Rina Steenkamp - Privacy en technologie
Zo is het, dat Wij, de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
[Memorie van Toelichting | Aantekeningen]
Het is mogelijk twee benaderingen te onderscheiden in de wettelijke bescherming van persoonsgegevens. De eerste is een benadering die uitgaat van verschillende sectoren of van bepaalde problemen in de samenleving. In Nederland vormden de problemen rond de volkstelling in 1971 de aanleiding tot regelgeving op dit gebied en in andere landen van de Unie waren andere problemen de aanleiding, zoals de kredietregistratie. In bepaalde sectoren was er al een lange traditie van een zorgvuldige omgang met persoonsgegevens, bijvoorbeeld met de medische gegevens van patiënten binnen de gezondheidszorg. Het is mogelijk om voor specifieke problemen te volstaan met sectorale wetgeving. In de Verenigde Staten heeft deze aanpak nog steeds de voorkeur. Er is echter ook een andere benadering mogelijk.
Deze is die van een overkoepelende regelgeving, waarbij de noodzakelijkerwijs algemene en vage normen vervolgens voor de verschillende sectoren moeten worden uitgewerkt. Dit heeft het voordeel dat er geen witte plekken in de bescherming van persoonsgegevens zijn. Het nadeel is een noodzakelijkerwijs hoog abstractieniveau van normstelling, dat in een aantal sectoren concretisering behoeft. Zolang deze er niet is, dient in het concrete geval de algemene norm nader te worden geïnterpreteerd. In Europa is deze weg gevolgd. Zo is het reeds genoemde Verdrag inzake gegevensbescherming tot stand gekomen. Dit verdrag bevat algemene normen gericht op een zorgvuldige omgang met persoonsgegevens. De algemene normen van het verdrag van de Raad van Europa zouden grotendeels zonder gevolg blijven als zij niet worden uitgewerkt in sectorale aanbevelingen. Om deze reden zijn er binnen de Raad van Europa aanbevelingen tot stand gekomen over de sociale zekerheid, de politieregisters, de direct marketing, telecommunicatie, de omgang met medische gegevens enz.
In overeenstemming met het Verdrag gaat ook de WPR uit van een aantal overkoepelende normen. Deze algemene normen moeten geconcretiseerd worden en de WPR reikt hiervoor instrumenten aan, zoals de gedragscode, het meldingsformulier, het reglement en het Besluit genormeerde vrijstelling. De concretisering heeft daarnaast op een aantal terreinen plaatsgevonden op het niveau van de wet in formele zin. Voorbeelden hiervan zijn de Archiefwet, de Organisatiewet Sociale Verzekering, de Algemene Bijstandswet, de Wet gemeentelijke basisadministratie, de Wet geneeskundige behandelingsovereenkomst en de Wet politieregisters. Deze bijzondere wetten staan formeel-juridisch naast de WPR; ze bevinden zich echter wel binnen de grenzen die de normen in het Verdrag stellen.
De EG-richtlijn bescherming persoonsgegevens beweegt zich geheel binnen de randvoorwaarden van het Verdrag en geeft eveneens algemene normen voor het verwerken van gegevens. Artikel 5 van de richtlijn verplicht tot concretisering van de algemene normen van de richtlijn waar dit mogelijk en dienstig is. De richtlijn voorziet zelf in de mogelijkheid van een Europese gedragscode. Daarnaast is de bedoeling ook sectorale richtlijnen te ontwikkelen. Een eerste aanzet hiertoe is gegeven met het ontwerp van een richtlijn tot bescherming van persoonsgegevens op het terrein van de telecommunicatie.
Op alle niveaus, dat van de Raad van Europa, van de Europese Unie of van de Nederlandse wetgeving, geldt dat voor zover de algemene normen niet zijn geconcretiseerd in bijzondere regelgeving, de toepasselijkheid van de algemene normen in het concrete geval moet worden beoordeeld. Om normen per sector in formele wetgeving te concretiseren, kunnen twee modellen worden onderscheiden. Het ene is dat waarbij bepaalde regels in een bijzondere wet worden opgenomen, en waarbij de WBP als algemene wet van toepassing is op de gebieden die niet geregeld zijn. In dit model zijn in de betreffende sector in beginsel zowel de WBP als de bijzondere wet van toepassing. De andere is het model waarbij voor een sector een uitputtend (privacy-)regime is geschapen en waarbij in de wet wordt vermeld dat de toepasselijkheid van de algemene regels geheel wordt uitgesloten. In beide modellen moeten de regels, voor zover zij onder het communautaire recht vallen, in overeenstemming zijn met de richtlijn.
Voorbeelden van het eerste model zijn afdeling 5, titel 7, boek 7 BW over de geneeskundige behandelingsovereenkomst, de artikelen 42 en volgende van de Wet op de jeugdhulpverlening, de Kadasterwet, de Handelsregisterwet, alsmede de informatieparagrafen in de Organisatiewet Sociale Verzekering en de Algemene Bijstandswet. Voorbeelden van het tweede model zijn de Wet politieregisters, de Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag, de Wet op de inlichtingen- en veiligheidsdiensten en de Wet gemeentelijke basisadministratie persoonsgegevens.
Bijzondere vragen over het eerste model kunnen aan de orde komen bij de toepassing van wetten die verplichten tot verstrekking van persoonsgegevens na een afweging gericht op eerbiediging van de persoonlijke levenssfeer. Dit komt voor in artikel 10, tweede lid, van de Wet openbaarheid van bestuur en in artikel 15, eerste lid, onder a, van de Archiefwet. De bepalingen in het onderhavige wetsvoorstel zijn in ieder geval in zoverre van toepassing dat een verstrekking plaatsvindt op grond van artikel 8, onder c, daar deze noodzakelijk is wegens een verplichting krachtens een bijzondere wet. De bijzondere wet schrijft een afweging voor, voordat de verplichting tot verstrekking ontstaat. De regels van de WBP komen daarbij niet als direkt juridisch bindend normen in beeld. Wel zullen in de praktijk de normen van het wetsvoorstel indirekt hun reflexwerking hebben. Andere regels van de WBP, bij voorbeeld het toezicht door de Registratiekamer, zijn daarentegen ook op het terrein van dergelijke bijzondere wetten, rechtstreeks van kracht. Op de specifieke verhouding van het wetsvoorstel tot de WOB en de Archiefwet wordt in paragraaf 16 van het algemeen deel van deze memorie nog afzonderlijk ingegaan.
