Verzamelbrief Digitalisering

Regie op delen van gegevens met private partijen

Er zijn uiteenlopende manieren voor de burgers om gegevens die over hen bekend zijn bij publieke partijen op te halen en digitaal te delen met private partijen. Bijvoorbeeld voor de aanvraag van een hypotheek of bij de aanvraag voor financiële steun bij het betalen van de energierekening (Noodfonds Energie)

Zo is het mogelijk dat een dienstverlener (bijv. een bank) gegevens met toestemming van de burger direct ophaalt bij de overheidsbron. Er wordt dan vaak gebruik gemaakt van zogenaamde datadeler apps. De datadeler-apps leveren gebruiksgemak op voor zowel burgers als dienstverleners, maar brengen ook risico’s met zich mee voor (privacy)bescherming van de burger. Dat komt voornamelijk omdat door de datadelers apps gebruik wordt gemaakt van de zogenaamde scraping techniek, om informatie op te halen bij overheidsportalen, waardoor het voor de burger niet altijd duidelijk is welke gegevens worden opgehaald en er mogelijk meer gegevens worden verwerkt dan noodzakelijk.

Convenant

Deze risico’s heeft mijn voorganger willen beperken door een convenant op te stellen met regels over transparante werking van de apps. De risico’s zijn echter met het afsluiten van een convenant niet geheel weg te nemen, daarom heeft mijn voorganger advies gevraagd aan de Autoriteit Persoonsgegevens (AP). De AP begrijpt de intentie van een convenant, maar geeft het advies om geen convenant te sluiten als dit verwerkingen legitimeert die mogelijk niet aan de AVG voldoen.

Autoriteit Persoonsgegevens

De AP adviseert om versneld te werken aan een gewenste passende oplossing die naleving van de AVG technisch afdwingt (met application programming interfaces, afgekort API’s). Ik stop daarom conform het advies van de AP met het maken van afspraken in een convenant en werk aan technische oplossing met API’s. API’s zorgen ervoor dat verschillende applicaties met elkaar kunnen communiceren. Zo kan een proces worden gecreëerd waarbij burgers veilig en onder eigen regie gegevens kunnen delen met private partijen.

Datadelers

Ik schat in dat dat ongeveer 2 jaar duurt, maar dat tussentijds, als API’s beschikbaar komen, hier al gebruikt van kan worden gemaakt. Dit duurt daarmee langer dan het maken van afspraken, maar uiteindelijk kan de naleving van AVG er beter door worden geborgd op de lange termijn. Ik zie deze ontwikkeling als een maatschappelijk gedreven en gewenste ontwikkeling, die ook meerwaarde en gebruikersgemak geeft aan de dienstverlening die datadelers aanbieden. Ik zal datadelers dan ook nauw bij deze ontwikkeling betrekken. Ik werk eraan om te zorgen dat burgers van deze ontwikkeling veilig en met privacy waarborgen gebruik kunnen maken.

Bron: Rijksoverheid