32 761 Verwerking en bescherming persoonsgegevens

Nr. 147 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 11 juli 2019

Regie op gegevens betekent dat een burger grip en zicht heeft op zijn1 persoonlijke gegevens bij de overheid.

De overheid verzamelt en gebruikt voor al zijn taken veel persoonlijke gegevens van burgers. Ze zorgt dat die gegevens correct en actueel zijn, veilig worden opgeslagen, en efficiënt worden gebruikt, maar alleen waar dat mag.

Burgers moeten daarop kunnen vertrouwen. Nu al hebben burgers daarom het recht om in te zien welke gegevens de overheid van hen heeft en waarvoor die worden gebruikt. Ook hebben ze het recht om basisgegevens die de overheid al heeft, zoals geboortedatum, woonadres of inkomen, niet zonder goede reden opnieuw door te geven aan de overheid.

Hierin zijn de afgelopen jaren flinke stappen gezet. Een voorbeeld is de Belastingdienst, die bij de aangifte zoveel mogelijk gegevens vooraf invult en aangeeft van welke organisatie die gegevens afkomstig zijn. Een ander voorbeeld is MijnOverheid, waar een burger (bijna) al zijn basisgegevens op één plek kan inzien.

Nederland hoort hiermee bij de koplopers. Maar het kan en moet beter.

We zorgen daarom dat burgers hun persoonlijke gegevens niet alleen kunnen inzien, maar ook steeds vaker kunnen zien waarvoor deze worden gebruikt, en steeds makkelijker de weg vinden als ze een of meerdere gegevens willen laten wijzigen. Elke overheidsorganisatie doet dat op een manier die het beste bij zijn klanten en diensten past. Voor (bijna) al zijn basisgegevens kan de burger dat op één centrale plek, namelijk in MijnOverheid.

Een burger moet een gegeven niet alleen kunnen laten wijzigen, maar de gevolgen van een fout gegeven moeten ook sneller worden hersteld. We doen daarvoor een proef met een speciaal team voor het oplossen van problemen die meerdere overheidsorganisaties raken, en daardoor nu vaak te lang duren.

We brengen het komende jaar in kaart waar overheidsorganisaties nu nog geen gebruik van de basisgegevens maken, bijvoorbeeld omdat dat technisch ingewikkeld is of omdat er aanpassing van wetgeving voor nodig is. Waar dat mogelijk is nemen we die belemmeringen stapsgewijs weg. Ook onderzoeken we het komende jaar of het recht om de eigen gegevens niet opnieuw op te hoeven geven ook voor andere persoonlijke gegevens kan gelden, en niet alleen voor de basisgegevens. We gaan het recht op eenmalige verstrekking van de basisgegevens (ook) opnemen in de Wet digitale overheid.

Dit zijn stapsgewijze, continue verbeteringen, aanvullend op wat nu al moet en kan.

Regie op gegevens betekent echter niet alleen dat een burger zijn eigen gegevens moet kunnen inzien en wijzigen, en dat hij moet kunnen weigeren om gegevens op te geven als de overheid die al heeft. Regie op gegevens betekent ook dat hij gegevens die de overheid over hem heeft ook zélf moet kunnen gebruiken.

Dat betekent dat hij zijn eigen gegevens, zoals zijn adres, leeftijd of inkomen digitaal kan delen met organisaties buiten de overheid, zoals een zorgverlener, woningcorporatie of schuldhulpverlener. Omdat die gegevens digitaal en betrouwbaar zijn, kunnen deze hun dienstverlening beter, sneller en persoonlijker maken. Ook wordt onnodige papieren rompslomp vermeden.

Het delen van gegevens met organisaties buiten de overheid is een nieuwe ontwikkeling. Ook hierin loopt Nederland voorop. Inmiddels zijn er meerdere initiatieven, sommige nog in de onderzoeksfase en andere klaar voor breed gebruik. De doelgroep en werkwijze van deze initiatieven is zeer divers. We gaan het delen van gegevens actief stimuleren.

Het delen van gegevens biedt nieuwe kansen, maar brengt ook nieuwe risico's. Wie zijn gegevens deelt kan niet altijd overzien wat er daarna met die gegevens gebeurt. Gegevens kunnen zo makkelijk in verkeerde handen komen, met alle gevolgen van dien. Vaak worden ook meer gegevens gedeeld dan nodig is en op grond van de privacywet mag. Een risico is verder dat burgers zich gedwongen kunnen voelen om hun gegevens te delen omdat ze afhankelijk zijn van die organisatie (zoals een verhuurder of schuldhulpverlener).

We stellen daarom spelregels op waar organisaties aan moeten voldoen waarmee de burger zijn gegevens deelt. Deze spelregels leggen we vast in de Wet digitale overheid.

Tot slot: iedereen moet kunnen meedoen, ook wie minder digitaal vaardig is. Dat geldt ook voor regie op de eigen gegevens. Daarom brengen we bij alle plannen in kaart wat daar voor nodig is.

Een nadere toelichting en uitwerking van de voornemens is bijgevoegd bij deze brief.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops

Beleidsbrief Regie op Gegevens: nadere uitwerking

In deze brief schetst het kabinet zijn beleidsvoornemens ten aanzien van de regie van burgers op de eigen persoonlijke gegevens en beschrijft het de aanpak op hoofdlijnen om deze te realiseren.

De brief geeft daarmee invulling aan de volgende, in Regeerakkoord en NL DIGIbeter (Agenda Digitale Overheid) (bijlage bij Kamerstuk 34 700, nr. 34 en Kamerstuk 26 643, nr. 621) geschetste voornemens:

  • vergroten van de regie op persoonsgegevens ter bevordering van de privacy en creëren van de mogelijkheid om deze zelf te delen met organisaties buiten de overheid;

  • doorontwikkelen van MijnOverheid tot een plek waar burgers hun persoonlijke gegevens kunnen inzien, via welke zij een onjuist gegeven kunnen laten herstellen, en waar zij regie kunnen voeren over hun gegevens;

  • verbeteren van de gegevenshuishouding van de overheid, in het bijzonder de basisregistraties (voorzover voor deze beleidsbrief relevant);

  • sneller herstellen van de gevolgen van het gebruik van een onjuist gegeven.

Met deze brief (en meer specifiek bijlage 1) geeft het kabinet tevens invulling aan de motie van de leden Koerhuis en Den Boer over een online-identiteit voor iedere Nederlander (Kamerstuk 34 993, nr. 4), ingediend bij het notaoverleg «Online identiteit en regie op persoonlijke gegevens» van 26 november jl2.

De brief sluit verder aan bij recente brieven van het kabinet over Digitale Inclusie3 en de Data Agenda Overheid4.

Afbakening en focus

Onder regie op persoonlijke gegevens wordt in deze brief verstaan: de handelingsopties die de burger heeft als het gaat om de gegevens die overheidsorganisaties en nader te bepalen andere organisaties in het BSN-domein (w.o. zorgverleners) over hem vastleggen.

De brief onderscheidt daarbij drie vormen van regie:

  • delen van gegevens: de eigen gegevens zelf, digitaal kunnen delen met dienstverleners buiten de overheid;

  • eenmalige verstrekking: kunnen weigeren om gegevens te verstrekken die binnen de overheid al beschikbaar zijn;

  • inzage en correctie: de eigen gegevens kunnen inzien en controleren, kunnen inzien welke gegevens worden en zijn uitgewisseld, en de gegevens kunnen (laten) corrigeren.

Deze beleidsbrief geeft met name invulling aan het eerste spoor. Het delen van gegevens is een nieuwe ontwikkeling die vraagt om nieuw beleid en duidelijke kaders om de ontwikkelingen optimaal te benutten en in goede banen te leiden. Deze brief schetst daarvoor de hoofdlijnen. Ten aanzien van beide andere sporen bouwt deze brief voort op bestaand beleid en wetgeving, en is de inzet om bestaande regiemogelijkheden uit te breiden en eventuele belemmeringen stapsgewijs verder weg te nemen.

Deze brief maakt geen onderscheid in de aard en het doel van de vastgelegde gegevens. De mogelijkheden voor regie zullen echter meestal ruimer zijn wanneer het gaat om gegevens die de overheid verwerkt in het kader van de publieke dienstverlening dan wanneer het gaat om toezicht en handhaving5. Ook gelden voor regie op gevoelige (w.o. medische) gegevens, gezien de juridische-, privacy- en securityrisico’s uiteraard andere, hogere eisen.

De verschillende vormen van regie worden hieronder uitgewerkt. Daarbij wordt een globaal onderscheid gemaakt in basisregistraties6, andere landelijke registraties7, en organisatiespecifieke gegevensbestanden8. De primaire focus ligt daarbij op de basisregistraties.

Deze brief heeft betrekking op de doelgroep burgers. Het kabinet zal op een later moment een aanpak uitwerken voor de doelgroep bedrijven, mede in het licht van de ontwikkeling van MijnOverheid voor Ondernemers en Ondernemersplein.