Voor het overige zullen veel bijzondere wetten op onderdelen concretiseringen bevatten, gericht op de sector die zij regelen. Het gaat daarbij formeel om leges speciales die derogeren aan de bepalingen van dit wetsvoorstel, maar materieel om een sectorale invulling die moet worden beoordeeld tegen de achtergrond van deze algemene normen, mede gelet op het feit ook deze bijzondere wetten aan de richtlijn zullen moeten voldoen voor zover zij geheel of ten dele communautair recht bestrijken. Zo is bijvoorbeeld in de artikelen 50g tot en met 50n van de Organisatiewet Sociale Verzekering en in de artikelen 84a, 84d tot en met 84l van de Algemene Bijstandswet een nauwkeurig regime van gegevensverwerking uitgewerkt. De onderdelen 161 en 162 van de Aanwijzingen voor de regelgeving schrijven voor dat bij nieuwe wetten telkens moet worden nagegaan hoe de informatievoorziening zal verlopen. Gaat het om persoonsgegevens dan zal telkens moeten worden bezien of de regels van de onderhavige wetsvoorstel toereikend zijn, dan wel of een nader uitgewerkt regime in de betreffende bijzondere wet moet worden gecreëerd. De rechtspraak van het Europese Hof van Justitie te Luxemburg over de verschillende begrippen is mede richtinggevend, ook wanneer daaraan nader inhoud is gegeven in sectorale wetgeving. In artikel 2 WPR is ervan uitgegaan dat bij wetten van het tweede model de niet-toepasbaarheid van WPR steeds in deze laatste wet zelf is vastgelegd. Het onderhavige wetsvoorstel kiest voor een continuering van dit systeem. Deze keuze brengt met zich dat ook bij eventuele toekomstige wetgeving bevattende een uitputtend regime voor de bescherming van persoonsgegevens in een bepaalde sector, het niet van toepassing zijn van de WBP in deze laatste wet zelf wordt vermeld. Deze keuze voorkomt vragen over de verhouding tussen verschillende wettelijke systemen.
[MvT, pagina 11-13
Het wetsvoorstel bestaat uit onderdelen met elk een eigen karakter; de wet kan niet in zijn geheel worden ondergebracht onder één van de bestaande rechtsgebieden. Zij bevat delen die interacteren met het civiele recht, meer in het bijzonder met het leerstuk van de onrechtmatige daad; zij verleent subjectieve rechten aan degenen van wie persoonsgegevens worden verwerkt; zij is een organieke wet gericht op de vormgeving van een grondrecht en bevat voorts bestuursrechtelijke componenten in de sfeer van de uitvoering van de wet, het toezicht op de naleving en de sanctionering.
De eerste artikelen van het wetsvoorstel bevatten definities of bepalen de reikwijdte van de wet, zoals in veel wetten gebruikelijk is. De hierop volgende artikelen van hoofdstuk 2 bevatten inhoudelijke normen voor de verwerking van persoonsgegevens, waarvan de uitkomst vatbaar is voor volledige toetsing door de rechter. Deze bepalingen geven niet steeds eenduidige gedragsvoorschriften, maar schrijven afwegingen voor op grond van bepaalde criteria met inachtneming van bepaalde belangen. In deze laatste zin vormt het een nadere normering van wat voor de publieke sector uit hoofde van algemene beginselen van behoorlijk bestuur geldt, terwijl het in de private sector gaat om een precisering van wat private partijen uit hoofde van maatschappelijke zorgvuldigheid jegens elkaar zijn verschuldigd. De verantwoordelijke blijft in rechte volledig aansprakelijk voor het resultaat van de afweging. Het kan dus voorkomen dat desgevraagd de rechter tot het oordeel komt dat de afweging tot een ander resultaat had behoren te leiden. Het gaat hier hoofdzakelijk om open normen die afhankelijk van omstandigheden en zich ontwikkelende opvattingen in rechtspraktijk en jurisprudentie zich verder moeten ontwikkelen.
Naar aanleiding van het advies van de Registratiekamer is de aanduiding van hoofdstuk 2 en de daarin vervatte paragrafen meer in overeenstemming gebracht met de tekst van de richtlijn, daarmee tot uitdrukking brengend dat het gaat om rechtstreeks juridisch bindende normen. Het veel gehoorde verwijt dat de privacywetgeving onduidelijk is, gaat vaak terug op de impliciete veronderstelling dat deze wetgeving gedragsvoorschriften zou bevatten waaraan verantwoordelijken zich zonder meer zouden kunnen refereren als ware het strafbepalingen. Deze veronderstelling is evenwel onjuist. Verantwoordelijken in de publieke sector behouden de op hen rustende plicht tot behoorlijk bestuur. In de private sector hebben verantwoordelijken de plicht tot inachtneming van de maatschappelijke zorgvuldigheid jegens medeburgers. Deze algemene verplichtingen brengen een grote onzekerheid met zich mee. Zonder de nadere invulling via deze wetsvoorstel, zou deze onzekerheid bij de omgang met persoonsgegevens echter nog groter zijn.
