Wijziging van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur in verband met het stellen van regels over de bevoegdheidsverklaringsdienst en gezagsmodule.

Bij Kabinetsmissive van 6 oktober 2022, no.2022002162, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Koninkrijksrelaties en Digitalisering, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit tot wijziging van het Besluit verwerking persoonsgegevens generieke digitale infrastructuur in verband met het stellen van regels over de bevoegdheidsverklaringsdienst en gezagsmodule, met nota van toelichting.

Het ontwerpbesluit regelt de benodigde verwerking van persoonsgegevens voor drie verschillende voorzieningen die verband houden met digitale publieke dienstverlening. Het ontwerpbesluit voorziet in een bevoegdheidsverklaringsdienst waarmee een verklaring wordt afgegeven of een persoon namens een beoogd vertegenwoordigde toegang dient te krijgen tot de digitale dienst. Daarnaast is er de gezagsmodule met behulp waarvan kan worden vastgesteld of een persoon het ouderlijke gezag heeft over een minderjarige. Tot slot worden regels voorgesteld voor de verwerking van persoonsgegevens die noodzakelijk is om na te gaan of gebruikers hebben ingesteld dat zij notificaties ontvangen bij een nieuw bericht in de Berichtenbox, en waarmee kan worden gecontroleerd of een dergelijke notificatie is ontvangen.

De Afdeling advisering van de Raad van State begrijpt de wenselijkheid om met de drie verschillende voorzieningen de digitale dienstverlening jegens de burger te verbeteren, in het bijzonder het inloggen op MijnOverheid. Wel maakt zij opmerkingen over de keuze het ontwerpbesluit reeds toe te zenden voorafgaand aan de evaluatie van pilots waarmee ervaring wordt opgedaan met de werking van de gezagsmodule.

Daarnaast merkt de Afdeling op dat artikel X van de Wet elektronisch berichtenverkeer Belastingdienst (Wet EBV) geen grondslag biedt voor zelfstandig gebruik van de gezagsmodule. Zij adviseert daarom dit onderdeel te schrappen, indien er geen andere wettelijke grondslag voor dit onderdeel van het ontwerpbesluit gevonden kan worden. Daarnaast adviseert zij in de toelichting meer aandacht te besteden aan de grondslag voor gegevensverwerkingen in verband met de vergewisplicht, en de werking van de gezagsmodule nader toe te lichten. In verband met deze opmerkingen adviseert de Afdeling dit besluit niet te nemen, tenzij het is aangepast.

1. Vroegtijdige indiening ontwerpbesluit

Eind augustus 2022 is door de Koninklijke Marechaussee en twee eenheden van de Politie een pilot gestart waarmee het functioneren van de gezagsmodule voor vaststelling van ouderlijk gezag in beeld kan worden gebracht. (zie noot 1) De pilot is in september tevens gestart voor Veilig Thuis. (zie noot 2) Ook is gestart met een pilot ouderlijk gezag in de zorg, waarmee gezagsdragers voor een minderjarige afspraken kunnen maken met het ziekenhuis. Op het moment van toezending van het ontwerpbesluit aan de Afdeling waren deze pilots nog niet afgerond.

De uitkomsten van deze pilots zijn nog niet geëvalueerd. (zie noot 3) Deze uitkomsten kunnen van belang zijn voor de keuzes die worden gemaakt bij de introductie van de gezagsmodule - en, indirect, ook voor de bevoegdheidsverklaringsdienst die voor het inloggen door gezagsdragers wordt gebaseerd op de vaststelling door de gezagsmodule. Zo kan bijvoorbeeld blijken dat de gezagsmodule minder accuraat is in de vaststelling van gezag dan aanvankelijk werd vermoed, dat voor de vaststelling aanvullende gegevens nodig zijn of anderszins sprake is van problemen die raken aan de uitvoerbaarheid. Aldus kan op basis van de evaluatie een beter geïnformeerde afweging worden gemaakt over de wenselijkheid en uitvoerbaarheid van landelijke invoering.

