1 Jaarverslag 20122 Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens. Door de toenemende digitalisering en globaliseri...
Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens. Door de toenemende digitalisering en globalisering groeit het aantal gegevensverwerkingen onophoudelijk. In dit licht is het des te belangrijker dat overheden en bedrijven persoonsgegevens slechts in overeenstemming met de wet verzamelen en gebruiken. Het College bescherming persoonsgegevens (CBP) houdt toezicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zo nodig met behulp van sancties. Daarnaast adviseert het CBP de regering over voorgenomen wetgeving die betrekking heeft op de verwerking van persoonsgegevens. Bij het uitvoeren en verantwoorden van zijn werkzaamheden heeft het CBP oog voor de maatschappelijke context van de aan hem voorgelegde vragen, problemen of klachten. In voorkomende aangelegenheden werkt het CBP samen met andere toezichthouders, zowel op nationaal als internationaal niveau.
VOORWOORD Bescherming van persoonsgegevens staat steeds vaker volop in de schijnwerpers. “Paspop bespiedt klant” (Spits); “Vertrouwelijke informatie op straat door lek randapparatuur” (Trouw); “Gemeenten slordig met privégegevens” (NRC); “Albert Heijn weet meer van ons dan de burgemeester” (Volkskrant), zijn een paar voorbeelden van de talloze koppen uit kranten van 2012.
Burgers zijn zich veelal onvoldoende bewust van de mogelijke gevolgen die het verzamelen en gebruiken van persoonsgegevens met zich brengen. Maar de schok – ook bij hen die zeggen niets te verbergen te hebben – is des te groter als blijkt dat in vertrouwen verstrekte gegevens op straat komen te liggen, dan wel dat zij zonder dat daarvoor een reden is, niet meer onbespied door het leven kunnen gaan. De reactie van overheid en bedrijfsleven is op onderdelen hoopgevend. Zo gaan in het bedrijfsleven stemmen op om privacy als ‘unique selling point’ in te zetten. Ook het regeerakkoord kent een hogere prioriteit toe aan de verbetering van de bescherming van persoonsgegevens: op onrechtmatige verzameling en verwerking van persoonsgegevens komt een forse boete te staan. Op Europees niveau is in 2012 eveneens een belangrijke stap gezet naar het bij de tijd brengen van de gegevensbescherming in de Europese Unie. In januari van dat jaar presenteerde de Europese Commissie (EC) een voorstel voor nieuwe wetgeving met als doel versterking, verbetering en versimpeling van de bescherming van persoonsgegevens. De discussie in het Europees Parlement (EP) en de Raad van Ministers (de Raad) en die tussen de EC, het EP en de Raad over de voorstellen voor nieuwe bindende wetgeving zijn op het moment van dit schrijven in volle gang. Die discussie is op onderdelen echter ook zorgwekkend, daar waar sommige deelnemers aan het debat pleiten voor aanzienlijke verlaging van het huidige niveau van de bescherming van persoonsgegevens. Zo circuleren in het EP voorstellen tot versmalling van de definitie van persoonsgegevens en bepleiten sommigen dat toestemming als grond voor gegevensverwerking stilzwijgend gegeven moet kunnen worden. Bovendien ligt een van de pijlers onder de bescherming van persoonsgegevens onder vuur, te weten doelbinding, het principe dat verder gebruik van persoonsgegevens verenigbaar moet zijn met het oorspronkelijke doel van de verzameling en verwerking.
4 Voorwoord
Ook uit de kring van de Raad zijn zorgwekkende geluiden te horen, in het bijzonder daar waar gepleit wordt voor het inbouwen van grotere flexibiliteit voor de overheid bij de toepassing van de bepalingen van de voorgestelde EU-verordening. Natuurlijk: voor politie en justitie gelden andere normen dan voor het bedrijfsleven. In het geval van een redelijke verdenking van strafbare handelingen hebben justitie en politie – binnen de aan de geweldsmonopolist gestelde wettelijke grenzen – nu juist de plicht om te grasduinen in persoonsgegevens! Reden waarom er voor justitie en politie een voorstel ligt voor een aparte EU-richtlijn. Maar de overheid is meer dan politie en justitie alleen, bijvoorbeeld op vele andere in de relatie tussen de overheid en burgers zo bepalende terreinen: belasting, sociale zekerheid, jeugdbeleid, onderwijs, verkeer en waterstaat et cetera. Nu is in de conceptverordening voor de overheid met recht een aantal afwijkende bepalingen opgenomen ten opzichte van het bedrijfsleven. Maar in de onderhandelingen over de conceptverordening gaan, zoals gezegd, enkele lidstaten – waaronder Nederland – een stap verder en bepleiten een nog grotere flexibiliteit voor de publieke sector dan waarin thans reeds is voorzien. Het CBP, samen met de andere privacytoezichthouders in de EU, is kritisch over dat pleidooi, in hoofdzaak om drie redenen. Ten eerste is de overheid vermoedelijk op afstand de grootste verzamelaar van persoonsgegevens, waarbij burgers daarenboven veelal op grond van wettelijke bepalingen verplicht zijn die gegevens aan de overheid te verschaffen. Noblesse oblige; en dus dient de overheid zich bij uitstek aan de voor de bescherming van persoonsgegevens essentiële randvoorwaarden te houden. Vervolgens ligt, aangemoedigd door technologische ontwikkelingen in combinatie met de wens om taken van de overheid efficiënter en klantgerichter te vervullen, het gevaar van ‘function creep’ op de loer. De digi tale hooiberg die door de genoemde ontwikkelingen toch al dreigt te ontstaan, nodigt al snel uit om in strijd met onder meer het principe van doelbinding allerlei
<
koppelingen tussen de onderscheiden databases tot stand te brengen. Het voornemen van de regering om allerlei taken van het Rijk naar gemeenten over te hevelen zal deze tendens bijna zeker verder versterken. Voor de burger (en mogelijk ook voor de overheid) is het vervolgens nauwelijks inzichtelijk meer welke gegevens zich waar en waarom over hem bevinden. Daarmee dreigt ook een andere essentiële doelstelling van de bescherming van persoonsgegevens – die van transparantie – ‘flexibel’ achter de horizon te verdwijnen. Ten slotte is in de EU bepaald dat bescherming van persoonsgegevens een grondrecht is. Grondrechten zien in eerste instantie – zeker in historisch perspectief – op de verhouding tussen overheid en burger. Het inbouwen van grotere flexibiliteit voor de publieke sector bij de toepassing van de bepalingen in de verordening zou tot de curieuze situatie kunnen leiden dat het grondrecht op bescherming van persoonsgegevens alleen onverkort van toepassing wordt op de verhouding tussen burger en bedrijfsleven. De discussie en besluitvorming over de in 2012 ingediende conceptprivacyverordening van de EU zal in het komende jaar in een stroomversnelling raken. Alle belangen die daarbij een rol spelen zullen afgewogen moeten worden. In de uiteindelijke wetstekst zal met recht en rede de vertaalslag gevonden moeten worden van het grondrecht op de bescherming van persoonsgegevens, waaraan zowel de overheid als het bedrijfs leven zich hebben te houden. Jacob Kohnstamm Voorzitter College bescherming persoonsgegevens
5 Voorwoord
i
>
<
i
>
INLEIDING Profilering, adequate bescherming van medische gegevens en beveiliging van persoonsgegevens vormden in 2012 voor het CBP belangrijke speerpunten. Het CBP heeft daarbij in het bijzonder gelet op de wijze waarop bedrijven en organisaties mensen informeren over gegevensverwerkingen en hiervoor – voor zover dit wettelijk is voorgeschreven – toestemming vragen.
Veel mensen hebben geen zicht op de aard en de gevolgen van het (her)gebruik van hun persoonsgegevens, dat onder invloed van de groeiende technologische mogelijkheden enorm toeneemt. Het CBP richtte zich in het afgelopen jaar daarom vooral op het blootleggen van voor burgers veelal onbekende gegevensverwerkingen. Van de rechtsgronden waarop persoonsgegevens verzameld en verwerkt mogen worden, is die van toestemming in die situatie vaak de zwakste schakel. Daarom bestudeerde het CBP in veel van zijn onderzoeken of aan de vereisten van een rechtsgeldige toestemming was voldaan.
In een ander onderzoek stelde het CBP vast dat Bureau Jeugdzorg Noord-Brabant psychologische testresultaten van werknemers verzamelde zonder rechtsgeldige toestemming. Van vrijelijk gegeven toestemming van de werknemers was geen sprake: als zij weigerden mee te werken aan een assessment, riskeerden de werknemers op staande voet te worden ontslagen.
Een selectie uit de activiteiten van het CBP in 2012:
Het CBP onderzocht in 2012 de interne toegang tot patiëntendossiers bij meerdere zorginstellingen. Bij in ieder geval een daarvan bleken onvoldoende beveiligingsmaatregelen te zijn getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang konden krijgen tot de elektronische patiëntendossiers.
Profilering en marketing
Beveiliging
Uit publieke uitingen bleek dat Albert Heijn van plan was persoonlijke analyses van klanten te maken op basis van hun aankoopgedrag om hun vervolgens gepersonaliseerde aanbiedingen te doen. Het CBP concludeerde na onderzoek dat de door Albert Heijn gevraagde toestemming niet voldeed aan de eisen die aan geldige toestemming worden gesteld. Uit een ander onderzoek van het CBP kwam naar voren dat NS het reisgedrag van OV-chipkaarthouders gedetailleerd vastlegde en deze gegevens vervolgens gebruikte voor marketingdoeleinden zonder de daarvoor benodigde toestemming van de reizigers.
De beveiliging van persoonsgegevens was een belangrijk thema voor het CBP in 2012. Het besteedde daarom veel aandacht aan het onderzoeken van (mogelijke) datalekken. Bij de onderzochte datalekken werd betrokkenen bijvoorbeeld vaak gevraagd op een webformulier persoonsgegevens in te vullen, die vervolgens onbeveiligd via het internet werden verstuurd. Het beveiligings aspect speelde ook een grote rol bij een onderzoek naar WhatsApp, een populaire app voor smartphones waarmee berichten, foto’s en video’s kunnen worden verstuurd. De beveiliging van de app was op verschillende punten onder de maat, onder meer doordat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke ‘whatsapper’ daar weet van had. Naar aanleiding van het onderzoek heeft WhatsApp terstond maatregelen genomen om het berichtenverkeer te versleutelen.
Medische gegevens Bij de onrust die ontstond rond het filmen van patiënten op de spoedeisende hulp van het VU medisch centrum speelde het toestemmingsvereiste een belangrijke rol. Het CBP concludeerde dat producent Eyeworks geen rechtsgeldige toestemming had verkregen voor het maken van deze opnamen, aangezien de patiënten niet vooraf en op basis van gedegen informatie ondubbelzinnig en uitdrukkelijk toestemming hadden gegeven. Van een rechtsgeldige toestemming kon ook overigens gegeven de concrete situatie geen sprake zijn geweest: de patiënten bevonden zich in een buitengewoon afhankelijke positie, namelijk op de spoedeisende hulp met een dringende hulpvraag.
6 Inleiding
Het CBP constateerde in dit onderzoek tevens dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adresboek op hun telefoon. Dit heeft tot gevolg dat het bedrijf álle telefoonnummers uit die adresboeken verzamelt, ook de nummers van contacten die geen WhatsApp gebruiken. Gebruikers kunnen er niet voor kiezen om alleen de nummers door te geven
<
van contacten met wie zij ook echt willen whatsappen. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken.
Internationale samenwerking Op internationaal gebied richtte het CBP zich in 2012 op het versterken van de effectiviteit van het toezicht op de bescherming van persoonsgegevens door samen te werken met buitenlandse collega-toezichthouders. Bij mondiaal opererende verantwoordelijken horen mondiaal samenwerkende toezichthouders. Het genoemde onderzoek naar WhatsApp heeft het CBP dan ook samen met de Canadese privacytoezichthouder verricht. Samen met zijn Europese collega-toezichthouders deed het CBP onderzoek naar de nieuwe privacyvoorwaarden van Google. De nieuwe voorwaarden bleken op verschillende punten strijdig met de Europese regelgeving, onder meer omdat Google geen toestemming vroeg voor het koppelen van bepaalde persoonsgegevens.
7 Inleiding
i
>
<
i
>
GEZONDHEIDSZORG Medische gegevens zijn gevoelige persoonsgegevens, waarmee organisaties uiterst zorgvuldig dienen om te gaan. Mensen moeten erop kunnen vertrouwen dat medische gegevens niet in verkeerde handen terechtkomen, zoals die van hun werkgever of onbevoegde ziekenhuismedewerkers. Adequate beveiliging van medische gegevens is daarom van cruciaal belang, evenals het vragen van toestemming om medische gegevens te verwerken.
Doorstart landelijk elektronisch patiëntendossier Het CBP beoordeelde eind 2011/begin 2012 de plannen van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) voor de private doorstart van het landelijk elektronisch patiëntendossier (EPD). De Eerste Kamer had in het voorjaar van 2011 het wetsvoorstel tot invoering van het landelijk EPD verworpen. Hierdoor is geen wettelijke basis tot stand gekomen voor de landelijke uitwisseling van medische gegevens. Daaropvolgend hebben verschillende organisaties in de gezondheidszorg gezamenlijk onderzocht of en in welke vorm het landelijk EPD op private basis alsnog doorgang zou kunnen vinden. Zij ontwikkelden hiervoor het zogeheten doorstartmodel. Het CBP concludeerde dat dit model in theorie geen bijzondere risico’s bevat voor overtreding van de Wet bescherming persoonsgegevens. Het doorstartmodel gaat uit van toestemming van patiënten als basis voor de 8 Gezondheidszorg
verwerking van hun medische gegevens. Het CBP heeft er overigens op gewezen dat deze conclusie alleen geldt voor de beoordeling van het doorstartmodel en niets zegt over de wijze waarop daarmee in de praktijk wordt omgesprongen. Eind oktober 2012 ontving het CBP informatie van de VZVZ over de in 2012 geboekte voortgang bij het alsnog verkrijgen van toestemming van patiënten die al in het systeem waren opgenomen. Het CBP eiste van VZVZ dat – conform de in het doorstartmodel aangegeven planning – per 1 januari 2013 het systeem geschoond zou worden van gegevens van patiënten die vóór deze datum geen toestemming hadden verleend voor opname in het systeem. VZVZ liet hierop weten tot een dergelijke opschoning over te gaan.
Filmen op spoedeisende hulp ziekenhuis De televisieopnamen die producent Eyeworks maakte op de spoedeisende hulp van het VU medisch centrum
<
(VUmc) waren in strijd met de wet. Dit concludeerde het CBP na onderzoek dat het deed vanwege de onrust die was ontstaan rond het filmen van patiënten in dit ziekenhuis. Eyeworks had de medische gegevens – opnamen op een afdeling spoedeisende hulp vallen hieronder – wettelijk gezien alleen mogen verwerken als de patiënten hiervoor vooraf en op basis van gedegen informatie ondubbelzinnig en uitdrukkelijk toestemming hadden gegeven. Eyeworks bleek in sommige gevallen achteraf om toestemming te hebben gevraagd. Daarnaast oordeelde het CBP dat de verstrekte informatie te summier was. Van een rechtsgeldige toestemming kon ook overigens gegeven de concrete situatie geen sprake zijn geweest: de patiënten bevonden zich in een buitengewoon afhankelijke positie, namelijk op de spoedeisende hulp met een dringende hulpvraag. VUmc en Eyeworks zagen af van verdere uitzending van de gemaakte opnamen en het verkregen beeldmateriaal is vernietigd.
Medische gegevens zieke werknemers Het verzuimbedrijf VerzuimReductie heeft zijn werkwijze aangepast na onderzoek van het CBP naar de verwerking van medische gegevens. Verzuimbedrijven houden zich in opdracht van werkgevers bezig met verzuimpreventie en re-integratie van zieke werknemers. Werkgevers, of in hun opdracht werkende verzuimbedrijven, mogen voor de verzuimbegeleiding van zieke werknemers een beperkt aantal noodzakelijke medische persoonsgegevens verwerken, zoals de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. VerzuimReductie bleek echter aanzienlijk meer medische gegevens op te vragen, waaronder de oorzaak van het verzuim. Bovendien bleek dat de verzamelde medische informatie vaak ook toegankelijk was voor de werkgevers. VerzuimReductie heeft alle onrechtmatig verzamelde medische gegevens in de lopende en afgesloten dossiers vernietigd. Werknemers zijn hierover geïnformeerd en hebben de tijd gekregen om de over hen verwerkte informatie op te vragen vóór de gegevens zijn vernietigd. Met het treffen van deze maatregelen zijn de geconstateerde overtredingen van de Wet bescherming persoonsgegevens beëindigd.
9 Gezondheidszorg
i
>
Onderzoek bij arbodienst en werkgever Naast het onderzoek bij VerzuimReductie heeft het CBP in 2012 nog twee onderzoeken gedaan naar de verwerking van medische gegevens van zieke werknemers. De onderzoeken vonden plaats bij een arbodienst en bij een werkgever. In beide (los van elkaar staande) gevallen constateerde het CBP dat werkgevers de beschikking hadden over medische gegevens van hun werknemers. Het ging daarbij om medische informatie die niet noodzakelijk was voor de re-integratie of begeleiding bij ziekte of arbeidsongeschiktheid. Voorbeelden hiervan zijn aard en oorzaak van de ziekte, medicijngebruik en behandelingen. Zowel de onderzochte werkgever als de arbodienst hebben hun werkwijze en de vragenlijsten voor werknemers aangepast. Ook hebben zij verklaard dat alle onrechtmatig verzamelde medische gegevens zijn vernietigd.
Psychologische testresultaten werknemers Bureau Jeugdzorg Noord-Brabant (BJZ NB) verzamelde in strijd met de wet psychologische testresultaten van werknemers. Dit kwam naar voren uit onderzoek van het CBP. Alle werknemers van BJZ NB waren sinds 2011 verplicht mee te werken aan een assessment voor personeels beoordeling en -ontwikkeling. Voor de verwerking van de testresultaten was geen wettelijke grondslag, omdat van vrijelijk daarvoor gegeven toestemming van de werknemers geen sprake was. Werknemers die weigerden mee te werken, riskeerden namelijk ontslag op staande voet. Eventueel wel verleende toestemming was daarom niet rechtsgeldig. Daarnaast oordeelde het CBP dat het verplicht laten afnemen van een assessment door alle medewerkers niet noodzakelijk is voor een goede bedrijfsvoering, waaronder valt het vergroten van de professionaliteit van de medewerkers. Deze kan namelijk ook op andere wijze worden vergroot, bijvoorbeeld door het volgen van vakgerichte opleidingen of andere cursussen. Het door BJZ NB verplichte assessment bestond uit psychologische testen. Een deel van de testresultaten, de functiegerelateerde competenties, was behalve door de betreffende medewerker ook in te zien door de leidinggevende. De gegevens die bij de testen werden verzameld zijn gevoelig van aard. Zij zeggen iets over de psychische
<
i
>
gesteldheid, vaardigheden en beperkingen van betrokkenen en kunnen zwaarwegende consequenties hebben voor de opstelling van de werkgever ten opzichte van de werknemer. BJZ NB heeft in reactie op het onderzoek aangegeven de testresultaten niet langer te gebruiken en deze te hebben vernietigd.
siers. Dit concludeerde het CBP na onderzoek. Alleen medewerkers die rechtstreeks betrokken zijn bij de behandeling van patiënten mogen toegang hebben tot hun medische gegevens. Anderen mogen slechts (delen van) patiëntendossiers raadplegen als dit noodzakelijk is voor de uitoefening van hun functie.
Doorbreken medisch beroepsgeheim
Op basis van diverse signalen startte het CBP in 2012 een onderzoek naar de interne toegang tot patiëntendossiers bij meerdere instellingen voor gezondheidszorg, waaronder het Ruwaard van Putten Ziekenhuis. In 2013 volgen de onderzoeksresultaten over de andere zorginstellingen.
