30 312
Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet algemene bepalingen burgerservicenummer)

B
VOORLOPIG VERSLAG VAN DE VASTE COMMISSIE VOOR BINNENLANDSE ZAKEN EN DE HOGE COLLEGES VAN STAAT1

Het voorbereidend onderzoek van dit wetsvoorstel heeft de commissie aanleiding gegeven tot het maken van de navolgende opmerkingen en het stellen van de navolgende opmerkingen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het voorliggende wetsvoorstel, dat de invoering van een uniek persoonsnummer beoogt teneinde de doelmatigheid van de onderscheidene administraties van de overheid en enige andere sectoren te vergroten en de dienstverlening aan de burger te verbeteren, een en ander met inachtneming van de eisen die daaraan behoren te worden gesteld ter bescherming van de persoonlijke levenssfeer.

Na alle commotie die destijds ontstond rond de invoering van het sofinummer en die maar heel geleidelijk in de loop der jaren is verdwenen, kan van dit wetsvoorstel moeilijk worden volgehouden dat het een trendbreuk in het land van de bevolkingsadministratie betekent. Tegen de wens van de regering een burgerservicenummer in te voeren kunnen daarom in redelijkheid geen bezwaren van principiële aard worden opgeworpen. Het heeft overigens de aandacht van de leden van de CDA-fractie getrokken dat blijkbaar met name fraudebestrijding (mvt, bl. 26 en 27) ten grondslag heeft gelegen aan de wens een sluitend systeem van persoonsidentificatie in te voeren. Hunnerzijds stuit dat niet op kritiek. Aan dienstverlening aan de burger is dat echter niet te verbinden, aan doelmatigheid van de overheidsadministratie daarentegen weer wel. Aan welk aspect anders dan fraudebestrijding hecht de regering nog meer?

De hier aan het woord zijnde leden merken op dat het wetsvoorstel is bedoeld als kaderstellend (mvt, par. 1). Dat verleent aan het wetsvoorstel een zekere abstractie die mogelijkerwijs kan verhullen dat het gebruik van het burgerservicenummer verderstrekkende gevolgen heeft c.q. kan hebben dan zo op het eerste gezicht met de invoering ervan werd beoogd. Te denken valt in dit verband aan wetsvoorstel 30 380, Regels inzake het gebruik van het burgerservicenummer in de zorg (Wet gebruik burgerservicenummer in de zorg, waaromtrent het voorbereidend onderzoek door de vaste commissie voor VWS nog zal plaatsvinden).

Dat kaderstellende karakter van het wetsvoorstel stuit op grote bezwaren binnen de CDA-fractie, nu dat betekent, dat feitelijk in de wet enkel de hoofdlijn wordt uitgezet, terwijl de bij uitvoering ervan te hanteren toetsingskaders en criteria in wetgeving van lagere orde (AmvB) worden opgenomen. Dat klemt temeer nu het wetsvoorstel de mogelijkheid opent voor private personen en instellingen gebruikers van het BSN-stelsel te worden, echter zonder de daarbij toepasselijke criteria te noemen. De leden van de CDA-fractie hechten er uit een oogpunt van bescherming van het grondrecht op privacy als hoogst belangrijk recht, ten zeerste aan dat toetsingskader c.q. die criteria in de wet in formele zin op te nemen. De controlefunctie van de (Tweede en) Eerste Kamer zou op onwenselijke wijze worden uitgehold indien wordt berust in het materialiseren van de wet in formele zin die aan de bescherming van de persoonlijke levenssfeer raakt, in een redelijk anonieme AmvB. Opgemerkt in dit verband zij dat het voorliggende wetsvoorstel zelfs niet van een voorhangprocedure voor een dergelijke AmvB rept. Het parlement zou daarmee op voorhand buiten spel worden gezet, hetgeen de leden van de CDA-fractie vooralsnog als onaanvaardbaar voorkomt. Wellicht ten overvloede wijzen de leden van de CDA-fractie op het advies van 10 februari 2005 van het College bescherming persoonsgegevens (Cbp) aan de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties, dat zich in vergelijkbare zin heeft uitgelaten. Aan de minister wordt daarom met klem in overweging gegeven op dit punt het wetvoorstel in vorenbedoelde zin aan te passen.

