Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over het ontwerpbesluit Derdenbesluit BRP

Nr. 167
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 12 december 2022

De vaste commissie voor Binnenlandse Zake heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over de brief
van 17 juni 2022 over het ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 158) en over de 1 juli 2022 over de reactie op verzoek commissie over het verlengen voorhangtermijn
voor het Ontwerpbesluit Derdenbesluit BRP (Kamerstuk 27 859, nr. 159).

De vragen en opmerkingen zijn op 7 september 2022 aan de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 9 december 2022 zijn de vragen
beantwoord.

De voorzitter van de commissie, Hagen

De griffier van de commissie, De Vos

Beantwoording schriftelijke vragen

1. Inleiding

Het verheugt mij dat de leden van de fracties van de VVD, D66 en SP kennis hebben
genomen van de algemene maatregel van bestuur (AMvB) tot wijziging van het Besluit
basisregistratie personen (Besluit BRP) in verband met het aanwijzen van werkzaamheden
met gewichtig maatschappelijk belang (hierna: Derdenbesluit). De leden van voornoemde
fracties hebben over het ontwerpbesluit verschillende vragen en opmerkingen. Ik dank
de fracties voor hun bijdrage en ga graag in op de – hieronder gecursiveerde – vragen
en opmerkingen. Hierbij is de indeling en volgorde van het verslag aangehouden. Achter
de diverse vragen van de fracties is dikgedrukt het vraagnummer genoteerd zodat bij
de beantwoording van vragen ook verwezen kan worden naar de beantwoording van andere
vragen. Voordat ik inga op de afzonderlijke vragen, sta ik in algemene zin stil bij
het wettelijke stelsel voor gegevensverstrekking uit de BRP, de waarborgen die daarbij
gelden en het toezicht.

1.1 Verstrekking aan derden

Overheidsorganen, zoals DUO en UWV, krijgen gegevens uit de BRP omdat zij die nodig
hebben om hun publieke taken uit te voeren. Ook een aantal organisaties buiten de
overheid («derden») hebben toegang tot de BRP. Het gaat om partijen met belangrijke
maatschappelijke taken zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Voor
deze derden (niet-overheidsorganisaties) geldt dat de taken waarvoor de BRP geraadpleegd
wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig
maatschappelijk belang.

Overheidsorganen en derden (niet overheidsorganisaties), die aangesloten willen worden
op het centrale BRP-systeem moeten daarvoor toestemming krijgen van de Minister van
BZK. De Minister toetst of de organisatie een taak heeft waarvoor gegevens uit de
BRP nodig zijn. Als dat zo is neemt de Minister een zogenaamd autorisatiebesluit.
In dat besluit wordt precies beschreven welke gegevens van welke personen de organisatie
mag opvragen en op welke manier de gegevens met de organisatie worden gedeeld. Het
is dus niet zo dat een aangesloten organisatie automatisch toegang heeft tot de volledige
BRP (alle gegevens van alle ingeschrevenen). De autorisatiebesluiten zijn openbaar:
deze worden gepubliceerd in de Staatscourant en zijn ook te raadplegen op publicaties.rvig.nl.

Voor derden (niet-overheidsorganisaties) geldt – als gezegd – naast het autorisatiebesluit
de voorafgaande eis dat de taken waarvoor de BRP geraadpleegd wordt, in het Besluit
BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig maatschappelijk
belang. Een dergelijke aanwijzing wordt in dit Derdenbesluit dat nu voorligt, voorgesteld
voor de werkzaamheden van klinisch-genetische centra en levens- en natura-uitvaartverzekeraars.
Juist omdat het organisaties buiten het overheidsdomein betreft, is deze voorafgaande
eis van aanwijzing gesteld. In het Besluit worden de doelgroep (categorieën van derden)
en de maximale set gegevens vastgesteld. Via de voorhangprocedure is parlementaire
betrokkenheid bij de aanwijzing geborgd. Dit vereiste van aanwijzing met parlementaire
betrokkenheid geldt niet voor verstrekking aan overheidsorganisaties, zoals DUO en
UWV, waarbij een autorisatiebesluit volstaat.

1.2 Waarborgen, verantwoordelijkheidsverdeling en toezicht

Bij de verstrekking van gegevens uit de BRP gelden de volgende waarborgen. In de eerste
plaats is de verstrekking transparant. De autorisatiebesluiten zijn zoals hiervoor
aangegeven openbaar. Iedere burger kan verder bij de gemeente een overzicht opvragen
van alle organisaties die zijn of haar gegevens uit de BRP hebben opgevraagd; het
protocolleringsoverzicht. Dat overzicht geeft ook aan voor welke taken deze organisaties
de gegevens uit de BRP gebruiken. Het protocolleringsoverzicht verwijst voor meer
gedetailleerde informatie over de gegevens die gebruikt worden naar de autorisatiebesluiten
op publicaties.rvig.nl. Ook kunnen burgers sinds 15 maart van dit jaar via MijnOverheid
inzien welke organisaties automatisch BRP-gegevens krijgen uit de centrale voorziening
als er een gegeven wijzigt, bijvoorbeeld bij verhuizing. Het gaat om een gepersonaliseerd
overzicht. Bij iedere organisatie wordt uitgelegd waarvoor de BRP-gegevens worden
verstrekt.

In de tweede plaats wordt de verstrekking aan geautoriseerde overheidsorganen en derden
gelogd en geprotocolleerd door de Rijksdienst voor Identiteitsgegevens, onderdeel
van het Ministerie van BZK (hierna RvIG). Dit gebeurt ten behoeve van de veiligheid
en het recht van de burger op inzage in het gebruik van de BRP. Overheidsorganen en
derden zijn op grond van de AVG verplicht om de gegevensverwerking te loggen.

