Autoriteit Persoonsgegevens maakt zich langzaam los uit houdgreep overheid

houdgreepDe Autoriteit Persoonsgegevens(AP) is onafhankelijk toezichthouder op alle verwerkingen van persoonsgegevens binnen Nederland. Tot begin 2019 was de AP nauwelijks te betrappen op een ferm, onafhankelijk standpunt ten aanzien van bewindslieden in het kabinet, ministeries en instituties met een sterke relatie met die overheid. Onafhankelijk, maar gefinancierd vanuit het ministerie van Justitie en Veiligheid, had ze door een beperkt budget vaak ook maar een zeer beperkte slagkracht. Met het ingaan van de Algemene Verordening Gegevensbescherming(AVG) op 25 mei 2018 kreeg de AP door de Uitvoeringswet AVG  krachtiger instrumenten in handen om handelend op te treden, zowel richting burgers maar ook richting overheidsinstantie of -orgaan. De AP kreeg daarmee de mogelijkheid om substantiële boetes op te leggen en zelfs bestuurlijke boetes uit te delen. Eind 2019 en in het eerste half jaar van 2020 zie ik de AP fermere standpunten innemen richting centrale overheid die haar voorheen in een houdgreep had.

Boetes

Het fermer optreden zien we terug in het opleggen van forse boetes aan bedrijven en organisaties. Zo  kreeg taxi-onderneming Über eind 2018 een boete van 600.000 euro vanwege een verzwegen mega-datalek. Het Haga-ziekenhuis in Den Haag kreeg vorig jaar een boete van 460.000 euro wegens de slechte beveiliging van patiëntgegevens. Tennisbond KNLTB werd in maart 2020 aangeslagen voor 525.000 euro. Contactgegevens van leden bleken voor marketingdoeleinden te worden verkocht aan een online tenniswinkel en een loterij. Ook beboette de AP een bedrijf met 725.000 euro vanwege het afnemen van vingerafdrukken van werknemers om hun werktijden te registreren. Afgelopen  week nog kreeg het Bureau Krediet Registratie een boete van 830.00 euro omdat die geld vroeg voor digitale inzage van vastgelegde gegevens.

Berisping

Daarnaast kreeg de organisatie Akwa GGZ(Alliantie Kwaliteit in de Geestelijke Gezondheidszorg )een berisping het verwerken van persoonsgegevens over de gezondheid. Het betrof een eindpunt in een slepende zaak rond onvoldoende geanonimiseerde medische gegevens(ROM-data), zijnde bijzondere persoonsgegeven. De uitspraak was opvallend omdat die tegen een aanzienlijk belang van  het ministerie van VWS inging. Die stuurt al lange tijd via omwegen aan op het gebruik van genoemde data voor zogenaamde kwaliteitsmeting en -bevordering.

Zelfbewuster tegen VWS

Sinds maart dit jaar is het duidelijk dat de AP zich evident ontworstelt uit de voorheen beknellende houdgreep van ministeries. Tijdens de appathon om een corona-track-and-trace-app te maken in het weekend van op 18 en 19 april 2020, georganiseerd door de top van het ministerie van VWS, keken medewerkers van de AP, waaronder mr.dr. M.Ramlal, hoofd systeemtoezicht, permanent mee. Al op 20 april 2020 laat de AP een zeer gedetailleerd rapport erover verschijnen met als conclusie dat geen van de uitverkoren apps de toets der kritiek van de AP kon doorstaan. Daarna deden zich nog twee voorvallen voor in het kader van de corona-problematiek. Het betreft namelijk het voorstel van de regering, ingediend door minister Hugo de Jonge van VWS om de Telecom-wet te wijzigen teneinde mobiliteitsdata van burgers te verkrijgen.

