Overheid NL wil api's voor delen overheidsdata van burgers met private partijen

De Nederlandse overheid wil application programming interfaces ontwikkelen voor het delen van data van burgers uit overheidsbronnen met private partijen. De overheid doet dit naar aanleiding van advies van de Autoriteit Persoonsgegevens.

De api's zijn bedoeld om informatieuitwisseling over burgers tussen overheidsbronnen en private partijen veiliger te maken. Momenteel kunnen burgers bijvoorbeeld bij de aanvraag van een hypotheek of financiële steun dienstverleners toestemming geven om hun gegevens te delen die bij de overheid bekend zijn. Daarvoor moeten burgers gebruikmaken van datadelerapps. Dat gebeurt met een login via DigiD, maar welke gegevens een private partij via de datadelerapps ontvangt is niet altijd duidelijk voor de burger.

Dat komt omdat deze apps gebruik mogen maken van scraping, zo merkte Security.nl op in een brief van staatssecretaris Szabó van Digitalisering en Koninkrijksrelaties. Door dit proces worden mogelijk onterecht meer gegevens verwerkt dan nodig zou zijn. Dit is volgens de AP in strijd met de AVG. Daarnaast zou het inloggen met DigiD via een app van derden invloed hebben op het beveiligingsniveau van de beveiligde inlogdienst.

Vooralsnog worden er 'convenanten' tussen de overheid en private partijen gesloten; afspraken over welke data er wel en niet opgevraagd mag worden en hoe die dataverzameling gebeurt. De overheid moet hier volgens de AP mee stoppen omdat dit '[data]verwerkingen legitimeert die mogelijk niet aan de AVG voldoen'. Op advies van de privacyautoriteit stopt de Nederlands overheid dus met dergelijke afspraken. Een api moet de dataoverdracht tussen burgers en private partijen veiliger laten verlopen.

Staatssecretaris Szabó schat dat het uitwerken van het nieuwe proces ongeveer twee jaar gaat duren. Wel zou het ontwikkelen en implementeren van de api's mogelijk al eerder klaar zijn en dan wordt er al eerder van de api's gebruikgemaakt. Het advies werd oorspronkelijk aangevraagd door voormalig staatssecretaris van Digitalisering Alexandra van Huffelen. Nu wil de huidige staatssecretaris de adviezen van de AP daadwerkelijk uitvoeren.

Door Yannick Spinner

Redacteur

Feedback • 07-11-2024 18:34
53 • submitter: Anonymoussaurus

07-11-2024 • 18:34

53

Submitter: Anonymoussaurus

Lees meer

Gemeente Leiden: bezoekersmonitor voldoet aan privacywetgeving
Gemeente Leiden: bezoekersmonitor voldoet aan privacywetgeving Nieuws van 25 maart 2025
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update Nieuws van 3 maart 2025
AP uit kritiek op wetsvoorstel voor verzameling financiële gegevens
AP uit kritiek op wetsvoorstel voor verzameling financiële gegevens Nieuws van 24 december 2024
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase Nieuws van 28 november 2024
Data van 41 Nederlandse politici is uitgelekt op het darkweb
Data van 41 Nederlandse politici is uitgelekt op het darkweb Nieuws van 14 november 2024
ISO-standaardisatie voor OpenID Connect na tien jaar rond
ISO-standaardisatie voor OpenID Connect na tien jaar rond Nieuws van 12 november 2024
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet
AP gaf kredietverzamelaar Experian boete en sancties na overtreden privacywet Nieuws van 31 oktober 2024
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog
Rechter: AP-boete voor politie voor coronamaatregelauto's was te hoog Nieuws van 23 oktober 2024
AP dwingt acht vakantieparken gezichtsherkenning bij zwembad aan te passen
AP dwingt acht vakantieparken gezichtsherkenning bij zwembad aan te passen Nieuws van 23 oktober 2024
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen Nieuws van 22 oktober 2024
Nederlandse Openbaar Ministerie onderzoekt gebrek aan medewerking Telegram
Nederlandse Openbaar Ministerie onderzoekt gebrek aan medewerking Telegram Nieuws van 15 oktober 2024
Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen
Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen Nieuws van 1 mei 2024
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Datalek Nederland Overheid

