De vaste commissie voor Binnenlandse Zake heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 17 juni 2022 over het ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 158) en over de 1 juli 2022 over de reactie op verzoek commissie over het verlengen voorhangtermijn voor het Ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 159).

De vragen en opmerkingen zijn op 7 september 2022 aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 9 december 2022 zijn de vragen beantwoord.

De voorzitter van de commissie, Hagen

De griffier van de commissie, De Vos

Beantwoording schriftelijke vragen

1. Inleiding

Het verheugt mij dat de leden van de fracties van de VVD, D66 en SP kennis hebben genomen van de algemene maatregel van bestuur (AMvB) tot wijziging van het Besluit basisregistratie personen (Besluit BRP) in verband met het aanwijzen van werkzaamheden met gewichtig maatschappelijk belang (hierna: Derdenbesluit). De leden van voornoemde fracties hebben over het ontwerpbesluit verschillende vragen en opmerkingen. Ik dank de fracties voor hun bijdrage en ga graag in op de – hieronder gecursiveerde – vragen en opmerkingen. Hierbij is de indeling en volgorde van het verslag aangehouden. Achter de diverse vragen van de fracties is dikgedrukt het vraagnummer genoteerd zodat bij de beantwoording van vragen ook verwezen kan worden naar de beantwoording van andere vragen. Voordat ik inga op de afzonderlijke vragen, sta ik in algemene zin stil bij het wettelijke stelsel voor gegevensverstrekking uit de BRP, de waarborgen die daarbij gelden en het toezicht.

1.1 Verstrekking aan derden

Overheidsorganen, zoals DUO en UWV, krijgen gegevens uit de BRP omdat zij die nodig hebben om hun publieke taken uit te voeren. Ook een aantal organisaties buiten de overheid («derden») hebben toegang tot de BRP. Het gaat om partijen met belangrijke maatschappelijke taken zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Voor deze derden (niet-overheidsorganisaties) geldt dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang.

Overheidsorganen en derden (niet overheidsorganisaties), die aangesloten willen worden op het centrale BRP-systeem moeten daarvoor toestemming krijgen van de Minister van BZK. De Minister toetst of de organisatie een taak heeft waarvoor gegevens uit de BRP nodig zijn. Als dat zo is neemt de Minister een zogenaamd autorisatiebesluit. In dat besluit wordt precies beschreven welke gegevens van welke personen de organisatie mag opvragen en op welke manier de gegevens met de organisatie worden gedeeld. Het is dus niet zo dat een aangesloten organisatie automatisch toegang heeft tot de volledige BRP (alle gegevens van alle ingeschrevenen). De autorisatiebesluiten zijn openbaar: deze worden gepubliceerd in de Staatscourant en zijn ook te raadplegen op publicaties.rvig.nl.

Voor derden (niet-overheidsorganisaties) geldt – als gezegd – naast het autorisatiebesluit de voorafgaande eis dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk belang. Een dergelijke aanwijzing wordt in dit Derdenbesluit dat nu voorligt, voorgesteld voor de werkzaamheden van klinisch-genetische centra en levens- en natura-uitvaartverzekeraars. Juist omdat het organisaties buiten het overheidsdomein betreft, is deze voorafgaande eis van aanwijzing gesteld. In het Besluit worden de doelgroep (categorieën van derden) en de maximale set gegevens vastgesteld. Via de voorhangprocedure is parlementaire betrokkenheid bij de aanwijzing geborgd. Dit vereiste van aanwijzing met parlementaire betrokkenheid geldt niet voor verstrekking aan overheidsorganisaties, zoals DUO en UWV, waarbij een autorisatiebesluit volstaat.

1.2 Waarborgen, verantwoordelijkheidsverdeling en toezicht

Vragen en opmerkingen van de leden van de VVD-fractie en reactie van de bewindspersoon

De leden van de VVD-fractie constateren terecht dat de voorgestelde BRP-raadpleging van gegevens van familieleden door klinisch genetische centra pas mogelijk is als de patiënt in kwestie daar toestemming voor geeft. Deze voorwaarde is expliciet in het Derdenbesluit opgenomen. De mogelijkheid om gegevens op te vragen uit de BRP doet geen afbreuk aan het «recht op niet-weten». Het Derdenbesluit stelt slechts regels over het bevragen van de BRP en brengt geen verandering in de kaders die gelden voor het uitvoeren van klinisch genetisch onderzoek zelf. Hiertoe is door de Vereniging van Klinische Genetica Nederland (VKGN) de Richtlijn Informeren van familieleden bij erfelijke aandoeningen opgesteld.2 De richtlijn geeft de arts een (ethisch) kader en stappenplan3 om te bepalen of het gezien de uitkomsten van het erfelijkheidsonderzoek nodig is om familieleden te informeren over een erfelijke aanleg in de familie en zo ja, welke familieleden het betreft. In dat kader wordt onder meer aandacht besteed aan het recht op niet-weten.

