POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 88 88 500
FAX
070 - 88 88 501
AANGETEKEND De minister van Infrastructuur en Milieu mevrouw drs. M.H. Schultz van Haegen-Maas Geesteranus Postbus 20901 2500 EX Den Haag
BEZOEKADRES
E-MAIL
Juliana van Stolberglaan 4-10
[email protected]
INTERNET
DATUM ONS KENMERK
8 februari 2011 z2010-00656
CONTACTPERSOON
070-8888500 UW BRIEF VAN UW KENMERK
ONDERWERP
www.cbpweb.nl
CEND/FMC-2010/1052
Besluit tot oplegging last onder dwangsom
Geachte mevrouw Schultz van Haegen-Maas Geesteranus, Het College bescherming persoonsgegevens (CBP) heeft op grond van artikel 60 Wet bescherming persoonsgegevens (Wbp) een onderzoek ingesteld naar de verwerking van het burgerservicenummer (BSN) ten behoeve van de Rijkspas. Naar aanleiding van dit onderzoek is tijdens het collegeoverleg van 8 februari 2011 besloten om een last onder dwangsom op te leggen. 1.
Het verlo o p va n de procedure
Op 11 november 2009 is het CBP een (vragenlijst)onderzoek gestart bij de interdepartementale afdeling Organisatie en Bedrijfsvoering Rijk van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) naar de rechtmatigheid van de verwerking van het BSN ten behoeve van de Rijkspas. Daarnaast heeft het onderzoek zich gericht op de rechtmatigheid van de verwerking van een kopie van het identiteitsbewijs ten behoeve van de Rijkspas. De directeur-generaal Organisatie en Bedrijfsvoering Rijk heeft bij brief van 1 december 2009 de gestelde vragen beantwoord. Op 14 januari 2010 is het CBP een vervolg(vragenlijst)onderzoek gestart bij het (voormalige) ministerie van Verkeer en Waterstaat (V&W). Ook dit vervolgonderzoek heeft zich gericht op de rechtmatigheid van de verwerking van het BSN en de verwerking van een kopie van het identiteitsbewijs ten behoeve van de Rijkspas. Bij brief van 25 januari 2010 is namens de minister van V&W op de vragen geantwoord. In de antwoorden is verwezen naar de normenkaders van de Rijkspas en het Privacyreglement Identity Management V&W. Het CBP heeft deze stukken op 2 februari 2010 opgevraagd en ontvangen. Op 31 maart 2010 heeft het CBP het rapport van voorlopige bevindingen naar de minister van V&W gestuurd. Het CBP komt in dit rapport tot de conclusie dat (i) het ministerie van
BIJLAGEN BLAD
1
V&W het BSN én een kopie van het identiteitsbewijs verwerkt ten behoeve van de Rijkspas, (ii) dat hiervoor een wettelijke grondslag ontbreekt en (iii) dat de minister van V&W derhalve in strijd handelt met artikel 24 Wbp en artikel 8 sub f Wbp. Bij brief van 16 april 2010 is namens de minister van V&W gereageerd op het rapport van voorlopige bevindingen. Naar aanleiding van deze reactie heeft het CBP op 27 mei 2010 het rapport van definitieve bevindingen naar de minister van V&W gestuurd. In dit rapport concludeert het CBP dat (i) het ministerie van V&W het BSN verwerkt ten behoeve van de Rijkspas, (ii) dat hiervoor een wettelijke grondslag ontbreekt en (iii) dat de minister van V&W derhalve in strijd handelt met artikel 24 Wbp. Gelet op de verklaring van de minister van V&W dat geen kopieën van identiteitsbewijzen ten behoeve van de Rijkspas worden opgeslagen, stelt het CBP tot slot vast dat van een onrechtmatige verwerking van kopieën van identiteitsbewijzen voor de Rijkspas geen sprake is. Het ministerie van V&W heeft bij brief van 3 juni 2010 gereageerd op het rapport van definitieve bevindingen. Bij brief van 11 oktober 2010 heeft het CBP de minister van V&W in kennis gesteld van zijn voornemen om handhavend op te treden. Tevens heeft het CBP de minister van V&W vragen voorgelegd die tijdens de hoorzitting zijn behandeld. Het CBP heeft op 1 november 2010 het advies van mr. A (hierna: gemachtigde) aan het ministerie van BZK over deze aangelegenheid ontvangen. Op 11 november 2010 heeft een hoorzitting plaatsgevonden. Op de hoorzitting zijn namens u verschenen: gemachtigde, B, C en D. Namens het ministerie van BZK zijn verschenen: E en F. Bij brieven van 29 november 2010 heeft het CBP het concept verslag van de hoorzitting aan u en gemachtigde toegezonden. Op 17 december 2010 heeft het CBP namens u een reactie op het concept verslag ontvangen, naar aanleiding waarvan het verslag is aangepast en definitief is vastgesteld. Het CBP heeft bij brief van 26 november 2010 nadere vragen gesteld over het Identity Management systeem (IdM systeem). Gemachtigde heeft bij brief van 10 december 2010 uitstel gevraagd voor het beantwoorden van de vragen, hetgeen het CBP heeft verleend tot 14 januari 2011. Bij brief van 13 januari 2011 heeft gemachtigde de vragen beantwoord. 2.
