Daarnaast adviseert het CBP de regering over voorgenomen wetgeving die betrekking heeft op de verwerking van persoonsgegevens

Jaarverslag 2010

Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens. Door toenemende digitalisering en globalisering is het aantal gegevensverwerkingen explosief gegroeid. In dit licht is het des te belangrijker dat bedrijven en overheden persoonsgegevens van burgers slechts in overeenstemming met de wet verzamelen en gebruiken. Het College bescherming persoonsgegevens (CBP) houdt toezicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zo nodig met behulp van sancties. Daarnaast adviseert het CBP de regering over voorgenomen wetgeving die betrekking heeft op de verwerking van persoonsgegevens. Bij het uitvoeren en verantwoorden van zijn werkzaamheden heeft het CBP oog voor de maatschappelijke context van de aan hem voorgelegde vragen, problemen of klachten. In voorkomende aangelegenheden werkt het CBP samen met andere toezicht houders, zowel op nationaal als internationaal niveau.

Inhoud

Voorwoord 4 Inleiding 6 Activiteiten van het CBP

8

Registratie van etniciteit

8

Internet en telecom

10

Handel en diensten

12

Werk en inkomen

15

Vervoer

17

Gezondheidszorg

19

Politie en justitie

22

Openbaar bestuur

25

Jongeren en onderwijs

27

Internationaal

29

33

Algemene activiteiten

Agenda 2011

36

Organisatie 38 College en Raad van Advies

52

Bijlagen 54

Jaarverslag 2010 > inhoud

3

In bijna alle voor ons relevante nationale en internationale gremia wordt dezer jaren hard gewerkt aan vernieuwing en verbetering van de weten regelgeving op het terrein van de bescherming van persoonsgegevens. Het vorig jaar aangetreden kabinet komt nog dit jaar – in lijn met de voornemens van het vorige kabinet – met een vernieuwde Wet bescherming persoonsgegevens. De Europese Commissie, de Raad van Europa, de OECD en in de VS de Federal Trade Commission en het Departement of Commerce: alle zijn doende nieuwe inzichten over de bescherming van persoonsgegevens te vertalen in veranderingen in de bestaande praktijk of regelgeving. Al deze activiteiten hebben als belangrijkste motor de noodzaak om de bescherming van persoonsgegevens te herijken tegen de achtergrond van de ontwikkelingen in de technologie. Als gevolg van die ontwikkelingen laat immers bijna iedereen in het normale maatschappelijke verkeer dagelijks grote hoeveelheden digitale sporen achter. En de nijpende vraag is: hoe kan het fundamentele recht op bescherming van persoonsgegevens in de private én de publieke sector ’anno nu’ het beste worden gediend*?

Voor de beantwoording van die vraag is het goed om stil te staan bij de invloed die de drie beeldbepalende hoofdrolspelers op het bewerkstelligen van dat fundamentele recht kunnen of dienen te hebben: het individu, de organisatie die persoonsgegevens verzamelt of verwerkt (in het jargon ’de verantwoordelijke’ genoemd) en de toezichthouder.

Voorwoord

In het rechtstheoretische systeem van democratisch geregeerde landen komt het individu, de burger, in situaties waar zich keuzemogelijkheden voordoen de belangrijkste plaats toe: deze kan – althans in theorie – bepalen welke gegevens over hem of haar, waar, wanneer en waarom worden verwerkt. Als gevolg daarvan zijn in de Europese weten regelgeving op het terrein van de bescherming van persoonsgegevens allerhande waarborgen neergelegd opdat de burger inzicht en invloed krijgt én houdt op wat er met zijn of haar persoonsgegevens gebeurt (toestemming, recht op inzage, correctie en verzet). De bijna grenzeloze mogelijkheden die de technologie inmiddels biedt voor de opslag en verwerking van gegevens hebben gevolgen voor de rolverdeling tussen de burger en de verantwoordelijke bij de bescherming van persoonsgegevens. Stormachtige ontwikkelingen als cloud computing, behavioural advertising en profiling in de private en publieke sectoren leiden ertoe dat individuele burgers nauwelijks vat kunnen krijgen op wat wie, waar en waarom over hem weet (of denkt te weten!). Daarom dienen de verplichtingen die op de verantwoordelijke rusten om de beginselen uit de privacywet- en regelgeving na te leven in meer praktische zin versterkt te worden. Met andere woorden: ten gevolge van de technologische ontwikkelingen lijkt ‘geïnformeerde’ toestemming door een individu bijna een illusie te worden. Hieruit mag echter geenszins worden geconcludeerd dat ‘toestemming’ als grond voor gegevensverwerking kan worden afgeschreven. De juiste conclusie is wel dat de waarborgen die de verantwoordelijke ten behoeve van zorgvuldig gebruik van persoonsgegevens dient aan te brengen, moeten worden aangescherpt. Want mede ten gevolge daarvan kunnen consumenten – zowel individueel als collectief – en de toezichthouder aanzienlijk krachtiger een vinger aan de pols houden waar het de naleving van de beginselen van de bescherming van persoonsgegevens betreft. Ook kan daardoor het gat worden gedicht dat is ontstaan doordat het geven van ‘geïnformeerde toestemming’ bijna illusoir is geworden. Noodzakelijkheid, dataminimalisatie, doelbinding, beveiliging en transparantie vormen hiervoor tezamen de bepalende elementen. Om deze elementen ook in de praktijk op vertrouwenwekkende wijze tot hun recht te laten komen, zullen in de nieuwe weten regelgeving met elkaar samenhangende activiteiten bij de ontwikkeling en het op de markt brengen van nieuwe producten, diensten of wetgeving, zoals privacy by design, privacy impact assessment en accountability, al dan niet verplichtend voorgeschreven moeten worden. Om de naleving van het fundamentele recht op de bescherming van persoonsgegevens zoals neergelegd in het Verdrag van Lissabon ook overigens te bevorderen is er ten slotte een relevan-

4

Jaarverslag 2010 > voorwoord

te rol weggelegd voor de toezichthouder, het cbp – of beter verwoord: de Nederlandse dataautoriteit. Als de wetgever die autoriteit bij de komende wetswijziging niet versterkt door haar de middelen te verschaffen om de pakkans voor wetsovertreders te vergroten, verzuimt om haar een preventief werkende en dus vrij forse boetebevoegdheid te geven en verzuimt om haar te verplichten openbaar te rapporteren over alle bevindingen, is de kans groot dat naleving van het fundamentele recht op bescherming van persoonsgegevens een fictie wordt. Een toezichthouder moet tanden hebben, om deze vervolgens zo min mogelijk te hoeven gebruiken! Jacob Kohnstamm Voorzitter

* In een speech die Madeleine McLaggan, Collegelid, op 24 maart 2011 hield ter gelegenheid van het door de Vereniging Privacy Recht georganiseerde congres ‘Wbp in beweging- de toekomst van privacywetgeving’, gaat zij in op een selectie van principes die het fundament vormen van privacywetgeving en waarvan de invulling beïnvloed is en wordt door technologische ontwikkelingen. Hoe houdbaar zijn deze principes in het informatietijdperk en wat betekent dit voor de werkwijze en rol van het CBP als toezichthouder? Het gaat om de begrippen persoonsgegevens, transparantie, toestemming en doelbinding, toegespitst op derdenverstrekking. De speech is te downloaden via de site www.cbpweb.nl.

Jaarverslag 2010 > voorwoord

5

Het College bescherming persoonsgegevens (CBP) houdt toezicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zonodig met behulp van sancties. Zonder adequate bescherming en beveiliging van deze gegevens kan het fundamentele recht op bescherming van een ieders persoonlijke levenssfeer niet ten volle worden uitgeoefend. Door de toenemende digitalisering en globalisering wordt het woud van gegevensverwerkingen steeds ondoorzichtiger. Het is voor burgers niet meer mogelijk inzicht te hebben in al deze ver werkingen, laat staan daarvan het overzicht te behouden. Het CBP benadrukt daarom dat bedrijven en overheden nu aan zet zijn. Zij moeten kunnen aantonen dat zij de persoonsgegevens van hun klanten en van de burgers zorgvuldig en volgens de regels van de wet verzamelen en gebruiken.

Het cbp zet als toezichthouder een mix van benaderingen en acties in. Het uiteindelijke doel hiervan is naleving van de Wet bescherming persoonsgegevens (Wbp). In sommige gevallen is snel optreden nodig. Een voorbeeld daarvan vormden in 2010 de gesprekken met de burgemeesters van Ede en Enschede over de registratie van de etniciteit van Roma in hun gemeenten. In andere gevallen vergt het aanpakken van onrechtmatige verwerkingen van persoonsgegevens onderzoek, indien nodig gevolgd door een handhavingsfase. In 2010 is bijvoorbeeld de handhavende fase van het onderzoek naar de informatiebeveiliging van ziekenhuizen afgerond, nadat het laatste van de onderzochte ziekenhuizen onder last van dwangsom een nieuwe risicoanalyse heeft laten uitvoeren en daarmee alsnog aan de norm voor informatiebeveiliging in de zorgsector voldeed. Het onderzoek uit 2009 naar het via internetplatforms verzamelen van gevoelige gegevens van bezoekers van een website en het door verkopen van hun profielen is vorig jaar beëindigd nadat het betrokken bedrijf inzicht heeft gegeven in de herstelmaatregelen die het heeft getroffen.

Inleiding Voorwoord

Andere onderzoeken waarvan in dit jaarverslag melding wordt gemaakt betreffen onder meer de verwerking van persoonsgegevens van studenten met een ov-chipkaart, het koppelen van bestanden door de Sociale Inlichtingen en Opsporingsdienst en het invoeren van politie gegevens in het Europol Informatiesysteem. Naast de omvangrijke onderzoeken vinden jaarlijks vele onderzoeken en interventies plaats die minder aandacht trekken. Vaak gaan deze onder zoeken over (het verwijderen van) persoonsgegevens op internet. Het cbp bepaalt op basis van risicoanalyses waar het onderzoek naar doet. In welke sectoren lopen veel burgers een hoog risico om op ernstige en structurele overtredingen van de Wbp te stuiten? Om antwoord te krijgen op die vraag wordt mede gebruik gemaakt van de signalen die burgers aan het cbp geven via de website www.mijnprivacy.nl. Via deze site en via www.cbpweb.nl geeft het cbp van zijn kant burgers informatie opdat zij zelf in actie kunnen komen als zij menen dat hun persoonsgegevens onrechtmatig worden verwerkt. Daarnaast draagt het cbp in zijn adviezen over voorgenomen wetgeving eraan bij dat nog in de ontwerpfase van wetsvoorstellen bescherming van persoonsgegevens wordt gewaarborgd. In dit jaarverslag zijn verschillende voorbeelden opgenomen van wetsvoorstellen die naar aanleiding van de cbp-adviezen zijn aangepast met als doel het vermijden van privacyschendingen. Gegevensverwerkingen zijn steeds vaker grensoverschrijdend. Problemen die in Nederland spelen rond de bescherming van persoonsgegevens doen zich ook in andere landen voor. Vooral in de Artikel 29-werkgroep van Europese privacytoezichthouders wordt steeds intensiever samengewerkt door de nationale toezichthouders. Dit gebeurt bij het bepalen van een gezamenlijke strategie voor de toekomst van de eu-privacyrichtlijn en bij het overnemen van elkaars beoordelingen van zogeheten Binding Corporate Rules, maar ook bij gecoördineerd onderzoek bij grote partijen zoals Google.

6

Jaarverslag 2010 > inleiding

Het afgelopen jaar zijn ook initiatieven voor verdere internationale samenwerking genomen, zoals blijkt uit de oprichting van het Global Privacy Enforcement Network. Dit Jaarverslag 2010 is als pdf beschikbaar op de website www.cbpweb.nl. Op deze site en op www.mijnprivacy.nl is tevens meer informatie te vinden over de activiteiten van het College bescherming persoonsgegevens. Het cbp heeft tevens een beknopte versie van het jaarverslag, Het cbp in 2010, in druk uitgebracht. Die publicatie behandelt een selectie van de onderzoeken en wetgevingsadviezen van het cbp in 2010. Deze uitgave is eveneens te downloaden via www.cbpweb.nl.

Jaarverslag 2010 > inleiding

7

Registratie van etnische persoonsgegevens is verboden, enkele in de Wbp specifiek omschreven uitzonderingen daargelaten. Goede bedoelingen, zoals het uitvoeren van beleid ten behoeve van groepen in de samenleving die extra aandacht vragen, zijn niet voldoende als grondslag voor registratie. Het CBP ziet scherp toe op naleving van

Registratie van etniciteit

een van de kernbepalingen van de wet. Spoedactie CBP tegen registratie van de etniciteit van Roma

op toe te zullen zien dat gemeenteambtenaren in de praktijk niet

Registratie van etnische persoonsgegevens is in beginsel ver

toch etnische gegevens van Roma bijhouden. De burgemeester

boden. Op het verbod zijn enkele in de Wbp omschreven uit

van Ede heeft laten weten enkele feiten na te gaan en het CBP op

zonderingen mogelijk. Indien organisaties etnische gegevens

korte termijn te informeren met als uitgangspunt dat de gemeen

willen registreren om bepaalde maatschappelijke problemen aan

te hoe dan ook de wet zal naleven.

te pakken, dan zullen zij aan de strenge criteria van de uitzon deringsgronden in de wet moeten voldoen. De uitzonderingen

Onderzoek naar de verwerking van gegevens betreffende ras/

op het verbod van registratie van etnische gegevens gelden

etniciteit in Charlois

voor enkele zeer specifieke doeleinden (zoals voorkeursbeleid).

De deelgemeente Charlois in Rotterdam verwerkt structureel

Daarnaast bepaalt de wet dat registratie van etniciteit toegestaan

gegevens betreffende ras/etniciteit ten behoeve van een speci

kan zijn als deze noodzakelijk is met het oog op een zwaarwegend

fieke aanpak van risicojongeren uit minderheidsgroepen terwijl

algemeen belang. In dat laatste geval is vereist dat de mogelijk

de deelgemeente niet kan aantonen dat deze aanpak geschikt

heid tot registratie van etnische gegevens óf uitdrukkelijk wordt

is om de achterstand van de jongeren te verminderen of op te

geregeld in een wet óf dat het CBP voor het specifieke geval

heffen. Charlois kan daardoor geen beroep doen op de uitzon

ontheffing heeft verleend. In alle gevallen moet eerst de vraag

deringen die de wetgever maakt op het verbod van registratie

worden beantwoord of het probleem niet met andere, minder

van etniciteit. Het CBP heeft na onderzoek geconcludeerd dat

ingrijpende, middelen te bestrijden is.

Charlois in strijd met de Wbp handelt. Het heeft begin februari 2011 de deelgemeente een last onder dwangsom opgelegd en

In september 2010 verschenen berichten in de pers dat de

Charlois gesommeerd binnen drie dagen te stoppen met het

gemeenten Ede en Enschede de etniciteit van Roma registreer

verwerken van gegevens betreffende ras/etniciteit en de al gere

den. Het CBP zag in de berichtgeving aanleiding om met spoed

gistreerde gegevens binnen drie maanden uit het systeem DOSA

contact op te nemen met de burgemeesters van beide gemeenten

(Deelgemeentelijk Overleg Sluitende Aanpak) te verwijderen.

en met hen een indringend gesprek te voeren. De burgemeester van Enschede heeft verklaard dat de gemeente begin 2010 een

Het CBP concludeerde in 2010 na onderzoek dat de wijze waarop

projectvoorstel heeft opgesteld dat inhield dat persoonsgege

Charlois etniciteit registreert in het kader van DOSA strijdig is met

vens van Roma zouden worden vastgelegd. Gaandeweg heeft

de wet. Naar aanleiding van het onderzoek heeft de deelgemeen

de gemeente echter besloten af te zien van uitvoering van het

te een aantal maatregelen in haar werkwijze doorgevoerd – zoals

project en daarmee tevens van het vastleggen van gegevens van

de mogelijkheid voor de betrokkene om bezwaar te maken tegen

Roma. De burgemeester heeft het CBP toegezegd er uitdrukkelijk

registratie van het geboorteland – en deze in een hoorzitting

8

Jaarverslag 2010 > activiteiten van het cbp

mondeling toegelicht. De getroffen maatregelen zijn echter naar het oordeel van het CBP onvoldoende om de geconstateerde onrechtmatigheden op te heffen. Het registreren van etniciteit is in de Wbp verboden. Op dit verbod is in een beperkt aantal gevallen een uitzondering mogelijk. Voor een beroep op de uitzonderingsgrond ‘verwezenlijking van voor keursbeleid’ moet aan een aantal randvoorwaarden zijn voldaan. Zo moet onder meer de achterstand duidelijk aantoonbaar zijn aan de hand van bijvoorbeeld statistische gegevens en moet de voorkeursbehandeling geschikt zijn om het beoogde doel te ver wezenlijken. Charlois heeft weliswaar aangetoond dat er sprake is van een achterstand bij Antilliaanse en Marokkaanse risicojonge ren, maar beschikt niet over gegevens waaruit blijkt dat de in het kader van DOSA ontwikkelde specifieke behandelprogramma’s geschikt zijn om de achterstand ongedaan te maken. Het CBP con cludeert dan ook dat er geen sprake kan zijn van een voorkeurs beleid. Ook op de andere wettelijke uitzonderingen op het verbod van registratie van etniciteit kan Charlois geen beroep doen. Charlois heeft begin maart 2011 bezwaar gemaakt tegen het dwangsombesluit.

Jaarverslag 2010 > registratie van etniciteit

9

De publicatie van persoonsgegevens op internet kan voor de betrokkene ingrijpende en zeer schadelijke gevolgen hebben. Voortschrijdende technologie maakt het in toenemende mate mogelijk gedrag van burgers, ook op internet, te volgen. Bedrijven en instellingen informeren de betrokkenen hierover onvoldoende. Google

maties verstuurd en binnen achtenveertig uur was het bestand

Het CBP is in 2010 gestart met onderzoek naar het verzamelen

van zes van de zeven websites verwijderd. Hoewel het niet moge

en verwerken van gegevens met betrekking tot wifi-netwerken

lijk is om een eenmaal via internet verspreid bestand voorgoed

in Nederland met Street View auto’s door Google. Vergelijkbaar

van internet te verwijderen, hebben de acties van het CBP er toe

onderzoek vindt ook in andere landen plaats. Nederland werkt in

geleid dat de links vanuit nieuwsmedia onbruikbaar werden en

dit verband samen met andere privacytoezichthouders.

dat het bestand daardoor aanzienlijk moeilijker vindbaar werd.

Internet en telecom

Het bedrijf heeft (niet alleen in Nederland, maar wereldwijd) wifigegevens verzameld tijdens het maken van foto’s ten behoeve

Behavioural advertising

van zijn dienst Street View. Met deze dienst publiceert Google

De Europese toezichthouders hebben in mei 2010 een opinie

foto’s van huizen, straten en pleinen op het internet. De auto’s die

gepubliceerd.over de toepassing van de nieuwe EU-regels voor

hiervoor worden ingezet zijn uitgerust met camera’s om panora

elektronische privacy op online behavioural advertising. Het CBP

mische foto’s te kunnen maken.

heeft een aanzienlijke bijdrage geleverd aan de totstandkoming daarvan.

De auto’s waren tevens voorzien van een antenne en bijbeho rende apparatuur en programmatuur om signalen op te vangen

In de opinie wordt geconstateerd dat hoewel online behavioural

van draadloos internetverkeer. Bij het verzamelen van gegevens

advertising voordeel kan opleveren voor zowel het online bedrijfs

over wifi-netwerken zijn niet alleen gegevens over (het bestaan

leven als voor de gebruikers, de implicaties voor de bescherming

van) wifi-routers verzameld, maar is ook de inhoud van commu

van persoonsgegevens en de privacy aanzienlijk zijn. De priva

nicatie via onbeveiligde wifi-netwerken opgenomen en bewaard.

cytoezichthouders

Het CBP is in 2010 een onderzoek gestart naar de rechtmatigheid

het gebruik van cookies gebonden zijn aan de herziene ePrivacy

hiervan.

Richtlijn. Deze richtlijn introduceert de verplichting tot het ver

wijzen erop dat advertentienetwerken bij

krijgen van ondubbelzinnige, geïnformeerde toestemming van Interventie CBP bij onrechtmatige publicatie op internet

de gebruikers voordat volginstrumenten (tracking devices) zoals

Op verzoek van de minister van Justitie en de Nationale

cookies op de computers van de gebruikers worden geïnstalleerd.

Coördinator Terrorismebestrijding is het CBP opgetreden tegen

Advertentienetwerken en websitehouders moeten de bezoekers

diverse websites waarop een bestand werd gepubliceerd met

samen informeren. Met name de browserontwikkelaars heb

allerlei persoonsgegevens van medewerkers van de Landelijke

ben de plicht de bezoekers te informeren over het gebruik van

Bijzondere Bijstandseenheden, een dienst die onder andere wordt

third party cookies.. De Europese privacytoezichthouders hebben

ingezet om eventuele onrust in gevangenissen te bestrijden.

browserontwikkelaars opgeroepen om ervoor te zorgen dat third

Binnen vierentwintig uur na het verzoek had het CBP zeven som

party cookies standaard worden geweigerd of weggegooid.

