Brief regering : Regie op persoonlijke gegevens bij de overheid

Nr. 147
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 11 juli 2019

Regie op gegevens betekent dat een burger grip en zicht heeft op zijn1 persoonlijke gegevens bij de overheid.

De overheid verzamelt en gebruikt voor al zijn taken veel persoonlijke gegevens van
burgers. Ze zorgt dat die gegevens correct en actueel zijn, veilig worden opgeslagen,
en efficiënt worden gebruikt, maar alleen waar dat mag.

Burgers moeten daarop kunnen vertrouwen. Nu al hebben burgers daarom het recht om
in te zien welke gegevens de overheid van hen heeft en waarvoor die worden gebruikt.
Ook hebben ze het recht om basisgegevens die de overheid al heeft, zoals geboortedatum,
woonadres of inkomen, niet zonder goede reden opnieuw door te geven aan de overheid.

Hierin zijn de afgelopen jaren flinke stappen gezet. Een voorbeeld is de Belastingdienst,
die bij de aangifte zoveel mogelijk gegevens vooraf invult en aangeeft van welke organisatie
die gegevens afkomstig zijn. Een ander voorbeeld is MijnOverheid, waar een burger
(bijna) al zijn basisgegevens op één plek kan inzien.

Nederland hoort hiermee bij de koplopers. Maar het kan en moet beter.

We zorgen daarom dat burgers hun persoonlijke gegevens niet alleen kunnen inzien,
maar ook steeds vaker kunnen zien waarvoor deze worden gebruikt, en steeds makkelijker
de weg vinden als ze een of meerdere gegevens willen laten wijzigen. Elke overheidsorganisatie
doet dat op een manier die het beste bij zijn klanten en diensten past. Voor (bijna)
al zijn basisgegevens kan de burger dat op één centrale plek, namelijk in MijnOverheid.

Een burger moet een gegeven niet alleen kunnen laten wijzigen, maar de gevolgen van
een fout gegeven moeten ook sneller worden hersteld. We doen daarvoor een proef met
een speciaal team voor het oplossen van problemen die meerdere overheidsorganisaties
raken, en daardoor nu vaak te lang duren.

We brengen het komende jaar in kaart waar overheidsorganisaties nu nog geen gebruik
van de basisgegevens maken, bijvoorbeeld omdat dat technisch ingewikkeld is of omdat
er aanpassing van wetgeving voor nodig is. Waar dat mogelijk is nemen we die belemmeringen
stapsgewijs weg. Ook onderzoeken we het komende jaar of het recht om de eigen gegevens
niet opnieuw op te hoeven geven ook voor andere persoonlijke gegevens kan gelden,
en niet alleen voor de basisgegevens. We gaan het recht op eenmalige verstrekking
van de basisgegevens (ook) opnemen in de Wet digitale overheid.

Dit zijn stapsgewijze, continue verbeteringen, aanvullend op wat nu al moet en kan.

Regie op gegevens betekent echter niet alleen dat een burger zijn eigen gegevens moet
kunnen inzien en wijzigen, en dat hij moet kunnen weigeren om gegevens op te geven
als de overheid die al heeft. Regie op gegevens betekent ook dat hij gegevens die
de overheid over hem heeft ook zélf moet kunnen gebruiken.

Dat betekent dat hij zijn eigen gegevens, zoals zijn adres, leeftijd of inkomen digitaal
kan delen met organisaties buiten de overheid, zoals een zorgverlener, woningcorporatie
of schuldhulpverlener. Omdat die gegevens digitaal en betrouwbaar zijn, kunnen deze
hun dienstverlening beter, sneller en persoonlijker maken. Ook wordt onnodige papieren
rompslomp vermeden.

Het delen van gegevens met organisaties buiten de overheid is een nieuwe ontwikkeling.
Ook hierin loopt Nederland voorop. Inmiddels zijn er meerdere initiatieven, sommige
nog in de onderzoeksfase en andere klaar voor breed gebruik. De doelgroep en werkwijze
van deze initiatieven is zeer divers. We gaan het delen van gegevens actief stimuleren.

Het delen van gegevens biedt nieuwe kansen, maar brengt ook nieuwe risico's. Wie zijn
gegevens deelt kan niet altijd overzien wat er daarna met die gegevens gebeurt. Gegevens
kunnen zo makkelijk in verkeerde handen komen, met alle gevolgen van dien. Vaak worden
ook meer gegevens gedeeld dan nodig is en op grond van de privacywet mag. Een risico
is verder dat burgers zich gedwongen kunnen voelen om hun gegevens te delen omdat
ze afhankelijk zijn van die organisatie (zoals een verhuurder of schuldhulpverlener).

We stellen daarom spelregels op waar organisaties aan moeten voldoen waarmee de burger
zijn gegevens deelt. Deze spelregels leggen we vast in de Wet digitale overheid.

Tot slot: iedereen moet kunnen meedoen, ook wie minder digitaal vaardig is. Dat geldt
ook voor regie op de eigen gegevens. Daarom brengen we bij alle plannen in kaart wat
daar voor nodig is.

Een nadere toelichting en uitwerking van de voornemens is bijgevoegd bij deze brief.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops

Beleidsbrief Regie op Gegevens: nadere uitwerking

In deze brief schetst het kabinet zijn beleidsvoornemens ten aanzien van de regie
van burgers op de eigen persoonlijke gegevens en beschrijft het de aanpak op hoofdlijnen
om deze te realiseren.

De brief geeft daarmee invulling aan de volgende, in Regeerakkoord en NL DIGIbeter
(Agenda Digitale Overheid) (bijlage bij Kamerstuk 34 700, nr. 34 en Kamerstuk 26 643, nr. 621) geschetste voornemens:

• vergroten van de regie op persoonsgegevens ter bevordering van de privacy en creëren
van de mogelijkheid om deze zelf te delen met organisaties buiten de overheid;

• doorontwikkelen van MijnOverheid tot een plek waar burgers hun persoonlijke gegevens
kunnen inzien, via welke zij een onjuist gegeven kunnen laten herstellen, en waar
zij regie kunnen voeren over hun gegevens;

• verbeteren van de gegevenshuishouding van de overheid, in het bijzonder de basisregistraties
(voorzover voor deze beleidsbrief relevant);

• sneller herstellen van de gevolgen van het gebruik van een onjuist gegeven.

Met deze brief (en meer specifiek bijlage 1) geeft het kabinet tevens invulling aan
de motie van de leden Koerhuis en Den Boer over een online-identiteit voor iedere
Nederlander (Kamerstuk 34 993, nr. 4), ingediend bij het notaoverleg «Online identiteit en regie op persoonlijke gegevens»
van 26 november jl2.

De brief sluit verder aan bij recente brieven van het kabinet over Digitale Inclusie3 en de Data Agenda Overheid4.

Afbakening en focus

Onder regie op persoonlijke gegevens wordt in deze brief verstaan: de handelingsopties
die de burger heeft als het gaat om de gegevens die overheidsorganisaties en nader
te bepalen andere organisaties in het BSN-domein (w.o. zorgverleners) over hem vastleggen.

De brief onderscheidt daarbij drie vormen van regie:

• delen van gegevens: de eigen gegevens zelf, digitaal kunnen delen met dienstverleners buiten de overheid;

• eenmalige verstrekking: kunnen weigeren om gegevens te verstrekken die binnen de overheid al beschikbaar
zijn;

• inzage en correctie: de eigen gegevens kunnen inzien en controleren, kunnen inzien welke gegevens worden
en zijn uitgewisseld, en de gegevens kunnen (laten) corrigeren.

