Antwoord schriftelijke vragen : Antwoord op vragen van het lid Leijten over het bericht dat er buitensporig vaak inzage in de persoonsgegevens van slachtoffers van het toeslagenschandaal heeft plaatsgevonden

Antwoord van Minister Yeşilgöz-Zegerius (Justitie en Veiligheid) en van Staatssecretaris
Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties) (ontvangen 30 januari 2023).
Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 576.

Vraag 1

Wat is de reden waarom persoonsgegevens van slachtoffers van het toeslagenschandaal
buitensporig vaak opgevraagd worden door overheidsinstanties, zoals de politie? Kunt
u uitsluiten dat dit nog altijd gebeurt?1

Antwoord 1

Het is voor de politie niet bekend welke personen gedupeerden van de toeslagenaffaire
zijn. Bij het contact tussen een politiefunctionaris en een persoon (of deze persoon
nu in hoedanigheid van verdachte, slachtoffer, benadeelde, getuige, onderhavige is
aan politiecontrole, of omstander is) is voor de politiefunctionaris niet kenbaar
of de betrokkene in kwestie wel of geen gedupeerde van de toeslagenaffaire is. Bij
het verwerken van gegevens naar aanleiding van een dergelijk contact wordt dit dan
ook niet geregistreerd.

Omdat niet geregistreerd staat bij de politie of er sprake is van een gedupeerde,
kan de politie dus niet nagaan of erkende gedupeerden van de toeslagenaffaire bovenmatig
veel in bevragingen in de BRP vanuit de politie voorkomen. In de begeleidende brief
bij de beantwoording van deze Kamervragen en in het antwoord op vraag 10 is uiteengezet
wat de aanleiding voor de bevraging in de BRP zou kunnen zijn geweest. Als een individuele
gedupeerde wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan
kan de gedupeerde daartoe een inzageverzoek bij de politie doen.2

Wat buitensporig is, kan niet in zijn algemeenheid worden vastgesteld, dat hangt af
van de grootte en de taak of taken van de gebruiker van de BRP. Ons zijn ook geen
signalen bekend over buitensporige bevragingen van de BRP, anders dan het FTM artikel.

Vraag 2 en 3

Moet de inzage in de Basisregistratie Personen door een gemeente worden goedgekeurd
of kunnen overheidsdiensten zich automatisch toegang verschaffen?

Wordt er gevraagd of aangegeven waarom er in gegevens gekeken wordt van familieleden
van iemand wiens gegevens worden opgevraagd? Zo nee, waarom niet?

Antwoord 2 en 3

Wij beantwoorden deze vraag voor de BRP in het algemeen. Er wordt niet per geval aangegeven
waarvoor er gegevens worden opgevraagd, maar wel in algemene zin. Voor iedere gebruiker
van de BRP wordt voorafgaand aan het verkrijgen van toegang tot de BRP door de Rijksdienst
voor Identiteitsgegevens (RvIG) getoetst welke persoonsgegevens noodzakelijk zijn
voor de uitvoering van de taak van de gebruiker. Dit wordt vastgelegd in een autorisatiebesluit.
Gebruikers van de BRP mogen de BRP enkel gebruiken binnen de kaders van het autorisatiebesluit.
Daarbij merken wij op dat het centraal in de BRP bijhouden van de exacte reden van
raadpleging ervoor zorgt dat er meer (gevoelige) gegevens centraal worden bewaard.
Dat zou ertoe leiden dat er in de BRP veel meer informatie moet worden bewaard dan
nodig is voor de uitvoering van de wet BRP, wat bovendien de risico’s voor burgers
in het geval van datalekken en met betrekking tot profilering vergroot.

Gebruikers dienen na het opvragen van de gegevens zelf bij te houden wat de concrete
reden van het gebruik van de BRP was. Als de burger precies wil weten waarvoor de
BRP-gegevens zijn gebruikt, kan hij of zij een inzageverzoek indienen bij de organisatie
die de BRP-gegevens heeft opgevraagd. Op grond van de AVG zijn organisaties die BRP-gegevens
opvragen zelf verantwoordelijk voor het bijhouden van de doeleinden van de gegevensverwerking.
De desbetreffende organisatie zal dus een reden (doeleinde) moeten kunnen gegeven
voor het gebruik van de BRP-gegevens

Zie ook het antwoord op uw vragen over de datahonger van de overheid d.d. 18 mei 2022
(antwoord op de eerste, tweede en zevende vraag).3

Vraag 4

Krijgt een gemeente een signaal als er buitensporig vaak in de persoonsgegevens van
iemand wordt gekeken?

