Gebruikers van de Basisregistratie personen (BRP)

Een aantal organisaties mogen de persoonsgegevens in de Basisregistratie Personen (BRP) onder strenge voorwaarden en voor specifieke taken gebruiken. Ook aan de computersystemen van die organisaties worden strenge eisen gesteld.

Bekijk onderstaande video waarin wordt uigelegd wat dit autorisatieproces inhoudt. 

Beoordelen & Autoriseren

Veel overheidsorganisaties hebben persoonsgegevens nodig om hun publiekrechtelijke taak goed uit te kunnen voeren. Deze persoonsgegevens komen uit de Basisregistratie Personen, de BRP. 
Voordat een organisatie toegang krijgt tot de BRP, moeten een aantal stappen worden doorlopen.
Stap 1 Mag de aanvrager aansluiten?
Aansluiten op de BRP mag alleen als er wordt voldaan aan de wettelijke eisen. De Rijksdienst voor Identiteitsgegevens, RvIG,  beoordeelt daarom eerst of de aanvrager voldoet aan de voorwaarden om  persoonsgegevens uit de BRP te mogen krijgen. Dit mag namelijk alleen als:
-    De organisatie een overheidsorgaan is en de gegevens nodig heeft voor een publiekrechtelijke taak of;
-    Als de werkzaamheden die de organisatie uitvoert, door de minister zijn aangewezen als werkzaamheden met een maatschappelijk belang of; 
-    Als de organisatie een onderzoeksinstelling is en voldoet aan een aantal aanvullende voorwaarden.


Stap 2 De autorisatie samenstellen 
Nadat is vastgesteld dat de aanvragende organisatie in aanmerking kan komen voor een aansluiting, wordt gekeken welke persoonsgegevens nodig zijn en op welke manier deze geleverd kunnen worden. 
Hierbij weegt RvIG de belangen van de aanvrager nauwkeurig af tegen de privacy van de burger. 
Om dat goed te kunnen doen bekijkt RvIG hoe de organisatie de taken uitvoert en hoe de gegevens worden verwerkt. We bepalen welke gegevens voor deze taken kunnen worden geleverd en wat daar technisch voor nodig is. 
Ook licht RvIG toe met welke kosten de organisatie rekening moet houden.
Al deze informatie wordt vastgelegd in een Autorisatie Aanvraag Formulier, dat de organisatie bij RvIG indient om de autorisatie aan te vragen.

Stap 3 Realisatie van de autorisatie
Als de aanvraag is ingediend heeft RvIG een aantal weken nodig om de autorisatie te realiseren. De technische aansluiting wordt geactiveerd, de benodigde voorzieningen worden klaargemaakt en er wordt een autorisatiebesluit opgesteld. 
In dit besluit wordt vastgelegd welke gegevens de organisatie ontvangt,  voor welke doelgroepen en voor welke taken. Dit besluit wordt ook gepubliceerd, zodat iedereen het kan bekijken.
Een adviseur dienstverlening van RvIG helpt de aanvrager tijdens het gehele proces. Ook daarna blijft hij of zij het aanspreekpunt. 
De adviseur kan helpen bij vragen over de autorisatie of meedenken als er zich situaties voordoen waarbij de organisatie verplicht is om RvIG te informeren. 
Bijvoorbeeld als de organisatie een taak niet langer hoeft uit te voeren of er juist een nieuwe taak bijkrijgt.
Met het doorlopen van de stappen voor autorisatie, zorgt RvIG voor het veilig en betrouwbaar gebruik van persoonsgegevens.

Meer weten? Kijk dan op www.rvig.nl 

Strenge eisen aan het gebruik van persoonsgegevens

De Belastingdienst, pensioenfondsen en verzekeraars zijn voorbeelden van organisaties die gebruik mogen maken van de persoonsgegevens in de BRP. In de Wet Basisregistratie Personen staat beschreven welke organisaties voor welke taken gebruik mogen maken van de gegevens in de BRP. Daarbij wordt onderscheid gemaakt tussen twee soorten van verstrekking van gegevens:

  • Systematische verstrekking van gegevens.
  • Incidentele verstrekking van gegevens.

Systematische verstrekking van gegevens

Een aantal organisaties ontvangt systematisch gegevens uit de Basisregistratie personen. Deze organisaties zijn aangesloten op de systemen van de BRP.

Organisaties die systematisch gegevens willen ontvangen uit de BRP moeten daarvoor toestemming vragen van de minister van Binnenlandse Zaken en Koninkrijksrelaties. De procedure wordt uitgelegd op de pagina Toegang aanvragen tot de Basisregistratie personen.

Partijen die in aanmerking komen voor systematische verstrekking

De volgende organisaties komen in aanmerking voor systematische aansluiting op de BRP.

