrouwelijke gegevens die toch nog via de reguliere post verzonden moeten worden zoveel mogelijk in separate brieven te verzenden? In hoeverre zou dit de kans op fraude verder verkleinen?

    Overheidsorganisaties bepalen uitgaande van de taak die zij uitvoeren, welke gegevens voor de vervulling van hun taak nodig zijn en dus per reguliere post aan de burger gevraagd of verzonden dienen te worden. Er zijn geen indicaties dat overheidsorganisaties nalaten om een zorgvuldige afweging te maken tussen de hoeveelheid gegevens die verzonden worden en of verzending per reguliere post de daartoe geëigende methode is. Dat leidt tot de constatering dat er geen noodzaak bestaat om afspraken te maken met de Belastingdienst, het UWV, de gemeenten en de waterschappen betreffende de hoeveelheid vertrouwelijke gegevens die per reguliere post verzonden worden.
    In beginsel is het separaat versturen van brieven mogelijk. Het separaat versturen van brieven die gezamenlijk bijvoorbeeld een belastingaanslag vormen zal leiden tot situaties die voor de burger en de overheid extra (administratieve) lasten meebrengen. Het is daarom de vraag of de burger en de overheid daarbij gebaat zijn. In het geval van het separaat versturen van een belastingaanslag zal de burger met tussenpozen brieven ontvangen. Wanneer de burger in de eerste brief naast de NAW gegevens ook zijn BSN aantreft, maar in de tweede niet, kan de burger niet zelf controleren of mogelijke persoonsverwisseling is uitgesloten. Vervolgens dient de burger die brieven te combineren en onder die omstandigheden op deze combinatie te reageren richting de betrokken overheidsorganisatie, die vervolgens op haar beurt zal moeten controleren of de separate brieven door de burger tijdig zijn ontvangen en goed zijn gecombineerd om te kunnen beoordelen of er een correcte reactie is gegeven. De complexiteit van de communicatie tussen burger en overheid neemt hierdoor enorm toe.
    Daarnaast zullen de uitvoeringslasten van overheidsorganisaties navenant stijgen wanneer over hetzelfde onderwerp twee of meerdere brieven met persoonlijke gegevens naar de burger verstuurd worden, ook omdat de uitvoering hier niet op is ingericht. Daarnaast is het niet onaannemelijk dat een frauderende postbezorger alsnog beide brieven zou kunnen onderscheppen en met elkaar zou kunnen combineren. Het doorvoeren van de voorgestelde maatregel zonder daarbij de precieze aard van de gegevens die per post worden verzonden te betrekken, zal leiden tot onnodige extra kosten voor de overheidsorganisaties en een grotere kans op (onbedoelde) fouten van de burger bij het doen van aangifte en bij de overheidsorganisaties in het verwerken van aangiften in separate poststromen.

  • Vraag 6
    Is het waar dat er gemeenten zijn die in de aanslag van de gemeentelijke belastingen geen BSN van de belastingplichtige vermelden? Welke gemeenten zijn dat en vindt u dat deze gemeenten het goede voorbeeld geven? In hoeverre verkleint dit het risico op fraude? Is dit een voorbeeld voor andere gemeenten? Zo ja, bent u bereid deze werkwijze te bevorderen?

    Mij is niet bekend dat er gemeenten zijn die in de correspondentie met haar ingezetenen geen gebruikmaken van het BSN. Het BSN is ingevoerd om de communicatie tussen overheid en burger te vergemakkelijken en persoonsverwisselingen te voorkomen. Wanneer gemeenten het BSN weglaten in de communicatie naar haar burgers, kan de burger niet controleren of de post echt voor hem is bestemd of wellicht voor een persoon met dezelfde naam. Ook maken overheidsorganisaties het zich, door het weglaten van een BSN op de correspondentie met de burger, lastig omdat haar systemen zijn ingericht op het systematisch onderscheiden van mensen met behulp van het burgerservicenummer.

  • Vraag 7
    In hoeverre is het mogelijk om bepaalde vertrouwelijke informatie in bepaalde risicogebieden per koerier thuis te bezorgen, net zoals gebeurt bij DigiD?

    In beginsel kan iedere overheidsorganisatie daartoe besluiten. Het is aan de desbetreffende overheidsorganisatie om de afweging te maken of de situatie een dergelijke wijze van bezorging rechtvaardigt.

  • Vraag 8
    Welke andere mogelijkheden ziet u verder nog om fraude met vertrouwelijke gegevens rondom de postbezorging te voorkomen of aan te pakken? Zo ja, bent u bereid om die in te voeren? Zo nee, waarom niet?

    De aanpak van mogelijke fraude rond vertrouwelijke gegevens in de postbezorging bestaat eruit dat de overheid en burgers voortdurend alert moeten zijn op de mogelijkheid dat als gevolg van fraude met postbezorging, gegevens ingezien kunnen worden door mensen voor wie die niet bestemd zijn. Zodra zich risico’s manifesteren rondom de postbezorging is het aan het postbedrijf daartoe maatregelen te nemen om haar verplichtingen jegens de betreffende overheidsorganisatie na te komen. Daarnaast dient de branche er onder meer in zijn aannamebeleid en gedurende de gehele verdere arbeidsrelatie op toe te zien dat het aan te trekken personeel integer, betrouwbaar en zorgvuldig is. Daarnaast zal de (uitbestedende) overheidsorganisatie zich ervan moeten vergewissen dat het postbedrijf adequate maatregelen in stand houdt. In voorkomende gevallen zal de betrokken overheidsorganisaties nadere maatregelen dienen te treffen. Daartoe staan de overheidsorganisaties verschillende maatregelen ter beschikking zoals andere vormen van postbezorging (aangetekend of per koerier), het maken van nieuwe (contractuele) afspraken tussen de overheidsinstantie en een postvervoerbedrijf en het nog meer gebruik maken van beveiligde elektronische postbezorging zoals de huidige berichtenbox van mijn.overheid.nl en in de nabije toekomst de mogelijkheden die het eID-stelsel zal bieden.

  • Mededeling - 19 mei 2014

    Hierbij deel ik u mede dat de aan mij en de Staatssecretaris van Financiën gestelde vragen van de leden De Liefde, Neppérus en Litjens (allen VVD) over fraude met vertrouwelijke gegevens die per reguliere post verzonden worden (ingezonden op 25 april 2014), niet binnen de termijn van drie weken kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.


Kamervraag document nummer: kv-tk-2014Z07850
Volledige titel: Fraude met vertrouwelijke gegevens die per reguliere post verzonden worden
Kamerantwoord document nummer: ah-tk-20132014-2492
Volledige titel: Antwoord op vragen van de leden De Liefde, Neppérus en Litjens over fraude met vertrouwelijke gegevens die per reguliere post verzonden worden