| Ingediend | 13 oktober 2022 |
|---|---|
| Beantwoord | 30 januari 2023 (na 109 dagen) |
| Indiener | Renske Leijten |
| Beantwoord door | Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | belasting financiën organisatie en beleid sociale zekerheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z19382.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-1392.html |
Het is voor de politie niet bekend welke personen gedupeerden van de toeslagenaffaire zijn. Bij het contact tussen een politiefunctionaris en een persoon (of deze persoon nu in hoedanigheid van verdachte, slachtoffer, benadeelde, getuige, onderhavige is aan politiecontrole, of omstander is) is voor de politiefunctionaris niet kenbaar of de betrokkene in kwestie wel of geen gedupeerde van de toeslagenaffaire is. Bij het verwerken van gegevens naar aanleiding van een dergelijk contact wordt dit dan ook niet geregistreerd.
Omdat niet geregistreerd staat bij de politie of er sprake is van een gedupeerde, kan de politie dus niet nagaan of erkende gedupeerden van de toeslagenaffaire bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen. In de begeleidende brief bij de beantwoording van deze Kamervragen en in het antwoord op vraag 10 is uiteengezet wat de aanleiding voor de bevraging in de BRP zou kunnen zijn geweest. Als een individuele gedupeerde wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan kan de gedupeerde daartoe een inzageverzoek bij de politie doen.2
Wat buitensporig is, kan niet in zijn algemeenheid worden vastgesteld, dat hangt af van de grootte en de taak of taken van de gebruiker van de BRP. Ons zijn ook geen signalen bekend over buitensporige bevragingen van de BRP, anders dan het FTM artikel.
Wij beantwoorden deze vraag voor de BRP in het algemeen. Er wordt niet per geval aangegeven waarvoor er gegevens worden opgevraagd, maar wel in algemene zin. Voor iedere gebruiker van de BRP wordt voorafgaand aan het verkrijgen van toegang tot de BRP door de Rijksdienst voor Identiteitsgegevens (RvIG) getoetst welke persoonsgegevens noodzakelijk zijn voor de uitvoering van de taak van de gebruiker. Dit wordt vastgelegd in een autorisatiebesluit. Gebruikers van de BRP mogen de BRP enkel gebruiken binnen de kaders van het autorisatiebesluit. Daarbij merken wij op dat het centraal in de BRP bijhouden van de exacte reden van raadpleging ervoor zorgt dat er meer (gevoelige) gegevens centraal worden bewaard. Dat zou ertoe leiden dat er in de BRP veel meer informatie moet worden bewaard dan nodig is voor de uitvoering van de wet BRP, wat bovendien de risico’s voor burgers in het geval van datalekken en met betrekking tot profilering vergroot.
Gebruikers dienen na het opvragen van de gegevens zelf bij te houden wat de concrete reden van het gebruik van de BRP was. Als de burger precies wil weten waarvoor de BRP-gegevens zijn gebruikt, kan hij of zij een inzageverzoek indienen bij de organisatie die de BRP-gegevens heeft opgevraagd. Op grond van de AVG zijn organisaties die BRP-gegevens opvragen zelf verantwoordelijk voor het bijhouden van de doeleinden van de gegevensverwerking. De desbetreffende organisatie zal dus een reden (doeleinde) moeten kunnen gegeven voor het gebruik van de BRP-gegevens
Zie ook het antwoord op uw vragen over de datahonger van de overheid d.d. 18 mei 2022 (antwoord op de eerste, tweede en zevende vraag).3
Zie antwoord vraag 2.
Nee. De Minister van BZK, feitelijk RvIG, beheert de centrale voorziening van de BRP waaruit gegevens kunnen worden opgevraagd. Wat buitensporig is, kan niet in zijn algemeenheid worden vastgesteld, dat hangt af van de grootte en de taak of taken van de gebruiker van de BRP. Er kan daarom ook geen signaal over worden afgegeven.
