POSTADRES TEL
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
www.cbpweb.nl
Inbreng College bescherming persoonsgegevens ten behoeve van het verslag van de mensenrechtensituatie in Nederland gerelateerd aan het Handvest van de Grondrechten van de Europese Unie over de periode 1 december 2004 tot 1 november 2005
DATUM
30 november 2005
Inhoudsopgave 1. Inleiding ............................................................................................................................3 2. Algemene ontwikkelingen bescherming persoonsgegevens ........................................4 2.1. Maatschappelijke ontwikkelingen en de onafhankelijke autoriteit.................................. 4 2.2. Geïntegreerde visie op de mensenrechten: oprichting nieuw instituut ........................... 4 2.3. NIPO-onderzoek ‘Burgers en hun privacy’ .................................................................... 5 3. De omvang van het inzagerecht.......................................................................................6 4. RFID ...................................................................................................................................6 5. Politiegegevens .................................................................................................................7 6. Terrorismebestrijding en inlichtingendiensten .............................................................8 7. Marktwerking in de zorg .................................................................................................9 8. Burgerservicenummer ....................................................................................................10
2
1. INLEIDING Het College bescherming persoonsgegevens (CBP) ontving van prof. R.A. Lawson als lid van het Netwerk van Onafhankelijke Experts inzake Fundamentele Rechten het verzoek om informatie en opvattingen aan te dragen ten behoeve van het jaarlijks verslag over de naleving van de in het EU-Hhandvest opgenomen grondrechten in Nederland. Het EU-Handvest van de grondrechten kent een afzonderlijke bepaling over de bescherming van persoonsgegevens. Bepaling II-8 is als een rechtsaanspraak geformuleerd: “Een ieder heeft recht op de bescherming van de hem betreffende persoonsgegevens” en niet als regelingsopdracht zoals in artikel 10 van de Nederlandse grondwet en de bepalingen van Europees Dataverdrag 1981. Dit kan meer ruimte bieden voor rechtsvorming op internationaal niveau. De website en jaarverslagen van het CBP laten zien dat de toezichthouder zich met een stroom van onderwerpen bezighoudt. Het toezichtsdomein bestrijkt alle sectoren van de samenleving. Daarnaast heeft het CBP een breed takenpakket: wetgevingsadvisering, voorlichting, het houden van een openbaar register van gegevensverwerkingen, klachtenbehandeling, bemiddeling, goedkeuring gedragscodes, ambtshalve onderzoek, toepassen van sancties en deelname aan internationale activiteiten. Voor de inbreng in dit rapport zijn onderwerpen geselecteerd die in de periode 1 december 2004 tot 1 november 2005 een belangrijke ontwikkeling hebben doorgemaakt of waarover een afgerond standpunt is ingenomen. Het rapport geeft derhalve niet een volledig beeld van belangrijke onderwerpen die de aandacht hebben van het CBP en evenmin van alle onderwerpen waar spanning met de regelgeving kan worden geconstateerd. De geselecteerde onderwerpen geven een beeld van wat er op het spel staat: • het draagvlak voor de bescherming van persoonsgegevens staat onder druk, wellicht meer in de politieke besluitvorming dan bij de burger; • de behoefte om maatschappelijke ontwikkelingen tegemoet te treden vanuit een geïntegreerde visie op de mensenrechten; • er is behoefte aan precisering van de normen zowel ten aanzien van bijvoorbeeld het reeds lang bestaande inzagerecht als bij nieuwe technologische ontwikkelingen; • de overheid ontwikkelt beleid voor nieuwe ingrijpende en grootschalige verwerkingen van persoonsgegevens zonder van het begin af aan ruim aandacht te schenken aan de eisen van de bescherming van persoonsgegevens, in het bijzonder het noodzakelijkheidsbeginsel en de waarborgen voor een zorgvuldige omgang met persoonsgegevens.
