up to
index

HET GBA-PROJECT;
BEVEILIGING EN AUTONOMIE

mr. P.J. Westerhof

Inhoudsopgave

  1. Inleiding
  2. Onderzoeken omtrent beveiliging
  3. GBA en centrale sturing
  4. Autonomie
  5. Conclusie
  6. Voetnoten

1 - INLEIDING

 Gegevensbeveiliging bij geautomatiseerde systemen is een onderwerp dat de laatste jaren regelmatig in het nieuws is gekomen. De aard van dit nieuws was doorgaans dermate negatief dat zowel burgers, overheid als volksvertegenwoordiging zich met enige spoed bewust werden van de bij gegevensbeveiliging betrokken belangen en meer nog, van de ingeval van afwezigheid van gegevensbeveiliging getróffen belangen.
Een onderscheid dat in dit kader niet altijd even duidelijk gemaakt wordt is dat tussen de 'bescherming van de persoonlijke levenssfeer' en de 'bescherming c.q. beveiliging van gegevens'. Deze beide begrippen overlappen elkaar weliswaar ten dele, maar terwijl het eerste zijn neerslag vindt in de langzamerhand tamelijk uitgebreide privacy-regelgeving, wordt aan het tweede tot op heden weinig inhoudelijke aandacht besteed.(1)
Steeds meer ontstaat het besef dat een deugdelijke beveiliging van de openbare informatievoorziening in het algemeen, en die van politie en justitie in het bijzonder, van essentieel belang is voor de beveiliging van de privacy van de burger en voor het functioneren van de overheid als geheel.

Met de Wet GBA zal een zgn. 'basisadministratie' in het leven worden geroepen. Hiermee wordt tot uitdrukking gebracht dat deze administratie de bron en de grondslag vormt van de algemene informatie over personen voor overheid en semi-overheid.(2) Dit zal de betrouwbaarheid van de gegevens en de rechtszekerheid ten goede dienen te komen, afnemers van de GBA-gegevens moeten deze als juist mogen beschouwen. Hieruit volgt dat deze juistheid in hoge mate moet kunnen worden gegarandeerd, hetgeen dan ook impliciet een afdoende beveiliging(3) van de GBA-gegevens vereist. Dit geldt temeer aangezien de uitoefening van rechten en de nakoming van plichten door de burger in verband met het openbaar bestuur of de sociale zekerheid, voor zover daar algemene persoonsgegevens van belang zijn, in beginsel mede zullen zijn gebaseerd op de inhoud van de basisadministratie.(4)
De GBA heeft als doelstellingen het bevorderen van de doelmatigheid van de GBA-persoonsgegevens en het beschermen van de persoonlijke levenssfeer van de geregistreerde. Een deugdelijke beveiliging ligt in het verlengde van deze doelstellingen, zij vereisen bijvoorbeeld dat de basisadministratie persoonsgegevens bevat waarvan onder andere de beveiliging deugdelijk is gewaarborgd en duidelijk is geregeld.(5)

Hierna zal allereerst een kort inhoudelijk overzicht worden gegeven van de voornaamste onderzoeken inzake gegevensbeveiliging tot op heden (§ 6.2). In § 6.3 zal worden bezien in hoeverre de centrale overheid bevoegd is ten aanzien van de GBA-gegevensbeveiliging sturend op te treden door middel van het stellen van nadere regels. De inbreuk die dergelijke centrale regelgeving maakt op de autonomie van organen in de openbare sector en op het aan de GBA ten grondslag liggende beginsel van 'zelfregulering' zal behandeld worden in § 6.4. In § 6.5 volgt een conclusie.

2 - ONDERZOEKEN

Rapport Commissie Franken.(6)

In 1987 deed het rapport van de Commissie Computercriminaliteit, naar zijn voorzitter in de wandeling de Commissie Franken genaamd, enig stof opwaaien. In de eerste plaats door de constatering dat het in het bedrijfsleven met de computerbeveiliging niet bijster goed gesteld was. Doorgaans bleek een duidelijk beveiligingsbeleid niet te bestaan of slechts een geïsoleerde dan wel marginale rol te vervullen. Dit was voor de commissie een reden om te constateren dat het 'beveiligingsbewustzijn' binnen bedrijven en instellingen kennelijk laag lag. In de tweede plaats deed de commissie het voorstel het inbreken in computersystemen (het zgn. 'hacken') strafbaar te stellen. Voorwaarde voor deze bescherming door de strafwet was dat het computersysteem beveiligd was.
Het voorstel is inmiddels opgenomen in het wetsvoorstel Computercriminaliteit.(7)

Rapport Rekenkamer.