Specifiek met betrekking tot de politie is het volgende van belang. De taken en doelgroep van de politie zijn breed (verdachte, slachtoffer, benadeelde, getuige, onderhavig aan politiecontrole, of omstander). Al deze mensen kunnen in aanraking komen met de politie, waarna de politie gegevens over diegene zal moeten opzoeken in de BRP. Voorgaande brengt ook met zich mee dat RvIG niet kan bepalen of en wanneer er sprake is van «buitensporig vaak» in de persoonsgegevens van iemand kijken. Daarvoor zou RvIG van iedere persoon moeten weten wat de precieze aanleiding is voor het opvragen van de BRP-gegevens. Dat is niet mogelijk gelet op het grote aantal gebruikers van de BRP en daarbij ook onwenselijk, omdat er dan (bijzondere) persoonsgegevens moeten worden bijgehouden in de BRP zonder noodzaak.
Nee, dat erkennen wij niet. Het doel van de BRP is het voorzien van overheidsorganen (waaronder Ministers) van de in de BRP opgenomen gegevens, voor zover deze gegevens noodzakelijk zijn voor de vervulling van hun taak.4 Ministeries kunnen persoonsgegevens nodig hebben voor de uitvoering van hun taken, indien die taken onder directe ministeriële verantwoordelijkheid vallen. Bijvoorbeeld de Minister van BZK voor het kunnen aanbieden van de voorziening DigiD of het beheer van het donorregister onder verantwoordelijkheid van de Minister van VWS. Op de website van RvIG is een overzicht te vinden van de ministeries die toegang hebben tot de BRP, en voor welke taken: BRP-besluiten-Ministeries.
PricewaterhouseCoopers (PwC) heeft onderzoek gedaan naar de gegevensverstrekking uit of over de FSV in het rapport «gegevensdeling met derden». De Belastingdienst heeft aanvullend onderzoek verricht dat is gevalideerd door PwC. Over dit onderzoek bent u voor de laatste maal door de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst geïnformeerd op 4 november 2022.
In die brief is opgenomen dat de 536 gegevensverstrekkingen die PwC heeft gevonden nader zijn onderzocht. Daaruit blijkt dat de omvang van de gegevensverstrekking aan derden beperkter is dan eerder geconstateerd. Van de 536 verstrekkingen heeft de Belastingdienst geconstateerd dat er in 128 verstrekkingen geen persoonsgegevens staan of dat de burger niet in de FSV staat. Van de overgebleven verstrekkingen bevat minstens 108 verstrekkingen geen informatie uit of over de FSV. In de verstrekkingen waar wel sprake is van FSV wordt in de meeste gevallen enkel FSV in de verstrekking vermeld zonder dat er informatie uit de FSV is verstrekt. Daarnaast is geconstateerd dat het overgrote deel van de verstrekkingen plaatsvond op basis van een informatieverzoek en dat de verstrekte informatie niet uit de FSV komt. Na analyse blijven er 296 verstrekkingen over die betrekking hebben op 505 mensen. Uit de nadere analyse van de Belastingdienst blijkt dat de ontvangers van de 4 exportbestanden een verbintenis hadden met de Belastingdienst en dat het daarom geen gegevensverstrekking aan derden is. Deze verstrekkingen zijn wel als een datalek aangemerkt, maar er zijn geen gevolgen geconstateerd. Uit het onderzoek met samenwerkingspartners van de Belastingdienst naar de gevolgen van gegevensverstrekking blijkt dat, op enkele gevallen na, er geen vervolgactie is ingezet op basis van de gegevensverstrekking. In de gevallen waarbij de samenwerkingspartner wél een vervolgactie heeft ingezet, ging het om informatie die de samenwerkingspartner op basis van een informatieverzoek heeft ontvangen.
Verstrekking
Aantal
Toelichting
4
Geen gegevensverstrekking
128
Geen gegevensverstrekking
108
Geen gegevensverstrekking
296
Gegevensverstrekking, circa 65% op basis van een informatieverzoek.
Totaal aantal verstrekkingen
536
Gezien er uit deze onderzoeken niet blijkt dat er grootschalige informatieverstrekking uit of over FSV heeft plaatsgevonden aan andere organisaties, is het onaannemelijk dat de FSV heeft geleid tot «grootschalige» bevraging van de BRP door overheidsorganisaties in die zin dat de persoonsgegevens van heel veel burgers in de BRP zijn bevraagd.