In december 2012 bracht het CBP een kritisch advies uit over een voorstel tot doorbreking van het medisch beroepsgeheim om van behandelend artsen bestaande medische gegevens te kunnen vorderen als verdachten weigeren aan tbs-onderzoek mee te werken. Deze gegevens worden vervolgens gebruikt om een mogelijke psychische stoornis te bepalen bij deze verdachten. Het CBP constateerde dat de voorgestelde regeling – een wettelijke verplichting om het medisch beroepsgeheim te doorbreken – raakt aan de kern van de bescherming van de persoonlijke levenssfeer in de gezondheidszorg. Ook merkte het CBP op dat de regeling een trendbreuk inhoudt ten opzichte van de gangbare benadering en jurisprudentie in Nederland betreffende het medisch beroepsgeheim en dat daarvoor een overtuigende motivering ontbreekt. Het doel van de voorgestelde regeling is bescherming van de maatschappij tegen de mogelijke veiligheidsrisico’s die weigerachtige verdachten opleveren. Het CBP mist echter een beschouwing over alternatieve mogelijkheden om die risico’s te verminderen. Verder treft de voorgestelde doorbreking van het medisch beroepsgeheim niet alleen de betreffende verdachten maar ook een grote groep (potentiële) patiënten met psychische en/of psychiatrische problemen, die mogelijk nalaten hulp te zoeken uit vrees voor doorbreking van het medisch beroepsgeheim. In januari 2013 werd bekend dat de regering ook op andere gebieden tot regelingen wil komen waardoor het medisch beroepsgeheim (wettelijk) doorbroken kan worden. Het CBP blijft mogelijke aantasting van het medisch beroepsgeheim ten principale aan de orde stellen.
Interne toegang patiëntendossiers Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend daartoe bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendos10 Gezondheidszorg
Elektronische gegevensuitwisseling in de zorg In april 2012 adviseerde het CBP op verzoek van de minister van Volksgezondheid, Welzijn en Sport (VWS) over het wetsvoorstel elektronische gegevensuitwisseling in de zorg. Dit voorstel beoogt de patiënt meer rechten te bieden bij elektronische dossiervorming en gegevensuitwisseling door zorgaanbieders. Daarnaast komt er een algemene maatregel van bestuur (AMVB) waarin de beveiligingseisen worden geregeld. Het CBP drong erop aan om in de aangekondigde AMVB te verwijzen naar de specifiek voor de zorg ontwikkelde beveiligingsnormen NEN 7510-7513 en daarnaast aandacht te schenken aan de beveiligingsaspecten van elektronische inzage. Het wetsvoorstel zelf dient naar het oordeel van het CBP erin te voorzien dat het onderscheid helder blijft tussen gegevens die de zorgverlener noteert en de aanvullingen van de patiënt hierop. Het definitieve wetsvoorstel is op 4 januari 2013 ingediend bij de Tweede Kamer. Hierin is rekening gehouden met het advies van het CBP. Verder is aangegeven dat bij het opstellen van de AMVB de opmerking van het CBP over de NEN-normen zal worden meegenomen. Ook onderschrijft de minister van VWS het standpunt van het CBP dat deze AMVB uiterlijk tegelijkertijd met het wetsvoorstel in werking moet treden.
Nieuwe taken gemeenten bij extramurale begeleiding Het CBP adviseerde in april 2012 over een wetsvoorstel dat taken van het Rijk naar gemeenten overhevelt op het gebied van de zogeheten extramurale begeleiding. Dit betreft begeleiding die buiten de muren van een instelling gegeven wordt aan thuiswonende mensen met een beperking.
<
Deze taken vallen nu nog onder de Algemene Wet Bijzondere Ziektekosten, maar op grond van het wetsvoorstel worden ze onderdeel van de gemeentetaken op grond van de Wet maatschappelijke ondersteuning. Deze nieuwe taak van de gemeenten heeft onmiskenbaar tot gevolg dat gemeenten van een grote(re) groep mensen meer persoonsgegevens gaan verwerken, waaronder medische gegevens. Het CBP gaf in zijn advies onder meer aan dat het van belang is om zeker te stellen dat gemeenten bij de verwerking van deze gegevens de wettelijke normen naleven en onder meer passende beveiligingsmaatregelen treffen. Het CBP adviseerde om op centraal niveau, bijvoorbeeld via een algemene maatregel van bestuur, nadere criteria hiervoor op te stellen. De overheveling van taken van het Rijk naar gemeenten betreft niet alleen de extramurale begeleiding maar ook taken op het gebied van jeugdzorg en werk & inkomen. Gemeenten moeten bij het ontwikkelen van de bijbehorende nieuwe werkwijzen rekening houden met de eisen die de Wet bescherming persoonsgegevens stelt aan de verwerking van persoonsgegevens.
Verwerking medische gegevens door gemeenten De gemeenten Heerlen, Hellendoorn, Hengelo en Lands meer, die in strijd met de wet medische gegevens verwerkten, troffen na onderzoek van het CBP maatregelen om deze overtredingen te beëindigen. Het CBP deed bij deze vier gemeenten onderzoek naar de verwerking van medische persoonsgegevens van mensen met een lichamelijke of psychische beperking die ondersteuning vragen bij de gemeente. Op grond van de Wet maatschappelijke ondersteuning kunnen zij bijvoorbeeld een rolstoel of thuiszorg aanvragen. Enkele van de onderzochte gemeenten hadden de medische gegevens onvoldoende beveiligd, zodat onbevoegden toegang zouden kunnen krijgen tot de gegevens. Ook vroegen sommige gemeenten meer gegevens op dan noodzakelijk was.
11 Gezondheidszorg
i
>
<
i
>
HANDEL & DIENSTEN Persoonsgegevens zijn goud waard. Hoe meer bedrijven weten over hun klanten, hoe meer zij kunnen verdienen. Ze kunnen dan namelijk gericht(er) adverteren of gegevens doorverkopen aan andere bedrijven. Consumenten hebben echter ook rechten. Zo moeten bedrijven consumenten laten weten wat zij precies van plan zijn met hun persoonsgegevens en hiervoor in beginsel toestemming vragen.
Privacybeleid ‘Mijn Bonus’ van Albert Heijn Albert Heijn heeft het privacybeleid van het nieuwe voordeelprogramma ‘Mijn Bonus’ aangepast na onderzoek van het CBP. Hiermee beëindigde Albert Heijn de door het CBP geconstateerde overtredingen van de Wet bescherming persoonsgegevens (Wbp). Begin 2012 kondigde Albert Heijn aan een nieuw programma in te voeren met persoonlijke aanbiedingen voor bonuskaarthouders. Bij ‘Mijn Bonus’ gaat het om aanbiedingen voor producten waarvan Albert Heijn op basis van bonuskaartgegevens weet dat de klant die regelmatig koopt. Daarnaast zouden klanten aanbiedingen ontvangen voor producten waarvan Albert Heijn verwacht dat die goed aansluiten bij hun wensen. Om persoonlijke analyses van klanten te maken op basis van hun aankoopgedrag en vervolgens gepersonaliseerde aanbiedingen te doen, heeft Albert Heijn op grond van de Wbp ondubbelzinnige toestemming no12
Handel & diensten
dig van de klanten. Het CBP concludeerde dat de door Albert Heijn gevraagde toestemming niet voldeed aan de eisen die aan geldige toestemming worden gesteld. Zo moet de klant onder meer goed worden geïnformeerd om de toestemming rechtsgeldig te laten zijn. Albert Heijn schortte hierop het ‘Mijn Bonus’-programma op tot klanten hernieuwde toestemming zouden hebben gegeven. Het CBP stelde daarnaast vast dat Albert Heijn over adresgegevens kan beschikken van houders van een anonieme bonuskaart, bijvoorbeeld als de klant NAWgegevens opgeeft bij bestellingen in de webwinkel. Hierdoor verliest deze persoon zijn anonieme status. Albert Heijn heeft hierop het privacy- en cookiebeleid aangepast en op de website gepubliceerd en aangegeven in welke gevallen houders van de anonieme bonuskaart hun anonieme status verliezen.
<
Gebruik reisgegevens OV-chipkaart door NS Na onderzoek van het CBP wijzigde NS het gebruik van persoonsgegevens van OV-chipkaarthouders voor marketingdoeleinden. Hiermee beëindigde NS de door het CBP geconstateerde overtredingen van de Wet bescherming persoonsgegevens (Wbp). Uit het onderzoek bleek dat NS een gedetailleerd beeld van het reisgedrag van OV-chipkaarthouders vastlegde. NS gebruikte deze reisgegevens voor marketingdoeleinden zonder hiervoor de vereiste toestemming van de reizigers te hebben verkregen. Daarmee leefde het vervoerbedrijf de eerder door het CBP op grond van de Wbp geformuleerde voorwaarden waaronder OV-bedrijven reisgegevens mogen verwerken voor marketingdoeleinden niet na. Dit terwijl NS in 2008 uitdrukkelijk had toegezegd zich aan deze voorwaarden te zullen houden. Ook kwam uit het onderzoek naar voren dat NS persoonsgegevens van anonieme OV-chipkaarthouders verzamelde. Het bedrijf gebruikte voor direct marketing namelijk de e-mailadressen van anonieme OV-chipkaarthouders die hun saldo via de website van NS activeerden.
Invordering dwangsommen vervoerbedrijven Het CBP vorderde in het voorjaar van 2012 dwangsommen in bij respectievelijk NS en het Rotterdamse vervoerbedrijf RET. Eerder had het CBP aan NS, RET, het Amsterdamse vervoerbedrijf GVB en kaartuitgever TLS een last onder dwangsom opgelegd voor het in strijd met de wet bewaren van reisgegevens van studenten die reizen met de studenten-OV-chipkaart. Het CBP vorderde bij NS een dwangsom in van 125.000 euro en bij RET van 120.000 euro. De bedrijven hadden tot eind 2011 de tijd gekregen om de maximale bewaartermijn van 24 maanden in te voeren en de reisgegevens na afloop van deze bewaartermijn te vernietigen of afdoende te anonimiseren. Beide bedrijven verklaarden de reisgegevens te anonimiseren, maar het CBP constateerde dat het toch mogelijk was om reizigers te identificeren en hun reisgedrag langere tijd te volgen. Zowel NS als RET hebben hierop alsnog alle reisgegevens ouder dan 24 maanden vernietigd. Bovendien hebben beide vervoerbedrijven de verschuldigde dwangsom betaald. Wel is RET in bezwaar gegaan tegen de invorderingsbeschikking.
13
Handel & diensten
>
over het in- en uitchecken met de studenten-OV-chipkaart. Het CBP concludeerde dat NS de studenten binnen de gestelde termijn alsnog goed heeft geïnformeerd, onder meer via een paginagrote advertentie in twee landelijke dagbladen en informatie op alle stations. GVB heeft bezwaar en beroep ingesteld tegen de last onder dwangsom. De beroepsprocedure bij de rechtbank loopt nog. TLS heeft de last onder dwangsom volledig nageleefd en daardoor geen dwangsommen verbeurd.
‘Kopietje paspoort’ in de private sector Bedrijven en organisaties kopiëren steeds vaker het identiteitsbewijs van bijvoorbeeld klanten en relaties. Dit verschijnsel staat ook wel bekend als ‘kopietje paspoort’. In juli 2012 publiceerde het CBP richtsnoeren voor het kopiëren/scannen van identiteitsdocumenten en het overnemen van persoonsgegevens hiervan. Een kopie maken van een paspoort, rijbewijs of identiteitskaart is op grond van de Wet bescherming persoonsgegevens slechts in uitzonderlijke gevallen toegestaan. Bedrijven en organisaties in de private sector kunnen in de meeste gevallen voor legitimatie volstaan met de vraag aan klanten om hun paspoort of ander identiteitsdocument te tonen. Het op grote schaal kopiëren of scannen van identiteitsdocumenten kan risico’s opleveren voor de persoonlijke levenssfeer. Denk aan identiteitsfraude, waarvan iemand jarenlang financiële en maatschappelijke schade kan ondervinden. De richtsnoeren zijn opgesteld om de wettelijke regels te verduidelijken en bevatten ter illustratie veelvoorkomende situaties waarbij om een identiteitsbewijs wordt gevraagd, zoals bij hotels en sportscholen. Ook is op Mijnprivacy.nl, de publiekswebsite van het CBP, een speciaal dossier ‘Kopie identiteitsbewijs’ geplaatst met antwoorden op veelgestelde vragen.
Gedragscodes Een vorm van zelfregulering is het opstellen en hanteren van een gedragscode voor de verwerking van persoonsgegevens. Zo’n gedragscode bevat concrete gedragsvoorschriften voor een bepaalde branche of sector die een precisering zijn van de algemene normen uit
Zie voor de richtsnoeren kopie paspoort:
www.cbpweb.nl/12/1 Het CBP had NS een tweede last onder dwangsom opgelegd voor het niet adequaat informeren van studenten
i
<
de Wet bescherming persoonsgegevens (Wbp). Het CBP toetst gedragscodes aan artikel 25 Wbp. Daarbij gaat het onder meer om een juiste uitwerking van de wet, een nauwkeurige omschrijving van de sector, de representativiteit van de organisatie die de gedragscode opstelt en de waarborgen voor onafhankelijkheid bij de beslechting van geschillen. De goedkeuring van het CBP geldt voor een termijn van vijf jaar na de datum van bekendmaking in de Staatscourant. In 2012 heeft het CBP voor één gedragscode een goedkeurende verklaring afgegeven: de gedragscode slimme meters van Netbeheer Nederland. Een slimme meter is een digitale energiemeter, waarbij een netbeheerder op afstand meterstanden kan uitlezen.
Zwarte lijsten Een zwarte lijst is een waarschuwings- of signaleringslijst waarop personen staan vermeld met wie een bedrijf, organisatie of instelling (hierna: organisatie) (tijdelijk) geen zaken wil doen of alleen onder nadere voorwaarden. Een zwarte lijst is niet zomaar toegestaan. Een organisatie die van plan is een zwarte lijst aan te leggen moet deze gegevensverwerking melden bij het CBP. Als de organisatie de gegevens van de zwarte lijst deelt met derden, moet de organisatie daarnaast een voorafgaand onderzoek aanvragen bij het CBP en een protocol opstellen voor de verwerking van de persoonsgegevens. Het CBP kan vervolgens een zogeheten rechtmatigheidsverklaring afgeven voor de betreffende zwarte lijst. In 2012 heeft het CBP een rechtmatigheidsverklaring afgegeven voor één zwarte lijst: een uitbreiding van het al bestaande ELENA-waarschuwingssysteem van BOVAG. Deze zwarte lijst is erop gericht criminele of hinderlijke activiteiten van onder andere huurders van auto’s en motoren te bestrijden, zoals het verduisteren van motorvoertuigen. Deelnemen aan een bestaande zwarte lijst Met ingang van 9 februari 2012 is de Wet bescherming persoonsgegevens gewijzigd. Een van de wijzigingen betrof een door het CBP naar voren gebracht voorstel om het voor organisaties eenvoudiger te maken deel te nemen aan een bestaande zwarte lijst. Volgens de nieuwe regeling hoeft een organisatie geen voorafgaand onderzoek meer aan te vragen bij deelname aan een zwarte lijst waarvoor het CBP al een rechtmatigheidsverklaring heeft afgegeven. De organisatie kan dan volstaan met
14
Handel & diensten
i
>
het melden van de betreffende verwerking van persoonsgegevens bij het CBP.
<
i
>
INTERNET & TELECOM Technologische ontwikkelingen volgen elkaar in razendsnel tempo op. Met behulp van die innovatieve technologie worden buitengewoon handige communicatiemiddelen gemaakt en kan dienstverlening aanzienlijk worden verbeterd. Daaraan zijn echter ook nadelen verbonden, doordat mensen steeds nauwkeuriger te volgen zijn en bijvoorbeeld te achterhalen is waar zij zich op elk moment van de dag en nacht bevinden. Ook kunnen de gevolgen groot zijn als persoonsgegevens op straat komen te liggen door een datalek. Adequate beveiliging van gegevens is daarom van het grootste belang.
WhatsApp Na gezamenlijk onderzoek van het CBP en de Canadese collega-toezichthouder heeft WhatsApp, een populaire app voor smartphones waarmee berichten, foto’s en video’s kunnen worden verstuurd, een aantal van de geconstateerde privacyovertredingen beëindigd. De beveiliging van de app was op verschillende punten onder de maat. Zo bleek tijdens het onderzoek dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke ‘whatsapper’ daar weet van had.
Zie voor meer informatie over het onderzoek naar WhatsApp:
www.cbpweb.nl/12/2
15
Internet & telecom
Naar aanleiding van het onderzoek heeft WhatsApp terstond maatregelen genomen om het berichtenverkeer te versleutelen. Een andere geconstateerde overtreding is dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adresboek op hun telefoon. Het bedrijf verzamelt vervolgens álle telefoonnummers uit die adresboeken, ook de nummers van contacten die geen WhatsApp gebruiken. Gebruikers kunnen er niet voor kiezen om alleen de nummers door te geven van contacten met wie zij ook echt willen whatsappen. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken. Alleen de iPhone met het besturingssysteem iOS 6 biedt de mogelijkheid om per app de toegang tot het adresboek uit of aan te zetten.
<
Nu de onderzoeksfase is afgesloten, geven de twee privacytoezichthouders los van elkaar een vervolg aan de bevindingen. In Nederland bekijkt het CBP in hoeverre de geconstateerde overtredingen voortduren. Afhankelijk van de uitkomst van dat onderzoek beslist het CBP of het handhavende maatregelen zal nemen.
