Rina Steenkamp - Privacy en technologie
Hoofdstuk 1. Algemene bepalingen
bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen
[In de zin van deze richtlijn wordt verstaan onder:]
"bestand van persoonsgegevens", hierna "bestand" te noemen, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze
De omschrijving van het begrip 'bestand' is overgenomen uit artikel 2 van de richtlijn en sluit aan bij die van het begrip 'persoonsregistratie' in artikel 1 van de WPR. De richtlijn laat de lid-staten een zekere marge voor de invulling van dit begrip (zie ook overweging 15).
Het begrip 'bestand' is in het onderhavige wetsvoorstel enkel van belang als criterium voor de afbakening van de reikwijdte van het wetsvoorstel en bepaalde onderdelen daarvan. Wat betreft de niet-geautomatiseerde verwerkingen vallen alleen bestanden, en dus bijvoorbeeld niet ongestructureerde dossiers onder het toepassingsbereik van dit wetsvoorstel (artikel 2, eerste lid). Het wetsvoorstel beoogt in deze geen wijziging aan te brengen ten opzichte van hetgeen geldt onder de WPR. Voorts behoeven niet geautomatiseerde verwerkingen niet te worden aangemeld als ze geen onderdeel uitmaken van een bestand dat is onderworpen aan een voorafgaand onderzoek (bijvoorbeeld artikel 27, tweede lid). Onder de WPR geldt in beginsel een aanmeldingplicht voor niet geautomatiseerde verwerkingen die deel uitmaken van een bestand. Een 'bestand' kan zowel geautomatiseerde als niet geautomatiseerde verwerkingen bevatten. Van een bestand is sprake als de persoonsgegevens onderdeel uitmaken van een gestructureerd geheel dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. In overweging 27 van de richtlijn is aangegeven dat de nationale wetgeving een nadere invulling kan geven aan deze omschrijving.
Op grond van artikel 1 van de WPR is voor de vraag of er sprake is van een persoonsregistratie van belang dat het gaat om een 'samenhangende verzameling'. Bij handmatige verwerkingen gaat het eveneens om de vraag of de verzameling 'met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd'. Beiden vereisten – een samenhangend geheel en systematische toegankelijkheid – zijn eveneens bepalend voor de vraag of er sprake is van een bestand in de zin van het onderhavige artikel. In de begripsomschrijving van 'bestand' hebben de vereisten echter een ruimer bereik: ook de geautomatiseerde gegevensverwerkingen moeten aan beide vereisten voldoen wil er sprake zijn van een bestand. Materieel leidt dit niet tot een wijziging ten opzichte van hetgeen onder de WPR geldt. Bij geautomatiseerde verwerkingen wordt de systematische toegankelijkheid in de WPR steeds aanwezig geacht. Wat handmatige verwerkingen betreft komt de reikwijdte van het begrip 'bestand' overeen met die van het begrip 'persoonsregistratie' in de WPR.
Hieronder zal nader worden ingegaan op beide vereisten.
Het vereiste van een samenhangend geheel komt in de begripsomschrijving van 'bestand' in artikel 1 van de WBP terug in het woord 'geheel'. Het vereiste 'gestructureerd geheel' of 'samenhangende verzameling' houdt in dat de gegevensverwerkingen of de verzameling op grond van meer dan één kenmerk een onderlinge samenhang moet(-en) vertonen. Onderlinge samenhang kan blijken uit een gemeenschappelijke bestemming of uit het feit dat de verzameling in de praktijk als een geheel worden beschouwd. De samenhang kan zitten in een vooraf aangebrachte structuur van de verzameling of in een raadpleegmethodiek die samenhang brengt in ogenschijnlijk willekeurige gegevensverwerkingen. Daarnaast zijn, vooral bij geïntegreerde systemen, het doel of de doelen van de verwerkingen en het feitelijk gebruik van de gegevens van belang voor het antwoord op de vraag of er sprake is van één of meerdere bestanden (Registratiekamer, 25 februari 1994, 93.A.012). Het criterium 'gestructureerd geheel' is eveneens van belang om vast te stellen of er sprake is van één of wellicht meerdere bestanden. Alsdan is niet zozeer de fysieke verschijningsvorm als wel de logische samenhang van de verzameling van belang. Dit brengt met zich dat back-ups en schaduwbestanden niet als een afzonderlijk bestand moeten worden aangemerkt maar zijn te beschouwen als hulpmiddelen bij het voeren van het bestand ten dienste waarvan zij zijn aangelegd. Een zelfde opmerking kan worden gemaakt ten aanzien van een geheel van handmatige bestanden die op verschillende lokaties worden bijgehouden. Een bestand dat zich bevindt op verschillende lokaties kan als één bestand worden aangemerkt indien de verschillende onderdelen van het bestand logisch als één geheel kunnen worden beschouwd.
Het vereiste van een systematische toegankelijkheid komt in de begripsomschrijving van 'bestand' in artikel 1 van de WBP terug in de woorden 'gestructureerd' geheel 'dat volgens bepaalde criteria toegankelijk is'. Het gaat hierbij vooral om de vraag of verzamelingen een duidelijke, vooraf met het oog op raadpleging aangebrachte structuur bezitten. De methode van gegevensopslag en -verwerking is van belang. De inhoud van het bestand moet met het oog op doeltreffende raadpleging volgens bepaalde criteria aangelegd zijn. Door de systematische structuur zijn de persoonsgegevens gemakkelijk toegankelijk. Kaartsystemen en gegevensverzamelingen die in hoofdzaak bestaan uit voorbedrukte formulieren voldoen aan deze eis. Dossierverzamelingen kunnen aan de eis van systematische toegankelijkheid voldoen, bijvoorbeeld in combinatie met een al dan niet geautomatiseerd bestand met een verwijsfunctie naar de dossiers. Dossierverzamelingen die uitsluitend bestaan uit een hoeveelheid op alfabet gerangschikte dossiers, met losse aantekeningen en min of meer chronologisch geordende documenten van velerlei aard, zullen niet voldoen aan het vereiste van systematische toegankelijkheid. De vraag of handmatige dossierverzamelingen aan deze criteria voldoen, is afhankelijk van de feitelijke omstandigheden.
Naast bovenstaande vereisten dient tot slot – wil er sprake zijn van een bestand – het gestructureerd geheel van gegevens betrekking te hebben op verschillende personen. Deze voorwaarde werd ook in de WPR gesteld. Het advies van de Registratiekamer dit vereiste te schrappen wordt niet overgenomen. De reikwijdte van het begrip bestand met het oog op dossierverzamelingen is thans in de jurisprudentie enigszins uitgekristalliseerd. Het is onwenselijk daarin nu weer wijziging te brengen.
Gegevens die op grond van de hierboven omschreven criteria niet worden geacht te zijn opgenomen in een bestand, vallen bijvoorbeeld onder de bescherming van artikel 6:162 BW (onrechtmatige daad). Daarnaast is voor de overheid de Wet openbaarheid van bestuur van toepassing. Dat betekent, dat een verzoek van iemand tot kennisneming van hem betreffende informatie uit dossiers die niet deel uitmaken van een gestructureerd geheel en daarom niet onder de definitie van een bestand vallen, kan worden gebaseerd op de Wet openbaarheid van bestuur c.q. het BW in verband met een onrechtmatige daad.
[MvT, pagina 53-55]