32 587 Wijziging van onder meer de Wet op het onderwijstoezicht in verband met de instelling van het diplomaregister hoger onderwijs, beroepsonderwijs, voortgezet (algemeen volwassenen)onderwijs, NT2 en inburgering

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 12 april 2011

Graag dank ik de leden van de verschillende fracties voor hun bijdrage aan het voorliggende wetsvoorstel. Hierna ga ik, mede namens de minister van Onderwijs, Cultuur en Wetenschap en de minister van Economische Zaken, Landbouw en Innovatie, in op de vragen en opmerkingen.

Inhoudsopgave

Blz.

   

I

ALGEMEEN

1

1.

Inleiding

1

 

Kern van het wetsvoorstel

2

 

Ervaringen in andere landen

3

2.

Het diplomaregister

5

3.

Bescherming persoonsgegevens

7

4.

Uitvoeringsgevolgen

11

5.

Advies College bescherming persoonsgegevens

11

II

ARTIKELSGEWIJS

12

I ALGEMEEN

1. Inleiding

De leden van de CDA-fractie hebben met genoegen kennisgenomen van het onderhavige wetsvoorstel. Wel hebben de leden van deze fractie nog enige vragen. De leden van de SP-fractie en de D66-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. De leden van de D66-fractie willen een aantal vragen stellen over de bescherming van privacy in relatie tot het nieuwe register. Ook de leden van de SP-fractie stellen nog enige vragen.

Kern van het wetsvoorstel

De leden van de CDA-fractie vragen of de regering kan aangeven waarom zij in de memorie van toelichting geen termijn heeft opgenomen voor ontsluiting van diplomagegevens voor niet-bekostigde instellingen.

Ik heb aangegeven dat het mijn ambitie is om diploma’s van het niet-bekostigde erkende onderwijs op te nemen in de volgende fase van het diplomaregister. Bepalend voor de opname van diplomagegevens van niet-bekostigde instellingen is de uitvoerbaarheid. Daarover zal overleg worden gevoerd met aanbieders van erkend onderwijs of hun vertegenwoordigers. Vervolgens moet wettelijk worden geregeld dat de diplomagegevens aan DUO worden geleverd. Er is nog veel te doen op dat vlak. En ik verwacht dat een werkend diplomaregister dit proces bespoedigt. Het diplomaregister is nadrukkelijk een groeimodel. Het huidige wetsvoorstel dekt het grootste deel van de erkende diplomasoorten. Het is niet gewenst om met de invoering te wachten totdat de opneming van diplomagegevens van niet-bekostigde instellingen mogelijk is.

Verder vragen de leden van de CDA-fractie of het bij de niet-bekostigde instellingen ook erkende diploma’s betreft. Deze leden veronderstellen dat deze diploma’s niet anders dan met de «hoogst mogelijke graad van betrouwbaarheid» worden verstrekt.

In het niet-bekostigde erkende onderwijs worden inderdaad erkende diploma’s verstrekt. De hoogst mogelijke graad van betrouwbaarheid slaat niet op de diploma’s van erkend particulier onderwijs, maar op de procedure en de beschikbare gegevens. In deze eerste fase van het diplomaregister gaan we uit van twee hoofdcriteria om diplomagegevens op te nemen. Ten eerste moeten de diplomagegevens al bij DUO zijn geregistreerd. Wat ik al digitaal heb, kan ik ook relatief snel ontsluiten middels het diplomaregister. Ten tweede moeten die geregistreerde gegevens de hoogst mogelijke graad van betrouwbaarheid garanderen door de cumulatie van controles op de bestanden van bekostigde onderwijsinstellingen die op basis van een wettelijke verplichting gegevens aan DUO leveren. Zo worden de gegevens die zijn verstrekt door de bekostigde instellingen op juistheid geverifieerd door instelling zelf en door een onafhankelijke accountant. De Inspectie van het onderwijs ziet toe op deze verificatie terwijl bij DUO een technische controle geschiedt. Gelet op deze verificatie en controle acht ik de beschikbare gegevens voor het doel dat het diplomaregister dient voldoende betrouwbaar.

Op welke termijn zou het register uitgebreid kunnen gaan worden met de diploma’s van niet-bekostigd onderwijs, zo vragen de leden van de CDA-fractie.

Eind maart 2011 is het voorstel van wet tot wijziging van de Leerplichtwet 1969, de Wet educatie en beroepsonderwijs, de Wet op het onderwijstoezicht en de Wet op het voortgezet onderwijs in verband met onder meer het toevoegen van niet-bekostigd onderwijs aan de systematiek van het persoonsgebonden nummer en het basisregister onderwijs bij de Tweede Kamer ingediend (Kamerstukken II 2010/11, 32 713). Daarin wordt geregeld dat gegevens, waaronder diplomagegevens, van erkend niet-bekostigd onderwijs in de sectoren voortgezet onderwijs en beroeps- en volwasseneneducatie aan de minister moeten worden geleverd met het oog op voortijdige uitval. Ik ben voornemens om na de invoering van deze verplichting een wetsvoorstel voor te bereiden om deze diplomagegevens ook aan het diplomaregister toe te voegen. Maar dan zijn we er nog niet. Zo moeten onder andere ook de diplomagegevens van het erkende niet-bekostigde hoger onderwijs nog worden toegevoegd. Mijn eerste prioriteit gaat er echter naar uit om het diplomaregister op te richten en deze eerste grote stap (opname diplomagegevens bekostigd onderwijs in diplomaregister) te nemen.