Deze beleidsbrief geeft met name invulling aan het eerste spoor. Het delen van gegevens
is een nieuwe ontwikkeling die vraagt om nieuw beleid en duidelijke kaders om de ontwikkelingen
optimaal te benutten en in goede banen te leiden. Deze brief schetst daarvoor de hoofdlijnen.
Ten aanzien van beide andere sporen bouwt deze brief voort op bestaand beleid en wetgeving,
en is de inzet om bestaande regiemogelijkheden uit te breiden en eventuele belemmeringen
stapsgewijs verder weg te nemen.

Deze brief maakt geen onderscheid in de aard en het doel van de vastgelegde gegevens.
De mogelijkheden voor regie zullen echter meestal ruimer zijn wanneer het gaat om
gegevens die de overheid verwerkt in het kader van de publieke dienstverlening dan
wanneer het gaat om toezicht en handhaving5. Ook gelden voor regie op gevoelige (w.o. medische) gegevens, gezien de juridische-,
privacy- en securityrisico’s uiteraard andere, hogere eisen.

De verschillende vormen van regie worden hieronder uitgewerkt. Daarbij wordt een globaal
onderscheid gemaakt in basisregistraties6, andere landelijke registraties7, en organisatiespecifieke gegevensbestanden8. De primaire focus ligt daarbij op de basisregistraties.

Deze brief heeft betrekking op de doelgroep burgers. Het kabinet zal op een later
moment een aanpak uitwerken voor de doelgroep bedrijven, mede in het licht van de
ontwikkeling van MijnOverheid voor Ondernemers en Ondernemersplein.

Doelstelling

De overheid maakt voor de uitoefening van haar taken intensief gebruik van persoonlijke
gegevens van burgers. Zowel de overheid zelf als de burgers hebben er belang bij dat
die gegevens correct en actueel zijn, efficiënt worden gebruikt, en veilig worden
bewaard en gebruikt, conform geldende wetgeving.

Een burger kan inzien welke gegevens de overheid heeft en waarvoor deze worden gebruikt,
en kan deze zo nodig (laten) corrigeren of wijzigen als ze onjuist of niet meer actueel
zijn. Ook heeft hij het recht om (basis)gegevens die de overheid al heeft niet onnodig
(opnieuw) te verstrekken. Dit is staand beleid en wettelijk verankerd in de Algemene
wet bestuursrecht (Awb), de Algemene verordening gegevensbescherming (AVG) en wetgeving
voor de basisregistraties. Daarmee is de basis voor regie op de eigen gegevens gelegd.

Het kabinet wil deze bestaande regiemogelijkheden uitbreiden met een belangrijk nieuw
spoor, door burgers in staat te stellen hun eigen gegevens zelf, digitaal te delen
met private dienstverleners, zoals zorgverleners, onderwijsinstellingen, schuldhulpverleners
of woningcorporaties. Hierdoor kunnen deze hun klanten betere diensten leveren, en
wordt de administratieve rompslomp beperkt.

Het delen van gegevens is een relatief nieuwe ontwikkeling die potentieel grote maatschappelijke
kansen biedt, maar ook vraagt om nieuw beleid en juridische kaders om die ontwikkeling
optimaal te benutten en in goede banen te leiden. Deze brief schetst daarvoor de hoofdlijnen.

Regie op de eigen gegevens betekent overigens niet dat de burger ook eigenaar van
zijn gegevens is, in die zin dat hij daarover de volledige zeggenschap heeft. Hij
kan gegevens over zijn leeftijd of inkomen immers niet naar believen ontkennen, verwijderen,
wijzigen of weigeren deze te verstrekken of te actualiseren. Zinvoller is het daarom
om niet te spreken over eigenaarschap, maar over rechten en plichten, zowel van de
overheid als van de burger.

Regie op gegevens kan een belangrijke bijdrage leveren aan meerdere politieke en maatschappelijke
doelen:

Vertrouwen in de overheid

Mensen hebben vaak geen zicht op de gegevens die de overheid verzamelt en bijhoudt,
of de gebruikte gegevens wel juist en actueel zijn, en welke overheidsorganisaties
die gegevens gebruiken. Vaak weten ze ook niet waar ze moeten zijn om daar meer zicht
op te krijgen. Meer inzicht hoe de overheid met zijn persoonlijke gegevens omgaat
kan bijdragen aan het vertrouwen van de burger in de overheid. De wetenschap dat hij
zijn gegevens kán inzien (maar dat niet persé hoeft) kan daarbij al voldoende zijn.

Meer autonomie voor de burger

De kwaliteit van de overheidsgegevens is hoog, maar als gegevens toch onjuist of verouderd
zijn kan dat ver binnen de overheid doorwerken. Voor mensen kan dat verstrekkende
gevolgen hebben, zoals een uitkering die wordt ingetrokken. Meer inzicht in de eigen
gegevens kan helpen om meer grip op de eigen situatie te krijgen, bijvoorbeeld als
er in het contact met de overheid wat verkeerd is gegaan en men het gevoel heeft van
het kastje naar de muur te worden gestuurd.

Minder administratieve rompslomp

Hoewel overheidsformulieren steeds vaker vóóringevuld zijn, moeten mensen aan de balie,
aan de telefoon of op een website nog regelmatig gegevens verstrekken die de overheid
al heeft. Soms is dat onvermijdelijk, maar vaak kan het ook beter. Binnen de overheid
zelf leidt dubbele bevraging tot dubbele opslag van gegevens en daarmee tot fouten.
Burgers mogen verwachten dat ze hun gegevens niet zonder goede reden opnieuw hoeven
te verstrekken.

Betere dienstverlening van de overheid

De dienstverlening van de overheid staat of valt met betrouwbare en actuele gegevens,
of het nu om de zorg, de sociale zekerheid of de handhaving gaat. Door de burger (als
belanghebbende én deskundige bij uitstek) een actieve rol te geven in het juist en
actueel houden van zijn eigen gegevens, wordt de kwaliteit van die gegevens, en daarmee
van de publieke dienstverlening, beter. Dat is in het belang van de overheid, maar
vooral ook van de burger zelf.

Betere dienstverlening van private dienstverleners

Door een burger in staat te stellen zijn gegevens digitaal te delen met private dienstverleners
als zorginstellingen, schuldhulpverleners of woningcorporaties kunnen deze hem beter
van dienst zijn, met op de individuele persoon en situatie toegesneden diensten en
adviezen. Het beperkt bovendien de administratieve rompslomp voor de burger en de
betreffende dienstverleners.

Praktisch nut

Inzicht in de eigen persoonlijke gegevens betekent in zijn meest elementaire vorm
ook simpelweg praktisch nut, doordat de actuele WOZ-waarde van het eigen huis of het
inkomen van het afgelopen jaar snel kan worden opgezocht. De gegevens van de overheid
zijn soms immers een betere bron dan de spreekwoordelijke schoenendoos, want digitaal,
gebruiksvriendelijk, betrouwbaar en plaatsonafhankelijk beschikbaar.

Het bovenstaande wil niet zeggen dat regie op gegevens het enige of belangrijkste
instrument voor de geformuleerde doelen is. Zo kan inzage in de eigen gegevens burgers
misschien helpen om grip te krijgen op hun relatie met de overheid, maar is het voor
mensen die klem komen te zitten in de bureaucratie vaak niet de oplossing9.

Wat de behoefte van gebruikers aan de verschillende vormen van regie is en inhoeverre
regie ook daadwerkelijk bijdraagt aan de genoemde doelen, moet de komende jaren duidelijk
worden. De ervaringen van burgers bij uitvoeringsorganisaties, gemeenten en MijnOverheid
moeten daar inzicht in geven, onder meer in de vorm van gebruikersonderzoek op basis
van klantreizen en levensgebeurtenissen (bijvoorbeeld in het kader van het programma
Mens Centraal)10.