Met betrekking tot de levens- en natura-uitvaartverzekeraars geldt dat «spontane» verstrekking van het overlijdensgegeven beperkt blijft tot personen die bij de betreffende verzekeraar verzekerd zijn. De leden van de VVD-fractie achten het op zich begrijpelijk dat een en ander beperkt is tot de personen die bij de verzekeraar zijn verzekerd. Maar hoe gaat dat dan in praktische zin? In de BRP is toch niet vastgelegd welke persoon bij welke verzekeraar is verzekerd? Graag krijgen deze leden een verduidelijking. (2)

De leden van de VVD-fractie constateren terecht dat in de BRP niet is vastgelegd wie bij welke verzekeraar verzekerd is. De volgende werkwijze is dan ook voorzien. Na de aanwijzing zal per verzekeraar een technische en juridische autorisatie (aansluiting) op de BRP plaatsvinden. De verzekeraar plaatst in de BRP een zogenaamde afnemersindicatie bij de persoonslijsten van de personen die bij hem verzekerd zijn. Vervolgens krijgt de verzekeraar enkel spontaan het overlijdensgegeven verstrekt als het een persoon betreft bij wie de afnemersindicatie is geplaatst. Zo wordt voorkomen dat meldingen worden verstuurd over andere personen, buiten de reikwijdte van de autorisatie. De verzekeraar is verplicht om de afnemersindicatie te verwijderen wanneer de verzekerde geen klant meer is, als zijn gegevens niet meer nodig zijn. Dit alles is overeenkomstig de werkwijze bij partijen die op dit moment al aangesloten zijn op de BRP voor spontane gegevensverstrekking. Een voorbeeld is de zorgverzekeraar, die ook enkel spontaan BRP-gegevens verstrekt krijgt over personen die bij hem verzekerd zijn.

Met betrekking tot het verzoek van de Kamercommissie voor Binnenlandse Zaken om het Derdenbesluit BRP ná het advies van de Raad van State te mogen ontvangen, vragen de leden van de VVD-fractie om een nadere verduidelijking van het standpunt van de regering om dat verzoek niet te willen honoreren. Wat is er op tegen om dit Derdenbesluit BRP, zoals het luidt na ontvangst van het advies van de Raad van State, naar de Tweede Kamer te sturen? (3)

Ik heb begrip voor de wens van de leden van de VVD-fractie om kennis te krijgen van het advies van de Raad van State en zal uw Kamer dan ook informeren over het moment van openbaarmaking van dit advies.4 In mijn brief aan uw Kamer van 17 juni jongstleden heb ik aangegeven dat de Wet BRP voor deze AMvB een voorhangprocedure heeft voorgeschreven, waardoor het concept vóór de advisering door de Raad van de State aan de Eerste en de Tweede Kamer wordt voorgelegd. Deze voorhangvariant is in de praktijk de meest gebruikte vorm van gecontroleerde delegatie omdat hierin maximale flexibiliteit bestaat om rekening te houden met opmerkingen vanuit het parlement, zoals de door uw Kamer gestelde vragen. Het verwerken van opmerkingen vanuit het parlement, in een nagehangen AMvB zou immers een wijziging van een reeds vastgestelde AMvB vereisen en, indien de wijzigingen van ingrijpende aard zijn, tot een hernieuwde adviesaanvraag bij de Raad van State leiden. Ik hecht er waarde aan om het proces te volgen zoals in de Wet BRP is voorgeschreven door de wetgever. Dit betekent dat ik uw Kamer zal informeren over het openbaar worden van het advies van de Raad van State, maar er niet een zogenaamde nahangprocedure is, waarin de Kamer zich binnen een vastgestelde termijn kan uitspreken over het advies van de Raad van State en de reactie daarop van het kabinet, voordat het Derdenbesluit in werking treedt. Een en ander laat de inzet van het reguliere instrumentarium van uw Kamer, zoals het stellen van vragen en agenderen van debatten onverlet.

