Rina Steenkamp - Privacy en technologie
Hoofdstuk 4. Melding en voorafgaand onderzoek
1. De Lid-Staten bepalen welke inlichtingen in de aanmelding moeten worden opgenomen. Deze inlichtingen behelzen ten minste:
a) de naam en het adres van de voor verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger;
b) het (de) doeleinde(n) van de verwerking;
c) een beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben;
d) de ontvangers of categorieën ontvangers aan wie de gegevens kunnen worden verstrekt;
e) de voorgenomen overdrachten van gegevens naar derde landen;
f) een algemene beschrijving om op voorhand te kunnen beoordelen of de genomen maatregelen om, ter toepassing van artikel 17, de beveiliging van de verwerking te waarborgen, afdoende zijn.
2. De Lid-Staten geven nader aan volgens welke procedures wijzigingen in de in lid 1 bedoelde inlichtingen bij de toezichthoudende autoriteit moeten worden aangemeld.
Dit artikel vermeldt de gegevens die bij aanmelding moeten worden verstrekt. Het artikel geeft uitvoering aan artikel 19 van de richtlijn. Het vormt een vereenvoudiging ten opzichte van de artikelen 20 en 24 WPR daar er minder gegevens hoeven te worden aangemeld. Verder is de procedure voor de aanmelding van wijzigingen vereenvoudigd. Het eerste lid bevat een opgave van de te melden gegevens.
Blijkens onderdeel a moet de identiteit van de verantwoordelijke worden gemeld alsmede de gegevens die nodig zijn om met hem te kunnen communiceren. Deze gegevens zijn nodig om met de verantwoordelijke in contact te kunnen treden bij vermeend onrechtmatig gebruik van door hem verwerkte gegevens. Indien bij de verwerking meerdere verantwoordelijken zijn betrokken, dient de identiteit van alle bij de verwerking betrokken verantwoordelijken en, indien dit het geval is, van hun vertegenwoordigers te worden gemeld.
Blijkens onderdeel b moeten het doel of de samenhangende doelen van de verwerking worden gemeld. Zij bepalen de aard van de gegevensverwerking en vormen het criterium aan de hand waarvan de omgang met de persoonsgegevens wordt getoetst. In de toelichting bij artikel 27, eerste lid, is reeds gemeld dat de melding betrekking kan hebben op verwerkingen ten behoeve van samenhangende doeleinden, ongeacht of deze onderling verenigbaar zijn.
Onderdeel c schrijft voor dat de categorieën van betrokkenen en de omtrent hen te verwerken gegevens worden gemeld.
Onderdeel d heeft betrekking op de ontvangers van de gegevens. Evenals onder de WPR gaat het daarbij niet alleen om de gevallen dat wordt verstrekt aan derden, doch eveneens om de verstrekking aan personen of afdelingen binnen de organisatie van de verantwoordelijke. Deze verstrekkingen dienen zo mogelijk individueel te worden vermeld. Gaat het evenwel om groepen van ontvangers, dan moeten deze worden beschreven. Dit betekent dat de beschrijving een zo nauwkeurig mogelijk beeld moet geven van de categorieën van ontvangers. De bedoeling is dat het helder en doorzichtig wordt hoe de gegevens worden verwerkt.
Uit onderdeel e blijkt de oorspronkelijk Europese herkomst van de regeling. Dit onderdeel betreft de overdracht van gegevens naar landen buiten de Europese Unie. Naar aanleiding van de vraag van de Registratiekamer in haar advies wordt hier opgemerkt dat het woord 'overdracht', dat is ontleend aan artikel 19, eerste lid, onder e, van de richtlijn, op één lijn kan worden gesteld met het woord 'doorgifte' in de artikelen 76 en 77 van dit wetsvoorstel. Om te kunnen voldoen aan artikel 25, derde lid, van de richtlijn is het nodig zicht te krijgen op deze verstrekkingen teneinde de regering in staat te stellen de Europese Commissie te verwittigen van gevallen waarin geen passend niveau van bescherming in het derde land aanwezig wordt geacht. Het maakt a contrario duidelijk dat het gegevensverkeer met landen binnen de Unie niet aan een dergelijk bijzonder toezicht is onderworpen.
