Rina Steenkamp - Privacy en technologie
Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
[Algemeen: gegevensverwerking in overeenstemming met de wet en behoorlijk en zorgvuldig] [Meer informatie]
[Verzameling voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden] [Meer informatie]
[Grondslag rechtmatigheid gegevensverwerking] [Meer informatie]
[Verdere verwerking niet onverenigbaar met doeleinden van verkrijging] [Meer informatie]
[Bewaring: niet langer dan noodzakelijk voor verwerkingsdoeleinden] [Meer informatie]
[Kwaliteit gegevens: toereikend, relevant, niet bovenmatig, nauwkeurig] [Meer informatie]
[Verwerking alleen in opdracht van verantwoordelijke; geheimhoudingsplicht] [Meer informatie]
[Beveiliging] [Meer informatie]
[Waarborgen bij verwerking door een bewerker] [Meer informatie]
[Zorgplicht verantwoordelijke] [Meer informatie]
De regels die betrekking hebben op de toelaatbaarheid en de kwaliteit van de gegevensverwerking zijn te vinden in de artikelen van hoofdstuk II van het wetsvoorstel. Er is een algemeen basisprincipe voor de gegevensverwerking neergelegd in artikel 6, eerste lid, onder a, van de richtlijn dat bepaalt dat gegevens eerlijk en rechtmatig moeten worden verwerkt. Dit geldt voor alle fasen van het proces van gegevensverwerking. Het begrip 'eerlijk' – een vertaling van het Engelse 'fair' – komt in het Nederlandse recht nauwelijks voor. Teneinde beter aansluiting te vinden bij het overige recht is dit beginsel in het wetsvoorstel anders verwoord: in artikel 6 is bepaald dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Met het begrip 'zorgvuldigheid' wordt enerzijds aangesloten bij de zorgvuldigheidnorm uit artikel 6:162 BW, anderzijds bij het zorgvuldigheidsbeginsel als algemeen beginsel van behoorlijk bestuur. Dit interpretatie van dit begrip in het kader van de verwerking van persoonsgegevens vindt uiteraard weer zijn nadere inkleuring door de normen van het wetsvoorstel. Dit basisbegrip wordt verder uitgewerkt in diverse andere bepalingen. Indien het proces van gegevensverwerking chronologisch wordt benaderd stuit de verantwoordelijke bij het verzamelen van gegevens eerst op artikel 7. Hierin wordt bepaald dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen. Dit houdt in dat geen gegevens mogen worden verzamelen zonder een precies doel. Dit is immers medebepalend is voor een eventuele beoordeling van de rechtmatigheid van de gegevensverwerking. De omschrijving van het doel zal hetzij blijken uit de melding van de verwerking die de verantwoordelijke op grond van de wet uit hoofde van de wet verplicht is te verrichten – zie artikel 28, eerste lid, onder b, van het wetsvoorstel – hetzij uit de algemene maatregel van bestuur waarin precies zal worden geregeld welke verwerkingen van de meldingsverplichting worden vrijgesteld.
Het derde element van artikel 7 – gegevens worden verkregen voor 'gerechtvaardigde doeleinden' – vindt zijn nadere uitwerking in artikel 8 van het wetsvoorstel. In deze bepaling worden limitatief de rechtvaardigingsgrondslagen opgesomd voor de verwerking van persoonsgegevens. Ze zijn alternatief: elke gegevensverwerking of categorie van gegevensverwerkingen dient herleidbaar te zijn tot ten minste één van de in artikel 8 opgesomde gronden. Voor gevoelige gegevens geldt daarenboven het stringentere regime van paragraaf 2 van het onderhavige hoofdstuk. De rechtmatigheid van de verwerking van gevoelige gegevens dient dus te worden beoordeeld aan de hand van artikel 8 in samenhang met de artikelen 16 tot en met 23.
Indien eenmaal vaststaat dat de gegevensverwerking toelaatbaar is, zijn er vervolgens eisen met betrekking tot de wijze waarop de gegevens mogen worden gebruikt. Gegevens mogen niet worden verwerkt op een wijze die 'onverenigbaar' is met de doeleinden waarvoor zij zijn verkregen. Gegevens mogen ook voor andere doeleinden worden gebruikt dan waarvoor zij zijn verkregen, doch die andere doeleinden mogen met het oorspronkelijke doel 'niet onverenigbaar' zijn.
De richtlijn geeft over de precieze reikwijdte van dit begrip geen uitsluitsel. Wel maakt zij duidelijk dat in ieder geval de verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar wordt beschouwd, mits 'passende garanties' worden geboden. Uit dit op een bepaalde sector toegesneden voorschrift zijn tot op zekere hoogte algemene criteria te destilleren die voor het bepalen van de verenigbaarheid van belang zijn. Zo gaat het bij verwerking van gegevens voor wetenschappelijke doeleinden niet om gebruik waarvan de betrokkene nog enige gevolgen zal ondervinden. Dit ligt anders indien gegevens worden gebruikt voor de vaststelling van het recht op uitkering of voor de beslissing of de betrokkenen voor een levensverzekering in aanmerking komt. De ingrijpendheid van de gevolgen van de betrokkene is derhalve een factor die van belang is voor de verenigbaarheidstoets.
Voorts laat de bepaling inzake wetenschappelijk onderzoek zien dat verwerking van gegevens voor een bepaald doel eerder verenigbaar is indien met het oog op het belang van de betrokkene passende garanties worden geboden. Duidelijk is dat gebruik van gegevens voor een ander doel eerder niet onverenigbaar is, indien de betrokkene over dat gebruik wordt geïnformeerd of – een stap verder – hem om toestemming voor zodanig gebruik wordt gevraagd. Verder ligt het voor de hand om aan te nemen dat de aard van de gegevens een rol kan spelen, alsmede de wijze waarop de gegevens zijn verkregen.
Om de verantwoordelijke een handvat te bieden bij de toepassing van de norm van verenigbaar gebruik is in artikel 9 van het wetsvoorstel uitdrukkelijk een aantal van de hiervoor genoemde factoren genoemd waar de verantwoordelijke bij zijn afweging in elk geval rekening dient te houden. Het betreft hier geen limitatieve opsomming: ook andere factoren dan die in de wet genoemd kunnen een rol spelen.
Vervolgens zijn er enkele aanvullende voorwaarden. Deze hebben in de eerste plaats betrekking hebben op de inhoudelijke kwaliteit van de gegevens. Deze moeten blijkens artikel 11 toereikend, ter zake dienend, niet bovenmatig en nauwkeurig zijn. Voorts dienen de gegevens te worden beveiligd. Verwezen wordt naar de artikelen 12, 13 en 14.
Tot slot bepaalt artikel 10 dat persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor de gegevens zijn verzameld of vervolgens zijn verwerkt. Een soepeler norm geldt krachtens hetzelfde artikel voor persoonsgegevens die worden bewaard voor historische, statistische of wetenschappelijke doeleinden.
Resumerend kunnen – de chronologie van het proces van gegevensverwerking zoveel mogelijk volgend – vanuit het gezichtspunt van de verantwoordelijke achtereenvolgens de volgende stappen worden onderscheiden:
Bij de toepassing van artikel 8 (zie punt 3) geldt steeds in aanvulling op artikel 8 voor gevoelige gegevens op grond van paragraaf 2 van hoofdstuk 2 een verscherpt regime.
[MvT, pagina 20-22]