De minister va n Infrastructuur en Milieu
De rechtsopvolger van het ministerie van V&W, waartegen het onderzoek aanvankelijk was gericht, is het ministerie van Infrastructuur en Milieu (IenM), zodat u thans als verantwoordelijke in deze aangelegenheid wordt aangemerkt.
BLAD
2
3.
Het wettelijk k a der
Artikel 8 sub e Wbp luidt, voor zover relevant: Persoonsgegevens mogen slechts worden verwerkt indien: e.
de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt
Artikel 11 lid 1 Wbp luidt: 1. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Artikel 24 lid 1 Wbp luidt: 1. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb) luidt: Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitoefening van hun taak gebruik maken van het burgerservicenummer, met inachtneming van hetgeen bij of krachtens dit hoofdstuk is bepaald. Artikel 65 Wbp luidt: Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen. Artikel 5:32 lid 1 Algemene wet bestuursrecht (Awb) luidt: 1. Een bestuursorgaan dat bevoegd is een last onder bestuursdwang op te leggen, kan in plaats daarvan aan de overtreder een last onder dwangsom opleggen.
BLAD
3
4.
De o vertreding
4.1
De Rijkspas
De Rijkspas fungeert als toegangspas voor de rijksambtenaar met betrekking tot het gebouw van zijn eigen departement alsmede met betrekking tot gebouwen van andere departementen. De Rijkspas vervangt eerder uitgegeven toegangspassen. Op termijn zal de Rijkspas de rijksambtenaar tevens toegang verschaffen tot het netwerk van zijn eigen departement, zodat hij daarop op diverse locaties kan inloggen. 4.2
Controle identiteit
Bij het aanvragen van de Rijkspas wordt de identiteit van de (in- of externe) medewerker van het ministerie van IenM gecontroleerd aan de hand van een identiteitsbewijs, waarvan de achternaam, voornaam en overige initialen, voorvoegsels, geboortedatum, geslacht alsmede het BSN worden vergeleken met de gegevens in het IdM systeem van het ministerie van IenM. Ook bij de uitgifte van de Rijkspas wordt de identiteit van de medewerker – voorafgaand aan de feitelijke overhandiging – gecontroleerd aan de hand van een identiteitbewijs, doch wordt het BSN niet vergeleken. Indien één van de voornoemde gegevens op het identiteitsbewijs niet overeenstemt met een gegeven in het IdM systeem, wordt de Rijkspas niet uitgegeven. Uitgifte vindt pas plaats zodra het foutieve gegeven in het IdM systeem is aangepast. 4.3
De taak van de minister van Infrastructuur en Milieu
Het BSN is een zogenaamd identificatienummer. Artikel 24, eerste lid, Wbp bepaalt dat een identificatienummer dat bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts mag worden gebruikt ter uitvoering van de betreffende wet, dan wel voor doeleinden bij de wet bepaald. Voor het verwerken van het BSN door een overheidsorgaan geldt de Wabb, meer in het bijzonder artikel 10 Wabb. Dit artikel bepaalt dat overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik kunnen maken van het BSN. Gelet op het voorgaande ligt in de onderhavige aangelegenheid allereerst de rechtsvraag voor of de uitgifte van de Rijkspas behoort tot uw taak. In het oorspronkelijke wetsvoorstel Wabb werd in artikel 10 niet gesproken over ‘taak’, maar over ‘publiekrechtelijke taak’.1 Het woord ‘publiekrechtelijke’ is bij nota van wijziging echter uit de wettekst geschrapt,2 hetgeen als volgt is toegelicht:
1 2
Kamerstukken II, 2005/06, 30 312, nr. 2, p. 3-4. Kamerstukken II, 2005/06, 30 312, nr. 8, p. 2.