In de derde plaats dient de ontvanger van gegevens (hier: de «derde») technisch aan
te sluiten op de centrale voorziening van de BRP; hiervoor gelden strenge eisen. Zo
zal de systematische verstrekking aan derden plaatsvinden in overeenstemming met de
systeembeschrijving van de BRP. De systeembeschrijving bevat voorschriften over de
technische en administratieve inrichting, werking en beveiliging van de BRP en over
de berichtuitwisseling met de ontvangers van gegevens. Op grond van artikel 5 van
het Besluit BRP dient een organisatie er zorg voor te dragen dat haar eigen voorzieningen
functioneren in overeenstemming met deze voorschriften. Afnemers kunnen via een eigen
applicatie toegang krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V). De verstrekking
gaat via een besloten systeem (Diginetwerk) en er geldt de internationale standaard
voor authentiseren en het versleutelen van communicatie (PKI overheid certificaat).1

Ten slotte is er het toezicht. Op grond van artikel 4.1 van de Wet BRP is de Autoriteit
Persoonsgegevens (AP) belast met het toezicht op de naleving van de Wet BRP. Als het
gaat om het gebruik van persoonsgegevens door de ontvanger zelf (de derde), geldt
dat het de zelfstandige verantwoordelijkheid is van deze ontvanger om zich te houden
aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te voorkomen.
Ook hierbij geldt dat de AP belast is met het toezicht.

Vragen en opmerkingen van de leden van de VVD-fractie en reactie van de bewindspersoon

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het ontwerpbesluit
Derdenbesluit BRP, dat betrekking heeft op klinisch genetische centra en levens- en
natura-uitvaartverzekeraars. Allereerst merken deze leden op dat betrokken burgers
baat kunnen hebben bij datgene wat in dit besluit wordt voorgesteld. De memorie van
toelichting geeft dat wat hen betreft goed aan.

Graag willen zij de Staatssecretaris een aantal vragen stellen. Als het gaat om de
toegang tot de Basisregistratie Personen (BRP) voor klinisch genetische centra begrijpen
de leden van de VVD-fractie het toch goed dat de gegevens van familieleden pas worden
opgevraagd als de patiënt in kwestie, die die gegevens niet heeft, toestemming geeft
voor het opvragen daarvan bij de BRP? Hoe verhoudt het opvragen van die gegevens zich
tot het principe van het «recht op niet-weten» van familieleden? Verandert daar iets
aan? Graag krijgen deze leden een nadere verduidelijking. (1)

De leden van de VVD-fractie constateren terecht dat de voorgestelde BRP-raadpleging
van gegevens van familieleden door klinisch genetische centra pas mogelijk is als
de patiënt in kwestie daar toestemming voor geeft. Deze voorwaarde is expliciet in
het Derdenbesluit opgenomen. De mogelijkheid om gegevens op te vragen uit de BRP doet
geen afbreuk aan het «recht op niet-weten». Het Derdenbesluit stelt slechts regels
over het bevragen van de BRP en brengt geen verandering in de kaders die gelden voor
het uitvoeren van klinisch genetisch onderzoek zelf. Hiertoe is door de Vereniging
van Klinische Genetica Nederland (VKGN) de Richtlijn
Informeren van familieleden bij erfelijke aandoeningen opgesteld.2 De richtlijn geeft de arts een (ethisch) kader en stappenplan3 om te bepalen of het gezien de uitkomsten van het erfelijkheidsonderzoek nodig is
om familieleden te informeren over een erfelijke aanleg in de familie en zo ja, welke
familieleden het betreft. In dat kader wordt onder meer aandacht besteed aan het recht
op niet-weten.

Met betrekking tot de levens- en natura-uitvaartverzekeraars geldt dat «spontane»
verstrekking van het overlijdensgegeven beperkt blijft tot personen die bij de betreffende
verzekeraar verzekerd zijn. De leden van de VVD-fractie achten het op zich begrijpelijk
dat een en ander beperkt is tot de personen die bij de verzekeraar zijn verzekerd.
Maar hoe gaat dat dan in praktische zin? In de BRP is toch niet vastgelegd welke persoon
bij welke verzekeraar is verzekerd? Graag krijgen deze leden een verduidelijking.
(2)

De leden van de VVD-fractie constateren terecht dat in de BRP niet is vastgelegd wie
bij welke verzekeraar verzekerd is. De volgende werkwijze is dan ook voorzien. Na
de aanwijzing zal per verzekeraar een technische en juridische autorisatie (aansluiting)
op de BRP plaatsvinden. De verzekeraar plaatst in de BRP een zogenaamde afnemersindicatie
bij de persoonslijsten van de personen die bij hem verzekerd zijn. Vervolgens krijgt
de verzekeraar enkel spontaan het overlijdensgegeven verstrekt als het een persoon
betreft bij wie de afnemersindicatie is geplaatst. Zo wordt voorkomen dat meldingen
worden verstuurd over andere personen, buiten de reikwijdte van de autorisatie. De
verzekeraar is verplicht om de afnemersindicatie te verwijderen wanneer de verzekerde
geen klant meer is, als zijn gegevens niet meer nodig zijn. Dit alles is overeenkomstig
de werkwijze bij partijen die op dit moment al aangesloten zijn op de BRP voor spontane
gegevensverstrekking. Een voorbeeld is de zorgverzekeraar, die ook enkel spontaan
BRP-gegevens verstrekt krijgt over personen die bij hem verzekerd zijn.

