Resultaten project Controle bij afnemers. 1. Voorgeschiedenis

Transcriptie

1 Resultaten project Controle bij afnemers. 1. Voorgeschiedenis In de kabinetsreactie op het advies van de Commissie Snellen is aangegeven hoe er omgegaan zou moeten worden met het toezicht op het gebruik van persoonsgegevens door afnemers van de GBA. Het voorstel van de Commissie bestond uit het vergroten van het commitment van de huidige GBA-gebruikers ten aanzien van wat zij wel of niet mogen doen met de verstrekte GBA-gegevens. Voor het toezicht op het gebruik van GBA-gegevens door de sectorloketten was het voorstel om gebruik te maken van interne accountantscontroles. Voor het toezicht op het gebruik van GBA-gegevens door hybride organisaties van EDP-audits. De EDP audits zouden daarbij in samenwerking met het College bescherming persoonsgegevens (CBP) worden afgenomen. Het CBP heeft deze aanbevelingen destijds ondersteund. Ook het kabinet heeft in zijn reactie op het advies van de Commissie Snellen aangegeven deze voorstellen te ondersteunen (Kamerstuk 2001/2002, 27859, nr.1). In aanvulling op de oplossingsrichtingen die de Commissie heeft voorgesteld, heeft het kabinet daarbij aangegeven dat een en ander in regelgeving diende te worden verankerd. 2. Uitwerking standpunt door BPR In het kader van de modernisering van de GBA zijn er verschillende opties voorgelegd om gehoor te geven aan het door het kabinet ingenomen standpunt met betrekking tot het afnemen en verdere gebruik van GBA-gegevens door buitengemeentelijke afnemers. In oktober 2004 is aan de minister voor BVK een voorstel gedaan voor de inrichting van een controle bij afnemers. Daarbij zijn vier scenario s voorgelegd: 1. voorlichting 2. ontwikkelen van een scan systematiek 3. aansluiten bij bestaande reglementen en inspecties 4. een audit De minister is geadviseerd om te kiezen voor het ontwikkelen van een scan systematiek en wel om de volgende reden. Scenario 1 (voorlichting) zal weinig effect sorteren. Het scenario om aan te sluiten bij bestaande reglementen en inspecties zou geheel afhankelijk zijn van de bereidheid van sectoren om hun wet -en regelgeving aan te passen. Gezien de lasten van scenario 4 voor de deelnemende partijen en gelet op de handhaafbaarheid en het feit dat er een systematiek moest worden ontwikkeld die een ingrijpende aanpassing van de GBA wet-en regelgeving zou vergen, was scenario 4 op korte termijnniet uitvoerbaar. Scenario 2 (de scan systematiek) voldeed aan de voorwaarde van het creëren van bewustwording bij alle afnemers en er zouden geen problemen ontstaan met het handhaven of het uitvoeren van de systematiek. De problemen van handhaving komen voort uit het feit dat het agentschap BPR wettelijk gezien geen instrumentarium tot zijn beschikking heeft om handhaving af te dwingen als het gaat om het correcte gebruik van de uit de GBA verkregen gegevens door afnemers. Het toezicht op het gebruik van GBAgegevens door afnemers valt onder de werking van de Wet bescherming persoonsgegevens (Wbp). Deze taak is ingevolge die wet voorbehouden aan het College bescherming persoonsgegevens (CBP). Omdat het verstrekken van GBA-gegevens valt onder de verantwoordelijkheid van BPR en het gebruik van GBAgegevens valt onder de verantwoordelijkheid van het CBP is ervoor gekozen om de scan-systematiek in 1

2 samenwerking met het CBP te ontwikkelen. Deze samenwerking past in de hiervoor genoemde uitgangspunten die door het kabinet zijn ingenomen. 3. Het instrument Ontwikkeld is een quick scan bestaande uit een vragenlijst die de afnemer op basis van vrijwilligheid en anonimiteit kan invullen. Van 1 oktober 2005 tot 1 december 2005 is deze quick scan aan geboden aan de afnemers en is het onderzoek controle afnemers van GBA-gegevens uitgevoerd. Het onderzoek kende onder meer de volgende doelen: Creëren van bewustwording bij afnemers; Het agentschap BPR en CBP willen een beeld krijgen van de situatie bij afnemers betreffende het verstrekken en het gebruik van GBA-gegevens; De vragen zijn kort gezegd gericht op de actualiteit van de autorisatie en het gebruik van de ontvangen GBA-gegevens door de afnemer. Op basis van de gegeven antwoorden en het definitief maken daarvan krijgt de afnemer een op maat gesneden antwoord die hem een handvat aanreikt of hij op de juiste weg zit dan wel maatregelen moet treffen om verbeteringen aan te brengen met betrekking tot het zorgvuldiger omgaan met persoonsgegevens. De aangeboden zelfevaluatie is een website die de afnemer kan benaderen met een hem toegezonden wachtwoord. De vragenlijst is laagdrempelig en eenvoudig door een medewerker van de afnemer in te vullen. Deze keuze is bewust gemaakt. Voor de beantwoording is geen specifieke (juridische) kennis vereist. De beantwoording van de vragen kan binnen een uur worden verricht en verlangt dan ook geen zware tijdsbesteding van de afnemer. De aangeboden vragenlijst is als bijlage 1 opgenomen. Op sommige vragen waren meer antwoorden mogelijk. 4. Deelname Een kleine 500 afnemers zijn verzocht om deel te nemen aan de zelfevaluatie. Deze verschilde in type en grootte. Tijdens het openstaan is er een herinnering rondgestuurd met het verzoek om alsnog de vragenlijst te beantwoorden. 243 afnemers hebben de vragenlijst definitief afgemaakt. 30 afnemers hebben de enquête niet definitief gemaakt. 215 afnemers (46,2%) van de benaderde afnemers hebben niet deelgenomen aan het onderzoek 5. De autorisatie Aan afnemers is gevraagd of de behoefte aan GBA-gegevens is veranderd en zo ja in welke zin de behoefte aan GBA-gegevens is veranderd. Van de 76 afnemers die hebben aangegeven dat er een andere behoefte is ontstaan, geven 70 afnemers aan dat zij behoefte hebben aan meer GBA-gegevens. 1 afnemer wil minder GBA-gegevens ontvangen. De overige afnemers willen een wijziging in de frequentie van de ontvangst van GBA-gegevens. Voor 45 afnemers is dit aanleiding geweest om contact op te nemen met het agentschap BPR. 30 afnemers geven aan dat ondanks wijzigingen in de behoefte geen contact is gemaakt met het agentschap BPR. 2

3 6. Beveiliging Op grond van artikel 13 Wet bescherming persoonsgegevens moet de verantwoordelijke afnemer passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verder verwerking van persoonsgegevens te voorkomen. Met betrekking tot de wijze van de beveiliging van het berichtenverkeer geven alle afnemers op één na aan dat er maatregelen zijn getroffen. Deze variëren van een beperking van het aantal bevoegde gebruikers, intrekken van autorisaties, monitoring van door gebruikers gegenereerde berichten tot additionele beveiliging van netwerktoegang via extra passwords. Uit de respons blijkt dat afnemers meerdere maatregelen hebben getroffen. Opvallend is dat slechts een afnemer aangeeft geen beveiligingsmaatregelen te hebben getroffen. 7. Bewerker 82 afnemers geven aan dat ze gebruik maken van een bewerker. De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid. De activiteiten van de bewerker zijn verschillend van aard. Soms geven zij de GBA-berichten alleen maar door. In andere gevallen doen zij iets met de ontvangen GBAgegevens (wijziging format of verrijking). 10 afnemers geven aan dat de bewerker de administratie voert voor de verantwoordelijke. Op grond van artikel 14, tweede lid, WBP wordt de uitvoering van verwerkingen door een bewerker geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. 9 afnemers geven aan dat zij de afspraken die zij hebben gemaakt met de bewerker niet zijn vastgelegd in een overeenkomst. 8. De geheimhoudingsindicatie en het verdere gebruik van de ontvangen gegevens uit de GBA De burger kan op grond van artikel 102, eerste lid, Wet GBA geheimhouding van zijn gegevens vragen. Deze geheimhouding geldt evenwel niet voor afnemers. Immers de afnemer krijgt de persoonsgegevens uit de GBA voor de goede vervulling van zijn (publiekrechtelijke) taak. Ter bescherming van de persoonlijke levenssfeer wordt aan de afnemer de geheimhoudingsindicatie meegeleverd. Op grond van artikel 6 Wet bescherming persoonsgegevens (Persoonsgegevens worden in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze verwerkt) betekent dit dat de afnemer bijzondere aandacht moet besteden wanneer hij GBA-gegevens verkrijgt waarop een geheimhoudingsindicatie rust. 112 afnemers geven aan dat zij deze gegevens niet anders behandelen dan de gegevens waarop geen geheimhoudingsindicatie rust. 68 afnemers nemen deze geheimhoudingscode niet op in de eigen administratie. 3

4 Dat deze gegevens uitsluitend worden gebruikt door medewerkers met een speciale autorisatie wordt als antwoord gegeven door 39 afnemers. Om te voorkomen dat deze gegevens worden verstrekt aan andere zeggen 84 afnemers maatregelen te hebben getroffen. Voorzover er maatregelen zijn getroffen geven 99 afnemers aan dat zij hun medewerkers hierover informeren. 197 afnemers stellen dat zij medewerkers die werken met GBA-gegevens hiervoor uitdrukkelijk worden geautoriseerd. 15 afnemers geven aan dat zij bekend zijn met incidenten over onbevoegd gebruik en/of onjuiste verstrekking van de GBA-gegevens. Op de vraag of de ontvangen GBA-gegevens worden verstrekt aan andere organisaties of organisatieonderdelen antwoorden 27 afnemers dat dit het geval is. Dit is een verdere verwerking die moet voldoen aan de criteria van artikel 9 Wet bescherming persoonsgegevens (verenigbaar gebruik). 9. Conclusies 9.1. Het instrument Het eerste doel van de zelfevaluatie is het creëren van bewustzijn bij afnemers. De zelfevaluatie en de benchmark geven geen concreet antwoord of dit doel is bereikt. Er kan evenwel geconcludeerd worden dat door het uitvoeren van dit project en deze onder de aandacht te brengen van de afnemers de afnemers gedwongen zijn zich te realiseren dat zij bevoorrecht zijn dat zij gegevens uit de GBA kunnen betrekken en dat zij deze mogen gebruiken. De met de afnemers gevoerde correspondentie in dit verband zal daaraan bijgedragen hebben. Het tweede doel is het vormen van een beeld bij het agentschap BPR en het CBP van de situatie bij afnemers betreffende het verstrekken en het gebruik van GBA-gegevens. Dit doel is bereikt zij het met dien verstande dat reeds vooraf bekend was dat het ingezette middel van de vrijwillige en anonieme deelname aan de quick scan onvoldoende harde feiten zal opleveren. De lat is niet al te hoog gelegd. Deelname aan het onderzoek was vrijwillig en het onderzoek is door de afnemers zelf uitgevoerd. In onderstaand plaatje is opgenomen welk spanningsveld dit heeft opgeleverd. Enerzijds willen het agentschap BPR en CBP een betrouwbaar en volledig beeld, anderzijds zijn er geen mogelijkheden om deelname af te dwingen. Maatregelen als uitvoering door gecertificeerde personen of achteraf steekproeven uitvoeren bij afnemers (zoals bij het onderzoek reisdocumenten) konden vanwege de vrijwilligheid van het onderzoek niet worden ingezet. Dit is vooraf door het agentschap BPR en het CBP geaccepteerd. Afnemer Controle afnemers zelf uit te voeren vrijwillig spanning BPR/CBP Controle afnemers betrouwbaar en volledig beeld van verstrekken en gebruik GBA-gegevens 4

