2. Actieve gegevensverstrekking
2.1 Inleiding De kabinetsnotitie 'Naar minder administratieve lasten' van 27 juni 1995 schetst enkele maatregelen die de administratieve lastendruk voor het bedrijfsleven terug moeten dringen.6 Eerder al - in 1985 - waren administratieve verplichtingen voor het bedrijfsleven geinventariseerd.7 De kabinetsnotitie vloeit voort uit het Regeerakkoord van het eerste paarse Kabinet en maakt deel uit van de MDW-operatie: marktwerking, deregulering en wetgevingskwaliteit. De regering omschrijft administratieve lasten als: "kosten die een onderneming moet maken om aan de administratieve en procedurele verplichtingen van regelgeving te voldoen. Het gaat om het invullen van enquetes, het voldoen aan rapportageverplichtingen, indienen van tekeningen bij vergunningaanvraag, extra administratie t.b.v. belastingen etc."8 Uit deze omschrijving volgt dat het verstrekken van bedrijfsgegevens als een administratieve last voor het bedrijfsleven kan en moet worden beschouwd. De kosten kunnen betrekking hebben op handelingen van de ondernemer zelf, handelingen van zijn personeel, het inhuren van externe krachten en bureaukosten. Het ΕΓΜ schatte in 1993 de administratieve lasten op 10 tot 15 miljard (2% van het BBP), exclusief de ministeries van Landbouw, Natuur en Visserij, Volksgezondheid, Welzijn en Sport en Verkeer en Waterstaat.9 In de notitie 'Naar minder administratieve lasten' introduceert de regering initiatieven ter beperking van administratieve lasten. Het gaat daarbij Kamerstukken II, 1994/95, 24 036, nr. 5. (MDW-notitie van de staatssecretaris van Economische Zaken 'Naar minder administratieve lasten'). Commissie tot verlichting van administratieve verplichtingen voor het bedrijfsleven, Heerendiensten. Inventarisatie deel VII, 's-Gravenhage 1985. Kamerstukken II, 1994/95, 24 036, nr. 5, p. 5. Kamerstukken II, 1994/95, 24 036, nr. 5, p. 6.
11
Actieve gegevensverstrekking
vooral om neveneffecten van regels: regels van de centrale overheid en regels van medeoverheden (provincies en gemeenten). In de derde voortgangsnota over de MDW-operatie voorspelt het Kabinet dat door deze operatie 10% of meer reductie zou worden geboekt op de bestaande verplichtingen voor het bedrijfsleven.10 Ter illustratie noemt de regering twee voorbeelden. In augustus 1997 was de enquetedruk van het Centraal Bureau voor de Statistiek (CBS) ten opzichte van 1994 rnet 15% gedaald. Bedrijven hoeven nu meer dan 100.000 uren minder te besteden aan het invullen van enquetes. Daarnaast besparen bedrijven inmiddels veel tijd, geld en moeite als gevolg van een verminderde fiscale lastendruk. In geld uitgedrukt bedraagt de vermindering zo'n 750 miljoen gülden. Eenmaal verstrekte bedrijfsgegevens worden door de overheid opgeslagen en beheerd. Opslag en beheer van bedrijfsgegevens door de overheid vindt steeds vaker plaats in geautomatiseerde informatiesystemen. In de vierde voortgangsnotitie over de MDW-operatie kondigt de regering aan de haalbaarheid te willen onderzoeken om met behulp van informatie- en communicatietechnologieen (IGT) de informatieverplichtingen verder terug te dringen.11 In de notitie 'Naar minder administratieve lasten' had de regering overigens al gewezen op de mogelijkheid om via IGT de administratieve lastendruk te verminderen: "Het kabinet is van oordeel dat längs de weg van de informatie- en communicatietechnologie een substantiele bijdrage kan worden geleverd aan de vermindering van de belasting administratieve verplichtingen."
die bedrijven ervaren bij het voldoen aan
Het actief verstrekken van bedrijfsgegevens kan efficienter door gebruik te maken van de mogelijkheden die de IGT biedt. Daarmee realiseert men ook een reductie van administratieve lasten en vooral een vermindering van kosten; ook kan de overheid daardoor haar dienstverlening verbeteren. Dit resultaat Staat op zichzelf nauwelijks ter discussie. In de literatuur wordt echter wel gewezen op een mogelijk neveneffect in de sfeer van de lastendruk voor bedrijven.12 Zo nemen tegelijkertijd de mogelijkheden voor monitoring, registratie en controle door de overheid toe. Vervolgens kan het gebruik van IGT, doordat het de gegevensverstrekking 10 11 12
Kamerstukken II, 1996/97, 24 036, nr. 54, p. 4-5. Kamerstukken II, 1 997/98, 24 036, nr. 87, p. 10. Zie bijvoorbeeld S. Zouridis, Technologie en informatieplichten voor het bedrijfsleven, in: A.J.H.W. Coppelmans e.a. (red.), Het actue/e recht 2. Tilburgse commentaren. Lelystad: Koninklijke Vermande BV 1995, p. 249-252. 12
Vertrouwelijk gegeven
vereenvoudigt, juist leiden tot de behoefte aan meer informatie. De administratieve lastendruk zou zelfs kunnen toenemen wanneer de overheid bij het gebruik van IGT te weinig rekening houdt met de bestaande informatie en informatiesystemen bij bedrijven. Van een lastenverzwaring is dan sprake wanneer bedrijven zieh genoodzaakt zien hun informatiesystemen aan te passen aan het informatiesysteem van de overheid. In hoofdstuk l introduceerden we het onderscheid in actieve en passieve vormen van verstrekking van bedrijfsgegevens. In dit hoofdstuk staan enkele voorbeelden van wet- en regelgeving op het terrein van de actieve gegevensverstrekking centraal. Daarbij gaat het om het feitelijk verstrekken, uit handen geven, in bezit stellen, etc. van bedrijfsgegevens aan de overheid. Dit in tegenstelling tot passieve gegevensverstrekking. Daarvan is sprake wanneer een bedrijf haar gegevens beschikbaar dient te hebben voor inzage door een overheidsinstantie. De overheid heeft in dergelijke gevallen de bevoegdheid de gegevens in te zien. In hoofdstuk 3 zullen wij ingaan op de wet- en regelgeving die tot passieve verstrekking van bedrijfsgegevens leidt. Voor wat dit hoofdstuk betreft, hebben we een keuze gemaakt voor een analyse van een viertal wetten die op een exemplarische wijze - niet meer, niet minder - inzichtelijk kunnen maken in welke mate verplichtingen tot actieve verstrekking van bedrijfsgegevens bestaan. Naast de besproken wetten bevatten nog vele andere wetten (vgl. de douane-, veiligheids- en warenwetgeving) verplichtingen tot gegevensverstrekking. In het navolgende gaan we achtereenvolgens in op fiscale verstrekkingen die met name zijn gebaseerd op de Algemene wet inzake rijksbelastingen, economisch-publiekrechtelijke verstrekkingen in het kader van de Mededingingswet, verstrekkingen in het kader van milieubeheer en -beleid en actieve vormen van gegevensverstrekking in het kader van de Algemene wet bestuursrecht. De keuze voor juist deze voorbeelden van wet- en regelgeving is gebaseerd op de resultaten van de door ons gehouden Interviews met een viertal deskundigen en met vertegenwoordigers van bedrijven en brancheorganisaties. Wij zullen met name ingaan op de verplichtingen tot het verstrekken van bedrijfsgegevens en op de geheimhoudingsbepalingen die als exponent kunnen worden beschouwd van de normen die van toepassing zijn op de omgang met eenmaal door de overheid verkregen bedrijfsgegevens. Aan de band van voorbeelden zullen we proberen aan te geven tot welke problemen het actief verstrekken van bedrijfsgegevens aan de overheid in de praktijk kan leiden.
13
Actieve gegevensverstrekking
In de eerste plaats willen we hier ingaan op actieve gegevensverstrekking die voorvloeit uit fiscale regelgeving. De fiscale regelgeving brengt voor ondernemers een totale administratieve last ten bedrage van enkele miljarden guldens met zieh.13 Deze lastendruk is mede een gevolg van de complexiteit van de fiscale regelgeving. In de daarop volgende paragraaf gaan we in op de Mededingingswet (Mw). De Mededingingswet is bij uitstek een voorbeeld van een wet die bedrijven verplicht tot actieve gegevensverstrekking. De hoeveelheid op grond van deze wet te verstrekken gegevens is aanzienlijk. In de voorbereidingsfase van de Mw is in de vorm van een bedrijfseffectentoets uitdrukkelijk aandacht geschonken aan de administratieve lasten die de naleving van die wet tot gevolg zou kunnen hebben. Ook de Wet milieubeheer is een goed voorbeeld van een wet die bedrijven verplicht tot gedetailleerde gegevensverstrekkingen. De te verstrekken gegevens stellen de overheid in Staat vooraf te beoordelen en achteraf te controleren of een bedrijf voldoet aan de milieuvoorschriften. We zullen bij de analyse vooral ingaan op het Inrichtingen- en vergunningenbesluit omdat het een goede indruk geeft van de hoeveelheid gegevens die bedrijven geacht worden te verstrekken. De regering heeft van dit besluit een MDW-project gemaakt teneinde de administratieve lastendruk die daarmee gepaard zou gaan (door de regering zelf geschat op enkele honderden miljoenen guldens) terug te dringen. Ten slotte gaan we in op de Algemene wet bestuursrecht (Awb). Deze wet is onder meer van toepassing op aanvragen van vergunningen en subsidies. Daarbij moeten vaak bedrijfsgegevens worden verstrekt. De Awb is voorts van belang wanneer sprake is van een bestuursrechtelijk geschil. Voor concurrentiegevoelige bedrijfsgegevens bestaat op grond van de Awb en de daarop gebaseerde jurisprudentie ook een vorm van bescherming.
2.2
Fiscale verstrekkingen
Hierboven vermeldden we reeds dat uit onderzoek blijkt dat het complexe karakter van de fiscale regelgeving onder meer tot gevolg heeft dat het bedrijfsleven een administratieve lastendruk draagt van enkele miljarden guldens. Het actief verstrekken van bedrijfsgegevens vormt een onderdeel van die lastendruk. Een voorbeeld van een fiscale wet die actieve verstrekkingsverplichtingen bevat voor bedrijven is de Algemene wet 13
Kamerstukken II, 1994/95, 24 036, nr. 5, p. 13 (notitie "Naar minder administratieve lasten").
14
Vertrouwelijk gegeven
inzake rijksbelastingen (Awr)14. Onder deze wet vallen bijvoorbeeld verenigingen en andere rechtspersonen, maatschappen, vennootschappen, openbare lichamen en ondernemingen van publiekrechtelijke rechtspersonen. De Awr is onder rneer van toepassing bij de heffing van rijksbelastingen. Daaronder wordt verstaan: belastingen die van rijkswege door de rijksbelastingdienst worden geheven (art. l lid 2 Awr). Voorbeelden daarvan zijn de inkomstenbelasting, de loonbelasting, de omzetbelasting en de vennootschapsbelasting. Een wetswijziging in 1987 leidde tot invoering van een verplichting voor ondernemers om niet alleen inzage te verlenen, niaar desgevraagd ook actief inlichtingen en gegevens te verstrekken.15 Gegevensverstrekk ing De actieve verstrekking van bedrijfsgegevens aan de fiscus is voor een belangrijk deel gebaseerd op de informatieverplichtingen in de Awr en de Wet op de loonbelasting. De informatieverplichtingen uit de Awr vinden we in de art. 47 tot en met 56. Deze gelden voor belastingplichtigen, administratieplichtigen, inhoudingsplichtigen, derden die administratieplichtig zijn, stichtingen, verenigingen, Organen en instellingen in de overheidssfeer. Een algemene verplichting tot actieve gegevensverstrekking is te vinden in art. 47 Awr. leder bedrijf is op grond van dat artikel verplicht de daartoe bevoegde belastinginspecteur op diens verzoek de gegevens en inlichtingen te verstrekken die voor de belastingheffing van belang kunnen zijn. Boeken en bescheiden, maar ook andere gegevensdragers, zoals elektronische media, dient men daartoe beschikbaar te stellen. Dezelfde verplichtingen vloeien voort uit het derde lid, in de gevallen dat de belastingwet aangelegenheden van een derde aanmerkt als aangelegenheden van degene die vermoedelijk belastingplichtig is. Art. 49 Awr bepaalt dat de gegevens en inlichtingen duidelijk, stellig en zonder voorbehoud moeten worden verstrekt, mondeling, schriftelijk of op een andere wijze - ter keuze van de inspecteur - en binnen een door de inspecteur te stellen termijn. Daaronder vallen ook elektronische duplicaten van computertapes, diskettes, etc. (zie ook hoofdstuk 3). 14 15
Wet van 2 juli 1959, Stb. 310, laatstelijk gewijzigd bij wet van 18 december 1997, Stb. 735 en 738. Wet van 26 November 1987, Stb. 536. Inwerkingtreding 17 december 1987. Zie ook: Fiscale encyclopedie de vakstudie. Algemeen deel. Deel l: Algemene wet inzake rijksbelastingen. II: Wet administratieve rechtspraak belastingzaken / oorspr. bewerkt door M.K. Kamperman; voortgez. door E. Aardema en Ch.J. Langereis, commentaar op art. 47 Awr, p. 21.
15
Actieve gegevensverstrekking
Art. 51 sluit de mogelijkheid uit zieh met betrekking tot de in de artikelen 47, 47a, 47b, 48 en 49 omschreven verplichtingen te beroepen op de omstandigheid dat men tot geheimhouding verplicht is, ook al is deze geheimhoudingsplicht bij een wettelijke bepaling opgelegd. Het niet verstrekken van bedrijfsgegevens in het kader van de Awr kan nadelige gevolgen hebben voor een bedrijf. Hoofdstuk VTTTA van de Awr bevat bepalingen omtrent beboetbare feiten, zoals het niet of niet tijdig doen van belastingaangifte (verzuimboete), of voor het opzettelijk onjuist of onvolledig doen van aangifte (vergrijpboete). Hoofdstuk IX steh enkele feiten strafbaar, zoals het niet verstrekken door een inhoudingsplichtige aan de belastinginspecteur van het in een kalenderjaar door de werknemer genoten loon, van de ingehouden belasting en van andere gegevens die van belang kunnen zijn voor de heffing van de inkomstenbelasting (art. 28 Wet op de loonbelasting). De fiscus mag alleen gegevens opvragen die van belang kunnen zijn voor de belastingheffing.16 Tot de bescheiden en andere gegevensdragers die dergelijke gegevens kunnen bevatten behoren ook de boekhouding, de kladboekhouding, de kassarol, nota's en kwitanties, akten, brieven, notulen, microfilms en magneetbanden. Veelal zal de belastingplichtige voor zichzelf dienen na te gaan welk belang hij heeft bij het bewaren van deze bescheiden. Niet beslissend is of kennisneming van de gegevens van belang is, maar van belang kan zijn voor de vaststelling van fiscaal relevante feiten. In dit kader is een werkgever op grond van art. 28 Wet loonbelasting 1964 onder meer verplicht van zijn werknemers opgave te vragen van voordelen die zij hebben genoten, bijvoorbeeld van buschauffeurs en hostesses die een bar in een bus exploiteren.17 Weigert de werknemer een opgave te verstrekken dan zal de werkgever een redelijke schatting moeten maken. Bij toepassing van art. 47 Awr behoort elk van de betrokkeri partijen te doen al wat juist van haar redelijkerwijs verlangd kan worden. Dit heeft tot gevolg dat een belastingplichtige die lichtvaardig weigert bepaalde bescheiden beschikbaar te stellen het risico loopt dat de inspecteur een aanslag vaststelt en dat hij vervolgens in de daarop volgende bezwaar- en beroepsprocedure op grond van art. 25 of 29 wordt geconfronteerd met een omkering van de bewijslast. De beoordeling of voldaan wordt aan het vereiste dat de gevraagde bescheiden van belang kunnen zijn voor de
16 17
Kamerstukken II, 1988/89, 21 287, nr. 3, p. 5. HR 24 juli 1995, BNB 1995/312, m.n. Zwemmer.
16
Vertrouwelijk gegeven
belastingheffing vindt plaats op en naar het monient waarop die bescheiden voor raadpleging worden opgevraagd.18 De vraag op welke wijze de inspecteur om de gewenste inlichtingen en gegevens dient te vragen, kwam aan de orde in een arrest van het Hof 'sGravenhage.19 Het Hof stelde over de toepassing van art. 29 Awr: "Dat alleen dan kan worden aangenomen dat door een belastingplichtige niet volledig is voldaan aan de verplichtingen ingevolge art. 47 AWR indien de inspecteur voldoende concreet en duidelijk steh en bewijst welke door hem gevorderde gegevens en inlichtingen niet door de belastingplichtige zijn verstrekt en welke boeken en andere bescheiden desgevorderd niet ter inzage zijn verstrekt, waarorn een en ander van belang kan zijn voor de belastingheffing ten aanzien van de belastingplichtige onderscheidenlijk voor de vaststelling van de feiten, welke invloed kunnen uitoefenen op de belastingheffing te zijnen aanzien, voorts op welke punten de belastingplichtige niet het gevorderde heeft verstrekt en tenslotte waarorn dit laatste dient te worden aangenomen". De gegevens dienen, gelet op art. 68 Awr, juist en volledig te worden verstrekt. Een beroep op de bescherming van de persoonlijke levenssfeer, als bedoeld in art. 8 EVRM, kan daaraan niet afdoen. Artikel 47 Awr geldt als een noodzakelijke beperking op art. 8 lid l EVRM.20 Op de betrokken ambtenaren rust een geheimhoudingsplicht die dient ter waarborging van de privacy van de burgers. Bovendien gaat het, aldus de regering, om ambtenaren die behoren tot een groep van overheidsfunctionarissen die gewend is om te gaan met vertrouwelijke informatie.21 Een zaak waarin het privacybelang zoals neergelegd in art. 8 EVRM in het geding was, betreft het arrest op grond waarvan verzekeraars verplicht worden geacht gegevens aan de belastingdienst te verstrekken over Personen die een pleziervaartuig bij hen hebben verzekerd. De Hoge Raad beschouwt art. 49 lid l Awr als een gerechtvaardigde beperking van art. 8 lid l EVRM, op grond van art. 8 lid 2 EVRM.22 Het verstrekken van boeken en bescheiden over verzekerden die een pleziervaartuig bezitten is aan te merken als het verstrekken van persoonsgegevens. Tegelijkertijd echter zijn deze gegevens te beschouwen als bedrijfsgegevens. Zij bevatten immers informatie over de dienten van de onderneming. De verplichting voor een bedrijf om dergelijke gegevens te verstrekken, kan mogelijk schade toebrengen aan het vertrouwen dat die dienten in de onderneming 18 19 20 21 22
Kamerstukken II, 1990/91, 21 287, nr. 5 (MvA), p. 5. Hof 's-Gravenhage, 14 Juli 1981, BNB 1982/264. HR 28 mei 1 986, BNB 1986/238, m.nt. Scheltens. Kamerslukken II, 1990/91, 21 287, nr. 5 (MvA), p. 15. HR 10 december 1974, BNB 1975/52. 17
Actieve gegevensverstrekking
en in de zorgvuldige omgang met hun gegevens - stellen, of anderszins leiden tot terughoudendheid in het aangaan van (verzekerings) overeenkomsten. Behalve uit een oogpunt van privacybelang kan de verplichting tot het verstrekken van gegevens aan de fiscus ook uit een oogpunt van beginselen uit het strafrecht problematisch zijn. Dit kan zieh bijvoorbeeld voordoen bij fiscale boetes of bij strafvervolging. Zo heeft men, voor zover het gaat om strafrechtelijke vervolging, een algemeen recht om niet aan de bewijsvoering legen zichzelf mee te werken.23 Voorts mag onder bepaalde omstandigheden informatie uit een onderzoek, dat wordt uitgevoerd door een bestuursorgaan voordat strafvervolging is ingesteld, niet worden gebruikt in een strafrechtelijke procedure.24 Voortbouwend op deze jurisprudentie is onder meer de Awr gewijzigd, waarbij het zwijgrecht nader is geregeld25. De belastingplichtige heeft het recht te zwijgen, indien de inspecteur jegens hem een handeling verricht waaraan de belastingplichtige in redelijkheid de gevolgtrekking kan verbinden dat hem een boete zal worden opgelegd. Het zwijgrecht strekt zieh evenwel niet uit tot het verstrekken van documenten en andere gegevensdragers. Dit is in overeenstemming met het arrest Saunders dat in dit kader in tweeerlei opzicht van belang is. In de eerste plaats bevestigt dit arrest dat het zwijgrecht zieh niet uitstrekt tot de verstrekking van documenten en andere gegevensdragers. Dit betekent dat de inzageverplichtingen derogeren aan het zwijgrecht. Ten tweede heeft het arrest betrekking op de vraag welke informatie mag worden gebruikt als bewijsmiddel voor het opleggen van een straf of boete. Mededelingen die een belastingplichtige heeft gedaan in de fase die voorafgaat aan de vervolgingsfase mögen onder bepaalde omstandigheden niet worden gebruikt als bewijsmiddel voor het opleggen van een straf of boete26. De aangifteplicht berust niet op een door art. 6 lid 2 EVRM verboden veronderstelling van schuld.27 Een voorbeeld waarin een belastingplichtige zieh beroept op de omstandigheid dat hij tot geheimhouding verplicht is (art. 51 Awr) betreft een apotheekhoudend huisarts die weigerde zijn bedrijfsgegevens in de vorm van patientenkaarten en het apotheekboek ter inzage te geven met 23 24 25
26 27
EHRM 25 februari 1993, Publ. Series A, Vol. 256-A (Funke-arrest). EHRM 17 december 1996, V-N 1997, p. 722 (Saunders-arrest). Wet van 18 december 1997 tot wijziging van de Algemene wet inzake rijksbelastingen en van de Invorderingswet 1990 in verband met de herziening van het stelsel van bestuurlijke boeten en van het fiscale strafrecht. Stb. 1997, 738. Zie Kamerstukken II, 1996/97, 24 800, nr. 5 (nota van wijziging), p. 15. HR 11 december 1991, BNB 1992/243, m.nt. Schaltens.
18
Vertrouwelijk gegeven
een beroep op de voor hem als geneeskundige geldende geheimhoudingsplicht. Alleen door raadpleging van de patientenkaarten en het apotheekboek zou kunnen worden gecontroleerd of de contante ontvangsten volledig zijn verantwoord. De Inspecteur heeft op Basis van een theoretische omzetberekening een navorderingsaanslag opgelegd. Het Hof stelde dat de arts in het onderhavige geval verplicht was inzage te verstrekken in de gevraagde bescheiden. Hij kon zieh niet met vrucht op zijn geheimhoudingsplicht beroepen. Het Hof oordeelde dat, nu de belanghebbende niet had aangetoond dat de door de Inspecteur gemaakte theoretische omzetberekening onjuist of onredelijk is, het beroep diende te worden afgewezen.28 Geheimhouding Er bestaan wettelijke normen die bepalen dat de overheid, i.e. de belastingdienst, vertrouwelijk dient om te gaan met eenmaal ontvangen bedrijfsgegevens. Wat de belastingdienst betreft, kan in dit verband worden gewezen op de geheimhoudingsplicht van art. 67 Awr: het is een ieder verboden hetgeen hem in enige werkzaamheid bij de uitvoering van de belastingwet, of in verband daarmede, nopens de persoon of de zaken van een ander blijkt of medegedeeld wordt, verder bekend te maken dan nodig is voor de uitvoering van de belastingwet of voor de heffing of de invordering van enige rijksbelasting. De geheimhoudingsplicht omvat zowel een zwijgplicht als een zwijgrecht: de zwijgplicht geldt mede op grond van art. 272 Sr. Het zwijgrecht is het verschoningsrecht waarop de belastingambtenaar een beroep moet doen wanneer hij als getuige wordt opgeroepen in een civiele zaak. Zwijgplicht en verschoningsrecht dienen mede de vertrouwelijkheid in de omgang met actief verstrekte bedrijfsgegevens te waarborgen. Het tweede lid van art. 67 verschaft de minister van Financien de bevoegdheid ontheffing te verlenen van het verbod van het eerste lid. Zo heeft hij van deze bevoegdheid gebruik gemaakt ten behoeve van de verstrekking van inlichtingen aan verschillende overheidsinstanties en sociale-verzekeringsorganen.29 Welke de gronden zijn voor ontheffingen op grond van art. 67 lid 2 Awr is in de rechtspraak nader aangeduid. De regeling vormt een weihaast uniek voorbeeld van een situatie waarin secundair gebruik van bedrijfsgegevens uitdrukkelijk is geregeld.
28 29
Hof Arnhem, 5 februari 1986, BNB 1987/210. Voorschrift Informatieverstrekking (VIV 1993). Besluit van 14 December 1992, nr. AFZ 92/9318, Stet. 1992, 251. 19
Actieve gegevensverstrekking
De geheimhoudingsplicht van art. 67 Awr geldt voor ambtenaren en arbeidscontractanten en voorts voor iedereen, dus ook voor niet-ambtelijke deskundigen, inhoudingsplichtigen en leden van de rechterlijke macht in belastingzaken. De geheimhouding betreft bijvoorbeeld persoonsgegevens. In verband met perspublicaties die persoonlijke belastinggegevens van hooggeplaatste personen betreffen, richtte de Staatssecretaris van Financien reeds op 19 oktober 1987 een speciale aanschrijving aan de ambtenaren van de belastingdienst. De geheimhoudingsplicht strekt zieh voorts uit tot hetgeen is gebleken of medegedeeld nopens de persoon of de zaken van ieder ander dan degene tot wie het verbod zieh rieht30, ongeacht het al dan niet vertrouwelijke karakter van de desbetreffende gegevens.31 Het vertrouwelijke karakter is aan de orde wanneer iemand wordt vervolgd op grond van een anonieme klikbrief. De vervolgde heeft niet het recht daarvan een kopie te vragen omdat door de herkenning van stijl en handschrift de identiteit van de briefschrijver aan het daglicht kan körnen. Diens wens om anoniem te blijven moet worden gerespecteerd. Behalve een zwijgplicht hebben belastingambtenaren ook een verschoningsrecht.32 Het verschoningsrecht omvat alle gegevens die onder de geheimhoudingsplicht van art. 67 Awr vallen.33 Een ambtenaar die wordt opgeroepen om als getuige mededeling te doen over aangelegenheden die hem bekend zijn geworden bij de uitoefening van zijn werkzaamheden, moet voor de rechter verschijnen. Als hem over hetgeen hem daar wordt gevraagd geheimhouding is opgelegd, moet hij zieh in een aantal gevallen met een beroep op zijn wettelijke plicht tot geheimhouding verschonen. Het verschoningsrecht is neergelegd in art. 191 Rv en art. 218 Sv en is ook te vinden in art. 8:33 Awb. In strafzaken die uitsluitend voortvloeien uit overtredingen van de belastingwetgeving of een andere wet waarvoor de ambtenaar opsporingsbevoegdheid bezit en aan de opsporing waarvan hij daadwerkelijk heeft meegewerkt, geldt dat het afleggen van een getuigenis valt onder de uitvoering van die wet. De ambtenaar kan zieh dan niet verschonen en kan zonder ontheffing een getuigenverklaring afleggen. Betreft de strafzaak of bestuursrechtelijke zaak niet alleen een overtreding van de belastingwetgeving of van een andere wet waarvoor de ambtenaar is 30 31 32
33
HR 14 mei 1964, NJ 1964, 430, V-N 1965, p. 124. Hof 's-Hertogenbosch 28 September 1976, NJ 1977, 312, V-N 1978, p. 1538. Voorschriften inzake het verschoningsrecht zijn te vinden in het Voorschrift Informatieverstrekking (VIV 1993), Besluit van 14 december 1992, nr. AFZ 92/9318, Stet. 1992, 251. HR 8 november 1991, 7877, NJ 1992, 277, V-N 1992, p. 3353. 20
Vertrouwelijk gegeven
aangewezen als opsporingsambtenaar, dan beslist de contactambtenaar AWR/AWDA namens de directeur of de ambtenaar zieh al dan niet moet beroepen op zijn verschoningsrecht. In strafzaken is het voorts mogelijk dat het verschoningsrecht wordt ontzegd, bijvoorbeeld wanneer de tenlastelegging valsheid in geschrifte betreft ter ontduiking van heffing van belastingen of premies voor sociale verzekeringen. De geheimhoudingsplicht Staat dan niet in de weg aan het doen van mededelingen aan de strafrechter betreffende de ten laste gelegde valsheid in geschrifte orndat die mededelingen strekken tot bestrijding van valse opgaven aan onder meer de belastingdienst en daardoor de goede uitvoering van de belastingwet dienen.34 Bij oproepen als getuige in een civielrechtelijke zaak dient de ambtenaar zieh op zijn verschoningsrecht te beroepen. Indien het hoofd van een eenheid van mening is dat er een bijzonder belang is om toch over te gaan tot het afleggen van een getuigenverklaring, dan wordt de zaak met advies voorgelegd aan de Afdeling Financiele Zaken. In civiele zaken overweegt in beginsel het belang van geheimhouding. Om die reden worden bijvoorbeeld in echtscheidings- en schadevergoedingsprocedures geen mlichtingen verstrekt op punten waarvoor een geheimhoudingsplicht bestaat. Het verschoningsrecht heeft voorts betrekking op wetenschap die aan de belastingambtenaar als zodanig is toevertrouwd.35 Dit geldt zowel ten aanzien van wetenschap die geen geheim karakter heeft36 als ten aanzien van wetenschap die op zichzelf of in verband met de omstandigheden een geheim karakter draagt37. Voorts is voor de beoordeling van het bestaan van het verschoningsrecht een afweging van belangen vereist.38 Men verwerkt zijn verschoningsrecht niet doordat reeds mededelingen zijn gedaan.39 We stelden hiervoor vast dat het tweede lid van art. 67 Awr de minister van Financien de bevoegdheid toekent ontheffing te verlenen van het geheimhoudingsgebod van het eerste lid. Volgens de rechtspraak van de (voormalige) Afdeling rechtspraak van de Raad van State dient de minister de toepassing van de ontheffingsbevoegdheid af te stemmen op de niaatstaven die de Wet openbaarheid van bestuur (Wob) voor de 34 35 36 37 38 39
Hof 's-Gravenhage 16 maart 1989, NJ 1989, 708. HR 29 november 1949, NJ 1950, nr. 664. Hof 's-Hertogenbosch, 1 September 1995, V-N 1995, p. 3487. HR (strafkamer) 29 november 1949, NJ 1950, 664; Rb. Leeuwarden 3 Oktober 1966, NJ 1967, 365, V-N 1967, p. 743. HR 26 april 1968, NJ 1968, 305. HR 20 januari 1966, NJ 1966, 184.
21
Actieve gegevensverstrekking
openbaarmaking aanlegt.40 De in de Wob opgenomen uitzonderingsgronden vormen aldus het kader voor het ontheffingsbeleid op grond van art. 67 lid 2 Awr. Met de rechtspraak van de ARRvS is een nieuwe beroepsmogelijkheid geschapen. Een bij de bestuursrechter ingediend beroep moet wel betrekking hebben op een weigering van de minister van Financien op een gedaan verzoek tot ontheffing van de geheimhoudingsplicht. Een afwijzing van de minister van Financien op een verzoek tot openbaarmaking door een inspecteur of een ontvanger vormt geen basis voor een beroep op de Wob. In hoofdstuk 4 zullen we meer in detail aandacht besteden aan het aspect van openbaarheid en de implicaties van de Wob.
2.3
Economisch-publiekrechtelijke verstrekkingen in het kader van de Mededingingswet
Op l januari 1998 zijn de nieuwe Mededingingswet en het Besluit gegevensverstrekking mededingingswet in werking getreden. We stelden hiervoor reeds dat de Mededingingswet (Mw) een goed voorbeeld is van een wet die bedrijven verplicht tot actieve gegevensverstrekking. De wet steh de overheid in Staat toezicht uit te oefenen op mededingingsafspraken, zoals concurrentiebeperkende overeenkomsten, onderling afgestemde feitelijke gedragingen en besluiten van ondernemersverenigingen. Het toezicht is in handen van de directeur-generaal van de Nederlandse mededingingsautoriteit (NMa) en door hem aan te wijzen ambtenaren. In het kader van hun onderzoeksbevoegdheid kunnen ondernemingen verplicht worden bedrijfsgegevens te verstrekken. De naleving daarvan kan zo nodig met een dwangsom worden afgedwongen. Zoals we hierna zullen vaststellen is de hoeveelheid op grond van deze wet te verstrekken gegevens aanzienlijk. In de voorbereidingsfase van de Mw is in de vorm van een
40
Zie bijvoorbeeld ARRvS 10 mei 1982, BNB 1985/23 (verzoek om openbaarmaking richtlijnen inzake kwijtschelding ten onrechte afgewezen); ARRvS 22 november 1982, BNB 1985/33 (WOB-verzoek om toezending RAD-rapporten afgewezen); ARRvS 22 november 1982, V-N 1984, p. 2431 (documenten betreffen een onbegrensde verscheidenheid van onderwerpen en zijn opgesteld voor intern beraad); ARRvS 31 juli 1984, BNB 1985/35 en voortzetting in BNB 1986/326 (rijksaccountantsrapporten vormen documenten die zijn opgesteld voor intern beraad); VzARRvS 18 Juni 1985, AB 1985/619, FED 1986/809 (weigering gegevens uit strafrechtelijke onderzoeken); ARRvS 27 mei 1986, V-N 1986, p. 1799 (verzoek om branche-onderzoeksrapport horecabedrijf en belang dat effectieve controle en juiste belastinginning op onaanvaardbare wijze wordt geschaad).
22
Vertrouwelijk gegeven
bedrijfseffectentoets uitdrukkelijk aandacht geschonken aan de administratieve lasten die de naleving van de Mw tot gevolg zou kunnen hebben. Op grond van die toets verwacht de minister van Economische Zaken dat het met de kosten van de wet voor ondernemingen wel mee zal vallen. Deze kunnen, aldus de minister, tussen de f 10.000 en f 20.000 gülden liggen.41 Het Besluit gegevensverstrekking mededingingswet bepaalt voor een drietal gevallen welke gegevens aan de directeur-generaal van de NMa moeten worden verstrekt: bij een aanvraag om ontheffing van het verbod van art. 6 Mw, bij een melding van een concentratie als bedoeld in art. 34 Mw en bij een aanvraag om een vergunning voor een concentratie als bedoeld in art. 41 Mw. Ontheffingsaanvraag In beginsel zijn overeenkomsten tussen ondernemingen, besluiten van ondernemersverenigingen en onderling afgestemde feitelijke gedragingen van ondernemingen verboden, wanneer die ertoe strekken of ten gevolge hebben dat de mededinging op de Nederlandse markt of een deel daarvan wordt verhinderd, beperkt of vervalst. Dergelijke verboden overeenkomsten en besluiten (kortweg: kartels) zijn van rechtswege nietig (art. 6). De directeur-generaal van de NMa kan echter op aanvraag een ontheffing verlenen van het verbod van art. 6 lid l Mw, wanneer daarmee een bijdrage wordt geleverd aan de verbetering van de productie of van de distributie of tot bevordering van de technische of economische vooruitgang, mits een billijk aandeel in de daaruit voortvloeiende voordelen de gebruikers ten goede komt. Bij een aanvraag voor zo'n ontheffing moet elke aan de desbetreffende ßiededingingsafspraak deelnemende onderneming bepaalde gegevens verstrekken (art. 2 Besluit). Naast gegevens over de ondernemingen dienen verschillende gegevens over de mededingingsafspraak te worden verstrekt (art. 3 Besluit). Ook over de markt waarop de mededingingsafspraak betrekking heeft, moeten gegevens worden verstrekt (art. 4 Besluit). Voorts dient men aan te geven ofen op welke wijze a ) de mededingingsafspraak bijdraagt tot verbetering van de productie of de verdeling van goederen of diensten of tot bevordering van de technische of economische vooruitgang;
Kamerstukken II, 1995/96, 24 707, nr. 6 (Nota naar aanleiding van het verslag). Zie ook M.B.W. Biesheuvel, E.J. Daalder, J.M.E, van Breugel (samenstellers), Mededingingsrecht. De parlementaire geschiedenes van de Mededingingswet. Den Haag: Sdu 1998, p. 371.
23
Actieve gegevensverstrekking
b) een billijk aandeel in de uit de in onderdeel a bedoelde verbetering of vooruitgang voortvloeiende voordelen ten goede komt aan de gebruikers; c) alle mededingingsbeperkende bepalingen in de mededingingsafspraak onmisbaar zijn om de in onderdeel a bedoelde doelstellingen te bereiken; en d) de mededingingsafspraak niet de mededinging voor een wezenlijk deel van betrokken goederen of diensten uitschakelt (art. 5 Besluit). Bovendien moet worden aangegeven welke procedures bij de NMa, een Nederlandse rechter, de Europese Commissie, dan wel een buitenlandse rechter of mededingingsautoriteit gaande zijn of zijn gevoerd (art. 6 Besluit). Tenslotte bepaalt het Besluit gegevensverstrekking Mededingingswet in art. 7 dat diverse documenten moeten worden overgelegd, zoals een al dan niet geconsolideerde jaarrekening, een afschrift van de mededingingsafspraak en een bewijsstuk waaruit de vertegenwoordigingsbevoegdheid blijkt. Melding concentratie De Mededingingswet verbiedt het tot stand brengen van een concentratie (fusie, bedrijfsovername, e.d.) voordat het voornemen daartoe aan de directeur-generaal van de NMa is gemeld en vervolgens vier weken zijn verstreken (art. 34 Mw). Ook bij een melding van een concentratie als bedoeld in art. 34 Mw moeten diverse gegevens worden verstrekt. Het gaat hier om gegevens over elke bij de concentratie betrokken onderneming (art. 8 Besluit). Voorts moet worden aangegeven om welke van de in art. 27 genoemde typen concentratie het gaat (art. 9 Besluit). Dit gegeven vormt de kern van de melding. De ondernemingen moeten zelf aangeven welke zeggenschapsstructuur zal ontstaan. Ook moet elke door de concentratie te bemvloeden markt worden beschreven. alsmede wat het aandeel van elke bij de concentratie betrokken onderneming op de te onderzoeken markten is (art. 10 Besluit). Teneinde de informatieplicht zoveel mogelijk te beperken, wordt geen opgave van precieze marktaandelen gevraagd voor concentraties waarbij geringe marktaandelen in het geding zijn: 15% voor horizontale relaties en 20% voor verticale relaties. Voor elke te onderzoeken markt moet worden vermeld wat de namen zijn van de betrokken ondernemingen en de namen en adressen van de vijf belangrijkste ondernemingen die in concurrentie met haar staan en de namen en adressen van de vijf belangrijkste afnemers van elke bij de concentratie betrokken onderneming (art. 11 Besluit). Tenslotte moeten verschalende documenten worden overgelegd: jaarrekening, jaarverslag, 24
Vertrouwelijk gegeven
bewijsstuk van vertegenwoordigingsbevoegdheid, meest recente stukken inzake de voorgenomen concentratie en resultaten van marktonderzoeken (art. 12 Besluit). Vergunningsaanvraag concentratie Binnen vier weken na ontvangst van een melding moet de directeurgeneraal van de NMa aan de meider meedelen of voor het tot stand brengen van de concentratie een vergunning is vereist (art. 37 lid l Mw). Bij bevestigende beantwoording zijn de artikelen 8 tot en met 12 (te verstrekken gegevens voor de melding) van het Besluit gegevensverstrekking Mededingingswet van overeenkomstige toepassing. Voorts moeten extra gegevens worden verstrekt over elke bij de concentratie betrokken onderneming (art. 14 Besluit) en over elke te onderzoeken markt (art. 15 Besluit). Gegevensverstrekking De hoeveelheid gegevens die wordt gevraagd op grond van de art. 6, 34 en 41 Mw is groot. Dit constateert ook de minister.42 De minister verwacht echter dat in de praktijk geen onaanvaardbare verzwaring van de administratieve lasten voor het bedrijfsleven door het verstrekken van de gegevens zal ontstaan. Hij baseert zieh daarbij op de volgende overwegingen: • ondernemingen hebben de gegevens vaak al eerder verzameld; • ondernemingen weten welke andere ondernemingen bij een mededingingsafspraak of concentratie zijn betrokken, wat de eigen omzet is, wat de inhoud van de afspraak is en wat de structuur van de betrokken markt is; • ondernemingen die betrokken zijn bij een concentratie weten welke andere ondernemingen deel uitmaken van een groep, wat de zeggenschapsverhoudingen binnen die groep zijn, op welke markt de concentratie actief zal zijn, wat het aandeel van de concentratie op die markt zal zijn en wat de structuur van die markt is; • het verstrekken van de jaarrekening en het jaarverslag kan evenmin een probleem zijn.