Met betrekking tot het verzoek van de Kamercommissie voor Binnenlandse Zaken om het
Derdenbesluit BRP ná het advies van de Raad van State te mogen ontvangen, vragen de
leden van de VVD-fractie om een nadere verduidelijking van het standpunt van de regering
om dat verzoek niet te willen honoreren. Wat is er op tegen om dit Derdenbesluit BRP,
zoals het luidt na ontvangst van het advies van de Raad van State, naar de Tweede
Kamer te sturen? (3)

Ik heb begrip voor de wens van de leden van de VVD-fractie om kennis te krijgen van
het advies van de Raad van State en zal uw Kamer dan ook informeren over het moment
van openbaarmaking van dit advies.4 In mijn brief aan uw Kamer van 17 juni jongstleden heb ik aangegeven dat de Wet BRP
voor deze AMvB een voorhangprocedure heeft voorgeschreven, waardoor het concept vóór
de advisering door de Raad van de State aan de Eerste en de Tweede Kamer wordt voorgelegd.
Deze voorhangvariant is in de praktijk de meest gebruikte vorm van gecontroleerde
delegatie omdat hierin maximale flexibiliteit bestaat om rekening te houden met opmerkingen
vanuit het parlement, zoals de door uw Kamer gestelde vragen. Het verwerken van opmerkingen
vanuit het parlement, in een nagehangen AMvB zou immers een wijziging van een reeds
vastgestelde AMvB vereisen en, indien de wijzigingen van ingrijpende aard zijn, tot
een hernieuwde adviesaanvraag bij de Raad van State leiden. Ik hecht er waarde aan
om het proces te volgen zoals in de Wet BRP is voorgeschreven door de wetgever. Dit
betekent dat ik uw Kamer zal informeren over het openbaar worden van het advies van
de Raad van State, maar er niet een zogenaamde nahangprocedure is, waarin de Kamer
zich binnen een vastgestelde termijn kan uitspreken over het advies van de Raad van
State en de reactie daarop van het kabinet, voordat het Derdenbesluit in werking treedt.
Een en ander laat de inzet van het reguliere instrumentarium van uw Kamer, zoals het
stellen van vragen en agenderen van debatten onverlet.

Vragen en opmerkingen van de leden van de D66-fractie en reactie van de bewindspersoon

De leden van de D66-fractie hebben kennisgenomen van het ontwerpbesluit Derdenbesluit
BRP en hebben hierover vragen en opmerkingen. De leden van de D66-fractie vinden dat
de overheid altijd voorzichtig moet zijn met het delen van persoonsgegevens van onze
burgers aan private partijen. Deze leden snappen dat het delen van persoonsgegevens
soms noodzakelijk is om werkzaamheden van gewichtig maatschappelijk belang te kunnen
verrichten. Zij verwachten echter dat de overheid daar te allen tijde zorgvuldig mee
omgaat. Deze leden zijn enigszins teleurgesteld over het feit dat de categorieën,
de set van persoonsgegevens en de wijze van verstrekking niet in dit besluit worden
vastgelegd, maar elders in het proces namelijk in het autorisatiebesluit. Zij zijn
van mening dat de leden van de Tweede Kamer namelijk een voorhangprocedure hebben
gevraagd om voorafgaand te weten door wie, op welke wijze en op welk moment de gegevens
van burgers aan derden worden verstrekt. De leden van de D66-fractie zijn benieuwd
in hoeverre de handhaving van de bescherming persoonsgegevens van de burgers en de
financiële dekking van dit besluit voldoende worden gewaarborgd. Deze leden willen
de Staatssecretaris nog enkele (kritische) vragen voorleggen.

Het informeren van familieleden van een patiënt bij een geconstateerde erfelijke aandoening
(klinisch genetische centra)

De leden van de D66-fractie hebben kennisgenomen van het verzoek van de Vereniging
van Klinische Genetica Nederland (hierna VKGN), om naast gegevens ten behoeve van
het opsporen en analyseren van mogelijke erfelijke aspecten van aangeboren afwijkingen,
ook gegevens te verstrekken ten behoeve van het informeren van familieleden van patiënten
bij wie een erfelijke aandoening is geconstateerd. Deze leden vragen aan de Staatssecretaris
welke persoonsgegevens de VKGN precies nodig heeft en op welke familieleden dit besluit
betrekking heeft? Deze leden vragen aan de Staatssecretaris of zij nader kan toelichten
waarom het raadplegen van bijvoorbeeld een bsn-nummer van belang is om de familie
te informeren? Zij vragen in hoeverre een naam en adres alleen voldoende zijn? (4)

De aanwijzing van klinisch genetische centra in dit Derdenbesluit bevat een beperking
in de set gegevens die ten hoogste op grond van een autorisatiebesluit aan klinische
genetische centra verstrekt kunnen worden. Het betreft hier de gegevens over de naam,
de ouders en kinderen, het adres, het burgerservicenummer (hierna: BSN) en het naamgebruik
van de ingeschrevene. Het BSN is nodig om de juiste personen te kunnen vinden in BRP.
Dit werkt als volgt. Als de gegevens over familieleden niet op een andere wijze (via
de patiënt) achterhaald kunnen worden en de patiënt vervolgens toestemming geeft om
de BRP te bevragen, dient eerst de persoonslijst van de patiënt gezocht te worden
in de BRP. Dit gebeurt aan de hand van het BSN. Door het BSN in te voeren in het BRP-systeem
kan met zekerheid de juiste persoonslijst worden opgehaald en niet die van een andere
persoon met bijvoorbeeld dezelfde naam en geboortedatum. Vervolgens kan de arts op
de persoonslijst van de patiënt zien wie de gerelateerden (ouders en kinderen) zijn,
en als nodig via de persoonslijsten van die gerelateerden de persoonslijsten van verdere
verwanten (bijvoorbeeld neven en nichten) raadplegen. Het is aan de arts om te bepalen
welke familieleden geïnformeerd dienen te worden. Er zijn in deze stappen (het vinden
van persoonslijsten) in ieder geval identificerende persoonsgegevens van gerelateerden
(naam en geboortedatum) nodig om persoonslijsten van deze personen te vinden. De reden
hiervoor is dat – anders dan bij de patiënt – de arts niet bevoegd is om het BSN van
gerelateerden te verwerken. Als de juiste persoon is gevonden in de BRP worden diens
adresgegevens en de naam gebruikt om de persoon aan te schrijven.

Levensverzekeraars en natura uitvaartverzekeraars

De leden van de D66-fractie hebben kennisgenomen van het verzoek van levensverzekeraars
en natura-uitvaartverzekeraars (hierna gezamenlijk: verzekeraars), om in plaats van
de gemeentelijke verstrekking, systematische verstrekking uit de BRP mogelijk te maken.

