Brief regering : WODC-onderzoek gegevensbescherming openbare registers
32 761 Verwerking en bescherming persoonsgegevens
Nr. 331
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 2 september 2025
Hierbij bied ik aan uw Kamer het WODC-rapport aan met de titel: «Openbare registers, de toegankelijkheid daarvan en het gegevensbeschermingsrecht». Dit rapport bevat de weergave van het onderzoek van de Open Universiteit naar de
gegevensbescherming in de openbare registers, dat is uitgevoerd in opdracht van het
Wetenschappelijk onderzoek- en datacentrum (WODC).
Met deze brief wil ik uw Kamer tevens informeren over de achtergrond en inhoud van
dit onderzoek, de bevindingen van de onderzoekers en een eerste reactie daarop van
de beheerders van de onderzochte registers. Een uitgebreide reactie volgt op een later
moment, nadat ik over de bevindingen en aanbevelingen uit het rapport overleg heb
gevoerd met betrokkenen en belanghebbenden. Vanwege de complexiteit van dit onderwerp
verwacht ik u uiterlijk in het eerste kwartaal van 2026 een beleidsreactie te sturen.
Aanleiding voor het uitvoeren van dit onderzoek
De bescherming van persoonsgegevens in openbare registers staat onder druk. Door digitalisering
en met name het internet, is het verzamelen, combineren en hergebruiken van persoonsgegevens
uit openbare registers veel eenvoudiger geworden. Tegelijkertijd heeft de digitalisering
van openbare registers niet alleen geleid tot een betere toegankelijkheid voor de
beoogde gebruikers. Met de digitalisering van de registers is het risico groter geworden
dat misbruik van persoonsgegevens wordt gemaakt, variërend van identiteitsfraude tot
intimidatie. Zowel de Autoriteit Persoonsgegevens (AP) als de registerbeheerders,
waaronder de Raad voor de rechtspraak, hebben daarover zorgen geuit.
De «wake-upcall» over de toegenomen spanning tussen openbaarheid en de bescherming
van persoonsgegevens in openbare registers kwam van het Europese Hof van Justitie
met het «UBO-arrest»1. In deze prejudiciële zaak oordeelde het Europese Hof dat het in strijd is met het
gegevensbeschermingsrecht wanneer de in een UBO-register opgenomen persoonsgegevens
in alle gevallen en voor alle leden van de bevolking toegankelijk zijn. Met name naar
aanleiding van deze uitspraak heeft de AP2 aan alle bewindspersonen het verzoek gedaan om te laten analyseren of het publiceren
van- en toegang geven tot persoonsgegevens in openbare registers plaatsvindt in overeenstemming
met de eisen van het gegevensbeschermingsrecht.
Daarom is begin 2023 door het Ministerie van Justitie en Veiligheid aan het WODC opdracht
gegeven onderzoek te doen naar gegevensbescherming in openbare registers die worden
beheerd door organisaties onder de verantwoordelijkheid van het ministerie.
In dit onderzoek betrokken openbare registers
Het WODC heeft de volgende openbare registers betrokken in het onderzoek:
– Lijst vergunninghouders Wpbr (Wet particuliere beveiligingsorganisaties en recherchebureaus)
– beheerder Justis;
– Nederlands Register Gerechtelijk Deskundigen (NRGD) – beheerder College gerechtelijk deskundigen;
– Centraal Insolventie Register (CIR- faillissement, surseance van betaling, schuldsanering
natuurlijke personen en homologatie onderhands akkoord) – beheerder Raad voor de rechtspraak;
– Huwelijksgoederenregister (HGR) – beheerder Raad voor de rechtspraak;
– Boedelregister – beheerder Raad voor de rechtspraak;
– Centraal Gezagsregister (CGR), beheerder Raad voor de rechtspraak;
– Register Beëdigde Tolken en Vertalers (RBTV) – beheerder Bureau Wbtv, onderdeel van
de Raad voor Rechtsbijstand;
– Centraal Curatele en Bewindregister (CCBR) – beheerder Raad voor de rechtspraak;
– Register Nevenbetrekkingen Rechterlijke Ambtenaren: rechters en leden OM (NERO/NEOM) – beheerder Raad voor de rechtspraak.
Onderzoeksvraag
In het onderzoek staat de volgende onderzoeksvraag centraal: voldoet de openbaarheid
van persoonsgegevens in openbare registers aan het gegevensbeschermingsrecht en welke
privacybeschermende maatregelen zijn nodig zijn om de registers in overeenstemming
te houden met het gegevensbeschermingsrecht?
Bevindingen en aanbevelingen
Korte samenvatting
Na een analyse van de dertien onderzochte registers komen de onderzoekers, kort samengevat,
tot de volgende conclusies:
– bij het Register vergunningshouders Wpbr, CGR en CIR faillissement, surseance van betaling, schuldsanering natuurlijke personen is sprake van een ontbrekende wettelijke grondslag voor publicatie van bepaalde persoonsgegevens.