Kan de minister meedelen waarom niet van de gelegenheid gebruik is gemaakt tot de instelling van één servicepunt voor de burger te komen? Aan dat ene servicepunt zou tevens een notificatieplicht jegens de burger dienen te worden opgelegd, zodat bij signalering van fouten herstel van die fouten kan worden verlangd. Ten voorbeeld strekke situatie in Amsterdam, waar 15% van de inschrijvingen in de GBA naar verluidt vals zou zijn.

Vallen, zo vragen de hier aan het woord zijnde leden, illegalen (en asielzoekers) wellicht onder de in par. 13 van de mvt bedoelde niet-ingezetenen die middels nog komende wetgeving in het bsn-stelsel zullen worden opgenomen?

Met instemming hebben de leden van de CDA-fractie kennisgenomen van het feit dat het advies van het Cbp in het thans gepresenteerde wetsvoorstel uitwerking heeft gekregen in hoofdstuk 8 van de mvt. Het gaat dan met name om privacyrichtlijn 95/46/EG (zorgvuldige omgang met persoonsgegevens) en om de criteria die zullen worden gehanteerd bij toelating tot het stelsel van gebruikers die geen overheidsorgaan zijn. De verwerking van het advies van het Cbp gaat echter niet ver genoeg met betrekking tot de criteria/het toetsingskader voor gebruik van het bsn-stelsel, zeker ingeval het gebruik door niet-overheidsorganen betreft.

Verwezen zij haar hetgeen is verwoord in de derde alinea van deze inbreng, hetgeen als hier herhaald en ingelast moet worden beschouwd.

In reactie op het advies van de Raad van State meldt de mvt (blz. 3) dat het met het opstellen van een toetsingskader ex artikel 21, vierde lid, van het wetsvoorstel inmiddels goede vorderingen zijn gemaakt, en dat het streven er op is gericht medio oktober 2005 een volledig concept beschikbaar te hebben. Is dat concept inmiddels (oktober 2006) voltooid? Zo ja, is dat toetsingskader zodanig imperatief geformuleerd dat voor «dichterlijke vrijheden» van de gebruikers niet behoeft te worden gevreesd? Zo niet, hoe denkt de minister wildgroei in het gebruik te kunnen beteugelen? Biedt artikel 19 van het wetsvoorstel in dat geval voldoende instrumenten zo vragen deze leden zich af. Heeft de minister zich überhaupt de vraag gesteld of niet als minimale variant van parlementair(e) inspraak/toezicht een voorhangprocedure wenselijk is? Zo nee, waarom niet?

Ook met de wensen en zorgen van de VNG is rekening gehouden (par. 1.2 van de mvt). Dat de VNG zich zorgen maakt over de kosten van uitvoering en implementatie is op zich begrijpelijk, maar zulks werpt geen fundamentele bezwaren op waarmee deze Kamer rekening zou moeten houden, zo merken deze leden op.

Meer in het algemeen kan de beoogde bewaking en bescherming van persoonsgegevens via de functionaris ex artikel 62 van de Wet bescherming persoonsgegevens op de instemming van de CDA-fractie rekenen. Daarmee wordt niet alleen uniformiteit in de systematiek van persoonsregistratie bereikt, maar ook eenvormigheid in het toezicht op het gebruik ervan. Het College bescherming persoonsgegevens krijgt daarmee een taak die hem naar zijn aard toekomt.

Rest deze leden nog de vraag aan de regering welke invoeringsdatum hem voor ogen staat. Zij delen mee de memorie van antwoord met meer dan gewone belangstelling af te wachten.

De leden van de PvdA-fractie hadden met toenemende bezorgdheid kennis genomen van dit wetsvoorstel. Naar de mening van deze leden betroffen de voorstellen kwesties van een majeure maatschappelijke impact.

