Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de reactie op de motie van het lid Leijten over de Kamer informeren over wetten, pilots en andere alternatieven die zijn ontstaan in de ministeriële commissie aanpak fraude (Kamerstuk 35772-27) (Kamerstuk 35772-39)
35 772 Wijziging van de Wet basisregistratie personen in verband met de invoering van een centrale voorziening ter ondersteuning van de colleges van burgemeester en wethouders bij het onderzoek of een persoon als ingezetene in de basisregistratie personen op een adres in de gemeente dient te worden ingeschreven alsmede naar de juistheid van de gegevens betreffende het adres van een ingezetene in de basisregistratie personen
Nr. 41 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 26 oktober 2023
De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen
voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over
de brief van 30 maart 2023 over de reactie op de motie van het lid Leijten over de
Kamer informeren over wetten, pilots en andere alternatieven die zijn ontstaan in
de ministeriële commissie aanpak fraude (Kamerstuk 35 772, nr. 27) (Kamerstuk 35 772, nr. 39).
De vragen en opmerkingen zijn op 21 april 2023 aan de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 25 oktober 2023 zijn de vragen
beantwoord.
De voorzitter van de commissie, Hagen
Adjunct-griffier van de commissie, Morrin
Inleiding
Hierbij bied ik u aan de beantwoording van de schriftelijke vragen n.a.v. de brief
inzake «Uitvoering van de motie van het lid Leijten over de Kamer informeren over
wetten, pilots en andere alternatieven die zijn ontstaan in de ministeriële commissie
aanpak fraude» (Kamerstuk 35 772, nr. 27) (Kamerstuk 35 772, nr. 39).
D66, SP, BBB en het lid Omtzigt vragen om een overzicht van wetten, pilots en andere
alternatieven, conform de motie van het lid Leijten. Zoals in mijn brief van 30 maart
2023 aangegeven heeft de MCF zelf geen wetten, pilots of andere alternatieven geïnitieerd.
De activiteiten werden onder de individuele verantwoordelijkheid van elk departement
ontwikkeld. Het overzicht van kamerbrieven over de resultaten ten tijde van de MCF
dat in de brief van 30 maart 2023 is opgesomd geeft weer welke onderwerpen in de MCF
besproken zijn. Na interdepartementale afstemming blijkt dat het kabinet niet over
andere overzichten beschikt die hierop aanvullend gedeeld zouden kunnen worden.
De fractie VVD heeft verdiepende vragen over de autorisatie op en het gebruik van
gegevens uit de BRP gesteld.
Ik dank de fractie voor hun bijdrage en ga graag in op de – hieronder gecursiveerde –
vragen en opmerkingen. Hierbij is de indeling en volgorde van het verslag aangehouden.
Op de vragen van D66, SP, BBB en het lid Omtzigt naar het overzicht van wetten, pilots
en andere alternatieven, zoals gevraagd in de motie Leijten, heeft afstemming binnen
het kabinet plaats gevonden. Het kabinet heeft daarbij niet meer stukken aangetroffen
dan reeds met u gedeeld. Zoals in de brief van 30 maart 2023 aangegeven heeft de MCF
zelf geen wetten, pilots of andere alternatieven geïnitieerd. De activiteiten werden
onder de individuele verantwoordelijkheid van elk departement ontwikkeld. Het kabinet
beschik niet over een ander overzicht over de resultaten ten tijde van de MCF dan
de in de vorige brief1 gemelde kamerbrieven.
De aanvullende vraag van het lid Omtzigt naar vergaderdata van de MCF en de samenstelling
van de commissie kan wel beantwoord worden.
Vragen en opmerkingen van de leden van de VVD-fractie met antwoorden
De leden van de VVD-fractie vragen zich af hoe, als een onderzoeksinstelling voldoet
aan een aantal voorwaarden, wordt geborgd dat de gegevens veilig zijn, vooral in het
licht van recente hacks bij dergelijke instellingen. (1)
Deze leden lezen in de brief dat de medewerkers van gemeentes worden getraind, maar
geldt dit ook voor samenwerkingsverbanden zoals regio's? (2)
Het is de zelfstandige verantwoordelijkheid van de ontvanger BRP-gegevens om zich
te houden aan de AVG en UAVG, en daarmee ook om de raadpleging door onbevoegden te
voorkomen. Hiernaast geldt dat de verstrekking aan geautoriseerde overheidsorganen
en derden wordt geprotocolleerd door RvIG. Dit gebeurt ten behoeve van de veiligheid
en het recht van de burger op inzage in het gebruik van de BRP. Ontvangers van BRP-gegevens
zijn op grond van de AVG verplicht om de gegevensverwerking te loggen. Verder dient
de ontvanger van gegevens technisch aan te sluiten op de centrale voorziening van
de BRP; hiervoor gelden strenge eisen. Afnemers kunnen via een eigen applicatie toegang
krijgen tot de BRP-Verstrekkingsvoorziening (BRP-V). De afnemers zijn aangesloten
op Diginetwerk. Diginetwerk is een publiek-private samenwerking waarover Logius, in
opdracht van het Ministerie van BZK, de regie voert. Door het besloten karakter is
Diginetwerk een veiliger alternatief voor het open internet. Om toegang te kunnen
krijgen tot BRP-V dient de betreffende afnemer bovendien te beschikken over een «PKI
overheid-certificaat». PKI staat voor Public Key Infrastructure. Dit is de internationale
standaard voor authentiseren en het versleutelen van communicatie tussen systemen.
