Juni 2011 Jaargang 1
Nieuwsbrief Privacy en bescherming van persoonsgegevens
Inhoud Veiligheidshuizen onzorgvuldig met gegevens van minderjarigen; Cbp onderzoekt gegevensuitwisseling in veiligheidshuizen (30 maart 2011). Gemeenten verwerken medische gegevens in strijd met de wet (21 april 2011); uitvoering Wet maatschappelijke ondersteuning (Wmo).
IN DIT NUMMER Veiligheidshuizen........... 2 Uitvoering Wmo ............ 2 Nieuws RIEC ................... 3
NIEUWS RIEC Limburg; check op het privacyproof zijn van ‘bronbestanden’.
Nieuws kabinet .............. 4 Jaarverslag CBP .............. 7
NIEUWS Kabinet; plannen privacybeleid naar Tweede Kamer. Jaarverslag 2010 Cbp.
Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen
[email protected] 045-5716391
Veiligheidshuizen onzorgvuldig met gegevens van minderjarigen; Cbp onderzoekt gegevensuitwisseling in veiligheidshuizen Bergen op Zoom en Fryslân (30 maart 2011): De waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen veiligheidshuizen zijn onvoldoende, hetgeen in strijd is met de wet. Dat concludeert het College bescherming persoonsgegevens (Cbp) na onderzoek naar de uitwisseling van gegevens tussen verschillende partijen in het zogeheten Justitieel Casusoverleg (JCO) binnen twee veiligheidshuizen. In JCO’s wordt overlegd over jongeren met het oog op het verbeteren van de kwaliteit en de snelheid van de afdoeningsbeslissing in de jeugdstrafrechtsketen. De onderzochte veiligheidshuizen geven onvoldoende inzicht in welke gedragingen of incidenten leiden tot bespreking van een jongere tijdens het vaste overleg tussen het
regionale politiekorps, het OM en de Raad voor de Kinderbescherming. Door het ontbreken van duidelijke criteria voor bespreking ligt willekeur op de loer bij agendering van een jongere, aldus het Cbp. Uit het onderzoek blijkt ook dat alle jongeren in de leeftijd van 6 tot 12 jaar die met politie in aanraking zijn geweest, worden opgenomen in het registratiesysteem van de JCO’s. Dit systeem is landelijk te raadplegen. Zogeheten 12-minners zijn niet strafrechtelijk vervolgbaar. De verwerking van hun gegevens in het onderzochte systeem strookt dan ook niet met de doelstelling van het overleg en dat is in strijd met de wet.
“Uit het onderzoek blijkt ook dat alle jongeren in de leeftijd van 6 tot 12 jaar die met politie in aanraking zijn geweest, worden opgenomen in het registratiesysteem van de JCO’s”. Het Cbp deed onderzoek bij de gemeenten Heerlen, Hellendoorn, Landsmeer en Hengelo.