42
Zie M.B.W. Biesheuvel, E.J. Daalder. J.M.E, van Breugel (samenstellers), Mededingingsrecht. De parlementaire geschiedenis van de Mededingingswet. Den Haag, Sdu, 1998, p. 749. 25
Actieve gegevensverstrekking
Bij de voorbereiding van de Mw is aandacht besteed aan de administratieve lasten die de naleving van de Mw met zieh mee kan brengen.43 Het gaat dan met name om kosten die worden gemaakt bij een ontheffingsaanvraag voor een mededingingsafspraak of bij een vergunningaanvraag voor een concentratie. Bij een ontheffingsaanvraag moeten, zoals we hierboven vaststelden, gegevens worden verstrekt. Ook bij vergunningaanvragen moeten de nodige gegevens worden verstrekt. Daarbij kan de desbetreffende onderneming een advocaat of een andere deskundige inschakelen. Onder de oude Wet economische mededinging schakelden de meeste aanvragers van een ontheffing geen advocaat in. De Wet economische mededinging kende geen concentratietoezicht, zodat ook geen ervaring bestond met het inschakelen van advocaten. De Mw voorziet in een vergunningprocedure voor grotere, dus ingewikkeldere, bedrijven waardoor wel de behoefte aan een adviseur kan bestaan. De minister verwacht dat het met de administratieve lasten in het algemeen wel mee zal vallen, daar het naar schatting zal gaan om ongeveer 100 meldingen van concentraties per jaar en het aantal vergunningaanvragen een fractie daarvan zal zijn. De eerste ervanngen met het nieuwe wettelijk systeem laten echter zien dat op vele malen hogere aantallen meldingen moet worden gerekend. De werkelijke administratieve lastendruk voor het bedrijfsleven vormt een specifiek aandachtspunt bij de door de minister toegezegde evaluatie drie jaar na de inwerkingtreding van het Besluit gegevensverstrekking Mededingingswet. Geheimhouding De vertrouwelijke omgang met actief verstrekte bedrijfsgegevens is vooral van belang voor bedrijfsgegevens met een concurrentiegevoelig karakter. Dit kan bijvoorbeeld gegevens betreffen over voorgenomen fusies, op handen zijnde bedrijfsovernames of over bedrijfsprocessen, zoals fabricagegegevens. Schending van de vertrouwelijkheid daarvan kan in bepaalde gevallen leiden tot schade voor het bedrijf. De verplichting om in het kader van de economische mededinging vertrouwelijk om te gaan met de actief verstrekte bedrijf s- en fabricagegegevens is neergelegd in art. 90 Mw: "Gegevens of inlichtingen omtrent een onderneming, welke in verband met enige werkzaamheid ten 43
De bedrijfseffectentoets: Kamerstukken II 1995/96, 24 707, nr. 3, par. 14.3. De bedrijfseffectentoets is een Instrument om onder meer de beoogde en niet beoogde gevolgen van ontwerp-regelgeving voor het bedrijfsleven in kaart te brengen. Zie ook: W. Voermans, Bedrijfseconomisch toetsen van voorgenomen regelgeving, in: A.J.H.W. Coppelmans e.a. (red.), Het actuele recht 2. Tilburgse commentaren. Lelystad: Koninklijke Vermande 1995, p. 245-248.
26
Vertrouwelijk gegeven
behoeve van de uitvoering van deze wet zijn verkregen, mögen uitsluitend voor de toepassing van deze wet worden gebruikt." Ter uitvoering van de Mededingingswet kan het wel eens nodig zijn dat vertrouwelijke bedrijfsgegevens door de NMa aan de Europese Commissie worden verstrekt in het kader van overleg. Dit is bijvoorbeeld het geval wanneer de Commissie eraan twijfelt of een voorgenomen maatregel op basis van de Mw zieh verdraagt met de EG-mededingingsregels. Voor informatieverschaffing aan de Europese Commissie in het kader van de afstemming van het nationale beleid met het Europese beleid kent de Mw derhalve een algemene uitzondering op het (oude) verbod van art. 42 van de Wet economische mededinging. Overleg kan ook plaats hebben met andere dienstonderdelen van het ministerie van Economische Zaken en andere departementen, bijvoorbeeld omdat deze over bijzondere kennis van een bepaalde sector beschikken. Ook in die gevallen mögen aan dat dienstonderdeel of departement slechts gegevens uit het dossier worden verstrekt voor zover die noodzakelijk zijn om een zinvol overleg te kunnen voeren. Aldus kan het gebeuren dat in het kader van de Mw verstrekte gegevens bekend worden bij ambtenaren die belast zijn met andere taken. Ondernemingen zullen dan terughoudend worden met het verstrekken van gegevens aan de NMa. Om dat zoveel mogelijk te voorkomen is in art. 90 Mw bepaald dat bij de toepassing van de Mw verkregen gegevens alleen voor dat doel mögen worden gebruikt.
2.4
Verstrekkingen in het kader van milieubeheer en -beleid
Bedrijven hebben soms te maken met verplichtingen tot gedetailleerde gegevensverstrekking. Een goed voorbeeld daarvan is de Wet milieubeheer. De te verstrekken gegevens op het gebied van het milieu zijn vooral bedoeld om de vergunning verlenende overheid de mogelijkheid te bieden vooraf te beoordelen of achteraf te controleren of een bedrijf voldoet aan de milieuvoorschriften, dan wel om voorschriften te stellen. L·* het kader van de Wet milieubeheer is onder meer sprake van gegevensverstrekking bij het opstellen van een milieueffectrapport en bij het aanvragen van een vergunning. De gegevensverstrekking is voor beide doeleinden nader uitgewerkt in een algemene maatregel van bestuur, r espectievelijk het Besluit milieueffectrapportage 1994 en het Inrichtingenen vergunningenbesluit milieubeheer. In het kader van het MDW-project hirichtingen- en vergunningenbesluit wet milieubeheer (Ivb) is voorgesteld v oor 19 sectoren amvb's op te stellen, die voor 65% van de vergunningphchtige bedrijven nioeten gelden. Daardoor zou de administratieve 27
Actieve gegevensverstrekking
lastendruk aanmerkelijk minder worden. De totale administratieve lasten op milieuterrein bedragen volgens een schatting van de regering enkele honderden miljoenen guldens. Het zwaartepunt daarvan ligt bij de Wet milieubeheer en meer in het bijzonder bij het Inrichtingen- en vergunningenbesluit.44 Drie amvb's zouden begin 1998 in werking moeten zijn getreden: het (ontwerp) Besluit detailhandel en ambachtsbedrijven milieubeheer45, het Besluit horeca-, sport- en recreatie-inrichtingen milieubeheer46 en het (ontwerp) Besluit woon- en verblijfsgebouwen milieubeheer.47 De regering verwacht dat de administratieve lasten door de invoering van deze eerste drie amvb's met f 100 miljoen gülden kunnen dalen.48 In deze paragraaf gaan we in op de verstrekking en geheimhouding van gegevens in het kader van de verlening van milieubeheervergunningen. Gegevensverstrekking Op grond van art. 8.1 lid l Wet milieubeheer (het kernartikel) is een vergunning vereist voor het oprichten, het veranderen en het in werking hebben van een 'inrichting'. Het belangrijkste uitvoeringsbesluit van de Wet milieubeheer is het Inrichtingen- en vergunningenbesluit.49 Dat bevat in hoofdstuk 5 diverse bepalingen over te verstrekken bedrijfsgegevens. Gegevens dienen te worden verstrekt: 1. bij de aanvraag van een vergunning voor het oprichten en in werking hebben van een inrichting; 2. bij de aanvraag van een vergunning voor het veranderen van een inrichting of het veranderen van de werking daarvan; 3. bij een aanvraag van een vergunning voor een verandering en voor het in werking hebben na die verandering van (onderdelen van) de gehele inrichting waarmee die verandering samenhangt, als bedoeld in art. 8.4 Wet milieubeheer; 4. bij een melding van een verandering die naar verwachting geen of uitsluitend gunstige gevolgen heeft voor het milieu, als bedoeld in art. 8.19 Wet milieubeheer.
44 45
46 47 48 49
Kamerstukken II, 1994/95, 24 036, nr. 5, p. 22. Stet. 1996, 116. Dit ontwerp-besluit is gemeld aan het Secretariaat van de Wereld Handelsorganisatie. Zie Stet. 1998, 147, p. 9. Stb. 1998, 322. Stert. 1996, 73. Kamerstukken II, 1996/97, 24 036, nr. 54, p. 16 (derde voortgangsnota over de operatie Marktwerking, deregulering en wetgevingskwaliteit). Stb. 1993, 50.
28
Vertrouwelijk gegeven
In de hierboven onder l genoemde vergunningaanvraag dient de aanvrager diverse gegevens te vermelden. De te verstrekken gegevens zijn algemene gegevens, zoals naam en adres van de aanvrager, het adres, de kadastrale aanduiding, de ligging en de aard van de inrichting, gegevens over technieken en installaties, activiteiten en productieprocessen, etc. (art. 5.1 Hd l sub a tot en met g). Daarnaast dient de aanvrager een aantal meer bijzondere gegevens te verstrekken, zoals gegevens over de milieubelasting van de inrichting tijdens normaal bedrijf, welke maatregelen of voorzieningen zijn c.q. worden genomen voor de omgang met afvalstoffen in de inrichting, welke andere maatregelen hij heeft genomen om nadelige gevolgen voor het milieu te voorkomen, hoe hij de milieubelasting vaststelt en registreert. Voorts moet de aanvrager gegevens verstrekken inzake ontwikkelingen rond de inrichting die voor de vergunningaanvraag van belang kunnen zijn (art. 5.1 lid l onderdeel h tot en met 1). De aanvrager is verplicht de aanvraag te doen vergezellen van een niettechnische samenvatting van deze gegevens (art. 5.1 lid 2). Voorts moet, als daarvan sprake is, worden aangegeven of de inrichting van tijdelijke aard is en wanneer die weer buiten werking wordt gesteld (art. 5.2). Verder gelden aanvullende regels wanneer sprake is van het oprichten van een inrichting die valt onder de Woningwet (art. 5.3). De aanvrager dient ook gegevens te verstrekken over ongewone voorvallen die mogelijk zijn en waardoor nadelige gevolgen voor het milieu kunnen ontstaan, over de belasting van het milieu die die voorvallen kunnen veroorzaken, over de aard en de omvang daarvan en over de maatregelen die worden getroffen om de belasting van het milieu te voorkomen of te beperken (art. 5.4). Op verzoek van het bevoegd gezag moeten de resultaten van een onderzoek naar de kwaliteit van de bodem op de plaats waar de inrichting zal zijn of is gelegen worden verstrekt (art. 5.5). Tenslotte kan het bevoegd gezag nog andere nadere gegevens verlangen (art. 5.6). Bij een aanvraag om een vergunning voor het veranderen van een inrichting of het veranderen van de werking daarvan moet de aanvrager verstrekken: a) zijn naam en adres; b) de vergunning of vergunningen krachtens welke de inrichting opgericht dan wel in werking is; c ) een beschrijving van de beoogde verandering van de inrichting of van de werking daarvan; en d) voor zover deze beoogde verandering of werking van invloed is op de onderwerpen waaromtrent voor het verkrijgen van de onder b bedoelde vergunning of vergunningen gegevens zijn verstrekt, een aanduiding van 29
Actieve gegevensverstrekking
die gegevens en van de door de verandering veroorzaakte wijzigingen daarvan. De artikelen 5.1 tot en met 5.16 zijn van overeenkomstige toepassing op vergunningaanvragen voor een verandering en voor het in werking hebben na die verandering van de gehele inrichting of onderdelen daarvan, waarmee die verandering samenhangt als bedoeld in art. 8.4 Wet milieubeheer. Bij een melding van een verandering die naar verwachting geen of uitsluitend gunstige gevolgen heeft voor het milieu, als bedoeld in art. 8.19 Wet milieubeheer moet de vergunninghouder, op grond van art. 5.19, om te beginnen dezelfde gegevens verstrekken die gevraagd worden bij de aanvraag om een vergunning voor het veranderen van een inrichting of de werking daarvan. Voorts dient de vergunninghouder gegevens te verstrekken waaruit kan worden afgeleid dat de veranderingen van de inrichting of van de werking daarvan geen of uitsluitend gunstige gevolgen hebben voor de aard en ornvang van de nadelige gevolgen voor het milieu, die de inrichting kan veroorzaken. Tenslotte moet de vergunninghouder het tijdstip vermelden waarop de voorgenomen verandering wordt verwezenlijkt. Om in de praktijk te kunnen bepalen of men gegevens dient te verstrekken is het van belang te weten wanneer sprake is van een inrichting. De definitie: "elke door de mens bedrijfsmatig of in een omvang alsof zij bedrijfsmatig was, ondernomen bedrijvigheid die binnen een zekere begrenzing pleegt te worden verriebt", stamt uit de Hinderwetjurisprudentie.50 Particuliere huishoudens gelden dus niet als 'inrichting'. Wanneer sprake is van feitelijke samenhang van activiteiten, los van de vraag of die door een rechtspersoon worden uitgevoerd, kunnen bepaalde bedrijfsonderdelen als een inrichting worden beschouwd.51 Het moet dan gaan om tot eenzelfde onderneming of instelling behorende installaties die onderling technische, organisatorische of functionele bindingen hebben en in elkaars onmiddellijke nabijheid liggen. Bedrijven die op eenzelfde terrein liggen hoeven echter niet per se een inrichting te vormen. Dat hangt af van de aard van de bindingen tussen die bedrijven. Alleen het bestaan van een
50
51
KB 25 November 1959, nr. 25 (Het Wijde Blik) en KB 23 November 1981, nr. 26 (Vlissingen). Zie ook E.N. Neuerburg, P. Verfaule, Scftets van het Nederlands milieurecht. Alphen aan den Rijn: Samsom H.D. Tjeenk Willink 1995, p. 237. Onderlinge bindingen kunnen technisch, functioneel of organisatorisch zijn. KB 11 januari 1978, nr. 38 (Rotterdam).
30
Vertrouwelijk gegeven
huurovereenkomst is daartoe onvoldoende.52 Een kolenterminal en een daarnaast gelegen op- en overslagbedrijf vormen niet een inrichting in de zin van de Hinderwet, ook al is sprake van samenwerking bij een deel van de activiteiten.53 Een milieubeheervergunning moet worden aangevraagd bij het bevoegd gezag.54 Dat moet beoordelen of en zo ja welke nadelige gevolgen de inrichting voor het milieu kan veroorzaken. Daartoe dient men een aantal gegevens ter beschikking te stellen, waarvan we hierboven een indruk hebben gekregen. De aanvraag wordt, inclusief de daartoe verstrekte gegevens, ter inzage gelegd (art. 8.6 Wm). Uiteindelijk wordt dan de beschikking opgesteld en gepubliceerd na eventuele schriftelijke bezwaren, advisering en een gedachtewisseling met de mogelijkheid van mondeling bezwaar. Hierop zijn de regels over openbaarheid en geheimhouding van hoofdstuk 19 van de Wm van toepassing.55 Geheimhouding Zoals we hiervoor vaststelden is het bevoegd gezag op grond van de Wm verplicht om een aantal bedrijfsgegevens openbaar te maken door deze ter inzage te leggen. Dit geldt bijvoorbeeld bij procedures voor milieubeheervergunningen. De openbaarmaking van bedrijfsgegevens Staat op gespannen voet met de noodzaak tot geheimhouding ervan. De geheimhouding wordt belangrijker naarmate de context waarbinnen bedrijfsgegevens worden verstrekt een meer gevoelig karakter heeft. Op de plicht tot openbaarmaking wordt een uitzondering gemaakt voor stukken waarin bedrijfsgeheimen of beveiligingsgegevens voorkomen of waaruit die kunnen worden afgeleid. De vergunningverlenende instantie kan het in zulke gevallen toestaan dat een 'tweede tekst' wordt overgelegd, waarin die gegevens niet voorkomen of waaruit die gegevens niet kunnen worden afgeleid. De bevoegdheid (niet: verplichting) bestaat op grond van art. 19.3 Wm en kan worden uitgeoefend op een daartoe strekkend door het belanghebbende bedrijf ingediend schriftelijk verzoek. Het is een vergunningverlenende instantie niet toegestaan om de terinzagelegging van zo'n tweede tekst achterwege te laten. Aldus bepaalde 52 53 54 55
KB 14 November 1980, nr. 35 (Haarlem). KB 5 maart 1986, nr. 28 (Openbaar lichaam Rijnmond). Meestal burgemeester en wethouders of gedeputeerde staten en in een aantal gevallen de minister van VROM of die van Economische Zaken (art. 8.2 Wmb). J.H.G. van den Broek, D. van der Meijden, R.E. Hallo, J.D., Openbaarheid van milieurelevante bedrijfsgegevens. Preadvies ten behoeve van de eenenveertigste ledenvergadering van de Vereniging voor Milieurecht op 21 September 1993. Zwolle: W.E.J. Tjeenk Willink 1993, p. 7 e.v.
31
Vertrouwelijk gegeven
verband kan in bepaalde gevallen wel sprake zijn van min of meer gevoelige bedrijfsgegevens. Wanneer het belang van de gegevensverstrekking voor de beslissing van het bestuursorgaan niet opweegt tegen het belang van de bescherming van bedrijfs- en fabricagegegevens of tegen het belang van de eerbiediging van de persoonlijke levenssfeer, inclusief medische en psychologische onderzoeksresultaten, mag de aanvrager weigeren de gegevens en bescheiden te verstrekken. Weigering is echter onmogelijk als het gaat om gegevens en bescheiden, waarvan in de wet is bepaald dat ze overgelegd moeten worden. Een voorbeeld van zo'n wet is de Wet milieubeheer en de daarop gebaseerde amvb's. Wanneer het bestuursorgaan van oordeel is dat de verstrekte gegevens en bescheiden onvoldoende zijn voor de beoordeling van de aanvraag of de voorbereiding van de beschikking, kan het bestuursorgaan besluiten de aanvraag niet te behandelen. Dit kan alleen als de aanvrager de gelegenheid heeft gehad de aanvraag aan te vullen. Ook kan het bestuursorgaan een vertaling of een samenvatting van de aanvraag verlangen. In een zaak waarin een freelancer om een ondernemersverklaring audio-visuele branche had verzecht, oordeelde de Centrale Raad van Beroep dat de freelancer niet mocht weigeren zijn jaarstukken in te zenden met een beroep op art. 4:3 lid l Awb.59 Terwijl het eerste lid van art. 4:3 Awb aan de aanvrager het recht geeft om in het belang van de eerbiediging van de persoonlijke levenssfeer of van de bescherming van bedrijfs- en fabricagegegevens bepaalde informatie achter te houden, volgt uit het tweede lid dat dit recht ontbreekt waar het gaat om bij wettelijk voorschrift aangewezen gegevens en bescheiden waarvan is bepaald dat ze dienen te worden overgelegd. De afweging van de in het eerste lid genoemde belangen enerzijds en het belang dat is gediend met het overleggen van bepaalde gegevens anderzijds is in dit geval reeds in het wettelijk voorschrift gei'ncorporeerd.60 Dit geldt echter alleen, "indien in een wettelijk voorschrift overlegging wordt gevraagd van specifieke, welomschreven gegevens of bescheiden".61 In de onderhavige zaak is dat niet het geval, zodat het eerste lid van art. 4:3 Awb weer in beeld komt. Op grond van een aantal overwegingen - naast art. 2:5 Awb gaat het onder meer om het gedrag van de aanvrager zelf — komt de Centrale Raad van Beroep tot de slotsom dat de aanvrager geen geheimhoudingsrecht heeft.
59 60 61
CRvB, 1 mei 1997, AB 1997, 267 (m.nt. HBr). Aldus PG Awb l, p. 240, r.k. Aldus wederom PG Awb l, t.a.p.
33
Actieve gegevensverstrekking
Geheimhouding De Awb kent in art. 2:5 een algemene geheimhoudingsplicht naast de geheimhoudingsplicht die voor ambtenaren bestaat op grond van de Ambtenarenwet (zie ook hierna hoofdstuk 4). De geheimhoudingsplicht voor ambtenaren is een belangrijke waarborg voor de vertrouwelijke omgang met bedrijfsgegevens die in handen van de overheid zijn. Niettemin kunnen ook geheimhoudingsplichtige ambtenaren, bijvoorbeeld in gerechtelijke procedures, gehouden zijn om bedrijfsgegevens waarover zij beschikken aan de rechter over te leggen. In sommige gevallen bestaat daarop een uitzonderingsmogelijkheid, bijvoorbeeld wanneer het gaat om concurrentiegevoelige gegevens. Hieronder volgen enkele voorbeelden van overlegging van bedrijfsgegevens in gerechtelijke procedures. In een beroepsprocedure bij de rechtbank bestaat een informatieplicht voor betrokken partijen, bijvoorbeeld op grond van de artikelen 8:28 en 8:42 Awb. Tegenover de plicht tot het verstrekken van informatie steh echter art. 8:29 Awb de mogelijkheid, indien daarvoor gewichtige redenen zijn, bepaalde informatie niet te verstrekken of bepaalde stukken niet te overhandigen, of deze te verstrekken of te overhandigen onder de voorwaarde dat alleen de rechtbank daarvan kennis neemt. Met art. 8:29 Awb beoogt de wetgever recht te doen aan een tweetal met elkaar tegenstrijdige belangen. Enerzijds verdient bescherming het belang dat partijen over en weer beschikken over relevante informatie ('equality of arms') en het belang dat de rechter beschikt over alle benodigde informatie teneinde op een juiste en zorgvuldige wijze te kunnen beslissen. Anderzijds wil de wetgever in art. 8:29 Awb het belang beschermen dat bepaalde gegevens niet of slechts in beperkte mate openbaar worden.62 Het is de rechtbank die beslist of de geheimhouding of beperkte kennisneming gerechtvaardigd is.63 Wanneer de rechtbank de weigering van de informatieverstrekking gerechtvaardigd vindt, dan is de desbetreffende partij op grond van het vierde lid van art. 8:29 Awb daarmee ontslagen van de verplichting die informatie te geven of het stuk over te leggen. Met betrekking tot art. 8:29 Awb rees in een bepaald geval de vraag of het ging om stukken die gegevens bevatten waarvan de andere partijen in het geding de inhoud niet onder ogen dienden te krijgen.64 Het CBB oordeelde, conform hetgeen hierboven reeds is uiteengezet, dat partijen over en weer zoveel mogelijk over relevante informatie moeten beschikken om de door
62 63 64
J.B.J.M. ten Berge e.a., Het bestuursprocesrecht. Deventer: W.E.J. Tjeenk Willink 1996, p. 122. Art. 8:29, derde lid, Awb. CBB 3 Juni 1997, RAwb 1997, 161. 34
Vertrouwelijk gegeven
hen gewenste positie in de procedure in te kunnen nemen. Daarnaast is van belang dat de rechter over alle informatie beschikt die nodig is om de zaak op een zorgvuldige wijze af te doen. Ook gaat het om het belang dat bepaalde gegevens, bijvoorbeeld concurrentiegevoelige gegevens, niet of slechts in beperkte mate openbaar worden. In casu achtte het CBB de gegevens omtrent de productiecapaciteit, het gehanteerde inulinepercentage en de door het bedrijf zelf opgemaakte quotavaststelling concurrentiegevoelig. Niet concurrentiegevoelig vond het CBB de cijfers omtrent de gerealiseerde productie, nu deze ook uit de jaarcijfers zullen blijken. De rechter bepaalt ook per geval in hoeverre de inhoud van de stukken in het belang van de bescherming van de persoonlijke levenssfeer van een betrokken werknemer leidt tot uitsluiting of beperkte kennisneming als bedoeld in art. 8:29 en 8:32 Awb.65 Het kan dan bijvoorbeeld gaan om het belang van privacybescherming versus het belang van een eerlijk proces voor de werkgever. Zo kan een werknemer weigeren erin toe te stemmen dat zijn werkgever kennisneemt van zijn arbeidsongeschiktheidsgegevens. De uiterste consequentie daarvan is dat een bedrijfsvereniging over onvoldoende bewijsmiddelen beschikt met het oog op art. 59i AAW (malus-oplegging).66 Een rechter kan in zo'n geval kennisneming van stukken voorbehouden aan een gemachtigde die advocaat of arts is of aan iemand die bijzondere toestemming van de rechtbank heeft gekregen. De conclusie die uit de jurisprudentie hierover kan worden getrokken is dat art. 8:29 Awb een werkgever kan belemmeren in zijn juridische positie. Dit is met name het geval wanneer de werkgever een besluit wil aanvechten dat is gebaseerd op gegevens die vallen onder de bescherming van de persoonlijke levenssfeer van een derde (de werknemer).67
2.6
Kneipunter! en conclusies
Hoeveelheid gegevens Met het actief verstrekken van grote hoeveelheden bedrijfsgegevens kunnen aanzienlijke administratieve lasten gemoeid zijn. Zoals we hiervoor aangaven erkent de (paarse) regering dat de administratieve lasten voor het bedrijfsleven soms erg hoog zijn. De ingewikkelde fiscale regelgeving leidt tot een lastendruk voor het bedrijfsleven van enkele miljarden guldens. In
65 66 67
Zie bijv. Rb. Amsterdam 27 mei 1994, Awb-katem 1994, 65, CRvB 15 februari 1995, RAwb 1995, 79, Rb. Assen 17 mei 1994, JB 1994/141, m.nt. AWH. De malus is afgeschaft met ingang van 1 juli 1995 bij Wet Amber, Stb. 1995, 560. J.B.Ü.M. ten Berge e.a., a.w. 1996, p. 130.
35
Actieve gegevensverstrekking
het kader van het milieubeheer en milieubeleid bedragen de administratieve lasten enkele honderden miljoenen guldens. In 1985 zijn in het rapport van de commissie Grapperhaus inzake de 'heerendiensten' de administratieve verplichtingen voor het bedrijfsleven ge'inventariseerd. Teneinde de lastendruk terug te dringen, lanceerde het kabinet in 1995 het MDWproject. De eerste resultaten van dit project zijn intussen zichtbaar. De administratieve lasten zijn volgens de regering sinds 1995 grosso modo met 10% gereduceerd. De fiscale lastendruk is met 70 miljoen gülden afgenomen, terwijl inmiddels in het kader van het milieubeheer een aantal amvb's is opgesteld dat een besparing van meer dan 100 miljoen gülden aan administratieve lasten heeft opgeleverd. Ondanks deze resultaten blijven bedrijven het actief verstrekken van bedrijfsgegevens in de praktijk als problematisch ervaren. De hoeveelheid en diversiteit aan jurisprudentie over fiscale verstrekkingen, verstrekkingen in het kader van milieubeheer en milieubeleid en verstrekkingen in het kader van de Algemene wet bestuursrecht illustreren de in hoofdstuk 5 te bespreken kritische geluiden uit de praktijk. Feit blijft dat in sommige gevallen, zoals in verband met het verlenen van milieubeheervergunningen, bedrijven gegevens zullen moeten overleggen en dat de daarmee gemoeide administratieve lasten weihaast onvermijdelijk zijn. Inhoud gegevens In sommige situaties kunnen de te verstrekken gegevens een zeer concurrentiegevoelig karakter hebben en vormt niet zozeer de hoeveelheid te verstrekken bedrijfsgegevens een knelpunt, maar de inhoud daarvan. Het ter inzage leggen van dergelijke gegevens kan in die gevallen op ernstige bezwaren van de betrokken bedrijven stuiten. De besprekingen in dit hoofdstuk laten zien dat in het kader van het fiscale beleid, de Mededingingswet en het milieubeheer soms grote hoeveelheden voor het bedrijf belangrijke gegevens moeten worden overgelegd. Het kan daarbij bovendien gaan om gegevens over bedrijfsprocessen die een bedrijf niet naar buiten wil brengen. In zo'n geval kan een bedrijf een afweging maken: de gegevens behoeven niet te worden verstrekt wanneer het belang van de gegevensverstrekking voor de beslissing van het bestuursorgaan niet opweegt tegen het belang van de bescherming van de bedrijfs- en fabricagegegevens. De Wet milieubeheer kent echter wettelijke voorschriften die niettemin tot de verstrekking van bedrijfs- en fabricagegegevens kunnen leiden. In die gevallen kent de praktijk de mogelijkheid om een 'tweede tekst' te publiceren: een versie waaruit geen bedrijfsgeheimen of beveiligingsgegevens kunnen worden afgeleid. 36
Vertrouwelijk gegeven
Beheer gegevens Hoewel we in hoofdstuk 4 nader ingaan op de latente risico's die bestaan ten aanzien van het beheer van eenmaal (actief) verstrekte bedrijfsgegevens, maken we hier reeds enkele opmerkingen over dit aspect. Uit de voorgaande analyse blijkt namelijk dat er voor de actieve verstrekking en geheimhouding van bedrijfsgegevens in de wetgeving diverse bepalingen te vinden zijn, maar dat er voor het verdere gebruik van de verstrekte bedrijfsgegevens nauwelijks voorschriften bestaan. De onzekerheid die dit met zieh mee brengt, kan leiden tot terughoudendheid bij het bedrijfsleven om actief bedrijfsgegevens aan de overheid te verstrekken. Het verdere gebruik van eenmaal actief aan de overheid verstrekte bedrijfsgegevens Staat onder meer onder invloed van het al dan niet bestaan van bewaar- of vernietigingsplichten. Bewaarplichten en daarmee samenhangende vernielingsplichten voor de overheid zijn te vinden in een beperkt aantal wetten, zoals de Wet persoonsregistraties en de Archiefwet 1995. Zoals uit de hoofdstukken 5 en 6 zal blijken bestaat er binnen het bedrijfsleven behoefte aan een nadere normering van het verdere gebruik door de overheid van eenmaal actief verstrekte bedrijfsgegevens. Gewezen wordt in dit verband onder meer op een uitbreiding van bewaar- en vernietigingsplichten. Koppelingen In de inleiding van dit hoofdstuk zagen we reeds dat de regering de mogelijkheden van informatie- en communicatietechnologie meer wil inzetten voor de opslag en het beheer van bedrijfsgegevens. Daardoor zouden informatieverplichtingen voor het bedrijfsleven kunnen worden teruggedrongen. Een dergelijke vermindering van de administratieve lastendruk is bijvoorbeeld mogelijk wanneer de overheid meer elektronische bestanden met bedrijfsgegevens zou gaan koppelen, zoals de overheid ook steeds meer bestanden met persoonsgegevens onderling koppelt. Het voordeel van minder verplichtingen voor het bedrijfsleven tot actieve verstrekking van bedrijfsgegevens is wel duidelijk. Bovendien kan de overheid tegelijkertijd meer controle op de actieve gegevensverstrekking door het bedrijfsleven uitoefenen. Een risico dat door het koppelen ontstaat is dat het bedrijfsleven door het koppelen van bedrijfsgegevens het zieht nog verder verliest op de kwaliteit van de gegevens (de juistheid en volledigheid), alsmede op het gebruik dat de overheid ervan maakt. Koppelingen kunnen bij de overheid ook juist leiden tot behoefte aan meer bedrijfsgegevens. Wanneer bedrijven met het oog op de actieve gegevensverstrekking bovendien genoodzaakt worden hun informatiesystemen aan te passen aan die van de overheid, dan is 37
Actieve gegevensverstrekking
eerder sprake van een lastenverzwaring dan van een lastenverlichting. Overleg tussen overheid en bedrijfsleven is nodig om dergelijke nadelige gevolgen te voorkomen en om zoveel mogelijk profijt te hebben van de voordelen die het koppelen biedt. Het terugdringen van informatieverplichtingen kan bijvoorbeeld gepaard gaan met het opstellen van normen voor de overheid inzake het gebruik van actief verstrekte bedrijfsgegevens.
38
3. Passieve gegevensverstrekking
3.1
Inleiding
Nadat in het voorgaande hoofdstuk de wettelijke gehoudenheden tot het actief verstrekken van gegevens centraal stonden, behandelen we hier de passieve gegevensverstrekkingen. Waar het bij verplichtingen tot actieve verstrekkingen zo is dat bedrijven wettelijk verplicht zijn zelf - actief gegevens aan de overheid te overleggen, gaat het er bij de wettelijke verplichtingen tot passieve gegevensvertrekkingen om dat bedrijven gegevensverzameling door de overheid dulden of daaraan meewerken. In het kader van toezicht, handhaving of onderzoek anderszins, kan de overheid bij de uitvoering van haar wettelijke taken vaak inzage verlangen in allerhande bedrijfsgegevens. In veel gevallen bieden wettelijke regelingen overheidsinstanties zelfs mogelijkheden tot het meenemen van (afschriften van) bedrijfsgegevens en het bewaren ervan. Passieve gegevensverstrekking komt meestal voor in het kader van toezicht (inclusief opsporing van strafbare feiten) of controle door de overheid op bepaalde bedrijfsactiviteiten. In de meeste wettelijke regelingen die passieve gegevensverstrekkingen mogelijk maken, worden aan de overheid daarvoor toezichts- of opsporingsbevoegdheden gegeven.68 De overheid krijgt in dergelijke gevallen meestal een bevoegdheid om in het kader van een toezichts- of opsporingsonderzoek bepaalde gegevens in te zien, mee te nemen of te vorderen. Burgers, bedrijven en instellingen hoeven in geval van actieve naspeuring door de overheid meestal zelf geen of weinig bijzondere activiteiten te verrichten. Meestal gaan dergelijke toezichts- en opsporingsbevoegdheden wel gepaard met een verplichting voor een ieder om medewerking te verlenen aan het onderzoek.69 Dergelijke toezichts- en opsporingsbevoegdheden, die nopen tot passieve gegevensverstrekkingen van de kant van bedrijven70, kennen we op verschillende rechtsterreinen, 68 69 70
Zie bijvoorbeeld art. 18.4 jo. 18.5 Wet milieubeheer. Zie bijvoorbeeld art. 5:20 Algemene wet bestuursrecht. Tot deze groep normadressaten zullen we gezien de opzet van dit onderzoek de discussie in dit hoofdstuk beperken, al gaat veel van het gezegde natuurlijk ook andere adressaten dan bedrijven aan.
39
Passieve gegevensverstrekking
met name op het terrein van het strafrecht, het fiscale recht, het economische publiekrecht en het algemene bestuursrecht, en dan vooral in het kader van het toezicht op de naleving van vergunningen en voorschriften. Een aantal voorbeelden van de dergelijke bevoegdheden op deze terreinen zullen in dit hoofdstuk worden besproken. Soms wordt van bedrijven - onder andere in het kader van opsporing en toezicht door de overheid - wat meer verlangd met betrekking tot de voorbewerking van gegevens, zonder dat nu direct van een verplichting tot actieve gegevensverstrekking kan worden gesproken. Een variant waarin passieve gegevensverstrekking van bedrijven ten behoeve van de overheid of meer in het algemeen van het publiek vaak voorkomt is dat van bedrijven wordt gevraagd gegevens bij te houden of voor banden te hebben die uit eigen beweging moeten worden openbaar gemaakt of op aanvraag van de overheid moeten worden overgelegd. Een bekend voorbeeld hiervan vormt de jaarrekening- en jaarverslagverplichting die op grond van titel 10 boek 2 Burgerlijk Wetboek (art. 2:360 BW e.v.) geldt voor bepaalde rechtspersonen en banken. De meeste rechtspersonen en banken zijn verplicht jaarlijks de jaarrekening en het jaarverslag openbaar te maken via deponering bij het Handelsregister. Ook in andere bereiken van het recht wordt de laatste tijd steeds meer gewerkt met verplichtingen tot het voor handen houden of openbaar maken van bepaalde bedrijfsgegevens, om daardoor controle en toezicht door de overheid, maar ook door het publiek eenvoudiger mogelijk te maken. De onlangs in de art. 12.2 tot en met 12.4 van de Wet milieubeheer opgenomen verplichting tot het opstellen van een milieuverslag, dat zowel in het kader van het toezicht op milieueisen als ter informatie aan het publiek door bepaalde categorieen bedrijven moet worden openbaar gemaakt, vormt hiervan een goede illustratie.71 Ook de onlangs gewijzigde bepalingen omtrent de door producenten van dierlijke meststoffen bij te houden mestboekhouding72 zijn een voorbeeld. Verstrekkingen die bestaan in het (bewerkt) voorhanden hebben van gegevens of het openbaar maken van gegevens ter bevordering van controle of toezicht dan wel ter voorlichting van het publiek treffen we aan op verschillende terreinen van het recht, zoals het fiscale recht, het economische publiekrecht en het overige algemene bestuursrecht. Naar hun aard brengen deze laatste soort passieve
71
72
De genoemde bepalingen zijn inmiddels al wel in het Staatsblad gepubliceerd - Stb. 1997, 170 - maar nog niet in werking getreden. De inwerkingtredings-amvb moet nog worden geslagen. Zie de art. 6 en 19 Meststoffenwet en meer bepaald het daarop gebaseerde Besluit administratieve verplichtingen Meststoffenwet (art. 2), Stb. 1997, 587. 40
Vertrouwelijk gegeven
verstrekkingen meer administratieve lasten73 met zieh mee dan de soort waarbij de gegevensvergaring door de overheid slechts hoeft te worden getolereerd. Vandaar dat we deze groep van verstrekkingen - die in meer of mindere mate noodzaken tot voorbewerking van de gegevens - het best aan zouden kunnen duiden als quasi-passieve gegevensverstrekkingen. De gegevens dienen slechts voor handen te zijn voor een eventueel gebruik door de overheid of ter informatie van het publiek. Ontwikkelingen rondom passieve gegevensverstrekkingen De discussie rondom passieve gegevensverstrekking bevindt zieh momenteel in een maalstroom van ontwikkelingen. Enerzijds brengen passieve gegevensverstrekkingen aanzienlijke administratieve lasten voor het bedrijfsleven mee, maar anderzijds vormen juist de passieve informatieverplichtingen een goed aangrijpingspunt voor controle op afstand voor een zieh terugtrekkende en minder bemoeizuchtige overheid. Vooral quasi-passieve gegevensverstrekkingen bieden mogelijkheden om zelfregulering binnen een branche te bevorderen en het algemene publiek in te schakelen bij de handhaving en het toezicht op de naleving van wettelijke verplichtingen. Een voorbeeld hiervan vormt de Wet milieubeheer die aan belanghebbenden een actierecht bij de burgerlijke rechter toekent in geval een verslagplichtig bedrijf niet of niet afdoende aan de verplichting tot het opstellen van een milieuverslag heeft voldaan.74 Anderzijds lijkt er - mede onder invloed van een aantal geruchtmakende incidenten met betrekking tot vervreemding en misbruik van opsporingsgegevens - sprake te zijn van een verscherpt besef van risico's die zijn verbonden aan de omgang door de overheid met opsporings- en toezichtsgegevens.75 De belangrijkste ontwikkeling op het terrein van de passieve informatieverplichtingen betreft echter wel de introductie van hoofdstuk 5 (Handhaving) in de Algemene wet bestuursrecht (Awb). In dat hoofdstuk 5 wordt een uniforme (basis)regeling voor handhaving en toezicht in het bestuursrecht gegeven. Tot voor kort bestonden er in veel publiekrechtelijke wettelijke regelingen zeer verschillende typen van opsporings- en toezichtsbevoegdheden. Door hoofdstuk 5 van de Awb worden de bevoegdheden die aanleiding kunnen geven tot passieve 73
74 75
Hier met de MDW-notitie van de staatssecretaris van Economische Zaken 'Naar minder administratieve lasten' Kamerstukken II 1994/95, 24 036, nr. 5, p. 5 verstaan als: 'kosten in termen van handelingen van de ondernemer zeit, handelingen van zijn personeel, het inhuren van externe krachten, en bureaukosten'. Zie art. 12.2 e.v. Wet milieubeheer. Zie ook de discussie rondom de nota 'Beheersing informatiebeveiliging', Kamerstukken II 1994/95, 24 175, nr. 2.