De leden van de CDA-fractie willen weten of de diplomagegevens van bepaalde masteropleidingen van de Wageningen Universiteit die zijn behaald voor de invoering van de bachelor-master structuur in 2002 op termijn wel kunnen worden opgenomen in het diplomaregister. Ook willen zij weten of voor deze opleidingen de juistheid van de gegevens alleen bij de instelling gecontroleerd kan worden.

Nee, die gegevens worden niet opgenomen in het diplomaregister. Gegevens van jaren geleden die niet digitaal aanwezig zijn bij DUO, komen niet in het diplomaregister; dat zou een exponentiële groei van administratieve lasten betekenen voor de instellingen en voor DUO, terwijl het diplomaregister juist moet leiden tot een afname van administratieve lasten. Het diplomaregister is een extra service, de bewaarplicht van een instelling vervalt daardoor niet. De juistheid van deze diplomagegevens kan worden geverifieerd bij de instelling zelf.

Deze leden vragen voorts een nadere toelichting waarom ook de gegevens van de inburgeringsexamens in het register worden opgenomen.

De algemene argumenten voor het ontsluiten van diplomagegevens via een diplomaregister zijn ook van toepassing op het inburgeringsdiploma. Het register biedt de diplomabezitter een eenvoudige manier om de diplomagegevens aan derden ter beschikking te stellen. Daarnaast draagt het diplomaregister bij aan fraudebestrijding en leidt het tot een vermindering van administratieve lasten voor overheidsinstanties en potentiële werkgevers.

Is het de bedoeling deze gegevens te koppelen aan andere overheidsbestanden, zo vragen de leden van de CDA-fractie.

De gegevens in het diplomaregister zijn voor een beperkt aantal in het wetsvoorstel genoemde overheidsinstanties toegankelijk en enkel voor de uitvoering van wettelijke taken. Het gaat hierbij om de ministers van Onderwijs, Cultuur en Wetenschap en van Economische Zaken, Landbouw en Innovatie als verantwoordelijken voor het onderwijs, de minister van Volksgezondheid, Welzijn en Sport (VWS) als beheerder van het BIG-register, de minister van Binnenlandse Zaken en Koninkrijksrelaties als beheerder van het Informatiesysteem Inburgering en het Uitvoeringsinstituut werknemersverzekeringen. Daarnaast krijgen scholen en onderwijsinstellingen toegang tot de diplomagegevens ten behoeve van aanmelding en inschrijving.

Ervaringen in andere landen

De leden van de CDA-fractie vragen in hoeverre de gegevens die worden opgenomen in het Nederlandse diplomaregister overeenkomen met de bestaande registers in Europa, zodat het eenvoudiger wordt om onderling gegevens uit te wisselen.

Er bestaat op dit moment in Europa niet een diplomaregister dat qua samenstelling, inhoud, functionaliteit en doelstelling te vergelijken is met het voorgestelde Nederlandse diplomaregister. Er zijn in diverse landen deelverzamelingen die ofwel door particulieren ofwel door de overheid worden beheerd. Er is gekozen voor een landelijk register van de overheid, omdat de overheid zo verantwoordelijkheid neemt om door haar erkende diploma’s beveiligd en correct beschikbaar te stellen aan één duidelijk loket. Ten behoeve van het uitwisselen van gegevens is een aantal initiatieven genomen in Europees verband. De belangrijkste voorbeelden zijn de Rome Standard Student System Group (RS3G) en Digital Student Data Portability (DSDP). RS3G is een initiatief van softwareleveranciers en overheidsorganen uit verschillende Europese landen en heeft als doel standaardisatie voor het uitwisselen van studie- en studentengegevens te bewerkstelligen. DUO participeert in RS3G. Een concreet project binnen RS3G is het »mobility-project» waarbinnen werkendeweg een systematiek voor het uitwisselen van gegevens tussen diverse internationale deelnemers wordt gerealiseerd.

DSDP is een taskforce binnen de European Association of International Education (EAIE) en heeft tot taak de 19 «professional sections» van de EAIE te adviseren en te ondersteunen ten aanzien van het onderling tussen hoger onderwijsinstellingen uitwisselen van gegevens.

In verband hiermee willen de leden van de CDA-fractie ook weten wanneer in het register kan worden opgenomen wat iemand heeft moeten doen om het diploma te behalen. Dit is met name belangrijk voor buitenlandse werkgevers om een Nederlands diploma op waarde te kunnen schatten.

