Tien veel gestelde vragen over de WBP
Een nieuwe wet invoeren is niet zo moeilijk. Hem uitvoeren in de praktijk is vaak veel lastiger. In deze bijdrage worden tien vragen behandeld die in de praktijk veel gesteld worden over de nieuwe WBP. De vragen worden behandeld vanuit het perspectief van de verantwoordelijke voor de gegevensverwerking.
Sjaak Nouwt
1. Hoe weet ik of ik onder de WBP val?
Om te bepalen of de WBP van toepassing is op de door u verwerkte persoonsgegevens, dient u een aantal zaken te inventariseren. De belangrijkste worden hier kort genoemd.
Om te beginnen zullen alle vormen van verwerking van persoonsgegevens moeten worden geïnventariseerd. U moet vaststellen of u 'persoonsgegevens' verwerkt in de zin van de WBP en hoe deze worden verwerkt: handmatig, op een PC, via een fax, etc. Vaststelling van handmatige, gedeeltelijk en geheel geautomatiseerde verwerking van persoonsgegevens behoort eveneens tot de te inventariseren zaken.
U kunt vervolgens vaststellen in hoeverre u gegevens verwerkt die uitgezonderd zijn van de werking van de WBP. Dit is bijvoorbeeld het geval voor persoonsgegevens die voor persoonlijk of huiselijk gebruik dienen en persoonsgegevens waarop andere wetten van toepassing zijn, zoals de Wet politieregisters, de Wet GBA, etc.
Met het oog op een rechtmatige verwerking zult u moeten vaststellen wat het doel van de verwerking is. Het is mogelijk daarbij meerdere doeleinden te omschrijven. De doelstelling dient als uitgangspunt voor het rechtmatige verzamelen en de verdere verwerking van persoonsgegevens. De doeleinden moeten zo concreet mogelijk worden omschreven omdat anders de rechtmatigheid van de gegevensverwerking niet getoetst kan worden.
In de meeste gevallen zult u de betrokkenen moeten informeren over de verwerking van hen betreffende persoonsgegevens. U dient hen dan mee te delen wat uw identiteit is, wat het doel van de verwerking is en wat verder nodig is om een behoorlijke en zorgvuldige gegevensverwerking te rechtvaardigen. Dit informeren is niet nodig wanneer die betrokkene reeds op de hoogte is van deze informatie. Anders dan onder de WPR zult u echter niet te snel mogen aannemen dat de betrokkene daarvan kennis heeft.
U zult voorts moeten nagaan of de door u getroffen beveiligingsmaatregelen wel voldoende zijn. Heeft u bijvoorbeeld geheimhoudingsplichten opgelegd, technische en organisatorische maatregelen genomen en heeft u met het oog op een goede beveiliging een overeenkomst afgesloten met de bewerker?
Tenslotte dient u na te gaan of doorgifte van gegevens naar andere landen plaatsvindt. De doorgifte naar landen binnen de EU zullen geen juridische problemen opleveren. Vindt echter doorgifte plaats naar landen buiten de EU, dan mag dat alleen als dat land over een aan onze WBP gelijkwaardig beschermingsniveau beschikt. Is dat niet het geval dan kunt u de gegevensbescherming eventueel regelen in een overeenkomst.
2. Wie is de verantwoordelijke in een concernverhouding?
De toelichting op het wetsvoorstel is op het punt van verantwoordelijkheid in concernverhoudingen aangepast aan het advies van de Raad van State. Bij de Raad rees de vraag of voldoende recht wordt gedaan aan het feit dat binnen een concernstructuur, bijvoorbeeld binnen een bankconcern, verschillende rechtspersonen gegevens van cliënten verwerken in verband met de verschillende diensten die door het concern aan zijn cliënten worden verleend. De cliënten zullen, aldus de Raad van State, veelal geen inzicht hebben in de organisatorische en juridische verhoudingen die binnen het concern bestaan en zij zullen het concern ervaren als één geheel waarmee zij zaken doen. Naar het oordeel van de Raad kan door de in het concept-wetsvoorstel gekozen benadering een ondoorzichtige situatie ontstaan.
