32 761 Verwerking en bescherming persoonsgegevens

Nr. 264 BRIEF VAN DE ALGEMENE REKENKAMER

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 maart 2023

De Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. De afgelopen jaren zagen wij dat de aanpassing aan deze verordening in Nederland niet zonder horten en stoten verloopt. In verschillende onderzoeken constateerden we dat uitvoeringsorganisaties de AVG als obstakel ervaren.1 Hierdoor kwam de uitvoering van overheidstaken in de knel, met soms grote gevolgen voor burgers. Zo werden ouderen die onder het bestaansminimum er niet op gewezen dat ze recht hebben op een aanvullende uitkering, en konden zorgfraudeurs makkelijker onder de radar blijven.

Ons uitgangspunt in deze brief is dat data en digitalisering kansen bieden voor het functioneren van de overheid en het verbeteren van dienstverlening. De AVG biedt daarvoor voldoende ruimte. Dit vraagt van regering, parlement en uitvoeringsorganisaties dat zij de baten van gegevensverwerking afwegen tegen de gevolgen voor de privacy van burgers. Problemen in de uitvoering ontstaan wanneer deze afweging niet of niet op tijd is gemaakt. Dit kan grotendeels worden voorkomen door in de parlementaire behandeling van wetsvoorstellen structureel aandacht te geven aan de benodigde verwerking van persoonsgegevens. En door de kennis over de AVG binnen ministeries en uitvoeringsorganisaties te vergroten.

We illustreren deze boodschap met drie voorbeelden uit onze onderzoeken.

Voorbeeld 1: privacy en dienstverlening

Ouderen die een AOW-uitkering ontvangen kunnen niettemin een inkomen hebben onder het sociaal minimum. Deze ouderen hebben in veel gevallen recht op een aanvullende uitkering: de Aanvullende inkomensvoorziening ouderen (AIO). In ons onderzoek Ouderdomsregelingen ontleed (2019) zagen wij dat veel ouderen die hier recht op hebben, geen gebruik maken van de AIO. Ongeveer de helft van de huishoudens die waarschijnlijk recht hebben op deze uitkering heeft geen aanvullende uitkering aangevraagd. Dat betekende ten tijde van het onderzoek dat 34.000 tot 51.000 huishoudens met een of meer AOW-gerechtigden een inkomen hadden onder bijstandsniveau.

Door gegevens van de SVB (de uitvoerder van de regeling) te koppelen aan inkomensgegevens van het UWV kan de SVB bepalen welke huishoudens dit vermoedelijk zijn. En deze huishoudens actief wijzen op de mogelijkheid om een aanvullende uitkering aan te vragen. De SVB vertelde ons dit graag op te willen pakken, maar de Minister van SZW concludeerde op basis van een privacytoets dat deze koppeling van gegevens niet mogelijk is binnen de grenzen van de privacywetgeving. We deden de aanbeveling aan de Minister om te onderzoeken onder welke condities gegevensdeling wel mogelijk kan worden gemaakt. Eventueel door het scheppen van een wettelijke basis. We wogen daarbij zwaar mee dat tienduizenden huishoudens op het moment van onderzoek onnodig leefden onder het bestaansminimum.

Mede naar aanleiding van deze aanbeveling zijn SVB en UWV in 2022 een pilot gestart om mogelijke rechthebbenden toch te identificeren en aan te schrijven. De uitvoeringsorganisaties hebben binnen deze pilot maatregelen genomen om zo min mogelijk persoonsgegevens te verwerken.2

Voorbeeld 2: privacy en publieke taakuitvoering

In ons verantwoordingsonderzoek over 2021 rapporteerden we over ons onderzoek naar de aanpak van ziekten die van dieren op mensen kunnen worden overgedragen (zoönosen). De coronacrisis is een voorbeeld van de ernstige gevolgen die dit kan hebben. In 2020 werd in Nederland geconstateerd dat nertsen die besmet waren met het nieuwe coronavirus, dit konden overdragen op mensen, en andersom. Voor een effectieve aanpak van de crisis was het daarom niet voldoende om alleen zicht te krijgen op mogelijke uitbraken onder de menselijke bevolking. De betrokken organisaties (GGD, RIVM, NVWA en de Gezondheidsdienst voor Dieren) zetten zich in om ook uitbraken bij veehouders zo snel mogelijk onder controle krijgen.