Het kabinet kiest mede daarom voor een aanpak die gebaseerd is op beheerste, maar
zichtbare stappen. Op basis van de behoeften van burgers en het ontwikkelvermogen
binnen de overheid kan vervolgens worden bepaald welke vervolgstappen wenselijk en
mogelijk zijn om de regie voor de burger nog verder te vergroten.

spoor 1: Delen van gegevens

Private dienstverleners als zorginstellingen, onderwijsinstellingen, schuldhulpverleners,
woningcorporaties, sportverenigingen of godsdienstige instellingen willen hun klanten
of leden optimaal kunnen bedienen. Daarvoor willen zij actuele, betrouwbare, digitale
gegevens kunnen gebruiken. Overheidsgegevens zijn daarvoor een hoogwaardige en betrouwbare
bron. Als burgers deze digitaal kunnen delen kunnen private dienstverleners betere,
op de individuele persoon toegesneden diensten en adviezen leveren. Gegevens die met
zorg door en voor de overheid zijn verzameld krijgen zo een extra meerwaarde voor
de burger en de samenleving als geheel.

Het kunnen delen van de eigen gegevens zorgt daarnaast voor minder administratieve
rompslomp omdat de burger niet meer naar een fysieke overheidsbalie hoeft voor een
gewaarmerkte papieren verklaring, maar die thuis, digitaal kan regelen. Daarvan profiteert
ook de betreffende dienstverlener, die minder tijd kwijt is aan het zelf verzamelen
en controleren van gegevens en herstelwerk door onjuiste of verouderde gegevens11.

Het delen van gegevens past in een ontwikkeling waarbij niet de organisatie van de
overheid leidend is, maar de leefwereld en behoeften van de burger, en waarbij de
autonome burger zoveel mogelijk zelf regie voert op zijn eigen situatie. Daarbij wordt
hij meer en meer de regisseur van zijn eigen gegevens, en vervaagt de vaak als onnatuurlijk
ervaren scheiding tussen overheid en niet-overheid. Een burger die verhuist, werkloos
wordt of trouwt heeft immers niet alleen met de overheid, maar ook met andere organisaties
te maken, en wil daarbij misschien dezelfde gegevens kunnen gebruiken.

Stand van zaken

Digitaal delen van gegevens (ook wel aangeduid als personal datamanagement) is in
basale vorm nu al mogelijk in de vorm van een gewaarmerkte PDF die de burger zelf
kan downloaden en verspreiden, bijvoorbeeld van de digitale inkomensverklaring. De
afgelopen jaren zijn echter ook meer innovatieve concepten ontwikkeld waarvoor nog
geen standaardoplossingen zijn en waarvan nog geen grootschalige implementaties bestaan.
Dit betekent dat het delen van gegevens heel verschillende verschijningsvormen kan
hebben, zoals:

• een gewaarmerkte PDF die de burger kan downloaden en doorsturen;

• een persoonlijke domein bij een intermediair waarnaar de burger zijn gegevens kan
uploaden en van waaruit hij deze naar believen kan doorsturen;

• toestemming van de burger aan de dienstverlener voor het direct opvragen van zijn
gegevens bij de overheid (bijvoorbeeld via MijnOverheid)12.

Initiatieven voor het delen van gegevens kunnen worden genomen door de overheid zelf,
door private dienstverleners (zoals zorginstellingen of woningcorporaties) en/of door
intermediairs die fungeren als schakel tussen burger en dienstverlener en speciaal
hiervoor toepassingen ontwikkelen. Voorbeelden van initiatieven zijn Blauwe Knop13, EduMij, MedMij14, Irma, Ockto, Qiy en Schluss. Deze verschillen onderling in toepassingsdomein (zoals
zorg of woningmarkt), technologie en functionaliteit (zie hierboven), mate van volwassenheid
en eigenaarschap (publiek en/of privaat). Sommige initiatieven zijn mogelijk al binnen
een of twee jaar gereed voor grootschalige uitrol.

Elke oplossing kent een eigen afsprakenstelsel waarin de spelregels tussen de actoren
(burger, overheid, intermediair, private dienstverlener) zijn vastgelegd. Uiteraard
moeten deze opereren binnen bestaande wettelijke kaders.

Nederland hoort met deze ontwikkeling internationaal tot de voorlopers.

Het kabinet wil deze ontwikkeling actief stimuleren. Het denkt hierbij primair aan
dienstverleners met een maatschappelijke doelstelling (zoals hierboven genoemd), maar
gaat er bij de ontwikkeling van beleid en wetgeving van uit dat het delen van gegevens
ook met commerciële partijen zal plaatsvinden (zoals hypotheekverstrekkers, verzekeraars
of internetwinkels).

Het kabinet wil de bestaande diversiteit aan (publieke en private) initiatieven daarbij
handhaven en stimuleren. Diversiteit is immers een voorwaarde voor innovatie.

Risico's

Het delen van gegevens creëert niet alleen kansen, maar ook risico's. Het gaat immers
om gegevens met een hoge marktwaarde voor commerciële partijen en een groot potentieel
voor criminele activiteiten. Burgers zijn zich niet altijd bewust met wie ze te maken
hebben, waardoor grote hoeveelheden gevoelige gegevens in verkeerde handen kunnen
komen, met alle gevolgen vandien. Ook wie (schijnbaar) bewust toestemming geeft kan
niet altijd overzien wat er na verstrekking met zijn gegevens gebeurt. Lang niet iedereen
is zich ook bewust van de wettelijke regels waaraan de ontvanger van zijn gegevens
moet voldoen, bijvoorbeeld als het er om gaat dat niet meer gegevens worden gevraagd
en bewaard dan voor de afgesproken dienstverlening nodig is (zogenaamde dataminimalisatie).
Een risico is verder dat burgers zich gedwongen kunnen voelen om gegevens digitaal
te delen, vooral als zij een afhankelijkheidsrelatie met de betreffende dienstverlener
hebben, zoals de schuldhulpverlener of (in de huidige gespannen woningmarkt) de verhuurder.

Dilemma

Het kabinet onderkent het dilemma om hetzij actief in deze ontwikkelingen te participeren
en daarmee geconfronteerd te worden met de genoemde risico's, hetzij niet in de ontwikkelingen
mee te gaan, maar daardoor kansen te missen om de maatschappelijke dienstverlening
te helpen vernieuwen, bijvoorbeeld in de zorg, de schuldhulpverlening of de woningmarkt.

In dat laatste geval zullen de ontwikkelingen óók plaatsvinden, maar dan buiten de
overheid om. Burgers zullen hun gegevens ook dan, op basis van de reeds bestaande
inzagemogelijkheden in hun eigen gegevens met private dienstverleners delen, maar
zonder ondersteuning of toezicht van de overheid15.

Het kabinet ziet hier dan ook een zorgplicht voor de overheid, ook en vooral omdat
de gedeelde gegevens afkomstig zijn uit het overheidsdomein. Het kiest er daarom voor
om én actief te participeren in lopende experimenten én, parallel daaraan, een wettelijk
kader te ontwikkelen waaraan toepassingen voor het delen van gegevens moeten gaan
voldoen.

Kader

Het kabinet denkt daarbij aan een kader met de volgende ijkpunten:

• de burger is zelf verantwoordelijk voor de beslissing om gegevens te delen met private
dienstverleners en geeft daarvoor expliciete toestemming;

• voor de burger is helder welke gegevens hij deelt, voor welk doel deze worden gebruikt,
en wat de (mogelijke) consequenties van verstrekking zijn;

• duidelijk is wanneer de toestemming voor het gebruik van de gegevens eindigt en de
dienstverlener de verstrekte gegevens weer verwijdert;

• het delen van gegevens is op basis van vrijwilligheid en de bereidheid om gegevens
digitaal (in plaats van op papier) te delen speelt geen rol voor het wel of niet verkrijgen
van een dienst;

• een burger die dat wil heeft op of via één centrale plek (bijvoorbeeld MijnOverheid)
overzicht via welke intermediairs hij met welke dienstverleners gegevens deelt c.q.
heeft gedeeld, en waar hij moet zijn om zijn toestemming voor het delen van gegevens
kan intrekken;

• dienstverleners en intermediairs voldoen aan de AVG, en vragen dus niet meer gegevens
dan nodig voor het verlenen van die dienst en bewaren deze niet langer dan nodig;

• dienstverleners en intermediairs voldoen aan de Wet digitale overheid, en werken dus
binnen de wettelijke mogelijkheden en beperkingen ten aanzien van het gebruik van
het BSN en van authenticatiemiddelen zoals DigiD;

• dienstverleners en intermediairs maken als het om basisgegevens gaat waar mogelijk
gebruik van gegevens uit de authentieke bron.

