Advies over rapport van de Commissie modernisering GBA
De Registratiekamer heeft op verzoek van Minister van Boxtel van Grote
Steden- en Integratiebeleid advies uitgebracht over de voorstellen van
de Commissie Snellen over de modernisering van de GBA. Zij ziet tal
van positieve punten in deze voorstellen die beogen een snellere
informatie-uitwisseling tussen de gemeentelijke basisadministratie
persoonsgegevens en de geautoriseerde organisaties tot stand te
brengen. De tussenstap van een tijdelijk Landelijk Raadpleegbare
Directory waarin een kleine set van persoonsgegevens van burgers
worden opgenomen, vindt de Registratiekamer niet bezwaarlijk. Zij
ondersteunt de aanbeveling van de Commissie om accountantscontrole en
externe EDP-audits te laten uitvoeren bij de geautoriseerde
organisaties met betrekking tot het juiste gebruik van ontvangen
GBA-gegevens.
Het aanbieden van een digitale kluis aan de burger behoeft echter
nadere overweging, gezien de verschillende daaraan verbonden
onduidelijkheden en negatieve effecten voor de privacy van de burger.
Een centraal probleem daarbij is dat er naar het oordeel van de
Registratiekamer geen werkbare mogelijkheden bestaan om de burger te
beschermen tegen druk van derden om zijn gegevens ter beschikking te
stellen. Het tegendeel is het geval: hoe meer de digitale kluis wordt
geïnstitutionaliseerd, des te groter zal de maatschappelijke druk op
de burger worden om opgeslagen gegevens beschikbaar te stellen. Er
zijn alternatieven voor de digitale kluis om de burger meer bij de GBA
te betrekken.
Brief
De Minister voor Grote Steden-
en Integratiebeleid
De heer mr. R.H.L.M. van Boxtel
Postbus 10451
2500 HL DEN HAAG
..'s-Gravenhage, 29 mei 2001
. Ons kenmerk z2001-0566-02
. Onderwerp Advies over rapport van de Commissie Modernisering GBA
Geachte heer Van Boxtel,
Bij brief van 23 april 2001, kenmerk BPR2001/u64104, heeft u de
Registratiekamer verzocht te adviseren over de voorstellen van de
Commissie Snellen voor de modernisering van de gemeentelijke
basisadministratie persoonsgegevens.
De Registratiekamer voldoet gaarne aan uw verzoek met betrekking tot
de hoofdlijnen van de voorstellen van de Commissie uit het rapport GBA
in de toekomst. Zij verwacht bij de eventuele uitwerking van die
voorstellen in wetgeving of anderszins nog in een later stadium te
zullen worden betrokken.
De uitgangspunten van de Commissie
De Commissie ziet het toekomstige GBA-stelsel als spil van de
identiteitsinfrastructuur, waarbij geautoriseerde organisaties over de
nodige identificerende persoonsgegevens moeten kunnen beschikken. Dit
is van belang voor het vaststellen of een burger een recht heeft op
specifieke publiekrechtelijke diensten of voorzieningen. Door gebruik
te maken van moderne informatie- en communicatietechnieken moet de GBA
voor de geautoriseerde organisaties toegankelijker worden gemaakt. De
Commissie denkt bij het realiseren daarvan in het bijzonder aan het
gebruik van webtechnologie. Ook meent de Commissie dat de burger meer
bij het GBA-stelsel moet worden betrokken. De nieuwe technologische
ontwikkelingen kunnen volgens de Commissie dienstbaar zijn voor dit
doel. De Registratiekamer kan deze uitgangspunten in algemene zin
onderschrijven.
Het juridisch kader
Artikel 8 EVRM, artikel 10 Grondwet en Richtlijn 95/46/EG van het
Europese Parlement en de Raad betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens
en betreffende het vrije verkeer van die gegevens vormen het juridisch
kader voor het GBA-stelsel. Vanwege de implementatie van de richtlijn
is de Wet GBA onlangs op onderdelen aangepast. Deze aanpassingen staan
in de Wet van 8 april 2001 (Stb. 2001, 180). Ook toekomstige
wijzigingen van de Wet GBA zullen binnen dit grondrechtelijke kader
dienen te passen.
In dit geheel is van belang dat de Wet GBA voorziet in een voor de
burger dwingend systeem. De burger kan zich niet onttrekken aan de
vastlegging van zijn gegevens in de GBA en de verstrekking daarvan aan
geautoriseerde organisaties. Wijzigingen in zijn persoonlijke
omstandigheden zoals verhuizing en huwelijk, worden al dan niet na
verplichte aangiften door betrokkenen, opgenomen in de gegevensset van
de GBA.
