Mr. F. van der Jagt*
Privacybescherming op de voormalige Nederlandse Antillen: de Wbp BES 247
Situatie voor 10 oktober 2010
Trefwoorden: privacybescherming BES-eilanden, Wbp BES, Commissie van toezicht bescherming persoonsgegevens BES Dit artikel vormt het eerste deel van een tweeluik over privacywetgeving op de voormalige Nederlandse Antillen. In het tweede deel zal aandacht worden besteed aan de privacywetgeving op Sint Maarten en Curaçao. Op 10 oktober 2010 is de Wet bescherming persoonsgegevens BES in werking getreden op Bonaire, Sint Eustatius en Saba. Omdat er een nieuwe staatsrechtelijke structuur is ontstaan diende voor deze eilanden een aantal wetten in aangepaste vorm te worden ingevoerd. De Wbp BES is één van deze wetten en is voor een deel gelijkluidend aan de Wet bescherming persoonsgegevens in Nederland, maar verschilt op sommige punten ervan. In dit artikel wordt de nieuwe staatsrechtelijke structuur kort weergegeven, wordt ingegaan op de totstandkoming van de Wbp BES en worden de verschillen tussen de Wbp en de Wbp BES beschreven. Het artikel is afgesloten op 10 oktober 2010. Met ontwikkelingen van nadien is derhalve geen rekening gehouden. 1
Inleiding
De ontmanteling van de Nederlandse Antillen is een feit. Op 10 oktober 2010 hield het land de Nederlandse Antillen op te bestaan. Door de staatkundige hervormingen zijn de zogeheten BES-eilanden (Bonaire, Sint Eustatius en Saba) onderdeel van het Nederlandse staatsbestel geworden, als zijnde openbare lichamen. Sint Maarten en Curaçao zijn verder gegaan als autonome landen binnen het Koninkrijk (naast Nederland en Aruba). Door de nieuwe positie van de BES-eilanden binnen het Koninkrijk was het noodzakelijk dat een aantal Nederlandse wetten, in aangepaste vorm, werd ingevoerd. Eén van de wetten die per 10 oktober 2010 in werking is getreden, is de Wet bescherming persoonsgegevens BES (Wbp BES).1 De Wbp BES zal, conform artikel 1 lid 1 jo. artikel
Koninkrijk der Nederlanden
Nederland
Nederlandse Antillen (Bonaire, Curaçao, Saba, Sint Eustatius en Sint Maarten)
Aruba (sinds 1986 status aparte)
Situatie na 10 oktober 2010
Koninkrijk der Nederlanden
Nederland (Europees deel en de openbare lichamen Bonaire, Sint Eustatius en Saba)
Curaçao
Sint Maarten
Aruba
4 lid 1 Wbp BES, van toepassing zijn op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in de openbare lichamen.2 De wet vertoont sterke overeenkomsten met de Nederlandse Wet bescherming persoonsgegevens (Wbp),3 maar er zijn ook duidelijke verschillen. Om een idee te geven: de Wbp bevat 83 artikelen en de Wbp BES ‘slechts’ 58 artikelen. In dit artikel zal worden ingegaan op de achtergrond van de Wbp BES en de belangrijkste verschillen tussen de Wbp BES en de Wbp. Daarnaast zal kort aandacht worden besteed aan de stand van zaken ten aanzien van de privacywetgeving op Curaçao en Sint Maarten. Dit artikel zal een hoog beschrijvend karakter hebben, aangezien momenteel nog niet duidelijk is hoe deze regelgeving in de praktijk zal uitwerken. Hoe zullen bedrijven en overheden omgaan met de Wbp BES? Voor bedrijven zal het lastig zijn om de gevolgen van deze nieuwe
*
Friederike van der Jagt is werkzaam als advocaat bij Van Doorne N.V. te Amsterdam en was in die hoedanigheid van januari tot mei 2010 werkzaam bij Van Eps Kunneman Van Doorne te Curaçao. Friederike maakt deel uit van het Van Doorne Privacyteam. De auteur dankt mr. dr. Elisabeth Thole voor haar commentaar op een eerdere versie van dit artikel.
1
Wet van 17 mei 2010, houdende regels inzake de bescherming van persoonsgegevens van Bonaire, Sint Eustatius en Saba (Wet bescherming persoonsgegevens BES), Stb. 2010, 349. Het zou verhelderend zijn indien in art. 4 Wbp zou worden opgenomen dat de Wbp van toepassing is in het Europese deel van Nederland. Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Stb. 2000, 302.