10


Telecommunicatiewet

Het wetsvoorstel vereist voorts voorafgaande, geïnformeerde

Het CBP heeft de minister van Economische Zaken (EZ) geadviseerd

toestemming voor de plaatsing van en de toegang tot cookies.

over de voorgestelde wijziging van de Telecommunicatiewet. Een

Deze eis komt voort uit de EU-Bijzondere Privacyrichtlijn.

van de door het CBP gesignaleerde problemen betreft de inrich

Ter implementatie hiervan wordt een specifieke plicht in de

ting van twee meldplichten. De meldplichten die het wetsvoorstel

Telecommunicatiewet neergelegd. Daarnaast blijven de algemene

introduceert zijn: een voor inbreuken in verband met persoonsge

eisen van voorafgaande toestemming en de informatieplicht die

gevens, die bij OPTA zal worden belegd en een voor inbreuken op

zijn neergelegd in de Wbp onverkort gelden. Het gebruik van

de veiligheid en verliezen van netwerkintegriteit, die zal worden

cookies zal zodoende binnen het toezichtsveld van zowel OPTA

belegd bij EZ. De meldingen worden bij hetzelfde centraal punt

als CBP vallen. Er moeten voorzieningen worden getroffen om de

gedaan. Deze wijze van beleggen staat op gespannen voet met

nadelen van dergelijk dubbel toezicht te beperken.

de eis – zoals het Europees Hof van Justitie heeft bepaald - dat

De Raad van State nam de kritiek over van het CBP dat het begrip

de autoriteiten die belast zijn met het toezicht op het verwerken

toestemming goed uitgewerkt moet worden en dat toestemming

van persoonsgegevens hun taken in volledige onafhankelijkheid

niet via browsers kan worden verkregen die standaard alle cookies

moeten kunnen vervullen. Er ontstaan onder meer complicaties in

accepteren.

verband met het feit dat in de praktijk inbreuken op de veiligheid en verlies van integriteit nagenoeg altijd gepaard zullen gaan met

Na het uitbrengen van het CBP-advies medio juni 2010 is het wets

het vrijkomen van persoonsgegevens. De verspreide belegging

voorstel ingrijpend gewijzigd. Naar aanleiding van reacties uit de

van de meldplicht en het toezicht dragen voorts het risico van

markt is het woord ‘ondubbelzinnig’ geschrapt bij de toestemming

verhoging van administratieve lasten, inconsistente of inefficiënte

die nodig is voor het plaatsen en uitlezen van cookies. In een brief

uitvoering en toename van de toezichtsdruk.

van 14 maart 2011 heeft het CBP de leden van de Vaste commissie voor Economische Zaken, Landbouw en Innovatie van de Tweede

Een ander punt van kritiek betreft het feit dat gekozen is voor een

Kamer opgeroepen de oorspronkelijke tekst van het wetsvoorstel

‘smalle’ meldplicht die alleen zal gelden voor telefoon- en inter

te herstellen. Dat wil zeggen dat duidelijk dient te zijn dat toe

nettoegangsaanbieders. Het CBP blijft pleiten voor een ‘brede’

stemming ondubbelzinnig dient te zijn.

meldplicht die geldt voor alle bedrijven en overheidsdiensten. Het doel van de meldplicht is om burgers te beschermen tegen gevaren zoals identiteitsfraude, financiële verliezen, gemiste kan sen in zaken of beroepsontwikkeling. Dat doel wordt niet bereikt als de meldplicht alleen van toepassing is op de kleine groep ver antwoordelijken die openbare telecommunicatiediensten levert.

Jaarverslag 2010 > internet en telecom

11

De persoonsgegevens van de gemiddelde burger komen voor in duizenden bestanden. De toenemende digitalisering maakt het voor burgers nagenoeg onmogelijk op de hoogte te blijven van alle verwerkingen van hun persoonsgegevens. Gegeven de steeds ingewikkelder techniek is het is voor hen dan ook praktisch onmogelijk om hun rechten op inzage, correctie en verwijdering te kunnen uitoefenen. Het CBP benadrukt dat het aan bedrijven en overheden is om goede informatie te verstrekken en om aan te tonen dat zij de persoonsgegevens van hun klanten en burgers zorgvuldig en volgens de regels van de wet verzamelen en gebruiken. Energiemeters

meetinrichtingen. Deze meetinrichtingen, of ze nu in Nederland of

Over het wetsvoorstel dat de invoering regelt van op afstand uit

elders worden gemaakt, moeten voldoen aan de beveiligingseisen

leesbare energiemeters en de bijbehorende novelle heeft het CBP

die de Wet bescherming persoonsgegevens stelt. Ook op dit punt

meerdere malen geadviseerd. Eén van de belangrijkste punten

is inmiddels in de toelichting ingegaan.

betrof de informatieplicht: de consument moet zodanig worden geïnformeerd dat hij op een behoorlijke manier keuzes kan maken

Handel en diensten

over (de frequentie van) de uitleesbaarheid van zijn energiemeter. Voor het voortdurend of zeer frequent aflezen van zijn energiever

Gebruik BSN in financiële sector

bruik moet de afnemer van energie ondubbelzinnig toestemming

Het CBP heeft de minister van Financiën geadviseerd over een

geven. Onder meer op basis van die adviezen is het wetsvoorstel

wetsvoorstel dat, ter voorkoming van witwassen en het financie

aangepast.

ren van terrorisme, regelt dat onder meer banken en verzekeraars gebruik moeten kunnen maken van het burgerservicenummer

Vervolgens heeft het CBP de minister in oktober 2010 geadviseerd

(BSN) om de identiteit van hun klanten beter te kunnen verifiëren.

het conceptbesluit ook zo aan te passen, dat duidelijk is dat het

Het wetsvoorstel betreft iedereen in Nederland met een bankre

standaard (per kwartier) registreren en bewaren van het actuele

kening, dus een zeer grote groep mensen. Het CBP heeft dan ook

vermogen en de actuele meterstanden, laat staan het verzenden

geadviseerd in de memorie van toelichting bij het wetsvoorstel

van in- en uitkomende berichten over het actuele vermogen en

een privacyparagraaf op te nemen waarin de noodzaak van het

de actuele meterstanden, alleen op basis van toestemming van de

verwerken van het BSN wordt gemotiveerd en aandacht wordt

consument kan plaatsvinden.

besteed aan de waarborgen die zijn getroffen tegen aantasting van de persoonlijke levenssfeer van de betrokkenen. Daarnaast

Uit de hernieuwde adviesaanvraag van het ministerie van novem

heeft het CBP geadviseerd af te zien van het artikel dat de uitwis

ber 2010 blijkt dat aan dit punt in de toelichting bij het besluit

seling regelt van gegevens met instellingen zoals het landelijk

expliciet aandacht is besteed.

Informatiesysteem Schulden en het Bureau kredietregistratie,

Ook heeft het CBP verzocht om in het conceptbesluit op te nemen

waarbij het BSN of het sofinummer kan worden gebruikt.

dat de beveiligingsmaatregelen tegen fraude met, misbruik van of inbreuk op de meetinrichtingen ook betrekking moeten hebben op de persoonsgegevens die worden verwerkt door middel van

12


Gedragscodes Het CBP is ervan overtuigd dat zelfregulering een effectieve bijdrage kan leveren aan het realiseren van het grondrecht op bescherming van de persoonlijke levenssfeer. Het is dan ook meestal bereid sectorale gedragscodes te ondersteunen. Het toetst de gedragscode aan artikel 25 Wbp. Daarbij gaat het onder meer om de juiste uitwerking van de wet, een nauwkeurige omschrijving van de sector, de representativiteit van de organisatie die de gedragscode opstelt en de waarborgen voor onafhankelijkheid bij de beslechting van geschillen. In april 2010 heeft het CBP voor de periode van vijf jaar een goedkeurende verklaring afgegeven voor de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. De code is opgesteld door de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Naar aanleiding van het ontwerp goedkeuringsbesluit uit juli 2009 zijn vijf zienswijzen ingediend. Bij de beoordeling van de gedragscode is onder meer het inzagerecht van betrokkenen aan de orde geweest. Op 26 april 2010 heeft het CBP de Nefarma-gedragscode inzake het verwerken van persoonsgegevens voor een periode van vijf jaar goedge keurd. De code geeft specifieke normen voor de verwerking van persoonsgegevens binnen de farmaceutische bedrijfstak inzake de verwerking van een viertal categorieën gegevens,namelijk in het kader van geneesmiddelenonderzoek algemeen, gegevens van onderzoekers, gegevens van gebruikers van geneesmiddelen en gegevens van artsen, apothekers en andere relaties (zoals inkopers in de gezondheidszorg). De Gedragscode inzake het verwerken van persoonsgegevens voor onderzoek en statistiek is door het CBP op 21 juni 2010 voor vijf jaar goedgekeurd. De gedragscode is opgesteld door de Vereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en de Marktonderzoeksassociatie. Deze organisaties hebben gemeen dat hun rapportage over onderzoek dat zij uitvoeren, gebeurt op een nietindividueel herleidbare wijze.

Controle op rechtspersonen

Binding Corporate Rules

Het systeem van preventieve controle op rechtspersonen van

Multinationals kunnen intern bindende gedragscodes, Binding

de Wet documentatie vennootschappen wordt vervangen door

Corporate Rules (BCR’s), opstellen voor de doorgifte van persoons

een systeem van permanente en risicogestuurde screening van

gegevens aan landen buiten de Europese Unie. Met de BCR’s is het

rechtspersonen. De nieuwe Wet controle op rechtspersonen

mogelijk om de bescherming van persoonsgegevens binnen een

breidt tevens de groep rechtspersonen op wie dit systeem van

organisatie met vestigingen buiten de Europese Unie te veranke

toepassing is uit. Over het voorstel voor de Wet controle op rechts

ren. De BCR’s kunnen worden ingepast in de bestaande werkpro

personen heeft het CBP eerder twee adviezen uitgebracht. Over

cessen en managementstructuren en zijn een flexibele oplossing

het ontwerpbesluit tot uitvoering van de nieuwe wet, dat voorna

voor doorgifte van persoonsgegevens binnen een multinational.

melijk een inhoudelijke invulling bevat van de in de wet geregelde informatiebetrekkingen, heeft het CBP in 2010 een advies uitge

Negentien Europese privacytoezichthouders hebben inmiddels

bracht aan de minister van Justitie, inhoudende dat het ontwerp

afgesproken om tot wederzijdse erkenning over te gaan van

besluit op een aantal onderdelen moet worden aangepast.

elkaars beoordelingen van de BCR’s. De afspraak houdt in dat andere privacytoezichthouders de analyse van de leidende toe

De wet beoogt door middel van doorlopende controle het voor

zichthouder - de ‘lead DPA’ - overnemen van een BCR die moet

komen en bestrijden van misbruik van rechtspersonen – zoals de

worden goedgekeurd. Hiermee wordt de procedure voor goed

financiering van terrorisme, het witwassen of faillissementsfraude

keuring van de BCR’s voor bedrijven aanzienlijk versneld. In 2010 is

– te verbeteren. De kring van personen over wie gegevens kunnen

met actieve inzet van het CBP met succes gewerkt aan het verder

worden geregistreerd, is vrij ruim: ook familieleden en partners

versnellen en stroomlijnen van deze procedure. Aan het eind van

kunnen worden gescreend. In zijn eerdere adviezen heeft het CBP,

2010 was het CBP lead DPA voor drie BCR’s.

evenals de Raad van State, aangegeven dat screeningsmethoden als heimelijke waarneming een verregaande inbreuk maken op de persoonlijke levenssfeer van de betrokkenen. In zijn advies over het ontwerpbesluit heeft het CBP nogmaals benadrukt dat alle betrokkenen, ook degenen die niet worden geconfronteerd met strafrechtelijke vervolging, achteraf dienen te worden geïnfor meerd over de screening.

Jaarverslag 2010 > handel en diensten

13

Zwarte lijsten Diverse bedrijfstakken worden regelmatig geconfronteerd met structurele of ernstige vormen van overlast en criminaliteit. Dit wordt strafrechte lijk aangepakt, maar bedrijven werken daarnaast in toenemende mate samen om de veiligheid van hun klanten, personeel en bedrijfsmiddelen te beschermen. Vaak vervullen brancheorganisaties hierbij een voortrekkersrol. Een belangrijk middel in dit kader zijn zogeheten 'zwarte lijsten' of waarschuwingsregisters. Daarmee kunnen gegevens over overlastplegers en criminelen worden geregistreerd en uitgewisseld met deelne mende bedrijven. Gedurende een bepaalde periode kunnen bedrijven of instellingen het register raadplegen als een persoon zich bij hen meldt. Hiermee wordt beoogd te voorkomen dat het overlastgevende of criminele gedrag opnieuw tot schade of slachtoffers leidt. Omdat plaatsing op een zwarte lijst diep kan ingrijpen in de persoonlijke levenssfeer van een geregistreerde persoon, is de verantwoordelijke verplicht een zwarte lijst vooraf te melden bij het CBP, dus al bij het voornemen een zwarte lijst aan te leggen. Indien op de lijst strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag geplaatst worden met de bedoeling deze informatie uit te wisselen met anderen stelt het CBP doorgaans een zogeheten voorafgaand onderzoek in. Als het CBP voldoende transparante en effectieve waarborgen aantreft waar door de belangen van zowel het bedrijfsleven als van de geregistreerde persoon op een zorgvuldige wijze worden afgewogen, besluit het CBP tot het afgeven van een zogeheten 'rechtmatigheidsverklaring'. Het CBP heeft in 2010 een rechtmatigheidsverklaring afgegeven voor drie zwarte lijsten, van de Vereniging van Particuliere Beveiligingsorganisaties, het Hotel Security Management (hotels in en rond Amsterdam) en de Stichting Ondernemersfederatie Rotterdam City (bioscoopontzeggingen).

14


Of het nu gaat om het koppelen van bestanden met het oog op fraudebestrijding in de sociale zekerheid, het uitwisselen van gegevens bij samenwerking tussen instanties in de keten werk en inkomen of het verstrekken van persoonsgegevens door arbodiensten aan werkgevers, alle verwerkingen van persoonsgegevens bergen voor werknemers en uitkeringsgerechtigden risico's in zich. De verwerkingen moeten dus volledig in overeen stemming met de eisen van de Wbp plaatsvinden. Bestandskoppeling door de SIOD

strijding daarover binnen twee maanden inlichten. Hiervoor geldt

Het koppelen van bestanden met als doel fraude in de sociale

een dwangsom van €50.000.

zekerheid op te sporen en te bestrijden is alleen toegestaan als het Arbodiensten

kan namelijk een aantasting vormen van de persoonlijke levens

In 2010 heeft het CBP een vervolgonderzoek uitgevoerd naar de

sfeer van burgers die een uitkering ontvangen. Fraudebestrijding

werkwijze van arbodiensten. Twee van de drie onderzochte arbo

mag niet leiden tot een disproportionele inbreuk op de persoonlij

diensten handelden in strijd met de wet door medische gegevens

ke levenssfeer van deze burgers. Er moet evenwicht zijn tussen het

van zieke werknemers te verstrekken aan hun werkgevers terwijl

belang van fraudebestrijding en het belang van bescherming van

deze gegevens onder het medisch beroepsgeheim vallen. Na

de persoonlijke levenssfeer. Voorkomen moet worden dat burgers

hoorzittingen met de betrokken arbodiensten naar aanleiding

die een uitkering aanvragen of ontvangen, worden behandeld als

van de onderzoeksbevindingen heeft het CBP afgezien van verder

potentiële fraudeurs die onbeperkt mogen worden gecontroleerd.

handhavend optreden omdat de arbodiensten inmiddels maatre

Onderzoek van het CBP naar de bestandskoppeling en de ont

gelen hebben getroffen waardoor de verstrekking van medische

wikkeling van risicoprofielen door de Sociale Inlichtingen en

gegevens niet langer in strijd met het medisch beroepsgeheim

Opsporingsdienst (SIOD) in het kader van bestrijding van fraude

en de Wbp plaatsvindt. De arbodiensten hebben onder meer hun

in de sociale zekerheid toont aan dat de SIOD in strijd heeft

werkwijze zodanig aangepast dat medische gegevens niet zonder

gehandeld met de wet. Zij heeft de betrokken personen niet geïn

uitdrukkelijke toestemming van de werknemer aan de werkgever

formeerd over de verwerking van hun persoonsgegevens en de

worden verstrekt.

persoonsgegevens langer bewaard dan noodzakelijk is voor het doel. Tevens heeft de SIOD geen beveiligingsplan opgesteld en

Gegevensuitwisseling in de keten werk en inkomen

evenmin beveiligingsmaatregelen aantoonbaar vastgelegd.

De wet Structuur Uitvoering Werk en Inkomen (SUWI) beschrijft de taken en verantwoordelijkheden van de verschillende partijen die

Op 17 maart 2011 heeft het CBP bekendgemaakt dat het naar

werkzaam zijn op het terrein van werk en inkomen. Het CBP heeft

aanleiding van deze conclusies de SIOD gelast om binnen twee

advies uitgebracht over twee voorgestelde wijzigingen van het

maanden alle gegevens die niet meer noodzakelijk zijn voor het

bijbehorende Besluit SUWI.

doel van de verwerking te verwijderen, op straffe van een dwang som van € 100.000. Ook moet de SIOD alle betrokkenen van wie

De eerste wijziging maakt gegevensuitwisselingen ook mogelijk

persoonsgegevens worden gekoppeld in het kader van fraudebe

met betrekking tot zorgindicaties en tot voortijdige schoolverla

Jaarverslag 2010 > werk en inkomen

15

Werk en inkomen

in overeenstemming met de Wbp gebeurt. De bestandskoppeling

ters. Om helderheid te scheppen in het bredere wettelijke kader waarin de nu voorgestelde wijzigingen vallen heeft het CBP aan bevolen om in de toelichting aandacht aan te besteden aan de achtergrond van het ontwerpbesluit. Ook zou duidelijk moeten worden gemaakt waarom de gegevensuitwisseling noodzakelijk is voor het beoogde doel en dient specifiek en ondubbelzinnig te worden omschreven om welke gegevensuitwisseling het gaat. Ook de taken en bevoegdheden van de betrokken partijen en de rechten en plichten die daaruit voortvloeien dienen helder te zijn omschreven, om het risico van verschuivende juridische rollen te vermijden. Het doel van het tweede ontwerpbesluit was enerzijds om het proces waarin de geïntegreerde dienstverlening door gemeen ten en UWV op de zogeheten werkpleinen tot stand komt (bij) te sturen. Anderzijds moet het voor de ketenpartners en bur gers inzichtelijk maken welke taken op die werkpleinen worden uitgevoerd en wie waarvoor verantwoordelijk is. Het CBP heeft geadviseerd om duidelijk aan te geven welke vorm van gezamen lijke verantwoordelijkheid voor de gegevensverwerkingen door UWV en gemeenten van toepassing is en om meer aandacht te besteden aan de beveiliging van de persoonsgegevens. Dit advies is opgevolgd.

16


Gegegevens over het reisgedrag van mensen, maar ook kilometerstanden van auto’s en ontzeggingen uit de vaarbevoegdheid zijn persoonsgegevens. Als deze gegevens worden geregistreerd, dient steeds duidelijk te zijn waarom dat gebeurt en welke waarborgen zijn getroffen om de persoonlijke levenssfeer te beschermen. De OV-chipkaart

zaak reisgegevens van studenten die in- en uitchecken en dat is in

De OV-chipkaart blijft de gemoederen bezighouden en is ook in

strijd met de wet.

de jaarverslagen van het CBP een terugkerend onderzoeksobject. In vervolg op eerdere onderzoeken naar de OV-chipkaart heeft het

Met de bekendmaking van de onderzoeksbevindingen in decem

CBP in 2010 onderzoek gedaan naar de verwerking van persoons

ber 2010 is de onderzoeksfase afgesloten, waarna de handha

gegevens bij het in- en uitchecken met de studenten OV-chipkaart

vende fase van start is gegaan.

bij vier bedrijven: drie grote vervoerbedrijven en de uitgever van de OV-chipkaart. Het onderzoek is gestart nadat een aantal

Tellerstanden auto's

studenten met klachten over het studenten OV-chipkaartsysteem

Met het invoeren van een verbod om tellerstanden te wijzigen,

zich tot het CBP had gewend.

tenzij daarvoor een erkenning is afgegeven, beoogde de minister van Verkeer en Waterstaat fraude met kilometerstanden in per

Het Amsterdamse vervoerbedrijf GVB, het Rotterdamse vervoer

sonen- en bedrijfsauto's tegen te gaan. Fraude met tellerstanden

bedrijf RET en kaartuitgever Trans Link Systems (TLS) bewaren her

heeft onder meer gevolgen voor de waardebepaling van de auto.

leidbare reisgegevens langer dan noodzakelijk en blijken niet te

Tellerstanden zijn persoonsgegevens en worden opgenomen in

beschikken over een verantwoord beleid voor bewaartermijnen.

het kentekenregister. In zijn advies over het betreffende wetsvoor

Het is niet de eerste keer dat het CBP heeft gewezen op de wet

stel heeft het CBP onder meer aandacht gevraagd voor de noodza

telijke eisen met betrekking tot bewaartermijnen in het kader van

kelijke wijziging van het kentekenreglement en opheldering over

de OV-chipkaart. Al in 2005, nog vóórdat het OV-chipkaartsysteem

de rol van de Stichting Nationale Autopas. Die krijgt het recht op

in de lucht was, heeft het CBP gewaarschuwd dat OV-bedrijven

gebruik van de door de Dienst Wegverkeer beheerde data en dus

voorzieningen moeten treffen om onnodige verwerkingen van

over de persoonsgegevens van eigenaren van auto's.

persoonsgegevens en misbruik te voorkomen. Een van die voor Het Rijbewijzenregister en het alcoholslotprogramma

worden vernietigd op het moment dat zij niet meer noodzakelijk

Zware alcoholovertreders in het verkeer kunnen worden verplicht

zijn voor het gestelde doel. Nu blijkt – sinds de inwerkingtreding

een alcoholslot als startonderbreker in hun auto te laten inbou

van de OV-chipkaart in januari en augustus 2009 – dat de bedrij

wen en deel te nemen aan een educatief begeleidingsprogramma.

ven hiervan geen werk hebben gemaakt waardoor zij de Wbp

Zij krijgen ook tijdelijk een speciaal rijbewijs met beperkende

overtreden.

code. In het rijbewijzenregister worden gegevens opgenomen

Het onderzoek bij het vervoerbedrijf NS wees tevens uit dat het

die van belang zijn voor de politie en voor gemeenten bij het

studenten niet goed informeert over het in- en uitchecken met

aanvragen van een nieuw rijbewijs. Het CBP heeft de minister van

een studenten OV-chipkaart. NS verwerkte daardoor zonder nood

Verkeer en Waterstaat geadviseerd over de daartoe benodigde

Jaarverslag 2010 > vervoer

17

Vervoer

zieningen bestaat eruit dat bedrijven ervoor zorgen dat gegevens

wijzigingen in het Reglement rijbewijzen en heeft specifiek aan

Het CBP gaat er vanuit dat de belastingschuldige zelf bij de eerste

dacht gevraagd voor de bewaartermijn van de daarin opgeslagen

aanvraag tot kwijtschelding van de waterschapsbelasting moet

gegevens. Het moet duidelijk zijn waarom, en voor welke gege

aangeven dat hij gebruik wil maken van de geautomatiseerde

vens, een bewaartermijn van tien jaar na beëindiging van het

kwijtscheldingsmogelijkheid. Is dat het geval, dan heeft het CBP

alcoholslotprogramma gerechtvaardigd is, en wie en voor welke

geen aanleiding tot het maken van inhoudelijke opmerkingen

doeleinden toegang hebben tot de gegevens. Het advies van het CBP is opgevolgd.