De regering is aan het door de Raad gesignaleerde bezwaar tegemoet gekomen. In concernverhoudingen is de verantwoordelijke de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. De feitelijke macht of invloed van een andere rechtspersoon binnen een concern is niet van belang. Het gaat erom dat de betrokkene in het maatschappelijk verkeer kan weten bij wie hij moet zijn om zijn rechten te effectueren. Voor het vaststellen van de verantwoordelijkheid is het op zichzelf niet van belang dat de door een moeder- of dochtermaatschappij verrichte gegevensverwerking (mede) ten dienste staat van het concern als zodanig. De WBP staat het toe dat een regeling wordt getroffen waarbij in de statuten van een rechtspersoon of via een overeenkomst aan een bepaalde rechtspersoon binnen het concern de bevoegdheid wordt toegekend om doel en middelen van de gegevensverwerking vast te stellen. Deze rechtspersoon kan bijvoorbeeld de moedermaatschappij zijn die dan verantwoordelijk is voor alle gegevensverwerkingen die binnen het concern plaatsvinden omdat de juridische zeggenschap volgens de getroffen regeling bij die rechtspersoon berust. Blijft een dergelijke regeling echter achterwege, dan geldt als hoofdregel dat elke rechtspersoon binnen het concern verantwoordelijke is voor de gegevensverwerking die binnen die rechtspersoon plaatsvindt. De memorie van toelichting op artikel 1, onderdeel d, is in deze zin aangepast.
3. Hebben privacyreglementen nog wel enig nut?
Het bestaande onderscheid tussen de publieke en private sector komt in de WBP niet meer terug. Wat betreft de publieke sector vervalt daarmee ook de reglementsplicht waarin volgens de WPR de werking van de registratie moet zijn beschreven. Dit betekent een substantiële lastenverlichting voor de verantwoordelijken voor de gegevensverwerking. In de overgangsfase naar de nieuwe wet staat daar voor private en publieke sector tegenover een eenmalige lastenverzwaring in die zin dat niet-vrijgestelde gegevensverwerkingen overeenkomstig het nieuwe regime moeten worden gemeld.
Ook al vervalt de reglementsplicht, het blijft niettemin mogelijk in reglementen vast te leggen hoe binnen de organisatie met de verwerking van persoonsgegevens wordt omgegaan. Het opstellen van een reglement of enige andere vorm van regeling is in de praktijk een goede methode gebleken om de werking van een persoonsregistratie te beschrijven. Het vervallen van de reglementsplicht hoeft dus niet te leiden tot het achterwege laten van dergelijke vormen van beschrijving van gegevensverwerking. Het kan zowel intern in de organisatie een verduidelijking brengen omtrent hoe te handelen met persoonsgegevens, maar ook extern, bijvoorbeeld voor de betrokkenen, inzicht bieden in de verwerking en de omgang van hun persoonsgegevens in een specifieke context, te weten die van de (organisatie van de) verantwoordelijke.
4. Moet ik elke vorm van 'verwerking' aanmelden?
Het object van aanmelding in art. 27 WBP is "een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (...)". De verwerking van persoonsgegevens moet men opvatten als een handeling of geheel van handelingen met betrekking tot persoonsgegevens. Het kan daarbij gaan om een bundeling van verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid wordt beschouwd. Dit betekent dat een verantwoordelijke niet elke verwerkingshandeling afzonderlijk hoeft te melden. Het is toegestaan alleen de bundeling te melden voor zover deze als een geheel van verwerkingen zijn op te vatten.