Om zicht te krijgen op de verspreiding van het virus rond veehouderijen wilden de betrokken organisaties gegevens kunnen uitwisselen. Medewerkers van de Ministeries van LNV en VWS vertelden ons echter dat de organisaties zich hierbij belemmerd voelden door de AVG. Zij hadden informatie over corona-uitbraken op veehouderijen, en gezondheidsinformatie over mensen die deze veehouderijen hadden bezocht. Maar vanwege de privacywetgeving zou het niet mogelijk zijn om deze informatie te koppelen. Dit maakte het lastig om te volgen hoe het virus zich verspreidde, terwijl dit zou kunnen helpen om uitbraken tegen te gaan.

Ook na de coronacrisis blijft het onverminderd van belang dat de uitwisseling van gegevens tussen deze uitvoerders goed is geregeld. Zowel juridisch als organisatorisch. Het risico op nieuwe zoönosen die een bedreiging vormen voor de volksgezondheid is namelijk reëel. In ons onderzoek constateerden we dat dit probleem ook in 2022 nog niet was opgelost.

Voorbeeld 3: privacy en fraudebestrijding

In Een zorgelijk gebrek aan daadkracht (2022) publiceerden we de resultaten van ons onderzoek naar de effectiviteit van de bestrijding van zorgfraude. In dit onderzoek constateerden we dat er nauwelijks resultaten worden geboekt in de strijd tegen fraude met publiek geld voor de gezondheidszorg.

Bij de aanpak van zorgfraude zijn veel partijen betrokken, zoals de NZa, de Inspectie Gezondheidszorg en Jeugd, zorgverzekeraars, de Belastingdienst en gemeenten. Om zorgfraude effectief aan te pakken moeten zij informatie kunnen uitwisselen. We zagen in ons onderzoek dat dit niet altijd soepel verloopt. Dit heeft verschillende oorzaken., maar één van die oorzaken is dat betrokken organisaties de ruimte die de AVG biedt om informatie te delen, verschillend interpreteren. Sommige organisaties zijn daarin zo voorzichtig dat het een effectieve aanpak van zorgfraude belemmert.

Hierdoor kunnen frauderende aanbieders langer onder de radar blijven, en moeilijker worden aangepakt. Met verspilling van publiek zorggeld, en minder goede zorg voor patiënten en cliënten als gevolg.

We deden op basis van dit onderzoek de aanbeveling aan de Minister van VWS en de Minister voor Langdurige Zorg en Sport om ervoor te zorgen dat de uitvoerende partijen de mogelijkheden die zij binnen bestaande de wetgeving hebben, beter te benutten.

Omgang met de AVG kan beter

De AVG heeft als doel om de privacy van burgers te beschermen en misbruik van hun gegevens te voorkomen. De verordening is niet bedoeld als belemmering voor de publieke taakuitoefening door de overheid, goede dienstverlening aan de burger of een adequate opsporing van fraude. Een goede uitvoering van deze taken is immers in het belang van burgers.

De AVG biedt voldoende ruimte voor het verwerken (dat wil zeggen: bewaren, gebruiken of delen) van persoonsgegevens voor de uitvoering van overheidstaken. Het verwerken van persoonsgegevens kan, zolang de baten van de verwerking goed zijn afgewogen tegen de gevolgen voor de privacy van burgers en er een wettelijke basis voor is gecreëerd. Problemen in de uitvoering die wij in onze onderzoeken tegenkwamen, ontstonden niet omdat de AVG zelf een knelpunt is, maar omdat deze afweging niet, of niet op tijd gemaakt is. Als de regering, parlement en uitvoerders deze problemen in de toekomst willen voorkomen, is het nodig dat ze deze afweging tot onderdeel van hun manier van werken maken. Kijkend naar de voorbeelden uit onze onderzoeken zien we de volgende aanknopingspunten.