Doelstelling

De overheid maakt voor de uitoefening van haar taken intensief gebruik van persoonlijke gegevens van burgers. Zowel de overheid zelf als de burgers hebben er belang bij dat die gegevens correct en actueel zijn, efficiënt worden gebruikt, en veilig worden bewaard en gebruikt, conform geldende wetgeving.

Een burger kan inzien welke gegevens de overheid heeft en waarvoor deze worden gebruikt, en kan deze zo nodig (laten) corrigeren of wijzigen als ze onjuist of niet meer actueel zijn. Ook heeft hij het recht om (basis)gegevens die de overheid al heeft niet onnodig (opnieuw) te verstrekken. Dit is staand beleid en wettelijk verankerd in de Algemene wet bestuursrecht (Awb), de Algemene verordening gegevensbescherming (AVG) en wetgeving voor de basisregistraties. Daarmee is de basis voor regie op de eigen gegevens gelegd.

Het kabinet wil deze bestaande regiemogelijkheden uitbreiden met een belangrijk nieuw spoor, door burgers in staat te stellen hun eigen gegevens zelf, digitaal te delen met private dienstverleners, zoals zorgverleners, onderwijsinstellingen, schuldhulpverleners of woningcorporaties. Hierdoor kunnen deze hun klanten betere diensten leveren, en wordt de administratieve rompslomp beperkt.

Het delen van gegevens is een relatief nieuwe ontwikkeling die potentieel grote maatschappelijke kansen biedt, maar ook vraagt om nieuw beleid en juridische kaders om die ontwikkeling optimaal te benutten en in goede banen te leiden. Deze brief schetst daarvoor de hoofdlijnen.

Regie op de eigen gegevens betekent overigens niet dat de burger ook eigenaar van zijn gegevens is, in die zin dat hij daarover de volledige zeggenschap heeft. Hij kan gegevens over zijn leeftijd of inkomen immers niet naar believen ontkennen, verwijderen, wijzigen of weigeren deze te verstrekken of te actualiseren. Zinvoller is het daarom om niet te spreken over eigenaarschap, maar over rechten en plichten, zowel van de overheid als van de burger.

Regie op gegevens kan een belangrijke bijdrage leveren aan meerdere politieke en maatschappelijke doelen:

Vertrouwen in de overheid

Mensen hebben vaak geen zicht op de gegevens die de overheid verzamelt en bijhoudt, of de gebruikte gegevens wel juist en actueel zijn, en welke overheidsorganisaties die gegevens gebruiken. Vaak weten ze ook niet waar ze moeten zijn om daar meer zicht op te krijgen. Meer inzicht hoe de overheid met zijn persoonlijke gegevens omgaat kan bijdragen aan het vertrouwen van de burger in de overheid. De wetenschap dat hij zijn gegevens kán inzien (maar dat niet persé hoeft) kan daarbij al voldoende zijn.

Meer autonomie voor de burger

De kwaliteit van de overheidsgegevens is hoog, maar als gegevens toch onjuist of verouderd zijn kan dat ver binnen de overheid doorwerken. Voor mensen kan dat verstrekkende gevolgen hebben, zoals een uitkering die wordt ingetrokken. Meer inzicht in de eigen gegevens kan helpen om meer grip op de eigen situatie te krijgen, bijvoorbeeld als er in het contact met de overheid wat verkeerd is gegaan en men het gevoel heeft van het kastje naar de muur te worden gestuurd.

Minder administratieve rompslomp

Hoewel overheidsformulieren steeds vaker vóóringevuld zijn, moeten mensen aan de balie, aan de telefoon of op een website nog regelmatig gegevens verstrekken die de overheid al heeft. Soms is dat onvermijdelijk, maar vaak kan het ook beter. Binnen de overheid zelf leidt dubbele bevraging tot dubbele opslag van gegevens en daarmee tot fouten. Burgers mogen verwachten dat ze hun gegevens niet zonder goede reden opnieuw hoeven te verstrekken.

Betere dienstverlening van de overheid

De dienstverlening van de overheid staat of valt met betrouwbare en actuele gegevens, of het nu om de zorg, de sociale zekerheid of de handhaving gaat. Door de burger (als belanghebbende én deskundige bij uitstek) een actieve rol te geven in het juist en actueel houden van zijn eigen gegevens, wordt de kwaliteit van die gegevens, en daarmee van de publieke dienstverlening, beter. Dat is in het belang van de overheid, maar vooral ook van de burger zelf.

Betere dienstverlening van private dienstverleners

Door een burger in staat te stellen zijn gegevens digitaal te delen met private dienstverleners als zorginstellingen, schuldhulpverleners of woningcorporaties kunnen deze hem beter van dienst zijn, met op de individuele persoon en situatie toegesneden diensten en adviezen. Het beperkt bovendien de administratieve rompslomp voor de burger en de betreffende dienstverleners.

Praktisch nut

Inzicht in de eigen persoonlijke gegevens betekent in zijn meest elementaire vorm ook simpelweg praktisch nut, doordat de actuele WOZ-waarde van het eigen huis of het inkomen van het afgelopen jaar snel kan worden opgezocht. De gegevens van de overheid zijn soms immers een betere bron dan de spreekwoordelijke schoenendoos, want digitaal, gebruiksvriendelijk, betrouwbaar en plaatsonafhankelijk beschikbaar.

Het bovenstaande wil niet zeggen dat regie op gegevens het enige of belangrijkste instrument voor de geformuleerde doelen is. Zo kan inzage in de eigen gegevens burgers misschien helpen om grip te krijgen op hun relatie met de overheid, maar is het voor mensen die klem komen te zitten in de bureaucratie vaak niet de oplossing9.

Wat de behoefte van gebruikers aan de verschillende vormen van regie is en inhoeverre regie ook daadwerkelijk bijdraagt aan de genoemde doelen, moet de komende jaren duidelijk worden. De ervaringen van burgers bij uitvoeringsorganisaties, gemeenten en MijnOverheid moeten daar inzicht in geven, onder meer in de vorm van gebruikersonderzoek op basis van klantreizen en levensgebeurtenissen (bijvoorbeeld in het kader van het programma Mens Centraal)10.

Het kabinet kiest mede daarom voor een aanpak die gebaseerd is op beheerste, maar zichtbare stappen. Op basis van de behoeften van burgers en het ontwikkelvermogen binnen de overheid kan vervolgens worden bepaald welke vervolgstappen wenselijk en mogelijk zijn om de regie voor de burger nog verder te vergroten.

spoor 1: Delen van gegevens

Private dienstverleners als zorginstellingen, onderwijsinstellingen, schuldhulpverleners, woningcorporaties, sportverenigingen of godsdienstige instellingen willen hun klanten of leden optimaal kunnen bedienen. Daarvoor willen zij actuele, betrouwbare, digitale gegevens kunnen gebruiken. Overheidsgegevens zijn daarvoor een hoogwaardige en betrouwbare bron. Als burgers deze digitaal kunnen delen kunnen private dienstverleners betere, op de individuele persoon toegesneden diensten en adviezen leveren. Gegevens die met zorg door en voor de overheid zijn verzameld krijgen zo een extra meerwaarde voor de burger en de samenleving als geheel.

Het kunnen delen van de eigen gegevens zorgt daarnaast voor minder administratieve rompslomp omdat de burger niet meer naar een fysieke overheidsbalie hoeft voor een gewaarmerkte papieren verklaring, maar die thuis, digitaal kan regelen. Daarvan profiteert ook de betreffende dienstverlener, die minder tijd kwijt is aan het zelf verzamelen en controleren van gegevens en herstelwerk door onjuiste of verouderde gegevens11.

Het delen van gegevens past in een ontwikkeling waarbij niet de organisatie van de overheid leidend is, maar de leefwereld en behoeften van de burger, en waarbij de autonome burger zoveel mogelijk zelf regie voert op zijn eigen situatie. Daarbij wordt hij meer en meer de regisseur van zijn eigen gegevens, en vervaagt de vaak als onnatuurlijk ervaren scheiding tussen overheid en niet-overheid. Een burger die verhuist, werkloos wordt of trouwt heeft immers niet alleen met de overheid, maar ook met andere organisaties te maken, en wil daarbij misschien dezelfde gegevens kunnen gebruiken.

Stand van zaken

Digitaal delen van gegevens (ook wel aangeduid als personal datamanagement) is in basale vorm nu al mogelijk in de vorm van een gewaarmerkte PDF die de burger zelf kan downloaden en verspreiden, bijvoorbeeld van de digitale inkomensverklaring. De afgelopen jaren zijn echter ook meer innovatieve concepten ontwikkeld waarvoor nog geen standaardoplossingen zijn en waarvan nog geen grootschalige implementaties bestaan. Dit betekent dat het delen van gegevens heel verschillende verschijningsvormen kan hebben, zoals:

  • een gewaarmerkte PDF die de burger kan downloaden en doorsturen;

  • een persoonlijke domein bij een intermediair waarnaar de burger zijn gegevens kan uploaden en van waaruit hij deze naar believen kan doorsturen;

  • toestemming van de burger aan de dienstverlener voor het direct opvragen van zijn gegevens bij de overheid (bijvoorbeeld via MijnOverheid)12.