Datalekken Het CBP besteedde in 2012 gerichte aandacht aan het onderzoeken van (mogelijke) datalekken. In dat jaar ontving het CBP gemiddeld 32 signalen per maand over de manier waarop bedrijven en organisaties in de praktijk met de beveiliging van persoonsgegevens omgaan. Het CBP beoordeelde of bij deze gevallen sprake was van een concreet vermoeden van een datalek of van een tekortkoming in de beveiliging die tot datalekken kan leiden. Daarnaast volgde het CBP nauwlettend berichtgeving in de media om eventuele datalekken op het spoor te komen. Uiteindelijk startte het CBP op basis van prioriteitstelling 25 onderzoeken. Het CBP bekeek hierbij onder meer of de oorzaak van een datalek te achterhalen was en welke maatregelen het bedrijf of de organisatie inmiddels had genomen om herhaling te voorkomen. In 2012 zijn 21 onderzoeken afgerond. Bij de onderzochte datalekken werd betrokkenen bijvoorbeeld vaak gevraagd op een webformulier persoonsgegevens in te vullen die vervolgens onbeveiligd via het internet werden verstuurd. Soms ging het hierbij om bijzondere (medische) persoonsgegevens, bijvoorbeeld als iemand online een afspraak met een zorgverlener maakte. Andere categorieën onderzochte datalekken betroffen onder meer: • gebrek aan een werkend alarmsysteem, waardoor (eerdere) hackpogingen onopgemerkt bleven; • e-waste, waarbij persoonsgegevens bij anderen terechtkwamen na reparatie van apparaten als telefoons en laptops; • systemen waarvan de toegang onvoldoende beveiligd was, bijvoorbeeld omdat was nagelaten de rechten van mapjes op een webserver te beperken, waardoor toegang tot bijvoorbeeld cv’s mogelijk was.
i
>
de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast. De richtsnoeren vormen de verbindende schakel tussen het juridisch domein, met daarbinnen de eisen uit de Wbp, en het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig zijn om daadwerkelijk aan die eisen te voldoen. De richtsnoeren zijn zowel van toepassing op de publieke als de private sector. De persoonsgegevens van de gemiddelde Nederlander komen in honderden tot duizenden bestanden voor. Mensen moeten erop kunnen vertrouwen dat hun gegevens voldoende worden beveiligd. Onvoldoende beveiliging kan leiden tot verlies en diefstal van persoonsgegevens en vervolgens tot misbruik van deze gegevens, bijvoorbeeld voor identiteitsfraude. Bedrijven en organisaties die persoonsgegevens verwerken moeten deze volgens de Wbp beveiligen en hiervoor passende technische en organisatorische maatregelen nemen. De maatregelen dienen er mede op gericht te zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Zienswijze over cloud computing Het CBP gaf in september 2012 in een zienswijze antwoord op drie vragen van SURFmarket over de bescherming van persoonsgegevens bij cloud computing. Dit is een verzamelnaam voor technologieën en diensten die gericht zijn op het gebruik van IT-applicaties, rekenkracht en opslag op afstand via internet. Het CBP heeft de vragen in algemene zin beantwoord, om daarmee een zo groot mogelijke groep van aanbieders van clouddiensten en hun afnemers duidelijkheid te bieden over de door SURFmarket opgeworpen privacykwesties rondom cloud computing. De zienswijze van het CBP gaat over in Nederland gevestigde bedrijven of organisaties die gebruikmaken van de cloudcomputingdiensten (onder meer e-mail, agendabeheer, groepsdiscussies en relatiebeheer) van een leverancier die gevestigd is in de Verenigde Staten. In de zienswijze benadrukt het CBP dat een belangrijk uitgangspunt is dat Nederlandse bedrijven of organisaties die clouddiensten afnemen bij een Amerikaanse aanbie-
Richtsnoeren beveiliging persoonsgegevens In 2012 stelde het CBP richtsnoeren op voor de beveiliging van persoonsgegevens, die begin 2013 zijn gepubliceerd. De richtsnoeren leggen uit hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens 16
Internet & telecom
Zie voor de richtsnoeren beveiliging van persoonsgegevens:
www.cbpweb.nl/12/3
<
der eindverantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens. Bij het sluiten van een overeenkomst voor clouddienstverlening moeten bedrijven of organisaties zich er dan ook van vergewissen dat de toepasselijke wettelijke regels zijn afgedekt. Zo nodig moeten zij aanvullende afspraken opnemen in de overeenkomst met de Amerikaanse aanbieder van de clouddiensten. Dat geldt in ieder geval voor de beveiliging van de in de cloud verwerkte persoonsgegevens. De CBP-zienswijze is gebaseerd op de opinie over cloud computing van de Artikel 29-werkgroep van Europese privacytoezichthouders. Meer informatie over deze opinie is te vinden in het hoofdstuk ‘Internationaal’.
Overtredingen TomTom beëindigd TomTom beëindigde in 2012 de eerder door het CBP geconstateerde overtredingen van de Wet bescherming persoonsgegevens. Eind 2011 concludeerde het CBP na onderzoek dat TomTom de wet overtrad bij de verwerking van zogeheten geolocatiegegevens: de plaats waar gebruikers van de navigatieapparatuur van het bedrijf zich bevinden. De aan de gebruikers van de verschillende soorten on- en offline apparaten en smartphoneapp gevraagde toestemming voor verwerking van deze geolocatiegegevens en de bijbehorende informatie over wat TomTom met de gegevens doet, waren onvoldoende specifiek. In het voorjaar van 2012 constateerde het CBP dat TomTom houders van bepaalde oudere versies van de offline apparaten nog steeds niet actief om toestemming vroeg. TomTom verklaarde dat deze laatste overtreding op een ontwerpfout in de software berustte. In juli controleerde het CBP de oudere apparaten nogmaals en stelde vast dat de geconstateerde overtreding was beëindigd.
Google voldoet aan eisen CBP Het CBP controleerde begin 2012 of Google aan alle eisen voldeed van de eerder opgelegde last onder dwangsom. Een van de eisen van het CBP was dat Google een optoutmogelijkheid moest aanbieden waarmee mensen zich kunnen verzetten tegen de verwerking van gegevens over hun WiFi-routers. Vanaf 15 november 2011 biedt Google aan betrokkenen de mogelijkheid om door toevoeging van ‘_nomap’ aan de netwerknaam van hun WiFi-router het gebruik van hun gegevens door Google te blokkeren. Het CBP stuurde na deze datum diverse informatieverzoeken aan Google om te kunnen vaststellen 17
Internet & telecom
i
>
of het bedrijf met de gekozen maatregel heeft voldaan aan de eis een kosteloze en effectieve opt-outmogelijkheid te bieden. Op basis van de informatie die Google in reactie hierop gaf, concludeerde het CBP dat aan deze last is voldaan. Het CBP stelde ook vast dat Google aan de eis heeft voldaan om betrokkenen zowel online als offline te informeren over de verwerking van WiFi-gegevens en over de opt-outmogelijkheid. Tot slot constateerde het CBP dat Google heeft voldaan aan de eis om de netwerknamen (de SSID’s) onomkeerbaar te wissen en aan de eis om de gegevensverwerking bij het CBP te melden.
<
i
>
OVERHEID De overheid is een van de grootste verwerkers van persoonsgegevens. De gegevens worden met meerdere partijen gedeeld, hetgeen de dienstverlening ten goede kan komen maar waarbij ook voorzichtigheid geboden is. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens bij de overheid in goede handen zijn en dat de overheid gegevens die in vertrouwen voor een bepaald doel zijn verstrekt, niet zomaar voor een ander doel gebruikt.
Aanpak scheefwonen ‘Scheefwoners’ zijn huurders van wie het inkomen te hoog is in vergelijking met de huur van hun sociale huurwoning. Het kabinet wil het scheefwonen bestrijden en de doorstroming op de huurmarkt bevorderen door de huurprijsverhoging te koppelen aan het huishoudinkomen. In mei 2012 nam de Tweede Kamer een wetsvoorstel aan dat regelt dat huurders met een jaarinkomen van meer dan 43.000 euro een extra huurverhoging van maximaal 5% opgelegd wordt. Onderzoek CBP Vooruitlopend op de wettelijke regeling bleek de Belastingdienst al inkomensgegevens te hebben verstrekt aan een aantal verhuurders. In het voorjaar van 2012 ontving het CBP hierover veel signalen van huurders. Het CBP startte een onderzoek en concludeerde dat de verstrekking in strijd was met de Wet bescherming persoonsgegevens. Een van de oorzaken hiervan was dat de Belastingdienst ten onrechte een ontheffing was verleend van de wettelijke geheimhoudingsplicht. Ook de 18 Overheid
kortgedingrechter oordeelde in een zaak die door enkele huurders was aangespannen dat de verstrekking onrechtmatig was, waarop de Belastingdienst stopte met het verstrekken van de inkomensgegevens. Advies CBP In juli 2012 bracht het CBP vervolgens advies uit over een wetsvoorstel dat een extra huurprijsverhoging regelt voor de zogeheten middeninkomens: huishoudens met een (gezamenlijk) jaarinkomen tussen 33.000 euro en 43.000 euro. Voor deze huurders zou volgens het wetsvoorstel een maximale huurstijging van inflatie plus 1% gaan gelden. Hiermee werd uitvoering gegeven aan een van de afspraken uit het begrotingsakkoord. Het CBP uitte bezwaar tegen het wetsvoorstel, onder meer omdat dit niet aantoonde in welke mate de koppeling van de huurverhoging aan het huishoudinkomen het probleem zou kunnen oplossen. Ook werd onvoldoende onderbouwd dat voor het effectief aanpakken van scheefwonen niet kan worden volstaan met minder ingrijpende middelen.
<
Toezicht op kentekenregister De Dienst Wegverkeer (RDW) heeft het toezicht op het kentekenregister verbeterd na onderzoek van het CBP. Tijdens het onderzoek constateerde het CBP in eerste instantie dat de RDW onvoldoende controleerde of gegevens uit het kentekenregister aan de juiste ontvangers en om de juiste redenen werden verstrekt. In de loop van het onderzoek bleek dat de RDW, mede ingegeven door het lopende onderzoek, alsnog de vereiste controles had uitgevoerd. Hierdoor was bij het sluiten van het onderzoek niet langer sprake van strijd met de verplichtingen op dit punt uit de Wet bescherming persoonsgegevens en de wegenverkeerswetgeving. Het onderzoek was toegespitst op de wijze van controle door de RDW op de online verstrekking van gegevens uit het kentekenregister aan verzekeraars en gerechtsdeurwaarders. De RDW mag alleen gegevens aan deze partijen verstrekken voor in de wet opgesomde doeleinden. Vervolgens is de RDW wettelijk verplicht om te controleren of een instantie die gegevens opvraagt inderdaad een verzekeraar of gerechtsdeurwaarder is en of deze de gegevens daadwerkelijk gebruikt voor het doel waarvoor ze zijn verstrekt. Tijdens het onderzoek bleek dat de RDW onvoldoende invulling gaf aan de vereiste controles en daarmee niet genoeg maatregelen had getroffen om persoonsgegevens in het kentekenregister te beveiligen tegen misbruik.
Mens Centraal Het CBP deed in 2012 onderzoek naar de verwerking van persoonsgegevens via het volgsysteem Mens Centraal. Dit is een ICT-applicatie waarmee gemeenten en hun ketenpartners, zoals Bureau Jeugdzorg en UWVWerkbedrijf, kunnen samenwerken op het gebied van maatschappelijke dienstverlening en veiligheid. Mens Centraal maakt op basis van vastgelegde klantkenmerken persoonsgegevens toegankelijk uit aangesloten bronnen. De applicatie is gebaseerd op een concept waarbij dienstverleningsprocessen worden verbonden aan gebeurtenissen in het leven van een klant (life events). De gemeenten en hun partners leggen vast op basis van welke persoonskenmerken zij bepalen of ze tot dienstverlening overgaan. Het CBP constateerde tijdens het onderzoek dat de doeleinden van de gegevensverwerking binnen Mens Centraal zeer ruim zijn geformuleerd, waardoor deze niet – zoals de Wet bescherming persoonsgegevens vereist – welbepaald en uitdrukkelijk zijn omschreven. 19 Overheid
i
>
Daarnaast is de verdeling van verantwoordelijkheden onduidelijk en is deze verdeling ook niet formeel schriftelijk vastgelegd. Het CBP heeft het Kennisinstituut Nederlandse Gemeenten (KING), de toenmalige beheerder van Mens Centraal, hierop aangesproken.
Registratie etniciteit risicojongeren De Rotterdamse deelgemeente Charlois mag geen gegevens over de etniciteit van zogeheten risicojongeren registreren. De rechtbank van Rotterdam verklaarde het beroep dat Charlois had ingesteld tegen het CBP ongegrond. Het CBP had de deelgemeente eerder een last onder dwangsom opgelegd. Deze sanctie volgde op onderzoek waarbij het CBP concludeerde dat Charlois in strijd met de wet handelde door structureel gegevens over etniciteit te verwerken voor een specifieke aanpak van risicojongeren, terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Het registreren van etniciteit is op grond van de Wet bescherming persoonsgegevens verboden. Op dit verbod is in een beperkt aantal gevallen een uitzondering mogelijk. Charlois meende dat sprake was van een dergelijke uitzondering, omdat de registratie noodzakelijk zou zijn voor de verwezenlijking van voorkeursbeleid. Charlois voldeed echter naar het oordeel van de rechtbank, en eerder dat van het CBP, niet aan de voorwaarden om op deze wettelijke uitzonderingsmogelijkheid een beroep te kunnen doen. Zo heeft Charlois volgens de rechtbank niet aannemelijk gemaakt dat dit voorkeursbeleid in redelijkheid niet op een andere, voor de betrokken jongeren minder nadelige, wijze kan worden verwerkelijkt. Charlois heeft inmiddels voldaan aan de last onder dwangsom door te stoppen met het verwerken van gegevens over de etniciteit van risicojongeren en de al geregistreerde gegevens te verwijderen.
Paspoort en identiteitskaart Het CBP adviseerde in 2012 over een wijziging van de Paspoortwet. Dit wetsvoorstel regelt onder meer dat de geldigheidsduur van nationale paspoorten wordt verlengd van vijf naar tien jaar. Het CBP adviseerde om hierbij aandacht te besteden aan de (toekomstige) beveiliging van het paspoort. Hoe blijft, rekening houdend met de stand der techniek, de beveiliging gegarandeerd als een paspoort voortaan tien jaar geldig is?
<
Ook regelt het wetsvoorstel dat de Nederlandse identiteitskaart niet meer de status heeft van een formeel reisdocument. Dit betekent dat voor de identiteitskaart geen vingerafdrukken meer nodig zijn. Bij de overige reisdocumenten worden bij de aanvraag voortaan geen vier maar twee vingerafdrukken opgenomen, die op grond van Europese regelgeving verplicht zijn. Deze vingerafdrukken worden vervolgens niet meer opgeslagen in de reisdocumentenadministratie maar alleen in de chip van het reisdocument. Het CBP heeft in het verleden al een aantal malen geadviseerd over wijzigingen van de Paspoortwet. Zo heeft het CBP in 2007 aangegeven dat het aanleggen van een (centrale of decentrale) reisdocumentenadministratie met biometrische gegevens ernstige en waarschijnlijk onnodige risico’s oplevert voor de persoonlijke levenssfeer.
Flexibel cameratoezicht De minister van Veiligheid en Justitie wil flexibel cameratoezicht invoeren voor handhaving van de openbare orde. In augustus 2012 vroeg de minister het CBP hierover om advies. Burgemeesters krijgen door het betreffende wetsvoorstel de mogelijkheid een gebied aan te wijzen waarbinnen niet alleen de huidige vaste camera’s maar ook mobiele camera´s kunnen worden ingezet. Bij flexibel cameratoezicht is heldere communicatie over de noodzaak hiervan van groot belang, stelt het CBP. Ook binnen een aangewezen gebied kunnen snel en eenvoudig verplaatsbare camera’s ertoe leiden dat mensen zich sneller dan voorheen gevolgd voelen. Het CBP heeft geen bezwaar tegen de inhoud van het wetsvoorstel. Het gaat niet over het invoeren van een nieuw instrument maar over het flexibiliseren van het huidige cameratoezicht. De privacyrisico’s zijn grotendeels hetzelfde als bij vast cameratoezicht. De nieuwe risico’s zijn in het wetsvoorstel met een zogeheten privacy impact assessment adequaat in kaart gebracht, aldus het CBP.
i
>
Als een van de argumenten voor algehele openbaarmaking wordt genoemd dat de actuele maatschappelijke opvattingen over de privacygevoeligheid van de WOZwaarde niet meer dezelfde zouden zijn als in de tijd dat de Wet WOZ tot stand kwam. In de maatschappelijke beleving zou de WOZ-waarde nu meer als een objectief kenmerk van de woning worden beschouwd dan als een persoonsgegeven. Vanwege deze verandering is in de gemaakte belangenafweging minder gewicht toegekend aan het belang van de individuele burger. Het CBP oordeelt dat deze afweging onvolledig is. Het is onduidelijk waaruit blijkt dat de maatschappelijke beleving ten opzichte van de WOZwaarde is veranderd en het belang van de burger is in het wetsvoorstel niet of zeer marginaal meegewogen. Het CBP heeft in het verleden reeds een aantal keren geadviseerd over wijzigingen van de Wet WOZ. Omdat de WOZ-waarde een gegeven is dat een rol speelt bij de vaststelling van een belastingschuld en daarmee als privacygevoelig geldt, is uitdrukkelijk beoogd dat openbaarheid geen regel mag zijn. De WOZ-waarde zegt iets over de individuele fiscale positie van een belanghebbende bij een onroerende zaak en is dus wel degelijk een persoonsgegeven. Naar aanleiding van het CBP-advies is het wetsvoorstel aangepast. De noodzaak van de algehele openbaarmaking is nader gemotiveerd en de veranderde maatschappelijke beleving van de WOZ-waarde beter uiteengezet.
Invoering wietpas Het CBP gaf in april 2012 advies over de invoering van de zogeheten wietpas. De minister van Veiligheid & Justitie was van plan om coffeeshops besloten clubs te maken. De toegang tot coffeeshops zou voorbehouden zijn aan inwoners van Nederland van achttien jaar en ouder. Voor toegang zou een lidmaatschap van de coffeeshop verplicht gesteld worden. Leden zouden een clubpas ontvangen, de wietpas. Het maximum aantal leden zou 2000 mogen zijn, te controleren aan de hand van een ledenlijst.
Openbaarmaking WOZ-waarden Het CBP adviseerde in mei 2012 over een wijziging van de Wet waardering onroerende zaken (Wet WOZ). De voorgestelde wijziging betreft het voor iedereen zichtbaar maken van de WOZ-waarden van woningen in combinatie met adresgegevens. 20 Overheid
Het CBP adviseerde onder meer om de noodzaak van de ledenlijst toe te lichten. Uit de toelichting zou ook moeten blijken dat andere, minder ingrijpende methoden waren onderzocht om coffeeshops beter beheersbaar te
<
maken. De minister nam dit CBP-advies over en gaf een toelichting op de noodzaak voor de wietpas. Daarop werd de wietpas ingevoerd in het zuiden van Nederland. Per 1 januari 2013 zou de wietpas in heel Nederland worden ingevoerd, maar in het regeerakkoord van oktober 2012 werd aangekondigd dat de wietpas zou komen te vervallen. Met ingang van 19 november 2012 is de wietpas afgeschaft. Per 1 januari 2013 geldt nog wel het ingezetenencriterium, waardoor alleen Nederlanders in coffeeshops wiet mogen kopen.
Grootschalige gegevensverwerkingen door de overheid In 2012 voerde het CBP een inventarisatie uit om zicht te krijgen op grootschalige verwerkingen van persoonsgegevens bij de overheid, die steeds meer voorkomen. De gegevens worden hierbij met meerdere partijen gedeeld, bijvoorbeeld in de vorm van centrale opslag van gegevens, bestandskoppeling en/of hergebruik van persoonsgegevens. Dit levert voor burgers het risico op dat de overheid meer gegevens van hen verwerkt dan noodzakelijk is voor het aanvankelijke doel van de verwerking. Ook voor overheden zelf kleeft aan het bovenmatig verzamelen van gegevens een risico, namelijk dat zij geen zicht meer hebben op de inhoud van de ontstane ‘digitale hooiberg’, waardoor het steeds moeilijker wordt om de benodigde informatie uit de gegevens af te leiden. Uit de inventarisatie van het CBP kwam naar voren dat de overheid veel projecten, zoals het inrichten van systemen voor de verwerking van persoonsgegevens, voornamelijk technisch insteekt. Om privacyrisico’s te beperken zou de overheid bij grootschalige gegevensverwerkingen meer aandacht moeten besteden aan doelbinding, hetgeen inhoudt dat het verdere gebruik van persoonsgegevens verenigbaar moet zijn met het oorspronkelijke doel van de verwerking. Hiermee kan de overheid het bovenmatig verwerken van persoonsgegevens voorkomen. Daarnaast is het essentieel dat de overheid de gegevens adequaat beveiligt. Momenteel zijn veel ontwikkelingen gaande op het gebied van (gemeentelijke) basisregistraties. Hierdoor worden bestandskoppelingen technisch gezien steeds eenvoudiger, zowel binnen organisaties als in relatie tot externe partijen. Daarnaast worden steeds meer taken overgeheveld van het Rijk naar gemeenten. Voor deze nieuwe, complexere taken zijn een adequate ICT-infra21 Overheid
i
>
structuur, inclusief informatiebeveiliging, en voldoende waarborgen voor het beheer en het toezicht hierop temeer van belang.
