Registratiekamer

Advies over rapport van de Commissie modernisering GBA

De Registratiekamer heeft op verzoek van Minister van Boxtel van Grote Steden- en Integratiebeleid advies uitgebracht over de voorstellen van de Commissie Snellen over de modernisering van de GBA. Zij ziet tal van positieve punten in deze voorstellen die beogen een snellere informatie-uitwisseling tussen de gemeentelijke basisadministratie persoonsgegevens en de geautoriseerde organisaties tot stand te brengen. De tussenstap van een tijdelijk Landelijk Raadpleegbare Directory waarin een kleine set van persoonsgegevens van burgers worden opgenomen, vindt de Registratiekamer niet bezwaarlijk. Zij ondersteunt de aanbeveling van de Commissie om accountantscontrole en externe EDP-audits te laten uitvoeren bij de geautoriseerde organisaties met betrekking tot het juiste gebruik van ontvangen GBA-gegevens.

Het aanbieden van een digitale kluis aan de burger behoeft echter nadere overweging, gezien de verschillende daaraan verbonden onduidelijkheden en negatieve effecten voor de privacy van de burger. Een centraal probleem daarbij is dat er naar het oordeel van de Registratiekamer geen werkbare mogelijkheden bestaan om de burger te beschermen tegen druk van derden om zijn gegevens ter beschikking te stellen. Het tegendeel is het geval: hoe meer de digitale kluis wordt geïnstitutionaliseerd, des te groter zal de maatschappelijke druk op de burger worden om opgeslagen gegevens beschikbaar te stellen. Er zijn alternatieven voor de digitale kluis om de burger meer bij de GBA te betrekken.

Brief

De Minister voor Grote Steden-
en Integratiebeleid
De heer mr. R.H.L.M. van Boxtel
Postbus 10451
2500 HL DEN HAAG

..'s-Gravenhage, 29 mei 2001
. Ons kenmerk z2001-0566-02
. Onderwerp Advies over rapport van de Commissie Modernisering GBA

Geachte heer Van Boxtel,

Bij brief van 23 april 2001, kenmerk BPR2001/u64104, heeft u de Registratiekamer verzocht te adviseren over de voorstellen van de Commissie Snellen voor de modernisering van de gemeentelijke basisadministratie persoonsgegevens.
De Registratiekamer voldoet gaarne aan uw verzoek met betrekking tot de hoofdlijnen van de voorstellen van de Commissie uit het rapport GBA in de toekomst. Zij verwacht bij de eventuele uitwerking van die voorstellen in wetgeving of anderszins nog in een later stadium te zullen worden betrokken.

De uitgangspunten van de Commissie

De Commissie ziet het toekomstige GBA-stelsel als spil van de identiteitsinfrastructuur, waarbij geautoriseerde organisaties over de nodige identificerende persoonsgegevens moeten kunnen beschikken. Dit is van belang voor het vaststellen of een burger een recht heeft op specifieke publiekrechtelijke diensten of voorzieningen. Door gebruik te maken van moderne informatie- en communicatietechnieken moet de GBA voor de geautoriseerde organisaties toegankelijker worden gemaakt. De Commissie denkt bij het realiseren daarvan in het bijzonder aan het gebruik van webtechnologie. Ook meent de Commissie dat de burger meer bij het GBA-stelsel moet worden betrokken. De nieuwe technologische ontwikkelingen kunnen volgens de Commissie dienstbaar zijn voor dit doel. De Registratiekamer kan deze uitgangspunten in algemene zin onderschrijven.

Het juridisch kader

Artikel 8 EVRM, artikel 10 Grondwet en Richtlijn 95/46/EG van het Europese Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens vormen het juridisch kader voor het GBA-stelsel. Vanwege de implementatie van de richtlijn is de Wet GBA onlangs op onderdelen aangepast. Deze aanpassingen staan in de Wet van 8 april 2001 (Stb. 2001, 180). Ook toekomstige wijzigingen van de Wet GBA zullen binnen dit grondrechtelijke kader dienen te passen.

In dit geheel is van belang dat de Wet GBA voorziet in een voor de burger dwingend systeem. De burger kan zich niet onttrekken aan de vastlegging van zijn gegevens in de GBA en de verstrekking daarvan aan geautoriseerde organisaties. Wijzigingen in zijn persoonlijke omstandigheden zoals verhuizing en huwelijk, worden al dan niet na verplichte aangiften door betrokkenen, opgenomen in de gegevensset van de GBA.