Vaarbewijzen Om tegemoet te komen aan toenemende maatschappelijke

Automatische kwijtschelding waterschapsbelasting

onvrede over verkeerd en riskant vaargedrag wil de minister van

Het kwijtschelden van waterschapsbelasting zou geautomatiseerd

Verkeer en Waterstaat een register inrichten van ontzeggingen

moeten kunnen plaatsvinden, om te voorkomen dat herhaalde

van de vaarbevoegdheid, van ongeldig verklaarde vaarbewijzen

aanvragers van kwijtschelding bij het waterschap informatie moe

en van intrekkingen van vrijstellingen en ontheffingen. Dit regis

ten overleggen die al in de administraties van bepaalde bestuurs

ter dient om handhavers hierover te informeren. Omdat het gaat

organen aanwezig is. Het voorstel is gedaan door de minister

om het ter beschikking stellen van bijzondere (strafrechtelijke)

van Verkeer en Waterstaat, mede namens de minister van Sociale

persoonsgegevens is het CBP van oordeel dat expliciet moet

Zaken en Werkgelegenheid. Het CBP heeft over de voorgestelde

worden gemotiveerd wat het zwaarwegend algemeen belang is

wijziging van het Waterschapsbesluit geadviseerd.

daarvan. Ook moet duidelijk worden gemaakt welke waarborgen zijn opgenomen om de persoonlijke levenssfeer van de betrok

Om te kunnen beoordelen of iemand in aanmerking komt voor kwijt schelding van de waterschapsbelasting moet het Waterschap over gegevens beschikken over de inkomenssituatie van de aanvrager. Het ontwerpbesluit regelt de uitwisseling van de benodigde gege vens tussen het Uitvoeringsinstituut Werknemersverzekeringen, de Dienst Wegverkeer, de Belastingdienst, de colleges van burge meesters en wethouders en Waterschappen, met tussenkomst van de Stichting Inlichtingenbureau.

18


kenen te beschermen.

Registratie van gegevens betreffende de gezondheid vereist voortdurende aandacht en alertheid. Wie hebben toegang tot patiëntgegevens en met welk doel? Worden de gegevens afdoende beveiligd? Is er helderheid over gegevensstromen bij de uitwisseling daarvan tussen verschillende instanties? Informatiebeveiliging ziekenhuizen

verklaard in overeenstemming met de Wbp gebeuren. Daarmee is

Het vierde en laatste ziekenhuis waaraan het CBP een last onder

de grondslag voor verder optreden door het CBP vervallen.

dwangsom had opgelegd wegens het niet op orde hebben van zijn informatiebeveiliging heeft in 2010 alsnog een adequate

Patiëntenkaarten op straat

risicoanalyse uitgevoerd. Daarmee heeft het zijn informatiebevei

Op 18 januari 2010 vond een burger in Den Haag patiëntenkaar

liging in overeenstemming gebracht met de eisen van de Wbp. Dit

ten van de Districtpsychiatrische dienst (DPD) op straat. De kaar

is essentieel om de privacy van patiënten te kunnen waarborgen

ten bevatten medische en strafrechtelijke gegevens van (voorma

en is tevens in het belang van de kwaliteit van de zorg. Dit vormt

lig) gedetineerden. De vinder informeerde het CBP dat direct een

het sluitstuk van het onderzoek naar de informatiebeveiliging in

onderzoek startte bij het Nederlands Instituut voor Forensische

twintig ziekenhuizen dat het CBP in 2008 samen met de Inspectie

Psychiatrie en Psychologie (NIFP), aangezien de DPD in dit insti

voor de Gezondheidszorg heeft uitgevoerd.

tuut is opgegaan. Uit het onderzoek bleek dat de patiëntenkaar ten met medische en strafrechtelijke gegevens jarenlang onbevei ligd in een kelder in een pand in Den Haag hadden gestaan zonder

In 2009 heeft het CBP onderzoek gedaan bij twee regionale elek

dat het NIFP zicht had op mogelijk verlies of onrechtmatige

tronische patiëntendossiers (REPD’s). Het CBP constateerde dat de

verwerking van de persoonsgegevens op de patiëntenkaarten.

REPD’s bij de uitwisseling van patiëntengegevens de Wbp over

Het NIFP beschikte niet over een inventarislijst van de kelder,

traden. Mensen moeten worden geïnformeerd over de opname

noch over een overzicht van de patiëntenkaarten. Op de dag van

van hun gegevens in een REPD en er op kunnen vertrouwen

de vondst heeft het NIFP de kaartenbak met patiëntenkaarten

dat alleen een behandelend zorgverlener toegang heeft tot hun

onafgesloten als grofvuil op straat gezet zonder de inhoud ervan

medische gegevens. REPD’s dienen hiertoe voldoende maatrege

te hebben gecontroleerd. Het CBP concludeerde dat de minister

len te nemen. Naar aanleiding van de onderzoeksbevindingen is

van Justitie met betrekking tot de persoonsgegevens op de op

het CBP in 2009 een handhavingsprocedure gestart. Hierbij heeft

straat gevonden patiëntenkaarten onvoldoende passende maat

de toezichthouder zodanige aanpassingen geëist dat de wijze

regelen had genomen om deze persoonsgegevens te beveiligen

waarop de gegevensuitwisseling tussen zorgverleners plaats

tegen verlies of onrechtmatige verwerking. De minister handelde

vindt in overeenstemming is met de Wbp. Bij één REPD heeft de

daarmee in strijd met artikel 13 van de Wbp.

procedure er in 2009 toe geleid dat een einde is gemaakt aan de geconstateerde onrechtmatigheden. Het tweede heeft in juli 2010

Vecozo

aangegeven de uitwisseling van de medische gegevens binnen

Vecozo is het elektronisch schakelpunt tussen zorgverzekeraars en

het REPD geheel te hebben gestaakt. In het geval de uitwisseling

zorgaanbieders voor controle op verzekeringsrechten en declara

van medische gegevens in het REPD wordt hervat, zal dat naar is

tieverkeer. Het opnemen van gegevens over de huisarts bij wie

Jaarverslag 2010 > gezondheidszorg

19

Gezondheidszorg

Regionale elektronische patiëntendossiers

de verzekerde is ingeschreven, overschrijdt de grens van wat

Gegevens chronisch zieken en gehandicapten

nog beschouwd kan worden als een gerechtvaardigd belang

Personen met een chronische ziekte of handicap kunnen in aan

van de zorgverzekeraar en de zorgaanbieder. Dit heeft het CBP

merking komen voor een tegemoetkoming in hun ziektekosten.

naar aanleiding van een klacht van een verzekerde laten weten

Het CBP heeft in dit verband twee adviezen gegeven. Het eerste

aan de betrokken zorgverzekeraar en aan de brancheorganisatie

betreft de verwerking van persoonsgegevens door het Centraal

Zorgverzekeraars Nederland. Vermelding van de gegevens van de

Administratiekantoor (CAK) bij de uitvoering van de Regeling

huisarts staat immers niet in het teken van de (kosten)effectieve

tegemoetkoming chronisch zieken en gehandicapten. Het gaat

afwikkeling van het declaratieverkeer, waarvoor het systeem is

om maatregelen die de beveiliging van persoonsgegevens betref

opgezet. Het CBP neemt aan dat het niet de bedoeling is dat

fen. Het CBP wijst erop dat het oordeel over de vraag of de maat

Vecozo zou gaan functioneren als een alternatief voor het goed

regelen in de praktijk voldoende zijn, afhankelijk is van de risico’s

beveiligde landelijk schakelpunt voor het voorziene landelijk

van de concrete verwerkingen. Het CAK dient deze risico’s in kaart

Elektronisch Patiëntendossier. Inmiddels heeft de zorgverzekeraar

te brengen en dient vervolgens te bepalen welke maatregelen

laten weten dat zorgverzekeraars samen werken aan een aanpas

het moet treffen om een passend beveiligingsniveau te kunnen

sing in Vecozo waardoor de gegevens van de huisarts niet meer

garanderen.

worden weergegeven en de gegevensuitwisseling via Vecozo beperkt wordt tot de oorspronkelijke doelstelling

Het tweede advies betreft de voorgenomen wijziging van het Besluit tegemoetkoming chronisch zieken en gehandicapten,

Kenbaarheid beroepsbeperkingen in de gezondheidszorg

waarin de selectiecriteria voor de aanspraak op de tegemoetko

Het CBP heeft de minister van Volksgezondheid, Welzijn en Sport

ming worden gewijzigd met het oog op uitbreiding van de groep

geadviseerd over een voorgenomen uitbreiding van de moge

personen die voor een tegemoetkoming in aanmerking komen.

lijkheid voor burgers om op eenvoudige wijze kennis te kunnen

In lijn met eerdere adviezen van het CBP en de Raad van State

nemen van doorhalingen van inschrijvingen van beroepsbeoefe

adviseert het CBP onder meer om maatregelen op te nemen als

naren in de gezondheidszorg. Doorhaling uit het zogeheten BIG-

bedoeld in artikel 42 lid 2 Wbp in de Wet tegemoetkoming chro

register (Beroepen in de individuele gezondheidszorg) betekent

nisch zieken en gehandicapten. Artikel 42 ziet op bescherming

dat de beroepsbeoefenaar zijn titel, bijvoorbeeld arts, niet mag

van personen tegen besluiten die alleen worden genomen op

voeren en ook niet als zodanig mag optreden. Het CBP heeft op

grond van geautomatiseerde verwerking van persoonsgegevens

zichzelf geen bezwaar tegen het digitaal bekendmaken van infor

die bestemd is om een beeld te krijgen van bepaalde aspecten

matie die ook via de Staatscourant openbaar wordt. Gelet op de

van hun persoonlijkheid.

impact van bekendmaking via internet heeft het CBP echter gead viseerd tot twee aanpassingen. De eerste betreft de mogelijkheid

Omvorming CAK tot zbo

van openbare kennisgeving van een strafrechtelijke ontzetting

De omvorming van het Centraal Administratie Kantoor (CAK)

uit het beroep. Het Wetboek van Strafrecht bevat hiervoor een

van een privaatrechtelijk tot een publiekrechtelijk zelfstandig

waarborg: de rechter bepaalt op welke wijze openbaarmaking

bestuursorgaan (zbo) verandert niet de grondslag waarop de

van een uitspraak als bijkomende straf wordt uitgevoerd. Deze

verwerking van persoonsgegevens door het CAK is gebaseerd. Het

waarborg kan niet door een andere wet terzijde worden gesteld.

wetsvoorstel dat deze omvorming regelt geeft het CBP daarom

Het CBP adviseert de vormgeving van de twee wetten op elkaar

geen aanleiding tot het maken van inhoudelijke opmerkingen.

af te stemmen en de daarvoor noodzakelijke aanpassingen aan

Wel adviseert het CBP de minister van VWS om in het kader van

te brengen in de systematiek van openbare kennisgeving zoals

het wetsvoorstel het punt van eventueel verder gebruik van gege

voorzien in de Wet BIG.

vens door het CAK te verhelderen. Ook met een publiekrechtelijke status blijft het CAK gehouden om bij de verwerking van per

Ook een beroepsbeperking die is opgelegd op bevel van de

soonsgegevens te blijven binnen de grenzen die zijn neergelegd

Inspectie voor de Gezondheidszorg

kan op internet openbaar

in de achterliggende wetgeving en om te voldoen aan de alge

worden gemaakt. Hierbij is geen sprake (geweest) van een rech

mene vereisten van de Wbp. Het CBP ziet wel aanleiding – zoals

terlijke procedure en de daaraan voor betrokkene verbonden

in eerdere advisering over de Wet tegemoetkoming chronisch

rechtsbescherming. Het CBP acht onvoldoende onderbouwd dat

zieken en gehandicapten is gebeurd (zie hierboven) - aandacht

deze vorm van openbaarmaking proportioneel is en adviseert

te vragen voor de noodzaak om nader in te gaan op de beteke

voor dit type informatie de kring van kennisnemingsgerechtigden

nis die in de context van de door het CAK te verrichten taken

te beperken tot degenen die daarbij een gerechtvaardigd belang

toekomt aan de eisen die de Wbp stelt aan verenigbaar gebruik.

hebben in verband met door hen te nemen beslissingen over de

In hoeverre moeten persoonsgegevens die zijn verkregen voor de

inzetbaarheid van deze beroepsbeoefenaren.

uitvoering van verschillende regelingen door het CAK gescheiden worden verwerkt en kunnen zij al dan niet worden gebruikt voor

20


de uitvoering van andere regelingen? De bundeling in artikel 49 van de AWBZ van alle taken van het CAK kan, naar het oordeel van het CBP ten onrechte, de indruk wekken dat de verenigbaarheid van verdere verwerking niet langer een punt van aandacht vormt.

Jaarverslag 2010 > gezondheidszorg

21

Juist bij gevoelige gegevens als justitiële en politiegegevens dienen de waarborgen voor gegevensverzameling en het gebruik en doorgeven van die gegevens in orde te zijn. Het moet glashelder zijn waarom en waarvoor gegevens worden verstrekt en aan wie. Ook de kwaliteit van de te verwerken gegevens verdient extra aandacht.

Politie en justitie

Automatische kentekenherkenning Automatische kentekenherkenning (ANPR) mag voor de uitvoe ring van de dagelijkse politietaak onder voorwaarden worden toegepast. Alleen de ‘hits’ (dat zijn de kentekens die in de auto matische vergelijking leiden tot een ‘match’ met een kenteken in het vergelijkingsbestand) mogen worden bewaard. Een 'no-hit' betekent dat een gescand kenteken niet voorkomt in het verge lijkingsbestand en dat dit kenteken dus niet wordt gezocht in het kader van de ANPR-actie. Deze kentekens moeten direct worden vernietigd. Als dit niet gebeurt, komt iedere automobilist die over een traject rijdt waar de politie automatische kentekenherkenning toepast als potentiële verdachte in de politiebestanden terecht. Dit is in strijd met de wet en een onrechtmatige inbreuk op de persoonlijke levenssfeer. Onderzoek van het CBP in de periode september 2009 - januari 2010 toonde aan dat de twee onderzochte regionale politiekorp sen, IJsselland en Rotterdam-Rijnmond, de gegevens van niet gezochte kentekens, de zogeheten ‘no-hits’, 10 respectievelijk 120 dagen bewaarden. Hiermee handelden zij in strijd met de Wet politiegegevens. De no-hits waren voor het doel van de ANPRactie niet noodzakelijk nu deze niet waren opgenomen in het vergelijkingsbestand. De no-hits konden evenmin verder worden verwerkt ten behoeve van gerichte onderzoeken. Voor verder gaande toepassing van ANPR ontbreekt vooralsnog een juridisch kader.Beide korpsen verwerkten willens en wetens in strijd met de wet no-hits, constateerde het CBP. In reactie op publicatie van de definitieve onderzoeksbevindingen hebben beide korpsen begin 2010 laten weten de onrechtmatig heden te beëindigen. In augustus 2010 ontving het CBP van beide korpsen bericht dat na aanpassing van hun systemen geen enkele no-hit meer wordt bewaard.

22


Europol Informatiesysteem Het CBP heeft onderzoek gedaan naar het invoeren van politiege gevens van verdachten van ernstige internationale criminaliteit in het Europol Informatiesysteem (EIS) door het Korps landelijke politiediensten (KLPD). Daarbij is een aantal in het EIS ingevoerde gegevens inhoudelijk gecontroleerd. Deze inhoudelijke controle betrof onder meer de aanpassing en/of verwijdering van reeds in 2008 door het CBP onderzochte gegevens. Uit de controle zijn enkele tekortkomingen naar voren gekomen. Deze gecon stateerde tekortkomingen zijn tijdens het onderzoek hersteld, zo heeft het CBP vastgesteld. Het CBP heeft daarnaast de gevolgde werkwijze bij de verwerking van de gegevens in het EIS onderzocht. De conclusie luidde dat het KLPD in strijd met de wet handelde bij het invoeren van poli tiegegevens van verdachten van ernstige internationale criminali teit in het EIS doordat het onvoldoende maatregelen had getrof fen om te waarborgen dat de politiegegevens juist en nauwkeurig waren. Zo ontbrak een controle of aan de opnamecriteria was voldaan. Bovendien had het korps niet genoeg actie ondernomen om ervoor te zorgen dat de politiegegevens werden verwijderd of vernietigd zodra zij niet langer noodzakelijk waren of wanneer de wet eist dat dit gebeurt. Het KLPD heeft inmiddels zijn werkwijze aangepast en de geconstateerde overtredingen beëindigd.

Eurodac/DubliNet Het CBP heeft een onderzoek uitgevoerd naar het gebruik van DubliNet door Nederlandse asielautoriteiten. Dit onderzoek is op initiatief van de Eurodac Supervision Coordination Group (ESCG) uitgevoerd in alle EU-lidstaten die deelnemen aan Eurodac. DubliNet is een beveiligd netwerk waarmee de lidstaten informa tie uitwisselen over de afhandeling van asielverzoeken op grond

van de in de Dublin Verordening gemaakte afspraken. Hoewel in een Europese Verordening gedetailleerde regels zijn vastgelegd over de toepassing van DubliNet, blijken daarin aspecten te ontbreken die voor de bescherming van persoonsgegevens van belang zijn. Mede met het oog op toekomstige nieuwe regel geving heeft de ESCG drie aanbevelingen gedaan. De lidstaten zouden systematisch en standaard gebruik moeten maken van DubliNet, eerder dan van andere minder veilige communicatie kanalen. Op nationaal niveau zijn aanvullende regels nodig over het praktische gebruik van het systeem. Tot slot zijn duidelijker en geharmoniseerde regels vereist voor het verwijderen van gege vens nadat het doel van de uitwisseling is bereikt.

Versterking bestrijding computercriminaliteit Technische ontwikkelingen maken het steeds eenvoudiger ver trouwelijke informatie uit een computer over te nemen en op internet te zetten. Dat is schadelijk voor de persoonlijke levens sfeer van de betrokken personen. De minister van Justitie acht ver ruiming van de strafrechtelijke bescherming daarom noodzakelijk. Het CBP heeft de minister geadviseerd over een conceptwetsvoor stel dat deze verruiming beoogt. Waar het gaat om de regeling van de bevoegdheid van de officier van justitie om te vorderen dat gegevens op het internet ontoe gankelijk worden gemaakt, lijkt de geboden rechtsbescherming het CBP adequaat. Belanghebbenden kunnen zich bij de raadka mer van de rechtbank schriftelijk beklagen over de vordering tot het ontoegankelijk maken van de gegevens.

getornd aan het doelbindingsprincipe, een belangrijke privacy waarborg. De voorgestelde verstrekking mag slechts plaatsvinden ten behoeve van handhaving van openbare orde en niet voor andere doeleinden. Ook blijkt uit het evaluatierapport dat de bewaartermijn van de gegevens die gemeenten hanteren sterk uiteenloopt en niet altijd wordt nageleefd. De nota van toelichting dient op dit punt in te gaan en waarborgen te treffen.

Forensische zorg De minister van Justitie wil de forensische zorg kwalitatief verho gen en beter laten aansluiten op andere vormen van geestelijke gezondheidszorg. Daardoor wil hij tevens de recidive terugdrin gen. Vooruitlopend op de inwerkingtreding van de Wet forensi sche zorg is een concept Interimbesluit forensische zorg opge steld met als doel enkele praktische knelpunten op te lossen. De minister heeft daarover advies gevraagd aan het CBP. In overeen stemming met zijn eerdere negatieve advies over het wetsvoorstel heeft het CBP de minister laten weten dat de informatiepositie die hij krijgt op grond van het interimbesluit niet alleen niet noodza kelijk is, maar ook een risico op politieke interferentie in de behan deling van patiënten creëert. Het CBP heeft daarom geadviseerd tot aanpassing van de voorstellen, zodat geen persoonsgegevens aan de minister van Justitie worden verstrekt.

Het wederrechtelijk overnemen van gegevens uit een computer en die op internet zetten, waardoor vertrouwelijke gegevens razendsnel kunnen worden verspreid, wordt strafbaar gesteld, evenals ‘heling’ van computergegevens. Hierover merkt het CBP op dat dit (wederom) aan het licht brengt dat het treffen van ade quate beveiligingsmaatregelen onontbeerlijk is. De voorgestelde regeling ontslaat verantwoordelijken niet van hun verplichtingen dit te doen.