Gemeentelijke basisadministratie persoonsgegevens De gemeentelijke basisadministratie persoonsgegevens (GBA) bevat persoonsgegevens van iedereen die in Nederland woont of gewoond heeft. De gemeente mag persoonsgegevens uit de GBA verstrekken aan een beperkt aantal categorieën instanties of personen, waaronder overheidsorganisaties die voor de uitvoering van hun taken persoonsgegevens nodig hebben. De GBA wordt gemoderniseerd en op termijn vervangen door de Basisregistratie Personen (Brp). Het CBP bracht in 2012 een aantal wetgevingsadviezen uit over de GBA/ Brp, onder meer over het verstrekken van gegevens uit de GBA aan een nieuwe pensioenuitvoerder en over registratie van dubbele nationaliteit in de Brp. Gegevens uit GBA aan nieuwe pensioenuitvoerder Het CBP adviseerde begin 2012 over een wetsvoorstel dat regelt dat een nieuw soort pensioenuitvoerder, de premiepensioeninstelling (PPI), net als pensioenfondsen en verzekeraars gegevens krijgt uit de GBA. Het CBP had geen inhoudelijk bezwaar tegen het wetsvoorstel. Op grond van de huidige wet- en regelgeving krijgen de reeds bekende pensioenuitvoerders, de pensioenfondsen en verzekeraars, al op systematische wijze gegevens verstrekt uit de GBA. De PPI is op 1 januari 2011 geïntroduceerd. Om de systematische verstrekking van gegevens uit de GBA ook aan de PPI mogelijk te maken, wordt de PPI in de Wet GBA en het Besluit GBA toegevoegd als zogeheten bijzondere derde aan wie gegevens mogen worden verstrekt. De wijziging is op 15 juni 2012 in werking getreden. Registratie dubbele nationaliteit In augustus 2012 adviseerde het CBP over een wetsvoorstel dat de registratie van dubbele nationaliteit beperkt. Dit wetsvoorstel komt tegemoet aan de bezwaren van personen met een dubbele nationaliteit tegen de registratie van hun niet-Nederlandse nationaliteit in de Brp. Heeft iemand de Nederlandse nationaliteit van rechtswege verkregen, dan wordt de niet-Nederlandse nationaliteit voortaan niet meer geregistreerd. Reeds ingeschreven personen krijgen de mogelijkheid de gegevens over hun niet-Nederlandse nationaliteit te
<
laten verwijderen. Volgens het CBP kunnen deze gegevens echter standaard worden verwijderd, niet slechts op verzoek. Uit het wetsvoorstel blijkt namelijk dat de registratie van de niet-Nederlandse nationaliteit van deze personen niet (meer) noodzakelijk is. Heeft iemand het Nederlanderschap niet van rechtswege verkregen maar bijvoorbeeld door naturalisatie, dan wordt de niet-Nederlandse nationaliteit nog wel geregistreerd. Volgens het wetsvoorstel zijn deze gegevens noodzakelijk om bepaalde wetgeving en overheidstaken te kunnen uitvoeren, zoals uitvoering van de Remigratiewet. Het CBP oordeelde dat het wetsvoorstel deze noodzaak voldoende inzichtelijk maakt.
Aanpak uitkeringsfraude Het CBP adviseerde in 2012 over twee wetsvoorstellen die (onder meer) als doel hebben uitkeringsfraude beter te kunnen aanpakken. Gegevensuitwisseling sociale zekerheid Het eerste wetsvoorstel beoogt te voorzien in een wettelijke basis voor het vergelijken van bestanden in het zogeheten Systeem Anonieme Risico Indicatie (SARI). Het wetsvoorstel realiseert verder nieuwe mogelijkheden voor gegevensuitwisseling, die zouden moeten bijdragen aan onder meer efficiënter gebruik van beschikbare gegevens bij de overheid, preventie en bestrijding van fraude. Het CBP oordeelde dat bij geen van de afzonderlijke maatregelen de noodzaak ervan voldoende wordt onderbouwd. Daarnaast is bij bestandskoppelingen in SARI het principe van dataminimalisatie van belang, hetgeen inhoudt dat niet meer persoonsgegevens worden verzameld dan nodig voor het beoogde doel. Ook stelde het CBP dat de grondslag voor de gegevensverwerkingen en de voorgestelde bewaartermijnen beter dienen te worden onderbouwd. Tot slot dienen alle personen die na de bestandskoppeling tot de definitieve risicoselectie behoren aanvullend te worden geïnformeerd over de identiteit van de verantwoordelijke en de doeleinden van de gegevensverwerking. Verstrekking justitiële gegevens aan uitkeringsinstanties Het tweede wetsvoorstel regelt dat uitkeringsinstanties (gemeenten, UWV en SVB) de beschikking krijgen over bepaalde justitiële gegevens, waardoor zij volgens het voorstel uitkeringsfraude beter kunnen bestrijden. Het CBP adviseerde de grondslag en waarborgen van het voorstel nader uit te werken. 22 Overheid
i
>
Een uitkeringsontvanger is wettelijk verplicht alle gegevens te overleggen die relevant zijn voor het recht op een uitkering. Deze verplichting wordt de inlichtingenplicht genoemd. Wie de inlichtingenplicht overtreedt, krijgt een bestuurlijke boete opgelegd. In het voorstel is een recidiveregeling opgenomen. De bestuurlijke boete bij uitkeringsfraude wordt verhoogd als de betrokkene binnen een termijn van vijf jaar voor een eerdere overtreding een bestuurlijke of strafrechtelijke sanctie heeft gekregen. De recidivetermijn wordt verlengd van vijf naar tien jaar als betrokkene eerder is veroordeeld tot een onvoorwaardelijke gevangenisstraf wegens uitkeringsfraude. Het is daarom volgens het wetsvoorstel noodzakelijk dat genoemde uitvoeringsinstanties kunnen beschikken over bepaalde justitiële gegevens. Ook wordt gesteld dat de maatregel een legitiem doel en een algemeen belang dient. Het CBP miste echter een onderbouwing van de noodzaak met een concrete, inhoudelijke belangenafweging waarin ook het belang van de betrokkene wordt meegewogen.
BSN bij belastingaftrek onderhoudsverplichtingen Het CBP gaf advies over vermelding van het burgerservicenummer (BSN) bij de persoonsgebonden aftrek voor onderhoudsverplichtingen, zoals alimentatie aan een ex-echtgenoot. Wanneer iemand bij de belastingaangifte deze aftrek toepast, zou diegene het BSN moeten vermelden van de persoon die het onderhoudsgeld ontvangt. Het CBP oordeelde dat er geen grondslag en noodzaak zijn voor het verwerken van het BSN in deze situatie. De Wet algemene bepalingen burgerservicenummer bepaalt dat het BSN alleen mag worden verwerkt door een niet-overheidsorgaan (natuurlijk persoon of rechtspersoon) als deze persoon werkzaamheden verricht waarbij het gebruik van het BSN wettelijk is voorgeschreven. Het nakomen van onderhoudsverplichtingen kan echter niet als ‘werkzaamheden’ worden aangeduid. Daarom is er geen grondslag voor het verwerken van het BSN in deze situatie. Verder bepaalt de Wet bescherming persoonsgegevens dat een bestuursorgaan persoonsgegevens mag verwerken als dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak. In de toelichting bij het voorstel staat dat het BSN steeds meer wordt gebruikt bij de koppeling van gegevens. Hiermee is echter niet
<
aangetoond dat de gegevensverwerking noodzakelijk is voor de goede vervulling van de publiekrechtelijke taak van de Belastingdienst.
Bibob-onderzoek Het CBP adviseerde over een voorstel dat bestuursorganen en rechtspersonen met een overheidstaak die bevoegd zijn tot toepassing van de Wet bevordering integriteitbeoordelingen door het openbaar bestuur (Wet Bibob) (hierna ‘verantwoordelijken’ genoemd) breder toegang verleent tot justitiële en strafvorderlijke gegevens die in andere overheidsregistraties bekend zijn. Dit zou ertoe moeten bijdragen dat zij een meer gedegen (eigen) Bibob-onderzoek kunnen doen. Uit onderzoek van een verantwoordelijke kunnen signalen komen dat een vergunning, aanbesteding, subsidie of vastgoedtransactie mede zal worden gebruikt om uit criminaliteit verkregen vermogen te benutten of andere strafbare feiten te plegen. De verantwoordelijke kan dan besluiten ofwel zelfstandig toepassing te geven aan de Wet Bibob ofwel het Landelijk Bureau Bibob om advies te vragen over de ernst van het gevaar. Het CBP plaatste kanttekeningen bij de voorgestelde wijziging. Zo gaat het voorstel niet in op de afweging die ten grondslag ligt aan de uitbreiding van de gegevensverstrekking, de belangen van betrokkenen, de bescherming van de verstrekte gegevens door verantwoordelijken, de informatieplicht van verantwoordelijken en de andere kaders waarbinnen verantwoordelijken de opgevraagde gegevens gaan gebruiken.
23 Overheid
i
>
<
i
>
POLITIE & JUSTITIE Politie en justitie hebben persoonsgegevens nodig voor de opsporing en vervolging van strafbare feiten. Het gaat hierbij om gevoelige gegevens. De waarborgen voor het gebruik van justitiële- en politiegegevens moeten daarom zonder meer in orde zijn. Iedereen moet erop kunnen vertrouwen dat politie en justitie persoonsgegevens in overeenstemming met de wet verwerken en bijvoorbeeld voldoende beveiligingsmaatregelen nemen.
Opvragen telecomgegevens via CIOT Na onderzoek van het CBP troffen het politiekorps Haaglanden, de Dienst Nationale Recherche (DNR) en het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) maatregelen om ervoor te zorgen dat de gegevensuitwisseling tussen opsporingsdiensten en telecommunicatieaanbieders overeenkomstig de toepasselijke wet- en regelgeving plaatsvindt. In 2011 constateerde het CBP tijdens onderzoek dat bij het politiekorps Haaglanden en de DNR formele procedures ontbraken voor het toekennen en intrekken van autorisaties voor toegang tot het CIOT-informatiesysteem en dat niet alle autorisaties aan de opsporingsambtenaren en de CIOT-medewerkers rechtsgeldig waren verleend. Uit het onderzoek bleek bovendien dat de beveiliging van de telecomgegevens niet op orde was in geval van rechtstreekse opvragingen door opsporingsdiensten bij de telecommunicatieaanbieders, dus zonder tussenkomst van het CIOT. Het betreft gevoelige gegevens waarvoor zware beveiligingseisen gelden ter 24
Politie & justitie
voorkoming van verlies of onrechtmatige verwerking van de gegevens door onbevoegden. In 2012 stelde het CBP vast dat het politiekorps Haaglanden en de DNR alsnog extra beveiligingsmaatregelen hebben genomen om de vertrouwelijkheid en de integriteit van de opgevraagde gegevens te waarborgen. De gegevensuitwisseling bij rechtstreekse opvragingen vindt nu plaats via een landelijk beveiligd netwerk. Ook hebben het politiekorps Haaglanden, de DNR en het CIOT ervoor gezorgd dat alleen bevoegden toegang hebben tot het systeem. Hierdoor is niet langer sprake van een overtreding van de Wet bescherming persoonsgegevens.
Bewaren politiegegevens bij Criminele Inlichtingeneenheden Criminele Inlichtingeneenheden (CIE’s) troffen onvoldoende maatregelen om de wettelijke eisen voor bewaartermijnen van politiegegevens na te leven. Dit concludeerde het CBP na onderzoek. Het CBP onderzocht de regionale politiekorpsen Flevoland en Brabant Zuid-Oost,
<
de Koninklijke Marechaussee en de Inlichtingen en -Opsporingsdienst van de Inspectie Leefomgeving en Transport. De CIE’s verwerken politiegegevens om inzicht te krijgen in de betrokkenheid van personen bij ernstige en georganiseerde misdrijven. Voor de verwerking van deze gevoelige (politie)gegevens gelden strenge wettelijke eisen, mede omdat de informatie niet altijd betrouwbaar is terwijl de risico’s en gevolgen van de verwerking voor de betreffende personen groot kunnen zijn. De Wet politiegegevens bepaalt dan ook dat dergelijke gegevens moeten worden verwijderd zodra deze niet langer noodzakelijk zijn. Daarbij geldt dat uiterlijk vijf jaar nadat voor het laatst gegevens zijn toegevoegd, de gegevens moeten worden verwijderd. De wet eist bovendien een jaarlijkse toets om vast te stellen in hoeverre de gegevens nog noodzakelijk zijn voor het doel waarvoor ze werden verwerkt. Uit het onderzoek bleek dat geen van de vier onderzochte partijen deze bij wet verplichte toets uitvoerde, dan wel niet concreet genoeg toetste of de opgenomen politiegegevens nog noodzakelijk zijn. Ook constateerde het CBP dat het verplichte interne toezicht door de privacyfunctionarissen op de naleving hiervan tekortschoot.
Plaatsen beelden van getuigen op internet Het Openbaar Ministerie (OM) heeft aangegeven in beginsel geen beelden van getuigen meer te zullen publiceren op internet. Het OM deed deze toezegging nadat het CBP contact met het OM had opgenomen over deze kwestie, naar aanleiding van berichtgeving in de media in november 2012. Het OM kan het publiek om hulp vragen bij het ophelderen van misdrijven. De regels hiervoor zijn vastgelegd in de Aanwijzing Opsporingsberichtgeving. Het gaat daarbij echter primair om het opsporen van verdachten, niet van getuigen. Het CBP stelde dat het publiceren van beelden van (toevallige) getuigen aan hun persoonlijke levenssfeer raakt, terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet
25
Politie & justitie
i
>
plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige, aldus het CBP. De huidige Aanwijzing opsporingsberichtgeving is tot 31 augustus 2013 geldig. Het CBP gaat ervan uit dat het OM in de nieuwe aanwijzing specifiek aandacht besteedt aan de bescherming van persoonsgegevens van getuigen van misdrijven.
Verstrekken passagiersgegevens luchtvaart Het CBP adviseerde in 2012 over twee wetsvoorstellen die ervoor moeten zorgen dat luchtvaartmaatschappijen meer passagiersgegevens gaan verstrekken aan de Koninklijke Marechaussee voorafgaand aan grenscontroles op Schiphol. Bij beide voorstellen adviseerde het CBP de noodzaak van deze uitbreiding beter te onderbouwen. De Koninklijke Marechaussee voert het grenstoezicht zo veel mogelijk geautomatiseerd uit. Hiertoe krijgt de marechaussee van luchtvaartmaatschappijen informatie over passagiers voordat zij de grens overgaan. Dit bevordert de doorstroming. Bovendien moeten vervoerders passagiersgegevens verzamelen op grond van Europese regelgeving. Het eerste wetsvoorstel voorziet in uitbreiding van het aantal te verzamelen passagiersgegevens. Uit de toelichting blijkt echter niet waarom de huidige set gegevens niet voldoet en of het doel – het grensbeheer efficiënter en meer informatiegestuurd laten verlopen – niet op een minder ingrijpende manier kan worden bereikt dan met de beoogde uitbreiding. Het tweede wetsvoorstel regelt de verplichting voor luchtvervoerders om niet alleen gegevens te verstrekken van inkomende maar ook van uitgaande vluchten. Uit de toelichting blijkt echter niet waarom de verstrekking van passagiersgegevens van uitgaande vluchten noodzakelijk is, aldus het CBP.
Bewaren DNA-gegevens en vingerafdrukken vrijgesprokenen De minister van Veiligheid en Justitie wil DNA-gegevens en vingerafdrukken van vrijgesprokenen van levensdelicten bewaren voor eventueel nader onderzoek. Het CBP adviseerde het wetsvoorstel dat dit regelt niet in de voorgelegde vorm in te dienen.
<
In tegenstelling tot het verwerken van DNA-gegevens en vingerafdrukken van verdachten en veroordeelden, is er in het geval van vrijgesprokenen geen expliciete wettelijke grondslag om hun gegevens te bewaren. Voor het bewaren van gegevens van verdachten en veroordeelden worden de doeleinden benoemd in het Wetboek van Strafvordering (WvSv). Wanneer iemand is vrijgesproken, is echter niet langer sprake van een verdenking. De betreffende artikelen uit het WvSv bieden daarom geen grondslag om zijn DNA-gegevens en vingerafdrukken af te nemen voor eventueel nader onderzoek, zo stelt het CBP in het advies. In de toelichting bij het wetsvoorstel wordt afgewogen waarom het bewaren van DNA-gegevens en vingerafdrukken van vrijgesprokenen proportioneel is. Er ontbreken echter verscheidene voor de betrokkene relevante elementen. Daarbij komt dat per individueel geval een afweging moet worden gemaakt wanneer na de onherroepelijke vrijspraak DNA-gegevens en vingerafdrukken worden bewaard. Dat de regeling volledig op minderjarigen van toepassing is, maakt dit des te belangrijker.
Gebruik persoonsgegevens minderjarige in rechtszaak Het CBP adviseerde over een wetsvoorstel dat regelt dat de rechter in een civiele zaak over een minderjarige ambtshalve persoonsgegevens toevoegt afkomstig uit andere civiele dossiers en strafdossiers over dezelfde minderjarige. Deze gegevens kan de rechter aan zijn beslissing ten grondslag leggen. De rechter kan gegevens opvragen indien hij dit noodzakelijk acht om de belangen van de minderjarige te beoordelen. Het CBP uitte bezwaar tegen het wetsvoorstel. Het voornaamste punt van kritiek was dat de noodzaak van de voorgestelde gegevensverwerking onvoldoende is onderbouwd. Zo stelt het wetsvoorstel dat het toevoegen van persoonsgegevens aan het procesdossier in het belang is van een goede rechtspleging, maar dit wordt onvoldoende beargumenteerd. Ook blijkt uit het wetsvoorstel niet dat is beoordeeld of aan het proportionaliteits- en subsidiariteitsvereiste wordt voldaan. Om deze beoordeling te kunnen maken, dient te worden geconcretiseerd hoe en in welke mate de verwerking van persoonsgegevens toeneemt.
26
Politie & justitie
i
>
Strafrechtelijke gegevens wegvervoerders Het CBP gaf in 2012 advies over het wetsvoorstel Euro pees wegvervoer, dat de invoering regelt van een Europees sanctieregister van wegvervoerders. Ook adviseerde het CBP over de hiermee samenhangende uitwisseling van strafrechtelijke gegevens van wegvervoerders. Invoering Europees sanctieregister wegvervoerders Europese verordeningen bepalen dat toegang tot de markt van wegvervoerders in het personen- en goederenvervoer alleen mogelijk is met een vergunning. Een wegvervoerder moet aan een aantal eisen voldoen om een vergunning te krijgen, waaronder betrouwbaarheid. Het in elke lidstaat van de Europese Unie in te stellen sanctieregister heeft als doel in het buitenland geregistreerde sancties en veroordelingen van een vervoerder uit te wisselen met diens land van vestiging, om deze gegevens vervolgens te kunnen meewegen in de beoordeling van zijn betrouwbaarheid. Het CBP had bezwaren bij het wetsvoorstel Europees wegvervoer. Zo is voor wegvervoerders niet duidelijk dat hun (strafrechtelijke) gegevens in een of meerdere registers worden verwerkt, met welk doel dit gebeurt en wat de bewaartermijn is. Ook adviseerde het CBP te verduidelijken hoe de strafrechtelijke gegevens precies worden verwerkt en verstrekt. Het CBP-advies is grotendeels opgevolgd. Uitwisseling strafrechtelijke gegevens wegvervoerders De betrouwbaarheid van vervoerders vervalt niet door elke sanctie of veroordeling. De voorwaarden waaronder de betrouwbaarheid niet vervalt, staan beschreven in het ontwerpbesluit Wegvervoer goederen. Ook regelt dit ontwerpbesluit dat strafrechtelijke gegevens aan de minister van Infrastructuur en Milieu (IenM) kunnen worden verstrekt ter beoordeling van de betrouwbaarheid. De minister van IenM is verplicht tot geheimhouding van strafrechtelijke gegevens die zijn verkregen om de betrouwbaarheid te beoordelen. Het CBP adviseerde te verduidelijken wat er gebeurt met de geheimhoudingsplicht als deze strafrechtelijke gegevens vervolgens worden verstrekt aan andere lidstaten van de Europese Unie. Dit CBP-advies is overgenomen.