Deze leden vragen aan de Staatssecretaris om nader te verduidelijken waarom de huidige
regeling van gemeentelijke verstrekkingen onvoldoende is om de problematiek van slapende
polissen op te lossen. (5) Zij vragen de Staatssecretaris om nader toe te lichten op welke wijze wordt gewaarborgd
dat alleen bevoegde personen van de verzekeraars toegang hebben tot de persoonsgegevens.
Deze leden vragen aan de Staatssecretaris hoe het «lekken» van deze persoonsgegevens
wordt voorkomen. (6)

De gemeentelijke verstrekkingen bieden onvoldoende oplossing voor de problematiek
van de slapende polissen omdat de verzekeraar niet altijd kennis zal hebben van het
overlijden van de verzekerde. Daardoor is het niet goed mogelijk voor de verzekeraar
om op het juiste moment (direct na overlijden) schriftelijk BRP-gegevens op te vragen
bij het college van B&W. De aanwijzing in bijlage 4 betekent dat verzekeraars toegang
krijgen tot systematische gegevensverstrekking uit de BRP. Bij systematische gegevensverstrekking
is het mogelijk dat uit de BRP spontaan (automatisch) mutaties in de gegevens van
een ingeschrevene worden verstrekt, zonder dat daarvoor een zoekvraag van de ontvanger
(hier: verzekeraar) nodig is. Zie aanvullend hierop het antwoord op vraag 2.

Voor wat betreft het «lekken» van persoonsgegevens is het volgende van belang. Het
is de zelfstandige verantwoordelijkheid van de ontvanger van gegevens om zich te houden
aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te voorkomen.
Hiernaast geldt dat de verstrekking aan geautoriseerde overheidsorganen en derden
wordt geprotocolleerd door RvIG. Dit gebeurt ten behoeve van de veiligheid en het
recht van de burger op inzage in het gebruik van de BRP. Overheidsorganen en derden
zijn op grond van de AVG verplicht om de gegevensverwerking te loggen.

Verder dient de ontvanger van gegevens (hier: de «derde») technisch aan te sluiten
op de centrale voorziening van de BRP; hiervoor gelden strenge eisen. Afnemers kunnen
via een eigen applicatie toegang krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V).
De afnemer aangesloten zijn op Diginetwerk. Diginetwerk is een publiek-private samenwerking
waarover Logius, in opdracht van het Ministerie van BZK, de regie voert. Door het
besloten karakter is Diginetwerk een veiliger alternatief voor het open internet.
Om toegang te kunnen krijgen tot BRP-V dient de betreffende afnemer bovendien te beschikken
over een «PKI overheid-certificaat». PKI staat voor Public Key Infrastructure. Dit
is de internationale standaard voor authentiseren en het versleutelen van communicatie
tussen systemen. Beide systemen (afnemer en BRP-V) stellen daarmee «elkaars identiteit»
vast. Ten slotte verwijs ik naar de inleiding, onder 1.2, waar ik ben ingegaan op
de waarborgen en toezicht in het BRP-stelsel.

Gewichtig maatschappelijk belang en noodzaak gegevensverstrekking

De leden van de D66-fractie hebben kennisgenomen van het feit dat van de actuele gegevens
over de begunstigde, de verzekerde en de verzekeringsnemer kunnen worden opgevraagd.
Deze leden vragen de Staatssecretaris om verder te concretiseren welke actuele persoonsgegevens
worden opgevraagd van bovengenoemde belanghebbenden. (7)

Voorzien is dat de verzekeraar op basis van een zoekvraag (ad hoc), als bedoeld in
artikel 37, eerste lid, onder c van het Besluit BRP gegevens uit de BRP verstrekt
kan krijgen. Deze mogelijkheid kan gebruikt worden om actuele gegevens van de verzekerde,
verzekeringsnemer en potentiële begunstigden te achterhalen, voor zover die nog niet
bij de verzekeraar bekend zijn. Omdat verzekeraars voor deze werkzaamheden niet bevoegd
zijn om het BSN te verwerken zullen personen (potentiële begunstigden) in de BRP gevonden
moeten worden aan de hand van een set identificerende gegevens (zoals naam en geboortedatum).
Van deze begunstigden kunnen vervolgens adresgegevens worden opgevraagd uit de BRP
om met hen in contact te komen.

Clausulering van de werkzaamheden en de beperking van gegevens die kunnen worden verstrekt

De leden van de D66-fractie hebben kennisgenomen van het voornemen om bij algemene
maatregel van bestuur (AMvB) te borgen dat opgevraagde informatie niet wordt gebruikt
voor commerciële doeleinden. Deze leden willen graag weten op welke wijze de Staatssecretaris
erop zal toezien dat de verzekeraars zich beperken tot wat noodzakelijk is voor de
verwerking van de doeleinden en dat zij niet bewust of onbewust deze gegevens toch
inzetten voor commerciële doeleinden. Kan de Staatssecretaris nader toelichten hoe
monitoring en handhaving hierop is georganiseerd en door wie? (8)

Er mogen nooit willekeurig gegevens worden opgevraagd. Voor iedere organisatie die
op de BRP is aangesloten (de gebruikers) wordt nauwkeurig getoetst welke gegevens
over welke personen zij nodig heeft om haar taken uit te voeren. Daarbij wordt ook
bepaald op welke wijze de gegevens worden verstrekt. In het kader van de totstandkoming
van het Derdenbesluit ben ik reeds in goed overleg met het Verbond van Verzekeraars,
de belangenvereniging van schade- en levensverzekeraars in Nederland, over het voorziene
gebruik van de BRP. Ook het autorisatiebesluit zal tot stand komen in samenwerking
met het Verbond, waarbij aandacht zal zijn voor voorlichting en instructie aan verzekeraars
over het gebruik van de BRP.

Voor de verdere verwerking van persoonsgegevens, door de ontvanger (hier: verzekeraar)
geldt dat deze plaatsvindt onder de AVG en de UAVG, waarbij de AP toezichthouder is.

