"De recent ingediende nota over online identiteit en regie is een prima initiatief, maar het helpt primair niet om de problemen bij het gebruik van basisgegevens door de overheid op te lossen." Dat zegt Dirk Schravendeel. Hij ziet liever dat de term 'regie op gegevens' alleen gebruikt wordt in situaties waarin burgers zelf gegevens verstrekken en zelf ook iets te kiezen hebben.
Beeld: Flickr / Thomas van de Weerd (CC BY 2.0)
De Tweede-Kamerleden Middendorp en Verhoeven schreven een initiatiefnota over online identiteit en regie op persoonsgegevens. [1] Op iBestuur gaven Henk Bos, Marjan Schnetz en René Veldwijk hun visie op de nota. Zowel in de nota als in het artikel wordt de kern van het probleem gezocht bij de opslag van persoonsgegevens. Die gebeurt dubbel en gefragmenteerd (de nota). ´Er zijn kopieën van dezelfde persoonsdata bij allerlei organisaties die niet gegarandeerd identiek zijn. De burger weet niet bij welke organisaties persoonsgegevens vastliggen en hoe ze worden gebruikt. Wanneer gegevens niet kloppen leidt de burger schade´ (Bos c.s.). Het kan soms jaren doorgaan voordat fouten ontdekt worden, waardoor mensen soms in nare en uitzichtloze situaties belanden.
Hier dreigen verkeerde verwachtingen te ontstaan. De oorzaak van de problemen is niet dat er fouten bij het registreren van gegevens worden gemaakt en regie op gegevens is hooguit een deeltje van de oplossing. Dat levert het risico op dat er een vlucht vooruit gemaakt wordt bij het registreren van gegevens zonder dat de echte problemen worden aangepakt. Daarom zoom ik in dit artikel eerst in op voorbeelden van problemen en hun oorzaken, om vervolgens suggesties voor oplossingen te kunnen doen.
Problemen
De problemen betreffen vooral het gebruik van basisregistraties, in het bijzonder de BRP (Basisregistratie Personen) [2], door de Nederlandse overheid. Die problemen zijn goed gedocumenteerd. Recent vroeg de Raad van State er in een ongevraagd advies aandacht voor. [3] De problemen worden uitgebreid beschreven en geanalyseerd in ´De digitale kooi´ van Arjan Widlak en Rik Peeters [4] en ook de Nationale ombudsman [5], de Ombudsman van Rotterdam [6] en de Algemene Rekenkamer [7] brachten er rapporten over uit. In ´De digitale kooi´ worden drie casus uitgebreid beschreven, twee daarvan worden hier gebruikt om te beschrijven wat de oorzaak van de problemen is en wat regie op gegevens daarvan kan oplossen.
Het eerste voorbeeld: Ester
Ester, een ZZP’er die veel in het buitenland verblijft, wordt door de gemeente uitgeschreven uit de BRP. Ze verblijft te weinig in Nederland om aan het ingezetenen criterium te voldoen en heeft zelf ook niet opgegeven dat ze is geëmigreerd (dat is ze namelijk niet). In de systematiek van de BRP betekent dit dat ze is ´vertrokken onbekend waarheen (VOW)´. Dat heeft grote gevolgen: ze kan haar paspoort niet meer verlengen, ze krijgt bericht van de Kamer van Koophandel dat haar bedrijf niet meer bestaat en haar zorgverzekering wordt met terugwerkende kracht beëindigd. In arren moede vestigt ze zich in het buitenland en krijgt vervolgens bericht van de Belastingdienst dat ze wel in Nederland belasting moet betalen.
Hier is op geen enkele manier sprake van een registratieprobleem, maar van beleidskwesties. Ester voldeed inderdaad niet aan het ingezetenencriterium. Daarvoor was ze te weinig in Nederland. De gemeente heeft dat uitgebreid onderzocht en advies gevraagd bij de beroepsvereniging van ambtenaren burgerzaken, de NVVB. Honderd jaar geleden was het aantal nachten dat iemand slaapt op een bepaald adres een prima criterium, maar het past niet meer bij de maatschappelijke werkelijkheid van nu. Dat heeft de gemeente ook wel onderkend, maar binnen het bestaande wettelijk kader kon ze niet anders dan Ester uitschrijven.
De gevolgen die dat voor Ester heeft zijn opnieuw een kwestie van beleid. Het was niet vanaf de invoering van de GBA (Gemeentelijke Basisadministratie Personen) zo dat VOW-ers geen paspoort konden krijgen. Op zeker moment is de afweging gemaakt dat mensen die hun plicht om hun adres bij de gemeente te melden niet nakomen pas van de diensten van de overheid, in casu het verstrekken van een paspoort, gebruik kunnen maken nadat ze (ze zijn immers al bij de gemeente, kleine moeite) hun adres bekend hebben gemaakt. En overheidsdienstverlening één op één te koppelen aan inschrijving in de BRP is evenzeer een beleidskeuze. De kern van het probleem zit niet in het registreren van gegevens, maar in het beleid over het gebruik van basisgegevens.