Een tijdige wettelijke basis voor gegevensverwerking

De AVG biedt ruimte om persoonsgegevens te verwerken en delen, maar in veel gevallen dienen regering en parlement voor deze verwerking een wettelijke basis te creëren. We komen in ons onderzoek regelmatig tegen dat deze wettelijke basis nog gecreëerd moet worden wanneer er al een probleem geconstateerd is. Dat is te laat om problemen te voorkomen. Vooral het delen van persoonsgegevens tussen samenwerkende organisaties is vaak onvoldoende wettelijk geregeld. Uitvoerende partijen worden hierdoor soms jarenlang voor een probleem gesteld. Het creëren van een nieuwe wettelijke basis kan immers jaren duren.

Het is aan parlement en regering om samen met uitvoerende organisaties tijdig te bedenken welke persoonsgegevens deze organisaties nodig hebben om hun taken goed uit te kunnen voeren. U kunt hieraan bijdragen door de verwerking van persoonsgegevens een structureel onderdeel van de parlementaire behandeling van wetsvoorstellen te maken. Uitvoeringsorganisaties kunnen helpen door in de uitvoeringstoets aandacht te geven aan de verwerking van persoonsgegevens die zij nodig achten voor de uitvoering van de nieuwe wetgeving.

Uiteraard is het niet in alle gevallen mogelijk om vooraf precies te weten welke partijen over welke persoonsgegevens moeten kunnen beschikken. De coronacrisis biedt hiervoor een goed voorbeeld. Maar ook voor situaties met bijzondere spoed zijn oplossingen te bedenken. Zoals het in wetgeving regelen van een mogelijkheid om in lagere regelgeving een basis voor gegevensverwerking te creëren. Als er toch een nieuwe wettelijke basis nodig is, maar er ook zwaarwegende maatschappelijke redenen zijn om direct met het verwerken van persoonsgegevens te beginnen, is het mogelijk om dit met de Autoriteit Persoonsgegevens (AP) te bespreken. Deze route dient wat betreft de AP wel uitsluitend gebruikt te worden in onvoorziene situaties en wanneer er vitale belangen op het spel staan. De AP kan daarbij voorwaarden stellen over waarborgen om de privacyinbreuk zo klein mogelijk te houden en over de maximale termijn waarbinnen een adequate wettelijke basis door regering en parlement alsnog dient te worden gerealiseerd.

Meer kennis over de AVG op de werkvloer

Een goede omgang met de AVG vraagt ook van uitvoeringsorganisaties dat medewerkers voldoende kennis hebben over de bescherming van privacy. In meerdere onderzoeken waar de AVG als knelpunt werd genoemd kregen we de indruk dat de benodigde gegevensverwerking ook mogelijk was binnen de bestaande wettelijke kaders. Soms is het nodig om bij de verwerking van gegevens wel waarborgen aan te brengen om de privacy van burgers te beschermen. Bijvoorbeeld door anonimisering of pseudonimisering van persoonsgegevens.

Het helpt daarbij wanneer deze kennis niet alleen aanwezig is bij de functionaris gegevensbescherming, maar ook binnen teams met uitvoerende taken. In ons onderzoek kregen we regelmatig de indruk dat organisaties uit angst voor de AVG zich terughoudender opstellen dan nodig is. We kunnen niet ook niet uitsluiten dat de AVG soms als gelegenheidsargument wordt gebruikt om informatie niet met andere partijen te hoeven delen.