<
Privacyaudit politiekorpsen en bijzondere opsporingsdiensten Politiekorpsen en bijzondere opsporingsdiensten zijn op grond van de Wet politiegegevens (Wpg) verplicht periodiek een externe audit te laten uitvoeren naar de naleving van de Wpg bij de verwerking van politiegegevens. Het CBP concludeerde in 2011 na onderzoek dat geen van de partijen op tijd aan deze verplichting had voldaan, met uitzondering van het regionaal politiekorps Zeeland en de bijzondere opsporingsdienst Fiscale Inlichtingen- en Opsporingsdienst (FIOD). In 2012 heeft het CBP van alle politiekorpsen alsnog een wettelijk verplicht extern privacyauditrapport ontvangen. Alleen de bijzondere opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT/IOD) heeft niet tijdig aan de externe auditverplichting voldaan. Het CBP heeft daarom ILT/IOD in 2012 een last onder dwangsom opgelegd. Inmiddels heeft ook ILT/IOD binnen de in de last gestelde termijn een privacyaudit laten uitvoeren. Daarmee is het onderzoek bij alle politiekorpsen en bijzondere opsporingsdiensten naar de verplichte uitvoering van een externe privacyaudit afgerond. De Wpg geeft de politie en bijzondere opsporingsdiensten bevoegdheden om politiegegevens te verwerken. In de Wpg zijn waarborgen opgenomen om misbruik tegen te gaan. Politiegegevens betreffen onder meer strafrechtelijke gegevens, waarmee zeer zorgvuldig moet worden omgegaan. Een van de in de Wpg opgenomen waarborgen is de verplichting om, binnen twee jaar na inwerkingtreding van de wet, een externe privacyaudit uit te laten voeren naar de naleving van de Wpg bij de verwerking van politiegegevens en de resultaten hiervan aan het CBP te sturen. De Wpg is op 1 januari 2008 in werking getreden. De 25 regionale politiekorpsen en zeven bijzondere opsporingsdiensten moesten op grond van deze wet in 2010 voor het eerst een privacyaudit laten doen. Onderzoek van het CBP toonde aan dat na afloop van deze termijn geen van de partijen (nog) aan deze verplichting had voldaan.
27
Politie & justitie
i
>
<
i
>
JEUGD & ONDERWIJS Kinderen en jongeren zijn een kwetsbare groep. Alle goede bedoelingen ten spijt, raken zij een eenmaal opgeplakt etiket niet snel kwijt. Het is daarom uiterst belangrijk dat bijvoorbeeld scholen zich aan alle relevante privacybepalingen houden, onder meer bij het vastleggen en uitwisselen van persoonsgegevens van leerlingen. Ook bij andere maatregelen om kinderen te beschermen, zoals screening van personeel in de kinderopvang, geldt dat de privacywetgeving nageleefd moet worden.
Verwerken gezondheidsgegevens leerlingen
Registratie van vrijstellingen van leerplicht
Het CBP adviseerde over een besluit dat een kwaliteitsverbetering beoogt in het (voortgezet) speciaal onderwijs. Dit is een onderwijsvorm voor leerlingen die extra ondersteuning nodig hebben vanwege fysieke en cognitieve beperkingen. Het CBP had enkele opmerkingen bij het besluit, onder meer over het verwerken van gezondheidsgegevens van leerlingen.
De minister van Onderwijs, Cultuur en Wetenschap (OCW) vroeg het CBP advies over een wetsvoorstel tot registratie van persoonsgegevens over vrijstellingen van de leerplicht en de vervangende leerplicht. Dit wetsvoorstel beoogt een aantal problemen op te lossen, zoals het feit dat het aantal vroegtijdige schoolverlaters onbekend is en hierdoor maatregelen tegen vroegtijdige schoolverlating niet effectief kunnen worden ingezet.
Scholen mogen alleen gezondheidsgegevens verwerken voor zover dat noodzakelijk is om leerlingen speciale begeleiding te geven of om bijzondere voorzieningen te treffen vanwege hun gezondheidstoestand. Dit stelt grenzen aan de aard en omvang van de gegevens die scholen mogen verwerken en aan de kring van personen die binnen een school van deze gegevens kennis mogen nemen. Het CBP adviseerde daarom in het besluit aandacht te schenken aan de grenzen van de verwerking van gezondheidsgegevens van leerlingen.
28
Jeugd & onderwijs
Het CBP oordeelde dat het wetsvoorstel onvoldoende aandacht besteedt aan de wettelijke vereisten van noodzaak, proportionaliteit en subsidiariteit. Een onderbouwing van de noodzaak van inmenging in de persoonlijke levenssfeer van de betrokken jongeren om de geschetste problemen op te lossen, ontbreekt. Ook blijkt onvoldoende dat álle voorgestelde gegevensverwerkingen hiervoor noodzakelijk zijn (proportionaliteit). Tot slot blijkt niet dat andere, voor de betrokken jongeren
<
minder ingrijpende, methoden zijn onderzocht (subsidiariteit). Het ministerie van OCW heeft laten weten het wetsvoorstel aan te passen op grond van het advies van het CBP.
Screening personeel kinderopvang Het CBP gaf in 2012 advies over twee voorstellen voor screening van kinderopvangpersoneel. De reden voor deze voorstellen was een besluit van het kabinet om, naar aanleiding van de Amsterdamse zedenzaak, een systeem van continue screening van kinderopvangpersoneel in te voeren. Het eerste voorstel introduceert de invoering van continue screening in de kinderopvang. In het voorstel wordt echter geen aandacht besteed aan de wettelijke verplichting om betrokkenen, in dit geval het kinderopvangpersoneel, te informeren over de verwerking van hun gegevens. Het CBP adviseerde daarom de vereisten die betrekking hebben op deze zogeheten informatieplicht in het wetsvoorstel op te nemen. Het tweede voorstel behelst een aparte regeling voor enkele groepen die bij continue screening buiten beeld blijven, omdat zij niet in loondienst zijn van bijvoorbeeld een kindercentrum en/of niet terug te vinden zijn in de polisadministratie van het UWV (zoals stagiaires en uitzendkrachten). De regeling houdt in dat deze personen tweejaarlijks een nieuwe verklaring omtrent het gedrag (VOG) moeten aanvragen en overleggen. Het CBP had hierover geen opmerkingen.
29
Jeugd & onderwijs
i
>
<
i
>
INTERNATIONAAL De verwerking van persoonsgegevens houdt niet op bij de Nederlandse grens. Om persoonsgegevens ook buiten Nederland te beschermen, is internationale samenwerking van groot belang. Het CBP stemt zijn beleid zo veel mogelijk af met buitenlandse privacytoezichthouders, werkt waar mogelijk samen aan concrete onderzoeken en wisselt kennis, ervaring en onderzoeksmethodes uit.
Europese samenwerking Het zwaartepunt van de internationale werkzaamheden van het CBP ligt in Europa. De afgelopen jaren koos het CBP er steeds vaker voor om een Europese lijn aan te houden bij de uitvoering van nationale prioriteiten. Vice versa zijn nationale prioriteiten tot Europese prioriteiten gemaakt, door actieve deelname van het CBP aan de verschillende vergaderingen van Europese en internationale toezichthouders. Tot slot heeft het CBP in belangrijke mate bijgedragen aan de totstandkoming van gezamenlijke opinies en standpunten, vooral binnen de zogeheten Artikel 29-werkgroep. Artikel 29-werkgroep De Artikel 29-werkgroep (‘Working Party 29’, kortweg WP29) is een onafhankelijk, raadgevend orgaan dat bestaat uit vertegenwoordigers van de 27 nationale privacytoezichthouders in de Europese Unie en de Europese toezichthouder voor gegevensbescherming. Sinds 2010 is de voorzitter van het CBP tevens voorzitter van WP29. In 2012 is hij herkozen voor een tweede periode 30 Internationaal
van twee jaar. WP29 speelt een belangrijke rol bij de totstandkoming van Europees beleid, Europese wetgeving en de ontwikkeling van Europese normen en gemeenschappelijke interpretaties.
Herziening Europese privacyrichtlijn De internationale werkzaamheden van het CBP stonden in 2012 voor een groot deel in het teken van de herziening van het Europese wettelijke kader voor gegevensbescherming. Op 25 januari 2012 publiceerde de Europese Commissie de voorstellen voor de herziening van de Europese privacyrichtlijn. De voorstellen omvatten een algemene Europese privacyverordening, die de huidige privacyrichtlijn moet gaan vervangen, en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie. Verordening Het CBP staat positief tegenover de conceptverordening. In het voorstel zijn veel van de wensen overgenomen die het CBP en WP29 de afgelopen jaren in het voorberei-
<
dingstraject van de herziening hebben geuit. De voorgestelde verordening versterkt de positie van burgers en bevordert dat bedrijven en organisaties die persoonsgegevens verwerken hun verantwoordelijkheid nemen. Verder krijgen de privacytoezichthouders een sterkere en onafhankelijkere positie en kunnen zij waar nodig boetes opleggen. Richtlijn Ondanks de uitdrukkelijke wens van het CBP en WP29 om één alomvattend wetgevend instrument te presenteren dat ook zou gelden voor politie en justitie, heeft de Europese Commissie voor twee verschillende instrumenten gekozen. Over de richtlijn is het CBP kritischer dan over de verordening. De ontwerprichtlijn kent namelijk een beschermingsniveau dat een stuk lager ligt dan dat van de verordening. Uiteraard zijn persoonsgegevens belangrijk voor politie en justitie om hun taken goed te kunnen uitvoeren, maar goede gegevensbescherming is evenzeer in het belang van politie en justitie. De rechtshandhavingsautoriteiten moeten er immers van uit kunnen gaan dat de gegevens die zij verwerken accuraat en betrouwbaar zijn. De basisprincipes en -rechten zouden mede daarom in de richtlijn en de verordening gelijk moeten zijn, aldus het CBP.
Nieuwe privacyvoorwaarden Google Onder aanvoering van de Franse toezichthouder CNIL is op verzoek van WP29 een gezamenlijk onderzoek ingesteld naar de nieuwe privacyvoorwaarden van Google, die op 1 maart 2012 in werking traden. Deze nieuwe voorwaarden bleken op verschillende punten strijdig met de Europese regelgeving. Uit het onderzoek kwam onder meer naar voren dat Google bepaalde persoonsgegevens van gebruikers van de diverse Googlediensten combineert zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. Het zonder toestemming combineren van persoonsgegevens voor online marketing- en reclamedoeleinden is in strijd met de Europese privacyrichtlijn. De toezichthouders hebben verschillende aanbevelingen gedaan aan Google om het privacybeleid aan te passen, met het verzoek deze door te voeren in het eerste kwartaal van 2013.
i
>
metrische technologieën. Biometrische gegevens, zoals vingerafdrukken, opnamen van stemgeluid en gezichtskenmerken, zijn afgeleid van unieke eigenschappen van een persoon. Dergelijke gegevens kunnen worden gebruikt in automatische systemen om individuele personen te volgen, traceren of profileren. In de eerste opinie kijkt WP29 naar de risico’s van het gebruik van biometrie voor gegevensbescherming en privacy, zoals genetische discriminatie en identiteitsdiefstal. WP29 geeft hierbij concrete adviezen voor technische en organisatorische beveiligingsmaatregelen om deze risico’s te beheersen. In de tweede opinie, die specifiek gaat over gezichtsherkenning bij internet- en mobiele diensten, legt WP29 uit dat gezichtsherkenning alleen met toestemming van de betrokken personen mag worden ingezet. Mede naar aanleiding van deze opinie en door optreden van toezichthouders in Ierland en Schleswig-Holstein heeft Facebook het gezichtsherkenningsprogramma stopgezet in Europa, omdat dit systeem niet op toestemming was gebaseerd.
Cloud computing In juli 2012 bracht WP29 een opinie uit over cloud computing: een verzamelnaam voor technologieën en diensten die gericht zijn op het gebruik van IT-applicaties, rekenkracht en opslag op afstand via internet. In de opinie analyseert WP29 alle relevante privacykwesties bij het gebruik van cloud computing. De belangrijkste conclusie luidt dat bedrijven en (overheids)organisaties die gebruik willen maken van cloud computing, als eerste stap een uitgebreide risicoanalyse zouden moeten maken. Bovendien moeten alle aanbieders die clouddiensten aanbieden in Europa hun klanten goed informeren, zodat deze de voor- en nadelen van cloud computing kunnen afwegen voordat zij besluiten hiervan gebruik te maken. Beveiliging, transparantie en rechtszekerheid voor de klant zijn essentiële elementen bij het aanbieden van clouddiensten, aldus WP29. Op basis van de opinie van WP29 publiceerde het CBP in september 2012 een zienswijze over cloud computing. Meer informatie over deze zienswijze is te vinden in het hoofdstuk ‘Internet & telecom’.
Biometrie
Online volgen van surfgedrag
In maart 2012 nam WP29 twee opinies aan over ontwikkelingen op het gebied van het gebruik van bio-
Het CBP heeft WP29 vertegenwoordigd in een overleg van het World Wide Web Consortium (W3C), een or-
31 Internationaal
<
ganisatie die standaarden voor het internet ontwikkelt. In oktober 2012 vergaderde W3C over tracking, het volgen van het surfgedrag van internetgebruikers over meerdere websites. W3C is bezig met een ‘do not track’standaard, die digitale vormen van marketing betreft. Hiermee zouden mensen eenvoudig ‘ja’ of ‘nee’ kunnen zeggen tegen tracking. Het CBP benadrukte in dat verband dat een wereldwijde ‘do not track’-standaard in overeenstemming moet zijn met Europese privacyregelgeving. Dat betekent dat surfgedrag op internet alleen gevolgd mag worden als mensen daar hun uitdrukkelijke toestemming voor hebben gegeven. ‘Do not track’ betekent volgens de Europese privacyregelgeving ‘do not collect’ (verzamel geen persoonsgegevens over surfgedrag). Een ‘do not track’systeem waarbij mensen feitelijk alleen kunnen aangeven dat zij geen gepersonaliseerde advertenties willen ontvangen, volstaat niet. Naar verwachting wordt in 2013 het eindresultaat van het W3C-overleg gepresenteerd.
Toestemming voor cookies WP29 hield zich in 2012 ook bezig met alle ontwikkelingen rondom cookies, kleine bestandjes die bedrijven en organisaties op computers van hun websitebezoekers plaatsen. Hiermee kunnen zij onder meer het zoek- en klikgedrag van de bezoekers volgen, al dan niet over meerdere websites. Op grond van Europese regelgeving dient in de meeste gevallen toestemming gevraagd te worden voor het plaatsen en uitlezen van cookies. Over de uitzonderingen op dit toestemmingsvereiste nam WP29 in juni een opinie aan, om hierover meer duidelijkheid te verschaffen aan het bedrijfsleven. In de opinie is uiteengezet voor welk soort cookies en onder welke voorwaarden geen toestemming van de gebruiker nodig is. Zo is toestemming bijvoorbeeld niet nodig voor het plaatsen van cookies die strikt noodzakelijk zijn voor het leveren van een door de gebruiker gevraagde dienst, zoals cookies die nodig zijn voor het onthouden van de artikelen in een online winkelmandje. Ook voor cookies die bijvoorbeeld een bepaalde taal-
Zie voor de opinie van WP29 over cookies:
www.cbpweb.nl/12/4
32 Internationaal
i
>
voorkeur op een site vastleggen, hoeft geen toestemming te worden gevraagd.
Internationale gedragscodes bedrijfsleven Eind 2012 maakte WP29 bekend per 1 januari 2013 een nieuwe vorm van interne gedragscodes te lanceren binnen de Europese Unie (EU), de Binding Corporate Rules (BCRs) voor bewerkers. Met deze BCRs kan worden verzekerd dat een bewerker die namens een klant persoonsgegevens uitwisselt met landen buiten de EU, dit doet volgens de Europese privacywetgeving. Voor multinationals bestaan al een paar jaar ‘gewone’ BCRs om persoonsgegevens uit te wisselen met vestigingen buiten de EU. Op verzoek van het bedrijfsleven heeft WP29 in 2012 het BCR-regime uitgebreid met BCRs speciaal voor bewerkers. Een bewerker is een bedrijf dat namens een ander bedrijf (de verantwoordelijke) persoonsgegevens verwerkt, bijvoorbeeld als de verantwoordelijke activiteiten heeft uitbesteed aan de bewerker (outsourcen) of bij cloud computing. De bewerker kan een aanvraag ter goedkeuring van BCRs voor bewerkers indienen bij het CBP of een van de Europese collega-toezichthouders. Als de privacytoezichthouder de BCRs heeft goedgekeurd, kunnen de verantwoordelijke en diens bewerkers deze gebruiken en hoeven zij niet bij ieder nieuw contract te onderhandelen over de waarborgen en condities om te voldoen aan de Europese privacywetgeving.
Foreign Account Tax Compliance Act In de Verenigde Staten (VS) is de Foreign Account Tax Compliance Act (FATCA) vastgesteld. Deze wet bepaalt dat vanaf 2013 alle financiële instellingen wereldwijd informatie over Amerikaanse klanten moeten doorgeven aan de belastingdienst van de VS. WP29 gaf in een brief aan de Europese Commissie commentaar op FATCA. Dit commentaar ging onder meer in op de vraag naar de grondslag, noodzaak en proportionaliteit van de gegevensverwerking. Verder wees WP29 op de mogelijkheid van een geharmoniseerde Europese benadering door het sluiten van een verdrag tussen de Europese Unie en de VS. Een dergelijk verdrag zou een wettelijke grondslag kunnen geven aan de gegevensverwerking. Verder zou een verdrag duidelijkheid kunnen bieden over het doel van de gegevensverwerking, de voorwaarden voor de verwerking en de bijbehorende waarborgen voor burgers.
<
Beginselen voor pre-trial discovery WP29 sprak zich in 2012 uit over beginselen voor pre-trial discovery, hetgeen de internationale doorgifte van persoonsgegevens in civiele (voor)procedures betreft. Dit is onder meer aan de orde als bedrijven betrokken raken bij procedures in de Verenigde Staten (VS). In december 2011 heeft de Sedona Conference, een Amerikaanse denktank van rechters, advocaten en bedrijfsjuristen, beginselen opgesteld voor pre-trial discovery en bescherming van persoonsgegevens. WP29 liet de Sedona Conference in juni 2012 weten dat de beginselen een belangrijke stap zijn om de kloof te overbruggen tussen het civiel procesrecht in de VS en de Europese regels voor de bescherming van persoonsgegevens. WP29 plaatste verder een aantal kanttekeningen bij de beginselen. Zo merkte WP29 op dat er momenteel geen verdrag is tussen de VS en de Europese Unie dat een grondslag biedt voor de betrokkenheid van Europese toezichthouders, zoals het CBP, in procedures in de VS. Ook merkte WP29 op dat de beginselen geen bijzondere bescherming bieden aan burgers die geen partij zijn in een procedure, zoals werknemers en klanten.
