POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 88 88 500
FAX
070 - 88 88 501
de Staatssecretaris van het ministerie van Sociale Zaken en Werkgelegenheid de heer H.A.L. van Hoof Postbus 90801 2509 LV DEN HAAG
BEZOEKADRES
E-MAIL
Juliana van Stolberglaan 4 -10
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
19 oktober 2006 z2006-00896
CONTACTPERSOON
UW BRIEF VAN
28 augustus 2006
UW KENMERK
ONDERWERP
Adviesaanvraag Wet eenmalige gegevensuitvraag werk en inkomen
Geachte heer Van Hoof, Bij brief van 10 augustus 2006 verzoekt u het College bescherming persoonsgegevens advies uit te brengen over het concept voorstel van wet tot wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen (wet SUWI), de Wet werk en bijstand (WWB), de Werkeloosheidswet (WW) en enige andere wetten in verband met eenmalige gegevensuitvraag aan burgers (nader te noemen Wet eenmalige gegevensuitvraag werk en inkomen). Met excuses voor de vertraging die bij de behandeling van dit advies is opgetreden voldoe ik middels deze brief aan uw verzoek. Kern van het advies van het CBP De kern van het advies van het CBP komt na bestudering van het wetsvoorstel neer op de volgende punten: 1. De verantwoordelijkheidsverdeling binnen de SUWI-keten voor het verwerken van persoonsgegevens dient nu maar ook in de toekomst helder te zijn belegd. In de toelichting moet aandacht worden geschonken aan de wijze waarop er binnen DKD-verband wordt omgegaan met gegevens waarvoor (mogelijk) een gezamenlijke verantwoordelijkheid geldt. Tegen de tijd dat er werkelijk sprake zal zijn van één klant, één proces en één systeem zal opnieuw moeten worden geëvalueerd in hoeverre nog gesteld kan worden dat iedere deelnemer aan DKD afzonderlijk de verantwoordelijke is voor de door hem ingebrachte gegevens. 2. Noodzakelijkheid en doelbinding dienen uitgangspunten te zijn en te blijven bij het verwerken van persoonsgegevens binnen de SUWI-keten. Gewaarborgd moet worden dat medewerkers bij de SUWI-instellingen alleen persoonsgegevens verwerken voor doeleinden die voortvloeien uit de SUWI-wetgeving en die noodzakelijk zijn voor een goede taakuitoefening. Een en ander vergt een gedegen uitwerking van bovengenoemde beginselen in lagere regelgeving. 3. De kwaliteit van persoonsgegevens dient binnen de SUWI-keten te zijn gewaarborgd. Bepalend voor het succes van het Digitaal Klantdossier (het DKD) zal de mate van juistheid en bruikbaarheid van de geregistreerde gegevens zijn. Een overkoepelende lange termijn visie zal ontwikkeld moeten worden die ziet op het waarborgen van de kwaliteit van de gegevens BIJLAGEN BLAD
1
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
binnen het DKD nu maar ook in de toekomst. Een dergelijke visie kan vervolgens dienen als leidraad voor het opstellen van nadere regelgeving. 4. Transparantie voor de burger dient voorop te staan. Het moet voor een burger duidelijk zijn tot welke instantie hij zich kan wenden om zijn rechten te effectueren. Dit geldt met name voor het recht op inzage en correctie. • Inzagerecht: het is van belang dat cliënten weten op basis van welke informatie zij worden beoordeeld. Daarbij is het verlenen van inzage in de eigen gegevens middels een internetportaal vanuit WBP-perspectief bezien, een uitstekend middel om de transparantie naar de burger te vergroten. Als de beoordeling plaats vindt op basis van meer gegevens dan via het burgerportaal zichtbaar is, zal de burger hier van in kennis moeten worden gesteld. Daarbij dient het voor burgers duidelijk te zijn bij wie en op welke wijze toegang kan worden verkregen tot achterliggende gegevens. • Correctierecht: idealiter wordt het recht op correctie wanneer het gaat om gegevens die via DKD worden ontsloten, op een eenduidige wijze door de verschillende bestuursorganen ingevuld. Ook op dit punt pleit ik voor de ontwikkeling van een overkoepelende lange termijn visie waarin wordt neergezet hoe nu maar ook in de toekomst binnen het DKD zal worden omgegaan met het recht op inzage en correctie. Deze visie kan vervolgens dienen als richtsnoer voor de uitwerking van bovengenoemde rechten in lagere regelgeving. 