41
Passieve gegevensverstrekking
gegevensverstrekkingen tot op grote hoogte geüniformeerd. In het vervolg van dit hoofdstuk zullen we hier nader op terugkornen.
3.2
Passieve gegevensverstrekking in het kader van strafrechtelijke opsporing
Passieve gegevensverstrekkingen komen vaak voor in het kader van strafrechtelijk onderzoek. Art. 141 en art. 142 van het Wetboek van Strafvordering (WvSv) verklaren ambtenaren van politie, officieren van justitie en ook andere ambtenaren bevoegd tot het opsporen van strafbare feiten.76 Die bevoegdheid brengt mee dat deze ambtenaren de opsporingsbevoegdheden uit het WvSv uit kunnen oefenen, naast de opsporingsbevoegdheden die hun in andere bijzondere wetten worden toegekend. De belangrijkste van de opsporingsbevoegdheden van het WvSv in het kader van de passieve gegevensverstrekking betreffen de bevoegdheden tot inbeslagname (art. 94 e.v. WvSv), de schouw of huiszoeking, onderzoek van telecommunicatie, onderzoek van gegevens in geautomatiseerde werken (art. 125 tot en met 125n WvSv) en het strafrechtelijke financiele onderzoek. Gegevensverstrekking In veel wettelijke regelingen is het toezicht en de handhaving opgedragen aan de door het WvSv bevoegd verklaarde ambtenaren. Veel publiekrechtelijke wetten kennen een strafrechtelijk handhavingssysteem dat er op neer komt dat overtreding van de normen van een bijzondere wet tot strafrechtelijke overtreding of strafrechtelijk misdrijf wordt verklaard.77 Zelfs indien dat niet expressis verbis is gebeurd in een wettelijke regeling, zijn de door het WvSv bevoegd verklaarde ambtenaren gerechtigd de overtreding van wettelijke voorschriften op te sporen en is het openbaar ministerie, dat het gezag heeft over het opsporingsonderzoek (art. 148 WvSv), bevoegd de overtreding van wettelijke normen te vervolgen. Tot voor kort werd aangenomen dat de bevoegdheid tot het insteilen van een strafrechtelijk opsporingsonderzoek ontstond op het moment dat er ten aanzien van een als verdachte in de zin van art. 27 WvSv aan te merken persoon een redelijk vermoeden van schuld aan het plegen van enig
76
77
Art. 142 WvSv bevat eenzelfde soort bepaling voor buitengewone opsporingsambtenaren, terwijl art. 1B2 e.v. bepalingen bevatten voor overige ambtenaren die met opsporing kunnen worden belast. Zie bijvoorbeeld voor een fiscaal voorbeeld art. 64 e.v. Invorderingswet 1990. 42
Vertrouwelijk gegeven
strafbaar feit bestond. Geheel duidelijk is het WvSv niet over het tijdstip waarop de bevoegdheid tot het instellen van een strafrechtelijk opsporingsonderzoek ontstaat. Slechts in het geval van een strafrechtelijk financieel opsporingsonderzoek bepaalt art. 126 WvSv duidelijk dat er sprake moet zijn van de verdenking van een strafbaar feit alvorens tot opsporing en inzet van de opsporingsbevoegdheden mag worden overgegaan. Dit opsporingsbegrip houdt in dat opsporingsambtenaren, op wie een verbaliseringsplicht rust indien zij opsporingshandelingen verrichten (art. 152 WvSv), feiten en omstandigheden aan moeten kunnen voeren waaruit blijkt dat er sprake is van een redelijk vermoeden van een strafbaar feit. Dit beperkte opsporingsbegrip is door de Hoge Raad ook buiten het kader van het financiele opsporingsonderzoek voor de opsporing van reguliere strafrechtelijke delicten overgenomen.78 Vooral in complexe zaken die een lang voorbereidingstraject voor het strafrechtelijke opsporingsonderzoek nodig maken, zoals onderzoek naar georganiseerde criminaliteit, levert een dergelijk beperkt opsporingsbegrip problernen op omdat ook in de fase voordat het aantoonbare redelijke vermoeden bestaat - de zgn. pro-actieve fase - de noodzaak bestaat tot het verrichten van opsporingshandelingen. Tot nu toe bestond er veel onduidelijkheid en discussie over de vraag of opsporingsbevoegdheden mochten worden ingezet in de fase voordat er sprake was van een vermoeden van een strafbaar feit. In het algemeen werd wel aangenomen dat de politie op basis van de Politiewet 1993 beschikte over bepaalde onderzoeksbevoegdheden jegens burgers, ook indien nog geen sprake was van de verdenking van een strafbaar feit.79 Naar aanleiding van de bevindingen van het rapport van de Parlementaire Enquetecommissie Opsporingsmethoden is er op het ogenblik een wet in voorbereiding die meer duidelijkheid schept over de mogelijkheden tot het gebruik van de strafrechtelijke opsporingsbevoegdheden.80 In het wetsvoorstel worden vooral de mogelijkheden tot het gebruik van opsporingsbevoegdheden in de pro-actieve fase geregeld in geval van zware en/of georganiseerde criminaliteit en worden enkele bijzondere regelingen voor reeds bestaande en nieuwe bijzondere opsporingsbevoegdheden (telefoontap, vertrouwelijke communicatie e.d.) voorgesteld. 78 79 80
HR 14 Oktober 1986 NJ 1988, 511 (Schaduwarrest); HR 19 december 1995, NJ 1996, 249 (Inkijkoperatie). Zie de jurisprudentie genoemd in de vorige noot. Wetsvoorstel tot wijziging van het Wetboek van Strafrecht in verband met de regeling van enige bijzondere bevoegdheden tot opsporing en wijziging van enige andere bepalingen (bijzondere opsporingsbevoegdheden), Kamerstukken II 1996/97, 25 403, nr. 3.
43
Passieve gegevensverstrekking
Voor bedrijven zijn deze nieuwste ontwikkelingen op strafvorderlijk terrein voor wat de passieve gegevensverstrekking betreft niet direct van belang. In het kader van de uitoefening van de strafrechtelijke opsporingsbevoegdheden die aanleiding kunnen geven tot passieve gegevensverstrekking zal er in zijn algemeenheid wel een redelijk vermoeden van een strafbaar feit moeten bestaan. In het strafvorderlijke systeem zijn dan twee soorten gegevensverstrekking te onderscheiden, te weten die gegevens die in het kader van een financieel opsporingsonderzoek kunnen worden gevorderd (art. 126 WvSv), en die gegevens die buiten het kader van een financieel vooronderzoek in beslag kunnen worden genomen. In het kader van niet-financieel opsporingsonderzoek maakt art. 94 WvSv het mogelijk dat bevoegde opsporingsambtenaren alle voorwerpen die kunnen dienen om de waarheid aan de dag te leggen of om wederrechtelijk genoten voordeel aan te kunnen tonen, kunnen confisceren. Onder het begrip Voorwerp' vallen alle denkbare gegevensdragers. Opsporingsambtenaren kunnen de voor beslag vatbare voorwerpen via de inzet van verschillende opsporingsmethoden ontdekken (huiszoeking, schouw, onderzoek naar telecommunicatie, onderzoek van gegevens in geautomatiseerde werken, e.d.81). In wezen kent een strafrechtelijk financieel onderzoek op het terrein van de passieve gegevensverstrekkingen dezelfde mogelijkheden als een regulier strafvorderlijk onderzoek, zij het dat het onderzoek naar het strafbare feit steeds is gericht op de bepaling van wederrechtelijk genoten voordeel met het oog op de ontneming daarvan.82 Dit betekent dat daarop ook de opsporingsmethoden zijn afgestemd.83 Kenmerkend voor de strafrechtelijke passieve gegevensverstrekkingen is dat de meeste bevoegdheden tot passieve gegevensverstrekking het karakter van dwangmiddel hebben. Geheimhouding De bevoegdheden die aanleiding vormen tot passieve gegevensverstrekking in het kader van strafrechtelijk opsporingsonderzoek zijn vaak erg ingrijpend. Er gelden weinig beperkingen voor de inhoud van de gegevens die in het kader van een strafrechtelijk vooronderzoek kunnen worden gevorderd.84 Er gelden daarom strikte geheimhoudingsplichten voor 81 82 83 84
Zie de art. 125 tot en met 125n WvSv. Zie art. 126 WvSv. Zie de art. 126 tot en met 126f WvSv. Art. 113 WvSv vormt hier een van de weinige uitzonderingen. Het artikel bepaalt dat in het opsporingsonderzoek in het kader van een huiszoeking geen brieven of andere geschritten mögen worden ingezien die niet het voorwerp van het strafbare feit uitmaken of tot het begaan daarvan hebben gediend. 44
Vertrouwelijk gegeven
iedereen die uit hoofde van zijn ambt kennis heeft van gegevens uit strafvorderlijk opsporingsonderzoek.85 Gegevens die niet (worden) gebruikt, worden vernietigd (art. 125n WvSv). Een discussie die tijdens het onderzoek van de Parlementaire Enquetecommissie Opsporingsmethoden ontstond, was of de gegevens die waren verkregen uit strafrechtelijk vooronderzoek en gegevens over de vervolging wel voldoende werden beveiligd door politie en openbaar ministerie. De diefstal van belangrijke gegevens bij een officier van justitie thuis deed hierover vragen rijzen. Strafrechtelijk onderzoek is ingrijpend en kan voor bedrijven zelfs zo ingrijpend zijn dat door het onderzoek zelf neveneffecten op kunnen treden die kwalijker zijn dat het strafvorderlijke onderzoek waarbij gegevens worden gevorderd zelf. De stigmatiserende werking van strafvorderlijk onderzoek betekent dat bedrijven veelal gebaat zullen zijn bij het beperkte opsporingsbegrip dat op dit ogenblik wordt gehanteerd. De afgelopen jaren is er een belangrijke technologische ontwikkeling gaande die het mogelijk maakt om gegevens via codering en versleuteling ontoegankelijk te maken voor derden. Uit het oogpunt van de belangen in het kader van het opsporingsonderzoek zijn dergelijke versleutelingstechnieken soms problematisch. Het opsporingsbelang vergt namelijk soms dat er proportionele inbreuken gemaakt moeten kunnen worden op de geheimhouding van bedrijfsgegevens door bedrijven. De strafvorderlijke niogelijkheden om in het kader van het opsporingsonderzoek bevelen te geven die inzage in de inhoud van de gegevens in een geautomatiseerd systeem mogelijk moeten maken, zijn daarvoor meestal niet toereikend.86 Gerelateerd aan de toegang tot en het verkeer op de elektronische snelweg is de regering op dit terrein onder meer van plan om niet langer totale anonimiteit op de elektronische snelweg toe te staan.87 Dezelfde technologische ontwikkelingen maken op onderdelen ook ruiniere mogelijkheden tot het uitvoeren van opsporingsonderzoek noodzakelijk. Om digitaal rechercheren, zoals dat in de nota 'Wetgeving voor de elektronische snelweg' heet, eenvoudiger te maken, komt de regering binnenkort met een voorstel voor de Wet Computercriminaliteit Π88 waarin onder andere regels zijn opgenomen over het vastleggen, 85 86 87 88
Hiertoe dient ook de algemene geheimhoudingspllcht van art. 272 WvSr en het verbod op het sehenden van bedrijfsgeheimen art. 273 WvSr. Zie o.a. art. 125i e.v. WvSv. Zie de nota 'Wetgeving voor de elektronische snelweg', Kamerstukken II 1997/98, 25 880, nrs. 1-2, p. 160 e.v. Deze wet is als voorontwerp sinds 15 januari 1998 in de consultatie gegaan. Het voorontwerp is verkrijgbaar via de website van het Ministerie van Justitie: < http://www.minjust.nl/c_actual/persber/pb230.htm >.
45
Passieve gegevensverstrekking
ontoegankelijk maken en vernietigen van bepaalde computergegevens ten behoeve van de strafvordering, de verplichting tot medewerking aan het ontsleutelen van geencrypteerde telecommunicatie, het onderzoek van email ten behoeve van de opsporing en het opsporingsonderzoek op openbare computernetwerken zoals Internet.89 Voor bedrijven betekent dit dat in het kader van toekomstig strafvorderlijk opsporings- en vervolgingsonderzoek meer verplichtingen tot actieve medewerking aan de passieve gegevensverstrekking zullen ontstaan. Tot nu toe is het zo dat de medewerking aan het strafrechtelijk vooronderzoek voor bedrijven - die zelf het subject van het onderzoek vormen - veelal slechts inhoudt dat men zieh dient te onthouden van obstructie.
3.3
Passieve gegevensverstrekking op basis van fiscaalrechtelijke bevoegdheden
In paragraaf 2.2 behandelden we een aantal fiscaalrechtelijke verplichtingen tot actieve gegevensverstrekking en de problemen en knelpunten die met die actieve gegevensverstrekking verbunden zijn. Het fiscale recht kent echter ook een aanzienlijk aantal gehoudenheden tot passieve gegevensverstrekking, dat meestal dient ter ondersteuning van het fiscaalrechtelijke opsporingsonderzoek. De gehoudenheid tot passieve gegevensverstrekking in het fiscale recht strekt er in de meeste gevallen toe dat de belastingplichtige enerzijds zijn administratie op een voor de fiscus toegankelijke wijze op orde houdt en anderzijds dat de belastingplichtige fiscaal opsporingsonderzoek duldt en daar waar nodig er actief aan meewerkt. Gegevensverstrekking Op grond van art. 52 Algemene wet inzake rijksbelasting (Awr) zijn bedrijven administratieplichtig, dat wil zeggen dat op hen de verplichting rust om van hun vermogenstoestand en alles wat de nering van een bedrijf, zelfstandig beroep of werkzaamheid betreft zodanig in boeken, bescheiden en andere gegevensdragers te bewaren dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting van belang zijnde gegevens hieruit blijken. Deze algemene verplichting brengt een zodanig ruime gehoudenheid tot quasi-passieve gegevensverstrekking mee, dat daardoor de bevoegdheden van het fiscale toezicht en de fiscale opsporing sterk worden gekleurd. Ook de opsporings- en toezichtsbevoegdheden zijn 89
Zie de nota 'Wetgeving voor de elektronische snelweg', a.w, 1998, p. 80. 46
Vertrouwelijk gegeven
in het kader van de belastingheffing zeer ruini geformuleerd. De basis van deze bevoegdheden wordt gevornid door art. 47 Awr, dat bepaalt dat iedereen is gehouden om desgevraagd aan de inspecteur der Rijksbelastingen de gegevens en inlichtingen te verstrekken die in het kader van de belastingheffing van belang zijn. Daarnaast houdt het artikel ook een verplichting in om desgevraagd de boeken, bescheiden en gegevensdragers of de inhoud daarvan waarvan de raadpleging van belang kan zijn voor de vaststelling van feiten die van invloed kunnen zijn op de belastingheffing aan de inspecteur ter beschikking te stellen. De Awr kent in feite een dubbel toezichts- en handhavingsregime. De opsporing van fiscale delicten kan geschieden door de onder het WvSv bevoegde opsporingsambtenaren (art. 141 WvSv), maar daarnaast ook door de ambtenaren van de rijksbelastingdienst (art. 80 Awr). Dit betekent dat bij het rechercheren van fiscale delicten de algemeen bevoegde opsporingsambtenaren op grond van het WvSv de algemene strafvorderlijke opsporingsbevoegdheden ten dienste staan. Veelal zullen hierbij de opsporingsbevoegdheden voor het financiele strafrechtelijke vooronderzoek gebruikt moeten worden (art. 126 WvSv). De Awr kent ook een eigen afzonderlijk opsporingsregime dat onder andere de bevoegdheid tot inbeslagname (art. 81 Awr) en de bevoegdheid tot fiscale bezoeking van lokaliteiten (art. 83 Awr) kent. Voor de inzet van deze opsporingsbevoegdheden is het, in tegenstelling tot de situatie bij het reguliere strafrechtelijke vooronderzoek, niet noodzakelijk dat een redelijk vermoeden bestaat van een strafbaar feit. De Awr kent daarnaast ook een eigen geheimhoudingsplicht ten aanzien van fiscale gegevens die niet alleen rust op belastingambtenaren, maar op een ieder die betrokken is bij de uitvoering van de belastingwet. Kenmerkend voor het fiscaalrechtelijke systeem van passieve verstrekkingen zijn de vele medewerkingsverplichtingen die op de personen naar wie een onderzoek wordt ingesteld rüsten. AI is het bevoegdhedenarsenaal van de fiscus om de voor belastingheffing benodigde gegevens te kunnen krijgen zeer ruim en ingrijpend, deze passieve gegevensverstrekking is relatief onbetwist in die zin dat lijkt te worden aanvaard dat ze noodzakelijkerwijs onderdeel uitmaakt van een stelsel voor effectieve en efficiente belastingheffing. De inspanningen die het kabinet zieh in de periode 1994-1998 heeft getroost om de administratieve lasten ten gevolge van belastingheffing voor bedrijven te verlichten, hebben zieh niet zozeer gericht op de lasten met
47
Passieve gegevensverstrekking
betrekking tot de passieve gegevensverstrekkingen maar met name op het vereenvoudigen van de aangifte en van de afdracht van loonbelasting.90 Geheimhouding De belastingdienst dient vertrouwelijk om te gaan met de eenmaal ontvangen bedrijfsgegevens, onafhankelijk van de vraag of die nu ingevolge een wettelijke verplichting tot actieve gegevensverstrekking, dan wel ingevolge een gehoudenheid tot passieve gegevensverstrekking bij de belastingdienst zijn binnengekomen. Om die vertrouwelijke omgang met en geheimhouding van sommige bedrijfsgegevens te garanderen, bestaan er verschalende geheimhoudingsverplichtingen voor al diegenen die in het kader van fiscaalrechtelijke opsporing op de hoogte raken van die gegevens. De voornaamste geheimhoudingsverplichting is opgenomen in art. 67 Awr. Voor een verder inzicht in en een behandeling van de fiscaalrechtelijke geheimhoudingsverplichtingen verwijzen we naar paragraaf 2.2 waar die verplichtingen reeds in het verband van de fiscaalrechtelijke actieve gegevensverstrekkingen werden behandeld. Tevens werd daar de vraag behandeld tot welke knelpunten die geheimhoudingsbepalingen ten aanzien van fiscaalrechtelijke gegevensverstrekking kunnen leiden. In paragraaf 4.2, zal nader in detail ingegaan worden op de betekenis van wettelijke geheimhoudingsverplichtingen.
3.4
Passieve gegevensverstrekkingen in het kader van financieeleconomische controle
Naast de mogelijke fiscaalrechtelijke controle in het kader van fiscaalrechtelijke opsporing en handhaving zijn er nog vele andere nietfiscale vormen van financieel-economische controle in wettelijke regelingen die tot passieve gegevensverstrekking aanleiding kunnen geven. Te denken valt aan wettelijke regelingen die mogelijkheden of verplichtingen bevatten tot een accountantscontrole of een zogeheten audit.91 Controle in het kader van (niet-fiscaal) financieel-economische controle zal veelal de boekhouding van een bedrijf of organisatie tot object hebben, maar noodzakelijk is dat niet. Financieel-economische controle strekt ertoe de getrouwheid van bepaalde financiele of boekhoudkundige gegevens te controleren. In die zin 90
91
Hieraan is gewerkt door de commissie Van Lunteren, zie bericht 12 Oktober 1995, Financien, nr. 95/165 en het voortgangsverslag vermindering administratieve lasten d.d. 1 4 juni 1 997, Kamerstukken 11 1 996/97, 24 036, nr. 62. Zie bijvoorbeeld art. 393 boek 2 BW, maar ook bijvoorbeeld art. 29 e.v. Wet toezicht effectenverkeer 1995.
48
Vertrouwelijk gegeven
zijn de bevoegdheden tot passieve gegevensverstrekking in het kader van financieel-economisch toezicht vaak accessoir aan actieve verplichtingen tot gegevensverstrekking.92 Een bijzondere vorm van financieel economische controle betreft de controle op het gebruik van subsidies, in het kader van de vaststelling van subsidies. Deze mogelijkheden tot controles waren tot voor kort of in bijzondere wetten of in het geheel niet geregeld. Inmiddels bevat de Algemene wet bestuursrecht een algemeen regime voor financieeleconomische controle bij subsidievaststelling (art. 4:73 Awb e.V.). Hiermee is gedeeltelijk een einde gekomen aan de versnippering van controlebevoegdheden. De Awb-bevoegdheden tot passieve gegevensverstrekking körnen er in hoofdlijnen op neer dat een subsidieontvanger zes maanden na ommekomst van het boekjaar een aanvraag tot vaststelling van subsidie indient, vergezeld van een financieel verslag (of jaarrekening93) en een activiteitenverslag (art. 4:74-4:75 Awb). Art. 4:78 verlangt vervolgens dat de subsidieontvanger een registeraccountant of een accountant-administratieconsulent (ex art. 393 boek 2 BW) het financiele verslag laat onderzoeken. Die accountant dient vervolgens een verklaring over de getrouwheid van het financiele verslag af te geven. Toezicht via accountantscontrole is in het economisch publiekrecht een veelgebruikte manier om actieve vormen van niet-fiscale, financiele gegevensverstrekkingen te controleren. Als vorm van passieve gegevensverstrekking is financieel-economische audit en/of accountantscontrole voor bedrijven kostbaar, ook al is ze niet erg arbeidsintensief. In het kader van het meergenoemde project 'Naar minder administratieve lasten' dat onder auspicien van de staatssecretaris van Economische Zaken onder het kabinet Kok-1 werd uitgevoerd, zijn ook deze vormen van passieve gegevensverstrekking aan de orde geweest, maar dan vooral in relatie tot de (financiele) verantwoording die overheden onderling in het kader van specifieke uitkeringen moeten afleggen. Op dit terrein worden door de regering initiatieven ondernomen om de verantwoordingsinformatie zo te stroomlijnen dat van eenmaal gegeven (financiele) verantwoordingsinformatie meerdere malen gebruik gemaakt kan worden (het zogeheten single-audit beleid).94 Ook voor bedrijven biedt deze vorm van vereenvoudiging en verlichting van passieve gegevensverstrekking wellicht op termijn soelaas.
92 93 94
Zie bijvoorbeeld art. 25 Wet op het consumentenkrediet. Zie art. 4:75, tweede lid, Awb. Zie Kamerstukken II 1996/97, 24 036, nr. 35.
49
Passieve gegevensverstrekking
Geheimhouding Tot voor kort bestond er een wirwar aan specifieke normen op het terrein van de geheimhoudingsverplichtingen voor gegevens die de overheid in het kader van financieel-economische controle in haar bezit kreeg. In enkele afzonderlijke wetten waren specifieke wettelijke normen geformuleerd die een ieder die bij de betreffende specifieke vorm van financieel-economische controle betrokken was in meer of mindere mate tot geheimhouding verplichtte.95 Ontbrak een dergelijke geheimhoudingsverplichting dan vergde het zorgvuldigheidsbeginsel in een aantal gevallen dat niet lichtvaardig met eenmaal verkregen bedrijfsgegevens werd omgesprongen.96 Sinds de inwerkingtreding van de Algemene wet bestuursrecht per l januari 1994 is er door de werking van art. 2:5 Awb een einde gemaakt aan dit versnipperde geheimhoudingsstelsel. Art. 2:5 verplicht een ieder die is betrokken bij de uitvoering van de taak van een bestuursorgaan en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden tot geheimhouding van die gegevens. De bepaling van art. 2:5 Awb heeft echter wel het karakter van een 'restbepaling': de verplichting geldt niet voor diegenen voor wie reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van gegevens een geheimhoudingsplicht geldt.97 Verder exonereert de geheimhoudingsplicht van 2:5 Awb ook niet van wettelijke verplichtingen tot openbaarmaking, zoals die van de Wob, of van verplichtingen om binnen bestuursrechtelijke procedures via passieve gegevensverstrekking verkregen gegevens te produceren, bijvoorbeeld op basis van art. 8:28 Awb. In paragraaf 2.5 bespraken we reeds de vraag welke verhouding er bestaat tussen geheimhoudingsverplichtingen die bestuursorganen hebben ten aanzien van verkregen gegevens en de eisen die in dat verband worden gesteld. In hoofdstuk 4 (o.a. paragraaf 4.2) zullen we nog in detail ingaan op de vraag hoe in algemene zin geheimhoudingsverplichtingen zieh verhouden tot verplichtingen tot openbaarmaking van gegevens op grond van de Wob.
95 96 97
Zie voor een voorbeeld art. 31 Wet toezicht effectenverkeer 1995. Zie bijvoorbeeld VzARRS 19 augustus 1993, AB 1993, 584. Denk bijvoorbeeld ook aan het in het vorige hoofdstuk genoemde art. 90 Mededingingswet, dat als een bijzondere wettelijke geheimhoudingsverplichting kan gelden.
50
Vertrouwelijk gegeven
3.5
Passieve gegevensverstrekking in het kader van economischstrafrechtelijke controle
Veel wettelijke regelingen op het terrein van het economisch-publiekrecht kennen een bijzonder handhavingsregime dat grotendeels losstaat van het strafrechtelijke handhavingsregime uit het WvSv. Dergelijke wettelijke regelingen kennen de bepaling dat overtreding van de voorschriften uit die wet tot economisch delict worden verklaard. Een en ander brengt mee dat dan het stelsel van economisch strafrechtelijke handhaving en rechtsbescherming van toepassing wordt.98 Art. l en art. la van de Wet op de economische delicten (Wed) geven aan ten opzichte van welke andere wetten deze wet het algemene economische strafrechtelijke handhavingsregime bevat. Enkele belangrijke, van de vele in die artikelen opgenomen, wetten zijn de Wet Tarieven Gezondheidszorg, de Mijnwet en de Meststoffenwet." Op het terrein van de passieve gegevensverstrekkingen verklaart art. 17 Wed naast de reguliere strafrechtelijke opsporingsambtenaren van art. 141 WvSv ook bijzondere opsporingsambtenaren tot het uitoefenen van de Wed-opsporingsinstrumenten bevoegd. Die opsporingsambtenaren worden veelal speciaal door de Minister van Justitie in overleg met de andere ministers of de regering daartoe benoemd (bijvoorbeeld die van de Algemene Inspectiedienst). Ook de douaneambtenaren worden door art. 17 Wed tot economisch publiekrechtelijke recherche bevoegd verklaard. De bevoegdheden die deze speciale ambtenaren tot het bevorderen van passieve gegevensverstrekking hebben, worden in de Wed apart gegeven.100 Het betreft hier enerzijds algemene opsporingsbevoegdheden tot binnentreden, inzage in bescheiden en inbeslagname, zoals we die ook kennen uit het WvSv,101 maar daarnaast ook specifieke bevoegdheden zoals het openen van verpakkingen, het nemen van monsters, het uitvoeren van wegingen, controle op vervoermiddelen.102 De opsporingsbevoegdheden van de Wed zijn aanvullend ten opzichte van de opsporingsbevoegdheden uit het WvSv.103 Zo kunnen de opsporingsbevoegdheden uit de Wed al worden uitgeoefend op het moment dat er nog geen sprake is van een concreet vermoeden van een strafbaar feit.104 De Hoge Raad kwam in 1993 tot dit oordeel met een 98 99 100 101 102 103 104
Zie de art. 46-48 Wed en de art. 51-55 Wed. Het gaat hier om ca. 300 wetten. Zie met name de art. 18 tot en met 27 Wed. Art. 18 tot en met 20 Wed. Art. 21 tot en met 24 Wed. Art. 25 Wed. Zie HR 9 maart 1993, M/ 1993, 633.
51
Passieve gegevensverstrekking
beroep op de wetsgeschiedenis van de Wed. Daarin is uiteengezet dat de opsporing in het kader van de Wed zieh niet alleen kan richten op gevallen waarin sprake is van een concrete verdenking van een door een bepaalde persoon gepleegd delict.105 De mogelijkheid van uitoefening van opsporingsbevoegdheid zonder een redelijk vermoeden van een gepleegd delict plaatst het handhavingsstelsel van de Wed tussen het administratieve toezicht en de strafrechtelijke opsporing in. Kenmerkend voor de passieve gegevensverstrekkingen die onder het Wedhandhavingsregime voorkomen zijn de medewerkingsverplichtingen (het voldoen aan vorderingen) die de gerechercheerde bij de opsporing heeft. Het niet voldoen aan een van die medewerkingsplichten vormt zelf weer een economisch delict.106 Het opsporingsarsenaal van de Wed is uitgebreid en maakt velerlei passieve gegevensverstrekkingen mogelijk. Gegevensverstrekking in het kader van het toezichtsregime Algemene wet bestuursrecht Sinds l januari 1998 is er door hoofdstuk 5 van de Awb een algemeen en uniform regime van toezicht en toezichtsbevoegdheden in het bestuursrecht van kracht. Dat regime heeft ook betekenis voor de opsporing en handhaving op economisch publiekrechtelijk terrein. In het algemeen wordt wel aangenomen dat er een verschil bestaat tussen toezicht en opsporing. Bij toezicht kan worden opgetreden voordat er sprake is van een concrete verdenking van enig strafbaar feit.107 Het uitoefenen van opsporingsbevoegdheden is daarentegen gekoppeld aan een redelijk vermoeden van een strafbaar feit. In paragraaf 3.2 zagen we al dat dat onderscheid in het kader van de strafrechtelijke opsporing niet altijd haarscherp is te maken, omdat er in het strafrecht ook enkele mogelijkheden bestaan tot het uitoefenen van opsporingsbevoegdheden voordat er sprake is van een redelijk vermoeden van schuld aan het plegen van een delict in de zin van art. 27 WvSv. Het uitoefenen van opsporingsbevoegdheden in het kader van de Wed kan zelfs als regel zonder dat er sprake is van een redelijk vermoeden van een gepleegd delict. Grensvervagend werkt bovendien de omstandigheid dat in oudere wetgeving het onderscheid tussen toezicht en opsporing niet of nauwelijks wordt aangelegd. Niettegenstaande het feit dat het onderscheid soms moeilijk is te maken, heeft de regering er tijdens de parlementaire behandeling van de 105 Zie ook E.J. Daalder e.a., PGAwb III, p. 308. 106 Art. 26 Wed. 107 Overigens kan het toezicht ook de naleving van niet strafrechtelijk gesanctioneerde nomen betreffen.
52
Vertrouwelijk gegeven
derde tranche Awb, waarin het bestuursrechtelijke toezicht aan de orde was, toch aan gehecht het onderscheid tussen toezicht en opsporing te handhaven en door te zetten. In tegenstelling tot strafrechtelijke of Wedopsporing is toezicht volgens de regering primair een administratieve activiteit die vaak ook door bestuursorganen wordt uitgeoefend. Toezicht speelt zieh daarmee in het verlengde van bestuursrechtelijk optreden af. Daarmee zijn ook de gevolgen voor bestuurden anders. Toezichtsbevoegdheden worden bijvoorbeeld anders dan opsporingsbevoegdheden niet zozeer als dwangmiddel jegens de bestuurde maar vaak in het kader van de preventieve handhaving ingezet. Zo zal het uitoefenen van bestuursdwang veelal worden voorafgegaan door een waarschuwing. Het door de Awb geüniformeerde toezicht werkt dus in aanvulling op de andere handhavingmiddelen in het kader van de strafrechtelijke en economische opsporingsbevoegdheden. Hiervan getuigt ook art. 1:6 Awb dat bepaalt dat de Awb en dus ook de toezichts- en handhavingsbevoegdheden niet van toepassing is op de opsporing en vervolging van strafbare feiten. De Awb geeft toezichthouders een standaardpakket toezichtsbevoegdheden. Art. 5:11 Awb bepaalt dat onder toezichthouder een persoon wordt verstaan die bij of krachtens wettelijk voorschrift is belast met het toezicht op de naleving van het bepaalde bij of krachtens enig wettelijk voor schrift.108 De bevoegdheden die een toezichthouder onder de Awb toekomen, zijn onder meer het betreden van plaatsen, het vorderen van inlichtingen, het inzage nemen in bescheiden en het maken van kopieen, het onderzoeken vari zaken en het monsters nemen en het onderzoeken van vervoermiddelen. In verband met de passieve gegevensverstrekking zijn met name de mogelijkheid tot het vorderen van inlichtingen (art. 5:16 Awb) en tot het vorderen van inzage in zakelijke gegevens en bescheiden en van het maken van kopieen (art. 5:17 Awb) het belangrijkst. Art. 5:20 Awb legt aan een ieder van wie inlichtingen worden gevorderd of van wie inzage in gegevens of zakelijke bescheiden worden gevorderd een verplichting tot medewerking op. Er geldt echter wel een pardon voor diegenen die uit hoofde van hun ambt, beroep of wettelijk voorschrift verplicht zijn tot 108 Bij wettelijk voorschrift zijn bijvoorbeeld aangewezen de inspecteur-generaal en de inspecteurs van de volkshuisvesting en de aan hen toegewezen ambtenaren o.g.v. art. 93 e.v. van de Woningwet. Meestal vindt de aanwijzing van toezichthouders echter plaats krachtens de wet, zoals in het geval van art. 100 van de Woningwet (gemeentelijk bouw- en woningtoezicht). Soms komt het ook voor dat nietambtenaren, private personen dus, tot toezichthouder worden aangewezen. Een voorbeeld van deze categorie vormen de medewerkers van het (geprivatiseerde) Ukwezen.
53
Passieve gegevensverstrekking
geheimhouding. De bevoegdheden van de Awb vertonen veel overeenkomsten met de opsporingsbevoegdheden van de Wed, zij het dat ze een ander karakter hebben. Ook het strafrechtelijke systeem blijft van belang bij het uitoefenen van toezicht onder de Awb. Veelal zal het (net als in sommige gevallen het economische strafrecht) een reservefunctie vervullen ten opzichte van het bestuursrechtelijke toezicht. Waar delicten worden ontdekt in het kader van het bestuursrechtelijke toezicht kan besloten worden strafrechtelijke recherche in te zetten als 'last ressort'. Ook daar waar bestraffing en leedtoevoeging het doel van het toezicht vormen, kan het gebruik van strafrechtelijke middelen meer geeigend zijn dan de inzet van bestuursrechtelijke middelen. Een doublure met het economisch strafrecht van de Wed zal zieh vrij snel voor kunnen doen tussen het bestuursrechtelijk toezicht en de Wedhandhaving. De keuze zal veelal uitgaan naar het meest gespecialiseerde regime, wat in het geval van wetten die deel uitmaken van het Wed-stelsel meestal tot een keuze voor het Wed-arsenaal aan opsporingsmogelijkheden zal leiden. Gegevensverstrekkingen als uitvloeisel van toezicht en handhaving in bijzondere publiekrechtelijke wetten Naast het algemene stelsel van de Wed en de Algemene wet bestuursrecht valt ook te wijzen op bijzondere wettelijke regelingen die passieve gegevensverstrekking in het kader van het toezicht en de handhaving van een regeling mogelijk maken. Zo bevat onder andere de Prijzenwet een regime waarbij gespecialiseerde opsporingsambtenaren na kunnen gaan of de wet is overtreden. Op basis van art. 5 van de Prijzenwet zijn de speciaal daartoe aangewezen ambtenaren bevoegd om van een ieder die inlichtingen te verlangen die redelijkerwijs voor de vervulling van hun taak nodig zijn. Art. 6 geeft daarenboven nog bijzondere bevoegdheden tot het betreden van plaatsen en woningen en de bevoegdheid tot inzage in en kopieen maken van boeken en geschriften, al dan niet in geautomatiseerde vorm. Art. 6b legt aan een ieder een plicht tot medewerking aan het onderzoek in de ζίη van de wet op. Een zelfde soort bijzonder stelsel van bevoegdheden tot passieve gegevensverstrekking in het kader van het toezicht en de handhaving van een wettelijke regeling kent de Mededingingswet, zij het in een iets andere variant dan de Prijzenwet. Typerend voor de Mededingingswet is dat er enerzijds bovenop het algemene Instrumentarium van de Algemene wet bestuursrecht bijzondere bevoegdheden tot passieve gegevensverstrekking in zijn opgenomen, maar dat hij anderzijds ook beperkingen ten aanzien van het algemene Awb-stelsel kent. Zo kent de Mededingingswet in 54
Vertrouwelijk gegeven
hoofdstuk 6 de toezichtsbevoegdheid toe aan bijzondere toezichthouders en geeft hun, naast de algemene bevoegdheden die de Awb toekent, een bijzondere beperking bij het vorderen van inlichtingen (art. 53) en een bijzondere bevoegdheid tot het verzegelen van voorwerpen binnen bedrijfsruimten. Publiekrechtelijke wetten laten veel variaties van gegevensverstrekkingen in het kader van het toezicht en de daaraan gekoppelde opsporingsbevoegdheden zien. De toezichtsstelsels en opsporingsbevoegdheden in dergelijke bijzondere publiekrechtelijke wetten zijn echter meestal sterk geent op het model van de Wed. Geheimbouding In paragraaf 3.4 werd reeds gewezen op de verschillende soorten geheimhoudingsverplichtingen die het bestuursrecht kent. Naast de algemene verplichting uit art. 2:5 Awb bestaan er verschillende specifieke geheimhoudingsverplichtingen in bijzondere wetten. Deze bijzondere verplichtingen derogeren aan de algemene geheimhoudingsverplichting die art. 2:5 Awb stelt. Zie verder paragraaf 3.4. In paragraaf 4.2 zal overigens nog nader ingegaan worden op de betekenis van wettelijke geheimhoudingsverplichtingen.