Toezicht op Europese informatiesystemen Het CBP is niet alleen nationaal toezichthouder op gegevensverwerkingen, maar is samen met zijn collegatoezichthouders binnen de Europese Unie ook toezichthouder op diverse Europese informatiesystemen, waaronder het Schengen Informatiesysteem en Eurodac. Schengen Informatiesysteem Het Schengen Informatiesysteem (SIS) bevat informatie voor opsporing door politie en justitie binnen het Schengengebied. De Gemeenschappelijke Controle Autoriteit Schengen (GCA Schengen) houdt onafhankelijk toezicht op het gebruik van SIS. Het CBP vertegenwoordigt Nederland in de GCA Schengen. In 2012 onderzocht het CBP of de aanbevelingen uit eerder onderzoek van de GCA Schengen naar signaleringen op basis van artikel 99 Schengen Uitvoeringsovereenkomst zijn opgevolgd. Op grond van dit artikel kunnen personen worden gesignaleerd ter gerichte of onopvallende controle in twee strikt omschreven categorieën van betrokkenheid bij het plegen van bijzonder ernstige misdrijven. De GCA Schengen constateerde in het onderzoek dat tussen de lidstaten grote verschillen bestaan over de definitie van een bijzonder ernstig misdrijf en 33 Internationaal
i
>
over de procedures die worden gevolgd voor een artikel 99-signalering. Het CBP toetste onder meer de opvolging van aanbevelingen op een aantal specifiek voor Nederland geldende punten. Daaruit bleek dat in maart 2012 het handboek voor het gebruik van het nationale deel van SIS is herzien. Door aanpassing van de geldende instructies is een aantal belangrijke verbeteringen doorgevoerd, maar het CBP signaleerde dat op een aantal onderdelen toch nog niet afdoende duidelijkheid wordt geboden over de vereiste organisatorische maatregelen. Eurodac Eurodac is een informatiesysteem waarin vingerafdrukken van bijvoorbeeld asielzoekers binnen de Europese Unie kunnen worden vergeleken. De Eurodac Supervision Coordination Group (ESCG) houdt onafhankelijk toezicht op het gebruik van Eurodac. Het CBP vertegenwoordigt Nederland in de ESCG. In 2012 deed ESCG onderzoek naar zogeheten advance deletion van gegevens in Eurodac. Dit betreft de verwijdering van persoonsgegevens uit Eurodac vóór het einde van de reguliere bewaartermijn vanwege een statuswijziging van de betrokkene. In Nederland voerde het CBP het onderzoek uit. Het CBP concludeerde dat de in Nederland geïmplementeerde mechanismen zorgen voor een tijdige signalering van een relevante statuswijziging en dat de persoonsgegevens van de betrokkene dus tijdig worden verwijderd uit Eurodac. Hierop is echter één uitzondering: er is geen registratie van de vaststelling of een vreemdeling van de Eurodac-categorie 2 (aangehouden bij illegale overschrijding van een buitengrens) het grondgebied van Nederland heeft verlaten. Verder bleek dat tussen de bevoegde autoriteiten van de lidstaten geen of onvoldoende uitwisseling van relevante informatie plaatsvindt die aanleiding kan geven tot advance deletion en die noodzakelijk is om de gegevens in Eurodac juist en actueel te houden. Het CBP verzocht daarom de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK), in Nederland verantwoordelijk voor het Eurodac-systeem, aandacht aan deze punten te besteden.
Toezicht uitwisseling banktransactiegegevens In augustus 2010 trad een verdrag in werking tussen de Europese Unie (EU) en de Verenigde Staten (VS) over de
<
verstrekking van banktransactiegegevens met het doel terrorisme te bestrijden. Dit zogenoemde Terrorist Finance Tracking Programme (TFTP)-verdrag bepaalt de voorwaarden en waarborgen voor de verstrekking van de gegevens. Zo toetst Europol bij elk nieuw gegevensverzoek uit de VS onder meer of dit goed is onderbouwd en specifiek genoeg is geformuleerd. Het CBP is vanaf het begin betrokken bij het toezicht op het TFTP-verdrag, zowel via inspecties van het Gemeenschappelijk Controleorgaan Europol (JSB Europol) als door deelname aan de Joint Review van het verdrag, die onder leiding staat van de Europese Commissie. Inspectie JSB Europol JSB Europol publiceerde eind maart 2012 de uitkomsten van een tweede inspectie, waarbij werd geconstateerd dat er weliswaar vooruitgang zat in de schriftelijke informatieverzoeken van de VS ten opzichte van begin 2011 maar dat deze nog steeds voor verbetering vatbaar waren. Bij de derde inspectie, van november 2012, bleek dat de stijgende lijn in de onderbouwing en actualiteit van de informatieverzoeken was doorgezet. JSB Europol concludeerde hieruit dat de aanbevelingen voor verbetering na de eerste twee inspecties duidelijk effect hebben gehad. Joint Review In 2012 vond ook een tweede Joint Review plaats, waarbij zowel de VS als de EU de volledige werking van het TFTP-verdrag nog eens onder de loep namen. Het in december 2012 verschenen Europese rapport hierover bevestigt de conclusie van JSB Europol dat de informatieverzoeken aanzienlijk zijn verbeterd sinds de inwerkingtreding van het verdrag. Daarnaast bevat het rapport voor het eerst informatie over hoe de banktransactiegegevens worden gebruikt bij terrorismebestrijding.
Europese en internationale conferentie Op 3 en 4 mei 2012 vond de jaarlijkse Europese conferentie van privacytoezichthouders plaats in Luxemburg, met zowel de toezichthouders uit de Europese Unie als die uit de overige Europese landen. Het centrale thema van deze conferentie was de herziening van de Europese privacyregelgeving, hetgeen voor veel van de overige Europese staten ook veranderingen teweeg zal brengen. Eind oktober 2012 vond de jaarlijkse internationale conferentie van privacytoezichthouders plaats in Uruguay. 34 Internationaal
i
>
Het centrale thema van de conferentie was profilering. Bedrijven en overheden maken steeds meer gebruik van profielen, bijvoorbeeld om gepersonaliseerde aanbiedingen te doen maar ook voor risicoanalyses bij grenscontroles of terrorismebestrijding. De slotverklaring van de conferentie geeft een aantal criteria voor het gebruik van profilering. Zo zouden organisaties transparanter moeten zijn over profilering. Mensen hebben immers het recht te weten wie welke gegevens van hen verzamelt en wat daar vervolgens mee gebeurt. Naast dit transparantievereiste ging de slotverklaring in op het belang van onder meer een zorgvuldige controle van de werking en uitkomsten van profilering en van een sterk en onafhankelijk toezicht door privacytoezichthouders.
Overzicht deelname CBP aan internationale gremia • Artikel 29-werkgroep •• Plenaire vergadering (voorzitter) •• Subgroep Ad Hoc •• Subgroep Borders, Travel and Law Enforcement (coördinator) •• Subgroep eGovernment •• Subgroep Financial Matters •• Subgroep Future of Privacy (coördinator) •• Subgroep International Transfers •• Subgroep Key Provisions •• Subgroep Technology • Gemeenschappelijk Controleorgaan Europol •• Inspectieteam TFTP-verdrag • Gemeenschappelijk Controleorgaan Schengen • Gemeenschappelijk Controleorgaan Douane • Groep voor Gecoördineerd Toezicht Douane • Groep voor Gecoördineerd Toezicht Eurodac • Groep voor Gecoördineerd Toezicht Visum Informatie Systeem (VIS) • Lenteconferentie van Europese Toezichthouders voor Gegevensbescherming • Internationale Conferentie van Toezichthouders voor Privacy en Gegevensbescherming •• Uitvoerend Comité (voorzitter) •• Berlijn Werkgroep voor Telecommunicatie •• Werkgroep betreffende internationale handhaving • Global Privacy Enforcement Network •• Beheerscomité (lid tot november 2012).
<
i
>
ALGEMENE ONDERWERPEN Wetsvoorstel gebruik camerabeelden en meldplicht datalekken Het CBP adviseerde in mei 2012 over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Dit wetsvoorstel verruimt de mogelijkheid om door particulieren vervaardigde camerabeelden in de opsporing te gebruiken. Het CBP kon zich in grote lijnen hierin vinden. Daarnaast introduceert het wetsvoorstel de plicht voor bedrijven en organisaties die persoonsgegevens verwerken om een datalek zo snel mogelijk te melden bij het CBP. Doen zij dit niet, dan kan het CBP een boete van maximaal 200.000 euro opleggen. Bij dit onderdeel van het wetsvoorstel had het CBP een aantal opmerkingen. Meldplicht datalekken Het advies van het CBP was onder meer om het wetsvoorstel nauwer te laten aansluiten bij de nieuwe Europese privacyregelgeving. Het Nederlandse wetsvoorstel kent anders dan de Europese ontwerpverordening een drempel voor het melden van zaken. Het CBP adviseerde om pas na enige praktijkervaring met de meldplicht te definiëren welke datalekken wel en niet te hoeven worden gemeld. Ook adviseerde het CBP om in de toelichting bij het wetsvoorstel helderheid te verschaffen over de rol van het CBP bij de ontvangen meldingen. Verder verzocht het CBP om op korte termijn de gevolgen van invoering van de meldplicht voor de werklast van het CBP in kaart te brengen. Het CBP vreest zijn bestaande taken niet meer naar behoren te kunnen uitvoeren als voor de nieuwe taken geen extra middelen ter beschikking komen. Het wetsvoorstel voorziet in een boetebevoegdheid voor het CBP als bedrijven en organisaties een datalek niet melden. Het CBP drong er in het wetgevingsadvies op aan om – eveneens vooruitlopend op de Europese ontwerpverordening – nu ook een algemene boetebevoegdheid voor overtreding van de Wet bescherming persoonsgegevens te regelen.
Wijziging besluiten Wbp Per 1 juli 2012 zijn drie besluiten die te maken hebben met de Wet bescherming persoonsgegevens (Wbp) op een aantal punten aangepast. Het gaat om het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp. Het voornaamste doel van de wijzigingen is de administratieve lasten en nalevingskosten voor bedrijven en orga-
35
Algemene onderwerpen
nisaties te verminderen. Het grootste gedeelte van de aanpassingen betreft het Vrijstellingsbesluit Wbp. Vrijstellingsbesluit Wbp Het Vrijstellingsbesluit Wbp regelt welke verwerkingen van persoonsgegevens zijn vrijgesteld van de wettelijke meldingsplicht bij het CBP of, als een organisatie deze heeft aangesteld, de functionaris voor de gegevensbescherming. De wijzigingen van het Vrijstellingsbesluit Wbp zijn in drie categorieën onder te verdelen: • uitbreiding van het aantal vrijstellingen van de meldingsplicht; • aanpassing aan de maatschappelijke (technologische) ontwikkelingen; • verruiming van de vrijstelling van de meldingsplicht voor gegevensverkeer met derde landen. Meldingsbesluit Wbp In het nieuwe tweede lid van artikel 2 van het Meldingsbesluit Wbp is een voorziening getroffen voor vereenvoudiging van de meldingsplicht voor grote ondernemingen. Onder bepaalde voorwaarden kan een melding die betrekking heeft op verwerkingen door of voor meer dan een verantwoordelijke geschieden door een van deze verantwoordelijken. Besluit kostenvergoeding rechten betrokkene Wbp Het besluit leidt tot aanpassing van de maximumbedragen van de vergoeding die een verantwoordelijke op grond van artikel 39 Wbp aan de betrokkene kan vragen wanneer deze een inzageverzoek doet. Verder is een expliciete regeling getroffen voor de vergoeding van afdrukken van röntgenfoto’s.
Nieuwe mandaatregeling CBP Op 15 oktober 2012 is het nieuwe ‘Besluit mandaat en machtiging CBP’ in werking getreden. De (toezicht)taken die de wetgever rechtstreeks aan het CBP heeft opgedragen, kunnen intern worden overgedragen. Het besluit voorziet hierin en kent zowel de collegeleden als verscheidene medewerkers van het CBP bevoegdheden toe door het verlenen van mandaat en/of machtiging. De volgens het besluit verstrekte mandaten en verleende machtigingen zijn begrensd en strekken zich uit tot aangelegenheden op het werkterrein van de collegeleden dan wel van de afdeling van de desbetref-
<
fende CBP-medewerkers. De medewerkers aan wie de bevoegdheden toekomen, zijn met hun functienamen opgenomen in een bijlage bij de nieuwe regeling. De ervaring met de enige jaren geleden ingezette handhavende koers van het CBP heeft ertoe geleid dat het CBP zijn voorgaande mandaatregelingen, die sinds april 2006 in werking waren, heeft herzien. Hierdoor kan op een nog efficiëntere en effectievere manier worden gewerkt binnen het CBP. Het ‘Besluit mandaat en machtiging CBP’ is gepubliceerd in de Staatscourant (nr. 19496). Als gevolg van de inwerkingtreding van het nieuwe besluit zijn het ‘Besluit mandaat en machtiging voorzitter en andere leden CBP’ en het ‘Besluit mandaat en machtiging secretariaat CBP’ met de bijbehorende bijlage ingetrokken.
Naslagwerk Wet bescherming persoonsgegevens Het interne naslagwerk van het CBP over de Wet bescherming persoonsgegevens (Wbp) is vanaf eind december 2012 voor iedereen toegankelijk via Cbpweb.nl. Dit naslagwerk (‘Wbp-naslag’ genoemd) bevat een toelichting op de bepalingen uit de Wbp. Deze toelichting bestaat uit passages van de parlementaire geschiedenis van de Wbp en samenvattingen van relevante openbare uitspraken. Deze uitspraken zijn zowel van het CBP als van rechterlijke instanties. Sinds de inwerkingtreding van de Wbp heeft het CBP Wbp-naslag ontwikkeld, om kennis binnen de organisatie vast te leggen en te delen. Ook buiten de eigen organisatie wil het CBP echter graag de kennis van en het inzicht in de bescherming van persoonsgegevens vergroten. Daarnaast heeft het CBP diverse verzoeken gekregen om het naslagwerk openbaar te maken. Het CBP heeft daarom besloten Wbp-naslag op zijn website te publiceren.
Functionaris voor de gegevensbescherming Organisaties of branches hebben de mogelijkheid om een interne toezichthouder aan te stellen, de functionaris voor de gegevensbescherming (FG). De FG houdt onafhankelijk toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens in een organisatie. In 2012 is zowel nationaal als internationaal veel aandacht geweest voor de toenemende rol en belangrijke positie van de FG.
36
Algemene onderwerpen
i
>
Het CBP versterkte in 2012 de banden met het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG). Zo heeft het CBP in mei 2012 gesproken op een bijeenkomst van het NGFG. Daarbij is onder meer aangegeven dat het CBP en de FG elkaar kunnen versterken, bijvoorbeeld in zaken waarbij onduidelijkheid bestaat over de geldende norm. Verder heeft het CBP regelmatig contact met het NGFG en jaarlijks een overleg met het NGFG -bestuur. Ook consulteerde het CBP onder meer het NGFG in 2012 met betrekking tot de CBP-richtsnoeren ‘Beveiliging van persoonsgegevens’.
Markttoezichthoudersberaad Sinds 2011 maakt het CBP deel uit van het Markttoezichthoudersberaad (MTB). De overige deelnemers aan het MTB zijn de Autoriteit Financiële Markten (AFM), de Consumentenautoriteit, De Nederlandsche Bank (DNB), de Nederlandse Mededingingsautoriteit (NMa), de Nederlandse Zorgautoriteit (NZa) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA). Het MTB zorgt ervoor dat de deelnemende toezichthouders structureel met elkaar in gesprek zijn met als doel kennis te delen en ervaringen over zaakoverstijgende thema’s uit te wisselen. Het MTB beoogt tevens de krachten van de toezichthouders op gezamenlijke thema’s en vraagstukken te bundelen. Een dergelijke gezamenlijke aanpak leidt tot effectiever en efficiënter toezicht en beperkt waar mogelijk de toezichtlasten. Elk halfjaar is een van de leden van het MTB gastheer van een seminar waarin zowel medewerkers als bestuurders met elkaar in gesprek gaan over een zaakoverstijgend thema. In november 2012 was het CBP gastheer van een seminar dat in het teken van stond van ‘de toekomst van toezicht’. Hierbij hield gastspreker prof. dr. J.A. Knottnerus, voorzitter van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR), een toespraak over het lopende WRR-project over de toekomst van het toezicht.
<
i
>
AGENDA 2013 Bij de selectie van onderzoeksgebieden en -objecten geeft het CBP prioriteit aan (vermoedens van) ernstige overtredingen van structurele aard die veel mensen treffen en waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken.
In 2013 geeft het CBP bijzondere aandacht aan de volgende principes uit de Wet bescherming persoonsgegevens: • • • •
Daarnaast hanteert het CBP in 2013 de volgende thematische speerpunten: • • • •
profilering; bescherming van medische gegevens; gegevensverwerking binnen de arbeidsrelatie; bescherming van persoonsgegevens van kinderen.
Onderstaand overzicht is niet limitatief. Optreden in niet-genoemde sectoren of naar aanleiding van nieuwe aanwijzingen van overtredingen is uiteraard niet uitgesloten. Toezicht De onderzoeksprioriteiten van het CBP voor 2013 zijn op thema vastgesteld en worden nader bepaald op basis van actuele ontwikkelingen. Voorbeelden van beoogde onderzoeksthema’s zijn: • de ondoorzichtigheid van de verwerking van persoonsgegevens voor profilering en het gebruik van profielen; • deep packet inspection door grote telecomaanbieders; • de naleving van het toestemmingsvereiste voor opname in het landelijk elektronisch patiëntendossier (EPD); • de naleving van de privacywetgeving door zorginstellingen; • het gebruik van medische gegevens voor andere doeleinden dan directe medische zorg; • de wijze van beveiliging van elektronische communicatie tussen burgers en overheid; • de controle van (toekomstige) werknemers door werkgevers;
37
Agenda 2013
• de gegevensverwerking door apps (mobiele applicaties), met bijzondere aandacht voor de verwerking van medische gegevens en persoonsgegevens van kinderen; • de naleving van de cookiewetgeving. Internationaal Het CBP zoekt nadrukkelijk de internationale samenwerking op met andere toezichthouders om de effectiviteit van het onderzoek naar overtreding van de privacyregelgeving te versterken. Daarnaast besteedt het CBP op internationaal gebied in 2013 veel aandacht aan de herziening van het wettelijk kader voor gegevensbescherming in de EU. De voorzitter van het CBP is ook voorzitter van de Artikel 29-werkgroep, het samenwerkingsverband van Europese privacytoezichthouders.
<
i
>
ORGANISATIE In 2012 startte het CBP met de ontwikkeling van een vernieuwde missie en visie, waarin de ambitie van het CBP wordt neergelegd, en een strategie om deze te realiseren. Ook worden kernwaarden en kernkwaliteiten ontwikkeld die passen bij de missie, visie en strategie.
Het doel van dit traject is om voor de komende jaren een heldere focus te hebben binnen de taken van het CBP én om de toekomstige veranderingen rond de nieuwe Europese privacyregelgeving, de boetebevoegdheid en de meldplicht voor datalekken goed te kunnen integreren in de interne organisatie.
Personeel en formatie Formatie 2009
2010
2011
2012
2013
84,2 fte
82,0 fte
80,5 fte
80,5 fte
80,5 fte
2010
2011
2012
Bezetting
m
v
m
v
m
v
In dienst
2
5
1
4
3
4
Uit dienst
3
7
1
8
2
3
Bezetting einde jaar m/v
20
66
20
62
21
Bezetting einde jaar totaal Vast dienstverband
86 17
82 59
20
63 84
55
18
56
Tijdelijk dienstverband
10
7
10
Totaal dienstverband
76
75
74
Gemiddelde bezetting jaar (fte’s)
79,0
78,3
75,8
Bezetting einde jaar totaal (fte’s)
79,6
76,1
76,7
3
2
1
Vacatures per einde jaar
Net als in voorgaande jaren liep in 2012 de bezetting binnen het CBP achter bij de formele formatie. In feite was nog maar ruimte voor een bezetting van circa 76,5 fte. Bezuinigingen op materiële kosten bleken in 2012 praktisch niet meer mogelijk. Daarom is in 2012 de selectieve vacaturestop voortgezet die in 2011 was gestart. Bij elke vacature heeft het CBP gekeken of deze intern vervuld kon worden, of de werkzaamheden konden worden opgevangen door bestaande formatie of dat de vervulling van de vacature dermate cruciaal was dat er geen andere keuze was dan extern werven. Dit heeft ertoe geleid dat vacatures op tijdelijke basis werden ingevuld. Er is dan ook één tijdelijke kracht ingehuurd, ter vervanging van een zwangerschapsverlof.