Het is ook toegestaan een bundeling van verwerkingen te melden die voor verscheidene doeleinden zijn bestemd. Bij multifunctionele informatiesystemen kan men meerdere, uiteenlopende doeleinden vaststellen. Het gaat dan wel veelal om samenhangende doeleinden, maar deze hoeven niet per se ook met elkaar verenigbaar te zijn met de doelen waarvoor de gegevens zijn verzameld. Zo mag men informatiesystemen die zijn opgezet om diensten te verlenen aan cliënten of burgers via één loket voor een scala van activiteiten, in één keer aanmelden. Ook een concern dat gebruik maakt van een centrale verwijzingsindex, waaruit verschillende medewerkers informatie putten om klanten te woord te staan, mag met een enkele aanmelding volstaan. Uit het feit dat het bij de aanmelding gaat om samenhangende doeleinden mag men afleiden dat het materieelrechtelijke voorschrift van verenigbaarheid op grond van art. 9 WBP geen rol speelt bij de aanmelding. Dit zal leiden tot een vermindering van het aantal aanmeldingen en betekent dus een versoepeling van de aanmeldingsplicht.
5. Kan ik de gegevensverwerking ook elektronisch aanmelden?
De Registratiekamer gaat in 1998 on line. Op dit ogenblik zijn sommige adviezen, jaarverslagen en onderzoeksrapporten al wel digitaal beschikbaar, maar nog dit jaar wil de Registratiekamer nog meer gebruik maken van de mogelijkheden die het Internet biedt. Als het zover is kan men inderdaad gegevensverwerkingen ook elektronisch aanmelden bij de Registratiekamer. Het is de bedoeling dat dit uiterlijk ten tijde van de inwerkingtreding van de WBP (oktober 1998) mogelijk is. In het verleden hebben houders van persoonsregistraties hun persoonsregistraties ook wel elektronisch aangemeld, maar dan via een diskette. Op zichzelf kan de procedure ongeveer dezelfde zijn als die welke wordt gevolgd bij de elektronische belastingaangifte.
Hoewel de aanmelding dus evenals de belastingaangifte redelijk eenvoudig elektronisch lijkt te realiseren, zullen daaraan wel de nodige beveiligingseisen worden gesteld. Zo dient bijvoorbeeld de verzender te kunnen worden geverifieerd en moet het gegevensverkeer in voldoende mate beveiligd zijn, bijvoorbeeld via encryptie.
Als gevolg van een toename van elektronische aanmeldingen zal de Registratiekamer eenvoudiger in staat zijn om het aanmeldingenregister, dat de Registratiekamer op grond van art. 30 WBP verplicht is bij te houden, eveneens elektronisch toegankelijk te maken. Aldus kan eenieder via Internet inzien, bijvoorbeeld per categorie of soorten persoonsgegevens, welke verwerkingen bij de Registratiekamer zijn aangemeld. Dit zal de transparantie van de gegevensverwerking aanmerkelijk kunnen bevorderen.
Overigens bepaalt art. 28, lid 5, WBP dat bij of krachtens algemene maatregel van bestuur nadere regels kunnen worden gesteld over de wijze waarop de melding dient te geschieden.
6. Kan ik ook nu al een 'voorafgaand onderzoek' laten verrichten door de Registratiekamer?
De WBP schrijft voor dat de Registratiekamer in bepaalde gevallen voorafgaand aan het verwerken van persoonsgegevens een onderzoek instelt naar de rechtmatigheid van de verwerking. Het gaat om een drietal gevallen:
Het gaat hierbij steeds om een geheel van verwerkingen die specifieke risico's meebrengen voor de rechten en vrijheden van betrokkenen. Op grond van art. 20 EU-privacyrichtlijn zijn de lidstaten verplicht nader te bepalen gegevensverwerkingen met bijzondere risico's aan een dergelijke vorm van preventief toezicht te onderwerpen.