Gemeenten verwerken medische gegevens in strijd met de wet (21 april 2011); uitvoering Wet maatschappelijke ondersteuning (Wmo): Vier gemeenten handelen in strijd met de Wet bescherming persoonsgegevens (Wbp) bij de verwerking van medische gegevens van burgers met een lichamelijke of psychische beperking die ondersteuning vragen bij de gemeente. Dat constateert het College bescherming persoonsgegevens (Cbp) na onderzoek naar de verwerking van medische persoonsgegevens in het kader van de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) bij vier gemeenten. Het Cbp concludeert onder meer dat de gemeenten de dossiers met medische gegevens van aanvragers van Wmo-voorzieningen onvoldoende beveiligen. Hierdoor bestaat het risico dat onbevoegden toegang krijgen tot de medische gegevens in de Wmo-dossiers. Ook heeft het Cbp geconcludeerd dat de gemeenten in strijd met de wet handelen door meer gegevens op te vragen dan nodig is voor de beoordeling van de Wmo-aanvraag. Het Cbp deed onderzoek bij de gemeente Heerlen, Hellendoorn, Landsmeer en Hengelo. Burgers met een lichamelijke of psychische beperking kunnen bij hun gemeente ondersteuning vragen in de vorm van bijvoorbeeld een rolstoel of thuishulp op grond van de Wmo. De vier onderzochte gemeenten vragen bij de Wmo-aanvragen naar de naam van de behandelend specialist en in een enkel geval ook naar het medicijngebruik, zo constateert het Cbp. Deze informatie is bovenmatig omdat deze slechts bij een klein deel van de Wmo-aanvragen relevant is voor de beoordeling. In dat geval kan deze informatie alsnog bij de aanvrager van de Wmo-voorziening worden opgevraagd. Het Cbp concludeert ook dat de gemeenten onvoldoende maatregelen hebben getroffen om onrechtmatige verwerking van de (medische) persoonsgegevens in de Wmo-dossiers te voorkomen. Bij twee gemeenten blijken zowel de fysieke als de digitale dossiers onvoldoende beveiligd tegen toegang door onbevoegden. Bij een derde gemeente is de beveiliging van de digitale dossiers niet op orde, terwijl een vierde gemeente haar fysieke dossiers onvoldoende heeft beveiligd.
2
Nieuws RIEC Limburg: (Nieuwe) bronbestanden Geïntegreerde Aanpak privacyproof?
Het Regionaal Convenant Geïntegreerde Aanpak Georganiseerde Misdaad voor de Provincie Limburg, daterend van 30 september 2010, betekent ten opzichte van het vorige regionaal convenant niet alleen een uitbreiding van het aantal convenantpartners maar ook een uitbreiding van de aanpak van de soort verschijningsvormen van georganiseerde misdaad. In het kader van de geïntegreerde aanpak wordt op basis van het nieuwe convenant aandacht besteed aan verschijningsvormen van georganiseerde misdaad, zoals mensenhandel en –smokkel, georganiseerde hennepteelt, fraude in de vastgoedsector, misbruik binnen de vastgoedsector, witwassen en daaraan gerelateerde vormen van financieel-economische criminaliteit en andere door de convenantpartners te bepalen verschijningsvormen van georganiseerde misdaad, in ieder geval de zogenaamde “patseraanpak”. Het nieuwe regionaal convenant bevat de gegevensset met persoonsgegevens die worden verwerkt door het Regionaal Informatie en Expertise Centrum Limburg (RIEC). De gegevensset, en het aantal “bronbestanden” waaruit wordt geput, is uitgebreider ten opzichte van het vorige convenant. Dit betekent voor gemeenten dat een groter aantal bronbestanden betrokken wordt bij de geïntegreerde aanpak. Om van een rechtmatige gegevensuitwisseling te kunnen spreken in het kader van de geïntegreerde aanpak dienen de bronbestanden te zijn geconformeerd aan de Wbp. Een check op het privacyproof zijn van de (nieuwe) bronbestanden is naar aanleiding van het vigerende convenant op zijn plaats.
3
NIEUWS kabinet: Plannen privacybeleid
-Recent heeft het kabinet een notitie aan de Tweede Kamer gestuurd met daarin de plannen voor het privacybeleid: >Uitbreiding boetebevoegdheid CBP Om de handhaving van de Wbp te versterken krijgt het Cbp meer mogelijkheden om bestuurlijke boetes op te leggen, bijvoorbeeld bij het negeren van de meldplicht datalekken. Tot nu toe is het opleggen van een bestuurlijke boete door het Cbp alleen mogelijk wanneer administratieve verplichtingen van de Wbp niet worden nagekomen. Het kabinet acht het wenselijk ook de materiële bepalingen van de Wbp te sanctioneren met behulp van een bestuurlijke boete. Hierbij zal moeten worden vastgesteld welke onderdelen van de Wbp voor een sanctionering met een bestuurlijke boete in aanmerking komen. Het kabinet geeft in de notitie aan dat dit in ieder geval de normen van de Wbp zijn die rechtstreeks verplichtingen leggen op de verantwoordelijke en de normen die een verbod inhouden. Het kabinet merkt expliciet op dat hierbij rekening moet worden gehouden met de belangen van de bestrijding van fraude en andere criminaliteit. De normen van de Wbp zijn abstract geformuleerd, dus dat roept voor de wetgever en handhaver de verplichting op om zoveel mogelijk duidelijkheid te verschaffen over de vraag of een bepaald handelen of nalaten in strijd is met de Wbp.