5. Het uitgangspunt dient te zijn dat alle ketenpartners een zelfde hoog niveau van beveiliging nastreven. De Minister van Sociale Zaken en Werkgelegenheid (SZW) moet als systeemverantwoordelijke er op toe zien dat de beveiliging op een eenduidige wijze wordt vormgegeven, toegepast en gecontroleerd. Opvallend is dat de uitwerking van essentiële elementen die voortvloeien uit het recht op bescherming van persoonsgegevens (pas) op een lager niveau van regelgeving plaatsvindt. Hierdoor is het voor mij lastig om het uiteindelijk effect te kunnen inschatten dat de invoering van deze wetgeving heeft op het recht van bescherming van persoonsgegevens. Naar mijn oordeel zou het beter zijn wanneer (een aantal van) bovengenoemde punten op niveau van wet worden uitgewerkt. Ter ondersteuning van dit standpunt verwijs ik u naar de aanwijzingen voor de regelgeving. Aanwijzing 22 stelt dat bij de verdeling van de elementen van een regeling over de wet en algemeen verbindende voorschriften van lager niveau, de wet ten minste de hoofdelementen van de regeling dient te bevatten. Uit de toelichting volgt dat met hoofdelementen van de regeling wordt bedoeld in ieder geval de reikwijdte en de structurele elementen van de regeling zoals de voornaamste duurzame normen. Uit aanwijzing 24 volgt dat in de wet zoveel mogelijk worden opgenomen voorschriften betreffende rechtsbescherming en voorschriften die beogen aan de burger procedurele waarborgen te bieden ten aanzien van het gebruik van bevoegdheden door de overheid. Onder procedurele waarborgen wordt onder meer verstaan voorschriften die het recht op inzage van bepaalde stukken bieden. Kader Ingevolge artikel 51, eerste lid, Wet bescherming persoonsgegevens (WBP) ziet het CBP toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Op
BLAD
2
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
grond van het tweede lid van artikel 51 WBP wordt het CBP om advies gevraagd over voorstellen van wet en algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens. Met de inwerkingtreding van de WBP op 1 september 2001 wordt uitvoering gegeven aan Richtlijn 95/46/EG. De verwerking van persoonsgegevens in het kader van de uitvoering van de Wet eenmalige gegevensuitvraag werk en inkomen wordt integraal door deze richtlijn bestreken. Zij zal derhalve aan deze richtlijn alsmede aan de daarop gebaseerde bepalingen van de WBP, voor zover deze van toepassing zijn, moeten voldoen. Het wetsvoorstel Het wetsvoorstel is een uitvloeisel van de aanbevelingen uit het rapport De burger bediend! van de commissie Keller. In het wetsvoorstel wordt onder andere het wettelijk verbod op meervoudige gegevensuitvraag in de SUWI-keten geregeld. Ter ondersteuning hiervan wordt het DKD ontwikkeld. Het concept ‘digitaal klantdossier’ wordt in het wetsvoorstel omschreven als een representatie van alle relevante (zowel actuele als historische) gegevens omtrent een klant binnen het SUWI-domein. Doordat ketenpartners de gegevens die tot het dossier worden gerekend uit hun administraties digitaal ter beschikking stellen, ontstaat een gestructureerd en samenhangend klantbeeld. Hierbij worden ook relevante gegevens uit administraties van niet SUWI-organisaties betrokken (SVB, IBG, RDW). Dit wil zeggen dat organisaties in de SUWI-keten geen gegevens aan burgers vragen, voor zover deze uit met name genoemde administraties kunnen worden verkregen (omgekeerde intake). Doel van het wetsvoorstel is enerzijds de dienstverlening aan de burger te verbeteren, en anderzijds het voorzien in een gezamenlijke plicht van de ketenpartners tot instandhouding van elektronische voorzieningen om gegevens uit te wisselen en beschikbaar te stellen. Op