Het Interimbesluit bepaalt onder meer dat de gehele forensische zorg vooralsnog – tot de inwerkingtreding van de Wet foren sische zorg - onder de Algemene wet bijzondere ziektekosten (AWBZ) valt. Het CBP zet onder meer vraagtekens bij de noodzaak hoofdstuk VIII AWBZ in zijn geheel van toepassing te verklaren. Zorgaanbieders dienen op grond van het Interimbesluit de minis ter van Justitie alle voor de uitvoering van de AWBZ noodzakelijke persoonsgegevens te verstrekken, waaronder persoonsgegevens betreffende de gezondheid. Dit is in strijd met de wet en met het medisch beroepsgeheim.

Terugkeer ex-gedetineerden De minister van Veiligheid en Justitie stelt voor het mogelijk te maken om justitiële gegevens van ex-gedetineerden die terug keren in hun gemeente te verstrekken aan de burgemeester en aan de politie, als verwacht wordt dat de terugkeer van de exgedetineerde (veroordeeld geweest voor een ernstig gewelds- of zedenmisdrijf ) in de gemeente leidt tot onrust. Het CBP heeft kritiek op een aantal onderdelen van de voorgestelde wijzigingen van het Besluit justitiële gegevens.

Het CBP heeft voorts geadviseerd de verantwoordelijkheid voor de taken waarvoor persoonsgegevens van patiënten noodzakelijk zijn te beleggen bij functionarissen die gehouden zijn tot geheim houding ten opzichte van derden - onder wie ook de minister van Justitie wordt geschaard. Tevens dient te worden gewaarborgd dat alleen die functionarissen de beschikking krijgen over de (met name bijzondere) persoonsgegevens van de patiënten die foren sische zorg ontvangen. Het CBP heeft de minister gemeld bezwaar tegen het concept Interimbesluit te hebben en hem geadviseerd het aldus niet in te voeren.

Het afgelopen jaar heeft een (beperkte) pilot plaatsgevonden met het verstrekken van deze gegevens. Het CBP wijst op punten die, zo blijkt uit de evaluatie van de pilot, aanleiding geven tot kri tiek. Onder meer is naar voren gekomen dat onderdelen van het informatieproces nog kwetsbaar zijn. Het gaat hierbij ten eerste om de kwaliteit van de informatie. Persoonsgegevens moeten juist en nauwkeurig zijn; dat bepaalt mede de effectiviteit van de verstrekking en daarmee ook de effectiviteit van het voorstel. Daarnaast vereisen aandacht de hoeveelheid informatie en het delen ervan. Voorts wordt in de praktijk, zo blijkt uit de evaluatie,

Verstrekking politiegegevens aan derden Het doel van de aanpassing van het Besluit politiegegevens waarover het CBP heeft geadviseerd, is om politiegegevens te kunnen verstrekken aan personen of instanties ten behoeve van een zwaarwegend algemeen belang. Het Ontwerpbesluit ziet in de eerste plaats op een aanvulling van de mogelijkheid politiege gevens binnen Nederland aan bepaalde organisaties voor speci fieke doelen te verstrekken. Deze organisaties worden met name genoemd onder vermelding van het doel. In de tweede plaats gaat het om een aanvulling op de verstrekking van politiegege

Jaarverslag 2010 > politie en justitie

23

vens aan personen of instanties binnen de Europese Unie, met het oog op ordehandhaving tijdens grootschalige evenementen. Het CBP heeft aangegeven dat in de toelichting voor de ver strekking aan de Reclassering en aan het Nederlands Instituut voor Forensische Psychologie en Psychiatrie in het kader van forensische zorg nader moet worden ingegaan op het zwaarwe gend algemeen belang van de verstrekking. Daarnaast heeft het CBP geadviseerd de risico’s die gepaard gaan aan verstrekking van zogenoemde zachte gegevens aan het Centraal Justitieel Incassobureau, uitdrukkelijk te benoemen. Verstrekking strafrechtelijke antecedenten vreemdelingen Bij uitzetting van uitgeprocedeerde vreemdelingen heeft een aantal landen aangegeven geïnformeerd te willen worden over eventuele strafrechtelijke antecedenten van hun onderdanen. De verstrekking daarvan wordt door de autoriteiten als voorwaarde gesteld voor medewerking aan gedwongen terugkeer. Het CBP heeft de minister van Justitie geadviseerd over een voorstel tot wijziging van het Besluit justitiële gegevens met een regeling waarin wordt vastgelegd aan wie, wanneer welke informatie kan worden verstrekt en welke waarborgen de gegevensverstrekking

kel eist dat iedere beperking van het recht op eerbiediging van de persoonlijke levenssfeer op een wettelijke grondslag berust die is gebaseerd op een van de beperkingsmogelijkheden die het artikel bevat. Artikel 10 van de Grondwet scherpt deze bepaling aan en verlangt voor elke beperking een grondslag in de formele wet. Daaraan wordt niet voldaan door het opnemen van de verstrek king in een Algemene Maatregel van Bestuur, het Besluit justitiële gegevens (Bjg). Het Bjg ziet immers op verstrekking van justitiële gegevens binnen Nederland en niet op een derdenverstrekking aan buitenlandse autoriteiten, waarvan bij uitzetting van vreem delingen sprake is. Voorts heeft het CBP bezwaar tegen het ontbreken in de tekst van het besluit van een aantal passende waarborgen rond de gege vensverstrekking.

omgeven.

Besluit politiegegevens op de BES-eilanden De minister van Justitie heeft het CBP advies gevraagd over het Conceptbesluit wijzigingen Besluit politiegegevens met het oog op de toepasselijkheid daarvan op de openbare lichamen Bonaire, Sint Eustatius en Saba (BES). Het Besluit politiegegevens bevat

Het advies luidt, het wijzigingsvoorstel niet aldus in te dienen. Bij de voorgestelde verstrekking van gegevens komt de persoonlijke levenssfeer van de betrokkene in het geding. Dat betekent dat een dergelijke verstrekking moet voldoen aan de normen van artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Dat arti

bepalingen ter uitvoering van de Wet politiegegevens. Bij het van toepassing verklaren van het Besluit Politiegegevens op de BES-eilanden is rekening gehouden met de feitelijke en juridische inrichting van de eilanden. Het Conceptbesluit bevat inhoudelijk gezien met name technische aanpassingen en heeft het CBP geen aanleiding gegeven tot het maken van opmerkingen.

24


Het CBP wijst regelmatig op het gevaar van function creep; het gebruik van persoonsgegevens voor een ander doel dan waarvoor zij oorspronkelijk zijn verzameld. Het burgerservicenummer is bijvoorbeeld niet bestemd voor het aanmaken van toegangspasjes voor rijksgebouwen. En als het niet noodzakelijk is voor het doel van de gegevensverwerking om persoonsgegevens te publiceren op een website, moet dat niet gebeuren. Gebruik BSN voor Rijkspas is in strijd met de wet

bestanden aanzienlijk vergemakkelijkt, met risico’s voor de per

De minister van Verkeer en Waterstaat (VenW) handelt in strijd met

soonlijke levenssfeer. Voor het verwerken van het BSN is dan ook

de wet door het burgerservicenummer (BSN) van medewerkers te

een belangenafweging op het niveau van een formele wet vereist.

gebruiken voor het aanmaken van hun toegangspas, de zogehe

Op 8 februari 2011 heeft het CBP de minister van Infrastructuur en

ten Rijkspas. Dat heeft het CBP na onderzoek geconcludeerd. In dit

Milieu (IenM), de rechtsopvolger van VenW, een last onder dwang

geval is geen sprake van het uitoefenen van een publiekrechtelijke

som opgelegd met een begunstigingstermijn van acht weken. De

taak waarvoor het ministerie van VenW als overheidsorgaan het

last houdt in dat het BSN in het Identity Managementsysteem van

BSN zou mogen verwerken.

het ministerie moet zijn afgeschermd ingeval van controle van de identiteit van een (in- of externe) medewerker van het ministerie van IenM ten behoeve van de uitgifte van een Rijkspas. Het BSN

Informatiseringsbeleid Rijk van het ministerie van Binnenlandse

mag niet zichtbaar zijn op het beeldscherm als de identiteit van

Zaken en Koninkrijksrelaties laten weten dat zijn standpunt dat

een medewerker voor de uitgifte van een Rijkspas aan de hand

het gebruik van het BSN in de bedrijfsvoering rechtmatig is, niet

van overige gegevens wordt gecontroleerd.

juist is. Het CBP heeft destijds dringend verzocht het voornemen om het BSN in en ten behoeve van de bedrijfsvoering van de over

Publicatie persoonsgegevens op VNG-site

heid te verwerken dan ook niet uit te voeren of de verwerking te

Op de - algemeen toegankelijke - website van de Vereniging

staken indien hiermee reeds zou zijn begonnen.

van Nederlandse Gemeenten (VNG) zijn bij behandeladviezen aan gemeenten onder meer de naam en de woonplaats gepu

VenW gebruikt het BSN voor de Rijkspas als ‘koppelnummer’ om

bliceerd van indieners van Wob-verzoeken. Het CBP heeft de

te zorgen dat de juiste pas aan de juiste medewerker wordt uit

VNG laten weten dat dit in strijd is met de Wbp. De vermelding

gereikt. Het verstrekken van toegangspassen is een privaatrech

van persoonsgegevens op de VNG-site is niet noodzakelijk voor

telijke taak waarvoor het gebruik van het BSN niet is toegestaan.

het doel dat de VNG met bovengenoemde publicaties nastreeft.

Een overheidsorgaan verschilt hierin niet van andere werkgevers

Gemeenten kunnen ook met minder gegevens (bijvoorbeeld

die toegangspassen verstrekken aan hun medewerkers. Voor de

adviezen zonder vermelding van persoonsgegevens) of langs een

verwerking van het BSN ten behoeve van de Rijkspas ontbreekt

andere, voor betrokkenen minder ingrijpende, weg (bijvoorbeeld

een wettelijke grondslag.

via een afgeschermd deel op de website voor leden) geïnformeerd worden over de afhandeling van verzoeken op grond van de Wet

Het gebruik van het BSN is aan strenge wettelijke eisen verbon

openbaarheid van bestuur (Wob).

den. Het staat vast dat het BSN de koppeling van verschillende

Het CBP heeft met instemming kennisgenomen van het feit dat

Jaarverslag 2010 > openbaar bestuur

25

Openbaar bestuur

Het CBP had al in januari 2009 in een brief aan de directeur

na telefonisch contact met de VNG de namen van indieners van

gen indien de derde die eerder verstrekte gegevens onrechtmatig

Wob-verzoeken van de VNG-site zijn verwijderd en dat de VNG

heeft verwerkt, is niet duidelijk hoe deze moet bijdragen aan de

werkt aan beoordeling van publicatie van indirect identificerende

juiste naleving van de wet. Het CBP adviseert het betreffende arti

gegevens als woonplaats en functie.

kel te heroverwegen. Voorts adviseert het CBP een aparte privacy paragraaf op te nemen in de memorie van toelichting, aandacht

Verruiming werkingssfeer Wet BIBOB

te besteden aan de afbakening tussen de wet BRP en de Wbp en

De minister van Justitie en de minister van Binnenlandse Zaken

de noodzaak van het gebruik van het burgerservicenummer door

en Koninkrijksrelaties hebben het CBP advies gevraagd over de

niet-overheidsorganen adequaat toe te lichten. Het wetsvoorstel

wijziging van de Wet bevordering integriteitsbeoordelingen door

is te algemeen geformuleerd om als wettelijke grondslag voor de

het openbaar bestuur (Wet BIBOB) en de Wet op de Kansspelen.

verwerking van het BSN door niet-overheidsorganen te kunnen

Het wetsvoorstel beoogt de werkingssfeer van de Wet BIBOB te

worden aangemerkt.

verruimen. Enerzijds gebeurt dit door de vastgoedsector en de exploitatie van kansspelautomaten aan de wet toe te voegen en

Automatische kwijtschelding waterschapsbelasting

anderzijds door een sluitingsbevoegdheid in het leven te roepen

Het kwijtschelden van waterschapsbelasting zou geautomatiseerd

op grond waarvan tegen andere niet-vergunningplichtige crimi

moeten kunnen plaatsvinden, om te voorkomen dat herhaalde

nogene sectoren kan worden opgetreden. Het CBP heeft onder

aanvragers van kwijtschelding bij het waterschap informatie moe

meer geadviseerd de privacyparagraaf over de sluitingsbevoegd

ten overleggen die al in de administraties van bepaalde bestuurs

heid aan te vullen, zodat bij elk onderwerp uit het wetsvoorstel (en

organen aanwezig is. De minister van Verkeer en Waterstaat heeft,

niet alleen bij de sluitingsbevoegdheid) aandacht wordt geschon

mede namens de minister van Sociale Zaken en Werkgelegenheid,

ken aan de Wbp-normen voor de verwerking van persoonsgege

hiertoe een voorstel gedaan. Het CBP is er in zijn advies over het

vens. Ook heeft het CBP aandacht gevraagd voor de waarborgen

betreffende voorstel van uitgegaan, dat de belastingschuldige

voor de uitwisseling van informatie op regionaal niveau en voor

zelf bij de eerste aanvraag tot kwijtschelding van de waterschaps

de kenbaarheid voor betrokkenen van de beleidslijn waarnaar bij

belasting moet aangeven dat hij gebruik wil maken van de geau

de onderwerpen uitbreiding naar de vastgoedsector en de slui

tomatiseerde kwijtscheldingsmogelijkheid. Als dat het geval zou

tingsbevoegdheid wordt verwezen.

zijn, dan had het CBP geen aanleiding tot het maken van inhou delijke opmerkingen.

Basisadministratie personen Bij het wetsvoorstel Basisregistratie personen (wet BRP), die in de

Elektronische aanvraag VOG

plaats zou moeten komen van de Wet gemeentelijke basisadmi

De minister van Justitie heeft het CBP advies gevraagd over een

nistratie persoonsgegevens (Wet GBA) die sinds 1994 van kracht

conceptwetsvoorstel dat onder meer voor natuurlijke personen

is, heeft het CBP bij essentiële onderdelen kritische opmerkingen

de mogelijkheid introduceert om rechtstreeks elektronisch, via

geplaatst. Om te voorkomen dat begrippen niet eenduidig wor

een beveiligde internetapplicatie bij de Dienst Justis, een verkla

den gehanteerd en dat ongewenste verschillen in lokale verstrek

ring omtrent het gedrag (VOG) aan te vragen bij de minister van

kingsvoorwaarden ontstaan, acht het CBP het noodzakelijk dat het

Justitie, in plaats van bij zijn eigen gemeente. De voorgestelde

wettelijk kader voor de nadere invulling van de lagere regelgeving

wijzigingen hebben het CBP vanuit het oogpunt van gegevens

in de wet zelf wordt opgenomen. Van de nieuwe bevoegdheid die

bescherming geen aanleiding gegeven tot het maken van op- of

het CBP in dit wetsvoorstel is toegekend om de minister of het

aanmerkingen. De elektronische aanvraag van de VOG wordt geïn

college van B&W te verzoeken de verstrekking van gegevens aan

troduceerd als optie naast de bestaande regeling.

derden voor een bepaalde termijn te weigeren of deze te beëindi

26


Goede bedoelingen, zoals het ontwikkelen van beleid om probleemkinderen te herkennen en ondersteunen, rechtvaardigen niet het opzij zetten van de eisen die de Wbp stelt aan het verzamelen, verwerken en uitwisselen van persoonsgegevens. Zo moeten scholen rekening houden met alle relevante privacybepalingen, net als instanties die controleren of er fraude wordt gepleegd bij het opstrijken van een uitwonendenbeurs. rekening te houden met relevante privacybepalingen. Dit geldt

Voor het opstellen van een samenhangend jeugdzorgbeleid is

bij de verplichting tot samenwerking van scholen met instanties

beleidsinformatie nodig van onder meer de Bureaus jeugdzorg

in de jeugdketen voor vroegtijdige signalering van problemen

en de Raad voor de kinderbescherming. In het ontwerpbesluit

bij leerlingen, bij het registreren van incidenten die op school

beleidsinformatie jeugdzorg 2011 is geregeld welke persoonsge

plaatsvinden en ook bij het verlengen van de bewaartermijn van

gevens daartoe moeten worden vastgelegd. Het CBP heeft over

examengegevens door de Dienst Uitvoering Onderwijs (DUO). Ten

het ontwerpbesluit geadviseerd. Het acht ondanks versleuteling

aanzien van deze drie onderwerpen uit de concept Verzamelwet

toch een verhoogd risico aanwezig dat de gegevens kunnen wor

2010 van de minister van Onderwijs, Cultuur en Wetenschap

den herleid tot de jongere, vanwege de introductie van een cliënt

(OCW) heeft het CBP de minister geadviseerd de ontwerptekst van

volgend systeem. Verder maakt het ontwerpbesluit niet duidelijk

de wet en de toelichting aan te passen.

dat rekening is gehouden met de grenzen die de Wet op de jeugd zorg stelt aan de verwerking van persoonsgegevens ten behoeve

Aanpak misbruik uitwonendenbeurs

van beleidsvorming. Evenmin is concreet geregeld hoe lang de

Onrechtmatige vermenging van taakuitoefening en daarmee

gegevens worden bewaard. Het CBP heeft de Staatssecretaris van

van doeleinden waarvoor gegevens worden verwerkt, dient te

Volksgezondheid, Welzijn en Sport geadviseerd in de toelichting

worden voorkomen. Dat is de strekking van het advies van het

bij het besluit aan deze punten de nodige aandacht te besteden.

CBP aan de staatssecretaris van OCW over een voorgenomen wijziging van de Wet studiefinanciering (WSF) in verband met het

Gebruik BSN in de jeugdzorg

bestrijden van misbruik van de uitwonendenbeurs door studen

Het CBP heeft aan de Staatssecretaris van Volksgezondheid,

ten. De gemeenten, die verantwoordelijk zijn voor de kwaliteit

Welzijn en Sport een advies uitgebracht over het conceptwets

van de Gemeentelijke Basisadministratie (GBA),

voorstel Gebruik van het

worden in het

burgerservicenummer (BSN) in de

wetsvoorstel bij het opsporen van fraude met de beurs belast met

jeugdzorg. Het CBP constateert dat in de memorie van toelichting

het adrestoezicht. Dit adrestoezicht geschiedt op grond van de

bij het wetsvoorstel niet is aangetoond dat voor invoering van het

WSF en niet op basis van de Wet Gemeentelijke Basisadministratie.

BSN in de jeugdzorg een maatschappelijke noodzaak als bedoeld

Het risico van onrechtmatige vermenging van taakuitoefening

in artikel 8 van het Europees Verdrag voor de Rechten van de Mens

blijkt aanwezig als het gaat om de financiering van het uitvoeren

bestaat. Het CBP heeft daarom bezwaar tegen het voorstel.

van de adrescontrole. Het is de bedoeling van het wetsvoorstel dat de gemeente een adrescontrole uitvoert, zodat door DUO bepaald

Verwerking persoonsgegevens door scholen

kan worden dat de studerende, aan wie - naar DUO vermoedt ten

Bij alle vormen van verwerking van gegevens dienen scholen

onrechte - een uitwonendenbeurs is toegekend, wel of niet aan de

Jaarverslag 2010 > jongeren en onderwijs

27

Jongeren en onderwijs

Beleidsinformatie jeugdzorg

voorwaarde met betrekking tot het adres voldoet. De gemeente

aan fraudebestrijding. Via een digitaal loket worden de diploma

als toezichthouder doet derhalve in het kader van dit wetsvoor

gegevens die aanwezig zijn in de databases van het ministerie van

stel onderzoek naar de naleving van een deel van de WSF. Het

OCW ontsloten. Omdat het diplomaregister niet alleen bestemd is

gemeentelijk onderzoek dient echter gericht te zijn op het verifië

voor binnenlands gebruik, heeft het CBP geadviseerd in de memo

ren van het adres van studerenden met studiefinanciering en niet

rie van toelichting aandacht te besteden aan de bijzondere eisen

op het vaststellen of terecht studiefinanciering is verleend; dat is

die de Wbp stelt aan verstrekking van gegevens naar landen bui

aan DUO. Het CBP acht het noodzakelijk dat de memorie van toe

ten de Europese Unie. Andere opmerkingen van het CBP betroffen

lichting op dit punt heel duidelijk is. De uitwisseling van gegevens

(technische) waarborgen rond de elektronische verstrekking van

tussen de gemeente als toezichthouder op grond van de WSF en

de gegevens, het ontbreken van een wettelijke grondslag voor

DUO, die namens de minister van OCW beslist of iemand studie

het gebruik van het BSN door afnemers en gebruikers van het

financiering wordt toegekend, dient als elke gegevensverwerking

register en het gebrek aan onderbouwing van een bewaartermijn

proportioneel te zijn en passend bij het beoogde doel.

van zestig jaar.

Het CBP heeft overigens met instemming geconstateerd dat in de

Persoonsnummer in niet-bekostigd onderwijs

memorie van toelichting een aparte paragraaf gewijd is aan de

Om verzuim en voortijdig schoolverlaten van leerlingen die niet-

uitwisseling van persoonsgegevens.

bekostigd onderwijs volgen tegen te gaan, wil de staatssecretaris van OCW het niet-bekostigd onderwijs gelijktrekken aan het

Centraal diplomaregister

bekostigd onderwijs voor het gebruik van het persoonsgebon

Het conceptwetsvoorstel dat beoogt een centraal diplomaregister

den nummer in het onderwijs. Het CBP heeft met instemming

met digitale ontsluiting in te stellen, voldoet op een aantal onder

geconstateerd dat het wetsvoorstel dat deze aansluiting regelt,

delen niet aan de vereisten die de Wbp stelt aan de verwerking

een aparte paragraaf over de bescherming van persoonsgegevens

van persoonsgegevens. Het CBP heeft de staatssecretaris van

bevat. Het heeft de staatssecretaris geadviseerd om expliciet te

Onderwijs, Cultuur en Wetenschap (OCW) geadviseerd het voor

vermelden dat het voorstel alleen een grondslag biedt voor de

stel aan te passen. Het centrale diplomaregister zorgt ervoor dat

verwerking van het persoonsgebonden nummer van onderwijs

de echtheid van diplomagegevens op een betrouwbare, duidelijke

deelnemers die jonger zijn dan 23 jaar en op wie de Leerplichtwet

en efficiënte wijze kan worden gecontroleerd en kan zo bijdragen

of de zogeheten rmc-regeling van toepassing is.

