| Ingediend | 26 april 2022 |
|---|---|
| Beantwoord | 18 mei 2022 (na 22 dagen) |
| Indiener | Renske Leijten |
| Beantwoord door | Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | bestuur rijksoverheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z08416.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-2780.html |
Ik kan tot op zekere hoogte een schatting geven van het gemiddelde aantal instanties dat toegang heeft tot de BRP-gegevens van een persoon die staat ingeschreven in de BRP. Ik hecht eraan daarbij enige context te schetsen, zodat duidelijk is waar ik inzage in kan geven.
De BRP bestaat uit twee componenten: de gemeentelijke voorzieningen en de centrale voorzieningen. De gemeentelijke voorzieningen bevatten de persoonslijsten van inwoners van de gemeente. Als de gemeente de BRP-gegevens van eigen inwoners nodig heeft, raadpleegt zij daarvoor haar eigen voorzieningen. Gemeenten mogen uitsluitend gegevens verstrekken aan organisaties als deze zijn opgenomen in de Verordening gegevensverstrekking BRP van de desbetreffende gemeente.2 Ik heb geen toegang tot de voorzieningen van de gemeenten en kan daarom ook geen informatie geven over het aantal organisaties dat toegang heeft tot de gemeentelijke voorzieningen.
De centrale voorzieningen van de BRP bevatten de kopieën van alle persoonslijsten die gemeenten bijhouden. Ik ben verantwoordelijk voor de verstrekking van gegevens uit de centrale voorzieningen aan overheidsorganen en aan derden die werkzaamheden van gewichtig maatschappelijk belang verrichten, ook wel «gebruikers» genoemd.
Onlangs heb ik de Tweede Kamer op uw verzoek een overzicht toegezonden van gebruikers van de centrale voorzieningen van de BRP.3 De gegevens uit de centrale voorzieningen kunnen op drie manieren worden verstrekt aan deze gebruikers:
Op basis van een zoekvraag. De gebruiker heeft gegevens over een bepaalde burger nodig, en vraagt deze op.
Spontaan (automatisch). De gebruiker krijgt een gegeven over een burger automatisch verstrekt als dat gegeven wijzigt. Bijvoorbeeld het adres bij verhuizing, of het overlijden.
Op selectie/conditioneel. De gebruiker krijgt een set gegevens eenmalig of periodiek verstrekt indien de gegevens over een groep personen voldoen aan bepaalde voorwaarden. Bijvoorbeeld de gegevens over alle personen die moeten worden opgeroepen voor een bevolkingsonderzoek.
Er mogen nooit willekeurig gegevens worden opgevraagd. Voor iedere gebruiker wordt nauwkeurig getoetst welke gegevens over welke personen zij nodig heeft om haar taken uit te voeren. Daarbij wordt ook bepaald op welke wijze de gegevens worden verstrekt. Dit wordt vastgelegd in een autorisatiebesluit, dat is te raadplegen via de website van de Rijksdienst voor Identiteitsgegevens (hierna: RvIG).4 Ook moet de gebruiker technisch aansluiten op de centrale voorziening; hiervoor gelden strenge eisen. Waar mogelijk worden ook technische beperkingen opgelegd. Dat is uitsluitend mogelijk als de gegevens waarmee de doelgroep wordt beperkt, deel uitmaken van de gegevensset in de BRP. Bijvoorbeeld het adres, als er alleen gegevens mogen worden opgevraagd van personen binnen een bepaalde regio. Veel gebruikers van de BRP voeren echter taken uit waarvoor de doelgroep niet technisch in te perken is. Denk bijvoorbeeld aan een pensioenfonds.
Op dit moment zijn er 1004 directe technische aansluitingen op de centrale voorzieningen van de BRP (daarin zijn de bijhoudingsaansluitingen5 van de gemeente niet meegeteld). Achter die aansluitingen zitten ongeveer 3000 gebruikers. Over welke personen gegevens mogen worden opgevraagd middels die technische aansluiting, hangt af van de autorisatie. Gemiddeld genomen wordt over burgers aan 15 gebruikers spontaan/selectief/conditioneel gegevens verstrekt (ad 2 en 3).6 Het is niet mogelijk een schatting te geven van het aantal gebruikers dat gegevens kan opvragen over een willekeurige burger omdat daarvoor protocolleringsgegevens over verstrekkingen op basis van zoekvragen (ad 1) van (alle) burgers moeten worden geanalyseerd (verwerkt in de zin van de AVG). Daarvoor bestaat geen grondslag.