De uitkomst van de rechtmatigheidstoets door de Registratiekamer leidt tot een niet-bindende verklaring. Het voorafgaand onderzoek ontslaat de verantwoordelijke niet van de verplichting alsnog een eigen afweging te maken. Uiteraard zal de verklaring van de Registratiekamer daarbij wel een belangrijke rol spelen.
Navraag leert dat het ook nu reeds mogelijk is de Registratiekamer te vragen een 'voorafgaand onderzoek' te laten verrichten. De Registratiekamer juicht dit zelfs toe. Daarbij hangt het uiteindelijk verrichten van het 'voorafgaand onderzoek' wel af van het belang dat met het verzoek is gemoeid, of de sector die het betreft. De bereidheid van de Registratiekamer past in het nieuwe beleid van de Registratiekamer om zelf meer actief te verkennen in welke maatschappelijke sectoren de meeste 'privacypijn' wordt geleden.
7. Hoe kan ik het handigst de betrokkenen informeren?
Als algemeen uitgangspunt bij het informeren van betrokkenen geldt dat de informatie zodanig moet worden verstrekt dat de betrokkene er daadwerkelijk over beschikt. In de praktijk kan dit op velerlei manieren.
Als het verzamelen van persoonsgegevens plaatsvindt via een formulier, dan kan de informatie bijvoorbeeld op dat formulier worden voorgedrukt. Bij het invullen van het formulier kan de betrokkene de informatie dan lezen. Het is dan aan de betrokkene om voor zichzelf te bepalen of hij eerst van de informatie kennis wil nemen alvorens de verlangde persoonsgegevens te verstrekken. Hetzelfde geldt voor het overhandigen van een folder of een exemplaar van de standaardvoorwaarden bij een overeenkomst. Een weigering om deze folder of de standaardvoorwaarden in ontvangst te nemen komt voor rekening van de betrokkene. De verantwoordelijke heeft dan aan zijn verplichtingen voldaan. Dat is echter niet het geval als op een formulier slechts wordt verwezen naar elders verkrijgbare informatie.
Als de betrokkene zijn persoonsgegevens via elektronische communicatie verstrekt, is het ook mogelijk hem elektronisch te informeren over wat er met zijn persoonsgegevens gebeurt.
Een groep personen kan men informeren via een medium waarvan vaststaat dat deze groep daarmee wordt bereikt. Leden van een vereniging kan men bijvoorbeeld informeren via het verenigingsorgaan. Een werkgever kan zijn werknemers informeren via een personeelsblad dat onder alle personeelsleden wordt verspreid. Betreft het leden van een beroepsgroep, waarvan het voor een behoorlijke uitoefening van het beroep noodzakelijk is vakliteratuur bij te houden, dan kan men de informatie verstrekken via de vakliteratuur (te denken valt aan Medisch Contact).
In een aantal gevallen kan men er niet van uitgaan dat alle betrokkenen worden bereikt. Dit is bijvoorbeeld het geval als men een mededeling plaatst in een vakbondsblad terwijl niet vaststaat dat 100% van de betreffende beroepsgroep lid is van die vakbond. Evenmin mag men aannemen dat men het grote publiek bereikt door een advertentie te plaatsen in een landelijk of regionaal blad. Ook mag men niet verwachten dat een advertentie in een huis aan huis verspreid blad alle betrokkenen bereikt. Weliswaar kan in dergelijke gevallen de betrokkene via naspeuringen wel weten dat mogelijk over hem persoonsgegevens worden verwerkt, maar de gedachte achter de EU-richtlijn is dat hij een dergelijke onderzoeksplicht juist niet heeft.