4
>Algemene meldplicht bij datalekken De Wet bescherming persoonsgegevens (Wbp) kent straks een meldplicht datalekken. In een wetsvoorstel dat medio 2011 in consultatie zal gaan zal een dergelijke verplichting worden opgenomen. Deze meldplicht strekt zich uit over alle aanbieders van diensten ‘van de informatiemaatschappij’, de overheid daaronder begrepen. In artikel 3:15d lid 3 BW is neergelegd wat moet worden verstaan onder een dienst van de informatiemaatschappij: elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van de afnemer van de dienst wordt verricht zonder dat partijen gelijktijdig op dezelfde plaats aanwezig zijn. Dat betreft dus meer dienstverleners dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie momenteel via een wijziging van de Telecommunicatiewet een meldplicht in voorbereiding is om de persoonsgegevens van abonnee of gebruiker beter te beschermen. Op grond van artikel 13 Wbp is de ‘verantwoordelijke’ (de partij die doel en middelen voor een gegevensverwerking vaststelt) voor een verwerking van persoonsgegevens verplicht om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen enige vorm van onrechtmatige verwerking. De Wbp regelt nu niet welke feitelijke gevolgen moeten worden verbonden aan gevallen waarin sprake is van verlies of onrechtmatig gebruik van persoonsgegevens als gevolg van ontoereikend gebleken beveiligingsmaatregelen. Door een beveiligingsfout kunnen grote hoeveelheden persoonsgegevens op straat belanden. De personen achter de gegevens moeten in zo’n geval snel worden ingelicht omdat hun privacy in het geding is. Ook de toezichthouder, het College bescherming persoonsgegevens (Cbp), krijgt een melding over het incident. De verplichtingen uit de Wbp richten zich op de ‘verantwoordelijke’. Het ligt daarom naar het oordeel van het kabinet voor de hand om de meldplicht te leggen bij de ‘verantwoordelijke’. De meldplicht zal dus tweeledig zijn. De meldplicht zal moeten worden nagekomen met het oog op de belangen van de betrokkenen en met het oog op handhaving; zowel de betrokkenen als de toezichthouder zullen moeten worden ingelicht.
>Gegevens delen ten behoeve van de veiligheid in incidentele gevallen Het kabinet is van mening dat, wanneer het noodzakelijk is voor de veiligheid van personen, gegevens tussen verantwoordelijken in het overheidsdomein moeten kunnen worden gedeeld, ook in situaties waarin een wettelijke regeling om op structurele basis gegevens te delen nog ontbreekt, en in uitzonderingsgevallen zonodig zelfs met doorbreking van een wettelijke geheimhoudingsplicht. Het kabinet zal niet aarzelen om ten behoeve van de fraude- en criminaliteitsbestrijding wettelijke voorzieningen te treffen om het delen van gegevens tussen toezichthouders en handhavers mogelijk te maken. In een wetsvoorstel tot aanpassing van de Wbp zal daarnaast een aanvulling op artikel 9 worden voorgesteld om het delen van gegevens mogelijk te maken wanneer het vitaal belang (daaronder wordt verstaan: een onmiddellijke of dreigende aantasting van leven of gezondheid) van de betrokkene of een derde dat vergt. Het betreft het regelen van een bevoegdheid die alleen bedoeld is voor afzonderlijke en incidentele gevallen van dringende aard. Het kabinet geeft aan dat in het recente verleden zich een aantal gevallen heeft voorgedaan waarin aan deze bevoegdheid grote behoefte bestond. Hierbij moet worden gedacht aan enkele zeer schrijnende gevallen van kindermishandeling en aan de mogelijkheden tot gegevensverwerking ten behoeve van de nabestaanden van de slachtoffers van de vliegramp in Libië. Dit voorstel sluit inhoudelijk aan bij een reeds bij het wetsvoorstel tot wijziging van de Wbp in verband met de vermindering van administratieve lasten (Kamerstukken II 31841) opgenomen voorziening voor de verwerking van bijzondere persoonsgegevens ten behoeve van het vitaal belang van een betrokkene of een derde.