Dit kader fungeert als een overkoepelend, niet-vrijblijvend afsprakenstelsel, en vormt
daarmee de basis voor specifieke afsprakenstelsels (b.v. voor Medmij of Blauwe Knop).
Binnen deze specifieke stelsels kunnen aanvullende, hogere eisen gelden, bijvoorbeeld
als het medische gegevens betreft.

Met dit kader wordt de eigen verantwoordelijkheid van de burger niet overgenomen.
Wel wordt duidelijkheid en zekerheid geboden, zowel voor de burger, de overheid, de
betreffende dienstverlener als de intermediair. De verwachting is dat deze duidelijkheid
het toetreden van nieuwe initiatieven en de uitrol van bestaande initiatieven bevordert.

Juridische verankering

Het delen van gegevens gaat over het delen op initiatief van de burger zélf, en dus
niet over gegevensverstrekkingen van een bestuursorgaan aan een ander bestuursorgaan
op basis van een bestaande wettelijke taak of verplichting.

De juridische grondslag voor het delen van gegevens wordt gevormd door de AVG. Op
basis hiervan heeft de burger nu al recht op digitale inzage in zijn eigen gegevens
(zonder dat hij dat nader hoeft te motiveren). Hij kan deze vervolgens besluiten te
delen met derden (zonder dat de overheid daarvan medeweten heeft).

Dat er al een juridische basis voor het delen van gegevens is, wil niet zeggen dat
er ook voldoende waarborgen zijn dat dat veilig en verantwoord kan. Het genoemde kader
moet aanvullende waarborgen creëren en zal daartoe worden verankerd in de Wet digitale
overheid en van instrumenten worden voorzien. Hierbij zal ook worden voorzien in een
passende vorm van toezicht op naleving. De wijze van wettelijke verankering en het
bijbehorende toezicht behoeven nadere uitwerking16.

Europese context

De Europese richtlijn Payment Services Directive 2 (PSD2) van 2015 heeft als doel
om het Europese betalingsverkeer innovatiever te maken en consumenten beter te beschermen
bij online-betalingen. Hoewel de richtlijn betrekking heeft op de markt voor financiële
dienstverlening en niet op publieke dienstverlening, zijn de achterliggende doelen
(het kunnen delen van persoonlijke gegevens met derden), mechanismen en vraagstukken
(onder andere privacy, digivaardigheid, mogelijk misbruik) verwant en kan dus van
de toekomstige ervaringen met PSD2 worden geleerd.

Het Ministerie van BZK volgt de ontwikkelingen in het buitenland ten aanzien van regie
op gegevens, met name bij andere voorlopers zoals Finland en Oostenrijk.

Realisatie

Het kabinet zal, onder meer in het kader van het programma Regie op Gegevens, de volgende
activiteiten uitvoeren:

• ontwikkeling van generieke kaders voor het delen van gegevens, onder andere ten aanzien
van privacybescherming, beveiliging, standaardisatie en bekostiging;

• wettelijke verankering van deze kaders in de Wet digitale overheid;

• onderzoek wat nodig is om te zorgen dat met name minder digivaardige burgers veilig
en verantwoord gebruik kunnen maken van de mogelijkheden voor het delen van gegevens;

• onderzoek hoe bij het delen van gegevens het principe van dataminimalisatie optimaal
kan worden toegepast (door bijvoorbeeld geen geboortedatum te verstrekken, maar slechts
te bevestigen dat iemand meerderjarig is);

• stimuleren van kennisuitwisseling tussen lopende (pilot)toepassingen;

• monitoring van vergelijkbare ontwikkelingen bij andere Europese landen;

• kosten-batenanalyses van lopende initiatieven om inzicht te krijgen in de maatschappelijke
baten van het delen van gegevens;

• onderzoek naar de wenselijkheid en mogelijke invulling van één centrale plek (bijvoorbeeld
MijnOverheid) waar de burger die dat wil overzicht heeft van de toestemmingen en gegevens
die hij heeft verstrekt;

• inrichting van een proefomgeving binnen MijnOverheid waar nieuwe concepten met instemming
van de deelnemende burgers in de praktijk kunnen worden beproefd, waarbij wordt gestart
met een pilot voor het delen van inkomens- en adresgegevens met woningcorporaties;

• toepassing van het concept van delen van gegevens bij (bestaande en toekomstige) verstrekking
van BRP-gegevens, zodat burgers zelf kunnen bepalen welke maatschappelijke organisaties
hun gegevens krijgen (conform regeerakkoord onder meer bij verstrekkingen aan de Stichting
Interkerkelijke Ledenadministratie);

• onderzoek door de Staatssecretaris van BZK, samen met gebruikers van de BRP, of het
mogelijk is om burgers zelf te laten bepalen hoe zij door de overheid worden aangeschreven
als het gaat om het geslacht17.

spoor 2: Eenmalige verstrekking

Eenmalige gegevensverstrekking betekent dat de burger regie heeft op de gegevens die
hij aan de overheid moet verstrekken, doordat hij kan weigeren om gegevens die de
overheid al heeft (opnieuw) te verstrekken. Eenmalig verstrekken impliceert een (verplicht)
hergebruik van gegevens die binnen de overheid al beschikbaar zijn.

Het principe van verplicht gebruik en eenmalige verstrekking is nu al van toepassing
op de zogenaamde authentieke gegevens uit de basisregistraties en is wettelijk verankerd
voor elk van de basisregistraties afzonderlijk18. Burgers zijn zich hier echter maar zelden van bewust en worden hier ook niet actief
op gewezen. Op het recht op eenmalige verstrekking geldt een aantal algemene en veel
voorkomende uitzonderingen, bijvoorbeeld wanneer onverkorte toepassing strijdig is
met een goede vervulling van de eigen taak, het gegeven in onderzoek is, of de gegevens
nodig zijn voor een deugdelijke vaststelling van de identiteit.

Gebruik van de basisregistraties is binnen de overheid algemene praktijk, niet alleen
omdat dat verplicht is, maar ook omdat overheidsorganisaties daar vanuit de optiek
van klantgerichtheid, kosten en gegevenskwaliteit zelf belang bij hebben.

Ook bij andere landelijke gegevensregistraties is al sprake van een hoge mate van
hergebruik en eenmalige verstrekking, ook al is dit in tegenstelling tot de basisregistraties
(meestal) niet als een expliciete wettelijke plicht c.q. wettelijk recht verankerd19. Onderzocht zal worden in hoeverre het principe van eenmalige verstrekking ook op
deze registraties toepasbaar is20.

In het Regeerakkoord is het voornemen opgenomen om ook de e-mail-adressen van burgers
in een basisregistratie vast te leggen. Ook hiermee wordt hergebruik en eenmalige
verstrekking bevorderd. Op dit moment wordt de mogelijke invulling en haalbaarheid
hiervan onderzocht. Het kabinet zal de Kamer hierover separaat informeren.

