Rina Steenkamp - Privacy en technologie
Hoofdstuk 4. Melding en voorafgaand onderzoek
Paragraaf 2. Voorafgaand onderzoek
1. De Lid-Staten geven aan welke verwerkingen mogelijk specifieke risico's voor de persoonlijke rechten en vrijheden inhouden en dragen er zorg voor dat zij vóór de aanvang van de verwerking onderzocht worden.
2. Deze voorafgaande onderzoeken worden uitgevoerd door de toezichthoudende autoriteit na ontvangst van een aanmelding van de voor de verwerking verantwoordelijke, of door de functionaris voor de gegevensbescherming, die in twijfelgevallen de toezichthoudende autoriteit moet raadplegen.
Een beperkte categorie van verwerkingen rechtvaardigt het voorschrijven van voorafgaande controlemaatregelen die verder gaan dan aanmelding. Volgens artikel 20, eerste lid, van de richtlijn gaat het daarbij om verwerkingen die specifieke risico’s meebrengen voor de rechten en vrijheden van de betrokkenen. De voorafgaande controle bestaat uit het kenbaar maken aan de toezichthoudende autoriteit van de voorgenomen verwerkingen en diens bevoegdheid om een nader onderzoek hiernaar in te stellen. Het een en ander heeft zijn beslag gekregen in de artikelen 31 en 32. De verwerkingen die in aanmerking komen voor een voorafgaand onderzoek moeten bij of krachtens wet worden aangewezen (artikel 31, derde lid). Voor een deel gebeurt dit in dit wetsvoorstel. Het onderzoek heeft in beginsel alleen betrekking op een geheel van verwerkingen, zoals ook de melding sec betrekking heeft op een geheel van verwerkingen. Het onderzoek zal derhalve in de regel geen betrekking hebben op een individuele beslissing om een gegeven te verwerken in de zin dat het zal worden verstrekt aan een ontvanger. Voor een nadere uitleg omtrent het begrip 'geheel van verwerkingen' zij verwezen naar de toelichting op artikel 1, onderdeel b, en artikel 27, eerste lid.
Bepaalde lid-staten van de Europese Unie kennen thans al een systeem van voorafgaande toetsing in de vorm van een vergunningverlening, zij het met de mogelijkheid uitzonderingen te maken. Dit systeem werd wat Nederland betreft indertijd ook geïntroduceerd in het rapport 'Privacy en persoonsregistratie' uit 1976 van de Commissie-Koopmans dat ten grondslag lag aan de totstandkoming van het voorstel van de Wet op de persoonsregistraties (kamerstukken II 1981/82, 17 207, nrs. 1–2). Dit voorstel is later uit dereguleringsoogpunt ingetrokken en vervangen door een wetsvoorstel dat heeft geleid tot de WPR.
Nu in artikel 20, eerste lid, van de richtlijn de benadering is gekozen dat de Lid-Staten de verplichting hebben nader te bepalen gegevensverwerkingen met bijzondere risico’s aan een vorm van preventief toezicht te onderwerpen, is daartoe een regeling in het wetsvoorstel opgenomen. De richtlijn gaat evenwel niet zo ver dat een vergunningensysteem moet worden ingevoerd. In artikel 20 spreekt de richtlijn alleen over een 'voorafgaand onderzoek'. Tot een besluit strekkende tot toewijzing of afwijzing van een vergunning, behoeft dit onderzoek krachtens de richtlijn niet te leiden.