De Registratiekamer stelt dan ook vraagtekens bij het uitgangspunt van de Commissie dat binnen de wettelijke systematiek van de GBA de burger centraal dient te staan, en meent dat dit uitgangspunt in elk geval nuancering behoeft. De GBA is immers primair bedoeld om de overheid te voorzien van persoonsgegevens van ingeschreven burgers. Het is de overheid die verantwoordelijk is voor de juistheid en volledigheid van de GBA-gegevens en veel gegevens worden slechts opgenomen op basis van officiële documenten. Naar het oordeel van de Registratiekamer heeft de Commissie zich in haar rapport onvoldoende rekenschap gegeven van deze werkelijkheid.

Inhoud van de GBA

Uitgangspunt van de Wet GBA is dat daarin alleen objectief vast te stellen gegevens worden opgenomen. De Commissie houdt met betrekking tot de uitbreiding van de gegevensset van de GBA vast aan dit uitgangspunt. De Commissie adviseert de gegevensset van de GBA slechts uit te breiden met het gegeven overleden kind.

De Commissie adviseert voorts in de GBA niet op te nemen de elektronische handtekening van de burger alsmede diens DNA-gegevens. Met betrekking tot de opname van biometrische gegevens beveelt de Commissie een nader onderzoek naar de wenselijkheid en haalbaarheid daarvan aan.

De Registratiekamer kan zich op deze onderdelen verenigen met het advies van de Commissie. Zij merkt evenwel reeds nu op, dat mochten de resultaten van het onderzoek met betrekking tot de wenselijkheid en haalbaarheid van opname van biometrische gegevens in de GBA positief zijn, een dergelijke opname gelet op de aard van de bedoelde gegevens met bijzondere waarborgen zal moeten worden omkleed.

Toegankelijkheid van de GBA

Door toepassing van nieuwe informatie- en communicatie technieken moet de GBA toegankelijker worden voor de afnemers. De Commissie denkt daarbij in het bijzonder aan de toepassing van webtechnologie. Voordat dit gerealiseerd is - gedacht wordt aan periode van 8 jaar - beveelt de Commissie een tijdelijke oplossing aan in de vorm van een Landelijk Raadpleegbare Directory (LRD).

De Registratiekamer vindt deze tussenstap in het kader van de waarborging van de bescherming van persoonsgegevens niet bezwaarlijk, omdat een LRD verenigbaar is met de opzet en het doel van de GBA. Zij vraagt zich evenwel af of de LRD wordt ingebed in de Wet GBA dan wel of de Wet bescherming persoonsgegevens van toepassing zal zijn. Gelet op het feit dat de LRD wordt gezien als een afnemer, zal zonder nadere voorziening het laatste het geval zijn. De aard en de wenselijkheid van een dergelijke voorziening behoeven nadere aandacht.

De Registratiekamer mist in het rapport een nadere beschrijving van de stappen naar de realisatie en het beheer van een LRD. Ook op dit punt is nader onderzoek dus op zijn plaats. Wel wordt beschreven welke gegevens in een LRD worden opgenomen en de beschikbaarheid van de gegevens voor geautoriseerde organisaties 24 uur per dag.

Sectorloketten en hybride organisaties

Het rapport van de Commissie besteedt aandacht aan de verstrekking van GBA-gegevens aan sectorloketten en hybride organisaties. Het uitgangspunt daarbij is dat de GBA-gegevens uitsluitend worden gebruikt voor publieke taken. Er dient controle en toezicht te zijn, dat de daadwerkelijk verstrekking uitsluitend voor dit doel plaatsvindt. De Commissie beveelt in dat verband accountantscontrole en externe EDP-audits aan, eventueel in samenwerking met het College bescherming persoonsgegevens.

De Registratiekamer ondersteunt deze aanbeveling. Accountantscontrole en externe EDP-audits kunnen bijdragen aan het juiste gebruik van GBA-gegevens en kunnen voorkomen dat deze gegevens worden gebruikt voor andere doeleinden dan waarvoor zij zijn verkregen. Ten behoeve van het faciliteren van deze vorm van toezicht en controle heeft de Registratiekamer in samenwerking met verschillende marktpartijen enkele auditproducten ontwikkeld zoals een Quickscan, een WBP-zelfevaluatie en een Raamwerk Privacy Audit. In de praktijk zal moeten blijken, in hoeverre het College bescherming persoonsgegevens bij deze controle betrokken dient te zijn.