2 3
P&I
Afl. 6 – december 2010
289
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
wetgeving in te schatten, temeer daar voor hen weinig informatie beschikbaar lijkt te zijn. Zo is de nieuwe toezichthouder op de BES-eilanden nog niet officieel opgericht en heeft deze derhalve ook nog geen eigen website. Het is niet duidelijk waar men momenteel met vragen terecht kan, terwijl de Wbp BES vanaf 10 oktober 2010 op alle nieuwe gegevensverwerkingen van toepassing is. Doel van dit artikel is dan ook het in kaart brengen van het juridische kader dat op de BES-eilanden zal gaan gelden, waarbij de nadruk wordt gelegd op de verschillen die er tussen het Europese deel van Nederland en de BESeilanden op het gebied van de privacybescherming zullen gelden.
is bij de transitie, is het Europese recht niet van toepassing op de eilanden, zodat daarmee ook de Europese privacyrichtlijn niet van toepassing is.
2
In 2006 is tijdens de Slotverklaring over de toekomstige positie van de BES-eilanden overeengekomen dat de Nederlandse wetgeving geleidelijk zal worden ingevoerd op de BES-eilanden. Daarbij kan er sprake zijn van afwijkende regelingen ten opzichte van de geldende wetgeving in het Europese deel van Nederland.10 Hierdoor is de Nederlandse wetgeving niet op 10 oktober 2010 van rechtswege in werking getreden.11 Dit is niet alleen gelegen in het feit dat het Europese recht op de eilanden niet van toepassing is, maar ook, zoals in de Slotverklaring is aangegeven, ‘gezien onder meer de bevolkingsomvang van de drie eilanden, de grote afstand met Nederland en het insulaire karakter’.12 Voor wat de bevolkingsomvang van de eilanden betreft, geldt dat volgens de laatste meting van het Centraal Bureau voor de Statistiek van de Nederlandse Antillen, Bonaire 13 389 inwoners telt, Sint Eustatius 2886 inwoners en Saba 1737 inwoners.13
Achtergrond
In het voormalige land de Nederlandse Antillen bestond geen algemene regeling voor de verwerking van persoonsgegevens. De enige regelgeving op dit gebied was de Landsverordening overeenkomsten langs elektronische weg, die twee bepalingen bevatte over de bescherming van de vertrouwelijkheid en privacy.4 Daarnaast bood de Landsverordening op de justitiële documentatie en op de verklaringen omtrent gedrag, regels voor de verwerking van strafrechtelijke gegevens door de overheid.5 Sinds 10 oktober 2010 is op de BES-eilanden de Nederlandse Grondwet rechtstreeks van toepassing. Artikel 10 van de Grondwet stelt dat eenieder recht heeft op de eerbiediging van zijn persoonlijke levenssfeer (lid 1) en dat bij wet regels worden gesteld ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens (lid 2). Conform artikel 10 lid 3 stelt de wet regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. In Nederland vormde deze verplichting de basis voor de invoering van de Wet persoonsregistraties (WPR) in 1989. In 2001 werd deze wet vervangen door de Wbp, die de omzetting vormde van de in 1995 tot stand gekomen EU-richtlijn voor de bescherming van persoonsgegevens.6 Aangezien de BES-eilanden zijn aangemerkt als ‘Landen en Gebieden Overzee’ (LGO), welke status behouden
4
5
6 7 8 9
10 11 12 13
290
De noodzaak van een wettelijke regeling voor de bescherming van persoonsgegevens op de BES-eilanden vloeit niet alleen voort uit artikel 10 Grondwet, maar is ook verankerd in het recht op respect voor het privéleven, dat is vastgelegd in artikel 8 EVRM en artikel 17 IVBPR.7 Ook zal het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens van de Raad van Europa,8 waarbij Nederland al partij is, voor de BES-eilanden worden bekrachtigd.9
In de Rijkswet Wijziging Statuut in verband met de opheffing van de Nederlandse Antillen voor het Koninkrijk der Nederlanden zijn deze specifieke kenmerken in artikel 1 lid 2 als volgt weergegeven: ‘Bonaire, Sint Eustatius en Saba maken elk deel uit van het staatsbestel van Nederland. Voor deze eilanden kunnen regels worden gesteld en andere specifieke maatregelen worden getroffen met het oog op de economische en sociale omstandigheden, de grote afstand tot het Europese deel van Nederland, hun insulaire karakter, kleine oppervlakte en bevolkingsomvang, geografische omstandigheden, het klimaat en andere