38 Organisatie
<
i
>
Overzicht medewerkers buiten formatie 2010
2011
2012
Uitzendkrachten (fte’s)
0,20
0,70
0,00
Stagiaires (fte’s)
1,50
2,11
3,00
Interim (fte’s)
1,08
0,00
0,20
In 2012 is zeer beperkt gebruik te maakt van externe inhuur. De functie van hoofd Bedrijfsvoering is op tijdelijke basis ingevuld met een extern ingehuurde kracht. Twee uitzendkrachten zijn binnen twee verschillende bedrijfsonderdelen aangetrokken om de continuïteit van het primaire proces te waarborgen. Het CBP heeft in 2010 de erkenning als leer-werkbedrijf van de ECABO verlengd om stageplaatsen te faciliteren voor leerlingen uit het middelbaar beroepsonderwijs. In 2012 is één stageplek gerealiseerd op universitair niveau. Hiermee is de in 2011 geformuleerde doelstelling gerealiseerd.
Ziekteverzuim 2010
2011
2012
Totaal ziekte excl. zwangerschap
9,24%
8,57%
5,70%
Lang ziekteverzuim > 28 dagen
4,76%
4,85%
3,12%
Ouderschapsverlof
4
14
10
Verlof zwangerschap / bevalling
3
9
6
Seniorenregeling
3
5
4
Het ziekteverzuim vertoont een doorgaande dalende lijn. Er loopt een aantal re-integratietrajecten van langdurig zieken, die op het totale verzuimpercentage drukken. Het terugdringen van ziekteverzuim was in 2012 een prioriteit van het managementteam (MT) van het CBP. Langs verschillende wegen is hierin geïnvesteerd. In 2012 hebben zes medewerkers van het CBP zwangerschaps- en bevallingsverlof opgenomen. Daarnaast maakt een aantal medewerkers gebruik van ouderschapsverlof.
Opleidingen Uitgaven opleidingen (bedragen x € 1.000)
Opleidingen In % t.o.v. personeelsbudget
39 Organisatie
2010
2011
2012
145
229
161
2,40%
3,71%
2,66%
<
i
>
Het CBP is een kennisintensieve organisatie. Er wordt veel geïnvesteerd in ontwikkeling van medewerkers. Daarbij wordt ingezet op het versterken van kennis en vaardigheden van zowel individuele medewerkers als van de hele organisatie. Dat gebeurt op basis van drie pijlers: • Het CBP-speerpuntenbeleid, waarbij aan het begin van het jaar centraal het thema wordt vastgesteld. In 2012 is het in 2011 vastgestelde thema ‘persoonlijk leiderschap’ voortgezet. • Het volgen van opleidingen of cursussen om de kennis en/of vaardigheden van individuele medewerkers te versterken, zodat zij hun functie goed kunnen uitoefenen. • Het volgen van opleidingen of cursussen om de mogelijkheden van individuele medewerkers te vergroten om door te groeien naar een andere functie binnen of buiten het CBP. In 2012 is minder gebruikgemaakt van het opleidingsbudget dan in 2011, omdat de in 2011 aangekochte externe training voor de versterking van persoonlijk leiderschap in 2012 intern is doorontwikkeld.
De ondernemingsraad De ondernemingsraad heeft zich in 2012 onder meer beziggehouden met het beoordelen van een instemmingsverzoek over het verzuimbeleid bij het CBP. De ondernemingsraad heeft nog niet met het verzoek ingestemd. Met de bestuurder is afgesproken dat deze een nieuw voorstel indient. Verder heeft de ondernemingsraad een achterbanconsultatie georganiseerd over ’het nieuwe werken’, waarbij de mogelijkheden van het nieuwe werken zijn geïnventariseerd om medewerkers optimaal te laten werken. De ondernemingsraad heeft zich in 2012 ook gebogen over de verhuizing van het CBP naar een nieuw pand in Den Haag. Tot slot heeft de ondernemingsraad in 2012 twee nieuwe leden mogen verwelkomen.
Financiën Begroting (bedragen x € 1.000) 2011
2012
2013
7.631
7.679
7.586
Vanwege de bezuinigingen uit het Regeerakkoord Rutte I wordt het budget van het CBP in 2013 gekort met een ton, oplopend tot 323.000 euro in 2017. Gelet op de omvang van het budget van het CBP en het deel hiervan dat opgaat aan personele lasten, kan het niet anders dan dat dit gevolgen heeft voor de mogelijkheden van het CBP om vacatures in te vullen en daarmee dus voor de wijze waarop het CBP zijn taken kan vervullen. Daarom is al in 2012 een voorschot genomen op de komende korting door een selectieve vacaturestop toe te passen.
Uitgaven (bedragen x € 1.000) 2010
2011
2012
Personele uitgaven
6.195
6.160
6.008
Materiële uitgaven
1.934
1.571
1.741
Totaal
8.129
7.731
7.749
Budget
7.699
7.631
7.679
40 Organisatie
<
i
>
Het CBP heeft in 2012 het budget op verantwoorde wijze uitgeput. De eerder gemaakte afspraak tussen het ministerie van Veiligheid en Justitie en het CBP dat het CBP het budgettair kader met 250 duizend euro mag overschrijden om het voorzitterschap van de Artikel 29-werkgroep te financieren, was ook in 2012 van kracht en blijft tot en met 2013 gehandhaafd. Dat deze ruimte in 2012 niet volledig is benut, heeft onder meer te maken met de door het CBP in 2012 ingezette bezuinigingsmaatregelen vanwege de komende budgetkorting. Het gaat hier om de selectieve vacaturestop en het kritisch kijken naar materiële uitgaven.
Productie Taken van het CBP De taken van het CBP vallen uiteen in vier groepen: • • • •
toezicht op naleving van de wet; sancties; advisering; rechtsbescherming en openbaarheid van bestuur.
Toezicht op naleving van de wet Onderzoeken Artikel 60 van de Wet bescherming persoonsgegevens (Wbp) geeft het CBP de bevoegdheid om uit eigen beweging een onderzoek in te stellen naar de naleving van de wet. Gezien de grotere nadruk op toezicht en structurele handhaving maakt het CBP in toenemende mate gebruik van deze bevoegdheid. Een groot deel van de capaciteit besteedt het CBP aan deze onderzoeken. In 2012 zijn 58 onderzoeken afgerond, een aantal minder dan in het jaar ervoor. De belangrijkste reden hiervoor is dat de in 2012 uitgevoerde onderzoeken omvangrijker waren dan in het vorige jaar en daardoor meer tijd kostten. Richtsnoeren Onduidelijkheid over de wet- en regelgeving kan ten koste gaan van de bescherming van persoonsgegevens van burgers. Daarom zet het CBP in richtsnoeren uiteen welke uitleg van de wettelijke normen het CBP hanteert bij de uitoefening van zijn bevoegdheden. Het CBP legt richtsnoeren in de regel aan deskundigen voor. Na verwerking van opmerkingen en suggesties wordt de definitieve versie in de Staatscourant en op de website van het CBP gepubliceerd. In juli 2012 zijn richtsnoeren over het kopiëren van identiteitsbewijzen (‘kopietje paspoort’) gepubliceerd en richtsnoeren over de beveiliging van persoonsgegevens voorbereid. Laatstgenoemde richtsnoeren zijn in februari 2013 gepubliceerd. Verzoek om een zienswijze Verantwoordelijken voor de verwerking van persoonsgegevens kunnen een verzoek om een zienswijze indienen bij het CBP, waarin zij het CBP vragen een standpunt in te nemen over nieuwe rechtsvragen. Deze vragen kunnen zijn ontstaan door nieuwe ontwikkelingen die mogelijk van groot maatschappelijk en/of economisch belang zijn. De criteria voor het verzoek om een zienswijze zijn gepubliceerd in de Staatscourant van 11 april 2008, nummer 71 en op de website van het CBP. In 2012 heeft het CBP vier verzoeken om een zienswijze afgehandeld. Gedragscodes Op grond van artikel 25 Wbp is het CBP belast met de toetsing van gedragscodes die uitvoering geven aan de wettelijke bepalingen. In 2012 heeft het CBP vier gedragscodes behandeld en voor een daarvan een goedkeurende verklaring afgegeven.
41 Organisatie
<
i
>
Voorafgaande onderzoeken Bepaalde categorieën van verwerkingen waaraan bijzondere risico’s zijn verbonden, zijn krachtens artikel 31 van de Wbp onderworpen aan een voorafgaand onderzoek. In 2012 heeft het CBP 93 voorafgaande onderzoeken uitgevoerd. Dit zijn er minder dan in 2011, toen het er 170 waren. Dit is een gevolg van de verruiming van het Vrijstellingsbesluit. Hierdoor is op minder gronden een voorafgaand onderzoek nodig. Klachtbehandeling Op basis van artikel 60 Wbp kan het CBP op verzoek van een belanghebbende een onderzoek instellen naar de naleving van het bij of krachtens de wet bepaalde. Daartoe beschikt het CBP over de nodige onderzoeksbevoegdheden op grond van de Wbp en de Algemene wet bestuursrecht. Bij het in behandeling nemen van verzoeken hanteert het CBP prioriteitscriteria. Klachten die niet voldoen aan deze criteria, neemt het CBP niet als individuele zaak in behandeling maar vat het CBP op als signaal. Signalen gebruikt het CBP om risicoanalyses te maken, op basis waarvan het CBP kiest welke onderzoeken en andere werkzaamheden het gaat doen. Internationale zaken Op grond van artikel 51, eerste lid Wbp houdt het CBP tevens toezicht op de verwerking van persoonsgegevens in Nederland wanneer deze verwerking plaatsvindt volgens het recht van een ander land van de Europese Unie. Ingevolge artikel 61, zesde lid Wbp is het CBP desgevraagd verplicht aan toezichthoudende autoriteiten van de andere lidstaten van de Europese Unie alle noodzakelijke medewerking te verlenen. Het Verdrag van Straatsburg bevat vergelijkbare verplichtingen voor landen die daarbij partij zijn. De cijfers uit de samenvattende productietabel betreffen alleen bovengenoemde verzoeken om medewerking. Het CBP heeft in 2012 daarnaast onder meer veel tijd gestoken in (de ondersteuning van) het voorzitterschap van de Artikel 29-werkgroep. Wbp-meldingen Ingevolge artikel 27 van de Wbp moeten verantwoordelijken geautomatiseerde verwerkingen van persoonsgegevens vooraf melden bij het CBP of een functionaris voor de gegevensbescherming, tenzij melden op grond van het Vrijstellingsbesluit niet verplicht is. Het CBP neemt alle meldingen na verwerking op in een openbaar register, dat in te zien is via de website van het CBP. In 2012 heeft het CBP 5.966 meldingen ontvangen, een forse stijging ten opzichte van 2011 (3.939). Ontheffing voor de verwerking van bijzondere persoonsgegevens Artikel 16 Wbp bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag. Op grond van artikel 23, eerste lid, onder e Wbp, kan het CBP een ontheffing verlenen indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer. In 2012 heeft het CBP drie ontheffingen verleend.
Sancties Bestuursdwang en last onder dwangsom Bij het niet naleven van wettelijke verplichtingen kan het CBP besluiten om gebruik te maken van de bevoegdheid (artikel 65 Wbp) bestuursdwang toe te passen of een dwangsom op te leggen. Deze mogelijkheid bestaat ook als het CBP medewerking vordert (artikel 61 lid 4 Wbp) aan een door het CBP ingesteld onderzoek maar deze medewerking niet wordt verleend. In 2012 is het opleggen van een last onder dwangsom twaalf keer aan de orde geweest. Drie keer is een last onder dwangsom ingevorderd. In veel gevallen worden geconstateerde overtredingen van wettelijke verplichtingen hersteld voordat wordt overgegaan tot het opleggen van een herstelsanctie. 42 Organisatie
<
i
>
Bestuurlijke boete De Wbp kent een zeer beperkte boetebevoegdheid. Alleen bij overtreding van de meldingsplicht kan een boete worden opgelegd. Het CBP is dan bevoegd (artikel 66 Wbp) om een bestuurlijke boete op te leggen van 4.500 euro per verwerking dan wel aangifte te doen bij het Openbaar Ministerie. Het CBP kan ook een bestuurlijke boete opleggen op grond van artikel 35 van de Wet politiegegevens als de verantwoordelijke in strijd met de protocolplicht handelt.
Advisering Wetgevingsadviezen Op grond van artikel 51, tweede lid Wbp dient het CBP om advies te worden gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of in belangrijke mate betrekking hebben op de verwerking van persoonsgegevens. Dit vloeit direct voort uit Richtlijn 95/46/EG en heeft ook betrekking op voorstellen die belangrijke gevolgen hebben voor de verwerking van persoonsgegevens. De uitvoering van deze adviestaak valt onder de bepalingen van de Kaderwet adviescolleges (Stb. 1996, 378). Dat neemt niet weg dat het CBP zich ook als toezichthouder kan wenden tot de regering, al dan niet onder toezending van een kopie aan een of beide Kamers van de Staten-Generaal. Ook maakt het CBP gebruik van de mogelijkheid om te reageren op bij de Tweede Kamer ingediende wetsvoorstellen. Ten slotte komt het regelmatig voor dat vaste commissies uit de Tweede of de Eerste Kamer het CBP uitnodigen om te reageren op aanhangige voorstellen. Het aantal wetgevingsadviezen is de afgelopen jaren min of meer stabiel gebleven (42 in 2012). Daarnaast adviseerde het CBP in 2012 ook herhaaldelijk (informeel) over de voorgestelde wijzigingen van de Wbp. Gegevensverkeer doorgifte derde landen Op grond van artikel 77 lid 2 Wbp heeft het CBP de taak om de minister van Veiligheid en Justitie te adviseren over het toekennen van vergunningen voor het doorgeven van persoonsgegevens naar een land buiten de EU dat geen waarborgen voor een passend beschermingsniveau biedt. De verzoeken van bedrijven met internationale belangen om een vergunning voorziet het CBP van een gedegen advies, zodat de minister snel een besluit kan nemen. Het aantal doorgiftezaken was de afgelopen jaren redelijk stabiel. In 2012 was er echter sprake van een sterke daling, omdat voor een bepaalde categorie doorgiften geen vergunning meer hoeft te worden aangevraagd.
Rechtsbescherming en openbaarheid van bestuur Bemiddeling Het CBP kan op grond van artikel 47 Wbp ingaan op verzoeken om bemiddeling bij geschillen over de uitoefening van het recht op inzage of correctie van persoonsgegevens en over de uitoefening van het recht op verzet. Deze procedure is mede bedoeld om de rechter te ontlasten. Belanghebbenden kunnen hun zaak ook voorleggen aan de civiele of administratieve rechter of gebruikmaken van een geschillenregeling in een goedgekeurde gedragscode. Als het CBP de bemiddeling heeft beëindigd, kan de zaak alsnog aan de rechter worden voorgelegd. De rechter kan besluiten om (opnieuw) het advies van het CBP in te winnen. Het merendeel van de verzoeken heeft het CBP niet ingewilligd; belanghebbenden zijn in die gevallen doorverwezen naar andere instanties. Bezwaar Tegen de beslissingen van het CBP die een besluit zijn in de zin van de Algemene wet bestuursrecht kan een bezwaarschrift worden ingediend. Het gaat om besluiten waarbij een sanctie wordt opgelegd aan een verantwoordelijke, beslissingen over gevraagde ontheffingen van het verbod tot verwerking van bijzondere persoonsgegevens, besluiten tot weigering om bestuursdwang toe te passen, openbaarmakingsbesluiten, weigering van informatie op grond van de Wet openbaarheid van bestuur of beslissingen over de rechten van betrokkenen betreffende hun dossier bij het CBP. In 2012 werd zeven keer bezwaar ingediend. 43 Organisatie
<
i
>
Beroep Tegen de beslissing op een bezwaarschrift, de beoordeling van een conceptgedragscode en de verklaring na voorafgaand onderzoek kan beroep worden ingesteld bij de sector bestuursrecht van de rechtbank. Tegen de beslissing van de rechtbank kan zowel door de belanghebbende als het CBP hoger beroep worden ingesteld bij de afdeling Bestuursrechtspraak van de Raad van State. In 2012 ging het om acht beroepszaken. Klachten over het CBP Tegen het optreden van het CBP kan een klacht worden ingediend. Het CBP heeft een uniforme procedure om klachten af te handelen. Sinds 2011 handelt een speciale klachtencoördinator centraal de ingediende klachten af. Hiermee bewerkstelligt het CBP dat de afhandeling conform de Algemene wet bestuursrecht verloopt en dat het CBP op een professionele wijze met klagers en klachten omgaat. Klachten dienen in beginsel schriftelijk te worden ingediend. Als er een mondelinge klacht binnenkomt, streeft het CBP naar informele afdoening. Als dit niet mogelijk blijkt, volgt het CBP zo veel mogelijk de procedure voor schriftelijke klachten. In de schriftelijke beslissingen op klachten wijst het CBP klagers op de mogelijkheid om hun klacht vervolgens voor te leggen aan de Nationale ombudsman. In onderstaande tabel is een overzicht opgenomen van de in de laatste drie jaren bij het CBP ingediende schriftelijke klachten en de wijze van afdoening. 2010
2011
2012
Klachten ongegrond verklaard
11
3
8
Klachten gegrond verklaard
2
0
0
Klachten gedeeltelijk gegrond verklaard
1
0
3
Minnelijke regeling/geen oordeel/ ingetrokken/andere wijze van afdoening
2
4
4
Nog in behandeling per einde jaar
0
3
0
Totaal aantal ingediende klachten
16
10
15
Openbaarheid van bestuur De Wet openbaarheid van bestuur (WOB) is mede van toepassing op het CBP. Op grond daarvan is het CBP verplicht – hetzij uit eigen beweging, hetzij op verzoek – informatie te verstrekken over zijn taakvervulling, tenzij dit door een wettelijke uitzondering niet is toegestaan. Het kan daarbij gaan om het belang van controle en toezicht door het CBP, de eerbiediging van de persoonlijke levenssfeer van betrokkenen of het voorkomen van onevenredige bevoordeling of benadeling van anderen. Betrokkenen kunnen bij het CBP overigens ook gebruikmaken van hun rechten op inzage, verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens op grond van de Wbp. In 2012 ontving het CBP veertien WOB-verzoeken.
44 Organisatie
<
i
>
Samenvattende productietabel 2009
2010
2011
2012
108
60
85
58
Richtsnoeren
1
0
0
1
Verzoek om een zienswijze
1
1
0
4
Gedragscodes
1
8
6
4
Voorafgaand onderzoek
188
642
170
93
Internationale zaken
98
71
57
57
4.559
3.720
3.939
5.966
3
1
1
3
Bestuursdwang en last onder dwangsom
26
35
6
12
Boete
0
0
0
0
Incasso/invorderingsbeschikking
0
2
0
3
Gegevensverwerkingen doorgifte derde landen
137
133
129
61
Wetgevingsadvies
40
42
37
42
Bezwaar
6
10
6
7
Beroep
2
10
3
8
Klachten over het CBP
12
16
10
15
WOB-verzoeken
13
19
8
14
Producten
Toezicht en naleving Onderzoek
Wbp-meldingen Ontheffingen
Sancties
Advisering
Rechtsbescherming en openbaarheid bestuur
Communicatie en voorlichting Het CBP communiceert over het beleid en de uitvoering ervan om inzicht te geven in zijn werkzaamheden en om verantwoording af te leggen over de wijze waarop het van zijn bevoegdheden gebruikmaakt. Via actief en reactief perswerk en via de websites Cbpweb.nl en Mijnprivacy.nl verstrekt het CBP informatie over (resultaten van) onderzoek, wetgevingsadviezen en overige werkzaamheden. De onderzoeken hebben mede door deze communicatie geregeld een uitstralende werking in de betreffende branche, waardoor het effect op het nalevingsniveau verder reikt dan de onderzochte bedrijven en organisaties.