Weliswaar oogt deze operatie op her eerste oog puur technisch, maar zowel het Cbp als ook de zogenoemde «Tafel van van Thijn» wezen op de enorme maatschappelijk consequenties. In het advies van de Tafel staat op pagina 4 dat de negen voorstellen een samenhangend geheel van technische, organisatorische en juridische maatregelen vormen, dat zowel tot efficiënte uitvoering van werkprocessen als tot verbetering van privacybescherming leidt. Deze aanbevelingen zijn volgens het Cbp met een salamitechniek plakje voor plakje van tafel geschoven tot er maar een van overbleef, te weten de landkaart. In bijlage 2 bij de nota n.a.v. het verslag staat puntsgewijs aangegeven wat met de tafel is gebeurd. Helaas betreffen dat naar de mening van het Cbp voornamelijk de technische aspecten en niet het totale, juridische pakket. Wat is hierop het commentaar van de regering?

Het Cbp heeft regelmatig benadrukt dat het met de tafel om het totale pakket gaat en aangedrongen op zowel een toetsingskader als een vangnetregeling in de vorm van een ombudsfunctie. Komt het wetsvoorstel bij gebreke daarvan niet in strijd met art. 8 lid 7 van de richtlijn 95/46/EG, dat lidstaten verplicht de voorwaarden vast te stellen waaronder een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerkingsdoeleinden mag worden gebruikt? Kan de regering hierop antwoorden?

De leden , behorende tot de PvdA-fractie merken op dat dit wetsvoorstel de algemene bepalingen geeft voor burgerservicenummer (bsn)-stelsel, dat veel verder strekt dan dat van het sofi nummer. In de preambule staat dat het bsn van kracht is voor de overheid en andere sectoren. Kan de regering aangeven welke sectoren en waarom waarborgen zoals de wettelijke verankering van het gebruik van het nummer in dit wetsvoorstel ontbreken? Kwam dit wetsvoorstel ook daarmee niet in strijd met artikel 8 lid 7 van de EU privacy richtlijn?

De regering stelt dat het bsn geen nieuwe bedreiging voor de privacy introduceert, maar veeleer een verbeterde uitvoering is van het sofi nummer. Kan zij aangeven wat die verbetering inhoudt? Zou de regering niet garant moeten staan voor de integriteit van de ontworpen architectuur in plaats van te stellen dat er geen bedreigingen ontstaan.

Het is de PvdA-fractie uit de Handelingen van de Tweede Kamer duidelijk geworden, dat wat onder de noemer toetsingskader momenteel wordt voorbereid in feite een handleiding betreft, waarbij de vlag kennelijk de lading niet dekt. De beslissing een dergelijk stuk niet in de wet op te nemen mag dan ook weinig verwondering wekken. Laat dat echter niet onverlet, dat materiele normstelling over gebruik van het bsn nadere wettelijke uitwerking behoeft voor wat betreft de zorgvuldigheid, toegankelijkheid, de doelbinding en de techniek? Is de regering niet moet deze leden van mening dat burgers het recht hebben op een wettelijke regeling van een expliciet benoemd limitatief gebruiksrecht van gegevens, dat wil zeggen wie doet wat, wanneer, waarvoor, wel en vooral ook niet? Omvat dat dan niet mede handelingen als

– de actieve in kennis stelling van de opslag, overdracht en vernietiging van de op de persoon betrekking hebbende gegevens,

– vrije en expliciete keuze inzake opslag van niet wettelijk verplichte gegevens

– het niet zondermeer verstrekken van de gegevens aan derden

– het (eerst en vooraf) moeten geven van expliciete en vrijwillige toestemming voor doorgifte van gegevens aan derden

– uitsluiting van het afdwingen van impliciete doorgifte van gegevens aan derden opdat verkwanseling van persoonsgegevens aan economische belangen wordt voorkomen

– reguleren van de koppeling en/of verwerking van gegevens met andere gegevensverzamelingen, waaronder ook gegevens van derde partijen. Zeker waar die met een ander doel gecollecteerd zijn en/of onder andere kwaliteitscriteria vallen

– vrije en transparante toegang tot de opgeslagen gegevens over de burger zelf of onder haar verantwoordelijkheid vallende minderjarige kinderen

– registratie van alle handelingen (mutaties, duplicaties, transporten) met de gegevens

– vrije toegang tot de registratie van de handelingen met de gegevens

alsmede de opslag met onder andere:

– het kunnen rectificeren van de gegevens

– een gewetensbezwaardenregeling

alsmede het beheer van de gegevens met onder andere:

– het integer zijn en houden van de gegevens (het zogenaamde beheer door de houder)

– de transparante bescherming (veiligheid) van de gegevens

– een strafrechtelijk kader voor verboden bezit van en verboden handeling met gegevens

het verifieerbaar en certificeerbaar adequaat beveiligen van de gegevens middels o.a.:

– identificatie

– authentificatie

– autorisatie

– validatie

– registratie?

