Hoofdstuk 6. Registraties
De samenwerking in de Suwisector is grotendeels gebaseerd op het onderling uitwisselen van gegevens ten behoeve van het uitvoeren van dienstverlening richting burgers, voor fraudebestrijding en handhaving. De grootste bulk van deze uitwisselingen bestaat uit bevragingen van bronregistraties door Suwipartijen. Deze registraties zijn onderwerp van dit onderdeel van Karwei.
Registraties betreffen niet alleen de basisregistraties. Er zijn drie typen registraties, namelijk basisregistraties, eigen registraties en enkele ketenspecifieke registraties (ketenregistraties). In algemene zin stellen we dat ketenregistraties aan dezelfde eisen moeten voldoen als de basisregistraties. Verder geeft dit themadocument van Karwei kaders en afspraken rond het opzetten, beheren en ontsluiten van de registraties.
Het gaat daarbij om bestaande, maar ook om voorziene registraties. Aangezien we hier niet de architectuur van de betreffende registraties bespreken, zullen we daar niet al te diep op ingaan.
Het achterliggende themadocument ‘Registraties’ is met name bedoeld voor informatiemanagers en informatiearchitecten, maar ook voor beleidsmakers die zich met registraties bezighouden. Daarnaast is het relevant voor de domeingroep Gegevens en Berichten.
Ketensamenwerking valt of staat met de uitwisseling van betrouwbare, actuele gegevens. Er is blijvende aandacht nodig voor de kwaliteit, beschikbaarheid en toegankelijkheid van de gegevens in de verschillende registraties. Mechanismen als terugmelding en monitoring dragen bij aan verbetering van de kwaliteit.
We maken binnen de keten gebruik van basisregistraties, ketenregistraties, registraties van de Suwipartijen en andere aangesloten partijen en registraties voor de goede werking van het stelsel.
Schematisch:
De basisregistraties worden hier niet nader beschreven, maar beschouwen we als een gegeven waarop de keten maar beperkt invloed kan uitoefenen. Dit hoofdstuk richt zich op de ketenregistraties, waaraan we eisen stellen die sterk gebaseerd zijn op de bekende twaalf eisen aan de basisregistraties (bron).
Afspraak 15 Ketenpartijen gebruiken basisregistraties en ketenregistraties.
- Ontwikkelingen rond gegevensbeheer
Bij het registreren, vastleggen en uitwisselen van gegevens gelden twee belangrijke uitgangspunten: eenmalige gegevensuitvraag bij de klant en meervoudig gebruik van reeds geregistreerde gegevens. Bij meervoudig gebruik is de juistheid van de gegevens voorwaardelijk. Het SUWI Gegevens Register (SGR) vormt de basis voor de inrichting van de gegevenshuishouding van de keten werk en inkomen. Alle gegevens die in de keten worden uitgewisseld, zijn opgenomen en gedefinieerd in het SGR.
Het SGR is de basis voor de elektronische gegevensuitwisseling in het SUWI-‐domein. Het bevat daarvoor de gegevensbeschrijvingen, formaten en de logische structuur van de berichten. Op deze basis is voor de elektronische gegevensuitwisseling in het SUWI-‐domein een gemeenschappelijke taal ontwikkeld, aangeduid als SuwiML, onder gebruikmaking van XML en hierop gebaseerde standaarden.
SuwiML faciliteert de elektronische gegevensuitwisseling tussen partijen in het SUWI-‐domein (UWV inclusief UWV WERKbedrijf), SVB, GSD-‐en en IB). Dit betreft:
- het faciliteren van de ontwikkeling van de gegevensuitwisseling door het definiëren en realiseren van berichten zo eenvoudig mogelijk te maken;
- ondersteuning van de operationele gegevensuitwisseling door SuwiML schema’s te gebruiken bij het maken of verwerken van
SuwiML biedt de basis voor een eenduidige en ondubbelzinnige definitie van de uit te wisselen gegevens en is een standaard voor de codering van gegevens en berichten bij elektronische gegevensuitwisseling.