termijn groeit het digitaal klantdossier verder uit tot een veel omvattend klantvolgdossier. Het wetsvoorstel stelt tevens een aanpassing van artikel 54 Wet SUWI voor en beoogt de rol die het Inlichtingenbureau binnen het SUWI-stelsel inneemt te wijzigen. Advies CBP Over het wetsvoorstel In uw begeleidende brief bij het wetsvoorstel schrijft u dat de privacy van de burger op een evenwichtige wijze in verband gebracht dient te worden met de noodzaak van een rechtmatige en doelmatige uitvoering. Ik kan u goed volgen in deze redenering. Daarbij ervaar ik het als positief dat u opmerkt zich er van bewust te zijn dat het stellen van regels rond informatieverplichtingen en de (elektronische) uitwisseling van gegevens nauw luisteren. Dit wetsvoorstel heeft de intentie verschillende beleidsdoeleinden te realiseren. Ik ben van mening dat een aantal van deze beleidsdoeleinden in lijn is of zelfs overeenkomt met de uitgangspunten betreffende de bescherming van persoonsgegevens zoals die zijn opgenomen in de WBP. Ik denk daarbij bijvoorbeeld aan het beperken van de omvangrijke intake, die zoals u zelf stelt, gepaard gaat met veel papier, uitgebreide formulieren en vele bewijsstukken. Naar ik heb begrepen vindt op dit moment vooral een aanzienlijke reductie in de bewijslast voor de WWB
BLAD
3
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
plaats. Het terugbrengen van de gegevensstroom tot die gegevens die essentieel zijn voor een goede taakuitoefening komt overeen met een van de uitgangspunten van de WBP, te weten het noodzakelijkheidsvereiste. Het principe van noodzakelijkheid houdt voor de SUWI-keten in dat in beginsel alleen die gegevens verwerkt mogen worden die nodig zijn om een wettelijke verplichting na te komen dan wel essentieel zijn voor de goede vervulling van een publiekrechtelijke taak. Efficiënte bedrijfsvoering en de bescherming van persoonsgegevens gaan op dit punt dus hand in hand. Ook de beperking van de administratieve lasten voor de burger - gegevens mogen niet aan burgers worden gevraagd voor zover ze uit met name genoemde administraties kunnen worden verkregen - is vanuit WBP-perspectief zeker aan te merken als een positieve ontwikkeling. Met de komst van een internetportaal dat gegevens in het DKD ook voor burgers toegankelijk maakt, wordt een flinke stap gezet in het transparanter maken van het overheidsbeleid. Transparantie is naast het bovengenoemde noodzakelijkheidsvereiste, één van de kernwaarden van het recht op bescherming van de persoonlijke levenssfeer. Belangrijk evenwel is om niet te vergeten dat dergelijke ontwikkelingen ook risico’s met zich meebrengen voor de persoonlijke levenssfeer en dat burgers mogelijk ook negatieve gevolgen van de komst van het DKD ondervinden. Tevens is het goed om te beseffen dat de ontwikkelingen rond het eenmalige uitvragen van gegevens en de hier aan gelieerde komst van het DKD niet alleen gericht zijn op het “bedienen van de burger” maar dat de overheid zelf ook een belang heeft bij deze andere manier van werken. De komst van het DKD zal er immers ook toe bijdragen dat op zichzelf legitieme beleidsdoelstellingen als efficiëntere bedrijfsvoering en effectievere bestrijding van witte fraude, beter worden gerealiseerd. 1. Verantwoordelijkheidsverdeling binnen de SUWI-keten Het begrip verantwoordelijke en de WBP Voor de burger moet helder zijn wie als de verantwoordelijke voor een gegevensverwerking kan worden aangemerkt. Onduidelijkheid hierover leidt in de praktijk tot problemen over wie aanspreekbaar is op het al dan niet nakomen van de wettelijke verplichtingen waaraan een verantwoordelijke is onderworpen. Ingevolge de WBP is de verantwoordelijke degene die formeel- juridisch het doel en de middelen van een verwerking vaststelt. De verantwoordelijke hoeft niet zelf de gegevens te verwerken. Van belang is of hij bepaalt welke gegevens er worden verwerkt, hoe lang, met welke