De Afdeling adviseert het ontwerpbesluit nog niet vast te stellen voor wat betreft de gezagsmodule totdat de lopende pilots zijn afgerond en afdoende geëvalueerd. Als de uitkomst van de pilots leidt tot ingrijpende wijziging van het ontwerpbesluit, dient het opnieuw ter advisering aan de Afdeling te worden voorgelegd. (zie noot 4)

2. Wettelijke basis zelfstandig gebruik gezagsmodule

Uit de aanhef van het ontwerpbesluit volgt dat de wettelijke grondslag voor alle maatregelen die worden getroffen ligt in artikel X, derde lid, Wet EBV. De reikwijdte van deze wettelijke basis wordt - door de verwijzing naar deze bepaling - nader ingekaderd door artikel X, eerste lid, Wet EBV. (zie noot 5) Aldus is vereist dat de gegevensverwerking waarvoor bij algemene maatregel van bestuur regels kunnen worden gesteld verband moet houden met voorzieningen gericht op communicatie met, of vanuit, publieke dienstverleners. Het gaat daarbij om elektronisch berichtenverkeer met behulp van MijnOverheid, de Berichtenbox of DigiD. (zie noot 6)

Het ontwerpbesluit maakt het allereerst mogelijk dat de gezagsmodule wordt toegepast om op basis van de vaststelling door deze module een bevoegdheidsverklaring af te geven. (zie noot 7) Aangezien de bevoegdheidsverklaring wordt gebruikt om namens een ander in te loggen bij een publieke dienstverlener, valt dit gebruik van de gezagsmodule onder de reikwijdte van de taak, bedoeld in het eerste lid van artikel X Wet EBV.

Daarnaast wordt het echter voor afnemers van de gezagsmodule mogelijk gemaakt om de gezagsmodule zelfstandig te gebruiken indien zij informatie wensen te krijgen over de personen die ouderlijk gezag uitoefenen. (zie noot 8) De Afdeling merkt op dat uit het voorstel en de toelichting niet blijkt dat dergelijk zelfstandig gebruik noodzakelijkerwijze verband houdt met de werking van voorzieningen gericht op communicatie met, of vanuit, de publieke dienstverleners. Dit gebruik voorziet in plaats daarvan in een behoefte bij publieke organisaties om voor hun taakuitoefening inzicht te krijgen in de personen die ouderlijk gezag uitoefenen over een minderjarige. (zie noot 9) Daarmee ontbreekt echter de samenhang met de taak, bedoeld in het eerste lid van artikel X Wet EBV en daarmee de wettelijke grondslag voor de regels die hiervoor in het ontwerpbesluit zijn opgenomen. Omdat met het zelfstandige gebruik persoonsgegevens worden verwerkt en deze verwerking raakt aan de persoonlijke levenssfeer van betrokkenen, is een afdoende wettelijke basis noodzakelijk.

Omdat artikel X Wet EBV geen wettelijk basis biedt voor het zelfstandige gebruik van de gezagsmodule door afnemers, is het niet mogelijk zulk gebruik bij een op die bepaling gebaseerde algemene maatregel van bestuur te regelen.

De Afdeling concludeert dan ook dat voor dit onderdeel van het ontwerpbesluit geen grondslag bestaat in de Wet EBV. Zij adviseert dit onderdeel uit het ontwerpbesluit te schrappen, tenzij alsnog een toereikende wettelijke grondslag hiervoor kan worden aangewezen.

3. Vergewisplicht Berichtenbox

Het ontwerpbesluit maakt het mogelijk dat persoonsgegevens worden verwerkt voor:

- de controle of een gebruiker van de Berichtenbox heeft ingesteld notificaties te willen ontvangen;
- en controle van de ontvangst van een verzonden notificatie. (zie noot 10)

Uit de toelichting blijkt dat de grondslag voor deze gegevensverwerkingen, zoals vereist door de Algemene Verordening Gegevensbescherming (AVG), (zie noot 11) wordt geboden doordat de gegevensverwerking noodzakelijk is om te voldoen aan een wettelijke plicht. (zie noot 12) Hieruit blijkt voorts dat met deze wettelijke plicht wordt bedoeld artikel X Wet EBV. (zie noot 13) Artikel X Wet EBV ziet onder meer op de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing.