Los van de FSV, verstrekt de Belastingdienst fiscale informatie van een persoon aan andere overheidsorganisaties, indien daar door een organisatie om verzocht wordt en hier een wettelijke basis voor is. Ook verstrekt de Belastingdienst fiscale informatie aan andere organisaties ter uitvoering van een wettelijke taak.
Naast dat deze informatieverstrekking in de wet is vastgelegd, is ook in veel gevallen een convenant opgesteld. Die convenanten zijn openbaar beschikbaar.
Zie antwoord vraag 6.
Het artikel van FTM spreekt niet over extra raadplegingen van de BRP door de FIOD, het Ministerie van Financiën en anderen. Dit herkennen wij ook niet. In het geval van de politie kan niet worden vastgesteld of sprake is van overmatige bevragingen.
Daarnaast is het zoals aangegeven in de beantwoording van vraag 1 voor de politie niet bekend welke personen gedupeerden van de toeslagenaffaire zijn. Bij het contact tussen een politiefunctionaris en een persoon (of deze persoon nu in hoedanigheid van verdachte, slachtoffer, benadeelde, getuige, onderhavige is aan politiecontrole, of omstander is) is voor de politiefunctionaris niet kenbaar of de betrokkene in kwestie wel of geen gedupeerde van de toeslagenaffaire is. Bij het verwerken van gegevens naar aanleiding van een dergelijk contact wordt dit dan ook niet geregistreerd. De politie heeft aangegeven dat zij niet kan nagaan of erkende gedupeerden van de toeslagenaffaire bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, omdat niet geregistreerd staat bij de politie of er sprake is van een gedupeerde.
Zoals beschreven in de begeleidende brief zijn er wel diverse gronden op basis waarvan gegevens worden verstrekt aan de politie.
Zie antwoord vraag 6.
Zie antwoord vraag 8.
Nee. Het kenmerk «opzet grove schuld» wordt niet geregistreerd in de BRP noch gebruikt bij de toets of een organisatie toegang krijgt tot persoonsgegevens in de BRP.
Die plicht geldt al op grond van de AVG (artikel 5, tweede lid («verantwoordingsplicht»)). Iedere verwerkingsverantwoordelijke is zelfstandig verplicht om daaraan te voldoen.
Artikel 32a van de Wet politiegegevens (Wpg) gaat over logging in geautomatiseerde systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens. Het ontbreken van een verklaring voor de bevragingen is niet gelegen in het feit dat er geen logging plaatsvindt van bevragingen. Er vindt wel degelijk logging plaats op grond van de algemene verplichting tot gegevensbeveiliging uit artikel 4a van de Wpg. Er kan echter geen onderzoek worden gedaan door de politie naar bevragingen op toeslagenouders, omdat het voor de politie niet kenbaar is welke personen toeslagenouders zijn. De politie kan daarom niet nagaan of toeslagenouders bovenmatig veel in bevragingen in de BRP vanuit de politie voorkomen, en zo ja, wat daarvan de achterliggende redenen zou kunnen zijn. Als een individuele gedupeerde wil weten welke gegevens van hem of haar bij de politie bekend zijn, dan kunnen zij daartoe een inzageverzoek bij de politie doen. In de begeleidende brief bij deze Kamervragen is een link opgenomen naar een website met meer informatie hoe een dergelijk verzoek kan worden gedaan.
Artikel 32a Wpg moet – conform de uitzonderingsmogelijkheid geboden in Richtlijn 2016/680 – uiterlijk in mei 2023 in werking treden. Dat kan middels een koninklijk besluit. Deze uitzondering is mogelijk gemaakt omdat systemen aangepast moeten worden zodat deze kunnen loggen. Het blijft ook na mei 2023 overigens tot 2026 mogelijk om een uitzondering te vragen voor specifieke systemen die om technische redenen nog niet kunnen loggen.