Uiteindelijk gaat het bij het beoordelen of een bepaalde verwerking van persoonsgegevens toelaatbaar is of niet, niet alleen om deskundigheid op het gebied van privacyrecht maar ook om de eigen verantwoordelijkheid van de verantwoordelijke als onderdeel van het openbaar bestuur of als partij in het maatschappelijk verkeer dat wordt beheerst door het burgerlijk recht. Het onderhavig wetsvoorstel brengt evenwel de belangen die bij de verwerking van gegevens in het geding zijn en de criteria waaraan in concreto moet worden getoetst, uitdrukkelijk in beeld. De artikelen van hoofdstuk 4 en 5 zijn enerzijds van meer formele aard, doch geven anderzijds invulling aan de eis van een behoorlijke verwerking tegenover de betrokkene door de openheid die jegens hem moet worden betracht. Zij beogen verder de openbaarheid van de gegevensverwerking tegenover de toezichthoudende instanties en een breder publiek. Ook ter uitvoering van deze bepalingen is soms een nadere afweging nodig. Zo kan van spontane informatieverstrekking aan de betrokkene worden afgezien wanneer dit van de verantwoordelijke een onevenredige inspanning zou vergen. De interpretatie van het begrip «onevenredig» vergt een afweging van belangen waarvan de uitkomst niet op voorhand vaststaat. Hetzelfde geldt voor de toepasselijkheid van de uitzonderingsgronden van artikel 43.
De artikelen 35 tot en met 42 geven mede uitvoering aan artikel 10, derde lid, van de Grondwet en verlenen concrete aanspraken aan de betrokkene. Het gaat om subjectieve rechten van de betrokkene die hij desgewenst voor de rechter geldend kan maken. Ziet de betrokkene af van gebruikmaking van deze rechten, dan vloeien daaruit ook geen verplichtingen voor de verantwoordelijke voort.
De regeling van de Registratiekamer in hoofdstuk 9, paragraaf 1, bevat bepalingen van bestuursrechtelijke aard. Zij bevestigen het bestaan van dit zelfstandig bestuursorgaan en leggen de taken en bevoegdheden daarvan opnieuw vast. De Kamer heeft een divers takenpakket dat in verschillende opzichten vergelijkbaar is met dat van de Nationale ombudsman, van de Commissie gelijke behandeling, van een inspectiedienst met toezichthoudende bevoegdheden en van een adviesorgaan van de regering.
Voor het overige bevat het wetsvoorstel bijzondere bepalingen over de aansprakelijkheid van de verantwoordelijke, die wat bewijslastverdeling betreft afwijkt van die van het gewone burgerlijk recht. Voorts bevat hoofdstuk 11 bepalingen over het internationale gegevensverkeer.
[MvT, pagina 14-15]
Het onderhavige wetsvoorstel bouwt voort op de Wet persoonsregistraties, daarbij tevens de internationale rechtsontwikkeling incorporerend. Daarbij is dankbaar gebruik gemaakt van de resultaten van twee evaluaties van de WPR: een juridische en een sociaal-wetenschappelijke. De juridische evaluatie is verricht door mevrouw G. Overkleeft-Verburg in haar dissertatie «De Wet persoonsregistraties, norm, toepassing en evaluatie» (Tjeenk Willink, Zwolle, augustus 1995). De studie werd begeleid door een commissie onder leiding van M. Scheltema. Als promotor trad op E. M. H. Hirsch Ballin. De sociaal-wetenschappelijke evaluatie, getiteld «In het licht van de Wet persoonsregistraties, zon, maan of ster ?» (Samson, Alphen a/d Rijn, december 1995), werd verricht in het kader van het interdepartementale onderzoeksprogramma «Informatietechnologie & recht» (ITeR) onder het voorzitterschap van het Ministerie van Economische Zaken, door een team van de Katholieke Universiteit Brabant onder leiding van mevrouw J. E. J. Prins. De studie werd begeleid door een commissie met onder meer vertegenwoordigers van overheid en bedrijfsleven en onder leiding van H. Franken. Het werd afgerond in december 1995.
Beide evaluaties hebben duidelijk gemaakt dat de WPR slechts in beperkte mate de rechtsvorming in de omgang met persoonsgegevens heeft beïnvloed. Veel energie is gaan zitten in de uitvoering van de administratieve voorschriften, zoals het inzenden van meldingsformulieren en het opstellen van reglementen. Het doel achter deze voorschriften is daarmee enigszins uit zicht geraakt. Wel blijkt dat de bescherming van persoonsgegevens als buitengewoon wenselijk wordt ervaren.
De juridische evaluatie brengt aan het licht hoe de WPR nog de sporen van haar wording draagt die begon in een tijd van het prille begin van de informatietechnologie: grote computers bedienden vanuit een centraal punt perifere afnemers. De zorg was gericht op de onoverzienbare gevolgen bij koppeling van deze bestanden. De regeling van deze centrale bestanden vormde daarom het aanknopingspunt van de regeling. Ook uit de naam die aan de wet is gegeven, blijkt dat het gaat om persoonsregistraties: de normering van de gebundelde macht die besloten ligt in centrale gegevensopslag. Het aanknopingspunt vormde het doel van deze bundeling. Ondanks de ontwikkeling sindsdien van multifunctionele informatiesystemen, veelal via een netwerk met elkaar verbonden, was het mogelijk via een evoluerende interpretatie van bestaande begrippen, enige greep te houden op de omgang met persoonsgegevens. De spanningen nemen evenwel toe.
De evaluatie richt zich vervolgens in het bijzonder op de ontwikkeling van gedragscodes als vorm van collectieve zelfregulering. Deze worden uitvoerig besproken en geanalyseerd. Hoewel een aantal frictiepunten aanwijsbaar zijn, is het algemene oordeel daarover positief. De Nederlandse wet blijkt op dit punt terecht model te hebben gestaan voor de EG-richtlijn. Daarnaast komt het Besluit genormeerde vrijstelling, het Afbakeningsbesluit, het begrip 'houder' en de reglements-, en aanmeldingsplicht aan de orde. Een aantal andere onderwerpen, waaronder de werking van de materiële bepalingen van de WPR, is niet aan de orde gekomen.
De evaluatie wijst in het algemeen op een gebrekkige inbedding van de WPR in het overige Nederlandse recht. Deze constatering wordt ondersteund door de schaarste aan jurisprudentie krachtens deze wet. De bescherming van de persoonlijke levenssfeer bij de omgang van persoonsgegevens is vaak vorm gegeven op basis van het gewone civiele recht, in de regel krachtens het leerstuk van de onrechtmatige daad, dan wel in de publieke sector krachtens beginselen van behoorlijk bestuur of de Wet openbaarheid van bestuur. In het onderhavige wetsvoorstel is getracht deze aansluiting beter te doen plaatsvinden. We wijzen op een aantal elementen.