Vragen en opmerkingen van de leden van de D66-fractie en reactie van de bewindspersoon

De aanwijzing van klinisch genetische centra in dit Derdenbesluit bevat een beperking in de set gegevens die ten hoogste op grond van een autorisatiebesluit aan klinische genetische centra verstrekt kunnen worden. Het betreft hier de gegevens over de naam, de ouders en kinderen, het adres, het burgerservicenummer (hierna: BSN) en het naamgebruik van de ingeschrevene. Het BSN is nodig om de juiste personen te kunnen vinden in BRP. Dit werkt als volgt. Als de gegevens over familieleden niet op een andere wijze (via de patiënt) achterhaald kunnen worden en de patiënt vervolgens toestemming geeft om de BRP te bevragen, dient eerst de persoonslijst van de patiënt gezocht te worden in de BRP. Dit gebeurt aan de hand van het BSN. Door het BSN in te voeren in het BRP-systeem kan met zekerheid de juiste persoonslijst worden opgehaald en niet die van een andere persoon met bijvoorbeeld dezelfde naam en geboortedatum. Vervolgens kan de arts op de persoonslijst van de patiënt zien wie de gerelateerden (ouders en kinderen) zijn, en als nodig via de persoonslijsten van die gerelateerden de persoonslijsten van verdere verwanten (bijvoorbeeld neven en nichten) raadplegen. Het is aan de arts om te bepalen welke familieleden geïnformeerd dienen te worden. Er zijn in deze stappen (het vinden van persoonslijsten) in ieder geval identificerende persoonsgegevens van gerelateerden (naam en geboortedatum) nodig om persoonslijsten van deze personen te vinden. De reden hiervoor is dat – anders dan bij de patiënt – de arts niet bevoegd is om het BSN van gerelateerden te verwerken. Als de juiste persoon is gevonden in de BRP worden diens adresgegevens en de naam gebruikt om de persoon aan te schrijven.

Levensverzekeraars en natura uitvaartverzekeraars

Gewichtig maatschappelijk belang en noodzaak gegevensverstrekking

De leden van de D66-fractie hebben kennisgenomen van het feit dat van de actuele gegevens over de begunstigde, de verzekerde en de verzekeringsnemer kunnen worden opgevraagd. Deze leden vragen de Staatssecretaris om verder te concretiseren welke actuele persoonsgegevens worden opgevraagd van bovengenoemde belanghebbenden. (7)

Voorzien is dat de verzekeraar op basis van een zoekvraag (ad hoc), als bedoeld in artikel 37, eerste lid, onder c van het Besluit BRP gegevens uit de BRP verstrekt kan krijgen. Deze mogelijkheid kan gebruikt worden om actuele gegevens van de verzekerde, verzekeringsnemer en potentiële begunstigden te achterhalen, voor zover die nog niet bij de verzekeraar bekend zijn. Omdat verzekeraars voor deze werkzaamheden niet bevoegd zijn om het BSN te verwerken zullen personen (potentiële begunstigden) in de BRP gevonden moeten worden aan de hand van een set identificerende gegevens (zoals naam en geboortedatum). Van deze begunstigden kunnen vervolgens adresgegevens worden opgevraagd uit de BRP om met hen in contact te komen.

Clausulering van de werkzaamheden en de beperking van gegevens die kunnen worden verstrekt

De leden van de D66-fractie hebben kennisgenomen van het voornemen om bij algemene maatregel van bestuur (AMvB) te borgen dat opgevraagde informatie niet wordt gebruikt voor commerciële doeleinden. Deze leden willen graag weten op welke wijze de Staatssecretaris erop zal toezien dat de verzekeraars zich beperken tot wat noodzakelijk is voor de verwerking van de doeleinden en dat zij niet bewust of onbewust deze gegevens toch inzetten voor commerciële doeleinden. Kan de Staatssecretaris nader toelichten hoe monitoring en handhaving hierop is georganiseerd en door wie? (8)