3.6
Passieve gegevensverstrekking in het kader van controle op vergunningen (met name milieu, ruimtelijke ordening)
Art. 5:11 Awb bepaalt dat toezichthouders belast zijn met het houden van toezicht op de naleving van "het bepaalde bij of krachtens enig wettelijk voorschrift". Dit houdt - via de clausule 'krachtens' - ook in dat het toezicht in op de naleving van vergunningvoorschriften. Toezicht op vergunningsvoorschriften kan aanleiding geven tot vele verschillende vormen van passieve gegevensverstrekking. In paragraaf 3.4 werd al aangegeven dat in geval van subsidieverlening de Awb een standaardregeling kent voor passieve gegevensverstrekking in het kader van het toezicht en de handhaving. Sommige algemene wetten zoals de Wed en de Wet milieubeheer kennen eigen regimes voor het toezicht op de naleving van vergunningsvoorschriften en de gegevensverstrekkingen waartoe dat aanleiding kan geven. Hoofdstuk 18 en 19 van de Wet milieubeheer geven hiervan een voorbeeld. Essentie van het stelsel is dan veelal dat overtreding van vergunningsvoorschriften wordt behandeld als overtreding van wettelijke voorschriften. Verder zijn de passieve gegevensverstrekkingen waartoe het toezicht en de controle op vergunningsvoorschriften aanleiding kan gegeven erg divers en 55
Passieve gegevensverstrekking
afhankelijk van enerzijds het wettelijke voorschrift waarop de vergunningverlening is gebaseerd en anderzijds de inhoud van de vergunning zelf. Voor het eerste element verwijzen we naar hetgeen hierboven is gezegd over opsporing en toezicht onder wettelijke regelingen en de passieve gegevensverstrekkingen waartoe dat aanleiding kan geven en voor het tweede element naar hoofdstuk 2 waarin de actieve gegevensverstrekkingen in het kader van de vergunningverlening worden behandeld. Geheimhouding In paragraaf 3.4 en 3.5 werd reeds gewezen de verschillende soorten geheimhoudingsverplichtingen die het bestuursrecht kent. Naast de algemene verplichting uit art. 2:5 Awb bestaan er verschillende specifieke geheimhoudingsverplichtingen in bijzondere wetten. Deze bijzondere verplichtingen derogeren aan de algemene geheimhoudingsverplichting die art. 2:5 Awb stelt. Zie verder paragraaf 3.4. In paragraaf 4.2 zal overigens nog nader ingegaan worden op de betekenis van wettelijke geheimhoudingsverplichtingen .
3.7
Uitzonderingen op de plicht tot passieve gegevensverstrekking
Veel, zo niet de meeste wetten die verplichten tot passieve gegevensverstrekking kennen wel een of andere vorm van recht op het achterhouden van gegevens wegens zwaarwichtige belangen. Het achterhouden van gegevens wegens gewichtige belangen kan vooral in de sfeer van het overreiken van bedrijfsgegevens van belang zijn. Artikel 4:3 Awb geeft een algemene regeling voor de terughouding van gegevens bij een aanvrage voor een beschikking. Als redenen voor het achterhouden van gegevens noemt art. 4:3 de eerbiediging van de persoonlijke levenssfeer, medische of psychologische onderzoeksresultaten, of het belang van de bescherming van bedrijfs- of fabricagegegevens. Ook bij gelegenheid van de behandeling van een Awb-bezwaar- of beroepschrift kunnen bestuursorganen en/of belanghebbenden het inzenden, openbaar maken of bekendmaken van gegevens soms achterwege laten vanwege gewichtige redenen, bijvoorbeeld voortvloeiende uit het vertrouwelijke karakter van gegevens.109 De gronden voor het achterhouden van gegevens uit algemene regeling van de Awb worden meestal aangevuld met bijzondere regelingen 109 Zie o.a. art. 7:4 lid 6 Awb en art. 8:29 Awb.
56
Vertrouwelijk gegeven
over achterhouding van gegevens in bijzondere wetten. Als lex specialis ten opzichte van de Awb bepaalt de Awr dat voor belastingplichtigen art. 4:3 Awb in de sfeer van belastingheffing niet van toepassing is. Het belastingrecht kent ten aanzien van de primaire besluitvormingsfase (dat wil zeggen bij het vaststellen van de aanslag door de inspecteur) nauwelijks mogelijkheden tot het achterhouden van gegevens.110 Slechts in het kader van het fiscaalrechtelijke beroep bestaan er voor hen van wie de belastingrechter inlichtingen verlangt enkele mogelijkheden om zieh te verschonen wegens zwaarwegende belangen.111 Ook de Mededingingswet biedt een bijzondere variant op de mogelijkheid tot het achterhouden van gegevens, zij het in het kader van actieve gegevensverstrekking in de vorm van een aanvraag. In art. 42 van deze wet krijgt een onderneming die een vergunning tot het aangaan van een concentratie aanvraagt de bevoegdheid zelf gegevens als vertrouwelijk aan te merken. Hierdoor treedt een stand-stillprocedure van een week in werking voordat deze gegevens door het bestuursorgaan kunnen worden bekendgemaakt, een periode die gelegenheid geeft te beslissen over de gerechtvaardigheid van de achterhouding, Het bestuursorgaan kan verder, ingevolge de Mededingingswet, slechts die gegevens opvragen die voor de beoordeling van een aanvraag om een vergunning redelijkerwijs nodig zijn (art. 43). Ook verschillende andere wetten kennen variaties - zowel in beperkende als uitbreidende zin - op de achterhoudingsmogelijkheden zoals die door de Awb worden genoemd. Een bijzondere vorm van achterhouding betreffen de wettelijke verschoningsverplichtingen die artsen, advocaten, notarissen en anderen kunnen hebben. Op basis van een wettelijke plicht tot geheimhouding zijn een aantal beroepsgroepen ex officio vaak geexcuseerd om gegevens of inlichtingen te verstrekken. Deze verschoningsplichten zijn alleen in zoverre voor bedrijven van belang indien de bedrijfsvoering zelf wordt gevormd door een taak of activiteit waarvoor een wettelijke verschoningsplicht geldt.
3.8
Knelpunten en conclusies
Lasten van passieve gegevensverstrekkingen In de vorige paragrafen stelden we voorbeeldsgewijs verschillende soorten passieve gegevensverstrekking aan de orde. Deze voorbeelden dienden er vooral toe een indruk te geven van de verschillende typen passieve 110 Zie art. 47a tot en met 53 Awr. 111 Zie bijvoorbeeld art. 15 lid 3 Wet administratieve rechtspraak belastingzaken.
57
Passieve gegevensverstrekking
gegevensverstrekkingen die we kennen in Nederlandse wettelijke regelingen. Passieve gegevensverstrekking geeft, vanuit bedrijven gezien, aanleiding tot verschallende soorten van problemen en knelpunten. In ieder geval geven passieve vormen van gegevensverstrekking voor bedrijven meestal minder directe administratieve lasten dan het geval is bij actieve verstrekking. Bedrijven hoeven bij passieve gegevensverstrekkingen immers slechts te dulden dat de overheid gegevens bij hen vergaart. Dat kan naar zijn aard zeer ingrijpend zijn - bijvoorbeeld door stigmatiserende effecten die strafrechtelijk onderzoek kan hebben - maar bedrijven zelf hoeven, buiten enkele medewerkingsverplichtingen, niet direct activiteiten te ontplooien om de gegevens in goede orde bij de overheid te krijgen. Knelpunten die uit de aard van de passieve gegevensverplichting volgen Passieve gegevensverstrekking vergt meestal minder directe inspanningen van een bedrijf bij het voorbereiden van de gegevens voor overheidsgebruik dan actieve gegevensverstrekking dat doet. In het MDW-project 'Naar minder administratieve lasten', waarin tussen 1994 en 1998 werd getracht administratieve lasten onder andere in de vorm van verplichtingen tot gegevenverstrekking voor bedrijven te Verlagen, richtten de pijlen van het kabinet zieh dan ook meer op de verplichtingen tot actieve gegevensverstrekking.m Toch kunnen ook passieve verplichtingen aanzienlijke lasten voor bedrijven met zieh mee brengen. Dat is vooral het geval bij de quasipassieve gegevensverstrekkingen, dat wil zeggen wettelijke verplichtingen die nopen tot het voor handen houden van bepaalde bedrijfsgegevens. Een van de meest bezwarende verplichtingen in dit verband betreft wel de jaarrekeningverplichting die ingevolgde titel 10 boek 2 BW rust op rechtspersonen en banken. Om de administratieve lasten hier te verlichten zijn in het kader van het project 'Naar minder administratieve lasten' de grensbedragen die bepalen of bepaalde onderdelen van de jaarrekening moeten worden opgesteld per l januari 1995 verlaagd. Een niet-financiele variant van quasi-passieve gegevensverstrekking treffen we bij het voorgenomen - verplichte milieuverslag dat bepaalde bedrijven die potentieel een bovengemiddeld gevaar of hinder voor hun omgeving opleveren ingevolge nieuwe bepalingen in de Wet milieubeheer moeten gaan opstellen. Bedrijven moeten zo'n verslag voorhanden hebben om met 112 Zie de eerder aangehaalde startnotitie 'Naar minder administratieve lasten' van de staatssecretaris van Economische Zaken, d.d. 27 Juni 1995, Kamerstukken II 1994/95, 24 036, nr. 5 en laatstelijk de brief van de staatssecretaris van Economische Zaken, d.d. 18 april 1998 met daarin een afrondende blik op de stand van zaken van het project Kamerstukken I11997/98, 19 071, nr. 13.
58
Vertrouwelijk gegeven
name het algemene publiek en de oniwonenden inzage te verschaffen in de milieueffecten van hun productieprocessen, hun gebruik van grondstoffen et cetera. Bedrijven die zo'n milieuverslag moeten opstellen, hebben met aanzienlijke administratieve lasten te rnaken. Daarom is voorlopig afgezien van de verplichting om een milieuverslag over te kunnen leggen. Indirecte lasten ten gevolge van passieve gegevensverstrekking Naast de directe lasten die passieve gegevensverstrekking met zieh meebrengt, zijn er ook indirecte lasten voor bedrijven door de naspeuring door de overheid in het kader van passieve gegevensverstrekking. Een voorbeeld van dergelijke effecten vormt de stigmatisering. Een strafrechtelijk onderzoek naar bedrijfsgegevens kan gevolgen hebben voor de positie en het imago van een bedrijf in de markt. Overigens is stigmatiserende werking van strafrechtelijk of fiscaalrechtelijk onderzoek een zeer algemeen effect dat niet eigen is aan onderzoek dat moet leiden tot actieve gegevensverstrekking. Passieve gegevensverstrekking kan - ook onbedoeld - leiden tot ontregeling van bedrijfsprocessen. Veel wettelijke regelingen kennen bij passief gegevensonderzoek zeer ruim gestelde mogelijkheden tot recherche naar bedrijfsgegevens. Die mogelijkheden strekken zieh veelal uit, ten eerste tot de toegang tot de ruimten waarin de gegevens zieh vermoedelijk bevinden en ten tweede tot het onderzoek aan en in apparatuur, programmatuur, boeken en bescheiden waarin zieh de gegevens bevinden. De mogelijkheden tot recherche zijn veelal zo ruim gesteld om er voor te waken dat nieuwe technische ontwikkelingen op het vlak van opslag, beheer en distributie van gegevens de mogelijkheden tot het achterhalen van die gegevens niet te eenvoudig ondermijnen. De aard en het karakter van de (digitale informatie)Systemen waarin tegenwoordig bedrijfsgegevens worden opgeslagen, hebben verder tot gevolg dat bij fiscaal of strafrechtelijk onderzoek de opsporingsambtenaren zullen trachten in zo kort mogelijk tijdsbestek en zonder vooraankondiging een onderzoek in te stellen. De gegevens zijn immers eenvoudig te wissen. Eigen aan dit type onderzoek is dat ten behoeve van de snelheid van het onderzoek veelal de bedrijfsprocessen zelf gestaakt zullen moeten worden, hetgeen verlies en mogelijk schade voor een bedrijf meebrengt. Zeker in het geval van fiscaalrechtelijk onderzoek is niet voorzien in een mogelijkheid van compensatie van dit soort verliezen door passieve gegevensverstrekking. Nauw hiermee verbunden is het probleem van gegevensproliferatie. De meeste opsporingsambtenaren zijn geen specialisten in de werking van de geavanceerde bedrijfsinformatiesystemen die tegenwoordig worden gebruikt om bedrijfsgegevens te beheren. Verder hebben bedrijfsgegevens 59
Passieve gegevensverstrekking
vaak een zodanig (technisch) karakter dat ze niet zonder meer door leken kunnen worden geinterpreteerd. Dit geeft aanleiding tot het verschijnsel van de gegevensproliferatie, dat wil zeggen de praktijk waarbij veel meer gegevens worden opgevraagd dan strikt voor het doel van de opsporing of naspeuring is vereist. Vooral als dit betekent dat bedrijven door proliferatie gegevens moeten prijsgeven die ze eigenlijk geheim zouden willen houden en ook zouden mögen houden, levert dit grote nadelen voor bedrijven op. In enkele wetten is het probleem van de niet-deskundigheid van opsporingsambtenaren of gegevensrechercheurs in een ander verband op een eigen wijze opgelost. Zo biedt art. 45 lid 3 Wet persoonsregistraties hun opsporingsambtenaren de mogelijkheid om een last op te leggen zieh de werking van te onderzoeken apparatuur en programmatuur te doen tonen. Niet in alle gevallen en alle bereiken van passief gegevensonderzoek is een dergelijke medewerkingsverplichting natuurlijk bruikbaar, maar een mogelijkheid tot het tegengaan van proliferatie biedt het wel. Artikel 4:3 van de Awb biedt verder een mogelijkheid om op grond van het belang van de persoonlijke levenssfeer of op grond van medische, psychologische of bedrijfsbelangen (bescherming van fabricage of bedrijven-gegevens) te weigeren om gegevens en/of bescheiden te verschaffen, indien de bescherming van deze belangen niet opweegt tegen het belang dat de overheid heeft bij het opvragen van deze gegevens. Het belang van deze weigeringsmogelijkheid schuilt natuurlijk hierin dat waar de overheid in weerwil van een weigering van een bedrijf toch bepaalde te beschermen - bedrijfsgegevens onnodig opvraagt, een titel voor schadevergoeding ontstaat. In meer directe zin zullen bestuursorganen zieh goed moeten beraden op de vraag of ze doorzetten indien een bedrijf voor een bepaald soort gegevens medewerking weigert. Probleem van art. 4:3 is echter wel dat de werking ervan in het fiscaalrechtelijke, strafrechtelijke en veel van het economische-publiekrechtelijke opsporingsonderzoek is uitgezonderd.113 Knelpunten bij digitaal rechercheren: het verkrijgen en koppelen van gegevens door Justine In de art. 125i WvSv e.v. is een speciaal strafvorderlijk opsporingsregime opgenomen voor Onderzoek van gegevens in geautomatiseerde werken'. Deze opsporingsbepalingen - een uitvloeisel van de Wet Computercriminaliteit I - voldoen echter op dit ogenblik niet meer in alle opzichten aan de behoefte om ook daadwerkelijk digitaal te kunnen rechercheren. Zo is bijvoorbeeld het vernietigen van gegevens die voorwerp vormen van 113 Zie bijvoorbeeld art. 48 Awr. 60
Vertrouwelijk gegeven
strafrechtelijk onderzoek nog niet strafbaar, bestaan er nog onvoldoende medewerkingsverplichtingen bij de ontsleuteling of het toegankelijk maken van telecommunicatie en gegevens in informatiesystemen en bestaat er behoefte aan een duidelijke regeling voor de strafrechtelijke aansprakelijkheid en de opsporingsmogelijkheden op openbare computernetwerken.114 In het voorstel Computercriminaliteit Π wordt in deze leemten voorzien. Het voorstel geeft opsporingsambtenaren mogelijkheden om digitaal 'under cover' onderzoek te plegen, en (vertrouwelijke) communicatie115 op verschalende manieren na te speuren en te onderzoeken. Verder zullen ook toekomstige gegevens, die bijvoorbeeld via digitaal opererende telecommunicatienetwerken worden verzonden, vatbaar worden voor opsporingsonderzoek en kan ook van derden (zoals internetproviders) worden gevorderd dat zij medewerking verlenen aan het strafrechtelijk onderzoek door de beschikbaarstelling van gegevens.116 Deze nieuwe mogelijkheden tot recherche betekenen dat het strafrechtelijke opsporingsonderzoek - veelal het sluitstuk of vangnet van andere ook hiervoor besproken opsporingstelsels - ten aanzien van elektronische gegevens zeer veel indringender zal worden. In reactie hierop is de regering dan ook voornemens om in een aantal opzichten nieuwe waarborgen in het strafrechtstelsel in te bouwen via een aanpassing van het formele strafrecht. Deze voornemens zijn verwoord in de nota 'Wetgeving voor de elektronische snelweg' die in het voorjaar van 1998 aan de Tweede Kamer werd aangeboden.117 Een van de meest belangrijke conclusies van deze nota die in dit onderzoek van belang is, wordt gevormd door de voornemens om te körnen tot nieuwe grensdefinities voor het toestaan van opslag en gebruik (met name koppeling) van gegevens die uit strafrechtelijk onderzoek, maar ook uit openbare bronnen zijn verkregen. Op het ogenblik bepaalt art. 4 Wet politieregisters dat persoonsgegevens slechts 114 Zo was het tot voor kort onduidelijk of opsporingsambtenaren bij het opsporingsonderzoek ook de bevoegdheid hadden om gegevensonderzoek bij derden i.e. een provider van een openbaar netwerk i.e. XS4ALL - te doen plaatsvinden. Om effectief digitaal te kunnen recherchieren zal het veelal nodig zijn om bij het strafrechtelijke opsporingsonderzoek toegang te krijgen/medewerking te verlangen van de provider van de internetdiensten. In het eerder genoemde wetsvoorstel Computercriminaliteit II worden voor opsporingsambtenaren bevoegdheden opgenomen die ertoe strekken dat zij medewerking kunnen vorderen van internetproviders bij het opsporingsonderzoek. 115 Zoals bijvoorbeeld e-mail. 116 Hetgeen ook kan betekenen dat zij in het kader van die medewerking bepaalde bewerkingen zullen moeten doen plaatsvinden om raadpleging door opsporingsambtenaren mogelijk te maken. 117 Kamerstukken II 1998/99, 25 880, nrs. 1-2, p. 80 e.v.
61
Passieve gegevensverstrekking
mögen worden verzameld en verwerkt voor zover dat noodzakelijk is voor een goede uitvoering van de politietaak. Dit biedt bedrijven die worden geconfronteerd met verplichtingen tot passieve gegevensverstrekking slechts weinig garanties. Slechts indien de bedrijfsgegevens tegelijkertijd persoonsgegevens zijn, is er enig soelaas van deze waarborg te verwachten. Ook de garanties van de Wet persoonsregistraties betreffen alleen de opslag en het gebruik van persoonsgegevens, terwijl het bij bedrijven veelal zal gaan om beschermenswaardige bedrijfsgerelateerde gegevens. Het nieuwe voorstel Computercriminaliteit II brengt hierin in zoverre verbetering dat voor een ruiniere kring van opsporingsgegevens dan alleen de verkregen opsporingsgegevens gebruiksbeperkingen voor justitie worden ingesteld. Slechts indien er sprake is van een redelijk vermoeden van een strafbaar feit mögen gegevens worden verzameld - dat is wat ruinier dan het criterium van verdacht zijn van art. 27 WvSv. Daarnaast kent het voorstel de eis van de compartimentering. Dit houdt in dat bij de opsporing en het opstellen van de wettelijke mogelijkheden daartoe een strikt onderscheid zal worden aangebracht tussen gegevens die in het kader van de gerichte recherche van strafbare feiten wordt verzameld en de meer algeniene informatievergaring, bijvoorbeeld van gegevens uit openbare bronnen of van gegevens die binnenkomen via het meldpunt ongebruikelijke transacties. Aan de rechter-commissaris worden bevoegdheden toegekend om te bezien in hoeverre koppeling van deze gegevens is toegestaan. Hiermee verändert er weliswaar iets op het terrein van de mogelijkheden tot koppeling van gegevens, maar voor bedrijven heeft dit in zoverre niet veel betekenis omdat het veelal gaat om persoonsgerelateerde gegevens die een 'verdachte' tot object hebben. Voor bedrijfsgegevens heeft de compartimentering slechts indirect gevolgen. Gegevensverstrekking en informatierisico's In de afgelopen periode hebben enkele geruchtmakende incidenten rondom opsporingsgegevens die in verkeerde handen terecht kwamen de discussie over de beveiliging van gegevens die de overheid vergaart in het kader van de opsporing en het toezicht op scherp gezet. De meeste wettelijke regelingen die opsporings- of toezichtsbevoegdheden geven, kennen geheimhoudingsverplichtingen voor ambtenaren of anderen die uit hoofde van hun functie kennis hebben van bepaalde gegevens die zijn verkregen op grond van passieve (of actieve) gegevensverstrekking.118 De Wet politieregisters, de Wet persoonsregistraties en de Archiefwet kennen verder regimes die ertoe strekken eenmaal door de overheid verkregen 118 Zie bijvoorbeeld art. 272 WvSr, art. 2:5 Awb, etc.
62
Vertrouwelijk gegeven
gegevens tegen inzage door onbevoegden te beschermen. In het fiscale recht geldt zelfs een vernietigingsplicht voor eenmaal gebruikte gegevens. Vraag is echter of de geheimhoudingsplichten alleen een voldoende waarborg zijn dat van bedrijven verkregen gegevens niet aan onbevoegden bekend worden. Door de Algemene Rekenkamer werd in 1995 de beheersing van de informatiebeveiliging bij alle ministeries onderzocht.119 Bij veel departementen bleken nog ernstige mankementen in de informatiebeveiliging te bestaan. Het onderzoek laat zien dat de informatiebeveiliging nog lang niet overal op orde is. De door het Besluit voorschrift informatiebeveiliging 1994 gevergde algemene departementale richtlijnen voor beveiligingsmaatregelen op het gebied van systeemontwikkeling, systeemonderhoud, toegang tot en gebruik van gegevens, personele maatregelen en privacyreglementen (neer te leggen in zogenaamde Informatiebeveiligingshandboeken) voldeden volgens de Rekenkamer bij een aantal departementen niet. Vooral het toezicht op de informatiebeveiliging was bij verschillende ministeries onder de maat en ook aan de coördinatie van het beleid (opgedragen aan de Minister van Binnenlandse Zaken) schortte nog het een en ander. Door de geconstateerde tekortkomingen loopt de rijksoverheid, volgens de Rekenkamer, nog steeds risico's ten aanzien van het verlies, het onbedoeld bekend worden van gegevens en de ongeautoriseerde toevoeging of wijziging van gegevens. Dat vormt vanzelfsprekend ook een substantiele risicobron voor bedrijven die soms hoogst gevoelige bedrijfsinformatie moeten afstaan. Mede onder invloed van het onderzoek van de Rekenkamer heeft het kabinet besloten tot intensivering van het informatiebeveiligingsbeleid. Dat beleid kent verschillende aspecten. Zo is er het Besluit voorschrift informatiebeveiliging dat per l januari 1995 in werking is getreden en waarin (aanvullende) eisen aan de informatiebeveiliging worden gesteld. Het besluit draagt niet name ambtelijke departementshoofden op een informatiebeveiligingsbeleid te voeren dat aan bepaalde eisen voldoet. Verder zijn er verschillende institutionele voorzieningen getroffen die het toezicht op en de handhaving en de coördinatie van het informatiebeveiligingsbeleid moeten waarborgen.120 Ook wordt er intensiever aandacht besteed aan het beläng van de informatiebeveiliging bij het beheer en de archivering van gegevens door de overheid. In het inmiddels beeindigde project Digitale Duurzaamheid 119 Zie het rapport van de Algemene Rekenkamer 'Beheersing informatiebeveiliging', Kamerstukken II 1994/95, 24 175, nrs. 1-2. 120 O.a. door de instelling van de Interdepartementale coördinatiecommissie Bijzondere Informatie en het daaronder ressorterende Advies- en Coördinatiepunt Informatiebeveiliging. Zie Instellingsregeling BIB-Beraad, Scrt. 1998, nr. 110.
63
Passieve gegevensverstrekking
wordt via een gedifferentieerd stelsel van - digitale - archivering121 getracht de informatiebeveiliging te beheersen.122 Het algemene informatiebeveiligingsbeleid van de rijksoverheid regardeert natuurlijk niet vanzelfsprekend de bestuursorganen buiten de rijksoverheid. Voor andere overheden gelden andere eisen voor de informatiebeveiliging. Zo kent de politie een aparte regeling voor de informatiebeveiliging: de Regeling informatiebeveiliging politie.123 Deze regeling draagt in essentie de korpsbeheerder op een informatiebeveiligingsbeleid te voeren dat moet voldoen aan bepaalde minimumeisen waarvan een aantal systeembetrouwbaarheidseisen en normklassen in de bijlage bij de regeling zijn opgenomen. Voor andere overheden dan politie en rijksoverheid gelden algemenere regelingen. Bekende regelingen zijn de geheimhoudingsbepalingen in algemene wetten zoals de Awb of de Awr. Deze vertrouwelijkheidsbepalingen, zoals art. 67 Awr of art. 2:5 Awb, verplichten een ieder die in het kader van zijn wettelijke taakuitoefening de beschikking krijgt over gegevens waarvan hij weet of redelijkerwijze kan vermoeden dat ze een vertrouwelijk karakter hebben de vertrouwelijkheid daarvan te waarborgen. Deze plicht beperkt zieh natuurlijk niet alleen tot het zieh onthouden van mededelingen over dergelijke vertrouwelijke gegevens, maar houdt, in samenhang met het zorgvuldigheidsbeginsel, ook in dat bestuursorganen moeten voorkomen dat vertrouwelijke gegevens die onder hen ressorteren verkeerd worden gebruikt. Daarnaast houdt de verplichting tot het zorgvuldig en evenredig afwegen van belangen (art. 3:4 Awb) in dat gevoelige of vertrouwelijke bedrijfsgegevens niet lichtvaardig worden beheerd of gebruikt, bijvoorbeeld door ze onnodig te betrekken in de motivering van een besluit. Het algemene regime van de Awb en de Awr biedt vanzelfsprekend slechts vrij basale garanties voor een effectief informatiebeveiligingsbeleid. Nadeel van deze algemene normen is bovendien dat een gebrek in de gehoudenheid tot informatiebeveiliging slechts ziet op gegevens waarvan de vertrouwelijkheid redelijkerwijs is vast te stellen of valt aan te nemen. We stelden in hoofdstuk l reeds dat veel van de specifieke context zal afhangen. Bovendien, indien de gegevens inmiddels in verkeerde handen zijn gevallen, is het kwaad al vaak geschied. Tot het treffen van structurele voorzieningen voor informatiebeveiliging ter zake van bedrijfsgegevens
121 Waarvoor reeds de basis is gelegd in de Archiefwet en het Archiefbesluit van 1995. 122 Zie de nota 'Beheer en archivering van digitale bestanden', Kamerstukken II 1997/98, 25 970, nrs. 1-2. 123 Regeling informatiebeveiliging politie d.d. 17 maart 1997, Stert. 1997, 60. 64
Vertrouwelijk gegeven
noodzaken deze algemene regels vooralsnog niet. Ook de in het volgende hoofdstuk te bespreken Wet openbaarheid van bestuur noopt hier niet toe. Slechts in enkele gevallen bevatten publiekrechtelijke regelingen normen voorde wijze waarop bestuursorganen om moeten gaan met de door hen beheerde bedrijfsgegevens. Een voorbeeld daarvan biedt de Mededingingswet die een apart hoofdstuk 11 bevat gewijd aan het gebruik van gegevens. In dat hoofdstuk wordt aangegeven voor welke doelen eenmaal vergaarde bedrijfsgegevens mögen worden gebruikt en aan wie ze mögen worden verstrekt. Algemene condusies overpassieve gegevensverstrekking Er bestaat een rijke vloed aan wettelijke verplichtingen en bevoegdheden tot passieve gegevensverstrekking. Het uitoefenen van die bevoegdheden kan, zoals hierboven al werd aangegeven, aanleiding geven tot verschillende knelpunten indien die passieve verstrekkingen beheizen dat bedrijfsgegevens moeten worden overlegd. Ten eerste leggen bepaalde passieve gegevensverstrekkingen aanzienlijke administratieve lasten op. Die lasten zijn te meer bezwarend indien er sprake is van onoordeelkundig gebruik van de gegevens of van een proliferatie van gevraagde gegevens wegens ondeskundigheid bij diegene die de gegevens opvraagt. Daarnaast zijn er sorns problemen bij het gebruik van die gegevens door de overheid. Zoals we ook reeds in hoofdstuk 2 ten aanzien van gegevens verkregen via actieve verstrekkingen constateerden, is niet altijd gewaarborgd dat de overlegde gegevens ook slechts voor dat doel worden gebruikt waarvoor ze zijn overgedragen. Verder zijn de regels voor beveiliging van de informatie nog niet zodanig ingericht dat daardoor ook andere overheidsorganen dan de politie en de rijksoverheid onder een specifiek beveiligingsregime vallen. Ook op dat terrein bestaat ruimte voor verbetering.
65
l
4. ßeheer van verstrekte gegevens
4.1
Inleiding
In de voorgaande hoofdstukken hebben we geschetst hoe op zeer uitlopende wijzen een grote hoeveelheid uiterst diverse gegevens over ondernemingen bij de overheid terecht kan körnen. In dit hoofdstuk willen we bezien in hoeverre iets algemeens te zeggen valt over het rechtsregime dat vervolgens op deze gegevens van toepassing is. Daarbij is in het bijzonder van belang of voorzien is in verstrekking aan derden, danwel in voorkoming van zodanige verstrekking. Het rechtsregime dat betrekking heeft op gegevens waarover de overheid de beschikking heeft, is opgebouwd uit verschillende elementen van vertrouwelijkheid en openbaarheid. Voor de individuele medewerkers van de overheid (ambtenaren, arbeidscontractanten, adviseurs en anderen) Staat een verplichting tot vertrouwelijkheid voorop en voor bestuursorganen een verplichting tot openbaarheid. Voor gegevens die de beleidsvoering van de overheid betreffen, Staat openbaarheid voorop en voor gegevens die betrekking hebben op rechtssubjecten buiten de overheid de vertrouwelijkheid. Een en ander volgt uit de bepalingen van de Algemene wet bestuursrecht (Awb), de Ambtenarenwet, de Wet openbaarheid van bestuur (Wob) en de Archiefwet 1995, in onderling verband bezien. In bijzondere wetgeving zijn uitzonderingen op het algemene systeem te vinden die voor specifieke gevallen leiden tot een grotere bescherming van bepaalde gegevens.
4.2 Geheimhouding Algemene geheirnhoudingsverplichting Strikt genomen is het doorgeven van informatie en gegevens een grondrecht dat besloten ligt in de vrijheid van meningsuiting. Zowel de Grondwet (art. 7) als de internationale verdragen (art. 10 EVRM; art. 19 F/BPR) kennen echter aan de wetgever de bevoegdheid toe bepaalde beperkingen op dit grondrecht aan te brengen. 67
Beheer van verstrekte gegevens
De wetgever heeft van deze bevoegdheid gebruikgemaakt om de gegevens te beschermen waarover personen die werkzaam zijn voor de overheid de beschikking kunnen krijgen. De Ambtenarenwet steh in artikel 125a grenzen aan de vrijheid van nieningsuiting van ambtenaren. Dat artikel bepaalt in het derde lid: De ambtenaar is verplicht tot geheimhouding van hetgeen hem in verband met zijn functie ter kennis is gekomen, voor zover die verplichting uit de aard der zaak volgt. Deze bepaling munt niet uit in concreetheid. Wanneer volgt de verplichting tot geheimhouding uit de aard der zaak? Onzekerheid over de interpretatie van dit vereiste impliceert onzekerheid voor de verstrekker van gegevens. Scherper omlijnd is de geheimhoudingsverplichting in artikel 2:5 Awb. In het algemeen geldt dat bijzondere bepalingen - i.e. die over geheimhouding en openbaarheid - bij twijfel dienen te worden gemterpreteerd overeenkomstig de algemene bepalingen in de Algemene wet bestuursrecht en in de Wet openbaarheid van bestuur. Artikel 2:5 Awb bepaalt: 1. Een ieder die is betrokken bij de uitvoering van de taak van een bestuursorgaan en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding van die gegevens, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. 2. Het eerste lid is mede van toepassing op instellingen en daartoe behorende of daarvoor werkzame personen die door een bestuursorgaan worden betrokken bij de uitvoering van zijn taak, en op instellingen en daartoe behorende of daarvoor werkzame personen die een bij of krachtens de wet toegekende taak uitoefenen. Artikel 2:5 Awb geldt algemeen voor iedereen die bij een bestuursorgaan werkzaam is, voor zover althans niet een bijzondere geheimhoudingsbepaling geldt. Bijzondere bepalingen treft men vooral daar aan waar de wetgever een strikter geheimhoudingsregime noodzakelijk acht dan in
68
Vertrouwelijk gegeven
artikel 2:5 Awb is neergelegd. Dit is bijvoorbeeld het geval in fiscale aangelegenheden.124 Vertrouwelijk karakter De geheimhoudingsplicht van artikel 2:5 Awb geldt ter zake van gegevens waarvan degene die bij de taakuitvoering van een bestuursorgaan is betrokken het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden. In het algemeen is er naar de mening van de regering geen reden om onverkort te verplichten tot geheimhouding van alles wat men te weten komt. Zo'n strakke plicht zou, voor zover het gegevens betreft die naar hun aard in het geheel niet geheim behoeven te worden gehouden, volgens de regering zinloos en ook niet handhaafbaar zijn.125 Beantwoording van de vraag of gegevens een Vertrouwelijk karakter hebben, vergt allereerst een beoordeling van die gegevens zelf. Op dit punt kan de verstrekker van de betreffende gegevens het initiatief aan zieh trekken door — bij voorkeur al bij de verstrekking — zijn standpunt kenbaar te maken. Dit is temeer van belang omdat een verschil van inzicht soms pas zal blijken wanneer het al te laat is: het oordeel van de overheidsdienaar dat de betreffende gegevens niet Vertrouwelijk zijn wordt tot uitdrukking gebracht in en blijkt pas uit de daadwerkelijke verstrekking. De geheimhoudingsbepaling heeft in dit verband mede tot gevolg dat belanghebbenden die bij de aanvraag van een beschikking verplicht zijn bepaalde gegevens over te leggen (vgl. art. 4:2 lid 2 Awb), kunnen vermelden dat de overlegging Vertrouwelijk geschiedt. Bijvoorbeeld in verband met de bescherming van de privacy of van bedrijfs- en fabricagegegevens. Gevolg is dan dat het bestuursorgaan op grond van dit artikel gehouden kan zijn tot geheimhouding van die gegevens. Uitzonderingen op de geheimhoudingsplicht Art. 2:5 Awb maakt twee uitzonderingen op de geheimhoudingsplicht. Deze geldt namelijk niet indien en voor zover: 1. een wettelijk voorschrift de betrokkene tot mededeling verplicht; of 2. uit de taak van de betrokkene de noodzaak tot mededeling voortvloeit.
124 Zie art. 67 Algemene Wet inzake Rijksbelastingen. De Algemene wet inzake douane en aocijnzen, de Invorderingswet 1990 en de Wet tot invoering van het sociaal-fiscaal nummer kennen soortgelijke bepalingen. 125 PG Awb l, p. 182 (MvA II Kamerstukken II 1990/91, 21 221, nr. 5, p. 45).
69
Beheer van verstrekte gegevens
Evenmin geldt een geheimhoudingsplicht geldt wanneer artikel 2:5 Awb niet van toepassing is omdat het geen vertrouwelijke gegevens betreft (zie hierboven). Uit het systeem van de wet volgt dat er buiten de genoem.de uitzondering geen bevoegdheid tot gegevensverstrekking bestaat. De overheidsdienaar die gegevens over een derde verstrekt zonder zieh daarbij te kunnen beroepen op een van de genoemde uitzonderingen, handelt derhalve onrechtmatig.126 In het navolgende staan we gegeven het belang van dit aspect van dit onderzoek vooral stil bij de eerste uitzondering: een wettelijk voorschrift (met name de Wet openbaarheid van bestuur - Wob) verplicht tot mededeling. We maken derhalve allereerst kort enkele opmerkingen over gegevensverstrekking127 die uit de taak voortvloeit. Taak gegevens te verstrekken De tweede uitzondering strekt er volgens de regering toe te voorkomen dat de geheimhoudingsplicht in de weg zou kunnen staan aan een goede uitvoering van de bestuurstaak, doordat ook het openbaar maken van gegevens in het kader van die uitvoering zou worden verhinderd. Hierbij gaat het niet alleen om het naar buiten brengen van gegevens als zodanig, maar ook om het doen van mededelingen aan andere bestuursorganen en het motiveren van besluiten. De overheid mag met andere woorden gegevens gebruiken voor het doel waarvoor deze zijn verzameld. De regering steh voorts buiten twijfel dat artikel 2:5 Awb op zichzelf geen verschoningsrecht impliceert voor een overheidsmedewerker die is opgeroepen om in rechte te getuigen.128
126 Jurisprudentie over art. 2:5 Awb ontbreekt vooralsnog. No 23 december 1997, JB 1998/46 m.nt. H. Koning, betreft art. 98 lid 1 van de Organisatiewet sociale verzekeringen. De inhoud daarvan komt overeen met art. 2:5 lid 1 Awb. Dat wil zeggen dat er sprake is van een geheimhoudingsverplichting tenzij: - gegevens niet moeten worden aangemerkt als vertrouwelijk; - uit enig wettelijk voorschrift een mededelingsplicht volgt; - de noodzaak tot gegevensverstrekking uit de taak voortvloeit. De Ombudsman stelt vast dat geen van de genoemde uitzonderingsgronden op basis waarvan kan worden afgeweken van de wettelijke plicht tot geheimhouding van toepassing is. In het bijzonder bood de Wob geen grond voor openbaarmaking. Het stond het bestuursorgaan dan ook niet vrij zonder toestemming van verzoekster gegevens uit haar dossier te verstrekken. Nu dit toch was gebeurd, was er - in termen van de WNo - onbehoorlijk gehandeld. 127 in het licht van het onderwerp van deze Studie hanteren we in het navolgende de term 'gegevens', alhoewel onder meer in de Wob gesproken wordt van 'informatie'. 128 MvT; PG Awb l, p. 181.
70
Vertrouwelijk gegeven
Enigszins omstreden is of een bestuursorgaan verkregen gegevens alleen mag gebruiken en verstrekken ten behoeve van de uitoefening van de taak met het oog waarop de desbetreffende gegevens zijn verstrekt of dat het de gegevens waarover het beschikt mag gebruiken voor de uitoefening van al zijn taken. Soms geeft wetgeving een antwoord (zoals in de Koppelingswet; Wet persoonsregistraties; art. 161 en 162 Sv) in andere gevallen niet. In de literatuur is wel het bestaan verdedigd van een ongeschreven beginsel dat vertrouwelijke gegevens slechts mögen worden gebruikt voor het doel waarvoor ze zijn verstrekt.129 Een eenduidige wettelijke regeling verdient aanbeveling. We zullen hier in paragraaf 4.7 nader op ingaan. Bij de huidige stand van zaken lijkt het voor belanghebbenden aan te bevelen bij de verstrekking van gegevens aan de overheid telkens te expliciteren met welk doel deze plaatsvindt. Anderzijds zal het risico ingecalculeerd moeten worden dat gegevens die aan de overheid worden verstrekt, mede wordt aangewend ten behoeve van andere overheidstaken.