Kan de regering meedelen op welke van de bovengenoemde onderdelen zaken wettelijk zijn benoemd en geregeld?

Wat is de hiërarchie tussen deze wet Algemene bepalingen bsn en de Wet gebruik bsn in de zorg (30 380)? Wat is de reikwijdte van de coördinerende taak van de minister voor Bestuurlijke Vernieuwing in deze? Is het niet merkwaardig dat de regeling bsn in de zorg wel een toetsingskader bevat en de algemene bepalingen daarin niet voorzien. Welke overige sectorale bsn regelingen heeft de regering in voorbereiding?

In de plenaire behandeling in de Tweede Kamer heeft de minister toegezegd een informatiepunt in te stellen voor burgers met problemen over het bsn. Kan de minister meedelen wat de reikwijdte is van taak en functie van dit informatiepunt? Heeft het informatiepunt doorzettingsmacht indien fouten of nalatigheden bij gebruikers ten opzichte van burgers worden geconstateerd? Kortom heeft het informatiepunt een ombudsfunctie of iets wat daarop lijkt? Waar zal dit informatiepunt organisatorisch worden aangehaakt?

Kan een burger verplicht worden gesteld het eigen bsn te verstrekken?

Kan de regering nader uitwerken hoe de informatie- en rectificatieplicht door gebruikers aan burgers in geval van foutieve gegevens vorm zal krijgen? Zijn daarover afspraken gemaakt met de diverse betrokken instanties en hoe is de verantwoordelijkheidsverdeling geregeld?

Kan de regering meedelen welke waarborgen zijn getroffen voor de deugdelijkheid van de back offices waar het nu ontbrekende toetsingskader voor was bedoeld?

De leden van de VVD-fractie sluiten zich bij de vragen in de hier bovenstaande alinea’s aan.

Nu de oorspronkelijke keuze voor aparte nummers voor specifieke sectoren is komen te vervallen, luidt de vraag of de regering het eens is met de stelling dat daarmee extra risico’s voor misbruik zijn ontstaan, die extra waarborgen vergen. Is de wettelijke verankering van een toetsingskader dan niet extra klemmend geboden?

Nu is de situatie dat er formeel allerlei schotten zijn tussen overheidsinformatie, die straks met het bsn worden doorbroken. Ontstaan dan niet het risico dat via een cyberaanval de informatie simpel langs die ene lijn te verzamelen is? Is het dan niet zo, dat, zodra men bij een persoonlijke Internet Pagina kan komen men simpel kan doorklikken naar privacy gevoelige gegevens? Welke veiligheids waarborgen heeft de regering hiertegen ingebouwd?

In hoeverre kunnen systemen simpel afvraagbaar gemaakt worden op basis van nummers omdat de sleutel van het bsn uniek is? Is het dan niet zo dat een systeem met een dergelijke op internet toegankelijke systematiek, niet goed bestand is tegen een «brute force» aanvat vanaf een gecompromitteerd systeem binnen de harde schil van de beveiliging? Zou bijvoorbeeld de Amsterdamse onderwereld, die al eerder met succes bij de AIVD wist te schoppen, langs de eg belastinggegevens van medewerkers en kennissen kunnen doorpluizen op zoek naar bankrekeningen met verdachte saldi? Is dan beveiliging met een stevige intrusion detection onvoldoende effectief, omdat de oude sofinummers lineair zijn en op publieke documenten als paspoorten staan? Kan men daardoor niet met een relatief onzichtbare beweging de benodigde informatie van een groep mensen ongemerkt uit het systeem trekken?

Is het met het oog op het bovenstaande niet vreemd dat een burger maar één servicenummer krijgt? Is dit niet een lage en vooral onveilige service? Is het verstrekken van meerdere nummers voor verschillende soorten informatie die gescheiden moeten blijven, zoals het medisch dossier dan niet te verkiezen? Als het gaat om efficiency bij het gebruikt van één nummer, over wiens administratie gemak gaat het dan?