Hergebruik is in de praktijk niet altijd en overal mogelijk, ook niet voor de basisgegevens,
bijvoorbeeld omdat sectorale wetgeving afwijkende eisen stelt aan de definitie van
de gegevens (zo zijn er met reden verschillende definities van het inkomen), omdat
invoering voor sommige informatiesystemen tot onevenredig grote investeringen en/of
bedrijfsrisico's leidt, of vanwege wettelijke beperkingen op het hergebruik (bijvoorbeeld
van medische gegevens). Ook in de toekomst zullen óók de basisgegevens soms opnieuw
moeten worden verstrekt en is een absoluut recht op eenmalige verstrekking dus niet
haalbaar. Wel kunnen bestaande belemmeringen stapsgewijs worden weggenomen waar dat
redelijkerwijs mogelijk is.

Europese context

Eenmalige gegevensverstrekking is ook een prominente doelstelling van de Europese
digitale agenda. In de Tallinn-declaratie21 van 2017 hebben de EU-lidstaten zich gecommitteerd aan de doelstelling om eenmalige
gegevensverstrekking en hergebruik van gegevens te bevorderen, met name voor basisregistraties
en vergelijkbare gegevensbestanden22. Het Nederlandse stelsel van basisregistraties wordt daarbij als voorbeeld gesteld.

Op de langere termijn vormt de Europese verordening Single Digital Gateway (SDG) een
verdere impuls voor eenmalige verstrekking. Deze heeft als doel om Europese burgers
en bedrijven via één loket toegang te bieden tot informatie, procedures en ondersteuning
voor het wonen, werken en ondernemen in andere lidstaten. De primaire focus ligt daarbij
op circa twintig veelgevraagde, grensoverschrijdende diensten, zoals het registreren
van een auto of het claimen van pensioenrechten. Uiterlijk in 2023 hebben Europese
burgers en bedrijven het recht de noodzakelijke gegevens daarvoor slechts één keer
te verstrekken. Momenteel wordt een impactanalyse gedaan van de invoering van de Single
Digital Gateway in Nederland.

Realisatie

Het kabinet wil hergebruik van gegevens binnen de overheid bevorderen en belemmeringen
daarvoor waar mogelijk wegnemen. Om hier invulling aan te geven wordt een plan van
aanpak opgesteld, waarbij de primaire focus ligt op de basisregistraties. Dit plan
bevat (tenminste) de volgende elementen:

• verplicht gebruik en eenmalige verstrekking van de basisgegevens worden, aanvullend
op de wetgeving voor de afzonderlijke basisregistraties, ook generiek verankerd in
de Wet digitale overheid met het oog op de ontwikkeling van passende, registeroverstijgende
instrumenten (onder meer gericht op de onderlinge consistentie en gegevensuitwisseling
tussen de afzonderlijke basisregistraties);

• met uitvoeringsorganisaties en gemeenten wordt in kaart gebracht waar belemmeringen
voor verplicht gebruik en eenmalige verstrekking van de basisgegevens zijn, en wordt
onderzocht of en hoe deze kunnen worden weggenomen23;

• aan de Kamer wordt periodiek gerapporteerd over de voortgang in het wegnemen van de
geconstateerde belemmeringen;

• voor burgers wordt via MijnOverheid inzichtelijk gemaakt voor welke gegevens nu al
een recht op eenmalige verstrekking geldt (en voor welke organisaties of toepassingen
dit nu nog niet mogelijk is);

• met grote uitvoeringsorganisaties en gemeenten wordt onderzocht hoe eenmalige verstrekking
kan worden bevorderd door (analoge of digitale) formulieren standaard vóór in te vullen;

• met de betreffende registerhouders wordt onderzocht in hoeverre het principe van eenmalige
verstrekking ook toepasbaar is op gegevens uit andere landelijke gegevensregistraties;

• er wordt (conform Regeerakkoord; bijlage bij Kamerstuk 34 700, nr. 34) onderzoek gedaan naar de vastlegging van de e-mailadressen van burgers in een centraal
register;

• er wordt een impactanalyse gedaan van de invoering van de Europese verordening Single
Digital Gateway, inclusief het daarbinnen geldende recht op eenmalige gegevensverstrekking.

De Rekenkamer heeft op 18 juni jl. het rapport «Grip op gegevens: het stelsel van
basisregistraties voor burgers en bedrijven» gepubliceerd, waarin verplicht gebruik
en eenmalige verstrekking belangrijke aandachtspunten zijn24. Mogelijk geeft dit nog aanleiding tot aanvullende inzichten en activiteiten.

spoor 3: Inzage en correctie

Inzage en correctie houdt in dat de burger het recht heeft om (digitaal):

• door de overheid vastgelegde persoonsgegevens in te zien;

• in te zien welke gegevens de overheid voor welk doel (en op welke wettelijke grondslag)
gebruikt en uitwisselt;

• de gegevens zonodig te (laten) wijzigen of corrigeren.

Het recht op inzage en correctie is al sinds 2001 wettelijk geregeld in de Wet bescherming
persoonsgegevens (Wbp) respectievelijk de AVG. De Autoriteit Persoonsgegevens houdt
hierop toezicht.

Overheidsorganisaties geven hier binnen de kaders van de wetgeving op hun eigen manier
invulling aan, passend bij de behoefte van hun klanten, de aard van hun dienstverlening,
de mogelijkheden van hun ICT-infrastructuur, de keten waarvan zij deel uitmaken, en
de (andere) beleidsprioriteiten waarvoor zij staan.

Uitbreiding van de inzage- en correctiemogelijkheden krijgt met name vorm binnen de
digitale omgeving (klantdossiers en mijn-domeinen) van uitvoeringsorganisaties en
gemeenten. In diezelfde omgeving kan de burger persoonlijke diensten aanvragen en
wijzigen, krijgt hij maatwerkadvies en -ondersteuning, en kan hij zonodig een bezwaar
of klacht indienen. Inzage en correctie staan dus niet op zich, maar zijn een integraal
onderdeel van het klantproces.

Een aansprekend voorbeeld daarvan is het portaal Mijn Toeslagen, dat niet alleen aangeeft
op welke gegevens de toeslag is gebaseerd, maar ook welke basisregistraties en andere
bronnen de Belastingdienst heeft gebruikt, en waar de klant terecht kan om wijzigingen
in zijn gegevens door te geven. Als de burger hier toch niet de informatie vindt die
hij zoekt, of als hij meent dat gegevens niet kloppen, dan kan hij bij de Belastingdienst
(als verwerkingsverantwoordelijke in de zin van de AVG) een verzoek om inzage of correctie
indienen.

Door inzage en correctie te integreren in het dienstverleningsproces wordt de logica
van de burger leidend gemaakt, en niet de gegevensinfrastructuur van de overheid.
Overheidsbrede standaardisatie en herbruikbaarheid van gegevens en functionaliteit
maken het steeds vaker mogelijk dat gegevens op elke gewenste plek kunnen worden getoond,
o.a. in de vorm van zogenaamde API's25. In verdere standaardisatie en ontwikkeling van API's liggen de komende jaren nog
grote kansen.

Als het gaat om de basisgegevens zijn de portalen van de betreffende registerhouders
(als verwerkingsverantwoordelijke) de eerstaangewezen bron. Ook daar zullen de digitale
inzage- en correctiemogelijkheden gaandeweg worden uitgebreid. De manier waarop en
het tempo waarin zullen daarbij per basisregistratie verschillen26.

Burgers die op één plek inzicht in alle basisgegevens willen, kunnen daarvoor op MijnOverheid
terecht27. De bestaande inzage in de basisgegevens zal worden uitgebreid met verstrekkingsinformatie,
zodat een burger op één plek kan zien aan welke overheidsorganisaties zijn basisgegevens
worden/zijn verstrekt:

• generiek (welke gegevens mogen aan welke organisaties worden verstrekt, met welk doel
en op welke juridische basis);

• waar mogelijk ook specifiek (welke gegevens zijn daadwerkelijk wanneer aan welke organisatie
verstrekt)28.