middelen en voor welk doel. Uit de Memorie van Toelichting (MvT) bij de WBP komt naar voren dat het uitgangspunt bij het begrip verantwoordelijke de bestaande structuur van het civielrechtelijke en bestuursrechtelijke personen- en organisatierecht is. Dit betekent voor de publieke sector dat krachtens het geldend bestuurs- en staatsrecht het bevoegde bestuursorgaan als de verantwoordelijke dient te worden aangemerkt. Deze definitie neemt evenwel nog niet alle onduidelijkheid rond het begrip verantwoordelijke weg. In situaties waarin meerdere bestuursorganen betrokken zijn bij een keten van gegevensverwerkingen en in verband met de aard van die betrokkenheid als verantwoordelijke in de zin van de wet kunnen worden aangeduid, bestaat er een behoefte aan
BLAD
4
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
een aanvullend criterium. Problemen kunnen zich met name voordoen als de juridische zeggenschap onvoldoende duidelijk is, dan wel geen regeling voor handen is op grond waarvan de betreffende instantie aangesproken kan worden. Burgers mogen daarvan niet de dupe worden. In zodanige situaties dient aan het begrip verantwoordelijke een functionele invulling te worden gegeven. Aan de hand van in het maatschappelijke verkeer gehanteerde maatstaven moet worden bezien aan welk bestuursorgaan de betreffende verwerking dient te worden toegerekend. Wat in het maatschappelijke verkeer geldende maatstaven zijn is moeilijk te zeggen: dat zal van de feitelijke situatie afhangen. Voorts wordt in de MvT bij de WBP opgemerkt dat ten aanzien van een geheel van gegevensverwerkingen het mogelijk is dat meerdere personen of instanties, dus een pluraliteit van verantwoordelijke, als zodanig wordt aangemerkt. Daarbij kunnen drie vormen van verantwoordelijkheid worden onderscheiden: 1. Aan de verwerking nemen verschillende organisaties deel, er is echter één gemeenschappelijke verantwoordelijke. 2. Verschillende verwerkingen zijn min of meer geïntegreerd, zonder dat er een gemeenschappelijke verantwoordelijke aanwezig is. Er is sprake van afzonderlijke verantwoordelijkheid per (deel-)verwerking. De betrokkene kan slechts één van de afzonderlijke verantwoordelijke aanspreken. Te denken valt aan persoonsgegevens die via internet kunnen worden geconsulteerd. 3. Verschillende verwerkingen zijn geïntegreerd zonder dat er een gemeenschappelijke verantwoordelijke aanwezig is. Er is sprake van gezamenlijke verantwoordelijkheid. Elk van de verantwoordelijke is aansprakelijk voor het geheel van de gegevensverwerkingen. (uit: TK, 1997-1998, 25 892, nr. 3, 55-58) Verantwoordelijkheidsverdeling in het wetsvoorstel eenmalige gegevensuitvraag Uit de toelichting bij het wetsvoorstel komt naar voren dat het DKD niet opgevat moet worden als een gegevensverzameling over één klant, op één plaats, die centraal wordt aangelegd en bijgehouden. De dossierfunctie ontstaat doordat gegevens die bij verschillende organisaties en in afzonderlijke registraties zijn vastgelegd, op een samenhangende en op de gebruiker toegesneden wijze worden gepresenteerd. Gesteld wordt dat met gebruikmaking van internettechnologie deze gegevens aan de burger via een klantportaal en aan de professional via Suwinet-Inkijk worden gepresenteerd. Uit de achterliggende beleidsstukken komt naar voren dat het DKD kan worden gezien als een ontwikkeling tot verdere ketenvorming. Een langzame maar gestage integratie. Eén klant, één proces, één systeem. Oordeel CBP Ik kan mij in beginsel vinden in de verantwoordelijkheidsverdeling zoals die in het huidige voorstel is geregeld. De wijze waarop hier invulling aan wordt gegeven sluit aan bij de tweede optie van verantwoordelijkheidsverdeling zoals is beschreven in de MvT bij de WBP. Wel acht ik de kans groot dat, omdat de gegevens op een eenduidige wijze via internet worden gepresenteerd, de burger snel zal aannemen dat het wel om één gestructureerde gegevensverzameling gaat waarvoor één partij de verantwoordelijke is. Ik acht het dan ook van