Het Register vergunninghouders Wpbr en het CGR zouden in het geheel niet openbaar
moeten zijn. Voor openbaarmaking van het Register vergunninghouders Wpbr ontbreekt
een wettelijke grondslag. Bij het CGR zijn proportionaliteit, subsidiariteit en doelmatigheid
in het geding. Op korte termijn zijn maatregelen nodig;
– voor het NRGD, CIR homologatie van akkoord, HGR, CCBR en NEOM bevat het rapport aanbevelingen om op korte termijn maatregelen
te nemen ter verbetering van de gegevensbescherming; en
– het Boedelregister, RBTV en NERO voldoen nu aan de eisen van het gegevensbeschermingsrecht,
waarbij verbeteringen worden aanbevolen om in de toekomst te blijven voldoen aan de
eisen.
Bevindingen en aanbevelingen per onderzocht register
Ook zend ik u een schematisch overzicht bij deze brief waarin per onderzocht register
een korte weergave staat van de bevindingen en aanbevelingen van de onderzoekers.
Eerste reactie van de beheerders van de onderzochte registers
De constatering dat bij een aantal van de onderzochte registers een wettelijke grondslag
ontbreekt voor het openbaar maken van persoonsgegevens en dat op korte termijn maatregelen
nodig zijn, is aanleiding geweest aan de beheerders van de betreffende registers een
eerste reactie te vragen. Met name is aan de beheerders gevraagd te reageren op de
door de onderzoekers voorgestelde maatregelen. Uit de ontvangen reacties blijkt, dat
de registerbeheerders de bevindingen in het rapport grotendeels onderschrijven. Hieronder
volgt per onderzocht register een korte weergave van de reactie van de registerbeheerder.
Reacties op bevinding dat twee van de registers niet openbaar zouden moeten zijn
De Raad voor de rechtspraak (verder: de Raad) heeft voor wat betreft het Centraal
Gezagsregister (CGR) het volgende laten weten. De Rechtspraak kan zich vinden in de
conclusie dat het CGR in de huidige vorm te open is. Hoewel deze openbaarheid in lijn
is met de bestaande wetgeving, acht de Rechtspraak het wenselijk dat de toegang wordt
heroverwogen. De Raad onderschrijft de in het rapport genoemde redenen om de toegang
te beperken tot een aantal specifieke partijen en daarnaast de ouders van de minderjarige.
De beschikbaarheid van de Basisregistratie Personen (BRP) Gezagsmodule maakt bovendien
dat de huidige open toegang op termijn verder kan worden beperkt zodat het register
weer voldoet aan het gegevensbeschermingsrecht.
Justis heeft in reactie op de bevindingen rond het Register Vergunninghouders Wpbr
aangegeven, dat momenteel wordt gewerkt aan het realiseren van een wettelijke grondslag
voor het register. In dat traject zullen door het Ministerie van JenV de aanbevelingen
van de onderzoekers over privacybeschermende maatregelen worden meegenomen. Hierbij
is overigens van belang, dat de omvang van de persoonsgegevens in het register zeer
beperkt is en dat géén sprake is van openbaarmaking van gevoelige gegevens in de zin
van de artikelen 9 en 10 van de AVG. Daarbij dient te worden aangemerkt dat het register
met de openbaarheid van gegevens in een belangrijke taak voorziet waarbij een ieder
kan controleren of een bedrijf is ingeschreven als beveiligingsorganisatie.
Reacties op ontbrekende wettelijke grondslag voor publicatie persoonsgegevens
De Raad is ook beheerder van het Centraal Insolventie Register (CIR).
In reactie op de oproep van de onderzoekers om onmiddellijk de publicatie van faillissementsverslagen
op te schorten, benadrukt de Raad de maatschappelijke rol van de Rechtspraak, waarin
zowel het belang van de schuldeiser als dat van de schuldenaar zorgvuldig dient te
worden gewaarborgd. Het onmiddellijk opschorten van de publicatie van faillissementsverslagen
doet tekort aan het belang van schuldeisers, die erop moeten kunnen vertrouwen dat
zij tijdig op de hoogte worden gesteld van uitspraken die hun positie raken. Een dergelijke
maatregel vormt een risico op maatschappelijke ontwrichting, gezien de cruciale taak
en rol die de Rechtspraak in het maatschappelijk verkeer vervult. Ook wijst de Raad
op het bestaan van een algemene juridische basis voor publicatie van faillissementsverslagen,
die volgt uit een eerdere toezegging van het voormalige College Bescherming Persoonsgegevens.
Op basis van deze interpretatie zet de Rechtspraak vooralsnog de huidige werkwijze
voort. Tegelijkertijd wordt al enige tijd uitgezien naar een herziening van de formele
regeling van het CIR. De Rechtspraak roept de wetgever op om dit met prioriteit ter
hand te nemen.