De hoofddoelen van het diplomaregister in het onderhavige wetsvoorstel zijn het bestrijden van diplomavervalsingen en helderheid bieden over erkende diploma’s, het bieden van een centraal back-upsysteem en het terugdringen van administratieve lasten. Het diplomaregister wordt zodanig ingericht dat de gestelde hoofddoelen zo optimaal mogelijk worden bereikt. Als in het register zou worden opgenomen wat iemand heeft moeten doen om een diploma te behalen (het diplomasupplement), zou het diplomaregister een extra doel krijgen. Weliswaar zou dit tot toename van de informatiewaarde van het diplomaregister leiden – zoals in de memorie van toelichting (pag. 17) al is aangegeven. De gegevens (het diplomasupplement) zijn echter niet beschikbaar bij DUO. Daarom geldt voor het diplomasupplement, net als voor andere gegevens die niet beschikbaar zijn, dat in een volgende fase van het diplomaregister bezien zal worden of en zo ja wanneer het in het diplomaregister kan worden opgenomen.

Na deze fase (dit wetsvoorstel) wil ik eerst het niet-bekostigde erkende onderwijs toevoegen. Welke toevoeging daarna verstandig is, moeten we dan bepalen.

De leden van de CDA-fractie vragen of de regering kan toelichten op welke wijze door Nederlandse bedrijven en/of instellingen gebruik gemaakt kan worden van de buitenlandse diplomaregisters.

Op dit moment is het nog niet mogelijk dat Nederlandse bedrijven en/of instellingen op een centrale manier gebruik maken van buitenlandse diplomaregisters. Zoals hierboven al is aangegeven, zijn die registers vaak deelverzamelingen met een specifieke doelstelling. Nieuwe afnemers van informatie dienen zich veelal schriftelijk aan te melden bij het register en de beheerder bepaalt vervolgens of de nieuwe «klant» gemachtigd wordt de gegevens te ontvangen. Als de beheerder instemt met levering van gegevens dan ontvangt de nieuwe klant in het algemeen een gebruikersnaam en wachtwoord waarmee de toegang tot de gegevens wordt geboden. De verschillende landen hebben hiervoor zelf procedures ingericht en verschillende criteria opgesteld om toestemming te verlenen.

In relatie met het bovenstaande hebben de leden met belangstelling gelezen, dat de regering kennis heeft genomen van internationale voorbeelden van diplomaregisters. Zij vragen of de regering overweegt om op termijn de mogelijkheid om door te klikken naar onderliggende documenten, zoals dat in de Verenigde Staten mogelijk is (Stanford University), op te nemen in het Nederlandse diplomaregister.

Ik vind het belangrijk om good practices uit het buitenland te volgen en waar daar aanleiding voor is deze over te nemen. Op dit moment bevat het diplomaregister in oprichting geen doorklikmogelijkheid naar andere documenten, het bevat enkel een aantal persoons- en diplomagegevens, conform de gestelde doelstelling voor het diplomaregister. Als de doelen van het diplomaregister in de toekomst hiertoe aanleiding geven, kan deze mogelijkheid opnieuw worden bezien.

Kan de regering tevens toelichten, zo vragen de leden van de CDA-fractie, of er aansluiting is gezocht bij de systematiek van andere Europese diplomaregisters?

DUO is op dit moment volop bezig met het opzetten van het Nederlandse diplomaregister. Waar nodig zoekt DUO aansluiting bij internationale ontwikkelingen en ervaringen. In het antwoord op een eerdere vraag van de leden van CDA-fractie ben ik al ingegaan op de situatie in Europa en de samenwerking in Europees verband. Buiten Europa heeft DUO op het terrein van het verstrekken en beveiligen van digitale documenten uitstekende contacten met onder andere de Stanford University in de Verenigde Staten. De Stanford University heeft al enige jaren ervaring met het verstrekken van een beveiligd digitaal document en adviseert DUO op dit gebied. De Stanford University is echter al verder dan DUO in eerste instantie kan realiseren (het gaat ook slechts om 1 instelling en niet om een landelijk overzicht). De Stanford University heeft haar interne organisatie vergaand gedigitaliseerd en maakt daarvan gebruik door via het digitale document met diplomagegevens de mogelijkheid te geven «door te klikken» naar informatie over docenten, het gevolgde curriculum en de gemaakte werkstukken. Of en in welke mate DUO deze faciliteiten in de toekomst ook kan aanbieden, zal zonodig in de toekomst worden bezien. Overwegingen die dan aan de orde zullen komen, zijn de kosten, de capaciteit en in hoeverre deze ten goede komen aan het doel van het diplomaregister.

2. Het diplomaregister

De leden van de SP-fractie merken op dat enkele overheidsorganen zonder instemming van de diplomabezitter gebruik kunnen maken van het diplomaregister, met het oog op het adequaat uitvoeren van hun wettelijke taken. Zij vragen om welke taken en informatie het gaat, wat de voorwaarden zijn en welke overheidsorganen het betreft.