BLAD
5
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
belang dat aan de burger duidelijk wordt gemaakt dat de gegevens die middels het burgerportaal worden ontsloten, feitelijk van verschillende instanties afkomstig zijn. Helderheid hieromtrent is van belang omdat de burger het recht heeft om te weten tot wie hij zich kan wenden om zijn rechten te effectueren (zie ook punt 3. Transparantie). Bij de houdbaarheid van de verantwoordelijkheidsverdeling zoals die nu is geregeld , plaats ik om twee redenen vraagtekens. Allereerst wordt in het wetsvoorstel aangegeven dat uiteindelijk wordt gestreefd naar één klantvolgsysteem. Tegen de tijd dat er werkelijk sprake zal zijn van één klant, één proces en één systeem zal opnieuw moeten worden geëvalueerd in hoeverre nog gesteld kan worden dat iedere deelnemer aan DKD afzonderlijk de verantwoordelijke is voor de door hem ingebrachte gegevens. Naar alle waarschijnlijkheid zal er op den duur sprake zijn van een gemeenschappelijke verantwoordelijkheid of zal moeten worden besloten tot het aanwijzen van één gemeenschappelijke verantwoordelijke. Dit punt sluit aan bij mijn tweede punt namelijk dat het de vraag is of er nu al niet sprake is van gegevens waarvoor een gezamenlijke verantwoordelijkheid geldt. In de huidige SUWIconstellatie hebben de verschillende partners ingevolge de wet SUWI taken opgedragen gekregen die elkaar raken en soms zelfs overlappen. Ik denk daarbij met name aan taken op het gebied van intake en reïntegratie. Zo wordt naar ik heb begrepen, op dit moment intensief samengewerkt door de Centra voor Werk en Inkomen (CWI) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) wanneer het gaat om het inzetten van gezamenlijke reïntegratiecoaches voor WW-gerechtigden. Het wetsvoorstel gaat niet in op de vraag hoe er binnen DKD-verband wordt omgegaan met gegevens waarvoor (mogelijk) een gezamenlijke verantwoordelijkheid geldt. Te denken valt aan gegevens die betrekking hebben op reïntegratietrajecten die gezamenlijk door CWI en UWV zijn ingezet. Ik ben van mening dat u in de toelichting aan dit punt aandacht moet schenken. 2. Noodzakelijkheid en doelbinding in de keten Noodzakelijkheid en doelbinding in de WBP De WBP bepaalt dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Daarbij komt dat persoonsgegevens alleen mogen worden verwerkt als dit noodzakelijk is voor één van de in artikel 8 van de WBP genoemde grondslagen voor verwerking. Voorts worden persoonsgegevens niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Noodzakelijkheid en doelbinding in het wetsvoorstel. In de toelichting bij het wetsvoorstel staat aangeven dat ketenpartners de gegevens die tot het dossier worden gerekend uit hun administraties digitaal ter beschikking stellen waardoor deze informatie aldus beschikbaar is en kan worden geraadpleegd en benut waar dit noodzakelijk is in het uitvoeringsproces. Gesteld wordt dat bij de inrichting en het gebruik van het dossier voldaan moet worden aan de algemene beginselen van doelbinding en proportionaliteit zoals die voortvloeien uit de WBP. Daar waar informatie van organisaties buiten de SUWI-keten wordt benut, gebeurt dit op grond van (in het algemeen al bestaande) wettelijke bepalingen die de
BLAD
6
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