Art. 10 en 11 van de Landsverordening van de 29ste december 2000 houdende regels inzake overeenkomsten te sluiten langs elektronische weg (Landsverordening overeenkomsten langs elektronische weg), P.B. 2000, 168. Voor de BES-eilanden zal deze Landsverordening worden omgezet in de Wet overeenkomsten langs elektronische weg BES (Stb. 2010, 502), waarbij de privacybepaling ongewijzigd is overgenomen. Landsverordening van de 18de december 1968 houdende bepalingen betreffende de justitiële documentatie en de verklaringen omtrent het gedrag, P.B. 1968, 213. Voor de BES-eilanden zal deze regeling de status van wet verkrijgen middels de Wet van 17 mei 2010 tot invoering van de regelgeving met betrekking tot de openbare lichamen Bonaire, Sint Eustatius en Saba (Invoeringswet openbare lichamen Bonaire, Sint Eustatius en Saba), Stb. 2010, 346. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31). Nederland heeft het EVRM en het IVBPR voor de Nederlandse Antillen bekrachtigd. Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Raad van Europa, 28 januari 1981, Trb. 1988, 7. Hiertoe is inmiddels de benodigde goedkeuring verkregen, zie Wet van 17 mei 2010, houdende goedkeuring van verdragen met het oog op het voornemen deze toe te passen op Bonaire, Sint Eustatius en Saba, en van het voornemen tot opzegging van verdragen voor Bonaire, Sint Eustatius en Saba, Stb. 2010, 348, art. 1 onder 48 en 50. Deze wet is op 2 september 2010 in werking getreden. Kamerstukken II 2006/07, 30 800 IV, nr. 5, met aangehechte Slotverklaring en de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 26 september 2008 inzake juridische keuzes, Kamerstukken II 2008/09, 31 568, nr. 3, p. 3. Kamerstukken II 2008/09, 31 957, nr. 3, p. 2. Slotverklaring, p. 2, onder A punt 5. <www.central-bureau-of-statistics.an/population/population_b2.asp>.
Afl. 6 – december 2010
P&I
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
factoren waardoor deze eilanden zich wezenlijk onderscheiden van het Europese deel van Nederland.’14 Hiermee is de mogelijkheid gecreëerd om de wetgeving aan te passen aan de plaatselijke omstandigheden op de eilanden. Voor wat de invoering van de Wbp BES betreft, heeft dit ertoe geleid dat niet alle bepalingen van de Wbp zullen worden ingevoerd. 3
De totstandkoming van de Wbp BES
Het wetsvoorstel is op 6 oktober 2009 ingediend en vervolgens op 9 maart 2010 aangenomen door de Tweede Kamer. Op 11 mei 2010 is het voorstel in de Eerste Kamer zonder stemming aangenomen. Op 1 september 2010 is de wet in het Staatsblad gepubliceerd. Door het Koninklijk Besluit van 30 september 2010 was de inwerkingtreding op 10 oktober 2010 een feit.15 Bij de totstandkoming van de Wbp BES is, uit oogpunt van uniformiteit en eenduidige wetsuitleg, zoveel mogelijk aangesloten bij de Wbp.16 Hierdoor is een groot aantal bepalingen identiek. De memorie van toelichting bij de Wbp BES verwijst voor nadere uitleg dan ook geregeld naar de memorie van toelichting bij de Wbp.17 3.1
Consultatie
Voordat het wetsvoorstel aan de Tweede Kamer is verzonden, heeft de Minister van Justitie het voorstel ter consultatie voorgelegd aan de bestuurscolleges van de BES-eilanden, welke met het voorstel hebben ingestemd. Het voorstel is daarnaast voorgelegd aan de Raad van State18 en ook het College bescherming persoonsgegevens (CBP) is conform artikel 51 lid 2 Wbp om advies gevraagd.19 De opmerkingen van het CBP hadden met name betrekking op de regeling van het toezicht op de wetgeving, de rechtsbescherming, de transparantie van gegevensverwerking voor betrokkenen en de mogelijke ontheffingsbevoegdheid voor de verwerking van bijzondere persoonsgegevens.