Initiatieven voor het delen van gegevens kunnen worden genomen door de overheid zelf, door private dienstverleners (zoals zorginstellingen of woningcorporaties) en/of door intermediairs die fungeren als schakel tussen burger en dienstverlener en speciaal hiervoor toepassingen ontwikkelen. Voorbeelden van initiatieven zijn Blauwe Knop13, EduMij, MedMij14, Irma, Ockto, Qiy en Schluss. Deze verschillen onderling in toepassingsdomein (zoals zorg of woningmarkt), technologie en functionaliteit (zie hierboven), mate van volwassenheid en eigenaarschap (publiek en/of privaat). Sommige initiatieven zijn mogelijk al binnen een of twee jaar gereed voor grootschalige uitrol.

Elke oplossing kent een eigen afsprakenstelsel waarin de spelregels tussen de actoren (burger, overheid, intermediair, private dienstverlener) zijn vastgelegd. Uiteraard moeten deze opereren binnen bestaande wettelijke kaders.

Nederland hoort met deze ontwikkeling internationaal tot de voorlopers.

Het kabinet wil deze ontwikkeling actief stimuleren. Het denkt hierbij primair aan dienstverleners met een maatschappelijke doelstelling (zoals hierboven genoemd), maar gaat er bij de ontwikkeling van beleid en wetgeving van uit dat het delen van gegevens ook met commerciële partijen zal plaatsvinden (zoals hypotheekverstrekkers, verzekeraars of internetwinkels).

Het kabinet wil de bestaande diversiteit aan (publieke en private) initiatieven daarbij handhaven en stimuleren. Diversiteit is immers een voorwaarde voor innovatie.

Risico's

Het delen van gegevens creëert niet alleen kansen, maar ook risico's. Het gaat immers om gegevens met een hoge marktwaarde voor commerciële partijen en een groot potentieel voor criminele activiteiten. Burgers zijn zich niet altijd bewust met wie ze te maken hebben, waardoor grote hoeveelheden gevoelige gegevens in verkeerde handen kunnen komen, met alle gevolgen vandien. Ook wie (schijnbaar) bewust toestemming geeft kan niet altijd overzien wat er na verstrekking met zijn gegevens gebeurt. Lang niet iedereen is zich ook bewust van de wettelijke regels waaraan de ontvanger van zijn gegevens moet voldoen, bijvoorbeeld als het er om gaat dat niet meer gegevens worden gevraagd en bewaard dan voor de afgesproken dienstverlening nodig is (zogenaamde dataminimalisatie). Een risico is verder dat burgers zich gedwongen kunnen voelen om gegevens digitaal te delen, vooral als zij een afhankelijkheidsrelatie met de betreffende dienstverlener hebben, zoals de schuldhulpverlener of (in de huidige gespannen woningmarkt) de verhuurder.

Dilemma

Het kabinet onderkent het dilemma om hetzij actief in deze ontwikkelingen te participeren en daarmee geconfronteerd te worden met de genoemde risico's, hetzij niet in de ontwikkelingen mee te gaan, maar daardoor kansen te missen om de maatschappelijke dienstverlening te helpen vernieuwen, bijvoorbeeld in de zorg, de schuldhulpverlening of de woningmarkt.

In dat laatste geval zullen de ontwikkelingen óók plaatsvinden, maar dan buiten de overheid om. Burgers zullen hun gegevens ook dan, op basis van de reeds bestaande inzagemogelijkheden in hun eigen gegevens met private dienstverleners delen, maar zonder ondersteuning of toezicht van de overheid15.

Het kabinet ziet hier dan ook een zorgplicht voor de overheid, ook en vooral omdat de gedeelde gegevens afkomstig zijn uit het overheidsdomein. Het kiest er daarom voor om én actief te participeren in lopende experimenten én, parallel daaraan, een wettelijk kader te ontwikkelen waaraan toepassingen voor het delen van gegevens moeten gaan voldoen.

Kader

Het kabinet denkt daarbij aan een kader met de volgende ijkpunten:

  • de burger is zelf verantwoordelijk voor de beslissing om gegevens te delen met private dienstverleners en geeft daarvoor expliciete toestemming;

  • voor de burger is helder welke gegevens hij deelt, voor welk doel deze worden gebruikt, en wat de (mogelijke) consequenties van verstrekking zijn;

  • duidelijk is wanneer de toestemming voor het gebruik van de gegevens eindigt en de dienstverlener de verstrekte gegevens weer verwijdert;

  • het delen van gegevens is op basis van vrijwilligheid en de bereidheid om gegevens digitaal (in plaats van op papier) te delen speelt geen rol voor het wel of niet verkrijgen van een dienst;

  • een burger die dat wil heeft op of via één centrale plek (bijvoorbeeld MijnOverheid) overzicht via welke intermediairs hij met welke dienstverleners gegevens deelt c.q. heeft gedeeld, en waar hij moet zijn om zijn toestemming voor het delen van gegevens kan intrekken;

  • dienstverleners en intermediairs voldoen aan de AVG, en vragen dus niet meer gegevens dan nodig voor het verlenen van die dienst en bewaren deze niet langer dan nodig;

  • dienstverleners en intermediairs voldoen aan de Wet digitale overheid, en werken dus binnen de wettelijke mogelijkheden en beperkingen ten aanzien van het gebruik van het BSN en van authenticatiemiddelen zoals DigiD;

  • dienstverleners en intermediairs maken als het om basisgegevens gaat waar mogelijk gebruik van gegevens uit de authentieke bron.

Dit kader fungeert als een overkoepelend, niet-vrijblijvend afsprakenstelsel, en vormt daarmee de basis voor specifieke afsprakenstelsels (b.v. voor Medmij of Blauwe Knop). Binnen deze specifieke stelsels kunnen aanvullende, hogere eisen gelden, bijvoorbeeld als het medische gegevens betreft.

Met dit kader wordt de eigen verantwoordelijkheid van de burger niet overgenomen. Wel wordt duidelijkheid en zekerheid geboden, zowel voor de burger, de overheid, de betreffende dienstverlener als de intermediair. De verwachting is dat deze duidelijkheid het toetreden van nieuwe initiatieven en de uitrol van bestaande initiatieven bevordert.

Juridische verankering

Het delen van gegevens gaat over het delen op initiatief van de burger zélf, en dus niet over gegevensverstrekkingen van een bestuursorgaan aan een ander bestuursorgaan op basis van een bestaande wettelijke taak of verplichting.

De juridische grondslag voor het delen van gegevens wordt gevormd door de AVG. Op basis hiervan heeft de burger nu al recht op digitale inzage in zijn eigen gegevens (zonder dat hij dat nader hoeft te motiveren). Hij kan deze vervolgens besluiten te delen met derden (zonder dat de overheid daarvan medeweten heeft).

Dat er al een juridische basis voor het delen van gegevens is, wil niet zeggen dat er ook voldoende waarborgen zijn dat dat veilig en verantwoord kan. Het genoemde kader moet aanvullende waarborgen creëren en zal daartoe worden verankerd in de Wet digitale overheid en van instrumenten worden voorzien. Hierbij zal ook worden voorzien in een passende vorm van toezicht op naleving. De wijze van wettelijke verankering en het bijbehorende toezicht behoeven nadere uitwerking16.

Europese context

De Europese richtlijn Payment Services Directive 2 (PSD2) van 2015 heeft als doel om het Europese betalingsverkeer innovatiever te maken en consumenten beter te beschermen bij online-betalingen. Hoewel de richtlijn betrekking heeft op de markt voor financiële dienstverlening en niet op publieke dienstverlening, zijn de achterliggende doelen (het kunnen delen van persoonlijke gegevens met derden), mechanismen en vraagstukken (onder andere privacy, digivaardigheid, mogelijk misbruik) verwant en kan dus van de toekomstige ervaringen met PSD2 worden geleerd.

Het Ministerie van BZK volgt de ontwikkelingen in het buitenland ten aanzien van regie op gegevens, met name bij andere voorlopers zoals Finland en Oostenrijk.