bevoegdheid en verplichting tot het inwinnen respectievelijk verstrekken van persoonsinformatie regelen. Opgemerkt wordt dat de in het wetsvoorstel opgenomen bepalingen over het hergebruik van gegevens (dat materieel wordt ondersteund door het DKD) niet afdoen aan het gesloten verstrekkingenregime, waarin steeds een expliciete wettelijke verplichting en bevoegdheid moet zijn voor het verstrekken van gegevens door overheidsorganisaties. In lagere regelgeving zullen regels worden gesteld over het ter schikking stellen van gegevens ten behoeve van de ketenpartners waarbij in de uitwerking hiervan wordt voortgebouwd op het bestaande Gegevensregister SUWI. Deze lagere regelgeving zal tevens betrekking hebben op de onderscheiden verantwoordelijkheden van de partijen voor gebruik en beheer van het klantdossier. Oordeel CBP U schrijft dat dit wetsvoorstel de noodzakelijke waarborgen voor de gegevensuitwisseling SUWI en het DKD regelt. Ik stel met instemming vast dat in het wetsvoorstel het gesloten verstrekkingenregime en de uitgangspunten van noodzakelijkheid en doelbinding gehandhaafd blijven. Op grond van het huidige concept is mij echter nog niet duidelijk welke maatregelen er genomen (gaan) worden om te waarborgen dat niet meer gegevens dan noodzakelijk worden gebruikt, dat het overmatig verwerken van gegevens systematisch wordt tegengegaan en dat gegevens niet onbevoegd worden geraadpleegd. Naar ik begrijp zal één en andere op een lager niveau van regelgeving wordt uitgewerkt. Ik ben van mening dat het uw taak als systeemverantwoordelijke is om de eisen van doelbinding en noodzakelijkheid te waarborgen door heldere regels te stellen die gelden voor alle gebruikers van het DKD. Ik denk bijvoorbeeld aan het stellen van regels over het recht op toegang (autorisaties en rollen) en de wijze waarop hierover verantwoording wordt afgelegd. Ik dring er bij u op aan dat de lagere regelgeving in dergelijke regels gaat voorzien. 3. Kwaliteit van de gegevens Kwaliteit van gegevens en de WBP De WBP schrijft voor dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Daarbij wordt aan de verantwoordelijk de opdracht gegeven dat deze de nodige maatregelen treft opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Kwaliteit van gegevens en het wetsvoorstel Uit de toelichting bij het wetsvoorstel komt naar voren dat op een lager niveau van regelgeving regels worden gesteld over de invulling van het inzage- en correctierecht met het oog op borging van de kwaliteit van gegevens en de samenwerking van de organisaties bij het beheer van voorzieningen, afspraken en standaarden en de taken en verantwoordelijkheden van de organisaties Bureau Keteninformatisering Werk en Inkomen en het Inlichtingenbureau gemeenten.
BLAD
7
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
Oordeel CBP Naar mijn mening zal het succes van het DKD staan of vallen met de kwaliteit van de gegevens. Indien de kwaliteit van de persoonsgegevens onder de maat is (verouderd, onvolledig, etc.) zal van de doelstelling die dit wetsvoorstel beoogt te bewerkstelligen - te weten eenmalige gegevensuitvraag bij de klant - weinig terecht komen. Wanneer de gegevens die organisaties via het DKD verkrijgen, niet deugdelijk en zelfs onbetrouwbaar blijken te zijn, zullen medewerkers al snel weer bij klant zelf te raden gaan. Ik stel vast dat het wetsvoorstel weinig tot niets concreet regelt met betrekking tot het waarbogen van de kwaliteit van het DKD. Naar ik begrijp is er voor gekozen om op een lager niveau van regelgeving regels te stellen over de kwaliteit van de gegevens. Aan deze regels dient naar mijn mening een overkoepelende lange termijn visie ten grondslag te liggen die ziet op het waarborgen van de kwaliteit van de gegevens binnen het DKD nu maar ook in de toekomst. Een dergelijke visie kan vervolgens dienen als leidraad voor het opstellen van regels. Naar mijn mening zou u als systeemverantwoordelijke het voortouw moeten nemen in de ontwikkeling van een dergelijke visie. 