3.2
Toezicht?
In de versie van de wet die aan het CBP was voorgelegd, was niet voorzien in de instelling van een onafhankelijke toezichthoudende autoriteit. Het wetsvoorstel stelde slechts dat er bij of krachtens algemene maatregelen van bestuur regels zouden worden gesteld over het toezicht op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens deze wet bepaalde. Dit strookte niet met het additionele protocol dat Nederland bij het eerdergenoemde Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens had geratificeerd.20 In dit protocol staat dat er een toezichthoudende autoriteit moet zijn die toeziet op de naleving van de nationale wetgeving en die beschikt over onderzoeksmogelijkheden. Daarbij is in artikel 1 lid 2 onder b van het protocol opgemerkt dat ‘Each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence’. Het CBP was daarom van mening dat, nu men voornemens was om het Verdrag te bekrachtigen voor de BES-eilanden, er een onafhankelijke toezichthouder moest komen.21 Zeker omdat betrokkenen, bij gebrek aan een onafhankelijke toezichthouder, gedwongen zouden zijn om bij geschillen steeds naar de rechter te stappen, hetgeen mogelijk een te hoge drempel zou kunnen vormen. Een toezichthouder zou kunnen bemiddelen in geschillen, waardoor dit voorkomen zou kunnen worden.22 Ook de Raad van State was van mening dat het noodzakelijk was om een onafhankelijke toezichthouder in te stellen, niet in de laatste plaats ook om de betrokkenen op de eilanden te ondersteunen bij de invoering van de Wbp BES.23 De opmerkingen van het CBP en de Raad van State hebben geleid tot aanpassingen in het wetsvoorstel met betrekking tot het externe toezicht. Besloten is om een onafhankelijke toezichthouder in te stellen, in de vorm van een Commissie van toezicht bescherming persoonsgegevens BES (Commissie). 3.3
Geen meldplicht
Vooruitlopend op hetgeen hierna zal worden besproken ten aanzien van de verschillen tussen de Wbp en de Wbp
14 Rijkswet van 7 september 2010 tot wijziging van het Statuut voor het Koninkrijk der Nederlanden in verband met de wijziging van de staatkundige hoedanigheid van de eilandgebieden van de Nederlandse Antillen (Rijkswet wijziging Statuut in verband met de opheffing van de Nederlandse Antillen), Stb. 2010, 333. 15 Besluit van 30 september 2010 tot vaststelling van het tijdstip van inwerkingtreding van diverse wetten en algemene maatregelen van bestuur in verband met de nieuwe staatsrechtelijke positie van Bonaire, Sint Eustatius en Saba binnen Nederland, Stb. 2010, 389. 16 Kamerstukken II 2009/10, 32 161, nr. 3, p. 3 (MvT). 17 Kamerstukken II 1997/98, 25 892, nr. 3 (MvT). 18 Kamerstukken II 2009/10, 32 161, nr. 4 (Advies Raad van State en nader rapport). 19 College bescherming persoonsgegevens, Het advies van 13 februari 2009 inzake het concept-voorstel van wet, houdende regels inzake de bescherming van persoonsgegevens van Bonaire, Sint Eustatius en Saba (Wet bescherming persoonsgegevens BES) (Wetgevingsadvies Wet bescherming persoonsgegevens BES), z2008-01615. 20 Aanvullend Protocol bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens, Straatsburg: 8 november 2001, Trb. 2003, 122. 21 Supra noot 20, p. 2. 22 Ibid, p. 3. 23 Supra noot 19, p. 4.