De Registratiekamer stelt dan ook vraagtekens bij het uitgangspunt van
de Commissie dat binnen de wettelijke systematiek van de GBA de burger
centraal dient te staan, en meent dat dit uitgangspunt in elk geval
nuancering behoeft. De GBA is immers primair bedoeld om de overheid te
voorzien van persoonsgegevens van ingeschreven burgers. Het is de
overheid die verantwoordelijk is voor de juistheid en volledigheid van
de GBA-gegevens en veel gegevens worden slechts opgenomen op basis van
officiële documenten. Naar het oordeel van de Registratiekamer heeft
de Commissie zich in haar rapport onvoldoende rekenschap gegeven van
deze werkelijkheid.
Inhoud van de GBA
Uitgangspunt van de Wet GBA is dat daarin alleen objectief vast te
stellen gegevens worden opgenomen. De Commissie houdt met betrekking
tot de uitbreiding van de gegevensset van de GBA vast aan dit
uitgangspunt. De Commissie adviseert de gegevensset van de GBA slechts
uit te breiden met het gegeven overleden kind.
De Commissie adviseert voorts in de GBA niet op te nemen de
elektronische handtekening van de burger alsmede diens DNA-gegevens.
Met betrekking tot de opname van biometrische gegevens beveelt de
Commissie een nader onderzoek naar de wenselijkheid en haalbaarheid
daarvan aan.
De Registratiekamer kan zich op deze onderdelen verenigen met het
advies van de Commissie. Zij merkt evenwel reeds nu op, dat mochten de
resultaten van het onderzoek met betrekking tot de wenselijkheid en
haalbaarheid van opname van biometrische gegevens in de GBA positief
zijn, een dergelijke opname gelet op de aard van de bedoelde gegevens
met bijzondere waarborgen zal moeten worden omkleed.
Toegankelijkheid van de GBA
Door toepassing van nieuwe informatie- en communicatie technieken moet
de GBA toegankelijker worden voor de afnemers. De Commissie denkt
daarbij in het bijzonder aan de toepassing van webtechnologie. Voordat
dit gerealiseerd is - gedacht wordt aan periode van 8 jaar - beveelt
de Commissie een tijdelijke oplossing aan in de vorm van een Landelijk
Raadpleegbare Directory (LRD).
De Registratiekamer vindt deze tussenstap in het kader van de
waarborging van de bescherming van persoonsgegevens niet bezwaarlijk,
omdat een LRD verenigbaar is met de opzet en het doel van de GBA. Zij
vraagt zich evenwel af of de LRD wordt ingebed in de Wet GBA dan wel
of de Wet bescherming persoonsgegevens van toepassing zal zijn. Gelet
op het feit dat de LRD wordt gezien als een afnemer, zal zonder nadere
voorziening het laatste het geval zijn. De aard en de wenselijkheid
van een dergelijke voorziening behoeven nadere aandacht.
De Registratiekamer mist in het rapport een nadere beschrijving van de stappen naar de realisatie en het beheer van een LRD. Ook op dit punt is nader onderzoek dus op zijn plaats. Wel wordt beschreven welke gegevens in een LRD worden opgenomen en de beschikbaarheid van de gegevens voor geautoriseerde organisaties 24 uur per dag.
Sectorloketten en hybride organisaties
Het rapport van de Commissie besteedt aandacht aan de verstrekking van
GBA-gegevens aan sectorloketten en hybride organisaties. Het
uitgangspunt daarbij is dat de GBA-gegevens uitsluitend worden
gebruikt voor publieke taken. Er dient controle en toezicht te zijn,
dat de daadwerkelijk verstrekking uitsluitend voor dit doel
plaatsvindt. De Commissie beveelt in dat verband accountantscontrole
en externe EDP-audits aan, eventueel in samenwerking met het College
bescherming persoonsgegevens.
De Registratiekamer ondersteunt deze aanbeveling. Accountantscontrole
en externe EDP-audits kunnen bijdragen aan het juiste gebruik van
GBA-gegevens en kunnen voorkomen dat deze gegevens worden gebruikt
voor andere doeleinden dan waarvoor zij zijn verkregen. Ten behoeve
van het faciliteren van deze vorm van toezicht en controle heeft de
Registratiekamer in samenwerking met verschillende marktpartijen
enkele auditproducten ontwikkeld zoals een Quickscan, een
WBP-zelfevaluatie en een Raamwerk Privacy Audit. In de praktijk zal
moeten blijken, in hoeverre het College bescherming persoonsgegevens
bij deze controle betrokken dient te zijn.