De functionaliteit in MijnOverheid zal verder worden uitgebreid met een correctiefunctionaliteit,
die burgers direct toeleidt naar het bezwaar-, correctie- of wijzigingsproces van
de betreffende registratiehouder.

Voor de BRP, die geen eigen landelijk portaal heeft, fungeert MijnOverheid als primaire
(digitale) vindplaats. Verder ontsluit MijnOverheid naast de basisregistraties meerdere
andere, landelijke registraties (zoals het Donorregister, het Diplomaregister en mijnpensioenoverzicht.nl).
Onderzocht zal worden of in MijnOverheid ook de basisregistratie Handelsregister voor
burgers ontsloten kan worden, dus op BSN29,30.

Correctie van gegevens zal in de praktijk overigens meestal niet met een simpele druk
op de knop kunnen. Dat geldt met name voor de basisgegevens. Vaak zal na een digitaal
correctieverzoek aanvullend bewijsmateriaal moeten worden overlegd en/of dossieronderzoek
moeten worden gedaan voordat een gegeven kan worden gecorrigeerd. In de praktijk is
het aantal ingediende en gehonoreerde correctieverzoeken voor basisgegevens beperkt.
Dit hangt ermee samen dat authentieke basisgegevens (zoals de geboortedatum) niet
of weinig veranderen en dat de kwaliteit van de basisregistraties nu al op een zeer
hoog niveau ligt31.

Overigens is transparantie meer dan inzicht in de eigen persoonlijke gegevens. Transparantie
is bijvoorbeeld ook inzicht in de algoritmes en artificial intelligence die de overheid
toepast bij de verwerking van die gegevens ten behoeve van dienstverlening of handhaving. Het kabinet zal de
Kamer hierover na de zomer informeren middels een Strategisch Actieplan Artificial
Intelligence (SAPAI) en een beleidsbrief Artificial Intelligence en Publieke Waarden.

De gevolgen van een onjuist gegeven sneller herstellen

Inzage en correctie kunnen burgers helpen om hun informatiepositie te verbeteren en
zo meer grip te krijgen op hun relatie met de overheid. Niet alle burgers hebben echter
de vaardigheid en het doorzettingsvermogen om de weg te vinden in een vaak ingewikkeld
en versnipperd dossier32. Met name voor complexe probleemgevallen is dan ook een meer integrale, persoonlijke
benadering nodig om de gevolgen van onjuiste gegevens te herstellen. Een aantal grote
uitvoeringsorganisaties, zoals Belastingdienst, RDW en UWV heeft binnen de eigen organisatie
speciale oplosteams ingericht die daarbij een belangrijke rol vervullen, aanvullend
op de reguliere klantprocessen en -kanalen (als helpdesk, beroeps- en bezwaarprocedures).
Deze teams hebben hun toegevoegde waarde inmiddels bewezen.

Sommige problemen overstijgen echter de grens van één overheidsorganisatie. Het Ministerie
van BZK verkent met uitvoeringsorganisaties en gemeenten de mogelijkheden om burgers
ook dan beter te helpen. Hierbij worden verschillende oplossingen verkend, zoals bevordering
van specifieke deskundigheid en een beter gebruik van de beschikbare discretionaire
ruimte voor maatwerk. Onderzocht zal worden of ook een oplosteam voor gegevensgerelateerde,
organisatie-overstijgende problemen hieraan een bijdrage kan leveren, bijvoorbeeld
(ook) in de vorm van een pilot33. De inzet daarbij is (vooralsnog) niet om een nieuw meldpunt voor burgers in te richten
of de verantwoordelijkheid van individuele organisaties over te nemen, maar ervoor
te zorgen dat knellende gevallen snel worden opgeschaald naar een organisatie-overstijgend
niveau met deskundigheid en gezag, zodat de gevolgen van een onjuist gegeven sneller
worden hersteld.

Realisatie

Het kabinet zal de volgende initiatieven nemen:

• met basisregistratiehouders, uitvoeringsorganisaties en gemeenten wordt onderzocht
wat de precieze behoefte van burgers aan inzage en correctie is (waarom, wanneer,
waar, hoe);

• met uitvoeringsorganisaties en gemeenten wordt onderzocht of een overheidsbreed oplosteam
een bijdrage kan leveren aan het sneller herstellen van de gevolgen van een onjuist
gegeven;

• met uitvoeringsorganisaties en gemeenten wordt (onder andere in de vorm van een gezamenlijke
pilot) onderzocht of burgers vóóraf, bij het aanvragen van een overheidsdienst, willen
en kunnen worden geïnformeerd over de gegevens die voor de aanvraag en uitvoering
van die dienst gebruikt worden;

• de bestaande mogelijkheden voor inzicht in MijnOverheid worden uitgebreid door:

– stapsgewijze uitbreiding van de bestaande inzage in de basisgegevens met verstrekkingsinformatie;

– te onderzoeken of ook de basisregistratie Handelsregister voor burgers (dus op BSN-nummer)
ontsloten kan worden;

– stapsgewijze uitbreiding van de functionaliteit met een digitale correctiefunctionaliteit;

– stapsgewijze uitbreiding van het aantal (andere) landelijke registraties waarvan de
gegevens (behalve op het betreffende portaal) ook via MijnOverheid kunnen worden ingezien.

Ten aanzien van de inzage- en correctiemogelijkheden in MijnOverheid zijn de mogelijkheden
van de afzonderlijke basisregistraties leidend. Zo is het traject voor de modernisering
van de BRP bepalend voor de inzage- en correctiemogelijkheden die burgers in de BRP
hebben. Hetzelfde geldt voor de andere (basis)registraties. De inzage- en correctiemogelijkheden
zullen voor sommige basisgegevens dus uitgebreider zijn dan voor andere basisgegevens.

Het bovenstaande sluit aan bij de Tallinn-declaratie van 2017, waarin de EU-lidstaten
zich hebben gecommitteerd aan het vergroten van de openheid en transparantie in de
omgang met persoonlijke gegevens, en waarbij het accent, net als in deze brief, wordt
gelegd op basisregistraties en vergelijkbare gegevensbestanden. Ook hierin behoort
Nederland nu al tot de Europese voorhoede.

Iedereen moet kunnen meedoen

Regie op de eigen gegevens is voor alle burgers. Kwetsbare en/of niet-digivaardige
burgers hebben daarbij speciale aandacht, omdat regie juist voor hen zowel kansen
als risico's creëert.

Inzet van het kabinet is dat regie op gegevens bijdraagt aan het oplossen van de problemen
van kwetsbare en/of niet-digivaardige burgers, omdat ze (door het kunnen delen van
gegevens) beter en met minder administratieve rompslomp ondersteund kunnen worden,
bijvoorbeeld in de zorg of de schuldhulpverlening, en (door inzage en correctie in
hun gegevens) meer inzicht in en grip op hun persoonlijke situatie hebben.

Tegelijkertijd is het de vraag of iedereen, ondanks alle waarborgen, wel uit de voeten
kan met die nieuwe mogelijkheden, de potentiële risico's overziet en ook het doenvermogen
heeft om daar naar te handelen34. Dat geldt met name voor het weerstaan van de druk van private partijen om de eigen
gegevens te delen. Onderzoek en monitoring moet hier meer inzicht in en handvatten
voor bieden.

Specifiek als het gaat om niet-digivaardige burgers heeft het kabinet in de brief
«Digitale inclusie; iedereen moet kunnen meedoen» aangegeven hoe deze worden ondersteund om mee te kunnen in de informatiesamenleving.
De daarbij uiteengezette lijn is ook van toepassing op het voeren van regie op de
eigen gegevens:

• De primaire inzet is het digivaardig maken van wie dat nu niet is, onder meer door
het aanbieden van cursussen;

• Wie ondanks alle ondersteuning niet digitaal kan, kan iemand machtigen om namens hem
regie te voeren (zoals een zorgcoach of belastingconsulent);

• In overleg met de betreffende overheidsorganisatie kan ook een ander, analoog kanaal
worden gezocht, zoals balie, telefoon of papieren post35.