Onderdeel f strekt ertoe de Registratiekamer in staat te stellen een eerste indruk te krijgen van het beveiligingsniveau. De verantwoordelijke dient een algemene beschrijving te geven van de voorgenomen maatregelen ter beveiliging van de gegevensverwerkingen. Te denken valt aan de mededeling dat de toegang tot het informatiesysteem is beveiligd met een code, bestaande uit een aantal letters of cijfers, met vermelding van de regelmaat waarmee deze moet worden gewijzigd. Ook is denkbaar dat door de Registratiekamer een soort checklist van beveiligingsmaatregelen wordt opgesteld. Middels het invullen van deze checklist zou de Registratiekamer ook een beeld kunnen krijgen van de voorgenomen beveiligingsmaatregelen door de verantwoordelijke en is voldaan aan dit onderdeel van de meldingsplicht. Met de ontwikkelingen van de techniek wijzigen zich uiteraard voortdurend de maatregelen die passend moeten worden geacht uit een oogpunt van beveiliging want wat vandaag veilig is, is dat morgen niet meer. Zolang dergelijke aanpassingen voldoen aan de algemene beschrijving die is opgenomen in de melding, hoeft deze niet opnieuw te worden gemeld. De vertrouwelijkheid van beveiligingsmaatregelen leidt ertoe dat de melding ingevolge dit onderdeel niet van dien aard kan zijn dat daarop meer dan een voorlopig oordeel kan worden gebaseerd omtrent het wel of niet passend zijn van de beveiligingsmaatregelen. Uit de aard van de materie vloeit voort dat omtrent de beveiligingsmaatregelen geheimhouding is geboden. Dit onderdeel van de melding is dan ook met de nodige waarborgen omkleed. Het is allereerst uitgezonderd van de opname in het in artikel 30, eerste lid, bedoelde openbare register van aanmeldingen. Seperate aanmelding verdient hier de voorkeur ten einde de noodzakelijke afscherming te kunnen realiseren. Eveneens verstrekt de verantwoordelijke dan wel de functionaris bij wie in plaats daarvan de melding heeft plaatsgevonden, ingevolge artikel 30, derde lid, hierover geen informatie indien iemand hem daarom verzoekt. Zou een verdergaande bekendmaking plaatsvinden, dan zou zulks uiteraard, hoe globaal dit onderdeel van de melding ook is, afbreuk kunnen doen aan de effectiviteit van de beveiliging.
In de toelichting bij artikel 27, eerste lid, is reeds gemeld dat de melding betrekking kan hebben op verwerkingen ten behoeve van samenhangende doeleinden, ongeacht of deze onderling verenigbaar zijn. Artikel 9 bevat de materiële norm dat persoonsgegevens niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Voor de vraag of de verwerkingen op zich geoorloofd zijn dient aan deze norm te worden getoetst. Onderling samenhangend is een meer omvattend begrip dan onderling verenigbaar. Teneinde in dergelijke gevallen toch in voorkomend geval de toets van het gebruik verenigbaar met het oorspronkelijk doel waarvoor is verzameld, te kunnen aanleggen voorziet het tweede lid een aparte voorziening. De melding van de verantwoordelijke dient eveneens het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn verzameld, te bevatten. Aanvankelijk was een uitzondering op deze verplichting opgenomen voor de gevallen dat het doel waarvoor de gegevens zijn verzameld, uit de aard van de gegevens of de aard van de verwerking voortvloeit. Zo zal uit een registratie van een bank of een verzekeraar zonder meer de aard van het contract blijken in welk verband de gegevens zijn verzameld. Die aard is bepalend voor het verenigbaar gebruik. Ook wanneer het gaat om een gegevensverwerking voor een enkel doel, blijkt uit dit doel waartoe de gegevens zijn verzameld. Dit is de situatie onder de WPR waarbij blijkens artikel 4 een registratie wordt gedefinieerd volgens een eenduidig doel. De Registratiekamer merkt in haar advies op dat deze uitzondering in de praktijk veel problemen zal geven bij het verrichten en het toetsen van de aanmelding. Uit een oogpunt van duidelijkheid meent zij dat een onvoorwaardelijke verplichting de voorkeur verdient. Omdat de evidente doelen waarop de uitzondering ziet zich ook gemakkelijk laten omschrijven is het advies overgenomen en bevat het tweede lid nu een onvoorwaardelijke verplichting.
