• Jasper Schut, Elske Derks en Wouter Diephuis, juristen bij BZK
• Nico Spijkers, beleidsmedewerker bij VRO - Zicht op Nederland
• Rens Kievit, PhD student BZK – ODI
• Allert de Zeeuw, Belastingdienst, beheerder van BRI
• Marc de Boer, PO van FTV

We merkten dat het belangrijk is te focussen op toegangsverlening, dus op het kader voor regels en handhaving daarvan, en niet op de uitwisseling zelf of de data die uitgewisseld wordt. Het FDS als geheel heeft een juridisch kader nodig waar o.a. Jasper aan werkt. Daar worden de aansluitvoorwaarden, (FSC)-contracten en meer gekaderd. Wij gaan het hier alleen hebben over het kader waarbinnen FTV zich kan bewegen, de basis waarop een standaard zaken kan opleggen.

Ook spraken we over een fundamenteel verschil in uitgangspunt tussen hoe de belastingdienst enerzijds en hoe het FDS en bijvoorbeeld RvIG anderzijds kijkt naar verantwoordelijkheden. In het FDS wordt uitgegaan van een niveau van wederzijds vertrouwen op basis van de stelselafspraken, waardoor er geen 1-op-1 contracten tussen afnemer en aanbieder meer hoeft te zijn. De aanbieder mag erop vertrouwen dat de afnemer zijn doelbinding kent en toegang gecontroleerd heeft. De belastingdienst, en Allert geeft aan dat dat vermoedelijk ook geldt bij BKWI/Suwi, houdt wel degelijk elke afnemer en elke afname scherp in de gaten, en kent dus elke doelbinding en grondslag.

Een ander punt waar het schuurt is de toegang vs uitwisseling. Het GDI-domein toegang gaat over burgers en bedrijven die toegang krijgen tot processen en gegevens (inclusief de wallet), Het domein uitwisseling gaat over gegevensuitwisseling tussen overheden onderling. FTV valt onder het domein uitwisseling; de naam toegangsverlening is daarom wat verwarrend. Het juridisch kader moet zich daarom beperken om de afspraken die tussen overheden gerespecteerd moeten worden, en niet de rechten van burgers en bedrijven, ook niet gedelegeerd.

Naast uitwisseling tussen overheden is er nog een gebied, namelijk waarin private partijen in opdracht van de overheid gegevens verwerken. Er moet onderzocht worden in hoeverre het overheidsaandeel in dit juridisch kader past. Tot slot werd een voorbeeld genoemd waarbij RWS gegevens van een autofabrikant koopt over de kwaliteit van het wegdek. Hierbij lijkt er geen sprake van uitwisseling te zijn in deze zin.

De logische aanvliegroute voor het kader lijkt te kijken naar de drie standaarden waar FTV naar streeft: AuthZEN, de formalisering van de vraag om toegang en het antwoord. Dit houdt verband met wat het betekent om ‘handhaver’ te zijn van toegangsbeleid. Logboek toegangsbeslissingen, bedoeld om achteraf verantwoording over genomen beslissingen te kunnen afleggen. Het kader zal moeten aangeven welke gegevens er in het logboek moeten, mogen en niet mogen staan, en wanneer welke verplichtingen bestaan om inzage te geven. Register toegangsverleningen, het register waarin de regels worden bijgehouden. Het kader zal zich uitspreken over wat van een register en registerhouder verwacht wordt.

Waar de meeste cases in het FDS gaan over specifieke verwerkingsverzoeken, kent Rens vanuit zijn perspectief ook vooral brede zoekvragen in het kader van onderzoek. Dit moeten we ook faciliteren. Mogelijk dat de AuthZEN search API’s, eventueel met een uitbreiding, daarin kunnen voorzien. Een mapping/relatie met de FAIR-principes is ook een onderwerp om mee te nemen.

We gaan een volgende keer per onderdeel dieper kijken naar wat de wetten zoals AVG en ABR ons zeggen.