Aan de orde is het mondelinge vragenuur, overeenkomst artikel 136 van het Reglement van orde.

Mevrouw Bijleveld-Schouten (CDA):

Mevrouw de voorzitter! Bijna week in week uit worden er mondelinge vragen gesteld over het GAK. Het GAK is de uitvoerder van de sociale zekerheid en dient te opereren binnen de wettelijke kaders die wij hebben vastgesteld. Vandaag gaat het over een verzekeraar die jarenlang de databank van het GAK heeft ingekeken. Het is een ernstige zaak dat een private, op winst gerichte onderneming gegevens van de sociale zekerheid gebruikt om employee benefits op maat te verkopen. Klanten moeten erop kunnen rekenen dat hun gegevens vertrouwelijk blijven.

Hoe kan het dat de controle van het CTSV een en ander nooit aan het licht heeft gebracht? Zal de staatssecretaris daar verder onderzoek naar doen? Vindt hij het ook niet vreemd dat het CTSV dit, gezien zijn controlerende taak, niet heeft kunnen ontdekken? Zijn de verbindingen nu werkelijk verbroken? Hoe serieus neemt de staatssecretaris dit soort berichten, ook in relatie tot andere uitvoerders in de sociale zekerheid?

Wat staat ons nog allemaal te wachten op dit punt? Het idee bij de nieuwe wet is dat het GAK nog vijf jaar sturend kan optreden. Hoe kan in de toekomst het uitlekken van dit soort gegevens voorkomen worden? Ik wijs erop dat bepaalde vormen van automatisering door de uitvoerders van de sociale zekerheid zijn uitbesteed.

Staatssecretaris Hoogervorst:

Voorzitter! Op grond van de OSV 1997 mag het GAK onder bepaalde voorwaarden gegevens verstrekken aan particuliere verzekeraars en pensioenuitvoerders. Dit geldt alleen voor gegevens die nodig zijn voor de uitvoering van de pensioenregelingen of de aanvullende verzekeringen. Dat betekent dat alleen gegevens mogen worden verstrekt over werkgevers of werknemers die bij PVF of ANV zijn aangesloten. Gegevens over werkgevers en werknemers die niet bij PVF of ANV zijn aangesloten, mogen dus niet door het GAK worden verstrekt.

Naar aanleiding van recente krantenartikelen heeft het GAK mij laten weten dat PVF en ANV toegang hadden tot het gegevensbestand inzake werkgevers die bij het GAK zijn aangesloten. Het was technisch niet geregeld dat PVF en ANV alleen toegang hebben tot de gegevens over de werkgevers die bij die instellingen zijn aangesloten. Zij konden dus het gehele bestand inzien en dat is in strijd met de wettelijke voorschriften. PVF en ANV hebben schriftelijk verklaard dat zij nooit gebruik hebben gemaakt van de mogelijkheid om gegevens over werkgevers in te zien die niet bij hen waren aangesloten. Verder heeft het GAK verklaard dat de mogelijkheden voor PVF en ANV om het totale werkgeversbestand in te zien met onmiddellijke ingang zijn afgesloten. Ik zeg met nadruk dat het GAK heeft verklaard dat het alleen gaat om het bestand met algemene gegevens van de werkgevers: naam, vestigingsadres en aantal werknemers. PVF en ANV hadden geen toegang tot de gegevensbestanden van individuele werknemers.

