Vragen van het lid Leijten (SP) aan de Minister en Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Justitie en Veiligheid over het bericht dat er buitensporig vaak inzage in de persoonsgegevens – via de BRP – van slachtoffers van het toeslagenschandaal heeft plaatsgevonden (ingezonden 13 oktober 2022).

Antwoord van Minister Yeşilgöz-Zegerius (Justitie en Veiligheid) en van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 30 januari 2023). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 576.

Vraag 1

Wat is de reden waarom persoonsgegevens van slachtoffers van het toeslagenschandaal buitensporig vaak opgevraagd worden door overheidsinstanties, zoals de politie? Kunt u uitsluiten dat dit nog altijd gebeurt?1

Antwoord 1

Het is voor de politie niet bekend welke personen gedupeerden van de toeslagenaffaire zijn. Bij het contact tussen een politiefunctionaris en een persoon (of deze persoon nu in hoedanigheid van verdachte, slachtoffer, benadeelde, getuige, onderhavige is aan politiecontrole, of omstander is) is voor de politiefunctionaris niet kenbaar of de betrokkene in kwestie wel of geen gedupeerde van de toeslagenaffaire is. Bij het verwerken van gegevens naar aanleiding van een dergelijk contact wordt dit dan ook niet geregistreerd.

Omdat niet geregistreerd staat bij de politie of er sprake is van een gedupeerde, kan de politie dus niet nagaan of erkende gedupeerden van de toeslagenaffaire bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen. In de begeleidende brief bij de beantwoording van deze Kamervragen en in het antwoord op vraag 10 is uiteengezet wat de aanleiding voor de bevraging in de BRP zou kunnen zijn geweest. Als een individuele gedupeerde wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan kan de gedupeerde daartoe een inzageverzoek bij de politie doen.2

Wat buitensporig is, kan niet in zijn algemeenheid worden vastgesteld, dat hangt af van de grootte en de taak of taken van de gebruiker van de BRP. Ons zijn ook geen signalen bekend over buitensporige bevragingen van de BRP, anders dan het FTM artikel.

Vraag 2 en 3

Moet de inzage in de Basisregistratie Personen door een gemeente worden goedgekeurd of kunnen overheidsdiensten zich automatisch toegang verschaffen?

Wordt er gevraagd of aangegeven waarom er in gegevens gekeken wordt van familieleden van iemand wiens gegevens worden opgevraagd? Zo nee, waarom niet?

Antwoord 2 en 3

Wij beantwoorden deze vraag voor de BRP in het algemeen. Er wordt niet per geval aangegeven waarvoor er gegevens worden opgevraagd, maar wel in algemene zin. Voor iedere gebruiker van de BRP wordt voorafgaand aan het verkrijgen van toegang tot de BRP door de Rijksdienst voor Identiteitsgegevens (RvIG) getoetst welke persoonsgegevens noodzakelijk zijn voor de uitvoering van de taak van de gebruiker. Dit wordt vastgelegd in een autorisatiebesluit. Gebruikers van de BRP mogen de BRP enkel gebruiken binnen de kaders van het autorisatiebesluit. Daarbij merken wij op dat het centraal in de BRP bijhouden van de exacte reden van raadpleging ervoor zorgt dat er meer (gevoelige) gegevens centraal worden bewaard. Dat zou ertoe leiden dat er in de BRP veel meer informatie moet worden bewaard dan nodig is voor de uitvoering van de wet BRP, wat bovendien de risico’s voor burgers in het geval van datalekken en met betrekking tot profilering vergroot.

Gebruikers dienen na het opvragen van de gegevens zelf bij te houden wat de concrete reden van het gebruik van de BRP was. Als de burger precies wil weten waarvoor de BRP-gegevens zijn gebruikt, kan hij of zij een inzageverzoek indienen bij de organisatie die de BRP-gegevens heeft opgevraagd. Op grond van de AVG zijn organisaties die BRP-gegevens opvragen zelf verantwoordelijk voor het bijhouden van de doeleinden van de gegevensverwerking. De desbetreffende organisatie zal dus een reden (doeleinde) moeten kunnen gegeven voor het gebruik van de BRP-gegevens

Zie ook het antwoord op uw vragen over de datahonger van de overheid d.d. 18 mei 2022 (antwoord op de eerste, tweede en zevende vraag).3

Vraag 4

Krijgt een gemeente een signaal als er buitensporig vaak in de persoonsgegevens van iemand wordt gekeken?