“Het regeerakkoord vermeldt dat daders in hun eigen omgeving moeten worden aangepakt”. >Gegevens delen ten behoeve van het voorkomen van overlast, huiselijk geweld en criminaliteit Het regeerakkoord vermeldt dat daders in hun eigen omgeving moeten worden aangepakt. Veiligheidshuizen spelen hierbij een belangrijke rol. De voordelen van deze wijze van preventief werken hebben tot goede resultaten geleid. De Veiligheidshuizen zullen worden voortgezet en verder ontwikkeld. Het kabinet staat een dadergerichte aanpak voor om ernstige overlast, huiselijk geweld en criminaliteit terug te dringen. Deze werkwijze van Veiligheidshuizen en de Netwerk- en trajectberaden nazorg jeugd kan alleen plaatsvinden als relevante informatie wordt gedeeld tussen de deelnemende partners. Deze informatie moet niet alleen lokaal maar ook landelijk kunnen worden gedeeld, aangezien hardnekkige overlastgevers en criminelen zich vaak bewegen over meerdere regio’s. De informatie-uitwisseling moet zorgvuldig plaatsvinden, overeenkomstig het hierna onder >Helpdesk voor professionals in veiligheid en justitiële jeugdzorg beschreven 6-stappenplan. Deze informatie-uitwisseling vindt zoveel mogelijk plaats met toepassing van de bestaande regels voor samenwerkingsverbanden op grond van de Wbp, de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en de Wet op de jeugdzorg. Wanneer blijkt dat deze regelgeving onvoldoende ruimte zou bieden voor structurele en niet-vrijblijvende informatie-uitwisseling binnen de netwerkverbanden, zal het kabinet zonodig initiatieven nemen om de daarvoor in
aanmerking komende regelgeving aan te passen. Het kabinet geeft expliciet aan dat voorgaande ook het geval zal zijn als regelgeving tekort schiet om de effectiviteit van de handhaving te bewerkstelligen op het terrein van de fraude- en criminaliteitsbestrijding.
5
>Helpdesk voor professionals in veiligheid en justitiële jeugdzorg Met de inrichting van een helpdesk voor professionals in de sector veiligheid en justitiële jeugdzorg is in januari 2011 een begin gemaakt. Het werken in samenwerkingsverbanden waarin politie en openbaar ministerie deelnemen leidt in de regel tot de toepassing van verschillende privacywetten. Het verstrekken van gegevens aan en door deze verbanden vergt afwegingen van gecompliceerde aard, waarbij een bepaalde vorm van expertise moet worden ontwikkeld. Het Servicecentrum zal gezamenlijk met de professionals producten ontwikkelen die hen in staat stellen zelfstandig afwegingen te maken over veiligheid, de bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. Het Servicecentrum moet op 1 januari 2012 volledig operationeel zijn. Overigens geeft het kabinet in de notitie aan dat als goede basis voor het inrichten van een samenwerkingsverband de volgende zes stappen gelden. 1. Het bepalen van de taken en belangen; 2. het bepalen van het doel van het delen van informatie; 3. het bepalen van de desbetreffende gegevens; 4. het bepalen van de vorm en inhoud van het delen; 5. het bepalen van de verantwoordelijke en 6. het maken van afspraken over hoe en wanneer de verantwoordelijke de betrokkene van informatie voorziet. Het Ministerie van Veiligheid en Justitie is voornemens deze criteria in het vervolg strikt toe te passen in alle samenwerkingsverbanden waarin het ministerie zelf participeert. >Privacy Impact Assessments In afgelopen jaren is naar aanleiding van een initiatief van het Cbp gebleken dat de gedachten voor het ontwikkelen van een uniforme methodiek voor het