Het tweede voorbeeld: Saskia
De auto van Saskia wordt gestolen en ze doet dezelfde dag nog aangifte bij de politie. Buitengewoon vervelend om zo je auto kwijt te raken. Na vier maanden krijgt ze een brief dat ze de auto moet aanbieden voor de APK-keuring. Dat lukt natuurlijk niet. Toch moet het, want ze staat bij de RDW als houder van het voertuig geregistreerd. En wegenbelasting moet ze ook betalen, plus alle boetes omdat ze niet aan haar verplichtingen rond de APK-keuring voldoet. Na tien jaar lukt het haar om de auto van haar naam te krijgen. Bij onderzoek dat daarna plaatsvindt blijkt dat de politie de auto na een dag heeft teruggevonden en dat wel gemeld heeft aan de RDW en de Belastingdienst, maar niet aan Saskia. Na een maand is de auto door de politie verkocht. Ze heeft tien jaar onterecht boetes betaald, maar de systemen zijn helaas niet zo ingericht dat die gevolgen teruggedraaid kunnen worden: de boetegegevens zijn allang gewist.
In deze casus worden procesfouten gemaakt die hun weerslag hebben in de registraties. De politie vindt de auto terug, maar geeft dat niet door aan de eigenaar. De RDW wijzigt gegevens in de basisregistratie (de auto wordt weer op de naam van Saskia gezet), een handeling die rechtsgevolgen voor haar heeft zonder dat daarvan mededeling wordt gedaan. Wanneer Saskia bij de RDW bezwaar maakt, wordt niet uitgezocht hoe het proces is verlopen.
Wat draagt regie op gegevens bij aan de oplossing?
Had regie op gegevens kunnen voorkomen dat de problemen optreden of zouden die sneller opgelost zijn geweest? Het programma Regie op Gegevens geeft op haar website een definitie die aansluit bij de rechten van betrokkenen uit de AVG: inzagerecht, correctierecht, recht op beperken van de verwerking en recht om vergeten te worden. Daar wordt aan toegevoegd dat mensen zelf ook iets met hun gegevens kunnen doen: ‘Je kunt jouw gegevens overdragen aan een andere partij, of een bewering die je doet laten valideren’. [8]
De kern van het probleem zit niet in het registreren van gegevens, maar in het beleid over het gebruik van basisgegevens
Draagt dit bij aan een oplossing van de problemen? Bij de uitschrijving uit de BRP van Ester niet. Er is geen sprake van registratiefouten of fouten bij de overdracht van gegevens en onbekendheid met het gebruik ervan speelt geen rol. Bij de gestolen auto van Saskia hangt het van de invulling af. In juridische zin had Saskia al regie op haar gegevens. De rechten waarvan ze gebruik gemaakt zou hebben stonden ook al in de Wet bescherming persoonsgegevens (Wbp) die in 2001 (toen de diefstal plaatsvond) van kracht was. Ze heeft geprobeerd gegevens die in haar ogen onjuist waren te corrigeren, maar liep op tegen het wettelijke kader dat de RDW hanteert bij het beoordelen van correctieverzoeken. Uiteindelijk bepaalt de RDW wat er in de registratie staat, niet Saskia. Aan deze juridische regie op gegevens, die strikt genomen aan de definitie van het programma voldoet, heeft ze niks gehad.
Het had wel geholpen wanneer de politie en de RDW een pro-actieve houding hadden aangenomen en bijvoorbeeld in MijnOverheid inzichtelijk hadden gemaakt welke gegevens geregistreerd stonden. Als de politie zo de status van haar aangifte zichtbaar had gemaakt, had ze kunnen zien dat de auto weer was teruggevonden. Wanneer de RDW ook de statusveranderingen in de voertuigregistratie transparant gemaakt had, had ze ook kunnen nagaan dat de auto na een dag weer op haar naam was gezet. Was de verstrekking via haar eigen datakluis gelopen, dan had ze eveneens gezien dat de auto was teruggevonden. Van alle rechten zou ze er dan twee hebben gebruikt: transparantie en inzage in haar gegevens langs digitale weg. Dat is de conclusie van dit voorbeeld: digitaal ondersteunde transparantie stelt burgers in staat de overheid aan te spreken wanneer die procesfouten of registratiefouten maakt.
Regie op je BRP-gegevens?