Het wetsvoorstel bevat geen sluitend stelsel van concrete materiële normen over wat wel en wat niet zou mogen bij de verwerking van persoonsgegevens. Weliswaar geldt voor gevoelige gegevens dat zij ingevolge de richtlijn slechts kunnen worden verwerkt indien de wet of de Registratiekamer in individuele gevallen om redenen van zwaarwegend algemeen belang dit uitdrukkelijk toestaat. Andere persoonsgegevens kunnen daarentegen worden verwerkt – afgezien van enige met name genoemde doeleinden – na een zorgvuldige afweging van de belangen van de verantwoordelijke en van de betrokkene. Artikel 8, onder f, is in dit opzicht een open norm: de afweging van belangen is opgedragen aan de verantwoordelijke. Het artikel geeft daarmee geen op het concreet geval toegespitst antwoord op de vraag of verwerking van persoonsgegevens wel of niet is toegestaan, maar vormt een kristallisatiepunt voor jurisprudentie en nadere sectorale wetgeving. De verwerking voor een ander doel of ten behoeve van een derde moet – wederom een open norm – verenigbaar zijn met het oorspronkelijke doel. In de zich snel ontwikkelende informatiemaatschappij zou het niet goed zijn de rechtsontwikkeling op voorhand te veel vast te leggen.
Slechts waar het gaat om de systematische verwerking (mede) ten behoeve van een andere verantwoordelijke is de afweging voorbehouden aan de wetgever. De afweging moet echter ook dan voldoen aan de normen van het Verdrag inzake gegevensbescherming, alsmede aan die van de richtlijn althans wat dit laatste betreft voor zover het gaat om recht dat valt onder de Europese Gemeenschap.
De bepaling inzake de afweging van belangen heeft in zoverre een kameleontisch karakter dat de toets in rechte achteraf of een aanvaardbare afweging heeft plaatsgevonden zich kleurt naar gelang het gaat om een gegevensverwerking in de publieke, dan wel in de private sector. In het eerste geval wordt getoetst of bij de afweging is voldaan aan de bestuursrechtelijke beginselen van behoorlijk bestuur; in het tweede geval of de zorgvuldigheid die volgens het ongeschreven recht in het maatschappelijk verkeer betaamt. In het eerste geval gaat het ook om de verticale werking van grondrechten, terwijl het in tweede geval gaat om de indirect daarvan afgeleide horizontale werking van deze rechten. In die zin verwijst op dit wezenlijk onderdeel het onderhavige wetsvoorstel naar het andere recht, met dien verstande dat het voorschrijft dat het belang van de betrokkene uitdrukkelijk als zodanig gewicht in de schaal legt en het gebruik verenigbaar moet zijn met het oorspronkelijk doel van de gegevensverwerking. De voorschriften die de transparantie van de gegevensverwerking beogen, dienen het doel dat de betrokkene in rechte de gemaakte afweging aan de orde kan stellen. Anders dan bij de open normen van het materiële recht, zijn op dit punt de voorschriften strikt.
Anders dan in de WPR voorziet het wetsvoorstel in een gedifferentieerd stelsel van rechterlijke toetsing. Met de totstandkoming van de Awb ligt het in de rede, althans bepaalde beslissingen van de overheid volgens de procedures van die wet te laten verlopen. In de particuliere sector blijft de rechtspraak bij de civiele rechter. Het gevaar voor uiteenlopende jurisprudentie achten wij niet groot, daar de concretisering van de open normen toch dient plaats te vinden tegen de achtergrond van de algemene noties die enerzijds in het bestuursrecht, anderzijds in het civiele recht gelden.
Zoals gezegd is een aantal bijzondere onderwerpen uitvoeriger besproken.
Wat betreft de gedragscodes zijn de volgende details gewijzigd ten opzichte van de WPR. De inspraak van betrokkenen, zoals voorgeschreven in artikel 15, tweede lid, WPR, blijkt niet goed van de grond te zijn gekomen. De groepen van personen van wie de gegevens in een registratie werden opgenomen, bleken ontoereikend georganiseerd. Dit onderzoeksresultaat heeft ermede toe bijgedragen dat de verplichting van de Registratiekamer betrokkenen in de gelegenheid te stellen de code van commentaar te voorzien, is komen te vervallen. Uiteraard laat dit onverlet dat waar hiertoe aanleiding bestaat, organisaties van betrokkenen wel worden ingeschakeld.
Een tweede aspect is het tot dusver ontbreken van een beroep op de rechter. Een dergelijk beroep is in artikel 15, zevende lid, WPR uitgesloten. Teneinde een controverse te vermijden over de vraag of de (weigering van een) goedkeuring van een gedragscode moet worden aangemerkt als een besluit in de zin van artikel 1.3 Awb, is in het onderhavig wetsvoorstel een dergelijk beroep uitdrukkelijk opengesteld, zonder overigens wijziging te brengen in het karakter van een gedragscode van een staand advies aan de rechter.
De in de evaluatie besproken problemen met het Besluit genormeerde vrijstelling zullen grotendeels worden ondervangen doordat de vrijstellingen in mindere mate kunnen worden genormeerd. Artikel 29, tweede lid, staat slechts een beperkt aantal criteria toe aan de hand waarvan gegevensverwerkingen worden beschreven als zijnde vrijgesteld van de meldingsplicht. Overigens ligt het in de bedoeling van deze vrijstellingsmogelijkheid op ruime schaal gebruik te maken. Deze doelstelling is ook in deze zin bij de voorbereiding van de richtlijn besproken.