Voor de controle of een burger heeft ingesteld notificaties te willen ontvangen, wijst de toelichting op een uitspraak van de Centrale Raad van Beroep. Daar wordt overwogen dat, indien de burger er niet voor heeft gekozen een notificatie te ontvangen, het bestuursorgaan dient te controleren of dit werkelijk de bedoeling van de burger is. (zie noot 14) In die uitspraak wordt deze verplichting voor het bestuursorgaan gekoppeld aan het zorgvuldigheidsbeginsel (zie noot 15) en het belang van toegang tot de rechter. (zie noot 16) Uit de uitspraak zelf blijkt niet dat deze controle (mede) voortvloeit uit een wettelijke plicht op basis van artikel X Wet EBV.

Het ontwerpbesluit maakt het ook mogelijk om te controleren of een notificatie is ontvangen. Dit is van belang omdat een burger niet kan worden tegengeworpen dat te laat is gereageerd op berichten in de Berichtenbox, indien een bestuursorgaan niet kan aantonen dat een verzonden notificatie daadwerkelijk is ontvangen. (zie noot 17) Ook voor dit geval is het van belang dat duidelijk is welke wettelijke bepaling de bron is van de wettelijke plicht.

In het licht van het voorgaande is het wenselijk dat in de toelichting nader wordt ingegaan op de vraag waarom artikel X Wet EBV wordt aangewezen als bepaling waarin een wettelijke plicht is neergelegd die de hierboven genoemde gegevensverwerkingen noodzakelijk maakt. Indien voor het bestaan van de wettelijke plicht naast artikel X Wet EBV andere bepalingen relevant zijn, of indien een andere AVG-rechtelijke grondslag kan worden aangevoerd dan de wettelijke plicht, dient de toelichting, en zo nodig het ontwerpbesluit, dienovereenkomstig te worden aangepast.

4. Digitalisering en werking gezagsmodule

a. Gebruik van de gezagsmodule
De regering wil wettelijk vertegenwoordigers de mogelijkheid bieden om in te loggen op MijnOverheid. Zij kunnen dan, niet voor zichzelf maar in hun rol als vertegenwoordiger, elektronisch informatie inwinnen of zaken regelen met bestuursorganen, zorgverleners, zorgverzekeraars en onderwijsinstellingen als die bij MijnOverheid zijn aangesloten.

De Afdeling onderkent dat een geautomatiseerd inlogproces voor gebruikers van toegevoegde waarde kan zijn. Om dit ook juridisch mogelijk te maken wordt de Minister van BZK bevoegd om persoonsgegevens te verwerken die nodig zijn om de wettelijk vertegenwoordiger te laten inloggen.

In eerste instantie wordt de mogelijkheid om in te loggen alleen uitgewerkt voor bewindvoerders en voor ouders van minderjarige kinderen. Andere vormen van wettelijke vertegenwoordiging (zoals curatele en mentorschap) worden later ingebouwd. Als iemand wil inloggen als bewindvoerder of ouder, wordt elektronisch gecontroleerd of hij of zij inderdaad bewindvoerder of ouder is. Gegevens over bewindvoerders worden ontleend aan het systeem Toezicht van de Raad voor de Rechtspraak. (zie noot 18) Of iemand ouderlijk gezag heeft wordt afgeleid uit gegevens in de Basisregistratie Personen (de BRP). MijnOverheid is daartoe uitgebreid met de gezagsmodule.

Het is van belang dat de gezagsmodule een betrouwbaar antwoord geeft op de vraag of een ouder mag inloggen op een (semi)overheidssite. Immers, als de ouder eenmaal is ingelogd kan hij of zij gegevens van het minderjarige kind inzien, toevoegen of wijzigen. In bepaalde gevallen kan de ouder ook beslissingen nemen die van direct belang zijn voor het kind; het inlogmiddel wordt dan gebruikt als elektronische handtekening.