Realisatie

Het kabinet zal, onder meer in het kader van het programma Regie op Gegevens, de volgende activiteiten uitvoeren:

  • ontwikkeling van generieke kaders voor het delen van gegevens, onder andere ten aanzien van privacybescherming, beveiliging, standaardisatie en bekostiging;

  • wettelijke verankering van deze kaders in de Wet digitale overheid;

  • onderzoek wat nodig is om te zorgen dat met name minder digivaardige burgers veilig en verantwoord gebruik kunnen maken van de mogelijkheden voor het delen van gegevens;

  • onderzoek hoe bij het delen van gegevens het principe van dataminimalisatie optimaal kan worden toegepast (door bijvoorbeeld geen geboortedatum te verstrekken, maar slechts te bevestigen dat iemand meerderjarig is);

  • stimuleren van kennisuitwisseling tussen lopende (pilot)toepassingen;

  • monitoring van vergelijkbare ontwikkelingen bij andere Europese landen;

  • kosten-batenanalyses van lopende initiatieven om inzicht te krijgen in de maatschappelijke baten van het delen van gegevens;

  • onderzoek naar de wenselijkheid en mogelijke invulling van één centrale plek (bijvoorbeeld MijnOverheid) waar de burger die dat wil overzicht heeft van de toestemmingen en gegevens die hij heeft verstrekt;

  • inrichting van een proefomgeving binnen MijnOverheid waar nieuwe concepten met instemming van de deelnemende burgers in de praktijk kunnen worden beproefd, waarbij wordt gestart met een pilot voor het delen van inkomens- en adresgegevens met woningcorporaties;

  • toepassing van het concept van delen van gegevens bij (bestaande en toekomstige) verstrekking van BRP-gegevens, zodat burgers zelf kunnen bepalen welke maatschappelijke organisaties hun gegevens krijgen (conform regeerakkoord onder meer bij verstrekkingen aan de Stichting Interkerkelijke Ledenadministratie);

  • onderzoek door de Staatssecretaris van BZK, samen met gebruikers van de BRP, of het mogelijk is om burgers zelf te laten bepalen hoe zij door de overheid worden aangeschreven als het gaat om het geslacht17.

spoor 2: Eenmalige verstrekking

Eenmalige gegevensverstrekking betekent dat de burger regie heeft op de gegevens die hij aan de overheid moet verstrekken, doordat hij kan weigeren om gegevens die de overheid al heeft (opnieuw) te verstrekken. Eenmalig verstrekken impliceert een (verplicht) hergebruik van gegevens die binnen de overheid al beschikbaar zijn.

Het principe van verplicht gebruik en eenmalige verstrekking is nu al van toepassing op de zogenaamde authentieke gegevens uit de basisregistraties en is wettelijk verankerd voor elk van de basisregistraties afzonderlijk18. Burgers zijn zich hier echter maar zelden van bewust en worden hier ook niet actief op gewezen. Op het recht op eenmalige verstrekking geldt een aantal algemene en veel voorkomende uitzonderingen, bijvoorbeeld wanneer onverkorte toepassing strijdig is met een goede vervulling van de eigen taak, het gegeven in onderzoek is, of de gegevens nodig zijn voor een deugdelijke vaststelling van de identiteit.

Gebruik van de basisregistraties is binnen de overheid algemene praktijk, niet alleen omdat dat verplicht is, maar ook omdat overheidsorganisaties daar vanuit de optiek van klantgerichtheid, kosten en gegevenskwaliteit zelf belang bij hebben.

Ook bij andere landelijke gegevensregistraties is al sprake van een hoge mate van hergebruik en eenmalige verstrekking, ook al is dit in tegenstelling tot de basisregistraties (meestal) niet als een expliciete wettelijke plicht c.q. wettelijk recht verankerd19. Onderzocht zal worden in hoeverre het principe van eenmalige verstrekking ook op deze registraties toepasbaar is20.

In het Regeerakkoord is het voornemen opgenomen om ook de e-mail-adressen van burgers in een basisregistratie vast te leggen. Ook hiermee wordt hergebruik en eenmalige verstrekking bevorderd. Op dit moment wordt de mogelijke invulling en haalbaarheid hiervan onderzocht. Het kabinet zal de Kamer hierover separaat informeren.

Hergebruik is in de praktijk niet altijd en overal mogelijk, ook niet voor de basisgegevens, bijvoorbeeld omdat sectorale wetgeving afwijkende eisen stelt aan de definitie van de gegevens (zo zijn er met reden verschillende definities van het inkomen), omdat invoering voor sommige informatiesystemen tot onevenredig grote investeringen en/of bedrijfsrisico's leidt, of vanwege wettelijke beperkingen op het hergebruik (bijvoorbeeld van medische gegevens). Ook in de toekomst zullen óók de basisgegevens soms opnieuw moeten worden verstrekt en is een absoluut recht op eenmalige verstrekking dus niet haalbaar. Wel kunnen bestaande belemmeringen stapsgewijs worden weggenomen waar dat redelijkerwijs mogelijk is.

Europese context

Eenmalige gegevensverstrekking is ook een prominente doelstelling van de Europese digitale agenda. In de Tallinn-declaratie21 van 2017 hebben de EU-lidstaten zich gecommitteerd aan de doelstelling om eenmalige gegevensverstrekking en hergebruik van gegevens te bevorderen, met name voor basisregistraties en vergelijkbare gegevensbestanden22. Het Nederlandse stelsel van basisregistraties wordt daarbij als voorbeeld gesteld.

Op de langere termijn vormt de Europese verordening Single Digital Gateway (SDG) een verdere impuls voor eenmalige verstrekking. Deze heeft als doel om Europese burgers en bedrijven via één loket toegang te bieden tot informatie, procedures en ondersteuning voor het wonen, werken en ondernemen in andere lidstaten. De primaire focus ligt daarbij op circa twintig veelgevraagde, grensoverschrijdende diensten, zoals het registreren van een auto of het claimen van pensioenrechten. Uiterlijk in 2023 hebben Europese burgers en bedrijven het recht de noodzakelijke gegevens daarvoor slechts één keer te verstrekken. Momenteel wordt een impactanalyse gedaan van de invoering van de Single Digital Gateway in Nederland.

Realisatie

Het kabinet wil hergebruik van gegevens binnen de overheid bevorderen en belemmeringen daarvoor waar mogelijk wegnemen. Om hier invulling aan te geven wordt een plan van aanpak opgesteld, waarbij de primaire focus ligt op de basisregistraties. Dit plan bevat (tenminste) de volgende elementen:

  • verplicht gebruik en eenmalige verstrekking van de basisgegevens worden, aanvullend op de wetgeving voor de afzonderlijke basisregistraties, ook generiek verankerd in de Wet digitale overheid met het oog op de ontwikkeling van passende, registeroverstijgende instrumenten (onder meer gericht op de onderlinge consistentie en gegevensuitwisseling tussen de afzonderlijke basisregistraties);

  • met uitvoeringsorganisaties en gemeenten wordt in kaart gebracht waar belemmeringen voor verplicht gebruik en eenmalige verstrekking van de basisgegevens zijn, en wordt onderzocht of en hoe deze kunnen worden weggenomen23;

  • aan de Kamer wordt periodiek gerapporteerd over de voortgang in het wegnemen van de geconstateerde belemmeringen;

  • voor burgers wordt via MijnOverheid inzichtelijk gemaakt voor welke gegevens nu al een recht op eenmalige verstrekking geldt (en voor welke organisaties of toepassingen dit nu nog niet mogelijk is);

  • met grote uitvoeringsorganisaties en gemeenten wordt onderzocht hoe eenmalige verstrekking kan worden bevorderd door (analoge of digitale) formulieren standaard vóór in te vullen;

  • met de betreffende registerhouders wordt onderzocht in hoeverre het principe van eenmalige verstrekking ook toepasbaar is op gegevens uit andere landelijke gegevensregistraties;

  • er wordt (conform Regeerakkoord; bijlage bij Kamerstuk 34 700, nr. 34) onderzoek gedaan naar de vastlegging van de e-mailadressen van burgers in een centraal register;

  • er wordt een impactanalyse gedaan van de invoering van de Europese verordening Single Digital Gateway, inclusief het daarbinnen geldende recht op eenmalige gegevensverstrekking.

De Rekenkamer heeft op 18 juni jl. het rapport «Grip op gegevens: het stelsel van basisregistraties voor burgers en bedrijven» gepubliceerd, waarin verplicht gebruik en eenmalige verstrekking belangrijke aandachtspunten zijn24. Mogelijk geeft dit nog aanleiding tot aanvullende inzichten en activiteiten.

spoor 3: Inzage en correctie

Inzage en correctie houdt in dat de burger het recht heeft om (digitaal):

  • door de overheid vastgelegde persoonsgegevens in te zien;

  • in te zien welke gegevens de overheid voor welk doel (en op welke wettelijke grondslag) gebruikt en uitwisselt;

  • de gegevens zonodig te (laten) wijzigen of corrigeren.

Het recht op inzage en correctie is al sinds 2001 wettelijk geregeld in de Wet bescherming persoonsgegevens (Wbp) respectievelijk de AVG. De Autoriteit Persoonsgegevens houdt hierop toezicht.

Overheidsorganisaties geven hier binnen de kaders van de wetgeving op hun eigen manier invulling aan, passend bij de behoefte van hun klanten, de aard van hun dienstverlening, de mogelijkheden van hun ICT-infrastructuur, de keten waarvan zij deel uitmaken, en de (andere) beleidsprioriteiten waarvoor zij staan.