Op 9 november 1988 werd door de Rekenkamer het rapport 'Computerbeveiliging. Beveiliging van gegevens in geautomatiseerde systemen bij de ministeries.'(8) aangeboden aan de Voorzitter van de Tweede Kamer. De voornaamste conclusie van de Rekenkamer was dat:
"onvoldoende waarborg bestaat dat grote risico's met betrekking tot gegevens in geautomatiseerde systemen bij de ministeries worden afgedekt."
Het feit dat de commissie Franken in zijn rapport 'Informatietechniek en strafrecht' soortgelijke conclusies trok ten aanzien van het bedrijfsleven, doet veronderstellen dat de overheid wellicht meer bedrijfsmatig bezig is dan men had kunnen bevroeden.
In zijn antwoorden op kamervragen naar aanleiding van het Rekenkamerrapport deelde de Minister van Binnenlandse Zaken mede dat door hem medio 1988 een opdracht was verstrekt aan een extern bureau, teneinde een onderzoek te laten doen naar de beveiliging van de openbare informatievoorziening. Het was de bedoeling dat het onderzoek begin juni 1988 zou zijn afgerond en de eerste aanzet zou leveren voor een concept-beleidsplan.
Juli 1989 was het zgn. SIBAS-rapport gereed. Het werd 18 september 1989 aan de minister van Binnenlandse Zaken van Dijk aangeboden.

SIBAS-rapport.(9)

Bekeek de Rekenkamer de beveiligingssituatie per ministerie, het in juli 1989 uitgebrachte SIBAS-rapport doet dat voor een aantal grote informatiesystemen bij de rijksoverheid.(10)
Als rode draad loopt door het rapport: In aansluiting op het aanbieden van het SIBAS-rapport is door het Ministerie van Binnenlandse Zaken het initiatief genomen tot formeel overleg met de ministeries van Buitenlandse Zaken en van Defensie over de wijze waarop aan de aanbevelingen van het rapport gevolg kan worden gegeven.

Rapport Commissie Charbon/Kaspersen.(11)

In opdracht van het Platform Computercriminaliteit werd in 1990 wederom een onderzoek gedaan naar de kwaliteit van de computerbeveiliging. Een enquete werd gehouden onder ca. 2600 Nederlandse organisaties (overheid, bedrijfsleven, dienstverlening, profit en non-profit) die over enige mate van automatisering beschikken.
Van het totaal van 845 respondenten beschikte iets meer dan 60% over een beveiligingsbeleid, hiervan had iets meer dan 40% dit beleid ook schriftelijk vastgelegd, slechts 17% had een risico-analyse gemaakt, terwijl iets meer dan 22% een beveiligingsfunctionaris had aangesteld.

L+T INFORMATICA - onderzoek.

Uit dit in 1991 uitgevoerde, niet openbare, onderzoek naar de stand van zaken rond gegevensbeveiliging bij gemeenten bleek dat de meeste van de 570 bekeken gemeenten het beveiligen van de geautomatiseerde informatievoorziening zien als het treffen van een aantal fysieke maatregelen en een aantal beschermende maatregelen, gericht op de programmatuur. Organisatorische maatregelen en voorzieningen gericht op de continuiteitswaarborging van de gegevensverwerking ontbreken in de meeste gemeenten. Het is overigens niet duidelijk of in het onderzoek ook aandacht is geschonken aan een risico-analyse, of dat dat gerekend werd tot de organisatorische maatregelen.