De taken waar het om gaat, zijn afgebakend in artikel 24q zoals opgenomen in voorliggend wetsvoorstel. Bij de levering aan de minister van VWS gaat het om de beoordeling van een aanvraag tot inschrijving in het register, bedoeld in artikel 3 van de Wet op de beroepen in de individuele gezondheidszorg (BIG register). Bij de levering aan het Uitvoeringsinstituut werknemersverzekeringen gaat het om de taken, bedoeld in de artikelen 30, eerste lid, 30a, eerste en tweede lid, 30b, 30d en 31 van de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). Het gaat bij de taak bedoeld in artikel 30 Wet SUWI om de uitvoering van wettelijke arbeidsongeschiktheidsregelingen (schatting van de mate van arbeidsongeschiktheid is mede afhankelijk van de opleiding), de Wet WAJONG (voorziening voor jonggehandicapten, ook de schatting) en de wettelijke werkloosheidsregelingen (dan gaat het om te beoordelen voor welk werk de werkloze in aanmerking zou kunnen komen en welke arbeid passend is gelet op het opleidingsniveau). Verder betreft het de taak tot inschakeling in het arbeidsproces van arbeidsongeschikten en werklozen en de taak tot het registreren van werkzoekenden en arbeidsbemiddeling, het voordragen voor geschikte vacatures e.d. (artikel 30a Wet SUWI). De diplomagegevens zijn voorts van belang bij de registratie werkzoekenden en vacatures (artikel 30b Wet SUWI) en de taak van het UWV de kans op werk van een geregistreerde werkzoekende te beoordelen en voorlichting te geven over de keuze van beroep en de voor het beroep benodigde opleiding (artikel 31 Wet SUWI). En tot slot kan het UWV de diplomagegevens gebruiken bij de indicatie sociale werkvoorziening, voor beschut werk en begeleid werk (artikel 30d Wet SUWI).

De informatie waar het om gaat bij de gegevensverstrekking aan overheidsorganen vloeit voort uit de wettelijke taak waarvoor de informatie nodig is. Voorwaarde voor de gegevensverstrekking is, dat de Wet bescherming persoonsgegevens in acht wordt genomen.

Is de verwachting dat deze lijsten in de toekomst worden uitgebreid, zo vragen de leden van de SP-fractie. Indien dit het geval is, dan vernemen deze leden graag wat voor een uitbreiding het betreft: welke instanties, welke voorwaarden, welke informatie en welke taken.

Met het verstrekken van privacygevoelige informatie moet altijd worden overwogen of het doel dit rechtvaardigt. Met het wetsvoorstel stel ik voor een beperkt aantal overheidsinstanties toestemming te geven om het diplomaregister te raadplegen en enkel waar het gaat om de uitvoering van wettelijke taken. Het kan immers gewenst zijn dat de burger gegevens waarover de overheid reeds beschikt niet aan een ander loket opnieuw hoeft te overleggen. In dat geval levert de toegang tot de gegevens van een overheidsinstantie voor de uitoefening van wettelijke taken voor de burger en de overheid administratieve lastenverlichting op. Het is niet uitgesloten dat de lijst met overheidsinstanties in de toekomst wordt uitgebreid. Daarvoor is dan echter opnieuw een wetswijziging nodig. Het spreekt vanzelf dat dan opnieuw moet worden overwogen of het belang van eenmalige gegevensverstrekking aan de overheid opweegt tegen het privacybelang van de burger.

De leden van de SP-fractie vragen of de overheidsinstanties deze informatie ook op andere manier kunnen verkrijgen, bijvoorbeeld door deze op te vragen bij de diplomabezitter. Indien dat het geval is, waarom is daarvoor niet gekozen, zo vragen zij.

Diplomagegevens kunnen ook worden opgevraagd bij de diplomabezitter. In de gevallen, bedoeld in het voorgestelde artikel 24q, zevende lid, van de Wet op het onderwijstoezicht weegt echter het belang van de eenmalige gegevensverstrekking aan de overheid, dat alleen geschiedt op basis van de in de wet gestelde voorwaarden/doelen, naar mijn mening op tegen het privacybelang van de burger.

Voorts willen deze leden weten in hoeverre werkgevers of andere derden, anders dan overheids- of onderwijsinstellingen, informatie kunnen opvragen bij het diplomaregister zonder toestemming van de diplomabezitter.

Dit is onmogelijk. Voor werkgevers en overige derden, anders dan in het wetsvoorstel benoemde overheids- of onderwijsinstellingen heeft de diplomabezitter de regie in het al dan niet verstrekken van persoonlijke gegevens uit het diplomaregister.

De leden van de SP-fractie willen weten of derden, anders dan overheidsorganisaties en onderwijsinstellingen, altijd het gehele dossier te zien krijgen. Is het mogelijk slechts die informatie te verstrekken die strikt noodzakelijk is, zo vragen zij.

De diplomabezitter bepaalt zelf van welke diploma’s hij de gegevens opvraagt. Van dat diploma worden alle in het diplomaregister opgenomen gegevens opgenomen in het beveiligde digitale document.

