Advocaten Notarissen Belastingadviseurs
memo datum van aan
14 december 2009 S.C. van Schaik / W. Seinen, CMS Derks Star Busmann Anjuli Groenewegen, Landelijk Studenten Rechtsbureau
onderwerp
Privacy aspecten passensysteem studentenvereniging
1. Inleiding en vraagstelling Het Landelijk Studenten Rechtsbureau heeft ons gevraagd om een advies op te stellen over de privacy aspecten van zogenaamde “passensystemen” van studentenverenigingen. Veel studentenverenigingen gaan tegenwoordig over op elektronische betaalsystemen waarbij studenten met een pas kunnen betalen voor eten en drinken dat zij op hun studentenvereniging bestellen. De pas is een soort chipkaart waar de studenten zelf een tegoed op kunnen zetten. Een studentenvereniging in Utrecht die binnenkort een dergelijk systeem in gaat voeren, wendde zich tot het Landelijk Studenten Rechtsbureau met vragen over de regels voor bescherming van de gegevens op de passen. Het Landelijk Studenten Rechtsbureau vroeg ons in dat verband om advies. Het Landelijk Studenten Rechtsbureau stelde ons een aantal concrete vragen, zoals de vraag of een derde (bijvoorbeeld de politie of ouders) de gegevens mag inzien en op welke gronden, of gegevens in het verenigingsblad gepubliceerd mogen worden en of het systeem geanonimiseerd moet worden. 2. Verwerking van (persoons)gegevens in de passensystemen Uit de vraag van het Landelijk Studenten Rechtsbureau begrijpen wij dat het systeem dan wel de passen waarschijnlijk persoonsgegevens zal bevatten. Op het gebruik van persoonsgegevens1 is veelal de Wet bescherming persoonsgegevens (hierna: Wbp) van 1
Persoonsgegevens worden in de Wbp gedefinieerd als: alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon, zie artikel 1 lid 1 sub a Wbp
CMS Derks Star Busmann is a member of CMS, the transnational legal and tax services organisation.
1/8
toepassing.2 Aan de ene kant zal op de pas die aan een verenigingslid wordt verstrekt mogelijk diens naam en een pasfoto staan. Aan de andere kant begrijpen wij uit de vraag van het Landelijk Studenten Rechtsbureau dat in het achterliggende systeem in een database/gegevensbestand mogelijk de consumptiegegevens gekoppeld worden aan de personen waarbij persoonsgegevens zoals de naam en het adres worden opgenomen, die consumptiegegevens kunnen door die koppeling ook gekwalificeerd worden als persoonsgegevens. Wij zullen in dit advies ingaan op de vraag wat in dit geval op grond van de Wbp is toegestaan. 3. Grondslag voor de verwerking van persoonsgegevens De Wbp bepaalt dat men slechts persoonsgegevens mag verwerken indien men daarvoor een wettige grondslag heeft. De grondslagen voor rechtmatige verwerking van persoonsgegevens zijn (limitatief) opgesomd in art. 8 van de Wbp. Dit betekent dat een studentenvereniging alleen persoonsgegevens mag verwerken in het kader van het passensysteem voor zover zij dit kan baseren op één van de daarin genoemde gronden. De volgende gronden komen daarvoor mogelijk in aanmerking: - ondubbelzinnige toestemming (sub a) - noodzakelijk voor de uitvoering van een overeenkomst (sub b) - noodzakelijk voor het gerechtvaardigd belang van de verantwoordelijke (sub f). 3.1.Ondubbelzinnige toestemming Art. 8 sub a Wbp noemt als verwerkingsgrond dat de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft gegeven. Deze toestemming dient “vrij, specifiek en op informatie berust” te zijn.3 Dit betekent dat de betrokkene (in dit geval: het verenigingslid) vrij4 moet zijn om al dan niet zijn toestemming te geven. De toestemming dient voorts te zien op een specifieke verwerking en moet op informatie berusten, m.a.w. men moet weten waarvoor men toestemming geeft. Niet vereist is dat de toestemming schriftelijk wordt gegeven, al is dat wel aan te raden. De verantwoordelijke dient immers bij twijfel aan te tonen dat de toestemming gegeven is en waarvoor.