De betrouwbaarheid van de gezagsmodule is niet volledig gegarandeerd. In de meeste gevallen hebben ouders ouderlijk gezag over hun minderjarige kinderen. (zie noot 19) In uitzonderlijke gevallen wordt ouderlijk gezag toegekend of ontnomen bij rechterlijke beslissing. Zo’n rechterlijke beslissing wordt handmatig vastgelegd in het gezagsregister. De gezagsmodule ontleent gegevens uit de BRP om vast te stellen of zich een rechtsfeit heeft voorgedaan omtrent het ouderlijk gezag, maar kan vooralsnog het gezagsregister niet bevragen. (zie noot 20) Gegevens uit het gezagsregister worden eveneens opgenomen in de BRP, maar door de handmatige verwerking is de BRP niet altijd actueel.

Daar komt bij dat het antwoord van de gezagsmodule (wel of geen ouderlijk gezag) niet altijd voldoende is:

- het afleiden van het ouderlijk gezag uit de algemene regels in Boek 1 van het Burgerlijk Wetboek lijkt relatief simpel, maar is volgens de regering gecompliceerd en foutgevoelig; (zie noot 21)
- sommige beslissingen kunnen alleen worden genomen door de ouders gezamenlijk. De site die men bezoekt zal daar rekening mee moeten houden en bijvoorbeeld moeten verlangen dat beide ouders tegelijk een elektronische handtekening plaatsen;
- als het systeem daarin slaagt, zal het vervolgens ook rekening moeten houden met de variant waarin het gezag bij één ouder berust; (zie noot 22)
- ouderlijk gezag eindigt als het kind meerderjarig wordt. Maar voor het inzien van medische gegevens bij de behandelaar moet het kind vanaf 12 jaar toestemming geven. Medische beslissingen neemt het kind van 12-16 jaar samen met de ouders en vanaf 16 jaar alleen. (zie noot 23)

Dit soort situaties kunnen nu ook al voor problemen zorgen wanneer een ouder informatie vraagt bij een overheidsorganisatie of een zorgverlener zonder gebruik te maken van MijnOverheid. Daarbij zal er echter vaak direct menselijk contact zijn, zodat er mogelijkheden zijn om vergissingen of opzettelijk misbruik te voorzien en te voorkomen. Het is niet duidelijk of, en zo ja wanneer, bij het automatisch inloggen, voorzien is in een vorm van menselijke betrokkenheid.

De Afdeling adviseert in de toelichting in te gaan op de hiervoor beschreven situaties en het belang van een zorgvuldige en betrouwbare vaststelling van gezag. Daarnaast adviseert zij in het besluit (zie noot 24) te bepalen dat de betrouwbaarheid van de gezagsmodule zal worden geëvalueerd in het licht van de hiervoor weergegeven complexiteiten. (zie noot 25)

b. Geautomatiseerde besluitvorming en de AVG
Toepassing van de gezagsmodule ontsluit de toegang tot bepaalde publieke dienstverlening. Het is daarbij van belang of, en zo ja wanneer, bij de vaststelling van een ouderlijke gezagsrelatie door de gezagsmodule sprake kan zijn van geautomatiseerde besluitvorming in de zin van de AVG. (zie noot 26) Een eerste vraag die daarbij relevant is, is of de besluitvorming uitsluitend langs geautomatiseerde weg geschiedt.

Een tweede vraag is of sprake is van besluitvorming waaraan rechtsgevolgen zijn verbonden of die een persoon anderszins in aanmerkelijke mate treft. (zie noot 27) Indien aan deze criteria wordt voldaan, kan slechts onder specifieke, in de AVG genoemde, voorwaarden een persoon worden onderworpen aan de geautomatiseerde besluitvorming. Zo geldt dit verbod niet indien de geautomatiseerde besluitvorming door een lidstaatrechtelijke bepaling wordt voorgeschreven, mits passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene zijn getroffen.