Telecom-wet

Begin mei 2020 had Hugo de  Jonge een aanvaring met de AP over het voornemen van het gebruik van Telecom-data door het RIVM.   Nog voordat de AP een oordeel gaf liet hij in een brief aan de Tweede Kamer weten dat de AP akkoord ging met dit delen van Telecom-data. Hetgeen niet zo was. Het veroorzaakte nogal wat consternatie. Daarna moest de Jonge zijn woorden intrekken en moest hij op het advies van de AP opvolgen om er een serieus wetswijzigingsvoorstel voor te maken. Dit voorstel ondervindt nu op 3 juli 2020 weer ondubbelzinnige kritiek en een afwijzing door de AP. De voorzitter van de AP. Aleid Wolfsen, maakt er in de pers op de laatste dag voor het zomerreces van de Tweede Kamer een duidelijk punt over.

AP en belastingdienst(1)

Richting de belastingdienst is de AP sinds het ingaan van de AVG in 2018 zeer kritisch bezig.  Knarsetandend moest de AP toezien hoe de belastingdienst pas een jaar na het ingaan van de AVG haar systemen AVG-proof had ingericht. Dat was een overheidsdienst onwaardig. Daarnaast was de AP nog niet al te daadkrachtig om het gebruik van het BSN in het BTW-nummer van eenmanszaken te doen stoppen. In 2018 constateert de AP dat zoiets niet kan. Om te zeggen dat de belastingdienst tot 1 januari 2019 de tijd had om het aan te passen en pas per 1 januari 2020 een verbod aan te kondigen. Je ziet ze gewoon niet durven doorpakken.

AP en belastingdienst(2)

Ondertussen startte in 2019 i.v.m. de toeslagenaffaire een onderzoek door de AP naar de verwerking van bijzondere persoonsgegevens zoals nationaliteit bij de Belastingdienst. Daar komt nog een oordeel over. Zeer recent maakte de AP duidelijk dat zij bijzonder verontrust is over de vermoedelijke niet-naleving van de AVG inzake de Fraude Signaleringsvoorziening(FSV) van de belastingdienst, een applicatie om signalen van vermoedens van fraude mee te registreren. Bestuurslid C.E. Mur laat namens de AP aan Staatssecretaris van Financiën Hans Vijlbrief dan ook weten dat de AP ernstige zorgen heeft over het niet naleven van de AVG binnen de belastingdienst. En zegt er en passant bij dat de AP het FSV-gebeuren geen op zich zelf staand incident vindt.  Er tekent zich hier ook een duidelijke stellingname richting een overheidsorgaan af door de AP.

Lofwaardig en geloofwaardig

Het is te prijzen dat de AP met de AVG in de hand thans veel duidelijker stelling lijkt te nemen richting de hand die haar voedt, namelijk de rijksoverheid. Het is iets wat ook de geloofwaardigheid van de AP in de ogen van de burgers verder ten goede zal komen.

Een toezichthouder die onder één hoedje met de rijksoverheid speelt is de spreekwoordelijke dood in de pot.

W.J. Jongejan, 14 juli 2020

Afbeelding van Mirko Zax via Pixabay




Ongebreidelde datahonger overheid en instituties voedingsbodem Big Brother Awards

matrix

Op maandag 11 december 2017 vindt in de Amsterdamse Stadsschouwburg de jaarlijkse uitreiking plaats van de Big Brother Awards. Deze worden jaarlijks uitgereikt aan een persoon, bedrijf, overheidsinstelling, waarvan wordt gemeend dat deze persoonlijke privacy beperkt. In Nederland worden de prijzen sinds 2002 uitgereikt door Bits of Freedom. Deze stichting verdedigt het grondrecht op privacy en het grondrecht op communicatievrijheid van de Nederlandse burger. De vijver van privacy-schendende instanties is de laatste jaren alleen maar gegroeid door ongebreidelde datahonger. Data bezitten betekent geld, controle of in het uiterste geval macht over mensen. Die vormen het nieuwe goud, dat met resource-grabbing geoogst wordt. Ook dit jaar zijn er drie soorten prijzen te vergeven. De expertprijs is voor één van de drie genomineerden die door wetenschappers, columnisten, activisten en mensen uit het bedrijfsleven gekozen zijn. Daarnaast is er de publieksprijs. Daarbij kiest het publiek via het internet uit een drietal genomineerden. De burger kon via het internet voor begin november dit jaar een nominatie opgeven bij Bits of Freedom. Tenslotte is er ook een positieve prijs de Felipe Rodriguez Award, Deze is juist bedoeld voor iemand die zich op bijzondere wijze heeft ingezet vóór de privacy. Felipe was één van de oprichters van de internetprovider XS4All, dat in 1998 een dochteronderneming werd van KPN.