Beide systemen (afnemer en BRP-V) stellen daarmee «elkaars identiteit» vast.
Hoewel de Rijksdienst voor Identiteitsgegevens (RvIG) aangeeft snel te kunnen handelen,
hoe zorgvuldig wordt de toets uitgevoerd om te bepalen wie toegang kan krijgen tot
BRP-gegevens? (3)
Overheidsorganen, zoals DUO en UWV, krijgen gegevens uit de BRP omdat zij die nodig
hebben om hun publieke taken uit te voeren. Ook een aantal organisaties buiten de
overheid («derden») hebben toegang tot de BRP. Het gaat om partijen met belangrijke
maatschappelijke taken zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Voor
deze derden (niet-overheidsorganisaties) geldt dat de taken waarvoor de BRP geraadpleegd
wordt, in het Besluit BRP (AMvB) moeten zijn aangewezen als werkzaamheden met gewichtig
maatschappelijk belang. Overheidsorganen en derden (niet overheidsorganisaties), die
aangesloten willen worden op het centrale BRP-systeem moeten daarvoor toestemming
krijgen van de Minister van BZK. De Minister (RvIG) toetst of de organisatie een taak
heeft waarvoor gegevens uit de BRP nodig zijn. Als dat zo is neemt de Minister (RvIG)
een zogenaamd autorisatiebesluit. In dat besluit wordt precies beschreven welke gegevens
van welke personen de organisatie mag opvragen en op welke manier de gegevens met
de organisatie worden gedeeld. Het is dus niet zo dat een aangesloten organisatie
automatisch toegang heeft tot de volledige BRP (alle gegevens van alle ingeschrevenen).
De autorisatiebesluiten zijn openbaar: deze worden gepubliceerd in de Staatscourant
en zijn ook te raadplegen op publicaties.rvig.nl. De ontvanger van gegevens is verplicht
om wijzigingen in haar taken die betrekking hebben op de BRP-verstrekking, te melden
aan RvIG. Zo kan beoordeeld worden of de verstrekking aangepast of beëindigd moet
worden.
Klopt het dat er binnen sommige gemeentes en andere overheidsinstanties Landelijke
Stuurgroep Interventieteams (LSI)-projecten worden gedraaid? Zo ja, kan de Staatssecretaris
inzichtelijk maken bij welke gemeentes en overheidsinstanties dit wordt toegepast?
Toetst naast de LSI ook de RvIG of hier een wettelijke grondslag voor is? Door wie
wordt of is de toets uitgevoerd voor een wettelijke grondslag? (4)
Ja, dat klopt. Het Ministerie van Sociale Zaken en Werkgelegenheid neemt sinds 2003
het voortouw om handhaving in het sociale zekerheidsdomein integraal te benaderen
op basis van het LSI convenant. Alle gemeenten in Nederland kunnen (kosteloos en zonder
verplichtingen) het LSI convenant tekenen. Een nieuw toegetreden gemeente wordt vermeld
in de Staatscourant. Een overzicht van de LSI-projecten is meegestuurd op 15 december
2022 met de bijlagen bij de beantwoording van Kamervragen2.
De wettelijke grondslag voor de LSI is te vinden in artikel 64 Wet SUWI. In deze wet
is het doeleinde van de LSI beschreven, namelijk het voorkomen en tegengaan van onrechtmatig
gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale
zekerheid en de inkomensafhankelijke regelingen, het voorkomen en bestrijden van belasting-
en premiefraude en het niet naleven van de arbeidswetten. De partijen die in artikel
64 Wet SUWI samenwerken kunnen de gegevens uitwisselen die daarvoor noodzakelijk zijn.
De RvIG toetst geen grondslagen in dit verband.
LSI-partners die deelnemen aan een LSI-project, zijn gezamenlijk verwerkingsverantwoordelijken
voor de gegevensverwerking die ten behoeve van het project plaatsvindt. Het is zo
aan de deelnemende LSI-partners om gezamenlijk te bezien of in een project volledig
binnen deze kaders wordt en is gehandeld. Voordat een project wordt gestart, zijn
er afwegingsmomenten van de noodzaak van een project en welke LSI-partners deelnemen.
Er bestaat een standaard model voor een overeenkomst voor gegevensuitwisseling (blauwdruk
DPIA). Levering van gegevens mag pas plaatsvinden nadat de LSI het projectplan heeft
goedgekeurd. Een dergelijke werkwijze is voorgeschreven door artikel 35 van de AVG.