4.3
Informatieplicht
De Wet openbaarheid van bestuur draagt in artikel 2 aan de bestuursorganen die vallen onder de werking van deze wet op, bij de vervulling van hun taak informatie te verstrekken. Artikel 3 van de Wob spitst deze verplichting nader toe: 1. Een ieder kan een verzoek om informatie neergelegd in documenten over een bestuurlijke aangelegenheid richten tot een bestuursorgaan of een onder verantwoordelijkheid van een bestuursorgaan werkzame instelling, dienst of bedrijf. 2. De verzoeker vermeldt bij zijn verzoek de bestuurlijke aangelegenheid of het daarop betrekking hebbend document, waarover hij informatie wenst te ontvangen. 3. Een verzoek om informatie wordt ingewilligd met inachtneming van het bepaalde in de artikelen 10 en 11. De art. 10 en 11 waarnaar in het derde lid wordt verwezen, bevatten uitzonderingen en beperkingen. Het systeem van de Wob komt erop neer dat een bestuursorgaan gevraagde gegevens moet verstrekken, tenzij het aan de art. 10 of 11 een grond kan 129 Zie bijvoorbeeld: F. Kuitenbrouwer, Het recht om met rust gelaten te worden, Balans Amsterdam 1991, p. 17 e.V.; B.M.J. van der Meulen, Privacy, grondrechten en algemeen bestuursrecht, in: Privacy in het informatietijdperk, Sdu 1997, p. 157 e.v.
71
Beheer van verstrekte gegevens
ontlenen om verstrekking te weigeren. Art. 11 beschermt persoonlijke opvattingen van ambtenaren. Voor dit onderzoek komt aan die bepaling geen betekenis toe. Art. 10 kent in het eerste lid een drietal zogenaamde absolute uitzonderingsgronden. Indien tenminste een daarvan zieh voordoet, is openbaarmaking van de betreffende gegevens niet toegestaan, ongeacht het belang dat daartegenover Staat.130 Overigens is naar aanleiding van de uitspraak van het Europese Hof voor de Rechten van de Mens in de zaak Guerra e.a. legen Italiem betoogd dat het absolute karakter van art. 10 lid l sub c, Wob mogelijk in strijd is met art. 8 EVRM.132 Dit zou kunnen betekenen dat onder omstandigheden gegevens rnoeten worden verstrekt, hoewel er een absolute uitzonderingsgrond van toepassing is. Het tweede lid bevat een zevental zogenaamde relatieve uitzonderingsgronden. De relatieve uitzonderingsgronden staan niet zonder meer aan openbaarmaking in de weg. Op basis van een afweging van het belang van openbaarheid van de opgevraagde gegevens tegen het belang dat beschermd wordt in de desbetreffende uitzonderingsgrond moet worden beslist of openbaarmaking al dan niet zal plaatsvinden. Tot de relatieve uitzonderingsgronden behoren de eerbiediging van de persoonlijke levenssfeer en het voorkomen van onevenredige bevoordeling of benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden. Het rechtsregime van de Wob is mede maatgevend voor diverse andere gegevensverstrekkingsrelaties. Art. 3:7 lid 2 Awb verklaart art. 10 Wob van overeenkomstige toepassing op de relatie bestuursorgaan-wettelijk adviesorgaan; art. 3:11 lid 2 Awb en art. 3:21 lid 3 Awb verklaren art. 10 Wob van overeenkomstige toepassing op de terinzagelegging in het kader van de openbare voorbereidingsprocedures die voor bepaalde besluiten worden gevolgd.133 Het betreft met name besluiten tot vergunningverlening in het kader van de milieuwetgeving. Van belang voor dit onderzoek is vooral de absolute uitzonderingsgrond die het openbaar maken van vertrouwelijk verstrekte bedrijfs- en fabricagegegevens verbiedt.
130 Dit kan ver gaan. In ARRvS 21 december 1982, AB 1983, 252, bijvoorbeeld was het belang aan de orde van een ex-werknemer om ten behoeve van medische behandeling te weten met welke chemische Stoffen hij bij zijn werk in aanraking kon zijn gekomen. Aan dit belang kon de rechter niet op basis van de Wob tegemoetkomen. 1 31 Uitspraak van 19 januari 1998, JB 1998, 49, m.nt. AWH. 132 H. Koning, Artikel 10 lid 1 sub c WOB in strijd met het EVRM?, in: NJB 19 Juni 1998, p. 1107. 133 Zie voorts bijvoorbeeld de art. 18, 44 en 65 van de Mededingingswet.
72
Vertrouwelijk gegeven
Bedrijfs- enfabricagegegevens die vertrouwelijk aan de overheidzijn meegedeeld Art. 10 lid l aanhef en sub c Wob (art. 4 sub c oud) bepaalt: Het verstrekken van gegevens ingevolge deze wet blijft achterwege voor zover dit bedrijfs- en fabricagegegevens betreft, die door natuurlijke personen of rechtspersonen vertrouwelijk aan de overheid zijn meegedeeld. Ondernemingen Slechts aan natuurlijke personen körnt een recht op privacy toe.134 De bescherming van bedrijfs- en fabricagegegevens kan worden gezien als het equivalent voor de ondernemer (natuurlijke zowel als rechtspersoon), met dien verstände dat voor deze gegevens wel een afwijkend regirne geldt. Er is immers niet sprake van een relatieve maar van een absolute weigeringsgrond. Elke onderneming kan de bescherming van deze bepaling inroepen. Er wordt geen onderscheid gemaakt tussen publiekrechtelijke en privaatrechtelijke (rechts)personen. Voor de toepasselijkheid van artikel 10 lid l sub c Wob is voorts niet relevant of een privaatrechtelijke rechtspersoon al dan niet (gedeeltelijk) in handen is van een overheidsorgaan, maar wel of de activiteiten van die rechtspersoon kunnen worden aangemerkt als activiteiten die voortvloeien uit een in het private bedrijfsleven gebruikelijke bedrijfsvoering.135 Gegevens die het openbaar bestuur als zodanig betreffen, zijn geen bedrijfs- en fabricagegegevens in de zin van deze bepaling. Om deze reden werden gegevens van een (nog) niet verzelfstandigd onderdeel van de gemeente Amsterdam, de stadsdrukkerij, niet aangemerkt als bedrijfsgegevens die aan de gemeente waren verstrekt, maar als gegevens
134 ABRvS 20 maart 1995, JB 1995/143. 135 Rb. Utrecht 24 november 1994 JB 1995/15. De zaak betrof de Gasunie. De rechtbank wijst in dit verband op een uitspraak van de ARRvS van 8 Juli 1988, no. R01.85.2847 (kort weergegeven in Wet openbaarheid van bestuur, Editie Schuurman & Jordens nr. 174, derde druk, pag. 183 en 184). In deze uitspraak oordeelde de Afdeling, dat gegevens, die door de Nationale Investeringsbank N.V. - een vennootschap waarin de overheid een aanzienlijk belang heeft - vertrouwelijk aan de overheid waren verstrekt, bedrijfsgegevens zijn in de zin van art. 4 aanhef en onder c Wob (oud), welke bepaling overeenstemt met art. 10 eerste lid aanhef en onder c,van de (nieuwe) Wob. Kennelijk heeft de wetgever in deze uitspraak geen reden gezien in de (nieuwe) Wob - die op 1 mei 1992, derhalve nä genoemde uitspraak, in werking is getreden - voor rechtspersonen die geheel of gedeeltelijk in handen zijn van overheidsorganen een uitzondering te maken, voor zover het een beroep op art. 10 eerste lid aanhef en onder c Wob betreft.
73
Beheer van verstrekte gegevens
van de gemeente zelf waarop artikel 10 lid l sub c Wob niet van toepassing is (maar een andere weigeringsgrond mogelijk wel).136 Bedrijfs- en fabricagegegevens In de rechtspraak is het begrippenpaar137 bedrijfs- en fabricagegegevens nader ingevuld. De volgende formule heeft ingang gevonden: Vertrouwelijke bedrijfs- of fabricagegegevens zijn gegevens waaruit wetenswaardigheden kunnen worden gelezen of afgeleid over de bedrijfsvoering of het productieproces dan wel over de afzet van de producten of de kring van afnemers en leveranciers.138 Onder deze formule zijn te brengen: gegevens over de financiele positie en verrichtingen van de onderneming die de gegevens heeft verstrekt139 maar bijvoorbeeld ook gegevens over de chemische Stoffen waarmee werknemers tijdens hun werk in aanraking kunnen körnen of kunnen zijn gekomen.140 Een verzoek om inzage in de meldingen die aan de Rijksluchtvaartdienst worden gedaan over gebreken, defecten en beschadigingen van in Nederland geregistreerde vliegtuigen werd door de Voorzitter van de voormalige Afdeling rechtspraak van de Raad van State afgewezen. Daartoe overwoog hij: "Een luchtvaartmaatschappij biedt aan de consument als product vervoer door de lucht aan. Dit product kan worden aangeboden door de inzet van onder meer - het productiemiddel luchtvaartuig." Ook het subsidiaire verzoek om overlegging van de betrokken meldingen met weglating van de namen van de desbetreffende maatschappijen, werd niet gehonoreerd.141
136 Rb. Amsterdam 26 november 1997, JB 1998/21 m.nt. H. Koning. 137 Het standpunt dat het verstrekken van gegevens slechts dan achterwege mag blijven, Indien en voor zover het betrokken document zowel bedrijfs- als fabricagegegevens bevat, is door de voorzitter van de voormalige Afdeling rechtspraak van de hand gewezen. Z.i. heeft het woordje "en" tussen bedrijfs- /fabricagegegevens, gezien ook de verdere inhoud van deze bepaling nevenschikkende betekenis. Vz. ARRvS 12 augustus 1982, AB 1983, 99. 138 Zie bijvoorbeeld ARRvS 30 September 1985, AB 1987, 43; Rb. Utrecht 24 november 1994, JB 1995/15. 139 Vz. ARRvS 12 januari 1983, AB 1983, 251. 140 ARRvS 21 december 1982, AB 1983, 252. 141 Vz. ARRvS 24 december 1993, AB 1994, 278. 74
Vertrouwelijk gegeven
Een uitspraak van de sector bestuursrecht van de rechtbank te Utrecht biedt een mooie illustratie van de wijze waarop de rechter omgaat met het begrippenpaar bedrijfs- en fabricagegegevens. Het betreft een zaak waarin openbaarmaking was gevraagd van de plannen van gasafzet van de Gasunie:142 "De rechtbank is van oordeel, dat de gegevens in de integrale Plannen van Gasafzet, in elk geval voor zover deze gegevens niet voorkomen in de gepubliceerde samenvattingen, zijn aan te merken als bedrijfsgegevens in de zin van artikel 10, eerste lid, aanhef en onder c, van de Wob. Deze gegevens hebben betrekking op de verwachtingen van de Gasunie ten aanzien van de externe ontwikkelingen en de verwachte afzet van aardgas, op het commerciele beleid van de Gasunie, op de herkomst en het verloop van het aanbod van gas, en op de verhouding tussen de verwachte vraagcapaciteit en de productiecapaciteit. Uit dergelijke gegevens kunnen wetenswaardigheden worden afgeleid met betrekking tot de bedrijfsvoering van de Gasunie, de afzet van gas, en voorts de kring van afnemers en leveranciers van de Gasunie. Weliswaar wordt in de integrale Plannen van Gasafzet ook gebruik gemaakt van gegevens uit algemene bron, maar de rechtbank is het met de gemachtigde van de Gasunie eens, dat visies op (de hantering van) dergelijke gegevens kunnen worden aangemerkt als bedrijfsgegevens, omdat uit deze visies wetenswaardigheden met betrekking tot de bedrijfsvoering van de Gasunie kunnen worden afgeleid."
Niet als bedrijfsgegevens zijn aangemerkt de namen van de deelnemers aan een beleggingsfonds.143 Vertrouwelijk meegedeeld Bedrijfs- en fabricagegegevens vallen pas onder de absolute uitzonderingsgrond, wanneer zij vertrouwelijk aan de overheid zijn meegedeeld. Blijkens de rechtspraak moet vrij snel worden aangenomen dat daarvan sprake is. Volgens de voorzitter van de voormalige Afdeling rechtspraak is van belang dat de weigeringsgrond samenhangt met de omstandigheid dat het geen van de overheid afkomstige gegevens betreft, maar gegevens die aan de overheid worden medegedeeld, waarbij het feit dat dit vertrouwelijk is geschied voor de overheid de verplichting meebrengt deze vertrouwelijkheid te eerbiedigen.144 In dezelfde uitspraak stelde de voorzitter zieh op het 142 Rb. Utrecht 24 november 1994, JB 1995/15. 143 ARRvS 21 Juli 1986, AB 1987, 517. 144 Vz. ARRvS 12 augustus 1982, AB 1983, 99.
75
Beheer van verstrekte gegevens
standpunt dat gegevens in elk geval vertrouwelijk zijn meegedeeld als de verstrekker ze bij de verstrekking, namelijk in de aanbiedingsbrief, als vertrouwelijk heeft aangemerkt. Ook de vermelding "vertrouwelijk" op de overgelegde stukken zelf kwalificeert deze als vertrouwelijk.145 In dit oordeel zag de Utrechtse rechtbank zieh gesteund door het feit dat van de (vertrouwelijke) integrale versies van desbetreffende stukken (Plannen van Gasafzet) telkens een samenvatting is gemaakt die wel openbaar is gemaakt. Vertrouwelijkheid kan, ook wanneer deze niet uitdrukkelijk is geclaimd, voortvloeien uit het karakter van de verstrekte gegevens146 of uit het karakter van het contact waarin zij zijn verstrekt.147 Vertrouwelijke verstrekking behoeft niet vrijwillig plaats te vinden. Een verplichting bepaalde gegevens te verstrekken, impliceert niet dat de verstrekking niet vertrouwelijk plaatsvindt.148 Degene bijvoorbeeld die in het kader van bestuurlijk toezicht verplicht is bepaalde gegevens te verstrekken, kan op vertrouwelijke behandeling van de aldus verstrekte gegevens aanspraak maken.149 De voorzitter overwoog dat het in het algemeen van wezenlijke betekenis is dat degene die ter voldoening aan enige verplichting gegevens vertrouwelijk aan een bestuursorgaan overlegt, er op moet kunnen rekenen dat dat bestuursorgaan die gegevens niet zonder zijn uitdrukkelijke instemming aan derden doorgeeft.150 In het verlengde hiervan is verdedigbaar dat ook gegevens die bij een ondernemer zonder diens medewerking in beslag zijn genomen onder de bescherming van deze bepaling vallen. Deze gedachtengang impliceert dat het onderscheid tussen actieve en passieve gegevensverstrekking niet van invloed is op de mogelijkheid om aan gegevens een vertrouwelijk karakter toe te kennen.
145 Rb. Utrecht 24 november 1994, JB 1995/15. 146 Rb. Utrecht 24 november 1994, JB 1995/15: "De rechtbank is van oordeel dat uit het karakter van de integrale Plannen van Gasafzet - namelijk dat van een door de Gasunie in samenwerking met haar aandeelhouders opgesteld ondernemingsplan gevoegd bij de vermelding van het woord "vertrouwelijk' op deze Plannen, blijkt, dat de daarin vervatte gegevens vertrouwelijk aan de overheid zijn verstrekt." 147 Vz. ARRvS 12 januari 1983, AB 1983, 251. Zie over vertrouwelijke verstrekking ook: MvT, Kamerstukken II 1986/87, 19 859, nr. 3, p. 33. 148 Vz. ARRvS 24 december 1993, AB 1994, 278. 149 ARRvS 21 december 1982, AB 1983, 252. Betreft art. 23 eerste lid Veiligheidswet 1934. Deze bepaling komt overeen met het huidige art. 5:20 Awb. De gevraagde inlichtingen moeten, zo dit verzocht wordt, schriftelijk verstrekt worden binnen de door de bevoegde ambtenaren gestelde termijn. 150 Vz. ARRvS 12 januari 1983, AB 1983, 251. 76
Vertrouwelijk gegeven
Het karakter van vertrouwelijk verstrekte gegevens blijft in beginsel behouden zolang de verstrekker niet van de tegenovergestelde zienswijze blijkt geeft.151 Gegevens die voor een ieder kenbaar zijn kunnen niet worden aangemerkt als vertrouwelijk verstrekte bedrijfsgegevens.152 Gegevens zijn openbaar wanneer zij door de verstrekker zelf naar buiten zijn gebracht (bijvoorbeeld in een jaarverslag) of op andere wijze in algemeen toegankelijke bronnen (pers) terecht zijn gekomen.153 De Afdeling heeft in het midden gelaten of, en daarmee impliciet ontkend dat, stukken die in het kader van een aanvraagprocedure ter inzage hebben gelegen daarmee hun vertrouwelijk karakter blijvend hebben verloren.154 Gegevens die niet aan de overheid zijn verstrekt maar die de overheid zelf heeft voortgebracht, vallen niet onder artikel 10 lid l sub c Wob, ook niet indien zij betrekking hebben op bepaalde ondernemingen en een gevoelig karakter hebben, zoals door de belastingdienst vastgestelde modelbedragen die mögen worden geclaimd voor bepaalde aftrekposten.155 Andere gegevens Indien gegevens niet kunnen worden aangemerkt als vertrouwelijk verstrekte bedrijfs- en fabricagegegevens, dan is de consequentie uiteraard niet onmiddellijk dat zij openbaar moeten worden gemaakt, maar slechts dat geen beroep kan worden gedaan op de weigeringsgrond neergelegd in artikel 10 lid l sub c Wob. Bezien moet dan worden of zieh een andere grond voordoet die zieh - al dan niet na belangenafweging156 - tegen openbaarmaking verzet.
4.4
inzage en correctie
Degene op wie (bedrijfs)gegevens die zieh bij de overheid bevinden betrekking hebben, beschikt niet over een algemeen recht op inzage in deze (bedrijfs)gegevens en te minder op correctie ervan. Ook de toegang tot de "eigen" gegevens wordt beheerst door de maatstaven van de Wob. Om de mogelijkheden die de Wob biedt te kunnen benutten, is het nodig precies te weten welke gegevens zieh bij welke overheidsdienst bevinden. 151 Vz. ARRvS 12 januari 1983, AB 1983, 251; Vz. ARRvS 24 december 1993, AB 1994, 278. 152 ARRvS 18 Juni 1984, AB 1985, 372. 153 Zie echter: Pres. Rb. Utrecht, 1 September 1997, Milieu & Recht 1998, 87K. 154 ARRvS 21 december 1982, AB 1983, 252. 155 ARRvS 21 Juli 1986, AB 1987, 517. 1 56 Vgl. ARRvS 18 Juni 1984, AB 1985, 372.
77
Beheer van verstrekte gegevens
In de rechtspraak is aanvaard dat een onvoldoende gespecificeerd verzoek om "alle" informatie wegens de bewerkelijkheid ervan wordt afgewezen.157 Hierboven is al aangestipt dat er geen algemeen recht bestaat op controle van de juistheid van door de overheid verzamelde gegevens en - zonodig op correctie. De Awb kent in het kader van de aanvraagprocedure wel een verplichting gegevens te checken. Wanneer een bestuursorgaan voornemens is een besluit te nemen waartegen de aanvrager (art. 4:7 Awb) of een andere belanghebbende (art. 4:8 Awb) naar verwachting bedenkingen zal hebben en dat dus ongunstig is voor deze belanghebbende, dan dient het bestuursorgaan deze belanghebbende in de gelegenheid te stellen zijn zienswijze mondeling of schriftelijk naar voren te brengen. Hieraan zijn twee voorwaarden verbunden. De eerste voorwaarde is dat de reden voor het besluit is gelegen in gegevens die betrekking hebben op de belanghebbende; de tweede voorwaarde is dat de belanghebbende die gegevens niet zelf heeft verstrekt. Er bestaat met andere woorden een verplichting tot wederhoor voordat gegevens die van derden over iemand zijn verkregen tegen hem of haar worden gebruikt. Voor het overige kan degene die er kennis van draagt dat de overheid over bepaalde hem betreffende gegevens beschikt die zijns inziens niet juist zijn, dit altijd schriftelijk (liefst gemotiveerd en onderbouwd) meedelen. De bij de overheid gebruikelijke werkwijze is over het algemeen dat zo'n mededeling in hetzelfde dossier zal worden gevoegd als de gegevens waarop zij betrekking heeft. Telkens wanneer iemand de betwiste gegevens zal willen gebruiken, moet daarbij ook de betwisting betrokken worden.
4.5 Archivering Bedrijfsgegevens die aan de overheid worden verstrekt, vallen onder de reikwijdte van de Archiefwet.158Deze wet kwalificeert in art. l onder c bescheiden die door overheidsorganen zijn ontvangen, ongeacht hun vorm, als archiefbescheiden. Deze omschrijving is zo ruim dat er in beginsel alles onder valt. Hoofdregel is dat archiefbescheiden die niet voor vernietiging in aanmerking körnen en ouder zijn dan twintig jaar over worden gebracht naar een archiefbewaarplaats. Op deze hoofdregel kunnen twee uitzonderingen bestaan. Wanneer daarvoor aanleiding bestaat en er voldoende ruimte beschikbaar is, kunnen archiefbescheiden al eerder worden 1 57 ARRvS 3 februari 1988, AB 1988, 373 m.nt. HJdR. 158 Wet van 28 april 1995, Stb. 277, laatstelijk gewijzigd 4 december 1997, Stb. 580. 78
Vertrouwelijk gegeven
overgebracht. Wanneer gegevens nog veelvuldig worden gebruikt, kan van de overbrengingsverplichting ontheffing worden verleend, telkens voor een periode van tien jaar (art. 13 Archiefwet). Archiefbescheiden mögen niet zomaar worden weggegooid. Telkens moet een afweging worden gemaakt: bewaren of vernietigen. De Archiefwet bepaalt in art. 3: De overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke Staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking körnende archiefbescheiden. Archiefbescheiden mögen slechts worden vernietigd op basis selectielijsten waarin tenminste Staat aangegeven welke archiefbescheiden voor vernietiging in aanmerking komen. Deze lijsten worden vastgesteld door de minister van O, C en W en de betrokken minister of onder omstandigheden door de Kroon. Voordien wordt de Raad voor Cultuur gehoord. De vastgestelde lijsten worden gepubliceerd in de Staatscourant. Bij de vaststelling van deze lijsten wordt de openbare voorbereidingsprocedure gevolgd, genoemd in afdeling 3.4 Awb. Een en ander impliceert dat het bestaan van bepaalde documenten kenbaar is, voordat tot vernietiging wordt overgegaan.159 De in een selectielijst neergelegde beslissingen tot het permanent bewaren of (op termijn) vernietigen van archiefbescheiden, zijn gebaseerd op overwegingen van beleids- en bedrijfsvoeringsbelang (van de overheid), het belang van de bewijs- en rechtzoekende burger en het cultureel-erfgoed In art. 5 Archiefbesluit 1995 (Stb. 671) is bepaald welke gegevens in een selectielijst moeten zijn opgenomen: "Een selectielijst bestaat ten minste uit: a. een titel waaruit blijkt op welk overheidsorgaan de selectielijst betrekking heeft; b. een opsomming van de taken van dat overheidsorgaan; c. een systematische opsomming van categorieen archiefbescheiden, waarin bij iedere categorie is aangegeven of de archiefbescheiden bewaard worden dan wel na welke termijn zij voor vernietiging in aanmerking komen; d. een toelichting die in ieder geval bevat: 1. een verantwoording van de wijze waarop toepassing is gegeven aan art. 2, eerste lid, 2. een verslag van de wijze waarop derden en met name de deskundigen, bedoeld in art. 3, bij het ontwerpen van de selectielijst betrokken zijn en van de inhoud van het met hen gevoerde overleg, en 3. een verslag van de procedure, bedoeld in art. 4; e. een opsomming van de criteria aan de hand waarvan de zorgdrager archiefbescheiden die ingevolge de selectielijst voor vernietiging in aanmerking komen, van vernietiging kan uitzonderen".
79
Beheer van verstrekte gegevens
belang. Degene op wie de gegevens betrekking hebben, heeft geen aanspraak op vernietiging. Van de vernietiging van bescheiden wordt een verklaring opgemaakt, welke verklaring moet worden bewaard (art. 8 Archiefbesluit 1995). In art. 14 Archiefwet is het uitgangspunt neergelegd dat archiefbescheiden openbaar zijn. Anders dan in de Wob betreft deze openbaarheid niet een recht op informatie, maar een recht on inzage. De archiefbescheiden die in een archiefbewaarplaats berusten zijn, behoudens het bepaalde in de artikelen 15, 16 en 17, openbaar. leder is, behoudens de beperkingen die voortvloeien uit het in die artikelen bepaalde, bevoegd die archiefbescheiden kosteloos te raadplegen en daarvan of daaruit afbeeldingen, afschriften, uittreksels en bewerkingen te maken of op zijn kosten te doen maken. De uitzonderingen van art. 16 en art. 17 van de Archiefwet hebben betrekking op de toestand van (oude) documenten. Zij dienen ertoe deze te beschermen tegen beschadiging of erger. De uitzonderingsgronden van artikel 15 zijn inhoudelijk. Ze zijn bepaald beperkter dan de uitzonderingsgronden van de Wob. Ingevolge het eerste lid van art. 15 kunnen slechts beperkingen aan de openbaarheid worden gesteld voor een bepaalde termijn en met het oog op: 1. de eerbiediging van de persoonlijke levenssfeer; 2. het belang van de Staat of zijn bondgenoten; 3. het anderszins voorkomen van onevenredige bevoordeling of benadeling van betrokken natuurlijke personen of rechtspersonen danwel van derden. Uit deze formulering blijkt dat er geen absolute uitzonderingsgronden zijn. Dit is begrijpelijk aangezien het tijdsverloop van - in beginsel - twintig jaar aan de meeste gegevens hun gevoelige karakter zal ontnemen. Beperkingen aan de openbaarheid kunnen alleen worden gesteld op het moment van overbrenging naar de archiefbewaarplaats en niet alsnog achteraf, tenzij er sprake is van gewijzigde omstandigheden. Probleem hierbij is, dat degene op wie de gegevens betrekking hebben over het algemeen niet op de hoogte zal zijn van het moment van overbrenging en dus moeilijk invloed kan uitoefenen op de beslissing. In principe eindigen alle beperkingen aan de openbaarheid op het moment dat de bescheiden vijfenzeventig jaar oud zijn.
80
Vertrouwelijk gegeven 4.6
Handhaving en rechtsbescherming
Het publiekrecht steh de norm dat de overheid gegevens afkomstig van derden omzichtig dient te behandelen. Vertrouwelijk verstrekte gegevens moeten Vertrouwelijk worden behandeld tenzij er een uitdrukkelijke grond voor openbaarmaking aanwijsbaar is. De overheid moet ingevolge de Wet openbaarheid van bestuur openheid betrachten opdat het publiek kan participeren in de democratische bestuursvoering, maar ook in dat kader Staat de geheimhouding van Vertrouwelijk verstrekte bedrijfs- en fabricagegegevens voorop. Een norm alleen, en alle daarin uitgedrukte goede wil, is vaak echter niet voldoende om de belanghebbende die vertrouwelijke gegevens aan de overheid verstrekt de verzekering te geven dat deze gegevens niet in verkeerde handen vallen. Staan er Instrumenten ter beschikking waarmee de naleving van deze normen kan worden afgedwongen of waarmee ten minste de schadelijke gevolgen van een schending van de norm kunnen worden geneutraliseerd? Strafrecht De geheimhoudingsverplichtingen van de ambtenarenwet en de Algemene wet bestuursrecht gelden (mede) voor individuele personen. Zij kunnen op schending daarvan individueel worden aangesproken. De formulering van art. 2:5 Awb is welbewust gekozen in aansluiting op art. 272 Wetboek van Strafrecht (WvSr).160 Op grond van deze bepaling wordt hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift danwel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie. De beantwoording van de vraag of en zo ja in hoeverre de bij de taakuitoefening van een bestuursorgaan betrokkene het vertrouwelijke of geheime karakter van gegevens behoort te kennen of redelijkerwijs moet vermoeden, wordt onder meer bepaald door de geheimhoudingsnormen in de Wob en in specifieke regelingen. Indien dit misdrijf tegen een bepaald persoon is gepleegd, wordt het ingevolge art. 272 lid 2 WvSr slechts vervolgd op diens klacht. Tuchtrecht Naast de strafrechtelijke handhaving bestaat volgens de regering de mogelijkheid om in de situatie van schending van een 160 PG Awb l, p. 182-183 (Kamerstukken II 1990/91, 21 221, nr. 5, p. 46).
81
Beheer van verstrekte gegevens
geheimhoudingsverplichting door een ambtenaar disciplinaire sancties te treffen.161 Ook het ambtenarentuchtrecht kan in beweging worden gebracht door het indienen van een klacht. Strafrecht en tuchtrecht strekken ertoe af te schrikken van het overtreden van een norm en, wanneer er toch sprake is van een overtreding, deze te vergelden. De benadeelde kan enige invloed uitoefenen door gebruik te maken van het klachtrecht. Hij heeft echter niet de mogelijkheid, of het moest zijn door met een klacht te dreigen, om openbaarmaking van de hem betreffende gegevens te voorkomen danwel herstel te bewerkstelligen van zijn geschonden (rechts)positie. Deze mogelijkheden bieden het burgerlijk recht en het bestuursrecht wel. Burgerlijk recht Schending van de geheimhoudingsplicht van art. 2:5 Awb kan onder omstandigheden jegens de benadeelde een onrechtmatige daad in de zin van art. 6:162 e.v. van het Burgerlijk Wetboek opleveren. Er is sprake van schending van een rechtsnorm die is geschreven ter bescherming van de belangen van de benadeelde. Dit betekent dat bij de burgerlijke rechter een vordering kan worden ingediend tot vergoeding van geleden schade. Wanneer de overtreding dreigt maar nog niet heeft plaatsgevonden, kan in een kort geding een verbod ervan worden gevorderd, al dan niet onder dreiging van een dwangsom. De civiele rechtsgang Staat echter alleen dan open, wanneer er geen andere (in het bijzonder bestuursrechtelijke) rechtsgang openstaat die voldoende rechtsbescherming biedt.162 Bestuursrecht De beslissing tot verstrekking van gegevens onder de Wob wordt aangemerkt als een beschikking.163 Dit heeft tot gevolg dat tegen die beslissing de rechtsmiddelen van de Algemene wet bestuursrecht openstaan. Dat wil zeggen dat tegen de beslissing bezwaar kan worden gemaakt bij het bestuursorgaan dat de beslissing heeft genomen164 en dat vervolgens zo nodig beroep kan worden ingesteld bij de sector bestuursrecht van de rechtbank165 en ten slotte hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Daarnaast kan zo nodig een voorlopige voorziening 161 PQ Awb l, p. 183. CRvB 6 Juni 1997, TAR 1997. 167 betreft de schorsing van een ambtenaar mede op de grond dat hij gegevens naar buiten heeft gebracht. 162 Vgl. HR 28 februari 1992, AB 1992, 301 (Changoe). 163 Een besluit dat niet van algemene strekking is. Art. 1:3 lid 2 Awb. 164 Art. 7:1 Awb. 165 Art. 8:1 Awb. 82
Vertrouwelijk gegeven
worden gevraagd166 aan de president van de rechtbank (sector bestuursrecht, respectievelijk de voorzitter van de Afdeling bestuursrechtspraak) om te voorkomen dat tot gegevensverstrekking wordt overgegaan voordat op het bezwaar c.q. het beroep is beslist. Art. 5 van de Wob bepaalt over de beslissing op een verzoek om gegevens het volgende: 1. De beslissing op een verzoek om informatie wordt mondeling of schriftelijk genomen. 2. Een gehele of gedeeltelijke afwijzing van een schriftelijk verzoek om informatie vindt schriftelijk plaats. In geval van een mondeling verzoek vindt een afwijzing schriftelijk plaats, indien de verzoeker daarom vraagt. De verzoeker wordt op deze mogelijkheid gewezen. 3. De beslissing wordt eveneens schriftelijk genomen indien het verzoek om informatie een derde betreft en deze daarom heeft verzocht. In dat geval wordt tevens aan de derde de op hem betrekking hebbende informatie toegezonden. Uit deze bepaling, met name uit het derde lid, volgt dat het bestuursorgaan de beslissing om gegevens over iemand te verstrekken schriftelijk aan deze moet meedelen. Het is goed gebruik dat deze mededeling plaatsvindt voordat tot gegevensverstrekking wordt overgegaan, dus voordat er iets onomkeerbaars is gebeurd.167 Betrokkene heeft dan de gelegenheid bezwaar te maken en aan de president van de rechtbank te verzoeken de verstrekking te verbieden. Indien wordt nagelaten vooraf mededeling te doen, dan nog kan het instellen van bezwaar en beroep zin hebben. Indien in een procedure gericht tegen het besluit tot gegevensverstrekking komt vast te staan dat dit besluit in rechte geen stand kan houden, dan kan op die grond schadevergoeding worden gevorderd. Wanneer deze vaststelling in bezwaar plaatsvindt, kan een vordering bij de burgerlijke rechter worden ingesteld of kan een zelfstandig schadebesluit worden gevraagd.168 Indien het komt
166 Art. 8:81 Awb. 167 MvT, Kamerstukken II 1986/87, 19 859, nr. 3, p. 27. In bijzondere wetgeving is dit soms uitdrukkelijk voorgeschreven. Vgl. art. 18 lid 3, art. 35 lid 3 en art. 42 lid 3 Mededingingswet. 168 Ingevolge recente rechtspraak wordt een beslissing op een verzoek om vergoeding van schade die zou zijn veroorzaakt door een besluit waartegen een bestuursrechtelijke rechtsgang openstaat eveneens aangemerkt als een besluit waartegen diezelfde rechtsgang openstaat. Zie hierover uitgebreider B.M.J. van der Meulen, De novemberrevolutie gesmoord, in Rechtspraak Bestuursrecht 1996-1397, VUGA Den Haag 1998, p. 153-179.
83
Beheer van verstrekte gegevens
tot een beroep bij de bestuursrechter, kan in die procedure schadevergoeding worden gevorderd.169 Art. 5 lid 3 Wob verplicht de beslissing om op basis van de Wob gegevens te verstrekken neer te leggen in een besluit en dit besluit bekend te maken aan degene op wie de gegevens betrekking hebben. Wanneer dit voorschrift wordt geschonden en gegevens worden verstrekt zonder dat een daartoe strekkend besluit is genomen en bekendgemaakt, dan kan tegen deze gang van zaken eveneens bezwaar worden gemaakt en beroep worden ingesteld.170
4.7
Knelpunten en conclusies
Het rechtsregime betreffende openbaarheid en vertrouwelijkheid van gegevens waarover de overheid de beschikking heeft gekregen, maakt een tamelijk sluitende indruk. De normstelling voor vertrouwelijk verstrekte bedrijfs- en fabricagegegevens is onzes inziens adequaat, zowel wat de normstelling als wat het regime van rechtsbescherming betreft. De wetgever zou een laatste punt op de i kunnen zetten door in de Algemene wet bestuursrecht de regel op te nernen dat vertrouwelijk verstrekte gegevens slechts mögen worden gebruikt voor het doel waarvoor ze zijn verstrekt. Daartoe zou aan artikel 2:5 Awb een derde lid kunnen worden toegevoegd met de volgende inhoud: "- 3 Gegevens als bedoeld in het eerste lid, worden slechts gebruikt voor het doel waarvoor zij zijn verstrekt tenzij uit een wettelijk voorschrift anders volgt of deze gegevens ingevolge artikel 10 van de Wet openbaarheid van bestuur voor verstrekking in aanmerking körnen."
Een onderneming kan verschalende dingen doen om het risico te minimaliseren dat vertrouwelijke gegevens die aan de overheid worden verstrekt in verkeerde handen terecht körnen. Zo zal het vertrouwelijk karakter van de gegevensverstrekking kunnen worden geexpliciteerd. In de aanbiedingsbrief kan worden aangegeven welke gegevens met welk doel worden verstrekt en welke van die gegevens om welke reden als vertrouwelijk moeten worden aangemerkt. Op de betreffende documenten kan vervolgens - bijvoorbeeld door een Stempel (al dan niet onder 169 De bestuursrechter ontleent zijn bevoegdheid tot het toekennen van schadevergoeding aan art. 8:73 Awb. 170 Dit volgt uit art. 6:2 Awb. 84
Vertrouwelijk gegeven
vermelding van art. 272 WvSr) - worden aangegeven dat deze vertrouwelijk zijn. Zo mogelijk dienen vertrouwelijke gegevens in aparte documenten te worden ondergebracht. Op deze wijze wordt de ambtenaar die documenten kopieert met de bedoeling deze te verstrekken (nogmaals) geconfronteerd met de vertrouwelijkheidsclaim. Voor bestuursorganen is het schonen van documenten ter voldoening aan een Wob-verzoek een arbeidsintensieve aangelegenheid. Degene die bij de verstrekking van deels vertrouwelijke gegevens tevens een openbare versie overlegt (naar het voorbeeld van milieuaanvragen), heeft praktisch gesproken grote kans dat het bestuursorgaan zijn visie zal volgen. Het is dan wel nodig dat bij de kwalificatie "vertrouwelijk" enige zelfbeheersing aan de dag wordt gelegd. De huidige situatie schiet duidelijk tekort op het punt van de toegang tot eigen (bedrijfs)gegevens en de mogelijkheid tot correctie ervan. De toegang vereist voornamelijk technische voorzieningen; daarbij zal rekening gehouden moeten worden met het gevaar dat gemoeid is met de hieraan inherente koppeling van bestanden. Een recht op correctie van gegevens die bij de overheid berusten, zou wellicht te ver voeren omdat nu eenmaal op goede gronden verschillend kan worden gedacht over het antwoord op de vraag welke gegevens juist zijn. Een wettelijk recht om commentaar te (doen) hechten aan documenten waarvan kennis kan worden genomen, zou echter een stap in de goede richting zijn.
85
5. Risico's verbünden aan gegevensverstrekking
5.1
Inleiding
Zoals we in de inleiding reeds aangaven, hebben we voor dit onderzoek een tiental Interviews afgenomen bij bedrijven en brancheorganisaties.171 In dit en het volgende hoofdstuk bespreken we de belangrijkste bevindingen van deze gesprekken. Het doel van de Interviews was drieledig. Het eerste doel was de gegevens te inventariseren en typeren die door het bedrijfsleven als 'gevoelige bedrijfsgegevens' worden aangemerkt. Hier bleek dat een grote diversiteit aan factoren bepalend is voor de vraag of sprake is van 'gevoelige bedrijfsgegevens'. De belangrijkste door de ge'interviewden genoemde factoren zijn: het beschikken over de controle over bedrijfsgegevens (informationele zelfbeschikking), de concurrentiegevoeligheid, de schade waartoe bekendheid van de gegevens kan leiden, de vertrouwelijkheid (versus de openbaarheid) van de bedrijfsgegevens, de beurskoersgevoeligheid van de bedrijfsgegevens, het strategisch belang van bedrijfsgegevens, het bestaan van een wettelijke verplichting tot gegevensverstrekking, die niaakt dat de bedrijfsgegevens als minder gevoelig worden beschouwd, het persoonsgebonden karakter van gegevens en de invloed die dergelijke gegevens hebben op de vertrouwensrelatie rnet de dienten van het bedrijf. In de tweede plaats ging het bij de Interviews orn het inventariseren en typeren van wet- en regelgeving die tot het verstrekken van bedrijfsgegevens verplicht. De uitkomsten hiervan hebben mede bijgedragen aan de keuze voor de wet- en regelgeving die wij in de hoofdstukken 2 en 3 van dit rapport hebben behandeld. Ten derde trachtten wij aan de hand van de Interviews de mogelijke risico's te inventariseren en te typeren die door het verstrekken van bedrijfsgegevens aan de overheid en door het beheer van deze gegevens door de overheid kunnen ontstaan.. Het zijn met name de bevindingen omtrent de gepercipieerde risico's inzake de verstrekking die in dit hoofdstuk centraal staan. Daarbij hanteren wij ook in dit hoofdstuk
171 Het protocol dat wij bij de Interviews hebben gehanteerd is opgenomen als bijlage bij dit rapport.
87
Risico's verbunden aan gegevensverstrekking
het onderscheid verstrekkingen.