Uitbreiding van de inzage- en correctiemogelijkheden krijgt met name vorm binnen de digitale omgeving (klantdossiers en mijn-domeinen) van uitvoeringsorganisaties en gemeenten. In diezelfde omgeving kan de burger persoonlijke diensten aanvragen en wijzigen, krijgt hij maatwerkadvies en -ondersteuning, en kan hij zonodig een bezwaar of klacht indienen. Inzage en correctie staan dus niet op zich, maar zijn een integraal onderdeel van het klantproces.

Een aansprekend voorbeeld daarvan is het portaal Mijn Toeslagen, dat niet alleen aangeeft op welke gegevens de toeslag is gebaseerd, maar ook welke basisregistraties en andere bronnen de Belastingdienst heeft gebruikt, en waar de klant terecht kan om wijzigingen in zijn gegevens door te geven. Als de burger hier toch niet de informatie vindt die hij zoekt, of als hij meent dat gegevens niet kloppen, dan kan hij bij de Belastingdienst (als verwerkingsverantwoordelijke in de zin van de AVG) een verzoek om inzage of correctie indienen.

Door inzage en correctie te integreren in het dienstverleningsproces wordt de logica van de burger leidend gemaakt, en niet de gegevensinfrastructuur van de overheid. Overheidsbrede standaardisatie en herbruikbaarheid van gegevens en functionaliteit maken het steeds vaker mogelijk dat gegevens op elke gewenste plek kunnen worden getoond, o.a. in de vorm van zogenaamde API's25. In verdere standaardisatie en ontwikkeling van API's liggen de komende jaren nog grote kansen.

Als het gaat om de basisgegevens zijn de portalen van de betreffende registerhouders (als verwerkingsverantwoordelijke) de eerstaangewezen bron. Ook daar zullen de digitale inzage- en correctiemogelijkheden gaandeweg worden uitgebreid. De manier waarop en het tempo waarin zullen daarbij per basisregistratie verschillen26.

Burgers die op één plek inzicht in alle basisgegevens willen, kunnen daarvoor op MijnOverheid terecht27. De bestaande inzage in de basisgegevens zal worden uitgebreid met verstrekkingsinformatie, zodat een burger op één plek kan zien aan welke overheidsorganisaties zijn basisgegevens worden/zijn verstrekt:

  • generiek (welke gegevens mogen aan welke organisaties worden verstrekt, met welk doel en op welke juridische basis);

  • waar mogelijk ook specifiek (welke gegevens zijn daadwerkelijk wanneer aan welke organisatie verstrekt)28.

De functionaliteit in MijnOverheid zal verder worden uitgebreid met een correctiefunctionaliteit, die burgers direct toeleidt naar het bezwaar-, correctie- of wijzigingsproces van de betreffende registratiehouder.

Voor de BRP, die geen eigen landelijk portaal heeft, fungeert MijnOverheid als primaire (digitale) vindplaats. Verder ontsluit MijnOverheid naast de basisregistraties meerdere andere, landelijke registraties (zoals het Donorregister, het Diplomaregister en mijnpensioenoverzicht.nl). Onderzocht zal worden of in MijnOverheid ook de basisregistratie Handelsregister voor burgers ontsloten kan worden, dus op BSN29,30.

Correctie van gegevens zal in de praktijk overigens meestal niet met een simpele druk op de knop kunnen. Dat geldt met name voor de basisgegevens. Vaak zal na een digitaal correctieverzoek aanvullend bewijsmateriaal moeten worden overlegd en/of dossieronderzoek moeten worden gedaan voordat een gegeven kan worden gecorrigeerd. In de praktijk is het aantal ingediende en gehonoreerde correctieverzoeken voor basisgegevens beperkt. Dit hangt ermee samen dat authentieke basisgegevens (zoals de geboortedatum) niet of weinig veranderen en dat de kwaliteit van de basisregistraties nu al op een zeer hoog niveau ligt31.

Overigens is transparantie meer dan inzicht in de eigen persoonlijke gegevens. Transparantie is bijvoorbeeld ook inzicht in de algoritmes en artificial intelligence die de overheid toepast bij de verwerking van die gegevens ten behoeve van dienstverlening of handhaving. Het kabinet zal de Kamer hierover na de zomer informeren middels een Strategisch Actieplan Artificial Intelligence (SAPAI) en een beleidsbrief Artificial Intelligence en Publieke Waarden.

De gevolgen van een onjuist gegeven sneller herstellen

Inzage en correctie kunnen burgers helpen om hun informatiepositie te verbeteren en zo meer grip te krijgen op hun relatie met de overheid. Niet alle burgers hebben echter de vaardigheid en het doorzettingsvermogen om de weg te vinden in een vaak ingewikkeld en versnipperd dossier32. Met name voor complexe probleemgevallen is dan ook een meer integrale, persoonlijke benadering nodig om de gevolgen van onjuiste gegevens te herstellen. Een aantal grote uitvoeringsorganisaties, zoals Belastingdienst, RDW en UWV heeft binnen de eigen organisatie speciale oplosteams ingericht die daarbij een belangrijke rol vervullen, aanvullend op de reguliere klantprocessen en -kanalen (als helpdesk, beroeps- en bezwaarprocedures). Deze teams hebben hun toegevoegde waarde inmiddels bewezen.

Sommige problemen overstijgen echter de grens van één overheidsorganisatie. Het Ministerie van BZK verkent met uitvoeringsorganisaties en gemeenten de mogelijkheden om burgers ook dan beter te helpen. Hierbij worden verschillende oplossingen verkend, zoals bevordering van specifieke deskundigheid en een beter gebruik van de beschikbare discretionaire ruimte voor maatwerk. Onderzocht zal worden of ook een oplosteam voor gegevensgerelateerde, organisatie-overstijgende problemen hieraan een bijdrage kan leveren, bijvoorbeeld (ook) in de vorm van een pilot33. De inzet daarbij is (vooralsnog) niet om een nieuw meldpunt voor burgers in te richten of de verantwoordelijkheid van individuele organisaties over te nemen, maar ervoor te zorgen dat knellende gevallen snel worden opgeschaald naar een organisatie-overstijgend niveau met deskundigheid en gezag, zodat de gevolgen van een onjuist gegeven sneller worden hersteld.

Realisatie

Het kabinet zal de volgende initiatieven nemen:

  • met basisregistratiehouders, uitvoeringsorganisaties en gemeenten wordt onderzocht wat de precieze behoefte van burgers aan inzage en correctie is (waarom, wanneer, waar, hoe);

  • met uitvoeringsorganisaties en gemeenten wordt onderzocht of een overheidsbreed oplosteam een bijdrage kan leveren aan het sneller herstellen van de gevolgen van een onjuist gegeven;

  • met uitvoeringsorganisaties en gemeenten wordt (onder andere in de vorm van een gezamenlijke pilot) onderzocht of burgers vóóraf, bij het aanvragen van een overheidsdienst, willen en kunnen worden geïnformeerd over de gegevens die voor de aanvraag en uitvoering van die dienst gebruikt worden;

  • de bestaande mogelijkheden voor inzicht in MijnOverheid worden uitgebreid door:

    • stapsgewijze uitbreiding van de bestaande inzage in de basisgegevens met verstrekkingsinformatie;

    • te onderzoeken of ook de basisregistratie Handelsregister voor burgers (dus op BSN-nummer) ontsloten kan worden;

    • stapsgewijze uitbreiding van de functionaliteit met een digitale correctiefunctionaliteit;

    • stapsgewijze uitbreiding van het aantal (andere) landelijke registraties waarvan de gegevens (behalve op het betreffende portaal) ook via MijnOverheid kunnen worden ingezien.

Ten aanzien van de inzage- en correctiemogelijkheden in MijnOverheid zijn de mogelijkheden van de afzonderlijke basisregistraties leidend. Zo is het traject voor de modernisering van de BRP bepalend voor de inzage- en correctiemogelijkheden die burgers in de BRP hebben. Hetzelfde geldt voor de andere (basis)registraties. De inzage- en correctiemogelijkheden zullen voor sommige basisgegevens dus uitgebreider zijn dan voor andere basisgegevens.

Het bovenstaande sluit aan bij de Tallinn-declaratie van 2017, waarin de EU-lidstaten zich hebben gecommitteerd aan het vergroten van de openheid en transparantie in de omgang met persoonlijke gegevens, en waarbij het accent, net als in deze brief, wordt gelegd op basisregistraties en vergelijkbare gegevensbestanden. Ook hierin behoort Nederland nu al tot de Europese voorhoede.

Iedereen moet kunnen meedoen

Regie op de eigen gegevens is voor alle burgers. Kwetsbare en/of niet-digivaardige burgers hebben daarbij speciale aandacht, omdat regie juist voor hen zowel kansen als risico's creëert.

Inzet van het kabinet is dat regie op gegevens bijdraagt aan het oplossen van de problemen van kwetsbare en/of niet-digivaardige burgers, omdat ze (door het kunnen delen van gegevens) beter en met minder administratieve rompslomp ondersteund kunnen worden, bijvoorbeeld in de zorg of de schuldhulpverlening, en (door inzage en correctie in hun gegevens) meer inzicht in en grip op hun persoonlijke situatie hebben.