Digitale kluis
Door het ter beschikking stellen van een digitale kluis meent de
Commissie dat de burger de regie kan voeren over zijn eigen
persoonsgegevens. Tevens meent de Commissie dat door middel van een
digitale kluis de burger nauwer betrokken raakt bij de GBA. Het valt
niet te ontkennen dat de idee van een digitale kluis in de media veel
aandacht heeft gekregen en in zoverre al heeft bijgedragen aan een
grotere zichtbaarheid van de GBA.
Naar het oordeel van de Registratiekamer zijn de verwachtingen rond
het succes van de digitale kluis echter te hoog gespannen. Zij
constateert in de eerste plaats dat er nog veel onduidelijkheid
bestaat over de wijze waarop de digitale kluis zich tot de GBA dient
te verhouden, de vraag welke randvoorwaarden dienen te worden gesteld
aan de inrichting en het beheer van de kluis, de mogelijke rol daarbij
van de gemeenten of particuliere bedrijven, én de vraag welke
persoonsgegevens worden opgeslagen in de digitale kluis.
De Commissie ziet de digitale kluis enerzijds in het kader van de
controle van de burger op de GBA, anderzijds gaat zij ervan uit dat de
persoonsgegevens in de kluis juist en volledig zijn. Wanneer de burger
zelf de mogelijkheid heeft gegevens toe te voegen, kan hij echter ook
gegevens toevoegen die niet juist zijn om een ander beeld van zichzelf
te creëren. Om dit probleem op te lossen zullen meer randvoorwaarden
moeten worden gesteld die de vrije beschikkingsmacht van de burger
onherroepelijk zullen inperken. Het ziet er naar uit dat hier een
spanningsveld zichtbaar wordt, dat de Commissie onvoldoende heeft
verkend en waarin het concept van de regie op eigen gegevens' zowel op
juridische als op praktische grenzen stuit.
In de ogen van de Commissie heeft de burger óók de regie over de
verstrekking van de hem betreffende gegevens in de digitale kluis aan
private partijen. Naar het oordeel van de Registratiekamer is hier
echter sprake van een vrijheid onder druk. Anders dan de Commissie
ziet zij geen afdoende mogelijkheden om de burger te beschermen tegen
de druk van derden om zijn gegevens uit de digitale kluis ter
beschikking te stellen. Het tegendeel is het geval: hoe meer de
digitale kluis zal worden geïnstitutionaliseerd, des te groter zal de
maatschappelijke druk op de burger worden om de opgeslagen gegevens
beschikbaar te stellen. In zijn consequenties dreigt het denkbeeld van
de Commissie dan ook de bestaande rechtsbescherming van de burger in
de Wet GBA én de grondslagen van de bescherming van persoonsgegevens
zelf te ondergraven.
De Registratiekamer adviseert u dan ook het voorstel van de Commissie
voor de digitale kluis te heroverwegen en te bezien of er
alternatieven zijn die de betrokkenheid van de burger bij de GBA
kunnen vergroten. De Wet van 8 april 2001 (Stb. 2001, 180) bevat reeds
enkele bepalingen om de werking van de GBA transparanter te maken voor
de burger en legt de gemeente in dat verband diverse verplichtingen
op.
Conclusie
De Registratiekamer ziet tal van positieve punten in de voorstellen
van de Commissie over de modernisering van de GBA. Deze voorstellen
beogen een snellere informatie-uitwisseling tussen de gemeentelijke
basisadministratie persoonsgegevens en de geautoriseerde organisaties
tot stand te brengen, zodat een betere aansluiting ontstaat met de
aldaar gevoerde werkprocessen. De tussenstap van een tijdelijk LRP
vindt de Registratiekamer niet bezwaarlijk.
Het aanbieden van een digitale kluis aan de burger behoeft echter
nadere overweging, gezien de verschillende daaraan verbonden
onduidelijkheden en negatieve effecten voor de privacy van de burger.
Een centraal probleem daarbij is dat er naar het oordeel van de
Registratiekamer geen werkbare mogelijkheden bestaan om de burger te
beschermen tegen druk van derden om zijn gegevens ter beschikking te
stellen.
Hoogachtend,
mr. P.J. Hustinx
voorzitter
De volledige brief staat onder de samenvatting