Het heeft mij, evenals mevrouw Bijleveld, verbaasd dat noch het GAK noch het LISV tot nu toe niet heeft gesignaleerd dat het GAK op dit punt niet geheel juist handelde. De UVI's zijn verplicht om jaarlijks een zogenaamde EDP-audit aan het LISV te verstrekken. Dat is een verklaring van een onafhankelijke deskundige, waarin wordt aangegeven in hoeverre de gebruikte informatiesystemen voldoen aan de wettelijke eisen en voorschriften. Het CTSV gebruikt deze audits in zijn reguliere rechtmatigheidsonderzoek en het had dus op de hoogte kunnen zijn. Het CTSV heeft in de afgelopen jaren echter geen onrechtmatigheden gemeld bij het beheer en het gebruik van gegevens door het GAK. In januari 1998 is door het CTSV een onderzoeksrapport uitgebracht over de rechtmatigheid van het beheer en het gebruik van de gegevens door de UVI's. In dat onderzoek heeft het CTSV wel risico's gesignaleerd, maar geen misstanden geconstateerd. Het GAK kwam in dit onderzoek zelfs relatief goed uit de bus. Er was volgens het CTSV geen sprake van gegevensmisbruik. Ik zal het CTSV dan ook vragen om te onderzoeken hoe het mogelijk is dat deze kwestie bij het GAK niet eerder is gesignaleerd. Tevens zal ik het CTSV verzoeken om bij alle UVI's een algemeen onderzoek in te stellen naar de rechtmatigheid van het beheer en het gebruik van de gegevens. Over de uitkomsten van dit onderzoek zal ik u zo snel mogelijk informeren.

In de toekomst zal de scheidslijn tussen publiek en privaat scherper worden getrokken dan heden het geval is. Daar verwacht ik op dit gebied veel duidelijkheid van.

Mevrouw Bijleveld-Schouten (CDA):

Ik ben blij dat de staatssecretaris zal nagaan hoe het zover is kunnen komen en dat hij bij alle UVI's de rechtmatigheid van dit soort zaken zal laten onderzoeken. In zijn antwoord geeft de staatssecretaris echter geen kwalificatie over hetgeen is geconstateerd. Hij zegt vrij hard dat door het GAK in strijd met de wet is gehandeld. Even later zegt hij dat dit hem verbaasd heeft. De woorden "niet geheel juist" zijn dan wel een eufemisme, want dat is iets heel anders dan "nadrukkelijk in strijd met de wet". Ik verzoek de staatssecretaris een kwalificatie aan deze zaak te geven. Hoe beoordeelt hij het onvermogen van het CTSV om deze gegevens te achterhalen? Wij hebben dat college juist ingesteld om dit soort zaken te controleren. Er zijn vele debatten over de controle en het toezicht op de sociale zekerheid gevoerd en wij gaan er daarom van uit dat dit soort zaken tijdig wordt opgespoord. Uit de woorden van de staatssecretaris blijkt dat daarvan allerminst sprake is. Hoe beoordeelt de staatssecretaris het optreden van het CTSV?

Staatssecretaris Hoogervorst:

Voorzitter! Voorzover ik op dit moment kan beoordelen, is hetgeen gebeurd is in strijd met de wet. Ik heb daar nog maar kort naar kunnen laten kijken, maar ik heb vooralsnog niet de indruk dat PVF en ANV op slinkse wijze via het GAK hebben geprobeerd bij werkgevers bestanden in te zien waartoe zij eigenlijk geen recht hebben. Ik heb voorts niet de indruk dat de privacy of de belangen van de werkgevers geschonden zijn. Het betreft eerder slordigheid dan boze opzet. Ik moet voorzichtigheid betrachten, want ik heb de zaak nog niet goed kunnen laten bestuderen. Het CTSV moet zelf nog uitleggen waarom het dit niet heeft kunnen signaleren. Een EDP-audit beslaat vele honderden pagina's en de voor deze zaak relevante conclusies maken een betrekkelijk klein onderdeel van het volledige rapport uit. Mogelijk heeft het college dit gewoon over het hoofd gezien en is het totale beeld gunstiger dan dit incident doet vermoeden. Daar moet het CTSV echter eerst zelf antwoord op geven.