De leden van de D66-fractie hebben kennisgenomen van het voornemen van de Staatssecretaris om per individuele verzekeraar nader te bepalen welke categorieën van persoonsgegevens worden verstrekt. Deze leden vragen aan de Staatssecretaris waarom zij er niet voor kiest om een beperkte lijst van persoonsgegevens op te stellen en dat deze dan voor alle verzekeraars geldt, in plaats van met elke verzekeraar een aparte lijst op te stellen. Zij vragen de Staatssecretaris hoe de waarborging van persoonsgegevens gemonitord wordt, als zij met verschillende verzekeraars verschillende afspraken erop nahoudt. (9)

Het is niet mijn bedoeling dat er verschillende afspraken worden gemaakt. Verzekeraars zullen voor dezelfde taken dezelfde categorieën persoonsgegevens verstrekt krijgen. In het kader van de aansluiting op de BRP zal dan ook voor levens- en natura-uitvaartverzekeraars een zogenaamde modelautorisatie worden opgesteld, waarnaar in de individuele autorisaties wordt verwezen. Een modelautorisatie is van toepassing op een groep gebruikers van de BRP met dezelfde taken, doelgroepen en gegevensbehoefte. Iedere gebruiker die onder de modelautorisatie valt, wordt op dezelfde wijze geautoriseerd. Iedere individuele verzekeraar krijgt vervolgens wel een eigen autorisatiebesluit omdat er ook in technische zin sprake is van een eigen aansluiting op de BRP en de aansluiting steeds beperkt is tot de eigen doelgroep van de verzekeraar (verzekerden/ potentiële begunstigden). Deze autorisatiebesluiten worden gepubliceerd in de Staatscourant en op publicaties.rvig.nl.

Inbreuk op de persoonlijke levenssfeer

De leden van de D66-fractie hebben kennisgenomen van de juridische onderbouwing van dit besluit. Deze leden zijn van mening dat op papier de doelstellingen voldoende juridische onderbouwing heeft, maar dat vanwege het gebrek aan informatie over het autorisatiebesluit dat niet voldoende is vastgesteld. Zij zijn van mening dat in dat besluit wordt bepaald welke categorieën persoonsgegevens daadwerkelijk worden gedeeld met private partijen in dit geval klinische centra en verzekeraars. Zij vragen of de Staatssecretaris alsnog bereid is om het autorisatiebesluit te voorzien met een juridische onderbouwing en de Tweede Kamer daarover te informeren. (10)

In het autorisatiebesluit wordt naast de vaststelling van de gegevensset ook de juridische onderbouwing (grondslag) voor gegevensverstrekking aangegeven, die grondslag is gelegen in de Wet BRP en dit Derdenbesluit (de aanwijzing tot derde). Het autorisatiebesluit kan daarom nooit meer of andere gegevens bevatten dan opgenomen in deze AMvB. Ik begrijp de wens van de leden van D66-fractie om inzicht te krijgen in de autorisatiebesluiten en ik zal uw Kamer informeren over het moment van openbaar worden van deze besluiten. De autorisatieprocedure (feitelijke aansluiting van betreffende organisaties) zal naar verwachting op het moment van inwerkingtreding van dit besluit nog niet afgerond zijn. Dit betekent overigens niet dat deze organisaties vooruitlopend daarop alvast gegevens uit de BRP (mogen) ontvangen. Dat gebeurt pas op het moment dat de autorisatiebesluiten zijn vastgesteld.

Doelbinding en minimale gegevensverwerking

De leden van de D66-fractie hebben kennisgenomen van de doelstellingen van het autorisatiebesluit dat per individuele derde partij wordt afgesloten. Deze leden vragen aan de Staatssecretaris om nader toe te lichten of de algemene maatregel van bestuur ten aanzien van de autorisatiebesluiten wederom worden getoetst door de Autoriteit Persoonsgegevens (AP). (11)

Het Derdenbesluit bevat, in samenhang met de Wet BRP, de juridische onderbouwing voor de gegevensdeling. Daarbij is in de nota van toelichting uitvoerig ingegaan op de privacyaspecten; de toetsing aan de Grondwet, het EVRM en de AVG. De AMvB met deze onderbouwing is, conform hetgeen de AVG voorschrijft, getoetst door de AP. Het autorisatiebesluit bevat geen zelfstandige weging van deze privacyaspecten en zal dan ook niet separaat getoetst worden door de AP.