Is niet de nummersystematiek te verkiezen, waarbij iedere databron en gebruiker een tijdelijk ander nummer krijgt dat maar door een enkele partij – de centrale bron achter het bsn – aan elkaar te knopen is? Zou langs die weg niet bij elke koppeling van gegevens de central bron nodig zijn, zodat er geen informatie kan stromen?

Nu het toetsingskader ontbreekt, is het aan het cbp als toezichthouder om de zorgvuldige omgang met persoonsgegevens te bewaken en daartoe normen te ontwikkelen. Komt het Cbp daarmee niet op de stoel van de wetgever en op welke wijze wordt het Cbp in staat gesteld deze zwaarwichtige functie te vervullen. De aan het woord zijnde leden zien graag zorgvuldige aandacht van de regering voor deze kwesties tegemoet.

De leden van de PvdA-fractie zien de antwoorden van de regering met meer dan de gebruikelijke belangstelling tegemoet.

De leden van de VVD-fractie vragen allereerst wat de hiërarchie is tussen de Wet algemene bepalingen bsn en de Wet gebruik bsn in de zorg? Wat is de reikwijdte van de coördinerende taak van de minister voor Bestuurlijke Vernieuwing in deze? Is het niet merkwaardig dat de regeling bsn in de zorg wel een toetsingskader bevat en de algemene bepalingen daarin niet voorzien? Welke overige sectorale bsn-regelingen heeft de regering in voorbereiding?

Deze leden wezen op de vragen van de fractie in de PvdA over het in te stellen informatiepunt, over de informatie- en rectificatieplicht jegens de burgers en over de waarborgen voor de deugdelijkheid van de backoffices, bij welke vragen zij zich aansluiten.

Ten aanzien van het sofinummer is wettelijk verankerd wie er gebruik van mag maken, maar in het voorliggende voorstel is dit niet het geval. Kan de regering meedelen hoe zich dat verhoudt tot art 8 lid 7 van de EU privacy richtlijn?

De leden van de fractie van GroenLinks hebben met enige reserve kennis genomen van onderhavige wetsvoorstel. Deze reserve heeft betrekking op de – resterende – kritiekpunten die het Cbp naar voren heeft gebracht m.b.t. de ombudsfunctie, de koppeling van bestanden en een wettelijke verankering van het toetsingskader.

In de schriftelijke stukken is e.e.a. uitgewisseld m.b.t. het ontbreken van een wettelijke verankering – in deze wet – van een vangnet, een loket, een ombudsfunctie o.i.d. waar burgers met klachten terecht kunnen omdat het gebruik van het bsn tot fraude, fouten of klachten leidt. De antwoorden van de regering op de vragen dienaangaande zijn niet bevredigend beantwoord, omdat de burger, geconfronteerd met een fout waarvoor de verantwoordelijkheid bij de overheid ligt, als een Sherlock Holmes moet onderzoeken waar de fout precies gemaakt is.

Erkent de regering dat met de invoering van het bsn en met name de toepassing ervan een nieuwe, veelzijdige dynamiek ontstaat in geautomatiseerde persoonsregistratie die een digitale kettingreactie van fouten kan veroorzaken, buiten de schuld van de drager van het bsn om?

Is het proportioneel om van burgers te verlangen dat zij allerlei fasen moeten doorlopen, tot aan de rechter toe, om uiteindelijk een verzoek tot correctie gehonoreerd te krijgen?

Is er een termijn waarbinnen de gemeente als beheerder van het GBA moet reageren en beslissen op het verzoek van een burger om gegevens te corrigeren?

Hoe komt de burger te weten dat het GBA aan welke afnemers een mededeling heeft gedaan inzake een correctie bsn en dat deze afnemers daadwerkelijk ook de correctie uitvoeren?

In de nota naar aanleiding van het verslag (30 312, nr. 7, blz. 5) stelt de regering dat gebleken is dat het begrip «publiekrechterlijke taak»geen eenduidige betekenis heeft. Waaruit is dit gebleken? Kan een ander persoon of college dat men enig openbaar gezag is bekleed andere dan publiekrechterlijke taken uitoefenen?

Komt er een evaluatie van deze wet? Is artikel 21 te beschouwen als een evaluatie-artikel?