Conclusie

De conclusie met betrekking tot de hiervoor weergegeven onderzoeken kan als volgt worden samengevat:

De beveiliging van de geautomatiseerde informatievoorziening kenmerkt zich in de praktijk door afwezigheid van een voldoende beveiligingsbewustzijn. Dit leidt tot ad hoc-maatregelen tengevolge van het ontbreken van een deugdelijk beveiligingsbeleid gebaseerd op een integrale risico-analyse en tot het verschijnsel dat wèl voorhanden (beleids-)instrumentarium niet of nauwelijks wordt benut. Naar mijn mening kan uit deze rapporten, die een periode van 5   6 jaar beslaan, terecht worden afgeleid dat een zekere mate van centrale aansturing door de centrale overheid wenselijk zou zijn.

3 - GBA en centrale sturing

 Op centraal niveau ligt de verantwoordelijkheid voor de regeling van het systeem en de zorg voor het netwerk. De centrale overheid heeft daarbij in hoofdzaak een regelende taak voor zover in verband met de algemene functie van de basisadministratie voorschriften omtrent de inhoud, het gebruik, de bescherming van de persoonlijke levenssfeer of de techniek noodzakelijk zijn.(12) De centraal te stellen eisen voor de gemeentelijke automatisering zullen beperkt blijven tot die eisen die noodzakelijk zijn om de consistentie van en de communicatie tussen alle betrokken gemeentelijke systemen te waarborgen.(13)

Anderzijds is de mogelijkheid geschapen om ten aanzien van het gemeentelijk beveiligingsbeleid op centraal niveau uitgebreid nadere regels te kunnen stellen.(14) Volgens de MvT ligt het in de bedoeling de voorzieningen ter bevordering van onder andere de beveiliging van gegevens zeer precies en omvattend te regelen.(15) De Minister was weliswaar van mening dat de wijze waarop de gemeentebesturen invulling zullen geven aan de concretisering van de voorgeschreven maatregelen behoort tot de verantwoordelijkheid van de gemeenten, niettemin heeft zij in reactie op kamervragen n.a.v. het L+T - INFORMATICA-onderzoek laten weten op grond van art. 5 van het voorstel van wet bij of krachtens amvb nadere regels te zullen stellen omtrent de beveiliging van de basisadministratie.(16)

Uitgangspunt bij het ontwerpen van het voorstel van wet GBA is geweest dat de hoofdstructuur wordt vastgelegd in de wet. Delegatie zal aan een amvb plaatsvinden indien materiële bepalingen uitwerking behoeven in nadere regels, terwijl toepassingsvoorschriften van technische aard zullen worden opgenomen in een ministeriële regeling.(17) Daarnaast is het de bedoeling dat gemeentebesturen op daarvoor geschikte momenten door middel van circulaires zullen worden ingelicht over de wijze waarop bepaalde, met name nieuwe voorschriften moeten worden toegepast(18), in het geven van richtlijnen is niet voorzien.

Het traject van Besluit voorbereiding GBA tot en met Wet GBA gaat in de praktijk ongeveer als volgt:

- Voorbereidingsfase

Het zgn. 'Logisch Ontwerp GBA' van juni 1990 bevat in hoofdstuk 6 aanwijzingen voor de beveiliging van het beheer en het gebruik van persoonsgegevens in de GBA. Hiervoor zijn de Aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid van 16 juli 1982 - kortweg de Aanwijzingen van 1982 - ongewijzigd overgenomen.(19) Ten aanzien van het eventueel stellen van eisen met betrekking tot de beveiliging van persoonsgegevens zijn het ook alleen déze Aanwijzingen die in van toepassing kunnen zijn.
Deze in het Logisch Ontwerp opgenomen eisen met betrekking tot beveiliging worden vastgelegd op grond van de artt. 21, 30 en 34 sub c van het Besluit voorbereiding gemeentelijke basisadministratie persoonsgegevens.(20) Dit is onder andere gebeurd per Regeling voorbereiding GBA van 16 augustus 1991.(21) De belangrijkste functie van deze regeling is een schakel te vormen tussen het besluit voorbereiding GBA en het Logisch Ontwerp, door aan dit Logisch Ontwerp verbindende kracht te verlenen. De functie van het Besluit en de Regeling gezamenlijk is onder andere om voorafgaand aan de inwerkingtreding van de Wet GBA reeds op GBA-wijze te kunnen werken.(22)