Antwoord 4

Nee. De Minister van BZK, feitelijk RvIG, beheert de centrale voorziening van de BRP
waaruit gegevens kunnen worden opgevraagd. Wat buitensporig is, kan niet in zijn algemeenheid
worden vastgesteld, dat hangt af van de grootte en de taak of taken van de gebruiker
van de BRP. Er kan daarom ook geen signaal over worden afgegeven.

Specifiek met betrekking tot de politie is het volgende van belang. De taken en doelgroep
van de politie zijn breed (verdachte, slachtoffer, benadeelde, getuige, onderhavig
aan politiecontrole, of omstander). Al deze mensen kunnen in aanraking komen met de
politie, waarna de politie gegevens over diegene zal moeten opzoeken in de BRP. Voorgaande
brengt ook met zich mee dat RvIG niet kan bepalen of en wanneer er sprake is van «buitensporig
vaak» in de persoonsgegevens van iemand kijken. Daarvoor zou RvIG van iedere persoon
moeten weten wat de precieze aanleiding is voor het opvragen van de BRP-gegevens.
Dat is niet mogelijk gelet op het grote aantal gebruikers van de BRP en daarbij ook
onwenselijk, omdat er dan (bijzondere) persoonsgegevens moeten worden bijgehouden
in de BRP zonder noodzaak.

Vraag 5

Erkent u dat het raar is dat zelfs ministeries inzage vragen in de persoonsgegevens?
Kunt u aangeven welke afdelingen dit betreft en welke redenen er zijn om iemands persoonsgegevens
te controleren?

Antwoord 5

Nee, dat erkennen wij niet. Het doel van de BRP is het voorzien van overheidsorganen
(waaronder Ministers) van de in de BRP opgenomen gegevens, voor zover deze gegevens
noodzakelijk zijn voor de vervulling van hun taak.4 Ministeries kunnen persoonsgegevens nodig hebben voor de uitvoering van hun taken,
indien die taken onder directe ministeriële verantwoordelijkheid vallen. Bijvoorbeeld
de Minister van BZK voor het kunnen aanbieden van de voorziening DigiD of het beheer
van het donorregister onder verantwoordelijkheid van de Minister van VWS. Op de website
van RvIG is een overzicht te vinden van de ministeries die toegang hebben tot de BRP,
en voor welke taken: BRP-besluiten-Ministeries.

Vraag 6, 7 en 9

Kunt u aangeven of er een verband is tussen de Fraude Signalering Voorziening (FSV)
van de Belastingdienst en de vele opvragingen van andere overheidsinstanties? Kunt
u uw antwoord uitgebreid toelichten?

Met welke instanties zijn er (gegevens van) FSV-lijsten of soortgelijke gegevens gedeeld?

Welke gegevens zijn er overgenomen uit FSV-lijsten en gedeeld met andere instanties
dan de Belastingdienst?

Antwoord 6, 7 en 9

PricewaterhouseCoopers (PwC) heeft onderzoek gedaan naar de gegevensverstrekking uit
of over de FSV in het rapport «gegevensdeling met derden». De Belastingdienst heeft
aanvullend onderzoek verricht dat is gevalideerd door PwC. Over dit onderzoek bent
u voor de laatste maal door de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst
geïnformeerd op 4 november 2022.