Het tweede lid heeft tot gevolg dat bijvoorbeeld bij multifunctionele informatiesystemen met uiteenlopende, mogelijk met elkaar onverenigbare doeleinden, apart duidelijk moet worden gemaakt voor welk doel de daarin opgenomen gegevens zijn vergaard. De verschillende vormen van gebruik, de in dat verband te verlenen autorisaties aan verschillende categorieën van medewerkers en de verwerkingsduur dienen aan dit doel te worden getoetst. Het gebruik van persoonsgegevens die voor de uitvoering van het ene contract zijn verkregen, zijn dus niet altijd zonder meer te gebruiken in het kader van de voorbereiding van een ander contract, zelfs niet binnen eenzelfde branche. Het is wellicht nuttig hiervan een voorbeeld te geven. Wanneer bij voorbeeld een verzekeraar zowel een ziektekosten- als een levensverzekering aanbiedt, dan kunnen de daartoe gevoerde gegevensverwerkingen worden aangemeld als één gegevensverwerking met meerdere samenhangende doeleinden. Uit dat ene informatiesysteem kan worden geput bij de beantwoording van vragen van de klant. Het gebruik van de gegevens van de eerste verzekering, in dit geval de ziektekostenverzekering, voor het bepalen van de hoogte van de premie van de tweede, de levensverzekering, is evenwel een vorm van onverenigbaar gebruik van deze gegevens. De vraag van verenigbaar gebruik is daarom niet beantwoord met de vraag van samenhangende doeleinden. Een afzonderlijke beschrijving van de ontvangers, uitgesplitst naar de verschillende categorieën van opgenomen persoonsgegevens, blijft noodzakelijk.
Het voorgaande is eveneens van belang voor organen met een publieke taak. Het streven verkokering binnen de sectoren van de overheid tegen te gaan heeft geleid tot een omvangrijke uitwisseling van persoonsgegevens tussen verschillende diensten met elk een andere taakopdracht. Voorbeelden hiervan zijn het contact tussen de uitvoeringsorganen van de sociale verzekeringen, de sociale diensten van de gemeenten en de fiscus met het oog op de het tegengaan van fraude via bijvoorbeeld het RINIS-systeem; de uitwisseling van persoonsgegevens tussen de organen betrokken bij de justitiële keten om stagnatie tegen te gaan; het streven om onrechtmatig in Nederland verblijvende vreemdelingen uit te sluiten van een aantal overheidsvoorzieningen. Bij deze voorbeelden zijn voor uiteenlopende maar samenhangende doelen informatiesystemen ingericht, veelal door de inrichting van een centrale verwijzingsindex, al dan niet door tussenkomst van de gemeentelijke basisadministratie. Het sociaal-fiscaal nummer speelt in dit verband de rol van koppelingsinstrument. Niet alle daarin opgenomen gegevens kunnen zonder nadere toets ook voor elk van de doelen van het informatiesysteem worden gebruikt.
Het derde lid geeft invulling aan de opdracht van artikel 19, tweede lid van de richtlijn, namelijk dat een procedure moet worden voorgeschreven voor het melden van wijzigingen. Wijzigingen in de gegevens van de verantwoordelijke, bij voorbeeld een verhuizing, moeten binnen een week worden meegedeeld. Zodra de woonplaats van de verantwoordelijke niet meer bekend is, is het ook niet meer mogelijk iemand aan te spreken op de naleving van de normen. Gelet op de strafbaarstelling van het niet nakomen van de verplichting ingevolge artikel 28 is de norm die aanvankelijk was opgenomen, namelijk dat deze wijzigingen terstonds moeten worden gemeld, geconcretiseerd tot: binnen een week. Ook de Registratiekamer adviseert een dergelijke concretisering.