P&I
Afl. 6 – december 2010
291
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
BES, behandel ik hier reeds de opmerking van het CBP dat de meldplicht, zoals in artikel 27 Wbp is opgenomen, niet is overgenomen in de Wbp BES. Het doel van de meldplicht is dat voor betrokkenen duidelijk is dat en welke gegevens er van hen worden verwerkt en voor welke doeleinden dit geschiedt.24 De meldplicht bevordert hierdoor de transparantie van gegevensverwerkingen. Het CBP was daarom van mening dat de informatieplicht uit de wet extra worden moet benadrukt, onder meer door hier uitgebreider bij stil te staan in de memorie van toelichting bij de Wbp BES.25 3.4
Ontheffing verbod op verwerking bijzondere persoonsgegevens
Voor de verwerking van bijzondere persoonsgegevens was in het oorspronkelijke wetsvoorstel voorzien in een mogelijke ontheffing van het verbod op verwerking van bijzondere persoonsgegevens indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, er passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald danwel Onze Minister toestemming heeft verleend. In beginsel een gelijkluidende bepaling als artikel 23 lid 1 onder e Wbp, echter, onder de Wbp dient de toestemming verleend te worden door de toezichthouder, het CBP. Het CBP maakte een kanttekening bij deze formulering omdat het van mening was dat deze tot de onwenselijke situatie zou kunnen leiden dat steeds zou worden gekozen voor een ontheffing van de minister in plaats van een formele basis voor de ontheffing in de wet. Juist bij structurele verwerkingen van bijzondere persoonsgegevens is een regeling bij wet vereist.26 Ook de Raad van State was van mening dat deze bevoegdheid zou moeten liggen bij een onafhankelijke toezichthouder.27 Aangezien besloten is om het externe toezicht vorm te geven middels een Commissie, kon ook de ontheffingsmogelijkheid met betrekking tot de verwerking van bijzondere persoonsgegevens bij deze Commissie worden ondergebracht. Hierdoor is het bezwaar van het CBP weggenomen. 3.5
Evaluatiebepaling
Tot slot heeft zowel het CBP als de Raad van State opmerkingen gemaakt over de evaluatiebepaling die in het concept-wetsvoorstel was opgenomen. Deze voorzag in een evaluatie van de wet met betrekking tot de doeltreffendheid en de effecten van de wet binnen drie jaar na de inwerkingtreding. De Raad van State was van mening
dat deze termijn te kort zou zijn om tot een gedegen evaluatie te komen.28 Ook is hierbij van belang dat de Commissie jaarlijkse rapportages zal opstellen waarin informatie zal zijn opgenomen die kan leiden tot tussentijdse aanpassingen in het invoeringsproces.29 Mede gelet op het gebrek aan ervaring met gereguleerde verwerking van persoonsgegevens op de BES-eilanden, dient een langere termijn in acht te worden genomen.30 Het CBP ging niet in op de duur van de evaluatietermijn, maar op het feit dat het CBP betrokken zou moeten worden bij een dergelijke evaluatie.31 Een en ander heeft geleid tot een aanpassing van de evaluatietermijn naar vijf jaar, waarmee de Wbp BES een beetje een vreemde eend in de bijt is geworden, aangezien in de meeste BES-wetten een evaluatietermijn van zes jaar wordt gehanteerd.32 3.6
Overgangstermijn
In de wet staat dat binnen een jaar na de inwerkingtreding, dus uiterlijk op 10 oktober 2011, alle bestaande gegevensverwerkingen in overeenstemming moeten zijn gebracht met de wet (art. 56 lid 1 Wbp BES). Voor de aanpassing van de verwerking van bijzondere persoonsgegevens geldt een termijn van drie jaar. Daarbij geldt dat voor verwerkingen van bijzondere gegevens die al plaatsvonden en noodzakelijk zijn voor de uitvoering van overeenkomsten die tot stand zijn gekomen vóór de inwerkingtreding van deze wet, niet opnieuw de toestemming, zoals deze in artikel 23 lid 1 onder a Wbp BES bedoeld wordt, hoeft te worden gevraagd. Van belang is om te beseffen dat nieuwe gegevensverwerkingen meteen moeten voldoen aan de eisen van de Wbp BES.33 4
Verschillen tussen de Wbp en de Wbp BES
Zoals reeds uiteengezet, is een groot deel van de bepalingen in de Wbp BES letterlijk overgenomen van de Wbp. De verschillen tussen de Wbp en de Wbp BES vloeien met name voort uit de kleinschaligheid van de eilanden en het feit dat de eilanden voor het eerst te maken krijgen met uitgebreide wetgeving op het gebied van de bescherming van persoonsgegevens. Hierna zullen de belangrijkste verschillen tussen de Wbp en de Wbp BES worden besproken. 4.1
Geen meldplicht
De Wbp BES kent geen meldplicht, zoals deze in de Wbp in artikel 27 e.v. is opgenomen. Dit betekent dat er ook geen voorafgaand onderzoek naar de gegevensverwerking
24 25 26 27 28 29 30 31 32
Supra noot 20, p. 3. Ibid. Ibid, p. 4. Supra noot 19, p. 4. Supra noot 19, p. 5. Ibid. Kamerstukken II 2009/10, 32 161, nr. 6, p. 2 (nota naar aanleiding van het verslag). Supra noot 20, p. 4. Kamerstukken I 31 954, B, p. 20 (verslag van de Vaste Commissie voor Nederlands-Antilliaanse en Arubaanse Zaken) en Kamerstukken I 31 954, nr. C, p. 25 (nota naar aanleiding van het verslag). 33 Supra noot 19, p. 3.
