Administratieve lasten in het privacydomein Reductievoorstellen nader bekeken
J.J. Boog drs. P.A. van der Hauw M.M.M. Linssen drs. M.J. Overweel Zoetermeer, september 2006
Dit onderzoek is uitgevoerd in opdracht van het Adviescollege toetsing administratieve lasten (Actal).
De verantwoordelijkheid voor de inhoud berust bij EIM bv. Het gebruik van cijfers en/of teksten als toelichting of ondersteuning in artikelen, scripties en boeken is toegestaan mits de bron duidelijk wordt vermeld. Vermenigvuldigen en/of openbaarmaking in welke vorm ook, alsmede opslag in een retrieval system, is uitsluitend toegestaan na schriftelijke toestemming van EIM bv. EIM bv aanvaardt geen aansprakelijkheid voor drukfouten en/of andere onvolkomenheden.
The responsibility for the contents of this report lies with EIM bv. Quoting numbers or text in papers, essays and books is permitted only when the source is clearly mentioned. No part of this publication may be copied and/or published in any form or by any means, or stored in a retrieval system, without the prior written permission of EIM bv. EIM bv does not accept responsibility for printing errors and/or other imperfections.
2
Inhoudsopgave Samenv att ing
5
1
In leiding
8
2
A ch t er g ron d en en on d erz o e ksa a np ak
9
2.1 2.2 2.3
Achtergronden en randvoorwaarden In het onderzoek betrokken wet- en regelgeving Onderzoeksaanpak
9 9 10
3
U it k omst en va n h et o nd e rz o ek
12
3.1 3.2
Correcties op de nulmeting Reductievoorstellen en hun reductiepotentieel
12 15
Bijlagen I II
Gecorrigeerde nulmeting Reductievoorstellen per artikel
Samenvatting Achtergronden, randvoorwaarden en aanpak In het kader van een advies aan het Kabinet heeft Actal aan EIM de opdracht gegeven om na te gaan in hoeverre de huidige nulmeting van administratieve lasten vanuit de Wet bescherming persoonsgegevens (Wbp) correcties of aanvullingen behoeft1 en om reductievoorstellen uit 2004 van het College Bescherming Persoonsgegevens (CBP) en VNO-NCW te kwantificeren2. EIM is hierbij tevens nagegaan of er sprake is van door het CBP gehanteerde regels waarbij verplichtingen aan het bedrijfsleven worden opgelegd die de eisen van de Wbp overtreffen. Bovendien is gekeken naar de administratieve lasten voor bedrijven die te maken hebben met privacybescherming van persoonsgegevens in andere wetgeving. Daar waar informatieverplichtingen tot administratieve lasten leiden, heeft EIM getoetst of er sprake is van een zwaardere invulling van de Wbp dan is vereist vanuit de Richtlijn 95/46/EG3. Voor de beschouwing van de administratieve lasten voor bedrijven vanuit de Wet bescherming persoonsgegevens (Wbp), is in dit onderzoek uitgegaan van de in opdracht van het ministerie van Justitie geactualiseerde nulmeting per 31 december 2002. Deze nulmeting gaat uit van 100% naleving4. Dit onderzoek is vooral bedoeld om snel een beeld te kunnen geven van het reductiepotentieel van een aantal reductievoorstellen dat reeds in 2004 aan het ministerie van Justitie is gezonden. Deze reductievoorstellen moeten nog worden bewerkt tot concrete wijzigingsvoorstellen van de Wbp en/of het Vrijstellingsbesluit Wbp. Met behulp van de onderzoeksuitkomsten kan een afweging worden gemaakt van de prioriteit die aan de nadere uitwerking van de voorstellen wordt toegekend. EIM heeft in het kader van dit onderzoek uitgebreid gesproken met het College Bescherming Persoonsgegevens en met een delegatie van VNO-NCW. Daarnaast heeft EIM enkele organisaties en bedrijven telefonisch geïnterviewd omtrent de implicaties van de hier behandelde reductievoorstellen en de tijden per informatieverplichting die in de huidige nulmeting zijn opgenomen.
1
2
3
4
Onder andere naar aanleiding van een brief van VNO-NCW aan de Minister van Justitie (04/15.098/Gf/CV.227 d.d. 15 december 2004). Zie de brieven van: VNO-NCW aan de Minister van Justitie (04/15.098/Gf/CV.227 d.d. 15 december 2004), het CBP aan de Minister van Justitie (5302853/04/6 d.d. 18 augustus 2004 en het CBP aan de Minister van Justitie (z2004-1494 d.d. 12 juli 2005). Aan de hand van het in opdracht van Actal uitgevoerde onderzoek: Verschillen tussen de Wbp en Richtlijn 95/46/EG en de invloed op de administratieve lasten- en regeldruk. Mr. Dr. Colette Cuijpers, TILT – Centrum voor Recht, Technologie en Samenleving, Universiteit van Tilburg, 22 juni 2006. Hoewel in de nulmeting wordt uitgegaan van 100% naleving, is niet met zekerheid vast te stellen dat dit daadwerkelijk zo is. De Wbp is pas in september 2001 in werking getreden, wellicht zijn wat betreft de naleving indertijd te voorzichtige aannames gedaan.
Aanpassingen in de bestaande nulmeting Aanpassingen in de
De interviews hebben geleid tot enkele correcties op de nulmeting. Oor-
nulmeting verhogen
spronkelijk werd ervan uitgegaan dat de Wbp jaarlijks ruim 30 miljoen euro
de
30
aan administratieve lasten voor het bedrijfsleven met zich meebrengt. In de
42
door EIM gecorrigeerde nulmeting worden de jaarlijkse administratieve las-
lasten
miljoen
van naar
miljoen euro
ten voor het bedrijfsleven geraamd op bijna 42 miljoen euro. Deze raming dient in dit onderzoek als uitgangspunt voor de raming van het reductiepotentieel van de behandelde reductievoorstellen. Enkele grotere correcties op de oorspronkelijke nulmeting komen voort uit de onderstaande informatieverplichtingen: − het sluiten van overeenkomsten met extern ingehuurde gegevensbewerkers. Een verhoging van het aantal handelingen en het aantal bedrijven dat daarmee jaarlijks te maken heeft, leidt tot een lastenstijging van 6,8 miljoen euro; − het kennisnemen van de Wbp, het Vrijstellingsbesluit en het nagaan op welke wijze bedrijven het meest effectief en efficiënt de Wbp kunnen naleven. Deze informatieverplichtingen waren niet opgenomen in de nulmeting. In de gecorrigeerde nulmeting zijn deze verplichtingen voor bedrijven, inclusief de gemaakte kosten voor juridische adviezen en bijstand, opgenomen voor ruim 2 miljoen euro; − de kosten voor externe juridische ondersteuning waren eveneens niet opgenomen in verband met de verplichtingen tot het verstrekken van informatie aan- en afhandelen van verzoeken tot inzage in vastgelegde gegevens van betrokkenen. Het opnemen van deze kosten leidt tot een correctie van 2 miljoen euro.
Reductiepotentieel van de onderzochte voorstellen Ondergrens van het
De reductievoorstellen van het CBP en VNO-NCW leiden minimaal tot een
reductiepotentieel
reductiepotentieel van ruim 4 miljoen euro aan structurele administratieve
wordt geraamd op
lasten (9,5% van de gecorrigeerde nulmeting). Het geraamde reductiepo-
4 miljoen euro
tentieel mag worden beschouwd als een ondergrens. Enkele reductievoorstellen, waarvan het reductiepotentieel nu niet geraamd kon worden omdat deze voorstellen nog niet voldoende concreet zijn, zullen het totale reductiepotentieel doen toenemen. Tussen de 10 reductievoorstellen van het CBP en de 9 voorstellen van VNONCW zat inhoudelijk veel overlap. Zonder deze overlap resteren 13 afzonderlijke reductievoorstellen, waarvan het reductiepotentieel door EIM in dit onderzoek is betrokken. De drie voorstellen van het CBP en VNO-NCW met het grootste reductiepotentieel zijn:
Betere uitleg over de
Doorgifte van persoonsgegevens naar derde landen (dus buiten de EU) is in
uitzonderingsgronden
principe toegestaan, mits het derde land een adequaat niveau van gege-
doorgifte gegevens
vensbescherming waarborgt. Daar waar hierover nog vraagtekens of vaagheden zijn moeten bedrijven voor de doorgifte van de gegevens een vergunning aanvragen bij de minister van Justitie (art 77 Wbp). Wanneer precies de doorgifte van gegevens aan derde landen is toegestaan en wanneer hiervoor een vergunning aangevraagd dient te worden is voor bedrijven lastig te achterhalen. Verduidelijking van de wet op dit gebied en gerichte uitleg hierover door het CBP kan bedrijven veel uitzoekwerk besparen. Het re-
ductiepotentieel van deze maatregelen wordt geraamd op ruim 1 miljoen euro. Vrijstelling vergunning-
De Europese Commissie heeft bepaald dat bepaalde modelcontracten voor
plicht bij gebruikmaking
de doorgifte van gegevens naar derde landen voldoende waarborgen bieden
van
voor de bescherming van de persoonlijke levenssfeer van betrokkenen wier
modelcontracten
gegevens worden doorgegeven. Veel lidstaten hebben daarom de vergunningplicht afgeschaft wanneer van deze modelcontracten gebruik gemaakt wordt. Binnen de Richtlijn 95/46/EG is vrijstelling van de vergunningplicht mogelijk. Het CBP pleit er dan ook voor deze vrijstelling ook binnen de Wbp mogelijk te maken. Rekening houdend met de verwachte stijging van het aantal vergunningaanvragen tot gemiddeld 50 per jaar, levert deze maatregel een grote besparing voor de betrokken bedrijven op en is het te verwachten reductiepotentieel per ultimo 2006 bijna een half miljoen euro.
