De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) komt met een nieuwe visie op het Stelsel van Basisregistraties. Het huidige stelsel voldoet op delen niet (meer) goed. Dat constateerden ook onder meer de Algemene Rekenkamer en de Raad van State. Wat is er mis met het huidige ontwerp en hoe kan het anders? (longread)
Beeld: Karin Henseler / Pixabay
Het bestaande stelsel is twintig jaar geleden bedacht in het programma Stroomlijning Basisgegevens. In deze bijdrage komen twee vragen aan de orde:
• In hoeverre worden de problemen die nu spelen veroorzaakt worden door het oude ontwerp (dan moet dat worden aangepast) of kennen ze een andere oorzaak (dan helpt sleutelen aan het ontwerp niet).
• De omstandigheden binnen de overheid en in de samenleving zijn inmiddels grondig veranderd. In hoeverre is het oude ontwerp nog relevante input voor de nieuwe visie?
Om op deze vragen in te kunnen gaan wordt eerst het oude ontwerp van het stelsel geschetst.
Het programma Stroomlijning Basisgegevens startte in het jaar 2000 en werd in de tweede helft van 2002 afgerond. De basisfilosofie werd meteen bij de start uitgewerkt in het rapport ‘Meer doen met minder gegevens’.1 Tijdens het vervolg van het programma is deze eerste schets verder uitgewerkt en concreet gemaakt door te benoemen welke basisregistraties tot het stelsel behoren, het mechanisme waarmee ze tot een samenhangend stelsel worden, de eisen waaraan een basisregistratie moet voldoen, et cetera.
De opgave van het programma was: zorgen voor samenhang in de gegevenshuishouding van de overheid. Dat was nodig om te voorkomen dat de overheid steeds opnieuw naar de bekende weg vraagt, zich voor de gek laat houden, meer gegevens vraagt dan nodig is en om de dienstverlening van de overheid te verbeteren. De verkokering van de overheid werd als een belangrijk probleem gezien, dat met voorrang moest worden opgelost. Het uitgangspunt dat de overheid niet naar de bekende weg vraagt, werd in sommige sectoren omgezet in een recht om gegevens die de overheid al heeft, niet nogmaals te hoeven verstrekken.
Het basisidee was in wezen eenvoudig. Om als overheidsorganisaties samen te werken en elkaars gegevens te gebruiken, moeten de objecten waar de gegevens betrekking op hebben gestandaardiseerd en eenduidig geïdentificeerd worden. Dat is de identificerende functie van een basisregistratie: zorgen dat vaststaat dat de gegevens op het zelfde en op de zelfde betrekking hebben. Daarnaast hebben basisregistraties een informerende functie over kenmerken van de objecten die door de gehele overheid gebruikt worden.
Het zelfde duidt het soort object aan. Of iets een mens is of niet, is niet zo moeilijk te bepalen, maar wat wordt verstaan onder een gebouw of een bedrijf? En welke bedrijven/gebouwen zijn er in Nederland die aan de vastgestelde objectdefinitie voldoen? Nederland kent momenteel twaalf basisregistraties, waarvan er tien tot het stelsel gerekend worden. Iedere basisregistratie heeft een eigen object van registratie. Wanneer organisaties die gegevens uitwisselen zich baseren op de objecten uit de basisregistraties, is om te beginnen zeker dat ze het over hetzelfde hebben.
De zelfde duidt aan over welk exemplaar van een bepaalde soort het gaat. Er zijn vele personen en er zijn er vele die Jan Jansen heten. Over welke Jan wisselen we nu gegevens uit? Om daar zekerheid over te verschaffen voorziet een basisregistratie ieder object van een unieke identificator: een naam en/of een nummer. Bij de stand van de databasetechniek van toentertijd is de eis gesteld dat ieder object ten minste een uniek nummer diende te hebben. Om de toen bestaande problematiek rond persoonsnummers op te lossen, is het burgerservicenummer (BSN) geïntroduceerd. Wanneer alle overheidsorganisaties de objecten met de unieke nummers uit een basisregistratie overnemen, is de randvoorwaarde dat uitwisseling van gegevens over hetzelfde en over dezelfde moet gaan, aanwezig.