Het belang van eenmalige uitvraag heeft een wettelijke grondslag sinds de introductie van de Wet Eenmalige gegevens Uitvraag (WEU) in 2007. Het gebruik van elektronische dossiers zoals het Digitaal Klant Dossier (DKD) en voorzieningen zoals MijnOverheid maken de kwaliteit van de gegevens uiterst belangrijk.
Voorheen waren professionals in de keten de enige afnemer van geregistreerde gegevens, maar met het DKD is ook de burger een directe gebruiker van deze gegevens geworden. Vooringevulde formulieren, een klantbeeld en de mogelijkheid om gegevens te corrigeren vragen om betrouwbare gegevens.
Met deze ontwikkelingen als vertrekpunt geven we richting aan de volgende stap in de ontwikkeling van de gegevenshuishouding van de keten werk en inkomen: een kwaliteitsverbetering van de ketenregistraties.
6.1 Ketenregistraties
Het concept van ketenregistraties is nieuw in de keten werk en inkomen. Ketenregistraties bestaan naast basisregistraties (zie ook § 6.2) en de geheel eigen (veelal materiewet gebonden) registraties van iedere Suwipartij. Een ketenregistratie is een gezamenlijk gebruikte en beheerde registratie van gegevens die door meerdere Suwipartijen in hun primaire proces worden gebruikt.
De ketenregistratie is keten-‐ of domeinspecifiek voor de keten werk en inkomen. Meerdere SUWI-‐ketenpartijen kunnen gegevens en mutaties aanleveren. Het voordeel is dat versnippering van soortgelijke gegevens over meerdere partijen wordt verminderd. Voorbeelden zijn de werkzoekendenregistratie, vacatures, etcetera. Met name voor overlappende functies door SUWI-‐partijen is één gezamenlijke registratie essentieel.
Dat is niet alleen efficiënter, maar ook goed voor de kwaliteit van de gegevens. In een ketenregistratie worden gegevens immers niet meer ‘rondgepompt’, waardoor er minder risico is op gebruik van verouderde gegevens en de kwaliteit verbetert omdat meerdere partijen zijn betrokken bij de controle op juistheid.
De bij de ketenregistratie betrokken partijen bepalen of een ketenregistratie gewenst is. Op dit moment zijn er nog geen registraties die aan de gewenste criteria van een ketenregistratie voldoen.
Afspraak 16 Ketenpartijen voorkomen het ‘rondpompen van gegevens’ door het ontwikkelen en gebruiken van gezamenlijke ketenregistraties.
Hierna staan de criteria waaraan een ketenregistratie zou moeten voldoen.
- Status van ketenregistratie
Registraties in de keten kunnen de status 'ketenregistratie' krijgen als duidelijk is wie de verantwoordelijke eigenaar / beheerder is en als ze voldoen aan een aantal kwaliteitseisen. Een ketenregistratie is dus een soort basisregistratie binnen de keten werk en inkomen. De ketenregistratie bevat echter informatie die (nog) niet gedekt wordt door de bestaande basisregistraties.
- Eén eigenaar per registratie
De Wbp verplicht organisaties om voor elke registratie één eigenaar te onderkennen. We beschrijven hieronder aan welke eisen de registraties moeten voldoen om een ketenregistratie genoemd te worden. Soms hebben meerdere organisaties de wettelijke verantwoordelijkheid om een bepaald gegeven te registreren, waardoor er meer registraties van dat gegeven bestaan. In die situatie stelt de ketenarchitectuur voor om één ketenregistratie te ontwikkelen en die aan één registratiehouder toe te wijzen.