Risico’s en maatregelen

De leden van de D66-fractie vragen aan de Staatssecretaris om nader uit te leggen welke risico’s van oneigenlijk gebruik van persoonsgegevens door derden veelal niet te handhaven zijn voor de AP. Daarnaast vragen deze leden aan de Staatssecretaris om concreet uiteen te zetten wat de mogelijke risico’s voor burgers zijn indien door systematische verwerkingen verzekeraars toch onjuiste informatie ontvangen. Zij vragen wat die mitigerende omstandigheden concreet inhouden. (12)

Vooropgesteld wordt dat de kwaliteit van de gegevens in de BRP hoog5 is, waardoor het risico op de verstrekking van onjuiste informatie klein is. Een fout in een BRP-gegeven (bijvoorbeeld omdat een verhuizing niet is doorgegeven) kan er voor verzekeraars en klinisch genetische centra toe leiden dat zij ook met de BRP de betrokkene (begunstigde of familielid) niet kunnen bereiken. Er ontstaat dan niet een nieuw risico voor burgers. De BRP heeft dan alleen niet de beoogde toegevoegde waarde: het kunnen bereiken van personen die door de verzekeraar/ arts zelf niet gevonden worden. Voor wat betreft het toezicht door de AP geldt dat de AP zelf beleid (prioritering) heeft omtrent toezicht en handhaving.

Regeldrukeffecten

De leden van de D66-fractie hebben kennisgenomen van kosten voor derden indien zij gegevensverstrekking nodig hebben vanuit de BRP. Deze leden vragen aan de Staatssecretaris of zij bereid is om de uitvoeringslasten jaarlijks te monitoren en deze mee te nemen in de evaluatie. Zij vragen verder of de regeldruk voor gemeenten en voor de AP ook is meegenomen in het kostenplaatje en of de Staatssecretaris bereid is deze extra kosten voor AP en gemeenten te monitoren en ook mee te nemen in de evaluatie. (13)

Er is voor wat betreft deze derdenaanwijzing geen evaluatie voorzien. Naast eenmalige kosten voor de aansluiting op de BRP dragen alle gebruikers samen (overheidsorganen en derden) bij in de kosten van de BRP-voorzieningen. De hoogte van de bijdrage van een organisatie hangt af van het aantal verstrekkingen uit de BRP aan die organisatie. Voor wat betreft de gemeenten zal deze AMvB niet leiden tot extra kosten; de verstrekkingen aan verzekeraars en klinisch genetische centra worden door BZK/ RvIG zelf uitgevoerd. Voor de AP geldt dat zij gefinancierd wordt om het toezicht op het BRP-stelsel als geheel uit te voeren. De verstrekking aan derden valt daaronder.

Meer risico’s op datalekken en onrechtmatig gebruik van gegevens

De leden van de D66-fractie vragen aan de Staatssecretaris hoe zij van plan is te waarborgen dat private partijen die nu toegang krijgen tot de BRP geen misbruik maken van de door hen opgevraagde gegevens. Deze leden willen weten hoe hierop zal worden gehandhaafd. Kan de Staatssecretaris een schets maken van de handhaving (niet alleen van het toezicht)? (14)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure en het toezicht door de AP.

De leden van de D66-fractie vragen of de Staatssecretaris bereid is het verbod om commercieel gebruik van data van onze burgers niet alleen in een AMvB te zetten, maar ook wettelijk vast te leggen (15). Deze leden vragen in hoeverre de autorisatiebesluiten door burgers gemakkelijk te raadplegen zijn. Zij vragen de Staatssecretaris of het mogelijk is om dit soort besluiten te ontsluiten via het MijnOverheid-platform zodat een burger kennis heeft van welke van haar persoonsgegevens door welke instanties gezien en geraadpleegd worden. (16)

Persoonsgegevens mogen op grond van de AVG alleen voor vooraf welbepaalde doeleinden verwerkt worden. Het is, gelet op de aanwijzing in dit besluit, onrechtmatig om gegevens voor andere doeleinden, waaronder commerciële, te verwerken. Voor wat betreft de raadpleegbaarheid van de autorisatiebesluiten en de inzagemogelijkheden voor de burger verwijs ik naar de inleiding, onder 1.2.

De leden van de D66-fractie lezen dat de Staatssecretaris betoogt dat de wet zich beperkt tot de grondslagen voor het bijhouden en de verstrekking van de BRP-gegevens. Door middel van deze AMvB wordt de verstrekking uitgebreid. Tegelijkertijd wordt gesteld dat er veel waarborgen zijn (op papier), maar geen handhaving op oneigenlijk gebruik van de belangrijkste gegevens van onze burgers. Deze leden vragen of de Staatssecretaris hierop kan reflecteren. Zij vragen zich tevens af of het dan verstandig is grondslagen van verstrekking uit te breiden. (17)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op het wettelijke stelsel voor gegevensdeling met partijen buiten de overheid, de autorisatieprocedure en het toezicht door de AP.