Antwoord 4

Nee. De Minister van BZK, feitelijk RvIG, beheert de centrale voorziening van de BRP waaruit gegevens kunnen worden opgevraagd. Wat buitensporig is, kan niet in zijn algemeenheid worden vastgesteld, dat hangt af van de grootte en de taak of taken van de gebruiker van de BRP. Er kan daarom ook geen signaal over worden afgegeven.

Specifiek met betrekking tot de politie is het volgende van belang. De taken en doelgroep van de politie zijn breed (verdachte, slachtoffer, benadeelde, getuige, onderhavig aan politiecontrole, of omstander). Al deze mensen kunnen in aanraking komen met de politie, waarna de politie gegevens over diegene zal moeten opzoeken in de BRP. Voorgaande brengt ook met zich mee dat RvIG niet kan bepalen of en wanneer er sprake is van «buitensporig vaak» in de persoonsgegevens van iemand kijken. Daarvoor zou RvIG van iedere persoon moeten weten wat de precieze aanleiding is voor het opvragen van de BRP-gegevens. Dat is niet mogelijk gelet op het grote aantal gebruikers van de BRP en daarbij ook onwenselijk, omdat er dan (bijzondere) persoonsgegevens moeten worden bijgehouden in de BRP zonder noodzaak.

Vraag 5

Erkent u dat het raar is dat zelfs ministeries inzage vragen in de persoonsgegevens? Kunt u aangeven welke afdelingen dit betreft en welke redenen er zijn om iemands persoonsgegevens te controleren?

Antwoord 5

Nee, dat erkennen wij niet. Het doel van de BRP is het voorzien van overheidsorganen (waaronder Ministers) van de in de BRP opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van hun taak.4 Ministeries kunnen persoonsgegevens nodig hebben voor de uitvoering van hun taken, indien die taken onder directe ministeriële verantwoordelijkheid vallen. Bijvoorbeeld de Minister van BZK voor het kunnen aanbieden van de voorziening DigiD of het beheer van het donorregister onder verantwoordelijkheid van de Minister van VWS. Op de website van RvIG is een overzicht te vinden van de ministeries die toegang hebben tot de BRP, en voor welke taken: BRP-besluiten-Ministeries.

Vraag 6, 7 en 9

Kunt u aangeven of er een verband is tussen de Fraude Signalering Voorziening (FSV) van de Belastingdienst en de vele opvragingen van andere overheidsinstanties? Kunt u uw antwoord uitgebreid toelichten?

Met welke instanties zijn er (gegevens van) FSV-lijsten of soortgelijke gegevens gedeeld?

Welke gegevens zijn er overgenomen uit FSV-lijsten en gedeeld met andere instanties dan de Belastingdienst?

Antwoord 6, 7 en 9

PricewaterhouseCoopers (PwC) heeft onderzoek gedaan naar de gegevensverstrekking uit of over de FSV in het rapport «gegevensdeling met derden». De Belastingdienst heeft aanvullend onderzoek verricht dat is gevalideerd door PwC. Over dit onderzoek bent u voor de laatste maal door de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst geïnformeerd op 4 november 2022.

In die brief is opgenomen dat de 536 gegevensverstrekkingen die PwC heeft gevonden nader zijn onderzocht. Daaruit blijkt dat de omvang van de gegevensverstrekking aan derden beperkter is dan eerder geconstateerd. Van de 536 verstrekkingen heeft de Belastingdienst geconstateerd dat er in 128 verstrekkingen geen persoonsgegevens staan of dat de burger niet in de FSV staat. Van de overgebleven verstrekkingen bevat minstens 108 verstrekkingen geen informatie uit of over de FSV. In de verstrekkingen waar wel sprake is van FSV wordt in de meeste gevallen enkel FSV in de verstrekking vermeld zonder dat er informatie uit de FSV is verstrekt. Daarnaast is geconstateerd dat het overgrote deel van de verstrekkingen plaatsvond op basis van een informatieverzoek en dat de verstrekte informatie niet uit de FSV komt. Na analyse blijven er 296 verstrekkingen over die betrekking hebben op 505 mensen. Uit de nadere analyse van de Belastingdienst blijkt dat de ontvangers van de 4 exportbestanden een verbintenis hadden met de Belastingdienst en dat het daarom geen gegevensverstrekking aan derden is. Deze verstrekkingen zijn wel als een datalek aangemerkt, maar er zijn geen gevolgen geconstateerd. Uit het onderzoek met samenwerkingspartners van de Belastingdienst naar de gevolgen van gegevensverstrekking blijkt dat, op enkele gevallen na, er geen vervolgactie is ingezet op basis van de gegevensverstrekking. In de gevallen waarbij de samenwerkingspartner wél een vervolgactie heeft ingezet, ging het om informatie die de samenwerkingspartner op basis van een informatieverzoek heeft ontvangen.

