Rina Steenkamp - Privacy en technologie
Hoofdstuk 1. Algemene bepalingen
persoonsgegeven: elk gegeven betreffende een geďdentificeerde of identificeerbare natuurlijke persoon
[In de zin van deze richtlijn wordt verstaan onder:]
"persoonsgegevens", iedere informatie betreffende een geďdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geďdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit
Het begrip 'persoonsgegevens' wordt in artikel 2, onder a, van de richtlijn omschreven als 'alle informatie betreffende een geďdentificeerde of identificeerbare natuurlijke persoon'. Deze omschrijving sluit aan bij die van het begrip 'personal data' in het Dataprotectieverdrag waar wordt gesproken van 'any information relating to an identified or identifiable individual'.
Ten einde de terminologie ten opzichte van artikel 1 van de WPR niet onnodig te doorbreken is het begrip omschreven in het enkelvoud en is de term 'gegeven' gehandhaafd om het begrip 'informatie' van de richtlijn om te zetten. Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon moeten als persoonsgegevens worden beschouwd. In de WPR was nog bepaald dat het moet gaan om een individuele natuurlijke persoon. Gezien de bewoordingen van de richtlijn lijkt de term 'individueel' overbodig en is deze geschrapt zonder daarmee een wijziging te beogen ten opzichte van artikel 1 van de WPR. De definitie bevat een aantal elementen die expliciet aandacht vragen. Allereerst moet het gaan om informatie 'betreffende' een natuurlijke persoon ('any information relating to'). Voorts moet deze persoon zijn geďdentificeerd of althans identificeerbaar zijn ('identified or identifiable'). Als er aan één van beide elementen niet is voldaan, dan is er geen sprake van persoonsgegevens en is het wetsvoorstel niet van toepassing. Hoewel het gaat om twee onderscheiden beoordelingsmomenten, staan zij niet los van elkaar.
Het begrip 'persoonsgegeven' van de WPR sluit inhoudelijk aan op de omschrijving in artikel 1 van de WBP, maar is wat anders omschreven, namelijk een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. Bovengenoemde elementen liggen besloten in de term herleidbaar. Van herleiding is sprake indien een gegeven informatie verschaft over een identificeerbaar persoon. Omdat de term 'herleidbaar' in de praktijk tot misverstanden heeft geleid, wordt – in aansluiting op het advies van de Registratiekamer – deze term in het onderhavige wetsvoorstel niet meer gehanteerd.
Hieronder wordt ingegaan op bovengenoemde elementen van het begrip 'persoonsgegeven'.
Allereerst is voor het begrip 'persoonsgegeven' relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus mede-bepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven. De richtlijn biedt geen aanknopingspunt voor een beperking van het begrip 'persoonsgegevens' tot rechtens relevante informatie, zoals soms wel is bepleit. In deze opvatting zou het bij persoonsgegevens slechts gaan om gegevens die juridische consequenties hebben voor de betrokkene. Daarmee wordt voorbijgegaan aan de mogelijke gevolgen van het gebruik van op individuele personen betrekking hebbende informatie voor de wijze waarop deze in het maatschappelijk verkeer worden bejegend. Deze gevolgen kunnen ook optreden zonder dat rechtstreeks wordt ingegrepen in de rechtspositie van de betrokkene. Om die reden dient het begrip 'persoonsgegevens' ruimer te worden uitgelegd in de zin zoals in de vorige alinea reeds werd aangegeven. Een beperktere uitleg zou bovendien op gespannen voet komen met de richtlijn.
Gegevens die een neerslag vormen van een over een bepaalde persoon genomen beslissing, kunnen worden beschouwd als een deze persoon betreffend persoonsgegeven. Ook gegevens die niet direct betrekking hebben op een bepaalde persoon, maar bijvoorbeeld op een produkt of een proces, kunnen soms over een bepaalde persoon informatie verschaffen, bij voorbeeld wanneer daarmee de arbeidsproduktiviteit van een werknemer gemakkelijk in kaart kan worden gebracht. Tevens dienen telefoonnummers (Registratiekamer 8 juli 1993, 93.A.002), kentekens van auto’s (Registratiekamer 15 oktober 1993, 92.F.008) en postcodes met huisnummers (Registratiekamer 21 juni 1996, 95.O.043) onder omstandigheden als een persoonsgegeven te worden aangemerkt. Het gegeven dat een bepaalde persoon aangifte heeft gedaan van diefstal van een voertuig, wanneer hij daarmee als slachtoffer van een strafbaar feit wordt aangemerkt, zal ook als een op die persoon betrekking hebbend persoonsgegeven moeten worden aangemerkt.