Reacties (53)

-Moderatie-faq
53
50
25
0
0
13
Wijzig sortering
- peter - 7 november 2024 18:40
Ah dit is wel een goed idee, als je idd dan zelf de controle hebt met je DigiD ofzo. Ik moest voor hypotheek aanvraag/advies bij een bank en een adviseur allebei een app downloaden, die inlogde in vanalles en idd scrapete. Dat vond ik niet zo'n heel fijn idee, maar t waren wel grote bekende bedrijven. Dus ja. Klinkt als een goede verbetering.
Olaf van der Spek @- peter -7 november 2024 19:14
Ik moest voor hypotheek aanvraag/advies bij een bank en een adviseur allebei een app downloaden, die inlogde in vanalles en idd scrapete.
Is dat optioneel of verplicht? Lijkt mij geen prettig idee.
- peter - @Olaf van der Spek7 november 2024 19:43
Optioneel, meer in de zin van handig. Je mag ook alles zelf gaan opzoeken en invoeren.
Sandarr95 @- peter -8 november 2024 10:51
Ik heb bij een huurpartij meegemaakt dat het niet optioneel was (in de zin van "handig"). De enige optie om in aanmerking te komen was via qii.nl toegang tot mijn.overheid.nl geven. Daar heb ik vanaf gezien (in die zin was het idd wel optioneel) en gelukkig ergens anders iets moois gevonden.

Toen ook melding gemaakt bij DigiD dat dit me niet de bedoeling lijkt.
bmwgozer @Olaf van der Spek7 november 2024 19:48
Optioneel als in de bank zegt daarna “dit heb ik nog nooit meegemaakt iemand die zo moeilijk doet”. Nog geen twee maanden geleden meegemaakt bij de ING.
Olaf van der Spek @bmwgozer7 november 2024 19:51
Misschien moet je ING even vragen of je toegang mag toch hun servers zodat je zelf ook beter bij je gegevens kunt.
jhellingman @Olaf van der Spek8 november 2024 18:49
Ja, dat heet PSD2, maar daar zijn wel afspraken over wat wel en niet kan, en is scrapen verboden.
anboni @Olaf van der Spek7 november 2024 19:37
Ongetwijfeld is het optioneel, maar dan ziet de bank het ook als optioneel om je een offerte te geven...
WoutervOorschot @Olaf van der Spek8 november 2024 09:36
Bij mij was het in principe optioneel, maar je kreeg wel korting als je het gebruikte. Dat zou de mensen aan de andere kant veel tijd besparen omdat allerlei formulieren etc dan geverifieerd correct zijn ingevuld.

En dat snap ik goed. Ik vond het ook geen prettig idee, omdat in theorie die extensie als malware met jouw gegevens inlogd en alles scraped. Het kan ook je belastingaangifte aanpassen bijvoorbeeld, gezien het gewoon klikken op een website is.

Goed dat ze hiervoor API's gaan maken, dat lijkt me een mooi alternatief voor dit soort situaties.
Xerpan @- peter -8 november 2024 10:01
Inderdaad. Maar dan wel op zo'n manier dat je eenmalig een machtiging afgeeft om bijvoorbeeld alleen je inkomensgegevens op te halen. Na gebruik zou de machtiging dan onbruikbaar moeten zijn. Zo houd je als burger de controle over wat er door wie en wanneer/hoe vaak wordt opgezocht.
rko4u 7 november 2024 18:57
Maar willen ze nu een generieke API leveren of willen ze een set van services aanleveren die door middel van een API worden ontsloten? Het is een wereld van verschil! Je zou op tweakers toch moeten mogen verwachten dat ze dat duidelijk zouden moeten kunnen brengen.
Felicia @rko4u7 november 2024 21:57
Als ik van mijn branche kijk (sociale woningbouw) dan hoor ik dat de brancheorganisatie bezig is met de overheid om een inkomenstoets te doen via een API. Met die toets krijgen we dan terug of de betreffende huurder in aanmerking komt voor huurtoeslag voor die huurprijs en waarschijnlijk dus ook of de huur passend is (inkomen in relatie tot de huurprijs al dan niet met huurtoeslag).
Daar zit een relatie met de toeslagen fraude, als woningbouw corporatie mogen we geen BSN registreren dus die gegevens mogen we ook niet terugkrijgen in de aanvraag. Idealiter heb biedt je de huurder een autorisatie via DigiD waarmee we toegang krijgen tot de generieke data die we nodig hebben voor de validatie van de passendheid.