Digitale kluis

Door het ter beschikking stellen van een digitale kluis meent de Commissie dat de burger de regie kan voeren over zijn eigen persoonsgegevens. Tevens meent de Commissie dat door middel van een digitale kluis de burger nauwer betrokken raakt bij de GBA. Het valt niet te ontkennen dat de idee van een digitale kluis in de media veel aandacht heeft gekregen en in zoverre al heeft bijgedragen aan een grotere zichtbaarheid van de GBA.

Naar het oordeel van de Registratiekamer zijn de verwachtingen rond het succes van de digitale kluis echter te hoog gespannen. Zij constateert in de eerste plaats dat er nog veel onduidelijkheid bestaat over de wijze waarop de digitale kluis zich tot de GBA dient te verhouden, de vraag welke randvoorwaarden dienen te worden gesteld aan de inrichting en het beheer van de kluis, de mogelijke rol daarbij van de gemeenten of particuliere bedrijven, én de vraag welke persoonsgegevens worden opgeslagen in de digitale kluis.

De Commissie ziet de digitale kluis enerzijds in het kader van de controle van de burger op de GBA, anderzijds gaat zij ervan uit dat de persoonsgegevens in de kluis juist en volledig zijn. Wanneer de burger zelf de mogelijkheid heeft gegevens toe te voegen, kan hij echter ook gegevens toevoegen die niet juist zijn om een ander beeld van zichzelf te creëren. Om dit probleem op te lossen zullen meer randvoorwaarden moeten worden gesteld die de vrije beschikkingsmacht van de burger onherroepelijk zullen inperken. Het ziet er naar uit dat hier een spanningsveld zichtbaar wordt, dat de Commissie onvoldoende heeft verkend en waarin het concept van de regie op eigen gegevens' zowel op juridische als op praktische grenzen stuit.

In de ogen van de Commissie heeft de burger óók de regie over de verstrekking van de hem betreffende gegevens in de digitale kluis aan private partijen. Naar het oordeel van de Registratiekamer is hier echter sprake van een vrijheid onder druk. Anders dan de Commissie ziet zij geen afdoende mogelijkheden om de burger te beschermen tegen de druk van derden om zijn gegevens uit de digitale kluis ter beschikking te stellen. Het tegendeel is het geval: hoe meer de digitale kluis zal worden geïnstitutionaliseerd, des te groter zal de maatschappelijke druk op de burger worden om de opgeslagen gegevens beschikbaar te stellen. In zijn consequenties dreigt het denkbeeld van de Commissie dan ook de bestaande rechtsbescherming van de burger in de Wet GBA én de grondslagen van de bescherming van persoonsgegevens zelf te ondergraven.

De Registratiekamer adviseert u dan ook het voorstel van de Commissie voor de digitale kluis te heroverwegen en te bezien of er alternatieven zijn die de betrokkenheid van de burger bij de GBA kunnen vergroten. De Wet van 8 april 2001 (Stb. 2001, 180) bevat reeds enkele bepalingen om de werking van de GBA transparanter te maken voor de burger en legt de gemeente in dat verband diverse verplichtingen op.

Conclusie

De Registratiekamer ziet tal van positieve punten in de voorstellen van de Commissie over de modernisering van de GBA. Deze voorstellen beogen een snellere informatie-uitwisseling tussen de gemeentelijke basisadministratie persoonsgegevens en de geautoriseerde organisaties tot stand te brengen, zodat een betere aansluiting ontstaat met de aldaar gevoerde werkprocessen. De tussenstap van een tijdelijk LRP vindt de Registratiekamer niet bezwaarlijk.

Het aanbieden van een digitale kluis aan de burger behoeft echter nadere overweging, gezien de verschillende daaraan verbonden onduidelijkheden en negatieve effecten voor de privacy van de burger. Een centraal probleem daarbij is dat er naar het oordeel van de Registratiekamer geen werkbare mogelijkheden bestaan om de burger te beschermen tegen druk van derden om zijn gegevens ter beschikking te stellen.

Hoogachtend,

mr. P.J. Hustinx
voorzitter

De volledige brief staat onder de samenvatting