292
Afl. 6 – december 2010
P&I
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
kan plaatsvinden. De gedachte hierachter is dat het invoeren van een meldplicht tot een onevenredige belasting van de bestuursorganen en het bedrijfsleven tijdens de overgangsperiode zou leiden. Ook de kleinschaligheid van de eilanden speelt hierbij een rol.34 Daarbij is er bij het opstellen van de Wbp BES ook rekening gehouden met de evaluatie van de Wbp, waarin de bijdrage van de meldplicht voor de daadwerkelijke bescherming van persoonsgegevens in twijfel is getrokken.35 Door het ontbreken van de meldplicht zijn logischerwijs ook de sanctiemogelijkheden hieromtrent voor het opleggen van bestuurlijke boetes niet overgenomen. Bij de keuze om de bepalingen over bestuurlijke boetes uit de Wbp niet over te nemen, is er ook voor gekozen om de mogelijkheid om het niet-voldoen aan de overgangsbepaling van een jaar voor bestaande gegevensverwerkingen te beboeten niet over te nemen. Eveneens ontbreekt een bepaling waarin nadere regelgeving op het gebied van boete-oplegging, zoals die in artikel 74 Wbp is verwoord, mogelijk wordt gemaakt. 4.2
Geen regeling Gedragscodes
De Wbp BES voorziet niet in de mogelijkheid voor organisaties om gedragscodes op te stellen voor een specifieke sector. Gelet op de kleinschaligheid van de eilanden lijkt de noodzaak hiertoe te ontbreken en zou dit anders kunnen leiden tot overbelasting van de startende Commissie. Er zal eerst gekeken worden naar de praktische ervaringen die met de Wbp BES worden opgedaan, waarna besloten kan worden of het alsnog wenselijk is om de bepalingen hieromtrent in te voeren.36 4.3
Toezicht
Zoals reeds opgemerkt, zal er een Commissie van toezicht bescherming persoonsgegevens BES worden opgericht. Gelet op de grote afstand tussen de BES-eilanden en Nederland is er gekozen om, althans voorlopig, een lokale toezichthouder in te stellen in plaats van deze taken toe te bedelen aan het CBP.37 Naar alle waarschijnlijkheid is voor het CBP wel een adviserende rol weggelegd.38 De onafhankelijke Commissie zal uit drie leden bestaan die door de Minister van Justitie worden benoemd. Hoewel het takenpakket en de bevoegdheden van de Commissie grotendeels overeenkomen met die van het
CBP, zijn er ook verschillen te bemerken. De verschillen vloeien met name voort uit het feit dat het momenteel de bedoeling is dat de Commissie vooral repressief zal optreden.39 De Commissie kent geen bemiddelingsbevoegdheid, zoals deze toekomt aan het CBP op grond van artikel 47 Wbp. Hiervoor is uit capaciteitsoverwegingen gekozen. Wel zal bij de evaluatie van de Wbp BES gekeken worden naar de mogelijkheid om de Commissie alsnog een bemiddelingsrol toe te dichten.40 Een ander verschilpunt is dat onder de Wbp het CBP om advies moet worden gevraagd over wetsvoorstellen en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens (art. 51 lid 2 Wbp). De Wbp BES bevat een dergelijke verplichting niet, maar daarin is wel een mogelijkheid geformuleerd voor de Minister van Justitie om advies in te winnen indien er sprake is van wetsvoorstellen en algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens op de BES-eilanden (art. 49 Wbp BES). Daarnaast bevat de Wbp BES niet de mogelijkheid om over te gaan tot het instellen van een functionaris voor de gegevensbescherming. Dit is begrijpelijk in het licht van het ontbreken van de meldingsplicht en het feit dat er geen gedragscodes voor organisaties kunnen worden opgesteld. Om het toezicht