Ter vergelijking, nu moet de kandidaat huurder een inkomensverklaring over het voorgaande jaar aanleveren. Die kan dus intussen gestegen of gedaald zijn terwijl een API de toeslagen kant kan uitlezen (onderbouwd met salarisstroken want je wil natuurlijk niet dat iemand 1 euro inkomen invult en een appartement krijgt á 400 euro huur terwijl die in de praktijk veel meer inkomen heeft).
tMb 7 november 2024 20:52
Goede ontwikkeling. Ik was productmanager van een (semi)overheidsite die gescraped werd door o.a. Ockto. We vonden dat onwenselijk maar konden er weinig aan doen (de burger logt immers zelf in ten behoeve van het scrapen).

We hebben wel eens een bedrijf gehad dat een scraping dienst gebruikte en ging klagen toen we iets wijzigden aan onze inlogflow en de scraping niet meer werkte. Toen wel even uitgelegd dat het een use case is die we niet ondersteunen.
Quintiemero @tMb8 november 2024 07:58
De burger logt zelf in, maar het issue is dat de burger niet weet wat er precies gebeurt. Had de burger dan alsnog toestemming gegeven? Ook worden burgers bij veel verhuurders gepusht om gebruik te maken van deze diensten. Kun je de documenten nog wel op papier aanleveren en hoe weet je dat dat geen enkele consequenties heeft voor toewijzing? Zeker in de particuliere sector
Llopigat
@tMb8 november 2024 01:26
Goede ontwikkeling. Ik was productmanager van een (semi)overheidsite die gescraped werd door o.a. Ockto. We vonden dat onwenselijk maar konden er weinig aan doen (de burger logt immers zelf in ten behoeve van het scrapen).
Een zaak starten bij de AP? Het blocken van de IP's van die Ockto? Of misschien kan je het hekennen op een andere manier (headers bijv, fingerprinting) en dan blocken.

[Reactie gewijzigd door Llopigat op 8 november 2024 01:27]

Kaasrol @Llopigat8 november 2024 17:00
Ockto zou makkelijk onder zoiets uit kunnen komen door het clientside te laten lopen.
Spacecowboy 7 november 2024 22:29
Ik begrijp niet helemaal wat het verschil is tussen deze data die aan private partijen wordt geleverd, en bijvoorbeeld het BRP, wat al reeds gewoon wordt uitgelezen door bijvoorbeeld pensioenfondsen, en waarschijnlijk meer partijen. Dat is toch ook gewoon een api? Sterker, daar heb je niet eens controle over de data die wordt uitgewisseld. Wat maakt deze api dan anders?

Misschien haal ik dingen compleet doorelkaar, maar ik vraag het me gewoon af.
Quintiemero @Spacecowboy8 november 2024 08:00
Het gaat hier met name om inkomensgegevens en werkgegevens. Die staan niet in het BRP. Dus in zoverre staat dat er los van, overigens kunnen (met name Woningcorporaties) bij bepaalde gemeenten wel in het BRP om de huishoudgegevens te controleren. Particuliere verhuurders vragen daarom een uittreksel van het BRP.
Quintiemero 7 november 2024 18:56
Nja, dit komt uit het gedoe met de dataverzamelaars waar bzk navraag maar heeft gedaan (Qii en Datakluis en Ockto) Zoals gegevens laten ophalen voor verhuurders. Dat gebeurt nu miet op een veilige manier, nu is het gewoon scrapen van je overheidsdocumenten. Nu doen ze net of ze namens jou (na eigen inlog) inloggen en scrapen ze alles. Wat niet AVG-conform is.
Rex 7 november 2024 21:37
Meh, dit gebeurd al jaren in landen als Spanje.