Het Afbakeningsbesluit blijkt onwerkbaar. Onder de WPR was dit nodig om de werking van de materiële normen en de transparantie te differentiëren (melden via een formulier of een reglement). Daar publieke en private sector thans in dit opzicht op één lijn worden gesteld, is een afbakening niet meer nodig. Wel keert het onderscheid terug in de rechterlijke procedure in geval van een geschil. De andere invulling van materiële normen (samenhangend met de verticale of horizontale werking van grondrechten), krijgt door de verschillende jurisprudentie gestalte, zoals hierboven reeds is uiteengezet. De afbakening is dan evenwel niet één die eigen is aan het privacyrecht, doch is er één van de Awb. Aldus vindt wederom een betere inbedding in het overige recht plaats. Het begrip «houder» is conform de aanbeveling vervangen door een ander woord: de «verantwoordelijke». In het begrip zelf ligt besloten dat steeds een rechtssubject aanspreekbaar is op de verwerking van persoonsgegevens. Eén van de algemene doelstellingen van het informaticarecht is immers de situatie te vermijden dat personen schade ondervinden van geautomatiseerde gegevensverwerking zonder dat een ander rechtssubject daarop aanspreekbaar is. Verder is in de toelichting duidelijk gemaakt dat in het openbaar bestuur daarmee wordt gedoeld op degene die in publiekrechtelijke zin bevoegd is, terwijl in de private sector de verantwoordelijke slechts op concernniveau kan worden aangenomen in het geval het daadwerkelijk gaat om gegevensverwerking voor het concern, zulks te onderscheiden van gegevensverwerking uitsluitend of in hoofdzaak ten behoeve van de dochters.
De gebleken problemen bij de aanmelding van persoonsregistraties bij de Registratiekamer, zijn mede aanleiding geweest in de richtlijn de mogelijkheid op te nemen om te melden bij een eigen toezichthouder. Daarmee wordt bovendien een verdere spreiding van de expertise inzake gegevensbescherming bevorderd, evenals de naleving van de meldingsplicht. De zelfregulering wordt hiermee gediend.
De sociaal-wetenschappelijke evaluatie mondt uit in een aantal aandachtspunten voor de wetgever. De bespreking daarvan begint op blz. 56 van het rapport. Aan de hand daarvan wordt rekenschap afgelegd in hoeverre en hoe met de resultaten van de evaluatie wordt rekening gehouden, voor zover de onderwerpen niet in het voorgaande reeds aan de orde kwamen. Het eerste punt is de aanbeveling van een korte, bondige wet tegen de achtergrond van de wel gestelde vraag of een aparte privacywet überhaupt wel nodig is. Veel privacyrecht is immers al in andere wetten geregeld.
Achter dit punt gaat een groot aantal vooronderstellingen schuil. De eerste is dat de WPR dan wel het onderhavige wetsvoorstel zou bepalen welke persoonsgegevens onder bepaalde omstandigheden wel en welke niet zouden mogen worden opgeslagen. Het gaat daarbij dus om de materiële normen. We wezen er hierboven reeds op dat, afgezien van de gevoelige gegevens, er geen verbod is op de verwerking van persoonsgegevens. Met of zonder wet, zowel in de publieke als in de private sector hebben verantwoordelijken die gegevens verwerken zorgvuldigheid jegens de betrokkenen te betrachten. De open normen schrijven slechts voor dat daarbij het belang van de betrokkene uitdrukkelijk moet worden gewogen aan de hand van een aantal algemene gezichtspunten en een doelafwijking verenigbaar moet zijn met het oorspronkelijk doel. Op het punt van de materiële regelgeving is het wetsvoorstel naar ons oordeel bondig. Sectorale wetgeving kan in aanvulling daarop bijzondere regels geven. Een sluitend systeem van regels over de verwerking van persoonsgegevens zal wel nooit mogelijk zijn en is in ieder geval gegeven de snelle technologische ontwikkelingen van dit moment niet wenselijk.
Gevoelige gegevens worden als zodanig aangemerkt omdat zij naar hun aard eerder een inbreuk kunnen maken op de persoonlijke levenssfeer. Bij de systematische verstrekking aan derden, al dan niet met behulp van een identificatienummer, spelen overeenkomstige overwegingen. Derhalve is ook daarvoor bepaald dat steeds een wettelijke grondslag aanwezig is. Artikel 10, eerste lid, van de Grondwet eist immers een uitdrukkelijke wettelijke machtiging bij inbreuken op de persoonlijke levenssfeer.
Het onderhavige wetsvoorstel haakt dus aan bij open normen in het civiele en administratieve recht. De verwerkelijking van het recht van de betrokkenen vereist echter bijzondere voorzieningen. De verwerking van persoonsgegevens, zeker wanneer het gevaar bestaat dat deze onrechtmatig plaatsvindt, speelt zich af in het verborgene, wanneer niet in het procedurele vlak aanvullende wettelijke voorzieningen worden getroffen. De schadetoebrengende actor is anders bezwaarlijk in beeld te brengen. De verschillende bepalingen gericht op de transparantie van de gegevensverwerking strekken ertoe dit euvel te keren. Ook die zijn echter ontoereikend wanneer niet ten minste wordt voorzien in een apart toezichthoudend orgaan. Ook elders binnen de wetgeving zijn voor de handhaving van regels waarvan de mate van naleving zich aan de waarneming in de openbaarheid onttrekt, toezichthoudende organen met bijzondere bevoegdheden in het leven geroepen. De transparantie omvat verder verschillende aspecten: de informatie aan de betrokkene dat gegevens over hem worden verwerkt, de melding aan de toezichthouder van niet vrijgestelde gegevensverwerkingen en het recht op kennisneming door de betrokkene van gegevens over hem. De regeling daarvan in een afzonderlijke wet, is een te rechtvaardigen keuze. Overigens gaat het hier om elementen die grotendeels uit de richtlijn voortvloeien.