Gegevens worden niet zomaar geregistreerd in de BRP. Die worden bijna allemaal ontleend aan brondocumenten. Een geboorteakte van de burgerlijke stand is een aanleiding om iemand in te schrijven. De namen van het kind, de geboortedatum en wie de ouders zijn wordt aan die akte ontleend. Hetzelfde geldt voor gegevens over huwelijk of geregistreerd partnerschap, ook die komen uit een akte. Door de gemeente wordt volgens de daarvoor geldende wettelijke regels een BSN (Burgerservicenummer) en een A-nummer toegewezen. Het woonadres wordt niet ontleend aan een akte: dat geeft iemand zelf op.
Wat betekent regie op gegevens bij de BRP concreet? De gegevens zijn digitaal toegankelijk: ze staan op MijnOverheid. Met het correctierecht kun je niet zoveel. Dat ondervond Emile Ratelband recent. Hij voelt zich veel jonger dan de registratie aangeeft en wilde gebruikmaken van zijn correctierecht: hij is geen zestig maar veertig. De rechter legde hem uit dat het zo niet werkt. Er is wettelijk bepaald hoe wordt vastgesteld hoe oud je bent. Dat geldt ook voor de verstrekking van gegevens. Na een strenge toets op hun wetgeving krijgen afnemers de BRP-gegevens verstrekt die ze voor de uitvoering van hun wettelijke taak nodig hebben. Die wettelijke plicht tot verstrekken zal blijven. De verstrekking aan de Belastingdienst tegenhouden of de verwerking beperken kan aantrekkelijk zijn om een lagere belastingaanslag te bewerkstellingen, maar stuit opnieuw op de wettelijke kaders. De boodschap is weer: de overheid bepaalt wat er in een registratie staat en niet de burger. Correctierecht helpt in zo´n situatie niet.
Dan het adres. Het woonadres wordt niet ontleend aan een brondocument, dat geeft een burger zelf door. Het criterium dat de burger daarbij moet gebruiken (simpel gezegd: waar slaap ik gewoonlijk) staat in de wet. De meeste problemen rond het gebruik van adressen hebben weinig te maken met de slaapplaats van mensen en zijn ook niet het gevolg van registratiefouten. Veel belangrijker is dat een aantal afnemers de adresgegevens uit de BRP in hun eigen wettelijke context gebruikt voor iets anders: het afleiden van de economische eenheid, het huishouden, waar iemand deel van uitmaakt.
Wanneer er meerdere mensen op hetzelfde adres geregistreerd staan en er is geen huurcontract, dan wordt aangenomen dat ze een gezamenlijke huishouding voeren. Dat is van belang voor tal van financiële regelingen in de sfeer van belastingen en toeslagen die de overheid heeft en waar met de financiële draagkracht van het huishouden rekening wordt gehouden. Ook bij dit gegeven, dat iemand zelf opgeeft, is het geen kwestie van zelf een onjuistheid corrigeren wanneer er gebruiksproblemen zijn.
Oplossen van de problemen
Het Stelsel van Basisregistraties is begin deze eeuw ontworpen. Het is inmiddels op grote schaal geïmplementeerd en het beleid over het gebruik ervan is ook nog van recente datum. Bovendien is het onderdeel van de digitalisering van de dienstverlening die ook nieuw is. Dat er problemen optreden is op zich niet vreemd. Wel vreemd is dat er, ondanks het rapport van de Algemene Rekenkamer uit 2014 en de alarmsignalen van de verschillende ombudsmannen, zo weinig gebeurt. Beleid kun je evalueren en aanpassen, waarom gebeurt dat niet?
Aan de antwoorden uit de geciteerde rapporten wil ik er één toevoegen: omdat er geen beheerorganisatie voor het stelsel is en dientengevolge systematisch weinig aandacht is voor de effecten in de praktijk. Aan het stelsel is alleen door tijdelijke programma´s gewerkt en dan is innovatie natuurlijk veel interessanter dan het beheer van het bestaande. Ook de benodigde kennis ontbreekt. Ooit was er een programma-onderdeel dat specifiek over de stelselsamenhang ging. De toenmalige programmamanager vond het leuk om dat onderdeel STOUT (STelsel Oplossings- en UitvoeringsTraject) te noemen. Dat is eerst gehalveerd en een jaar of vijf geleden helemaal wegbezuinigd. Zo ontbreken de politieke prioriteit en de organisatorische context om aan de oplossing van de problemen te werken.