3
2. ALGEMENE ONTWIKKELINGEN BESCHERMING PERSO ONSGEGEVENS 2.1. Maatschappelijke ontwikkelingen en de onafhankelijke autoriteit Het CBP houdt toezicht op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde. Dit betreft in ieder geval de Wet bescherming persoonsgegevens (WBP) als implementatiewetgeving van Richtlijn 95/46/EG, de Wet gemeentelijke basisadministratie, de Wet Justitiële en strafvorderlijke gegevens, de Wet op de politieregisters en de Telecommunicatiewet. De regering is verplicht advies te vragen aan het CBP over wetsvoorstellen en algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens. In zijn laatste jaarverslag signaleert het CBP een sterke toename van massale verwerkingen van persoonsgegevens en mogelijkheden om het doen en laten van individuen te volgen. Het CBP uit zorgen over een gebrek aan aandacht bij overheid en private sector om bij vernieuwingen tijdig oplossingen voor een zorgvuldige omgang met persoonsgegevens te zoeken. Daarnaast signaleert het CBP in dit jaarverslag een sterke negatieve beeldvorming over het begrip privacy. Sinds enkele jaren is ‘privacy’ als synoniem voor persoonsgegevens voor velen een steen des aanstoots geworden: een niet concreet gedefinieerd belang dat bestuurders en professionals ervan zou weerhouden om politiek en maatschappelijk gewenste doelen te realiseren. Een onderbouwing van deze kritiek op de regels voor bescherming persoonsgegevens ontbreekt veelal. Bescherming van persoonsgegevens wordt in politiek en bedrijfsleven meer beschouwd als hinderpaal en administratieve last dan als fundamenteel recht. In dit spanningsveld opereert de toezichthouder, worden nieuwe oplossingen gezocht en partijen opgeroepen mee te werken aan het vinden van evenwicht tussen gewenste doelen en het fundamentele recht op bescherming van persoonsgegevens (zie Jaarverslag CBP, mei 2005, www.cbpweb.nl). In de begroting voor 2006 van oktober 2005 constateert het CBP dat het budget dat door de regering ter beschikking wordt gesteld ontoereikend is. Een behoorlijk nalevingsniveau van de regels voor het gebruik van persoonsgegeven draagt volgens het CBP direct bij aan het vertrouwen van burgers in het maatschappelijk verkeer en in de overheid. Voor het instandhouden en bevorderen van dit vertrouwen is effectief toezicht onontbeerlijk en geconstateerd moet worden dat de toezichthouder daartoe onvoldoende in staat wordt gesteld, aldus het CBP. Daarbij wijst het op een aantal ontwikkelingen waarbij op grote schaal persoonsgegevens worden verwerkt en die de werklast vergroten: terrorismebestrijding, de introductie van het burgerservicenummer, het elektronisch patiëntendossier, het kinddossier, fraudebestrijding in de sociale zekerheid en de chipkaart voor openbaar vervoer. 2.2. Geïntegreerde visie op de mensenrechten: oprichting nieuw instituut Vier organisaties, de Commissie Gelijke Behandeling, de Nationale ombudsman, het Studie- en Informatiecentrum voor de mensenrechten en het College bescherming persoonsgegevens hebben in september 2005 een voorstel voor de oprichting van nationaal mensenrechteninstituut aangeboden aan de regering (zie rapport ‘De Daad bij het Woord’, september 2005, www.cbpweb.nl). Het voorgestelde instituut dient zich 4