Expertprijs

Voor de expertprijs zijn dit jaar genomineerd: 

  • Focum, een bedrijf dat als datamakelaar optreedt. Dit soort “handelsinformatiebureaus” maken profielen op voor bedrijven waar u producten of diensten af wilt nemen en geven adviezen of een product of dienst wel of niet aan je geleverd moet worden. In de praktijk blijken deze adviezen als waarheid te worden gebruikt, zonder dat goed inzichtelijk is of dat eigenlijk wel terecht is. Het gaat daarbij om “profiling” op basis van algoritmen die niet transparant zijn. Big Data-toepassingen kunnen leiden tot een toename van sociale stratificatie. Makkelijk kan een cumulatief nadeel (discriminatie en oneerlijke behandeling) ontstaan voor bepaalde groepen uit de maatschappij. Het betreft dan de sociaal zwakkeren
  • De Belastingdienst vanwege de datahonger waarbij data van snelwegcamera’s en parkeergarages ten onrechte gebruikt worden voor het bepalen van de hoogte van de belastingheffing. De rechter moest eraan te pas komen om dit soort activiteiten te doen stoppen. Daarnaast bleken (externe) medewerkers van de experimentele afdeling van de Belastingdienst een loopje met de privacy van de belastingbetaler te nemen.  Dat deden ze onder meer door data mee naar huis te nemen en zelfs op een persoonlijke cloud-dienst op te slaan. Dat een afdeling van de Belastingdienst op hun kruistocht naar innovatieve data-analyses op zo’n manier met onze gegevens om kan gaan is buitengewoon zorgelijk.
  • Translink, de organisatie achter de OV-kaart. DUO, de Dienst Uitvoering Onderwijs, wilde onderzoeken of studenten die in een risicoprofiel(profiling dus) zaten fraudeerden. DUO vroeg daarom de reisgegevens aan Translink en Translink vond dat prima. Maar de rechter dacht daar toch anders over: een onterechte schending van de privacy van de student(en). En daarna bleek dat DUO nog veel meer reisinformatie deelde met andere organisaties, zoals gemeenten en de Sociale VerzekeringsBank(SVB)

Naar mijn inschatting maakt Translink een grote kans winnaar te worden.

Publieksprijs

Voor de publieksprijs zijn genomineerd:

  • Het kabinet . Een aanzienlijk deel van de inzenders vindt dat het nieuwe kabinet de prijs verdient voor “het doordrukken van een sleepnetwet die de privacy van miljoenen onschuldige Nederlandse burgers opzij schuift. Deze door de Staten-Generaal recent aangenomen wet heeft ook consequenties voor het medische beroepsgeheim aangezien voor medische databases en elektronica die op of in het lichaam gedragen worst geen uitzondering gemaakt is.
  • Sybrand Buma, fractieleider van het CDA. Hij stelde in een interview met de Volkskrant dat hij wil “dat die sleepwet doorgaat” en hij daarom “de keuze [maakt] dat we dit referendum niet beschouwen als een echt referendum.” Eerst ontneemt Buma de burger haar privacy, nu heeft hij het gemunt op haar stem volgens de nomineerders.
  • GGZ Nederland(GGZ NL), de brancheorganisatie van werkgevers in de geestelijke gezondheidszorg. De inzenders van de nominatie vinden het onbegrijpelijk dat GGZ Nederland ondanks alle bezwaren van veel verschillende kanten (van patiënten, minister van Volksgezondheid, staatssecretaris, Autoriteit Persoonsgegevens, beroepsverenigingen van psychiaters en psychologen) toch weer geadviseerd heeft privacygevoelige gegevens van patiënten, namelijk RPOM-data, zonder expliciete toestemming van die patiënten, op te sturen naar een derde partij. Daarvoor heeft GGZ NL zelfs de juridische aanvechtbare “veronderstelde toestemming” van de patiënt gelanceerd om zonder expliciete toestemming van deze toch de ROM-data naar de Stichting Benchmark GGZ(SBG) te kunnen sturen.