De leden van de D66-fractie zijn van mening dat er uiterst zorgvuldig moet worden omgegaan het verstrekken van persoonsgegevens van burgers aan derden. Deze leden moeten helaas concluderen dat in het besluit onvoldoende uiteen is gezet welke garanties er zijn dat er daadwerkelijk zorgvuldig hiermee wordt omgegaan. De leden van de D66-fractie constateren dat de Staatssecretaris stelt dat er bij de aanwijzing staat dat de verzekeraar geen commercieel gebruik mag maken van de gegevens uit de BRP. Tegelijkertijd staat dit niet in de wet en lezen deze leden onvoldoende terug dat er iets aan handhaving wordt gedaan. Deze leden stellen dat bij de wet is geregeld dat wij maximale snelheden hanteren op onze wegen, maar zonder adequate handhaving zijn wetten papieren tijgers. Zij vragen aan de Staatssecretaris waarom er weinig tot geen handhaving of toezicht is op dit besluit. Deze leden vragen aan de Staatssecretaris in hoeverre een audit zo nu en dan niet op zijn plaats zou zijn. Bijvoorbeeld op de reguliere evaluaties van de wet BRP? (18)

Ik deel de visie van de leden van de D66-fractie dat bij dergelijke (verbods)regels over de verwerking van persoonsgegevens ook een stelsel van toezicht en handhaving hoort. De in deze AMvB gestelde regels staan niet op zichzelf, maar zijn de invulling van normen die volgen uit de AVG; bijvoorbeeld de beginselen van doelbinding en dataminimalisatie. Gegevensverwerking mag niet verder gaan dan noodzakelijk is om het doel (waarvoor de gegevens verstrekt zijn) te bereiken. Voor de verwerking van BRP-gegevens gelden aldus in hoofdzaak geen andere uitgangspunten dan voor de verwerking van persoonsgegevens die uit andere (overheids)bronnen of rechtstreeks van de burger zelf afkomstig zijn. Dit verklaart ook waarom er voor het gebruik van BRP-gegevens geen bijzonder toezichtregime geldt, naast het reguliere toezicht dat wordt gehouden door de AP. Dit neemt niet weg dat ik begrip heb voor de zorgen zoals geuit door de leden van de D66-fractie. Ik ben dan ook voornemens deze te bespreken met de AP. Ik zal daarbij stilstaan bij de inrichting van het toezicht, specifiek met betrekking tot het gebruik van BRP-gegevens.

Gegevens mogen alleen worden gedeeld met partijen met publieke taken, niet met private partijen

De leden van de D66-fractie begrijpen dat er ook private partijen zijn met publieke taken. Daarom is verstrekking van BRP-gegevens soms noodzakelijk. Deze leden vragen aan de Staatssecretaris of de overheid naar aanleiding, of ten behoeve van deze nieuwe verstrekking aan derden, zelf ook nieuwe BRP-gegevens gaat verzamelen van burgers. Zo ja, over welke gegevens gaat het dan? (19)

Dat is niet aan de orde. Het Derdenbesluit voorziet niet in een uitbreiding van de gegevens die over burgers geregistreerd worden. De derden (verzekeraars en klinisch genetische centra) kunnen dan ook slechts gegevens ontvangen die op dit moment al geregistreerd worden.

Zorgen over verrijking van BRP-gegevens met andere (bijzondere) persoonsgegevens verzameld door de derden die de BRP gegevens ontvangen

De leden van de D66-fractie onderschrijven deze zorgen. Het antwoord dat de Staatssecretaris geeft op deze vraag is alleen niet zo bevredigend. Deze leden vragen of de Staatssecretaris erkent dat er bij de AP hierop toegezien kan worden en dat er wel meerdere organisaties zijn die niet voldoen aan de AVG. Zij vragen of de Staatssecretaris bereid is een voorwaarde of een aanwijzing toe te voegen bij deze verstrekking aan derden, die stelt dat derde partij in dit geval de nieuwe en extra verkrijgbare gegevens nooit mogen combineren met hun bestaande databases over hun cliënten, met uitzondering van de status wel/niet overleden uiteraard. (20)

Verrijking van BRP-gegevens dient beschouwd te worden als een verdere verwerking als die verrijking een ander doel dient dan waarvoor de gegevens verstrekt zijn. Het is aldus niet nodig om daarvoor een aparte voorwaarde of aanwijzing toe te voegen. In de inleiding en het antwoord op vraag 15 ben ik hier nader op ingegaan.