Verstrekking

Aantal

Toelichting

Exportbestanden

4

Geen gegevensverstrekking

Verstrekking bevat geen persoonsgegevens of burger staat niet in FSV

128

Geen gegevensverstrekking

Verstrekking bevat geen informatie over of uit FSV

108

Geen gegevensverstrekking

Verstrekking bevat informatie over of uit FSV

296

Gegevensverstrekking, circa 65% op basis van een informatieverzoek.

Totaal aantal verstrekkingen

536

 

Gezien er uit deze onderzoeken niet blijkt dat er grootschalige informatieverstrekking uit of over FSV heeft plaatsgevonden aan andere organisaties, is het onaannemelijk dat de FSV heeft geleid tot «grootschalige» bevraging van de BRP door overheidsorganisaties in die zin dat de persoonsgegevens van heel veel burgers in de BRP zijn bevraagd.

Los van de FSV, verstrekt de Belastingdienst fiscale informatie van een persoon aan andere overheidsorganisaties, indien daar door een organisatie om verzocht wordt en hier een wettelijke basis voor is. Ook verstrekt de Belastingdienst fiscale informatie aan andere organisaties ter uitvoering van een wettelijke taak.

Naast dat deze informatieverstrekking in de wet is vastgelegd, is ook in veel gevallen een convenant opgesteld. Die convenanten zijn openbaar beschikbaar.

Vraag 8 en 10

Indien er geen gegevens zouden zijn gedeeld met andere instanties dat mensen gesignaleerd staan op een FSV-lijst, hoe verklaart u dat de opvragingen van andere instanties vele malen talrijker zijn dan voor mensen die niet gesignaleerd staan op een FSV-lijst?

Klopt het dat bij sommige slachtoffers het krijgen van brieven om toeslagen terug te betalen gelijk loopt met de start van buitensporige inzage van politie, FIOD, Ministerie van Financiën en anderen? Hoe kunt u dit verklaren?

Antwoorden 8 en 10

Het artikel van FTM spreekt niet over extra raadplegingen van de BRP door de FIOD, het Ministerie van Financiën en anderen. Dit herkennen wij ook niet. In het geval van de politie kan niet worden vastgesteld of sprake is van overmatige bevragingen.

Daarnaast is het zoals aangegeven in de beantwoording van vraag 1 voor de politie niet bekend welke personen gedupeerden van de toeslagenaffaire zijn. Bij het contact tussen een politiefunctionaris en een persoon (of deze persoon nu in hoedanigheid van verdachte, slachtoffer, benadeelde, getuige, onderhavige is aan politiecontrole, of omstander is) is voor de politiefunctionaris niet kenbaar of de betrokkene in kwestie wel of geen gedupeerde van de toeslagenaffaire is. Bij het verwerken van gegevens naar aanleiding van een dergelijk contact wordt dit dan ook niet geregistreerd. De politie heeft aangegeven dat zij niet kan nagaan of erkende gedupeerden van de toeslagenaffaire bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, omdat niet geregistreerd staat bij de politie of er sprake is van een gedupeerde.

Zoals beschreven in de begeleidende brief zijn er wel diverse gronden op basis waarvan gegevens worden verstrekt aan de politie.

Vraag 11

Heeft het kenmerk «opzet grove schuld» achter iemands naam invloed gehad op het buitensporig in mogen zien van de persoonsgegevens?

Antwoord 11

Nee. Het kenmerk «opzet grove schuld» wordt niet geregistreerd in de BRP noch gebruikt bij de toets of een organisatie toegang krijgt tot persoonsgegevens in de BRP.

Vraag 12

Bent u bereid een verplichting in te stellen voor instanties waarom zij een bevraging doen uit andere systemen, zodat mensen meer inzage kunnen krijgen in hun gegevens en wat er met hun gegevens gebeurt? Zo nee, waarom niet?

Antwoord 12

Die plicht geldt al op grond van de AVG (artikel 5, tweede lid («verantwoordingsplicht»)). Iedere verwerkingsverantwoordelijke is zelfstandig verplicht om daaraan te voldoen.