uitvoeren van een PIA sterk uiteenlopen. Een PIA biedt inzicht in de risico’s van een verwerking van persoonsgegevens. Wanneer die risico’s bekend zijn, kunnen maatregelen worden genomen om deze te beheersen. Een PIA heeft de meeste waarde wanneer deze in de ontwerpfase van een gegevensverwerking wordt uitgevoerd. Het bedrijfsleven was van oordeel dat de voorgestelde systematiek te ingewikkeld en te omvangrijk was. Het bedrijfsleven werkt inmiddels aan de ontwikkeling van een privacy risicoscan, toegesneden op de eigen behoeften. Het kabinet oordeelt nu dat er onvoldoende reden is om het gebruik van PIA’s in wetgeving voor te schrijven. Dit voornamelijk met het oog op de kosten die met het houden van een PIA zijn gemoeid. Die kosten moeten in een aanvaardbare verhouding staan tot de risico’s die met een PIA in kaart kunnen worden gebracht. >Privacy by design Het kabinet wil de toepassing van privacy by design stimuleren. Privacy by design is een goede manier om privacybescherming concreet vorm te geven in informatiesystemen waarin persoonsgegevens worden verwerkt. Door toepassing van privacy by design wordt gegevensbescherming van meet af aan ‘ingebakken’ in het systeemontwerp. Het is volgens het kabinet noodzakelijk meer inzicht te krijgen in de kosten en de baten van privacy by design, in de vraag of dat in het buitenland anders ligt dan in Nederland en in de vraag wat de overheid eraan kan bijdragen om privacyvriendelijke systeemontwerpen te bevorderen.
6
>Mogelijkheid van bezwaar en beroep bij definitieve bevindingen door het Cbp In een wetsvoorstel zal wat betreft het kabinet worden geregeld dat bezwaar en beroep wordt opengesteld tegen een definitief rapport van bevindingen, in de zin van artikel 60 Wbp. Dat biedt verantwoordelijken de gelegenheid om desgewenst het oordeel van de rechter in te winnen over feiten die door het Cbp zijn verzameld en de kwalificatie die het Cbp daaraan geeft. Tegen sanctiebesluiten van het Cbp is reeds nu bezwaar en beroep mogelijk en dat zal ook zo blijven.
>Cameratoezicht Verwerking van persoonsgegevens kan de veiligheid ondersteunen en bevorderen, zoals bij cameratoezicht. Om het gebruik daarvan te stimuleren, mogen burgers en bedrijven de beelden die zij voor hun eigen veiligheid opnemen vier weken bewaren in plaats van de huidige 24 uur, zonder voorafgaande melding aan het Cbp. Op die manier kunnen burgers en bedrijven zonder onderworpen te zijn aan de administratieve last van de melding beter en meer afgewogen zelf beoordelen of zij deze beelden gebruiken voor het verbeteren van hun eigen veiligheid of voor het doen van aangifte van op de beelden geconstateerde strafbare feiten. In de Gemeentewet staat dat camerabeelden gedurende vier weken mogen worden bewaard. Voor de private toepassing van cameratoezicht ontbreekt een specifieke regeling en moet worden teruggevallen op de algemene regeling van de Wbp. In het Vrijstellingsbesluit Wbp is een regeling opgenomen die verantwoordelijken vrijstelt van de verplichting hun gegevensverwerking voor bewakings- en beveiligingsdoeleinden te melden bij het Cbp, onder de voorwaarde dat camerabeelden aan een beperkte bewaartermijn van slechts 24 uur zijn onderworpen. Het ligt in de bedoeling om op korte termijn een reeds in consultatie gegeven wijziging van het Vrijstellingsbesluit Wbp aan de ministerraad voor te leggen met het doel om de bewaartermijn voor deze camerabeelden gelijk te trekken met de bewaartermijn voor camerabeelden uit het publieke domein.