Stapsgewijze ontwikkeling en uitrol

Onderzoek

De ervaringen met regie op gegevens (met name in spoor 1, maar ook in de sporen 2
en 3) zijn nog relatief beperkt, zowel in Nederland als daarbuiten. Wat de behoefte
van gebruikers aan de verschillende vormen van regie is, en inhoeverre regie op gegevens
ook daadwerkelijk bijdraagt aan de beoogde beleidsdoelen, vergt onderzoek naar de
behoeften, ervaringen en acceptatie van gebruikers. Op basis daarvan kan worden bepaald
welke stappen zinvol en wenselijk zijn om de regie-opties stapsgewijs uit te breiden,
ook in het licht van schaarse middelen (geld, expertise, verandervermogen).

Op specifieke deelaspecten zijn onderzoeken en/of pilots nodig om te kunnen bepalen
wat de achterliggende problematiek, de technische haalbaarheid en/of de invoeringsconsequenties
zijn, alvorens een verantwoord besluit kan worden genomen over daadwerkelijke realisatie.
Belangrijk daarbij zijn met name:

– het onderzoek naar de kaders voor het delen van gegevens en de wijze van wettelijke
verankering hiervan;

– de inrichting van een proefomgeving binnen MijnOverheid voor het delen van gegevens
(onder meer ten behoeve van een pilot met woningcorporaties);

– het onderzoek naar de belemmeringen voor verplicht gebruik en eenmalige verstrekking;

– het onderzoek (inclusief proef) naar de mogelijke invulling en toegevoegde waarde
van een overheidsbreed oplosteam voor knellende gevallen.

Eenmalige gegevensverstrekking, inzage en correctie

Als het gaat om eenmalige gegevensverstrekking en digitale inzage en correctie kan
er al veel en worden er overheidsbreed grote stappen gezet. Nederland behoort daarmee
tot de koplopers. Dat wil niet zeggen dat eenmalige verstrekking op afzienbare termijn
overal mogelijk is, ook niet van de basisgegevens. Evenmin kunnen alle denkbare gegevens
digitaal worden ingezien. Het digitaal aanbieden van gedetailleerde verstrekkingsinformatie
(welke overheidsorganisatie heeft wanneer welke gegevens uitgewisseld) is nu zelfs
nog een hoge uitzondering. Er zijn dus nog forse inspanningen nodig om de beoogde
doelen te realiseren.

Hier invulling aan geven is de verantwoordelijkheid van de betreffende overheidsorganisatie.
Elke organisatie doet dit op zijn eigen manier en in zijn eigen tempo, passend bij
de behoefte van zijn klanten, de aard van zijn dienstverlening, de mogelijkheden van
zijn ICT-infrastructuur, en de keten waarvan hij deel uitmaakt.

Dit betekent dat regie op gegevens op verschillende fronten en in verschillende snelheden
plaatsvindt, waarbij elke organisatie dit inpast in de eigen beleidsprioriteiten en
het eigen meerjarige portfoliomanagement. Dit geeft de ruimte aan alle initiatief
en innovatie vanuit de uitvoeringspraktijk, maakt het gezamenlijke proces beheersbaar,
en voorkomt dat de voortgang afhankelijk wordt van één of enkele organisaties.

MijnOverheid

Ten aanzien van de inzage- en correctiemogelijkheden in MijnOverheid is de ontwikkelagenda
van de basisregistraties leidend. Zo is het proces voor de modernisering van de BRP
medebepalend voor de inzage- en correctiemogelijkheden in de BRP via MijnOverheid.
Hetzelfde geldt voor de andere (basis)registraties. Dit betekent dat de inzage- en
correctiemogelijkheden voor sommige basisgegevens verder gevorderd zullen zijn dan
voor andere basisgegevens. Dit sluit aan bij de tot nu toe ontwikkel- en uitrolstrategie
van MijnOverheid, te weten aansluiten en doorontwikkelen op verschillende snelheden.

Basisregistratie Personen

Specifiek wat betreft de BRP is de inzet om de voortrekkersrol die deze van meet af
aan binnen MijnOverheid heeft vervuld voort te zetten bij de ontwikkeling van nieuwe
vormen van regie. Tegelijkertijd is met Kamer en mede-overheden afgesproken om het
lopende jaar te gebruiken voor een brede heroriëntatie op de BRP. Dat betekent dat
grote ingrepen in architectuur, infrastructuur of functionaliteit niet aan de orde
zijn. De primaire focus zal wat betreft de sporen 2 en 3 (verplicht gebruik en eenmalige
verstrekking respectievelijk inzage en correctie) daarom liggen op de basis, namelijk
dat wat conform de AVG en de Wet BRP al moet. Daarnaast zal de BRP ook bijdragen aan
spoor 3 (delen van gegevens), voorzover dat geen grote ingrepen en risico's meebrengt
en met een acceptabele capaciteitsinzet en kosten kan worden gedaan. De verwachting
is dat de BRP ook binnen die beperking nu al een relevante bijdrage aan het delen
van gegevens kan leveren. Impactanalyses moeten dit echter bevestigen.

Bijlage

Bijlage 2 geeft een indicatie wanneer de verschillende vormen van regie globaal verwacht
kunnen worden. Realisatie is echter afhankelijk van inpassing in het portfolio van
de afzonderlijke basisregistratiehouders, uitvoeringsorganisaties en gemeenten. Impactanalyses
moeten hier nader inzicht in geven.

BIJLAGE 1: KABINETSREACTIE OP DE MOTIE KOERHUIS/DEN BOER

Met deze beleidsbrief geeft het kabinet tevens invulling aan de motie van de leden
Koerhuis en Den Boer waarin het kabinet wordt gevraagd om «in lijn met de initiatiefnota-Middendorp en Verhoeven te onderzoeken hoe iedere Nederlander
voor contact met de overheid een online-identiteit kan krijgen, alsmede een «digitale
kluis», waarin geselecteerde persoonlijke gegevens zijn opgeslagen, waarbij de mensen
zelf de regie over die gegevens krijgen en waarbij de overheid de gegevens uit die
kluis gebruikt als de unieke bron van persoonlijke gegevens».

Het kabinet gaat met deze beleidsbrief mee in de doelstellingen zoals geformuleerd
in de initiatiefnota (Kamerstuk 34 493, nr. 2). Hieraan wordt invulling gegeven door binnen bestaande wettelijke kaders en voortbouwend
op reeds bestaande e-overheidbouwstenen het streefbeeld stapsgewijs steeds dichter
bij te brengen. Grote ingrepen in de wetgeving, de informatie-infrastructuur of de
verantwoordelijkheidsverdeling, zoals de inrichting van een digitale kluis, zijn hiervoor
niet nodig, en daarom met het oog op de risico's en een efficiënte inzet van schaarse
middelen ook niet wenselijk.

«Online identiteit»

Aan de «online-identiteit», zoals de initiatiefnota deze beschrijft, geeft het kabinet
(in lijn met Regeerakkoord en NL DIGIbeter) invulling door MijnOverheid door te ontwikkelen
tot hét persoonlijke domein (cockpit, dashboard) van de burger, waar hij, met zijn
BSN als basis:

• zijn eigen persoonlijke gegevens kan inzien, corrigeren en digitaal kan delen;

• zijn berichten van de overheid kan ontvangen;

• zich kan abonneren op attenderingen («pushberichten»), bijvoorbeeld voor formele bekendmakingen
die betrekking hebben op zijn directe woonomgeving;

• zijn contactgegevens kan beheren, w.o. zijn e-mailadres (en eventueel ook zijn telefoonnummer);

• zijn identiteitsmiddelen (w.o. DigiD en eID) kan beheren;

• machtigingen kan verstrekken en verstrekte en ontvangen machtigingen kan inzien, wijzigen
en intrekken.