Is de regering bereid in de evaluatie een overzicht te geven van het aantal fouten bsn en de wijze van afhandeling daarvan?

Heet de regering nog iets geleerd n.a.v. de commotie rondom de stemmachines m.b.t. de veiligheid en beveiliging van het gebruik van het bsn-stelsel? Zijn er richtlijnen voor de afsluitbaarheid van de ruimten waarin computers staan met bsn-gegevens? Zijn er richtlijnen m.b.t. draadloos versturen van data? Hoe is het gesteld met de keten-veiligheid: afnemers van bsn-gegevens?

Heeft de regering overwogen om een uitzonderingsmogelijkheid te creëren voor mensen die om principiële redenen geen nummer willen zijn? Zo nee, waarom niet? Zo ja, wat waren de redenen om dit niet voor te stellen?

Zijn de taken en verantwoordelijkheden van de colleges van BenW door hen overdraagbaar aan de dagelijks besturen van stadsdeelraden?

Kan de regering toelichten hoe de toelichting op artikel 4 moeten worden begrepen, waar staat dat in het nummerregister naast de nummers zelf ook informatie wordt gegeven over (b) aan wie en wanneer het nummer beschikbaar is gesteld, terwijl even verder in de toelichting staat dat het nummerregister geen gegevens over de persoon bevat aan wie het nummer is toegekend. Is de naam van persoon niet een gegeven?

Moet in artikel 5 lid 1 »Een college van» niet gelezen worden »Het college van», analoog aan andere artikelen (8, 9) waarin dit college wordt genoemd?

Wie bepaalt welke inlichtingen een gebruiker nodig heeft? De gebruiker of de verstrekker? (art. 14)

De leden van de fractie van D66 hebben met belangstelling kennis genomen van dit voorstel. Zij onderschrijven dat met behulp van dit wetsvoorstel de administratie en uitwisseling van verschillende soorten persoonsgegevens meer doeltreffend en doelmatig kan plaatsvinden.

Deze leden vragen zich echter af in hoeverre in dit wetsvoorstel een evenwichtige verhouding is gevonden tussen het hiervoor aangeduide belang van de overheid en het belang een goede rechtsbescherming en privacybescherming voor de burger. Aangezien meer gebruikers binnen de overheid hun gegevens van een bepaald persoon gaan koppelen aan het bsn zullen er algemeen gezegd veel meer persoonsgegevens verbonden zijn aan het bsn dan aan het sofi-nummer. Het is denkbaar dat door een toename van de uitwisseling van persoonsgegevens een fout in de administratie van een gebruiker sneller terecht komt in de administratie van andere gebruiker van het bsn. Het effect van een fout kan door dit wetsvoorstel met andere woorden worden vergroot. Kan de regering meedelen hoe een burger kan bereiken dat een fout in zijn gegevens die door de uitwisseling via het BSN ook in andere administraties terecht is gekomen wordt hersteld? Kan de regering daarbij ook ingaan op de vraag waarom hij geen rol weggelegd ziet in een centraal orgaan, toezichtfiguur of servicepunt waar de burger terecht zou kunnen ingeval er fouten met het bsn ontstaan?

Voor een goede bescherming van de privacy en het voorkomen van oneigenlijk gebruik van het bsn is een adequate beveiliging van de gegevens vereist. De leden van de fractie van D66 nemen aan dat naar mate de gevoeligheid van de gegevens verbonden aan het bsn binnen een bepaalde administratie toeneemt, de beveiliging ook zwaarder wordt. Doordat het bsn de uitwisseling in de praktijk eenvoudiger en efficiënter maakt is het goed denkbaar dat onbevoegden misbruik maken van licht beveiligde systeem om vervolgens d.m.v. uitwisseling bij gegevens te komen in zwaarder beveiligde systemen. Deze leden vragen de regering aan te duiden welke eisen zijn gesteld aan de beveiliging van de ict-systemen van de organisaties die met het bsn gaan werken en hoe het staat met de voorbereidingen daaromtrent.

Het bsn zal in de toekomst een van de belangrijkste elementen zijn in de communicatie en uitwisseling van gegevens tussen de overheid en de burger. Deze leden vragen de regering in hoeverre is voorzien in een voorlichtingscampagne over het bsn voor de burger.