Het ontwerpbesluit en de toelichting besteden geen aandacht aan de vraag of bij toepassing van de gezagsmodule sprake kan zijn van geautomatiseerde besluitvorming in de zin van de AVG. Het ontwerpbesluit maakt niet duidelijk of de vaststelling van gezag exclusief op geautomatiseerde wijze via de gezagsmodule zal gaan plaatsvinden. Ook wordt geen aandacht besteed aan de vraag of, in bepaalde situaties, toepassing van de gezagsmodule een persoon in aanmerkelijke mate kan treffen.

De Afdeling begrijpt dat niet in de toelichting per type dienstverlening kan worden vastgesteld of dit het geval is. Wel is het van belang dat de toelichting publieke dienstverleners die de gezagsmodule gebruiken (en die zich daarbij aan de AVG dienen te conformeren) enig inzicht biedt in de vraag of, en zo ja in wat voor soort situaties, dit al dan niet het geval kan zijn.

De Afdeling adviseert in de toelichting in te gaan op de verhouding tussen de voorgestelde wijze waarop gezag wordt vastgesteld en de vereisten van de AVG inzake geautomatiseerde besluitvorming.

5. Verwerking van bijzondere persoonsgegevens

Het ontwerpbesluit maakt het mogelijk om gegevens te verwerken over de gezondheid van de beoogd vertegenwoordiger. (zie noot 28) De toelichting maakt niet duidelijk om wat voor gegevens het gaat en waarom het noodzakelijk is om deze te kunnen verwerken. Wel spreekt de toelichting over het inloggen op de site van zorgverleners; het kan zijn dat met "gegevens over de gezondheid" (van in dat geval de vertegenwoordigde) wordt gedoeld op het feit dat iemand contact heeft met een bepaalde zorgverlener. Omdat het hier om bijzondere persoonsgegevens gaat dient uit het ontwerpbesluit zelf te blijken welke gegevens verwerkt mogen worden.

De Afdeling adviseert in het ontwerpbesluit te bepalen welke medische gegevens verwerkt mogen worden.

De Afdeling advisering van de Raad van State heeft een aantal bezwaren bij het ontwerpbesluit en adviseert dit besluit niet te nemen, tenzij het is aangepast.

