Privacyexperts maken zich zorgen over een nieuwe algemene maatregel van bestuur die meer partijen toegang geeft tot privacygevoelige gegevens van burgers. Het doel van de maatregel is om verschillende vormen van fraude te bestrijden, zoals zorgfraude. Maar met de regel is het tevens mogelijk om zwarte lijsten aan te leggen met daarop de namen en gegevens van fraudeurs. Renske Leijten van de SP wil van demissionair minister van Binnenlandse Zaken en Koninkrijksrelaties Kajsa Ollongren weten of de maatregel proportioneel en noodzakelijk is.
Daarover schrijft BNR Nieuwsradio, die verschillende privacyexperts sprak over het voornemen van het kabinet om meer partijen toegang te verlenen tot persoonsgegevens uit de Basisregistratie Personen (BRP).
De BRP is een database die vol staat met persoonlijke en privacygevoelige gegevens van Nederlanders. Dan moet je denken aan namen, adresgegevens, woonplaatsen, BSN-nummers en burgerlijke staat. Naast burgers worden ook personen die korter dan vier maanden in ons land wonen in de database opgenomen. Dat zijn bijvoorbeeld studenten die hier als uitwisselingsstudent studeren, of expats die tijdelijk in ons land komen werken. Gemeenten houden alles bij in de BRP: als je bijvoorbeeld verhuist (zowel binnen als buiten Nederland), een kind krijgt of trouwt.
Zoals je ziet staat de BRP vol met persoonlijke en privacygevoelige gegevens van burgers en niet-ingezetenen. Toegang tot deze database is dan ook beperkt. Alleen organisaties met een publieke of maatschappelijke taak kunnen de BRP raadplegen. Dat zijn onder meer overheidsorganen als gemeenten, de Sociale Verzekeringsbank, de Belastingdienst, onderzoeksorganisaties als het Centraal Bureau voor de Statistiek (CBS) en handhavingsinstanties als de politie. Deze instellingen worden genoemd in het Besluit BRP.
Er zijn vier niet-overheidsinstanties die ook graag toegang tot de BRP willen. Dat zijn klinische genetica centra, Informatieknooppunt Zorgfraude, banken en notarissen, en levens- en natura-uitvaartverzekeraars. Als ze gegevens uit de BRP mogen opvragen, kunnen ze controles uitvoeren om diverse vormen van fraude tegengaan. Een nieuwe algemene maatregel van bestuur die het ministerie van Binnenlandse Zaken en Koninkrijksrelaties wil doorvoeren, moet daarvoor zorgen.
Dat klinkt misschien nobel, maar privacyexperts maken zich grote zorgen. “Dit knooppunt werkt op signaleringsbasis, dus er hoeft maar één signaal te zijn en dan kunnen mensen op een soort zwarte lijst terecht komen. Dat lijkt een beetje op wat er tijdens de toeslagenaffaire is gebeurd”, zegt Laura van Gijn, advocaat IT- en privacyrecht, tegen BNR Nieuwsradio.
SP-Kamerlid Renske Leijten heeft dezelfde gedachte en vraagt zich af of dit een proportionele en effectieve manier is om fraude te bestrijden. “Leidt dit nou echt tot betere fraude-opsporing? Ik heb in het verleden het bewijs nog niet gezien. Deze maatregel kwam tot stand buiten het zicht van de Kamer, maar ik zou graag nu alsnog van de minister willen horen waarom zij denkt dat dit besluit noodzakelijk is.”
Haykush Hakobyan, bestuurslid van Privacy First, vindt dat door de maatregel de grens vervaagt welke instanties toegang krijgen tot de BRP-database. Ze vreest dat meer en meer bedrijven privacygevoelige persoonsgegevens mogen inzien, wat tot allerlei nare situaties zou kunnen leiden. Volgens haar wordt de kans op een datalek nog groter, met alle risico’s van dien zoals phishing en identiteitsfraude.
Minister Ollongren is zich bewust van de mogelijke risico’s. Zo staat er in de conceptregeling het volgende: “Met het opnemen van nieuwe werkzaamheden met een gewichtig maatschappelijk belang kan de privacy van burgers in het geding zijn. Er worden immers nieuwe derden toegevoegd die toegang krijgen tot de BRP-gegevens van burgers.” De minister vindt echter dat de inbreuk op de persoonlijke levenssfeer van burgers en niet-ingezetenen zwaarder weegt dan het recht op privacy. Deze inbreuk is in haar ogen gerechtvaardigd en noodzakelijk in de strijd tegen fraude.
Tom van Engers, hoogleraar juridisch kennismanagement aan de UvA, denkt niet dat veel meer bedrijven persoonsgegevens uit de BRP-database mogen inzien. “De verantwoordelijke minister is vooralsnog zeer kritisch omgegaan met wie welke gegevens in handen krijgt. Ik verwacht daarom dus niet dat straks nog veel meer partijen toegang zullen krijgen tot de BRP.”