Gegevens die naar hun aard niet op personen betrekking hebben noch – gezien de context waarin ze worden verwerkt – mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, zijn geen persoonsgegevens. Gegevens die uitsluitend voorwerpen aanduiden, bijvoorbeeld gestolen goederen of identiteitsbewijzen, zijn geen persoonsgegevens indien deze geen informatie bevatten met behulp waarvan personen in hun maatschappelijke positie kunnen worden geraakt. Het gaat dan om zuivere objectgegevens. Hetzelfde geldt voor gegevens die onroerende zaken of andere registergoederen identificeren. Het feit dat deze zaken via een openbaar register zoals de kadastrale registratie tot een individuele natuurlijke persoon kunnen worden herleid, doet hieraan op zichzelf niet af. Het zou anders zijn indien bij een verstrekking van dergelijke objectgegevens (bijvoorbeeld overzichten van panden en erven met aanvullende informatie over de omvang en de aard ervan) op CD-ROM, een aanvullend gegeven omtrent personen is verbonden, waardoor de zoekbaarheid op personen mogelijk wordt. Gegevens van een netwerkbeheerder over het gebruik van het netwerk via aansluitpunten teneinde het goed functioneren van het netwerk te waarborgen, zijn geen persoonsgegevens zolang elke reële mogelijkheid is uitgesloten dat die gegevens worden gebezigd om het gebruik van het netwerk door individuele personen in ogenschouw te nemen.
Niet elk technisch of toevallig verband tussen een gegeven en een persoon is dus voldoende om dat gegeven een persoonsgegeven te doen zijn. Anders dan de Registratiekamer in haar advies stelt is niet vereist dat iedere mogelijkheid de gegevens met betrekking tot personen te gebruiken, is uitgesloten. Is deze mogelijkheid weliswaar theoretisch aanwezig maar is ondenkbaar dat dit ook daadwerkelijk gebeurt, dan kan ervan worden uitgegaan dat de gegevens niet als persoonsgegevens worden aangemerkt. Indien het daarentegen mogelijk is de gegevens te gebruiken bij voorbeeld om fraude op te sporen, dan is er sprake van persoonsgegevens. Daarbij is niet relevant of de bedoeling de gegevens voor dat doel te gebruiken, ook aanwezig is. Er is reeds sprake van een persoonsgegeven wanneer het gegeven voor een dergelijk op de persoon gericht doel, kan worden gebruikt.
Gegevens die betrekking hebben op overledenen of rechtspersonen, zijn geen persoonsgegevens als bedoeld in het onderhavige artikel. Hebben deze gegevens echter eveneens betrekking hebben op nog levende, natuurlijke personen en kunnen zij mede bepalend zijn voor de wijze waarop deze in het maatschappelijk verkeer worden beoordeeld of behandeld, dan zijn zij wel weer een persoonsgegeven. Dit gold eveneens onder de WPR.
De identificeerbaarheid van de persoon is het tweede element dat bepalend is voor de vraag of sprake is van een persoonsgegeven. Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Twee factoren spelen hierbij een rol: de aard van de gegevens en de mogelijkheden van de verantwoordelijke om de identificatie tot stand te brengen.
Een persoon is identificeerbaar indien sprake is van gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geďdentificeerd. Artikel 2, onder a, van de richtlijn bepaalt dat als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geďdentificeerd, met name aan de hand van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. In dit kader kan worden onderscheiden tussen direct en indirect identificerende gegevens.
Van direct identificerende gegevens is sprake wanneer gegevens betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig vast te stellen is. Direct identificerende gegevens zijn gegevens als naam, adres, geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met een grote mate van waarschijnlijkheid, kan worden geďdentificeerd. Dergelijke gegevens worden in het maatschappelijk verkeer ook gebruikt om personen van elkaar te onderscheiden.