>Bewaartermijn van kentekengegevens Met betrekking tot de automatische nummerplaatherkenning (ANPR) door de politie ligt er een wetsvoorstel (reeds in consultatie gegeven) tot wijziging van het Wetboek van Strafvordering waarin wordt voorgesteld de bewaartermijn van kentekengegevens voor de opsporing van strafbare feiten en de aanhouding van voortvluchtige personen op vier weken te stellen. Hierbij wordt voor de duur van de bewaartermijn aangesloten bij de termijn van camerabeelden.
JAARVERSLAG 2010 Cbp: Cbp: Deze tijd vraagt om privacytoezichthouder ‘met tanden’ Jacob Kohnstamm overhandigt jaarverslag 2010 aan staatssecretaris van Veiligheid en Justitie. Persbericht, 11 mei 2011 De technologie biedt bijna grenzeloze mogelijkheden voor de opslag en verwerking van gegevens. Dit leidt ertoe dat mensen nauwelijks meer vat kunnen krijgen op wie hun persoonsgegevens verwerkt en wat hiermee gebeurt. ‘Zelfs wie gebrand is op zijn privacy, heeft geen inzicht in het woud van alle gegevensverwerkingen’, aldus Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens (Cbp). De waarborgen voor een zorgvuldig gebruik van persoonsgegevens moeten dan ook worden aangescherpt, aldus Kohnstamm in het jaarverslag 2010 van het Cbp. De Cbp-voorzitter overhandigde het jaarverslag vandaag aan staatssecretaris Fred Teeven van het ministerie van Veiligheid en Justitie. Bij de overhandiging reageerde Kohnstamm ook op de recente plannen voor het privacybeleid van dit kabinet: ‘Een toezichthouder heeft tanden nodig. Wij zijn dan ook verheugd met de aankondiging van de lang door ons bepleite boetebevoegdheid.’
In de volgende Nieuwsbrief volgt een nadere uiteenzetting van het Jaarverslag 2010 van het Cbp. con aan derden, zonder uitdrukkelijke, schriftelijke toestemming van 2BW Advocaten.
7
Opdrachtgevers privacy gemeenten Graven Juridisch Advies is een zelfstandig en onafhankelijk adviesbureau op het gebied van privacy en bescherming van persoonsgegevens. Voor meer informatie neem contact op met mr. Charlotte Graven op 06-22778091 of stuur een e-mail naar
[email protected]
- Gemeente Sittard-Geleen - Gemeente Valkenburg aan de Geul - Gemeente Maastricht - Gemeente Vaals - Gemeente Venlo - Gemeente Simpelveld - Regionale Sociale Dienst Pentasz Mergelland - Gemeente Eijsden-Margraten - Gemeente Gulpen-Wittem - ISD BOL (Intergemeentelijke Sociale Dienst Brunssum Onderbanken Landgraaf) - Gemeente Beek - Gemeente Roermond - RIEC Limburg - Gemeente Kerkrade - Gemeente Onderbanken - Gemeente Brunssum - Gemeente Stein - Gemeente Schinnen
Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen Telefoonnummer: 045-5716391 of 06-22778091 emailadres:
[email protected] www.gravenadvies.nl
8
Disclaimer: De inhoud van deze Nieuwsbrief is van informatieve aard en kan niet worden beschouwd als een juridisch advies in welke vorm dan ook. Ondanks de zorgvuldige samenstelling van de inhoud van deze nieuwsbrief kan Graven Juridisch Advies geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Graven Juridisch Advies aangeboden content die afkomstig is van derden.