Wijziging Wbp
artikel
41.3
Dit voorstel betreft het afschaffen van de verplichting dat bedrijven die persoonsgegevens aan derden verstrekken voor marketingdoeleinden, dit aan de betrokkenen uitdrukkelijk bekend maken en hen de gelegenheid geven om hier tegen bezwaar te maken. Vaak wordt hiervoor door bedrijven het middel van een advertentie in dag-, nieuws- of huis-aan huisbladen gebruikt. De Richtlijn 95/46/EG schrijft deze verplichting niet voor en het CBP is dan ook van mening dat dit reductievoorstel zonder veel moeite door Justitie geaccepteerd zal worden. Omdat de kosten van deze advertenties niet afzonderlijk uit de nulmeting zijn te halen, gaat EIM uit van het gemiddelde van de door het CBP aangegeven range en raamt het reductiepotentieel op 1,75 miljoen euro.
Aanvullende verplichtingen en samenloop met sectorale regelgeving Uit de gesprekken met het CBP, VNO-NCW en de verschillende bedrijven is gebleken dat er in dit onderzoek onvoldoende inzicht is te krijgen over aanvullende informatieverplichtingen die het CBP mogelijk oplegt bovenop de Wbp. In zijn algemeenheid kan wat betreft de mogelijke overlap tussen verplichtingen uit de Wbp en sectorale regelgeving worden geconcludeerd dat de wetgever zoveel mogelijk de bepalingen uit verschillende regelgeving dient te harmoniseren. Bovendien is in dit onderzoek niet te concretiseren waar overlap zit tussen sectorale wetgeving en de Wbp. Voor beide gevallen adviseert EIM nader onderzoek uit te voeren.
1
Inleiding
Het College Bescherming Persoonsgegevens (CBP) en VNO-NCW hebben het ministerie van Justitie reeds in 2004 schriftelijk verzocht om enkele wijzigingen aan te brengen in de Wet bescherming persoonsgegevens (Wbp) en het bijbehorende Vrijstellingsbesluit Wbp. De voorgestelde wijzigingen hadden vooral tot doel om de administratieve lasten voor het bedrijfsleven voortvloeiend uit de Wbp te verlagen. Tot op heden heeft het ministerie van Justitie nog onvoldoende duidelijk gemaakt in hoeverre zij gehoor kan en wil geven aan de wijzigingsvoorstellen. In het kader van een advies aan het Kabinet heeft Actal aan EIM de opdracht gegeven om na te gaan in hoeverre de huidige nulmeting van administratieve lasten vanuit de Wbp correcties of aanvullingen behoeft en om de reductievoorstellen van het CBP en VNO-NCW te kwantificeren. EIM gaat hierbij tevens na of er sprake is van door het CBP gehanteerde regels waarbij verplichtingen aan het bedrijfsleven worden opgelegd die de eisen van de Wbp overtreffen. Daar waar informatieverplichtingen tot administratieve lasten leiden heeft Actal EIM tevens verzocht om na te gaan of er eventueel sprake is van een zwaardere invulling van de Wbp dan is vereist vanuit de Richtlijn 95/46/EG1. In dit rapport geeft EIM antwoord op de door Actal gestelde vragen. Hoofdstuk 2 geeft beknopt enkele achtergronden en de onderzoeksaanpak weer. In hoofdstuk 3 zijn de onderzoeksuitkomsten opgenomen. Eerst wordt ingegaan op de correcties die EIM op de nulmeting heeft aangebracht en vervolgens worden de reductievoorstellen behandeld, waarbij telkens ook een raming wordt gemaakt van het reductiepotentieel. De door EIM gecorrigeerde nulmeting is opgenomen in Bijlage I van het onderhavige rapport.
1
Aan de hand van het in opdracht van Actal uitgevoerde onderzoek: Verschillen tussen de Wbp en Richtlijn 95/46/EG en de invloed op de administratieve lasten- en regeldruk. Mr. Dr. Colette Cuijpers, TILT – Centrum voor Recht, Technologie en Samenleving, Universiteit van Tilburg, 22 juni 2006.
2
Achtergronden en onderzoeksaanpak
2.1
Achtergronden en randvoorwaarden
Voor de beschouwing van de administratieve lasten voor bedrijven vanuit de Wet bescherming persoonsgegevens (Wbp), wordt in dit onderzoek uitgegaan van de in opdracht van het ministerie van Justitie door Sira Consulting geactualiseerde nulmeting per 31 december 20021. Deze nulmeting gaat uit van 100% naleving2. Vanwege het feit dat de Wbp pas op 1 september 2001 in werking is getreden, zijn de informatieverplichtingen voor bedrijven in de genoemde nulmeting niet gespecificeerd naar handelingen. In plaats daarvan geeft de nulmeting bij de omschrijving van de handelingen slechts de relevante tekst van het betreffende wetsartikel. Dit maakt het beoordelen van de concrete werkzaamheden die bedrijven moeten verrichten om aan de informatieverplichtingen te voldoen erg lastig. Op basis van gesprekken met het CBP, VNO-NCW en enkele bedrijven, hebben wij een globale indruk gekregen van deze werkzaamheden. Hierdoor is het mogelijk geweest om de reductievoorstellen van het CBP en VNO-NCW op een zodanige wijze te beoordelen dat wij vaak wel een redelijke kwantificering van het reductiepotentieel hebben kunnen maken. Dit onderzoek is vooral bedoeld om snel een beeld te kunnen geven van het reductiepotentieel van een aantal reductievoorstellen dat reeds in 2004 aan het ministerie van Justitie is gezonden. De reductievoorstellen zijn afkomstig van het College Bescherming Persoonsgegevens en VNO-NCW. Deze voorstellen dienen, wanneer zij door het ministerie van Justitie worden aanvaard, nog te worden bewerkt tot concrete wijzigingsvoorstellen van de Wbp en/of het Vrijstellingsbesluit Wbp. Na deze bewerking door het ministerie van Justitie kan pas concreet worden gemaakt hoe de reductievoorstellen precies ingrijpen op de huidige informatieverplichtingen van bedrijven en wat deze betekenen voor de toekomstige informatieverplichtingen van bedrijven. Met andere woorden: de schattingen van het reductiepotentieel die EIM in dit onderzoek geeft, zijn niet bedoeld als nauwkeurige schattingen van mogelijke lastenreducties, maar veel meer om een beeld van de orde van grootte te krijgen van het reductiepotentieel per voorstel. Hiermee kan een afweging worden gemaakt van de prioriteit die aan de nadere uitwerking van de voorstellen wordt toegekend.
2.2
In het onderzoek betrokken wet- en regelgeving
In dit onderzoek is wet- en regelgeving betrokken die bedoeld is ter bescherming van persoonsgegevens en de privacy van personen. Verreweg de belangrijkste wet is de Wbp met het bijbehorende Vrijstellingsbesluit Wbp.
1
2
Actualisatie nulmeting AL Ministerie van Justitie. Onderzoek naar de Administratieve Lasten voortvloeiend uit de regelgeving van het Ministerie van Justitie op de peildatum 31 december 2002. Sira Consulting B.V., Nieuwegein, 3 januari 2004. Hoewel in de nulmeting wordt uitgegaan van 100% naleving, is niet met zekerheid vast te stellen dat dit daadwerkelijk zo is. De Wbp is pas in september 2001 in werking getreden, wellicht zijn wat betreft de naleving indertijd te voorzichtige aannames gedaan.
De Wbp geeft regels voor het verwerken van persoonsgegevens. De Wbp is in werking getreden op 1 september 2001, als opvolger van de Wet persoonregistraties (Wpr). De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens kunnen als volgt worden samengevat: –
Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
–
Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
–
Degene over wie gegevens worden verwerkt moet tenminste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel van de verwerking waarvoor de gegevens zijn bestemd.
–
De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
De indruk bestaat dat bedrijven die het meest te maken hebben met informatieverplichtingen vanuit de Wbp voornamelijk afkomstig zijn uit de branches: postorder- en webwinkelbedrijven, direct marketing bedrijven (en bedrijven uit andere branches die veel aan direct marketing doen), telecombedrijven c.q. internet service providers, recherchebureaus, deurwaarders, handelsinformatiebureaus en bedrijven uit bank- en verzekeringswezen. Naast de Wbp is in dit onderzoek, op aangeven van VNO-NCW, eveneens gekeken naar de administratieve lasten voor bedrijven die te maken hebben met privacybescherming van personen in andere wetgeving. Het betreft hier: –
Boek 6 BW inzake onrechtmatige daad
–
Boek 7 BW inzake arbeidsovereenkomsten
–
Boek 7 BW inzake verkoop op afstand
–
de Telecommunicatiewet
–
de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Het gaat hier feitelijk om de artikelen 7:446-468 van Boek 7 BW
–
de Wet bijzondere opnemingen psychiatrische ziekenhuizen (Wet Bopz)
–
de Kwaliteitswet zorginstellingen.