volgens de opstellers van het voorstel onder meer bezig te houden met een loketfunctie, advisering, onderwijs en onderzoek. Genoemde organisaties hebben geconstateerd dat het noodzakelijk kan zijn om maatschappelijke ontwikkelingen tegemoet te treden vanuit een geïntegreerde visie op de mensenrechten. Zo kunnen de gevolgen van het verzamelen, gebruik en verstrekking of openbaarmaking van persoonsgegevens niet altijd beoordeeld worden door uitsluitend te toetsen aan praktische waarborgen voor de bescherming van persoonsgegevens. Andere fundamentele rechten zijn evenzeer in het geding bij bijvoorbeeld de omvangrijke verspreiding van persoonsgegevens via publicaties op internet: de vrijheid van meningsuiting, communicatievrijheid en het verbod van discriminatie. Het verzamelen van etnische gegevens kan zowel het gelijkheidsbeginsel dienen als discriminatie veroorzaken. De beleidsvoorstellen voor de bestrijding van terrorisme raken meerdere grondrechten. Het gebruik van biotechnologie en radio frequency identification (RFID) zijn eveneens voorbeelden van maatschappelijke ontwikkelingen waarbij de vastlegging van persoonsgegevens een grote rol kan spelen en die meerdere fundamentele rechten en vrijheden raken: de waardigheid van de persoon, de vrijheidsrechten en het gelijkheidsbeginsel. 2.3. NIPO-onderzoek ‘Burgers en hun privacy’ Het CBP heeft in 2004 door TNS Nipo Consult een onderzoek laten uitvoeren naar de bekendheid onder burgers van privacywetgeving en het belang dat zij hechten aan de bescherming van persoonsgegevens (zie mededeling en rapport ‘Burgers en hun privacy. Opinie onder burgers’, april 2005, www.cbpweb.nl en persbericht ’Privacybescherming dient het vertrouwen van de burger in de samenleving’, 25 mei 2005, www.cbpweb.nl). Dergelijke onderzoeken zijn in verscheidene Europese landen reeds uitgevoerd. Uit het onderzoek kwam naar voren dat burgers groot belang hechten aan de vertrouwelijkheid van hun gegevens bij de belastingdienst, financiële instellingen, uitkeringsinstellingen, verzekeringsmaatschappijen, incassobedrijven, de politie, etcetera. Zij hebben echter niet een volledig vertrouwen in een zorgvuldige omgang met deze gegevens. Verder blijkt uit het onderzoek dat burgers genuanceerd denken over de bescherming van persoonsgegevens tegenover andere belangen. De meerderheid van de burgers geven aan wel ruimte te willen bieden aan andere (concurrerende) belangen, maar stelt daar ook grenzen aan. Zo worden zwarte lijsten en de controle van e-mail en internet op het werk acceptabel gevonden mits er concrete aanwijzingen zijn die signalering of controle rechtvaardigen. Met betrekking tot bekendheid van de Wet bescherming persoonsgegevens blijkt dat iets meer dan de helft van de burgers deze wet kent. Gezien de steun die de burgers uitspreken voor de bescherming van persoonsgegevens, kan geconcludeerd worden dat er in de Nederlandse samenleving onmiskenbaar draagvlak is voor wetgeving die de bescherming van persoonsgegevens ten doel heeft. Maar liefst 92% van de burgers zegt desgevraagd veel tot zeer veel belang te hechten aan het bestaan van wetgeving op dit terrein.
