De overheid komt met API's (application programming interfaces) voor het delen van data tussen burgers en private partijen. Er komt geen convenant met aanbieders van datadeler-apps. Dat laat staatssecretaris Szabo voor Digitalisering weten, die daarmee advies van de Autoriteit Persoonsgegevens (AP) opvolgt. Datadeler-apps zijn applicaties waarmee mensen gegevens over zichzelf uit overheidsregistraties kunnen (laten) verzamelen, bijvoorbeeld om een hypotheek of een huurwoning te kunnen krijgen.

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.

"Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties maakt zich zorgen over de gevolgen van het gebruik van datadeler-apps voor de bescherming van persoonsgegevens van de burgers die deze apps gebruiken. Zo hebben de datadeler-apps na het inloggen via DigiD door de betrokkene toegang tot alle gegevens die over de betrokkene op de betreffende overheidswebsite staan, terwijl voor het doel waarvoor de gegevens worden opgevraagd, doorgaans alleen maar een deel van deze gegevens nodig is", liet de Autoriteit Persoonsgegeven afgelopen augustus weten.

Zorgen bij Autoriteit Persoonsgegevens

Het ministerie had de AP om advies over datadeler-apps gevraagd. Ook de privacytoezichthouder maakt zich zorgen. Zo zegt de Autoriteit Persoonsgegevens signalen te hebben dat burgers in de praktijk niet altijd een vrije keuze hebben om datadeler-apps te gebruiken, of daarover niet voldoende worden geïnformeerd. Ook zegt de AP signalen uit de praktijk te hebben dat datadeler-apps niet altijd transparant zijn over de techniek die zij gebruiken en over welke persoonsgegevens zij precies verwerken.

Een ander probleem is de manier van inloggen, die de AP problematisch noemt. "Ten eerste wordt het beveiligingsniveau van DigiD verlaagd doordat de datadeler-apps niet de DigiD-app kunnen gebruiken bij het inloggen op overheidswebsites. Ten tweede zijn de DigiD-gebruikersnaam en -wachtwoord van de gebruiker zichtbaar voor de datadeler-app, wat een risico op identiteitsfraude tot gevolg kan hebben."

Om een deel van de problemen tegen te gaan overwoog het ministerie om met de aanbieders van datadeler-apps afspraken te maken en deze vast te leggen in een convenant. De toezichthouder adviseert hier tegen, omdat het ministerie onrechtmatige verwerkingen door datadeler-apps via een convenant zou legitimeren. De AP adviseert als oplossing het beschikbaar stellen van API's, in combinatie met het inrichten van accounts voor de datadeler-apps waarbij het gebruik van de API's gecontroleerd kan worden.

Ontwikkeltijd van twee jaar

Staatssecretaris Szabo laat vandaag weten dat hij het advies van de AP overneemt. "Ik stop daarom conform het advies van de AP met het maken van afspraken in een convenant en werk aan technische oplossing met API’s." De bewindsman schat dat dit ongeveer twee jaar zal duren, maar dat tussentijds, als API’s beschikbaar komen, hier al gebruik van kan worden gemaakt (pdf).