8. Mag ik inzage weigeren op grond van een belang van een derde?
Het antwoord op deze vraag geeft art. 35 in combinatie met art. 43 WBP. Het is niet uit te sluiten dat honorering van een inzageverzoek tevens inzicht geeft in gegevens die op anderen betrekking hebben. Deze kunnen bijvoorbeeld aanduiden van wie die gegevens afkomstig zijn. In sommige gevallen zal de verantwoordelijke deze gegevens toch moeten verstrekken. Op grond van art. 35 kan immers ook om informatie omtrent de herkomst van de persoonsgegevens worden verzocht. De verantwoordelijke zal hiervoor een belangenafweging moeten maken. Daarbij kan hij in aanmerking nemen dat art. 43 de mogelijkheid openlaat om de inzage te weigeren in verband met de rechten en vrijheden van anderen en zodoende de op die anderen betrekking hebbende gegevens af te schermen.
Om de belangen van derden te waarborgen bepaalt art. 35, derde lid, WBP dat deze derden in kennis moeten worden gesteld van een voornemen tot honorering van het inzageverzoek. Daarbij moeten zij de gelegenheid krijgen om hun mening kenbaar te maken. Derden kunnen op die manier nog voorkomen dat hun belangen worden geschaad, aangezien de inzage nog niet heeft plaatsgehad. Een verantwoordelijke is hiertoe verplicht als de te verstrekken gegevens op de derde betrekking hebben en verwacht mag worden dat die derde bedenkingen zal hebben tegen de verstrekking daarvan. De verplichting geldt dus niet als de derde er tevoren reeds mee instemde dat de gegevens aan de betrokkene zouden worden verstrekt. Ook geldt de verplichting niet als nakoming daarvan onmogelijk blijkt of een onevenredige inspanning kost.
9. Wanneer moet ik een recht van verzet honoreren?
Het nieuwe recht voor betrokkenen in de WBP om zich tegen de verwerking van hun persoonsgegevens te verzetten kent twee vormen: relatief en absoluut. Het relatieve recht van verzet staat in art. 40. Op grond daarvan is een recht van verzet uitsluitend mogelijk tegen verwerkingen die gebaseerd zijn op art. 8, onderdeel e of f: door een bestuursorgaan voor de vervulling van een publiekrechtelijke taak (e) of door een verantwoordelijke in diens gerechtvaardigde belang of dat van een derde en het belang van de persoonlijke levenssfeer van de betrokkene niet prevaleert (f). De verwerking op grond van art. 8 (e) dient noodzakelijk te zijn. Die noodzakelijkheid dient men vast te stellen volgens de beginselen van proportionaliteit en subsidiariteit. Daarin zit derhalve enige interpretatieruimte. Een betrokkene die vindt dat zijn persoonlijke omstandigheden die noodzakelijkheid niet rechtvaardigen kan dan verzet aantekenen.
Aan de verwerking op grond van art. 8 (f) heeft - als het goed is - vooraf al een privacytoets plaatsgehad. Ook die privacytoets kan in individuele gevallen tot afwijkende resultaten leiden. Het is mogelijk dat een omstandigheid de verantwoordelijke niet bekend was of later is opgekomen. De betrokkene vraagt via zijn recht van verzet dan in feite om een hernieuwde afweging in zijn concrete geval.
Een voorbeeld is de situatie waarin op een centraal punt medische gegevens zijn vergaard voor epidemiologisch onderzoek. Het kan zijn dat een patiënt, wiens gegevens daar in herleidbare vorm zijn opgeslagen, verneemt dat een bekende van hem, voor wie hij zijn ziekte liever verborgen wil houden, als onderzoeker bij dat centrum werkzaam is. Die patiënt kan er dan een gerechtvaardigd belang bij hebben dat zijn gegevens worden verwijderd of geanonimiseerd.
Een absoluut recht van verzet is opgenomen in art. 41 en geldt voor het verwerken van persoonsgegevens ten behoeve van direct marketing. In dat verband is het recht van verzet absoluut doordat het in alle gevallen moet worden gehonoreerd. De betrokkene hoeft niet te motiveren waarom hij van dat recht gebruik wenst te maken. Degenen die gebruik maken van direct-marketingtechnieken moeten de consument in kennis stellen van de mogelijkheid om bezwaar te maken tegen de gegevensverwerking. De ratio van het recht van verzet is de burger de gelegenheid te bieden te voorkomen dat hem ongevraagd informatie wordt aangeboden op basis van een profiel van zijn persoon. Sommige mensen ervaren dat namelijk als een inbreuk op hun persoonlijke levenssfeer. Zij kunnen zich dan wenden tot een centraal adres waar zij zich geheel gratis kunnen verzetten: DMSA, Antwoordnummer 666, 1000 TL Amsterdam.