Ook eenvoudige lijsten, zoals beroepenregistraties of lijsten van re-‐integratietrajecten, kunnen aangemerkt worden als ketenregistratie. Met als voordeel dat helder is welke partij verantwoordelijk is voor de lijst, die aangesproken kan worden op zijn verplichtingen qua ontsluiting, rapportage en dergelijke. Alle andere partijen weten dan waar ze terecht kunnen voor de informatie van die lijst.
Afspraak 17 Elke (keten)registratie heeft één registratiehouder die verantwoordelijk is voor de inrichting en de beveiliging van de (keten)registratie.
- Registratiehouder
Een ketenregistratiehouder heeft een belangrijke rol als hoeder van data. Dit brengt verantwoordelijkheden met zich mee. De registratiehouder moet de gegevens zo ontsluiten dat geautoriseerde gebruikers ze daadwerkelijk kunnen gebruiken, op ieder moment dat ze daar behoefte aan hebben. Dit voorkomt dat voor soortgelijke data elders wordt geshopt of dat partijen zelf schaduwbestanden met dezelfde gegevens bij gaan houden. De ketenregistratie moet ook goed toegankelijk zijn voor wijzigingen en nieuwe data, om te voorkomen dat soortgelijke gegevens elders ingevoerd gaan worden.
De ketenregistraties moeten online, realtime afhandeling bij afnemers ondersteunen wanneer de bedrijfsprocessen bij de afnemer dit noodzakelijk maken. Belangrijk is dat de ketenpartijen de gegevens in hun verschillende applicaties kunnen aanroepen en gebruiken. De professional kan informatie over de klant dan zien, en de gegevens kunnen dan ook voor bijvoorbeeld vóórinvulling in elektronische formulieren worden gebruikt.
Bij ketenregistraties waarvoor de gemeenten als ketenregistratiehouder zijn aangewezen, is de verantwoordelijkheid bij de gemeenten belegd. Iedere gemeente moet de ketenregistratie zelf inrichten en vullen met relevante informatie van de klanten die horen bij de eigen gemeente. Daarbij gelden de eisen die de ketenarchitectuur stelt zoals benoemd in het themadocument ‘Ketenregistraties’. Bovendien moet iedere gemeente de benodigde koppelvlakken uit hoofdstuk 7 implementeren.
In de keten zien we een ontwikkeling naar gezamenlijke digitale dienstverlening op de Werkpleinen/arbeidsmarktregio’s. Een intake aan de kop van het proces kan door zowel een professional van de gemeente als van UWV uitgevoerd worden. In de praktijk zien we dat UWV de techniek aanbiedt en de gemeenten die gebruiken.
Afspraak 18 Een registratiehouder kan professionals van de afnemer autoriseren voor het registreren / muteren van gegevens die onder de verantwoordelijkheid vallen van de registratiehouder. De afnemer kan derden autoriseren conform afspraken met de registratiehouder.
- Inrichting ketenregistratie
Voor de inrichting van een ketenregistratie zijn enkele varianten mogelijk. Iedere registratiehouder kiest zelf hoe hij de ketenregistratie inricht, maar doet dat wel in overleg met de ketenpartijen. Het is immers cruciaal dat de afnemers vertrouwen hebben in de ketenregistratie zodat dubbele registratie niet meer nodig is. De kwaliteit van een ketenregistratie staat of valt met het vertrouwen dat de afnemers erin hebben. Daarom moeten de ketenpartijen afspraken maken over de maatregelen die passen bij het soort registratie en het soort gegevens.
- Gegevens buiten de ketenregistraties
Voor een aantal gegevens is geen ketenregistratie aan te wijzen omdat ze vanwege hun aard of om historische redenen in meerdere systemen opgeslagen worden. Denk daarbij aan adressen, telefoonnummers en afspraken. Ook op deze set gegevens is de Wbp van toepassing, wat duidelijk beleid nodig maakt. Kwaliteitseisen moeten hiervoor geformuleerd en nageleefd worden. In de toekomst moet zo veel mogelijk voorkomen worden dat deze informatie op verschillende plekken opgeslagen wordt.