Men is pas gerechtigd tot gebruik van het GBA-netwerk na verkregen toestemming van de Minister van Binnenlandse Zaken (art.22 eerste lid), volgend op een daartoe strekkend verzoek (art. 22 tweede lid). Deze toestemming wordt eerst verleend nadat is onderzocht of de beveiliging van de basisadministratie voldoet aan de eisen van art. 30 (art. 22 derde lid) en de houder zich bij voorbaat heeft verbonden te zullen voldoen aan door de Minister van Binnenlandse Zaken in de toekomst nog te stellen eisen (art. 22 negende lid). Na verkregen toestemming rust op de houder van de basisadministratie een zorgplicht dat de basisadministratie zal blíjven voldoen aan de eisen van art. 30(23), dus inclusief de nog te stellen eisen (art. 23). Ook na verkregen toestemming is de Minister van Binnenlandse Zaken steeds bevoegd te onderzoeken of de beveiliging voldoet aan de eisen van art. 30 (art. 24 eerste lid). Voldoet deze niet - met andere woorden is de houder tekortgeschoten in zijn zorgplicht - dan kan de Minister van Binnenlandse Zaken een 'reparatietermijn' stellen (art. 24 derde lid). Blíjft de houder tekortschieten, zodat niet aan de eisen van art. 30 wordt voldaan, dan kan de minister de toestemming tot gebruik van het GBA-netwerk intrekken (art. 25).

- Fase inwerkingtreding Wet GBA

De eisen uit het Logisch Ontwerp welke in het voorbereidingsbesluit middels regelgeving zijn opgenomen, zullen na de inwerkingtreding van de Wet GBA worden vastgelegd bij of krachtens amvb op grond van de artt. 5 en 94 tweede lid. Het is overigens zeer wel denkbaar dat het Logisch Ontwerp zoals dat van kracht is gedurende de voorbereidingsfase (i.e. gedurende de werking van het Besluit voorbereiding GBA) op een aantal punten afwijkt van het Logisch Ontwerp zoals dat op grond van art. 5 eerste lid voorstel van wet GBA verbindend zal worden verklaard. Dit in verband met eventuele aanpassingen die het gevolg zijn van de ervaringen die gedurende de voorbereidingsfase met het GBA-stelsel zijn opgedaan.(24)
Volgens het gewijzigd voorstel van wet GBA(25) zullen bij of krachtens amvb algemene regels worden gesteld omtrent onder meer de beveiliging van de basisadministratie (art. 5 eerste lid), aan welke regels in ieder geval uitvoering moet worden gegeven vanaf een bij of krachtens de maatregel bepaald tijdstip (art. 5 tweede lid). Het gemeentebestuur is echter slechts bevoegd uitvoering aan deze regels te geven na toestemming van de Minister van Binnenlandse Zaken (art. 6). Deze toestemming wordt pas verleend na een goedkeurend onderzoek aan de hand van de uit het Logisch Ontwerp afkomstige, nu in de Wet GBA neergelegde, eisen met betrekking tot onder meer de beveiliging van de voorzieningen waarmee het gemeentebestuur uitvoering wil geven aan de op grond van art. 5 gestelde regels (art. 6b). Het lijkt aannemelijk dat de eenmaal op grond van art. 22 eerste lid voorbereidingsbesluit GBA verkregen toestemming tot netwerkgebruik naadloos zal kunnen overgaan in de toestemming op basis van art. 6 Wet GBA.
Wel zal de houder van de basisadministratie zijn zorgplicht ten aanzien van het voldoen aan de gestelde beveiligingsregels (art. 23 voorbereidingsbesluit) moeten blijven vervullen. Anders zou immers zijn toestemming tot netwerk-gebruik worden ingetrokken krachtens art. 25 voorbereidingsbesluit. Het gemeentebestuur dient vóór een bij of krachtens amvb te bepalen tijdstip een verzoek te doen tot het verlenen van toestemming (art. 6a). Voldoet men niet aan de regels dan kan de Minister van Binnenlandse Zaken aanwijzingen terzake van de wijze van uitvoering van de regels bedoeld in art. 5 geven. Het gemeentebestuur is verplicht deze aanwijzingen op te volgen (art. 7 gewijzigd voorstel).(26) Tot het moment dat men aan deze regels voldoet is men niet gerechtigd tot aansluiting op het GBA-netwerk.(27) Zoals gezegd zijn de eisen van de artt. 5 en 94 echter rechtstreeks afgeleid uit de in het voorbereidingsbesluit opgenomen eisen.(28) Dit houdt in dat àls men al toestemming had tot gebruik van het GBA-netwerk, deze toestemming krachtens art. 25 voorbereidingsbesluit wordt ingetrokken wegens een tekortschietende zorgplicht als bedoeld in art. 23 voorbereidingsbesluit. Is het gemeentebestuur eenmaal in het bezit van de toestemming als bedoeld in art. 6, dan heeft het wederom de zorgplicht dat de beveiliging van de basisadministratie zal blíjven voldoen aan de eisen van art. 5 (art. 6c eerste lid). In dit verband kunnen bij amvb nadere eisen worden gesteld (art. 6c tweede lid). Ook na verkregen toestemming is de Minister van Binnenlandse Zaken steeds bevoegd te onderzoeken of de beveiliging aan de eisen van art. 5 voldoet (art. 6d eerste lid). Ook indien geen toestemming is verkregen en ook geen daartoe strekkend verzoek is gedaan, is de Minister bevoegd het gemeentebestuur aanwijzingen te geven. Het gemeentebestuur is verplicht hieraan binnen een door de Minister te stellen termijn te voldoen (art. 7).(29)