2.3
Onderzoeksaanpak
Kort omschreven is het onderzoek uitgevoerd in de volgende stappen.
1 Controleren en aanvullen van de bestaande nulmeting De in opdracht van het ministerie van Justitie in 2004 geactualiseerde nulmeting dient als basis voor dit onderzoek. Op grond van een eerste eigen controle en naar aanleiding van gesprekken met het CBP en VNO-NCW heeft EIM correcties op deze nulmeting aangebracht. EIM heeft in deze stap van het onderzoek tevens nagegaan of er sprake is van door het CBP gehanteerde (beleids)regels waarbij verplichtingen aan het bedrijfsleven worden opgelegd die de eisen van de Wbp overtreffen.
2 Concretiseren van de reductievoorstellen, vertalen daarvan naar de nulmeting en doorrekenen effecten op de administratieve lasten De reductievoorstellen van het CBP en VNO-NCW zijn voor zover mogelijk geconcretiseerd. Waar mogelijk is een raming van het reductiepotentieel gemaakt. De effecten van de te treffen reductiemaatregelen zijn los van de gecorrigeerde nulmeting zichtbaar gemaakt. Vaak is er sprake van reductievoorstellen die nog vertaald dienen te worden in concrete wetswijzigingen, waarna de consequenties voor de administratieve lasten echt zichtbaar worden. 3 Toetsen van de bevindingen uit zowel stap 1 als 2 bij bedrijven In deze onderzoeksstap is aan bedrijven een oordeel gevraagd omtrent de door EIM gecorrigeerde nulmeting en over de uitwerking van de reductievoorstellen op de administratieve lasten. Aan de hand van deze (telefonische) gesprekken met bedrijven zijn nog kleine bijstellingen gedaan, meestal met betrekking tot de benodigde tijd voor het voldoen aan de informatieverplichtingen. In dit kader is gesproken met vertegenwoordigers van de volgende branches en bedrijfstypen: –
een grotere leverancier van (marketing)informatie voor bedrijven;
–
twee consultants die hoofdzakelijk MKB-ondernemingen adviseren ten aanzien van de meest efficiënte naleving van de Wbp;
–
een grotere bank;
–
een multinational die zich bezighoudt met de productie en verkoop van elektronica;
–
een brancheorganisatie voor bedrijven in de branches: IT, Telecom, Office en Internet;
–
een grote uitzendorganisatie;
–
een luchtvaartmaatschappij;
–
een groot telecombedrijf;
–
een brancheorganisatie voor autobedrijven;
–
een brancheorganisatie voor ziekenhuizen.
4 Rapportage Gegeven het tijdsbestek waarbinnen dit onderzoek afgerond moet worden, geeft EIM de resultaten weer in een beknopte rapportage.
3
Uitkomsten van het onderzoek
3.1
Correcties op de nulmeting
EIM heeft in het kader van dit onderzoek uitgebreid gesproken met dr. J.A.G. Versmissen, beleidscoördinator bedrijfsleven bij het College Bescherming Persoonsgegevens en met een delegatie van VNO-NCW, bestaande uit de heren dr. P.W.J. de Graaf, secretaris informatiebeleid, prof.mr. J.M.A. Berkvens, adjunct directeur Rabobank Nederland en dr. J. Holvast van Holvast & Partner Privacy Advies- en Onderzoeksbureau. Daarnaast heeft EIM enkele organisaties en bedrijven telefonisch geïnterviewd omtrent de implicaties van de hier behandelde reductievoorstellen en de tijden per informatieverplichting die in de huidige nulmeting zijn opgenomen.
Aanpassingen in de nulmeting De gesprekken en de telefonische interviews hebben geleid tot enkele correcties op de nulmeting (zie tabel 1). Oorspronkelijk werd ervan uitgegaan dat de Wbp jaarlijks ruim 30 miljoen euro aan administratieve lasten voor het bedrijfsleven met zich meebrengt. In de door EIM gecorrigeerde nulmeting worden de jaarlijkse administratieve lasten voor het bedrijfsleven geraamd op bijna 42 miljoen euro. Deze raming dient in dit onderzoek als uitgangspunt voor de raming van het reductiepotentieel van de behandelde reductievoorstellen.
tabel 1
Mutaties in de nulmeting Wbp per ultimo 2002 Oorspronke-
Wets-
lijke AL in €
artikel
Bericht
Aard van de mutatie
14.2,
Sluiten van een overeen-
Aantallen handelingen en
14.5
komst met een bewerker
frequentie opgehoogd
Melding gegevensverwer-
27.1
Gecorrigeerde AL in €
per jaar
Mutatie in €
per jaar
12.400.000
+ 6.800.000
19.200.000
Tijd opgehoogd
213.200
+ 426.400
639.600
100.000
+ 470.000
570.000
0
+ 2.075.000
2.075.000
4.167.000
+ 2.000.000
6.167.000
660.000
-/- 270.000
390.000
19.300
+ 111.950
131.250
king 27.2
29
Melding en uitvoering
Tijd en frequentie opge-
voorafgaand onderzoek
hoogd
Kennisnemen Wbp en Vrij-
Nieuw opgevoerd, in oude
stellingsbesluit
nulmeting niet apart vermeld. Inclusief externe kosten voor juridische ondersteuning
35
Verstrekken informatie
Externe kosten voor juri-
aan- en afhandelen ver-
dische ondersteuning op-
zoek tot inzage van gege-
gevoerd
vens betrokkene 63.5
Jaarlijkse rapportage door
Frequentie aangepast
FG over gebruik gegevens
(aantal FG’s uit register CBP)
77.2
Aanvragen vergunning
Externe kosten opgevoerd
voor doorgifte gegevens aan derde landen Restant (oude) nulmeting, niet gecorrigeerde posten: Totaal oude AL, correcties en nieuwe AL:
12.738.200 30.297.700
12.738.150 +
41.911.050
11.613.350 Bron: EIM, 2006
Voor een volledig beeld van de door EIM gecorrigeerde nulmeting, verwijzen wij naar Bijlage I van het onderhavige rapport. In Bijlage II geeft EIM vanuit de oorspronkelijke nulmeting een overzicht van de informatieverplichtingen waarvoor door het CBP en VNO-NCW reductievoorstellen zijn geformuleerd en in hoeverre bij deze verplichtingen sprake kan zijn van een ‘nationale kop’ op Richtlijn 95/46/EG.
Samenvatting reductiepotentieel van de onderzochte voorstellen De reductievoorstellen van CBP en VNO-NCW leiden minimaal tot een reductiepotentieel van ruim 4 miljoen euro aan administratieve lasten (9,5% van de gecorrigeerde nulmeting). In tabel 2 worden de reductievoorstellen met hun geraamde reductiepotentieel opgesomd. In de volgende paragraaf worden de voorstellen van het CBP en VNO-NCW uitgebreid behandeld.
tabel 2
Overzicht reductiepotentieel per reductievoorstel Zie ook
Nr.
Indiener
1
CBP
2 3
Omschrijving voorstel
Raming reductie-
Art. Wbp
voorstel:
Uitbreiding vrijstellingen
27, 29
2 VNO
126.000
CBP
Beter toegankelijk Vrijstellingsbesluit
27, 29
2 VNO
203.400
CBP
Harmonisatie melding voor bedrijven met
27
-
meerdere vestigingen binnen de EU
potentieel in €
niet kwantificeerbaar, maar niet substantieel
4
CBP
Gestandaardiseerde aanpak voorafgaande onderzoeken
5
6
CBP
CBP
Minder voorafgaande onderzoeken uitvoe-
27, 31,
5 VNO
190.000
5 VNO
begrepen in 4
32 27, 31,
ren
32
Uitleg over uitzonderingsgronden doorgifte
77
6 VNO
1.037.500
77
6 VNO
70.250 o.b.v. 2002
gegevens 7
CBP
Vrijstelling vergunningplicht bij gebruikmaking van modelcontracten
oplopend naar 460.000 in 2006
8
CBP
Invoering van Binding Corporate Rules
77
-
9
CBP
Wijziging artikel 41.3 Wbp
41
8.1 VNO
10
CBP
Concretisering open normen informatie-
33, 34
3 VNO
verplichting
begrepen in 7 1.750.000 niet kwantificeerbaar, mogelijk substantieel
1
VNO-NCW
Opheffen overlap met andere regelgeving
2
VNO-NCW
Doornemen Vrijstellingsbesluit Wbp
-
-
27, 29,
1, 2 CBP
30.3 3
VNO-NCW
Definitie persoonsgegevens
33, 34
geen niet mogelijk binnen Richtlijn 95/46/EG
10 CBP
niet kwantificeerbaar, mogelijk substantieel
4
VNO-NCW
Misbruikstelsel in plaats van gebruikstelsel
-
-
niet mogelijk binnen Richtlijn 95/46/EG
5
VNO-NCW
Beperking van voorafgaand onderzoek
6
VNO-NCW
Vergunning internationaal gegevensver-
31, 32
4, 5 CBP
77
7 CBP
keer
zie voorstel 4 CBP
242.500 extra op voorstel 7 van CBP
7
VNO-NCW
Verzwaring van lasten door controleorgaan
8
VNO-NCW
9
VNO-NCW
-
-
Verplichting niet opgenomen in eerdere
41.3,
9 CBP
lastenmetingen
41.4
Gedragscodes
25
-
geen zie voorstel 9 CBP
geen, het gaat hierbij om inhoudelijke nalevingskosten
Totaal geraamd reductiepotentieel Bron: EIM, 2006
4.009.400
Het geraamde reductiepotentieel van 4 miljoen euro mag worden beschouwd als een ondergrens. Enkele reductievoorstellen waarvan het reductiepotentieel nu niet geraamd kon worden, zullen het totale reductiepotentieel van de voorstellen van het CBP en VNO-NCW doen toenemen.