In die brief is opgenomen dat de 536 gegevensverstrekkingen die PwC heeft gevonden
nader zijn onderzocht. Daaruit blijkt dat de omvang van de gegevensverstrekking aan
derden beperkter is dan eerder geconstateerd. Van de 536 verstrekkingen heeft de Belastingdienst
geconstateerd dat er in 128 verstrekkingen geen persoonsgegevens staan of dat de burger
niet in de FSV staat. Van de overgebleven verstrekkingen bevat minstens 108 verstrekkingen
geen informatie uit of over de FSV. In de verstrekkingen waar wel sprake is van FSV
wordt in de meeste gevallen enkel FSV in de verstrekking vermeld zonder dat er informatie
uit de FSV is verstrekt. Daarnaast is geconstateerd dat het overgrote deel van de
verstrekkingen plaatsvond op basis van een informatieverzoek en dat de verstrekte
informatie niet uit de FSV komt. Na analyse blijven er 296 verstrekkingen over die
betrekking hebben op 505 mensen. Uit de nadere analyse van de Belastingdienst blijkt
dat de ontvangers van de 4 exportbestanden een verbintenis hadden met de Belastingdienst
en dat het daarom geen gegevensverstrekking aan derden is. Deze verstrekkingen zijn
wel als een datalek aangemerkt, maar er zijn geen gevolgen geconstateerd. Uit het
onderzoek met samenwerkingspartners van de Belastingdienst naar de gevolgen van gegevensverstrekking
blijkt dat, op enkele gevallen na, er geen vervolgactie is ingezet op basis van de
gegevensverstrekking. In de gevallen waarbij de samenwerkingspartner wél een vervolgactie
heeft ingezet, ging het om informatie die de samenwerkingspartner op basis van een
informatieverzoek heeft ontvangen.

Verstrekking

Aantal

Toelichting

Exportbestanden

4

Geen gegevensverstrekking

Verstrekking bevat geen persoonsgegevens of burger staat niet in FSV

128

Geen gegevensverstrekking

Verstrekking bevat geen informatie over of uit FSV

108

Geen gegevensverstrekking

Verstrekking bevat informatie over of uit FSV

296

Gegevensverstrekking, circa 65% op basis van een informatieverzoek.

Totaal aantal verstrekkingen

536

Gezien er uit deze onderzoeken niet blijkt dat er grootschalige informatieverstrekking
uit of over FSV heeft plaatsgevonden aan andere organisaties, is het onaannemelijk
dat de FSV heeft geleid tot «grootschalige» bevraging van de BRP door overheidsorganisaties
in die zin dat de persoonsgegevens van heel veel burgers in de BRP zijn bevraagd.

Los van de FSV, verstrekt de Belastingdienst fiscale informatie van een persoon aan
andere overheidsorganisaties, indien daar door een organisatie om verzocht wordt en
hier een wettelijke basis voor is. Ook verstrekt de Belastingdienst fiscale informatie
aan andere organisaties ter uitvoering van een wettelijke taak.

Naast dat deze informatieverstrekking in de wet is vastgelegd, is ook in veel gevallen
een convenant opgesteld. Die convenanten zijn openbaar beschikbaar.

Vraag 8 en 10

Indien er geen gegevens zouden zijn gedeeld met andere instanties dat mensen gesignaleerd
staan op een FSV-lijst, hoe verklaart u dat de opvragingen van andere instanties vele
malen talrijker zijn dan voor mensen die niet gesignaleerd staan op een FSV-lijst?

Klopt het dat bij sommige slachtoffers het krijgen van brieven om toeslagen terug
te betalen gelijk loopt met de start van buitensporige inzage van politie, FIOD, Ministerie
van Financiën en anderen? Hoe kunt u dit verklaren?

Antwoorden 8 en 10

Het artikel van FTM spreekt niet over extra raadplegingen van de BRP door de FIOD,
het Ministerie van Financiën en anderen. Dit herkennen wij ook niet. In het geval
van de politie kan niet worden vastgesteld of sprake is van overmatige bevragingen.

Daarnaast is het zoals aangegeven in de beantwoording van vraag 1 voor de politie
niet bekend welke personen gedupeerden van de toeslagenaffaire zijn. Bij het contact
tussen een politiefunctionaris en een persoon (of deze persoon nu in hoedanigheid
van verdachte, slachtoffer, benadeelde, getuige, onderhavige is aan politiecontrole,
of omstander is) is voor de politiefunctionaris niet kenbaar of de betrokkene in kwestie
wel of geen gedupeerde van de toeslagenaffaire is. Bij het verwerken van gegevens
naar aanleiding van een dergelijk contact wordt dit dan ook niet geregistreerd. De
politie heeft aangegeven dat zij niet kan nagaan of erkende gedupeerden van de toeslagenaffaire
bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, omdat niet geregistreerd
staat bij de politie of er sprake is van een gedupeerde.

Zoals beschreven in de begeleidende brief zijn er wel diverse gronden op basis waarvan
gegevens worden verstrekt aan de politie.