4 - Autonomie

 De zgn. 'BIOS-nota'(30) gaat uit van het beginsel van 'begrensde autonomie'(31) en de individuele verantwoordelijkheid voor de eigen informatievoorziening van de verschillende organen in de openbare sector. Iedere minister, ieder provincie en gemeentebestuur is zèlf verantwoordelijk voor de eigen informatievoorziening. Deze bestuurlijke autonomie mag niet door de toepassing van informatietechnologie door de rijksoverheid in het gedrang komen.(32) Het belang van de coördinatie van de interbestuurlijke informatievoorziening voor de openbare sector als geheel kan het echter noodzakelijk maken dat de Minister van Binnenlandse Zaken maatregelen voorstelt c.q. voorschriften geeft welke deze bestuurlijke autonomie beperken.(33) Daarin vindt de autonomie zijn begrenzing zodat dan ook van een 'begrensde autonomie' kan worden gesproken. Een dergelijke algemene coördinatie kan met name dán noodzakelijk zijn in een drietal (met name genoemde) gevallen: indien grenzen van organisatie-eenheden worden overschreden, indien door een gezamenlijke aanpak voordelen kunnen worden bereikt, of indien kansrijke ontwikkelingen sneller voor de gehele openbare sector gestimuleerd kunnen worden.
De BOCO heeft in zijn advies met betrekking tot de BIOS-nota(34) opgemerkt 'dat het door het rijk gevoerde beleid met verregaande verplichtingen voor andere bestuurslagen een aantasting betekent van de autonomie van iedere bestuurslaag en een inbreuk op de eigen activiteiten van gemeenten en provincies. Daarin ligt een stuk centraliserende tendens besloten die als bedreiging wordt opgevat. Afstemming is derhalve noodzakelijk.' Reeds eerder had de BOCO bij dergelijk beleid kanttekeningen gezet en sprak van 'de sluipende verschuiving van macht zonder formele taakstellingen' en van 'verschuiving van autonomie naar medebewind'.(35)