Stemmen kan tot en met 10 december 2017. Van harte aanbevolen!!

Kaarten

De Big Brother Awards 2017 is een theatershow, spoedcursus privacy en prijsuitreiking in één. De voorstelling wordt eenmalig opgevoerd in de Stadsschouwburg Amsterdam op maandag 11 december.

Er zijn nog kaarten te koop.

W.J. Jongejan

Voor deze publicatie is gebruik gemaakt van delen van tekst van de website www.bof.nl.




Rechtbank maakt gehakt van opvatting Stichting Benchmark GGZ over Btw-betaling

gehaktmolen

Uitgerekend op de dag dat het kort geding van de actiegroep Stop Benchmark ROM tegen de Stichting Benchmark GGZ (SBG) in Utrecht diende, donderdag 13 juli 2017, deed de Rechtbank Gelderland uitspraak in twee zeer opvallende zaken (AWB 16/2863 en AWB 16/2862). Het betreft een conflict tussen de belastingdienst en SBG over het afdragen van Btw door de SBG over door haar verleende diensten. Eiser was niet de belastingdienst, kantoor Utrecht, maar de SBG die beroep instelde na het afwijzen van een bezwaar. De SBG was namelijk van mening dat over haar werkzaamheden geen Btw verschuldigd was. De uitspraak van de meervoudige kamer van de Rechtbank Gelderland was dat het beroep ongegrond werd verklaard. Het bijzondere aan deze zaak is dat de rechters heel gedecideerd vonnisten over een op zijn zachtst gezegd toch wel trieste en gênante redenatie van de SBG. Die redenatie betrof naast de gedachte dat de SBG geen onderneming zou zijn in de zin der wet, en zij bovendien zou vallen onder een aantal vrijstellingen van Btw-betaling. Puntsgewijs zal ik daarop ingaan.

Twistpunt

Zoals gezegd was het twistpunt het al dan niet betalen van Btw. De belastingdienst had over het derde kwartaal 2011 een aanslag van € 43.046 aan Btw opgelegd. Op jaarbasis zou dat € 172.184 zijn. De SBG was het daar niet mee eens. Ze is in 2011 opgericht en zegt als doelstelling te hebben het zonder winstoogmerk als een ‘trusted third party’ voor de geestelijke gezondheidszorg(GGZ) te benchmarken op het gebied van behandeleffect en klanttevredenheid. Voor de duidelijk zij vermeld dat de SBG volledig door Zorgverzekeraars Nederland(ZN) gefinancierd wordt. Voor 2011 en 2012 ging dat om 2,2 miljoen euro per jaar.

Onderneming

De rechtbank was het volledig oneens met de opvatting dat de SBG geen onderneming zou zijn. De rechters oordeelden dan ook dat het een dienstverlenende onderneming is die gewoon Btw-plichtig is over de verleende diensten. De stelling van de SBG dat zij geen winst beoogt en geen commerciële nevenactiviteiten mag verrichten maakt het voorgaande niet anders.

Sociaal-culturele vrijstelling

De SBG beriep zich op de toepasselijkheid van sociaal-culturele vrijstelling voor het betalen van omzetbelasting. De rechtbank oordeelde dat de SBG geen erkenning had als instelling van sociale aard en dat haar diensten niet nauw samenhangen met de sociale zekerheid. Daarom oordeelden de rechters ook negatief over vrijstelling op genoemde gronden. Het is niet goed te begrijpen waarom de SBG een beroep deed op deze vrijstelling.