28


Gegevensverkeer is niet aan grenzen gebonden. Gezien de globalisering is het in toenemende mate belangrijk in internationaal en Europees verband afspraken te maken over de bescherming van persoonsgegevens. Europese privacytoezichthouders werken steeds vaker samen om grensoverschrijdende onrechtmatige dataverwerking aan te pakken. Belang internationale samenwerking

inbreng van de werkgroep van december 2009 (the Future of

Ook in 2010 heeft het CBP gekozen voor een gezamenlijke aanpak

Privacy) daarin zijn opgenomen.

op Europees niveau waar dat de effectiviteit ten goede kwam. Het heeft zich tevens gericht op het ‘Europeaniseren’ van CBP-

Vereenvoudiging en lastenverlaging

standpunten. Daartoe heeft het CBP actief deelgenomen aan

De privacytoezichthouders onderschrijven de ambitie van de

de verschillende vergaderingen van Europese en internationale

Europese Commissie om het privacyrecht waar mogelijk te ver

toezichthouders en heeft het CBP actief bijgedragen aan de tot

eenvoudigen, de administratieve lasten te verlagen en meer

standkoming van gezamenlijke opinies en standpunten.

harmonisatie in de Europese landen te bereiken. Ook het streven

De voorzitter van het CBP, Jacob Kohnstamm, is in februari 2010

naar een hoog beschermingsniveau voor burgers en versterking

gekozen tot voorzitter van de Artikel 29-werkgroep (Working Party

van hun rechten zodat zij deze ook daadwerkelijk kunnen doen

29, WP29). Dit onafhankelijke en raadgevende orgaan bestaat uit

gelden, is een noodzakelijke stap voorwaarts.

de verzamelde Europese privacytoezichthouders. De benoeming Accountability en Privacy by Design

een tweede termijn. De Artikel 29-werkgroep ontleent haar naam

Door nieuwe technologische mogelijkheden is het gebruik van

aan artikel 29 van de Europese Privacyrichtlijn 95/46/EG. Alle

persoonsgegevens in de afgelopen decennia niet alleen explo

toezichthoudende autoriteiten op het gebied van bescherming

sief toegenomen, maar ook ondoorzichtiger geworden. Burgers

van persoonsgegevens van de Europese Unie nemen deel aan

moeten goed worden geïnformeerd over het gebruik van hun per

deze werkgroep, die een belangrijke rol speelt in de totstand

soonsgegevens en daarover controle kunnen uitoefenen. Gezien

koming van Europees beleid en wetgeving. De werkzaamheden

de complexiteit van gegevensverwerking zal echter ook een

van de werkgroep leveren een bijdrage aan de ontwikkeling van

groter beroep moeten worden gedaan op verantwoordelijken

Europese normen en gemeenschappelijke interpretaties.

en de ontwikkelaars van diensten en producten om de privacy van burgers te garanderen. De Europese privacytoezichthouders

Herziening EU-dataprotectierichtlijn

pleiten dan ook voor de invoering van het accountabilityprincipe

Op 4 november 2010 heeft de Europese Commissie haar

dat verantwoordelijken verplicht om maatregelen te nemen die

‘Mededeling voor de herziening van het juridische raamwerk voor

garanderen dat de verplichtingen van de wet worden nagekomen,

de gegevensbescherming’ gepresenteerd. De leden van WP29 zijn

en om dit op verzoek aan te tonen. Ook pleiten de toezichthou

over het algemeen positief over dit eerste strategische plan van

ders ervoor dat de te herziene richtlijn de ontwikkelaars van nieu

de Commissie. Zij zijn verheugd dat veel van de eerdere voorstel

we producten en diensten zal verplichten om al bij het ontwerpen

len van de Artikel 29-werkgroep, onder meer uit de gezamenlijke

daarvan na te denken over waarborgen om persoonsgegevens te

Jaarverslag 2010 > internationaal

29

Internationaal

geldt voor een periode van twee jaar met de mogelijkheid van

beschermen en te beveiligen (privacy by design).

lecteerde contacten. Elke vorm van verdergaande toegang, zoals door zoekmachines, zou alleen mogelijk moeten zijn op basis van

Politie- en justitiegegevens

een expliciete keuze van de gebruiker van de sociale netwerksite.

WP29 pleit er tevens voor dat de herziening van het Europese privacyrecht zodanig wordt vormgegeven dat ook politie- en jus

Zoekmachines

titiegegevens daaronder komen te vallen.

De

Europese privacytoezichthouders hebben in mei 2010 in

een brief drie grote internationale zoekmachine-exploitanten – Rol toezichthouders

Google, Yahoo! en Microsoft – gewezen op het feit dat hun metho

De ontwikkelingen op privacygebied rechtvaardigen verder in

des om de zoekgegevens van internetgebruikers te anonimiseren

de ogen van de toezichthouders een versterking van de positie

nog steeds in strijd zijn met de Europese privacyrichtlijn. Zij

en de rol van de nationale toezichthouders, een verschuiving van

hebben de drie bedrijven opgeroepen om voortaan een externe

ex-ante naar ex-post toezicht, toekenning van meer en geharmo

audit te laten uitvoeren om te controleren of de zoekgegevens van

niseerde handhavingsbevoegdheden en meer mogelijkheden om

internetgebruikers adequaat zijn geanonimiseerd.

internationale samenwerking tussen toezichthouders te garande ren bij grensoverschrijdende kwesties.

De brieven volgen op eerdere actie van de toezichthouders waarin zij de drie bedrijven opriepen om zoekgegevens van internetge

Volgens de Europese Commissie zijn bijdragen van de Artikel

bruikers niet langer dan zes maanden te bewaren. WP29 heeft

29-werkgroep cruciaal in de voorbereiding van de herziening

de Amerikaanse Federal Trade Commission (FTC) gevraagd om

van de Europese privacyrichtlijn. De Europese Commissie heeft

te onderzoeken in hoeverre de werkwijze van de zoekmachi

de werkgroep dan ook gevraagd om een aantal additionele

nes in overeenstemming is met ‘section 5’ van de Federal Trade

opinies over specifieke onderwerpen: gevoelige gegevens, het

Commission Act van de VS dat oneerlijke en misleidende praktij

melden van verwerkingen van persoonsgegevens en een opinie

ken verbiedt.

over het artikel uit de richtlijn dat nationale toezichthoudende privacy-autoriteiten bevoegd verklaart op het grondgebied van

Richtlijn dataretentie

hun eigen lidstaat, ongeacht welk nationale recht van toepas

Uit een gezamenlijk onderzoek van de Europese toezichthouders

sing is. Deze opinies zullen in de eerste helft van 2011 aan de

is gebleken dat de verplichtingen van de Dataretentierichtlijn om

Europese Commissie worden aangeboden. Naar verwachting zal

alle telecom- en internetgegevens te bewaren in de verschillende

de Commissie vervolgens medio 2011 een concepttekst voor een

Europese lidstaten in strijd met de bepalingen van de richtlijn

vernieuwde Europese privacyrichtlijn presenteren.

worden toegepast.

Overige opinies en adviezen WP29

In een rapport van juli 2010 constateert de Artikel 29-werkgroep

Naast opinies over kernbegrippen van het gegevensbescher

onder meer dat er grote verschillen bestaan tussen de lidstaten,

mingsrecht: wie is de verantwoordelijke en welk recht is van toe

met name daar waar het gaat om de bewaartermijnen die blijken

passing bij grensoverschrijdende gegevensverwerkingen, heeft

te variëren van zes maanden tot tien jaar, terwijl twee jaar maxi

de Artikel 29-werkgroep in 2010 onder meer de volgende onder

maal is toegestaan. Belangrijkste punt van kritiek is dat service

werpen behandeld:

providers gegevens bewaren en afgeven op een manier die in strijd is met de bepalingen van de Richtlijn. Ook blijkt dat meer

Sociale netwerk sites

gegevens worden opgeslagen dan is toegestaan en dat ondanks

De Europese privacytoezichthouders hebben in mei 2010 de soci

het verbod hierop gegevens met betrekking tot de inhoud van

ale netwerk site Facebook laten weten dat het onaanvaardbaar is

(tele)communicatie in sommige gevallen toch worden bewaard.

dat het bedrijf de standaardinstellingen van zijn sociale netwerk site fundamenteel heeft gewijzigd.

Uitwisseling passagiersgegevens De Europese privacytoezichthouders blijven kritisch ten opzichte

Als vervolg op hun opinie van 2009 over socialenetwerksites en

van de wens van de Europese Commissie om passagiersgegevens

de daaropvolgende

hoorzittingen met drie toonaangevende

(Passenger Name Record – PNR) uit te wisselen met landen buiten

socialenetwerksites heeft WP29 twintig sociale netwerk sites aan

de Europese Unie. In hun opinie van 12 november 2010 zetten de

geschreven die de ‘Safer Networking Principles for the EU’ hebben

privacytoezichthouders onder meer vraagtekens bij de noodzaak

getekend, waaronder Facebook. In de brieven benadrukken zij

van de doorgifte van passagiersgegevens, aangezien statistische

onder meer de noodzaak van standaardinstellingen waarbij toe

gegevens die aantonen dat passagiersgegevens een nuttig instru

gang tot de gebruikersprofielen en tot informatie over de contac

ment zijn in de strijd tegen terrorisme nog steeds ontbreken.

ten van gebruikers beperkt wordt tot door de gebruiker zelf gese

30


Nieuwe Swift-overeenkomst

de gebruikers worden geïnstalleerd. Advertentienetwerken en

De Terrorist Finance and Tracking Program II Agreement, beter

websitehouders moeten de bezoekers samen informeren. Met

bekend als de Swift II-overeenkomst, ziet op de overdracht

name de browserontwikkelaars hebben de plicht de bezoekers te

van gegevens over financiële transacties van de EU aan de VS.

informeren over het gebruik van third party cookies. De Europese

De gegevens mogen door de Amerikaanse autoriteiten wor

privacytoezichthouders hebben browserontwikkelaars opgeroe

den gebruikt om terroristische activiteiten te voorkomen en te

pen om ervoor te zorgen dat third party cookies standaard wor

bestrijden. Een eerdere overeenkomst voor het uitwisselen van

den geweigerd of weggegooid.

bankgegevens in het kader van de terrorismebestrijding is in februari 2010 door het Europees Parlement verworpen. Volgens

Berlijngroep

de Europese privacytoezichthouders is ook de nieuwste overeen

Het CBP heeft in 2010 traditiegetrouw deelgenomen aan de bij

komst over deze kwestie in strijd met EU-wetgeving, met name

eenkomst van specialisten op het gebied van privacy en telecom

vanwege het ontbreken van voldoende rechtsbescherming voor

municatie, verenigd in de International Working Group on Data

de burger. Ondanks de kritiek erop is de overeenkomst toch

Protection in Telecommunications (IWGDPT, ook wel Berlijngroep

op 1 augustus 2010 in werking getreden. Begin 2011 zullen de

genaamd). De 47e en 48e bijeenkomsten vonden respectievelijk

Belgische en de Nederlandse toezichthouder betrokken zijn bij de

in Granada (Spanje) en Berlijn plaats. De goede internationale

‘joint review’, de eerste evaluatie van het verdrag, waarbij kritisch

samenwerking binnen de Berlijngroep heeft geleid tot vier werk

zal worden gekeken naar correcte toepassing van de bepalingen

documenten: Working Paper on Mobile processing of Personal

van de overeenkomst.

Data and Security; Working Paper on the Use of Deep Packet Inspection for Marketing Purposes; The Granada Charter of Privacy

Privacyovereenkomst EU-VS

in a Digital World en Working Paper on privacy risks in the re-use of

De Europese Commissie wil met de VS overeenkomst bereiken

email accounts and similar information society services.

over de bescherming van uit te wisselen persoonsgegevens bij samenwerking in politie- en justitiezaken. Deze overeenkomst

Belangstellenden kunnen de papers downloaden via

vormt vermoedelijk een van de belangrijkste stappen die de

http://www.datenschutz-berlin.de/content/europa-international/

komende jaren gezet zullen worden op het gebied van gege

international-working-group-on-data-protection-in-telecommu

vensbescherming en zal bepalend zijn voor de internationale

nications-iwgdpt/working-papers-and-common-positions-adop

samenwerking op dit terrein. De Europese privacytoezichthouders

ted-by-the-working-group

zijn in principe positief over een dergelijke overkoepelende over eenkomst met de VS. Wel zou de kaderovereenkomst volgens de

Gemeenschappelijke toezichthoudende organen

toezichthouders moeten zien op zowel bestaande als toekomstige

Het CBP is toezichthouder op het nationale gedeelte van syste

overeenkomsten tussen de Europese Unie en/of haar lidstaten aan

men ten behoeve van Europese politie- en justitiesamenwerking,

de ene kant en de VS aan de andere kant. Uiteindelijk zou zo’n

bijvoorbeeld de nationale invoer van gegevens bij Europol en

akkoord kunnen zorgen voor een hoog beschermingsniveau van

Eurodac (zie daarover het hoofdstuk Politie en justitie, p. 22).

de gegevens van Europese burgers die in de VS worden verwerkt.

Daarnaast is het CBP vertegenwoordigd in verschillende gemeen

De toezichthouders blijven echter bezorgd over de onderhande

schappelijke toezichthoudende organen (zie voor een overzicht

lingen over het nieuwe verdrag, vooral als gevolg van de slechte

het hoofdstuk Organisatie, p. 46 en 47). Deze adviseren over de

nasmaak van de onderhandelingen over het TFTP II-verdrag,

bescherming van persoonsgegevens in de verschillende syste

dat uiteindelijk lang niet zo stevig was als door de Europese

men, nemen gemeenschappelijke standpunten in en bereiden

Commissie ooit was beloofd.

gemeenschappelijke inspecties en onderzoeken voor. In 2010 zijn onder de loep genomen gegevensverwerking door Europol, con

Behavioural advertising

troles van hotelgasten in het Schengen Informatiesysteem (SIS),

In hun opinie van mei 2010 constateren de Europese toezichthou

voorbereidingen voor een onderzoek naar personen die in het

ders dat hoewel online behavioural advertising voordeel kan ople

SIS zijn geregistreerd omdat om hun uitlevering wordt gevraagd,

veren voor zowel het online bedrijfsleven als voor de gebruikers,

DNA-verwerkingen in de lidstaten en de uitwisseling van DNA-

de implicaties voor de bescherming van persoonsgegevens en de

gegevens tussen de lidstaten en de implementatie van nieuwe

privacy aanzienlijk zijn. De privacytoezichthouders wijzen erop

dataprotectieregels voor verwerking van politie- en justitiegege

dat advertentienetwerken bij het gebruik van cookies gebonden

vens in de lidstaten.

zijn aan de herziene ePrivacy Richtlijn. Deze richtlijn introduceert de verplichting tot het verkrijgen van ondubbelzinnige, geïn

Wereldwijde bescherming van persoonsgegevens

formeerde toestemming van de gebruikers voordat volginstru

Naast de herziening van het EU-raamwerk voor gegevens

menten (tracking devices) zoals cookies op de computers van

bescherming vindt thans ook een herziening plaats van de

Jaarverslag 2010 > internationaal

31

privacyregels die zijn vastgesteld door de Organisation for Economic Co-operation and Development (OECD) en door de Raad van Europa. Ook de Federal Trade Commission (FTC) van de Verenigde Staten heeft zich in 2010 beziggehouden met een zogenaamde ‘privacy rethink’. Volgens CBP- en WP29-voorzitter Kohnstamm is het noodzakelijk dat deze gelijktijdige herzie ningen gaan leiden tot meer convergentie van de privacyregels wereldwijd. Hoezeer privacy een mondiaal onderwerp is, bleek ook in april 2010 toen toezichthouders uit tien landen verspreid over de hele wereld, van Canada tot Nieuw Zeeland, waaronder Nederland, gezamenlijk kritiek uitten op Google vanwege de wijze waarop de nieuwe sociale netwerkdienst Google Buzz in de markt was gezet. Internetbedrijven in brede zin werden in een gezamenlijke open brief opgeroepen om voortaan al in de ontwerpfase producten en diensten te voorzien van waarborgen om persoonsgegevens goed te beschermen en te beveiligen, zoals duidelijk zichtbare en mak kelijk te gebruiken privacyinstellingen. Global Privacy Enforcement Network Het overal ter wereld groeiende inzicht dat internationale samen werking bij handhaving onontbeerlijk is heeft het CBP samen met andere toezichthouders wereldwijd doen besluiten om het ‘Global Privacy Enforcement Network’ (GPEN) op te richten. Inmiddels nemen 22 toezichthouders deel aan GPEN, van Nieuw-Zeeland tot de VS en Canada. Het doel van het netwerk is het bevorderen van de handhaving van privacywetgeving. Hiertoe is het uitwisselen van kennis over de verschillende handhavingsregimes van belang en het internationaal bundelen van krachten.

32


Als toezichthouder heeft het CBP de rol van adviseur van bedrijven en instellingen achter zich gelaten. Dat wil niet zeggen dat het College vanuit een ivoren toren opereert en evenmin dat het niet open staat voor het uitwisselen van gedachten of het voeren van overleg met maatschappelijke organisaties als dit leidt tot het verbreden van het draagvlak in samenleving en politiek voor een goede bescherming van persoonsgegevens. Hieronder komt een selectie aan bod van de externe activiteiten van de drie Collegeleden, gevolgd door ontwikkelingen rond de evaluatie van de Wbp en enkele andere mededelingen.

Universiteit Leiden. Internationaal vertegenwoordigde McLaggan

Het afgelopen jaar laat een gevarieerd pakket aan activitei

het CBP tijdens de jaarlijkse Internationale Conferentie van

ten zien. Het voorzitterschap van de Artikel 29-werkgroep van

Privacytoezichthouders te Jeruzalem en de eveneens daar plaats

Europese privacytoezichthouders brengt voor de CBP-voorzitter

vindende OECD-conferentie, waarbij de nadruk vooral lag op

Jacob Kohnstamm veel extra overleg in en met Brussel en met

wat bedrijven zouden kunnen en moeten doen om als verant

andere internationale gremia mee. Met de op privacyterrein

woordelijken hun verantwoordelijkheid daadwerkelijk te nemen,

nieuw aangetreden Eurocommissaris, mevrouw Viviane Reding, is

zoals door het toepassen van Privacy by Design en Privacy Impact

regelmatig overleg gevoerd, vooral met het oog op de totstandko

Assessments. Daarnaast was McLaggan panelvoorzitter tijdens de

ming van een nieuwe Europese Privacyrichtlijn. Parallel daaraan is

twaalfde ISSE (Information Security Solutions Europe)-conferentie

Kohnstamm meermaals opgetreden in het kader van het Future of

te Berlijn en tijdens een bijeenkomst van het Centre for Intellectual

Privacy- project en bij velerlei debatten, bij conferenties – waaron

Property Law te Parijs.

der de Voorjaarsconferentie van Privacytoezichthouders in Praag en de OECD-conferentie in Parijs – en in het kader van platforms,

In aanvulling op het dagelijkse perswerk door de woordvoerders

waaronder het Privacyplatform van het Europees Parlement over

van het CBP hebben vooral de voorzitter maar ook de andere twee

de toekomst van het juridische privacyraamwerk en de start van

Collegeleden interviews gegeven aan dagbladen, radio en TV. De

het FTC-Platform.

persconferentie van Collegelid Beuving over de toepassing van ANPR door twee politiekorpsen trok de aandacht van zeer veel

Collegelid Jannette Beuving participeerde evenals een aantal

media. Ook het CBP-onderzoek naar de studenten-OV-chipkaart

maanden eerder in een rondetafelgesprek over het Elektronisch

kreeg veel aandacht van de pers.

Patiëntendossier met de Vaste commissie VWS van de Eerste Kamer. Beuving gaf voorts in september 2010 aan de Academie

De evaluatie van de Wet bescherming persoonsgegevens

voor Wetgeving een gastcollege over privacywetgeving in het

De Wet bescherming persoonsgegevens beleeft op 1 september

kader van de module ‘Overheidsinformatie en Recht’. Collegelid

2011 haar tweede lustrum. In deze afgelopen tien jaar hebben zich

Madeleine McLaggan hield in november 2010 een toespraak

ongekende technologische ontwikkelingen voltrokken. Internet is

bij het jaarlijkse Nationaal Privacycongres georganiseerd door

niet meer uit ons dagelijks leven weg te denken. De OV-chipkaart,

uitgeverij Kluwer. Voorts participeerde zij in een debat over de

de opkomst van sociale netwerksites, het gebruik en de opslag van

openbaarheid van rechtspraak in het internettijdperk aan de

biometrische gegevens, datamining, behavioural targeting, het Jaarverslag 2010 > algemene activiteiten

33

Algemene activiteiten

Externe optredens Collegeleden

scannen en opslaan van kentekens: overal waar wij gaan en staan

00790) een brief verzonden. In deze brief heeft het CBP een aantal

worden onze gegevens verzameld en gebruikt. Biedt de Wbp nog

aspecten betreffende de herziening van de richtlijn voor het

voldoende bescherming aan burgers? Kunnen de administratieve

voetlicht gebracht. De belangrijkste punten uit de brief betreffen:

lasten voor bedrijven worden verminderd zonder het bescher

• Versterking van de rechten van burgers, in het bijzonder door

mingsniveau te zeer aan te tasten? Dit zijn de kernvragen bij de evaluatie van de wet.

het invoeren van collective redress; • Ten aanzien van de verantwoordelijke: invoering van het begin sel van accountability en het blijvend onderstrepen van het

Op 3 februari 2010 heeft een gezamenlijk Algemeen overleg

belang van doelbinding, verplichte invoering van Privacy by

van de vaste commissies van Justitie en Binnenlandse Zaken en

Design en overkoepelende privacyregulering voor alle terrei

Koninkrijksrelaties (BZK) plaatsgevonden in het kader van het

nen van EU-regulering, inclusief politie en justitie;

kabinetsstandpunt (Kamerstuk II 31 051, nr. 5, brief van 3 februari

• Toezichthouders: sterke(re) rol voor het toezicht, zowel op

2009) over het advies van de Commissie Brouwer-Korf en de evalu

nationaal niveau (betreffende het CBP) als op internationaal

atie van de Wbp.

niveau (betreffende de van WP29).