Anders ligt dit wanneer de gegevens niet direct tot identificatie van een bepaald persoon leiden maar via nadere stappen de gegevens in verband kunnen worden gebracht met een bepaalde persoon. Dit soort gegevens heten indirect identificerende gegevens. Zij kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon. Daarnaast zijn er gegevens die zodanig uniek zijn dat zij ook identificerend zijn, zoals het sociaal-fiscaal nummer of unieke biometrische gegevens zoals stem, vingerafdruk of DNA-profiel. Zo zijn biometrische kenmerken omtrent een persoon, wanneer deze zijn vastgelegd op een gegevensdrager en daaraan impliciet of expliciet aanvullende informatie is verbonden, persoonsgegevens. Deze aanvullende informatie kan immers met hem in verband kunnen worden gebracht, zodra de biometrische kenmerken worden vergeleken met de kenmerken van de persoon waarvan zij afkomstig zijn.
Bij sociaal-wetenschappelijk onderzoek zal onderscheid moeten worden gemaakt tussen enerzijds gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en anderzijds gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidend vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context, bij voorbeeld afhankelijk van de omvang van de bevolkingsgroep waarop de gegevensverwerking betrekking heeft. Het verwijderen van de direct identificerende kenmerken biedt op zichzelf niet altijd voldoende garantie dat geen sprake meer is van persoonsgegevens. Door middel van spontane herkenning, vergelijking van gegevens en/of koppeling aan gegevens uit andere bron, kan immers desondanks, soms zonder bijzonder inspanning, identificatie tot stand worden gebracht. Is echter het risico van spontane herkenning redelijkerwijs uitgesloten, dan kan worden aangenomen dat er geen sprake is van persoonsgegevens. Het is niet nodig dat de mogelijkheid van spontane herkenning absoluut wordt uitgesloten.
De verantwoordelijke beschikt over mogelijkheden tot identificatie en de bekendheid of beschikbaarheid van aanvullende informatie. Een absolute maatstaf is niet aan de orde: gekeken moet worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de verantwoordelijke dan wel enig ander persoon zijn in te zetten om die persoon te identificeren. Uitgegaan moet worden van een redelijk toegeruste verantwoordelijke. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke van de verantwoordelijke. Het gaat dus enerzijds om objectivering naar een redelijk toegeruste verantwoordelijke en anderzijds om subjectivering naar bijzondere expertise (Registratiekamer 27 maart 1995, 95.V.029). Een onderzoeksinstituut als het CBS zal bijvoorbeeld gelet op zijn expertise, contacten en technische outillage, eerder in staat zijn gegevens te identificeren dan een individuele onderzoeker. Deze omstandigheid dient in de beoordeling of sprake is van een persoonsgegeven te worden meegewogen.
Wat blijkens het voorgaande voor de verantwoordelijke geldt, geldt bij het verstrekken van gegevens aan een derde uiteraard ook voor de ontvanger. Dat betekent dat de verantwoordelijke zich in een dergelijk geval zal moeten afvragen of de bewuste gegevens in handen van de ontvanger al dan niet als identificeerbaar zullen moeten worden aangemerkt. Bepalend is wat in de gegeven situatie redelijkerwijs mag worden verwacht. Naarmate een verstrekker over meer mogelijkheden beschikt om de risico’s van identificatie door de ontvanger te voorzien of te beperken, mag van hem in dit opzicht meer zorgvuldigheid worden verwacht. Bij het voortschrijden van informatietechnologie moet rekening worden gehouden met het feit dat waar voorheen wellicht nog sprake is was van een onevenredige inspanning (en dus niet van een persoonsgegeven), deze inspanning geringer wordt met het beschikbaar komen van nieuwe technieken. De desbetreffende gegevens kunnen daardoor onder het bereik van het wetsvoorstel komen te vallen. Het begrip is dus tot op zekere hoogte technologie-onafhankelijk in die zin dat technische ontwikkelingen leiden tot een andere toepassing van hetzelfde begrip, teneinde de ratio van de regelgeving – de bescherming van het individu – te behouden. Wat dus bij een bepaalde stand van de techniek als anoniem, want redelijkerwijs niet op een persoon herleidbaar gegeven, kan worden beschouwd, kan door technische ontwikkelingen alsnog een persoonsgegeven worden gelet op de toegenomen mogelijkheden tot herleiding.