De vice-president van de Raad van State

Voetnoten

(1)Rapportagemodel DPIA Rijksdienst Pilot ouderlijk gezag in de jeugdbeschermingsketen, p. 4 en 5.
(2)Logius, ‘Succesvolle start proef digitaal vaststellen ouderlijk gezag’, te raadplegen via https://logius.nl/actueel/succesvolle-start-proef-digitaal-vaststellen-ouderlijk-gezag.
(3)Uit Logius, ‘Succesvolle start proef digitaal vaststellen ouderlijk gezag’, blijkt dat de evaluatie begin 2023 plaatsvindt, waarna zal worden besloten of de gezagsmodule landelijk beschikbaar komt.
(4)Aanwijzing 7.15 van de Aanwijzingen voor de regelgeving.
(5)Het eerste lid luidt: "Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties draagt zorg voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en betrouwbaarheid van voorzieningen voor elektronisch berichtenverkeer en informatieverschaffing alsmede van voorzieningen voor elektronische authenticatie en elektronische registratie van machtigingen."
(6)Kamerstukken II 2014/15, 34196, nr. 3, p. 10 en 11.
(7)Voorgesteld artikel 7b, onderdeel a, ontwerpbesluit. De benodigde grondslagen voor gegevensverwerking zijn voorzien in artikel 3b, eerste lid, ontwerpbesluit.
(8)Voorgesteld artikel 7b, onderdeel b, ontwerpbesluit. De benodigde grondslagen voor gegevensverwerking zijn voorzien in artikel 3b, tweede lid, ontwerpbesluit. Zie tevens nota van toelichting, algemeen deel, paragraaf 2.2 (Gezagsmodule).
(9)Nota van toelichting, algemeen deel, paragraaf 2.2 (Gezagsmodule).
(10)Voorgesteld artikel 8, onderdelen c en d, ontwerpbesluit.
(11)Artikel 6, eerste lid, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PB 2016, L 119, p. 1.
(12)De grondslag van de wettelijke plicht verlangt dat op de verwerkingsverantwoordelijke daadwerkelijk een plicht rust om de gegevens te verwerken en zij daarbij geen keuze heeft, Advies 6/2014 van de Groep gegevensbescherming artikel 29, p. 23 en 24.
(13)Nota van toelichting, algemeen deel, paragraaf 5 (Privacy en verhouding tot Algemene verordening gegevensbescherming).
(14)CRvB 9 september 2021, ECLI:NL:CRVB:2021:2174, punt 4.4.6.
(15)Artikel 3:2 Awb.
(16)Artikel 6 EVRM.
(17)Rb. Rotterdam 22 februari 2022, ECLI:NL:RBROT:2022:1233, punt 4.7.Ho
(18)Nota van toelichting, algemeen deel, paragraaf 2.1 (Bevoegdheidsverklaringsdienst).
(19)De BRP bevat niet standaard gegevens over ouderlijk gezag, maar bevat wel de gegevens waarmee, aan de hand van de regels uit Boek 1 van het Burgerlijk Wetboek, kan worden vastgesteld of er ouderlijk gezag is - dit dan behoudens een rechterlijke beslissing.
(20)Nota van toelichting, algemeen deel, paragraaf 2.1 (Bevoegdheidsverklaringsdienst).
(21)Ontwikkelagenda BRP, Kamerstukken II, 2022/23, 27859, nr. 163, bijlage, punt 9.
(22)In dit verband: https://www.nationaleombudsman.nl/de-nationale-ombudsman-over-het-uittreksel-brp-met-gezag.
(23)Artikelen 7:447, eerste lid en 7:465, eerste lid, BW (de geneeskundige behandelingsovereenkomst). Artikel 15g van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
(24)Een uitdrukkelijke bepaling is noodzakelijk, omdat de afnemers van MijnOverheid verplicht moeten kunnen worden om aan de evaluatie mee te werken (aanwijzing 5.58, toelichting, van de Aanwijzingen voor de regelgeving).
(25)De standaardtermijn voor evaluaties van vijf jaar lijkt hier onnodig lang: praktische ervaring kan al sneller worden opgedaan. Een termijn van ten hoogste drie jaar ligt daarom meer in de rede.
(26)Artikel 22 AVG.
(27)Artikel 22, eerste lid, AVG. De verordening noemt de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst als voorbeelden waarin een persoon in aanmerkelijke mate wordt getroffen. De wijze waarop de persoon wordt getroffen is dan vergelijkbaar met een besluit waaraan rechtsgevolgen zijn verbonden, zie overweging 71 van de considerans. In Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 van de Groep Gegevensbescherming artikel 29 van 3 oktober 2017, p. 26, wordt aangegeven dat in aanmerkelijke mate getroffen ziet op een besluit dat in potentie de omstandigheden, het gedrag of de keuzen van de betrokken personen in aanmerkelijke mate kan treffen, een langdurig of blijvend effect op de betrokkene heeft, of in het uiterste geval, tot uitsluiting of discriminatie van personen kan leiden. Als voorbeeld wordt hier onder andere genoemd een besluit waarmee iemands toegang tot gezondheidsdiensten wordt getroffen. Bestaande jurisprudentie over dit criterium ziet op uiteenlopende situaties die zich moeilijk laten vergelijken met de werking van de gezagsmodule, zie bijvoorbeeld de twee uitspraken van Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1020, punt 4.60 e.v. (besluitvorming koppeling met chauffeur en ritprijzen in het kader van de Uber-app) en ECLI:NL:RBAMS:2021:1018, punt 4.25 (deactivatie account bij fraude Uber-app). Laatstgenoemde bevestigt het vereiste van een langdurig en blijvend effect. Zie voorts A. Drozdz, Protection of natural persons with regard to automated individual decision-making in the GDPR, Alphen a/d Rijn: Kluwer Law International 2020, p. 47-49.
(28)Voorgestelde artikelen 3a, derde lid, en 3b, derde lid, ontwerpbesluit.