Mevrouw Noorman-den Uyl (PvdA):

Ik wil de staatssecretaris toch vragen een helderder antwoord te geven op de vraag die eerder is gesteld. Hoe beoordeelt hij de gang van zaken? Hij zegt nu dat het misschien slordig is, maar dat het zeker geen boze opzet is. Tegelijkertijd zegt hij dat de wet is overtreden. Dat kun je toch niet met "slordig" afdoen? Kan de staatssecretaris zijn visie hierop duidelijker aangeven?

De staatssecretaris zegt dat die toegang nu is afgesloten, maar hoe vindt dan nu het gegevensverkeer plaats tussen pensioenfondsen en het GAK? Hoe is het mogelijk dat van de ene op de andere dag wel gescreende gegevens beschikbaar zijn, terwijl dat een paar jaar lang blijkbaar niet mogelijk of niet wenselijk was?

Ik ben blij met de opmerking van de staatssecretaris dat hij van het CTSV een verklaring vraagt waarin helder tot uitdrukking komt hoe het kan dat zo'n vitaal element uit de informatieverstrekking is gemist. Tenslotte is dit een van de hoofdonderwerpen die in het kader van SUWI een grote rol hebben gespeeld. Mijn fractie is tamelijk ontzet over het feit dat dit naar voren is gekomen.

Wil de staatssecretaris tegenover de Kamer aangeven welke stappen hij onderneemt om niet alleen bij dit element maar in iedere samenloop van gegevensverkeer blokkades op te werpen?

Staatssecretaris Hoogervorst:

Voorzitter! Ik heb een globale duiding gegeven van mijn oordeel over hetgeen is opgetreden. Ik aarzel echt om verder te gaan in allerlei uitspraken van verontwaardiging of anderszins. Het lijkt mij verstandig de resultaten van het onderzoek van het CTSV af te wachten. Zoals gebruikelijk, zal dat klip en klaar zijn. Ik zal dat aan de Kamer doen toekomen, voorzien van mijn conclusies over het geheel. Op de vraag van mevrouw Noorman hoe wij dit in de toekomst gaan vermijden, zal ik in die brief ingaan.

Mevrouw Schimmel (D66):

Ik vind dat de staatssecretaris rijkelijk laat is met dit onderzoek. In december 1998 heb ik bij de behandeling van de begroting van Sociale Zaken en Werkgelegenheid 1999 een motie ingediend – deze is door de Tweede Kamer aangenomen – waarin het kabinet is verzocht om risicovolle situaties inzake het gebruik van publieke gegevens voor commerciële doeleinden te voorkomen en de Tweede Kamer daarover op korte termijn te berichten. Dat was december 1998! Dit gebeurde mede naar aanleiding van de CTSV-rapportage in januari 1998, waarin melding werd gemaakt van risicovolle situaties. Ik vind dat de staatssecretaris deze zaak niet kan afdoen met de opmerking dat de toezichthouder niet voldoende heeft gekeken. Hij had naar aanleiding van die motie zelf opdracht moeten geven deze zaak uit te zoeken. Ik vraag mij af wat de staatssecretaris tussen december 1998 en nu heeft gedaan om die risicovolle situaties te voorkomen.

Mijn tweede vraag stel ik aan het CDA. Mij verbaast het eerlijk gezegd dat het CDA zich hier zo druk over maakt, aangezien het CDA de uitvoering van de werknemersverzekeringen in private handen of in handen van pensioenfondsen wilde leggen. Ik vraag mij af hoe controleerbaar dat is.

Staatssecretaris Hoogervorst:

Het zal mevrouw Schimmel niet zijn ontgaan dat ik mede naar aanleiding van haar motie de bevoegdheden van het CTSV om te kijken wat er zich in de A- en B-poot van de UVI's afspeelt, aanmerkelijk heb verruimd. Daar ben ik nog steeds mee doende. In zoverre heb ik dus echt wel op haar motie gereageerd.