4. Transparantie Transparantie en de WBP De WBP heeft tot doel een bijdrage te leveren aan het vertrouwen dat burgers kunnen hebben in de wijze waarop in de samenleving met persoonsgegevens zal worden omgesprongen. Burgers krijgen op grond van de wet rechten om zelf zicht en toezicht op het gebruik van hun gegevens te houden. Zowel publieke als private organisaties die de persoonlijke gegevens van burgers verzamelen en gebruiken, krijgen verplichtingen opgelegd om burgers te informeren over wie, waarom en waar gegevens over hen wordt verzameld en verwerkt. Die informatieplicht dient de belangen van klanten, maar draagt tegelijkertijd bij aan het vertrouwen in de organisaties die met die gegevens in de weer zijn. Naast de informatieplicht kent de WBP ook het recht op inzage in gegevens en het recht om om correctie te verzoeken. Transparantie en het wetsvoorstel In het wetsvoorstel wordt onderkend dat activiteit en beslissingen van de ketenorganisaties dikwijls belangrijke (rechtsgevolgen) voor de burger kunnen hebben. Gesteld wordt dat het principe van eenmalige gegevensuitvraag en hergebruik van gegevens daarom wordt ingekaderd en begrensd door de noodzaak van een zorgvuldige uitvoering. Allereerst betekent dit volgens het wetsvoorstel dat de klant inzicht dient te hebben in gegevens die de basis vormen voor de handelingen en beslissingen van de organisaties. Bij de intake dient dit te worden geborgd, waarbij de klant de mogelijkheid krijgt voor correctie van gegevens. Er is voor gekozen om het recht op inzage en correctie op een lager niveau van regelgeving in te vullen. Naar het CBP begrijpt is het in eerste instantie de bedoeling dat de burger toegang krijgt tot een beperkte set gegevens waarbij het mogelijk is om een klein aantal gegevens uit deze set te corrigeren (emailadres/telefoonnummer). Voor het corrigeren van gegevens die afkomstig zijn uit
BLAD
8
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
bijvoorbeeld de polisadministratie of het GBA wordt de klant doorverwezen naar de organisatie waarvan de gegevens (oorspronkelijk) afkomstig zijn. Oordeel CBP Ik ben van oordeel dat het inrichten van een burgerportaal zeker kan bijdragen aan het naar de burger toe transparanter maken van gegevensverwerkingen binnen de SUWI-keten. Bij het inrichten van een dergelijk burgerportaal dient wel rekening gehouden te worden met onderstaande punten: • Het moet voor een klant altijd duidelijk zijn tot welke instantie hij zich kan richten om zijn rechten te effectueren. Dit geldt met name voor het recht op inzage en correctie. • Inzagerecht: het is van belang dat cliënten weten op basis van welke informatie zij worden beoordeeld. Als de beoordeling van het recht op een uitkering plaats vindt op basis van meer gegevens dan via het burgerportaal zichtbaar is, zal dit duidelijk kenbaar moeten worden gemaakt aan de burger. Daarbij dient het voor burgers duidelijk te zijn bij wie en op welke wijze toegang kan worden verkregen tot achterliggende gegevens. • Correctierecht: idealiter wordt het recht op correctie wanneer het gaat om gegevens die via het DKD worden ontsloten, op een eenduidige wijze door de verschillende bestuursorganen ingevuld. Ik stel vast dat de wijze waarop invulling gaat worden gegeven aan het recht op inzage en correctie op een lager niveau van regelgeving is belegd. Ook op dit punt pleit ik voor de ontwikkeling van een overkoepelende lange termijn visie waarin wordt neergezet hoe er nu maar ook in de toekomst binnen het DKD zal worden omgegaan met het recht op inzage en correctie. 5. Beheer en beveiliging Beveiliging en de WBP In de WBP is aangegeven dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Beheer en beveiliging en het wetsvoorstel Artikel 62 Wet SUWI bepaalt dat CWI, UWV, de SVB en gemeenten gezamenlijk zorg dragen voor de instandhouding van elektronische voorzieningen voor de verwerking van gegevens met als doel een gezamenlijke toegang tot die gegevens, voor zover dat noodzakelijk is voor de taken die krachtens de SUWI-wet of de overige wetgeving die in dit artikel wordt genoemd is opgedragen aan eerder genoemde organen en voorzover het verstrekken van de gegevens op grond van die wetten is toegestaan. Voorts wordt aangegeven dat bij of krachtens Algemene Matregel van Bestuur regels worden gesteld met betrekking tot de inrichting, het beheer en de beveiliging van de elektronische voorzieningen. Volgens de toelichting kan op deze wijze nadere normering en