BLAD
4
Gebleken is dat het begrip ‘publiekrechtelijke taak’, dat in artikel 10 werd gehanteerd, geen eenduidige betekenis heeft. Daardoor zou in de praktijk verwarring kunnen ontstaan over de reikwijdte van de bevoegdheid tot gebruik van het BSN door een overheidsorgaan. Het begrip ‘overheidsorgaan’ in artikel 10 impliceert, dat de bevoegdheid slechts strekt voor zover de desbetreffende persoon of het desbetreffende college overheidsorgaan is. De taak is daarmee reeds onlosmakelijk gekoppeld aan de status van overheidsorgaan. Buiten de status van overheidsorgaan en op een gegevensverwerking die niet samenhangt met de taak van dat overheidsorgaan als zodanig, is artikel 10 dus niet van toepassing. Artikel 10 is daarom bij nota van wijziging zodanig aangepast dat daarnaast het publiekrechtelijke karakter van de taak van dat overheidsorgaan niet langer expliciet behoeft te worden vastgesteld;3 De wijziging vormde voor de Tweede Kamerleden Slob en Van der Ham aanleiding om een amendement in te dienen om in artikel 10 Wabb ‘taak’ alsnog te vervangen door ‘publiekrechtelijke taak’.4 Dit amendement is vervolgens ingetrokken nadat de minister van Bestuurlijke Vernieuwing en Koninkrijksrelaties bevestigend antwoordde op de volgende vraag: U zegt in feite dat als het gaat om overheidsorganen die bevoegd zijn tot het gebruik maken van het burgerservicenummer, dat puur betrekking heeft op het publiekrechtelijke handelen en de publiekrechtelijke bevoegdheden van de overheden?5 Uit het bevestigende antwoord van de minister van Bestuurlijke Vernieuwing en Koninkrijksrelaties op voornoemde vraag blijkt dat met het begrip ‘taak’ in artikel 10 Wabb wordt bedoeld ‘publiekrechtelijke taak’. De parlementaire stukken betreffende de Wabb en de jurisprudentie bieden geen duidelijke criteria wanneer werkzaamheden van overheidsorganen behoren tot hun publiekrechtelijke taak, in het kader waarvan zij het BSN mogen gebruiken. Ter uitleg van het begrip ‘(publiekrechtelijke) taak’ dient derhalve aansluiting te worden gezocht bij de betekenis van dit begrip in gelieerde wetgeving. Gelet op artikel 24 Wbp en het feit dat het BSN is aan te merken als een persoonsgegeven, kan de Wbp ten opzichte van de Wabb als zodanig worden aangemerkt. Zelfs indien onder het begrip ‘taak’ in artikel 10 Wabb niet zou worden verstaan ‘publiekrechtelijke taak’, dan dient alsnog aansluiting te worden gezocht bij gelieerde wetgeving, in casu de Wbp. Artikel 8 sub e Wbp bepaalt dat persoonsgegevens mogen worden verwerkt indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke Kamerstukken II, 2005/06, 30 312, nr. 7, p. 5. Kamerstukken II, 2005/06, 30 312, nr. 10. 5 Handelingen II 2005/06, p. 6374. 3 4
BLAD
5
taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Niet valt in te zien dat het begrip ‘publiekrechtelijke taak’ in dit artikel een andere betekenis zou hebben dan het begrip ‘taak’ in artikel 10 Wabb. Uw gemachtigde heeft dit tijdens de hoorzitting expliciet bevestigd door op te merken dat beide begrippen dezelfde betekenis hebben.6 De Memorie van Toelichting van de Wbp licht het begrip ‘publiekrechtelijke taak’ in artikel 8 sub e als volgt nader toe: Niet alle verwerkingen die worden verricht door bestuursorganen vallen onder de reikwijdte van het onderhavige onderdeel. In sommige gevallen verrichten bestuursorganen activiteiten die zich niet wezenlijk onderscheiden van activiteiten die ook door particulieren worden verricht. Te denken valt aan de verkoop van onroerend goed of het sluiten van een arbeidsovereenkomst.7 Dit roept de vraag op of u met de uitgifte van de Rijkspas een activiteit verricht die zich wezenlijk onderscheidt van activiteiten die ook door particulieren worden verricht. Het is een feit van algemene bekendheid dat (grotere) particuliere ondernemingen toegangspassen