Een aparte bespreking vergt de eis van helderheid. Wij pretenderen niet deze volledig te brengen. Het recht op bescherming van persoonsgegevens in de aanzwellende informatiemaatschappij vergt een zich geleidelijk ontwikkelende dogmatiek voor een nieuw rechtsgebied dat nog maar in de kinderschoenen staat. Het is een gelukkige omstandigheid dat de informatietechnologie de westerse landen in gelijke mate treft. De gebundelde expertise op Europees niveau kan worden aangesproken bij de ontwikkeling van dit jonge rechtsgebied. Dit is aanvankelijk gebeurd in het Verdrag inzake gegevensbescherming uit 1981 van de Raad van Europa. Dit heeft brede instemming gekregen van de Lid-staten. Een vervolg daarop is de EG-richtlijn die in het onderhavig wetsvoorstel wordt geïmplementeerd. Telkens blijkt onder experts dat de technische ontwikkelingen het recht voor uitdagingen stellen die slechts door de geleidelijke ontwikkeling van nieuwe rechtsbegrippen en daarmee verbonden rechten sui generis het hoofd kunnen worden geboden. Een uitgekristalliseerd juridisch begrippenapparaat en een heldere, dat wil zeggen vaststaande invulling daarvan in de juridische dogmatiek, zal pas beschikbaar zijn wanneer ook de informatietechnologische ontwikkelingen in een rustiger vaarwater zijn gekomen. Wij onderschrijven evenwel dat ook onder deze omstandigheden de regels zo helder mogelijk moeten zijn. Willen de regels echter meer zijn dan vrijblijvende, vrome beginselen, zonder de gerechtvaardigde gegevensverwerkingen onnodig te beperken, dan valt niet te ontkomen aan begrippen die een daadwerkelijk kristallisatiepunt voor rechtspraktijk en jurisprudentie kunnen zijn, met alle daaraan inherente rechtsonzekerheid.
Het tweede punt bepleit in de privacyregulering aan te sluiten bij potentiële risico’s van gegevensverwerking in plaats van bij maatschappelijke sectoren, zoals thans nog in het Afbakeningsbesluit, het Besluit genormeerde vrijstelling en het Besluit gevoelige gegevens gebeurt. De richtlijn biedt de mogelijkheid met dit aandachtspunt in vergaande mate rekening te houden. De wettelijke afbakening in het publieke en private recht is zowel op het gebied van de materiële normen als op dat van de meldings- en reglementsplicht opgeheven. Slechts keert deze terug bij de rechtsgang, doch dan wordt aangesloten bij de algemene regels van de Awb. Voorts worden de mogelijkheden om vrijgestelde verwerkingen nader te normeren beperkt.
Verder wordt conform de richtlijn bijzondere aandacht besteed aan gevoelige gegevens. Het betreft hier gegevens die naar hun aard een groter risico voor de persoonlijke levenssfeer betekenen. Verwezen zij naar paragraaf 2 van hoofdstuk 2 van het wetsvoorstel. Daarenboven wordt in artikel 31 aan de Registratiekamer de bevoegdheid toegekend om voorafgaand onderzoek te doen naar gegevensverwerkingen die een bijzonder risico opleveren voor de persoonlijke levenssfeer van de betrokkene. Deze bevoegdheid vloeit eveneens voort uit de richtlijn. Het derde punt bepleit technologie-onafhankelijke en flexibele contextgebonden normering en beleidsinstrumentatie als uitgangspunt. Volledig technologie-onafhankelijke wetgeving behoort niet tot de reële mogelijkheden. Het enige dat kan worden nagestreefd is zo technologieonafhankelijk mogelijke regelgeving. Dit kan echter slechts door de ontwikkeling van een eigen juridische dogmatiek, die zoveel mogelijk afstand neemt van de technische ontwikkelingen. Hierboven is echter reeds geschetst dat juist de juridische ontwikkelingen om enige greep te houden op de techniek voor zover deze de menselijke waardigheid bedreigt, zoveel aanleiding geven tot onzekerheid. Er moet daarom een tussenweg worden bewandeld tussen twee met elkaar onverenigbare uitersten. Aan de ene kant staat het ideaal van regelgeving die helder en duidelijk is: met een nieuwe technologie gelden de volgende gedragsvoorschriften. Aan de andere kant het ideaal van technologieonafhankelijke regelgeving, die echter in het duister tast omdat nog volstrekt onduidelijk is hoe de techniek zich zal ontwikkelen.
Het vierde punt bepleit een meer omvattende invulling van de eigen verantwoordelijkheid van verantwoordelijken en bewerkers, met name via eigen toezichthouders. Elders is uiteengezet dat de optie in de richtlijn om eigen toezichthouders mogelijk te maken, in het onderhavige wetsvoorstel is uitgewerkt. De aanmelding van niet vrijgestelde registraties kan dan volgens intern te bepalen regels verlopen, terwijl de uitoefening door hem van zijn toezichthoudende taak minder als inmenging van buitenaf zal worden ervaren.
Het vijfde punt bepleit dat de sturingsinstrumenten om een betere privacybescherming te bereiken zich meer zouden moeten differentiëren, afhankelijk van de context waarin deze bescherming moet worden geboden. Wederom verwachten wij dat de eigen toezichthouder in dit opzicht als een nuttig intermediair tussen het eigen bedrijf of branche en de overheid zal kunnen functioneren. Ook de gedragscodes en de meldingen kunnen in dit opzicht een belangrijke functie vervullen.
Het zesde punt bepleit de positie van geregistreerden te versterken door meer betrokkenheid en medezeggenschap te stimuleren. Hoewel blijkens de totstandkoming van gedragscodes de participatie van geregistreerden moeizaam gestalte kon worden gegeven en ook gewezen is op gebrekkige jurisprudentievorming als gevolg van slechts schaarse klachten, zouden wij een verdergaande betrokkenheid van geregistreerden toejuichen. Het ligt echter niet op de weg van de wetgever om de burgers belangstelling voor een bepaald onderwerp af te dwingen. Dit ligt binnen de vrijheidssfeer van het individu. Op een enkel, doch belangrijk aspect hebben wij evenwel aansluiting gezocht bij bestaande structuren. De betrokkenheid van werknemers bij de vormgeving van hun privacy in relatie tot de werkgever hebben wij in al zijn aspecten neergelegd in de Wet op de ondernemingsraden.