Deze leden vragen of het mogelijk is om standaard een minimum aan informatie te verstrekken, bijvoorbeeld de naam van de diplomabezitter en de namen van de diploma’s die deze heeft ontvangen.

Als diplomagegevens worden verstrekt, zijn dit alle gegevens die van een bepaald diploma in het diplomaregister staan.

Zijn er voorwaarden voor derden bij het opvragen van informatie, zo vragen de leden van de SP-fractie.

De scholen, onderwijsinstellingen en het beperkte aantal overheidsinstanties die toegang hebben tot het diplomaregister zonder dat daarvoor de toestemming van de diplomabezitter nodig is, hebben deze toegang alleen op basis van de in de wet gestelde voorwaarden en de doelen waarvoor ze toegang krijgen. Alle overige derden hebben alleen toegang tot diplomagegevens uit het diplomaregister als de diplomabezitter een beveiligd digitaal document uit het diplomaregister naar hen toezendt via e-mail.

De leden van de SP-fractie vragen in hoeverre derden de opgevraagde informatie mogen delen naar eigen goeddunken en of zij de informatie voor zichzelf of binnen het bedrijf of de instantie moeten houden.

Artikel 8 van de Wet bescherming persoonsgegevens (WBP) bepaalt in welke gevallen persoonsgegevens mogen worden verwerkt. Onder de verwerking van persoonsgegevens valt ook het «delen» van gegevens (zie artikel 1, onder b, WBP: doorzending, verspreiding of enige andere vorm van terbeschikkingstelling). In het kort komt artikel 8 erop neer dat persoonsgegevens mogen worden verwerkt als de betrokkene (in casu de diplomabezitter) zijn ondubbelzinnige toestemming heeft verleend of als dit nodig is:

  • a. voor de uitvoering van een overeenkomst waarbij de betrokkene partij is,

  • b. om een wettelijke verplichting na te komen,

  • c. ter vrijwaring van een vitaal belang van betrokkene,

  • d. voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan, of

  • e. voor de behartiging van een gerechtvaardigd belang, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene prevaleert.

De leden van de SP-fractie vragen wanneer en op welke manier de diplomabezitter een melding krijgt als een derde informatie hierover heeft opgevraagd.

De diplomabezitter kan bij het raadplegen van het diplomaregister aangeven dat hij een overzicht wil zien van gegevensleveringen die DUO aan de in de wet genoemde overheidsinstanties heeft gedaan. Hij krijgt dan een overzicht waarin staat welke gegevens op welk moment aan welke instantie zijn geleverd. De notificatie is standaard op de achtergrond aanwezig en wordt zichtbaar na een specifieke handeling van de diplomabezitter.

Ten slotte vragen deze leden waarom het nodig is het burgerservicenummer op te nemen in het diplomaregister.

Het burgerservicenummer is nodig om persoonsgegevens uit de gemeentelijke basisadministratie te kunnen opvragen alsmede om deze gegevens en de diplomagegevens uit de registers van DUO (bv. BRON en Criho) bij de juiste persoon te kunnen voegen.

3. Bescherming persoonsgegevens

De leden van de CDA-fractie vragen of de regering overweegt om in plaats van DigiD een andere vorm van toegang te gaan gebruiken en zo ja, welke vorm dan. Als DigiD wordt gebruikt als toegang, willen deze leden weten hoe de privacy wordt gewaarborgd en hoe wordt voorkomen dat aan derden door onrechtmatig gebruik van DigiD gegevens worden verstrekt, waar zij geen recht op hebben.

Nee, er wordt niet overwogen om een andere vorm van toegang te gebruiken dan DigiD. DigiD is een bekende en betrouwbare methode voor autenthicatie waarmee DUO al ervaren is. Het geeft voldoende beveiliging mits er wordt gekozen voor het juiste en gewenste niveau van beveiliging. In dit geval is dat niveau «midden», wat inhoudt dat er drie gegevens worden gebruikt ter controle. Denk hierbij aan de combinatie van een gebruikersnaam, een wachtwoord en een sms-code.

Door het gebruik van DigiD kunnen een paar groepen diplomabezitters niet of moeilijk gebruik maken van het digitale diplomaregister, omdat de betrokkenen niet of moeilijk aan een DigiD-account kunnen komen.

Dat betreft ten eerste personen die in Nederland wonen, maar (nog) niet zijn ingeschreven bij een Nederlandse gemeente. Het register niet-ingezetenen (RNI) biedt hiervoor op termijn een oplossing. Als een diplomabezitter daarin staat, krijgt hij/zij wel een burgerservicenummer (BSN) en is het diplomaregister wel toegankelijk voor de genoemde groep. Met een BSN kan DigiD namelijk wel worden aangevraagd.

Ten tweede kunnen personen die in het buitenland wonen maar in Nederland woonden toen ze studeerden moeilijkheden ondervinden bij het gebruik van DigiD. Deze personen kunnen als ze nog in een Nederlandse gemeente staan ingeschreven een DigiD-account aanvragen. Dit account werkt ook vanuit het buitenland, mits de persoon in kwestie ervoor zorgt dat zijn/haar account niet verloopt door er een lange tijd geen gebruik van te maken. Nadat het DigiD-account is geactiveerd, blijft het geldig tot anderhalf jaar nadat de DigiD-inlogcode voor het laatst is gebruikt. Vanaf elke keer dat betrokkene zijn DigiD-account gebruikt, is dit weer anderhalf jaar geldig.