Mede naar aanleiding van deze rapporten en van de inbreng van

De Staatssecretaris van Veiligheid en Justitie heeft bij brief van 5

de Artikel 29-werkgroep van Europese privacytoezichthouders in

november 2010 de Tweede Kamer op de hoogte gebracht van zijn

het kader van de herziening van de Europese richtlijn heeft het

voornemen om op korte termijn over te gaan tot de voorbereiding

CBP de volgende speerpunten benoemd:

van een wetsvoorstel dat de uitbreiding van de boetebevoegd

• de positie van de burger: transparantie, laagdrempelige klach

heid van het CBP beoogt en daarnaast ook een meldplicht moet

tenafhandelingen en mogelijkheid van het instellen van collec

invoeren voor geconstateerde doorbraken van beveiliging, de

tive redress;

zogeheten datalekken.

• de positie van de verantwoordelijke: actievere invulling van de transparantieverplichting, verplichte melding van ‘datalekken’

Zie voorts over de herziening van de EU-privacyrichtlijn het hoofd

en de inzet van Privacy by Design;

stuk Internationaal.

• de positie van de toezichthouder: verschuiving van ex-ante naar ex-posttoezicht, adequate handhavings- en boetebevoegd

College voor de Rechten van de Mens

heden, garantie van onafhankelijkheid van de toezichthouder

‘Hoeder van de menselijke waardigheid’ te zijn moet de taak wor

en – in verband met de toename van grensoverschrijdend

den van het op te richten College voor de rechten van de mens.

gegevensverkeer – versteviging van de positie van Artikel 29

Op 8 september 2010 is het voorstel van wet ingediend tot instel

Werkgroep.

ling van het onafhankelijk nationaal mensenrechteninstituut. Het College krijgt tot doel in Nederland de rechten van de mens,

Op vragen van de vaste commissie van Justitie en BZK van de

waaronder het recht op gelijke behandeling, te beschermen en

Eerste Kamer heeft het kabinet bij brief van 27 mei 2010 uitge

de naleving van deze rechten te bevorderen. Het zal ‘een cruciale

breid gereageerd. De belangrijkste standpunten van het kabinet

schakel zijn tussen het maatschappelijk middenveld, nationale en

zijn:

internationale organisaties. Zo zal het op belangrijke wijze bijdra

• Uitbreiding van artikel 9 Wbp (waarvoor ook aanpassing van de

gen aan het vertalen van het beginsel menselijke waardigheid

richtlijn noodzakelijk is). De minister bezweert overigens dat dit

naar handreikingen om aan dat beginsel in de praktijk vorm te

niet betekent dat het doelbindingsprincipe wordt losgelaten.

geven’, aldus de Memorie van Toelichting bij het wetsvoorstel.

Gelet op de insteek valt dat volgens het CBP nog te bezien;

Het oprichten van het College dient ter uitvoering van een

• Dataminimalisatie: mogelijke aanpassing van artikel 10 Wbp;

VN-resolutie van 1993 en een aanbeveling uit 1997 van het Comité

• Uitwisseling van gegevens tussen toezichthouders en binnen

van Ministers van de Raad van Europa inzake de oprichting van

multidisciplinaire teams met loslating van de geheimhoudings

onafhankelijke nationale mensenrechteninstituten.

bepalingen; • Profiling: geen principiële bezwaren maar wel met maximale

Het CBP heeft samen met de Nationale ombudsman, de Commissie

openheid, aanpassing van de Wbp nodig voor uitbreiding van

gelijke behandeling en het Studie- en Informatiecentrum

transparantieverplichtingen.

Mensenrechten in de periode 2005-2007 een aantal rapporten uitgebracht over een mogelijke structuur van een mensenrech

Naar aanleiding van het besluit van 16 november 2010 van de

teninstituut, in 2007 afgerond met een rapport ‘Mensenrechten

vaste commissies voor Justitie en de JBZ-Raad van de Eerste

verplichten’. De uitkomst van daaropvolgend overleg tussen

Kamer om een brief te sturen naar de Europese Commissie over

kabinet en Kamer over de organisatorische vormgeving van het

de bescherming van persoonsgegevens, heeft het CBP zowel aan

instituut heeft geleid tot het voorstel de Commissie gelijke behan

de Eerste als aan de Tweede Kamer op 6 december 2010 (z2009-

deling in het nieuwe instituut te laten opgaan.

34

Jaarverslag 2010 > algemene activiteiten

Functionarissen voor de gegevensbescherming De Functionaris voor de Gegevensbescherming (FG) levert een bijdrage aan het bevorderen en in stand houden van het pri vacybewustzijn van zijn organisatie door er op toe te zien dat die organisatie en allen die daarvoor werkzaam zijn de weten regelgeving voor de bescherming van persoonsgegevens op de juiste wijze naleven. Waar bij bedrijven, instellingen en branche organisaties een ‘eigen’ functionaris is aangesteld, kan het CBP op afstand blijven. Er zijn thans 310 organisaties waar een FG is ingeschreven. Deze zijn opgenomen in het openbare register van FG’s dat het CBP bijhoudt. De FG’s zijn verenigd in het in 2003 opgerichte Nederlands Genootschap van Functionarissen voor de Gegevensbescherming. In 2010 heeft geen regulier overleg plaatsgevonden tussen het CBP en het bestuur van het NGFG. Gezamenlijke PIA Eind 2010 heeft het CBP de Tweede Kamer laten weten een punt te zetten achter het ontwikkelen van een gezamenlijke Privacy Impact Assessment (PIA). Het CBP nam deze stap nadat de belang rijke partijen VNO/NCW en MKB-Nederland hadden besloten zich uit het project terug te trekken. Het CBP had in 2009 het initiatief genomen om gezamenlijk met bedrijfsleven en overheid een zogeheten Privacy Impact Assessment (PIA) te ontwikkelen. Een PIA is een vragenlijst met toelichting aan de hand waarvan organisaties in beeld kunnen brengen of door hen gewenste nieuwe projecten privacyrisico’s meebrengen en hoe deze risico’s kunnen worden vermeden of opgeheven. Door systemen te (laten) bouwen die ‘privacyproof’ zijn, kunnen bedrijven voorkomen dat in een later stadium dure aanpassingen nodig zijn. In het Verenigd Koninkrijk is al een model van een PIA in gebruik.

Jaarverslag 2010 > algemene activiteiten

35

Het College bescherming persoonsgegevens zal ook in 2011 de prioriteit leggen bij hand havende onderzoeken. Bij het selecteren van onderzoeksgebieden en onderzoeksobjecten zal het zo veel mogelijk risicogericht werken. Prioriteit zal worden gegeven aan (vermoe dens) van ernstige overtreding van structurele aard die veel mensen treffen en waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken. Hieronder volgt een overzicht van prioriteiten die het cbp heeft gesteld voor 2011. Het overzicht is tot stand gekomen met toepassing van de hierboven genoemde criteria en is niet limitatief. Optreden in niet genoemde sectoren of optreden naar aanleiding van nieuwe aanwijzingen is uiteraard geenszins uitgesloten.

Agenda 2011

Toezicht Privaat Het landschap waarin persoonsgegevens worden verwerkt is veranderd van een overzichtelijk geheel van een paar grote databases naar een kluwen van nationale en internationale bedrijven. Daarin spelen nieuwe soorten bedrijven een rol die complexe diensten aanbieden. Op grond van de eu-privacyrichtlijn en de Wet bescherming persoonsgegevens dienen partijen die persoonsgegevens verwerken personen te informeren over het bestaan en de doeleinden van de verwerking. Deze informatieplicht vloeit voort uit de gedachte dat transparantie een ieder in de gelegenheid stelt om na te gaan wie gegevens over hem vastlegt, en waarom. Inmiddels heeft het aantal databases en verwerkingen een grote vlucht genomen. Het aantal en de soorten verwerkingen van persoonsgegevens, al dan niet in de vorm van koppelingen en afgeleide profielen, zijn volstrekt ondoorzichtig geworden. Het valt voor een gemiddelde burger nauwelijks nog te doorgronden welke partijen persoonsgegevens over hem verwerken, aan wie zij die persoonsgegevens verstrekken, en voor welke doeleinden. Naarmate de complexiteit van gegevensverwerkingen toeneemt, wordt het belangrijker dat informatie de burger daadwerkelijk duidelijkheid biedt. Bedrijven mogen niet lichtvaardig aannemen dat de burger toestemming heeft gegeven voor een bepaalde gegevensverwerking. Zij hebben de plicht de burger conform de wettelijke eisen te informeren over de verwerking van zijn persoonsgegevens.

36

Jaarverslag 2010 > Agenda 2011

Met het oog op het voorgaande is de toezichthouder voornemens zich in 2011 te richten op de volgende onderwerpen, al dan niet in de vorm van het uitvoeren van handhavende onderzoeken. • V erwerking van locatiegegevens: Steeds vaker worden locatiegegevens geregistreerd. Relatief nieuw is dat dit ook door middel van mobiele apparaten als smartphones, laptops of tabloids plaatsvindt. Dit leidt ertoe dat het steeds eenvoudiger wordt om individuen te volgen, vaak zonder dat we dat zelf weten. Risico’s hierbij zijn het op grote schaal verzamelen, bewaren en mogelijk illegaal verstrekken van locatiegegevens van (groepen) individuen aan derden. • Derdenverstrekking en profilering: Online advertentienetwerken kunnen het gedrag van individuele surfers door de tijd heen en over meerdere websites volgen en daarmee uitgebreide profielen opbouwen. Mensen weten vaak niet dat ze (automatisch) gevolgd worden en dat beslissingen (over hen) worden genomen op basis van voor hen onbekende profielen. Belangrijk risico hierbij is het gevaar van stigmatisering van individuen of groepen. • Risicovol internationaal transport van gevoelige gegevens: De laatste jaren is veel geïnvesteerd in binding corporate rules (bcrs) teneinde sluitende afspraken te maken over internationaal gegevenstransport. Internationale gegevenstransporten die onder een bcrregime plaatsvinden, zijn evenwel de uitzondering, niet de regel. Dit brengt grote risico’s met zich mee, zeker als het gaat om transporten van gevoelige – zoals medische – gegevens naar landen zonder adequaat gegevensbeschermingsniveau. • Datalekken: Om persoonsgegevens in overeenstemming met de wet te verwerken, dient zorg te worden gedragen voor een adequaat beveiligingsniveau. Het cbp krijgt regelmatig – zowel via zijn eigen kanalen als via media – signalen van datalekken. Die signalen vormen heldere aanwijzingen dat bedrijven het niet zo nauw nemen met de beveiliging van persoonsgegevens. In 2011 gaat het cbp ruime aandacht besteden aan dergelijke datalekken. • Burgervolgsystemen in de sociale zekerheid: De heersende tendens in de sociale zekerheid is om door middel van het koppelen van grote hoeveelheden beschikbare gegevens nieuwe bestanden aan te leggen ten behoeve van de uitvoering van beleid of beleidsvoornemens. Dit gebeurt vaak vanuit de bestwilgedachte. Met erkenning van de goede intentie die hierachter zit, constateert het cbp dat dergelijke koppelingen aanmerkelijke risico’s met zich meebrengen, zeker als zij gepaard gaan met het ontbreken van de waarborgen die de Wbp daaraan stelt. Denk daarbij aan risico’s van stigmatisering, het risico dat de gegevens in handen van derden vallen en het gevaar van bovenmatige verzamelingen persoonsgegevens in het algemeen. • ov-chipkaart: Tijdens het onderzoek naar de verwerking van persoonsgegevens ten behoeve van de studenten ov-chipkaart, is geconstateerd dat de beschikbare persoonsgegevens door de ov-bedrijven thans (nog) niet voor marketingdoeleinden worden gebruikt, maar dat dit in de toekomst wel het geval zal zijn. Het cbp heeft aangekondigd in 2011 onderzoek te zullen doen naar het gebruik van die persoonsgegevens voor marketingdoeleinden. • Identificatie en verificatie van persoonsgegevens: Het maken van het zogeheten ‘kopietje paspoort’ ten behoeve van het verkrijgen van uiteenlopende categorieën goederen en diensten is aanleiding voor veel ergernis bij de burger. Ook is dit niet zonder risico; door op grote schaal persoonsgegevens te verzamelen neemt het risico op identiteitsfraude toe. In 2011 zal het cbp een aantal maatregelen treffen om het ongebreidelde gebruik van deze praktijk tegen te gaan. Eén van deze maatregelen is het publiceren van richtsnoeren over dit onderwerp.


37

Toezicht Publiek In 2011 heeft het cbp in het bijzonder aandacht voor de (on)betrouwbare overheid. Als burgers al dan niet verplicht (gevoelige) persoonsgegevens aan de overheid toevertrouwen, dan moeten zij ervan uit kunnen gaan dat de overheid ook toeziet op een zorgvuldige omgang met deze (gevoelige) persoonsgegevens. In verschillende wetten en in afspraken met het cbp is vastgelegd dat de overheid ook zelf controleert of persoonsgegevens op een juiste wijze worden verwerkt. Met deze zelfcontrole wordt de controle op een juiste naleving van privacywetgeving vergroot. Het cbp richt zich daarom in 2011 behalve op inhoudelijke onderwerpen ook op de vraag in hoeverre de overheid daadwerkelijk zelf controle uitoefent (bijvoorbeeld in de vorm van audits) en op de mogelijk materiële effecten van het ontbreken van zelfcontrole. • O nderwijs en beveiliging: onderzoek naar verwerking van (gevoelige) gegevens op het intranet van scholen. • Gebruik en verstrekking kentekengegevens en controle door de rdw: onderzoek naar het verstrekken van gegevens uit het kentekenregister aan advocatuur, gerechtsdeurwaarders en stichtingen rechtsbijstand. • Verwerking van politiegegevens: onderzoek naar de verwerking van politiegegevens. • Audit Wet politiegegevens (Wpg): onderzoek naar het nakomen van de auditverplichting. Twee jaar na de inwerkingtreding van de Wpg moeten verantwoordelijken een externe audit hebben laten uitvoeren op de verwerking van politiegegevens.

Agenda 2011

Het cbp is toezichthouder op de gegevensinvoer in het nationale gedeelte van verschillende systemen ten behoeve van de Europese politie- en justitiesamenwerking. In 2011 zal het cbp naar verwachting onderzoek doen naar gegevensverweking in het kader van Europol, de Schengen Uitvoeringsorganisatie en de ‘Working Party on Police and Justice’.

38


Internationale werkzaamheden • H et versterken van de rol van de Artikel 29-werkgroep van Europese privacytoezichthouders (wp29). • Het verder ontwikkelen van een eenduidig Europees geluid op het gebied van gegevensbescherming en snelle en gerichte coördinatie van standpunten en handhavingsacties. • Het vervullen van een sleutelrol in het ontwikkelen van een nieuw Europees juridisch raamwerk op het gebied van dataprotectie. • Het ontwikkelen van een nieuwe opzet van de internationale conferentie van privacytoezichthouders, het als mede-oprichter verder ontwikkelen van het Global Privacy Enforcement Network (gpen) en het bijdragen aan het werk van het Raadgevend Comité van het Verdrag van Straatsburg van de Raad van Europa.


39

Het CBP werkt sinds de koerswijziging gestaag verder aan de toerusting voor zijn toezichthou dende taak. Met ingang van 2010 is voor deze organisatie-ontwikkeling een ambitieus actiepro gramma opgesteld waarin projecten zijn opgenomen die gericht zijn op verdere ontwikkeling van alle aspecten van de CBP-organisatie: management en organisatie, processen, systemen en men sen. In 2010 is uitvoering gegeven aan: • invoering van een integraal planningssysteem voor projecten; • start met het actualiseren van het strategisch communicatiebeleid; • start met het actualiseren van de toezichtstrategie; • actualisering van de ao/ic en receptuur; • invoering nieuwe kantoorautomatisering; • implementatie van voorstellen rondom kennisborging; • ontwikkeling van het Front Office nieuwe stijl. Ook voor 2011 is een aantal belangrijke projecten gedefinieerd om de organisatie-ontwikkeling verder vorm te geven. Belangrijke pijlers die op de rol staan zijn het updaten van de strategische toezichtstrategie, het strategisch P-beleid en het strategisch communicatiebeleid. In 2010 zijn voor deze projecten de plannen van aanpak vastgesteld; in 2011 vindt de uitwerking daarvan plaats.

Personeel en formatie De Ondernemingsraad De Ondernemingsraad (or) heeft zich in 2010 beziggehouden met een groot aantal onderwerpen, waaronder het terugdringen van het ziekteverzuim, de reorganisatie binnen Front Office (het project Front Office Nieuwe Stijl), strategisch P-beleid, de evaluatie van de reorganisatie van 2008 en de uitkomsten van het binnen het cbp uitgevoerde medewerkerstevredenheidsonderzoek. De or heeft verschillende achterbanconsultaties en lunchbijeenkomsten georganiseerd.

Formatie

Organisatie

2008 85,4 fte

2009 2010 2011 2012 84,2 fte

82 fte 80,5 fte 80,5 fte

Het cbp heeft in 2010 de door het ministerie opgelegde taakstelling van 2,2 fte gerealiseerd. Voor 2011 is de verplichte taakstelling van 1,5 fte ingeboekt. Voor de jaren erop zijn geen nadere personele taakstellingen aangekondigd.

40

Jaarverslag 2010 > organisatie

Bezetting 2008 2009 2010

m

v

m

v

m

v

In dienst 5 9 4 13 2

5

Uit dienst 5 11 2 4

3

7

Bezetting einde jaar m / v 20 59 22

21

67

Bezetting einde jaar totaal

79

68

90

88

Fulltime 16 54 20 61 18 In tijdelijke dienst 9

9

11

Fulltime in dienst 70

81

77

59

Gemiddelde bezetting (fte’s) 70,16 77 79 Bezetting einde jaar totaal (fte’s) 70,29 81,50 79,6 Vacatures per einde jaar 5

4

2

Overzicht medewerkers buiten formatie Uitzendkrachten (fte's) 0,19 0,93 0,2 Stagiaires (fte's) 2,32 2,51 1,5 Interim (fte's) 0,97 1,92 1,08

Na enkele jaren met een relatief hoog verloop is vanaf 2009 de uitstroom genormaliseerd. Door een aantrekkelijke werkgever te zijn die op verschillende fronten medewerkers kansen en mogelijkheden biedt, zal het cbp trachten dit niveau voor de komende jaren vast te houden. In 2010 is beperkt gebruik gemaakt van externe inhuur. Daar waar sprake was van externe inhuur was dat om de continuïteit van het primaire proces te waarborgen in geval van (langdurige) ziekte en omdat een cruciale positie lange tijd niet via de normale vacatureweg kon worden ingevuld. Het cbp heeft in 2010 de erkenning als leer-werkbedrijf van de ecabo verlengd in verband met het faciliteren van stageplaatsen voor leerlingen uit het middelbaar beroepsonderwijs. Tevens zijn contacten gelegd met een instelling uit het hoger beroepsonderwijs in verband met het aanbieden van stageplaatsen.

Ziekteverzuim en overige personele informatie 2008 2009 2010* Totaal ziekte excl. zwangerschap 7,89% 8,06% 9,24% Lang ziekteverzuim > 28 dagen 3,53% 5,17% 4,76% Kort ziekteverzuim < 28 dagen 4,36% 2,89% 4,93% Norm exclusief zwangerschap 6,70% 6,70% 6,70% Ouderschapsverlof

5

6

4

Verlof zwangerschap/bevalling

6

5

3

Seniorenregeling 3 3

3

*

Gelet op de grote onzekerheidsmarges die de cijfers van P-direkt laten zien is ervoor gekozen om de cijfers op basis van KAUW te gebrui ken. Dit is het ‘oude’ verzuimregistratiesysteem dat vanwege de genoemde oorzaak als schaduwsysteem bij het CBP nog wordt gebruikt.


41

Het totale ziekteverzuimpercentage is in 2010 is wederom gestegen. Deze trend is met name te verklaren vanwege een groot aantal langdurig zieken. Bij een kleinere organisatie als het cbp hebben die een grote invloed op het verzuimpercentage. Dit alles neemt niet weg dat het verzuim grote aandacht heeft. Tezamen met de bedrijfsarts en, indien nodig, bedrijfsmaatschappelijk werk, worden (langdurige) verzuimgevallen begeleid en waar mogelijk zo snel mogelijk gere-integreerd. Voor kortdurend frequent verzuim geldt dat dit grote aandacht heeft, van zowel het managementteam als de bedrijfsarts.

Opleidingen 2008 2009 2010 Uitgaven opleidingen (bedragen x € 1.000) 196 119 145 Opleiding in % t.o.v. p-budget 3,57% 2,14% 2,4%

In 2009 heeft het cbp zijn opleidingsbeleid herijkt. Dit beleid is in 2010 voortgezet. De kern van dit beleid is dat vanuit drie overwegingen opleiding kan worden gefaciliteerd: • om invulling te geven aan door het managementteam geformuleerde speerpunten. In 2010 was dit versterking van de kennis op het terrein van de Algemene wet bestuursrecht. Daartoe is een in company training verzorgd door de Academie van Wetgeving waarbij een groot deel van de medewerkers (voor hen relevante) modules op diverse terreinen van de Awb hebben gevolgd; • vanwege de noodzaak voor een individuele goede functievervulling; • vanwege de behoefte van individuele ontwikkeling ten behoeve van (in- of externe) mobiliteit. In de laatste twee gevallen worden individuele afspraken tussen manager en medewerker gemaakt, onder meer in het jaarlijkse functioneringsgesprek.