De informerende functie. Daarnaast was de constatering dat er bij iedere basisregistratie een aantal kenmerken van de geregistreerde objecten zijn die in overheidsland steeds opnieuw gebruikt worden. Wanneer die eenduidig gedefinieerd zijn en met een hoge kwaliteit geregistreerd kunnen worden, heeft het zin om deze gegevens ook in de basisregistratie op te nemen. In de meeste basisregistraties betreft dat maar een beperkt setje aan gegevens. Het informeren over de kenmerken van de objecten is de tweede functie van basisregistraties.
Van een stel basisregistraties naar een stelsel. Een stel losse basisregistraties vormen nog geen samenhangend geheel. Om daartoe te komen is een extra afspraak gemaakt: basisregistraties nemen (waar mogelijk) gegevens van elkaar over. Concreet: een bedrijf staat in de Basisregistratie Handelsregister (HR). De naam van de eigenaar wordt ontleend aan de Basisregistratie Personen (BRP), het pand waar het bedrijf gevestigd is komt uit de Basisregistratie Adressen en Gebouwen (BAG). Door de basisregistraties zo met elkaar te verbinden worden indirect vrijwel alle registraties van de overheid met elkaar verbonden. Dit conceptuele idee werd in 2005 geïllustreerd met de onderstaande figuur.
Wanneer een restaurant een vergunning aanvraagt kunnen alle reeds bekende gegevens uit bestaande registraties verzameld en opnieuw gebruikt worden. Als een eerdere vergunning is afgegeven aan het bedrijf, vind je die op bedrijf. Wanneer gegevens over het gebouw nodig zijn, haal je die uit de BAG of in een andere registratie die op BAG adresnummer of gebouwnummer raadpleegbaar is. Wanneer relevant is of een werknemer (een persoon in dienst van het bedrijf) over een bepaald diploma beschikt en diploma´s zijn geregistreerd in een diplomaregister, dan kan het diploma met behulp van het BSN van de persoon gevonden worden. De overheid kan de gegevens vooraf beschikbaar stellen, zodat de restauranthouder alleen gegevens die écht nog niet bekend zijn, hoeft aan te leveren. Door de basisregistraties te koppelen wordt de hele gegevenshuishouding van de overheid een samenhangend geheel.
Praktijk
Van ontwerp naar realisatie. Het is niet bij een ontwerp gebleven, het stelsel is ook daadwerkelijk gerealiseerd. De resultaten van het programma zijn in maart 2003 aan de Tweede Kamer gerapporteerd2. Daarna heeft een aantal bestaande registraties de status van basisregistratie gekregen. Er zijn wetten aangepast en koppelingen tussen registraties gelegd. In het ontwerp van het stelsel namen basisregistraties voor gebouwen en adressen een belangrijke plaats in, maar die waren er toen nog niet. De Basisregistratie Adressen en Gebouwen (BAG) is er naar aanleiding van het programma gekomen. Ook de aanbeveling om een burgerservicenummer in te voeren is opgevolgd, de Wet algemene bepalingen burgerservicenummer trad in 2007 in werking.
Het gestelde doel is deels bereikt. Er is onmiskenbaar meer samenhang in de gegevenshuishouding van de overheid gekomen. Ten tijde van het programma werd gewerkt aan de elektronische overheid, aan de digitalisering van de bestaande processen. Tien jaar later constateerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in het rapport ‘iOverheid’ dat er op grote schaal informatie gekoppeld en uitgewisseld werd en dat daardoor het karakter van de overheid veranderd was. ´De facto en bijna ongemerkt heeft zich een praktijk ontwikkeld waarin samenhangende informatiestromen het karakter van de overheid domineren´3. Daar heeft het Stelsel van Basisregistraties in belangrijke mate aan bijgedragen en dat heeft veel opgeleverd voor de effectiviteit en efficiency van het overheidshandelen. De doelstelling om alle registraties met elkaar te verbinden, zoals die is weergegeven in het bovenstaande plaatje, is maar deels gerealiseerd. Het idee dat je op een object op een kaart klikt en dan achterliggende informatie vindt klopt op zich, maar de Omgevingswet laat zien dat de realisatie veel voeten in de aarde heeft.
Stevige kritiek. Er is ook stevige kritiek. Die is vooral gericht op de gevolgen die het gebruik van het stelsel heeft voor burgers en bedrijven. Rapporten van diverse ombudsmannen en het boek ´De digitale kooi`4 geven schrijnende voorbeelden van burgers die op een onaanvaardbare manier in de knel komen. De Algemene Rekenkamer concludeert in een recent rapport5 dat het schort aan een ´mensgerichte omgang´ met de gegevens uit de basisregistraties. Wat valt daar uit het ontwerp, dat begin deze eeuw is gemaakt, over te zeggen?