Vraag 13

Denkt u dat wanneer artikel 32a van de Wet politiegegevens in werking was getreden de toeslagenouders wél een fatsoenlijke verklaring van de politie zouden hebben gekregen over waarom er zo vaak inzage in de persoonsgegevens heeft plaatsgevonden? Kunt u uw antwoord toelichting?

Antwoord 13

Artikel 32a van de Wet politiegegevens (Wpg) gaat over logging in geautomatiseerde systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens. Het ontbreken van een verklaring voor de bevragingen is niet gelegen in het feit dat er geen logging plaatsvindt van bevragingen. Er vindt wel degelijk logging plaats op grond van de algemene verplichting tot gegevensbeveiliging uit artikel 4a van de Wpg. Er kan echter geen onderzoek worden gedaan door de politie naar bevragingen op toeslagenouders, omdat het voor de politie niet kenbaar is welke personen toeslagenouders zijn. De politie kan daarom niet nagaan of toeslagenouders bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, en zo ja, wat daarvan de achterliggende redenen zou kunnen zijn. Als een individuele gedupeerde wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan kunnen zij daartoe een inzageverzoek bij de politie doen. In de begeleidende brief bij deze Kamervragen is een link opgenomen naar een website met meer informatie hoe een dergelijk verzoek kan worden gedaan.

Vraag 14

Kunt u aangeven wanneer artikel 32a van de Wet politiegegevens in werking zal treden?

Antwoord 14

Artikel 32a Wpg moet – conform de uitzonderingsmogelijkheid geboden in Richtlijn 2016/680 – uiterlijk in mei 2023 in werking treden. Dat kan middels een koninklijk besluit. Deze uitzondering is mogelijk gemaakt omdat systemen aangepast moeten worden zodat deze kunnen loggen. Het blijft ook na mei 2023 overigens tot 2026 mogelijk om een uitzondering te vragen voor specifieke systemen die om technische redenen nog niet kunnen loggen.

Vraag 15

Kunt u tevens aangeven waarom het zo lang moet duren en of dat bij de inzage in de verwerking van politiegegevens ook zonder logplicht onder dat recht op inzage valt?

Antwoord 15

Het recht op inzage in de gegevens wordt geregeld door artikel 25 van de Wet politiegegevens, daaronder valt ook inzage in de doelen en de rechtsgrond van de verwerking. Daaronder valt verder een overzicht van de ontvangers van politiegegevens gedurende een periode van vier jaar, dus aan wie politiegegevens verstrekt zijn (lid 1, onderdeel c). Voor zover loggegevens tegemoet komen aan de onderdelen van artikel 25, valt dit onder het inzagerecht. Verder verwijzen wij u voor de beantwoording van deze vraag naar het antwoord op vraag 14.

Vraag 16

Bent u bereid instanties te verplichten dat een verzoek wordt gedaan voor inzage in bevragingen van persoonsgegevens, dit overzicht compleet dient te zijn, en er dus niet een overzicht kan worden gegeven van slechts enkele systemen binnen een instantie waarin een persoon voor kan komen? Zo nee, kunt u uw antwoord uitgebreid toelichten?

Antwoord 16

Voor de politie geldt dat het recht op inzage conform artikel 25 van de Wpg het inzien van persoonsgegevens en het krijgen van informatie over de doelen en de rechtsgrond van de verwerking; de betrokken categorieën van politiegegevens; de vraag of de deze persoon betreffende politiegegevens gedurende een periode van vier jaar voorafgaande aan het verzoek zijn verstrekt en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties; de voorziene periode van opslag of indien dat niet mogelijk is, de criteria om die termijn te bepalen; het recht te verzoeken om rectificatie, vernietiging of afscherming van de verwerking van hem betreffende politiegegevens; het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit; de herkomst, voor zover beschikbaar, van de verwerking van hem betreffende politiegegevens.

Tegelijk is het goed om hier te onder de aandacht te brengen dat in artikel 27 van de Wet politiegegevens hier een uitzondering op wordt gemaakt en dat het verzoek kan worden afgewezen op grond van een aantal limitatief opgesomde uitzonderingsgronden.