Decentralisatie wordt in principe ruim opgevat: het omvat niet alleen overdracht van bevoegdheden van hogere naar lagere overheden, maar ook vermindering van bemoeienis van hogere overheden met lagere.
Vanouds worden twee vormen van decentralisatie onderscheiden: autonomie en medebewind. Autonomie betreft dan het zelfstandig regelen en besturen van de 'eigen' aangelegenheden, van wat de grondwet de 'eigen huishouding' noemt. Dit open begrip moet worden gezien in het verband van de gedecentraliseerde eenheidsstaat. Medebewind ziet op de taak om, naast het beheer van de eigen huishouding, mee te werken aan de uitvoering van hogere regelingen: wetten, amvb's, etc., wanneer die regelingen dat vorderen.(36)
Was aanvankelijk het uitgangspunt dat bij medebewind slechts in grote lijnen werd geschetst wat verwacht werd, gaandeweg werd de wijze van invulling steeds gedetailleerder aangegeven, zodat van de zin van decentralisatie, het in beginsel zèlf uitmaken wat gegeven de plaatselijke omstandigheden het beste is, weinig meer terecht kwam. Inmiddels zijn de begrippen autonomie en medebewind echter naar elkaar toegegroeid. Lagen de belangrijkste verschillen vroeger met name in het verschil in aansprakelijkheid en verantwoordingsplicht, tegenwoordig wordt het onderscheid met name gezocht in de mate van beleidsvrijheid. De grootte van de speelruimte waarbinnen een organisatie-eenheid kan handelen zònder inmenging van hoger gezag is met andere woorden een vraagstuk van (de)centralisatie van beslissingsbevoegdheden.(37) Het verschil is gradueel geworden, een glijdende schaal met het inherente gevaar van een sluipende inkadering en beperking van wat eerst (meer) autonomie was naar wat nu (meer) medebewind wordt, met andere woorden een centraliserende tendens waarvoor ook de BOCO reeds waarschuwde.
Het gebruik en beheer van informatie en informatiestromen heeft in de praktijk ten aanzien van de sturing daarvan reeds een centraliserende effect in zich. Dit centraliserende effect kan een inperking van de autonomie van de bij deze informatie betrokken organisatie-onderdelen ten gevolge hebben, hetgeen afbreuk zou doen aan de legitimiteit van het overheidshandelen.

Het principe van de decentralisatie is vertegenwoordigd in de verantwoordelijkheid van de gemeenten, afnemers en derden voor de inrichting, werking en beveiliging van hun eigen administraties.(38) De door de centrale overheid te stellen regels dienen de autonomie van de gemeentebesturen en van afnemers van bevolkingsgegevens tot het voeren van een eigen informatiebeleid zoveel mogelijk te waarborgen.(39) Het Besluit voorbereiding GBA merkt in dit kader op dat bij de verdeling van bevoegdheden de algemene uitgangspunten met betrekking tot decentralisatie en deregulering en met betrekking tot informatie-uitwisseling binnen het openbaar bestuur in acht dienen te worden genomen.(40)
De verantwoordelijkheid voor het beveiligingsbeleid - i.e. de invulling van de beveiligingsplicht - ligt in beginsel bij de houder van de basisadministratie. Dit wordt samengevat in de term 'zelfregulering'.(41) Zowel in de voorbereidingsfase als na de invoering van de WetGBA is het gemeentebestuur aangewezen als houder van de basisadministratie. De houder dient de nodige voorzieningen van technische en organisatorische aard te treffen ter beveiliging van de persoonsregistratie (art. 8 WPR). Het Besluit voorbereiding GBA alsook de op art. 30 van dit besluit gebaseerde Regeling voorbereiding GBA(42) geven met betrekking tot de basisadministratie nadere invulling aan deze beveiligingsplicht van de houder. De Memorie van Toelichting bij het voorstel van wet GBA stelt dat de rol van de Minister van Binnenlandse Zaken, in vergelijking tot vroeger, sterk is teruggedrongen ten gunste van de gemeentebesturen.(43) Zodoende zou het zwaartepunt op gemeentelijk niveau komen te liggen.

5 - Conclusie

 De BIOS-nota gaat uit van het beginsel van 'begrensde autonomie' en de eigen verantwoordelijkheid voor de eigen informatievoorziening van de verschillende organen in de openbare sector. Reeds eerder waarschuwde de BOCO hier voor 'de sluipende verschuiving van macht zonder formele taakstellingen' en van 'verschuiving van autonomie naar medebewind'. De verantwoordelijkheid voor het beveiligingsbeleid - i.e. de invulling van de beveiligingsplicht - ligt in beginsel bij de houder van de basisadministratie. Niettemin kunnen ten aanzien van dit beveiligingsbeleid centraal uitgebreid nadere regels worden gesteld. Volgens de Memorie van Toelichting ligt het ook in de bedoeling de voorzieningen ter bevordering van onder andere de beveiliging van gegevens zeer precies en omvattend te regelen.

