30 312
Algemene bepalingen betreffende de toekenning, het beheer en het gebruik van het burgerservicenummer (Wet algemene bepalingen burgerservicenummer)

H
NOTA NAAR AANLEIDING VAN HET VERSLAG

Met instemming heb ik kennisgenomen van de wens van de leden van de commissie voor Binnenlandse Zaken en de Hoge Colleges van Staat/Algemene Zaken en Huis der Koningin om het debat over het onderhavige wetsvoorstel mondeling voort te zetten. Ik voldoe graag aan het verzoek van de commissie om vóór de plenaire behandeling het standpunt van de regering uiteen te zetten over twee door de commissie geïdentificeerde kernkwesties, te weten:

a. de ombuds- of vangnetfunctie, en

b. het toetsingskader.

In deze nota wordt op de door de leden van de commissie over deze onderwerpen gemaakte opmerkingen en gestelde vragen ingegaan.

Ad a. De ombuds- of vangnetfunctie

De regering deelt de mening van de leden van de commissie dat de burger niet de dupe mag worden van een situatie waarin onduidelijk is tot wie hij zich moet wenden met vragen en problemen. Dat geldt ook in situaties waarin de vragen of problemen samenhangen met het gebruik van het BSN.

De leden van de commissie vragen of de regering met hen van mening is dat er daarom een voorziening zou moeten worden ingericht waar individuen met specifieke vragen en klachten over het gebruik van hun BSN terechtkunnen. Een dergelijke voorziening zal immers voorkomen dat de burger in het kader van de ketenverwerking van zijn BSN tussen wal en schip valt of tussen de kokers van Kafka de weg niet meer vindt.

De regering onderschrijft deze gedachtegang. Naast de bestaande voorzieningen1 die eerder in de discussie aan de orde kwamen, zal daarom een contactpunt worden opengesteld waar de burger gedurende minimaal een jaar vanaf de invoering van het BSN terecht kan met vragen en problemen die verband houden met het BSN. Dat contactpunt zal de burger actief ter zijde staan bij het zoeken naar een adequate oplossing van zijn problemen. Daarna wordt de rol van dit tijdelijke contactpunt geëvalueerd en indien nodig overgenomen door de reguliere instanties, waaronder het Cbp. Het Cbp heeft immers op grond van de Wbp onder meer taken en bevoegdheden op het gebied van voorlichting, advisering, bemiddeling en onderzoek met betrekking tot verwerking van persoonsgegevens. Mede op basis van de opgedane ervaringen met het contactpunt zal dan worden bezien of de middelen die de reguliere instanties ten behoeve van deze werkzaamheden ten dienste staan, toereikend zijn.

De leden van de commissie merken voorts op dat het vertrouwen van een burger in het gebruik van het BSN door de overheid wordt vergroot als hij op de hoogte wordt gesteld van fouten die zijn gemaakt met zijn BSN, vooral als hij vervolgens op de hoogte wordt gesteld van maatregelen die door de verantwoordelijke zijn getroffen om de fout te herstellen en in de toekomst te voorkomen.

Met de invoering van het BSN worden verschillende nieuwe voorzieningen geïntroduceerd om fouten te voorkomen. Dat neemt echter niet weg dat het altijd mogelijk blijft dat er fouten worden gemaakt. Als het gaat om een fout die het BSN zelf betreft – met andere woorden een fout in het BSN – en die heeft geleid tot de (al dan niet ambtshalve) correctie van deze fout, dan wordt de persoon in kwestie hiervan op de hoogte gesteld (artikel 3:41 Awb, artikel 82, vijfde lid, Wet GBA). Datzelfde geldt wanneer het een fout betreft in andere persoonsgegevens die in de GBA zijn vastgelegd. Ook als andere gebruikers van het BSN een fout maken en deze (op verzoek van de burger) corrigeren, wordt dat aan de betrokkene gemeld (artikel 36 Wbp). Het rechtzetten van een geconstateerde fout door een bestuursorgaan kan zich overigens ook aan de burger openbaren doordat een eerder door dat orgaan genomen beslissing wordt vervangen door een andere (bijvoorbeeld in de vorm van een herziene belastingaanslag). Ook in die situatie is dus voorzien in het op de hoogte stellen van de burger.

Er zijn daarnaast fouten denkbaar die een intern karakter hebben, met andere woorden fouten waarvan de burger niets merkt omdat ze tijdig worden opgemerkt en hersteld. Daarbij gaat het om uiteenlopende soorten van fouten: om «kleine» fouten zoals typefouten, om systematische fouten als gevolg van een gebrek in de programmatuur en om fouten bij het vergelijken of «matchen» van gegevens. Ter voorkoming en correctie van dit soort fouten hebben organisaties systemen van interne controle en kwaliteitsbewaking ingezet.