De derde groep die nadeel ondervindt van het gebruik van DigiD als toegang tot het digitale register bestaat uit personen die nu in het buitenland wonen en toen ze studeerden vlak over de grens met Duitsland of België woonden. Deze groep staat niet ingeschreven bij een Nederlandse gemeente en was ook niet eerder ingeschreven. De desbetreffende personen kunnen derhalve geen DigiD-account aanvragen en hebben dus geen toegang tot het diplomaregister via DigiD.

De diplomagegevens van de hierboven genoemde groepen bevinden zich echter wel in het diplomaregister. In het wetsvoorstel is geregeld dat de diplomabezitter ook schriftelijke diplomagegevens kan opvragen (DUO zal nog bekend maken welke praktische procedure hiervoor wordt ingericht). Op deze wijze biedt het diplomaregister een voorziening voor diplomabezitters zonder DigiD.

Steeds meer overheidsdiensten sluiten aan op DigiD en meer dan 8 miljoen Nederlanders hebben al een DigiD. Hiermee is DigiD dé toegangspoort tot de dienstverlening van de Nederlandse overheid geworden.

De leden van de CDA-fractie vragen hoe groot ik de kans acht dat hackers zich toegang kunnen verlenen tot het diplomaregister en welke maatregelen worden genomen om dit te voorkomen.

Deze kans acht ik bijzonder klein, maar geheel uitgesloten is dit nooit. DUO ziet voortdurend toe op de beveiliging van deze digitale omgevingen.

DUO onderneemt zowel preventieve als reactieve maatregelen ter bescherming van persoonsgegevens, in het bijzonder tegen «hackers». Deze maatregelen zijn zowel technisch, procedureel als procesgericht van aard. De maatregelen richten zich onder andere op scheiding van netwerken, hoogste betrouwbaarheid voor het opslaan van digitale handtekeningen, het continu bekijken van netwerkverkeer en het reageren op afwijkingen. Tevens worden alle nieuwe functionaliteiten door gecertificeerde interne en externe specialisten getest (hacktest) voordat een functionaliteit ter beschikking van de gebruikers wordt gesteld. In verband met het beveiligingsrisico kunnen geen nadere mededelingen worden verschaft over de genomen beveiligingsmaatregelen.

Deze leden verzoeken mij voorts om aan de hand van praktische voorbeelden toe te lichten tot welke informatie respectievelijk een onderwijsinstelling, werkgever of overheidsinstantie wel gerechtigd is. Hoort bijvoorbeeld een cijferlijst of vakkenregistratie wel of niet bij het register, zo vragen zij.

Dat verschilt per sector. Van het voortgezet onderwijs, het vavo en de staatsexamens voortgezet onderwijs zijn de vakken en cijfers wel opgenomen en van het hoger onderwijs en het beroepsonderwijs niet. Van inburgeringsdiploma’s staan geen vakken en cijfers in het diplomaregister, maar wel het niveau (A1 of A2) van het examen en het profiel waarin het examen is afgelegd: Opvoeding, Gezondheid en Onderwijs (OGO), Maatschappelijke Participatie (MP), Ondernemerschap (OS), Sociaal Maatschappelijke en Pastorale Dienstverlening (SMPD) of Werk. Van staatsexamens Nederlands als tweede taal (NT2) staan er geen vakken en cijfers in het diplomaregister, maar is het programma wel opgenomen. Er is voor gekozen om vooralsnog uitsluitend de al aanwezige gegevens te ontsluiten, die op grond van een wettelijke verplichting aan de overheid zijn geleverd. Het diplomaregister kan namelijk op deze wijze met relatief weinig inspanning en zonder toename van administratieve lasten, redelijk snel, doeltreffend en efficiënt worden ontwikkeld.

Mag een werkgever dit wel of niet opvragen, zo vragen de leden van de CDA-fractie.

Een werkgever mag diplomagegevens uit het diplomaregister aanvragen bij de diplomabezitter. De diplomabezitter bepaalt of hij de werkgever een beveiligd digitaal document met zijn diplomagegevens uit het diplomaregister stuurt. Een werkgever heeft zonder toestemming van de diplomabezitter geen inzage in de diplomagegevens uit het diplomaregister (een werkgever kan niet zelf het diplomaregister raadplegen).

De leden van de SP-fractie willen weten in hoeverre de informatie over behaalde diploma’s, die ook online op te vragen is, beschermd is tegen hackers.

Zij vragen of personen die officieel geen toegang hebben tot de gegevens, toch toegang kunnen krijgen tot de gegevens in het diplomaregister. Ook vragen zij

welke waarborgen er zijn dat dit niet gebeurt, of dit nu gaat om kwaadwilligheid of nalatigheid.