5.2
in
risico's
als gevolg van
actieve
en passieve
Risico's verbunden aan actieve verstrekkingen
Wij vroegen de ge'ihterviewden naar mogelijke risico's waartegen bedrijven hun bedrijfsgegevens zouden willen beschermen. Daartoe legden wij hun een drietal vragen voor: • Wat is uw opvatting over de situatie waarin de overheid op grond van de bestaande wettelijke mogelijkheden over uw bedrijfsgegevens beschikt? • Acht u in dat opzicht risico's aanwezig? • Tegen welke van deze (soorten) risico's heeft uw bedrijf volgens u een (betere) juridische bescherming nodig? Hier zij vooropgesteld dat uit de antwoorden op deze vragen valt af te leiden dat de bestaande situatie door de gemterviewden inderdaad als problematisch werd ervaren. Teneinde enige structuur aan te brengen in de door de gemterviewden gesignaleerde risico's, rubriceren we ze aan de hand van een vijftal typen bedrijfsgegevens die in dit verband werden genoemd:: administratieve bedrijfsgegevens, persoonsgebonden gegevens, technische bedrijfsgegevens, strategische bedrijfsgegevens en economische bedrijfsgegevens. Benadrukt zij dat we deze soorten bedrijfsgegevens hier voor een beter begrip onderscheiden; dit betekent niet dat de soorten ook daadwerkelijk altijd zijn te scheiden. Het is zeer wel denkbaar dat bedrijfsgegevens kenmerken bezitten van meer dan een type. Onder administratieve bedrijfsgegevens vallen bijvoorbeeld de NAWgegevens van het bedrijf en andere gegevens die zijn ingeschreven in het Handelsregister. Persoonsgebonden gegevens zijn onder meer persoonsgegevens van personeelsleden, ziekteverzuimgegevens, clientgegevens en persoonsgegevens over bestuurders van de vennootschap. Technische bedrijfsgegevens kunnen bijvoorbeeld gegevens zijn over de belasting van het -milieu, productiegegevens en gegevens over brandstofverbruik. Strategische bedrijfsgegevens zijn onder meer gegevens over op handen zijnde fusies en bedrijfsovernames en andere gegevens die de beurskoers of de concurrentiepositie kunnen bemvloeden. Economische bedrijfsgegevens, ten slotte, zijn bijvoorbeeld gegevens over bedrijfsresultaten en liquiditeit.
88
Vertrouwelijk gegeven
Administratieve bedrijfsgegevens Risico's die ge'interviewden noemden wanneer administratieve bedrijfsgegevens aan de overheid worden verstrekt, zijn onder meer financiele risico's. Hierop werd gewezen door de bank, het consultancybedrijf, de zorgkoepel en de beheermaatschappij. De bank wees op het gevaar dat door een teveel aan gegevens in de handelsregisters personen (medewerkers van de onderneming) zijn te traceren die een doelwit kunnen zijn van chantage. Behalve dat de onderneming daardoor een financieel risico loopt, kan het tevens een ernstige bedreiging vormen voor de betreffende personen. Exclusiviteit met betrekking tot administratieve bedrijfsgegevens blijkt tevens van commercieel belang te kunnen zijn. Zo blijkt de omgang met administratieve gegevens over klanten van een bank mede bepaald te worden door de maatschappelijke appreciatie van deze omgang. Vinden de klanten dat de bank niet zorgvuldig met de gegevens omgaat, dan kunnen zij de bank de rüg toekeren en overstappen naar een concurrent. Zolang men de enige is die ergens kennis van draagt, heeft men in zakelijk en financieel opzicht bovendien een (concurrentie)voorsprong op anderen. Dit kan zieh bijvoorbeeld voordoen bij aanstaande wisselingen in de samenstelling van de raad van bestuur. De zorgkoepel wees erop dat door de voortschrijdende marktwerking in de zorgsector de verstrekking van administratieve gegevens steeds grotere financiele consequenties kan hebben. De beheermaatschappij wees erop dat vooral kleinere bedrijven een grote administratieve lastendruk ervaren als gevolg van gegevensverstrekkingen.172 De verstrekking van administratieve bedrijfsgegevens kan onder meer financiele consequenties hebben. Over de door ons in vraag 3a van het interview-protocol genoemde voorbeelden van "gevoelige" bedrijfsgegevens merkte een geinterviewde op: "Een
rangorde
aanbrengen
in de mate van
gevoeligheid vind
ik
moeilijk.
Uiteindelijk hebben ze allemaal te maken met financiele belangen."
172 Dit wordt ook erkend in de kabinetsnota 'Naar minder administratieve lasten', Kamerstukken II 1994/95, 24 036, nr. 5, p. 4: "Administratieve lasten hebben een verborgen karakter. Het gaat meestal niet om feitelijke geldstromen maar meer om tijd die men kwijt is aan het vervullen van administratieve verplichtingen. Het zijn niettemin echte, niet te verwaarlozen kosten, die bovendien meer dan gemiddeld neerslaan bij het midden- en kleinbedrijf, bij startende ondernemingen en bij bedrijven die doorgroeien."
89
Risico's verbonden aan gegevensverstrekking
Persoonsgebonden bedrijfsgegevens Persoonsgebonden gegevens hebben bijvoorbeeld betrekking op bestuursleden, werknemers of dienten. Directeuren van een persoonlijke BV zijn wettelijk verplicht jaarlijks gegevens te verstrekken aan de gemeente waar zij wonen. Het verstrekken van gegevens over personen voor opneming in het Handelsregister kan zelfs persoonlijk bedreigend zijn voor medewerkers van een bedrijf. Gegevens die soms over dienten aan de overheid worden verstrekt, zijn bijvoorbeeld gegevens over betaalde rente (bank), gegevens over een bepaalde opdrachtgever (consultancybedrijf), passagierslijsten (vervoermaatschappij), gegevens over dienten die zijn opgenomen in een zorgverlenende instelling en personeelsgegevens (zorgkoepel). Doorbreking van de vertrouwelijkheid van persoonsgebonden gegevens kan tot schade voor een bedrijf leiden doordat dienten (afnemers, consumenten) bijvoorbeeld geen zaken meer met het bedrijf wensen te doen. Technische bedrijfsgegevens In hoofdstuk 2 kwamen in dit verband de actieve verstrekking van bedrijfsgegevens in het kader van de Mededingingswet, het milieubeleid en de Awb aan de orde. Bedrijf Stechnische gegevens zijn gegevens die inzicht kunnen geven in de primaire processen en producten van bijvoorbeeld een afvalverwerkend bedrijf. De tariefopbouw kan bijvoorbeeld inzicht geven in de kostenstructuur. Voor de marktwerking is het van belang dat de tariefopbouw van (afvalverwerkende) bedrijven niet openbaar wordt. Daarnaast gelden in de afvalverwerkingsbranche gegevens over de uitstoot van verbrandingsinstallaties als bedrijfsgegevens waarvan de verstrekking risico's met zieh meebrengt. "Wanneer er bij een bedrijf tijdens onderhoud een kleine overschrijding van de norm is en die meteen naar buiten gebracht wordt, komt dat meteen op de voorpagina's van alle kranten. Dit schaadt de branche als zodanig."
Niet alleen voor de branchevereniging in de milieusector is schade aan het imago een risico van het verstrekken van bedrijfsgegevens. Schade aan het imago kan ook ontstaan door kwaliteitsonderzoeken bij zorgverlenende instellingen (zorgkoepel), openbaarheid van de wijze waarop een bedrijf haar informatiesysteem heeft beveiligd (consultancybedrijf), publicatie van de resultaten van een onderzoek door de overheid naar het vervoer van stralende Stoffen door vliegtuigen (vervoermaatschappij). Schade aan het imago levert ook een mogelijk risico op bij het verstrekken van strategische bedrijfsgegevens. 90
Vertrouwelijk gegeven
Strategische bedrijfsgegevens
Strategische bedrijfsgegevens kunnen we beschouwen als gegevens die voor het functioneren en het imago van een bedrijf van belang zijn of kunnen zijn. Hierboven werd al gewezen op het risico van schade aan het imago als gevolg van het verstrekken van strategische bedrijfsgegevens. Een verminderd imago kan voor een bedrijf uit strategisch oogpunt nadelig zijn. Vanuit strategisch oogpunt is voor de ge'interviewden voorts de concurrentiepositie een belangrijk risico van verstrekking van bedrijfsgegevens. Zoals door een geinterviewde werd opgemerkt: "In principe zijn dus alle gegevens waar de concurrentie voordeel aan zou kunnen hebben gevoelig."
Strategische bedrijfsgegevens hebben bijvoorbeeld betrekking op voorgenomen fusies en allianties. De behoefte aan bescherming van dergelijke bedrijfsgegevens lijkt zieh vooral voor te doen op momenten waarop die gegevens bij de concurrentie bekend (dreigen te) worden. De 'gevoeligheid', i.e. beschermingsbehoefte, is vermoedelijk dan ook niet zozeer gelegen in de inhoud van de bedrijfsgegevens. Een geinterviewde omschreef het begrip 'gevoelige bedrijfsgegevens' juist vanuit een mogelijk strategisch risico als: "de gegevens die bij ongecontroleerde openbaarmaking concurrentie kunnen be'invloeden ofwel hun weerslag kunnen hebben op de strategische- of marktpositie van het bedrijf (waarbij je ook kunt denken aan 'imago')". Gewezen werd aldus op het risico dat bepaalde vormen van gebruik van de verstrekte bedrijfsgegevens tot strategische schade voor een bedrijf kan leiden. Behalve de zojuist geciteerde signaleerden ook andere geinterviewden een gebrek aan vertrouwelijkheid bij de overheid als een risico bij het verstrekken van strategische bedrijfsgegevens. In het zesde hoofdstuk zullen we hier nader op ingaan. Beurskoersgevoelige informatie, zoals gegevens over winstprognoses, vormen een ander door diverse geinterviewden genoemd voorbeeld van strategische bedrijfsgegevens die aan risico's kunnen blootstaan. Bedrijfsgegevens die de beurskoers kunnen be'invloeden, werden als voorbeeld van gevoelige bedrijfsgegevens genoemd door het consultancybedrijf, de bank en het vervoerbedrijf. Voor de multinational zijn bedrijfsgegevens die de beurskoers kunnen be'invloeden in dit verband zelfs de allerbelangrijkste. Het gaat dan om gegevens die, wanneer die openbaar zouden zijn, invloed kunnen hebben op de beurskoers. Daarbij kan het bijvoorbeeld zelfs zeer triviale gegevens betreffen, zoals het gegeven dat de president-directeur met hernia in het ziekenhuis ligt. 91
Risico's verbunden aan gegevensverstrekking
Economische bedrijfsgegevens Hierboven werd reeds gewezen op het bestaan van een beperkt vertrouwen in de omgang met bedrijfsgegevens door de overheid. Behalve tot bedrijfsstrategische risico's kan de omgang met economische bedrijfsgegevens door de overheid ook tot andere risico's leiden. Als dergelijke risico's werden bijvoorbeeld genoemd: aansprakelijkheidsrisico voor bedrijven, grootschalig economische risico van kapitaalvlucht, verstoring van de marktwerking en voorkeursbehandelingen doordat de overheid belangen heeft in bepaalde ondernemingen. Aansprakelijkheidsrisico's kunnen mede ontstaan door onduidelijke regelgeving. Een ge'interviewde wees erop dat het bedrijf aansprakelijk kan worden gesteld voor geleden schade als bijvoorbeeld onder druk van de vragende instelling gegevens worden verstrekt waarvan achteraf kan worden vastgesteld dat ze niet mochten worden verstrekt. Volgens de betreffende ge'interviewde zou dit niet tot problemen leiden wanneer de wetgeving hier voldoende duidelijk over zou zijn. Bedrijven zouden nu echter een risico lopen als gevolg van onduidelijkheid in de wetgeving. "Je weet vaak niet waartoe je verplicht bent als je (gevoelige) bedrijfsgegevens moet afgeven. Bij kleine ondernemers ontbreekt vaak ook de tijd om dit allemaal na te gaan. En om maar van het gezeur af te zijn, vul je alles gewoon netjes in en stuur je het vervolgens naar de overheid."
Wanneer door de overheid inbreuk zou worden gemaakt op de vertrouwelijkheid van bijvoorbeeld clientgegevens, kan dat voor een bedrijf economische gevolgen hebben. In dit verband werd door een van de ge'interviewden gewezen op de kapitaalvlucht als gevolg van de invoering van de renteseignering. De verplichting voor banken om gegevens over door hun dienten ontvangen rente aan de fiscus te verstrekken, heeft volgens hem geleid tot een grote kapitaalbeweging naar het buitenland. Een ander risico dat ontstaat wanneer de overheid de vertrouwelijkheid van bedrijfsgegevens niet kan garanderen, is verstoring van de marktwerking. De marktwerking is bijvoorbeeld verstoord wanneer sprake is van oneerlijke concurrentie. Ook politieke factoren kunnen de marktwerking verstoren. Zo kan in reactie op kamervragen besloten worden bepaalde gegevens openbaar te maken.173 Aldus kunnen bijvoorbeeld onderhouds-
173 Vgl. Pres. Rb. Den Haag 26 maart 1997, JB 1997/140 (geheimhoudingsplicht versus inlichtingenplioht), m.nt. Reiner de Winter. In casu vloeit de geheimhoudingsplicht voort uit art. 31 Wet toezicht effectenverkeer 1995 en de plicht voor de minister om inlichtingen te verschaffen aan de Staten-Generaal uit art. 68 Grondwet.
92
Vertrouwelijk gegeven
gegevens of gegevens over de tariefopbouw openbaar worden. Het is zeer goed mogelijk dat het betreffende bedrijf hierdoor bedrijfseconomische schade lijdt. Het is echter evenzeer mogelijk dat de schade niet alleen het bedrijf treft, maar de hele branche in een kwaad daglicht steh. "[Een risico is bijvoorbeeld het] imago van de branche 'an sich'. Dit is voor iedere brancheorganisatie zo. De marktwerking kan makkelijker verstoord worden door het publiceren van een rapport met ieders tariefopbouw. Voor een brancheorganisatie zijn imagoschade en de maatschappelijke positie van de branche de belangrijkste risico's. Dergelijke risico's ontstaan bijvoorbeeld wanneer onder invioed van politieke druk (kamervragen) door de overheid onderhoudsgegevens openbaar worden gemaakt."
Ten slotte kan verslechtering van de concurrentiepositie als een bedrijfseconomisch risico worden beschouwd. In dit verband merkte een van de geinterviewden op de belangenverstrengeling die soms bij de overheid aanwezig is. Zo heeft de overheid zelf ook belangen in een aantal ondernemingen. Gedoeld werd bijvoorbeeld op Fokker en Philips. Door de informatie waarover de overheid in de vorm van economische gegevens over een bedrijf beschikt, zou ze een ander bedrijf, waarin het zelf belangen heeft, kunnen bevoordelen. Wanneer daardoor sprake zou zijn van een voorkeursbehandeling van dergelijke ondernemingen, kan dat leiden tot marktvervalsing. Andere ondernemingen zijn daarvan dan, in bedrijfseconomische zin, de dupe.
5.3
Risico's verbunden aan passieve verstrekkingen
Over risico's die verbunden kunnen zijn aan passieve verstrekkingen van bedrijfsgegevens hebben de geinterviewden slechts enkele opmerkingen gemaakt. Blijkbaar vinden bedrijven de risico's van passieve verstrekkingen minder groot dan die van actieve verstrekkingen. Als knelpunt signaleerden de geinterviewden onder andere dat een bezoekende of opsporende ambtenaar in sommige gevallen niet precies weet waar hij naar op zoek is. Aangezien het bedrijf in bepaalde gevallen een kennisvoorsprong heeft op de overheid, moeten de ambtenaren "door de informatie heengeleid worden". Een dergelijk begeleiding betekent voor een bedrijf extra administratieve lasten.
93
Risico's verbonden aan gegevensverstrekking "Je moet de ambtenaren door de gegevens heen leiden, anders snappen ze het niet. Soms weten ze zelfs nog niet eens waar ze eigenlijk naar op zoek zijn en als je ze dan een beetje kunt leiden, dan weet je ook wel wat ze met de informatie gaan doen."
Voorts wees het vervoerbedrijf op het knelpunt dat een rechtercommissaris in het kader van een strafrechtelijk onderzoek een rechterlijk bevel tot uitlevering van vluchtgegevens kan geven. Het is echter vaak niet duidelijk wat er naderhand met die gegevens gebeurt. In feite heeft dit knelpunt tevens betrekking op de wijze waarop de overheid met eenmaal gegaarde bedrijfsgegevens omgaat. Hierop wordt in het volgende hoofdstuk nader ingegaan. Uit verschillende Interviews kwam overigens naar voren dat bedrijven in het algemeen weinig zieht hebben op hetgeen de overheid met eenmaal verkregen bedrijfsgegevens doet. Dit is er vermoedelijk mede de oorzaak van dat bedrijven zieh zorgen maken over de omgang met bedrijfsgegevens door de overheid. Verschillende malen wordt er op gewezen dat door onzorgvuldigheid van de overheid regelmatig vertrouwelijke bedrijfsgegevens uitlekken. Hieraan verbinden de geinterviewden het risico dat bedrijfsgegevens in handen kunnen körnen van derden, waardoor bedrijfsstrategische of bedrijfseconomische schade wordt geleden. Ook het risico dat bedrijfsgegevens die in handen van de overheid zijn, uitlekken raakt het beheer van bedrijfsgegevens door de overheid, dat in het volgende hoofdstuk aan de orde komt.
5.4
Suggesties ter vermindering van risico's
De geinterviewden werd gevraagd of ze suggesties konden doen om de genoemde knelpunten en risico's te beperken. Dit resulteerde in een aantal aanbevelingen die we in deze paragraaf uiteenzetten. In de eerste plaats werd de wens geuit dat de overheid aan moet geven welke bedrijfsgegevens wel en niet verplicht moeten worden verstrekt. Hierbij zou een taak kunnen zijn weggelegd voor de Kamer van Koophandel. Een andere suggestie is dat er een algemene databank dient te körnen waarin alle gegevens verzameld worden die door het bedrijfsleven aan de overheid zijn afgegeven. Voorts werd in een interview gepleit voor de introductie van een grondrecht op informationele zelfbeschikking voor bedrijven. Een dergelijk recht moet kunnen waarborgen dat bedrijven meer controle en zeggenschap krijgen over de eigen bedrijfsgegevens die aan de overheid zijn 94
Vertrouwelijk gegeven
verstrekt. Bedrijven zouden aldus een recht moeten hebben om de exclusiviteit van de bedrijfsgegevens te controleren. Dit betekent dat bedrijven moeten kunnen nagaan of de overheid hen betreffende bedrijfsgegevens heeft doorgegeven, bijvoorbeeld aan andere (overheids)instanties. Dit pleidooi wordt mede ingegeven door de overtuiging dat het opvragen door de overheid van bedrijfsgegevens een ernstige beperking betekent van de informationele zelfbeschikking van bedrijven. Om dezelfde reden dient het verdere gebruik door de overheid van verkregen bedrijfsgegevens aan een strakke normering te worden onderworpen. Primair zou men echter moeten denken aan een strakke omschrijving van de verplichtingen om bedrijfsgegevens aan de overheid te verstrekken. Daarbij kunnen de beginselen van proportionaliteit en subsidiariteit mogelijk een nuttige rol speien: in hoeverre zijn deze bedrijfsgegevens nodig en is het niet mogelijk op een andere wijze de overheid van de benodigde informatie te voorzien? Bij de normering van het secundaire gebruik van deze gegevens door de overheid kan volgens de ge'interviewden worden gedacht aan de introductie van verschillende plichten voor de overheid, zoals een informatieplicht (bedrijven informeren over welke bedrijfsgegevens men beschikt), een protocolplicht (bijhouden aan wie bedrijfsgegevens worden doorgegeven), een vernietigingsplicht (bijvoorbeeld wanneer de bedrijfsgegevens niet langer nodig zijn voor het doel waarvoor ze zijn verkregen). Voorts zou men dienen na te denken over een inzagerecht voor bedrijven, een verbod op doorverstrekking van de bedrijfsgegevens door de overheid, het opnemen van een doelbindingvereiste, het vaststellen van vernietigingstermijnen en de vastlegging van een plicht voor de overheid tot beveiliging van de bedrijfsgegevens. De ge'interviewden zijn allen van mening dat een betere juridische bescherming tegen mogelijk misbruik van bedrijfsgegevens door de overheid noodzakelijk is. Zoals een van hen het uitdrukte: "Informatieplicht, protocolplicht en vernietigingsplichten voor de overheid moeten m.i. in de huidige informatiemaatschappij zeker geregeld zijn."
Een probleem daarbij kan soms zijn dat 'de overheid' zelf niet altijd in Staat is een overzicht te maken van alle aanwezige gegevens over een bepaald bedrijf. Daar zal dus ook de nodige energie in moeten worden gestoken, teneinde bij te kunnen dragen aan een transparanter gebruik van bedrijfsgegevens.
95
Risico's verbünden aan gegevensverstrekking 5.5
Conclusie
Uit de antwoorden op de in de Interviews gestelde vragen blijkt dat de
risico's vooral worden gesignaleerd bij de actieve gegevensverstrekking. De risico's die met name worden genoemd zijn: « gebrek aan controle over de verstrekte bedrijfsgegevens; β gebrek aan normering voor gebruik door de overheid; • gebrek aan vertrouwelijkheid bij de overheid; » kans op financiele schade voor het bedrijf; • kans op imago-schade voor het bedrijf; • kans op aantasting van de concurrentiepositie; • kans op aanwezigheid van belangenverstrengeling bij de overheid; • kans op ontstaan van 'gegevenszucht' bij de overheid; • kans op ontstaan van dubbele administratieve lasten door dubbele gegevensverstrekking. We kunnen deze risico's grofweg in vier categorieen indelen: 1 risico's die verband houden met de verstrekking van bedrijfsgegevens; 2 risico's die voortvloeien uit het gebruik dat de overheid ervan maakt; 3 risico's met betrekking tot de openbaarheid van bedrijfsgegevens en 4 risico's die bestaan wanneer bedrijfsgegevens uitlekken. Ad 1. Verstrekking van bedrijfsgegevens Hierboven leidden wij uit de Interviews af dat risico's die volgens de ge'interviewden verbonden zijn met actief verstrekte bedrijfsgegevens samenhangen met het soort bedrijfsgegeven dat is verstrekt. Achtereenvolgens gaat het om administratieve bedrijfsgegevens, persoonsgebonden bedrijfsgegevens, technische bedrijfsgegevens, strategische bedrijfsgegevens en economische bedrijfsgegevens. Passieve verstrekkingen van bedrijfsgegevens worden door de ge'interviewden blijkbaar minder risicovol geacht. Voor beide typen verstrekkingen geldt als risico dat ze vooral administratieve lasten voor bedrijven meebrengen en dat vaak niet duidelijk is wat de overheid met de eenmaal ontvangen en soms zeer vertrouwelijke bedrijfsgegevens verder doet. Ad 2. Gebruik door de overheid Daarmee zijn we bij een tweede categorie risico's aanbeland: risico's die voortvloeien uit het gebruik dat de overheid van ontvangen bedrijfsgegevens maakt. Deze risico's kunnen drieledig zijn. Ten eerste kan het gebruik op verschillende manieren belastend zijn voor het bedrijf dat de gegevens verstrekte. In de tweede plaats kan het onduidelijk zijn welk 96
Vertrouwelijk gegeven
gebruik de overheid van de bedrijfsgegevens maakt. Dit is kennelijk voor de meeste geinterviewden het geval. Ten derde kan sprake zijn van gebruik van onjuiste of verouderde bedrijfsgegevens (zie ook hoofdstuk 6). Ad 3. Openbaarheid Risico's met betrekking tot de Openbaarheid van bedrijfsgegevens ontstaan blijkens de gehouden Interviews doordat de overheid het vertrouwelijke karakter van de gegevens niet of onvoldoende erkent. Omdat dit een risico is dat samenhangt met het beheer van bedrijfsgegevens door de overheid gaan we hierop in hoofdstuk 6 nader in. Ad. 4 Uitlekken Door diverse geinterviewden is voorts gewezen op het risico van uitlekken wanneer bedrijfsgegevens eenmaal aan de overheid zijn verstrekt. Dit risico vloeit niet voort uit de omstandigheid dat de overheid het vertrouwelijke karakter van veel bedrijfsgegevens niet onderkent, maar bestaat hierin dat individuele ambtenaren dat vertrouwelijke karakter niet of onvoldoende in het oog houden. Ook dit risico vloeit met name voort uit het beheer van bedrijfsgegevens door de overheid. In Hoofdstuk 6 gaan we er dieper op in. Koppelen Tot slot van dit hoofdstuk willen we enkele opmerkingen maken over de in hoofdstuk 2 gesignaleerde tendens tot het gebruik van informatie- en communicatietechnologie bij het gebruik van bedrijfsgegevens door de overheid. Wij wezen er op dat het geautomatiseerd koppelen van bestanden enerzijds met zieh mee kan brengen dat informatieverplichtingen voor het bedrijfsleven kunnen worden teruggedrongen maar dat anderzijds het zieht op de kwaliteit en het gebruik van bedrijfsgegevens in handen van de overheid verder verloren kan gaan. Wanneer we de wenselijkheid van koppelingen in het bovenstaande perspectief plaatsen, lijken koppelingen wenselijk ter vermindering van de risico's (administratieve lasten) van verstrekking van bedrijfsgegevens. Daarvoor geldt dan wel dat aanvullende maatregelen, zoals protocollering, moeten worden getroffen. Aldus kan het gebruik juist worden verhelderd en het secundair gebruik minder ondoorzichtig worden gemaakt. In dat geval kan de overheid ook eenvoudiger voldoen aan de wens meer openheid te betrachten inzake het gebruik van bedrijfsgegevens voor andere doelen, zoals toezicht of fraudebestrijding. Geautomatiseerde koppelingen mögen nuttig zijn ter vermindering van de hoeveelheid te verstrekken bedrijfsgegevens, ze lijken echter minder wenselijk voor de andere hierboven door ons onderscheiden risico97
Risico's verbonden aan gegevensverstrekking
categorieen. Dat geldt derhalve voor risico's verbonden aan het (secundaire) gebruik van bedrijfsgegevens voor zover dat belastend is voor bedrijven, het gebruik van onjuiste of verouderde gegevens, wanneer ten onrechte geen vertrouwelijk karakter aan bedrijfsgegevens wordt toegekend (openbaarheid) en wanneer ten onrechte de vertrouwelijkheid van bedrijfsgegevens niet in acht wordt genomen (uitlekken). In het volgende hoofdstuk zullen we hier nader op ingaan.
98
6. Risico's verbünden aan gegevensbeheer
6.1
Inleiding
In het vorige hoofdstuk stonden de in de praktijk gepercipieerde risico's van de verstrekking centraal. In dit hoofdstuk gaan we in op de risico's verbonden aan het beheer van bedrijfsgegevens door de overheid. De gemterviewde bedrijven signaleren ook in verband met dat beheer verschillende risico's. Van de vier categorieen risico's die we in paragraaf 5.6 signaleerden, hebben er drie betrekking op het beheer van gegevens door de overheid; risico's die voortvloeien uit het gebruik dat de overheid ervan maakt; risico's met betrekking tot de openbaarheid van bedrijfsgegevens; en risico's die bestaan wanneer bedrijfsgegevens uitlekken. In dit hoofdstuk zullen deze drie categorieen centraal staan. Achtereenvolgens bespreken we in paragraaf 2 het gebruik van bedrijfsgegevens door de overheid. In paragraaf 3 behandelen we het openbaar worden van bedrijfsgegevens, waarna in paragraaf 4 het uitlekken van bedrijfsgegevens aan de orde komt.
6.2
Het gebruik van bedrijfsgegevens door de overheid
Drie typen risico's Er zijn twee manieren denkbaar waarop de overheid gebruik kan maken van bedrijfsgegevens. Ten eerste kan een overheidsinstantie op grond van die gegevens een concrete beslissing nemen over een individueel bedrijf. Daarnaast kan de overheid de gegevens gebruiken bij de ontwikkeling van beleid. In dat opzicht speelt het gebruik van gegevens een indirecte rol, namelijk als beslissingen over individuele bedrijven worden genomen conform het geformuleerde beleid. De risico's die zieh, volgens de gemterviewde bedrijven, bij deze vormen van gebruik van bedrijfsgegevens kunnen voordoen, hebben betrekking op een drietal terreinen. In de eerste plaats zijn er risico's die verband houden met de hoeveelheid bedrijfsgegevens waarover de overheid beschikt bij de uitvoering van haar taken. Een ander risico ontstaat wanneer de overheid 99
Risico's verbunden aan gegevensbeheer
beslissingen neemt op basis van onjuiste of verouderde gegevens. Ten slotte wordt het risico genoemd dat gegevens die op zichzelf genomen juist zijn door de overheid worden gebruikt bij het nernen van beslissingen waarvoor die gegevens oorspronkelijk niet zijn verzameld. Belastende hoeveelheid aanwezige gegevens Voor de uitvoering van haar taken heeft de overheid bedrijfsgegevens nodig. Vaak zelfs grote hoeveelheden bedrijfsgegevens, die worden verzameld door middel van actieve en passieve verstrekkingen. We zagen eerder dat bedrijven in veel gevallen vinden dat ze te veel bedrijfsgegevens aan de overheid moeten verstrekken. Het probleem hierbij is dat het vooraf voor de overheid veelal niet duidelijk is welke gegevens precies nodig zijn om een beslissing te kunnen nemen. Bij het bedrijfsleven ontstaat daarom soms de indruk dat de overheid overvraagt. In ieder geval krijgt de overheid vaak de beschikking heeft over meer bedrijfsgegevens dan strikt noodzakelijk is. Een tweede situatie betreft die waarin de overheid de beschikking heeft over bedrijfsgegevens waarvan bedrijven menen dat ze helemaal niet verstrekt dienen te worden, omdat de overheid via andere wegen reeds de beschikking heeft over de noodzakelijke gegevens die ze voor de uitvoering van een taak nodig heeft. Onjuiste of verouderde bedrijfsgegevens Zowel het bedrijfsleven als de overheid hebben er belang bij dat bedrijfsgegevens op een juiste wijze bij de bevoegde overheidsinstanties zijn geregistreerd. Dit houdt in dat de bedrijfsgegevens waarover de overheid beschikt correct dienen te zijn en bij voorkeur niet al te gedateerd mögen zijn. Voor bedrijven is het belang bij correcte en actuele gegevens onder meer in financiele overwegingen gelegen. Dat kan in negatieve en in positieve zin worden uitgelegd. Negatief, omdat het gebruik van onjuiste gegevens ertoe kan leiden dat een bedrijf een subsidie misloopt waar het recht op zou hebben gehad, een vergunning niet verleend ziet zodat een bedrijfsonderdeel niet uitgeoefend kan worden, of als verdachte rechtspersoon in een strafproces wordt vervolgd hetgeen schade kan toebrengen aan de goede naam van het bedrijf. Maar een beslissing op basis van onjuiste informatie kan ook positieve gevolgen voor een bedrijf hebben. Zo is het denkbaar dat de overheid, omdat ze niet over de juiste bedrijfsgegevens beschikt, een bedrijf een te läge heffing in rekening brengt of een subsidie toekent die te hoog is.
100
Vertrouwelijk gegeven
Ook van overheidswege bestaat een belang bij correcte en actuele gegevens. Dit belang kan zijn gelegen in financiele overwegingen (bijvoorbeeld in het kader van het voor subsidies beschikbare budget). Maar ook bij de uitoefening van essentiele overheidstaken, zoals het voeren van juridische procedures en het formuleren en het uitvoeren van overheidsbeleid, kan de overheid het niet stellen zonder juiste (bedrijfs)gegevens. Door een respondent werd daarorn opgemerkt dat de overheid er baat bij zou hebben, indien er voor bedrijven een recht op inzage en correctie zou worden ingevoerd. De oorsprong van onjuistheid van gegevens kan verschillend zijn. Gegevens kunnen verouderd zijn, waardoor ze niet meer in overeenstemming met de werkelijkheid zijn. Bedrijven kunnen zelf onjuiste gegevens hebben verstrekt. Maar ook door menselijke fouten kunnen juiste gegevens op een onjuiste manier in overheidsregistraties zijn terechlgekomen. Voor bedrijven lijkt de oorsprong van de onjuistheid in eerste instantie niet primair van belang. In sommige gevallen zal het bedrijf er weinig van merken of plukt het zelfs de vruchten van de onjuistheid van de bedrijfsgegevens. Het kan echter zijn dat een bedrijf geconfronteerd wordt met een overheidsbeslissing die vreemd voorkomt. In de gevallen dat het bedrijf beroep of bezwaar aantekent, komt in een eventuele procedure de onjuistheid van de gegevens naar voren. Maar niet alle consequenties van overheidsbeslissingen zijn reparabel. Zo kunnen opsporingsactiviteiten legen een bedrijf gevolgen voor een opgebouwde reputatie hebben. Die reputatie is nauwelijks meer te herstellen, indien achteraf blijkt dat de opsporingsactiviteiten gebaseerd zijn op het gebruik van onjuiste gegevens. Door de respondenten wordt het ontbreken van een aantal voorzieningen als mogelijke oorzaak genoemd van onjuistheid van bedrijfsgegevens.Ze wijzen op het ontbreken van een mogelijkheid tot inzage en correctie en op het ontbreken van een plicht tot controle door de overheid zelf. Daarnaast constateert een aantal respondenten een probleem met betrekking tot de bewaartermijnen. We staan bij deze drie aspecten kort stil. Het ontbreken van inzage en correctie Het probleem bij het gebruik van onjuiste gegevens hangt volgens de geinterviewden onder meer samen met het feit dat er voor bedrijven weinig mogelijkheden zijn tot inzage in en correctie van de bedrijfsgegevens die bij de verschillende overheidsinstanties geregistreerd staan. Inzage en correctie van de eigen bedrijfsgegevens wordt door een aantal bedrijven als zeer belangrijk omschreven. Gevraagd naar het belang van inzage en correctiemogelijkheden stell een van de respondenten: 101
Risico's verbonden aan gegevensbeheer "Ik denk dat het uitermate belangrijk is voor een organisatie, net als voor Personen, om te weten welke gegevens over de organisatie of over personen zijn vastgelegd. Een belangrijk doel daarvan is te kunnen weten of de overheid inderdaad over de juiste gegevens beschikt en of de registratie correct heeft plaatsgevonden."
Er zijn ook bedrijven die laconieker tegenover het ontbreken van een recht op inzage staan. Ze hebben er geen behoefte aan of denken op andere manieren de problemen op te kunnen lossen. Dit blijkt uit de reactie van een respondent van een multinational op de vraag of er mogelijkheden bestaan om inzage te krijgen in de eigen bedrijfsgegevens die bij de overheid berusten: "Het enige dat je je zou kunnen voorstellen is dat je wilt verifieren of de overheid over de juiste informatie over je bedrijf beschikt. Op het moment dat het zieh voordoet, de overheid wijst iets af of komt tot een bepaalde beslissing, die je vreemd vindt, dan treed je in overleg met de overheid. Ik durf negenennegentig procent zeker te zeggen dat wij niet tussentijds bij de overheid gaan kijken of de gegevens wel juist zijn."
De wens van althans sommige bedrijven tot inzage en verbetering van de eigen bedrijfsgegevens Staat in contrast met de huidige juridische mogelijkheden. Zoals we in hoofdstuk twee en drie hebben geconstateerd, dienen er grote hoeveelheden bedrijfsgegevens aan de overheid verstrekt te worden. In de relevante wettelijke regelingen ontbreekt in veel gevallen de mogelijkheid tot inzage en correctie van de eigen bedrijfsgegevens. Dit betekent echter niet dat ledere mogelijkheid tot inzage en correctie van bedrijfsgegevens waarover de overheid beschikt, zou ontbreken. Zo bestaat er een mogelijkheid tot inzage van de gegevens van een bedrijf in de handelsregisters bij de Kamer van Koophandel. Alle gegevens die door een bedrijf zijn aangeleverd voor opname in de openbare registers kunnen gecontroleerd worden indien deze in die registers zijn opgenomen. Daarnaast bestaat er, zoals uit het vierde hoofdstuk bleek, een aantal mogelijkheden tot inzage op grond van de Wet openbaarheid van bestuur (Wob). Controle door de overheid zelf Een andere oorzaak die er in de ogen van de ge'interviewde bedrijven toe bijdraagt dat de overheid in voorkomende gevallen gebruik maakt van onjuiste gegevens is gelegen in het feit dat er op de overheid geen plicht rust
102
Vertrouwelijk gegeven
om te controleren of de bedrijfsgegevens die in de bestanden opgeslagen liggen nog actueel en juist zijn. Bij deze zienswijze van het bedrijfsleven dient een kanttekening te worden geplaatst. Met name in de Algemene wet bestuursrecht (Awb) zijn enige controlemomenten voor bedrijfsgegevens waarover de overheid beschikt voorgeschreven. Zo bepaalt art. 3:2 Awb dat een bestuursorgaan bij de voorbereiding van een besluit de nodige kennis omtrent de relevante feiten en de af te wegen belangen vergaart. De artikelen 4:7 Awb en 4:8 Awb, die betrekking hebben op de voorbereiding van beschikkingen, bepalen dat de aanvrager en eventuele belanghebbenden behoren te worden gehoord. Verder schrijft art. 3:9 Awb voor dat bij een besluit dat berust op een onderzoek naar feiten en gedragingen dat door een adviseur is verlieht, het bestuursorgaan zieh ervan vergewist dat dit onderzoek op zorgvuldige wijze heeft plaatsgevonden. Bewaartermijnen Bij een aantal van de ge'interviewde personen bestond onduidelijkheid over de bewaartermijnen voor bij de overheid opgeslagen bedrijfsgegevens. Dit werd als een risico aangemerkt, omdat lange bewaartermijnen ertoe zouden kunnen leiden dat de overheid beschikt over verouderde bedrijfsgegevens. Een respondent stelde voor om afhankelijk van het soort gegevens afspraken te maken over bewaartermijnen. Secundair gebruik van bedrijfsgegevens Naast de risico's die samenhangen met een belastende hoeveelheid gegevens en het gebruik van onjuiste of verouderde bedrijfsgegevens, wordt als derde risicotype het secundair gebruik van bedrijfsgegevens door de overheid ervaren. Primair is het gebruik van de bedrijfsgegevens voor het doel waarvoor ze door het bedrijf aan de overheid zijn verstrekt. Van secundair gebruik is sprake als de bedrijfsgegevens voor andere doeleinden dan de oorspronkelijke worden gebruikt. Een belangrijke lacune in dit verband is dat in vele wettelijke regelingen, waaronder ook de Wet persoonsregistraties en de Wet politieregisters, een wettelijke plicht voor overheidsinstanties ontbreekt om aan te geven voor welke doeleinden de verzamelde bedrijfsgegevens mögen worden gebruikt of aan welke derden (hetzij andere overheden, hetzij private organisaties) de verzamelde bedrijfsgegevens mögen worden doorverstrekt. Een aantal bedrijven wijst erop dat deze situatie kan leiden tot het risico dat bedrijven de controle en zeggenschap over hun eigen gegevens verliezen. Ook wanneer de overheid aangeeft wat de gebruiksruimte is, vinden deze 103
Risico's verbonden aan gegevensbeheer
bedrijven dat ze niet kunnen overzien of de overheid zieh aan haar woord houdt.. De respondent van de bank omschreef dit als volgt: "Er zijn weinig mogelijkheden om daar (inzicht in wat er met de door u verstrekte bedrijfsgegevens gebeurt) controle op uit te oefenen. Als ze eenmaal uit de controle van de bank zijn en onder controle van de overheid, dan weet je niet meer of er dan nog legaal of illegaal gebruik van wordt gemaakt. In een aantal gevallen wordt in de wet aangegeven wat de gebruiksruimte is maar het is niet mogelijk te controleren of men zieh daar aan houdt."