2
Het begrip “verwerking van persoonsgegevens” omvat eigenlijk ieder gebruik van persoonsgegevens, dit volgt uit de ruime definitie in art. 1 sub b van de Wbp: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede afschermen, uitwissen of vernietigen van gegevens” 3 Art. 1 sub i Wbp 4 Bij de beoordeling of er sprake is van “vrije” wilsuiting is o.i. van groot belang of het mogelijk is om een anonieme pas te verkrijgen. Is dat niet het geval, dan zou dat er op neerkomen dat een lid min of meer “gedwongen” wordt om toestemming te geven, omdat hij/zij anders niet kan bestellen.
Memo: Privacy aspecten passensysteem studentenvereniging
2/8
We raden aan om een “Privacy Policy” (of een vergelijkbaar document) op te stellen waarin (kort) opgenomen is welke gegevens men verwerkt en waarvoor men deze gebruikt en om deze voor te leggen aan leden en toestemming te vragen voor de daarin genoemde verwerkingen. Ook doet een vereniging er goed aan om bij te houden hoe de toestemming wordt gegeven en deze informatie te bewaren. De gegeven toestemming kan overigens te allen tijde worden ingetrokken (art. 5 lid 2 Wbp). De verantwoordelijke zal de verwerking van de persoonsgegevens daarna moeten stoppen. 3.2.Noodzakelijk voor de uitvoering van een overeenkomst Art. 8 sub b Wbp noemt als grond voor gegevensverwerking dat deze noodzakelijk is voor de uitvoering van een overeenkomst. De leden van de studentenvereniging gaan wanneer zij consumpties aanschaffen in de bar of de mensa van hun studentenvereniging een overeenkomst aan. Mogelijk is het noodzakelijk voor de uitvoering van deze overeenkomst dat leden een pas hebben. Voor een beroep op deze bepaling moet het echter ook noodzakelijk zijn dat het systeem gekoppeld is aan persoonsgegevens. Dat wil zeggen dat de vereniging moet kunnen aantonen dat het betaalsysteem niet behoorlijk kan werken indien de persoonsgegevens van de leden niet worden verwerkt, met andere woorden aantonen dat een geanonimiseerd pasjessysteem niet mogelijk is. Mogelijk zijn er redenen die het noodzakelijk maken voor de uitvoering van de overeenkomst om de persoonsgegevens in het systeem op te nemen, deze zijn ons momenteel echter niet bekend. 3.3.Noodzakelijk voor het gerechtvaardigd belang van de verantwoordelijke Art. 8 sub f noemt als grond dat de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of een derde aan wie de gegevens worden verstrekt, tenzij het privacybelang van de betrokkene prevaleert. De studentenvereniging (of een derde aan wie de gegevens worden verstrekt) zal voor een beroep op deze verwerkingsgrondslag moeten aantonen dat de gegevensverwerking noodzakelijk is voor de behartiging van haar gerechtvaardigde belang. Het gerechtvaardigd belang zal gelegen moeten zijn in de verwerking van persoongegevens in het kader van bedrijfsactiviteiten. Dit gerechtvaardigde belang moet worden afgewogen tegen het belang van de betrokkene. Men zal antwoord moeten kunnen geven op de volgende vragen: 1. is er werkelijk een belang dat de verwerking van persoonsgegevens rechtvaardigt? 2. wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt? En hoe groot is deze inbreuk? 3. kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg, zonder verwerking, worden bereikt? 4. is de verwerking in de mate die is beoogd evenredig aan het nagestreefde doel?