Het gaat te ver om de verantwoordelijken voor gegevensverwerkingen, in aanvulling op de reeds bestaande bepalingen, in alle gevallen te verplichten de burger in kennis te stellen van geconstateerde fouten, al of niet in gegevensverwerkingen waarbij het BSN wordt gebruikt. Zo’n wettelijke verplichting zou tot een enorme bureaucratie leiden.1

Behalve de geconstateerde (en vervolgens gecorrigeerde) fouten, waar de leden van de commissie op doelen, kan er sprake zijn van fouten die (nog) niet zijn opgemerkt. Deze fouten zouden ongemerkt kunnen doorwerken en een domino-effect kunnen ontketenen in de (overheids)informatievoorziening. Het is met het oog hierop dat het onderhavige wetsvoorstel het beheer van het persoonsnummer aanmerkelijk verbetert. Daartoe zijn bijvoorbeeld in de aanmaak- en de toekenningsprocedure van het BSN waarborgen ingebouwd om te voorkomen dat een persoon meer dan één nummer krijgt of verschillende personen hetzelfde nummer. Voorts wordt de integriteit van het nummer in het BSN-stelsel bewaakt door middel van nieuwe verificatievoorzieningen. Die omvatten externe verificaties van het bij elkaar horen van BSN en persoon en van de geldigheid van identiteitsdocumenten door de gebruikers van burgerservicenummers alsmede terugmeldingen in het kader van de GBA als basisregistratie. Het onderhavige wetsvoorstel beoogt met deze voorzieningen mede het vertrouwen in het BSN te vergroten.

Ad b. Het toetsingskader

De commissie stelt terecht dat het toetsingskader zijn oorsprong heeft in het (ambtelijke) implementatieplan dat is opgesteld als vervolg op het advies van de Tafel Van Thijn. Het voorstel was dat een werkgroep op basis van wetgeving en het beleid, en de stand van zaken in de sectoren een toetsingskader zou vaststellen.1 Dat uitgangspunt is gehanteerd door de projectorganisatie die de realisatie van het BSN ter hand heeft genomen vanaf 2004. Het (concept van) het toetsingskader dat momenteel samengesteld wordt, beschrijft op een toegankelijke manier de voorwaarden die gelden bij het gebruik van het BSN. Dit geschiedt in de vorm van een collectie stappenplannen voor de gebruiker.

In die stappenplannen worden gebruikers door de voorwaarden geleid waaraan voldaan moet zijn bij het gebruik van het BSN. Een voorbeeld hiervan is het stappenplan dat doorlopen moet worden als beoogd wordt het BSN te gebruiken bij het uitwisselen van gegevens met een andere gebruiker. De eerste stap bestaat eruit na te gaan of het BSN door de eigen organisatie gebruikt mag worden. In vervolgstappen moet worden nagegaan of de gegevensuitwisseling is toegestaan. Ook voor de ontvangende organisatie moet worden nagegaan of deze het BSN mag gebruiken. Er moet ook worden vastgesteld of het BSN daadwerkelijk betrekking heeft op de betreffende burger. Ten slotte moet vastgesteld worden dat de maatregelen voor de beveiliging van de gegevensuitwisseling passend zijn. Daarbij gaat het om adequate afscherming van gegevens en om autorisatiemechanismen waardoor niet elke medewerker bij de gegevens van een willekeurige persoon kan komen.2

Het hiervoor aangehaalde stappenplan bevat stappen die voortvloeien uit de Wbp, uit het onderhavige wetsvoorstel, uit de wetgeving die van toepassing is op de taak ten behoeve waarvan de gegevensuitwisseling plaats vindt en uit de internationale standaarden op het gebied van beveiliging. De meerwaarde van het toetsingskader ligt erin dat een samenhangende en toegankelijke beschrijving van toepasselijke regelingen, standaards en good practices wordt geboden aan degenen die betrokken zijn bij het BSN. Mede met het oog hierop werd het gebruik van de term «toetsingskader» door mijn ambtsvoorganger tijdens de behandeling in de Tweede Kamer genuanceerd. De term handleiding dekt de lading veel beter.

De regering is het volledig eens met de stelling dat ongebreideld koppelen van persoonsgegevens voorkomen moet worden. Het bestaande juridisch instrumentarium reguleert deze problematiek echter in voldoende mate.3 Koppelen van gegevens vereist de uitwisseling van gegevens. Gegevensuitwisseling moet voldoen aan de heldere regels van de Wbp op het gebied van doelbinding, proportionaliteit, beveiliging en dergelijke. Gegevenskoppeling mag dus niet zomaar plaatsvinden: er moet een wettelijke grondslag voor aanwezig zijn4. Dat betekent dat bij de totstandkoming van de wettelijke grondslag wordt getoetst, onder meer door het Cbp, of zo’n koppeling wenselijk is. Het BSN laat deze fundamentele toets volledig intact.

Het toevoegen van een extra formele toets van sectorale wetgeving door de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties heeft naar de mening van de regering geen meerwaarde. Een extra toets zou bijvoorbeeld voor het wetsvoorstel betreffende het gebruik van het BSN in de zorg, betekenen dat genoemde bewindspersoon zich gaat bezighouden met de vraag of het gebruik van het BSN in het gegevensverkeer tussen huisarts en specialist voldoende gerechtvaardigd is vanuit het perspectief van doelbinding en proportionaliteit en of de beveiliging passend is geregeld. Het is echter de taak en de verantwoordelijkheid van de desbetreffende bewindspersoon – in het voorbeeld de minister van VWS– om op zijn werkterrein voorstellen te doen en daarvoor advies in te winnen bij het College bescherming persoonsgegevens en de Raad van State zodat de privacy aspecten geborgd zijn.

Uit de discussie tot dusverre proef ik zorg in uw Kamer over de toegenomen en toenemende digitale gegevensuitwisseling. Deze digitalisering vraagt om adequate maatregelen Dit wetsvoorstel vormt een van deze maatregelen. De voorgestelde vernieuwing van het bestaande nummerstelsel dat op het sociaal-fiscaalnummer is gebaseerd, is nodig voor de kwaliteit en betrouwbaarheid van de digitale gegevensuitwisseling.