Naar mijn mening impliceert het aan de BIOS-nota alsook aan het GBA-stelsel ten grondslag liggende beginsel van 'zelfregulering' dat van een centrale bemoeienis slechts zeer terughoudend gebruik kan en mag worden gemaakt. Uitgangspunt is immers de autonomie en de eigen verantwoordelijkheid van de verschillende organen in de openbare sector voor de eigen informatievoorziening. Naar mijn mening geldt dit mutatis mutandis zeker voor de door de overheidsregeldrift getroffenen die niet tot de openbare sector behoren.
De aanpak binnen het GBA-stelsel past naar mijn mening niet binnen het beginsel van de BIOS-nota dat autonomie hooguit dient te worden begrensd door noodzakelijke regulering. Door te stellen dat uitgangspunt van de GBA-wetgeving is de autonomie te garanderen pretendeert deze meer dan zij kan waarmaken. Dit blijkt ook uit de getrapte, detaillistische regelgeving en de daarmee gepaard gaande centralistische tendens. De aanpak past eveneens niet binnen het regime van de Wet GBA dat immers de autonomie wil waarborgen behoudens noodzakelijke centrale regulering.

Door de wijze waarop de centrale overheid de activiteiten rond de beveiliging van het GBA-systeem in zijn greep heeft, zowel in de voorbereidings-fase als in de Wet GBA-fase, is naar mijn mening met betrekking tot GBA slechts op papier sprake van autonomie. De vrijheid van een gemeente of afnemer om zich al dan niet te conformeren aan de GBA-beveiligingsregelgeving, bestaat slechts voor zover deze gemeente of afnemer zich kan veroorloven zich buiten de 'GBA-gemeenschap' te plaatsen. En dan nog slechts voor zover de centrale overheid deze actie acceptabel acht en op grond daarvan afziet van het nemen van stappen als het geven van een aanwijzing in de zin van art. 7 Wet GBA.
Bij de stelling dat de rol van de Minister van Binnenlandse Zaken zou zijn teruggedrongen, zoals de Memorie van Toelichting op het voorstel van wet GBA stelt, ten gunste van de gemeentebesturen - en dat dit een decentraliserend tendens zou zijn - kunnen vraagtekens worden geplaatst, gezien de structuur van de GBA-regelgeving, het toezicht en de controle, zoals aangegeven in § 6.3 en de (beleids)uitspraken zoals die gedaan zijn.

Mijn conclusie is dan ook dat de beginselen van de GBA-regelgeving zijnde 'autonomie' en 'eigen verantwoordelijkheid voor de gemeentebesturen ten aanzien van de GBA in de praktijk niet worden waargemaakt.
Naar mijn mening is het de kunst in de GBA de gulden middenweg te vinden tussen de privacy van de burger, de effectiviteit en de efficiëncy van het systeem, de autonomie van de gemeenten en de eventuele noodzaak voor de centrale overheid om een en ander te besturen. Dit geldt temeer voor de beveiliging van de GBA, waar de individuele verantwoordelijkheid van de gemeenten voor het eigen informatie- en systeembeheer voorop dient te staan. Nú zijn de gemeentebesturen sterk in de 'uitvoerende' sfeer gedrukt, terwijl decentralisatie toch een van de uitgangspunten van de BIOS-nota was.
De bestuurlijke autonomie van de gemeentebesturen dient voorop te staan wil men enig recht doen aan de pretentie van een decentraliserende overheid. Dit ofschoon het gewenst kan zijn een voorwaardenscheppend beleid te voeren, hetgeen doorgaans dwingt tot regelstelling (zie de 'begrensde autonomie' uit de BIOS-nota). Het is echter niet duidelijk hoe dit zich verdraagt met het bij de gemeentebesturen leggen van de verantwoordelijkheid voor een adequaat beveiligingsbeleid terwijl hun in de praktijk slechts een uitvoerende rol rest.