Memo: Privacy aspecten passensysteem studentenvereniging
3/8
De rechtvaardiging (vraag 1) van het pasjessysteem zou gelegen kunnen in het versnellen van de bediening, de preventie van diefstal (van kasgeld), en het tegengaan van het gratis weggeven van consumpties. Niet alleen de studentenvereniging, maar ook een derde aan wie de gegevens worden verstrekt kan een gerechtvaardigd belang hebben. Zo kan een leverancier bijvoorbeeld geïnteresseerd zijn in consumptiegegevens in verband met marktonderzoek. Echter, met de verwerking van persoonsgegevens in het kader van het systeem wordt een inbreuk gemaakt op de privacybelangen van betrokkenen. Van belang is de ernst van deze inbreuk (vraag 2). Voor de “stamgegevens” geldt dat het hier om een beperkte inbreuk gaat aangezien het eenvoudige en betrekkelijk ongevoelige persoonsgegevens betreft als naam en mogelijk adres of andere ongevoelige gegevens. Ten aanzien van de consumptiegegevens ligt dat geheel anders. Dit zijn gegevens met een erg hoog “privé” gehalte, te weten: drankconsumptiegedrag. Het gaat derhalve om een betrekkelijk ernstige inbreuk op de privacy van betrokkenen. De vraag is vervolgens of het doel van de verwerking ook op een andere manier, zonder verwerking van persoonsgegevens, kan worden bereikt, bijvoorbeeld door de transactiegegevens te scheiden van de “stamgegevens”, zodra de betaling is geschied, of door anonimisering. Tot slot is van belang of de verwerking evenredig is aan het nagestreefde doel (vraag 4). Staat de ernst van de inbreuk in verhouding tot het gerechtvaardigde belang en is verwerking echt noodzakelijk? Het is aan degene die zich op deze verwerkingsgrond beroept om aan te tonen dat dit het geval is. 4. Kwaliteit, doelbinding en bewaartermijn Naast een verwerkingsgrondslag, vereist de Wbp dat verwerking van persoonsgegevens - gelet op het doel waarvoor ze zijn verzameld of worden verwerkt - toereikend, ter zake dienend en niet bovenmatig is.5 Dat betekent (kort gezegd) dat ze compleet en juist moeten zijn (toereikend), nuttig/noodzakelijk voor het doel waarvoor ze zijn verzameld (ter zake dienend) en men het doel niet met minder gegevens kan van de verwerking realiseren (niet bovenmatig). In dit kader zal een studentenvereniging zich dus eigenlijk nogmaals af moeten vragen of het in het kader van de doelen van het passensysteem noodzakelijk is om persoonsgegevens te verwerken, en zo ja: welke. Ook zal de vereniging moeten beoordelen of het mogelijk is om (ook) anonieme passen aan te bieden. Daarnaast bepaalt de Wbp dat persoonsgegevens alleen mogen worden verwerkt voor van te voren uitdrukkelijk omschreven doeleinden én dat men ze vervolgens niet verder mag verwerken en niet langer mag bewaren dan nodig is voor dat doel.6 Dat betekent dus dat men de doelen waarvoor men gegevens wil gebruiken van te voren goed en volledig moet omschrijven (bijvoorbeeld in de Privacy Policy) en dat die doelen later niet zomaar mag uitbreiden. Ook betekent dat dat men de gegevens moet verwijderen 5 6
art. 11 Wbp art. 9 resp. 10 wbp
Memo: Privacy aspecten passensysteem studentenvereniging
4/8
zodra ze niet meer nodig zijn. Voor de “stamgegevens” geldt waarschijnlijk dat ze verwijderd moeten nadat de pashouder zijn lidmaatschap heeft beëindigd. De consumptiegegevens zullen waarschijnlijk (indien verwerking überhaupt is toegestaan) veel eerder moeten worden verwijderd. 