Brief Algemene Rekenkamer : Omgang met de AVG in relatie tot uitvoering overheidstaken

Nr. 264
BRIEF VAN DE ALGEMENE REKENKAMER

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 maart 2023

De Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei 2018 van toepassing
in de hele Europese Unie. De afgelopen jaren zagen wij dat de aanpassing aan deze
verordening in Nederland niet zonder horten en stoten verloopt. In verschillende onderzoeken
constateerden we dat uitvoeringsorganisaties de AVG als obstakel ervaren.1 Hierdoor kwam de uitvoering van overheidstaken in de knel, met soms grote gevolgen
voor burgers. Zo werden ouderen die onder het bestaansminimum er niet op gewezen dat
ze recht hebben op een aanvullende uitkering, en konden zorgfraudeurs makkelijker
onder de radar blijven.

Ons uitgangspunt in deze brief is dat data en digitalisering kansen bieden voor het
functioneren van de overheid en het verbeteren van dienstverlening. De AVG biedt daarvoor
voldoende ruimte. Dit vraagt van regering, parlement en uitvoeringsorganisaties dat
zij de baten van gegevensverwerking afwegen tegen de gevolgen voor de privacy van
burgers. Problemen in de uitvoering ontstaan wanneer deze afweging niet of niet op
tijd is gemaakt. Dit kan grotendeels worden voorkomen door in de parlementaire behandeling
van wetsvoorstellen structureel aandacht te geven aan de benodigde verwerking van
persoonsgegevens. En door de kennis over de AVG binnen ministeries en uitvoeringsorganisaties
te vergroten.

We illustreren deze boodschap met drie voorbeelden uit onze onderzoeken.

Voorbeeld 1: privacy en dienstverlening

Ouderen die een AOW-uitkering ontvangen kunnen niettemin een inkomen hebben onder
het sociaal minimum. Deze ouderen hebben in veel gevallen recht op een aanvullende
uitkering: de Aanvullende inkomensvoorziening ouderen (AIO). In ons onderzoek Ouderdomsregelingen ontleed (2019) zagen wij dat veel ouderen die hier recht op hebben, geen gebruik maken van
de AIO. Ongeveer de helft van de huishoudens die waarschijnlijk recht hebben op deze
uitkering heeft geen aanvullende uitkering aangevraagd. Dat betekende ten tijde van
het onderzoek dat 34.000 tot 51.000 huishoudens met een of meer AOW-gerechtigden een
inkomen hadden onder bijstandsniveau.

Door gegevens van de SVB (de uitvoerder van de regeling) te koppelen aan inkomensgegevens
van het UWV kan de SVB bepalen welke huishoudens dit vermoedelijk zijn. En deze huishoudens
actief wijzen op de mogelijkheid om een aanvullende uitkering aan te vragen. De SVB
vertelde ons dit graag op te willen pakken, maar de Minister van SZW concludeerde
op basis van een privacytoets dat deze koppeling van gegevens niet mogelijk is binnen
de grenzen van de privacywetgeving. We deden de aanbeveling aan de Minister om te
onderzoeken onder welke condities gegevensdeling wel mogelijk kan worden gemaakt.
Eventueel door het scheppen van een wettelijke basis. We wogen daarbij zwaar mee dat
tienduizenden huishoudens op het moment van onderzoek onnodig leefden onder het bestaansminimum.

Mede naar aanleiding van deze aanbeveling zijn SVB en UWV in 2022 een pilot gestart
om mogelijke rechthebbenden toch te identificeren en aan te schrijven. De uitvoeringsorganisaties
hebben binnen deze pilot maatregelen genomen om zo min mogelijk persoonsgegevens te
verwerken.2

Voorbeeld 2: privacy en publieke taakuitvoering

In ons verantwoordingsonderzoek over 2021 rapporteerden we over ons onderzoek naar
de aanpak van ziekten die van dieren op mensen kunnen worden overgedragen (zoönosen).
De coronacrisis is een voorbeeld van de ernstige gevolgen die dit kan hebben. In 2020
werd in Nederland geconstateerd dat nertsen die besmet waren met het nieuwe coronavirus,
dit konden overdragen op mensen, en andersom. Voor een effectieve aanpak van de crisis
was het daarom niet voldoende om alleen zicht te krijgen op mogelijke uitbraken onder
de menselijke bevolking. De betrokken organisaties (GGD, RIVM, NVWA en de Gezondheidsdienst
voor Dieren) zetten zich in om ook uitbraken bij veehouders zo snel mogelijk onder
controle krijgen.