3.2
Reductievoorstellen en hun reductiepotentieel
In deze paragraaf worden achtereenvolgens de reductievoorstellen van het CBP en VNO-NCW besproken. Tussen de voorstellen van beide partijen is sprake van overlappingen. Daarom wordt voor nadere toelichting of uitwerking van een raming van het reductiepotentieel soms verwezen naar een voorstel van de andere partij.
3.2.1 Voorste lle n van het CBP Het CBP heeft in haar brief van 7 december 2004 10 voorstellen aan de minister van Justitie gedaan om tot een reductie van de administratieve lasten vanuit de Wbp te komen. In de brief van 12 juli 2005 worden enkele van de eerder genoemde voorstellen nader toegelicht. Deze voorstellen zijn ultimo augustus 2006 met het CBP besproken en worden hieronder samengevat. Onder elk voorstel is kort weergegeven wat de visie van EIM is ten aanzien van de mogelijkheden voor lastenreducties en de eventuele kwantificering van deze reducties. Alle voorstellen van het CBP zijn mogelijk binnen de grenzen van Richtlijn 95/46/EG. Met het CBP zijn ook enkele algemene punten besproken, waarvoor o.a. door VNO-NCW aandacht werd gevraagd. Deze punten worden hieronder eerst behandeld en vervolgens worden de 10 reductievoorstellen van het CBP behandeld.
CBP vraagt binnenkort opnieuw aandacht voor reductievoorstellen De hierboven genoemde reductievoorstellen van het CBP zouden door het ministerie van Justitie worden verwerkt tot concrete voorstellen tot aanpassingen in de Wbp en het Vrijstellingsbesluit. Door Justitie zou rekening worden gehouden met de, eveneens in dit rapport behandelde, reductievoorstellen van VNO-NCW. Dit is echter niet gebeurd. Zowel het CBP als VNONCW zijn van mening dat het bedrijfsleven gebaat is bij meer helderheid met betrekking tot de interpretatie van de Wbp en uitbreiding van het Vrijstellingsbesluit. Binnenkort zullen zij daarom gezamenlijk nogmaals bij Justitie aandacht vragen voor de eerder door hen aangedragen reductievoorstellen. De accenten zullen dan liggen op drie belangrijke verbeterpunten, te weten: –
de uitbreiding en verheldering van het Vrijstellingsbesluit, zie hieronder de voorstellen 1 en 2;
–
een fijnmaziger invulling geven aan de Wbp met betrekking tot de verwerking van bepaalde strafrechtelijke gegevens van personen, zie hieronder voorstel 5;
–
de vrijstelling van het aanvragen van een vergunning voor de export van gegevens naar derde landen zonder adequaat wettelijk niveau van gegevensbeveiliging indien gebruik gemaakt wordt van de door de Europese Commissie goedgekeurde modelcontracten, zie voorstel 7.
Aanvullende verplichtingen opgelegd door het CBP Bij bedrijven leeft soms het beeld dat het CBP, naast de bestaande wettelijke bepalingen binnen de Wbp, zelf extra (beleids)regels bedenkt en aan bedrijven oplegt. Dit wordt echter door het CBP stellig tegengesproken. Het CBP houdt toezicht op de uitvoering van de Wbp door bedrijven en handhaaft deze wet indien nodig. Omdat de Wbp een relatief open wet is en de implicaties van de artikelen niet altijd direct voor iedereen helder zijn, kunnen soms in concrete situaties bij bedrijven (nalevings)verplichtingen ontstaan waarop zij niet gerekend hadden. Door het CBP wordt gesteld dat het hier gaat om de interpretatie van de artikelen, waaruit deze onvermoede verplichtingen voor bedrijven voortvloeien. Ook waar brancheorganisaties van bedrijven op grond van artikel 25 Wbp met het CBP afspraken hebben gemaakt over na te leven gedragscodes, kunnen individuele bedrijven deze vorm van concretiseren van regels als een extra last ervaren. Naast de hierboven genoemde voorbeelden, zijn bij de gesprekken met bedrijven geen andere informatieverplichtingen genoemd die als aanvullend op de verplichtingen vanuit de Wbp kunnen worden beschouwd. Binnen dit onderzoek kan EIM onvoldoende zicht krijgen op deze door bedrijven onder de aandacht gebrachte problematiek. EIM adviseert daarom op dit punt nader onderzoek te verrichten.
Samenloop met andere, sectorspecifieke wet- en regelgeving Het CBP is bekend met het feit dat er naast de Wbp regelgeving is waarin een en ander is geregeld ten aanzien van het omgaan met persoonsgegevens. Zonder diep op deze materie te kunnen ingaan, geeft het CBP aan dat hierbij in vrijwel alle gevallen sprake is van een nadere, specifiek voor een bepaalde sector of bepaalde gegevens bedoelde, uitwerking van bepalingen in de Wbp of daaraan voorafgaande wetgeving. Als voorbeeld worden genoemd gegevens die onder het medisch beroepsgeheim vallen (WGBO). Bij de behandeling van voorstel 1 van VNO-NCW in paragraaf 3.2.2, wordt nader ingegaan op enkele door VNO-NCW genoemde punten van mogelijke samenloop. Ook op dit punt adviseert EIM nader onderzoek te doen om na te gaan in hoeverre er nu sprake is van onvoldoende harmonisering van verplichtingen uit de Wbp en sectorspecifieke regelgeving.
Behandeling reductievoorstellen Hieronder worden puntsgewijze de reductievoorstellen van het CBP behandeld. Na een korte beschrijving van het voorstel volgt telkens het commentaar van EIM en waar mogelijk een raming van het reductiepotentieel. In de titel van het voorstel wordt verwezen naar de artikelnummers in de Wbp waaruit de verplichtingen voortvloeien. Tevens wordt eventueel verwezen naar (deels) overlappende voorstellen van VNO-NCW, die in de volgende paragraaf worden behandeld. 1 Uitbreiding vrijstellingen (art. 27, 29. VNO-NCW vrst 2)
De huidige vrijstellingen van de meldingsplicht worden volgens het CBP nog niet optimaal door het bedrijfsleven benut. Bovendien zou het Vrijstellingsbesluit uitgebreid en verhelderd kunnen worden waarmee de administratieve lasten voor het bedrijfsleven verder kunnen worden teruggebracht. Het CBP verwacht dat hiermee een reductie van ruim twee miljoen euro bereikt kan worden.
EIM: De door het CBP becijferde reductie is naar de mening van EIM te hoog geraamd. Het CBP gaat uit van 55.000 verwerkingen die ten onrechte door bedrijven gedaan hadden kunnen worden, maar onder een vrijstelling zouden moeten vallen. Dit aantal is een CBP-schatting van het aantal ten overvloede gedane meldingen (cumulatief van september 2001 tot en met ultimo 2005) dat het CBP zou kunnen ontvangen bij 100% naleving. Echter, in de nulmeting wordt al uitgegaan van 100% naleving. EIM heeft hieronder een nieuwe reductieraming voor dit voorstel gemaakt. Uitgaande van de cijfers in de nulmeting en de schatting van het CBP, zou 20%1 van de gemiddeld 6.0002 jaarlijkse meldingen ten onrechte kunnen zijn. Als 20% van het aantal meldingen kan vervallen, dan bedragen de resterende administratieve lasten: 80% x 5.685 x € 113 = € 514.000. Deze lasten zijn in de nulmeting geraamd op € 640.000, de lastenreductie komt voor dit voorstel dus uit op € 126.000. Gegeven het feit dat deze berekening is gebaseerd op: een nulmeting die naar de mening van EIM is gebaseerd op 100% naleving, een geschatte besparing op basis van nog onbekende wijzigingen in het Vrijstellingsbesluit en een geschat aantal jaarlijkse meldingen, kan de geraamde omvang van de lastenreductie gezien worden als een ondergrens. 2 Beter toegankelijk Vrijstellingsbesluit (art. 27, 29. VNONCW vrst 2)
In het verlengde van het eerste voorstel concludeert het CBP dat circa een derde van het aantal meldingen van gegevensverwerkingen personeels- en klantenadministraties betreft. Dit zijn verwerkingen die vrijgesteld zijn van de meldingsplicht. Het kost bedrijven onder het huidige Vrijstellingsbesluit veel moeite om na te gaan in hoeverre specifieke verwerkingen al dan niet meldingsplichtig zijn. Een helder en beter toegankelijk Vrijstellingsbesluit kan ertoe leiden dat bedrijven geen onnodige meldingen meer doen, waarmee administratieve lasten bespaard worden. Het CBP schat dat ongeveer 30% van de jaarlijkse meldingen ten onrechte is. Een duidelijker en beter toegankelijk Vrijstellingsbesluit voorkomt onterechte meldingen. Hiermee kunnen naar verwachting van het CBP jaarlijks € 55.000 aan administratieve lasten worden bespaard.
1
2
De raming van 20% is als volgt tot stand gekomen. Het CBP raamt de naleving op circa 10% en baseert het aantal bedrijven dat zou moeten melden op gegevens van de Kamer van Koophandel. Momenteel worden jaarlijks in totaal circa 5.000 tot 7.000 meldingen ontvangen. Wanneer wij uitgaan van het aantal meldingen uit de jaarverslagen van het CBP van gemiddeld 6.000 per jaar en de naleving is 10%, dan zou het werkelijke aantal meldingen dus circa 60.000 op jaarbasis moeten bedragen. Cumulatief tot en met 2005 vermeldt het jaarverslag 28.000 meldingen, gegeven de 10% naleving zouden dat er dus 280.000 moeten zijn. Hiervan kan naar schatting van het CBP 55.000 (= 20%) als ten onrechte vervallen na uitbreiding van het Vrijstellingsbesluit.
De aantallen meldingen uit de geactualiseerde nulmeting zijn afkomstig uit ramingen die EIM eerder maakte ten behoeve van een raming van de administratieve lasten vanuit de Wet persoonsregistraties (Wpr, de voorloper van de Wbp). Naar de mening van EIM is de geactualiseerde nulmeting wel gebaseerd op 100% naleving. (Kosten informeren van geregistreerden, eindrapport. EIM, Zoetermeer, januari 2002).
EIM: Ervan uitgaande dat de geactualiseerde nulmeting gebaseerd is op 100% naleving, raamt EIM de potentiële lastenreductie van dit voorstel op: 6.000 x 30% = 1.800 overbodige meldingen à € 113 per melding = € 203.400. Een mogelijk verklaring voor het verschil tussen de raming van het CBP en EIM is dat EIM hier reeds is uitgegaan van gecorrigeerde lasten per melding. De geactualiseerde nulmeting gaf destijds € 38 aan lasten per melding, EIM begroot deze lasten op € 113 per melding (gegeven de gecorrigeerde tijd die bedrijven met de melding kwijt zijn). N.B. De schattingen over het aantal meldingen dat bedrijven doen, terwijl de betreffende gegevensverwerking eigenlijk vrijgesteld is, lopen, ook bij het CBP, nogal uiteen. Dit geeft al aan dat geen van de betrokken partijen een goed beeld heeft van de werkelijkheid. Dit pleit ervoor om niet alleen de voorgestelde verhelderingen van het Vrijstellingsbesluit snel door te voeren, maar tevens om veel aandacht te besteden aan goede voorlichting aan bedrijven. Bedrijven moeten sneller en met meer zekerheid te weten kunnen komen wanneer en hoe zij kunnen voldoen aan de verplichtingen uit de Wbp. 3 Harmonisatie melding voor bedrijven met meerdere vestigingen in de EU (art. 27)
In de verschillende EU-lidstaten is de wijze waarop gegevensverwerkingen gemeld dienen te worden op uiteenlopende wijze geïmplementeerd. Bedrijven die vestigingen in verschillende EU-landen hebben, zouden dus gebaat zijn bij harmonisering van de wijze waarop gemeld dient te worden. De ‘artikel 29 werkgroep’ van de samenwerkende Europese toezichthouders onderzoekt of het mogelijk is om één melding te ontwikkelen voor de bedoelde bedrijven. Hiermee kan uiteindelijk voor een beperkte groep bedrijven een beperkt deel van de administratieve lasten worden bespaard.
EIM: De standaardisering van de meldingen voor alle landen binnen de EU kan voor een vermindering van administratieve lasten voor Nederlandse bedrijven zorgen, mits er gekozen wordt voor de minst belastende variant die de Richtlijn 95/46/EG toelaat . Dit voorstel is nog onvoldoende concreet om een kwantificering van een mogelijke lastenreductie te geven. Het zal hierbij echter niet gaan om een substantieel reductiepotentieel, gegeven het feit dat het voorstel een relatief kleine, specifieke groep bedrijven aangaat. 4 Gestandaardiseerde aanpak voorafgaande onderzoeken (art. 27, 31, 32. VNO-NCW vrst 5)
Het CBP bepleit de ontwikkeling van een protocol of gedragscode door branches, waarin voor de gehele branche de regels worden vastgelegd waaraan bedrijven zich zullen houden bij gegevensverwerkingen. Wanneer het CBP dit protocol heeft goedgekeurd zou in beginsel geen nader onderzoek meer nodig zijn wanneer de verantwoordelijken aangeven dat zij dit protocol onderschrijven. Naar schatting de helft van alle voorafgaande onderzoeken kan hierdoor gestandaardiseerd worden afgedaan, zonder dat de bedrijven aanvullende informatie behoeven te verschaffen.
EIM: Hier is een relatie met de gedragscodes uit artikel 25. Het CBP geeft aan dat ongeveer 50% van de voorafgaande onderzoeken na de goedkeuring van een protocol of gedragscode op gestandaardiseerde wijze kan worden afgedaan. EIM raamt, op basis van de gesprekken met organisaties en bedrijven, de tijd die benodigd is voor de gegevensverzameling ten behoeve van het voorafgaand onderzoek op gemiddeld 3 dagen per onderzoek. Het CBP geeft aan dat de door hen voorgestelde gestandaardiseerde aanpak de bedrijven slechts 1 dag kost. Er wordt in 2002 uitgegaan van 190 onderzoeken1. De gereduceerde administratieve lasten worden als volgt berekend: 50% x 190 x € 3.000 per onderzoek = € 285.000 + 50% x 190 x € 1.000 per onderzoek = € 95.000, totaal € 380.000. Deze lasten staan in de gecorrigeerde nulmeting voor € 570.000. De lastenreductie kan dus geraamd worden op € 190.000. De lastenreductie zou mogelijk hoger kunnen uitvallen wanneer blijkt dat de genoemde 190 onderzoeken bij 100% naleving een te laag aantal zou zijn. 5 Minder voorafgaande onderzoeken (art. 27, 31, 32. VNONCW vrst 5)
Het verwerken van strafrechtelijke gegevens door bedrijven is in principe verboden. Er zijn echter uitzonderingen binnen de Wbp mogelijk. Daar waar bedrijven van deze uitzonderingen gebruik willen maken is een voorafgaand onderzoek door het CBP noodzakelijk. Een fijnmaziger invulling van de bepalingen rond de verwerking van bepaalde strafrechtelijke gegevens, zou voor maatschappelijk geaccepteerde, niet risicovolle verwerkingen, ertoe kunnen leiden dat deze zonder voorafgaand onderzoek door het CBP kunnen worden uitgevoerd.
EIM: Dit voorstel kan geïntegreerd worden in het voorgaande voorstel. De voorgestelde fijnmaziger invulling van de verwerking van bepaalde strafrechtelijke gegevens kan eveneens worden gerealiseerd door met branches afspraken te maken omtrent protocollen, bijvoorbeeld met betrekking tot de verwerking van zwarte lijsten met namen van winkelcriminelen door winkeliers. Dit vervangt dan de uitvoering van veel dezelfde voorafgaande onderzoeken. Een aparte kwantificering van de met dit voorstel te bereiken reductie is prematuur. Deze reductie kan waarschijnlijk worden begrepen in de reductie die genoemd is onder voorstel 4. 6 Uitleg over de uitzonderingsgronden (art.29, 77. VNO-NCW vrst 6)
doorgifte
gegevens
Doorgifte van persoonsgegevens naar derde landen (dus buiten de EU) is in principe toegestaan mits het derde land een adequaat niveau van gegevensbescherming waarborgt. Daar waar hierover nog vraagtekens of vaagheden zijn moeten bedrijven voor de doorgifte van de gegevens een vergunning aanvragen bij de minister van Justitie (art 77 Wbp). Wanneer precies de doorgifte van gegevens aan derde landen is toegestaan en wanneer hiervoor een vergunning aangevraagd dient te worden is voor bedrijven lastig te achterhalen. Verduidelijking van de wet op dit gebied kan bedrijven veel uitzoekwerk besparen.
1
Door EIM gecorrigeerd aantal op basis van jaarverslag CBP.
EIM: In de geactualiseerde nulmeting waren voor dit uitzoekwerk geen administratieve lasten opgenomen. EIM heeft de nulmeting op dit punt bijgesteld door het opnemen van ruim twee miljoen aan administratieve lasten voor het kennisnemen van regelgeving en uitzoekwerk voor het op de juiste wijze voldoen aan de regelgeving (bij art. 29). De uitleg zoals door het CBP beloofd is inmiddels beschikbaar. Er vanuit gaande dat bedrijven door het beschikbaar komen van extra uitleg nog maar de helft van de oorspronkelijk geraamde tijd zullen besteden aan het kennisnemen en interpreteren van regelgeving, kan het reductiepotentieel van dit voorstel worden geraamd op ruim een miljoen euro. N.B. Het feit dat inmiddels de beloofde uitleg beschikbaar is (zie: Informatieblad Doorgifte
derde landen
inzake uw gegevensverwerkingen,
op
www.cbpweb.nl), is geen garantie dat bedrijven hiervan gebruik maken en dat daardoor de administratieve lasten zullen dalen. Het CBP zal bedrijven moeten blijven voorzien van heldere, makkelijk toegankelijke informatie over de wijze waarop zij kunnen voldoen aan de vereisten van Wbp. Veel van deze informatie is reeds via de website van het CBP beschikbaar. Een belangrijke vraag in dit kader is hoe bedrijven meer gestimuleerd kunnen worden om daadwerkelijk van het beschikbare materiaal gebruik te maken. Er zal dus het nodige gedaan moeten worden om de communicatie richting bedrijfsleven op dit punt te optimaliseren. 7 Vrijstelling vergunningplicht bij gebruikmaking van modelcontracten (art. 77. VNO-NCW vrst 6)
De Europese Commissie heeft bepaald dat bepaalde modelcontracten voor de doorgifte van gegevens naar derde landen voldoende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer van betrokkenen wier gegevens worden doorgegeven. Veel lidstaten hebben daarom de vergunningplicht afgeschaft wanneer van deze modelcontracten gebruik gemaakt wordt. In Nederland is dat echter nog niet het geval. Ook bij de gebruikmaking van de modelcontracten moeten bedrijven in Nederland nog een vergunning aanvragen. Binnen de Richtlijn 95/46/EG is vrijstelling van de vergunningplicht mogelijk. Het CBP pleit er dan ook voor dat deze vrijstelling ook binnen de Wbp mogelijk te maken.
EIM: Vergunningaanvragen kwamen enkele jaren geleden nog maar sporadisch voor (slechts 7 in de geactualiseerde nulmeting per ultimo 2002). Naar verwachting van het CBP zal het aantal vergunningaanvragen wel toenemen. Het CBP gaat uit van circa 50 vergunningaanvragen per jaar vanaf 2006. Echter, niet alle vergunningaanvragen kunnen in de toekomst via de modelcontracten afgedaan worden. Dit reductievoorstel zal macro gezien relatief weinig opleveren, per vergunningaanvraag kan de lastenverlichting echter aanzienlijk zijn. EIM raamt de lastenverlichting bij de vrijstelling van de vergunningaanvraag bij gebruikmaking van de modelcontracten op circa 75%. In de door EIM gecorrigeerde nulmeting worden de administratieve lasten per vergunningaanvraag geschat op € 18.750. Bij een lastenreductie van 75% komen de nieuwe lasten uit op zo’n € 4.700 bij gebruikmaking van de modelcontracten. Wanneer twee derde van de vergunningaanvragen onder de vrijstelling zou vallen, kunnen de totale jaarlijkse administratieve lasten dalen van € 131.250 naar € 61.000. Het reductiepotentieel op basis van de nulmeting per ultimo 2002 is dan € 70.250.
Rekening houdend met de verwachte stijging van het aantal vergunningaanvragen tot gemiddeld 50 per jaar, levert deze maatregel echter veel meer winst voor de bedrijven op en is het verwachte reductiepotentieel per ultimo 2006 ruim € 460.0001. 8 Invoering van Binding Corporate Rules (art. 77)
Een andere manier om de vergunningplicht als boven genoemd te vereenvoudigen is de invoering van Binding Corporate Rules. Het gaat hierbij om interne gedragscodes van multinationals met betrekking tot de gegevensverwerkingen van persoonsgegevens. Deze vorm van zelfregulering binnen multinationals kan het aantal vergunningaanvragen naar de mening van het CBP doen dalen. Hierbij houdt het CBP rekening met het feit dat elke afzonderlijke gegevensverwerking vergunningplichtig is.
EIM: Het aantal bedrijven dat zou kunnen profiteren van de invoering van Binding Corporate Rules is gering. Dit voorstel realiseert alleen een lastenreductie bij vergunningaanvragen door een beperkt aantal multinationals. Gegeven de lage frequentie wordt voor het reductiepotentieel verwezen naar de schatting bij voorstel 7. 9 Wijziging artikel 41.3 Wbp (art 41. VNO-NCW vrst 8.1)
Het gaat hierbij met name om een voorstel van het CBP om de verplichting af te schaffen dat bedrijven die persoonsgegevens aan derden verstrekken voor marketingdoeleinden dit aan de betrokkenen uitdrukkelijk bekend maken en hen de gelegenheid geven om hier tegen bezwaar te maken. Vaak wordt hiervoor door bedrijven het middel van een advertentie in dag-, nieuws- of huis-aan huisbladen gebruikt. Afschaffen van deze verplichting leidt naar de mening van het CBP tot een lastenverlichting van € 1,4 tot 2,1 miljoen per jaar.
EIM: In de nulmeting zijn de advertentiekosten waarschijnlijk lager geraamd dan de hierboven genoemde schatting van het CBP. Deze kosten zijn in de nulmeting niet apart gekwantificeerd, maar meegenomen onder artikel 33 rond de verstrekking van informatie aan betrokkenen. Formeel is de verplichting om betrokkenen te informeren via een advertentie nog niet afgeschaft. De verplichting wordt volgens het CBP echter nauwelijks nageleefd. De Richtlijn 95/46/EG schrijft deze verplichting niet voor en het CBP is dan ook van mening dat dit reductievoorstel zonder veel moeite door Justitie geaccepteerd zal worden. Omdat de kosten van deze advertenties niet afzonderlijk uit de nulmeting zijn te halen, sluit EIM wat betreft de kwantificering van het reductiepotentieel aan op de schatting die door het CBP is gemaakt. EIM gaat uit van het gemiddelde van de door het CBP aangegeven range en raamt het reductiepotentieel op € 1,75 miljoen.
1
De totale AL bedragen bij 50 vergunningaanvragen: 50 x € 18.750 = € 937.500. Wanneer 2/3 van de vergunningaanvragen onder de vrijstelling gaat vallen, worden de nieuwe AL als volgt berekend: (33 x € 4.700) + (17 x € 18.750) = € 473.850. De lastenreductie bij 50 vergunningaanvragen is dan: € 937.500 -/- € 473.850 = € 463.650.
10 Concretisering open normen informatieverplichting (art. 33, 34. VNO-NCW vrst 3)
Op grond van de informatieplicht in de artikelen 33 en 34 Wbp moet de verantwoordelijke de betrokkene informeren over de verwerking van zijn persoonsgegevens. Welke informatie precies aan de betrokkene verstrekt dient te worden is vanuit de huidige wetsartikelen onvoldoende duidelijk. Dit brengt voor de verantwoordelijken soms onzekerheid en uitzoekwerk met zich mee. Het CBP stelt voor om de informatieplicht te standaardiseren.
EIM: Er zal nog gewerkt moeten worden aan de concrete invulling van de standaardisering van de informatieplicht. De betekenis voor het reductiepotentieel van dit voorstel is vooralsnog onvoldoende duidelijk om hiervoor een redelijke kwantificering te maken. De administratieve lasten vanuit de genoemde artikelen worden geraamd op 4,8 miljoen euro, het reductiepotentieel van dit voorstel kan dus aanzienlijk zijn.
3.2.2 Voorste lle n van VNO-NCW Ultimo december 2004 liet VNO-NCW per brief aan de minister van Justitie weten de hiervoor genoemde voorstellen van het CBP te steunen. In haar brief aan de minister doet VNO-NCW nog enkele andere voorstellen om een verdere reductie van de administratieve lasten vanuit privacywetgeving te bereiken. Deze voorstellen zijn ultimo augustus 2006 met VNO-NCW besproken en worden hieronder samengevat. Na een korte beschrijving van het voorstel volgt telkens het commentaar van EIM en waar mogelijk een raming van het reductiepotentieel per voorstel, of een verwijzing naar de raming van het reductiepotentieel die is opgenomen bij de voorstellen van het CBP. In de titel van het voorstel wordt verwezen naar de artikelnummers in de Wbp waaruit de verplichtingen voortvloeien. 1 Overlap met andere regelgeving
VNO-NCW is van mening dat er sprake is van overlap tussen hetgeen in de Wbp geregeld is en hetgeen in andere wetgeving is geregeld ten aanzien van de privacybescherming van personen. Deze overlap is te vinden in de onderstaande regelgeving: –
Boek 6 BW inzake onrechtmatige daad. Deze bepaling beschermt de klanten van bedrijven tegen onrechtmatig gebruik van hun persoonsgegevens.
–
Boek 7 BW inzake arbeidsrecht. De zorgplicht die geldt tussen werkgever en werknemer beschermt het gebruik van persoonsgegevens van de werknemers door de werkgever.
–
Boek 7 BW inzake verkoop op afstand. De artikelen geven al verplichtingen ten aanzien van bedrijven die zich bezighouden met verkoop op afstand ter bescherming van de privacyrechten van de klanten.
–
Telecommunicatiewet. De bepalingen uit de Telecomwet beschermen de klanten van telecombedrijven en direct marketeers tegen onrechtmatig gebruik van gegevens.
–
Gezondheidszorg. Bepalingen in met name de Wet geneeskundige behandelingsovereenkomst (WGBO), de Wet bijzondere opnemingen psychiatrische ziekenhuizen (Wet Bopz) en de Kwaliteitswet zorginstellingen bieden voldoende bescherming van de persoonlijke levenssfeer van de patiënt. Juist de bepalingen rondom privacy in de WGBO zouden in de Wbp ingebracht kunnen worden.
EIM: Boek 6 BW inzake onrechtmatige daad Vanuit Boek 6 BW zijn geen administratieve lasten voor bedrijven gemeten. Er is hiervan geen nulmeting beschikbaar. In principe kan er dan geen sprake zijn van overlappende informatieverplichtingen waaruit administratieve lasten voortvloeien. Er is mogelijk wel overlap tussen inhoudelijke verplichtingen die nageleefd dienen te worden op het terrein van persoonsgegevensbescherming. Deze overlap kan echter niet leiden tot hogere kosten voor bedrijven.
Boek 7 BW inzake arbeidsovereenkomst Er is een nulmeting van het ministerie van Justitie op dit terrein beschikbaar. In deze nulmeting zijn geen informatieverplichtingen opgenomen die tot administratieve lasten leiden die overlap vertonen met de informatieverplichtingen vanuit de Wbp. Er is mogelijk wel overlap tussen inhoudelijke verplichtingen die nageleefd dienen te worden op het terrein van (personeels)gegevensbescherming. Deze overlap kan echter niet leiden tot hogere kosten voor bedrijven.
Boek 7 BW inzake verkoop op afstand Er is een nulmeting van het ministerie van Justitie op dit terrein beschikbaar. De informatieverplichtingen waar het hier om gaat betreffen het voorafgaand toestemming vragen aan klanten voor het toezenden van ongevraagde (commerciële) oproepen en het registreren van het feit dat klanten te kennen hebben gegeven dat zij de hiervoor bedoelde oproepen niet wensen te ontvangen. De administratieve lasten onder de artikelen 46 h lid 2 en 3 zijn in de nulmeting van Justitie wel benoemd, maar voor de kwantificering wordt terecht verwezen naar de nulmeting van de Wbp. Er is hier dus sprake van overlappende informatieverplichtingen, waarbij de administratieve lasten slechts eenmaal zijn gemeten. Technisch gezien is er geen mogelijkheid tot reductie van administratieve lasten. Dit is echter niet bezwaarlijk omdat bedrijven in de praktijk zodanig zullen naleven dat zij hiervan geen dubbele lasten zullen ondervinden.
Telecommunicatiewet Op de verwerking van persoonsgegevens in de sector elektronische communicatie is de Wbp van toepassing. Daarnaast gelden voor de sector elektronische communicatie tevens de bepalingen uit de bijzondere privacyrichtlijn 2002/58/EG. Artikel 13 van de bijzondere privacyrichtlijn is geïmplementeerd in artikel 11.7 Tw. De bepalingen uit de bijzondere privacyrichtlijn geven aan bepaalde algemene normen uit de algemene privacyrichtlijn een nadere invulling maar hebben ook een aanvullend karakter, aangezien er bepalingen in zijn opgenomen die ook van toepassing zijn als er geen sprake is van verwerking van persoonsgegevens. De Wbp is alleen van toepassing in de sector elektronische communicatie waar sprake is van de verwerking van persoonsgegevens. De OPTA houdt toezicht waar sprake is van het gebruik van elektronische berichten dan wel van elektronische contactgegevens voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden. Het CBP houdt toezicht waar sprake is van een verwerking van persoonsgegevens, anders dan voor het gebruik van elektronische berichten dan wel van elektronische contactgegevens voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden.
Bij de implementatie van artikel 131 van Richtlijn 2002/58/EG (Bijzondere privacyrichtlijn) in de Telecommunicatiewet heeft EIM eerder de administratieve lasten vanuit het nieuwe artikel 11.7 van deze wet op nihil geraamd2 omdat deze door hun aard niet zijn te kwantificeren. Indertijd is wel rekening gehouden met eenmalige kosten voor aanpassing van software. Technisch gesproken is hier sprake van overlappende informatieverplichtingen, in de praktijk echter zullen nalevende bedrijven nooit met dubbele lasten te maken krijgen.
Wet op de geneeskundige behandelingsovereenkomst (WGBO) Het gaat hier feitelijk om de artikelen 7:446-468 van Boek 7 BW. In de nulmeting van het ministerie van Justitie zijn de administratieve lasten opgenomen van medische zorgverleners die voortvloeien uit de artikelen 448, 454 en 456. De informatieverplichtingen die deze lasten veroorzaken zijn: –
het geven van informatie aan patiënten omtrent de aard van hun problemen, het onderzoek, de gevolgen, de risico’s, mogelijke oplossingen en behandelmethoden e.d.;
–
het bijhouden van patiëntendossiers met medische gegevens;
–
het op verzoek verlenen van inzage in het dossier aan de patiënten.
De genoemde verplichtingen gaan naar de mening van EIM verder dan de Wbp vereist. In de genoemde nulmeting zijn voor bovenstaande informatieverplichtingen de administratieve lasten geraamd op € 24,6 miljoen. EIM gaat er dan ook vanuit dat deze lasten niet zijn meegenomen in de nulmeting van de Wbp en dat hier dus geen sprake is van dubbeltellingen van administratieve lasten. Wellicht is er sprake van enkele overlappende verplichtingen en zou verduidelijking van de toepassing van de Wbp en de Wgbo voor medische zorgverleners de kennelijke onvrede op dit punt kunnen wegnemen.
Wet bijzondere opnemingen psychiatrische ziekenhuizen (Wet Bopz) Er is een nulmeting van het ministerie van VWS van de Wet Bopz beschikbaar. In deze nulmeting komen enkele informatieverplichtingen voor waar ziekenhuizen patiënten of hun wettelijke vertegenwoordigers en vertegenwoordigers van overheidsdiensten dienen te informeren o.a. over de over hen in patiëntendossiers vastgelegde gegevens. Op het eerste gezicht betreft het hier echter met name informatie omtrent de behandeling van patienten. EIM ziet niet direct een overlap in informatieverplichtingen met die uit de Wbp. Wellicht voelt de sector hier een extra druk omdat persoonsgegevens van (psychiatrische) patiënten zeer zorgvuldig behandeld dienen te worden en extra beveiligd moeten worden opgeslagen. Nader onderzoek zou moeten uitwijzen in hoeverre er sprake zou kunnen zijn van overlap van informatieverplichtingen met informatieverplichtingen uit de Wbp. Overigens geldt hier ook dat ziekenhuizen vanwege de naleving van de Wbp en de Wet Bopz nooit te maken kunnen hebben met dubbele lasten.
Kwaliteitswet zorginstellingen In opdracht van het ministerie van VWS is een nulmeting uitgevoerd naar de administratieve lasten van de Kwaliteitswet zorginstellingen. In deze
1
2
Artikel 13 van Richtlijn 2002/58/EG schrijft dwingend voor dat verzenders van commerciële boodschappen de ontvangers voorafgaand aan het verzenden van de boodschap expliciet toestemming vragen om voor dit doel hun contactgegevens te gebruiken. De nieuwe Telecommunicatiewet. Gevolgen voor administratieve lasten van implementatie nieuwe EG-richtlijnen. EIM, Zoetermeer, 6 november 2002.
nulmeting komen geen informatieverplichtingen voor die overlap hebben met de informatieverplichtingen vanuit de Wbp. Waarschijnlijk is er wel overlap tussen de inhoudelijke nalevingsverplichtingen, dit zou nader onderzocht kunnen worden. In zijn algemeenheid kan wat betreft de mogelijke overlap tussen verplichtingen uit de Wbp en sectorale regelgeving worden geconcludeerd dat de wetgever zoveel mogelijk de bepalingen uit verschillende regelgeving dient te harmoniseren. Dit voorkomt ergernis bij bedrijven over mogelijke dubbele verplichtingen en veel uitzoekwerk om te achterhalen hoe op de meest efficiënte wijze verschillende wetten nageleefd kunnen worden. Het is niet uitgesloten dat er wetten en regelingen zijn waarbij de naleving daadwerkelijk zorgt voor een overlap met verplichtingen uit de Wbp en waarbij naleving extra kosten voor bedrijven veroorzaakt. Om hierop een goed zicht te krijgen is het nodig om diepgaander onderzoek uit te voeren naar enkele praktijkgevallen. Naast door de VNO-NCW genoemde overlap, is naar de mening van VNONCW binnen de Wbp zelf een reductie van administratieve lasten te bereiken met de onderstaande voorstellen. 2 Doornemen Vrijstellingsbesluit Wbp (art. 27, 29, 30.3. CBP vrst 1 en 2)
Bedrijven besteden veel tijd aan het doornemen van het Vrijstellingsbesluit. In dit besluit is geregeld welke bedrijven, instellingen en organisaties registraties van persoonsgegevens kunnen bijhouden zonder dit te hoeven melden aan het CBP. VNO-NCW pleit ervoor om deze systematiek om te keren en over te gaan tot de verplichting tot melding van met name genoemde verwerkingen van persoonsgegevens in een vastgestelde lijst.
EIM: De Richtlijn 95/46/EG gaat uit van melding als hoofdregel en niet-melding als uitzondering. Dit betekent dat dit voorstel van VNO-NCW niet kan worden doorgevoerd zonder aanpassing van de Richtlijn (en de Wbp). EIM heeft in de gecorrigeerde nulmeting wel apart de administratieve lasten zichtbaar gemaakt die gemoeid zijn met het doornemen van het Vrijstellingsbesluit. Deze waren in de geactualiseerde nulmeting niet opgenomen. Kwantificering van een mogelijke reductie van administratieve lasten is voor dit voorstel voorbarig omdat het qua bedoeling anders is dan voorstel 2 van het CBP en niet past binnen de Richtlijn. 3 Definitie persoonsgegevens (art. 33, 34. CBP vrst 10)
De in de Wbp gehanteerde definitie van persoonsgegevens is nu te ruim. Een beperking van deze gegevens kan ervoor zorgdragen dat bepaalde bedrijfsgegevens niet meer onder de voorschriften van de Wbp vallen, waardoor de (administratieve) lasten van bedrijven zullen dalen.
EIM: In het gesprek met EIM geeft VNO-NCW als toelichting op de te ruime definitie van de persoonsgegevens dat,
binnen de uitleg die nu aan de Wbp
gegeven wordt, ook gegevens met betrekking tot aan personen gerelateerde zaken onder de definitie van persoonsgegevens kunnen vallen. Het gaat hierbij om zaken als auto’s, huizen, boten e.d. Daar waar een verantwoordelijke beschikt over soortgelijke gegevens, zouden deze dus verstrekt
moeten worden wanneer een betrokkene informatie vraagt omtrent de over hem in gegevensbestanden vastgelegde gegevens. VNO-NCW pleit ervoor om binnen de Wbp de te verstrekken gegevens expliciet te benoemen. Dit reductievoorstel, waarvoor de Wbp gewijzigd dient te worden, is zonder uitvoerige toetsing in de praktijk niet te kwantificeren. In de praktijk zou in situaties waar sprake is van zeer uitgebreide gegevensverstrekking door verantwoordelijken aan betrokkenen, nagegaan moeten worden hoeveel tijdwinst bereikt kan worden wanneer de definitie van persoonsgegevens ingeperkt wordt. Gegeven de omvang van de voor deze verplichtingen geraamde administratieve lasten (€ 4,8 mln.), is er een groot reductiepotentieel aanwezig. 4 Misbruikstelsel in plaats van gebruikstelsel
Binnen de Wbp dienen bedrijven aan bepaalde voorwaarden en verplichtingen te voldoen indien zij persoonsgegevens gebruiken. Een aanzienlijke besparing van lasten kan volgens VNO-NCW worden bereikt door ook hier weer de bewijslast om te keren en bedrijven alleen dan informatie te laten aanleveren wanneer zij worden aangesproken op misbruik van persoonsgegevens.
EIM: Dit reductievoorstel kan niet binnen de huidige Wbp en de Richtlijn 95/46/EG worden gerealiseerd. Het kwantificeren van een eventuele reductie van administratieve lasten is daardoor vooralsnog niet opportuun. 5 Beperking van voorafgaand onderzoek (art. 31, 32. CBP vrst 4 en 5)
Voordat een bedrijf bepaalde gegevens mag verwerken kan het zijn dat een voorafgaand onderzoek door het CBP wordt ingesteld. Bedrijven dienen dit zelf aan het CBP te melden. Een en ander is nu in de artikelen 31 en 32 van de Wbp kennelijk onvoldoende helder vastgelegd, waardoor bedrijven vaak nog met veel vragen blijven zitten. Het verkrijgen van voldoende helderheid omtrent de verplichtingen kost onevenredig veel tijd. VNO-NCW stelt voor om een en ander beter af te bakenen in een AMvB of een ministeriële regeling.
EIM: Het scheppen van meer helderheid omtrent de noodzaak van een voorafgaand onderzoek is ook een wens van het CBP. Deze beperkingen, c.q. verduidelijkingen, kunnen binnen Richtlijn 95/46/EG worden geregeld. Een raming van het reductiepotentieel is opgenomen bij voorstel 4 van het CBP. 6 Vergunning internationaal gegevensverkeer (art. 77. CBP vrst 7)
Voor het doorgeven van persoonsgegevens door Nederlandse bedrijven aan derde landen, dient een vergunning te worden aangevraagd. In relatie tot de Richtlijn 95/46/EG is de vergunning een zwaar instrument. Gegeven de Richtlijn zou volstaan kunnen worden met een melding en het vaststellen van nadere voorwaarden waaronder gegevens doorgegeven mogen worden. Herziening van deze verplichting kan voor verlichting van (administratieve) lasten zorgen.
EIM: Het in Nederland ingevoerde vergunningensysteem wordt niet voorgeschreven in Richtlijn 95/46/EG. Een wijziging van de Wbp op dit punt behoort dus
tot de mogelijkheden om administratieve lasten te verlichten. VNO-NCW pleit samen met het CBP voor een vrijstelling van de vergunningplicht bij gebruikmaking van door de Europese Commissie goedgekeurde modelcontracten. De weinige bedrijven die hiermee te maken hebben zouden hiermee in elk geval administratieve lasten kunnen besparen. In de geactualiseerde nulmeting worden aan de vergunningen ex artikel 77.2 nog geen € 20.000 aan administratieve lasten toegerekend. Deze raming is echter te laag, volgens VNO-NCW zijn hier de externe lasten niet meegenomen. Ook het aantal vergunningaanvragen was in 2002 laag. Inmiddels gaat het CBP uit van ongeveer 50 vergunningaanvragen per jaar. Dit voorstel van VNO-NCW gaat verder dan voorstel 7 van het CBP. Bij dit voorstel wordt de vergunningplicht volledig afgeschaft. Een extra lastenreductie ten opzichte van voorstel 7 van het CBP is dan ook mogelijk. Uitgaande van 50 vergunningaanvragen raamt EIM de extra lastenreductie op € 242.5001.
7 Verzwaring van lasten door controleorgaan
De Richtlijn 95/46/EG schrijft voor dat een bedrijf een “voldoende mate van beveiliging” toepast op de gegevensverwerkingen. Dit voorschrift is in artikel 13 van de Wbp geïmplementeerd. Het CBP heeft inmiddels voorschriften gegeven voor wat dient te worden verstaan onder een voldoende mate van beveiliging (onder andere toepassing van “Privacy Enhancing Tools”). Daarbij is ook aangegeven dat bedrijven regelmatig audits op hun beveiliging dienen toe te passen. In de praktijk betekenen deze voorschriften voor bedrijven een lastenverzwaring.
EIM: Dit reductievoorstel kan niet rechtstreeks gekoppeld worden aan de administratieve lasten in de geactualiseerde nulmeting. Het gaat hierbij om inhoudelijke nalevingskosten. 8 Verplichtingen niet opgenomen in eerdere lastenmetingen (art. 41.3, 41.4. CBP vrst 9)
Volgens VNO-NCW zijn onderstaande administratieve lasten niet gekwantificeerd in de nulmeting: 1
de verplichting van direct marketing bedrijven om jaarlijks een advertentie te zetten om hun betrokkenen te informeren over hun rechten;
2
de verplichting om onder elke uitgaande commerciële e-mail de mogelijkheid tot verzet aan te tekenen tegen het verwerken van de persoonsgegevens van de betrokkene.
EIM Ad 1. Zie reductievoorstel 9 van het CBP. Het gaat hier om een verplichting die de eisen van de Richtlijn overtreft. Het CBP stelt ook voor om de advertentie af te schaffen. EIM sluit bij de raming van het reductiepotentieel aan bij de raming van het CBP. Zie hiervoor voorstel 9 van het CBP.
1
De totale AL bedragen bij 50 vergunningaanvragen: 50 x € 18.750 = € 937.500. Wanneer alle vergunningaanvragen onder de vrijstelling gaan vallen, worden de nieuwe AL als volgt berekend: (50 x € 4.700 = € 235.000. De lastenreductie bij 50 vergunningaanvragen is dan: € 937.500 -/- € 235.000 = € 702.500. Reductie voorstel 7 CBP was € 460.000. Extra AL reductie € 702.500 -/- € 460.000 = € 242.500.
Ad 2. Het gaat hier om een nadere uitwerking van een verplichting vanuit de bijzondere privacyrichtlijn 2002/58/EG in de Telecommunicatiewet. Deze verplichting wordt inmiddels niet meer als bezwaarlijk ervaren vanwege het feit dat het vragen van toestemming zodanig is geautomatiseerd dat er voor bedrijven nauwelijks nog lasten mee gemoeid zijn. De administratieve lasten vanuit deze informatieverplichting zijn opgenomen onder de Telecommunicatiewet. 9 Gedragscodes
Door VNO-NCW wordt gesteld dat verplichtingen volgend uit gedragscodes die ex artikel 25 zijn opgesteld door (branche)organisaties en zijn goedgekeurd door het CBP1 eveneens administratieve lasten met zich meebrengen en dat deze lasten ontbreken in de nulmeting. Deze lasten hebben voornamelijk betrekking op audits die door de bedrijven intern worden gehouden om de correcte naleving van de gedragscode te controleren en om de juiste gegevensbescherming te waarborgen.
EIM: EIM is van mening dat het naleven van gedragscodes weliswaar nalevingskosten met zich meebrengt, maar dat het hier niet gaat om administratieve lasten in de definitie van ‘Meten is weten’. Het gaat hier om inhoudelijke nalevingskosten zonder informatieverplichtingen. Het feit dat een en ander ontbreekt in de nulmeting is volgens EIM dan ook terecht.
1
Op de website van het CBP worden 7 goedgekeurde gedragscodes vermeld.
Bijlage I
Gecorrigeerde nulmeting
De tabel in deze bijlage geeft de op basis van dit onderzoek volledige gecorrigeerde nulmeting van de administratieve lasten vanuit de Wbp weer.
Bijlage II
Reductievoorstellen per artikel
In deze tabel is aangegeven waar de reductievoorstellen van VNO-NCW en het CBP ingrijpen op de oorspronkelijke nulmeting. Tevens is aangegeven bij welke artikelen in de Wbp mogelijk sprake is van een ‘nationale kop’ op de Europese Richtlijn.