Mandaatregeling Met de Regeling mandaat beheer directeur cbp draagt de voorzitter van het cbp de dagelijkse leiding voor beheerszaken over aan de directeur van het secretariaat. In de Regeling geeft de directeur volmacht en machtiging voor bepaalde beheerstaken aan leidinggevenden van het secretariaat. In 2009 is deze regeling aangepast aan de nieuwe organisatiestructuur waarbij tevens aan de leidinggevenden een ruimer financieel mandaat is verleend, waarmee meer recht wordt gedaan aan hun integrale verantwoordelijkheid. Het Besluit mandaat en machtiging voorzitter en andere leden cbp en het Besluit mandaat en machtiging secretariaat cbp geven individuele collegeleden en medewerkers de bevoegdheid om bepaalde zaken zelfstandig af te doen.

Integriteit Als toezichthouder dient het cbp toegang te hebben tot informatie bij verantwoordelijken die als bijzondere informatie (vertrouwelijk of staatsgeheim) is aangemerkt. Indien nodig dient deze informatie in beperkte mate ook bij het cbp te kunnen worden opgeslagen. Daartoe heeft het cbp specifieke maatregelen getroffen. Enkele medewerkers zijn op basis van hun functie onderworpen aan een veiligheidsonderzoek (zgn. A-screening). In 2010 is een begin gemaakt met het updaten van het beveiligingsbeleid aan de hand van de meest recente inzichten. In 2011 zal dit nieuwe beleid worden vastgesteld.

42


Financiën Begroting 2008 2009 2010

(bedragen x € 1.000) 7.699 7.631 7.679

Als gevolg van bezuinigingen bij het Rijk daalt het budget van het cbp in de komende jaren. Aangekondigd is dat het in 2012 om een korting gaat van een ton, oplopend tot vier ton in 2018. Gelet op de omvang van het budget en het deel dat hiervan opgaat aan personele lasten gaat deze financiële taakstelling onvermijdelijk gevolgen hebben voor de mogelijkheden van het cbp om in de toekomst vacatures in te vullen en daarmee tevens voor de wijze waarop het cbp zijn taken kan vervullen. Bij de voorbereidingen voor 2011 is namelijk reeds geconstateerd dat de rek voor besparingen in de materiële sfeer er zo goed als uit is. Bij verdere bezuinigingen komen derhalve al heel snel besparingen in de personele sfeer in beeld.

Uitgaven

(bedragen x € 1.000)

2008 2009 2010 Personeel 5.281,1 5.568,0 6.195 Materieel 1.542,1 1.278,4 1.878 Aanschaffingen 287,3 65,7 56 Totaal 7.110,5 6.912,1 8.129 Budget 7.166,0 7.285,0 7.699

Waar in 2009 sprake was van onderuitputting met een omvang van rond de 5 procent van het budget, is in 2010 sprake van een overuitputting van rond de 5 procent. Deze is goeddeels verklaarbaar en voorzien vanwege de afspraak met het ministerie rondom de financiering van het voorzitterschap van de Artikel 29-werkgroep (wp29) door de voorzitter van het cbp. Daarnaast is het cbp in 2010 geconfronteerd met allerlei doorbelastingen van verzelfstandigde onderdelen van het ministerie, waarvan het niet de gewoonte was deze aan organisaties door te belasten. Daarbij betrof het ook nog eens doorbelastingen uit voorgaande jaren. Gelet op de onderuitputtingen in die jaren heeft het cbp besloten deze doorbelastingen niet eindeloos te betwisten, maar in 2010 al deze kosten in een keer te nemen om zodoende in 2011 met een schone lei te kunnen beginnen. Daarbij is met de andere partijen de afspraak gemaakt dat als er sprake is van doorbelastingen, deze alleen voor het lopende jaar worden geaccepteerd. Net zoals dat in het jaar ervoor het geval was, zijn de personele kosten bij een min of meer gelijkblijvend personeelsbestand weer gestegen. Het cbp heeft hierop geen invloed, aangezien de stijgingen voortvloeien uit de rijksbrede cao-afspraken. Met een gelijkblijvend, en zelfs vanaf 2010 dalend budget, betekent dit dat er steeds minder ruimte is voor andere uitgaven. In 2010 bestonden de materiële uitgaven voor een groot gedeelte uit de kosten die inherent zijn aan de normale exploitatie van de organisatie. Onder meer is een groot bedrag gemoeid met de huur en exploitatie van het pand. Voorheen werden deze penningen rechtstreeks binnen het ministerie verrekend, thans ontvangt het cbp een vergoeding voor de huurpenningen en rekent deze vervolgens zelf af. Daarnaast is er externe expertise ingehuurd. Dit is gebeurd deels ter vervanging van mede werkers in verband met bijvoorbeeld langdurige ziekte en deels om het cbp te ondersteunen in werk waarvoor in huis de specifieke expertise niet aanwezig was.


43

Inkomsten

(bedragen x € 1.000)

2008 2009 2010

Ontvangsten 3,0 17,9 2,6

De ontvangsten hebben voornamelijk betrekking op betalingen door de Europese Commissie van reisvergoedingen. In verband met de verandering van huisbankier van de Nederlandse Staat en de daarmee gepaard gaande formaliteiten in de richting van de Europese Unie rondom de terugbetalingen, zijn in 2010 niet alle gelden ontvangen waarop het cbp recht had. In 2011 zal dit alsnog geschieiden.

Bezoldiging Collegeleden Bij Besluit Rechtspositie leden College bescherming persoonsgegevens (Staatsblad 2001, 382) was de bezoldiging van de voorzitter van het College vastgesteld op het maximum van salarisschaal 18 van Bijlage B van het Bezoldigingsbesluit Burgerlijke Rijksambtenaren 1984. Voor de overige leden gold schaal 17. De voorzitter is op grond van artikel 22a van het Bezoldigingsbesluit een toeslag toegekend en representatievergoeding op grond van het Besluit vergoeding representatiekosten rijkspersoneel. In 2007 is gestart met het opnieuw bezien van de bezoldiging van de collegeleden. Eind 2008 is de herwaardering van de bezoldiging van de voorzitter en de leden van het College afgerond. De bezoldiging van de voorzitter wordt vastgesteld volgens Bijlage A van het bbra 1994, terwijl de bezoldiging van de leden wordt vastgesteld op schaal 18, bijlage B van het bbra 1984. Het voorstel tot wijziging van het Besluit Rechtspositie leden College bescherming persoonsgegevens waarin de wijziging wordt geregeld is in 2010 in werking getreden.

Productie Taken van het CBP De taken van het cbp vallen uiteen in vier groepen: • Toezicht op naleving van de wet; • Sancties; • Advisering; • Rechtsbescherming en openbaarheid van bestuur.

Toezicht op naleving van de wet Onderzoeken

Artikel 60 Wbp geeft het cbp de bevoegdheid om uit eigen beweging een onderzoek in te stellen naar de naleving van de wet. Gezien de grotere nadruk op toezicht en structurele handhaving maakt het cbp in toenemende mate gebruik van deze bevoegdheid. De meeste capaciteit gaat hierin zitten. In de afgelopen jaren is gekeken naar de gewenste aanpak en diepgang van onderzoek. Vaststaat dat deze per geval bepaald dienen te worden. Maar wat ook is geconstateerd, is dat daar waar in het verleden bij één onderzoek vele verantwoordelijkheden werden onderzocht, dit vooral nuttig was om onderzoekservaring op te doen, maar voor de kwaliteit van de bevindingen geen grote toegevoegde waarde heeft. Daarom wordt er selectief gekeken naar welke verantwoordelijkheden bij een onderzoeksonderwerp worden betrokken. Om die reden

44


zijn in 2010 minder onderzoeken gedaan dan in de jaren ervoor. Richtsnoeren

Onduidelijkheid over de weten regelgeving die ziet op de bescherming van persoonsgegevens kan ten koste gaan van de bescherming van persoonsgegevens van burgers. Daarom zet het cbp in richtsnoeren uiteen welke uitleg van de wettelijke normen het cbp hanteert bij de uitoefening van zijn bevoegdheden. Richtsnoeren worden in de regel aan deskundigen voorgelegd en op de website van het cbp gepubliceerd. Na verwerking van opmerkingen en suggesties wordt de definitieve versie in de Staatscourant en op de website gepubliceerd. In 2010 zijn geen richtsnoeren opgesteld. Verzoek om een zienswijze

Verantwoordelijken voor de verwerking van persoonsgegevens kunnen in bepaalde gevallen en onder bepaalde voorwaarden het cbp vragen een standpunt in te nemen over nieuwe rechtsvragen. Deze vragen kunnen zijn ontstaan door nieuwe ontwikkelingen die mogelijk van groot maatschappelijk en/of economisch belang zijn. Er kan bijvoorbeeld sprake zijn van onzekerheid over de toepasselijke regels voor het verwerken van persoonsgegevens bij het in gebruik nemen van een nieuwe technologie. De criteria voor het verzoek om een zienswijze zijn gepubliceerd in de Staatscourant van 11 april 2008, nummer 71 en op www.cbpweb.nl. In 2009 stelde het cbp op verzoek van de Stichting Informatiesysteem Schulden (lis) zijn eerste zienswijze op, die werd gevolgd door een tweede naar aanleiding van een herzien ontwerp van het lis. In 2010 is één verzoek om een zienswijze bij het cbp ingediend. Gedragscodes

Op grond van artikel 25 Wbp is het cbp belast met de toetsing van gedragscodes die uitvoering geven aan wettelijke bepalingen. In 2009 is één gedragscode ter goedkeuring aangeboden. In 2010 waren dit er acht. Voorafgaande onderzoeken

Bepaalde categorieën van verwerkingen waaraan bijzondere risico’s zijn verbonden, zijn krachtens artikel 31 van de Wbp onderworpen aan een voorafgaand onderzoek dat aan strakke termijnen is gebonden. De verantwoordelijke mag een dergelijke verwerking niet starten gedurende de looptijd van dit onderzoek. Het onderzoek resulteert meestal in een verklaring over de rechtmatigheid van de verwerking. In 2010 heeft het cbp 642 voorafgaande onderzoeken uitgevoerd. De sterke stijging ten opzichte van voorgaande jaren kan worden verklaard uit de grote hoeveelheid voorafgaande onderzoeken die zijn uitgevoerd naar aanleiding van de aanmelding van ‘zwarte lijsten’ en het gegeven dat de deelnemers aan die ‘zwarte lijsten’ de verwerking van gegevens melden. Omdat dit een behoorlijke aanslag betekent op de capaciteit wordt er aan methoden gewerkt om dit werk te standaardiseren. Zie het kader op pagina 46. Klachtbehandeling

Op basis van artikel 60 Wbp kan het cbp op verzoek van een belanghebbende een onderzoek instellen naar de naleving van het bij of krachtens de wet bepaalde. Daartoe beschikt het cbp over de nodige onderzoeksbevoegdheden op grond van de Wbp en de Algemene wet bestuursrecht. Bij het aannemen van dergelijke verzoeken voert het cbp een restrictief beleid. De mogelijkheid van toetsing door de Nationale ombudsman stelt hoge eisen aan deze afweging. Veel klachten voldoen niet aan de intakecriteria die het cbp hanteert.


45

Van ex ante naar ex post Wanneer een bedrijf of organisatie van plan is een ‘risicovolle verwerking van persoonsgegevens’ te starten, moet dit bij de melding worden aangegeven (de VO-plichtige melding). Van zo’n verwerking is sprake bij een bepaald gebruik van persoonsnummers (koppeling van bestanden), gevallen van heimelijke waarneming en het verwerken van strafrechtelijke persoonsgegevens ten behoeve van andere verantwoordelijken (zwarte lijsten, zie ook p. 14). Deze categorieën hebben met elkaar gemeen dat een burger of consument vaak niet op de hoogte is van de verwerking en de inbreuk op zijn persoonlijke levenssfeer. De Wbp kent daarom een verplichte alternatieve waarborg: het instellen van een voorafgaand onderzoek door het cbp naar de rechtmatigheid van de verwerking. Deze voorafgaande onderzoeken maken onderdeel uit van het ex ante-werk van het cbp, een toetsing voorafgaand aan de start van de gegevensverwerking. Omdat vanwege de koerswijziging van het cbp meer de nadruk is komen te liggen op onderzoek en handhaving is in 2010 gewerkt aan zowel het terugdringen van de hoeveelheid ex ante-werk als het verbeteren van de voortgang van dergelijke onderzoeken. Het cbp verwelkomt dan ook initiatieven als die vanuit brancheorganisatie Koninklijke Horeca Nederland. Vanuit de branche is in 2010 een modelprotocol opgesteld voor Collectieve Horecaontzeggingen door horecaondernemers. Dit initiatief leidt niet alleen tot meer uniformiteit binnen de branche, maar zorgt ook voor een snellere beoordeling door het cbp. In 2010 is gewerkt aan meer transparantie en efficiëntie met betrekking tot voorafgaande onderzoeken, onder meer door een betere informatievoorziening over de procedure en de inhoud van het onderzoek op de website van het cbp. Verder is gewerkt aan een verbeterde procedure. Enerzijds wordt bij melding van een risicovolle verwerking strenger bezien of alle benodigde informatie is verkregen voordat de melding in behandeling wordt genomen. Anderzijds worden juiste en volledige vo-plichtige meldingen sneller beoordeeld. Ook zal het cbp meer aandacht gaan besteden aan het openbaarmaken van voorafgaande onderzoeken.

Internationale zaken Op grond van artikel 51, eerste lid Wbp houdt het cbp tevens toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt volgens het recht van een ander land van de Europese Unie. Ingevolge artikel 61, zesde lid Wbp is het cbp desgevraagd verplicht aan toezichthoudende autoriteiten van de andere lidstaten van de Europese Unie alle noodzakelijke medewerking te verlenen. De samenwerking tussen de zusterorganisaties wordt door een gemeenschappelijke, besloten website ondersteund. Het Verdrag van Straatsburg bevat vergelijkbare verplichtingen met betrekking tot landen die daarbij partij zijn. De cijfers uit de samenvattende productietabel betreffen overigens alleen deze genoemde thema’s. Er is daarnaast in het afgelopen jaar veel tijd gestoken in (de ondersteuning van) het voorzitterschap wp-29. Voor nadere toelichting wordt verwezen naar hoofdstuk 7. Internationale contacten

Het cbp neemt op reguliere basis deel aan de onderstaande internationale gremia. De Artikel 29-Werkgroep van alle eu-toezichthouders op de bescherming van persoonsgegevens (wp29). De voorzitter van het cbp is vanaf 16 februari 2010 voorzitter van de Werkgroep. Het cbp is vertegenwoordigd in de volgende subgroepen van wp29: • Program and Organisation • Key provisions • bcr/Contractual clauses

46


• • • • • • • • • • •

e-privacy Directive Technology Traveller Data Pre-trial discoveries Financial matters Enforcement World Anti Doping Agency (wada) privacy standard fedma (tot medio 2010) Safe Harbour Adequacy Future of Privacy

Het cbp heeft zitting in het Raadgevend Comité van het Verdrag van Straatsburg. Het cbp neemt op ambtelijk en collegeniveau deel aan de aan de jaarlijkse conferentie van Europese toezichthouders op de bescherming van persoonsgegevens verbonden werkgroepen: • Working party on police and justice (ongeveer 5 keer per jaar); • Case handling workshops (speciaal bedoeld voor uitwisseling van best practices door medewerkers van de dpa's; 2 keer per jaar). Het cbp neemt deel aan de jaarlijkse Mondiale en Europese Conferenties van Data Protection Commissioners. Het cbp neemt op ambtelijk niveau deel aan de halfjaarlijkse International Working Group on Data Protection and Telecommunications. cbp-collegeleden zijn vertegenwoordigd (en worden daarbij vanuit het cbp ambtelijk ondersteund) in diverse toezichthoudende organen binnen de derde pijler van de eu. Ook worden gezamenlijk audits uitgevoerd. Het betreft de volgende organen: • Gemeenschappelijke controle-autoriteit Schengen-informatiesysteem • Gemeenschappelijke controle-autoriteit Douane-informatiesysteem • Gemeenschappelijke controle-orgaan Europol • Eurodac Coördinatie groep • Gemeenschappelijke controle-orgaan Eurojust. Wbp-meldingen

Ingevolge artikel 27 van de Wbp moeten geautomatiseerde verwerkingen van persoonsgegevens vooraf worden gemeld bij het cbp of een functionaris voor de gegevensbescherming, tenzij het Vrijstellingsbesluit voorziet in een vrijstelling. Voor het verrichten van de melding kan gebruik worden gemaakt van een daartoe bestemd formulier, van een elektronisch meldingsprogramma op diskette, of van een speciaal voor verzending via e-mail geschikt programma. Alle meldingen worden na verwerking opgenomen in een openbaar register en zijn via de website van het cbp te raadplegen. In 2010 kwamen 3720 meldingen bij het cbp binnen, in 2009 waren dit er 4.559, in 2008 3.281. Ontheffing voor de verwerking van bijzondere persoonsgegevens

Artikel 16 Wbp bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag. Op grond van artikel 23, eerste lid, onder e Wbp, kan het cbp een ontheffing verlenen, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer. In 2010 heeft het cbp één ontheffing behandeld, tegen drie in het jaar daarvoor.


47

Sancties Bestuursdwang en last onder dwangsom

Bij het niet naleven van wettelijke verplichtingen kan het cbp besluiten om gebruik te maken van de bevoegdheid (artikel 65 Wbp) tot het toepassen van bestuursdwang of het opleggen van een dwangsom. Deze mogelijkheid bestaat ook bij het niet verlenen van medewerking aan een door het cbp ingesteld onderzoek, indien deze medewerking wordt gevorderd (artikel 61 lid 4 Wbp). In 2010 was in 35 gevallen spraken van handhavingtrajecten gericht op naleving van de wet, tegen 26 keer in 2009. Bestuurlijke boete

De Wbp kent een zeer beperkte boetebevoegdheid. Alleen bij overtreding van de meldingsplicht kan een boete worden opgelegd. Het cbp is dan bevoegd (artikel 66 Wbp) om een bestuurlijke boete op te leggen van 4.500 euro per verwerking, dan wel aangifte te doen bij het Openbaar Ministerie. Met ingang van 1 januari 2008 kan het cbp op grond van artikel 35 van de Wet politiegegevens (Wpg) tevens een bestuurlijke boete opleggen als de verantwoordelijke in strijd met de protocolplicht (artikel 35 Wpg) handelt. Het cbp heeft net als in de jaren ervoor ook in 2010 geen boetes opgelegd.

Advisering Wetgevingsadviezen

Op grond van artikel 51, tweede lid Wbp dient het cbp om advies te worden gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of in belangrijke mate betrekking hebben op de verwerking van persoonsgegevens. Dit vloeit direct voort uit Richtlijn 95/46/eg en heeft ook betrekking op voorstellen die belangrijke gevolgen hebben voor de verwerking van persoonsgegevens. De uitvoering van deze adviestaak valt onder de bepalingen van de Kaderwet adviescolleges (Stb. 1996, 378). Dat neemt niet weg dat het cbp zich ook als toezichthouder kan wenden tot de regering, al dan niet onder toezending van een kopie aan een of beide Kamers van de StatenGeneraal. Ook maakt het cbp wel gebruik van de mogelijkheid om te reageren op bij de Tweede Kamer ingediende wetsvoorstellen. Ten slotte komt het regelmatig voor dat vaste commissies uit de Tweede of de Eerste Kamer het cbp uitnodigen om te reageren op aanhangige voorstellen. Het aantal wetgevingsadviezen was in 2010 min of meer gelijk aan voorafgaande jaren, namelijk 35. Gegevensverkeer doorgifte derde landen

Op grond van artikel 77 lid 2 Wbp heeft het cbp de taak om de Minister van Justitie te adviseren over het toekennen van een vergunning voor het doorgeven van persoonsgegevens naar een land buiten de eu dat geen waarborgen voor een passend beschermingsniveau biedt. Het gezamenlijk beleid van de Minister en het cbp is eind 2001 bekend gemaakt. De verzoeken van bedrijven met internationale belangen om een vergunning worden voorzien van een gedegen advies, opdat besluitvorming door de minister van Justitie snel kan plaatsvinden. In 2010 ging het om 133 doorgiftezaken.