De leden van de D66-fractie hebben kennisgenomen van het voornemen van de Staatssecretaris
om per individuele verzekeraar nader te bepalen welke categorieën van persoonsgegevens
worden verstrekt. Deze leden vragen aan de Staatssecretaris waarom zij er niet voor
kiest om een beperkte lijst van persoonsgegevens op te stellen en dat deze dan voor
alle verzekeraars geldt, in plaats van met elke verzekeraar een aparte lijst op te
stellen. Zij vragen de Staatssecretaris hoe de waarborging van persoonsgegevens gemonitord
wordt, als zij met verschillende verzekeraars verschillende afspraken erop nahoudt.
(9)

Het is niet mijn bedoeling dat er verschillende afspraken worden gemaakt. Verzekeraars
zullen voor dezelfde taken dezelfde categorieën persoonsgegevens verstrekt krijgen.
In het kader van de aansluiting op de BRP zal dan ook voor levens- en natura-uitvaartverzekeraars
een zogenaamde modelautorisatie worden opgesteld, waarnaar in de individuele autorisaties
wordt verwezen. Een modelautorisatie is van toepassing op een groep gebruikers van
de BRP met dezelfde taken, doelgroepen en gegevensbehoefte. Iedere gebruiker die onder
de modelautorisatie valt, wordt op dezelfde wijze geautoriseerd. Iedere individuele
verzekeraar krijgt vervolgens wel een eigen autorisatiebesluit omdat er ook in technische
zin sprake is van een eigen aansluiting op de BRP en de aansluiting steeds beperkt
is tot de eigen doelgroep van de verzekeraar (verzekerden/ potentiële begunstigden).
Deze autorisatiebesluiten worden gepubliceerd in de Staatscourant en op publicaties.rvig.nl.

Inbreuk op de persoonlijke levenssfeer

De leden van de D66-fractie hebben kennisgenomen van de juridische onderbouwing van
dit besluit. Deze leden zijn van mening dat op papier de doelstellingen voldoende
juridische onderbouwing heeft, maar dat vanwege het gebrek aan informatie over het
autorisatiebesluit dat niet voldoende is vastgesteld. Zij zijn van mening dat in dat
besluit wordt bepaald welke categorieën persoonsgegevens daadwerkelijk worden gedeeld
met private partijen in dit geval klinische centra en verzekeraars. Zij vragen of
de Staatssecretaris alsnog bereid is om het autorisatiebesluit te voorzien met een
juridische onderbouwing en de Tweede Kamer daarover te informeren. (10)

In het autorisatiebesluit wordt naast de vaststelling van de gegevensset ook de juridische
onderbouwing (grondslag) voor gegevensverstrekking aangegeven, die grondslag is gelegen
in de Wet BRP en dit Derdenbesluit (de aanwijzing tot derde). Het autorisatiebesluit
kan daarom nooit meer of andere gegevens bevatten dan opgenomen in deze AMvB. Ik begrijp
de wens van de leden van D66-fractie om inzicht te krijgen in de autorisatiebesluiten
en ik zal uw Kamer informeren over het moment van openbaar worden van deze besluiten.
De autorisatieprocedure (feitelijke aansluiting van betreffende organisaties) zal
naar verwachting op het moment van inwerkingtreding van dit besluit nog niet afgerond
zijn. Dit betekent overigens niet dat deze organisaties vooruitlopend daarop alvast
gegevens uit de BRP (mogen) ontvangen. Dat gebeurt pas op het moment dat de autorisatiebesluiten
zijn vastgesteld.

Doelbinding en minimale gegevensverwerking

De leden van de D66-fractie hebben kennisgenomen van de doelstellingen van het autorisatiebesluit
dat per individuele derde partij wordt afgesloten. Deze leden vragen aan de Staatssecretaris
om nader toe te lichten of de algemene maatregel van bestuur ten aanzien van de autorisatiebesluiten
wederom worden getoetst door de Autoriteit Persoonsgegevens (AP). (11)

Het Derdenbesluit bevat, in samenhang met de Wet BRP, de juridische onderbouwing voor
de gegevensdeling. Daarbij is in de nota van toelichting uitvoerig ingegaan op de
privacyaspecten; de toetsing aan de Grondwet, het EVRM en de AVG. De AMvB met deze
onderbouwing is, conform hetgeen de AVG voorschrijft, getoetst door de AP. Het autorisatiebesluit
bevat geen zelfstandige weging van deze privacyaspecten en zal dan ook niet separaat
getoetst worden door de AP.

Risico’s en maatregelen

De leden van de D66-fractie vragen aan de Staatssecretaris om nader uit te leggen
welke risico’s van oneigenlijk gebruik van persoonsgegevens door derden veelal niet
te handhaven zijn voor de AP. Daarnaast vragen deze leden aan de Staatssecretaris
om concreet uiteen te zetten wat de mogelijke risico’s voor burgers zijn indien door
systematische verwerkingen verzekeraars toch onjuiste informatie ontvangen. Zij vragen
wat die mitigerende omstandigheden concreet inhouden. (12)

Vooropgesteld wordt dat de kwaliteit van de gegevens in de BRP hoog5 is, waardoor het risico op de verstrekking van onjuiste informatie klein is. Een
fout in een BRP-gegeven (bijvoorbeeld omdat een verhuizing niet is doorgegeven) kan
er voor verzekeraars en klinisch genetische centra toe leiden dat zij ook met de BRP
de betrokkene (begunstigde of familielid) niet kunnen bereiken. Er ontstaat dan niet
een nieuw risico voor burgers. De BRP heeft dan alleen niet de beoogde toegevoegde
waarde: het kunnen bereiken van personen die door de verzekeraar/ arts zelf niet gevonden
worden. Voor wat betreft het toezicht door de AP geldt dat de AP zelf beleid (prioritering)
heeft omtrent toezicht en handhaving.