Het recht op inzage in de gegevens wordt geregeld door artikel 25 van de Wet politiegegevens, daaronder valt ook inzage in de doelen en de rechtsgrond van de verwerking. Daaronder valt verder een overzicht van de ontvangers van politiegegevens gedurende een periode van vier jaar, dus aan wie politiegegevens verstrekt zijn (lid 1, onderdeel c). Voor zover loggegevens tegemoet komen aan de onderdelen van artikel 25, valt dit onder het inzagerecht. Verder verwijzen wij u voor de beantwoording van deze vraag naar het antwoord op vraag 14.
Voor de politie geldt dat het recht op inzage conform artikel 25 van de Wpg het inzien van persoonsgegevens en het krijgen van informatie over de doelen en de rechtsgrond van de verwerking; de betrokken categorieën van politiegegevens; de vraag of de deze persoon betreffende politiegegevens gedurende een periode van vier jaar voorafgaande aan het verzoek zijn verstrekt en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties; de voorziene periode van opslag of indien dat niet mogelijk is, de criteria om die termijn te bepalen; het recht te verzoeken om rectificatie, vernietiging of afscherming van de verwerking van hem betreffende politiegegevens; het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit; de herkomst, voor zover beschikbaar, van de verwerking van hem betreffende politiegegevens.
Tegelijk is het goed om hier te onder de aandacht te brengen dat in artikel 27 van de Wet politiegegevens hier een uitzondering op wordt gemaakt en dat het verzoek kan worden afgewezen op grond van een aantal limitatief opgesomde uitzonderingsgronden.
Op overige organisaties die persoonsgegevens verwerken is de AVG van toepassing. De AVG regelt dat op iedere verwerkingsverantwoordelijke de verantwoordingsplicht rust (artikel 5, tweede lid, AVG). Iedere organisatie die gegevens verwerkt, waaronder gegevens uit de BRP, is verplicht om te voldoen aan de verplichting om inzage te kunnen geven in de doeleinden van de verwerking en eventuele verdere verwerkingen (artikel 15 AVG). Overzichten van verwerkingsactiviteiten dienen compleet te zijn.5
Die plicht geldt al op grond van de AVG (artikel6. Iedere verwerkingsverantwoordelijke is zelfstandig verantwoordelijk om daaraan te voldoen.
Het verwerken van persoonsgegevens zonder dat daarbij kan worden aangegeven waarom de gegevens worden verwerkt zou inderdaad – behoudens uitzonderingen – ongeoorloofd zijn. Op iedere verwerkingsverantwoordelijke rust de verantwoordingsplicht (artikel 5, tweede lid, AVG). Zie voor de verdere beantwoording van deze vraag mijn antwoord op uw vragen over de datahonger van de overheid d.d. 18 mei 2022 (antwoord op de tweede vraag).7 Iedere organisatie die gegevens verwerkt, waaronder gegevens uit de BRP, moet voldoen aan de verplichting om inzage te kunnen geven in de doeleinden van de verwerking en eventuele verdere verwerkingen.
In de systemen van Toeslagen staat niet geregistreerd of en welke informatie van gedupeerde ouders in het verleden is gedeeld met andere organisaties. Het is voor de medewerkers van de Uitvoeringsorganisatie Herstel Toeslagen (UHT) daarom ook niet mogelijk om dit inzichtelijk te maken.
Wanneer gedupeerden in de FSV geregistreerd stonden, zijn zij door de Belastingdienst hierover geïnformeerd. De Belastingdienst informeert hen dan ook over de reden van registratie, wat de effecten van registratie zijn geweest en indien dit aan de orde is, met welke organisaties hun gegevens uit of over FSV zijn gedeeld.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Leijten (SP) aan de Minister van BZK, de Staatssecretaris van BZK en de Minister van Justitie en Veiligheid over het bericht dat er buitensporig vaak inzage in de persoonsgegevens – via de Basisregistratie Personen – van slachtoffers van het toeslagenschandaal heeft plaatsgevonden (ingezonden 13 oktober 2022, met kenmerk 2022Z19382) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.