  • Overheidsorganen kunnen systematisch gegevens uit de BRP krijgen als zij deze gegevens nodig hebben voor een goede vervulling van hun taak. Overheidsorganen zijn bestuursorganen zoals beschreven in artikel 1.1 van de Algemene wet bestuursrecht. Bijvoorbeeld de Belastingdienst, het UWV, de Sociale Verzekeringsbank en vele anderen.
  • Een aantal organisaties met belangrijke maatschappelijke taken komt in aanmerking voor gegevensverstrekking uit de BRP. Het gaat daarbij om organisaties zoals pensioenfondsen, zorgverzekeraars en ziekenhuizen. Dit staat beschreven in artikel 3.3 Wet BRP en bijlage 4 van het Besluit BRP.
  • Een onderzoeksinstelling kan voor het uitvoeren van wetenschappelijk, statistisch of historisch onderzoek gegevens uit de BRP krijgen. Zo krijgen academische ziekenhuizen gegevens uit de BRP voor het uitvoeren van medisch-wetenschappelijk onderzoek. De instellingen moeten daarvoor voldoen aan de criteria die zijn opgesomd in artikel 3.13 van de Wet BRP en artikel 44 van het Besluit BRP.

Incidentele verstrekking van informatie door gemeenten

Het is ook mogelijk om voor een specifiek, eenmalig doel informatie uit de BRP te ontvangen. Er is dan sprake van incidentele verstrekking van persoonsgegevens. Dat gebeurt bijvoorbeeld als een onderzoeksinstelling persoonsgegevens nodig heeft voor wetenschappelijk onderzoek. Of als een inwoner een uittreksel uit de BRP aanvraagt.

Organisaties die incidenteel gegevens willen ontvangen uit de BRP kunnen daarvoor terecht bij de Nederlandse gemeenten. Die gemeenten leggen in verordeningen vast onder welke voorwaarden ze aan welke partijen gegevens verstrekken.

Partijen die in aanmerking komen voor incidentele verstrekking

De volgende partijen kunnen onder voorwaarden in aanmerking komen voor de verstrekking van persoonsgegevens uit de BRP:

  • Iedere inwoner van Nederland kan de woongemeente vragen om de gegevens die over hem of haar in de BRP zijn opgenomen. Denk daarbij bijvoorbeeld aan een uittreksel.
  • De gemeente zelf kan BRP-gegevens van haar eigen inwoners gebruiken, bijvoorbeeld voor de gemeentelijke belastingdienst of de gemeentelijke sociale dienst. De gemeente is verplicht deze gegevensverstrekking in een gemeentelijke verordening vast te leggen (artikel 3.8 Wet BRP).
  • Bestuursorganen zoals de Belastingdienst en Sociale Verzekeringsbank (SVB)  kunnen in bepaalde situaties persoonsgegevens rechtstreeks bij de gemeente aanvragen. Ze ontvangen daarbij alleen de gegevens die noodzakelijk zijn voor hun taak (artikel 3.5 Wet BRP).
  • Organisaties die gerechtelijke werkzaamheden uitvoeren kunnen gegevens uit de BRP opvragen. Het gaat daarbij bijvoorbeeld om curatoren die faillissementen afhandelen en advocaten die gegevens nodig hebben voor rechtszaken. Dit soort organisaties wordt in de wet ‘verplichte derden’ genoemd. Artikel 3.6 Wet BRP schrijft voor in welke situaties deze ‘verplichte derden’ gegevens uit de BRP kunnen krijgen.
  • Niet-commerciële instellingen en particulieren kunnen onder strenge voorwaarden gegevens uit de BRP krijgen. Dat kan alleen als de gemeente daarover een besluit neemt en deze partijen aanwijst als een zogenaamde 'vrije derde' (artikel 3.9 Wet BRP). Daarbij mag de gemeente alleen de volgende gegevens geven: naam, geslacht, naam, naamgebruik van de (ex-) echtgenoot of geregistreerd partner, adres, geboortegemeente, geboortedatum en datum van overlijden.
  • Een aantal organisaties met een zogenaamd ‘gewichtig maatschappelijk belang’ komt in aanmerking voor gegevensverstrekking uit de basisregistratie personen (artikelen 37 en artikel 39 van het Besluit BRP).

Gebruik BRP voor publiek- en privaatrechtelijke taken

Gegevens uit de BRP mogen alleen gebruikt worden voor publiekrechtelijke taken. Het publiekrecht regelt de verhouding tussen de burger en de overheid. Het gaat dan vaak om zaken waarbij de overheid de rol van gezagdrager heeft. Een afdeling binnen de overheid die uitsluitend privaatrechtelijk taken uitvoert (de relaties tussen personen onderling) kan en mag de BRP niet gebruiken.