Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 juni 2020

In het overleg met uw Kamer van 10 september 2019 naar aanleiding van het Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingenvan de Raad van State van 31 augustus 2018 (Kamerstuk 26 643, nr. 557) heb ik toegezegd om nader in te gaan op een mogelijk in het Burgerlijk Wetboek (BW) te regelen eigenaarschap van de burger van zijn of haar persoonsgegevens bij de overheid (Handelingen II 2018/19, nr. 106, item 26).

Mede namens de Minister voor Rechtsbescherming geef ik met deze brief invulling aan deze toezegging. Ik plaats mijn reactie daarbij nadrukkelijk in het licht van de beleidsbrief Regie op Gegevens van 11 juli 2019 (Kamerstuk 32 761, nr. 147) en meer in het algemeen van de Algemene verordening gegevensbescherming (Avg).

Beleidsbrief Regie op Gegevens

In de beleidsbrief Regie op Gegevens heeft het kabinet uiteengezet hoe het de regie van de burger over zijn of haar eigen gegevens (persoonsgegevens) bij de overheid wil versterken. De beleidsbrief sluit nauw aan bij de bevindingen en adviezen van de Raad van State.

De beleidsbrief onderscheidt drie sporen:

• • inzage en correctie: de eigen gegevens kunnen inzien, deze zo nodig kunnen (laten) corrigeren, en kunnen inzien waarvoor deze worden gebruikt;

• • eenmalige verstrekking, meervoudig gebruik: kunnen weigeren om gegevens te verstrekken die binnen de overheid al beschikbaar zijn;

• • delen van gegevens: de eigen gegevens zelf digitaal kunnen delen met private dienstverleners (zoals een woningcorporatie of schuldhulpverlener).

De beleidsbrief geeft wat betreft de twee eerstgenoemde sporen een nadere invulling aan bestaande wettelijke kaders, in het bijzonder de Avg en de wetgeving voor de onderscheiden basisregistraties (w.o. de Wet BRP en de Kadasterwet). Wat betreft het laatstgenoemde, meest innovatieve spoor stelt de brief kaders in het vooruitzicht, te verankeren in de Wet digitale overheid (Wdo). Ik heb de beleidsbrief Regie op Gegevens op 7 november 2019 met uw Kamer besproken.

Het door uw Kamer op 18 februari jl. aangenomen amendement bij de Wdo met betrekking tot een «online identiteit» (Kamerstuk 34 972, nr. 16) biedt een waardevol handvat om de regie van burgers op hun persoonsgegevens bij de overheid in de toekomst verder te verankeren en van juridische instrumenten te voorzien.

Zeggenschap over de eigen persoonsgegevens

Een burger zal de idee van eigenaar te zijn van de eigen persoonsgegevens vooral definiëren in termen van zeggenschap. De inzet is dan ook om hem of haar zoveel mogelijk zeggenschap over die gegevens te geven. Daaraan zijn echter grenzen.

Dat de burger geen volledige zeggenschap heeft, hangt er in de eerste plaats mee samen dat de overheid die gegevens nodig heeft voor de uitvoering van haar wettelijke taken, en over voldoende waarborgen moet beschikken dat die gegevens juist, actueel, beschikbaar en betrouwbaar zijn. Om die reden kan een burger de overheid bijvoorbeeld niet verbieden om zijn of haar naam, adres en geboortedatum vast te leggen, en kan hij of zij het door de overheid vastgestelde inkomen of de WOZ-waarde van zijn of haar woning niet naar believen veranderen of wissen.

Dat de burger geen volledige zeggenschap heeft, hangt er bovendien mee samen dat zijn of haar persoonlijke gegevens vaak een representatie zijn van een feitelijke, objectief vaststelbare werkelijkheid, zoals de geboortedatum, de lichaamslengte of het kenteken van de eigen auto. Alleen als dit gegeven onjuist geadministreerd of feitelijk gewijzigd is, kan het worden gewijzigd.

Eigenaarschap van persoonsgegevens

Op dit moment is er geen juridisch eigendom van persoonsgegevens, omdat het eigendomsrecht daar niet op is toegespitst. Ik refereer daarbij aan de BW-artikelen 5:1 (eigendom is het meest omvattende recht dat een persoon op een zaak kan hebben) en 3:2 (zaken zijn de voor menselijke beheersing vatbare stoffen). De persoonsgegevens van een burger zijn geen zaak en vallen dus niet onder dit eigenaarsbegrip. Bovendien wekt eigenaarschap de indruk dat een «eigendom» van persoonsgegevens zou kunnen worden overgedragen, bijvoorbeeld door de eigen nationaliteit of achternaam aan een ander te schenken. Ook dat kan niet aan de orde zijn.

Het kabinet spreekt in de beleidsbrief bewust niet over eigendom van persoonsgegevens. Het lijkt logisch en intuïtief om de burger te beschouwen als eigenaar, want de gegevens gaan immers over hem of haar zelf. Het is echter geen goed idee om juridisch eigendom van persoonsgegevens mogelijk te maken, omdat het eigendomsrecht daar niet op is ingericht en er bovendien grenzen aan de zeggenschap over de eigen gegevens zijn. Het is veel beter om de rechten en plichten van de persoonsgegevens van een burger zo veel mogelijk op een andere manier te beschermen.

Ik merk hierbij op dat ook de Raad van State in haar advies spreekt over versterking van de regie op de eigen gegevens, en niet over eigenaarschap van de eigen gegevens.

Rechten en plichten op persoonsgegevens

Op dit moment is er geen onbeperkte zeggenschap over gegevens, evenmin als juridisch eigendom. De regie over de eigen gegevens gaat daarom vooral over rechten van de burger (als persoon waarop de gegevens betrekking hebben) en plichten van de overheid (als verwerkingsverantwoordelijke van die gegevens). Deze rechten en plichten op persoonsgegevens zijn geregeld in de Avg.

De algemene beginselen inzake de verwerking van persoonsgegevens zijn: de beginselen van rechtmatigheid, behoorlijkheid en transparantie, het beginsel van doelbinding, het beginsel van minimale gegevensverwerking, het beginsel van juistheid, het beginsel van opslabeperking alsmede de beginselen van integriteit en vertrouwelijkheid (artikel 5 Avg). Ook de overheid moet bij het verwerken van persoonsgegevens te allen tijde deze beginselen in acht nemen.

Voorts is van belang dat de overheid alleen persoonsgegevens mag verwerken indien deze verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de overheidsinstantie rust, of indien deze verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de overheidsinstantie is opgedragen. Hiervoor dient een basis in het nationale recht te bestaan. De verdere verwerking van persoonsgegevens voor een doel dat onverenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, dient op een expliciete wettelijke grondslag te berusten. Dat geldt ook voor de verwerking van bijzondere categorieën van persoonsgegevens, zoals gegevens omtrent levensovertuiging, politieke voorkeur of gezondheid. De burger heeft, hiermee corresponderend, onder meer het recht op inzage, rectificatie en wissing van gegevens, vergetelheid, beperking van gegevens, dataportabiliteit, bezwaar en het recht om niet onderworpen te worden aan een uitsluitend automatische verwerking van gegevens.

De in de Avg vastgelegde rechten en plichten zijn in de beleidsbrief Regie op Gegevens nader ingevuld en uitgebreid, ten aanzien van inzage en correctie, eenmalige verstrekking van gegevens, en (vooral) het digitaal kunnen delen van de eigen gegevens bij de overheid met derden.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops