AMvB over delen persoonsgegevens met derden faciliteert profilering burgers

AMvBOp 27 juli 2021 legde de overheid het Derdenbesluit BasisRegistratie Persoonsgegevens voor aan de burger in een internetconsultatie. Die loopt tot 7 september 2021. Het gaat om een Algemene Maatregel van Bestuur(AMvB) waarmee ze vier werkzaamheden met in haar ogen “gewichtig maatschappelijk belang” aanwijst tbv waarvan systematisch gegevens uit de basisregistratie personen kunnen worden verstrekt. Het bijzondere ervan is dat het niet gaat om levering van persoonsgegevens aan overheidsorganen, maar aan derden, private partijen dus. Eén van de vier derden die de AMvB beschrijft betreft de private Stichting Informatie Knooppunt Zorgfraude(IKZ) die in het kader van het Wetsontwerp bevorderen samenwerking en rechtmatige zorg(Wbsrz) opgericht wordt. Het aparte is dat de AMvB nu ter consultatie voorligt terwijl de Wbsrz controversieel is verklaard en hangende de formatie het parlement dit niet behandelt. De overheid lijkt al een voorschot te willen nemen op het resultaat van die beraadslagingen en besluitvorming.

Welke derden?

De vier groepen derden die in de AMvB staan hebben geen enkele samenhang. Het gaat om:

  1. Klinisch genetische centra om familieleden van een patiënt te kunnen informeren bij een geconstateerde erfelijke aandoening.
  2. Het IKZ, zoals bedoeld in de Wbsrz om persoonsgegevens, om de persoonsgegevens te verifiëren die gevallen van het vermoeden (niet bewezen) zorgfraude betreffen.
  3. Banken en notarissen om met systematische gegevensverstrekking witwassen en financieren van terrorisme op te sporen.
  4. Levensverzekeraars en natura-uitvaartverzekeraars om overlijden van verzekerden beter te kunnen registreren. En de vindbaarheid van begunstigden van de verzekeringen beter op te kunnen sporen.

“Gewichtig maatschappelijk belang”

Het delen van persoonsgegevens uit de BRP met derden bestaat al langer. In bijlage 4 van het Besluit BasisRegistratie  Personen staat een forse lijst van niet-overheidsorganen/private partijen die reeds stelselmatig persoonsgegevens van de BRP ontvangen. Dat varieert van pensioenfondsen, bevolkingsonderzoek tot registraties van leden van kerkgenootschappen. Om dit delen met derden te rechtvaardigen moet sprake zijn van een “gewichtig maatschappelijk belang”. Deze AMvB rekt de grenzen van dit “gewichtig maatschappelijk belang” fors op. Ik zal daarbij de punten 2 en 3 apart belichten. Bij deze twee punten gaat het om het vermoeden van  wederrechtelijk gedrag zonder definitief bewijs. Het aanleggen van verzamelingen van personen waarbij wederrechtelijk gedrag zou kunnen spelen is sprake van profilering. De betreffende burger heeft geen weet van dat men persoonsgegevens over hem/haar deelt en komt in de positie dat hij/zij het tegendeel moet bewijzen.

IKZ

Het toevoegen van het IKZ als ontvanger van persoonsgegevens doet heel vreemd aan. Zie ook over IKZ(A ,B ,C ,D, E, F) . De beoogde samenwerkende partijen in het IKZ zijn Centrum Indicatiestelling Zorg(CIZ), colleges van B&W van gemeenten, IGJ, inspectie SZW, Rijksbelastingdienst, FIOD, zorgautoriteit en zorgverzekeraars. Vrijwel alle deelnemende partijen, inclusief zorgverzekeraars hebben al systematisch toegang tot de BRP-gegevens. Die hebben als ze gegevens aanleveren aan het IKZ de verplichting eigenstandig de persoonsgegevens op juistheid te controleren m.b.v. BRP. Het IKZ doet niet eigenstandig onderzoek maar verzamelt gegevens van deelnemende partijen en “verrijkt” ze zo. Het is dan ook niet logisch dat het IKZ de mogelijk zou krijgen om eigenstandig systematisch persoonsgegevens uit de BRP te krijgen. Omdat het IKZ niet zelf op onderzoek uitgaat is dan sprake van een ongerechtvaardigde inbreuk op de privacy van burgers. Vooral omdat het gaat om meldingen en nog niet vastgestelde fraude.

Reparatie van een nog niet behandelde wet

Bij het lezen van de Nota van Toelichting bij de AMvB valt op pagina 6 op dat deze eigenlijk een reparatie vormt van de nog in het parlement te bespreken wet.(Wbsrz). De overheid vindt namelijk dat de het risico op verwerking van onjuiste gegevensdoor het IKZ onvoldoende is afgedekt met een controle van het wetsontwerp opgenomen bronnen. Blijkbaar vertrouwt de overheid in de wet genoemde partijen onvoldoende terwijl die wel een eigen verificatieverplichting hebben.

Banken en notarissen

Bij vermoeden van witwassen, fraude of financiering van terrorisme hebben banken en notarissen zelf de verplichting hun huiswerk goed te doen. Dat huiswerk bestaat ook uit het zelf natrekken van persoonsgegevens, zoals de identiteit en de woonplaats van een betrokkene, aan de hand van overlegde documenten en eigen onderzoek. Het Europa overstijgende internationale toezicht van banken op dubieuze transacties, witwassen financiering terroristische organisaties wordt ruim uitgelegd/toegepast en gezien als een legitimatie voor banken om informatie aan te leveren bij overheden. En vormt tevens een legitimatie voor overheden om informatie aan te leveren bij banken. De casus viruswaarheid laat zien dat het hier eigenlijk gaat om publiek-private profilering van (overheden onwelgevallige) maatschappelijke bewegingen. Hoe men ook kan denken over Viruswaarheid, het vormt wel een verontrustende uiting van profilering.

Het systematisch koppelen van banken en notarissen levert evenals bij het IKZ schaduw-BRP-registraties op met een eigen werkelijkheid. Een zorgelijke ontwikkeling.

W.J. Jongejan, 23 augustus 2021

Afbeelding van Wokandapix via Pixabay