Het voorafgaand onderzoek wordt uitgevoerd door de Registratiekamer. De toets betreft een rechtmatigheidstoets. De uitkomst van deze toets kan uiteraard anders uitvallen dan wanneer de verantwoordelijke deze zèlf zou hebben gemaakt op grond van bijvoorbeeld artikel 8. Het is evenwel niet de bedoeling het voorafgaand onderzoek door de Registratiekamer daarvoor volledig in de plaats te stellen. Het voorafgaand onderzoek leidt tot een niet-bindende verklaring omtrent de rechtmatigheid van de verwerking die de verantwoordelijke niet ontslaat van de verplichting om zijn eigen afweging te maken. Wel ligt het in de rede dat de verklaring van de Registratiekamer in de afweging door de verantwoordelijke een belangrijke rol zal spelen. Mede met het oog op het belang van de verklaring van de kamer voor de verantwoordelijke, is voorzien in de mogelijkheid van bezwaar en beroep voor het geval de verantwoordelijke zich niet met het oordeel van de Registratiekamer zou kunnen verenigen. De verdere procedure die leidt tot een verklaring is geregeld in artikel 32. Artikel 20, derde lid, van de richtlijn bepaalt tevens dat een voorafgaand onderzoek kan worden uitgevoerd in het kader van de voorbereiding van wettelijke voorschriften door het parlement. Een dergelijk onderzoek verschilt van het in het eerste lid van dat artikel bedoelde onderzoek in die zin dat het geen opschortende werking heeft. De wettelijke maatregel beoogt immers niet meer dan een wettelijke basis te verschaffen voor een bepaalde gegevensverwerking. Dit onderzoek vindt dan ook plaats in het kader van de algemene adviesbevoegdheid van de Kamer, bedoeld in artikel 51, tweede lid.
De Registratiekamer stelt in haar advies dat artikel 20, tweede lid, van de richtlijn zou voorschrijven dat een voorafgaand onderzoek ook kan plaatsvinden door de functionaris voor de gegevensbescherming als bedoeld in artikel 62. Bij navraag bij de Europese Commissie bleek evenwel dat artikel 20 is bedoeld de lid-staten een optie te geven in die zin dat zij vrij zijn in hun wetgeving te bepalen dat alleen de Registratiekamer bevoegd is het voorafgaand onderzoek te doen. Voor deze optie is gekozen teneinde de rechtsbescherming tegen een negatieve beslissing na het onderzoek goed te kunnen regelen. Zou deze in handen van de functionaris liggen, dan zou de regeling van de rechtsbescherming tegen een negatieve beslissing weer apart moeten worden geregeld.
Artikel 31, eerste lid, bepaalt dat de aldaar opgesomde gegevensverwerkingen met een bijzonder risico, voorafgaand aan de verwerking onderzocht. Er worden vervolgens een drietal categorieën van verwerkingen genoemd die vanwege de daaraan verbonden bijzondere risico’s in elk geval voor een voorafgaand onderzoek in aanmerking komen.
Onderdeel a gaat over gebruik van persoonsnummers voor een ander doel dan waarvoor ze specifiek zijn bestemd. Een persoonsnummer heeft tot doel koppelingen met gegevensverwerkingen van andere verantwoordelijken te kunnen leggen. Met sectorale persoonsnummers kunnen koppelingen worden gemaakt met andere gegevensverwerkingen van andere verantwoordelijken binnen de sector. Met nationale persoonsnummers kunnen in beginsel koppelingen worden gelegd met elke andere gegevensverwerking waarbij het betreffende nummer wordt gebruikt. Dit laatste onderwerp komt in de richtlijn aan de orde in artikel 8, zevende lid, dat is geïmplementeerd in artikel 24. Gelet op de koppelingsmogelijkheid van andere, dus sectorale, persoonsnummers is ook in de gevallen waarop artikel 24 geen betrekking heeft, de mogelijkheid van een afzonderlijk voorafgaand onderzoek wenselijk indien de koppeling geschiedt voor een ander doel dan waarvoor het persoonsnummer specifiek bedoeld is.
Naar aanleiding van het advies van de Registratiekamer is onderdeel a eveneens beter afgestemd op artikel 24 van dit wetsvoorstel.
Onderdeel b vormt een complement op het niet-informeren van de betrokkene van de verwerking van hem betreffende gegevens in bepaalde specifieke situaties. Indien de verantwoordelijke gegevens verkrijgt, is hij op grond van artikel 33 of 34 verplicht de betrokkene te informeren over ten minste zijn identiteit en de doeleinden van de verwerking. In bepaalde gevallen behoeft hij evenwel niet te informeren, nl. indien het informeren van de betrokkene onmogelijk blijkt of een onevenredige inspanning kost (art. 34, vierde lid) dan wel vanwege andere belangen op onoverkomelijke bezwaren stuit (art. 43). Vanwege het feit dat betrokkene niet van de verwerking op de hoogte wordt gesteld, bestaat er uit hoofde van gegevensbescherming een bijzonder risico.