10. Is er een overzicht van derde landen die over een gelijkwaardig niveau van gegevensbescherming beschikken?
Onder 'derde landen' verstaat de WBP landen die geen lid zijn van de EU. Voor de landen die wel lid zijn van de EU geldt dat zij door de implementatie van de EU-privacyrichtlijn geacht mogen worden te beschikken over een passend beschermingsniveau voor persoonsgegevens. Tussen landen van de EU mogen derhalve in beginsel, met inachtneming van de voorwaarden voor gegevensverwerking, onderling persoonsgegevens worden uitgewisseld.
Zoals de memorie van toelichting terecht opmerkt is de EU echter geen eiland in de (elektronische) wereld en maakt de ICT de plaatsbepaling van gegevens steeds abstracter en 'internationaler'. Enerzijds verdienen persoonsgegevens daarom een gelijkwaardige bescherming in derde landen, maar anderzijds willen we het reguliere handelsverkeer met landen buiten de EU niet onnodig belemmeren. Om deze belangentegenstelling in evenwicht te brengen is het begrip 'passend beschermingsniveau' geïntroduceerd.
De beoordeling van de vraag in hoeverre in een bepaald land sprake is van zo'n passend beschermingsniveau wordt door de WBP allereerst opgedragen aan de verantwoordelijke. De verantwoordelijke hoeft in dit verband niet het wetgevingsniveau in een ander land in het algemeen te kunnen beoordelen, maar wel of met betrekking tot de doorgifte van bepaalde persoonsgegevens een passend beschermingsniveau wordt geboden. Wanneer bijvoorbeeld medische gegevens worden uitgewisseld voor wetenschappelijk onderzoek met een derde land, dan hoeft de verantwoordelijke 'slechts' vast te stellen of dat land beschikt over deugdelijke wetgeving inzake medische gegevens.
Het zou uiteraard handig zijn wanneer die verantwoordelijke kan beschikken over een lijst van landen waar hij wel en niet persoonsgegevens naar mag verstrekken. Nu zijn de lidstaten verplicht om de Europese Commissie op de hoogte te brengen van 'gevallen' waarin naar hun oordeel een derde land geen passend beschermingsniveau biedt. Op grond van art. 78 is dat in ons land de Minister van Justitie. Aldus zal in elk geval na verloop van tijd een lijst van derde landen beschikbaar moeten zijn en van de mate waarin die landen voor persoonsgegevens een passend beschermingsniveau kennen. Het is dan mogelijk dat een land bijvoorbeeld wel voldoende bescherming biedt voor medische gegevens, maar niet voor strafrechtelijke gegevens.
Zo'n lijst is thans weliswaar nog niet voorhanden, maar de Registratiekamer weet van zo'n veertig verschillende landen wel welk beschermingsniveau die hebben. Die kennis heeft de Registratiekamer onder meer opgedaan via de diverse International Conferences on Data Protection die in het verleden zijn gehouden. In veel gevallen zal de Registratiekamer de verantwoordelijke (houder) ook nu al van advies kunnen dienen over de vraag of verstrekken van persoonsgegevens naar een bepaald land verantwoord is.
Bronnen:
Kamerstukken II 1997/98, 25 892, nrs. 1-3.
Mr J. Nouwt is universitair docent bij het Centrum voor Recht, Bestuur en Informatisering van de Katholieke Universiteit Brabant. E-mail: J.Nouwt@kub.nl.