Tegelijkertijd is het de vraag of iedereen, ondanks alle waarborgen, wel uit de voeten kan met die nieuwe mogelijkheden, de potentiële risico's overziet en ook het doenvermogen heeft om daar naar te handelen34. Dat geldt met name voor het weerstaan van de druk van private partijen om de eigen gegevens te delen. Onderzoek en monitoring moet hier meer inzicht in en handvatten voor bieden.

Specifiek als het gaat om niet-digivaardige burgers heeft het kabinet in de brief «Digitale inclusie; iedereen moet kunnen meedoen» aangegeven hoe deze worden ondersteund om mee te kunnen in de informatiesamenleving. De daarbij uiteengezette lijn is ook van toepassing op het voeren van regie op de eigen gegevens:

  • De primaire inzet is het digivaardig maken van wie dat nu niet is, onder meer door het aanbieden van cursussen;

  • Wie ondanks alle ondersteuning niet digitaal kan, kan iemand machtigen om namens hem regie te voeren (zoals een zorgcoach of belastingconsulent);

  • In overleg met de betreffende overheidsorganisatie kan ook een ander, analoog kanaal worden gezocht, zoals balie, telefoon of papieren post35.

Stapsgewijze ontwikkeling en uitrol

Onderzoek

De ervaringen met regie op gegevens (met name in spoor 1, maar ook in de sporen 2 en 3) zijn nog relatief beperkt, zowel in Nederland als daarbuiten. Wat de behoefte van gebruikers aan de verschillende vormen van regie is, en inhoeverre regie op gegevens ook daadwerkelijk bijdraagt aan de beoogde beleidsdoelen, vergt onderzoek naar de behoeften, ervaringen en acceptatie van gebruikers. Op basis daarvan kan worden bepaald welke stappen zinvol en wenselijk zijn om de regie-opties stapsgewijs uit te breiden, ook in het licht van schaarse middelen (geld, expertise, verandervermogen).

Op specifieke deelaspecten zijn onderzoeken en/of pilots nodig om te kunnen bepalen wat de achterliggende problematiek, de technische haalbaarheid en/of de invoeringsconsequenties zijn, alvorens een verantwoord besluit kan worden genomen over daadwerkelijke realisatie. Belangrijk daarbij zijn met name:

  • het onderzoek naar de kaders voor het delen van gegevens en de wijze van wettelijke verankering hiervan;

  • de inrichting van een proefomgeving binnen MijnOverheid voor het delen van gegevens (onder meer ten behoeve van een pilot met woningcorporaties);

  • het onderzoek naar de belemmeringen voor verplicht gebruik en eenmalige verstrekking;

  • het onderzoek (inclusief proef) naar de mogelijke invulling en toegevoegde waarde van een overheidsbreed oplosteam voor knellende gevallen.

Eenmalige gegevensverstrekking, inzage en correctie

Als het gaat om eenmalige gegevensverstrekking en digitale inzage en correctie kan er al veel en worden er overheidsbreed grote stappen gezet. Nederland behoort daarmee tot de koplopers. Dat wil niet zeggen dat eenmalige verstrekking op afzienbare termijn overal mogelijk is, ook niet van de basisgegevens. Evenmin kunnen alle denkbare gegevens digitaal worden ingezien. Het digitaal aanbieden van gedetailleerde verstrekkingsinformatie (welke overheidsorganisatie heeft wanneer welke gegevens uitgewisseld) is nu zelfs nog een hoge uitzondering. Er zijn dus nog forse inspanningen nodig om de beoogde doelen te realiseren.

Hier invulling aan geven is de verantwoordelijkheid van de betreffende overheidsorganisatie. Elke organisatie doet dit op zijn eigen manier en in zijn eigen tempo, passend bij de behoefte van zijn klanten, de aard van zijn dienstverlening, de mogelijkheden van zijn ICT-infrastructuur, en de keten waarvan hij deel uitmaakt.

Dit betekent dat regie op gegevens op verschillende fronten en in verschillende snelheden plaatsvindt, waarbij elke organisatie dit inpast in de eigen beleidsprioriteiten en het eigen meerjarige portfoliomanagement. Dit geeft de ruimte aan alle initiatief en innovatie vanuit de uitvoeringspraktijk, maakt het gezamenlijke proces beheersbaar, en voorkomt dat de voortgang afhankelijk wordt van één of enkele organisaties.

MijnOverheid

Ten aanzien van de inzage- en correctiemogelijkheden in MijnOverheid is de ontwikkelagenda van de basisregistraties leidend. Zo is het proces voor de modernisering van de BRP medebepalend voor de inzage- en correctiemogelijkheden in de BRP via MijnOverheid. Hetzelfde geldt voor de andere (basis)registraties. Dit betekent dat de inzage- en correctiemogelijkheden voor sommige basisgegevens verder gevorderd zullen zijn dan voor andere basisgegevens. Dit sluit aan bij de tot nu toe ontwikkel- en uitrolstrategie van MijnOverheid, te weten aansluiten en doorontwikkelen op verschillende snelheden.

Basisregistratie Personen

Specifiek wat betreft de BRP is de inzet om de voortrekkersrol die deze van meet af aan binnen MijnOverheid heeft vervuld voort te zetten bij de ontwikkeling van nieuwe vormen van regie. Tegelijkertijd is met Kamer en mede-overheden afgesproken om het lopende jaar te gebruiken voor een brede heroriëntatie op de BRP. Dat betekent dat grote ingrepen in architectuur, infrastructuur of functionaliteit niet aan de orde zijn. De primaire focus zal wat betreft de sporen 2 en 3 (verplicht gebruik en eenmalige verstrekking respectievelijk inzage en correctie) daarom liggen op de basis, namelijk dat wat conform de AVG en de Wet BRP al moet. Daarnaast zal de BRP ook bijdragen aan spoor 3 (delen van gegevens), voorzover dat geen grote ingrepen en risico's meebrengt en met een acceptabele capaciteitsinzet en kosten kan worden gedaan. De verwachting is dat de BRP ook binnen die beperking nu al een relevante bijdrage aan het delen van gegevens kan leveren. Impactanalyses moeten dit echter bevestigen.

Bijlage

Bijlage 2 geeft een indicatie wanneer de verschillende vormen van regie globaal verwacht kunnen worden. Realisatie is echter afhankelijk van inpassing in het portfolio van de afzonderlijke basisregistratiehouders, uitvoeringsorganisaties en gemeenten. Impactanalyses moeten hier nader inzicht in geven.

BIJLAGE 1: KABINETSREACTIE OP DE MOTIE KOERHUIS/DEN BOER

Met deze beleidsbrief geeft het kabinet tevens invulling aan de motie van de leden Koerhuis en Den Boer waarin het kabinet wordt gevraagd om «in lijn met de initiatiefnota-Middendorp en Verhoeven te onderzoeken hoe iedere Nederlander voor contact met de overheid een online-identiteit kan krijgen, alsmede een «digitale kluis», waarin geselecteerde persoonlijke gegevens zijn opgeslagen, waarbij de mensen zelf de regie over die gegevens krijgen en waarbij de overheid de gegevens uit die kluis gebruikt als de unieke bron van persoonlijke gegevens».

Het kabinet gaat met deze beleidsbrief mee in de doelstellingen zoals geformuleerd in de initiatiefnota (Kamerstuk 34 493, nr. 2). Hieraan wordt invulling gegeven door binnen bestaande wettelijke kaders en voortbouwend op reeds bestaande e-overheidbouwstenen het streefbeeld stapsgewijs steeds dichter bij te brengen. Grote ingrepen in de wetgeving, de informatie-infrastructuur of de verantwoordelijkheidsverdeling, zoals de inrichting van een digitale kluis, zijn hiervoor niet nodig, en daarom met het oog op de risico's en een efficiënte inzet van schaarse middelen ook niet wenselijk.

«Online identiteit»

Aan de «online-identiteit», zoals de initiatiefnota deze beschrijft, geeft het kabinet (in lijn met Regeerakkoord en NL DIGIbeter) invulling door MijnOverheid door te ontwikkelen tot hét persoonlijke domein (cockpit, dashboard) van de burger, waar hij, met zijn BSN als basis:

  • zijn eigen persoonlijke gegevens kan inzien, corrigeren en digitaal kan delen;

  • zijn berichten van de overheid kan ontvangen;

  • zich kan abonneren op attenderingen («pushberichten»), bijvoorbeeld voor formele bekendmakingen die betrekking hebben op zijn directe woonomgeving;

  • zijn contactgegevens kan beheren, w.o. zijn e-mailadres (en eventueel ook zijn telefoonnummer);

  • zijn identiteitsmiddelen (w.o. DigiD en eID) kan beheren;

  • machtigingen kan verstrekken en verstrekte en ontvangen machtigingen kan inzien, wijzigen en intrekken.