Vraag 11

Heeft het kenmerk «opzet grove schuld» achter iemands naam invloed gehad op het buitensporig
in mogen zien van de persoonsgegevens?

Antwoord 11

Nee. Het kenmerk «opzet grove schuld» wordt niet geregistreerd in de BRP noch gebruikt
bij de toets of een organisatie toegang krijgt tot persoonsgegevens in de BRP.

Vraag 12

Bent u bereid een verplichting in te stellen voor instanties waarom zij een bevraging
doen uit andere systemen, zodat mensen meer inzage kunnen krijgen in hun gegevens
en wat er met hun gegevens gebeurt? Zo nee, waarom niet?

Antwoord 12

Die plicht geldt al op grond van de AVG (artikel 5, tweede lid («verantwoordingsplicht»)).
Iedere verwerkingsverantwoordelijke is zelfstandig verplicht om daaraan te voldoen.

Vraag 13

Denkt u dat wanneer artikel 32a van de Wet politiegegevens in werking was getreden
de toeslagenouders wél een fatsoenlijke verklaring van de politie zouden hebben gekregen
over waarom er zo vaak inzage in de persoonsgegevens heeft plaatsgevonden? Kunt u
uw antwoord toelichting?

Antwoord 13

Artikel 32a van de Wet politiegegevens (Wpg) gaat over logging in geautomatiseerde
systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen,
wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen
van politiegegevens. Het ontbreken van een verklaring voor de bevragingen is niet
gelegen in het feit dat er geen logging plaatsvindt van bevragingen. Er vindt wel
degelijk logging plaats op grond van de algemene verplichting tot gegevensbeveiliging
uit artikel 4a van de Wpg. Er kan echter geen onderzoek worden gedaan door de politie
naar bevragingen op toeslagenouders, omdat het voor de politie niet kenbaar is welke
personen toeslagenouders zijn. De politie kan daarom niet nagaan of toeslagenouders
bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, en zo ja, wat
daarvan de achterliggende redenen zou kunnen zijn. Als een individuele gedupeerde
wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan kunnen zij
daartoe een inzageverzoek bij de politie doen. In de begeleidende brief bij deze Kamervragen
is een link opgenomen naar een website met meer informatie hoe een dergelijk verzoek
kan worden gedaan.

Vraag 14

Kunt u aangeven wanneer artikel 32a van de Wet politiegegevens in werking zal treden?

Antwoord 14

Artikel 32a Wpg moet – conform de uitzonderingsmogelijkheid geboden in Richtlijn 2016/680
– uiterlijk in mei 2023 in werking treden. Dat kan middels een koninklijk besluit.
Deze uitzondering is mogelijk gemaakt omdat systemen aangepast moeten worden zodat
deze kunnen loggen. Het blijft ook na mei 2023 overigens tot 2026 mogelijk om een
uitzondering te vragen voor specifieke systemen die om technische redenen nog niet
kunnen loggen.

Vraag 15

Kunt u tevens aangeven waarom het zo lang moet duren en of dat bij de inzage in de
verwerking van politiegegevens ook zonder logplicht onder dat recht op inzage valt?

Antwoord 15

Het recht op inzage in de gegevens wordt geregeld door artikel 25 van de Wet politiegegevens,
daaronder valt ook inzage in de doelen en de rechtsgrond van de verwerking. Daaronder
valt verder een overzicht van de ontvangers van politiegegevens gedurende een periode
van vier jaar, dus aan wie politiegegevens verstrekt zijn (lid 1, onderdeel c). Voor
zover loggegevens tegemoet komen aan de onderdelen van artikel 25, valt dit onder
het inzagerecht. Verder verwijzen wij u voor de beantwoording van deze vraag naar
het antwoord op vraag 14.

Vraag 16

Bent u bereid instanties te verplichten dat een verzoek wordt gedaan voor inzage in
bevragingen van persoonsgegevens, dit overzicht compleet dient te zijn, en er dus
niet een overzicht kan worden gegeven van slechts enkele systemen binnen een instantie
waarin een persoon voor kan komen? Zo nee, kunt u uw antwoord uitgebreid toelichten?