BLAD
9
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
kaderstelling plaatsvinden, voor zover dat noodzakelijk is met het oog op coördinatie en het bieden van waarborgen aan de burger. Uit het oogpunt van deregulering komen de derde tot en met het zesde lid van artikel 62 en de artikelen 64, 66, 67 69, 70 en 71 te vervallen. Deze bepalingen hebben betrekking op het beheer en het gebruik van Suwinet. Oordeel CBP Het CBP kan de consequent ies van het schrappen van bovengenoemde bepalingen niet voldoende overzien. Wel wordt de indruk gewekt dat met het schrappen van met name de artikelen 64 (gegevensregister Suwinet), 66 (stelselontwerp Suwinet) en 67 (beheertaken Suwinet) de sturing op de voorwaarden waaraan de ICT-voorzieningen binnen de SUWI-keten moeten voldoen sterk afneemt op rijksniveau. De vraag hoe deze sturing in de toekomst plaats zal vinden blijft onbeantwoord omdat bepalingen omtrent het beheer van voorzieningen, afspraken, standaarden en informatiebeveiliging op niveau van AMvB zullen worden belegd. In 2005 heeft de Inspectie Werk en Inkomen (IWI) een onderzoek gedaan naar de beveiliging van Suwinet en de privacy van de burger. In het rapport dat hierover is uitgebracht, schrijft IWI dat er onzekerheid blijft bestaan over de mate waarin de beveiliging van Suwinet daadwerkelijk gewaarborgd is. Een eerste inventarisatie van de kwaliteit van de beveiligingsmaatregelen laat zien dat met name veel gemeenten niet aantoonbaar voldoen aan de wettelijke eisen. IWI acht het, blijkens het oordeel, van groot belang dat de Suwinet-partijen voldoende maatregelen nemen om doelbinding en beveiliging te waarborgen, en dat deze maatregelen over de gehele keten van voldoende niveau zijn. (uit: Doelbinding en beveiliging in de keten werk en inkomen, Inspectie werk en Inkomen, januari 2006). Vanuit het perspectief van de bescherming van persoonsgegevens dient het uitgangspunt te zijn dat alle ketenpartners een zelfde hoog niveau van beveiliging nastreven. Naar mijn oordeel is het aan u om als systeemverantwoordelijke om er op toe te zien dat de beveiliging op een eenduidige wijze is geregeld. Dat kan via regelgeving en toezicht. Het CBP kan zich pas uitspreken over het beheer van Suwinet en het niveau van beveiliging op het moment dat het bekend is met de inhoud van de AMvB die hierop ziet. Wel wil ik alvast opmerken dat ik het van groot belang acht dat er adequaat op wordt toegezien dat alle SUWI-partners zich aan de afspraken houden met betrekking tot het niveau van beveiliging
6. Overige opmerkingen In de artikelen 64, tweede lid, WWB en artikel 67, tweede lid, WBB is opgenomen dat het verstrekken van gegevens door het college van burgemeester en wethouders en de in het eerste lid van artikel 64 bedoelde instanties kan geschieden via tussenkomst van het Inlichtingenbureau. Ik merk hierover op dat deze wijziging de uitgangspunten van het door het CBP opgestelde kader Fraudebestrijding en bestandskoppeling onverlet laten en dat deze dus nog steeds door de betreffende partijen in acht moeten worden genomen. Met betrekking tot de wijziging van artikel 54, eerste lid, onder b en c, wet SUWI mist het CBP een duidelijke definitie van wat moet worden verstaan onder de persoon voor wie hij arbeid zou verrichten. Ik raad u aan om in de toelichting helder aan te geven welke situaties u hierbij op het oog heeft. Wanneer niet scherp wordt gedefinieerd om welke situaties het gaat, zal in de
BLAD
10
DATUM ONS KENMERK
19 oktober 2006 z2006-00896
uitvoering veel onduidelijkheid ontstaan over de wijze waarop dit artikel geïnterpreteerd dient te worden. Ik vertrouw er op u hiermee voldoende te hebben geïnformeerd.
Hoogachtend, Het College bescherming persoonsgegevens, Voor het College,
mr. J. Kohnstamm voorzitter
BLAD
11