uitgeven om hun bedrijfsgebouwen en -informatie te beveiligen. Beveiliging van deze gebouwen en informatie is niet alleen voor de betreffende ondernemingen, maar ook in maatschappelijk opzicht evenzeer van groot belang. Bovendien is van een formeel wettelijke grondslag voor uitgifte door u van de Rijkspas geen sprake. Het CBP is op grond van het voorgaande dan ook van oordeel dat de uitgifte van de Rijkspas geen activiteit is waarmee u zich wezenlijk onderscheidt van activiteiten die ook door particulieren worden verricht en derhalve niet behoort tot uw taak in de zin van artikel 10 Wabb. Dit betekent dat u ten behoeve van de uitgifte van de Rijkspas géén gebruik mag maken van het BSN. Gelet op het voorgaande is het CBP van oordeel dat u handelt in strijd met artikel 24 Wbp j° artikel 10 Wabb. 4.4
Noodzakelijkheid en bovenmatigheid
Naast het feit dat u slechts gebruik mag maken van het BSN in het kader van de uitoefening van uw taak, dient de verwerking van het BSN ingevolge de artikelen 8 en 11 Wbp bovendien noodzakelijk en niet bovenmatig te zijn. Bij de beoordeling van de noodzaak van de verwerking speelt het subsidiariteitsbeginsel een belangrijke rol. Ingevolge dit beginsel 11 november 2010, p. 8. Gemachtigde heeft daarbij opgemerkt dat het begrip ‘publiekrechtelijke’ in ‘publiekrechtelijke taak’ geen beperking kan vormen van de taken die door overheidsorganen worden uitgeoefend. 7 Kamerstukken II, 1997/98, 25 892, nr. 3, p. 85. 6
BLAD
6
mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.8 De vraag is derhalve of het doel waarvoor u het BSN verwerkt in redelijkheid niet op een andere, voor de medewerkers van het ministerie van IenM minder nadelige wijze, kan worden gerealiseerd. Het doel waarvoor het BSN in de onderhavige aangelegenheid wordt verwerkt, is de controle van de identiteit van de medewerker die een Rijkspas aanvraagt. De identiteit wordt echter tevens geverifieerd aan de hand van de achternaam, de voornaam, de overig initialen, de voorvoegsels, de geboortedatum en het geslacht zoals vermeldt op het identiteitsbewijs van de medewerker. Het CBP is van oordeel dat de identiteit van een medewerker op deugdelijke wijze kan worden gecontroleerd aan de hand van (de combinatie van) laatstgenoemde persoonsgegevens. Deze gegevens zijn bovendien, in tegenstelling tot het BSN, geen bijzondere persoonsgegevens, zodat het gebruik daarvan minder risico’s met zich mee brengt voor de bescherming van de persoonlijke levenssfeer. Gelet op het voorgaande is het CBP van oordeel dat de verwerking van het BSN in de onderhavige aangelegenheid niet noodzakelijk is en daarmee tevens bovenmatig. U handelt daarom in strijd met artikel 8 Wbp en artikel 11 Wbp. 5.
Verweer va n de minister van Infrastructuur en Milieu
5.1
De taak van de minister van Infrastructuur en Milieu
U betoogt – kort weergegeven – dat wanneer in een bepaald geval gebruik van een persoonsnummer noodzakelijk is, de overheid daarvoor in principe het BSN mag benutten. Daar waar artikel 10 Wabb het heeft over gebruik van het BSN door overheidsorganen ‘in het kader van de uitvoering van hun taak’ is geen sprake van een beperking tot bepaalde taken. Evenmin kan het begrip ‘publiekrechtelijke taak’ in artikel 8 sub e Wbp een beperking vormen van de taken die door overheidsorganen worden uitgeoefend. De Staat heeft immers geen andere dan publieke taken. Voorts past de beveiliging van overheidsgebouwen en -informatie volgens u zonder meer in de taakuitoefening van overheidsorganen. Zoals hierboven in paragraaf 4.3 is uiteengezet, verwerpt het CBP het standpunt dat de beveiliging van overheidsgebouwen en -informatie behoort tot uw taak zoals bedoeld in artikel 10 Wabb. U onderscheidt zich met deze activiteit immers niet wezenlijk van
8
Kamerstukken II, 1997/98, 25 892, nr. 3, p. 80..