Ook meldt de Raad dat, anders dan vermeld staat in het rapport, in WSNP-zaken geen
verslagen worden gepubliceerd. De Rechtspraak benadrukt de noodzaak van een geïntegreerde
benadering van wetgeving en uitvoering, waarbij zowel nationale als Europese kaders
op elkaar worden afgestemd.
Reacties op aanbeveling maatregelen op korte termijn
De Raad heeft in zijn reactie aangegeven in brede zin maatregelen te zullen nemen
ter betere bescherming van persoonsgegevens in de door de Raad beheerde registers.
Zo zullen data-georiënteerde maatregelen worden genomen, zoals het geven van gerichte
en gelaagde toegang tot een register, het uniform en systematisch doorvoeren van technische
bescherming ter voorkoming van ongewenst bulkgebruik of scraping (het automatisch
met software vanaf een website verzamelen van gegevens) en het gebruik van aangescherpte
zoekvragen, zodat uitsluitend persoonsgegevens worden getoond die noodzakelijk zijn
binnen het doel van het betreffende register.
Het Openbaar Ministerie laat ten aanzien van het Register van nevenbetrekkingen rechterlijke
ambtenaren: rechters en leden OM (NEOM) weten, de aanbevelingen in het rapport in
grote lijnen te onderschrijven en voornemens te zijn deze door te voeren in het daarvoor
aangewezen digitale platform.
Met het schrappen van de aanhef «dhr/mw/mevrouw» is al een aanvang gemaakt. Het volledig
vermelden van nevenfuncties vergt uitgebreidere technische maatregelen, waarbij ernaar
wordt gestreefd dat deze eind 2025 doorgevoerd zullen zijn.
Voor het begrenzen van zoekmogelijkheden, met name om ongewenste bulkverstrekkingen
te voorkomen, zal het OM afstemming zoeken met de Raad, onder meer omdat beide organisaties
zijn gebonden aan dezelfde wettelijke bepalingen over het nevenregister.
Reacties op aanbevolen verbeteringen voor toekomstige bestendigheid
Het Bureau Wbtv, onderdeel van de Raad voor Rechtsbijstand en beheerder van het Register
Beëdigde Tolken en Vertalers (RBTV), vindt het ook wenselijk dat wet- en regelgeving
worden aangepast om meer duidelijkheid te scheppen. De adviezen over maatregelen ten
behoeve van gegevensbescherming in het register voor de langere termijn zullen worden
meegenomen bij de komende wetsevaluatie van de Wet Beëdigde Tolken en Vertalers.
De Raad ziet het belang in van logging en monitoring om het gebruik van een bepaald
register beter te begrijpen en misbruik te signaleren. Tegelijkertijd moet worden
gewaakt voor disproportionele maatregelen. Voor herkenbare gebruikersgroepen, zoals
organisaties met systeemkoppelingen, ziet de Raad meerwaarde voor logging. Een zorgvuldige
en proportionele toepassing van logging vraagt om nadere uitwerking en onderzoek.
Het Nederlands Register Gerechtelijk Deskundigen (NRGD) heeft gereageerd op de twee
aanbevelingen in het rapport om de gegevensbescherming meer toekomstbestendig te laten
zijn. Vanaf medio september zal bij de vraag om instemming van de deskundige met het
opnemen van persoonsgegevens in het register aangegeven worden dat het gaat om een
wettelijke verplichting. De instemming ziet dan uitsluitend nog op de concrete keuze
van persoonsgegevens die deskundige zelf heeft gemaakt en aanlevert ter publicatie
in het register.
Ook gaat het NRGD in op de aanbeveling in het rapport om bezoekersgegevens te loggen
en zo beter zicht te krijgen op de gebruikers van het register. Het NRGD stelt voldoende
zicht te hebben op de gebruikers van het register, zodat het de vraag is of logging
wel nodig is.
Vervolgstappen naar aanleiding van dit rapport
Dit onderzoeksrapport over gegevensbescherming in de openbare registers bevat veel
materiaal voor nader overleg en verder onderzoek en biedt aanknopingspunten voor mogelijke
wijziging of aanvulling van bestaande regelgeving rond wettelijke openbare registers.
Ook de technische inrichting van dergelijke registers en de mogelijkheden voor raadpleging
zullen moeten worden heroverwogen.
Dat geldt niet alleen voor de in het onderzoek betrokken registers: het aangereikte
toetsingskader is van veel breder belang. De komende periode ga ik over de inhoud
van dit rapport en mogelijke implicaties daarvan voor de wettelijke openbare registers
in gesprek met een brede groep van belanghebbenden. De uitkomsten van dit overleg
en nader onderzoek zijn nodig om goed in beeld te krijgen welke vervolgacties nodig
zijn.
Ik zal uw Kamer hierover nader berichten in mijn beleidsreactie, die ik verwacht toe
te sturen in het eerste kwartaal van 2026.
De Minister van Justitie en Veiligheid,
D.M. van Weel
Ondertekenaars
-
Eerste ondertekenaar
D.M. van Weel, minister van Justitie en Veiligheid