Door het bestaande portaal www.digid.nl te integreren in MijnOverheid, nieuwe functionaliteiten (voor attenderingen, contactgegevens en machtiging) toe te voegen, en de bestaande mogelijkheden voor regie op MijnOverheid uit te breiden, heeft de burger met de combinatie van BSN, DigiD/eID en MijnOverheid-account een herkenbare eigen identiteit in zijn (digitale) relatie met de overheid.

«Eén bron»-principe

Aan een verplicht gebruik van gegevens («één bron»-principe) geeft deze beleidsbrief invulling door stevig voort te bouwen op de al bestaande wettelijke verplichting tot verplicht gebruik van de basisgegevens en het daarmee samenhangende recht van de burger om een reeds beschikbaar basisgegeven niet (opnieuw) te hoeven verstrekken. Daartoe zal het kabinet:

  • verplicht gebruik en eenmalige verstrekking van de basisgegevens, aanvullend op de wetgeving voor de afzonderlijke basisregistraties, ook generiek verankeren in de Wet digitale overheid, onder meer met het oog op de ontwikkeling van passende, registeroverstijgende instrumenten;

  • met uitvoeringsorganisaties en gemeenten in kaart brengen waar belemmeringen voor verplicht gebruik en eenmalige verstrekking van de basisgegevens zijn, en onderzoeken of en hoe deze kunnen worden weggenomen;

  • aan de Kamer periodiek rapporteren over de voortgang in het wegnemen van de geconstateerde belemmeringen;

  • op MijnOverheid voor burgers inzichtelijk maken voor welke gegevens nu al een recht op eenmalige verstrekking geldt (t.w. alle basisgegevens, met een aantal uitzonderingen);

  • onderzoeken in hoeverre het principe van eenmalige verstrekking ook toepasbaar is op gegevens uit andere landelijke gegevensregistraties.

«Digitale kluis»

Een «digitale kluis» in de zin van een verzameling basisgegevens waarover de burger de (absolute) zeggenschap heeft, ziet het kabinet ook op termijn niet als een realistische optie.

Een burger kan verstrekking van zijn gegevens aan een overheidsorganisatie immers niet weigeren. Dat geldt vanzelfsprekend voor de uitvoering van wettelijke (handhavings)taken, maar ook als het gaat om dienstverlening zal een burger de daarvoor noodzakelijke gegevens moeten verstrekken, wil hij in aanmerking komen voor een vergunning, toeslag, uitkering of subsidie.

Waarborgen dat de overheid daarvoor niet meer gegevens gebruikt dan nodig is (een mogelijk argument voor een digitale kluis), biedt de AVG, waarbij de burger op basis van zijn recht van inzage desgewenst kan controleren of het gebruik van zijn gegevens doelgebonden en proportioneel is.

Waarborgen dat de overheid reeds beschikbare basisgegevens niet opnieuw uitvraagt (een ander mogelijk argument voor een digitale kluis) biedt de bestaande wetgeving voor de basisregistraties al. Ook daarbij geldt echter dat hergebruik van basisgegevens in de praktijk niet altijd en overal mogelijk zal zijn, ook niet op de langere termijn.

Invoering van een digitale kluis vergt bovendien zeer forse ingrepen in bestaande informatiesystemen, gegevensinfrastructuur, werkprocessen en organisatie van de overheid.

Verstrekking aan organisaties buiten de overheid

Hoewel in de initiatiefnota niet expliciet geadresseerd, ziet het kabinet, zoals in deze beleidsbrief geschetst, een groot maatschappelijk potentieel in de mogelijkheid om gegevens te delen met private dienstverleners.

Omdat de burger daarbij zélf bepaalt om zijn gegevens wel of niet te delen, zou hier wél kunnen worden gesproken van een digitale kluis, zij het niet in de vorm van één unieke, door de overheid gefaciliteerde en beheerde voorziening.

BIJLAGE 2: REALISATIE OP HOOFDLIJNEN

Onderstaand schema geeft een globale indicatie wanneer de verschillende vormen van regie verwacht kunnen worden. Realisatie is echter afhankelijk van inpassing in het meerjarige portfolio van de afzonderlijke basisregistratiehouders, uitvoeringsorganisaties en gemeenten. Impactanalyses moeten inzicht geven in de nadere planning.

 

eenmalige gegevensverstrekking

inzage en correctie

delen van gegevens

wat kan nu al

– verplicht gebruik en eenmalige verstrekking zijn wettelijk verankerd voor alle basisgegevens

– eenmalige verstrekking is algemene praktijk bij overheidsorganisaties (maar met uitzonderingen)

– de burger heeft conform de AVG al wettelijk recht op inzage en correctie

– individuele overheidsorganisaties bieden al veel digitale inzage- en correctiemogelijkheden

– de burger kan via MijnOverheid bijna alle basisgegevens inzien

– idem meerdere andere landelijke bronnen (zoals Diplomaregister)

– de burger vindt in MijnOverheid contactinformatie van de registratiehouder als hij een basisgegeven wil laten wijzigen

– er is een groot aantal pilots en kleinschalige toepassingen van en met de overheid (Blauwe Knop, EduMij, MedMij, etc.)

– het programma Regie op Gegevens stimuleert en faciliteert

plateau 1

(vanaf 2019)

– de burger kan in MijnOverheid zien voor welke gegevens het recht op eenmalige verstrekking geldt

– onderzoek naar belemmeringen voor eenmalige verstrekking basisgegevens

– individuele overheidsorganisaties breiden de mogelijkheden verder uit

– de burger kan zijn basisgegevens ook inzien via een MijnOverheid-app

– de burger kan in MijnOverheid inzien wie zijn basisgegevens mogen krijgen

– de burger kan in MijnOverheid inzien wie welke basisgegevens ook daadwerkelijk wanneer heeft gekregen (voor een eerste groep basisregistraties)

– de burger kan via MijnOverheid een correctieverzoek basisgegevens doen (voor een eerste groep basisregistraties)

– de burger kan via MijnOverheid steeds meer andere landelijke registers inzien («top 15»)

– een vastgesteld kader waar toepassingen voor het delen van gegevens aan moeten voldoen

– nieuwe pilots en doorontwikkeling van bestaande pilots naar klein- of grootschalige uitrol

plateau 2

(vanaf 2020)

– aanvullende verankering van verplicht gebruik en eenmalige verstrekking van de basisgegevens in de WDO

– stapsgewijs wegnemen van belemmeringen voor eenmalige verstrekking

– individuele overheidsorganisaties breiden de mogelijkheden verder uit

– de burger kan via MijnOverheid inzien wie welke basisgegevens wanneer heeft gekregen (voor een volgende groep basisregistraties)

– de burger kan via MijnOverheid een correctieverzoek basisgegevens doen (voor 2e groep basisregistraties)

– de burger kan via MijnOverheid steeds meer andere landelijke registers inzien («top 25»)

– een overheidsbreed oplosteam voor gegevensgerelateerde probleemgevallen

– juridische verankering van kader waar toepassingen voor het delen van gegevens aan moeten voldoen

– nieuwe pilots en doorontwikkeling van bestaande pilots naar klein- of grootschalige uitrol

plateau 3

(vanaf 2021)

– burger heeft recht op eenmalige verstrekking bij 20 overheidsdiensten i.h.k.v. de Single Digital Gateway

– stapsgewijs wegnemen van belemmeringen voor eenmalige verstrekking

   

X Noot
1

Voor «hij» resp. «zijn» moet «hij of zij» resp. «zijn of haar» worden gelezen.

X Noot
2

Kamerstuk 34 993, nr. 4, 28 november 2018.

X Noot
3

«Digitale inclusie; iedereen moet kunnen meedoen», Kamerstukken 26 643, nr. 583, 12 december 2018.

X Noot
4

«Data Agenda Overheid», Kamerstuk26 643, nr. 597, 15 maart 2019.

X Noot
5

De Wetenschappelijke Raad voor het Regeringsbeleid typeert de relatie tussen burger en overheid in haar rapport «iOverheid» van 2011 (https://www.wrr.nl/publicaties/rapporten/2011/03/15/ioverheid) in de categorieën service, care & control (dienstverlening, zorg en controle). Dit onderscheid is mogelijk van nut bij de verdere uitwerking van deze beleidsbrief.

X Noot
6

De basisregistraties zijn als zodanig door het kabinet aangewezen en fungeren als het fundament van de gegevenshuishouding van de overheid vanwege hun vitale rol binnen overheid en samenleving. Binnen de basisregistraties is een aantal gegevens aangewezen als authentiek gegeven, die overheidsbreed verplicht worden gebruikt en identificerende of basiskenmerken betreffen die relatief onveranderlijk zijn (zoals naam en geboortedatum). In deze beleidsbrief gaat het daarbij met name om de basisregistraties Personen, Adressen en Gebouwen, Inkomen, Kadaster, Voertuigen en Handelsregister. De overige basisregistraties Topografie, Ondergrond en WOZ bevatten geen gegevens die (direct) herleidbaar zijn naar een individueel persoon.