Daarnaast verantwoorden de LSI-partners – als zij aan een project deelnemen – zelf
de gegevens die zij onder eigen verantwoordelijkheid verwerken conform de vereisten
die de AVG daaraan stelt.
De leden van de VVD-fractie vragen hoe, op het moment dat een organisatie niet meer
de taak heeft om gegevens van de BRP te beheren, wordt geborgd dat er geen lokale
kopieën of aansluitingen meer zijn. (5)
Organisaties beheren geen gegevens van de BRP maar gebruiken de actuele gegevens uit
de BRP voor uitvoering van hun taak. Als een taak vervalt, vervalt ook de bijbehorende
autorisatie voor gebruik van de BRP. De technische aansluiting vervalt dan ook. RvIG
trekt het autorisatiebesluit in en sluit de technische aansluiting af. Het verwijderen
van persoonsgegevens in de eigen administratie, al dan niet verkregen uit de BRP,
is een aangelegenheid van de betreffende organisatie.
Kunnen organisaties die toegang hebben tot gegevens van de BRP deze gegevens delen
met andere instanties, zonder tussenkomst van de RvIG? (6)
Ja, die gegevensdeling valt niet onder de wet BRP maar onder de AVG, de Wet algemene
bepalingen burgerservicenummer (Wabb) of eventuele specifieke sectorale regelgeving.
Organisaties moeten per casus zelf beargumenteren dat de gegevensdeling noodzakelijk
en rechtmatig is.
Worden algoritmes die door verschillende organisaties worden gebruikt om gegevens
te verwerken ook meegenomen in de toets om te bepalen wie toegang kan krijgen tot
de BRP-gegevens? Bijvoorbeeld in het geval van een samenwerkingsverband tussen vijf
gemeentes op het gebied van sociaal domein of belastingen. (7)
In het antwoord op vraag 3 heb ik uiteengezet hoe door RvIG wordt getoetst of een
organisatie gegevens uit de BRP mag ontvangen. In een autorisatieaanvraag voor de
BRP zet een organisatie die geautoriseerd wil worden uiteen voor welke taak de gegevens
noodzakelijk zijn. RvIG toetst deze noodzaak. Welke algoritmes een organisatie gebruikt
is geen onderdeel van die toets.
De regering wil wel dat de overheid algoritmes verantwoord gebruikt. Mensen moeten
erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving.
En er moet uitleg zijn over hoe algoritmes werken. Het Ministerie van BZK werkt aan
het Implementatiekader «Inzet van algoritmes». Dat maakt voor overheden duidelijk welke eisen er gelden voor algoritmes en hoe
ze ervoor kunnen zorgen dat hun algoritmes aan die eisen kunnen voldoen. Daarnaast
is inmiddels het algoritmeregister beschikbaar op algoritme.overheid.nl. De Autoriteit Persoonsgegevens is de toezichthouder en coördineert de controle op
algoritmes.
Vragen en opmerkingen van het lid Omtzigt
... Tot slot ontvangt het lid Omtzigt graag een overzicht van wanneer de commissie
vergaderd heeft, wie aanwezig waren in die commissie en hij zou graag de besluitenlijsten
van de ministeriële commissie aanpak fraude ontvangen. Hij merkt hierbij op dat de
regering na «Ongekend Onrecht» besloten heeft besluitenlijsten openbaar te maken.
De MCF is op de volgende data bijeen gekomen:
• 3 september 2013
• 1 oktober 2013
• 12 november 2013
• 17 december 2013
• 15 april 2014
• 8 juli 2014 (pro forma)
• 9 september 2014
• 18 november 2014
• 16 december 2014
• 24 maart 2015
• 9 juni 2015
De leden van de MCF waren de Ministers van Binnenlandse Zaken en Koninkrijksrelaties,
Buitenlandse Zaken, Defensie, Economische Zaken, Financiën, Veiligheid en Justitie,
Onderwijs, Cultuur en Wetenschap, Sociale Zaken en Werkgelegenheid, Volksgezondheid,
Welzijn en Sport en Infrastructuur en Milieu. De voorzitter was de Minister-President.
Het Ministerie van Veiligheid en Justitie was verantwoordelijk voor de ambtelijke
coördinatie.
Van onderraden en ministeriële commissies worden conclusies opgesteld. De conclusies
zijn een weergave van het besprokene en de besluiten die in de onderraad of ministeriële
commissie zijn genomen. Deze conclusies worden in de daaropvolgende ministerraad vastgesteld.
Omdat conclusies ten aanzien van de geheimhouding vergelijkbaar zijn met notulen,
worden deze niet openbaar gemaakt. Per april 2021 wordt de besluitenlijst van de ministerraad
openbaar gemaakt. Er zijn dus geen besluitenlijsten van de MCF.
Ondertekenaars
-
Eerste ondertekenaar
K.B. Hagen, voorzitter van de vaste commissie voor Binnenlandse Zaken -
Mede ondertekenaar
C.E. Morrin, adjunct-griffier