Uit de onlangs door uw Kamer aangenomen wetswijziging vloeit niet voort dat nog meer organisaties toegang krijgen tot de BRP. Deze wijziging van de Wet basisregistratie personen (hierna: Wet BRP) ziet op het onderzoek naar onjuiste adresgegevens in de BRP (de Landelijke Aanpak Adreskwaliteit, ofwel LAA). De wetswijziging brengt geen verandering aan in de toegang van organisaties tot de BRP. Om toegang te krijgen tot de BRP, moeten overheidsorganisaties een autorisatieverzoek indienen bij de RvIG. Er wordt alleen toegang verleend indien dat noodzakelijk is voor de werkzaamheden die het overheidsorgaan uitvoert. In het autorisatiebesluit wordt bepaald op welke gegevens van welke groep personen de organisatie recht heeft. Aan derden (niet-overheidsorganisaties) wordt alleen toegang tot de BRP verleend voor zover de werkzaamheden die zij uitvoeren zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang in bijlage 4 bij het Besluit BRP. De genoemde wetswijziging brengt hier geen verandering in aan.
In het algemeen laat het toetsingskader van de Wet BRP wel toe dat de toegang tot de BRP kan worden uitgebreid in verband met nieuwe overheidstaken die moeten worden uitgevoerd, en taken van gewichtig maatschappelijk belang die bij derden worden belegd. Denk hierbij aan toezichthouders, pensioenfondsen en zorgverzekeraars. Ik acht dat wenselijk, omdat actuele, juiste persoonsgegevens van groot belang zijn voor de goede uitvoering van (publieke) taken.
Gemeenten voeren soms taken uit ten aanzien van personen die niet in de gemeente wonen en hebben daarvoor in sommige gevallen persoonsgegevens nodig uit de BRP. Zij zijn daarvoor geautoriseerd in de zogenoemde «GABA-autorisatie». De gegevens mogen bijvoorbeeld worden opgevraagd als iemand een pand bezit in een andere gemeente dan de woongemeente. De gegevens zijn dan nodig voor belastingheffing door de gemeente. Of bijvoorbeeld als een inwoner van een andere gemeente een parkeerboete krijgt, zodat deze naar het juiste adres kan worden verzonden.
Gemeenten mogen alleen gegevens opvragen als dat noodzakelijk is. De gemeente moet achteraf ook kunnen uitleggen waarom gegevens zijn geraadpleegd. Indien gemeenten de gegevens niet langer nodig hebben voor de uitvoering van hun taken, dienen zij de persoonsgegevens (met inachtneming van eventuele bewaartermijnen) te verwijderen. Ik vind het belangrijk dat gegevens enkel worden gebruikt voor zover dat noodzakelijk is en dat gemeenten en andere organisaties te allen tijde kunnen verklaren waarvoor BRP-gegevens zijn of worden geraadpleegd. Ik ben daarover in gesprek met de Nederlandse Vereniging voor Burgerzaken en de Vereniging Nederlandse Gemeenten.
De RvIG toetst voorafgaand aan het verlenen van toegang tot de BRP nauwkeurig welke gegevens van welke categorieën personen noodzakelijk zijn voor de taken die een overheidsorgaan of een derde uitvoert (artikel 3.2 en 3.3 Wet BRP). Waar mogelijk worden technische beperkingen aan de bevraging gesteld (zie ook het antwoord op vraag 1). Het is vervolgens aan de overheidsorganen en derden zelf om de gegevens binnen de kaders van het autorisatiebesluit te gebruiken. Gelet op het aantal organisaties dat gebruikmaakt van de BRP, en de grote verscheidenheid aan taken die zij uitvoeren, is het niet mogelijk om de rechtmatigheid van de raadpleging per gebruiker, per keer te beoordelen.
De BRP is van essentieel belang voor het functioneren van de overheid. Een overheid die zijn burgers niet kent of niet weet te vinden, is immers niet in staat de taken uit te voeren die door dezelfde burgers aan haar zijn toevertrouwd. Het doel van de BRP is dan ook het in stand houden van een doelmatige informatievoorziening van de overheid. Het uitgangspunt daarbij is: eenmalig verzamelen en opslaan van relevante persoonsgegevens over de burger in combinatie met meervoudig gebruik van die gegevens door de overheid («eenmalige uitvraag, meervoudig gebruik», het adagium van de basisregistraties). Die opzet leidt er niet alleen toe dat binnen de gehele overheid in beginsel dezelfde gegevens over een burger worden gebruikt, maar betekent ook dat de inbreuk die de overheid maakt op de persoonlijke levenssfeer van de burger beperkt kan blijven. Gelet hierop heeft de burger het recht om een verzoek om gegevens te weigeren als het gegeven in de vorm van een authentiek gegeven beschikbaar is in de BRP (artikel 1.7 Wet BRP).