5
Tegen de achtergrond van alle publiciteit rond veiligheid en terrorisme in de periode van het onderzoek, bleken burgers toch duidelijk aan te geven dat de bescherming van persoonsgegevens door overheid en bedrijfsleven goed geregeld dient te zijn. 3. DE OMVANG VAN HET INZAGERECHT In 2004 leidde een geschil tussen een bank en duizenden burgers over het recht op inzage tot verschillende procedures bij rechtbanken. Toen in 2000 en 2001 de aandelenmarkten instortten, leden de vele tienduizenden houders van aandelenleasecontracten bij Dexia Bank Nederland N.V. (Dexia) grote verliezen. Gedupeerde klanten vroegen inzage in hun dossier. Dexia werkte hier niet aan mee. Inwilliging van de verzoeken zou zijn positie in gerechtelijke procedures kunnen schaden en tot disproportionele administratieve lasten leiden. Naar aanleiding van bemiddelingsverzoeken heeft het College bescherming persoonsgegevens uitspraak gedaan over de manier waarop het recht op inzage in de onderhavige situatie moet worden uitgelegd (z2003-1617 en z2004-1432). Het CBP was van mening dat Dexia de gevraagde gegevens moest verschaffen, maar Dexia legde dit oordeel naast zich neer. In de uitspraak van de Geschillencommissie Bankzaken en de rechtszaken die hierop volgden is tot nu toe verschillend geoordeeld over de toepassing van dit recht (zie mededeling ‘Rechterlijke uitspraken inzagerecht bij Dexia’, 2 mei 2005, www.cbpweb.nl. en artikel ‘De winstverdubbelaar en de privacywet’ van Jos Webbink en Gerrrit-Jan Zwenne, IT Monitor nr. 9, oktober 2005). Er lopen nog zaken in hoger beroep. Er is onduidelijkheid over de vraag of een inzageverzoek gemotiveerd moet worden, welke gegevens precies verstrekt moeten en in welke gevallen de verwerker een beroep kan doen op de uitzonderingsgronden van artikel 13 Richtlijn 95/46/EG en artikel 43 WBP. Op deze punten heerst thans een tegenstelling in opvatting tussen de toezichthouder en het bedrijfsleven. 4. RFID RFID is een technologie die door middel van radiosignalen de unieke identificatie van producten, dieren en personen op afstand mogelijk maakt. De signalen worden verzonden en ontvangen door een klein voorwerp dat een computerchip bevat met informatie over het object waaraan het is bevestigd, de zogenaamde RFID-tag. RFID zal in de komende jaren in tal van sectoren zoals logistiek, retail, zorg, defensie en publieke diensten zoals bibliotheken worden toegepast. De inzet van deze technologie biedt over het algemeen veel (maatschappelijke) voordelen, maar er bestaat ook kans op nadelige gevolgen door de toepassing van RFID, in het bijzonder voor het recht op privacy in verband met persoonsgegevens. Daarom is het een belangrijke opgave om technologische en juridische middelen te ontwerpen die de nadelige gevolgen voor de privacy kunnen voorkomen of inperken. Daarbij kan zowel aan zelfregulering als aan wetgeving worden gedacht. Diverse partijen leverden een bijdrage aan de ontwikkeling van richtsnoeren. Het samenwerkingsverband van de privacytoezichthouders in de EU-lidstaten - de Artikel 29-werkgroep - heeft een werkdocument gepubliceerd over de implicaties van RFID voor de bescherming van persoonsgegevens (zie document ‘Working document on 6