Regeldrukeffecten

De leden van de D66-fractie hebben kennisgenomen van kosten voor derden indien zij
gegevensverstrekking nodig hebben vanuit de BRP. Deze leden vragen aan de Staatssecretaris
of zij bereid is om de uitvoeringslasten jaarlijks te monitoren en deze mee te nemen
in de evaluatie. Zij vragen verder of de regeldruk voor gemeenten en voor de AP ook
is meegenomen in het kostenplaatje en of de Staatssecretaris bereid is deze extra
kosten voor AP en gemeenten te monitoren en ook mee te nemen in de evaluatie. (13)

Er is voor wat betreft deze derdenaanwijzing geen evaluatie voorzien. Naast eenmalige
kosten voor de aansluiting op de BRP dragen alle gebruikers samen (overheidsorganen
en derden) bij in de kosten van de BRP-voorzieningen. De hoogte van de bijdrage van
een organisatie hangt af van het aantal verstrekkingen uit de BRP aan die organisatie.
Voor wat betreft de gemeenten zal deze AMvB niet leiden tot extra kosten; de verstrekkingen
aan verzekeraars en klinisch genetische centra worden door BZK/ RvIG zelf uitgevoerd.
Voor de AP geldt dat zij gefinancierd wordt om het toezicht op het BRP-stelsel als
geheel uit te voeren. De verstrekking aan derden valt daaronder.

Meer risico’s op datalekken en onrechtmatig gebruik van gegevens

De leden van de D66-fractie vragen aan de Staatssecretaris hoe zij van plan is te
waarborgen dat private partijen die nu toegang krijgen tot de BRP geen misbruik maken
van de door hen opgevraagde gegevens. Deze leden willen weten hoe hierop zal worden
gehandhaafd. Kan de Staatssecretaris een schets maken van de handhaving (niet alleen
van het toezicht)?
(14)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure
en het toezicht door de AP.

De leden van de D66-fractie vragen of de Staatssecretaris bereid is het verbod om
commercieel gebruik van data van onze burgers niet alleen in een AMvB te zetten, maar
ook wettelijk vast te leggen (15). Deze leden vragen in hoeverre de autorisatiebesluiten
door burgers gemakkelijk te raadplegen zijn. Zij vragen de Staatssecretaris of het
mogelijk is om dit soort besluiten te ontsluiten via het MijnOverheid-platform zodat
een burger kennis heeft van welke van haar persoonsgegevens door welke instanties
gezien en geraadpleegd worden. (16)

Persoonsgegevens mogen op grond van de AVG alleen voor vooraf welbepaalde doeleinden
verwerkt worden. Het is, gelet op de aanwijzing in dit besluit, onrechtmatig om gegevens
voor andere doeleinden, waaronder commerciële, te verwerken. Voor wat betreft de raadpleegbaarheid
van de autorisatiebesluiten en de inzagemogelijkheden voor de burger verwijs ik naar
de inleiding, onder 1.2.

De leden van de D66-fractie lezen dat de Staatssecretaris betoogt dat de wet zich
beperkt tot de grondslagen voor het bijhouden en de verstrekking van de BRP-gegevens.
Door middel van deze AMvB wordt de verstrekking uitgebreid. Tegelijkertijd wordt gesteld
dat er veel waarborgen zijn (op papier), maar geen handhaving op oneigenlijk gebruik
van de belangrijkste gegevens van onze burgers. Deze leden vragen of de Staatssecretaris
hierop kan reflecteren. Zij vragen zich tevens af of het dan verstandig is grondslagen
van verstrekking uit te breiden. (17)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op het wettelijke stelsel
voor gegevensdeling met partijen buiten de overheid, de autorisatieprocedure en het
toezicht door de AP.

De leden van de D66-fractie zijn van mening dat er uiterst zorgvuldig moet worden
omgegaan het verstrekken van persoonsgegevens van burgers aan derden. Deze leden moeten
helaas concluderen dat in het besluit onvoldoende uiteen is gezet welke garanties
er zijn dat er daadwerkelijk zorgvuldig hiermee wordt omgegaan. De leden van de D66-fractie
constateren dat de Staatssecretaris stelt dat er bij de aanwijzing staat dat de verzekeraar
geen commercieel gebruik mag maken van de gegevens uit de BRP. Tegelijkertijd staat
dit niet in de wet en lezen deze leden onvoldoende terug dat er iets aan handhaving
wordt gedaan. Deze leden stellen dat bij de wet is geregeld dat wij maximale snelheden
hanteren op onze wegen, maar zonder adequate handhaving zijn wetten papieren tijgers.
Zij vragen aan de Staatssecretaris waarom er weinig tot geen handhaving of toezicht
is op dit besluit. Deze leden vragen aan de Staatssecretaris in hoeverre een audit
zo nu en dan niet op zijn plaats zou zijn. Bijvoorbeeld op de reguliere evaluaties
van de wet BRP? (18)

Ik deel de visie van de leden van de D66-fractie dat bij dergelijke (verbods)regels
over de verwerking van persoonsgegevens ook een stelsel van toezicht en handhaving
hoort. De in deze AMvB gestelde regels staan niet op zichzelf, maar zijn de invulling
van normen die volgen uit de AVG; bijvoorbeeld de beginselen van doelbinding en dataminimalisatie.
Gegevensverwerking mag niet verder gaan dan noodzakelijk is om het doel (waarvoor
de gegevens verstrekt zijn) te bereiken. Voor de verwerking van BRP-gegevens gelden
aldus in hoofdzaak geen andere uitgangspunten dan voor de verwerking van persoonsgegevens
die uit andere (overheids)bronnen of rechtstreeks van de burger zelf afkomstig zijn.
Dit verklaart ook waarom er voor het gebruik van BRP-gegevens geen bijzonder toezichtregime
geldt, naast het reguliere toezicht dat wordt gehouden door de AP. Dit neemt niet
weg dat ik begrip heb voor de zorgen zoals geuit door de leden van de D66-fractie.
Ik ben dan ook voornemens deze te bespreken met de AP. Ik zal daarbij stilstaan bij
de inrichting van het toezicht, specifiek met betrekking tot het gebruik van BRP-gegevens.