VOETNOTEN
  1. zie ook: Informatisering in het openbaar bestuur. Indicaties voor politiek-inhoudelijke sturing - K.U. Brabant - 1989, p.60
  2. TK 1988-1989, 21123, nr.3, p.1
  3. hier te definiëren als: 'Het treffen van maatregelen die nodig zijn ter bescherming van informatie tegen al of niet opzettelijke ongeautoriseerde vernietiging, wijziging of kennisname en ter waarborging van de continuïteit van het verwerkingsproces'
    bron: Kwetsbaarheid en beveiliging van bestuurlijke informatiesystemen - SIBAS - juli 1989
  4. TK 1988-1989, 21123, nr.3, p.7
  5. TK 1988-1989, 21123, nr.3, p.5
  6. Informatietechniek & Strafrecht - Rapport van de Commissie Computercriminaliteit - april 1987
  7. TK 1989-1990, 21551, nr.13
  8. TK 1988-1989, 20904, nrs.1-2
  9. Kwetsbaarheid en beveiliging van bestuurlijke informatiesystemen - SIBAS - juli 1989
  10. TK 1989-1990, 20904, nr.9, p.6 en SIBAS-rapport p.37
  11. Computercriminaliteit in Nederland - F.H. Charbon/H.W.K. Kaspersen - november 1990
  12. TK 1988-1989, 21123, nr.3, p.10
  13. TK 1988-1989, 21123, nr.3, p.11
  14. te overwegen is deze nadere regels 'beveiligings-politiek' of beter nog 'meta-beveiligingsbeleid' te noemen. Met deze laatste term wordt dan aangegeven dat het hier beleid over beleid betreft.
  15. TK 1988-1989, 21123 nr.3, p.27
  16. de Automatiseringsgids van 10 juli 1991 weet te melden dat een ministeriële regeling met betrekking hiertoe in voorbereiding is
  17. id. p.76, zie ook de Regeling voorbereiding GBA - Stcrt.1991,172
  18. id. p.77
  19. TK 1988-1989, 21123, nr.3, p.1
  20. Stb.1990,539
  21. Stcrt. 1991,172
  22. de in de praktijk op elkaar aansluitende maatregelen komen naar hun inhoud weliswaar goeddeels overeen. Zij zijn echter genomen op verschillende wettelijke grondslag en zijn derhalve formeel niet dezelfde regels. Dit moge ook blijken uit het feit dat de overgang van de voorbereidingsfase naar het Wet GBA-regime geenszins vanzelf gaat
  23. vgl. de Regeling voorbereiding GBA - Stcrt.1991,172
  24. TK 1990-1991, 21123, nr.6, p.136
  25. TK 1990-1991, 21123, nr.8
  26. ook TK 1988-1989, 21123, nr.3, p.20
  27. zie ook TK 1988-1989, 21123, nr.3, p.84
  28. NvT p.39
  29. vgl. ook TK 1988-1989, 21123, nr.3, p.20
  30. TK 1988-1989, 20644, nrs.1-2
  31. TK 1987-1988, 20644, nrs.1-2, p.13
    vgl. ook:
    • TK 1989-1990, 21141, nr.3, p.6
    • TK 1988-1989, 21182, nr.1, p.6
  32. TK 1987-1988, 20644, nrs.1-2, p.12
  33. TK 1987-1988, 20644, nrs.1-2, p.1
  34. TK 1987-1988, 20644, nrs.1-2, p.56
  35. zie ook BOCO-rapport nr.14 'Beleidsvrijheid vanwege of ondanks informatievoorziening - BOCO - 1984, p.9 resp. p.11
  36. Handboek van het Nederlandse staatsrecht - v.d. Pot/Donner, 12e druk, 1989, Hfst. 36
  37. BOCO-rapport nr. 14, p.11
  38. TK 1990-1991, 21123, nr.6, p.3
  39. TK 1988-1989, 21123, nr.3, p.18
  40. Besluit voorbereiding GBA, p.36
  41. zie het Besluit voorbereiding GBA, NvT p.39 noot 26. Voor een uitgebreider behandeling zie de Memorie van Toelichting op de WPR, TK 1984-1985, nrs.1-2, ڋ
  42. Stb.1991,172
  43. TK 1988-1989, 21123, nr.3, § 5.1

© 1995/1997 - mr. P.J. Westerhof (1*at*compulegal.eu)
Een bewerking van dit artikel is verschenen als 'GBA, beveiliging en autonomie' in 'Juridische aspecten van het GBA-project'
Otto Cramwinckel 1992

Counter