Autoriteit Persoonsgegevens

De leden van de D66-fractie hebben kennisgenomen van de beoordeling van de AP. De AP constateert zeer terecht dat toelichting nodig is over de categorieën personen over wie de verzekeraar spontaan een overlijdensmeldingen uit de BRP gaat ontvangen. Deze leden vinden het opmerkelijk dat dit besluit niet de doelgroep, de gegeven set of de wijze van verstrekking vastlegt. Zij willen weten waarom de Staatssecretaris er voor gekozen heeft om deze drie zaken in een autoriteitsbesluit vast te leggen en niet in een AMvB? Welke status heeft een autoriteitsbesluit in het democratische proces van wetgeving? Is het door Kamerleden in te zien? En zo nee, is de Staatssecretaris bereid de autorisatiebesluiten met de Kamer te delen (al dan niet vertrouwelijk)? (21)

De autorisatiebesluiten zijn openbaar en worden gepubliceerd in de Staatscourant en op publicaties.rvig.nl. Ik zal uw Kamer informeren over het moment van openbaarmaking van deze besluiten. Verder verwijs ik naar de inleiding, onder 1.1, voor een toelichting over de status van het autorisatiebesluit binnen het wettelijke stelsel voor gegevensverstrekking aan derden.

Afsluiting

De leden van de D66-fractie vragen of de Staatssecretaris kan schetsen wat er gebeurt in het geval van een ««false positive»»? Met andere woorden, wat gebeurt er als de BRP een fout maakt en geautomatiseerd een overlijdensmelding naar een verzekeraar stuurt? Deze leden vragen de Staatssecretaris of zij nader kan toelichten waar de bewijslast ligt en hoe een persoon kan bewijzen dat die nog in leven is. (22)

De overlijdensmelding wordt gestuurd wanneer de datum van overlijden, zoals opgenomen in de overlijdensakte in de Burgerlijke Stand in de BRP is overgenomen. De kans dat er – op basis van een onjuiste akte – onterecht een overlijdensmelding wordt verstuurd is zeer gering. Verder is van belang dat een verzekeraar niet op basis van een enkele melding in de BRP een beslissing zal nemen over bijvoorbeeld het recht op uitkering van gelden. Het signaal (van overlijden) uit de BRP is slechts de aanleiding om nader onderzoek (naar begunstigden) te doen. De BRP-verstrekking brengt geen verandering in eventuele bewijslasten van de verzekerde jegens de verzekeraar.

Vragen en opmerkingen van de leden van de SP-fractie en reactie van de bewindspersoon

Op dit moment voer ik overleg met de banken over de wijze van eventuele aansluiting op de BRP in lijn met het advies van de AP. Hiernaast heb ik op dit moment geen andere trajecten tot aanwijzing van derden in gang gezet.

Deze leden vragen waarom de verlening van toegang tot de basisregistratie niet per wet geregeld wordt, om de democratische waarborgen te versterken. Daarnaast vragen zij waarom de Staatssecretaris niet tegemoetkomt aan de wens om na het ontvangen van het advies van de Raad van State het Besluit nogmaals voor te leggen aan de Kamer. Dit versterkt immers de democratische legitimiteit. Deze leden vragen de Staatssecretaris om terug te komen op dit verzoek. Indien de Raad van State geen nadere punten van kritiek heeft kan het democratische proces immers daarna vlot verlopen. (24)

De Wet BRP biedt de grondslag voor de gegevensverstrekking aan overheidsorganen en aan derden die werkzaamheden met gewichtig maatschappelijk verrichten. In de inleiding aan het begin van deze beantwoording heb ik een nadere toelichting gegeven over de status van het Derdenbesluit in relatie tot het autorisatiebesluit. Graag verwijs ik naar deze inleiding. Voor de beantwoording van de vraag over het na de advisering door de Raad van State nogmaals aan uw kamer voorleggen van het Besluit, verwijs ik graag naar de hiervoor gaande beantwoording van de gelijkluidende vraag (nr. 3) van de leden van de VVD-fractie.