In het derde lid is tevens, teneinde de administratieve belasting zoveel mogelijk te verminderen, neergelegd dat wijzigingen in de overige gegevens slechts behoeven te worden gemeld, indien na verloop van tijd blijkt dat deze van meer dan incidentele aard zijn. De gegevensverwerking dient eens per jaar daarop te worden gecontroleerd. Uit de evaluaties van de WPR is immers gebleken dat het steeds en voortdurend melden van elke wijziging in de werking van de registratie, in de praktijk op problemen stuit. Zo kan het voorkomen dat een verstrekking wordt gedaan voor een ander, zij het verenigbaar doel dan waarvoor de gegevens worden verwerkt. Indien blijkt dat zulks vaker voorkomt, zal op een gegeven moment moeten worden geconstateerd dat dit andere doel, feitelijk mede een met het eerste samenhangend doel van de verwerking is. Het is dan nodig van deze feitelijkheid opgave te doen.
Deze voorschriften sluiten tot op zekere hoogte aan bij artikel 20 WPR. Onder de WPR kon het voorkomen dat in afwijking van de aanmelding, ook incidenteel gegevens aan derden worden verstrekt, bij voorbeeld om een dringende en gewichtige reden of in verband met wetenschappelijk onderzoek. Artikel 11 WPR beperkt evenwel de verstrekking aan derden voor andere doeleinden. Het onderhavige wetsvoorstel biedt meer souplesse. Bij de derdenverstrekking is sprake van een minder strikte doelbinding. Omdat een melding bij elke doelafwijking zeer onderhoudsintensief is, is verder bepaald dat slechts wanneer de doelafwijking structureel wordt door meerdere verstrekkingen, dit behoeft te worden gemeld.
De beoordeling of een wijziging al dan niet structureel is kan pas achteraf worden vastgesteld. Zolang de wijzigingen niet zijn doorgevoerd, dient de verantwoordelijke ingevolge het vierde lid de gegevens omtrent verwerkingen die niet geheel overeenstemmen met de melding, zelf op te slaan. Achteraf is aldus steeds vast te stellen aan bijvoorbeeld welke (categorieën van) ontvangers gegevens zijn verstrekt, dan wel of gegevens zijn doorgegeven aan landen buiten de Unie. Deze procedure voor melding van wijzigingen waarborgt aldus de transparantie van de gegevensverwerking.
De Registratiekamer adviseert de beperking tot wijzigingen van meer dan incidentele aard in het derde lid te laten vervallen. Het vierde lid zou dan moeten worden verbreed tot het vastleggen en bewaren van alle afwijkingen. Het advies van de kamer is slechts ten dele opgevolgd: enkel voorzover het het vierde lid betreft. In het belang van de transparantie verplicht het vierde lid thans de verantwoordelijke alle verwerkingen die afwijken van hetgeen is aangemeld (op de identiteit van de verantwoordelijke na) vast te leggen en te bewaren. Op deze wijze zal hij ook tijdens de periodieke controle van de gegevens die zijn aangemeld beter in staat zijn te beoordelen of een wijziging die heeft plaatsgevonden als structureel moet worden beschouwd. Het advies ten aanzien van het derde lid stuit af op de ervaringen die in de praktijk zijn opgedaan ten aanzien van de aanmeldingsplicht, waarover hier boven al naar is verwezen. Een daadwerkelijk naleven van de aanmeldingsplicht is gebaat bij een zo min mogelijke administratieve belasting.
Er kan in de toekomst een behoefte ontstaan nader regels te stellen ten aanzien van de wijze waarop de melding wordt gedaan. Nieuwe technologische ontwikkelingen kunnen te zijner tijd wellicht in het kader van de meldingsprocedure worden ingezet en een regeling behoeven.
[MvT, pagina 136-140]