Om de kwaliteit en daarmee de betrouwbaarheid van gegevens in de BRP zo hoog mogelijk te houden, worden de gegevens in de BRP zo veel mogelijk geregistreerd op basis van sterke brondocumenten, bijvoorbeeld de akten van de burgerlijke stand. Dat zorgt ervoor dat overheidsorganen en derden die gebruikmaken van de BRP er in beginsel op kunnen vertrouwen dat de gegevens die zij verstrekt krijgen uit de BRP juist zijn. Zonder de BRP zouden burgers bij alle verschillende overheidsorganen en derden waarmee ze contact hebben hun persoonsgegevens op verzoek van de overheidsorganen en derden opnieuw moeten doorgeven én zouden zij bewijs moeten aanleveren van de juistheid van die gegevens. Ik vind dat ongewenst gelet op de administratieve lastenverzwaring voor burgers, en de niet te overziene consequenties die dat zou hebben voor de uitvoering van taken door (overheids)organisaties en daarmee voor burgers.
Wel werk ik aan een voorstel op grond waarvan voor het gebruik van BRP-gegevens door organisaties toestemming van de burger vereist is, in die gevallen waarin de BRP-gegevens niet noodzakelijk zijn voor de uitvoering van publieke taken. De eerste organisatie waaraan op basis van toestemming zal worden verstrekt, is de Stichting Interkerkelijke Ledenadministratie (SILA, zie ook het antwoord op vraag 16). De daarvoor benodigde algemene maatregel van bestuur is op dit moment in consultatie. Het is mijn voornemen om deze mogelijkheid in de toekomst uit te breiden naar andere (maatschappelijke) organisaties.
Ministeries (ministers als bestuursorgaan) hebben toegang tot de BRP als dat noodzakelijk is voor de uitvoering van hun taken en voor zover zij daarvoor zijn geautoriseerd door RvIG. Op de website van RvIG is per ministerie in te zien voor welke taken zij BRP-gegevens mogen gebruiken.
In ieder autorisatiebesluit wordt vastgelegd voor welke doeleinden (taken) een gebruiker BRP-gegevens mag opvragen. In de BRP-voorzieningen wordt vervolgens bijgehouden welke gebruiker op grond van welk autorisatiebesluit de BRP heeft geraadpleegd. Als de burger inzage vraagt in de verstrekking van zijn BRP-gegevens, krijgt hij of zij een overzicht waarin bij iedere gebruiker een korte toelichting is opgenomen over de doeleinden van de verstrekking. Voor uitgebreidere informatie kan het autorisatiebesluit worden geraadpleegd.
Als de burger precies wil weten waarvoor de BRP-gegevens zijn gebruikt, kan hij of zij een inzageverzoek indienen bij de organisatie die de BRP-gegevens heeft opgevraagd. Op grond van de AVG zijn organisaties die BRP-gegevens opvragen zelf verantwoordelijk voor het bijhouden van de doeleinden van de gegevensverwerking. De desbetreffende organisatie zal dus een reden (doeleinde) moeten kunnen gegeven voor het gebruik van de BRP-gegevens.
Het centraal in de BRP bijhouden van de exacte reden van raadpleging zorgt ervoor dat er meer (gevoelige) gegevens centraal worden bewaard, wat de risico’s voor burgers in het geval van datalekken en met betrekking tot profilering vergroot. Ik ben daarom niet voornemens om de reden voor inzage op gedetailleerder niveau vast te leggen.
Iedere gebruiker is verplicht om voorafgaand aan de gegevensverwerking (artikel 14 AVG) en desgevraagd (artikel 15 AVG) te verklaren voor welke doeleinden de gegevens zijn of worden gebruikt. De meeste gebruikers houden zich aan de geldende privacywetgeving en vragen alleen die gegevens op in de BRP die noodzakelijk zijn voor de uitvoering van taken en registreren voor welke doeleinden de gegevens zijn opgevraagd. Indien gebruikers niet kunnen verklaren waarvoor persoonsgegevens zijn gebruikt, is dat inderdaad ongewenst. In het Gebruikersoverleg BRP zal ik de gebruikers wijzen op de verplichting om kunnen verantwoorden waarvoor gegevens zijn gebruikt, en zal ik in overleg bekijken hoe mijn ministerie daarin ondersteuning kan bieden.