BLAD
7
particuliere ondernemingen die ook toegangspassen uitgeven ten behoeve van de beveiliging van hun bedrijfsgebouwen en -informatie. 5.2
Noodzakelijkheid en bovenmatigheid
U stelt zich verder op het standpunt dat – kort weergegeven – de controle van het BSN noodzakelijk is, omdat identificatie louter op basis van de (achter)naam van een medewerker onvoldoende zekerheid biedt vanwege verschrijvingen, spellingsproblemen, naamswijzigingen als gevolg van een huwelijk of doordat medewerkers dezelfde (achter)naam en voorletter hebben. Daarnaast biedt ook de geboortedatum niet altijd zekerheid, zoals in het geval van tweelingen of bij medewerkers die afkomstig zijn uit landen met een slecht bevolkingssysteem of vanwege verschrijvingen. Unieke nummers zijn volgens u daarom meer geschikt, omdat zij in geval van een vergelijking zoals die wordt uitgevoerd bij de aanvraag van de Rijkspas meer zekerheid bieden voor de betrouwbaarheid van de identificatie. Het CBP verwerpt ook dit verweer. De kans dat medewerkers van het ministerie van IenM dezelfde achternaam, voornaam, overige initialen, voorvoegsels, geboortedatum én geslacht hebben, zodat de identiteit niet meer deugdelijk kan worden gecontroleerd, is minimaal. Ingeval van verschrijvingen kan de identiteit van een medewerker bovendien alsnog worden gecontroleerd aan de hand van de andere persoonsgegevens. Overigens kunnen er ook verschrijvingen hebben plaatsgevonden ten aanzien van het BSN. 6.
La st o nder dw a ngso m
Het CBP is ingevolge artikel 65 Wbp bevoegd tot het opleggen van een last onder bestuursdwang ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Op grond van artikel 5:32 lid 1 Awb kan een bestuursorgaan dat bevoegd is een last onder bestuurdwang op te leggen in plaats daarvan aan de overtreder een last onder dwangsom opleggen. Gelet op het voorgaande legt het CBP u de volgende last onder dwangsom op: Het BSN moet in het IdM systeem zijn afgeschermd ingeval van controle van de identiteit van een (in- of externe) medewerker van het ministerie van IenM ten behoeve van de uitgifte van een Rij kspas. Voornoemde last houdt in dat het BSN niet zichtbaar mag zijn op het beeldscherm als de identiteit van een medewerker voor de uitgifte van een Rijkspas aan de hand van overige gegevens wordt gecontroleerd.
BLAD
8
De begunstigingstermijn waarbinnen u geen dwangsom verbeurt bedraagt acht weken. Deze termijn vangt aan één dag na dagtekening van dit besluit. Na de begunstigingstermijn verbeurt u een dwangsom van € 5.000,00 per week of gedeelte van een week zolang voornoemde last niet is uitgevoerd, met een maximum van € 60.000,00. Deze last onder dwangsom ziet uitsluitend op toekomstige gedragingen. Onder een gedraging wordt ook een nalaten verstaan. Bij het opleggen van de last onder dwangsom en het vaststellen van de hoogte van de dwangsom heeft het CBP de volgende ernst en omstandigheden van de overtreding in aanmerking genomen. Identificatienummers, waaronder het BSN, zijn bijzondere persoonsgegevens, zodat de onrechtmatige verwerking daarvan als zeer ernstig wordt aangemerkt. De overtreding vindt bovendien structureel plaats, namelijk bij iedere uitgifte van een Rijkspas aan een medewerker van het ministerie van IenM. Voorts bekleedt de (rijks)overheid een voorbeeldfunctie, zodat het van belang is dat zij zich aan de vigerende wet- en regelgeving houdt. Het CBP heeft echter tevens in aanmerking genomen dat het BSN op een identiteitsbewijs slechts in geringe tijd wordt vergeleken met het BSN in het IdM systeem. Gelet op deze ernst en omstandigheden acht het CBP het opleggen van voornoemde last onder dwangsom gerechtvaardigd, teneinde te bewerkstelligen dat de overtreding wordt beëindigd. 7.
Rechtsmiddel
Ingevolge de Awb kunt u binnen zes weken na verzending van dit besluit een bezwaarschrift tegen het besluit indienen bij het CBP. Voor de goede orde wijst het CBP u erop dat het indienen van een bezwaarschrift niet betekent dat de verplichting om de overtreding binnen de gestelde termijn te beëindigen wordt uitgesteld. Het indienen van een bezwaarschrift heeft in beginsel geen schorsende werking. Hoogachtend, Het College bescherming persoonsgegevens,
Mr. J. Kohnstamm Voorzitter
BLAD
9