48


Rechtsbescherming en openbaarheid van bestuur Bemiddeling

Het cbp kan op grond van artikel 47 Wbp ingaan op verzoeken om bemiddeling bij geschillen over de uitoefening van het recht op inzage of correctie van persoonsgegevens en over de uitoefening van het recht op verzet. Deze procedure is mede bedoeld om de rechter te ontlasten. Belanghebbenden kunnen hun zaak ook voorleggen aan de civiele of administratieve rechter of gebruik maken van een geschillenregeling in een goedgekeurde gedragscode. Als het cbp de bemiddeling heeft beëindigd, kan de zaak alsnog aan de rechter worden voorgelegd. De rechter kan besluiten om (opnieuw) het advies van het cbp in te winnen. Het aantal bemiddelingsverzoeken in 2020 was 154. Bezwaar

Tegen de beslissingen van het cbp die een besluit zijn in de zin van de Algemene wet bestuursrecht kan een bezwaarschrift worden ingediend. Het gaat om besluiten waarbij een sanctie wordt opgelegd aan een verantwoordelijke, de beslissing over een gevraagde ontheffing van het verbod tot verwerking van bijzondere persoonsgegevens, een besluit tot weigering om bestuursdwang toe te passen, een weigering van informatie op grond van de Wet openbaarheid van bestuur of een beslissing over de rechten van betrokkenen ten aanzien van hun dossier bij het cbp. Het aantal bezwaar- en beroepszaken is ten opzichte van voorgaande jaren gestegen hetgeen te verklaren valt uit de ingezette koerswijziging. De verwachting is dan ook dat deze tendens zal doorzetten. Beroep

Tegen de beslissing op een bezwaarschrift, de beoordeling van een concept gedragscode en de Verklaring na voorafgaand onderzoek kan beroep worden ingesteld bij de sector bestuursrecht van de rechtbank. Tegen de beslissing van de rechtbank kan zowel door de belanghebbende als het cbp hoger beroep worden ingesteld bij de Afdeling Bestuursrechtspraak van de Raad van State. In 2010 ging het om tien beroepszaken. Klachten over het CBP

Tegen het optreden van het cbp kan een klacht worden ingediend. Bejegeningsklachten worden door de directeur behandeld en klachten over de wijze waarop het cbp een zaak heeft behandeld door een medewerker die nog niet bij de zaak betrokken is geweest of een collegelid. Klachten dienen in beginsel schriftelijk te worden ingediend. Als er een mondelinge klacht binnenkomt, zal naar een informele afdoening worden gestreefd. Als dit niet mogelijk blijkt, zal zoveel mogelijk de procedure voor schriftelijke klachten worden gevolgd. In de schriftelijke beslissing op de klacht wordt klager gewezen op de mogelijkheid om zijn klacht vervolgens voor te leggen aan de Nationale ombudsman. In het jaarverslag wordt een overzicht van alle klachten over het cbp (17 in 2010 waarvan 2 gegrond en 1 gedeeltelijk gegrond), de wijze van afdoening en de eventuele ondernomen acties gepubliceerd. Zie hiervoor p. 49. Openbaarheid van bestuur

De Wet openbaarheid van bestuur is mede van toepassing op het cbp. Op grond daarvan is het cbp verplicht – hetzij uit eigen beweging, hetzij op verzoek – informatie te verstrekken over zijn taakvervulling, tenzij een wettelijke uitzondering daaraan in de weg staat. Het kan daarbij gaan om het belang van controle en toezicht door het cbp, de eerbiediging van de persoonlijke levenssfeer van betrokkenen, of het voorkomen van onevenredige bevoordeling of benadeling van anderen. Een betrokkene kan bij het cbp overigens ook gebruik maken van zijn rechten op kennisneming en op verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens op grond van de Wbp. In 2010 ontving het cbp 19 Wobverzoeken.


49

Samenvattende productietabel 2008 2009 2010 Toezicht en naleving Onderzoek 95 108 60 Richtsnoeren 0 1 0 Verzoek om een zienswijze

0

1

1

Gedragscodes 1 1 1 Voorafgaand onderzoek 109 188 642 Klachtbehandeling 222 182 172 Internationale zaken 79 98 71 Wbp-meldingen 3.281 4.559 3.720 Ontheffingen 1 3 1 Sancties Bestuursdwang en last onder dwangsom

68

26

35

Boete 0 0 0 Incasso 0 0 2 Voorlichting en advies Gegevensverwerkingen doorgifte derde landen

132

137

133

Wetgevingsadvies 39 40 35 Rechtsbescherming en openbaarheid bestuur Bemiddeling 230 189 154 Bezwaar 5 6 10 Beroep 2 2 10 Klachten over het CBP

4

12

17

Wob-verzoeken 24 13 19

Communicatie en voorlichting Het cbp heeft in 2010 de eerder ingezette koerswijziging voortgezet, gericht op de optimalisering van de naleving van de wet. Het treedt op tegen ernstige overtredingen van structurele aard die veel burgers raken en waar het cbp met zijn bevoegdheden kan optreden. Het cbp geeft uit eigen beweging informatie over zijn beleid en de uitvoering ervan met het oog op transparantie over zijn werkzaamheden en met het oog op het afleggen van verantwoording over de wijze waarop het van zijn bevoegdheden gebruik maakt. Via actief en reactief perswerk en via de websites www.cbpweb.nl en www.mijnprivacy.nl verstrekt het cbp informatie over (resultaten van) onderzoek, wetgevingsadviezen en overige activiteiten. De onderzoeken hebben mede door deze communicatie geregeld een uitstralende werking in de branche waardoor het effect op het nalevingsniveau verder reikt dan de onderzochte bedrijven en instellingen. In 2010 is een aanvang gemaakt met de actualisering van de informatie op de websites www.cbpweb.nl en www.mijnprivacy.nl . De tweede fase van dit project wordt in 2011 afgerond. Van de voorziening om op de site www.mijnprivacy.nl signalen te geven over onzorgvuldige of onrechtmatige verwerking van persoonsgegevens is door burgers in 2010 wederom ruimschoots gebruik gemaakt. In totaal kwamen 974 signalen binnen in 2010 (tegen 1086 in 2008) (zie hieronder voor meer informatie over de aard van de signalen). Daarnaast stellen burgers het cbp veel vragen via telefoon en e-mail. Deze worden behandeld door het Front Office van het cbp. In 2010 ging het om 5270 verzoeken om voorlichting (tegen 5626 en 5984 in res-

50


pectievelijk 2009 en 2008). Naast deze algemene voorlichting verzorgt het cbp in specifieke gevallen voorlichting en/of geeft het advies. Dat gebeurde in 2010 292 keer (tegen 338 in 2009 en 417 in 2008). In 2010 heeft het cbp met het project 'Front Office Nieuwe Stijl' (fons) voor de publieksvoorlichting een nieuwe werkwijze ontwikkeld, waarmee op 1 maart 2011 officieel van start is gegaan. Deze werkwijze is er enerzijds op gericht de zelfredzaamheid van burgers op het gebied van bescherming van persoonsgegevens te vergroten. Hiertoe is de algemene voorlichting via de website www.mijnprivacy.nl uitgebreid en wordt in plaats van vier keer per week elke werkdag een telefonisch spreekuur gehouden. Anderzijds is in het kader van deze werkwijze voor de website een nieuw signaalformulier ontwikkeld alsmede een nieuwe werkwijze om deze signalen te verwerken. De ontvangen signalen worden geanalyseerd en staan ten dienste van de handhavende rol van het cbp. Zo kan het cbp mede op basis van één of meerdere signalen besluiten een onderzoek te starten.

Perscontacten

Medium 2007 2008 2009 2010 Persbureaus 39

57

59

50

Landelijke dagbladen 113 172 156 128 Landelijke radio en televisie

155 220 199 145

Regionale kranten

39

47

64

42

Regionale radio en televisie

17

37

103

40

(Vak)bladen

51

74

61

50

29

37

39

54

Overige

31

28

60

50

Totaal

474 672 671 559

Online media

Signalen In 2010 zijn 974 signalen binnengekomen via de signaalfunctie op de website www.mijnprivacy.nl. De meeste signalen hebben betrekking op de sectoren Handel en dienstverlening (27 .7%), Telecom en internet (20.4%) en Andere sector (18.8%). De minste signalen kwamen binnen over Politie en justitie (2,1%) en Uitkering (0.9%). Zie de tabellen hieronder. De meest voorkomende attenderingen gaan over publicatie van gegevens op internet en directmarketingactiviteiten van verschillende organisaties, zoals energiebedrijven en loterijen. Ook zijn er veel signalen doorgegeven over het gebruik van camera’s en over gebruik van het burgerservicenummer en kopie paspoort door verschillende organisaties.

De signalen hebben betrekking op:

400

270 199 183 118 95 80 20 9

350 300 250 200 150 100 50 0

Handel en dienstverlening

Telecom en internet

Andere sector

Overheid

Werk

Zorg en welzijn

Politie en justitie

Uitkering


51

Andere sector: soort organisatie

70

63 44 37 18 9 9 3

60 50 40 30 20 10 0

Andere

Cultuur, sport en recreatie

Media

Belangenorganisatie

Kerkelijke organisatie

Onderzoeksen researchinstituut

Klachteninstantie

In de sector Handel en dienstverlening betreffen de meeste signalen financiële dienstverlening (17.5%) en de detailhandel (16.7%). Bij Telecom en internet springen de websitehouder en het telecombedrijf eruit met respectievelijk 65.0% en 17.3%. Binnen de Overheid zijn de meeste signalen over de Gemeentelijke overheid (41.5%) en de Rijksoverheid (29.7%). Bij Werk springen de Werkgevers eruit met 47.9%. Bij Zorg en welzijn hebben de meeste signalen betrekking op artsen en medische zorgverleners (27.5%). Bij Politie en justitie hebben de meeste signalen betrekking op Politie (65.0%) en Openbaar Ministerie en rechterlijke macht (20.0%). Bij Uitkering kwamen er signalen binnen over zowel het UWV (66.7%) als de Sociale dienst (33.3%).

Onderwerpen De meeste signalen gaan over het plaatsen van persoonsgegevens op internet (210 signalen) en onzorgvuldige omgang met persoonsgegevens (191 signalen). Vervolgens springen het ontvangen van ongewenste reclame (128 signalen), het vastleggen van persoonsgegevens (103 signalen) en het verstrekken aan derden (97 signalen) er uit. Per sector zijn de meest gesignaleerde onderwerpen: • Handel en dienstverlening: het ontvangen van ongewenste reclame, de onzorgvuldige omgang met persoonsgegevens, het vastleggen van persoonsgegevens en het verstrekken van persoonsgegevens aan derden. • Telecom en internet: het plaatsen van persoonsgegevens op internet, de onzorgvuldige omgang met persoonsgegevens, het ontvangen van ongewenste reclame en het niet of niet naar tevredenheid reageren op inzage- en correctieverzoeken. • Overheid: het plaatsen van persoonsgegevens op internet, de onzorgvuldige omgang met persoonsgegevens, het verstrekken van persoonsgegevens aan derden en het gebruik van camera’s en/of andere volgsystemen. • Andere sector: het plaatsen van persoonsgegevens op internet, het ontvangen van ongewenste reclame, de onzorgvuldige omgang met persoonsgegevens en het vastleggen van persoonsgegevens. • Zorg en welzijn: de onzorgvuldige omgang met persoonsgegevens, het doorgeven van persoonsgegevens aan een andere organisatie en het plaatsen van persoonsgegevens op internet. • Werk: de onzorgvuldige omgang met persoonsgegevens, het plaatsen van persoonsgegevens op internet en het gebruik van camera’s en/of andere volgsystemen. • Politie en justitie: het plaatsen van persoonsgegevens op internet, het gebruik van camera’s en/of andere volgsystemen, het doorgeven van persoonsgegevens aan een andere organisatie en het vastleggen van persoonsgegevens. • Uitkering: de onzorgvuldige omgang met persoonsgegevens, het doorgeven van persoonsgegevens aan een andere organisatie en het niet of niet naar tevredenheid reageren op inzage- en correctieverzoeken.

52


Klachten over het CBP In de Algemene wet bestuursrecht is geregeld dat iedereen over de wijze waarop een bestuursorgaan zich tegenover hem of haar heeft gedragen een klacht kan indienen bij dat orgaan. Hieronder is een overzicht opgenomen van de in de laatste drie jaren ingediende schriftelijke klachten en wijze van afdoening. 2008 2009 2010 Klachten ongegrond verklaard 2

7

12

Klachten gegrond verklaard 0

1

2

Klachten gedeeltelijk gegrond verklaard

1

1

2

2

2

Minnelijke regeling/geen oordeel/ingetrokken/ andere wijze van afdoening/nog in behandeling

0

Nog in behandeling per einde van het jaar

2

3

0

4

12

17

Totaal aantal ingediende klachten

Verzoeken om heroverweging (en klachten over het cbp) worden vaak ingediend omdat de betrokkene het er niet mee eens is dat de eigen klacht geen prioriteit krijgt of dat het cbp deze niet van voldoende zwaarwegend belang acht om over te gaan tot een controlerend onderzoek. Hieronder volgt een overzicht van de heroverwegingen. 2008 2009 2010 Heroverwegingen ongegrond verklaard

20

26

10

Heroverwegingen gegrond verklaard

3

0

1

Heroverwegingen gedeeltelijk gegrond verklaard

0

2

2

andere wijze van afdoening

4

2

3

Nog in behandeling per einde van het jaar

0

0

0

Totaal aantal ingediende verzoeken

27

30

16

Minnelijke regeling/geen oordeel/ingetrokken/

Organigram

College

Directeur

Communicatie

Juridische zaken

Bedrijfsvoering

Toezicht publieke sector

Internationaal

Toezicht private sector


53

College en Raad van Advies 2010

College

Mr. J. Kohnstamm Voorzitter

Mw. mr. dr. J. Beuving Collegelid, plaatsvervangend voorzitter

Buitengewoon lid College (als zodanig afgetreden per 1-1-2011) Mr. U. van de Pol Ombudsman Amsterdam

Directie

Drs. P.J.J. Frencken Directeur

54

Jaarverslag 2010 > samenstelling college en raad van advies 2010

Mw. mr. M.W. McLaggan Collegelid

Raad van Advies De Raad van Advies van het cbp bestaat uit deskundigen uit verschillende maatschappelijke sectoren. De Raad komt tweemaal per jaar bijeen. Eind 2010 waren de leden van de Raad van Advies: Mevrouw drs. T.A. Maas-de Brouwer Voorzitter, lid Raad van Commissarissen van o.m. abn-amro, oud-senator pvda

De heer drs. L. J.E. Smits Directeur Het Expertise Centrum, directeur roi Opleiding Coaching & Advies

De heer drs. H.G.M. Blocks Adviseur/bestuurder, oud-directeur Nederlandse Vereniging van Banken

De heer drs. G.M. de Vries Collegelid Algemene Rekenkamer, (per 1-1-2011 Collegelid Europese Rekenkamer in Luxemburg) en oud-Coördinator Terrorismebestrijding Europese Unie

De heer drs. H.W. Broeders Lid directieteam Capgemini

De heer mr. A.A. Westerlaken Lid Raad van Bestuur Erasmus mc

Mevrouw H.C.J. van den Burg Commissaris asml en apg, lid Monitoring commissie Corporate Governance, voorheen lid Europees Parlement en federatiebestuur fnv De heer drs. B.R. Combée Directeur Consumentenbond

De heer drs. L.J. Wijngaarden Psycholoog, overheidscommissaris bij sns Reaal en andere maatschappelijke bedrijven, voorheen ceo Postbank en ceo Nationale Nederlanden. De heer mr. A. Wolfsen Burgemeester van Utrecht

De heer prof. mr. E.J. Dommering Hoogleraar informatierecht Universiteit van Amsterdam Mevrouw prof. dr. H.M. Dupuis Lid van de Eerste Kamer voor de vvd en eerste onder voorzitter van de Eerste Kamer, voorzitter van de brancheorganisatie Vereniging Gehandicaptenzorg Nederland, en voorzitter van twee Raden van Toezicht in de gezondheidszorg, emeritus hoogleraar medische ethiek Universiteit Leiden

Afgetreden in 2010 als lid van de Raad van Advies zijn de heer R.J.G. Bandell, oud-burgemeester van Dordrecht en prof. mr.dr.J.K.M. Gevers, hoogleraar gezondheidsrecht aan de Universiteit van Amsterdam.

De heer prof. mr. J. Legemaate Bijzonder hoogleraar gezondheidsrecht Universiteit van Amsterdam De heer mr. R.J. Manschot Oud-hoofdofficier van Justitie, oud-vicevoorzitter Eurojust, bestuurslid Amnesty International Nederland

Jaarverslag 2010 > samenstelling college en raad van advies 2010

55

Wetgevingsadviezen Dit overzicht bevat de wetgevingsadviezen van 2010. Vrijwel alle

Wijziging Telecommunicatiewet, Europees regelge-

adviezen vanaf 1996 kunt u raadplegen op de website www.cbp

vend kader voor elektronische communicatie

web.nl. Adviezen uit de periode 1991-1996 zijn ook opgenomen

4 juni 2010, z2010-00475

in de bundel Persoonsgegevens beschermd, van WPR naar WBP. Den Haag, Sdu uitgevers, 1999.

Gegevensuitwisseling in de keten werk en inkomen (Wijziging Besluit SUWI)

Ontwerpbesluit verwijsindex risicojongeren

16 juni 2010, z2010-00496

Mededeling: 25 januari 2010, advies 20 oktober 2009, z2009-00970

Wetsvoorstel Basisregistratie personen 18 juni 2010, z2010-00314

Regeling zorgverzekering 9 februari 2010, z2009-00537

Besluit politiegegevens van toepassing op BES 22 juni 2010, z2010-00608

Besluit DNA-onderzoek in strafzaken 18 februari 2010, z2009-01307

Instelling publiekrechtelijk zelfstandig bestuursorgaan CAK

Verzamelwet OCW 2010

1 juli 2010, z2010-00508

2 maart 2010, z2010-00030 Wijziging Wet studiefinanciering 2000 Besluit Tegemoetkoming chronisch zieken en gehan-

5 juli 2010, z2010-00594

dicapten 4 maart 2010, z2010-00175

Wijziging Besluit SUWI 15 juli 2010, z2010-00641

Regeling chronisch zieken en gehandicapten 8 maart 2010, z2010-00211

Doorverstrekking justitiële gegevens aan het buitenland i.v.m. uitzetting vreemdelingen

Wet gebruik BSN in de financiële sector

26 juli 2010, z2010-00890

23 maart 2010, z2010-00096 Interimbesluit Forensische zorg Wijziging Wet BIBOB en Wet op de kansspelen

2 augustus 2010, z2010-00845

31 maart 2010, z2010-00188 Wijziging wet BIG i.v.m. kenbaarheid beroepsbeperRijbewijzenregister i.v.m. alcoholslotprogramma

kingen in de gezondheidszorg

31 maart 2010, z2010-00307

10 augustus 2010, z2010-00879

Wegenverkeerswet 1994 in verband met wijzigen van

Verwerken BSN door onderwijsinstellingen

tellerstanden van motorrijtuigen

6 september 2010, z2010-00892

15 april 2010, z2010-00298 Ontwerpbesluit Controle op rechtspersonen Wijziging Waterschapsbesluit in verband met auto-

8 september 2010, z2010-00950

Bijlagen

matische kwijtschelding waterschapsbelasting 22 april 2010, z2010-00345

Registratie ontzeggingen vaarbevoegdheid 14 september 2010, z2010-01100

Instelling diplomaregister 17 mei 2010, z2010-00318

Elektronische aanvraag verklaring omtrent het gedrag 16 september 2010, z2010-00885

56

Jaarverslag 2010 > bijlagen

Versterking bestrijding computercriminaliteit 30 september 2010, z2010-00949 Besluit op afstand uitleesbare meetinrichtingen en kostenoverzichten elektriciteit en gas 6 oktober 2010, z2010-01210 Gebruik persoonsnummer in niet-bekostigd onderwijs 12 oktober 2010, z2010-01134 Uitstroomprofielen speciaal onderwijs 21 oktober 2010, z2010-01208 Besluit justitiële gegevens 25 oktober 2010, z2010-00976 Besluit politiegegevens 25 oktober 2010, z2010-01213 Besluit beleidsinformatie jeugdzorg 2011 23 november 2010, z2010-01331 Besluit op afstand uitleesbare meetinrichtingen en kostenoverzichten elektriciteit en gas 14 december 2010, z2010-01416 Gebruik burgerservicenummer in de jeugdzorg 23 december 2010, z2010-01343


57

Documenten in 2010 uitgebracht door de Werkgroep inzake de bescherming van persoonsgegevens (artikel 29 van Richtlijn 95/46/EG) 16 december 2010 - Opinion 8/2010 on applicable law

15 februari 2010 – Work Programma 2010 – 2011

(WP 179)

(WP 170)

12 november 2010 - Opinion 7/2010 on European

16 februari 2010 – Opinion 1/2010 on the concepts of

Commission's Communication on the global

“controller” and “processor” (WP 169)

approach to transfers of Passenger Name Record (PNR) data to third countries (WP 178)

Deze documenten zijn te vinden op http://ec.europa.eu/justice_ home/fsj/privacy/workinggroup/wpdocs/2010_en.htm

12 oktober 2010 – Opinion 6/2010 on the level of protection of personal data in the Eastern Republic of Uruguay (WP 177) 12 juli 2010 – FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC (WP 176) 13 juli 2010 – Opinion 5/2010 on the Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications (WP 175) 13 juli 2010 – Opinion 4/2010 on the European code of conduct of FEDMA for the use of personal data in direct marketing (WP 174) 13 juli 2010 – Opinion 3/2010 on the principle of accountability (WP 173) 13 juli 2010 – Report 01/2010 on the second joint enforcement action: Compliance at national level of Telecom Providers and ISPs with the obligations required from national traffic data retention legislation on the legal basis of articles 6 and 9 of the e-Privacy Directive 2002/58/EC and the Data Retention Directive 2006/24/EC amending the

Bijlagen

e-Privacy Directive (WP 172) 22 juni 2010 – Opinion 2/2010 on online behavioural advertising (WP 171)

58


Gedragscodes 2010 Gedragscode inzake het verwerken van persoons gegevens voor onderzoek en statistiek 24 juni 2010, Staatscourant 2010, 9866 Gedragscode voor de farmaceutische industrie (Nefarma-gedragscode) 6 mei 2010, Staatscourant 2010, 6863 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen 26 april 2010, Staatscourant 2010, 6360


59

Jaarverslag 2010 ©College bescherming persoonsgegevens, Den Haag, april 2011 Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens. Ontwerp: Proforma visual identity Fotografie College: Mark Kohn

60



COLLEGE BESCHERMING PERSOONSGEGEVENS Juliana van Stolberglaan 4-10 2595 CL Den Haag

Postbus 93374 2509 AJ Den Haag

T 070 8888 500 F 070 8888 501 E [email protected]

Front Office T 0900-2001201 (5 cent per minuut)

www.cbpweb.nl www.mijnprivacy.nl

Daarnaast adviseert het CBP de regering over voorgenomen wetgeving die betrekking heeft op de verwerking van persoonsgegevens

Recommend Documents