Burgers kunnen op dit moment zowel schriftelijk als online inzage krijgen in het gebruik van hun BRP-gegevens. Bij de gemeente kan een overzicht worden opgevraagd. Daarnaast kunnen burgers sinds 15 maart van dit jaar via MijnOverheid inzien welke organisaties automatisch BRP-gegevens krijgen uit de centrale voorziening als er een gegeven wijzigt op de persoonslijst van de burger, bijvoorbeeld bij verhuizing. Het gaat om een gepersonaliseerd overzicht. Bij iedere organisatie wordt globaal uitgelegd waarvoor de BRP-gegevens worden verstrekt. Het overzicht is tot 1 mei jl. 123.323 keer bekeken via MijnOverheid. Dit is de eerste stap naar meer regie op (BRP-)gegevens voor de burger; het is mijn streven om ook de andere soorten verstrekkingen (bevragingen en selectie/conditionele verstrekkingen) online inzichtelijk te maken (punt 8 op de ontwikkelagenda BRP «alle bevragingen van BRP-gegevens inzichtelijk maken»).
Uit de Wet BRP volgt dat de basisregistratie tot doel heeft om overheidsorganen te voorzien van de in de registratie opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van hun taak. Systematische verstrekkingen uit de basisregistratie aan overheidsorganen zijn slechts mogelijk, indien daartoe een autorisatiebesluit is genomen. Voor de politie is op 1 januari 2015 het besluit tot autorisatie voor de systematische verstrekking van gegevens uit de basisregistratie personen in verband met de uitvoering van de politietaak in werking getreden. Dit besluit is in de Staatscourant gepubliceerd en te raadplegen via https://zoek.officielebekendmakingen.nl/stcrt-2016-8812.
Afhankelijk van de specifieke context kan het voor de politie noodzakelijk zijn niet alleen gegevens over de betreffende persoon te raadplegen, maar ook omtrent diens ouders, kinderen en/of andere familieleden. Dit zal primair eerstegraads verwanten betreffen. Dit is bijvoorbeeld het geval als de persoon een minderjarige betreft, een anderszins kwetsbaar persoon of een veelpleger. Ook als de persoon deel uitmaakt van een crimineel samenwerkingsverband of als van de persoon geen actuele woon- of verblijfplaats bekend is, kan dit aanleiding zijn ouders, kinderen en/of andere familieleden te bevragen.
Op straat kan een politiemedewerker via de MEOS telefoon alleen persoonsgegevens over de betreffende persoon ophalen. Daarnaast kan de politiemedewerker indien noodzakelijk en proportioneel, een bevraging op adres uitvoeren.
Het opvragen wie ouders, kinderen en/of ander familieleden zijn kan uitsluitend via de verificatiemodule. De verificatiemodule is alleen vanaf een politielocatie benaderbaar. Niet elke politieambtenaar is geautoriseerd voor het gebruik van deze module. Het is aan de (geautoriseerde) politieambtenaar om af te wegen of de bevraging noodzakelijk en proportioneel is, daar is geen separate toestemming voor nodig.
Dit wordt niet op deze manier geregistreerd, specifieke cijfers of percentages zijn dan ook niet bekend.
Op dit moment krijgen alle personen (zoals aangevers, getuigen, verdachten, benadeelden, slachtoffers, etc.) die worden ingevoerd in het politieregistratiesysteem BVH een afnemersindicatie in de personenserver. Dat is een abonnement op de BRP. Dit is nodig om contactgegevens actueel te houden, zodat bv. een aangever of een getuige kan worden benaderd lopende een onderzoek. Met de vanuit het BRP verstrekte gegevens die worden verzameld op de personenserver wordt niets gedaan tenzij een collega een gerichte bevraging doet. De politie streeft er naar dit aantal afnemersindicaties te verminderen omdat het niet nodig is om al deze personen te blijven volgen. Dit doet de politie in stappen. Hierbij zal de politie zich eerst richten op alle personen die geen verdachte zijn. Voor deze personen zal de politie geen of een kortlopend abonnement nemen. Dit jaar past de politie het registratiesysteem hier op aan. In het nieuwe registratiesysteem dat wordt ontwikkeld zal sprake zijn van maatwerk.
Bepaalde aanpassingen zijn al gedaan. Zo worden in de bevragingsmodule niet meer automatisch alle persoonsgegevens van meerdere mensen met eenzelfde naam opgehaald maar moet eerst de juiste persoon worden geselecteerd zodat alleen van deze persoon de gegevens worden opgehaald.