5. Verstrekking van gegevens aan derden Ook het eventueel verstrekken van gegevens aan derden geldt dat daarvoor een wettige grondslag moet hebben (die is genoemd in art. 8 Wbp). Hiervoor kunnen ook de in paragraaf 3 genoemde grondslagen in aanmerking komen. In het geval van een eventuele verstrekking aan de politie kan daarnaast ook andere verwerkingsgrond een rol spelen. Zo kan de verstrekking van gegevens uit het passensysteem noodzakelijk zijn om een wettelijke verplichting na te komen.7 Dit is bijvoorbeeld het geval wanneer men gehoor geeft aan een vordering tot verstrekking van persoonsgegevens aan politie of justitie op grond van het Wetboek van Strafvordering. 6. Publicatie in verenigingsblad / op internet Indien men de middels het passensysteem verkregen gegevens tevens wil gebruiken voor publicatie in het verenigingsblad en eventueel op internet, dan gelden hiervoor verzwaarde eisen. Met name bij publicatie van persoonsgegevens op internet dient men erg voorzichtig te zijn. 8 O.i. met name publicatie op internet alleen toelaatbaar wanneer betrokkenen hier uitdrukkelijk hun toestemming voor hebben gegeven. 7. Rechten van betrokkene De Wbp kent voorts aan betrokkenen een aantal rechten toe. Zo hebben betrokkenen (degenen wiens gegevens worden verwerkt) onder andere het recht om hun gegevens in te zien, zo nodig te laten verbeteren, verwijderen of afschermen wanneer ze feitelijk onjuist zijn of niet ter zake dienend. 9 8. Beveiliging Op grond van de Wbp dient men persoonsgegevens middels “passende technische en organisatorische maatregelen” te beveiligen tegen verlies en tegen onrechtmatige verwerking (art. 13 Wbp). Daarbij dient rekening gehouden te worden met: - de stand van de techniek (in het algemeen en in het bijzonder van de techniek die gebruikt wordt door de verantwoordelijke, m.a.w. als de verantwoordelijke de 7
art. 8 sub c Wbp zie de CBP Richtsnoeren publicatie persoonsgegevens op internet, http://www.cbpweb.nl/documenten/rs_publicatie_persgeg_internet.shtml?refer=true&theme=purple 9 art. 35 en 36 Wbp 8
Memo: Privacy aspecten passensysteem studentenvereniging
5/8
-
nieuwste apparatuur en technieken gebruikt om de gegevens mee te verwerken, dan wordt hetzelfde niveau van techniek verwacht voor de beveiliging); de kosten van beveiliging; en de risico’s die de verwerking en de aard van de gegevens met zich meebrengen. Aangezien het passensysteem o.m. gedragsgegevens zal bevatten zullen en de rechtvaardiging vrij “dun”is kunnen vrij zware eisen gesteld worden aan de organisatorische (beleid) en technische beveiliging van de gegevens.
Wat uiteindelijk “passend” is hangt sterk af van alle specifieke factoren. Zo zullen de beveiligingseisen hoger zijn naarmate het systeem meer en gevoeliger gegevens bevat. Ook de complexiteit van het systeem (welke verwerkingen vinden plaats, wie heeft er allemaal toegang, etc.) is in dit verband van belang. Indien er gebruik wordt gemaakt van diensten van derden, dan moet een vereniging ervoor zorgen dat deze derden zich ook aan de wet houden en alleen die verwerkingen verrichten die hen specifiek zijn opgedragen.10 In dit advies kunnen wij geen concrete uitspraken doen over welke beveiligingsmaatregelen in dit geval passend (en dus vereist) zijn, omdat wij niet beschikken over de details van het systeem en dit bovendien de reikwijdte van dit advies overstijgt. Leveranciers van systemen kunnen hier veelal informatie over geven. Uiteraard zijn ook wij graag bereid om hierover – al dan niet samen met een EDP auditor – nader te adviseren. Gezien de gevoeligheid van met name de consumptiegegevens gaan wij er overigens wel van uit dat de beveiligingseisen streng zijn. 9. Privacy Policy We raden aan om onder meer ter voldoening aan de wettelijke informatieverplichtingen een privacy policy op te (laten) stellen. Het is belangrijk om daarin volledig en correct uiteen te zetten welke gegevens een vereniging gebruikt en waarvoor.11 Verder dienen de volgende onderwerpen opgenomen te worden: - wie toegang heeft tot welke gegevens; - hoe lang gegevens opgenomen blijven, bijv. na beëindiging van het lidmaatschap (men mag gegeven niet langer bewaren dan nodig voor het doel waarvoor ze verzameld zijn)12; - het recht van betrokkenen op inzage, correctie, verwijdering, afscherming van de gegevens13 en het op verzet tegen de verwerking.14