Gegevens mogen alleen worden gedeeld met partijen met publieke taken, niet met private
partijen

De leden van de D66-fractie begrijpen dat er ook private partijen zijn met publieke
taken. Daarom is verstrekking van BRP-gegevens soms noodzakelijk. Deze leden vragen
aan de Staatssecretaris of de overheid naar aanleiding, of ten behoeve van deze nieuwe
verstrekking aan derden, zelf ook nieuwe BRP-gegevens gaat verzamelen van burgers.
Zo ja, over welke gegevens gaat het dan?
(19)

Dat is niet aan de orde. Het Derdenbesluit voorziet niet in een uitbreiding van de
gegevens die over burgers geregistreerd worden. De derden (verzekeraars en klinisch
genetische centra) kunnen dan ook slechts gegevens ontvangen die op dit moment al
geregistreerd worden.

Zorgen over verrijking van BRP-gegevens met andere (bijzondere) persoonsgegevens verzameld
door de derden die de BRP gegevens ontvangen

De leden van de D66-fractie onderschrijven deze zorgen. Het antwoord dat de Staatssecretaris
geeft op deze vraag is alleen niet zo bevredigend. Deze leden vragen of de Staatssecretaris
erkent dat er bij de AP hierop toegezien kan worden en dat er wel meerdere organisaties
zijn die niet voldoen aan de AVG. Zij vragen of de Staatssecretaris bereid is een
voorwaarde of een aanwijzing toe te voegen bij deze verstrekking aan derden, die stelt
dat derde partij in dit geval de nieuwe en extra verkrijgbare gegevens nooit mogen
combineren met hun bestaande databases over hun cliënten, met uitzondering van de
status wel/niet overleden uiteraard. (20)

Verrijking van BRP-gegevens dient beschouwd te worden als een verdere verwerking als
die verrijking een ander doel dient dan waarvoor de gegevens verstrekt zijn. Het is
aldus niet nodig om daarvoor een aparte voorwaarde of aanwijzing toe te voegen. In
de inleiding en het antwoord op vraag 15 ben ik hier nader op ingegaan.

Autoriteit Persoonsgegevens

De leden van de D66-fractie hebben kennisgenomen van de beoordeling van de AP. De
AP constateert zeer terecht dat toelichting nodig is over de categorieën personen
over wie de verzekeraar spontaan een overlijdensmeldingen uit de BRP gaat ontvangen.
Deze leden vinden het opmerkelijk dat dit besluit niet de doelgroep, de gegeven set
of de wijze van verstrekking vastlegt. Zij willen weten waarom de Staatssecretaris
er voor gekozen heeft om deze drie zaken in een autoriteitsbesluit vast te leggen
en niet in een AMvB? Welke status heeft een autoriteitsbesluit in het democratische
proces van wetgeving? Is het door Kamerleden in te zien? En zo nee, is de Staatssecretaris
bereid de autorisatiebesluiten met de Kamer te delen (al dan niet vertrouwelijk)?
(21)

De autorisatiebesluiten zijn openbaar en worden gepubliceerd in de Staatscourant en
op publicaties.rvig.nl. Ik zal uw Kamer informeren over het moment van openbaarmaking
van deze besluiten. Verder verwijs ik naar de inleiding, onder 1.1, voor een toelichting
over de status van het autorisatiebesluit binnen het wettelijke stelsel voor gegevensverstrekking
aan derden.

Afsluiting

De leden van de D66-fractie vragen of de Staatssecretaris kan schetsen wat er gebeurt
in het geval van een ««false positive»»? Met andere woorden, wat gebeurt er als de
BRP een fout maakt en geautomatiseerd een overlijdensmelding naar een verzekeraar
stuurt? Deze leden vragen de Staatssecretaris of zij nader kan toelichten waar de
bewijslast ligt en hoe een persoon kan bewijzen dat die nog in leven is. (22)

De overlijdensmelding wordt gestuurd wanneer de datum van overlijden, zoals opgenomen
in de overlijdensakte in de Burgerlijke Stand in de BRP is overgenomen. De kans dat
er – op basis van een onjuiste akte – onterecht een overlijdensmelding wordt verstuurd
is zeer gering. Verder is van belang dat een verzekeraar niet op basis van een enkele
melding in de BRP een beslissing zal nemen over bijvoorbeeld het recht op uitkering
van gelden. Het signaal (van overlijden) uit de BRP is slechts de aanleiding om nader
onderzoek (naar begunstigden) te doen. De BRP-verstrekking brengt geen verandering
in eventuele bewijslasten van de verzekerde jegens de verzekeraar.

Vragen en opmerkingen van de leden van de SP-fractie en reactie van de bewindspersoon

De leden van de fractie van de SP hebben het ontwerpbesluit Derdenbesluit BRP gelezen
en hebben hierover nog enkele vragen en opmerkingen. De leden van de fractie van de
SP maken zich, zoals eerder aangegeven tijdens het debat over de wet, grote zorgen
over de vele mensen en instellingen die toegang hebben tot vertrouwelijke gegevens
van mensen. Door het besluit dat ook levensverzekeraars en genetische centra structureel
toegang krijgen tot de BRP wordt deze groep verder vergroot. Daarmee neemt de kans
op datalekken toe maar verhoogt het ook de kans op grotere privacy-schendingen en
misbruik van het gebruik van deze data.

De leden van de fractie van de SP vinden de keuze om banken geen directe toegang te
verschaffen daarom de juiste, maar zij maken zich ook grote zorgen dat de Staatssecretaris
voornemens was banken in eerste instantie wel directe toegang te verlenen. Kan de
Staatssecretaris aangeven of er voornemens zijn andere private partijen alsnog toegang
tot de BRP te verlenen? Zo ja, welke?
(23)

Op dit moment voer ik overleg met de banken over de wijze van eventuele aansluiting
op de BRP in lijn met het advies van de AP. Hiernaast heb ik op dit moment geen andere
trajecten tot aanwijzing van derden in gang gezet.