Antwoord 16

Voor de politie geldt dat het recht op inzage conform artikel 25 van de Wpg het inzien
van persoonsgegevens en het krijgen van informatie over de doelen en de rechtsgrond
van de verwerking; de betrokken categorieën van politiegegevens; de vraag of de deze
persoon betreffende politiegegevens gedurende een periode van vier jaar voorafgaande
aan het verzoek zijn verstrekt en over de ontvangers of categorieën van ontvangers
aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale
organisaties; de voorziene periode van opslag of indien dat niet mogelijk is, de criteria
om die termijn te bepalen; het recht te verzoeken om rectificatie, vernietiging of
afscherming van de verwerking van hem betreffende politiegegevens; het recht een klacht
in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;
de herkomst, voor zover beschikbaar, van de verwerking van hem betreffende politiegegevens.

Tegelijk is het goed om hier te onder de aandacht te brengen dat in artikel 27 van
de Wet politiegegevens hier een uitzondering op wordt gemaakt en dat het verzoek kan
worden afgewezen op grond van een aantal limitatief opgesomde uitzonderingsgronden.

Op overige organisaties die persoonsgegevens verwerken is de AVG van toepassing. De
AVG regelt dat op iedere verwerkingsverantwoordelijke de verantwoordingsplicht rust
(artikel 5, tweede lid, AVG). Iedere organisatie die gegevens verwerkt, waaronder
gegevens uit de BRP, is verplicht om te voldoen aan de verplichting om inzage te kunnen
geven in de doeleinden van de verwerking en eventuele verdere verwerkingen (artikel
15 AVG). Overzichten van verwerkingsactiviteiten dienen compleet te zijn.5

Vraag 17

Bent u bereid instanties te verplichten dat indien er een verzoek wordt gedaan voor
inzage in bevragingen van persoonsgegevens, dit overzicht compleet dient te zijn en
dus ook moet bevatten met welke instanties deze gegevens nog meer zijn gedeeld? Zo
nee, kunt u uw antwoord uitgebreid toelichten?

Antwoord 17

Die plicht geldt al op grond van de AVG (artikel6. Iedere verwerkingsverantwoordelijke is zelfstandig verantwoordelijk om daaraan te
voldoen.

Vraag 18

Waarom vindt u het nog altijd geoorloofd dat steeds meer instanties, en daarmee ook
steeds meer mensen, inzage hebben in de persoonlijke gegevens van mensen zonder dat
ze daarbij hoeven aan te geven waarom ze deze gegevens opvragen of hoe zij deze gegevens
verder verwerken? Ziet u het gevaar als, zoals u eerder wenste, ook bijvoorbeeld banken
toegang hebben tot dergelijke gegevens? Kunt u uw antwoord uitgebreid toelichten?

Antwoord 18

Het verwerken van persoonsgegevens zonder dat daarbij kan worden aangegeven waarom
de gegevens worden verwerkt zou inderdaad – behoudens uitzonderingen – ongeoorloofd
zijn. Op iedere verwerkingsverantwoordelijke rust de verantwoordingsplicht (artikel
5, tweede lid, AVG). Zie voor de verdere beantwoording van deze vraag mijn antwoord
op uw vragen over de datahonger van de overheid d.d. 18 mei 2022 (antwoord op de tweede
vraag).7 Iedere organisatie die gegevens verwerkt, waaronder gegevens uit de BRP, moet voldoen
aan de verplichting om inzage te kunnen geven in de doeleinden van de verwerking en
eventuele verdere verwerkingen.

Vraag 19

Vindt u het rechtvaardig dat slachtoffers van het toeslagenschandaal nog altijd geen
inzicht hebben in welke gegevens met welke diensten zijn gedeeld? Zo nee, hoe kan
het dat deze mensen al zo lang op antwoorden moeten wachten? Zo ja, kunt u uw antwoord
uitgebreid toelichten?

Antwoord 19

In de systemen van Toeslagen staat niet geregistreerd of en welke informatie van gedupeerde
ouders in het verleden is gedeeld met andere organisaties. Het is voor de medewerkers
van de Uitvoeringsorganisatie Herstel Toeslagen (UHT) daarom ook niet mogelijk om
dit inzichtelijk te maken.

Wanneer gedupeerden in de FSV geregistreerd stonden, zijn zij door de Belastingdienst
hierover geïnformeerd. De Belastingdienst informeert hen dan ook over de reden van
registratie, wat de effecten van registratie zijn geweest en indien dit aan de orde
is, met welke organisaties hun gegevens uit of over FSV zijn gedeeld.