X Noot
7

Naast de basisregistraties is er een substantieel aantal andere registraties die landelijk, dus organisatieoverstijgend worden gebruikt. Voorbeelden zijn het Diplomaregister, het Donorregister, het Centraal Curatele Register, het Digitaal Klantdossier, Mijnpensioenoverzicht en het Rijbewijzenregister.

X Noot
8

Dit betreft met name klantdossiers en mijn-omgevingen die primair zijn ingericht voor en worden gebruikt door één specifieke organisatie, zoals Mijn Toeslagen, Mijn SVB en Mijn Apeldoorn. Deze bevatten naast gegevens doorgaans ook procesinformatie, zoals contactgegevens, correspondentie, contacthistorie en afspraken. Ook hieruit kunnen gegevens aan andere organisaties worden verstrekt.

X Noot
9

Het geval Saskia is hiervan een treffend voorbeeld (https://www.nrc.nl/nieuws/2018/06/01/die-auto-staat-wel-op-uw-naam-goeiedag-a1605121).

X Noot
10

Specifiek wat MijnOverheid betreft o.a. voortbouwend op het onderzoek «Inzage persoonlijke gegevens», Berenschot, augustus 2017 (Kamerstuk32 761, nr. 114, 11 september 2017).

X Noot
11

Het delen van gegevens uit Kadaster en Handelsregister heeft voor de ontvangende (private) organisaties dus minder toegevoegde waarde omdat deze registers al openbaar zijn.

X Noot
12

Op dit moment wordt een pilot voorbereid waarmee burgers via MijnOverheid hun digitale adres- en inkomensgegevens kunnen doorgeven aan de woningcorporatie. Op basis van deze gegevens bepaalt de corporatie of de betreffende burger niet te veel of te weinig verdient om voor een bepaalde huurwoning in aanmerking te komen. De gegevens zijn afkomstig uit de Basisregistratie Personen en de Basisregistraties Inkomen, die de burger nu al via MijnOverheid kan inzien. Hierdoor hoeven burgers niet zelf een (papieren) uittreksel op te vragen en te versturen, maar kunnen ze dat thuis regelen. Doordat de gegevens digitaal en gewaarmerkt zijn, is het risico klein dat de burger per ongeluk of met opzet een verkeerd inkomen opgeeft. Regie op gegevens draagt daarmee bij aan beperking van de woonfraude.

X Noot
13

Op dit moment bieden gemeenten en uitvoeringsorganisaties al de mogelijkheid om bepaalde persoonlijke gegevens te downloaden. Elke organisatie doet dat op zijn eigen manier. Daarom werkt een aantal gemeenten en uitvoeringsorganisaties aan één herkenbare oplossing, de Blauwe Knop. Hiermee kunnen mensen persoonlijke gegevens downloaden in een gewaarmerkt document. Dat kunnen ze bijvoorbeeld gebruiken bij het aanvragen van schuldhulpverlening, een hypotheek of een huurwoning. De Blauwe Knop is een eerste, eenvoudige vorm van regie op gegevens. Momenteel werken DUO, UWV en CAK samen met de gemeente Den Haag en Boxtel/Sint-Michielsgestel in een pilot om op hun websites de Blauwe Knop beschikbaar te maken.

X Noot
14

MedMij geeft mensen zelf regie over hun eigen gezondheidsgegevens. MedMij zorgt dat iedereen die dat wil gegevens over zijn gezondheid kan verzamelen in zijn persoonlijke digitale gezondheidsomgeving (PGO). De gebruiker bepaalt zelf welke gegevens hij in zijn PGO verzamelt en met hij die deelt. De gegevens worden alleen bewaard in de eigen PGO en op de plek waar ze nu ook al staan, bij de zorgaanbieder. Daarvoor moet de PGO veilig kunnen communiceren met de gegevens die het ziekenhuis, de huisarts, het consultatiebureau en de apotheek hebben opgeslagen. Stichting MedMij bestaat uit nationale organisaties van patiënten en zorgverleners.

X Noot
15

Dit gebeurt bijvoorbeeld op basis van zogenaamde scraping, waarbij de burger bijvoorbeeld inlogt op MijnOverheid, er een schermafdruk van de getoonde gegevens wordt gemaakt, en deze met behulp van tekstherkenningsprogrammatuur wordt terugvertaald naar digitale gegevens.

X Noot
16

Daarbij zal onder andere worden gekeken naar de wijze van inrichting en regulering van private authenticatie in de Wet digitale overheid.

X Noot
17

Zoals toegezegd in de brief van de coördinerend Minister van Emancipatie over onnodige sekseregistratie, Kamerstuk 30 420, nr. 302, 1 april 2019.

X Noot
18

Algemene wet inzake rijksbelastingen, Handelsregisterwet, Kadasterwet, Wegenverkeerswet, Wet basisregistratie adressen en gebouwen, Wet basisregistratie personen, Wet waardering onroerende zaken.

X Noot
19

In het werk- en inkomendomein bestaat bijvoorbeeld sinds 2006 al een wettelijke verankering met de Wet eenmalige gegevensuitvraag werk en inkomen (WEU).

X Noot
20

Een van de kernvragen daarbij zal zijn in hoeverre de door de registratie aangeboden gegevens zich qua gegevensdefinitie lenen voor breed hergebruik.

X Noot
22

Zie onder meer het EU-rapport «EU-wide digital Once-Only Principle for citizens and businesses, Policy options and their impacts» (https://ec.Europa.eu/digital-single-market/en/news/eu-wide-digital-once-only-principle-citizens-and-businesses-policy-options-and-their-impacts).

X Noot
23

Hierbij zal worden voortgebouwd op eerdere studies, zoals het onderzoek «Versnelling effectieve inzet basisregistraties» in het kader van het programma SGO3 (Kamerstuk 33 926, nr. 1)

X Noot
24

Kamerstuk 29 362, nr. 281

X Noot
25

Standaardisatie en ontwikkeling van generieke componenten vindt onder meer plaats onder regie van het Forum Standaardisatie en (op gemeentelijk niveau) in de Common Ground-aanpak. API's (Application Programming Interface) vervullen daarbij een centrale rol. Een API is een gestandaardiseerd koppelvlak dat het mogelijk maakt om een min of meer eigenstandige, generieke functionaliteit in elk willekeurig (overheids)portaal of -toepassing te gebruiken. Een API kan bijvoorbeeld worden gebruikt om gebruikers op willekeurig welke overheidswebsite dezelfde gegevensset (uit basisregistraties of andere gegevensbestanden) te tonen.

X Noot
26

Bepalend voor het tempo zijn onder andere de aard van het register (zijn de betreffende basisgegevens al dan niet openbaar), beleidsprioriteiten (ondergaat de registratie reeds een omvangrijk verandertraject dat dit faciliteert of juist belemmert) en informatie-architectuur (is de informatie nu al digitaal voorhanden of vergt dit aanpassing van de architectuur).

X Noot
27

In 2018 werden via de functie Persoonlijke Gegevens van MijnOverheid circa 6 miljoen keer gegevens uit een basisregistratie bekeken.

X Noot
28

Zoals hiervoor aangegeven zullen de mogelijkheden voor het tonen van verstrekkingsinformatie meestal minder ruim zijn wanneer het gaat om gegevensuitwisseling met het oogmerk van controle, toezicht en handhaving.

X Noot
29

De aanpak voor regie op gegevens voor de doelgroep bedrijven zal, als aangegeven, op een later moment worden uitgewerkt, mede in het licht van de ontwikkeling van MijnOverheid voor Ondernemers en Ondernemersplein.

X Noot
30

Individuele burgers die geen bedrijfsmatige activiteiten uitvoeren kunnen dan bijvoorbeeld controleren of hun BSN ten onrechte in het Handelsregister voorkomt, als gevolg van fraude, een administratieve fout of een eigen nalatigheid. Overigens ligt de kwaliteit van het Handelsregister op een zodanig hoog niveau dat dit in de praktijk slechts zeer incidenteel voorkomt.

X Noot
31

Onder meer door kwaliteitstrajecten zoals de Landelijke Aanpak Adreskwaliteit voor de BRP.

X Noot
32

Getuige onder meer het rapport «Weten is nog geen doen, Een realistisch perspectief op redzaamheid», Wetenschappelijke Raad voor het Regeringsbeleid, Den Haag 2017.

X Noot
33

Verder zal gebruik worden gemaakt van de analyse en aanbevelingen van een eerder onderzoek naar de mogelijkheden voor een correctiepunt. Zie het rapport «Correctiepunt Basisregistraties», Berenschot, juli 2017 (Kamerstuk 32 761, nr. 114, 11 september 2017).

X Noot
34

Getuige ook het rapport «Weten is nog geen doen, Een realistisch perspectief op redzaamheid», Wetenschappelijke Raad voor het Regeringsbeleid, Den Haag 2017.

X Noot
35

Van de drie onderscheiden vormen van regie laat met name het digitaal delen van gegevens zich niet gemakkelijk verenigen met analoge kanalen als balie of telefoon. Dit vergt dus speciale aandacht bij de verdere uitwerking.

Naar boven