Koepel-vrijstelling

De SBG redeneerde ten aanzien van dit punt als volgt. Zij verricht diensten voor zorginstellingen en zorgverzekeraars en beschouwt deze als leden van de koepel. Naar het oordeel van de rechtbank zijn de prestaties van de SBG niet rechtstreeks nodig voor het verrichten van de prestaties door de zorginstellingen en de zorgverzekeraars. De rechters komen dan ook tot de conclusie dat de koepelvrijstelling niet van toepassing is, omdat de diensten van de SBG niet rechtstreeks nodig zijn voor de prestaties van de zorginstellingen en de zorgverzekeraars.

Kwaliteit

Over de claim van het werken aan kwaliteitsverbetering in de GGZ doet de rechter een bijzondere en belangwekkende uitspraak. Hier zegt de rechtbank:

“Hoewel kwaliteitsbewaking van de ggz rechtstreeks nodig is voor de prestaties van de zorginstellingen en daarvoor onontbeerlijk is, kan ditzelfde niet worden gezegd van benchmarking. Dat zorginstellingen de benchmarkprestatie afnemen omdat zij met behulp daarvan aan kwaliteitsbewaking willen doen is niet voldoende. Die kwaliteit kan ook op andere wijzen bewaakt worden. Naar het oordeel van de rechtbank kan niet gezegd worden dat de zorginstellingen niet dezelfde mate of kwaliteit van gezondheidszorg zouden kunnen leveren zonder gebruik te maken van benchmarking. Verweerder heeft terecht opgemerkt dat andere wijzen van kwaliteitstoetsing, zoals intercollegiaal overleg, evenzeer een bijdrage aan kwaliteit leveren.”

Medische vrijstelling

Ronduit gênant wordt het als de SBG vrijstelling van omzetbelasting vraagt op medische gronden. Ze deed daarbij een beroep op artikel 11, eerste lid, aanhef en onder c, van de Wet OB en artikel 132 eerste lid, aanhef en onder b, van de Btw-richtlijn. Artikel 11 houdt in dat men zich bezighoudt met het verzorgen en verplegen van een in instelling opgenomen personen, alsmede handelingen die daar nauw mee samenhangen zoals het verstrekken van spijzen, dranken, medicijnen etc. Artikel 132 van de Btw-richtlijn omschrijft dat min of meer hetzelfde. Misschien dat in de kantine van de SBG spijzenen en dranken te krijgen zijn, maar dat maakt het geen zorginstelling. In de verste verte is de SBG niet tot een dergelijke instelling te rekenen. De rechters veegden dit dan ook van tafel.

Vonnis

De vaststelling van Btw-verplichting door de rechters betekent vooral ook dat “het SBG-gebeuren” en meer precies dus de samenwerking tussen de SBG en het ZN, als verzekeringskartel, door de rechter als zakelijke samenwerking/transactie tussen onafhankelijke ondernemingen is bestempeld, en dus niet als Btw-vrijgestelde zorgverlening, of zorgverlening gerelateerde service.

 Raadsel

Het is mij een raadsel waarom de SBG, volledig betaald door ZN, deze actie tegen de belastingdienst in gang heeft gezet en waarom ZN in dit kader niet de SBG van deze beroepszaak afgehouden heeft.

In de het licht van de miljarden aan verzekeringsgeld die de zorgverzekeraars beheren en de in de afgelopen jaren gemaakte winsten is een verhoging van de betalingen van ZN aan de SBG om Btw-afdracht te faciliteren een peanut. Met krap twee ton op jaarbasis bovenop de huidige betaling aan de SBG had dit forse gezichtsverlies vermeden kunnen worden.

Het is zoals de Engelsen zeggen: “Penny-wise but pound-foolish”

W. J. Jongejan