Zoals in de toelichting op het ontwerpbesluit vermeld staat raken private belangen, van in dit geval onder andere verzekeraars, verstrikt met het publieke doel dat de BRP dient. Is de Staatssecretaris het met de leden van de SP-fractie eens dat een verzekering in eerste instantie een zaak is tussen private partijen, te weten de verzekeraar en de verzekerde? Deze leden vragen naar hoe de Staatssecretaris de eigen verantwoordelijkheid van deze private partijen weegt. (25)

Vooropgesteld wordt dat de gegevensverstrekking aan verzekeraars geenszins afbreuk doet aan de informatieplichten die de verzekeringnemer heeft jegens de verzekeraar, bijvoorbeeld om een adreswijziging door te geven. De voorgestelde gegevensverstrekking aan verzekeraars ziet bovendien niet op de uitvoering van een verzekering in den brede (bijvoorbeeld het aanschrijven van een persoon over diens polis). Het gaat specifiek om het voorkomen van het onterecht wel of juist niet uitkeren van gelden. Het voorkomen van onterecht wel uitkeren is net als het voorkomen van het onterecht niet uitkeren (slapende polissen) een gewichtig maatschappelijk belang. Het gaat in beide gevallen om levensverzekeringen, waarbij er – wanneer de verzekeraar geen melding krijgt van een overlijden – onwenselijke gevolgen voor de burger zijn: hij krijgt onterecht wel of onterecht niet de uitkering. Dit zijn beide situaties die zeer onwenselijk zijn voor een grotere groep betrokkenen (begunstigden en nabestaanden). Hiermee is sprake van een breder, maatschappelijk belang dat de relatie klant – verzekeraar overstijgt. Het onverschuldigd betalen heeft, net als het onterecht niet uitkeren, onwenselijke gevolgen voor de burger die kunnen worden tegengegaan door verstrekking uit de BRP. De onwenselijke gevolgen ontstaan wanneer een verzekeraar onterecht na een overlijden een lijfrente-uitkering doet en daarover loonheffing aan de Belastingdienst afdraagt. In deze situatie volgt na «ontdekking» van het overlijden een administratief proces van terugvordering van de uitkeringen die onterecht zijn gedaan aan de reeds overleden persoon. Daarnaast moeten nabestaanden in overleg met de Belastingdienst in verband met de afgedragen loonheffing. Dit proces is voor nabestaanden complex en belastend, omdat er meerdere partijen bij betrokken zijn (Belastingdienst, verzekeraar, eventueel executeur).

De leden van de fractie van de SP hebben meerdere vragen die zien op de uitvoering van het Derdenbesluit. Zo vragen zij naar de praktische uitwerking van het principe dat verzekeraars in eerste instantie zelf moeten proberen contact te zoeken met de verzekerde en pas in het uiterste geval de BRP mogen raadplegen. Welke inspanningen ziet de Staatssecretaris voor zich? Zijn hier richtlijnen voor? Verzekeraars geven aan dat zij het wenselijk achten dat de informatieplicht in die zin beperkt wordt dat er vaker gegevens op mogen worden gevraagd. In dat licht achten deze leden het zorgelijk indien er geen of onvoldoende toezicht of richtlijn is waardoor het aantal bevragingen niet groter is dan noodzakelijk en aan de inspanningsverplichting wordt voldaan. (26)

In het kader van de totstandkoming van het Derdenbesluit ben ik reeds in goed overleg met het Verbond van Verzekeraars over het voorziene gebruik van de BRP. Ook het autorisatiebesluit zal tot stand komen in samenwerking met het Verbond, waarbij aandacht zal zijn voor voorlichting en instructie aan verzekeraars over het gebruik van de BRP.

Daarnaast vragen de leden van de fractie van de SP wie bij de desbetreffende organisaties toegang heeft tot de BRP en wie voor deze verstrekkingen binnen die organisaties verantwoordelijk is. Is hier voldoende toezicht op? Deze leden zien immers dat de Autoriteit Persoonsgegevens weliswaar goed werk levert, maar ook aangeeft overvraagd te zijn. Hoe wordt in dit geval gewaarborgd dat niet onnodig veel medewerkers toegang krijgen tot privacygevoelige informatie en deze informatie niet wordt misbruikt voor andere doeleinden? (27)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure, beveiliging en het toezicht door de AP.