28 600 VII
Vaststelling van de begrotingsstaat van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) voor het jaar 2003

nr. 211
BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES, VAN JUSTITIE, VOOR VREEMDELINGENZAKEN EN INTEGRATIE EN DE STAATSSECRETARISSEN VAN SOCIALE ZAKEN EN WERKGELEGENHEID EN VAN FINANCIËN

Hierbij doe ik u toekomen het advies Persoonsnummerbeleid in het kader van identiteitsmanagement2 dat is opgesteld door een interdepartementale commissie onder leiding van de heer prof. drs. E. van Thijn, waarin de kaders zijn geschetst voor het toekomstig beleid en beheer ten aanzien van het gebruik van persoonsnummers door de overheid. Dit advies betekent een doorbraak op het gebied van de gegevenshuishouding van de overheid en brengt de doelstellingen van de presterende overheid dichterbij. Het kabinet onderschrijft de in het advies uiteengezette lijn en zal deze het komend jaar nader uitwerken in een implementatievoorstel. Op basis daarvan neemt het kabinet in het najaar van 2003 de uiteindelijke beslissing over de invoering van het toekomstige persoonsnummerbeleid.

Achtergrond persoonsnummerbeleid

Het optreden van de overheid moet daadkrachtiger, doelmatiger en tegelijkertijd klantgerichter, controleerbaarder en zonder onnodige bureaucratie en administratieve lasten.

De mate waarin deze uitgangspunten kunnen worden nageleefd, wordt mede bepaald door de mate waarin de overheid haar gegevenshuishouding op orde heeft. Op dit terrein zijn de afgelopen jaren al de nodige structurele verbeteringen in gang gezet, zowel overheidsbreed als binnen afzonderlijke sectoren3. Deze activiteiten zullen naar verwachting in de komende jaren de nodige vruchten afwerpen.

Binnen de gegevenshuishouding van de overheid spelen persoonsnummers een spilfunctie: persoonsnummers dienen om persoonsgebonden gegevens eenduidig te identificeren. De bestaande beleidskaders voor het gebruik van persoonsnummers dateren van 19884 en zijn sinds 1994 niet meer aanmerkelijk gewijzigd. De maatschappelijke en technologische ontwikkelingen hebben sindsdien niet stilgestaan: het gebruik van ICT heeft een grote vlucht genomen en daarmee ook het gebruik van persoonsgegevens. De handelingen met betrekking tot persoonsgegevens zijn door ICT eenvoudiger, gemakkelijker en effectiever geworden.

Daarmee dient zich de vraag aan of de bestaande beleidskaders voor het gebruik van persoonsnummers, naast de privacywetgeving, nog voldoende waarborgen bieden voor een behoorlijke en transparante omgang met persoonsgegevens. De belangrijkste redenen voor een actualisering van het persoonsnummerbeleid zijn echter de beoogde vernieuwingen binnen de overheid zoals de invoering van klantgerichte (één-loket) dienstverlening, de reductie van de administratieve lasten, de koppeling van gegevens voor opsporing en handhaving en het bestrijden van identiteitsfraude. Er is daarom een nieuwe aanpak nodig voor de uitgifte en beheer van persoonsnummers.

Het persoonsnummerbeleid moet bijdragen aan een aantal concrete overheidsdoelstellingen. Deze zijn:

Vraaggerichte dienstverlening en administratieve lastenverlichting

Een moderne overheid die klantgericht met haar burgers omgaat, vermijdt dat de burger in zijn relatie met de overheid voor elke sector of overheidsorganisatie een afzonderlijk nummer moet gebruiken. Dit leidt tot verwarring en irritatie en komt de beeldvorming van een efficiënte en ontkokerde overheid niet ten goede. Het is daarom gewenst dat de burger voor al zijn contacten met de overheid met één persoonsnummer toe kan.

Tevens is het met het oog op een meer klantgerichte, geïntegreerde dienstverlening en een reductie van de administratieve lasten gewenst dat de koppeling van gegevens tussen overheden op basis van persoonsnummers kan plaatsvinden, mits hiervoor een wettelijke basis is. Het vergroten van de transparantie van effecten van inkomensafhankelijke subsidies vraagt bijvoorbeeld een koppeling van gegevens van diverse subsidieverstrekkende organisaties en derhalve een adequaat persoonsnummerbeheer.

Opsporing, handhaving en identiteitsfraude

De in april 2002 verschenen kabinetsnota Bestrijding fraude en financieel-economische criminaliteit 2002–20061 omvat een reeks maatregelen ten behoeve van de intensivering van fraude-bestrijding. Eén van de concrete maatregelen die in de nota wordt aangekondigd betreft de verbetering van het beheer van sofi-nummers. De afgelopen zomer heeft de bestrijding van identiteitsfraude weer aandacht gekregen naar aanleiding van het rapport «Project Sofi-nummers 2000–2001» van het Uitvoeringsinstituut Werknemersverzekeringen (UWV), waarin wordt geconcludeerd dat er op grote schaal misbruik en oneigenlijk gebruik wordt gemaakt van sofi-nummers. In dit rapport doet het UWV een aantal voorstellen die in lijn liggen met de maatregelen uit de eerder genoemde fraudenota, onder andere op het gebied van het beheer van het sofi-nummer.