Dit wordt niet op deze manier geregistreerd, specifieke cijfers of percentages zijn dan ook niet bekend. Anders dan wordt verondersteld gaat het niet om een specifieke bevraging gericht op de «geboorteplaats ouder», maar maakt dit gegeven onderdeel uit van een gegevensset. Als de ouders van een persoon worden bevraagd, is «geboorteplaats ouder» onderdeel van de gegevensset van de persoon die wordt bevraagd. Ook hiervoor geldt dat een bevraging alleen gedaan mag worden als dat noodzakelijk en proportioneel is.
Er zijn 1004 directe aansluitingen op de centrale voorziening van de BRP (autorisaties). 747 van de aansluitingen (ongeveer 3/4e van het totaal) zijn geautoriseerd voor de geboorteplaats van de persoon zelf. 125 aansluitingen (ongeveer 1/8e) zijn geautoriseerd voor het geboorteland van de ouder, en 98 aansluitingen (ongeveer 1/10e) voor de geboorteplaats van de ouder. Dit is de verhouding waarin organisaties gegevens mogen opvragen over het geboorteland en de geboorteplaats uit de BRP.
Bij motie van 8 december 201510 heeft de Tweede Kamer de Minister van BZK inderdaad verzocht om een algehele stopzetting van de verstrekking van persoonsgegevens uit de BRP aan de SILA, omdat volgens de Tweede Kamer voor het verstrekken van persoonsgegevens door de overheid aan (kerk)genootschappen niet langer voldoende rechtvaardiging bestond.
Om de beëindiging te realiseren is eind 2016 een ontwerpbesluit opgesteld, waarmee werd beoogd de SILA te schrappen uit bijlage 4 bij het Besluit BRP.11 De toenmalige vaste commissie voor Binnenlandse Zaken van de Tweede Kamer heeft vervolgens bij brieven van 20 april 201712 en 9 mei 201713 nadrukkelijk verzocht om geen onomkeerbare stappen te zetten inzake de voorgenomen wijziging tot beëindiging van de verstrekking aan de SILA. Gelet op de ingekomen brieven van de Tweede Kamer en de demissionaire status van het toenmalige kabinet, is besloten inzake het SILA-dossier het wetgevingsproces tot beëindiging van de verstrekking van persoonsgegevens uit de BRP aan de SILA aan te houden. In de brief van 9 juni 201714 is de Tweede Kamer hieromtrent geïnformeerd. In de brief is beschreven dat onderzoek zal worden gedaan naar een uitbreiding van inzagemogelijkheden in verstrekkingen uit de BRP, en de mogelijkheid voor burgers om zelf instanties en organisaties aan te wijzen waaraan een beperkt aantal persoonlijke gegevens automatisch kan worden verstrekt. Vervolgens is in het regeerakkoord 2017–2021 vastgelegd dat een overgangsregime wordt gehanteerd:15 personen over wie op grond van het autorisatiebesluit aan de SILA gegevens worden verstrekt, krijgen de mogelijkheid om – naast de bestaande mogelijkheden om bezwaar te maken tegen de verstrekking – de gegevensverstrekking elektronisch te beëindigen. Over andere burgers (onder wie nieuwe leden en leden die de gegevensverstrekking elektronisch hebben uitgezet) worden geen gegevens verstrekt, tenzij de burger daarvoor (elektronisch) toestemming geeft. In het coalitieakkoord 2021–2025 is ten slotte vastgelegd dat de regering mensen regie wil geven over hun eigen gegevens.16
Conform deze toezeggingen heb ik een algemene maatregel van bestuur in voorbereiding, die regelt dat over nieuwe leden van de bij de SILA aangesloten (kerk)genootschap alleen BRP-gegevens worden verstrekt aan de SILA als daarvoor toestemming wordt gegeven via MijnOverheid. Dat besluit is op dit moment in (internet)consultatie. Huidige leden, waarover op dit moment gegevens worden verstrekt uit de BRP, krijgen de mogelijkheid om de gegevensdeling online via MijnOverheid of schriftelijk te beëindigen. Mijn streven is dat burgers hier vanaf 1 januari 2023 gebruik van kunnen maken. Op de datum van inwerkingtreding van de algemene maatregel van bestuur, zal ook het huidige autorisatiebesluit voor de SILA worden ingetrokken.
Organisaties krijgen alleen onder strenge voorwaarden toegang tot de BRP; zie de antwoorden op de vragen 2 en 4.