data protection issues related to RFID technology’, 19 januari 2005, www.europa.eu.int). Het werkdocument formuleert een aantal beginselen voor een zorgvuldige toepassing van RFID. De Artikel 29-werkgroep kondigt aan de ontwikkelingen te zullen volgen. De burgerrechtenorganisatie Bits of Freedom heeft in een position paper de gevaren van RFID voor privacy uiteengezet en een aantal vuistregels aangereikt voor een verstandige inzet van de technologie, waarbij privacyrechten worden gewaarborgd (zie document ‘RFID position paper’, 6 december 2004, www.bof.nl). In samenwerking met de werkgroep Privacy & RFID, waarin consumenten, bedrijfsleven, overheid en wetenschappers waren vertegenwoordigd, heeft ECP.NL, een platform voor elektronisch Nederland, een rapport uitgebracht over de privacyaspecten van RFID (zie rapport ‘Privacyrechtelijke aspecten van RFID’ 9 juni 2005, www.ecp.nl en mededeling ‘Privacyaspecten RFID in kaart gebracht’, 29 juni 2005, www.cbpweb.nl). Een nadere uitwerking van de privacywetgeving in bijvoorbeeld een gedragscode wordt noodzakelijk geacht. Daarnaast wordt aanbevolen aan markt en overheid om voorlichting te geven over de technologische mogelijkheden en het juridisch kader. Ook wordt aanbevolen om onderzoek te doen naar de risico’s van misbruik. Uit het publieke debat komt naar voren dat partijen nog niet voor alle toepassingen exact kunnen aangeven wanneer er sprake is van verwerking van persoonsgegevens bij de toepassing van RFID. Gegevens die op zichzelf niet gekoppeld zijn aan een natuurlijk persoon maar wel op eenvoudige wijze aan concrete personen kunnen worden gekoppeld worden veelal aangemerkt als persoonsgegevens. Naar verwachting zullen op internationaal en nationaal niveau omschrijvingen worden geformuleerd die dit vraagstuk voor de praktijk zullen verduidelijken. Het is buiten kijf dat de toepassing van RFID door het bevestigen van een tag aan of in het lichaam teneinde personen te kunnen volgen zeer zorgvuldige waarborgen vereist. 5. P OLITIEGEGEVENS Ten behoeve van de opsporing en vervolging van ernstige misdrijven en georganiseerde criminaliteit werd op 1 februari 2000 de Wet bijzondere opsporingsbevoegdheden van kracht. Deze wet kende een aantal bijzondere opsporingsbevoegdheden toe aan het Openbaar Ministerie, zoals stelselmatige observatie, de criminele burgerinfiltrant en afluisteren door middel van afluisterapparatuur. Een belangrijk element in deze wetgeving bestaat uit regels om controle op het gebruik van deze bevoegdheden mogelijk te maken. Personen jegens wie deze bijzondere opsporingsmethoden zijn ingezet, dienen volgens de wet op een zeker tijdstip daarover te worden ingelicht, tenzij zij als gevolg van strafvervolging daarvan reeds op de hoogte zijn. De Minister van Justitie heeft op 13 december 2004 een evaluatierapport van de Wet bijzondere opsporingsbevoegdheden toegezonden aan de Tweede Kamer en bevestigd dat de mededelingsplicht (aangeduid als notificatieplicht) slechts op zeer beperkte schaal wordt nageleefd (zie WODC-rapport ‘De Wet bijzondere opsporingsbevoegdheden: eindevaluatie, 2004, www.wodc.nl). Als oorzaken worden genoemd de omstandigheid dat notificatie pas behoeft te geschieden wanneer het 7
belang van het onderzoek dat toelaat, het feit dat op nalaten van notificatie geen sanctie staat en de omstandigheid dat de notificatieplicht bij het openbaar ministerie geen prioriteit heeft. In de begeleidende brief van 13 december 2004 kondigt de Minister van Justitie maatregelen aan om de naleving te bevorderen (Kamerstukken II 2004/05, 29 940, nr. 1). De bijzondere opsporingsbevoegdheden leiden tot ingrijpende inbreuken op de persoonlijke levenssfeer door het heimelijk vergaren van gegevens en het plaatsen van afluisterapparatuur in het privédomein. Één van de waarborgen die de wetgever bij de invoering van de bijzondere opsporingsbevoegdheden kennelijk nodig heeft geacht met oog op de bescherming van de persoonlijke levenssfeer en persoonsgegevens heeft jarenlang geen prioriteit gehad bij het openbaar ministerie. Dit levert volgens het CBP een zorgwekkend beeld op van onvoldoende aandacht voor privacywaarborgen. Op 17 oktober 2005 is bij de Tweede Kamer