5 9.2. Deelname 215 afnemers van een kleine 500 afnemers die zijn benaderd, hebben niet deelgenomen aan de zelfevaluatie. Dit is 46,2 %. Vooraf is een inschatting gemaakt van de respons. De verwachting was dat 30 tot 40 % van de aangeschrevenen de scan zouden invullen. In de praktijk heeft net geen 50% van de aangeschreven afnemers de scan ingevuld. Afgezet tegen deze verwachting kan gesteld worden dat een goed resultaat is behaald. Gesteld kan worden dat de maatregelen om de respons te vergroten gewerkt hebben. Echter, nog altijd 50% van de aangeschrevenen heeft niet gereageerd De autorisatie De vragen 2.1 tot en met 2.5 hadden betrekking op de autorisatie. De cijfers van de benchmark geven onvoldoende aanleiding tot het trekken van harde conclusies. Uit de gegeven antwoorden blijkt dat de huidige autorisaties onvoldoende aansluiten bij de behoefte die afnemers hebben. Opvallend in dat verband is dat slechts 45 afnemers contact hebben gezocht met het agentschap BPR. Blijkbaar is de wijziging in de behoeften niet dusdanig van aard dat dat reden is om tot actie over te gaan. De conclusie lijkt dan ook gerechtvaardigd dat ondanks de gegeven antwoorden de bestaande autorisaties in voldoende mate voorzien in de behoefte aan GBA-gegevens van de afnemers Beveiliging Vraag 3.4 heeft betrekking op de beveiliging van het berichtenverkeer. De vragen 4.9 tot en met 4.11 hebben betrekking op de beveiliging van de gegevensverwerking bij de afnemer. Er wordt veel gewerkt met autorisaties en de controle daarop. Uit de gegeven antwoorden kan geconcludeerd worden dat bij een overgroot deel van de afnemers een basisniveau van beveiliging aanwezig is. Zorgwekkend evenwel is dat een afnemer geen beveiligingsmaatregelen heeft getroffen met betrekking tot het berichtenverkeer en bij de gegevensverwerking van de afnemer. Uit de antwoorden valt niet af te leiden of dit dezelfde afnemer is. Ervan uitgaande dat het om twee verschillende afnemers gaat, komt dit percentueel uit op ongeveer 1 % van de afnemers voldoet niet aan de eisen van artikel 13 Wet bescherming persoonsgegevens Bewerker Artikel 14, tweede lid, Wet bescherming persoonsgegevens bepaalt dat de afnemer als verantwoordelijk wanneer hij een bewerker inschakelt met deze een overeenkomst moet sluiten. Uit de gegeven antwoorden valt af te leiden dat 4% van de afnemers die gebruik maken van een bewerker niet aan deze norm voldoen De geheimhoudingsindicatie en het verdere gebruik van de GBA-gegevens De vragen 4.2 tot en met 4.5 hebben betrekking op de gegevens waarop een geheimhoudingsindicatie rust. Ongeveer 45% van de afnemers geven aan dat met deze gegevens niet anders wordt omgegaan dan met andere gegevens. Een kleine 30% van de afnemers geeft voorts aan dat zij deze indicatie niet overnemen in de eigen administratie. Deze afnemers lopen hierdoor het risico dat zij niet voldoen aan de wettelijke norm van artikel 6 Wet bescherming persoonsgegevens, de zorgvuldige omgang met 5

6 persoonsgegevens. Burgers hebben in beginsel niet voor niets geheimhouding gevraagd van hun GBAgegevens. Deze indicatie wordt aan de afnemers meegeleverd juist om hem in staat te stellen extra zorgvuldig hiermee om te gaan. De conclusie lijkt gerechtvaardigd dat een groot deel van de afnemers zich onvoldoende bewustzijn zijn dat zij met GBA-gegevens waarop een geheimhoudingsindicatie rust, anders moeten omgaan. 10 % van de respondenten geven aan dat zij de ontvangen gegevens door verstrekken naar andere organisatieonderdelen of derden. De resultaten van het onderzoek geven geen aanknopingspunten om hierover een oordeel te geven of hier in strijd wordt gehandeld met artikel 9 Wet bescherming persoonsgegevens (verenigbaar gebruik) en of hier mogelijk GBA-gegevens worden gelekt aan organisaties die op een andere wijze niet aan de GBA-gegevens kunnen komen Algehele conclusie Het geheel van de resultaten van het onderzoek overziend geeft dit geen aanleiding voor het agentschap BPR en het CBP om zich zorgen te maken over de verleende autorisaties en het gebruik van de GBAgegevens door afnemers. Op onderdelen zullen bij individuele afnemers verbeterpunten aanwijsbaar zijn. Mogelijk draagt de gegeven terugkoppeling ertoe bij dat de afnemer actie onderneemt. Echter het onderzoek heeft zich hier niet op gericht. 6