Voor gegevens die om historische redenen op meerdere plekken worden opgeslagen, zijn uitwisselingsberichten beschreven. Doel is dat ieder gegeven slechts één keer wordt ingevoerd en via de uitwisselingsberichten aan de betreffende registraties wordt aangeboden. Het gaat hier om een beperkte set gegevens en terughoudendheid is geboden bij het gebruik van dat mechanisme.
Het algemene principe moet zijn dat gegevens in hun eigen ketenregistratie opgeslagen worden en ter plekke geraadpleegd worden via webservices. Naarmate het aantal betrokken partijen toeneemt (bijvoorbeeld bij gemeenten) voor het aanbieden van dezelfde gegevens buiten de ketenregistraties, wordt een oplossing met een centraal ketenregister wenselijk vanwege de beheersbaarheid en beschikbaarheid.
Afspraak 19 Voor gegevens die om historische redenen op meerdere plekken worden opgeslagen, zijn uitwisselingsberichten beschreven.
- Koppeling van ketenregistraties
Koppeling is nodig om klanten (burgers en werkgevers) en professionals de gewenste functionaliteiten te bieden, met juiste en actuele gegevens. Hierbij is hergebruik van gegevens een belangrijk principe.
Hoofdstuk 5 beschreef de service georiënteerde architectuur (SOA) als oplossing voor de koppeling van registraties en hergebruik van gegevens. Een service georiënteerde architectuur biedt (gegevens)diensten (services) aan, waarvan verschillende afnemers gebruik kunnen maken. Het doel is om maximale ontkoppeling en hergebruik te bereiken. Een SOA sluit ook beter aan op bedrijfsprocessen die gemodelleerd kunnen worden door het samenstellen van services.
De ketenregistraties worden in deze ketenarchitectuur gekoppeld via de koppelvlakken zoals beschreven in Hoofdstuk 7 (raadplegingen, signalen, correctie-‐/terugmeldverzoeken, klantvolgberichten, managementinformatieberichten).
- Implementatie ketenregistratie
De ketenarchitectuur doet geen uitspraken over de implementatie van een ketenregistratie. De registratiehouder beslist zelf hoe hij de ketenregistratie inricht, en bijvoorbeeld ook hoe hij het sturen van signalen over wijzigingen regelt. De ketenarchitectuur vereist alleen dat de registratie voldoet aan de eisen en aan de koppelvlakken die de keten werk en inkomen vastgesteld heeft.
De registratiehouder kan ook zelf bepalen hoe hij de ontvangst van mutaties implementeert, en of er bijvoorbeeld nog een controle nodig is voordat de mutatie daadwerkelijk doorgevoerd wordt.We onderkennen de volgende potentiële ketenregistraties:
|
|
Componentnaam |
Doel |
|
1 |
Sonar |
Registratie van werkzoekenden |
|
2 |
EROW |
Eenmalige registratie op werkpleinen |
|
3 |
Verzamelbestand GSDDP |
Beschikbaarstellen GSD informatie |
6.2 Stelselondersteunende registraties
Stelselondersteunende registraties bevatten (stuur)informatie die noodzakelijk is om het stelsel veilig, gecontroleerd en efficiënt te ondersteunen. Te denken valt aan informatie op het gebied van autorisatie, routering en monitoring. Stelselondersteunende registraties maken dus gegevensuitwisseling binnen het stelsel mogelijk en daarmee ondersteunen ze de werking van het stelsel zonder onderdeel te zijn van de uitgewisselde gegevens.
Kenmerkend is dat deze stelselondersteunende registraties niet meer noodzakelijk zijn als de samenwerking zou wegvallen.