Uit de Interviews blijkt dat bedrijven overigens heel verschallend denken over de mogelijke risico's van secundair gebruik. We geven de volgende opmerking als illustratie: "Ik kan moeilijk risico's of gradaties noemen, omdat ik niet weet waar de gegevens eventueel naar toe gaan en ik niet weet wat voor een mogelijke consequenties dit in de toekomst zou kunnen hebben."
Hoewel het navolgende risico niet helemaal onder de noemer secundair gebruik kan worden gebracht, willen we het gezien de samenhang toch op dit punt noemen. Het betreft het risico dat de gegevens waarover de overheid op een legitieme wijze beschikt in eerste instantie weinig schade kunnen berokkenen aan een bedrijf dat de gegevens heeft verstrekt. Door een verandering van omstandigheden, bijvoorbeeld de invoering van marktwerking in een sector of het van kracht worden van nieuwe regelgeving, kunnen die gegevens in een latere fase wel een bedreiging vormen voor de positie van het bedrijf.
6.3
Openbaarmaking van bedrijfsgegevens door de overheid
In het vierde hoofdstuk hebben we gezien dat het rechtsregime dat betrekking heeft op de gegevens waar de overheid de beschikking over heeft, is opgebouwd uit verschillende elementen van vertrouwelijkheid en openbaarheid. Uit een analyse van onder meer de Algemene wet bestuursrecht, de Ambtenarenwet en de Wet openbaarheid van bestuur bleek dat voor individuele medewerkers van de overheid een verplichting tot vertrouwelijkheid voorop Staat en voor bestuursorganen een verplichting tot openbaarheid. Met betrekking tot het openbaarmaken van bedrijfs- en fabricagegegevens door de overheid bevat de Wet openbaarheid van bestuur een uitzondering in art. 10 lid l sub c. De bepaling bevat een 104
Vertrouwelijk gegeven
absolute uitzonderingsgrond die het openbaar maken van vertrouwelijk verstrekte bedrijfs- en fabricagegegevens verbiedt. Risico's voor de openbaarheid van bedrijfsgegevens ontstaan onder meer door het niet of onvoldoende erkennen van het vertrouwelijke karakter van de gegevens. Dergelijke risico's vloeien voort uit de algemene omschrijving van de geheimhoudingsplicht in de Ambtenarenwet en de Algemene wet bestuursrecht, uit de interpretatieruimte die als gevolg daarvan bestaat en uit de informatieplicht die op de overheid rust. De vraag of bepaalde bedrijfsgegevens een vertrouwelijk karakter hebben kan slechts worden beantwoord wanneer wordt gelet op de inhoud van die gegevens. Worden bijvoorbeeld persoonsgebonden bedrijfsgegevens of fabricagegegevens verstrekt, dan kan de verstrekker zelf aangeven of er sprake is van vertrouwelijke bedrijfsgegevens. Dit helpt de ambtenaar de mate van vertrouwelijkheid van de gegevens te bepalen. Dragen de gegevens een vertrouwelijk karakter, dan mag het bestuursorgaan deze niet ter inzage leggen. We stelden in hoofdstuk 4 reeds dat een bedrijf door het vertrouwelijke karakter van de gegevens zelf aan te geven in zekere zin de controle op het gebruik ervan kan vergroten. Op grond van de bestaande jurisprudentie is de overheid dan immers verplicht de vertrouwelijkheid ervan te eerbiedigen.174 Uit de Interviews komt naar voren dat bedrijven in principe weinig moeite hebben met de handeling van het openbaarmaken van bedrijfs- en fabricagegegevens zelf. Veelal liggen de risico's in de context van de openbaarmaking van de gegevens. Het kan bijvoorbeeld de vraag zijn of de openbaarmaking in overeenstemming is met de werkelijke situatie en op een faire wijze geschiedt. Van de gepercipieerde schending van dat laatste gaf de respondent van de vervoersmaatschappij een voorbeeld. Dat bedrijf meldde alle soorten incidenten aan de toezichthoudende instantie, al ging het slechts om het lekken van olie. Vervolgens bracht de toezichthoudende instantie in de openbaarheid dat er bij dat bedrijf meer incidenten voorkwamen dan bij andere bedrijven, terwijl die andere bedrijven veel minder aan deze instantie rapporteerden. Het risico zit hem dus niet zozeer in de openbaarmaking zelf waar bedrijven problemen mee hebben, maar wel in de wijze waarop de gegevens door de overheidsinstantie worden gepresenteerd.
174 Afgewacht dient echter te worden welke uitwerking de uitspraak van het Europese Hof voor de Rechten van de Mens in de zaak Guerra e.a legen Italie, JB 1998/49, in het Nederlandse recht zal hebben. Deze uitspraak kan namelijk verstrekkende gevolgen hebben voor het absolute uitzonderingskarakter van de openbaarheid van bedrijfs- en fabricagegegevens zoals vervat in art. 10 lid 1 onder c Wob. 105
Risico's verbonden aan gegevensbeheer 6.4
Uitlekken van bedrijfsgegevens
Het risico van uitlekken van bedrijfsgegevens ontstaat wanneer de overheid het vertrouwelijke karakter van die gegevens niet of onvoldoende in acht neemt. Het vertrouwen in de zorgvuldige omgang met bedrijfsgegevens door de overheid is niet altijd even groot. De ervaringen van de gemterviewden zijn soms heel verschillend. Redelijk positief zijn de vervoersmaatschappij en de multinational. Het vervoerbedrijf signaleert dat de overheid momenteel op de goede weg is en hard werkt aan het bevorderen van de integriteit. De overheid verricht bijvoorbeeld onderzoeken bij openbare aanbestedingen en bij meldingen van ongebruikelijke transacties. De overheid zou samen met het bedrijfsleven de bescherming van bedrijfsgegevens moeten realiseren. Anderzijds wijst het vervoerbedrijf er op dat bedrijfsleven en overheid ook wel verschillende doeleinden nastreven, waardoor risico's of 'conflicts of interests' ontstaan met betrekking tot de bescherming van bedrijfsgegevens. De multinational is enerzijds positief over de omgang met bedrijfsgegevens door de overheid. Het bedrijf heeft niet de indruk dat, met betrekking tot fusiecontroles, bij de overheid vaak bedrijfsgegevens weglekken. Anderzijds is het bedrijf van mening dat bij de overheid juist heel veel bedrijfsgegevens lekken. De schade die daardoor wordt geleden is, aldus het bedrijf, moeilijk vergoed te krijgen. Veel negatiever zijn met name de bank, het consultancybedrijf en - in iets mindere mate - de zorgkoepel. De kans op uitlekken van bedrijfsgegevens wordt groter geacht naarmate meer ambtenaren er kennis van nemen. Voorts bestaan in het algemeen te weinig normen en regels over de wijze waarop de overheid met eenmaal verkregen bedrijfsgegevens dient om te gaan. Er is daardoor nauwelijks controle op het verdere gebruik van verstrekte bedrijfsgegevens. Door de ge'interviewde bedrijven werden twee oorzaken aangewezen die ten grondslag liggen aan de mogelijkheid tot het uitlekken van bedrijfsgegevens. Als eerste oorzaak noemen ze de onvoldoende beveiliging van de bedrijfsgegevens, als tweede het ontbreken van een geheimhoudingscultuur bij de overheid. We bespreken beide oorzaken nader. Onvoldoende beveiliging Ook bij de overheid wordt het merendeel van de bedrijfsgegevens op geautomatiseerde wijze bewaard. Een risico dat in een aantal Interviews ter sprake kwam is dat de Systemen waarin de bedrijfsgegevens worden 106
Vertrouwelijk gegeven
opgeslagen onvoldoende zouden zijn beveiligd: de technische infrastructuur biedt onvoldoende bescherming tegen derden die van buitenaf een kijkje willen nemen in de databestanden van de overheid. Door de respondent van de afvalverwerkingsorganisatie werd opgemerkt: "Bij een aantal bedrijven die wij vertegenwoordigen worden de emissie-gegevens electronisch gemeten. Het kan best zo zijn dat dat aan de handhaving electronisch wordt doorgeseind. Er zijn situaties denkbaar waarbij ik me goed kan voorstellen dat bedrijven door middel van een keurmerk de garantie willen hebben dat het informatiesysteem van de overheid waar die gegevens worden opgeslagen goed beveiligd is."
Volgens sommige bedrijven is er te weinig zieht op de beveiliging van bij de overheid opgeslagen gegevens. Daar wordt overigens wel aan toegevoegd dat de ene overheidsinstantie niet de andere is, zodat er op dit punt niet gegeneraliseerd kan worden. Een van de respondenten wees erop dat iT-beveiliging in de körnende jaren een centrale plaats zal innemen in de relatie tussen de overheid en het bedrijfsleven als het gaat om het verstrekken van bedrijfsgegevens. Bedrijven zouden in principe geen bedrijfsgegevens moeten verstrekken aan overheden die niet een adequate IT-beveiliging kunnen garanderen. Onvoldoende geheimhoudingscultuur bij de overheid Bij sommige van de gei'nterviewden blijkt het vertrouwen in de geheimhoudingscultuur van de overheid klein te zijn. Hoewel men vaststelt dat de overheid in lang niet alle gevallen slordig met vertrouwelijke bedrijfsgegevens omgaat, is er bij bedrijven onder invloed van een aantal met name genoemde praktijkvoorbeelden enig wantrouwen jegens de overheid ontstaan. De perceptie van enkele respondenten is dat er bij de overheid, althans bij een aantal overheidsinstanties, geen echte geheimhoudingscultuur is zoals die in het bedrijfsleven wel bestaat. Dit kan leiden tot een onzorgvuldige omgang met bedrijfsgegevens. Daarnaast wordt opgemerkt dat bepaalde ambtenaren, door een gebrek aan professionaliteit of opleiding, de met de bedrijfsgegevens gemoeide belangen niet inzien. Ook dit kan leiden tot een onzorgvuldige omgang met bedrijfsgegevens en vergroot de kans op uitlekken.
107
Risico's verbonden aan gegevensbeheer 6.5
Conclusie
Met de bovenstaande analyse hebben we getracht om op basis van de gehouden Interviews aan te geven welke risico's er volgens het bedrijfsleven aan het beheer van bedrijfsgegevens zijn verbonden. Samengevat gaat het om de volgende risico's: • risico's die samenhangen niet het gebruik van bedrijfsgegevens door de overheid; • risico's die samenhangen met het openbaar maken van bedrijfsgegevens door de overheid; • risico's die samenhangen met het uitlekken van bedrijfsgegevens via de overheid. Op de genoemde terreinen constateren de geinterviewde bedrijven knelpunten die we onderbrengen in drie categorieen: 1. ontbreken van genormeerde mogelijkheden tot controle op de eigen bedrijfsgegevens; 2. ondoorzichtigheid van handelingen met bedrijfsgegevens door de overheid; 3. onzorgvuldige omgang met bedrijfsgegevens door de overheid. Ad 1. Ontbreken van genormeerde mogelijkheden tot controle op de eigen bedrijfsgegevens In de eerste plaats moeten er volgens de respondenten meer mogelijkheden worden gecreeerd om inzage te verkrijgen in de bedrijfsgegevens waarover de overheid beschikt of de overheid verplichten meer controle uit te voeren naar de bedrijfsgegevens waar het over beschikt. Wij kunnen ten dele onderschrijven: de inzagemogelijkheden op grond van bijzondere wetten zijn beperkt. Maar er bestaan in ons huidig wettelijk systeem inzagerechten op andere gronden dan die van de bijzondere wetten. En ook voor wat de afwezigheid van controle door de overheid betreft, merken we op dat er momenteel wel relevante Instrumenten voorhanden zijn. Zo zagen we dat de art. 3:2 Awb, art. 3:9 Awb, art. 4:7 Awb en art. 4:8 Awb controlemomenten voor de overheid bevatten. Het probleem lijkt dus niet zozeer te liggen in het ontbreken van de genormeerde mogelijkheden tot controle op de eigen bedrijfsgegevens, maar in het ontbreken van voldoende inzicht in die mogelijkheden.
108
Vertrouwelijk gegeven
Ad 2. Ondoorzichtigheid van handelingen met bedrijfsgegevens door de overheid Een tweede knelpunt dat uit de Interviews naar voren komt, is de Ondoorzichtigheid van wat de overheid met bedrijfsgegevens doet. We wezen in dit verband op de mogelijkheden voor secundair gebruik van bedrijfsgegevens, dat wil zeggen het gebruik van bedrijfsgegevens door de overheid voor doeleinden waarvoor die gegevens oorspronkelijk niet zijn verzameld. De Ondoorzichtigheid bij secundair gebruik doet zieh op twee niveaus voor. In de eerste plaats op een feitelijk niveau: bedrijven weten niet of er sprake is van secundair gebruik van bedrijfsgegevens door de overheid. In de tweede plaats op een juridisch niveau: bedrijven weten niet in hoeverre secundair gebruik van bedrijfsgegevens in wet- of regelgeving is genormeerd. Een tweede voorbeeld van Ondoorzichtigheid zijn we tegengekomen bij de IT-beveiliging door de overheid. De geinterviewde bedrijven gaven aan dat ze ook hier te weinig zieht hebben op de beveiliging van bij de overheid opgeslagen gegevens. Ad 3. Onzorgvuldige omgang met bedrijfsgegevens door de overheid Een laatste knelpunt dat uit de gehouden Interviews naar voren komt, brengen wij onder de noemer onzorgvuldige omgang met bedrijfsgegevens door de overheid. Dit knelpunt kwam met narne naar voren bij het derde risico, het uitlekken van bedrijfsgegevens. Bij bedrijven bestaat de indruk dat de geheimhoudingscultuur bij de overheid niet zo ontwikkeld is als in het bedrijfsleven. Een ander bezwaar was dat er vaak te veel ambtenaren bij een zaak betrokken zijn, waardoor het risico van uitlekken wordt vergroot. Ten slotte werd er op gewezen dat de overheid niet altijd het belang zou inzien van de bedrijfsgegevens waar zij de beschikking over heeft. Bij de openbaarmaking van bedrijfsgegevens bestaat eveneens de indruk dat de overheid niet altijd even zorgvuldig is. Ook ten aanzien van dit punt is er sprake van een negatief beeld dat het bedrijfsleven heeft over de manier waarop de overheid om zou gaan met bedrijfsgegevens. Of dit wantrouwen gerechtvaardigd is, is een andere vraag.175 Het beeld bestaat in ieder geval.
175 Een empirisch onderzoek naar de wijze waarop de overheid met bedrijfsgegevens omgaat, vormde immers geen onderdeel van dit onderzoek.
109
7. Samenvatting, conciusies en een aanzet voor speiregeSs
7.1
Inleiding
Zoals we in de inleiding reeds opmerkten zijn er in het recente verleden vanuit het bedrijfsleven kritische geluiden vernomen over het volume en de aard van de gegevens die ingevolge wettelijke verplichtingen aan de overheid moeten worden overgelegd en over het gebruik dat door de overheid van deze gegevens wordt gemaakt. Aan deze kritiek ligt onder meer de vrees ten grondslag dat bij overlegging en gebruik van sommige bedrijfsgegevens risico's ontstaan voor onjuiste registratie, gebruik voor oneigenlijke doelen of kennisneming door onbevoegden. Dit kan resulteren in financieel verlies dan wel andere (onbedoelde) schade voor bedrijven. In het onderhavige onderzoek hebben wij getracht inzicht te verkrijgen in de (aard van de) risico's die gegevensverstrekking voor bedrijven met zieh meebrengt. Tevens hebben we een beeld willen scheppen van de specifieke risico's die zijn verbonden aan het gebruik van bedrijfsgegevens door de overheid. Teneinde tot dit inzicht en beeld te körnen, hebben we een inventarisatie en typering van de verplichtingen tot bedrijfsgerelateerde gegevensverstrekkingen in bestaande wettelijke regelingen gemaakt. Het betreft enerzijds wettelijke verplichtingen op basis waarvan bedrijven verplicht zijn om bedrijfsgegevens te verstrekken aan overheidsinstanties (actieve gegevensverstrekking), en anderzijds wettelijke regelingen die de overheid de mogelijkheid bieden inzage te verlangen in gegevens die in bedrijfsinformatiesystemen zijn opgeslagen (passieve gegevensverstrekking). Tevens hebben we om het voornoemde inzicht en beeld te verkrijgen een inventarisatie gemaakt van de zorg-, registratie-, en verstrekkingsverplichtingen die ingevolge wettelijke regelingen bij het gebruik van eenmaal verkregen bedrijfsgegevens op de overheid drukken. Aan de hand van de aldus verkregen inzichten en op basis van de visies die naar voren körnen uit gesprekken die daarover met de bedrijven en de brancheorganisaties werden gevoerd, kan een aantal risicogroepen worden onderscheiden. Deze risico's bestaan in handelingen die in het kader van verstrekking of beheer van bepaalde gegevens aan of door de overheid tot 111
Samenvatting, conclusies en een aanzet voor spelregels
schade of financieel verlies voor bedrijven kunnen leiden. Het blijkt dat ten aanzien van deze risico's een onderscheid kan worden gemaakt naar de manier waarop de overheid gebruik maakt van de gegevens, enerzijds, en de manier van opslag van de gegevens door de overheid, anderzijds. Uit de analyses in de voorgaande hoofdstukken komt een aantal punten naar voren waaraan de wetgever en beleidsmakers aandacht zouden kunnen besteden. Wij zullen hieronder allereerst een körte samenvatting van de diverse hoofdstukken geven, waarna we de bovengenoemde punten in de vorm van conclusies presenteren. Vervolgens formuleren we op basis van deze punten spelregels die van belang zijn voor de wetgever en de overheidsgeledingen die met bedrijfsgegevens omgaan. Belangrijkste doelstelling van de spelregels is de in het onderzoek onderscheiden risico's voor bedrijven waar mogelijk in de toekomst te beperken. Met name nu de werkingssfeer van enkele grondrechten lijkt te worden uitgebreid naar rechtspersonen176, stellen we bij de bespreking van deze spelregels de vraag centraal in hoeverre bedrijven een recht op de bescherming van hun gegevens dient toe te körnen.
7.2
Samenvatting
In het onderhavige onderzoek hebben we getracht inzicht te geven in de (aard van de) risico's die gegevensoverlegging voor bedrijven met zieh meebrengt. Tevens hebben we een beeld willen scheppen van de specifieke risico's die zijn verbonden aan het gebruik van deze bedrijfsgegevens door de overheid. In de voorgaande hoofdstukken zijn op basis van literatuurstudie mogelijke risico's geanalyseerd die bestaan als gevolg van de actieve en passieve verstrekking van bedrijfsgegevens. Met betrekking tot de actieve verstrekking is met name gewezen op de risico's van toenemende administratieve lasten, de risico's die verband houden met de inhoud van gegevens die een grote mate van vertrouwelijkheid kunnen hebben, het 176 Vgl. de opmerking, gemaakt bij de opname van enkele grondrechten in de Grondwet 1983 "de voorgestelde bepalingen beogen ook aan rechtspersonen en aan groepen en aan organisaties zonder rechtspersoonlijkheid rechten en aanspraken te verlenen, voor zover dat naar de aard van het betreffende grondrecht zin kan hebben." (Kamerstukken II 1975/76, 13 872, nr. 3, p. 11). Zie: R.A.R.S. Finaly, "Grondrechtenbescherming van rechtspersonen", NJCM-Bulletin 1991, pp. 105-120 en recentelijk: L. Timmerman, Hebben rechtspersonen mensenrechten?, Rechtspleging in het ondernemingsrecht, Deventer 1997, p. 46 ev.; M. Bovens, Hebben rechtspersonen morele plichten en fundamentele rechten?, Ars Aequi 1998, p. 655659; R.A.R.S Finaly, Privacy van rechtspersonen, NJCM-Bulletin 1998, pp. 554-570. 112
Vertrouwelijk gegeven
ontbreken van inzicht in het gebruik en beheer van de bedrijfsgegevens door de overheid en risico's die kunnen ontstaan wanneer koppeling plaatsvindt van bestanden met bedrijfsgegevens (hoofdstuk 2). Het risico van meer administratieve lasten is ook aanwezig bij passieve verstrekkingen van bedrijfsgegevens. In dat verband is ook gewezen op mogelijke indirecte lasten voor bedrijven als gevolg van naspeuring door de overheid: ontregeling van bedrijfsprocessen, het gevaar van gegevensproliferatie en het koppelen van bedrijfsgegevens voor justitieel onderzoek (hoofdstuk 3). Uit de literatuurstudie concludeerden wij dat er een tamelijk sluitend rechtsregime bestaat rond de openbaarheid en vertrouwelijkheid van bedrijfsgegevens waarover de overheid beschikt. Bedrijven zouden wellicht vaker aan de overheid kunnen expliciteren dat in een bepaald geval bedrijfsgegevens vertrouwelijk worden verstrekt. Een wettelijk tekort werd gesignaleerd met betrekking tot een recht op toegang tot de eigen bedrijfsgegevens en de mogelijkheid tot verbetering van die toegang (hoofdstuk 4). Op basis van de Interviews kunnen aan de hand van een vijftal typen bedrijfsgegevens (administratieve bedrijfsgegevens, persoonsgebonden gegevens, technische bedrijfsgegevens, strategische bedrijfsgegevens en economische bedrijfsgegevens) risico's worden geschetst die in de perceptie van de geihterviewde bedrijven en brancheorganisaties verbunden zijn aan het verstrekken van bedrijfsgegevens aan de overheid. We concludeerden dat de risico's vooral worden gesignaleerd voor actieve gegevensverstrekking en in mindere mate voor passieve gegevensverstrekking. Grofweg blijken de risico's verband te houden met de verstrekking van specifieke typen bedrijfsgegevens, het gebruik dat de overheid ervan maakt, de openbaarheid van bedrijfsgegevens en het uitlekken van de bedrijfsgegevens. Als belangrijke oorzaken voor het ontstaan van deze risico's werd gewezen op het ontbreken van genormeerde mogelijkheden tot controle van de eigen bedrijfsgegevens. Ook de ondoorzichtigheid van handelingen met de verstrekte bedrijfsgegevens door de overheid werd als oorzaak van de risico's aangewezen. Ten slotte werden de risico's in verband gebracht met onzorgvuldige omgang met bedrijfsgegevens door de overheid. Duidelijk is dat het bedrijfsleven een normering van de verstrekking van bedrijfsgegevens aan de overheid en vervolgens het beheer van deze gegevens door de overheid van groot belang acht voor de bescherming van bedrijfsgegevens (hoofdstukken 5 en 6).
113
Samenvatting, conclusies en een aanzet voor spelregels 7.3
Conciusies
Wanneer we de belangrijkste conclusies van de voorgaande hoofdstukken op een rij zetten, blijkt dat normering bij de omgang met bedrijfsgegevens van belang is. De onderstaande conclusies moeten aldus worden gezien als een aanzet tot de invulling van de in paragraaf 5 te formuleren spelregels. • Gevoelige bedrijfsgegevens: in onze ogen zijn bedrijfsgegevens niet naar hun aard gevoelig of juist niet. De vraag of bepaalde risico's inherent zijn aan de omgang met bedrijfsgegevens is niet op voorhand te beantwoorden. Het antwoord op de vraag of bepaalde aspecten van bedrijfsgegevens risico's teweeg kunnen brengen, hangt evenzeer van de aard van de gegevens zelf af als van de context waarbinnen ze worden gebruikt. Deze ondefinieerbaarheid van 'gevoelig' bedrijfsgegeven leidt er toe dat wanneer voor een algemeen beschermingsregime wordt geopteerd, dit regime zal moeten gelden voor alle bedrijfsgegevens. In onze ogen is dit echter niet wenselijk. Mede in het licht van de hierna uit te werken spelregels voor de omgang met bedrijfsgegevens achten wij het van belang dat bedrijven veel meer dan nu het geval is op het moment van de verstrekking zelf de gegevens waar noodzakelijk de kwalificatie 'gevoelig' mee moeten geven. • Omvang te verstrekken gegevens: de analyse van wet- en regelgeving alsmede jurisprudentie laat zien dat in het kader van een groot aantal wetten soms aanzienlijke hoeveelheden bedrijfsgegevens moeten worden overgelegd. Zowel de actieve als de passieve gegevensverstrekking brengen voor bedrijven lasten mee. Naast de directe administratieve lasten signaleren we mogelijke indirecte lasten, zoals de ontregeling van bedrijfsprocessen, het gevaar van gegevensproliferatie en het koppelen van bedrijfsgegevens voor justitieel onderzoek. • Risico's in relatie tot verstrekking: uit de Interviews komt naar voren dat de risico's die met de verstrekking van bedrijfsgegevens aan en het gebruik van bedrijfsgegevens door de overheid samenhangen vooral in verband worden gebracht met actieve gegevensverstrekking en in veel mindere mate met passieve gegevensverstrekking. De risico's die in relatie tot actieve verstrekkingen worden genoemd zijn: - gebrek aan controle over de verstrekte bedrijfsgegevens; - gebrek aan normering voor gebruik door de overheid; - gebrek aan vertrouwelijkheid bij de overheid; - kans op financiele schade voor het bedrijf; - kans op imago-schade voor het bedrijf; - kans op aantasting van de concurrentiepositie; - kans op aanwezigheid van belangenverstrengeling bij de overheid; 114
Vertrouwelijk gegeven
- kans op ontstaan van 'gegevenszucht' bij de overheid; - kans op ontstaan van dubbele administratieve lasten meervoudige gegevensverstrekking.
door
De twee risico's die met passieve verstrekking van bedrijfsgegevens in verband worden gebracht zijn: de administratieve lasten voor een bedrijf die ontstaan doordat ambtenaren niet altijd precies weten waarnaar zij op zoek zijn, en het gebrek aan inzicht wat de overheid met eenmaal verkregen bedrijfsgegevens precies zal gaan doen. Secundair gebruik; waar voor de verstrekking en geheimhouding van bedrijfsgegevens in de wetgeving diverse bepalingen voorhanden zijn, stellen we vast dat er voor het verdere gebruik van de verstrekte bedrijfsgegevens nauwelijks voorschriften bestaan. Normering van secundair gebruik van bedrijfsgegevens ontbreekt weihaast volledig. Ten gevolge van het ontbreken van een wettelijk kader bestaat er een zeer ondoorzichtige situatie ten aanzien van secundair gebruik. Deze ondoorzichtigheid doet zieh op twee niveaus voor. In de eerste plaats op een feitelijk niveau: bedrijven weten niet of er sprake is van secundair gebruik van bedrijfsgegevens door de overheid. In de tweede plaats op een juridisch niveau: bedrijven weten niet in hoeverre secundair gebruik van bedrijfsgegevens in wet- of regelgeving is genormeerd. In onze ogen is het hoogstnoodzakelijk aandacht te besteden aan de mogelijkheden tot een nadere normering van secundair gebruik van bedrijfsgegevens. Normering: normering van verstrekking van bedrijfsgegevens aan en gebruik van bedrijfsgegevens door de overheid in een informatiesamenleving is van belang voor de juridische bescherming van bedrijfsgegevens. Naast voornoemde aandacht voor transparantie van het secundair gebruik van gegevens wijzen we op de noodzaak bedrijven beter te informeren over welke gegevens men wel en niet verplicht is te verstrekken. Ook zal er aandacht moeten zijn voor wenselijke mogelijkheden voor bedrijven tot het uitoefenen van controle en zeggenschap over bedrijfsgegevens. Onzes inziens heeft de overheid een grote kans vertrouwen te winnen wanneer zij aandacht toont voor de geheimhoudingscultuur, voor het belang van vertrouwelijkheid van de bedrijfsgegevens waar ze de beschikking over heeft en voor het beperken van het aantal ambtenaren dat bij de besluitvorming wordt betrokken. IT-beveiliging: IT-beveiliging gaat in de körnende jaren een centrale plaats innemen in (het vertrouwen in) de relatie tussen de overheid en het bedrijfsleven als het gaat om het verstrekken van bedrijfsgegevens. Het ligt in de lijn der verwachting dat vanuit het bedrijfsleven de vraag 115
Samenvatting, conclusies en een aanzet voor spelregels
wordt gesteld of bepaalde vertrouwelijke bedrijfsgegevens aan overheidsinstanties verstrekt kunnen worden indien deze instanties niet een adequate IT-beveiliging kunnen garanderen. Koppelen: voor wat het door de overheid voorgestane beleid in/ake het geautomatiseerd koppelen van bestanden betreft, stellen we vast dat koppelingen wenselijk lijken ter vermindering van administratieve lasten van verstrekking van bedrijfsgegevens. Daarvoor geldt dan wel dat de overheid aanvullende maatregelen, zoals protocollering, moet treffen. Aldus kan het gebruik juist worden verhelderd en het secundair gebruik minder ondoorzichtig worden gemaakt. Dan kan de overheid ook eenvoudiger voldoen aan de wens meer openheid te betrachten over het gebruik dat ze van de bedrijfsgegevens maakt voor andere doelen, zoals toezicht of fraudebestrijding. Geautomatiseerde koppelingen lijken echter juist niet wenselijk met het oog op de andere door ons onderscheiden risicocategorieen. Dat geldt voor risico's verbunden aan het (secundaire) gebruik van bedrijfsgegevens voor zover dat belastend is voor bedrijven; het gebruik van onjuiste of verouderde gegevens; wanneer ten onrechte geen vertrouwelijk karakter aan bedrijfsgegevens wordt toegekend (openbaarheid); en wanneer ten onrechte de vertrouwelijkheid van bedrijfsgegevens niet in acht wordt genomen (uitlekken). Archiveren en vernietigen·, bedrijven blijken over het algemeen niet op de hoogte te zijn van een beslissing door de overheid tot archivering van hen betreffende bedrijfsgegevens. Aldus kunnen bedrijven nauwelijks invloed uitoefenen op de beslissing tot vernietiging danwel archivering van de bedrijfsgegevens. Het in het bedrijfsleven heersende gevoel de controle kwijt te zijn over de inhoud en het verdere gebruik van verstrekte bedrijfsgegevens, zou voor een belangrijk deel kunnen worden ondervangen indien de overheid het tot haar taak zou rekenen het bedrijf waar de gegevens betrekking op hebben op de hoogte te stellen van een op handen zijnde beslissing over de vernietiging of archivering van de bedrijfsgegevens.
7.4
Een (grond)recht op bescherming van bedrijfsgegevens
In het verleden is meerdere malen aangedrongen op systematisch onderzoek naar de gevolgen van algemene beschikbaarstelling van informatie en gegevens. In het in 1991 versehenen rapport Informatietechnologie en Recht werd in dit verband de vraag opgeworpen of het mogelijk is om algemene richtlijnen te formuleren om te bepalen in welke 116
Vertrouwelijk gegeven
situaties beschikbaarstelling van gegevens moet wijken voor geheimhouding, bijvoorbeeld op grond van privacy, de autonomie van een organisatie of economische overlast.177 De auteurs van het rapport stelden dat vraagstukken over de beschikbaarstelling van gegevens weliswaar impliciet aan de orde worden gesteld, bijvoorbeeld ten aanzien van mededingingsvraagstukken en persoonsgegevens, maar dat een overzichtelijke en samenhangende regulering van de problematiek ontbreekt.178 Een jaar later stelde Berkvens voor om bij 'informatiewetgeving' het totale gebruikscomplex van informatie tot uitgangspunt te nemen.179 De vraag is in hoeverre dit ondertussen ook gebeurt. Een blik op de ons omringende landen leert dat, hoewel de OECD de uitbreiding van privacybescherming naar rechtspersonen reeds in 1983 als een belangrijk onderwerp aanmerkte180, van een uniform internationaal beleid ten aanzien van de bescherming van gegevens van bedrijven nog geen sprake is. Het Verdrag van Straatsburg laat in art. 3(2b) uitdrukkelijk de mogelijkheid open voor landen om het verdrag uit te breiden naar de bescherming van rechtspersonen181, maar de landen waar bedrijven een beroep kunnen doen op een wettelijk beschermingssysteem zijn op de vingers van een hand te teilen (Denemarken, Noorwegen, Luxemburg en recentelijk Italic).182 De keuze om bedrijven een recht op bescherming van bedrijfsgegevens toe te kennen, houdt verband met het antwoord op de algemene vraag in hoeverre rechtspersonen een beroep kunnen doen op grondrechten, zoals klassieke vrijheidsrechten en procedurele rechten. Welke rechten hebben 177 H. Franken, J.C. Arnbak, J.M.A. Berkvens, B.K. Brussaard, A.W. Koers, I.Th.M. Snellen, A.H.J. Schmidt, Informatietechnologie en recht, Rapport van de tijdelijke adviescommissie Informatietechnologie en Recht met betrekking tot de opzet van onderzoek op het gebied van Informatietechnologie en recht, Koninklijke Vermande BV, Lelystad, 1991, p. 73-75. 178 Franken e.a., a.w. 1991, p. 86-87. 179 J.M.A. Berkvens, Informatie-regulering in de auteurswet. Komt het ooit nog goed met de Software?, Computerrecht 1992/6, 240. 1 80 OECD, Information Computer Communication Policy, An Exploration of Legal fest/es in Information and Communication Technologies, Parijs 1983., pp. 20-21. 181 Zie hierover: W.J. Kirsch, W.J., The protection of privacy and transborder flows of personal data: the work of the Council of Europe, the Organization for Economic Cooperation and Development and the European Economic Community, Legal Issues of European Integration, 1982/2, p. 21. 182 Zie voor een overzicht van de situatie in het buitenland: M.A. de Jonge, Gegevensbescherming en privacywetten in West-Europa en de Verenigde Staten van Amerika: moeten ondernemingen beschermd worden?, Computerrecht 1990/3, 113 en G.P. van Duijvenvoorde, Privacy en mededinging in: Privacyregulering in theorie en praktijk, Deventer: Kluwer 1994, p. 364-366.
117
Samenvatting, conclusies en een aanzet voor spelregels
bedrijven in gerechtelijke procedures en bij de uitoefening jegens hen van bepaalde opsporingsbevoegdheden? Hoewel het Europees Hof voor de Rechten van de Mens zieh heeft gebogen over de vraag in hoeverre rechtspersonen een beroep kunnen doen op art. 8 EVRM zijn uit de rechtspraak van het Hof geen algemene uitspraken af te leiden over de vraag in hoeverre bedrijven recht hebben op bescherming van hun gegevens.183 In Nederland oordeelde de Rechtbank 's-Gravenhage dat onder omstandigheden de bescherming van bedrijfsgegevens voor ondernemingen op een lijn kan worden gesteld met het recht op de eerbiediging van de persoonlijke levenssfeer.184 Verkade heeft erop gewezen dat met behulp van de regels van ongeschreven recht privacy-normen voor bedrijven kunnen worden ontwikkeld.185 Hij vroeg zieh in een noot bij een arrest van de Hoge Raad uit 1990 af in hoeverre het verstrekken van lijsten van afnemers op grond van een bevel van de rechter of curator houdbaar is op grond van de privacy-regels. De Hoge Raad oordeelde in dit geval over een octrooiinbreuk waarin de afgifte van lijsten van afnemers werd gevorderd en wees deze vordering toe. Verkade bekritiseert het standpunt van de Hoge Raad met de Stelling dat de toewijzing van de vordering mogelijk in strijd is met art. 11 Wpr wanneer men het begrip 'persoonlijke levenssfeer' ruim interpreteert en daaronder ook een gerechtvaardigd vertrouwen van bona fide afnemers op de vertrouwelijkheid van hen betreffende administratieve gegevens begrijpt. Een expliciete erkenning van het grondrecht op privacybescherming voor rechtspersonen lijkt echter niet te worden aanvaard. Wel heeft de Hoge Raad in enkele arresten aangegeven dat aan rechtspersonen een vorm van derivatieve grondrechtsbescherming kan toekomen, dat wil zeggen bescherming via een beroep op het privacyrecht van een derde - natuurlijke -persoon.186 In de literatuur is betoogd dat de toekenning van zelfstandige grondrechten (waaronder het recht op privacy) is gerechtvaardigd op consequentialistische gronden, dat wil zeggen dat de toekenning van deze grondrechten 183 Zie: l.G.F. Cath, Hebben ondernemingen recht op bescherming van de privesfeer? De zaken Hoechst en Chappel vergeleken, NJCM-Bulletin 1991, 28. Zie tevens voor een overzicht van de jurisprudentie: Finaly, a. w. 1998, p. 558 ev. 184 Rb Den Haag, 19 juli 1996, KG 1996, 279. Zie hierover: Finaly, a. w. 1998, p. 567. 185 Verkade in zijn noot bij HR 23 februari 1990, NJ 1990, 664. Zie ook Pres. Rb. "sGravenhage 1 Oktober 1985, KG 1985, 320 Prentice Hall/LOI. In deze laatste zaak stelde de uitgever van een geplagieerd boek een vordering in tot verstrekking van gegevens over afnemers. Deze vordering werd door de President afgewezen, daarbij met name wijzend op privacy-redenen. 186 Zie onder meer: HR 16 Oktober 1987, NJ 1988, 850; HR 13 September 1996, NJ 1997, 737; HR 15 Oktober 1992, NJ 1993, 550.