Voor het antwoord op deze vraag verwijs ik graag naar het antwoord op de vraag van de leden van de CDA-fractie over hackers. In aanvulling daarop deel ik mee, dat medewerkers van DUO de gegevens slechts kunnen inzien en gebruiken als ze daartoe geautoriseerd zijn op basis van hun functie.

Dit betreft een selecte groep medewerkers die conform hun functie geautoriseerd zijn en op grond daarvan officieel toegang hebben tot de gegevens. Het gebruik daarvan is aan strikte (gedrags-)regels gebonden. Overige personeelsleden van DUO hebben hooguit toegang tot geaggregeerde c.q. anonieme ontwikkel-, test- en beheergegevens over de infrastructuur van het register.

Buiten DUO heeft alleen de diplomahouder zelf toegang tot zijn eigen gegevens. De levering van diplomagegevens aan de in de wet genoemde overheidsinstanties, scholen en instellingen is beperkt tot de desbetreffende wettelijke kaders en valt onder de strenge beveiligingseisen die DUO hanteert voor deze gegevensleveringen.

De leden van de D66-fractie vragen welke concrete stappen zijn ondernomen om de persoonsgegevens in een diplomaregister beter te beschermen.

De informatieveiligheid en de bescherming van persoonsgegevens hebben bij DUO continu een hoge prioriteit. DUO hanteert binnen de ontwerpkaders belangrijke instrumenten zoals classificatie van persoonsgegevens, risicoanalyse, sterke identificatie en encryptie tijdens het verzenden over internet. Wanneer er aanleiding is om de bescherming van persoonsgegevens nader aan te scherpen, dan gebeurt dit, aangezien de optimalisering hiervan een lopend proces is.

De leden van de fractie van D66 informeren voorts naar de uitkomsten van de effectiviteittoets voor de instelling van een centraal diplomaregister.

Er is getoetst op uitvoerbaarheid, administratieve lasten en draagvlak. Verder heeft internetconsultatie plaatsgevonden en zijn adviezen uitgebracht door het College Bescherming Persoonsgegevens en door de Onderwijsraad. Het resultaat daarvan en de reactie daarop is opgenomen in de memorie van toelichting.

Welke alternatieven voor een centraal diplomaregister zijn overwogen, zo vragen deze leden.

Een aantal jaren geleden was de visie van instellingen in het hoger onderwijs dat zij zelf een dergelijk register zouden inrichten, per instelling dan wel gezamenlijk. Dit is niet gebeurd. Alleen een zeer beperkt aantal instellingen heeft een digitale wijze van verificatie van diploma’s van de desbetreffende instelling. Een landelijk diplomaregister zorgt voor één duidelijk en betrouwbaar loket, waarvoor een bewindspersoon verantwoordelijk is en waarvan de privacy centraal gewaarborgd wordt. De diplomagegevens zijn al aanwezig, dus er wordt als het ware een beveiligde inkijkfunctie gebouwd op de al bestaande registers. Hierdoor zijn er ook geen extra administratieve lasten, maar treedt er juist administratieve lastenverlichting op. Alles overwegende is een landelijk diplomaregister de beste optie om de gestelde doelen te bereiken.

Voorts willen de leden weten op welke wijze gediplomeerden toegang hebben tot de informatie in het diplomaregister.

Gediplomeerden hebben toegang tot het diplomaregister door in te loggen met DigiD.

Kunnen gediplomeerden hun gegevens controleren en kunnen zij aangeven dat bepaalde gegevens niet uitgewisseld mogen worden?

Gediplomeerden kunnen hun gegevens controleren en als ze constateren dat een gegeven niet correct is, kunnen ze deze onjuistheid aan DUO doorgeven. Ze kunnen echter niet aangeven dat bepaalde in de wet genoemde gegevens niet mogen worden uitgewisseld met de in de wet genoemde overheidsinstanties. Het is niet mogelijk om juiste diplomagegevens van een bepaald diploma uit het register te verwijderen.

Als een gediplomeerde onjuiste informatie over zichzelf terugvindt in het register, waar moet dit dan gemeld worden?

Een gediplomeerde kan onjuistheden in het diplomaregister elektronisch melden aan DUO (voorgesteld artikel 24p, eerste lid). Hiervoor wordt een voorziening getroffen in het diplomaregister. DUO verzoekt vervolgens de organisatie die het diploma heeft uitgereikt om de juiste gegevens aan DUO op te geven. Ook dit wordt geregeld via het diplomaregister. Daarna geeft de organisatie de juiste gegevens aan DUO door en neemt DUO de verbeterde gegevens op in het diplomaregister.

Welke procedure moet een gediplomeerde volgen om beroep aan te tekenen bij onjuiste informatie in het diplomaregister, zo vragen de aan het woord zijnde leden.