Ook de AP constateert dat organisaties soms terughoudender zijn dan op basis van de wet nodig is. Recente voorbeelden zijn het onderzoek naar oversterfte na afloop van de coronacrisis, en de aanpak van het niet-gebruik van de dubbele kinderbijslag. In beide gevallen zou de AVG het verwerken van de benodigde gegevens in de weg staan. De AP oordeelde daar geen reden voor te zien.3

Kennis van de AVG op de werkvloer helpt misverstanden over naleving en interpretatie van de AVG te voorkomen. En het kan eraan bijdragen dat er op een andere manier met de AVG wordt omgegaan. De vraag die nu vaak gesteld wordt is of verwerking van gegevens is toegestaan, terwijl de vraag zou moeten zijn: hoe kunnen persoonsgegevens worden gebruikt en gedeeld op een manier die redelijk is en het recht van burgers op privacy respecteert? Door deze vraag aan bewindspersonen te stellen kunt u bijdragen aan de benodigde verschuiving van de discussie.

Tot slot

Het toezicht op de naleving van de AVG is de taak van de Autoriteit Persoonsgegevens. We hebben hier geen onderzoek naar gedaan. Maar de Algemene Rekenkamer beoordeelt of overheidstaken effectief en doelmatig worden uitgevoerd. In ons onderzoek komen we met enige regelmaat situaties tegen waarbij de omgang met en de interpretatie van de AVG een doelmatige en effectieve uitvoering van overheidstaken belemmeren. De drie gegeven voorbeelden illustreren dat dit grote gevolgen kan hebben voor burgers.

Als medewetgever speelt u een belangrijke rol in het verbeteren van de omgang met de AVG. De kern is de afweging die telkens opnieuw gemaakt moet worden tussen beleidsdoelen, uitvoering van overheidstaken en dienstverlening aan burgers enerzijds en de gevolgen voor de privacy van burgers anderzijds. Uiteraard is het ook mogelijk dat uw Kamer concludeert dat het gebruiken, delen en verwerken van persoonsgegevens niet wenselijk is. Dit is dan geen gebrek van de AVG, maar de wezenlijke politieke afweging die alleen regering en parlement kunnen maken.

Algemene Rekenkamer

drs. E. (Ewout) Irrgang, wnd. president

drs. C. (Cornelis) van der Werf, secretaris


X Noot
1

Diversiteit in vaste adviescolleges van de regering (2019) (Kamerstuk 28 101, nr. 16), Ouderdomsregelingen ontleed (2019) (Kamerstuk 29 389, nr. 97), Geen plek voor grote problemen: Aanpak van wachttijden in de specialistische ggz (2020) (Kamerstuk 25 424, nr. 534), Een zorgelijk gebrek aan daadkracht: Onderzoek naar de effectiviteit van zorgfraudebestrijding (2022) (Kamerstuk 28 828, nr. 132), In de zorg, uit het zicht. Krijgen patiënten goede forensische zorg? (2022) (Kamerstuk 33 628, nr. 90), Verantwoordingsonderzoek 2021 SZW: Inlichtingenbureau (2022) (Bijlage bij Kamerstuk 36 100 XV, nr. 2), Verantwoordingsonderzoek 2021 VWS en LNV: De Q-koorts en lessen voor de toekomst (2022) (Bijlage bij Kamerstuk 36 100 XVI, nr. 2 en Kamerstuk 36 100 XIV, nr. 2).

X Noot
2

SVB (2022), SVB start pilot om ouderen met recht op aanvullend inkomen te geven waar ze recht op hebben. https://www.svb.nl/nl/pers-en-nieuws/nieuwsberichten/svb-start-pilot-om-ouderen-met-recht-op-aanvullend-inkomen-te-geven-waar-ze-recht-op-hebben.

X Noot
3

Autoriteit Persoonsgegevens (2023). Brief van 9 februari 2023 aan de Minister van SZW mbt Kamerbrief gerichte mailing CIZ – dubbele kinderbijslag intensieve zorg en briefadvies van 23 februari 2023 mbt onderzoek oversterfte.

Naar boven