We onderkennen de volgende stelselondersteunende registraties:
|
|
Componentnaam |
Doel |
|
1 |
SUWI Bedrijven Register |
Centrale bron gevoed door de Kamer van Koophandel (KvK) en Markselect met bedrijfsgegevens (kopie NHR) |
|
2 |
Verwijsindex GSDDossierPersoon |
Ondersteunt uitwisseling van GSDDP berichten |
|
3 |
GSDDossierPersoon monitor |
Aanlevermonitor |
6.3 Basisregistraties
- Basisregistraties en eigen registraties
De keten werk en inkomen gebruikt zo veel mogelijk informatie uit de landelijke basisregistraties van de e-‐ Overheid. Alle ketenpartijen die een wettelijke taak uitvoeren, moeten de actuele persoonsgegevens halen uit of ontlenen aan de basisregistratie.
Ketenpartijen bewaren gegevens uit de basisregistraties niet in de eigen systemen tenzij dit noodzakelijk is voor de besluitvorming (reconstructie). In het laatste geval moet duidelijk zijn dat het een technische kopie betreft. De basisregistraties bieden echter niet alle benodigde gegevens; voor sommige gegevens onderhouden de ketenpartijen eigen registraties.
Het is essentieel dat iedereen die gegevens uit de keten gebruikt, kan vertrouwen op de kwaliteit van die gegevens. Hiervoor zijn duidelijke afspraken nodig tussen de ketenpartijen. Ketenpartijen die een wettelijke taak uitvoeren, moeten de actuele persoonsgegevens halen uit of ontlenen aan de basisregistratie.
Via de GeVS worden – in principe – alleen gegevens uit de basisregistraties ontsloten die van belang zijn voor de uitvoering van taken binnen dit domein. Doel is dat de professional een volledig klantbeeld krijgt. Dit kan betekenen dat niet alle gegevens, maar ook niet alle basisregistraties, worden ontsloten. Ketenpartijen voeren echter vaak ook domeinoverstijgende taken uit en zullen daarom vaak ook een zelfstandige aansluiting hebben op de basisregistraties.
De GeVS ondersteunt een beperkt aantal functionaliteiten die een basisregistratie biedt:
- Via de centrale voorziening van de GeVS worden – in principe – alleen de gegevens uit de basisregistraties voor ad-‐hoc bevraging beschikbaar gesteld.
- De centrale voorziening van de GeVS bevat een terugmeldingsvoorziening voor als er gerede twijfel is aan het opgevraagde gegeven.
De centrale voorziening van de GeVS transporteert vooralsnog geen spontane meldingen (wijzigingsmutaties) die vanuit basisregistraties worden verzonden. Deze meldingen worden rechtstreeks naar de afnemer verzonden.
We onderkennen de volgende basisregistraties:
- BRP Basisregistratie personen (bestaat uit ingezetenen en niet-‐ingezetenen)
- NHR Handelsregister
- BAG Basisregistraties Adressen en Gebouwen (bestaat uit twee basisregistraties)
- BRT Basisregistratie Topografie
- BRK Basisregistratie Kadaster
- BRV Basisregistratie Voertuigen (kentekenregister)
- BLAU Basisregistratie voor Lonen, Arbeidsverhoudingen en Uitkeringen
- BRI Basisregistratie Inkomen
- WOZ Basisregistratie Waarde Onroerende Zaken
- BGT Basisregistratie Grootschalige Topografie (voorheen GBKN)
- BRO Basisregistratie Ondergrond (voorheen ook wel DINO)
- Eisen aan een ketenregistratie
De eisen die we stellen aan de ketenregistraties zijn geïnspireerd door de twaalf eisen aan basisregistraties van de e-‐overheid.
- Doel van hergebruik
De overheid als geheel streeft naar een administratieve lastenverlichting voor burgers door hergebruik van reeds bekende gegevens over een burger verplicht te stellen. Die burger krijgt daardoor minder (herhaalde) informatieverzoeken bij zijn contact met de overheid. Binnen SUWI is hier invulling aan gegeven door middel van de Wet Eenmalig Uitvraag (WEU, 2007).