We hebben heel veel APIs in veel verschillende sectoren, zoals bijv:
  • Een online casino via een API checken of de gegevens van een klant echt zijn (leeftijd/ID kaart nummer/naam) en of die persoon wel of niet op een zwarte lijst staat om wel of niet te mogen gokken.
  • Apps als Flitsmeister/Waze/Google Maps kunnen aan onze RDW doorgeven wanneer er een ongeluk is gebeurd.
  • Bedrijven kunnen kadaster data of voertuig data opvragen via APIs.
itsfrigged @Rex8 november 2024 21:10
Meh, dit gebeurd al jaren in landen als Spanje.

We hebben heel veel APIs in veel verschillende sectoren, zoals bijv:
  • Een online casino via een API checken of de gegevens van een klant echt zijn (leeftijd/ID kaart nummer/naam) en of die persoon wel of niet op een zwarte lijst staat om wel of niet te mogen gokken.
  • Apps als Flitsmeister/Waze/Google Maps kunnen aan onze RDW doorgeven wanneer er een ongeluk is gebeurd.
  • Bedrijven kunnen kadaster data of voertuig data opvragen via APIs.
Waarom begin je je post met: meh, betekend dat iets of had je gewoon zin om wat extra te typen?
locke960 7 november 2024 22:00
Dat komt omdat deze apps gebruik mogen maken van scraping
Wut? Waarom wordt dit gebruikt door partijen (banken) die er zelf continue op hameren dat je verantwoord met je pincode en je internetbankieren om moet gaan? Hele websites worden er opgetuigd om je uit te leggen dat je nooit op links in e-mailtjes moet klikken, en dat als je het toch doet je direct je computer van het internet moet loskoppelen en de bank moet bellen. Maar dit is prima?

Wat proberen we mensen nou eigenlijk te leren? Hoe veilig om te gaan met informatie en computers of "vertrouw niemand, behalve ons, de betrouwbare partijen"?

Ik begrijp ineens beter waarom veel fraude slachtoffers zeggen "het leek betrouwbaar". Die zijn verkeerd getraind omdat ze al vaker vage dingen hebben moeten doen onder aanmoediging/druk van een 'autoriteit', en toen ging het goed.

Waarom is dit legaal? Dit had bij het kop opsteken al afgeschoten moeten worden.
itdinges 8 november 2024 06:53
Ik ken de discussie die tussen AFM en AP geweest is met betrekking tot datadelers.
Probleem is dat de comercial partijen niet onder toezicht staan waardoor ze niet kunnen controleren of die partijen zich 100% aan de wet houden.
Daarom is er gezegt dat partije in de toekomst gebruik moeten maken van de nog te ontwikkelen 'e-wallet'
https://www.rijksoverheid...ewallets-speelveldanalyse

Lijkt mij dat ze dit bedoelen hier en niet alleen een simple api waar je wat kunt opvragen.

[Reactie gewijzigd door itdinges op 8 november 2024 06:55]

Cio @itdinges8 november 2024 07:53
Bij 'open overheid' en de zorg is er (ook) sprake van inzet op ontwikkeling API's, en dit werkt door naar CBS, rekenkamer, RIVM etcetera.

Die digitale wallet gaat nog wel even duren.
Quintiemero @itdinges8 november 2024 08:02
Iets te kort door de bocht. De AP heeft zeker toezichtsrechten op deze bedrijven. Vaak zijn datadelers voor een digitale gegevenskluis zelf verantwoordelijk, en anders kan de AP deze praktijken via verhuurders aanpakken.
itdinges @Quintiemero8 november 2024 08:10
Ja de AP kan altijd een onderzoek starten.
Maar het ging er omdat er voor deze organisaties geen standaard toezicht is ingericht met audit verplichtingen aan de AFM/AP zoals dat voor organisaties die onder de AFM vallen wel is.
Dat is inderdaad wel een nuance die ik niet heb neergezet.
Dank daarvoor
Quintiemero @itdinges8 november 2024 09:50
Ah die kant wist ik weer niet, thanks!
epoz 8 november 2024 08:03
Er bestaan al standaarden hiervoor zie: https://solidproject.org/

Bedacht door Tim Berners-Lee (ja, die van de WWW) en daar heeft hij ook een bedrijf voor om solutions op die standaard te maken: https://www.inrupt.com/