Het bovenstaande gaat nauwelijks in op de voorstellen uit de initiatiefnota van de Kamerleden, wat het misverstand zou kunnen wekken dat de nota de plank misslaat en niet van belang zou zijn. Dat is niet zo. Het is mijns inziens een buitengewoon belangrijk initiatief, maar niet primair om de problemen bij het gebruik van basisgegevens door de overheid op te lossen. Wel voor burgers die in de informatiemaatschappij, waar de publieke en private sfeer één integraal geheel vormen, hun zaken moeten regelen. Het zou mijns inzien helpen om de term regie op gegevens te reserveren voor dergelijke situaties waarin burgers zelf gegevens verstrekken en daarbij daadwerkelijk wat te kiezen hebben. Binnen de context van dit artikel gaat het echter te ver om daar uitgebreider op in te gaan.
Dirk Schravendeel is principal adviseur bij PBLQ. Hij schreef dit artikel op persoonlijke titel.
[1] Initiatiefnota van de leden Middendorp en Verhoeven: online identiteit en regie op persoonsgegevens. TK, vergaderjaar 2017-2018, 34993, nr 2.
[2] De Basisregistratie Personen (BRP) is een samenvoeging van de Gemeentelijke Basisadministratie Personen (GBA) en de Registratie Niet-Ingezetenen (RNI).
[3] Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen. Raad van State, augustus 2018. Vindplaats: Kamerstukken II 2017/18, 26643, nr. 557.
[4] De digitale kooi. (onbehoorlijk) bestuur door informatiearchitectuur. Den Haag 2018, 148 pp.
[5] Onder andere in ´Een mens leeft, een systeem niet. Onderzoek naar (problemen rond) inschrijvingen in de basisregistratie personen (BRP). Den Haag, Nationale ombudsman 2016.
[6] Gemeentelijke ombudsman Rotterdam. Opsporing verzocht! Een onderzoek naar de gang van zaken voor, tijdens en na een adresonderzoek in de uitschrijving uit de GBA. Rotterdam, gemeentelijke ombudsman 2014.
[7] Zie de rekenkamerrapporten Aanpak van ICT door het Rijk 2012, Kamerstukken II 2012-2013, 33584, 2 en Basisregistraties vanuit het perspectief van de burger, fraudebestrijding en governance, Den Haag 2014.
[8] Als ik ‘regie’ heb over mijn gegevens, wat kan ik dan?
En ik wil hier aan toevoegen dat het organiseren van identiteit en regie op persoonsgegevens niet alleen voor de publieke sector relevant is. Online identificatie buiten het BSN domein is dagelijks nodig. De middelen hiervoor ontbreken nog steeds. Identiteitsfraude is een reëel risico en door het ontbreken van adequate oplossingen deels de verantwoordelijkheid van het Rijk.
Tot hoever reikt de zorgplicht van overheidsinstanties? In bovenstaande voorbeelden lijkt de zorg niet verder te reiken dan het plompverloren uitvoeren van koud beleid – zonder dat door de desbetreffende overheidsinstantie gekeken (gezorgd) wordt voor een warm overzicht van mogelijke consequenties voor degene die het betreft. Wanneer allerhande beleid onderling afhankelijk raakt, dienen beleidsmakers hun beleid te voorzien van een bijsluiter zodat eventuele bijwerkingen tijdig helder zijn.
Dag Dirk,
Dank voor je heldere en genuanceerde artikel! Regie op gegevens wordt dezer dagen te pas en vooral te onpas gebruikt. Dat is niet gek, want het bekt lekker en sluit mooi aan op andere concepten rond de digitale overheid, zoals ‘de klant centraal’ en ‘recht op elektronisch zakendoen’. Het lijkt me echter belangrijk dat we onderhand eens eenduidig inhoud en vorm gaan geven aan dit soort concepten, zodat de digitale overheid niet verwordt tot een digitaal doolhof voor burgers en overheidsorganisaties zelf… Een uitdaging en opdracht voor BZK en EZ om hier op te sturen, lijkt mij. Met alleen regie zijn we er niet.
Uitstekend artikel, maar wel geschreven vanuit alleen beleid, niet vanuit data. Dit is nl een fundamenteel dataverwerkingsprobleem dat bij de overheid nu het duidelijkst tot uitdrukking komt. Het scheiden van “data machten” net zoals onze bestuurlijke machten is de enige substantiële oplossing. Onze visie op data bestuur moet minstens op hetzelfde niveau zijn als ons landsbestuur. Dus een (grond-)wettelijke basis voor een trias-data-politica zou een fundamentele oplossing betekenen. Het scheiden van data/informatie “machten”(beherende/registerende, gebruikende/uitvoerende en controlerende) is extreem wezenlijk voor een informatiemaatschappij als de onze. Dit is volstrekt NIET triviaal en gaat ons nog veel kosten. Het is te hopen dat dit geregeld is voordat onze informatiemaatschappij onze echte maatschappij ten gronde kan/gaat richten (en ja dat kan waarschijnlijk nu al)