- Randvoorwaarden voor hergebruik
Voor het verplichte hergebruik van gegevens in de keten werk en inkomen gelden enkele randvoorwaarden. Een van die randvoorwaarden is dat de ketenpartijen eisen stellen aan de kwaliteit en beschikbaarheid van de gegevens, en dus aan de houder van de ketenregistratie. Met als doel dat er vertrouwen ontstaat in de kwaliteit van de herbruikbare gegevens in de keten.
De ketenarchitectuur stelt alleen eisen aan onderwerpen die essentieel zijn voor het gebruik van een registratie binnen de keten.
De registratiehouder en de afnemer maken concrete afspraken die recht doen aan haalbaarheid, proportionaliteit, redelijkheid en billijkheid.
- Transparantie
De ketenpartijen informeren hun klanten dat gegevens worden hergebruikt door verstrekking aan andere partijen die in de keten opereren en aan overheidsorganen. Dit stimuleert de klant actief te volgen wat er met zijn informatie gebeurt en zo nodig een beroep te doen op zijn wettelijke rechten op grond van de Wbp.
Afspraak 20 Ketenpartijen laten klanten weten dat gegevens hergebruikt kunnen worden.
De kwaliteit van gegevens moet transparant zijn. Als er een terugmelding is gedaan of een gegeven in onderzoek is, moet dat duidelijk zijn aangegeven. Dit stimuleert ook het zelfreinigend vermogen door hergebruik: de klant ziet immers steeds wat er over hem bekend is en zal sneller geneigd zijn dit te corrigeren. Ieder geaccepteerd correctieverzoek resulteert in een wijziging in de ketenregistratie.
Verder heeft de klant inzagerecht: hij mag op elk moment bekijken wat er over hem is geregistreerd, dus los van momenten van hergebruik van gegevens. De ketenpartners bieden de klant een volledig klantbeeld ten behoeve van het inzagerecht en correctierecht.
- Wettelijke basis
In de wetgeving is vastgelegd dat een ketenpartij gegevens uit een ketenregistratie kan gebruiken voor haar wettelijke taken. Door de transparantie tegenover de klant – de klant is op de hoogte van het hergebruik – kan men het gegeven gebruiken alsof men het van de klant zelf heeft gekregen. De ketenpartij moet met de registratiehouder afspraken maken over de actualiteit (houdbaarheid) van de betreffende informatie.
Afspraak 21 Ketenpartijen mogen met inachtneming van de wetgeving gegevens uit ketenregistraties en uit basisregistraties op dezelfde manier gebruiken als gegevens die direct bij de klant zijn uitgevraagd.
- Bron
De keten heeft ketenregistraties aangewezen voor bepaalde gegevens. De ketenregistratie fungeert daarmee als bron voor deze gegevens. De afnemers gebruiken deze gegevens als basis en leveren een actieve bijdrage aan het verbeteren van de kwaliteit van de ketenregistratie.
Afspraak 22 De ketenregistratie is de enige en aangewezen bron waaruit deze gegevens opgevraagd kunnen worden, buiten uitvraag bij de klant zelf.
De registratiehouder verplicht zich om de gegevens beschikbaar te stellen conform de overeengekomen normen gesteld aan een ketenregistratie. Voorkomen moet worden dat gegevens niet actueel zijn. Deze normen komen overeen met de normen voor een basisregistratie, bijvoorbeeld de norm ten aanzien van de actualiteit.
Registratiehouders geven ketenpartijen toestemming om opgevraagde gegevens aan klanten te tonen en/of te verstrekken, zo nodig via elektronische voorzieningen, mits de klant goed geïdentificeerd is en bronvermelding plaatsvindt.
De registratiehouder streeft ernaar de gegevens historisch te registreren zodat afnemers de gegevens niet zelf op hoeven op te slaan. Historische registratie is nu echter nog niet gegarandeerd, wat betekent dat iedere afnemer voorlopig zelf de opgevraagde informatie moet vastleggen als hij een beslissing baseert op die historische gegevens.