10
Indien er van de diensten van derden gebruik wordt gemaakt, raden wij aan hierover apart advies in te winnen omdat de Wbp specifieke eisen stelt in dit verband. 11 art. 7 en 33 Wbp 12 art. 10 Wbp 13 art. 35 en 36 Wbp 14 art. 40 Wbp
Memo: Privacy aspecten passensysteem studentenvereniging
6/8
10. Melding 10.1. Algemene meldingsplicht Iedere verwerking van persoonsgegevens dient vooraf aan het College bescherming persoonsgegevens (Cbp) gemeld te worden, tenzij men zich kan beroepen op een in het Vrijstellingsbesluit genoemde uitzondering.15 De melding dient de volgende gegevens te bevatten (artikel 28 Wbp): - de naam en het adres van de verantwoordelijke. Verantwoordelijke is een in de Wbp gedefinieerd begrip, namelijk degene die het doel en de middelen van de verwerking bepaald. In dit geval is dat dus de studentenvereniging; - het doel van de verwerking; - een beschrijving van de betrokkenen en van de gegevens (of categorieën van gegevens) die op hen betrekking hebben; - degenen die toegang hebben tot de gegevens of aan wie gegevens kunnen worden verstrekt; - een algemene beschrijving van de voorgenomen beveiligingsmaatregelen. De melding kan gedaan worden via het meldingsprogramma op de website van het Cbp, zie http://www.cbpweb.nl/indexen/ind_melden.shtml. 10.2. Vrijstellingsbesluit – niet van toepassing op passensysteem Het vrijstellingsbesluit bevat een bepaling ten gunste van verenigingen.16 Men moet dan voldoen aan alle voorwaarden van de bepaling en mag bijvoorbeeld niet meer soorten gegevens verwerken dan in het Vrijstellingsbesluit bepaald. Voor de “standaard” verwerkingen (zoals ledenadministratie) van een vereniging biedt deze vrijstelling over het algemeen soelaas. In dit geval zal moeten getoetst of men zich erop kan beroepen. Wanneer in het passensysteem de consumptie gedragsgegevens worden gekoppeld aan andere persoonsgegevens (en deze daardoor ook persoonsgegeven worden) verwerkt men meer gegevens dan limitatief opgenomen in de bepaling en voldoet men niet aan de voorwaarden van de vrijstelling.
15 16
art. 27 en 28 Wbp art. 3 Vrijstellingenbesluit
Memo: Privacy aspecten passensysteem studentenvereniging
7/8
11. Conclusies en aanbevelingen 1) Passensystemen zijn in beginsel prima in overeenstemming met de Wbp in te richten. Wel moet de vereniging toetsen of de te administreren gegevens ook echt moeten worden verwerkt om het beoogde doel te realiseren; 2) Als niet op voorhand zeker is dat alle leden voor alle verwerkingen toestemming geven, is het noodzakelijk om ook anonieme passen aan te bieden; 3) De leden moeten goed worden geïnformeerd over de gebruiksdoelen van de (soorten) gegevens die worden verwerkt en wie daartoe toegang heeft; 4) Het publiceren, vooral op internet, van de met het passensysteem verkregen gegevens is zeer riskant en alleen toegestaan met de uitdrukkelijke toestemming van de betrokken leden; 5) De verwerking van persoonsgegevens in het passensysteem moet voorts worden gemeld bij het College bescherming persoonsgegevens, alvorens met die verwerking van start wordt gegaan; 6) Tot slot geldt: hoe meer je bewaart, hoe groter je verantwoordelijkheid. Een vereniging kan niet worden verplicht om gegevens af te staan die zij niet heeft. *-*-*
Memo: Privacy aspecten passensysteem studentenvereniging
8/8