Om zicht te krijgen op de verspreiding van het virus rond veehouderijen wilden de
betrokken organisaties gegevens kunnen uitwisselen. Medewerkers van de Ministeries
van LNV en VWS vertelden ons echter dat de organisaties zich hierbij belemmerd voelden
door de AVG. Zij hadden informatie over corona-uitbraken op veehouderijen, en gezondheidsinformatie
over mensen die deze veehouderijen hadden bezocht. Maar vanwege de privacywetgeving
zou het niet mogelijk zijn om deze informatie te koppelen. Dit maakte het lastig om
te volgen hoe het virus zich verspreidde, terwijl dit zou kunnen helpen om uitbraken
tegen te gaan.

Ook na de coronacrisis blijft het onverminderd van belang dat de uitwisseling van
gegevens tussen deze uitvoerders goed is geregeld. Zowel juridisch als organisatorisch.
Het risico op nieuwe zoönosen die een bedreiging vormen voor de volksgezondheid is
namelijk reëel. In ons onderzoek constateerden we dat dit probleem ook in 2022 nog
niet was opgelost.

Voorbeeld 3: privacy en fraudebestrijding

In Een zorgelijk gebrek aan daadkracht (2022) publiceerden we de resultaten van ons onderzoek naar de effectiviteit van
de bestrijding van zorgfraude. In dit onderzoek constateerden we dat er nauwelijks
resultaten worden geboekt in de strijd tegen fraude met publiek geld voor de gezondheidszorg.

Bij de aanpak van zorgfraude zijn veel partijen betrokken, zoals de NZa, de Inspectie
Gezondheidszorg en Jeugd, zorgverzekeraars, de Belastingdienst en gemeenten. Om zorgfraude
effectief aan te pakken moeten zij informatie kunnen uitwisselen. We zagen in ons
onderzoek dat dit niet altijd soepel verloopt. Dit heeft verschillende oorzaken.,
maar één van die oorzaken is dat betrokken organisaties de ruimte die de AVG biedt
om informatie te delen, verschillend interpreteren. Sommige organisaties zijn daarin
zo voorzichtig dat het een effectieve aanpak van zorgfraude belemmert.

Hierdoor kunnen frauderende aanbieders langer onder de radar blijven, en moeilijker
worden aangepakt. Met verspilling van publiek zorggeld, en minder goede zorg voor
patiënten en cliënten als gevolg.

We deden op basis van dit onderzoek de aanbeveling aan de Minister van VWS en de Minister
voor Langdurige Zorg en Sport om ervoor te zorgen dat de uitvoerende partijen de mogelijkheden
die zij binnen bestaande de wetgeving hebben, beter te benutten.

Omgang met de AVG kan beter

De AVG heeft als doel om de privacy van burgers te beschermen en misbruik van hun
gegevens te voorkomen. De verordening is niet bedoeld als belemmering voor de publieke
taakuitoefening door de overheid, goede dienstverlening aan de burger of een adequate
opsporing van fraude. Een goede uitvoering van deze taken is immers in het belang
van burgers.

De AVG biedt voldoende ruimte voor het verwerken (dat wil zeggen: bewaren, gebruiken
of delen) van persoonsgegevens voor de uitvoering van overheidstaken. Het verwerken
van persoonsgegevens kan, zolang de baten van de verwerking goed zijn afgewogen tegen
de gevolgen voor de privacy van burgers en er een wettelijke basis voor is gecreëerd.
Problemen in de uitvoering die wij in onze onderzoeken tegenkwamen, ontstonden niet
omdat de AVG zelf een knelpunt is, maar omdat deze afweging niet, of niet op tijd
gemaakt is. Als de regering, parlement en uitvoerders deze problemen in de toekomst
willen voorkomen, is het nodig dat ze deze afweging tot onderdeel van hun manier van
werken maken. Kijkend naar de voorbeelden uit onze onderzoeken zien we de volgende
aanknopingspunten.

Een tijdige wettelijke basis voor gegevensverwerking

De AVG biedt ruimte om persoonsgegevens te verwerken en delen, maar in veel gevallen
dienen regering en parlement voor deze verwerking een wettelijke basis te creëren.
We komen in ons onderzoek regelmatig tegen dat deze wettelijke basis nog gecreëerd
moet worden wanneer er al een probleem geconstateerd is. Dat is te laat om problemen
te voorkomen. Vooral het delen van persoonsgegevens tussen samenwerkende organisaties
is vaak onvoldoende wettelijk geregeld. Uitvoerende partijen worden hierdoor soms
jarenlang voor een probleem gesteld. Het creëren van een nieuwe wettelijke basis kan
immers jaren duren.

Het is aan parlement en regering om samen met uitvoerende organisaties tijdig te bedenken
welke persoonsgegevens deze organisaties nodig hebben om hun taken goed uit te kunnen
voeren. U kunt hieraan bijdragen door de verwerking van persoonsgegevens een structureel
onderdeel van de parlementaire behandeling van wetsvoorstellen te maken. Uitvoeringsorganisaties
kunnen helpen door in de uitvoeringstoets aandacht te geven aan de verwerking van
persoonsgegevens die zij nodig achten voor de uitvoering van de nieuwe wetgeving.