het wetsvoorstel houdende regels inzake de verwerking van politiegegevens ingediend (Kamerstukken II 2005/06, 30 327, nr. 1-5). Deze wet zal de bestaande Wet politieregisters geheel herzien. Aan het commentaar van het CBP op het voorontwerp (z2004-0467) is op essentiële onderdelen niet tegemoetgekomen: gegevens worden niet voorzien van een code die de betrouwbaarheid (het onderscheid tussen zachte en harde informatie) en afbreukrisico aangeeft, onvoldoende waarborgen tegen derdenverstrekkingen van gegevens met een geringe betrouwbaarheid, geen extra waarborgen bij gegevens over onverdachte personen en een te ruime verzameling van gegevens over onverdachte personen (zie brief van CBP aan de Vaste Commissie voor Justitie van de Tweede Kamer, 24 november 2005, z2005-1359). 6. TERRORISMEBESTRIJDING EN INLICHTINGENDIENSTEN Op 17 juni 2005 is de Wet ter verruiming van de mogelijkheden tot opsporing en vervolging van terroristische misdrijven ingediend (Kamerstukken II 2004/05-2005/06, 30 164, nrs. 1 e.v.). Het wetsvoorstel geeft politie en justitie bevoegdheden tot tappen van telecommunicatie en opnemen van vertrouwelijke communicatie met afluisterapparatuur, stelselmatige observatie, infiltratie als er aanwijzingen zijn van terroristische misdrijven en biedt de mogelijkheid om inzage in processtukken langdurig uit te stellen. Het criterium ‘aanwijzingen’ is lichter dan het gangbare criterium ‘verdenking’ als grondslag voor het aanwenden van strafrechtelijke bevoegdheden. De Raad van State heeft er in zijn advies van 26 mei 2005 op gewezen dat de op 1 september 2004 in werking getreden Wet terroristische misdrijven al handelingen in de voorbereidingsfase van terroristische misdrijven strafbaar heeft gesteld waardoor de toepassing van opsporingsbevoegdheden en dwangmiddelen reeds in vroeg stadium mogelijk is. Er is daarom met dit nieuwe wetsvoorstel sprake van een cumulatie van mogelijkheden om in een vroeg stadium preventief op te treden tegen terroristische misdrijven. Deze mogelijkheden vormen een ingrijpende wijziging van het bestaande stelsel van opsporingsbevoegdheden en strafvervolging en vragen volgens de Raad van State een gedegen onderbouwing van de noodzakelijkheid. Bij toepassing van de voorgestelde opsporingsbevoegdheden geldt een mededelingsplicht (notificatieplicht) ten aanzien van de burger, opdat deze een rechtsmiddel als bedoeld in artikel 13 EVRM kan aanwenden tegen de inbreuk op zijn 8
fundamentele rechten. In dit verband verwijst de Raad van State in eerdergenoemd advies naar de gebrekkige naleving van de notificatieplicht die reeds werd ingevoerd door de Wet bijzondere opsporingsbevoegdheden (art. 126bb Sv). De regering wordt geadviseerd te vermelden hoe naleving van de notificatieplicht zal worden verzekerd. Het College bescherming persoonsgegevens bracht op 22 december 2004 een advies uit op een voorontwerp van een wet tot verruiming van opsporingsbevoegdheden bij terroristische misdrijven (z2004-1529), waarin vanuit het oogpunt van gegevensbescherming kritische kanttekeningen werden geplaatst bij de verruiming van bevoegdheden, de verzameling en verwerking van zachte informatie en de slechte ervaringen met de notificatieplicht. Tot maatregelen ten behoeve van terrorismebestrijding behoort ook de intensivering van uitwisseling van gegevens tussen het openbaar ministerie, politie, de Immigratieen Naturalisatiedienst (IND) en de Algemene inlichtingen- en veiligheidsdienst (AIVD) via de zogenaamde Contraterrorisme infobox (CT Infobox). Onder erkenning van het belang van gegevensuitwisseling ten behoeve van terrorismebestrijding dringt het College bescherming persoonsgegevens aan op heldere beschrijvingen van de wettelijke grondslagen, de verantwoordelijkheid en bevoegdheden van deelnemende partijen en adequaat toezicht (z2005-0437). De verwerking van persoonsgegevens in het kader van preventie van terroristische misdrijven kan immers voor onschuldige personen die op basis van bepaalde kenmerken of signaleringen in gegevensverzamelingen worden opgenomen grote risico’s op nadelige bejegening door overheid of in het maatschappelijk verkeer met zich meebrengen. 