Als bovengenoemde weg niet tot aanpassing van de gegevens in het diplomaregister leidt, heeft de gediplomeerde nog een mogelijkheid. Het kan voorkomen dat de – volgens de gediplomeerde onjuiste – gegevens in het diplomaregister overeenkomen met de gegevens van de organisatie die het diploma heeft uitgereikt. Ook is het mogelijk dat deze organisatie niet meer over de diplomagegevens van betrokkene beschikt. In beide gevallen stelt de organisatie DUO op de hoogte en geeft DUO dit door aan de gediplomeerde. Ook deze meldingen lopen via het diplomaregister. De gediplomeerde kan vervolgens op vertoon van het originele diploma aan DUO verzoeken om de gegevens in het diplomaregister te verbeteren (alleen als de gegevens in het diplomaregister afwijken van de gegevens op het originele diploma). Dit verzoek kan niet elektronisch worden ingediend, omdat DUO het originele diploma op echtheid moet toetsen. Zie voor een en ander het voorgestelde artikel 24p, tweede en derde lid. Voor de goede orde wijs ik erop dat het niet mogelijk is om in het diplomaregister andere gegevens te laten opnemen dan vermeld in het voorgestelde artikel 24o, ook al worden deze gegevens wel vermeld op het originele diploma.

4. Uitvoeringsgevolgen

De leden van de CDA-fractie vragen in hoeverre de gegevens die nu bij DUO beschikbaar zijn correct zijn. Heeft een audit plaatsgevonden of overweegt de regering een audit ten einde de betrouwbaarheid van het register te waarborgen? Indien een audit heeft plaatsgevonden, wat was hiervan het resultaat? En indien geen audit wordt overwogen, waarom niet, zo vragen deze leden.

Het diplomaregister stelt gegevens beschikbaar die in de registers van DUO aanwezig zijn. Het betreft gegevens van de staatsexamens, van inburgeringexamens en van het bekostigde onderwijs. Deze gegevens zijn op meerdere momenten door meerdere partijen gecontroleerd. In verband hiermee acht de regering een audit niet noodzakelijk.

5. Advies College bescherming persoonsgegevens

De leden van de SP-fractie vragen wat de redenen zijn om in de toekomst gebruik van het diplomaregister mogelijk verplicht te stellen en wanneer de regering verwacht dat zij dit noodzakelijk zal vinden.

Ik zie vooralsnog geen reden om het gebruik van het diplomaregister verplicht te stellen. Wel vind ik het belangrijk dat bij de bouw van het diplomaregister rekening wordt gehouden met eventuele toekomstige wensen en mogelijkheden. Het moet niet bij voorbaat zijn uitgesloten dat het diplomaregister een basisregister wordt. Een basisregistratie is een registratie van de overheid waarin authentieke gegevens zijn benoemd, die verplicht moeten worden hergebruikt binnen de overheid. Voor aanwijzing van het diplomaregister als basisregister is een wetswijziging nodig.

De leden van de SP-fractie vragen of in het wetsvoorstel is voldaan aan de door de rijksoverheid geformuleerde twaalf uitgangspunten voor een basisregistratie. Zo nee, dan willen zij weten waaraan niet is voldaan en waarom dat niet nodig is.

Nee, er wordt niet aan alle 12 uitgangspunten voldaan. Nog niet wordt voldaan aan de eisen van verplicht gebruik, de eis van de terugmeldplicht en het vastleggen dat afnemers worden betrokken bij de besluitvorming betreffende de basisregistratie.

Het diplomaregister sluit echter wel aan op het basisuitgangspunt van het middel «basisregistratie». Dat is namelijk de stroomlijning en het hergebruik van de basisgegevens die de overheid al heeft. Om het gewenste doel te bereiken, namelijk het hergebruik en stroomlijnen van gegevens die al in bezit zijn van de overheid, is een verplichting niet altijd nodig. De wens tot hergebruik van gegevens is in een aantal gevallen namelijk al sterk aanwezig, zodat het hergebruik al plaatsvindt op vrijwillige basis.

II ARTIKELSGEWIJS

Artikel 24n Reikwijdte diplomaregister

De leden van de CDA-fractie vragen wat er gebeurt met diploma’s die van een eerder jaar zijn dan waarvan de gegevens betrouwbaar worden geacht.

Deze gegevens worden niet opgenomen in het diplomaregister. Alleen de beschikbare gegevens die de hoogst mogelijke betrouwbaarheidsgraad garanderen, komen in het diplomaregister. Om die reden is in het wetsvoorstel precies aangegeven vanaf welke datum de diploma’s van een bepaalde onderwijssoort in het register worden opgenomen.

Moeten deze gegevens op de oude manier worden opgevraagd, zo vragen zij.

Voor de diploma’s waarvan de diplomagegevens niet in het diplomaregister zijn opgenomen, blijven inderdaad de huidige manieren van diplomaverificatie gelden. Het diplomaregister is een extra service. Onderwijsinstellingen blijven op grond van de Archiefwet 1995 gehouden de diplomagegevens te bewaren (zie voor deze bewaarplicht pagina 12 van de memorie van toelichting).

De staatssecretaris van Onderwijs, Cultuur en Wetenschap,

H. Zijlstra

Naar boven