Dat onderzoek doe ik natuurlijk niet zelf. Daar heb ik een onafhankelijk toezichthouder voor. Als er audits plaatsvinden waar iets wordt vastgesteld en het werk wordt naar behoren gedaan, maar dat wordt vervolgens niet opgepikt door het LISV of het CTSV, dan sta ik wel een beetje met lege handen. Ik moet erop kunnen vertrouwen dat het door de uitvoerende instanties op een goede manier wordt opgepakt. Als er eens wat doorheen glipt, zal dat ook ter lering dienen voor de instellingen die zich hiermee bezighouden.

Mevrouw Bijleveld-Schouten (CDA):

Voorzitter! Mevrouw Verburg is de woordvoerder van onze fractie op het SUWI-dossier. Wij hebben er nooit misverstand over laten bestaan dat wij een andere uitvoering van de sociale zekerheid voor ogen hebben dan de Paarse coalitie. Als wij zeggen dat deze uitgevoerd kan worden door private ondernemingen, binnen publieke kaders, wil dat niet zeggen dat er onzorgvuldig met die gegevens omgegaan mag worden. Wat ons betreft kan het nooit aan de orde zijn dat die gegevens voor andere doeleinden worden gebruikt dan voor de uitvoering van de sociale zekerheid. Mijn collega Verburg heeft daar bij de debatten over het SUWI-dossier nooit een misverstand over laten bestaan.

Mevrouw Wagenaar (PvdA):

Voorzitter! De Kamer heeft over dit onderwerp gesproken toen de Wet bescherming persoonsgegevens aanhangig was. Het kabinet heeft daarbij de duidelijke toezegging gedaan dat dit soort dingen nooit mogen gebeuren. Er moet niet alleen toezicht plaatsvinden door het CTSV, maar ook door de Registratiekamer. Als een toezichthouder faalt, moet er ook naar andere mogelijkheden worden gekeken. Ik vraag de staatssecretaris of hij ons kan verzekeren dat dit soort gegevensstromen in de toekomst gescheiden blijven en dat er muren binnen automatiseringsbestanden staan.

Achmea heeft nu minder toegang tot bestanden van het GAK, maar in dezelfde week is aangekondigd dat het in supermarkten polissen gaat verkopen. Gebeurt dat? Kan de staatssecretaris garanderen dat dit gebeurt zonder toegang tot de klantgegevens van deze supermarkten?

Staatssecretaris Hoogervorst:

Ik geloof niet dat het verkopen van polissen aan cliënten van supermarkten tot mijn portefeuille behoort, maar in het kader van de eenheid van het kabinetsbeleid zal ik deze problematiek graag onder de aandacht brengen van mijn collega van Justitie. De eerste vraag van mevrouw Wagenaar is mij ontschoten, omdat ik een beetje verbouwereerd was door de tweede.

Mevrouw Wagenaar (PvdA):

In zo'n positie breng ik u liever niet, dat begrijpt u. Wij hebben in de Kamer de Wet bescherming persoonsgegevens behandeld en daarbij zijn de UVI's en het toezicht uitgebreid aan de orde gekomen. Nu blijkt dat de toezichthouders hebben gefaald. De Registratiekamer kijkt ook mee. Als het goed is, kijkt de staatssecretaris ook naar de uitvoering van wetten. Het gaat hierbij om de Wet bescherming persoonsgegevens. Kan worden gegarandeerd dat er muren zijn in geautomatiseerde bestanden, als het gaat om overheidsorganen die gegevens hebben verzameld voor de uitvoering van hun wettelijke taak? Zo nee, kan dit dan worden onderzocht? Dit kan echt niet.

Staatssecretaris Hoogervorst:

Persoonsgegevens zijn hierbij niet aan de orde geweest. Het ging om gegevens van werkgevers, dus niet om personen. In het SUWI-traject werkt de Registratiekamer nauw met ons samen op het gebied van de privacybescherming. Zij kijken mee met elke stap van de wetgeving, om te voorkomen dat persoonsgegevens uit de publieke sfeer worden gebruikt voor private doeleinden. Dat wil mevrouw Wagenaar ook bereiken.