Voor de toekomst is het Stelsel van Basisregistraties onverminderd relevant, maar komt het aan op een passend kader voor vertrouwen
Om te beginnen de constatering dat het onderwerp twintig jaar geleden nog nauwelijks speelde. Het interne functioneren van de overheid stond centraal. Er zijn eisen aan de basisregistraties gesteld die daarmee samenhangen en die nu redelijk obligaat overkomen: een minister moet verantwoordelijk zijn, er moet een wet zijn, de structurele financiering moet geborgd zijn, et cetera. De eisen waren erop gericht om de basisregistraties, toen een nieuw fenomeen, een stevige positie te geven binnen de overheid, met de status die nodig was om het beoogde effect te bereiken. Eisen aan transparantie zijn niet gesteld. Daar is wel over gesproken, maar het werd overbodig gevonden omdat zorgvuldig met de gegevens omgaan en transparant zijn al geregeld was. Er waren immers de Algemene wet bestuursrecht (Awb) en de Wet persoonsregistraties (Wpr), die in 2001 werd vervangen door de Wet bescherming persoonsgegevens (Wbp), waarin het recht op inzage en correctie geregeld is.
Randvoorwaarden voor zorgvuldig gebruik zijn wel gesteld bij het voorstel om het BSN te introduceren6. Daarin worden ´vertrouwensfuncties´ voorgesteld die autorisatie, authenticatie en integriteit regelen. Ook is (techniekonafhankelijk geformuleerd) afgesproken dat er een voorziening komt die de transparantie van het gegevensgebruik, met behulp van persoonsnummers, door de overheid vergroot. Het idee was een website waarop de gegevensstromen tussen de overheidsorganisaties in beeld zouden worden gebracht. De bedoelde website is er inderdaad gekomen, maar de medewerking aan de bijhouding was zo beperkt dat die nooit echt heeft gefunctioneerd en is vervangen door algemene informatie over de organisaties die gegevens uit de BRP gebruiken.
Met de ogen en ervaringen van nu is wat mij betreft duidelijk dat de transparantie volstrekt onvoldoende geregeld is. Een recht toekennen zonder adequate faciliteiten te bieden om dat recht uit te oefenen, heeft in de praktijk weinig effect. Een burger kon per brief een inzageverzoek doen en moest dan binnen een maand antwoord krijgen. Dat past niet bij het gebruik dat door de nu bestaande digitale overheid van basisgegevens gemaakt wordt. Voor zover een brief toen al een adequate voorziening was (er waren overigens geen klachten over), is dat vandaag zeker niet meer zo. Alle reden om aanvullende maatregelen te nemen en de eisen aan het gebruik van basisgegevens op dit punt aan te scherpen.
Verplicht gebruik oorzaak van problemen? Ontstaan de huidige problemen (mede) door het verplicht gebruik van basisgegevens? Een aanzienlijk deel van de problemen ontstaat doordat wordt vastgehouden aan het basisgegeven en het onvoldoende mogelijk blijkt te zijn om een gegeven te corrigeren of er vanaf te wijken. Mijn stelling is dat dit niet direct voortvloeit uit het ontwerp, maar uit de interpretatie van de gebruiksverplichting. Dat het gebruik van basisregistraties verplicht zou moeten zijn, vloeide destijds vooral voort uit de identificerende functie ervan. Daarvoor moesten organisaties de objecten van registratie aan een basisregistraties gaan ontlenen. Dat vergt een vervelend migratietraject, waar organisaties op puur vrijwillige basis wellicht niet zo snel prioriteit aan zullen geven, was de inschatting. Dat zou daarom verplicht moeten zijn.
Over het gebruik van kenmerken, de informerende functie, was het standpunt genuanceerd. De uitkomst van een juridische studie was dat basisgegevens met betrekking tot kenmerken door de afnemers zonder nader onderzoek gebruikt mogen (niet: moeten) worden. Als een basisgegeven geen enkele status heeft, dan heeft een afnemer er weinig aan, zo was de gedachte. Maar er moet nadrukkelijk ook ruimte zijn om het gegeven in de gebruikerscontext te interpreteren en om zo nodig af te wijken.