Het zevende punt betreft de rol van de Registratiekamer. Met name de verbreding van het maatschappelijk draagvlak van dit zelfstandig bestuursorgaan werd bepleit. De beide evaluaties hebben duidelijk gemaakt dat de ontwikkeling van het privacyrecht tot dusver zich in relatief isolement heeft voltrokken. Daarmee is ook de Registratiekamer slechts in beperkte mate in maatschappelijke discussies betrokken. De verschillende in het onderhavige wetsvoorstel opgenomen extra bevoegdheden van de kamer, alsmede de mogelijkheid van rechterlijke toetsing op het gebruik daarvan, zullen het draagvlak van de rechtsvorming op dit gebied naar onze verwachting vergroten. Ook de interactie tussen de Registratiekamer en de eigen toezichthouders in verschillende bedrijven en branches, zal naar onze verwachting een verbreding van de groep van betrokken personen bij de rechtsontwikkelingen op dit gebied tot gevolg hebben.
Het achtste punt ten slotte betreft de inschakeling van informatietechnologie ter bescherming van de privacy. Een aantal regels zal stellig kunnen worden geëffectueerd met technische middelen. Daartoe moeten er wel dergelijke regels zijn. Van een substitutie van regels door techniek verwachten wij daarom weinig heil. Cryptografie zal in de naaste toekomst veel gebruik van informatie- en communicatietechnologie goed, zij het nooit absoluut, kunnen beschermen tegen onrechtmatige ingrepen. Het is nodig tevens te vermelden dat techniek niet alleen beschikbare persoonsgegevens goed kan beschermen, doch ook het vergaren van persoonsgegevens kan voorkomen. Het ontwerp van de EG-richtlijn van 13 juni 1994, COM (94) 128, SYN 288, over de bescherming van persoonsgebonden gegevens en van de persoonlijke levenssfeer in het kader van digitale telecommunicatienetwerken, bevat in dit opzicht een belangrijke bepaling. Artikel 8, eerste lid, verplicht telecommunicatie-organisaties abonnees een technische voorziening aan te bieden waardoor deze op eenvoudige wijze per oproep de identificatie van het nummer dat zij gebruiken, onmogelijk kunnen maken. Personen kunnen daardoor anoniem zaken doen via de elektronische snelweg. Deze voorziening kan slechts worden doorbroken in geval van een bevoegd gegeven bevel tot het onderscheppen en verstrekken van de desbetreffende gegevens met het oog op de opsporing van strafbare feiten of in het belang van de staatsveiligheid. Daar waar bij voorbeeld digitale betalingen in de naaste toekomst over de elektronische snelweg kunnen plaatsvinden, is bij contante betaling de uitwisseling van persoonsgegevens niet meer nodig. De persoonsgerichte serviceverlening van bedrijven aan hun klanten blijft mogelijk in situaties waarin deze klanten geen gebruik maken van de beschreven technische voorziening, noch op andere wijze daartegen bezwaar maken.
In paragraaf 5 gingen wij in het algemeen reeds in op de verhouding van het wetsvoorstel tot andere wetten. Het is evenwel nodig aparte aandacht te besteden aan de verhouding tot enige bijzondere wetten. Voor een uitgebreidere beschouwing inzake de verhouding van het wetsvoorstel tot de Wet inzake de geneeskundige behandelingsovereenkomst zij verwezen naar de parlementaire behandeling van laatstgenoemde wet (kamerstukken II 1990/91, 21 561, nr. 6, blz. 6 e.v., en 1991/92, 21 561, nr. 11, blz. 4 e.v.). Hetgeen aldaar is opgemerkt over de verhouding tussen WGBO en WPR is van overeenkomstige toepassing.
In beginsel geldt dat de WBP alleen niet van toepassing is in de gevallen dat daarin uitdrukkelijk in de WBP is voorzien (bijvoorbeeld artikel 2 WBP). In een aantal gevallen bevat de bijzondere wet echter een uitputtende regeling ten aanzien van bijvoorbeeld de openbaarmaking van gegevens. In die gevallen zal de bijzondere wet kunnen worden aangemerkt als een specialis ten opzichte van de generalis WBP en prevaleert om die reden de regeling in de bijzondere wet. De in de WOB geregelde informatieverplichtingen van de bestuursorganen zijn een voorbeeld van een dergelijke uitputtende regeling. Deze regeling geeft als het ware uitvoering aan het meer algemene voorschrift van artikel 8, onderdeel c, van de WBP. Gezien het uitputtende karakter van de bepalingen in de WOB prevaleren zij boven artikel 8, onderdeel c, van de WBP. Het recht op kennisneming daarentegen is niet geregeld in de WOB. Ten aanzien van dit recht gelden derhalve de bepalingen van de WBP.
De WOB kent geen expliciete grondslag voor de verwerking van gevoelige gegevens. De huidige bepaling van artikel 10, tweede lid, onder e, van de WOB biedt onvoldoende passende waarborgen in die zin van artikel 8, vierde lid, van de richtlijn. Een aanvullende uitzonderingsgrond die specifiek op gevoelige gegevens ziet is noodzakelijk. Hierin zal worden voorzien in de ontwerp Aanpassingswet Wbp.
Bijzondere aandacht verdienen de archiefbescheiden die naar een archiefbewaarplaats zijn overgebracht ingevolge de Archiefwet 1995. Het gaat daarbij met name om geselecteerde archiefbescheiden van de Nederlandse overheid die in beginsel ouder zijn dan twintig jaar. De selectiecriteria zijn: de waarde die de bescheiden vertegenwoordigen voor het nationale culturele erfgoed, het belang van de bescheiden voor de overheidsorganen zelf, voor recht- of bewijszoekenden en voor historisch onderzoek.