Door het bestaande portaal www.digid.nl te integreren in MijnOverheid, nieuwe functionaliteiten (voor attenderingen, contactgegevens
en machtiging) toe te voegen, en de bestaande mogelijkheden voor regie op MijnOverheid
uit te breiden, heeft de burger met de combinatie van BSN, DigiD/eID en MijnOverheid-account
een herkenbare eigen identiteit in zijn (digitale) relatie met de overheid.

«Eén bron»-principe

Aan een verplicht gebruik van gegevens («één bron»-principe) geeft deze beleidsbrief
invulling door stevig voort te bouwen op de al bestaande wettelijke verplichting tot
verplicht gebruik van de basisgegevens en het daarmee samenhangende recht van de burger
om een reeds beschikbaar basisgegeven niet (opnieuw) te hoeven verstrekken. Daartoe
zal het kabinet:

• verplicht gebruik en eenmalige verstrekking van de basisgegevens, aanvullend op de
wetgeving voor de afzonderlijke basisregistraties, ook generiek verankeren in de Wet
digitale overheid, onder meer met het oog op de ontwikkeling van passende, registeroverstijgende
instrumenten;

• met uitvoeringsorganisaties en gemeenten in kaart brengen waar belemmeringen voor
verplicht gebruik en eenmalige verstrekking van de basisgegevens zijn, en onderzoeken
of en hoe deze kunnen worden weggenomen;

• aan de Kamer periodiek rapporteren over de voortgang in het wegnemen van de geconstateerde
belemmeringen;

• op MijnOverheid voor burgers inzichtelijk maken voor welke gegevens nu al een recht
op eenmalige verstrekking geldt (t.w. alle basisgegevens, met een aantal uitzonderingen);

• onderzoeken in hoeverre het principe van eenmalige verstrekking ook toepasbaar is
op gegevens uit andere landelijke gegevensregistraties.

«Digitale kluis»

Een «digitale kluis» in de zin van een verzameling basisgegevens waarover de burger
de (absolute) zeggenschap heeft, ziet het kabinet ook op termijn niet als een realistische
optie.

Een burger kan verstrekking van zijn gegevens aan een overheidsorganisatie immers
niet weigeren. Dat geldt vanzelfsprekend voor de uitvoering van wettelijke (handhavings)taken,
maar ook als het gaat om dienstverlening zal een burger de daarvoor noodzakelijke
gegevens moeten verstrekken, wil hij in aanmerking komen voor een vergunning, toeslag,
uitkering of subsidie.

Waarborgen dat de overheid daarvoor niet meer gegevens gebruikt dan nodig is (een
mogelijk argument voor een digitale kluis), biedt de AVG, waarbij de burger op basis
van zijn recht van inzage desgewenst kan controleren of het gebruik van zijn gegevens
doelgebonden en proportioneel is.

Waarborgen dat de overheid reeds beschikbare basisgegevens niet opnieuw uitvraagt
(een ander mogelijk argument voor een digitale kluis) biedt de bestaande wetgeving
voor de basisregistraties al. Ook daarbij geldt echter dat hergebruik van basisgegevens
in de praktijk niet altijd en overal mogelijk zal zijn, ook niet op de langere termijn.

Invoering van een digitale kluis vergt bovendien zeer forse ingrepen in bestaande
informatiesystemen, gegevensinfrastructuur, werkprocessen en organisatie van de overheid.

Verstrekking aan organisaties buiten de overheid

Hoewel in de initiatiefnota niet expliciet geadresseerd, ziet het kabinet, zoals in
deze beleidsbrief geschetst, een groot maatschappelijk potentieel in de mogelijkheid
om gegevens te delen met private dienstverleners.

Omdat de burger daarbij zélf bepaalt om zijn gegevens wel of niet te delen, zou hier
wél kunnen worden gesproken van een digitale kluis, zij het niet in de vorm van één
unieke, door de overheid gefaciliteerde en beheerde voorziening.

BIJLAGE 2: REALISATIE OP HOOFDLIJNEN

Onderstaand schema geeft een globale indicatie wanneer de verschillende vormen van
regie verwacht kunnen worden. Realisatie is echter afhankelijk van inpassing in het
meerjarige portfolio van de afzonderlijke basisregistratiehouders, uitvoeringsorganisaties
en gemeenten. Impactanalyses moeten inzicht geven in de nadere planning.

 

eenmalige gegevensverstrekking

inzage en correctie

delen van gegevens

wat kan nu al

– verplicht gebruik en eenmalige verstrekking zijn wettelijk verankerd voor alle basisgegevens

– eenmalige verstrekking is algemene praktijk bij overheidsorganisaties (maar met
uitzonderingen)

– de burger heeft conform de AVG al wettelijk recht op inzage en correctie

– individuele overheidsorganisaties bieden al veel digitale inzage- en correctiemogelijkheden

– de burger kan via MijnOverheid bijna alle basisgegevens inzien

– idem meerdere andere landelijke bronnen (zoals Diplomaregister)

– de burger vindt in MijnOverheid contactinformatie van de registratiehouder als hij
een basisgegeven wil laten wijzigen

– er is een groot aantal pilots en kleinschalige toepassingen van en met de overheid
(Blauwe Knop, EduMij, MedMij, etc.)

– het programma Regie op Gegevens stimuleert en faciliteert

plateau 1

(vanaf 2019)

– de burger kan in MijnOverheid zien voor welke gegevens het recht op eenmalige verstrekking
geldt

– onderzoek naar belemmeringen voor eenmalige verstrekking basisgegevens

– individuele overheidsorganisaties breiden de mogelijkheden verder uit

– de burger kan zijn basisgegevens ook inzien via een MijnOverheid-app

– de burger kan in MijnOverheid inzien wie zijn basisgegevens mogen krijgen

– de burger kan in MijnOverheid inzien wie welke basisgegevens ook daadwerkelijk wanneer
heeft gekregen (voor een eerste groep basisregistraties)

– de burger kan via MijnOverheid een correctieverzoek basisgegevens doen (voor een
eerste groep basisregistraties)

– de burger kan via MijnOverheid steeds meer andere landelijke registers inzien («top
15»)

– een vastgesteld kader waar toepassingen voor het delen van gegevens aan moeten voldoen

– nieuwe pilots en doorontwikkeling van bestaande pilots naar klein- of grootschalige
uitrol

plateau 2

(vanaf 2020)

– aanvullende verankering van verplicht gebruik en eenmalige verstrekking van de basisgegevens
in de WDO

– stapsgewijs wegnemen van belemmeringen voor eenmalige verstrekking

– individuele overheidsorganisaties breiden de mogelijkheden verder uit

– de burger kan via MijnOverheid inzien wie welke basisgegevens wanneer heeft gekregen
(voor een volgende groep basisregistraties)

– de burger kan via MijnOverheid een correctieverzoek basisgegevens doen (voor 2e
groep basisregistraties)

– de burger kan via MijnOverheid steeds meer andere landelijke registers inzien («top
25»)

– een overheidsbreed oplosteam voor gegevensgerelateerde probleemgevallen

– juridische verankering van kader waar toepassingen voor het delen van gegevens aan
moeten voldoen

– nieuwe pilots en doorontwikkeling van bestaande pilots naar klein- of grootschalige
uitrol

plateau 3

(vanaf 2021)

– burger heeft recht op eenmalige verstrekking bij 20 overheidsdiensten i.h.k.v. de
Single Digital Gateway

– stapsgewijs wegnemen van belemmeringen voor eenmalige verstrekking