De vrijheid om af te wijken is vervolgens ingeperkt om aan een andere doelstelling te voldoen: signalen uit de praktijk terugmelden aan de basisregistratie, waardoor gezamenlijk aan de kwaliteit van de gegevens wordt gewerkt. Dat idee heeft de jaren door veel steun gekregen, wat ertoe geleid heeft dat de vrijheid om af te wijken van een basisgegeven werd geclausuleerd: het is toegestaan, mits een terugmelding plaatsvindt. En vanuit het adagium ´de overheid vraagt niet naar de bekende weg´ is daar in een aantal gevallen het recht op eenmalige gegevensverstrekking bijgekomen.
De gebruiksverplichting had in het ontwerp meer te maken met de identificerende, dan met de informerende functie van de basisregistraties. Dat er ruimte moet zijn om rekening te houden met de context waarin gegevens gebruikt worden, is in de loop van de jaren door tal van partijen (waaronder de WRR en de Algemene Rekenkamer) benadrukt en is in mijn beleving onomstreden. Het lijkt verstandig om nog eens goed te overwegen wat de verplichting, gerelateerd aan het doel dat erdoor bereikt moet worden, precies zou moeten inhouden.
Toekomstvisie
De wereld is snel veranderd. Van de elektronische overheid in 2000 via de informatie-overheid uit 2010 naar de informatiesamenleving, waar de beleidsmatige aandacht nu op gericht wordt. In de informatiesamenleving vormen het publieke en het private domein één symbiotisch geheel. Dat sluit goed aan bij de leefwereld van burgers. Die burgers hebben bij concrete life events, zoals het sluiten van een huwelijk of het kopen van een huis, zowel met publieke als private partijen te maken. Maar het is een wezenlijk andere context dan het sterk wettelijk gereguleerde hergebruik van gegevens binnen de overheid. Hieronder wordt het belang van basisregistraties benoemd voor twee ontwikkelingen: data bij de bron laten en het delen van gewaarmerkte gegevens.
Data bij de bron. Om als overheid in de informatiesamenleving goed te kunnen functioneren wordt het principe dat data bij de bron moeten blijven steeds vaker als belangrijk uitgangspunt genomen: de Common Ground ontwikkeling in het gemeentelijk domein is daar een mooi voorbeeld van. De huidige werkwijze, waarbij gegevens worden verstrekt aan een gebruiker die ze opslaat en ze eventueel ook weer doorverstrekt, loopt tegen haar grenzen aan. Het blijkt lastig om de gegevens overal juist en actueel te houden, burgers in de gelegenheid te stellen gegevens te laten corrigeren en fouten die doorwerken in de keten te herstellen. Voor het Stelsel van Basisregistraties is deze ontwikkeling van belang omdat die bijdraagt aan een langetermijnperspectief voor de oplossing van problemen die nu spelen bij het gebruik van basisgegevens. Omgekeerd veronderstelt gegevens ontlenen aan de bron volstrekte helderheid over het gegeven dat het betreft en wordt het extra belangrijk dat het over hetzelfde en dezelfde gaat. Zowel de identificerende als de informerende functie van basisregistraties, blijven relevant.
Delen van gewaarmerkte gegevens. Hergebruik van gegevens is binnen de overheid staand beleid en het Stelsel van Basisregistraties heeft daar, zoals eerder geschetst, veel aan bijgedragen. Hergebruik van gegevens begint zich nu ook in de informatiemaatschappij te ontwikkelen. Gegevens uit de basisregistraties, maar bijvoorbeeld ook diplomagegevens kunnen aan burgers ter beschikking worden gesteld om ze zelf in het kader van ´life events´ aan private of (semi) publieke partijen ter beschikking te stellen. Ook private gegevens, zoals een hypotheekbedrag of de hoogte van iemands schuld bij een privaat bedrijf, kunnen als gewaarmerkte gegevens een rol spelen. Het aantal initiatieven groeit snel: MedMij in de zorg, EduMij in het onderwijs, de Blauwe Knop, Haal Centraal en de IRMA-app van de Privacy by design foundation, zijn voorbeelden.
Het delen van gewaarmerkte gegevens is een internationale ontwikkeling die in de internetwereld verifiable credentials wordt genoemd. Het World Wide Web Consortium (W3C) heeft daar recent een standaard voor vastgesteld. Standaarden die in het verleden door W3C zijn vastgesteld (denk aan TCP/IP, HTTP en SSL) zijn belangrijke peilers onder het internet, zoals we dat nu kennen. Als ervaringen in het verleden enige voorspellende betekenis hebben voor de toekomst kunnen de technische voorzieningen die nodig zijn om gewaarmerkte gegevens te delen, wel eens snel beschikbaar komen als standaard internet functionaliteit.