Archiefbescheiden in een archiefbewaarplaats, afkomstig van de overheid of van particulieren, kunnen persoonsgegevens bevatten. Bij de totstandkoming van de WPR zijn de persoonsregistraties die zich in de overgebrachte archiefbescheiden bevinden, uitgesloten van de werking van de WPR (artikel 2, eerste lid, onder d, van de WPR). De reden daarvan was dat de Archiefwet 1962 bepalingen bevatte over de openbaarheid van archiefbescheiden die naar een archiefbewaarplaats zijn overgebracht. Eenzelfde regeling staat thans in de Archiefwet 1995. Op grond van artikel 15 van de Archiefwet 1995 kunnen aan die openbaarheid beperkingen worden gesteld, onder meer met het oog op de eerbiediging van de persoonlijke levenssfeer. Het was onnodig daarnaast de WPR van toepassing te verklaren. Artikel 3 van de richtlijn biedt echter geen ruimte meer persoonsgegevens die voorkomen in archiefbewaarplaatsen integraal uit te zonderen van het onderhavige wetsvoorstel. Uitgangspunt is dat met name de artikelen waarin de beginselen betreffende de rechtmatigheid van de gegevensverwerking zijn neergelegd, onverkort van toepassing zijn op iedere verwerking van persoonsgegevens, ongeacht waar deze zich afspeelt in de maatschappij. Daarentegen is het wel mogelijk bepaalde, andere artikelen buiten toepassing te verklaren indien deze in de praktijk onnodig beknellend zijn en met het oog op het belang dat ze dienen onevenredig zwaar belastend zijn. In dit kader kan worden gewezen op de informatieverplichtingen van de houder en de aanmeldingsplicht. Hieronder zal nader op het een en ander worden ingegaan.
Iedere verwerking van persoonsgegevens die deel uitmaken van archiefbescheiden als bedoeld in de Archiefwet 1995 valt onder artikel 8, onder c en e, van de WBP. Binnen de daar gestelde randvoorwaarden is het mogelijk zodanige persoonsgegevens te verwerken. De verwerkingshandelingen die bij archiefbescheiden in archiefbewaarplaatsen als essentieel moeten worden beschouwd, zijn: bewaren (voor in beginsel onbepaalde tijd) en, desgevraagd, ter raadpleging verstrekken. Aan het langdurig bewaren van de in de archiefbewaarplaatsen opgenomen persoonsgegevens staat het onderhavige wetsvoorstel niet in de weg (artikel 10). Een goed functionerend «geheugen van de overheid» is een erkend publiek belang. De inspanning die het archiefwezen moet leveren ter bescherming van de persoonlijke levenssfeer van de betrokkenen dient tot deze publieke taak in een redelijke verhouding te staan. In dit verband geldt dat aan de inspanningsverplichtingen waar artikel 11, tweede lid, van het wetsvoorstel op doelt, is voldaan indien de bescheiden zijn geselecteerd volgens de archiefwettelijke selectiecriteria. De toetsing op de juistheid en nauwkeurigheid zal zelfs achterwege kunnen blijven wanneer de bescheiden (waaronder persoonsgegevens) worden geselecteerd op historisch-wetenschappelijke gronden. Ook onjuiste persoonsgegevens kunnen op die gronden interessant en behoudenswaardig zijn. De juistheid van gegevens moet in zekere zin worden beoordeeld in de context waarin ze worden verwerkt. Het hierboven geschetste publieke belang is een zwaarwegend algemeen belang als bedoeld in artikel 16.
In het ingevolge de aanpassingswetgeving nog voor te stellen nieuwe artikel 14, tweede lid, van de Archiefwet 1995 zal een uitdrukkelijke wettelijke grondslag worden neergelegd voor de verwerking van bijzondere gegevens als bedoeld in artikel 16 van dit wetsvoorstel in archiefbescheiden in de archiefbewaarplaatsen. Het eerder vermelde artikel 15 van de Archiefwet 1995 (mogelijke beperkingen met het oog op de eerbiediging van de persoonlijke levenssfeer van betrokkenen) wordt daarnaast gehandhaafd. Aangezien de doeleinden bij bewaring ingevolge de Archiefwet 1995 altijd dezelfde (wettelijke) doeleinden zijn, die bovendien geacht mogen worden bij het publiek bekend te zijn, zullen verwerkingen van persoonsgegevens in de archiefbescheiden worden vrijgesteld van de aanmeldingsplicht als bedoeld in artikel 29. Een aanmeldingsverplichting zou met het oog op het belang dat daarmee wordt gediend een onevenredig zware belasting betekenen voor de verantwoordelijke. Om die reden zijn de persoonsgegevens die deel uitmaken van archiefbescheiden die volgens de archiefwettelijke regels zijn overgebracht naar een archiefbewaarplaats (in de regel twintig jaar nadat zij zijn verzameld), eveneens uitgezonderd van de werking van artikel 34 (artikel 44, tweede lid).
De artikelen 35 e.v. van het wetsvoorstel zijn in beginsel wel op archiefbescheiden van toepassing. Voor zover het gaat om de toepassing van artikel 35 geldt in het algemeen dat verzoeken om kennisneming niet ongericht mogen zijn. Onder omstandigheden kan dit neerkomen op misbruik van recht. Zie in dit verband ook hetgeen hierover wordt opgemerkt in de toelichting bij artikel 1, onder d. Voor archiefbescheiden die naar een archiefbewaarplaats zijn overgebracht, geldt overigens dat zij in beginsel openbaar zijn. Van dergelijke bescheiden kan dus een ieder op grond van de Archiefwet 1995 kennisnemen. Hoewel het archiefwezen er volledig op ingericht is om aan dergelijke verzoeken tot kennisneming te voldoen, geldt ook hier dat die dienstverlening niet onbegrensd is. Dat geldt zowel voor verzoeken die op de Archiefwet 1995 zijn begaseerd als voor verzoeken die hun basis vinden in artikel 35 van het onderhavige wetsvoorstel.
De betrokkene heeft voorts op grond van artikel 36 van dit wetsvoorstel recht op correctie in geval van onrechtmatige verwerking. Ondanks het ontbreken van een wettelijke plicht daartoe zijn dergelijke verzoeken door het archiefwezen tot op heden altijd in behandeling genomen, zij het dat in geval van honorering van het verzoek, gegevens niet worden verwijderd of vernietigd, maar dat de mogelijkheid wordt geboden aan de betrokkene zijn eigen lezing aan de desbetreffende stukken toe te voegen. Deze praktijk zal onder artikel 36 van dit wetsvoorstel kunnen worden voortgezet.
[MvT, pagina 36-44]
De versie van de Wbp die op deze site wordt gebruikt was geldig op 3 januari 2011. De officiële, actuele versie is te downloaden vanaf Overheid.nl.
Overheid.nl: Wet- en regelgeving
[Open link in dit venster | Open link in nieuw venster]