118
Vertrouwelijk gegeven
om instrumentele redenen wenselijk is. De toekenning dient hier ter verwezenlijking van een verder gelegen doel, zoals de maatschappelijke en economische welvaart.187 "Bedrijven kunnen tegenover de overheid recht doen gelden op bescherming van hun bedrijfsgeheimen, niet omdat privacy voor hen een waarde in zichzelf vertegenwoordigt, maar omdat ontkenning hiervan als consequentie heeft dat hun bedrijfsvoering en daarmee de algemene economische ontwikkeling ernstig kan worden geschaad."188 Er zijn ook schrijvers die zieh verzetten tegen de tendens om aan rechtspersonen uit eigen hoofde aanspraken op een grondrecht op privacy toe te kennen. Zo betoogt Finaly op basis van een analyse van uitspraken van het Europees Hof voor de Rechten van de Mens dat de ratio van het grondrecht op privacy is gelegen in de bescherming van het individu en niet in de bescherming van rechtspersonen.189 Wel kan volgens de auteur in bepaalde gevallen sprake zijn van een derivatieve grondrechtsbescherming. De vraag of bedrijven een recht op gegevensbescherming hebben, Staat niet op een lijn met de vraag of rechtspersonen een aanspraak op het grondrecht op privacybescherming kunnen maken. Ook zonder een grondwettelijke erkenning van een recht op privacy kan voor bedrijfsgegevens een wettelijk beschermingsregime worden ingericht. De privacyregels in de nieuwe Telecommunicatiewet zijn daar een voorbeeld van. Niet alleen prive-abonnees maar ook zakelijke abonnees krijgen diverse rechten toebedeeld. Hiernaast gelden ook enkele aan telecomaanbieders opgelegde informatieverplichtingen voor zakelijke abonnees.190 Als argument voor het toekennen aan rechtspersonen van een beschermingsregime kan worden aangevoerd dat ook bedrijven kwetsbaar zijn waar het de omgang met bedrijfsgegevens betreft. Het voornaamste argument tegen toekenning van bescherming betreft de risico's die ontstaan wanneer via een recht op inzage toegang tot concurrentiegevoelige gegevens over andere bedrijven kan worden verkregen.191 Kortom: het recht van het ene bedrijf om te weten wat er over het bedrijf is geregistreerd, botst met het 'recht' van het andere bedrijf om 187 Naast de consequentialistische rechtvaardiging kennen we de deontologische rechtvaardiging: de belangen die met het grondrecht worden beschermd zijn hier een doel in zichzelf (zoals persoonlijke autonomie of een menswaardig bestaan). 188 M. Bovens, a.w. 1998, p. 657. 189 Finaly, a.w. 1998, p. 563. 190 J.E.J. Prins, Wet bescherming persoonsgege.vens: agenda voor een discussie, Privacy geregistreerd, Rathenau Instituut, Den Haag 1998. 191 l.N. Waiden, R.N. Savage, Data protection and privacy laws: should organisations be protected?, International and Comparative Law Quarterly, april 1988, p. 337. 119
Samenvatting, conclusies en een aanzet voor spelregels
bedrijfsgeheimen niet aan concurrenten te behoeven prijs te geven.192 In vele landen prevaleren de concurrentieoverwegingen boven de bescherming van rechten van bedrijven en wordt uitsluitend een wettelijke bescherming voor gegevens van natuurlijke personen erkend.193 In Nederland laat een blik op de Parlementaire geschiedenis van de Wet persoonsregistraties zien dat een argument om deze wet slechts van toepassing te verklaren op persoonsgegevens ook is gelegen in het sterk verschillende karakter van de functies van 'persoonlijkheidsrechten' bij enerzijds rechtspersonen en anderzijds natuurlijke personen. Bij de laatsten ziet het recht op de individuele zelfbeschikking, bij bedrijven gaat het om het recht om in economisch opzicht vrij te kunnen handelen.194
7.5
Een aanzet voor spelregels
Het onderhavige onderzoek laat zien dat een bepaalde vorm van bescherming van bedrijfsgegevens gewenst is. Wij formuleren daarom in het onderstaande een aantal spelregels voor de omgang met bedrijfsgegevens. Deze spelregels zouden de basis kunnen vormen voor een wettelijk beschermingsregime voor bedrijfsgegevens, waarbij we benadrukken dat de erkenning van een recht op bescherming niet betekent dat wij aan rechtspersonen een aanspraak op het grondrecht van art. 10 willen toekennen.195 Uit de voorgaande hoofdstukken komt het beeld naar voren dat de verstrekking van bedrijfsgegevens aan de overheid en - vervolgens - het beheer daarvan door de overheid aan een aantal spelregels dient te voldoen. Het valt op dat veel van de suggesties en voorstellen voor de normering van de omgang met bedrijfsgegevens overeenkomsten vertonen met de materiele normen zoals die gelden voor de omgang met persoonsgegevens. Bij het formuleren van de onderstaande spelregels voor de omgang met bedrijfsgegevens door de overheid hebben we daarom de materiele normen
192 Overigens behoeft dit argument niet altijd op te gaan. Zo werd in Noorwegen op verzoek van een bedrijf een uitzondering gemaakt op de verplichting inzage te verlenen in de over andere rechtspersonen geregistreerde gegevens. Zie I.N. Waiden, R.N. Savage, a.w. 1988, p. 346. 193 G.P. van Duijvenvoorde, a.w. 1994, p. 366. 194 Memorie van Toelichting, Kamerstukken II 1994/95, nr. 3, p. 13 195 Zo bestaat het risico dat de erkenning van een privacygrondrecht voor rechtspersonen het systeem van grondrechten uitholt, onder meer vanwege de noodzakelijke beperkingen die aan een dergelijk grondrecht gesteld zouden moeten worden. Het ligt echter buiten het bestek van deze Studie nader op deze kwestie in te gaan. 120
Vertrouwelijk gegeven
van de nieuwe Wet bescherming persoonsgegevens (Wbp) als uitgangspunt genomen. 7.5.1 Doelbinding
Het principe van de doelbinding vormt de kern van het materiele normeringskader van de "Wbp: persoonsgegevens mögen slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld. De analyses van de hoofdstukken 2 en 3 laten zien dat deze norm eveneens van groot belang lijkt voor de normering van actieve en passieve verstrekking van bedrijfsgegevens. De in de hoofdstukken 5 en 6 gepresenteerde visies uit het bedrijfsleven roepen een beeld op van een duidelijke behoefte bij het bedrijfsleven aan een algemeen normerend kader voor de verstrekking van gegevens. Dit kader zou kunnen worden gevormd door de voornoemde materiele norm zoals die nu geldt voor de verwerking van persoonsgegevens. Het belang van een algemene norm lijkt des te meer gegeven gezien de in de toekomst te verpachten ontwikkelingen inzake het gebruik van informatie- en communicatietechnologie (IGT) door de overheid. Zoals we in hoofdstuk 2 hebben aangegeven, kondigt de regering in de vierde voortgangsnotitie over de MDW-operatie aan te willen onderzoeken in hoeverre het mogelijk is om met gebruikmaking van IGT de informatieverplichtingen verder terug te dringen. Het actief verstrekken van bedrijfsgegevens kan efficienter door gebruik te maken van de mogelijkheden die de IGT biedt. Tevens kan men met IGT een reductie van administratieve lasten en vooral een vermindering van kosten voor het bedrijfsleven bewerkstelligen. Wij wijzen erop dat uit de praktijk van de verwerking van persoonsgegevens blijkt dat IGT de behoefte aan gegevens en informatie alleen maar doet toenemen. De gegevensverstrekking vereenvoudigt en er lijken belangrijke voordelen te halen met de mogelijkheden van monitoring, registratie en controle door de overheid. Gezien deze ontwikkeling is een normering van de actieve en passieve gegevensverstrekking, die de doelbinding tot uitgangspunt neemt, gewenst. In relatie tot de materiele norm dat bedrijfsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld, verlangt ook een ander punt de aandacht. Uit de hoofdstukken 5 en 6 van deze Studie kwam naar voren dat het voor bedrijven in bepaalde situaties onduidelijk is waarom de overheid bij de uitvoering van haar taak bepaalde gegevens nodig heeft. Het lijkt van groot belang dat een overheidsinstantie bij een eis tot actieve danwel passieve gegevensverstrekking door bedrijven duidelijkheid verschaft over de redenen voor 121
Samenvatting, conclusies en een aanzet voor spelregels
de verstrekking en dat er geen vage of ruime verstrekkingseisen worden gesteld. Daarbij moet het ook gaan om gerechtvaardigde doeleinden, hetgeen betekent dat de eis tot verstrekking zal rnoeten zijn getoetst aan de relevante rechtvaardigingsgronden en dat de afwegingen bij deze toets voor zover mogelijk voor bedrijven kenbaar moet zijn. In dit verband zou tevens overwogen kunnen worden om bij het bepalen van de vraag of de overheid bepaalde gegevens verstrekt mag krijgen, te specificeren (bijvoorbeeld in de betreffende wettelijke regeling) in welke hoedanigheid de gegevens mögen worden verkregen (en derhalve mögen worden gebruikt). Gegevens vormen in de praktijk namelijk veelal gelijktijdig een afbeelding van meer dan een object, zoals een economisch relevant feit, zaak, gebeurtenis, bedrijf of persoon. Juist door de gegevens als functie van het object waarvan ze een afbeelding zijn te typeren in relatie tot gebruiksdoelen zou het eenvoudiger kunnen worden om waarborgen tegen oneigenlijk gebruik te creeren. In die gevallen dat gegevens gelijktijdig meer dan een object afbeelden, zou de overheid 'chinese walls' kunnen oprichten om te voorkomen dat de gegevens ook voor andere doeleinden worden gebruikt. In het meest verstrekkende geval, bijvoorbeeld wanneer de gegevens gelijktijdig een afbeelding van een zeer kwetsbaar object vormen, zou overwogen kunnen worden de bevraging achterwege te laten. 7.5.2 Juist en nauwkeurig
Een volgende materiele norm voorde verwerking van persoonsgegevens is dat deze gegevens juist en nauwkeurig dienen te zijn. Het belang dat beslissingen - in dit geval door de overheid - worden genomen op basis van juiste en nauwkeurige gegevens geldt evenzeer voor gegevens van bedrijven als voor gegevens van Individuen. Een en ander betekent dat de overheid een zorgplicht heeft met betrekking tot de juistheid en volledigheid van de opgeslagen bedrijfsgegevens en dat er voor bedrijven mogelijkheden zijn om de juistheid van door de overheid verzamelde gegevens te controleren en - zonodig - correctie te verlangen. We stelden in hoofdstuk 4 vast dat de huidige regelingen op dit punt duidelijk tekort schieten. Er is geen algemeen recht op inzage in eigen (bedrijfs)gegevens en er bestaat ook geen mogelijkheid tot correctie ervan. We wezen erop dat een wettelijk recht om commentaar te (doen) hechten aan documenten waarvan kennis kan worden genomen een belangrijk Instrument zou kunnen zijn bij de invulling van de materiele norm van de juistheid en nauwkeurigheid van bedrijfsgegevens.
122
Vertrouwelijk gegeven 7.5.3 Toereikend, ter zake dienend en niet bovenmatig
Een derde materiele norm die in het stelsel van bescherming van persoonsgegevens is terug te vinden, betreft het vereiste dat de verwerkte gegevens toereikend, ter zake dienend en niet bovenmatig dienen te zijn. Ook deze norm kan overeenkomstig van toepassing worden geacht op bedrijfsgegevens. In feite hebben we het hier over het proportionaliteitsbeginsel of de evenredigheidsgedachte, die ook is neergelegd in art. 3:4 lid 2 Awb (zij het daar betrokken op een besluit196). We stelden in hoofdstuk 2 vast dat in het kader van de fiscale verstrekkingen, de Mededingingswet en de Wet milieubeheer soms zeer grote hoeveelheden bedrijfsgegevens aan de overheid moeten worden verstrekt, hetgeen er onder meer in resulteert dat de administratieve lasten voor het bedrijfsleven soms erg hoog zijn. Het terugdringen van deze lasten zou, op basis van de algemene norm dat waar informatieverplichtingen aan bedrijven worden opgelegd de te verstrekken gegevens toereikend, ter zake dienend en niet bovenmatig dienen te zijn, plaats kunnen vinden door nader overleg tussen overheid en bedrijfsleven. Overigens impliceert de genoemde norm ook dat de overheid niet te weinig bedrijfsgegevens mag vergaren. De overheid dient alle relevante gegevens in haar besluitvorming mee te nemen. 7.5.4 Bewaartermijnen
Met het voorgaande hangt nauw samen de vraag hoe lang de overheid de op een moment vergäarde bedrijfsgegevens mag bewaren. Uit hoofdstuk 4 blijkt dat de overheid archiefbescheiden, en dus bedrijfsgegevens, niet zomaar mag vernietigen. Telkens moet een afweging worden gemaakt: bewaren of vernietigen. In sommige gevallen geldt er voor de overheid een vernietigingsplicht, zoals in het fiscale recht voor eenmaal gebruikte gegevens. Wanneer gegevens niet worden vernietigd en dus uiteindelijk worden bewaard in een archiefbewaarplaats, zijn ze in principe openbaar (art. 14 Archiefwet 1995). Beperkingen aan de openbaarheid kunnen alleen worden gesteld op het moment van overbrenging naar de archiefbewaarplaats en niet alsnog achteraf, tenzij er sprake is van gewijzigde omstandigheden. We stelden vast dat zieh hier een probleem voordoet omdat degene op wie de gegevens betrekking hebben over het algemeen niet op de hoogte zal zijn van het moment van een beslissing tot archivering en dus moeilijk invloed op de beslissing uit zal kunnen oefenen. Deze situatie knelt des te meer nu er nauwelijks normen bestaan 196 Zie echter de schakelbepaling neergelegd in art. 3.1, tweede lid Awb. 123
Samenvatting, conclusies en een aanzet voor spelregels
voor het verdere gebruik door de overheid van eenmaal actief verstrekte bedrijfsgegevens. Vanuit het bedrijfsleven wordt aangedrongen op nadere normering van dit gebruik. In dit verband wordt onder meer een uitbreiding van bewaar- en vernietigingsplichten bepleit. Onzes inziens kan het in het bedrijfsleven heersende gevoel de controle kwijt te zijn over de inhoud en het verdere gebruik van verstrekte bedrijfsgegevens, grotendeels al worden ondervangen indien de overheid het tot haar taak zou rekenen het bedrijf waar de gegevens betrekking op hebben op de hoogte te stellen van een op handen zijnde beslissing over de eventuele beperkingen aan de openbaarheid, de wijze van gebruik, de archivering en eventuele termijnen voor vernietiging. 7.5.5 Geheimhouding
Met de nadere normering van het verdere gebruik van eenmaal verstrekte gegevens raken we ook het aspect van de geheimhouding. De Wbp kent een geheimhoudingsplicht: art. 9 lid 4 Wbp bepaalt dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg Staat. In het voorgaande bleek dat er ook voor de omgang met bedrijfsgegevens geheimhoudingsplichten bestaan. We noemden in dit verband art. 125a lid 3 Ambtenarenwet, art. 67 Awr, art. 90 Mw en art. 2:5 Awb. Wat deze laatste bepaling betreft, hebben we hiervoor reeds opgemerkt dat het wenselijk is dit artikel uit te breiden met de regel dat vertrouwelijk verstrekte gegevens slechts mögen worden gebruikt voor het doel waartoe zij zijn verstrekt. Tevens is in hoofdstuk 4 aangegeven dat bedrijven zelf een rol kunnen speien in het bewerkstelligen van vertrouwelijkheid, bijvoorbeeld door het vertrouwelijke karakter van de gegevens bij de verstrekking te expliciteren. De overheid zal terughoudendheid moeten betrachten bij de hoeveelheid ambtenaren die van de inhoud van de verstrekte bedrijfsgegevens op de hoogte worden gesteld. Vertrouwelijkheid dient uitgangspunt te zijn. 7.5.6 Secundair gebruik
Een andere belangrijke materiele norm die we in de Wbp terug vinden, betreft de eis dat de verdere verwerking niet onverenigbaar met het oorspronkelijke doel van de verwerking mag zijn. Deze norm vereist dat bij de verdere verwerking van persoonsgegevens (waaronder verstrekking aan derden) de vraag centraal dient te staan of deze verdere verwerking verenigbaar is met de doeleinden waarvoor de gegevens werden verkregen. 124
Vertrouwelijk gegeven
Zoals we in hoofdstuk 2 vaststelden, bestaan er nauwelijks voorschriften voor verder gebruik van de verstrekte bedrijfsgegevens. Deze situatie draagt ertoe bij dat bedrijven het gevoel hebben de controle kwijt te zijn over de inhoud en het verdere gebruik van de door hen verstrekte bedrijfsgegevens. Er bestaat binnen het bedrijfsleven dan ook behoefte aan een nadere normering van het verdere gebruik door de overheid van eenmaal actief verstrekte bedrijfsgegevens. Voor het verbeteren van de huidige situatie zouden we kunnen aanhaken bij de factoren die in het systeem van de Wbp een rol speien bij het beantwoorden van de vraag naar verenigbaar gebruik. Een aantal van deze factoren lijkt namelijk ook relevant bij de beoordeling of het gebruik van bedrijfsgegevens gerechtvaardigd is. Zo dient de factor van de verwantschap tussen het doel waarvoor de bedrijfsgegevens aan de overheid werden verstrekt en het doel waarvoor deze gegevens in een vervolgtraject opnieuw worden gebruikt ook bij de verstrekking van verkregen bedrijfsgegevens aan instanties binnen en buiten de overheid in overweging genomen te worden. De factor in hoeverre verdere verstrekking gevolgen heeft voor het bedrijf dat de gegevens in eerste instantie heeft verstrekt, is eveneens relevant. Verder verdient de punt van eventuele passende maatregelen, zoals het informeren van het bedrijf waar de gegevens vandaan komen, nadere overweging. 7.5.7 Beveiliging
Ten slotte: het spreekt voor zieh dat er ook bij de omgang met bedrijfsgegevens binnen de overheid sprake dient te zijn van een passend niveau van beveiliging. De mogelijkheden die de informatietechnologie hiertoe biedt dienen veel meer dan nu het geval is benut te worden. We stelden in hoofdstuk 3 reeds vast dat de informatiebeveiliging nog veel mankementen vertoont. 7.5.8 Transparantie
Naast de bovengenoemde materiele normen willen wij wijzen op het belang van transparantie. Evenals de omgang met persoonsgegevens vereist ook de omgang met bedrijfsgegevens in iedere situatie een afweging van belangen. Willen deze belangen echter voor ieder van de partijen kenbaar duidelijk zijn, dan is transparantie een voorwaarde. De transparantienorm is als het wäre de formele afspiegeling van de materiele normen. Alleen wanneer het proces van gegevensverwerking transparant is, is er zieht op de wijze waarop met de materiele normen voor de gegevensverwerking is omgegaan. Uit de hoofdstukken 5 en 6 blijkt dat het voor veel bedrijven 125
Samenvatting, conclusies en een aanzet voor spelregels
onduidelijk is welke overheidsinstanties welke gegevens gebruiken of daar toegang toe hebben. Tevens is er vaak twijfel over de vraag welk overheidsorgaan voor welke verwerking verantwoordelijk is. In onze ogen is de roep om een adequate bescherming van bedrijfsgegevens dan ook niet zozeer terug te voeren op de wens tot een formeel wettelijk beschermingsstelsel, maar veeleer op de noodzaak dat overheidsorganisaties hun beleid inzake de omgang met gegevens voor bedrijven zichtbaar, inzichtelijk en overzichtelijk inrichten opdat duidelijkheid ontstaat over de wijze waarop met de materiele normen voor de gegevensverwerking is omgegaan. Voor de wetgever ligt er een taak om waar nodig de randvoorwaarden voor zowel de genoemde spelregels als de transparantie te stellen.
126
Bijiage A: Geraadpleegde deskundigen, bedrijven en brancheverenigingen
Orienterende gesprekken met deskundigen: Prof.mr. J.M.A. Berkvens, afdeling juridische en fiscale zaken Rabobank; Mr. J. Nicaise, afdeling wetgeving ministerie van Economische Zaken; Mr. P. Van Dijken, afdeling informatiebeleid Shell International; Mr. S. Katus, afdeling informatiebeleid VNO-NCW. Toetsende gesprekken met deskundigen: Prof.mr. J.M.A. Berkvens, afdeling juridische en fiscale zaken Rabobank; Mr. S. Katus, afdeling informatiebeleid VNO-NCW. Geraadpleegde bedrijven en brancheverenigingen: CBS (Jurist, medewerker sector bedrijfsregister, medewerker afd. landbouw en visserij) Zorgkoepel (beleidsmedewerker) Branchevereniging milieusector (beleidsmedewerker) Multinational (Jurist) Vervoerbedrijf (medewerker bedrijfsbeveiliging) Consultancybedrijf (directeur) Beheermaatschappij (directeur) Bank (hoofd juridische zaken)
127
ßijlage B: Protocoi voor de interviewe
Doel interview: A. inventarisatie en typering van 'gevoelige bedrijfsgegevens'; B. inventarisatie en typering van relevante wet- en regelgeving; C. inventarisatie en typering van mogelijke risico's (juistheid, gebruik van bedrijfsgegevens, etc.). I.
Bedrijfsgegevens 1. Wat zijn volgens u 'bedrijfsgegevens'? a. Is de volgende omschrijving volgens u voldoende kenmerkend daarvoor: "een gegeven (een representatie van feiten, begrippen of instructies die voor communicatie en interpretatie geschikt is) dat herleidbaar is tot een ge'identificeerd of identificeerbaar bedrijf".
b. zijn er volgens u nog andere algemene kenmerken van bedrijfsgegevens? 2. Wat verstaat u onder 'gevoelige bedrijfsgegevens'? a. Is de volgende omschrijving volgens u voldoende kenmerkend: "bedrijfsgegevens waarvan (vertegenwoordigers van / de directie van) het bedrijf waarop deze gegevens betrekking hebben vindt dat deze confidentieel zijn".
b. kunt u enkele voorbeelden geven van bedrijfsgegevens die volgens u onmiskenbaar gevoelig zijn? c. wanneer doet u een beroep op de gevoeligheid van bedrijfsgegevens? d. welke factoren of omstandigheden zijn bepalend voor de 'gevoeligheid' (vertrouwelijkheid?) van bedrijfsgegevens? e. welke algemene criteria zijn volgens u bepalend voor de 'gevoeligheid' van bedrijfsgegevens?
129
Bijlage B: Protocol voor de Interviews
f. kunt u een situatie schetsen waarin uw directeur zonder enige twijfel 'uit zijn vel zou springen' omdat (al dan niet gevoelige) bedrijfsgegevens bij derden bekend zijn geworden? 3. Inventarisatie van gevoelige bedrijfsgegevens a. Welke van de volgende bedrijfsgegevens zijn volgens u en de door u aangereikte criteria per definitie gevoelig? • clientgegevens • exportgegevens • gegevens omtrent (aangevraagde) vergunningen « liquiditeitsgegevens • milieurelevante gegevens (uitstoot) • NAW-gegevens van het bedrijf • onderzoeksgegevens over wetsovertredingen • onderzoeksrapporten van de FIOD • omzetgegevens • operationele gegevens of productiegegevens (benodigde grondstoffen), octrooien, patenten • personeelsgegevens: aantal medewerkers, ziekteverzuimpercentages, • persoonsgegevens over bestuurders van de vennootschap • sociale omstandigheden (arbo-gegevens, veiligheid, gezondheid) • strategische gegevens (fusieplannen, afstoten onderdelen, etc.) • vermogensgegevens: balans, verlies- en winstrekening. • andere, namelijk: (...) b. kunt u een rangorde aanbrengen in de mate van gevoeligheid van de onder a. genoemde gegevens? c. binnen welke context verkrijgen de bedrijfsgegevens die per definitie niet of minder gevoelig zijn volgens u toch een gevoelig karakter? II. Wet- en regelgeving 4. Kunt u aangeven met welke wet- en regelgeving u in de praktijk te maken heeft op grond waarvan u verplicht bent bedrijfsgegevens af te staan aan bijvoorbeeld het CBS, het GAK, de Belastingdienst, de Kamer van Koophandel, etc.? (rijkswetgeving, provinciale, gemeentelijke regelgeving, waterschappen, semi-overheid, internationale regelgeving: vooral EG, etc.) 130
Vertrouwelijk gegeven
5. In hoeverre heeft u inzicht in wat er met de door u verstrekte bedrijfsgegevens gebeurt? 6. Heeft u een mogelijkheid tot inzage in uw eigen bedrijfsgegevens waarover de overheid beschikt en op grond van welke wet- en regelgeving heeft u die mogelijkheid (of niet)? 7. Zo ja, heeft u wel eens gebruik gemaakt van die mogelijkheid tot inzage? 8. Heeft u een mogelijkheid tot verbetering van foutieve gegevens over uw bedrijf waar de overheid over beschikt? 9. Zo ja, heeft u wel eens gebruik gemaakt van die mogelijkheid tot verbetering? 10. Hoe belangrijk vindt u het hebben van dergelijke mogelijkheden tot inzage en verbetering (zeer belangrijk, belangrijk, niet belangrijk) en waarom? 11. Kan worden gesteld dat de context (bepaalde factoren en omstandigheden) zo belangrijk is voor de bescherming van gevoelige bedrijfsgegevens, dat context-gerichte zelfregulering nodig is en dat de overheid slechts randvoorwaarden moet stellen? III. Met name bij overheid (ministerie/s) inventariseren: 12. Verzamelen van bedrijfsgegevens a. Kunt u aangeven met welke wet- en regelgeving u te maken heeft op grond waarvan de overheid gerechtigd of verplicht is bedrijfsgegevens te verzamelen? (rijkswetgeving, provinciale, gemeentelijke regelgeving, waterschappen, semi-overheid, internationale regelgeving: vooral EG, etc.) b. Voor welke bedrijfsgegevens geldt deze wet- en regelgeving? 13. Doorverstrekken van bedrijfsgegevens a. Op grond van welke wet- en regelgeving is de overheid gerechtigd of verplicht bedrijfsgegevens door te verstrekken aan derden (andere overheidsinstanties of derden-belanghebbenden, waterschappen, semi-overheid, etc.)? b. Voor welke bedrijfsgegevens en branches geldt deze wet- en regelgeving? IV. Risico's: Waar willen bedrijven beschermen?
131
hun bedrijfsgegevens
legen
Bijlage B: Protocol voor de Interviews
14. Wat is uw opvatting over de situatie waarin de overheid op grond van de bestaande wettelijke mogelijkheden over uw gevoelige bedrijfsgegevens beschikt? 15. Acht u in dat opzicht risico's aanwezig? a. Zo ja, waarom: aa. welke risico's kunt u noemen; bb. kunt u gradaties aangeven in mogelijke risico's; cc. kunt u bepaalde contexten noemen waarbinnen die risico's bestaan of ontstaan? b. zo nee, waarom niet? 16. Juridische bescherming a. Tegen welke van deze (soorten) risico's heeft uw bedrijf volgens u een (betere) bescherming nodig? b. Hoe zouden deze risico's volgens u kunnen worden verminderd of weggenomen: bijv. via wettelijke maatregelen (nieuwe wetgeving of wijziging van bestaande wetgeving) of door meer differentiatie in gevoelige bedrijfsgegevens waarover de overheid moet kunnen beschikken (zoals bedrijfsgebonden vs. Bedrijfsonafhankelijke gegevens).
132
Afkortingen
AAW AB ABRvS amvb ARRS Awb AWDA Awr CBB CBS CRvB EG ΕΓΜ EVRM IGT IVBPR JB MDW MvA MvT Mw NJ NJB NMa NO PG Awb I
PG Awb Π PG Awb ΙΠ
Algemene Arbeidsongeschiktheidswet Nederlandse Jurisprudentie administratiefrechtelijke beslissingen Afdeling bestuursrechtspraak van de Raad van State algemene maatregel van bestuur (voormalige) Afdeling rechtspraak Raad van State Algemene wet bestuursrecht Algemene wet douane en accijnzen Algemene wet inzake rijksbelastingen College van beroep voor het bedrijfsleven Centraal Bureau voor de Statistiek Centrale Raad van Beroep Europese Gemeenschap Economisch Instituut voor het Midden en kleinbedrijf Europees Verdrag tot bescherming van de Rechten van de Mens Informatie- en communicatietechnologie Internationaal Verdrag inzake burgerrechten en politieke rechten Jurisprudentie bestuursrecht Marktwerking, deregulering en wetgevingskwaliteit Memorie van antwoord Memorie van toelichting Mededingingswet Nederlandse Jurisprudentie Nederlandse Juristenblad Nationale Mededingingsautoriteit Nationale ombudsman E.J. Daalder, G.R.J. de Groot en J.M.E, van Breugel, De parlementaire geschiedenis van de Algemene wet bestuursrecht, Eerste Tranche, Alphen a/d Rijn, 1993 idem. Tweede Tranche, 1994 idem. Derde Tranche, 1997 133
Afkortingen
Rb. Rv RvdW Stb. Stet. Sr. VROM Vz. Wed Wet No Wob Wmb WRvS WvSv WvSr
Arrondissementsrechtbank Wetboek van Burgerlijke Rechtsvordering Rechtspraak van de Week Staatsblad Staatscourant Wetboek van Strafrecht Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieu Voorzitter Wet op de economische delicten Wet Nationale ombudsman Wet openbaarheid van bestuur Wet milieubeheer Wet op Raad van State Wetboek van Strafvordering Wetboek van Strafrecht
134
Sumtnary
The business sector has, on various occasions, been criticised the amount and the nature of the data which they are legally obliged to transfer to the government and the government's Implementation of this data. There is also criticism concerning the increasing number of obligations the business sector has towards government to accumulate, aggregate and provide Information. Businesses fear that they are increasingly being given the role of administrator and Controller and being used äs an executor of public tasks. The Dutch legal Systems shows at a glance that Dutch law has a armoury of regulations on the basis of which businesses are obliged to provide Information regarding their Company to government bodies. The kind of data provided include: financial data, production data, Strategie data, personnel data etc., which are then passed on for use by the taxation office, environmental policies, social Services and the like. This data is stored and managed by the government whereby more and more use is being made of automated Information Systems. Besides a company's legal Obligation to freely provide the government with Information, the legal System also has regulations which allow the government to gain access to Information stored by a company's Information System. In this respect, we refer to the empowerment of tax and employment authorities. The government can also störe in its own database Information obtained from other sources. In some cases, it is possible or even mandatory to furnish this Information to other governmental organisations or third parties. This study concentrates on the problems surrounding Company data to be furnished to the government. The problems companies have concerning the amount and the type of Company Information which they are obliged to provide the government with, and the consequent use of this Information, are caused by a number of factors. First this puts pressure on companies' administrative capacity: data must be sought and well-ordered so that it can be made available. In addition, there is the risk that transfer and use of some "sensitive" Company data may be incorrectly registered or used for illegal purposes or that data may be seen by unauthorised persons. This can result in financial losses 135
Summary
(for example, because expenses are incurred in order to collect Information), or other (unintentional) losses can arise for companies. The present study tries to provide an insight into the (type of) risks which companies encounter in data transfers to the government. It also aims to provide a view of specific risks which are involved because of the government's use of Company data. Based on a literature study, potential risks which exist due to the active and passive provision of Company data have been analysed. As regards the active provision, particular attention is drawn to risks of the increasing administrative bürden, the risks regarding the content of data which, in some cases, can be highly confidential, the lack of the government's insight into the use and control of Company data and the risks which could arise when databases are linked to Company data. (Chapter2). There is also a chance of more administrative burdens through the passive provision of Company data. In this connection repräsentatives of companies who were interviewed have mentioned possible indirect damages to companies äs a result of tracing carried out by the government (disruption of Company processes, the risk of data proliferation and the linking of Company data for judicial investigations) (Chapter 3.) We can conclude from legal analysis that a more or less conclusive legal regime exists concerning the public nature and confidentiality of Company data kept by the government. Companies could perhaps be more explicit towards the government äs to whether, in certain cases, Company data is provided on a confidential basis. A legal shortcoming was identified regarding the right of access to a company's own data and the possibility of correcting it. (Chapter 4). Based on Interviews carried out, five types of Company data risks can be identified (administrative Company data, personal data, technical Company data, Strategie Company data, economic Company data) which, in the perception of the interviewed companies and branch organisations are involved in the provision of Company data to the government. We concluded that predominantly risks occur in the active data provision and to a lesser extent in the passive data provision. Basically, the risks seem to have some connection with the provision of specific types of Company data, the consequent risks which result from their use by the government, the publication of Company data and the leakage of Company data. The most important reasons for these risks point to the lack of standardized 136
Vertrouwelijk gegeven
opportunities to enable a Company to check the use of its own data. Also the government's ambiguous methods of dealing with the provided Company data was referred to äs the cause of the risks. Finally, the risks were connected to the lack of care taken by the government when dealing with Company data. It is clear that the Standards for the provision of Company data to government and the subsequent supervision of these data by government is of great importance when taking into consideration the protection of Company data (Chapters 5 and 6). If we list the most important conclusions of this study, it is obvious that some kind of regulation for using Company data is required. It concerns the following conclusions: • Sensitive Company data: in our view Company data are not sensitive äs such. The question whether certain risks are inherent to the way Company data is dealt with cannot be answered a priori. The answer to the question whether certain aspects of Company data bring about risks depends upon the type of the data äs well äs the context in which they are used. This inability to define what 'sensitive' Company data is, means that when a general protection regime is adopted, it will have to apply to all Company data. In our view, this is not desirable. In light of the "rules of the game" to be drawn up (see below) for the use of Company data, we believe it important for companies, if necessary, to qualify data themselves äs "sensitive" much more than is the case at present. • The extent of data provision: the analysis of the law and regulations äs well äs case law shows that within the framework of a large number of laws, a great amount of Company data must be transferred. Both the active and passive data transference pose problems for companies. Besides the direct administrative problems, possible indirect problems may arise such äs the disruption of Company processes, the danger of data proliferation and the linking of Company data for judicial investigations. • Risks in relation to the provision of data: Interviews revealed that the risks involved in providing Company data and the use of Company data by government are particularly connected to active data transfers and, to a lesser degree to passive data transfers. The risks mainly apply to active transfers. These are: lack of control of the provided Company data, lack of normative regulations regarding the use by government, lack of confidentiality by government, risk of financial damages to the Company, risk of damage to the company's image, risk of damage to the company's competitive position, risk of a possible conflict of interests 137
Summary
with the government, risk of the government developing "data insatiability", risk of creating double administrative burdens because data have to be given more than once. Two related risks concerning the passive transfer of Company Information are: the administrative bürden for a Company because civil servants do not always know what they are looking for and the lack of insight äs to what government does with the company's data once it has been obtained. Secondary use: although the law has several clauses referring to the Provision and secrecy of Company Information, we observe that there are hardly any regulations regarding the further use of the Company data which has been obtained. There is scarcely any normative System for secondary use of Company data. As a result of the lacking legal framework the Situation regarding secondary use is ambiguous. This ambiguity is two-layered. The first is on the factual layer: companies do not know whether there is a possibility of secondary use of Company data by government. The second is a legal layer: companies do not know to what extent secondary use of Company data in the law and regulations is provided for. In our opinion, it is absolutely necessary that consideration be given to the possibilities of compulsory regulation for the secondary use of Company data. Standardisation: standardisation of the provision of Company data to and the use of Company data by the government in an Information society is important for the legal protection of Company data. Besides the previously mentioned attention to the ambiguity of the secondary use of data, we would point out the need for companies to be better informed about the data which they are and are not obliged to provide. Attention should also be paid to the desirability of providing companies with the opportunity to exercise control and to authority over matters concerning Company data. To our mind the government has significant opportunities of gaining trust if it shows an interest in the secrecy culture, if it recognises the importance of confidentiality of Company data over which it has control and if it limits the number of civil servants who are involved in the decision-making process. IT-security: in the coming years IT-security will become a central issue regarding (the trust in) the relationship between the government and the business sector concerning the provision of Company data. It is anticipated that the business sector will challenge the claim whether certain confidential Company data ought be provided to government bodies if these bodies cannot guarantee adequate iT-protection. Linking: äs regards the government's proposed policy regarding the automatic linking of data, we consider these links to be necessary to 138
Vertrouwelijk gegeven
decrease the administrative bürden of providing Company However, this means that additional Steps such äs protocoling should be taken by government. As a result the actual use of data can become clear and secondary use will become less ambiguous. The government can then simply comply with the desire for more openness regarding the use of Company data for other purposes, such äs supervision or fraud prevention. But automatic linking is not desirable bearing in mind the other different risk categories we have identified. This applies to risks concerning the (secondary) use of Company data inasmuch äs they are discriminatory for companies, the use of incorrect or Old' data, when Company data are wrongfully made public or when the confidentiality of the company's data is not respected (information leak). • Filing and destruction: companies generally appear not to be aware of the government's decision regarding the filing of their Company data. Companies have little influence on the decision whether to delete or to file a company's data. Much of this feeling of lack of control over the content and further use of the provided Company data which overwhelms the business sector, can be overcome if the government actively participated by advising the Company involved of its decision to either delete or file the company's data. These conclusions have been used in the study äs a starting point for formulating a set of "rules of the game". These are important for the legislature and the government authorities which use the company's data. The primary objective of the rules is to limit the number of risks to companies.
139
Auteurs
Mr. drs. EM.], van der Meulen Bernd van der Meulen is werkzaam bij de Sectie Beschikkingen Bezwaar en Beroep van de Nederlandse mededingingsautoriteit (NMa). Hij is tevens universitair hoofddocent bestuursrecht aan de Universiteit Utrecht. In 1993 promoveerde hij op een onderzoek over ordehandhaving. Tijdens het onderzoek was hij als universitair hoofddocent staatsrecht verbunden aan de Katholieke Universiteit Brabant. Mr.dr. ]. Nouwt Sjaak Nouwt (1959) is sinds 1985 als universitair docent verbunden aan de Katholieke Universiteit Brabant. Hij geeft onder andere onderwijs over Privacyrecht en Rechtsinformatica. Hij is tevens onderwijs- en stagecoördinator voor de afstudeerrichting Recht en Informatisering van de studierichting Nederlands Recht aan de KUB. In 1997 promoveerde hij op een proefschrift over medische privacy en het gebruik van informatietechnologie in de gezondheidszorg. Van zijn band verschijnen regelmatig artikelen in tijdschriften en hoofdstukken in boeken. Prof. mr. J.E.J. Prins Corien Prins is hoogleraar recht en informatisering aan de Katholieke Universiteit Brabant. In haar onderzoek concentreert Prins zieh momenteel op de volgende onderwerpen: privacy, biometrie, electronic commerce, reguleringsuitgangspunten inzake IGT en juridische aspecten van chipcardtechnologie en electronic data interchange (EDI). Voor een meer gedetailleerd overzicht:
Dr. W.J.M. Voermans Wim. Voermans is momenteel als universitair hoofddocent Staats- en bestuursrecht, i.h.b. wetgevingsvraagstukken verbonden aan het Centrum voor wetgevingsvraagstukken van de Katholieke Universiteit Brabant. In zijn onderzoek houdt hij zieh vooral bezig met bestuursrecht, wetgevingsleer en wetgevingsmethodiek. In deze disciplines neemt IGT een 141
steeds grotere rol in. In 1995 promoveerde Voermans op een proefschrift op dit terrein: 'Sturen in de mist, ...maar dan met radar'. In dat proefschrift worden de mogelijkheden onderzocht om te körnen tot vormen van computerondersteuning bij wetgeving. Sinds 1992 maakt Voermans deel uit van de redactie van RegelMaat, tijdschrift voor wetgevingsvraagstukken.
Drs. A.P. de Wit Tom de Wit (1969) is sinds 1996 als Assistent in Opleiding werkzaam bij het Centrum voor Recht, Bestuur en informatisering aan de Katholieke Universiteit Brabant. Hij houdt zieh bezig met onderzoek op verschillende terreinen die samenhangen met informatie(technologie) en recht. Hij is met name gemteresseerd in vraagstukken die betrekking hebben op het bestuursrechtelijke informatierecht. Op dit moment bereidt hij een dissertatie voor over de juridische aspecten van het gebruik van informatieen communicatietechnologie bij integraal ketenbeheer.
142