Dat het technisch kan is mooi, maar het delen van gegevens in de informatiemaatschappij gaat niet vanzelf goed. De digitale wereld is een onveilige wereld waar criminelen actief zijn en waar ook op grote schaal geld verdiend wordt aan hergebruik van onze gegevens op internet. In een zeer gedetailleerde en uitgebreid gedocumenteerde (een notenapparaat van 125 pagina´s!) laat Shoshana Zuboff zien hoe dat werkt. Burgers kunnen niet overzien wat er gebeurt en kunnen zich als individuen ook onvoldoende weren. In de fysieke wereld biedt de overheid een ´kader voor vertrouwen´. Een dergelijk kader zou er ook voor de digitale wereld moeten komen.
We spreken in de fysieke wereld over de ´vrije markt´, maar daar gelden wel degelijk regels (bijvoorbeeld het burgerlijk wetboek), bestaan procedures als de regels overtreden worden (de gang naar de rechter) en is toezicht en handhaving (door de Autoriteit Consument en Markt) geregeld. Daardoor is de markt in voldoende mate een vertrouwde omgeving, waar consumenten zaken kunnen en durven doen. Omdat de digitale wereld anders werkt dan de fysieke zijn daar andere regels, procedures en toezichtregimes nodig. Als het om het gebruik van basisregistraties in de informatiemaatschappij gaat is het niet zozeer de vraag of de identificerende en de informerende functie nog relevant zijn, dat zijn ze zeker. Mijns inziens is de grote uitdaging: een kader tot stand brengen dat de digitale wereld in voldoende mate tot een vertrouwde wereld maakt. Het goede nieuws is dat dit al is onderkend: in een brief7 over regie op gegevens die (toenmalig) staatssecretaris Knops vorige zomer naar de Tweede Kamer stuurde, staat een behoorlijke aanzet.
Herbezinning
In het begin van deze bijdrage zijn twee vragen opgeworpen: is het ontwerp van het Stelsel van Basisregistraties (mede) de oorzaak van de problemen die nu spelen? En is het nog relevant voor de toekomst? De uitkomst van mijn betoog is dat het ontwerp gericht was op intern gebruik door de overheid en dat transparantie onvoldoende praktische handen en voeten heeft gekregen. De interpretatie van de voorschriften over het verplicht gebruik is mijns inziens één van de factoren die tot de huidige gebruiksproblemen leidt. Daar is herbezinning nodig. Voor de toekomst is het stelsel onverminderd relevant, maar komt het aan op een passend kader voor vertrouwen.
Dirk Schravendeel is principal adviseur bij PBLQ. Hij schreef dit artikel op persoonlijke titel.
1 ‘Meer doen met minder gegevens’. Programma Stroomlijning Basisgegevens, 2001.
2 Tweede kamer dossier 26387, no 18. Brief over de afronding van het programma Stroomlijning Basisgegevens.
3 WRR, rapport iOverheid, pag 13.
4 Arjan Widlak en Rik Peeters, De digitale kooi. Den Haag 2018.
5 Grip op gegevens: het stelsel van basisregistraties voor burgers en bedrijven. Algemene Rekenkamer, juni 2019.
6 Programma Stroomlijning Basisgegevens, Advies van de Tafel ´Persoonsnummerbeleid in het kader van identiteitsmanagement´. Den Haag, juni 2002.
7 Beleidsbrief regie op gegevens: nadere uitwerking. 11 juli 2019.
Goed doordacht betoog. Vanuit de techniek zullen de Linked data-ontwikkelingen veel kunnen bijdragen. Maar het begint bij het goed in kaart brengen van je “klanten” en “leveranciers” van de gegevens. En klanten kunnen ook leverancier zijn en vice versa. Verder zou ik aan het betoog willen toevoegen dat een belangrijke factor de mens zelf is. Zowel als gebruiker/burger, maar bijvoorbeeld ook de ambtenaar die iets moet invoeren of data moet interpreteren. Dat vergt veel liefde en aandacht om het bewustzijn van de waarde echt goed op ieders netvlies te krijgen én om in te zien dat data alleen niet zaligmakend is. Dat is misschien nog wel de grootste uitdaging.