Om te beoordelen welke waarborgen ter compensatie voor het niet-informeren behoren te gelden, dienen twee casusposities te worden onderscheiden. In de eerste plaats kan het zo zijn dat de verantwoordelijke de gegevens verzamelt bij anderen dan de betrokkene, bijvoorbeeld door gegevens over de betrokkene bij een andere verantwoordelijke op te vragen. Voor die situatie bepaalt artikel 34, vierde lid, tweede volzin dat de verantwoordelijke de herkomst van de gegevens dient vast te leggen. Aldus is er een compenserende waarborg voor het feit dat de betrokkene niet op de hoogte wordt gesteld. Anders wordt het echter indien de verantwoordelijke gegevens vergaart door middel van eigen waarneming zonder dat de betrokkene daarvan op de hoogte is. In die situatie bestaat er een aanmerkelijk risico dat de gegevensverwerking voor de betrokkene onopgemerkt blijft. Alleen op die specifieke situatie heeft onderdeel b betrekking. Als compenserende waarborg voor het niet-informeren geldt hier dus dat de Registratiekamer op grond van artikel 31 de gelegenheid heeft een voorafgaand onderzoek in te stellen. De openbare registers die bij de wet zijn ingesteld, vormen hierop op grond van het tweede lid een uitzondering. Aangenomen mag worden dat in die gevallen reeds de wetgever het betreffende onderzoek heeft uitgevoerd.
Onderdeel c betreft de mogelijkheid van voorafgaand onderzoek in het geval de verantwoordelijke strafrechtelijke of daarmee gelijk te stellen gegevens verwerkt ten behoeve van derden. Op de risico’s die zijn verbonden aan dergelijke verwerkingen, is reeds in de toelichting op artikel 22 ingegaan. In het derde lid van dat artikel wordt het doorlopen van de procedure inzake voorafgaand onderzoek – voor zover de Wet particuliere beveiligingsorganisaties en recherchebureaus niet van toepassing is – ook als uitdrukkelijke voorwaarde gesteld voor de rechtmatigheid van de verwerking. Verwezen kan worden naar de toelichting op dat artikel.
Het tweede lid is reeds ter sprake gekomen bij het eerste lid, onderdeel b.
Het derde lid voorziet in de mogelijkheid nieuwe, gelet op de soms snelle informatietechnologische ontwikkelingen vooraf niet te voorziene vormen van gegevensverwerking aan de verplichting van een voorafgaand onderzoek te onderwerpen. Dit kan relatief eenvoudig bij algemene maatregel van bestuur. De Registratiekamer kan daartoe een aanbeveling doen in haar jaarverslag. Deze bepaling is analoog aan die in artikel 16, tweede lid, WPR. Algemene voorwaarde om een gegevensverwerking is dat deze een bijzonder risico vormt voor de persoonlijke rechten en vrijheden van de betrokkene. Dit criterium ligt in de lijn van artikel 20, eerste lid, van de richtlijn.
Artikel 8, zesde lid, van de richtlijn schrijft voor dat de lid-staten van de Europese Unie de Europese Commissie op de hoogte stellen van regelingen die de verwerking toelaten van strafrechtelijke gegevens. Uit met name de Duitstalige versie van de richtlijn blijkt dat de verplichting de verwerking van strafrechtelijke persoonsgegevens bij de Europese Commissie te melden, zich niet beperkt tot gevoelige gegevens in de zin van artikel 8, eerste lid, van de richtlijn.
Het onderhavige lid legt de meldingsplicht bij de Registratiekamer, daar deze als eerste kennis draagt van aanvragen tot verwerking van deze gegevens. Het zou onnodige bureaukratische rompslomp met zich brengen wanneer de Registratiekamer eerst de regering zou moeten informeren en deze laatste vervolgens weer de Commissie.
[MvT, pagina 144-147]