Recent zijn het ministerie van Financiën en het ministerie van Sociale Zaken en Werkgelegenheid een onderzoek gestart naar de wijze waarop uitvoering van de in de fraudenota opgenomen plannen naar voren kan worden gehaald.

Onderdeel van het persoonsnummerbeleid is voor een belangrijk deel de inrichting van het beheer van persoonsnummers. De inrichting van een overheidsbreed persoonsnummerbeheer is van belang om invulling te geven aan de wens naar betere mogelijkheden voor gegevenskoppeling ten behoeve van de rechtshandhaving en opsporing. Daarbij wordt gedacht aan een verruiming van de wettelijke mogelijkheden binnen de geldende Europese privacy regelgeving. Maar ook binnen de bestaande juridische kaders zijn de nodige verbeteringen te behalen. Door een beter persoonsnummerbeheer zal koppeling van gegevens aan de hand van één persoonsnummer, veel vaker dan nu het geval is, tot het gewenste resultaat leiden.

Privacybescherming, rechtmatigheid en transparantie

Het toegenomen gebruik van persoonsgegevens, het groeiende aantal persoonsnummers en het ontbreken van één aanspreekpunt komt het beeld van een transparante en een betrouwbare overheid niet ten goede.

De overheid zal daarom de nodige maatregelen moeten treffen, om te beginnen door te zorgen dat de koppeling van gegevens en de geldende privacywetgeving met elkaar in overeenstemming blijven. Daarnaast is het de plicht van de overheid om een maximale transparantie en controleerbaarheid te betrachten als het gaat om de omgang met persoonsgegevens. Duidelijke afspraken over het gebruik en beheer van persoonsnummers dragen hieraan bij.

Beleidskader persoonsnummers

Medio 2001 heeft de Regiecommissie Stroomlijning Basisgegevens, waarin de meest betrokken ministeries op DG-niveau zitting hebben, een ambtelijke commissie ingesteld met de opdracht nieuwe kaders te formuleren voor het toekomstig persoonsnummerbeleid van de overheid.

Deze ambtelijke commissie, onder leiding van prof. drs. E. van Thijn, bracht in juni 2002 een rapport uit met de titel: Persoonsnummerbeleid in het kader van identiteitsmanagement. Het door de commissie voorgestelde beleidskader kent de volgende vier basiselementen:

1) introductie van een Burger Service Nummer (BSN)

Voor de klantcontacten tussen burger en overheid waarbij het gebruik van een persoonsnummer nodig is, wordt een Burger Service Nummer (BSN) geïntroduceerd. Als basis voor het BSN wordt het huidige sofi-nummer gebruikt. Het BSN wordt door de gemeenten uitgegeven aan alle ingezetenen van Nederland die staan ingeschreven in de gemeentelijke basisadministratie persoonsgegevens (GBA). De GBA draagt zorg voor de kwaliteit van het BSN.

Personen die niet in de GBA zijn ingeschreven, komen niet voor een BSN in aanmerking. Daarbij gaat het bijvoorbeeld om bepaalde groepen asielzoekers, werknemers die in het buitenland wonen of buitenlandse huiseigenaren. Voor deze groepen treft iedere minister eigen voorzieningen ten behoeve van de eigen sector.

Het BSN wordt verankerd in een Wet op het Burger Service Nummer, waarin wordt vastgelegd dat iedere gegevensuitwisseling middels het BSN dient te zijn gebaseerd op een wettelijke regeling. Er worden maatregelen genomen om te waarborgen dat het BSN slechts fungeert als een administratief nummer op basis waarvan sectoren kunnen uitwisselen.

Door het sofi-nummer als basis te gebruiken voldoet het BSN aan de eis dat het betekenisloos is (dat wil zeggen niet herleidbaar tot persoonskenmerken als geslacht of leeftijd) en dat invoering niet tot onevenredige investeringen leidt, aangezien het sofi-nummer reeds op brede schaal is ingevoerd binnen de overheid.

2) sectoraal persoonsnummerbeheer

Iedere minister is zelf verantwoordelijk voor het gebruik van persoonsnummers binnen zijn sector en treft daartoe de nodige juridische, organisatorische, informatiekundige en technische maatregelen. Een minister die binnen zijn sector gebruik wil maken van een persoonsnummer gebruikt daarvoor een sectornummer. Voor ingezetenen kan dit sectornummer gelijk zijn aan het BSN, mits het gebruik en beheer van het nummer wordt ingebed in een expliciete regeling voor het eigen sectornummer.