7. MARKTWERKING IN DE ZORG Ten behoeve van kostenbeheersing in de gezondheidszorg is in de afgelopen jaren een ingrijpende wijziging van het stelsel van financiering van de gezondheidszorg en ziektekostenverzekering voorbereid. Het nieuwe stelsel is erop gebaseerd dat verzekeringsmaatschappijen via concurrentie een gunstige invloed op prijs en kwaliteit van de gezondheidszorg zullen uitoefenen. Op 17 september 2004 is het wetsvoorstel voor de Zorgverzekeringswet ingediend (Kamerstukken II 2003/042004/05, 29 763, nrs. 1 e.v.). De parlementaire behandeling is afgerond in 2005 en de wet zal in werking treden op 1 januari 2006. Hoewel het nieuwe stelsel leidt tot verstrekking van gedetailleerde medische gegevens per patiënt en behandeling aan verzekeringsmaatschappijen zijn de privacywaarborgen niet in de wet geregeld. De regeling hiervan is doorgeschoven naar een ministeriële regeling en een gedragscode voor de zorgverzekeraars. Het CBP heeft zich in een aantal adviezen kritisch uitgelaten over de gevolgen van het nieuwe stelsel voor de bescherming van persoonsgegevens. De belangrijkste bezwaren van het CBP zijn: • De ruime opzet van de verplichting voor zorgverleners om persoonsgegevens van patiënten aan de zorgverzekeraars te verstrekken. De zware verplichting van het medisch beroepsgeheim en het belang van patiënten bij het geheim van de spreekkamer komt hierdoor onder druk te staan. De zogenaamde Diagnose Behandel Combinaties die de sleutel zijn voor gegevensuitwisseling tussen hulpverleners en verzekeringsbedrijven leveren gedetailleerdere 9
gegevens over patiënten dan het in andere Europese landen gebruikte systeem van Diagnose Related Groups; • Een tekort aan aandacht voor het regelen van de bescherming van medische gegevens bij de voorbereiding en totstandkoming van het nieuwe stelsel. De grondslagen voor verstrekking en verwerking van medische gegeven en de waarborgen worden niet in de wet zelf geregeld, maar zullen in lagere regelgeving en door middel van afspraken in de sector worden uitgewerkt. Het voorkomen van hergebruik van medische gegevens ten behoeve van aanvullende verzekeringen of andere producten en diensten van de verzekeringsbedrijven zal geheel afhankelijk zijn van zelfregulering en de waakzaamheid van verzekerden en degenen die een verzekering aanvragen. (zie mededeling ‘Meer privacywaarborgen rond uitvoering Zorgverzekeringswet’, 21 oktober 2005, www.cbpweb.nl en artikel ‘Privacy in geding bij zorgstelsel’, 3 oktober 2005, NRC Handelsblad). 8. BURGERSERVICENUMMER Verwacht wordt dat in de eerste maanden van 2006 het zogenaamde burgerservicenummer (BSN) zal worden ingevoerd door de inwerkingtreding van het op 22 september 2005 ingediende voorstel voor de Wet algemene bepalingen burgerservicenummer (Kamerstukken II 2005/06, 30 312, nrs. 1 e.v.). Het BSN komt in de plaats van het huidige sofi-nummer dat werd uitgegeven door de belastingdienst en als registratienummer gebruikt werd ten behoeve van belastingheffing en sociale zekerheid . Het BSN is een algemeen uniek registratienummer voor elke burger ten behoeve van alle overheidsdiensten. Alle overheidsorganen kunnen het BSN gebruiken bij het verwerken van persoonsgegevens in het kader van hun taak zonder dat