45 Organisatie
<
i
>
In 2012 was er onder meer veel media-aandacht voor de door het CBP geconstateerde overtredingen bij Google, Eyeworks/VUmc, Albert Heijn, WhatsApp en NS, net als voor het landelijk EPD en het ‘scheefwonen’. Het feit dat de 27 privacytoezichthouders in de EU gezamenlijk optrokken bij het onderzoek inzake Google trok veel aandacht. Verder stonden onderwerpen rond de beveiliging van persoonsgegevens volop in de belangstelling. De richtsnoeren over het ‘kopietje paspoort’ kregen ook veel aandacht in de media. Het aantal perscontacten in 2012 was 587. In dat jaar heeft het CBP 16 persberichten en 61 mededelingen uitgebracht. De mededelingen gingen grotendeels over wetgevingsadviezen.
Perscontacten 2010
2011
2012
Persbureaus
50
53
60
Landelijke dagbladen
128
120
104
Landelijke radio en televisie
145
192
163
Regionale kranten
42
34
39
Regionale radio en televisie
40
43
21
(Vak)bladen
50
44
46
Online media
54
65
80
-
-
12
Overige
50
47
62
Totaal
559
598
587
Medium
Internationale dagbladen
Het Front Office van het CBP beantwoordt vragen en behandelt signalen over (mogelijke) overtredingen van de privacywetgeving. In 2012 ging het om 6.042 vragen en signalen (5.858 in 2011 en 5.270 in 2010). Van deze 6.042 signalen en vragen kwamen er 2.091 binnen via het online signaalformulier, 3.284 telefonisch en 667 per brief. Het project Front Office Nieuwe Stijl (FONS) is in 2012 volledig geïmplementeerd. De nieuwe werkwijze van het Front Office van het CBP is erop gericht de zelfredzaamheid van burgers op het gebied van bescherming van hun persoonsgegevens te vergroten. Hiertoe is onder meer de algemene voorlichting via de website Mijnprivacy.nl uitgebreid met nieuwe vragen en antwoorden over uiteenlopende thema’s.
Signalen Het Front Office analyseert alle binnenkomende signalen. De signalen staan ten dienste van de handhavende rol van het CBP. Op basis van binnengekomen signalen kan het CBP besluiten een onderzoek te starten. Ook kunnen signalen aanleiding zijn om de voorlichting op Mijnprivacy.nl aan te passen. Daarnaast heeft het Front Office naar aanleiding van signalen meerdere keren zelf actie ondernomen. Zo heeft het Front Office contact opgenomen met verschillende organisaties over de te hoge kosten die zij in rekening brachten voor het verkrijgen van inzage in persoonsgegevens en hiermee bewerkstelligd dat de betreffende organisaties voortaan het correcte bedrag in rekening brengen. Een ander voorbeeld is dat het Front Office bij onderwijsinstellingen onder de aandacht bracht dat zij geen kopieën van paspoorten in de leerlingadministratie mogen opnemen.
46 Organisatie
<
i
>
Verdeling signalen over sectoren De meeste van de in totaal 6.042 signalen uit 2012 hebben betrekking op de sectoren handel & dienstverlening (28,6%), overheid (27,0%), arbeid (12,7%) en zorg & welzijn (11,4%). De minste signalen kwamen binnen over sociale zekerheid (1,5%) en internationale organisaties (0,3%). Zie tabel 1 voor een weergave van de signalen verdeeld over de verschillende sectoren.
Tabel 1 Verdeling signalen over sectoren 2012 Toezicht en naleving
Handel & dienstverlening
1726
Overheid
1634
Arbeid
767
Zorg & welzijn
691
Andere sector (zie tabel 2 voor een specificatie)
329
Internet
287
Betrokkene
210
Telecom
179
Politie & justitie
113
Sociale zekerheid
90
Internationale organisaties
16
Totaal
6042
Tabel 2 Verdeling signalen binnen ‘Andere sector’ 2012 Andere sector
Cultuur, sport en recreatie
113
Belangenorganisatie
66
Media
43
Overige
30
Onderzoeks- en researchinstituut
27
Toezichthouder
27
Religieuze instelling
21
Klachteninstantie Totaal
47 Organisatie
2 329
<
i
>
Verdeling signalen over subsectoren In de sector waarover de meeste signalen binnenkwamen, handel & dienstverlening, scoren detailhandel (14,2%) en banken (7,1%) het hoogst. In de sector overheid hebben de meeste signalen betrekking op de Belastingdienst (46,8%) en de gemeente (23,9%). Bij de sector arbeid springen de signalen over werkgevers eruit (80,8%). Het merendeel van de signalen binnen de sector politie & justitie gaat over de politie (69,9%). De signalen over internet hebben vooral betrekking op zoekmachines en socialenetwerksites (56,1%). Het leeuwendeel binnen de sector telecom gaat over de operator (98,3%). In de categorie sociale zekerheid kwamen er signalen binnen over zowel het UWV Werkbedrijf als over de sociale dienst. Bij de sector zorg & welzijn scoort de subsector medische zorg (53,7%) hoog. De zestien signalen in de categorie internationale organisaties gaan onder meer over internationale privacytoezichthouders en buitenlandse politieautoriteiten. Onderwerpen van signalen De meest voorkomende onderwerpen van signalen zijn het verstrekken van persoonsgegevens aan derden, heimelijke waarneming en internet. Deze onderwerpen zijn in bijna alle hoofdsectoren vertegenwoordigd. Per hoofdsector gaan de meeste signalen over de volgende onderwerpen: • Handel & dienstverlening: gegevensverwerking voor identificatie; gebruik van het burgerservicenummer (BSN); gegevensverwerking voor direct marketing. • Overheid: verstrekken van persoonsgegevens aan derden; gegevensverwerking voor identificatie; paspoort; gebruik van het BSN. • Arbeid: verstrekken van personeelsgegevens aan derden; (heimelijke) waarneming, al dan niet door cameratoezicht; personeelsvolgsystemen. • Politie & justitie: verstrekken van persoonsgegevens aan derden. • Internet: publicatie van persoonsgegevens op internet. • Telecom: identificatie; verstrekken van persoonsgegevens aan derden. • Sociale zekerheid: verstrekken van persoonsgegevens aan derden. • Zorg & welzijn: gegevensverwerkingen betreffende het (medisch) dossier; verstrekken van persoonsgegevens aan derden. • Internationale organisaties: doorgifte aan derde landen.
Organigram CBP College
Directeur
Communicatie
Juridische zaken
Bedrijfsvoering
Toezicht publieke sector
48 Organisatie
Internationaal
Toezicht private sector
<
i
>
COLLEGE EN RAAD VAN ADVIES Externe werkzaamheden collegeleden Het uitdragen en toelichten van het werk van het CBP in binnen- en buitenland is een belangrijke taak van de collegeleden. Het CBP signaleert een toenemende aandacht voor de bescherming van persoonsgegevens en het werk van het CBP, hetgeen resulteert in vele verzoeken tot deelname aan externe bijeenkomsten en mediaoptredens. Het CBP zoekt daarnaast ook zelf actief contact met media en maatschappelijke organisaties. In 2012 bestond een aanzienlijk deel van de werkzaamheden van de collegeleden dan ook uit externe optredens. Het CBP blikt terug op een breed scala aan externe activiteiten, variërend van radio- en televisie-interviews tot (keynote-)speeches tijdens conferenties. Een belangrijk deel van de optredens had een internationaal karakter. Een selectie uit de externe werkzaamheden van de collegeleden in 2012: Nationaal • De collegeleden gaven talrijke interviews aan radio, televisie en de geschreven pers. De interviews kwamen vaak voort uit door het CBP gepresenteerde onderzoeksrapporten en richtsnoeren, maar het CBP kreeg ook veel mediaverzoeken om naar aanleiding van actuele gebeurtenissen op het gebied van privacy een reactie te geven. • De bescherming van medische gegevens was een veelvuldig terugkerend onderwerp tijdens persoptredens. In het begin van het jaar ontstond er in de maatschappij onrust over camera’s op de spoedeisende hulp bij een ziekenhuis. Het CBP heeft naar aanleiding van deze zaak en zijn eigen onderzoek hiernaar verschillende (radio)interviews gegeven. Niet lang daarna speelde in de media een kwestie over de verwerking van medische gegevens van werknemers door een verzuimbedrijf, waarbij het CBP zich ook duidelijk heeft uitgesproken. De verwerking van medische gegevens binnen de arbeidsrelatie is een belangrijk thema geweest tijdens speeches en contacten met de media. • De collegeleden voerden ook in 2012 regelmatig gesprekken met externe stakeholders. Naast het onderhouden van de contacten heeft dit tot doel om algemene principes van de Wet bescherming persoonsgegevens en specifieke onderzoeksresultaten van het CBP over het voetlicht te brengen. Het CBP organiseerde in dit kader ook twee besloten rondetafelgesprekken, een met vertegenwoordigers van politie en justitie en een 49
College en raad van advies
met advocaten met wie het CBP in procedures te maken heeft gehad. • De aangekondigde wijziging van de wetgeving voor het gebruik van cookies heeft gedurende 2012 geleid tot deelname aan uiteenlopende externe activiteiten. Daarbij heeft het CBP onder meer aandacht besteed aan de risico’s van profilering, dat mogelijk wordt door het plaatsen van cookies. • In de zomer van 2012 presenteerde het CBP richtsnoeren voor het gebruik van een ‘kopietje paspoort’ in de private sector. Tijdens verschillende mediaoptredens gaven de collegeleden een toelichting op de regels voor het overnemen van persoonsgegevens en het kopiëren en/of scannen van identiteitsdocumenten. Internationaal • Het voorzitterschap van de Artikel 29-werkgroep van Europese privacytoezichthouders bracht veel overleg met vertegenwoordigers van de EU-instellingen met zich mee, vooral nadat de Europese Commissie begin 2012 de voorstellen voor de herziening van de Europese privacyrichtlijn presenteerde. Het afgelopen jaar zijn over de voorstellen voor de toekomstige Europese privacyregelgeving veelvuldig interviews gegeven aan (inter)nationale media. • De collegeleden namen ook deel aan verschillende mondiale conferenties en bijeenkomsten. Zo vond eind oktober 2012 in Uruguay de jaarlijkse internationale conferentie van privacytoezichthouders plaats, waarbij het centrale thema profilering was. De CBP-voorzitter is sinds 2011 de eerste voorzitter van het Uitvoerend Comité van de internationale conferentie, dat is ingesteld om ervoor te zorgen dat de gesloten sessie van de conferentie meer structuur krijgt. • Begin 2012 besloten de Europese privacy toezichthouders, mede op initiatief van het CBP, gezamenlijk onderzoek te doen naar de privacyvoorwaarden van Google. Het betrof een unieke internationale samenwerking, waarvan het CBP een groot pleitbezorger is. In het najaar van 2012 presenteerden de Europese privacytoezichthouders tijdens een persconferentie in Parijs de resultaten van het onderzoek.
<
i
>
College
Mr. J. Kohnstamm
Mr. W.B.M. Tomesen
Voorzitter
Collegelid, plv. voorzitter
Directie
Drs. P.J.J. Frencken Directeur
Collegelid mr. M.W. McLaggan is eind 2012 na overleg met de voorzitter van het CBP door de staatssecretaris van Veiligheid en Justitie gevraagd een onderzoeksrapport te schrijven over de ontwikkelingen op het raakvlak van bescherming van persoonsgegevens en mededinging. De bescherming van persoonsgegevens in de private sector interfereert steeds vaker met mededingingsrecht en de vraag is welke consequenties dit heeft voor de betreffende wetgeving en het toezicht daarop. Mevrouw McLaggan was bereid op dit verzoek in te gaan en is voor de duur van het onderzoek ontheven van haar reguliere taken als lid van het college.
50
College en raad van advies
<
i
>
Raad van advies De raad van advies heeft tot taak het college te adviseren over de hoofdlijnen van het beleid van het CBP en andere algemene aspecten van de bescherming van persoonsgegevens. In 2012 waren de leden van de raad van advies:
Mevrouw drs. T.A. Maas-de Brouwer
De heer mr. A.A. Westerlaken
Voorzitter, lid raad van commissarissen van onder meer PEN,
Voorzitter raad van bestuur Maasstadziekenhuis
Schiphol Groep, Arbo Unie en Van Leer Group Foundation, voormalig senator PvdA
De heer mr. A. Wolfsen Burgemeester van Utrecht
De heer drs. H.G.M. Blocks Adviseur/bestuurder, oud-directeur Nederlandse Vereniging van
De heer drs. L.J. Wijngaarden
Banken
Beroepscommissaris, voorheen CEO Postbank en CEO Nationale Nederlanden
De heer H.W. Broeders Voorzitter directieraad Capgemini Nederland, lid dagelijks bestuur VNO-NCW Mevrouw H.C.J. van den Burg Commissaris ASML en APG, lid Monitoring Commissie Corporate Governance, voorheen lid Europees Parlement en federatiebestuur FNV De heer drs. B.R. Combée Directeur Consumentenbond De heer prof. mr. E.J. Dommering Emeritus hoogleraar informatierecht Universiteit van Amsterdam, lid Commissie Mensenrechten van de Adviesraad Internationale Vraagstukken Mevrouw prof. dr. H.M. Dupuis Lid van de Eerste Kamer voor de VVD, voorzitter van de brancheorganisatie Vereniging Gehandicaptenzorg Nederland, voorzitter van twee raden van toezicht in de gezondheidszorg, emeritus hoogleraar medische ethiek Universiteit Leiden De heer mr. T.H.J. Joustra Voorzitter Onderzoeksraad voor Veiligheid, voorheen Nationaal Coördinator Terrorismebestrijding De heer prof.mr. J. Legemaate Hoogleraar gezondheidsrecht, AMC/Universiteit van Amsterdam De heer mr. R.J. Manschot Oud-hoofdofficier van Justitie, oud-vicevoorzitter Eurojust De heer drs. L.J.E. Smits Algemeen directeur PBLQ
51
College en raad van advies
<
i
>
BIJLAGEN Wetgevingsadviezen 2012 Dit overzicht bevat de wetgevingsadviezen van 2012. Vrijwel alle adviezen vanaf 1996 kunt u raadplegen op de website www.cbpweb.nl. Adviezen uit de periode 1991-1996 zijn opgenomen in de bundel Persoonsgegevens beschermd, van WPR naar WBP, Den Haag, Sdu uitgevers 1999.
CBP onder werking Kaderwet ZBO
Registratie vrijstellingen leerplicht
12 januari 2012
7 mei 2012
z2011-00972
z2012-00269
Gegevensverwerking scheepvaart
Bewaren DNA-gegevens en vingerafdrukken
24 januari 2012
vrijgesprokenen
z2011-01003
10 mei 2012 z2012-00216
GBA-gegevens aan nieuwe pensioenuitvoerder 31 januari 2012
BSN bij belastingaftrek onderhoudsverplichtingen
z2012-00041
21 mei 2012 z2012-00267
Verstrekking adresgegevens UWV aan GBA 7 maart 2012
Openbaarmaking WOZ-waarde
z2012-00118
31 mei 2012 z2012-00245
Wijziging Paspoortwet 20 maart 2012
Opname mbo-examenresultaten in registers
z2012-00130
31 mei 2012 z2012-00295
Meldplicht datalekken en camerabeelden 22 maart 2012
Effectiever gebruik gegevens sociale zekerheid
z2011-00970
4 juni 2012 z2012-00237
Elektronische gegevensuitwisseling in de zorg 4 april 2012
Evaluatie en uitbreidingswet Bibob
z2012-00155
12 juni 2012 z2012-00263
Procesdossier minderjarige in rechtszaak 10 april 2012
Verplichte geestelijke gezondheidszorg
z2012-00087
16 juni 2012 z2012-00257
Invoering wietpas 20 april 2012
Invoering Europees sanctieregister wegvervoerders
z2012-00160
28 juni 2012 z2012-00340
Nieuwe taken gemeenten extramurale begeleiding 25 april 2012
Screening kinderopvang
z2012-00243
3 juli 2012 z2012-00412
Bestrijding koperdiefstal 1 mei 2012
Aanpassing enkele wetten aan Wet bpr
z2012-00294
4 juli 2012 z2012-00390
52 Bijlagen
<
i
>
Verstrekking justitiële gegevens aan uitkeringsinstanties
Wijziging Wet op de kansspelen
10 juli 2012
9 oktober 2012
z2012-00378
z2012-00669
Aanpak rijden onder invloed van drugs
Registratie BIG-nummer
12 juli 2012
10 oktober 2012
z2012-00376
z2012-00506
Aanpak ‘scheefwonen’ bij middeninkomens
Gegevensuitwisseling bij vergunningverlening, toezicht
24 juli 2012
en handhaving
z2012-00459
15 oktober 2012 z2012-00645
Verstrekken passagiersgegevens luchtvaart 31 juli 2012
BSN in register diergeneeskundigen 2 augustus 2012
Versterking presterend vermogen politie
z2012-00442
18 oktober 2012 z2012-00616
Beperken registratie dubbele nationaliteit 9 augustus 2012
Invoering middelentest bij geweld
z2012-00479
19 november 2012 z2012-00583
Kwaliteit (voortgezet) speciaal onderwijs 9 augustus 2012
Doorbreken medisch beroepsgeheim bij weigering tbs-
z2012-00472
onderzoek 4 december 2012
Instellingswet Autoriteit Consument en Markt
z2012-00824
16 augustus 2012 z2012-00495
Wet basisregistratie ondergrond 18 december 2012
Aanvulling aanpassingswet Bpr 22 augustus 2012 z2012-00579 Invoering flexibel cameratoezicht 29 augustus 2012 z2012-00485 Verzamelwet kinderopvang 2013 30 augustus 2012 z2012-00545 Bewaren en vernietigen niet-gevoegde stukken 2 oktober 2012 z2012-00615
53 Bijlagen
z2012-00836
<
Documenten in 2012 uitgebracht door de Artikel 29-werkgroep
i
>
Zienswijzen 2012
25 januari 2012 – Working Document 01/2012 on epSOS (WP 189)
Zienswijze inzake de toepassing van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking tot cloud computing diensten van een Amerikaanse leverancier
1 februari 2012 – Work programme 2012-2013 (WP 190)
10 september 2012
22 maart 2012 – Opinion 02/2012 on facial recognition in online and mobile services (WP 192)
Gedragscodes 2012
23 maart 2012 – Opinion 01/2012 on the data protection reform proposals (WP 191) 27 april 2012 – Opinion 03/2012 on developments in biometric technologies (WP 193) 6 juni 2012 – Working Document 02/2012 setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 195) 7 juni 2012 – Opinion 04/2012 on Cookie Consent Exemption (WP 194) 1 juli 2012 – Opinion 05/2012 on Cloud Computing (WP 196) 12 juli 2012 – Opinion 06/2012 on the draft Commission Decision on the measures applicable to the notification of personal data breaches under Directive 2002/58/EC on privacy and electronic communications (WP 197) 19 juli 2012 – Opinion 07/2012 on the level of protection of personal data in the Principality of Monaco (WP 198) 5 oktober 2012 – Opinion 08/2012 providing further input on the data protection reform discussions (WP 199) Deze documenten zijn te vinden op http://ec.europa. eu/justice/data-protection/article-29/documentation/ opinion-recommendation/index_en.htm
54 Bijlagen
Gedragscode Verwerking van Persoonsgegevens door Netbeheerders in het kader van Installatie en Beheer van Slimme Meters bij Kleinverbruikers De bekendmaking van het ontwerpbesluit is gepubli ceerd op 28 maart 2012, Staatscourant 2012, 6043. De gedragscode is goedgekeurd op 9 mei 2012, Staatscourant 2012, 9616.
< CONTACTGEGEVENS College Bescherming Persoonsgegevens Juliana van Stolberglaan 4-10 2595 CL Den Haag Postbus 93374 2509 AJ Den Haag T 070 8888 500 F 070 8888 501 Telefonisch spreekuur T 0900-2001 201 (5 cent per minuut) www.cbpweb.nl www.mijnprivacy.nl