Uiteraard is het niet in alle gevallen mogelijk om vooraf precies te weten welke partijen
over welke persoonsgegevens moeten kunnen beschikken. De coronacrisis biedt hiervoor
een goed voorbeeld. Maar ook voor situaties met bijzondere spoed zijn oplossingen
te bedenken. Zoals het in wetgeving regelen van een mogelijkheid om in lagere regelgeving
een basis voor gegevensverwerking te creëren. Als er toch een nieuwe wettelijke basis
nodig is, maar er ook zwaarwegende maatschappelijke redenen zijn om direct met het
verwerken van persoonsgegevens te beginnen, is het mogelijk om dit met de Autoriteit
Persoonsgegevens (AP) te bespreken. Deze route dient wat betreft de AP wel uitsluitend
gebruikt te worden in onvoorziene situaties en wanneer er vitale belangen op het spel
staan. De AP kan daarbij voorwaarden stellen over waarborgen om de privacyinbreuk
zo klein mogelijk te houden en over de maximale termijn waarbinnen een adequate wettelijke
basis door regering en parlement alsnog dient te worden gerealiseerd.

Meer kennis over de AVG op de werkvloer

Een goede omgang met de AVG vraagt ook van uitvoeringsorganisaties dat medewerkers
voldoende kennis hebben over de bescherming van privacy. In meerdere onderzoeken waar
de AVG als knelpunt werd genoemd kregen we de indruk dat de benodigde gegevensverwerking
ook mogelijk was binnen de bestaande wettelijke kaders. Soms is het nodig om bij de
verwerking van gegevens wel waarborgen aan te brengen om de privacy van burgers te
beschermen. Bijvoorbeeld door anonimisering of pseudonimisering van persoonsgegevens.

Het helpt daarbij wanneer deze kennis niet alleen aanwezig is bij de functionaris
gegevensbescherming, maar ook binnen teams met uitvoerende taken. In ons onderzoek
kregen we regelmatig de indruk dat organisaties uit angst voor de AVG zich terughoudender
opstellen dan nodig is. We kunnen niet ook niet uitsluiten dat de AVG soms als gelegenheidsargument
wordt gebruikt om informatie niet met andere partijen te hoeven delen.

Ook de AP constateert dat organisaties soms terughoudender zijn dan op basis van de
wet nodig is. Recente voorbeelden zijn het onderzoek naar oversterfte na afloop van
de coronacrisis, en de aanpak van het niet-gebruik van de dubbele kinderbijslag. In
beide gevallen zou de AVG het verwerken van de benodigde gegevens in de weg staan.
De AP oordeelde daar geen reden voor te zien.3

Kennis van de AVG op de werkvloer helpt misverstanden over naleving en interpretatie
van de AVG te voorkomen. En het kan eraan bijdragen dat er op een andere manier met
de AVG wordt omgegaan. De vraag die nu vaak gesteld wordt is of verwerking van gegevens
is toegestaan, terwijl de vraag zou moeten zijn: hoe kunnen persoonsgegevens worden gebruikt en gedeeld op een manier die redelijk is en
het recht van burgers op privacy respecteert? Door deze vraag aan bewindspersonen
te stellen kunt u bijdragen aan de benodigde verschuiving van de discussie.

Tot slot

Het toezicht op de naleving van de AVG is de taak van de Autoriteit Persoonsgegevens.
We hebben hier geen onderzoek naar gedaan. Maar de Algemene Rekenkamer beoordeelt
of overheidstaken effectief en doelmatig worden uitgevoerd. In ons onderzoek komen
we met enige regelmaat situaties tegen waarbij de omgang met en de interpretatie van
de AVG een doelmatige en effectieve uitvoering van overheidstaken belemmeren. De drie
gegeven voorbeelden illustreren dat dit grote gevolgen kan hebben voor burgers.

Als medewetgever speelt u een belangrijke rol in het verbeteren van de omgang met
de AVG. De kern is de afweging die telkens opnieuw gemaakt moet worden tussen beleidsdoelen,
uitvoering van overheidstaken en dienstverlening aan burgers enerzijds en de gevolgen
voor de privacy van burgers anderzijds. Uiteraard is het ook mogelijk dat uw Kamer
concludeert dat het gebruiken, delen en verwerken van persoonsgegevens niet wenselijk
is. Dit is dan geen gebrek van de AVG, maar de wezenlijke politieke afweging die alleen
regering en parlement kunnen maken.

Algemene Rekenkamer

drs. E. (Ewout) Irrgang, wnd. president

drs. C. (Cornelis) van der Werf, secretaris