Deze leden vragen waarom de verlening van toegang tot de basisregistratie niet per
wet geregeld wordt, om de democratische waarborgen te versterken. Daarnaast vragen
zij waarom de Staatssecretaris niet tegemoetkomt aan de wens om na het ontvangen van
het advies van de Raad van State het Besluit nogmaals voor te leggen aan de Kamer.
Dit versterkt immers de democratische legitimiteit. Deze leden vragen de Staatssecretaris
om terug te komen op dit verzoek. Indien de Raad van State geen nadere punten van
kritiek heeft kan het democratische proces immers daarna vlot verlopen. (24)

De Wet BRP biedt de grondslag voor de gegevensverstrekking aan overheidsorganen en
aan derden die werkzaamheden met gewichtig maatschappelijk verrichten. In de inleiding
aan het begin van deze beantwoording heb ik een nadere toelichting gegeven over de
status van het Derdenbesluit in relatie tot het autorisatiebesluit. Graag verwijs
ik naar deze inleiding. Voor de beantwoording van de vraag over het na de advisering
door de Raad van State nogmaals aan uw kamer voorleggen van het Besluit, verwijs ik
graag naar de hiervoor gaande beantwoording van de gelijkluidende vraag (nr. 3) van
de leden van de VVD-fractie.

Zoals in de toelichting op het ontwerpbesluit vermeld staat raken private belangen,
van in dit geval onder andere verzekeraars, verstrikt met het publieke doel dat de
BRP dient. Is de Staatssecretaris het met de leden van de SP-fractie eens dat een
verzekering in eerste instantie een zaak is tussen private partijen, te weten de verzekeraar
en de verzekerde? Deze leden vragen naar hoe de Staatssecretaris de eigen verantwoordelijkheid
van deze private partijen weegt. (25)

Vooropgesteld wordt dat de gegevensverstrekking aan verzekeraars geenszins afbreuk
doet aan de informatieplichten die de verzekeringnemer heeft jegens de verzekeraar,
bijvoorbeeld om een adreswijziging door te geven. De voorgestelde gegevensverstrekking
aan verzekeraars ziet bovendien niet op de uitvoering van een verzekering in den brede
(bijvoorbeeld het aanschrijven van een persoon over diens polis). Het gaat specifiek
om het voorkomen van het onterecht wel of juist niet uitkeren van gelden. Het voorkomen
van onterecht wel uitkeren is net als het voorkomen van het onterecht niet uitkeren
(slapende polissen) een gewichtig maatschappelijk belang. Het gaat in beide gevallen
om levensverzekeringen, waarbij er – wanneer de verzekeraar geen melding krijgt van
een overlijden – onwenselijke gevolgen voor de burger zijn: hij krijgt onterecht wel
of onterecht niet de uitkering. Dit zijn beide situaties die zeer onwenselijk zijn
voor een grotere groep betrokkenen (begunstigden en nabestaanden). Hiermee is sprake
van een breder, maatschappelijk belang dat de relatie klant – verzekeraar overstijgt.
Het onverschuldigd betalen heeft, net als het onterecht niet uitkeren, onwenselijke
gevolgen voor de burger die kunnen worden tegengegaan door verstrekking uit de BRP.
De onwenselijke gevolgen ontstaan wanneer een verzekeraar onterecht na een overlijden
een lijfrente-uitkering doet en daarover loonheffing aan de Belastingdienst afdraagt.
In deze situatie volgt na «ontdekking» van het overlijden een administratief proces
van terugvordering van de uitkeringen die onterecht zijn gedaan aan de reeds overleden
persoon. Daarnaast moeten nabestaanden in overleg met de Belastingdienst in verband
met de afgedragen loonheffing. Dit proces is voor nabestaanden complex en belastend,
omdat er meerdere partijen bij betrokken zijn (Belastingdienst, verzekeraar, eventueel
executeur).

De leden van de fractie van de SP hebben meerdere vragen die zien op de uitvoering
van het Derdenbesluit. Zo vragen zij naar de praktische uitwerking van het principe
dat verzekeraars in eerste instantie zelf moeten proberen contact te zoeken met de
verzekerde en pas in het uiterste geval de BRP mogen raadplegen. Welke inspanningen
ziet de Staatssecretaris voor zich? Zijn hier richtlijnen voor? Verzekeraars geven
aan dat zij het wenselijk achten dat de informatieplicht in die zin beperkt wordt
dat er vaker gegevens op mogen worden gevraagd. In dat licht achten deze leden het
zorgelijk indien er geen of onvoldoende toezicht of richtlijn is waardoor het aantal
bevragingen niet groter is dan noodzakelijk en aan de inspanningsverplichting wordt
voldaan. (26)

In het kader van de totstandkoming van het Derdenbesluit ben ik reeds in goed overleg
met het Verbond van Verzekeraars over het voorziene gebruik van de BRP. Ook het autorisatiebesluit
zal tot stand komen in samenwerking met het Verbond, waarbij aandacht zal zijn voor
voorlichting en instructie aan verzekeraars over het gebruik van de BRP.

Daarnaast vragen de leden van de fractie van de SP wie bij de desbetreffende organisaties
toegang heeft tot de BRP en wie voor deze verstrekkingen binnen die organisaties verantwoordelijk
is. Is hier voldoende toezicht op? Deze leden zien immers dat de Autoriteit Persoonsgegevens
weliswaar goed werk levert, maar ook aangeeft overvraagd te zijn. Hoe wordt in dit
geval gewaarborgd dat niet onnodig veel medewerkers toegang krijgen tot privacygevoelige
informatie en deze informatie niet wordt misbruikt voor andere doeleinden? (27)

Ik verwijs hiervoor naar de inleiding waar wordt ingegaan op de autorisatieprocedure,
beveiliging en het toezicht door de AP.