daarvoor een aparte wettelijke regeling noodzakelijk is. Ook honderdduizenden niet-ingezetenen (EU-burgers en Nederlanders in het buitenland) die meervoudige contacten hebben met de overheid zullen een BSN krijgen; dit is echter nog niet uitgewerkt en kan niet zijn beslag krijgen bij de invoering van het BSN. Het bedrijfsleven heeft aangedrongen op een bevoegdheid om het BSN te gebruiken. Hierover is geen duidelijkheid verschaft. Het CBP heeft op 10 februari 2005 een advies uitgebracht over het voorontwerp van het wetsvoorstel en geconcludeerd dat er onvoldoende waarborgen voor een zorgvuldige omgang met persoonsgegevens in het voorontwerp waren opgenomen (z2004-1734). Zonder dergelijke waarborgen werd de regeling in strijd geacht met artikel 8, zevende lid, Richtlijn 95/46/EG dat luidt: De lidstaten stellen de voorwaarden vast waaronder een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard voor verwerkingsdoeleinden mag worden gebruikt. In het wetsvoorstel van 22 september 2005 is niet aan dit voorschrift tegemoet gekomen. Ook de Raad van State heeft in zijn advies van 1 juli 2005 geconcludeerd dat invoering van het BSN zonder vaststelling van regels en mechanismen ten behoeve van de bescherming van persoonsgegevens onverantwoord is (Kamerstukken II 2005/06, 30 312, nr. 4). Het CBP is van mening dat het op 22 september 2005 ingediende wetsvoorstel ernstig tekortschiet als het gaat om de beperking van de risico’s die verbonden zijn aan de invoering en het gebruik van het burgerservicenummer. De invoering van het BSN dient pas plaats te vinden als de waarborgen voor een zorgvuldig gebruik bekend zijn en in wetgeving zijn verankerd. In een brief van 25 oktober 2005 heeft het CBP aan de 10
leden van de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelaties van de Tweede Kamer aandacht gevraagd voor de belangen van de individuele burger (z2005-1198). Het volgende wordt opgemerkt: De redenering dat een burger altijd baat heeft bij een efficiënte overheid en dus bij een algemeen registratienummer, miskent de verstrekkende gevolgen van de introductie van het burgerservicenummer. Het BSN is bovenal nuttig voor de overheid, terwijl de risico’s voor de burger onvoldoende onderkend of bestreden worden: • • • • •
‘fouten in de computer’ kunnen zich via het BSN veel sneller verspreiden; er is geen regeling voor het informeren van de burger over substantiële fouten bij de verwerking van zijn gegevens; de individuele burger zal grote moeite hebben om fouten te laten corrigeren en heeft geen ‘loket’ voor eventuele problemen; ongeoorloofde informatieverzameling door overheden wordt vergemakkelijkt; identiteitsfraude zal toenemen.
Het CBP erkent ten volle dat een algemeen registratienummer van burgers met het oog op een slagvaardiger overheid en het verminderen van administratieve lasten voordelen heeft. Eenduidige identificatie van burgers en hergebruik van basisgegevens kan ook dienstig zijn aan de bescherming van persoonsgegevens. Het CBP acht het daarom van groot belang voor de burger, de bescherming van diens persoonsgegevens en de maatschappelijke aanvaardbaarheid van de invoering van het burgerservicenummer, dat duidelijk wettelijk geregeld wordt: • • • • •
onder welke voorwaarden het BSN gebruikt mag worden; welke overheidsinstanties (en eventueel bedrijven) gebruik mogen maken van het BSN; dat vastgestelde vergissingen en fouten aan de burger gemeld worden; dat er een effectieve ombudsfunctie voor de burger komt; dat er eisen worden gesteld aan de ICT-beveiliging van bestanden, die gebruik maken van het BSN. (zie mededeling ‘Wetgever dient risico’s van BSN aanzienlijk beter te ondervangen’, 1 november 2005, www.cbpweb.nl).
11