Voor bijzondere gegevens in de zin van de Wet bescherming persoonsgegevens (bijvoorbeeld gegevens met betrekking tot criminaliteit of gezondheid) geldt een verscherpt regime. Wanneer er binnen de sector in belangrijke mate sprake is van bijzondere gegevens, dan zal het binnen de sector gebruikte nummer in de regel niet gelijkluidend kunnen zijn aan het BSN. Voor de noodzakelijke vertaling tussen het BSN en het sectornummer treft de sector een voorziening.

Private organisaties mogen het BSN uitsluitend gebruiken voor het uitvoeren van een publieke taak dan wel in wettelijk verplicht gegevensverkeer met de overheid (b.v. in het gegevensverkeer met de Belastingdienst).

3) inrichting overkoepelende beheervoorziening

Om de uitgifte van het BSN en het sofi-nummer te coördineren en te voorkomen dat dubbele nummers worden toegekend aan personen die reeds bij de overheid bekend zijn, wordt een overkoepelende beheervoorziening ingericht. Deze beheervoorziening draagt bij aan het noodzakelijke sectoroverstijgende identiteitsmanagement en de kwaliteit van het gegevensbeheer. Het tegengaan van misbruik en oneigenlijk gebruik van het sofi-nummer is een belangrijk uitgangspunt bij de wijze van inrichting van de beheervoorziening. In de beheervoorziening zal daarom continue aandacht moeten worden besteed aan het kwaliteitsniveau van zowel sofi-nummer als BSN. Daarvoor is afstemming tussen de in de fraudenota voorgestelde aanpak van identiteitsfraude in het sofi-domein en de inrichting van de beheervoorziening noodzakelijk.

Uitgangspunt bij de opzet van een overkoepelende beheervoorziening is dat zoveel mogelijk gebruik wordt gemaakt van bestaande voorzieningen, waardoor de opzet zo «licht» mogelijk van aard is.

4) inrichting vertrouwensfuncties

Om een zorgvuldig gebruik van persoonsnummers te garanderen worden zogenaamde vertrouwensfuncties ingericht op organisatieniveau, sectorniveau en sectoroverstijgend niveau. De vertrouwensfuncties zorgen onder andere voor maatregelen die waarborgen dat niet meer gegevens worden gebruikt of uitgewisseld dan nodig is (autorisatiemechanismen), die zorgen dat bekend is wie de gebruikers of communicatiepartners zijn (authenticiteit) en die bewerkstelligen dat gegevens niet onbedoeld en/of ongemerkt veranderd (integriteit) of geraadpleegd kunnen worden (vertrouwelijkheid).

Ook bij de sectoroverstijgende vertrouwensfunctie is het uitgangspunt dat deze zo gering en «licht» mogelijk van opzet kan zijn.

Het beleidskader persoonsnummers gaat zoveel mogelijk uit van de bestaande taak- en verantwoordelijkheidsverdeling en van de reeds aanwezige infrastructuren en voorzieningen. Het beleidskader fungeert als (lange termijn) kader voor reeds bestaande en voorgenomen sectorale ontwikkelingen op het terrein van persoonsnummers, zoals de acties voortvloeiend uit de fraudenota1, de Modernisering GBA, Public Key Infrastructure2 en de mogelijke invoering van een persoonsnummer in de zorg.

Vervolgaanpak

Het beleidskader persoonsnummers behelst een zorgvuldig evenwicht tussen de geformuleerde doelen (enerzijds het bijdragen aan vraaggerichte dienstverlening en administratieve lastenverlichting, opsporing, handhaving en bestrijding van identiteitsfraude en anderzijds privacybescherming, rechtmatigheid en transparantie) en dient daarom nadrukkelijk als één onlosmakelijk geheel te worden gezien.

Om aan het beleidskader nadere invulling te geven wordt het komende jaar een implementatievoorstel uitgewerkt. De concretisering van het implementatievoorstel vindt plaats langs een vijftal, in samenhang uit te werken actielijnen. Deze actielijnen zijn:

I) overkoepelende beheervoorziening. (zoals eerder beschreven)

II) sectoroverstijgende vertrouwensfunctie. (zoals eerder beschreven)

III) wetgeving. Binnen deze actielijn wordt nagegaan welke juridische maatregelen noodzakelijk zijn om wetgeving rond het BSN vorm te geven.

IV) kosten en baten. Deze actielijn resulteert in een analyse van de kosten en baten voor invoering van het kader, waarbij zowel de centrale, de sectorale als de algemeen maatschappelijke en economische effecten in kaart worden gebracht.

V) sectorale activiteiten. Deze actielijn leidt tot een inventarisatie welke activiteiten door de afzonderlijke overheidssectoren genomen moeten worden om het geschetste persoonsnummerbeleid tot concrete leidraad voor de uitvoering te kunnen nemen.

De uitwerking van de actielijnen resulteert, zoals gesteld, in een geïntegreerd implementatievoorstel. Op basis van dit voorstel kan het dan regerende kabinet, voor de begrotingsbehandelingen in het najaar van 2003, de beslissing nemen over het daadwerkelijk invoeren van het geschetste persoonsnummerbeleid.