Op overige organisaties die persoonsgegevens verwerken is de AVG van toepassing. De AVG regelt dat op iedere verwerkingsverantwoordelijke de verantwoordingsplicht rust (artikel 5, tweede lid, AVG). Iedere organisatie die gegevens verwerkt, waaronder gegevens uit de BRP, is verplicht om te voldoen aan de verplichting om inzage te kunnen geven in de doeleinden van de verwerking en eventuele verdere verwerkingen (artikel 15 AVG). Overzichten van verwerkingsactiviteiten dienen compleet te zijn.5

Vraag 17

Bent u bereid instanties te verplichten dat indien er een verzoek wordt gedaan voor inzage in bevragingen van persoonsgegevens, dit overzicht compleet dient te zijn en dus ook moet bevatten met welke instanties deze gegevens nog meer zijn gedeeld? Zo nee, kunt u uw antwoord uitgebreid toelichten?

Antwoord 17

Die plicht geldt al op grond van de AVG (artikel6. Iedere verwerkingsverantwoordelijke is zelfstandig verantwoordelijk om daaraan te voldoen.

Vraag 18

Waarom vindt u het nog altijd geoorloofd dat steeds meer instanties, en daarmee ook steeds meer mensen, inzage hebben in de persoonlijke gegevens van mensen zonder dat ze daarbij hoeven aan te geven waarom ze deze gegevens opvragen of hoe zij deze gegevens verder verwerken? Ziet u het gevaar als, zoals u eerder wenste, ook bijvoorbeeld banken toegang hebben tot dergelijke gegevens? Kunt u uw antwoord uitgebreid toelichten?

Antwoord 18

Het verwerken van persoonsgegevens zonder dat daarbij kan worden aangegeven waarom de gegevens worden verwerkt zou inderdaad – behoudens uitzonderingen – ongeoorloofd zijn. Op iedere verwerkingsverantwoordelijke rust de verantwoordingsplicht (artikel 5, tweede lid, AVG). Zie voor de verdere beantwoording van deze vraag mijn antwoord op uw vragen over de datahonger van de overheid d.d. 18 mei 2022 (antwoord op de tweede vraag).7 Iedere organisatie die gegevens verwerkt, waaronder gegevens uit de BRP, moet voldoen aan de verplichting om inzage te kunnen geven in de doeleinden van de verwerking en eventuele verdere verwerkingen.

Vraag 19

Vindt u het rechtvaardig dat slachtoffers van het toeslagenschandaal nog altijd geen inzicht hebben in welke gegevens met welke diensten zijn gedeeld? Zo nee, hoe kan het dat deze mensen al zo lang op antwoorden moeten wachten? Zo ja, kunt u uw antwoord uitgebreid toelichten?

Antwoord 19

In de systemen van Toeslagen staat niet geregistreerd of en welke informatie van gedupeerde ouders in het verleden is gedeeld met andere organisaties. Het is voor de medewerkers van de Uitvoeringsorganisatie Herstel Toeslagen (UHT) daarom ook niet mogelijk om dit inzichtelijk te maken.

Wanneer gedupeerden in de FSV geregistreerd stonden, zijn zij door de Belastingdienst hierover geïnformeerd. De Belastingdienst informeert hen dan ook over de reden van registratie, wat de effecten van registratie zijn geweest en indien dit aan de orde is, met welke organisaties hun gegevens uit of over FSV zijn gedeeld.


X Noot
1

Follow The Money, «De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waarom», 10 oktober 2022, https://www.ftm.nl/artikelen/politie-monitort-gedupeerden-toeslagenaffaire?share=7%2Bkiq5YCoqNxWNyjb2oDThUixFo8%2FXFtQvPYP5pogWw7we%2BIk93MA%2BH3ZBSAlMk%3D.

X Noot
2

Voor meer informatie over hoe dit verzoek kan worden gedaan kunnen individuele gedupeerden terecht op de website: https://www.rijksoverheid.nl/wetten-en-regelingen/productbeschrijvingen/inzage-verbetering-en-verwijdering-politiegegevens

X Noot
4

Artikel 1.3, eerste lid, Wet BRP.

X Noot
5

Daarbij merk ik op dat verwerkingsverantwoordelijken in uitzonderlijke gevallen de rechten van betrokkenen kunnen beperken, zie artikel 23 van de AVG.

X Noot
6

Follow The Money, «De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waarom», 10 oktober 2022, https://www.ftm.nl/artikelen/politie-monitort-gedupeerden-toeslagenaffaire?share=7%2Bkiq5YCoqNxWNyjb2oDThUixFo8%2FXFtQvPYP5pogWw7we%2BIk93MA%2BH3ZBSAlMk%3D

Naar boven