Probleempje is dat het niet in belang van grote tech bedrijven zijn om hier aan mee te doen, dus word het niet echt gepushed. Ander issue is dat het zwaar leunt op semantic web technologies die al vrij snel gezien worden als "te moeilijk" door implementors (en de overheid).
Saven 7 november 2024 20:05
En ondertussen wordt er voor miljoenen aan zooi bij Temu en Shein gekocht, want we vinden onze privacy zo ontzettend belangrijk :+
William_H @Saven7 november 2024 20:49
Omdat jij dat bijvoorbeeld doet, wil nog niet zeggen dat ik dat ook doe en dat ik daarom ook maar mijn privacy te grabbel moet gooien door deze scrape diensten te gebruiken om een dak boven m'n hoofd te krijgen.
n4m3l355 @William_H8 november 2024 00:43
Ik denk dat beiden niet wenselijk zijn, en de gevolgen voor beide opties, zij het scrapen of via een api, het gevolg zijn door het gebrek aan toezicht en consequenties. Als apps teveel scrape n, dan waarom ziet de overheid hier niet op toe? En als dezelfde partijen die zich niet aan de regelgeving houden straks via een api de data binnen halen, wederom gaan ze dan wel netjes enkel de gebruikers binnen halen waar ze contact mee hebben?

Geef mij maar scrapen want dan zie ik tenminste toe wat er aan data gepakt wordt. Api's is alle data te grabbel gooien.
kozue @n4m3l3558 november 2024 07:36
Geef mij maar scrapen want dan zie ik tenminste toe wat er aan data gepakt wordt. Api's is alle data te grabbel gooien.
Je draait de zaken om. Juist met scrapers heb je geen inzicht in wat ze doen. Dat is namelijk een pull mechanisme en wordt gecontroleerd door degene die de gegevens opvraagt. Een API wordt gecontroleerd door de aanbieder daarvan en kan alleen de datavelden terug geven die nodig zijn voor het beoogde doel.
freespeech_nl @William_H8 november 2024 08:55
Buiten dat: ik KIES er voor om sommige data te delen met partijen. In veel gevallen is er geen keus, zoals bij je zorgverzekering. Mag ik gewoon kiezen a.u.b.?

Of mag een phiser mij gewoon oplichten omdat ik geen SKG3 sloten op mijn deur heb? Logica van niks, een non-argument is het.
bzuidgeest
@freespeech_nl8 november 2024 10:29
Je kan er voor kiezen om geen geld aan de garage te geven, maar dan krijg je ook geen auto. Soms is dat geven gewoon niet optioneel omdat de partij in kwestie deze nodig heeft voor het product of om aan de wet te voldoen. Dan kan je hoog en laag springen, maar dan heb je maar even geen keuze. Je hebt recht op privacy maar je hebt ook plichten in een samenleving.
yuckywucky @William_H8 november 2024 00:20
mijn ergste privacyschending was de ledger hack... naam, volledig adres, telnr, ...
het is allemaal zo relatief :-)
"ja maar dat was een hack en geen privacyschending per se"
ben er vet mee.
stijnvs @yuckywucky8 november 2024 08:19
Die 100x telefoontjes met "Hello I am from consultancy service" zijn echt vervelend he..
Roel1966 @Saven7 november 2024 22:26
Nu ja, ik koop ook net als onderstaande mensen dus niet bij Temu of Shein en zo zullen er genoeg andere mensen zijn. Misschien geeneens zozeer alleen vanwege privacy maar ook omdat je gewoonweg niet weet wat je uiteindlijk geleverd krijgt.
DieMitchell @Roel19667 november 2024 22:48
Dat weet je wel🤔 vooral met electronica
Roel1966 @DieMitchell7 november 2024 23:11
Eh, nou, bedoel meer dat je ook daadwerkelijk krijgt wat er bij de omschrijving staat, even dan nog buiten de kwaliteit ervan, of ja, dat het ding iets doet wat in de buurt komt ervan.
Alexandro @Saven7 november 2024 20:35
Touche! Zo mee eens!
Sn0wblind @Saven8 november 2024 05:48
Dat een hoop idioten dat graag doen betekent niet dat iedereen dat doet. Hoe moeilijk is het om voor te stellen dat niet iedereen dezelfde denkwijze heeft en hetzelfde gedrag vertoond?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq