Artikelen. Pensioenfondsen en privacybescherming. Mr. Juanita Sutrisna CPL Inleiding Wet bescherming persoonsgegevens (Wbp)

Mr. Juanita Sutrisna CPL

Artikelen

1

Pensioenfondsen en privacybescherming 17 Pensioenfondsen hebben tot taak pensioenregeling uit te voeren. Om pensioenaanspraken vast te stellen en pensioenuitkeringen te verstrekken zijn persoonsgegevens nodig die ‘verwerkt’moeten worden. Hierop is de Wet bescherming persoonsgegevens (Wbp) van toepassing, waarvan het College Bescherming Persoonsgegevens (CBP) de toezichthouder is. De Pensioenwet noemt slechts DNB en AFM als toezichthouders. Het CBP wordt daarin echter niet genoemd, terwijl privacybescherming 2 een grondwettelijk recht is. Bestuurders van pensioenfondsen zijn verantwoordelijk voor het realiseren van de doelstellingen van het fonds. Het bereiken van die doelstellingen kan in gevaar komen door risico’s van binnen en buiten de organisatie. Pensioenfondsen moeten daarom een actueel en volledig beeld van alle relevante risico’s kunnen vormen en zorgen voor gepaste beheers- en beveiligingsmaatregelen. Een van de risico’s waar naar mijn idee weinig aandacht voor bestaat is de privacybescherming van aanspraak- en pensioengerechtigden. Zonder waarborging voor de privacy kan het vertrouwen in pensioenfondsen (verder) in het gedrang komen; de sector 3 kan zich niet (nog meer) reputatieschade permitteren. Zeker nu door de kredietcrisis het vertrouwen in pensioenfondsen lijkt af te nemen. Dit artikel heeft niet de pretentie de Wbp volledig uiteen te zetten. Dit artikel beoogt de privacybescherming bij pensioenfondsen en pensioenuitvoeringsbedrijven onder de aandacht te brengen. Verwerking van persoonsgegevens is immers een – zo niet de belangrijkste – activiteit binnen hun bedrijfsvoering. De naleving van Wpb zou daarom ingebed moeten zijn in de reguliere bedrijfsprocessen; daarnaast zou zij onderdeel uit moeten maken van het risicomanagement. Tevens behoren degenen wier persoonsgegevens worden verwerkt (betrokkenen) te weten of de verwerking van hun gegevens rechtmatig gebeurt en welke rechtsmiddelen ze kunnen aanwenden om hun rechten, rechtstreeks aan de Wbp ontleend, te kunnen effectueren.

1.

persoonsregistraties (Wpr) uit 1989. De Wpr regelde voornamelijk eisen aan persoonsregistraties. De Wbp , daarentegen, stelt normen voor de hele verwerkingsketen, vanaf het verzamelen, vastleggen, bewaren, wijzigen, koppelen, raadplegen, verstrekken van persoonsgegevens aan derden tot en met het vernietigen daarvan. Persoonsgegevens zijn volgens de Wbp gegevens die informatie bevatten over een natuurlijke persoon. De natuurlijke persoon waar de gegevens betrekking op 4 hebben moet vervolgens identificeerbaar zijn. Een persoon is identificeerbaar, als de identiteit redelijkerwijs – dat wil zeggen zonder onevenredige inspanning – kan worden vastgesteld. De Wbp geldt voor de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens én voor sommige handmatige verwerkingen, die zijn opgenomen in 5 een bestand of bestemd zijn om daarin te worden opgenomen. De Wbp is dus niet op elke verwerking van persoonsgegevens van toepassing. Een aantal verwerkingen is expliciet uitgezonderd in de Wbp (art. 2 jo. 3). De Wbp eist een behoorlijke en zorgvuldige verwerking van persoonsgegevens van degene die verantwoordelijk is voor de verwerking. Anderen aan wie de persoonsgegevensverwerking wordt uitbesteed, de bewerkers, hebben ook plichten, maar deze zijn in beginsel afgeleid van de plichten van de verantwoordelijke. Bewerkers mogen in de Wbp persoonsgegevens alleen verwerken in opdracht van de verantwoordelijke. Verantwoordelijken zijn gehouden om passende en technische maatregelen te treffen teneinde persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Verantwoordelijken moeten voorts de gegevensverwerking melden bij het CBP, tenzij de gegevensverwerkingen van meldingsplicht vrijgesteld zijn in het Vrijstel6 lingsbesluit . Persoonsgegevens mogen volgens de Wbp in beginsel alleen worden gebruikt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Onder strikte voorwaarden mogen de verzamelde persoonsgegevens ook voor andere doeleinden worden gebruikt dan waarvoor zij oorspronkelijk zijn verkregen.

Inleiding Wet bescherming persoonsgegevens (Wbp)

Sinds 1 september 2001 is de Wet bescherming persoonsgegevens (Wbp) van kracht. De Wbp vervangt de Wet

4.

Soms is de identiteit eenvoudig, direct vast te stellen. Gegevens die van naam zijn ontdaan kunnen in combinatie met andere gegevens tot een bepaalde persoon leiden. In dat geval is de persoon indirect identificeerbaar. Om een persoonsgegeven te zijn moet het gegeven dus informatie bevatten over een persoon, direct of indirect.

1.

Mr. Juanita Sutrisna is freelance pensioenjuriste.

2.

Het recht op de eerbiediging van de persoonlijke levenssfeer is vastgelegd in art. 10 van de Grondwet.

3.

22

5.

Met een bestand wordt bedoeld een gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen.

6.

Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van

Cecile Lammes, ‘Reputatiemanagement moet sectorbreed’, PBM

persoonsgegevens die vrijgesteld zijn van melding bedoeld in art. 27

2010-1, p. 15.

Wet bescherming persoonsgegevens, Stb. 2001, 250.

Afl. 3

TPV

Artikelen

pensioenfondsen en privacybescherming

De Wbp kent aan degenen wier persoonsgegevens worden verwerkt – betrokkenen- een aantal rechten toe, zoals recht op correctie van verwerkte persoonsgegevens. Ook hebben zij recht op inzage. Betrokkenen kunnen desgewenst bezwaar aantekenen tegen de verwerking van hun persoonsgegevens. De Wbp bevat daarnaast een bepaling over de plicht van verantwoordelijken tot informatieverstrekking aan degene wiens gegevens worden/zijn verwerkt. De Wbp stelt een College bescherming persoonsgegevens (CBP) in, dat toezicht houdt op het naleven van deze privacywetgeving. Het CBP heeft de mogelijkheid een onderzoek in te stellen, op eigen initiatief of op verzoek, naar de wijze waarop in de verwerking van persoonsgegevens invulling wordt gegeven aan de Wbp. Een onderzoek van het CBP kan leiden tot een openbaar rapport. In een aantal gevallen kan het CBP een boete en/of een dwangsom opleggen. Het CBP kan daarnaast bemiddelend optreden bij geschillen over het uitoefenen van rechten door betrokkenen. Geschillen kunnen voorts worden voorgelegd aan de rechter. In het volgende zal ik achtereenvolgens nagaan hoe pensioenfondsen invulling kunnen geven aan de Wet bescherming persoonsgegevens. Daarnaast zal ik de rechten van degene wiens gegevens worden verwerkt bespreken. Hieraan voorafgaand bespreek ik eerst de positie van pensioenfonds in het licht van Wbp, waarbij tevens de rol van derde bij de uitvoering van pensioenregeling (de bewerker in de zin van Wbp) wordt belicht. 7

2.

Plaatsbepaling pensioenfonds bij het verwerken van persoonsgegevens in de zin van Wbp

Het verwerken van persoonsgegevens in het kader van de Pensioenwet vindt plaats in de driehoeksverhouding tussen werkgever, werknemer en pensioenuitvoerder. Het gegevensverkeer tussen werkgever en werknemer

7.

geschiedt in het kader van de uitvoering van de arbeidsvoorwaarde pensioen in de pensioenovereenkomst. De werkgever heeft ingevolge art. 23 Pw de verplichting de pensioenovereenkomst onder te brengen bij een pensioenuitvoerder door middel van een schriftelijke uitvoeringsovereenkomst. Art. 1, lid d, Wbp definieert verantwoordelijke als: ‘de natuurlijke persoon, rechtspersoon, of ieder ander die of het bestuursorgaan, dat alleen of tezamen met anderen, het doel van de middelen voor de verwerking van persoonsgegevens vaststelt’. Het fonds is in de zin van de Wbp de verantwoordelijke, dat wil zeggen degene die formeel-juridisch de bevoegdheid heeft om doel en middelen van verwerking te bepalen. Daarnaast kan een pensioenfonds op grond van art. 34 8 Pw werkzaamheden uitbesteden aan een derde. Bepalend bij uitbesteding is dat er een overeenkomst tot opdracht bestaat in de zin van het BW. Het fonds heeft bij uitbesteding niet alleen zorgplicht, maar blijft ook bij uitbesteding verantwoordelijk voor de naleving van de Pw. Dit laatste blijkt onder meer uit art. 169 Pw, dat de pensioenuitvoerder tot bewaarplicht stelt van gegevens voor de toezichthouder. Een pensioenfonds dat werkzaamheden aan een derde uitbesteedt is daarnaast gebonden aan wettelijke voorschriften voor uitbesteding; deze zijn opgenomen in het Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling (hierna verder te noemen Uitvoeringsbesluit Pw). Zo is in art. 13 Uitvoeringsbesluit Pw bepaald dat de uitbestedingovereen9 komst schriftelijk moet worden aangegaan en welke zaken daarin in ieder geval dienen te worden geregeld. Art. 14, lid 1, van het Uitvoeringsbesluit Pw bevat daarnaast voorschriften voor pensioenfondsen die betrekking hebben op de beheersing van risico’s, die samenhangen met de uitbesteding. Het fonds moet bij uitbesteding dus 10 een risicoanalyse maken. Verder moet het fonds een adequaat beleid, procedures en maatregelen hebben met betrekking tot uitbesteding, als onderdeel van een beheerste en integere bedrijfsvoering.

In dit artikel wordt de positie van verzekeraars als pensioenuitvoerder buiten beschouwing gelaten. Voor verzekeraars (en banken) die aangesloten zijn bij de koepel Verbond van Verzekeraars (en Nederlandse Vereniging van Banken) geldt namelijk de ‘Gedragscode verwerking persoonsgegevens financiële instellingen’ van 2003, waarvan de goedkeuring per 1 februari 2008 is verlopen. De tekst van de Gedragscode is inmiddels herzien en de herziene tekst is op 13 juli 2009 aan het CBP aangeboden. Na publicatie van de Gedragscode in

8.

Pensioenwet niet omschreven. Wel bevat art. 1 Besluit uitvoering

zes weken ter inzage gelegd bij het CBP. Hierop zijn vijf Zienswijzen

Pensioenwet en Wet verplichte beroepspensioenregeling (hierna Uit-

ontvangen. Op 30 november 2009 hebben het Verbond en de NVB een

voeringsbesluit Pw) een definitie van uitbesteding door een uitvoerder.

reactie aan het College Bescherming Persoonsgegevens verzonden op

Uit die definitie volgt dat van uitbesteding eerst sprake is, indien de

de

Verwerking

uitvoerder aan een derde een opdracht verleent tot het – ten behoeve

Persoonsgegevens Financiële Instellingen (Gedragscode). Het Verbond

van die uitvoerder – verrichten van werkzaamheden, welke werkzaam-

en de NVB hebben op basis van deze Zienswijzen, in de reactie aan het

heden deel uitmaken van:

CBP, voorstellen tot aanpassing van de Gedragscode gedaan. Het CBP

a

óf voortvloeien uit het uitoefenen van het bedrijf; óf

dient, conform de procedure, op basis van de reactie van Verbond en

b

de wezenlijke bedrijfsprocessen ter ondersteuning daarvan.

Zienswijzen

ten

aanzien

van

de

Gedragscode

de NVB nog een besluit te nemen over de Gedragscode. Zolang de

9.

herziene Gedragscode nog geen goedkeurende verklaring heeft nageleefd.

In de uitbestedingovereenkomst wordt onder meer worden geregeld dat de derde verplicht is informatie aan de toezichthouder te verstrek-

ontvangen van het CBP dient de Gedragscode van 2003 nog te worden

TPV

Wat onder uitbesteden en derde moet worden verstaan, wordt in de

de Staatscourant op 10 augustus 2009 is de Gedragscode gedurende

ken. 10.

Afl. 3

Overeenkomstig lid 2 art. 14 Uitvoeringsbesluit Pw.

23

Artikelen

pensioenfondsen en privacybescherming 11

De derde , aan wie het pensioenfonds de werkzaamheden uitbesteedt, valt in het licht van de Wbp onder het begrip ‘bewerker’ (art. 1 sub e Wbp): ‘bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’. De bewerker is veelal een buiten de organisatie van de verantwoordelijke staande persoon of instelling en staat niet in een hiërarchische relatie tot de verantwoordelijke. Kenmerkend voor bewerkerschap is daarom dat een bewerker zich beperkt tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. De verantwoordelijke is op grond van art. 14, tweede lid, jo. vijfde lid, WBP verplicht een schriftelijk overeenkomst met de bewerker aan te gaan, waardoor afdwingbare verbintenissen ontstaan tussen de verantwoordelijke en de bewerker. De overeenkomst tussen de verantwoordelijke en de bewerker moet specifiek de gegevensverwerking tot onderwerp hebben. Concreet betekent dit dat er een afzonderlijke bewerkersovereenkomst moet komen, die losstaat van de uitbeste12 dingsovereenkomst . Art. 14 van de Wbp stelt bovendien eisen aan de keuze van een bewerker en aan de wijze waarop de relatie tussen de verantwoordelijke en de bewerker wordt vastgelegd. De verantwoordelijke dient erop toe te zien dat de bewerker voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiliging. Hoewel de verantwoordelijke primair aansprakelijk is voor de schade bij niet naleving van de Wbp en andere wettelijke regels, is de bewerker ook ‘zelfstandig’ aansprakelijk. Dit is expliciet in lid 3 art. 49 Wbp geregeld. Indien de verantwoordelijke niet aansprakelijk is op grond van art. 49, lid 4, Wbp, kan de bewerker aansprakelijk worden gesteld voor de schade die is ontstaan uit zijn werkzaamheid. De bepaling houdt evenwel in, dat ook indien er een bewerker is die gegevens verwerkt ten behoeve van een verantwoordelijke, die verantwoordelijke primair daarvoor aansprakelijk is. De verwerking blijft immers altijd onder de verantwoordelijkheid van de verantwoordelijke plaatsvinden. Dit laat onverlet dat hij mogelijk een regresrecht heeft op de bewerker. De bewijslast dat de schade niet aan de verantwoordelijke kan worden toege-

11.

De term derde in de Pensioenwet (Pw), zoals in deze zin bedoeld, heeft overigens niet dezelfde betekenis als de term derde in de Wet bescherming persoonsgegevens (Wbp). De Wbp definieert derde als: ‘ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig ander persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken’. Uit deze definitie blijkt dat derden niet vallen onder rechtstreeks gezag van de verantwoordelijke en evenmin een contractuele relatie kennen met de verantwoordelijke met betrekking tot de te verwerken gegevens. Derde in de zin van Pensioenwet = bewerker in de zin van Wbp.

12.

Het contract mag geen betrekking hebben op een andere vorm van dienstverlening, waarvan de gegevensverwerking slechts een uitvloeisel is. Zodra de gegevensverwerking een uitvloeisel van een andere vorm van dienstverlening is de dienstverlener, i.c. de bewerker, daarvoor

rekend rust evenwel op de schouders van de laatste. Vanzelfsprekend is de verantwoordelijke slechts aansprakelijk voor de verwerking, indien in strijd is gehandeld met de wettelijke voorschriften. Het is aannemelijk dat in geval van schade de jurisprudentie aansluiting zal zoeken bij art. 6:75 BW waarin is geregeld dat een tekortkoming de verantwoordelijke niet kan worden toegerekend indien zij niet te wijten is aan zijn schuld, noch krachtens de wet, rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt. Uit transparantieoverwegingen verdient het dan ook aanbeveling dat degene van wie de persoonsgegevens worden verwerkt, duidelijk weet in welke hoedanigheid het fonds (verantwoordelijke en/of bewerker) gegevens van hem verwerkt. Art. 33 jo. art. 34 Wbp stelt ook in dit verband dat de verantwoordelijke zijn identiteit bekend moet maken aan betrokkene. Dit is met name van belang voor het uitoefenen van de rechten van betrokkene, zoals hierna in paragraaf 5 aan de orde komt. Pensioenfondsen kunnen immers verantwoordelijke en/of bewerker zijn.

3.

Eisen voor verwerking van persoonsgegevens

De Wbp schrijft een aantal dwingende voorschriften voor waaraan moet worden voldaan, wil er sprake zijn van rechtmatige verwerking van persoonsgegevens door de verantwoordelijke. 3.1

Behoorlijke en zorgvuldige persoonsgegevensverwerking Art. 6 Wbp vereist dat persoonsgegevens op behoorlijke en zorgvuldige wijze worden verwerkt en in overeenstemming met de wet. Dit basisprincipe wordt verder uitgewerkt in diverse andere bepalingen van de Wbp, zoals art. 7, 8 en 9 van de Wbp. 3.2

Verwerking voor een welbepaald, expliciet omschreven en gerechtvaardigd doel Art. 7 van de Wbp vereist dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Dit betekent concreet, dat v?órdat een pensioenfonds de persoonsgegevens verzamelt, het fonds eerst moet bepalen voor welk doel of doelen het fonds dat doet. Het doel moet ook duidelijk bepaald zijn. In de praktijk betekent dit vereiste dat er een inventarisatie van de activiteiten binnen de organisatie nodig is waarbij verwerking van persoonsgegevens plaatsvindt. Dit moet gebeuren in alle stadia van het verwerkingsproces. Vervolgens moet worden nagegaan of het verwerken van persoonsgegevens noodzakelijk is voor het doel. De vraag is dan hier relevant: kan men langs een andere (minder ingrijpende) weg hetzelfde doel bereiken (rechtvaardiging), opdat geen of zo min mogelijk persoonsgegevens worden verwerkt?

zelf verantwoordelijk. Kamerstukken 1997/98, 25|892, nr. 3 p. 62.

24

Afl. 3

TPV

Artikelen

pensioenfondsen en privacybescherming

3.3 Rechtmatige grondslag De verantwoordelijke mag alleen op basis van één of meer in art. 8 Wbp genoemde grondslagen verwerken. Voorbeelden van zulke grondslagen die van belang zijn voor het pensioenfonds zijn: a. de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend; b. de gegevensverwerking is noodzakelijk voor het uitvoeren van een overeenkomst, waarbij betrokkene partij is; c. de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is; d. de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. sub a: Art. 1, lid i, van de Wbp omschrijft het begrip toestemming als ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Uit de omschrijving blijkt dat er sprake moet zijn van een daadwerkelijke toestemming. Om te kunnen spreken van daadwerkelijke toestemming van de betrokkene moet aan drie criteria zijn voldaan: • De betrokkene moet in vrijheid zijn wil met betrekking tot de gegevensverwerking hebben kunnen uiten en de wil moet ook daadwerkelijk geuit zijn. Art. 3:33 en 3:35 BW zijn in dezen van overeenkomstige toepassing. Art. 3:59 BW bepaalt immers dat deze bepalingen op overeenkomstige wijze worden toegepast voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet. Van een rechtsgeldige toestemming kan daarom niet worden gesproken als de betrokkene onder druk tot toestemming is overgegaan. • De wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. Zo heeft gegevensverwerking binnen een pensioenfonds tot doel om de pensioenaanspraken vast te kunnen 13 stellen en tot pensioenuitkeringen over te gaan . Het voorgaande betekent dus dat een zeer brede en onbepaalde machtiging tot het verwerken van gegevens niet als zodanig kan worden aangemerkt. De betrokkene moet weten om welke gegevensverwer13.

TPV

In de brief van 23 juli 1998 vroeg de Organisatie van assurantiebemid-

•

king het gaat en hiervoor gerichte toestemming geven. Er kan evenmin van een rechtsgeldige toestemming worden gesproken, wanneer de betrokkene geconfronteerd wordt met een geheel andere gegevensverwerking dan waarvoor hij toestemming had verleend; De betrokkene moet zo goed mogelijk zijn ingelicht over de gegevensverwerking zodat hij verantwoord zijn toestemming kan geven (informed consent). De betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht. Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking. Deze (informatie)plicht berust in beginsel bij de verantwoordelijke c.q. bewerker.

De toestemming van de betrokkene voor de gegevensver14 werking dient ondubbelzinnig te zijn. Dit betekent dat elke twijfel dient te zijn uitgesloten of de betrokkene zijn toestemming heeft gegeven. Het is niet noodzakelijk dat de toestemming schriftelijk is. De toestemming kan ook blijken uit de gedragingen van betrokkene. Als de toestemming niet aan bovenstaande vereisten voldoet is zij nietig. Het grondrecht op de bescherming van de persoonlijke levenssfeer is een zaak van openbare orde. Art. 3:40, eerste lid, BW bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. De toestemming die met betrekking tot een bepaalde gegevensverwerking niet rechtsgeldig is gegeven, dient als nietig te worden beschouwd. Een eenmaal gegeven toestemming tot het verzamelen van gegevens kan te allen tijde worden ingetrokken. Een dergelijke intrekking heeft echter geen consequenties voor gegevensverwerkingen die vóór het moment van de intrekking hebben plaatsgevonden. Dit geldt voor alle soorten van verwerkingen. Gezien het dwingende karakter van dit voorschrift is dit expliciet bepaald in art. 5, tweede lid, Wbp. sub b: Dit is het geval bij het pensioenfonds dat tot taak heeft de pensioenovereenkomst (hetgeen tussen werkgever en werknemer is overeengekomen betreffende pensioen) uit te voeren, ook al is het fonds geen partij bij die pensioenovereenkomst. De verwerking van persoonsgegevens is noodzakelijk ter uitvoering van de pensioenovereenkomst. De verwerking van persoonsgegevens kan ook nodig zijn voor het nemen van precontractuele maatregelen. Dit laatste doet zich bijvoorbeeld voor bij het offerte14.

Hierbij kan bijvoorbeeld worden gedacht aan het apart bevestigen van

delaars een nadere toelichting van de Registratiekamer op de kwestie

de toestemming door het aankruisen van een vakje op een papieren

van de rechtmatigheid van de doelomschrijving van de persoonsregis-

of elektronisch formulier. Ook Indien bijvoorbeeld de betrokkene bij

tratie van een pensioenfonds. De Registratiekamer gaf in haar reactie

het bezoeken van een website persoonsgegevens invult om aanvullende

aan dat de doelomschrijving van het pensioenfonds direct verband

informatie per e-mail of per post te ontvangen dan zal de verantwoor-

moet houden met de activiteiten van het pensioenfonds. Dit sluit in

delijke dit mogen aanmerken als de ondubbelzinnige toestemming

beginsel commercieel nevengebruik uit (10 augustus 1998, 97-0922).

van de betrokkene voor de verwerking van persoonsgegevens.

Afl. 3

25

Artikelen

pensioenfondsen en privacybescherming

traject in geval van (aanvullende) vrijwillige pensioenregeling. sub c: Een voorbeeld hiervan is een pensioenfonds dat pleegt te voldoen aan art. 105 Pw met betrekking tot deskundigheids- en betrouwbaarheidsvereiste, waarin persoonsgegevens van de beleidsbepalers en toekomstige bestuursleden worden verstrekt aan de toezichthouder. sub d: Een gerechtvaardigd belang om persoonsgegevens te verwerken is bijvoorbeeld een goede bedrijfsvoering. De verwerking van persoonsgegevens moet volgens deze bepaling noodzakelijk zijn. De verantwoordelijke moet steeds nagaan of het verwerken van persoonsgegevens noodzakelijk is voor het doel. Steeds moet hij zich hier dus afvragen of met minder gegevens dan wel via een andere ingrijpende weg hetzelfde doel kan worden bereikt. Daarnaast moet de 15 gegevensverwerking voldoen aan art. 11 Wbp . De persoonsgegevens moeten gelet op het doel van de verwerking toereikend, ter zake dienend en niet bovenmatig zijn. Niet toegestaan is dus om te gedetailleerde gegevens te verwerken, als dat voor het doel niet noodzakelijk is (niet bovenmatig). Te weinig gegevens zijn ook niet toegestaan, omdat anders ten onrechte een onvolledig beeld van betrokkene kan ontstaan (toereikend). Verder mogen alleen die gegevens worden verwerkt die noodzakelijk zijn voor het doel (ter zake dienend). Daarnaast moeten de verwerkte gegevens juist zijn. Dit laatste beoogt de verantwoordelijke te stimuleren om periodiek de persoonsgegevens te controleren. Volgens de memorie van toelichting legt art. 11 Wbp op degene die de gegevens verwerkt een continue verplichting tot toetsing. Elke keer dat bijvoorbeeld gegevens worden verwerkt voor een ander doel – met het oorspronkelijke doel verenigbaar – dient de toets die dit artikel 16 voorschrijft, plaats te vinden . Daarvan zal in de praktijk wel niet veel terecht komen. Het zal er waarschijnlijk op aan komen dat de betrokkene zelf, via het inzage- en correctierecht de verantwoordelijke zal aanspreken op het verwerken van gegevens dat de toets aan dit artikel niet kan doorstaan (via art. 35 en 36). 3.4 Niet onverenigbaar gebruik Persoonsgegevens worden zoals gezegd voor een bepaald en uitdrukkelijk omschreven doel (art. 7 Wbp) gebruikt. Onder omstandigheden mogen persoonsgegevens ook

15.

Art. 11 Wbp bepaalt dat: 1

2

16.

26

voor andere doeleinden worden gebruikt dan waarvoor zij oorspronkelijk zijn verzameld, maar dit is alleen mogelijk als het gebruik niet op gespannen voet staat met het oorspronkelijke doel. Dit laatste volgt uit art. 9, lid 1, Wbp dat bepaalt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Lid 2 van art. 9 Wbp noemt een aantal factoren dat een rol speelt bij de vaststelling of een wijze van verdere verwerking verenigbaar is met het oorspronkelijke doel. Gezien de open normen die art. 9 Wbp hanteert moet bij niet onverenigbaar gebruik steeds van geval tot geval worden beoordeeld of een bepaalde gegevensuitwisseling geoorloofd is. Voor pensioenfondsen is het relevant te melden dat gegevensverwerking direct verband dient te houden met de activiteiten van het fonds, waartoe het in leven is geroepen. Zie in dit verband noot nummer 12.

4.

Plichten verantwoordelijke bij verwerking persoonsgegevens

a.

meldingsplicht CBP of functionaris voor 17 gegevensbescherming(FG) Het pensioenfonds dat als verantwoordelijke optreedt in de zin van de Wbp moet het verwerken van persoonsgegevens melden bij het CBP, of indien door het pensioenfonds een functionaris voor gegevensbescherming (FG) is benoemd bij deze functionaris (art. 27, lid 1, Wbp). De melding geldt voor een geheel of gedeeltelijke geauto18 matiseerde verwerking van persoonsgegevens. Het CBP neemt de melding op in een openbaar register. De meldingsplicht is echter op grond van art. 29 Wbp niet van toepassing, indien de verwerking van persoonsgegevens van meldingsplicht is uitgezonderd in het Vrijstellingsbesluit. Het gaat bij deze vrijstellingen onder meer om standaardverwerkingen, denk hierbij aan personeels- of ledenadministratie. De wetgever acht het niet nodig dat ook die standaardverwerkingen gemeld worden. b. Plicht tot informatieverstrekking aan betrokkene Art. 33 Wbp regelt de actieve informatieverstrekking van de verantwoordelijke bij verkrijging van persoonsgegevens van de betrokkene zelf. De verantwoordelijke dient voorafgaand aan de verkrijging informatie over zichzelf en de verwerking van de persoonsgegevens te melden aan betrokkene, tenzij de betrokkene daarvan reeds op de hoogte is. De verantwoordelijke dient zijn identiteit op een deugdelijke wijze aan de betrokkene bekend te

17.

Nadere regels omtrent meldingsplicht zijn op grond van art. 28 lid 5

Persoonsgegevens slechts worden verwerkt voor zover zij, gelet

Wbp geregeld in het Besluit van 7 mei 2001, houdende nadere regels

op de doeleinden waarvoor zij worden verzameld of vervolgens

over de wijze waarop de melding, bedoeld in artikel 27 of 28 van de

worden verwerkt, toereikend, ter zake dienend en niet bovenma-

Wet

tig zijn.

(Meldingsbesluit Wbp), Stb. 2001, 244.

De verantwoordelijke de nodige maatregelen treft opdat persoons-

18.

bescherming

persoonsgegevens,

dient

te

geschieden

Het CBP heeft voor de melding een standaardformulier ontwikkeld,

gegevens, gelet op de doeleinden waarvoor zij worden verzameld

dat zowel in papieren als elektronische vorm beschikbaar is. De mel-

of vervolgens worden verwerkt, juist en nauwkeurig zijn.

ding dient op deze wijze plaats te vinden. Het formulier kan worden

Kamerstukken II 1997/98, 25 892. nr. 3. p. 96.

gedownload op de internetsite van het CBP.

Afl. 3

TPV

Artikelen

pensioenfondsen en privacybescherming

maken en licht de betrokkene in over de doeleinden van de verwerking waarvoor de gegevens bestemd zijn. Verantwoordelijken dienen bijvoorbeeld op aanmeldingsformulieren de betrokkenen te informeren over de gegevensverwerking, zodat vooraf vaststaat dat betrokkene op de hoogte is. Art. 34 Wbp heeft betrekking op de informatieplicht van de verantwoordelijke voor de gevallen waarin hij de persoonsgegevens niet van de betrokkene zelf verkrijgt. Dit laatste is van belang voor pensioenfondsen, omdat zij normaliter persoonsgegevens verkrijgen van werkgevers die tevens als bestandseigenaren worden aangemerkt. Op grond van art. 34, eerste lid, Wbp dient het pensioenfonds als bestandsafnemer op het moment van vastlegging van de gegevens de betrokkene hierover te informeren, tenzij betrokkene reeds op de hoogte is. Dit laatste is het geval, als de bestandseigenaar bij zijn mededeling over de verstrekking van gegevens specifiek heeft aangegeven aan welke bestandsafnemers hij de gegevens zal verstrekken en waarvoor deze de gegevens zullen gebruiken. De verantwoordelijke is van de informatieplicht ontslagen, als mededeling aan betrokkene onmogelijk blijkt of onevenredige inspanning kost. In dat geval legt hij de herkomst van de gegevens vast. Betrokkene kan dan achteraf bij de verantwoordelijke nagaan welke keten van verstrekkingen diens gegevens hebben opgeleverd. Er bestaat geen informatieplicht wanneer vastlegging of verstrekking bij of krachtens de wet is voorgeschreven. De verantwoordelijke dient de betrokkene op diens verzoek hier wel over te informeren. c. Beveiliging verwerkingsgegevens De Wbp verplicht de verantwoordelijke de gegevensver19 werking te beveiligen (art. 13) . De verplichting tot beveiliging richt zich tegen ‘verlies’ of ‘onrechtmatige verwerkingen’ van persoonsgegevens, zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de gegevens, en tegen onnodige verzameling en verdere verwerking van persoonsgegevens. Dit laatste betekent dat er niet meer persoonsgegevens mogen worden verzameld dan strikt noodzakelijk voor het van tevoren gespecificeerde doel. Organisatorische maatregelen kunnen zijn dat slechts een beperkt aantal personen toegang heeft tot de persoonsgegevens. De maatregelen moeten

19.

20

een passend beveiligingsniveau garanderen. Hoe gevoeliger de gegevens hoe zwaarder de toegepaste beveiliging moet zijn. Ook dient daarbij rekening te worden gehouden met de stand van de techniek en de kosten van de maatregelen. Wordt de verwerking van persoonsgegevens aan een bewerker uitbesteed, dan geldt dat de bewerker hetzelfde niveau van beveiliging moet garanderen als de verantwoordelijke. In de contracten met de bewerkers moet de beveiliging van de persoonsgegevens opgenomen worden. Ook is vereist dat de bewerker een geheimhoudingsverklaring tekent (art. 12 lid 2 Wbp).

5.

In de Wbp is betrokkene gedefinieerd als degene op wie een persoonsgegeven betrekking heeft. Daar in de Wbp het verwerken van persoonsgegevens het object van bescherming is geworden, kan worden geconcludeerd dat van betrokkene sprake is degene die bescherming van de Wbp geniet. In dit licht zou ik onder de Pensioenwet de betrokkene willen categoriseren onder aan21 spraak- en pensioengerechtigde . De Wbp kent aan de betrokkene een aantal rechten toe: a. Recht op inzage De Wbp bevat een regime met betrekking tot transparantie van gegevensverwerking. Een belangrijk onderdeel van dit transparantiebeginsel is dat een ieder in beginsel in de gelegenheid moet zijn om na te kunnen gaan of zijn gegevens worden verwerkt. De betrokkene die de wijze waarop zijn gegevens worden verwerkt onrechtmatig vindt, moet in staat zijn dit zelf in rechte aan te vechten. De Wbp regelt daarom dat de betrokkene met ‘redelijke tussenpozen’ kan vragen of en zo ja welke persoonsgegevens te zijnen aanzien verwerkt worden (art. 35 Wbp). Met redelijke tussenpozen houdt in, dat voor zover de administratieve lasten voor de verantwoordelijke voortvloeien uit de hoge frequentie waarmee betrokkene verzoeken tot een bepaalde verantwoordelijke richt, kunnen deze verzoeken reeds op grond van art. 35, eerste lid, WBP worden beperkt. Op een verzoek van inzage moet de verantwoordelijke binnen vier weken een overzicht van de verwerkte gegevens verstrekken. Het antwoord moet in beginsel schriftelijk zijn. Voor het geven van deze informatie mag de verantwoordelijke doorgaans een vergoeding van ten

Art. 13 Wbp luidt: ‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te

20.

De studie Beveiliging van persoonsgegevens van de toenmalige

beveiligen tegen verlies of ten enige vorm van onrechtmatige verwer-

Registratiekamer (A&V studie 23, 2001) geeft een handreiking aan de

king. Deze maatregelen garanderen, rekening houdend met de stand

verantwoordelijke voor het realiseren van het passende niveau van

der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard

TPV

Rechten van betrokkene

informatiebeveiliging. 21.

Onder aanspraakgerechtigde verstaat de Pensioenwet: ‘persoon die

van de te beschermen gegevens met zich meebrengen. De maatregelen

begunstigde is voor een nog niet ingegaan pensioen’. Onder pen-

zijn er mede op gericht onnodige verzameling en verdere verwerking

sioengerechtigde verstaat de Pensioenwet ‘persoon voor wie op grond

van persoonsgegevens te voorkomen.

van een pensioenovereenkomst het pensioen is ingegaan’.

Afl. 3

27

Artikelen

pensioenfondsen en privacybescherming

hoogste € 4,50 vragen. De verantwoordelijke kan weigeren aan een verzoek om inzage te voldoen (art. 43 Wbp). Vermeldenswaard is in dit verband dat het CBP in 2004 naar aanleiding van concrete klachten van klanten van 22 Dexia Bank Nederland N.V. een praktische uitwerking heeft gegeven aan het inzagerecht. b. Recht op correctie De betrokkene kan ingevolge art. 36 Wbp de verantwoordelijke verzoeken persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen (correctierecht). Dit is mogelijk, indien de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. De verantwoordelijke moet binnen vier weken reageren op het verzoek. Een weigering om te voldoen aan het verzoek moet worden gemotiveerd. Wordt het verzoek ingewilligd, dan moeten andere organisaties aan wie de onjuiste persoonsgegevens zijn verstrekt, in kennis worden gesteld van de wijzigingen. Desgevraagd moet de verantwoordelijke de betrokkene berichten aan welke organisaties de wijzigingen zijn doorgegeven. c. Recht van verzet Tegen gegevensverwerking door verantwoordelijke kan de betrokkene bezwaar maken. De Wbp noemt dit het recht van verzet (art. 40 Wbp). De Wbp maakt onderscheid tussen relatieve en absolute verzoeken om verzet. Relatieve verzoeken (lid 1 van art. 40 Wbp) zijn mogelijk, indien de rechtsgrond van de verwerking gelegen is onder meer in art. 8, lid f, van de Wbp; de verwerking is noodzakelijk voor een gerechtvaardigd belang van de verantwoordelijke. Bij deze vorm van verzet kan betrokkene op grond van zijn bijzondere persoonlijke omstandigheden verzoeken de verwerking van persoonsgegevens te beëindigen. De verantwoordelijke beslist of hij stopt met de verwerking dan wel hiermee doorgaat. De verantwoordelijke mag hiervoor een maximale vergoeding vragen om het verzoek in behandeling te nemen. Indien het verzoek ingewilligd wordt moet de vergoeding worden gerestitueerd. Absolute verzoeken om verzet (art. 41 Wbp) doen zich voor indien het verzoek om verzet gericht is tegen gebruik van persoonsgegevens voor commerciële en charitatieve doelen. Deze verzoeken om verzet zijn kosteloos. De verantwoordelijke moet dit gebruik direct en onvoorwaardelijk beëindigen. d. Recht op bemiddeling door het CBP De betrokkene heeft binnen zes weken op grond van art. 47 Wbp de mogelijkheid een verzoek tot bemiddeling indienen bij het CBP in zijn geschil met de verantwoorde22.

lijke. Is er een gedragscode (zie onder 4d), waarin de mogelijkheid tot geschillenbeslechting is opgenomen dan kan gebruik worden gemaakt van de daarin opgenomen geschillenbeslechtingregeling. e. Verzoekschrift bij de rechtbank Art. 46 Wbp geeft aan betrokkene daarnaast de mogelijkheid een verzoekschrift bij de rechtbank in te dienen met het verzoek de verantwoordelijke een verbod of gebod op te leggen. De rechter kan bijvoorbeeld dan de verantwoordelijke gebieden bepaalde gegevens uit zijn computersystemen te verwijderen of verbieden bepaalde gegevens aan een derde te verstrekken.

6.

Handhaving door het CBP

a. Bestuursdwang of dwangsom Het CBP is bevoegd op grond van art. 65 Wbp tot toepassing van bestuursdwang ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Bestuursdwang impliceert dat de verantwoordelijke een termijn krijgt om de overtreding ongedaan te maken. Wordt hieraan niet voldaan dan kan het CBP zelf op kosten van de verantwoordelijke de overtreding ongedaan maken. Daarnaast kan het CBP een dwangsom opleggen, indien het de overtreding niet zelf dan wel niet op eenvoudige wijze ongedaan kan maken. b. Bestuurlijke boete Het CBP is bevoegd in een aantal gevallen een bestuurlijke boete op te leggen. Ingevolge art. 66 van de Wbp bedraagt de maximale boete € 4.500 en wordt bij beschikking (art. 70 Wbp) opgelegd als de verantwoordelijke onder meer: – de gegevensverwerking niet heeft gemeld overeenkomstig art. 27 Wbp; – de melding van de gegevensverwerking onjuist of onvolledig is gemeld of de wijzigingen in de verwerkingen niet tijdig zijn doorgegeven ex art. 28 Wbp. Tegen de boetebeschikking staat bezwaar open. De boete dient te worden voldaan binnen zes weken nadat het besluit in werking is getreden. De boetebeschikking treedt dus eerst in werking als de bezwaartermijn is verstreken dan wel op het moment dat op bezwaar is beslist (art. 71 Wbp). Bezwaar tegen de boeteschikking heeft derhalve een schorsende werking. Als de verantwoordelijke aannemelijk kan maken dat hem geen verwijt kan worden gemaakt van de overtreding, dan mag het CBP geen boete opleggen (lid 2 van art. 66 Wbp). Het CBP mag evenmin boete opleggen als er meer dan vijf jaar is verstreken tussen het moment van overtreding en het opleggen van de boete (art. 72 Wbp). De bestuurlijke boete mag slechts opgelegd worden, nadat het CBP een rapport heeft opgemaakt (art. 67 Wbp). Alvorens de boete wordt opgelegd is het CBP verplicht

Zie uitspraak van CBP van 3 september 2004 (z 2003-1617), die te downloaden is van de website van het CBP.

28

Afl. 3

TPV

Artikelen

pensioenfondsen en privacybescherming

de verantwoordelijke in de gelegenheid te stellen zijn zienswijze kenbaar te maken (art. 69 Wbp).

7.

Aanbevelingen voor de praktijk

Pensioenfonds is een financiële instelling, die ook een maatschappelijke functie heeft. Het niet naleven van de Wbp door pensioenfondsen kan leiden tot juridisch en uitbestedingsrisico, maar zeker ook tot vertrouwensrisico en mogelijk tot reputatieschade. De naleving van de Wbp zou onderdeel moeten zijn van integere en beheerste bedrijfsvoering van pensioenfondsen en dient in die zin onderdeel uit te maken van het risicomanagement. Reeds om die reden is er voor pensioenfondsen voldoende aanleiding om meer aandacht te besteden aan de privacybescherming. Dit laatste kan op verschillende manieren gebeuren. In het kader van zelfregulering biedt de Wbp organisaties de mogelijkheid een gedragscode voor hun branche of sector op te stellen. In een gedragscode kunnen de bepalingen van de Wbp voor een sector worden geconcretiseerd en nader uitgewerkt. Organisaties die een gedragscode willen vaststellen kunnen het CBP verzoeken te verklaren dat de in de gedragscode opgenomen regels een juiste uitwerking vormen van Wbp. Het CBP neemt het verzoek in behandeling als de verzoeker of verzoekers voldoende representatief zijn en de betrokken sector of sectoren in de gedragscode voldoende nauwkeurig zijn omschreven. Het CBP geeft een verklaring van overeenstemming af over de gedragscode en publiceert deze met de desbetreffende code in de Staatscourant. Een voorbeeld van een dergelijk gedragscode is de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, welke code van toepassing is op kredietinstellingen, die lid zijn van de Nederlandse Vereniging van Banken, op bij Rabobank Nederland aangesloten banken en op verzekeraars 23 die lid zijn van Verbond van Verzekeraars . De Wbp (art. 62) biedt voorts organisaties de mogelijkheid om een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze houdt binnen de organisatie toezicht op de verwerking van persoonsgegevens en daarmee op toepassing en naleving van de Wbp. De Wbp eist dat de FG beschikt over toereikende kennis van de privacyregeling en betrouwbaar is (art. 63). Het spreekt voor zich dat verantwoordelijke er zorg voor moet dragen dat hij voldoende faciliteiten heeft om zijn bevoegdheden te kunnen uitoefenen. De FG moet worden aangemeld bij het CBP (art. 63 lid 3 Wbp). Voorts dient de FG op grond van lid 5 van art. 63 Wbp een jaarverslag uit te brengen. Feitelijk fungeert de FG als een onafhankelijke compliance-officer wat betreft de Wbp. Een gevolg van het benoemen van een FG is dat de verplichte melding bij hem kan plaatsvinden in plaats van bij het CBP. Het benoemen van een FG

23.

TPV

doet niets af aan de bevoegdheden van het CBP. In tegenstelling tot melding bij het CBP is melding bij de FG vormvrij. Een nadeel van de FG is wel dat hij geen sanctiebevoegdheden heeft om de naleving van de wettelijke bepalingen te bevorderen en af te dwingen. Zelf ben ik, al dan niet in combinatie met een gedragscode, er een voorstander van om het toezicht op de naleving van de Wbp neer te leggen bij de functionaris voor de gegevensbescherming. Uit kostenoverwegingen verdient het aanbeveling de taken van de FG onder te brengen bij de (bestaande) compliance-officer. Voor effecten- en kredietinstellingen is het aanstellen van een compliance-officer verplicht; bij pensioenfondsen (en pensioenuitvoeringsbedrijven) wordt naar verwachting in toenemende mate meer en meer gebruikelijk om een compliance-officer aan te stellen. Uiteraard moet de betrokken functionaris beschikken over toereikende kennis van de regels voor de bescherming van persoonsgegevens. Een voordeel hiervan is dat de FG niet alleen als toezichthouder opereert, maar ook door zijn specifieke deskundigheid snel en gericht advies kan geven over de verwerking van persoonsgegevens in zijn organisatie. Implementatie van de Wbp binnen een organisatie is een zaak van lange adem en moet fasegewijs gebeuren. Een stappenplan kan handig zijn. Onderstaand stappenplan als aanzet zou daarbij een hulpmiddel kunnen zijn: – Stap 1. Inventariseer alle verwerkingen met persoonsgegevens. Bepalend voor de inventarisatie zijn de begrippen verwerking en persoonsgegevens zoals gedefinieerd in art. 1 Wbp. – Stap 2. Breng de voor- en nadelen van eigen privacyfunctionaris (al dan niet geïntegreerd in de functie van compliance-officer) en stel vast of deze functionaris wordt aangemeld bij het CBP. Als voordeel wordt vaak genoemd het hebben van een aanspreekpunt binnen de organisatie voor zaken die met privacy te maken hebben. Daarna kan hij fungeren als privacygezicht naar buiten toe. Als nadeel wordt genoemd de verwevenheid met het CBP, waardoor de vrees kan ontstaan dat het CBP invloed zal uitoefenen op de desbetreffende functionaris. Aanmelding van deze functionaris bij het CBP is overigens niet verplicht, doch bij niet aanmelding moet wel bedacht worden dat de functionaris de officiële status ingevolge art. 60-62 Wbp in dat geval ontbeert. – Stap 3. Breng per verwerking de actoren in kaart. Stel vast wie onder meer de verantwoordelijke is, bewerker, de betrokkenen zijn enz. – Stap 4. Ga na wat de doelstelling(en) van de verwerking zijn (art. 7 Wbp). Van belang is om de doelstelling(en) zo concreet mogelijk te formuleren, omdat zij anders niet als toetsingscriterium dienst kunnen doen wanneer de gegevens voor secundaire doeleinden worden gebruikt.

Zie noot 6.

Afl. 3

29

Artikelen

pensioenfondsen en privacybescherming

–

–

–

– –

Stap 5. Ga na wat de rechtmatige grondslag van de verwerking is (art. 8 Wbp). Stel vast op welke rechtvaardigingsgrond de verwerking is gebaseerd. Stap 6. Controleer in hoeverre de beveiligingsmaatregelen voldoende zijn (art. 13 Wbp). Een aanzet daartoe kan worden gevonden in het rapport Beveiliging 24 van persoonsgegevens van het CBP. Stap 7. Neem organisatorische maatregelen in verband met de rechten van betrokkenen (recht op informatie, inzagerecht, correctierecht, recht van verzet, recht van bezwaar en beroep en recht op schadevergoeding). Stap 8. Voldoe, indien nodig, aan de meldingsplicht (art. 27 Wbp). Stap 9. Aansprakelijkheid en sancties. Houd rekening met de sancties die het gevolg kunnen zijn van het niet naleven van de Wbp. Met name de negatieve

publiciteit zou wel eens een zwaardere sanctie kunnen zijn dan de straffen die bij wet zijn op te leggen. 25 Door het CBP zijn daarnaast auditproducten ontwikkeld, waarmee pensioenfondsen zelf kunnen nagaan hoe het met de bescherming van persoonsgegevens in hun organisatie is gesteld. Om te beginnen is er de Quickscan. Daarnaast is er de Wbp Zelfevaluatie waarmee een organisatie de kwaliteit van de beschermingsmaatregelen kan beoordelen. Eerbiediging van de persoonlijke levenssfeer is een grondrecht. Dit recht moet geëffectueerd kunnen worden. Vanuit die optiek pleit ik ervoor dat in het pen26 sioenreglement rechten van betrokkene zoals hierboven beschreven worden opgenomen. De invoering van het Pensioenregister staat voor de deur. Een mooi moment voor pensioenfondsen om bij de privacybescherming stil te staan. 25.

24.

Beveiliging van persoonsgegevens, Registratiekamer, Den Haag, april

26.

2001.

30

Deze auditproducten zijn bij het CBP verkrijgbaar. Omdat dit het juridische document is dat de rechtsverhouding regelt tussen de pensioenuitvoerder en de betrokkene.

Afl. 3

TPV