CBP adviseert over gegevensverwerking bij digitaal berichtenverkeer met Belastingdienst

Het College bescherming persoonsgegevens (CBP) heeft op verzoek van de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) geadviseerd over het Besluit verwerking persoonsgegevens DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister. Het CBP adviseert het besluit pas te nemen nadat rekening is gehouden met de opmerkingen van het CBP.

Het (ontwerp)besluit geeft uitvoering aan de Wet elektronisch berichtenverkeer Belastingdienst. In deze wet is digitaal communiceren met de Belastingdienst verplicht gesteld. Dat houdt in dat mensen alleen via  de berichtenbox van MijnOverheid.nl kunnen communiceren met de Belastingdienst.

Verder heeft de minister van BZK in deze wet de taak gekregen om te zorgen voor het functioneren van een aantal voorzieningen voor elektronische authenticatie, zoals MijnOverheid, DigiD en het BSN-Koppelregister. Het ontwerpbesluit regelt de gegevensverwerkingen die samenhangen met deze zorgtaak van de minister.

Noodzaak digitaal communiceren

De verplichting om digitaal te communiceren met de Belastingdienst wordt door de minister van BZK gezien als een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer (artikel 8 EVRM), blijkt uit het besluit. Het CBP is dezelfde mening toegedaan.

Deze inbreuk betekent dat de verplichting maatschappelijk noodzakelijk moet zijn. Het CBP constateert dat een onderbouwing van die maatschappelijke noodzaak in het ontwerpbesluit onvoldoende is gemaakt. Ook is niet ingegaan op de vraag of het doel ook op een minder ingrijpende manier te bereiken is.

Beveiliging digitaal communiceren

Het verplichte gebruik van de berichtenbox van MijnOverheid.nl heeft verder tot gevolg dat veel (gevoelige) persoonsgegevens digitaal zullen worden verwerkt, waaronder het burgerservicenummer (BSN).

Ook bij de andere voorzieningen voor elektronische authenticatie waarvan de gegevensverwerkingen in het ontwerpbesluit zijn geregeld, zoals DigiD en het BSN-Koppelregister, worden veel (gevoelige) persoonsgegevens digitaal verwerkt.

Het CBP adviseert nader in te gaan op de inrichting van de beveiliging van deze voorzieningen.