Een gegeven is geen persoonsgegeven indien doeltreffende maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten. Deze maatregelen kunnen bijvoorbeeld zijn gegevenscodering in combinatie met nadere bewerkingen of bijzondere besluitvormingsprocedures. Een verantwoordelijke kan bij voorbeeld gegevens ontdoen van de direct identificerende gegevens en deze onderbrengen bij een derde dan wel een derde de sleutel geven die toegang geeft tot deze gegevens. De vraag of in een dergelijk geval al dan niet gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de betrokken derde verwacht mag worden. Indien bijvoorbeeld degene die de code heeft opgesteld is onderworpen aan een geheimhoudingsplicht die naar uit de praktijk is gebleken daadwerkelijk wordt gehandhaafd, kan in de regel ervan worden uitgegaan dat er onvoldoende feitelijke mogelijkheden zijn tot daadwerkelijke identificatie. Is de code echter zonder veel moeite of met eenvoudige omzeiling van waarborgen te verkrijgen door de verantwoordelijke, dan is er sprake van identificeerbaarheid en dus van persoonsgegevens in de zin van het wetsvoorstel. De feitelijke situatie, niet de juridische constructie, is bepalend voor de toepasselijkheid van het wetsvoorstel.
Onder omstandigheden zullen de gegevens tevens nader moeten worden bewerkt om identificatie tegen te gaan. Aggregatie kan bijvoorbeeld het onderscheidend vermogen van gegevens doen verminderen. Zolang identificatie van gegevens met behulp van andere bestanden een reële mogelijkheid is, is het wetsvoorstel van toepassing en moeten de daarin opgenomen spelregels worden nageleefd.
Waarborgen om daadwerkelijke identificatie via codering en bewerking van gegevens tegen te gaan, kunnen zijn opgenomen in een gedragscode of als voorwaarde gelden in de contractuele sfeer. In een gedragscode of een contract kunnen indicaties zijn gegeven omtrent de middelen waarmee de gegevens anoniem kunnen worden gemaakt en kunnen worden bewaard in een vorm die identificatie van de betrokkene feitelijk niet langer mogelijk maakt. Hiervan is bij voorbeeld sprake indien de codes worden beheerd door een ander op wie een geheimhoudingsplicht rust. Wanneer dergelijke regels met zorg zijn vastgesteld en ook daadwerkelijk handhaafbaar zijn, kan worden aangenomen dat het wetsvoorstel niet van toepassing is, zelfs al zou niet geheel zijn uitgesloten dat op enigerlei wijze toch herkenning van individuele personen plaatsvindt. Wat betreft het gebruik van persoonsgegevens voor wetenschappelijke en statistische doeleinden kan in deze verwezen worden naar het advies van de Commissie Kordes 'Privacywetgeving en het gebruik van persoonsgegevens voor wetenschappelijke en statistische doeleinden' van januari 1997 aan de Minister van Onderwijs, Cultuur en Wetenschappen.
De definitie van een persoonsgegeven omvat niet alleen de informatie omtrent een bepaalde persoon in geschreven tekst, doch tevens in beeld en geluid. Dit roept vragen op met betrekking tot de werkingssfeer van de regeling. In de toelichting op artikel 2 komen wij hierop terug.
Gegevens van overleden personen vallen niet onder de definitie van persoonsgegevens zoals in artikel 1, onder a, gehanteerd en blijven daarmee buiten het bereik van dit wetsvoorstel. Daarbij wordt aangesloten bij hetgeen gold onder de WPR (zie kamerstukken I, 1988/89, 19 095, nr. 36a, blz. 6/7). Indien maatschappelijk onzorgvuldig is omgegaan met gegevens van een overleden persoon, is er sprake van een onrechtmatige daad in de zin van artikel 6:162 BW en kunnen diens nabestaanden – indien is voldaan aan de voorwaarden in laatstgenoemde bepaling – schadevergoeding vorderen. Indien iemand overlijdt en diens gegevens daarmee overbodig worden ligt het in de rede dat deze gegevens verwijderd worden. De bestanden zouden anders 'vervuild' raken met gegevens die voor het doel niet meer noodzakelijk zijn. De verantwoordelijke is hiertoe weliswaar niet gedwongen op grond van artikel 11 van het wetsvoorstel, maar zal om pragmatische redenen toch tot verwijdering overgaan. Hij zal bovendien niet het risico willen lopen onzorgvuldig jegens (de nabestaanden van) de overledenen te handelen, waarvan met name bij gevoelige gegevens eerder sprake zal kunnen zijn. Ten overvloede zij er op gewezen dat de in bovenbedoelde zin beperkte reikwijdte van het wetsvoorstel het algemene uitgangspunt dat het medisch beroepsgeheim ook na de dood werkt onverlet laat.
[MvT, pagina 45-50]