Afspraak 23 Wanneer een ketenregistratie gegevens historisch registreert, worden gegevens niet lokaal opgeslagen om een beslissing te onderbouwen.
Zodra de ketenregistratie de historie van de gegevens bijhoudt, staken de afnemers de eigen opslag om discussie over geldigheid daarvan te voorkomen. De in het verleden overgenomen registraties blijven gehandhaafd voor zover dit nodig is als bewijslast of op grond van de archiefplicht.
- Kwaliteitsborging
Voor een succesvolle uitwisseling van brongegevens in de keten is kwaliteitsborging noodzakelijk. De diverse partijen maken de gegevens transparant door inzage te geven in de eigen processen en elkaar actief te informeren over vermeende onjuistheden in de gegevens. De registratiehouder neemt iedere melding van vermeende onjuistheden serieus en onderzoekt de melding.
Afspraak 24 Ketenregistraties moeten voldoen aan eisen met betrekking tot kwaliteit, beschikbaarheid, vertrouwelijkheid en beveiliging en moeten de beschikbare kwaliteitsinformatie ontsluiten.
In het systeem ontstaat een zelfreinigend mechanisme. De klant ziet welke gegevens de overheid over hem heeft en zal correcties doorgeven, zeker als dat in zijn voordeel is.
Samenwerking verhoogt de kwaliteit van de ketenregistratie tot een niveau dat ieder voor zichzelf niet kan realiseren.
Kwaliteit heeft ook te maken met de beschikbaarheid van de gegevens. De ketenregistraties moeten online, realtime afhandeling bij afnemers ondersteunen. Ketenpartijen kunnen de gegevens aanroepen en direct gebruiken in hun verschillende applicaties, ook voor vóórinvulling in elektronische formulieren.
- Zorgvuldigheid
Iedere afnemer verplicht zich naar eer en geweten te voldoen aan geldende wet-‐ en regelgeving ten aanzien van privacy en informatiebeveiliging (WBP). Als een goed huisvader zullen zij de gegevens alleen gebruiken zoals overeengekomen en zorgen zij voor:
- Een onderscheid tussen opgevraagde gegevens en daarop aangebrachte
- Melding van vermeende onjuistheden aan de
- Doelbinding en proportionaliteit bij het gebruik van de
- Terugmelding van bezwaren/klachten van klanten over de
- Handhaving van need-‐to-‐know door derden en onbevoegd eigen personeel geen toegang te verlenen, inclusief een actief (de)autorisatiebeleid.
- Gegevens alleen te verstrekken of doorleveren volgens afspraken of passend binnen de wettelijke
Afspraak 25 Conform de Wbp en Regeling SUWI is de invulling aan proportionaliteit en granulariteit ter beoordeling van de registratiehouders en niet van de afnemende organisatie.
De toets op proportionaliteit bepaalt onder andere in welke mate (granularitieit) de gegevens beschikbaar mogen zijn. Verfijning op afnemerniveau kan ook leiden tot granulariteit. De registratiehouder is als bestandseigenaar verantwoordelijk en aanspreekbaar (ex art 1 Wbp) en moet voldoen aan alle eisen die de Wbp stelt. Toestemming om informatie voor afnemers te tonen is door de verstrekker te bepalen.
- Bewustwording
Bij het ontsluiten en bevraagbaar maken van zijn gegevens stelt de registratiehouder vanuit zijn verantwoordelijkheid ook eisen aan de afnemers.
Afspraak 26 De afnemer gaat zorgvuldig om met de gegevens en houdt zich aan de wetten die gelden rond privacy en informatiebeveiliging.
De afnemers moeten ervoor zorgen dat hun medewerkers bewust omgaan met vertrouwelijke gegevens en dat zij weten welke beperkingen het gebruik van gegevens uit andere bronnen heeft.