vorm te kunnen geven, is besloten om via artikel 51 Wbp BES een deel van de Algemene wet bestuursrecht (Awb) van toepassing te verklaren. Dit is gedaan omdat het Antilliaanse recht geen algemene regels kende op het gebied van toezicht op de naleving, welke wel noodzakelijk zijn om de Commissie haar taken te laten uitvoeren. De Awb krijgt echter geen kracht van wet op de BESeilanden. De wetgever heeft er bewust voor gekozen om de relevante bepalingen niet over te nemen, maar om vanuit het oogpunt van de wetgevingssystematiek de bepalingen overeenkomstig van toepassing te verklaren.41 Dit voorkomt tevens tegenstrijdigheden met de bepalingen van de Wet Administratieve Rechtspraak BES, mede doordat de bepalingen ‘los’ van de andere bepalingen uit de Awb kunnen worden toegepast.42
34 Zie onder meer: supra noot 20, p. 1 en 3. 35 Supra noot 31, p. 4 en Kamerstukken II 2009/10, 31 051, nr. 5, p. 8. Zie ook: G. Zwenne, A. Duthler, M. Groothuis, H. Kielman, W. Koelewijn & L. Mommers, Eerste fase evaluatie Wet bescherming persoonsgegevens. Literatuuronderzoek en knelpuntenanalyse, Den Haag: WODC 2007, p. 106 en H.B. Winter, P.O. de Jong, A. Sibma, F.W. Visser, M. Herweijer, A.M. Klingenberg & H. Prakken, Wat niet weet, wat niet deert. Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk, Den Haag: WODC 2008, p. 18, 45 en 78. 36 Supra noot 31, p. 3. 37 Ibid, p. 4. 38 Ibid, p. 3. 39 Supra noot 17, p. 10. 40 Supra noot 31, p. 3. 41 Supra noot 31, p.6. 42 Ibid.
P&I
Afl. 6 – december 2010
293
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
Naast het toezicht op grond van de Wbp BES, krijgt de Commissie een toezichthoudende taak voor de Wet politiegegevens die zal worden gewijzigd. De wijzigingen zijn opgenomen in de Veiligheidswet BES en houden – kort gezegd – in, dat het toezicht op de verwerking van politiegegevens op de BES-eilanden wordt toegekend aan de Commissie.43 Ook is in de Wet basisadministratie persoonsgegevens BES een toezichthoudende taak aan de Commissie toegekend.44 4.4
Doorgifte persoonsgegevens
Voor de doorgifte van persoonsgegevens is aansluiting gezocht bij de bepalingen hierover uit de Wbp. Dit lijkt typisch aangezien de BES-eilanden geen deel gaan uitmaken van de Europese Unie. Echter, er is wel sprake van onvermijdelijke verbondenheid tussen de BES-eilanden, Nederland en de Europese Unie.45 Daarom is ervoor gekozen om het begrip ‘passend beschermingsniveau’ in te vullen aan de hand van de eisen die hieraan gesteld worden in de Wbp en de Europese Privacyrichtlijn. Een verschil springt in het oog: een vergunning voor de doorgifte van gegevens naar landen waar geen passend beschermingsniveau is, wordt afgegeven door de Commissie en niet zoals onder de Wbp, door de Minister van Justitie na advies van het CBP. Voor de ‘doorgifte’ tussen de BES-eilanden en het Europese deel van Nederland zijn geen nadere formaliteiten vereist. Schematisch kunnen de belangrijkste verschillen als volgt worden weergegeven: Wbp
Wbp BES
Toepassing
Europese deel van Nederland
Openbare lichamen Bonaire, Sint Eustatius en Saba
Meldplicht
Ja
Nee
Bestuurlijke boete
Ja
Nee
Functionaris gegevensbescherming
Ja
Nee
Gedragscodes
Ja
Nee
Toezicht
CBP
Commissie van toezicht bescherming persoonsgegevens BES
Doorgifte
Vergunning afgegeven door Minister van Justitie
Vergunning afgegeven door Commissie van toezicht bescherming persoonsgegevens BES
Tabel 1. Verschillen in gegevensbescherming tussen Nederland en de BES-eilanden Op diverse terreinen zullen de BES-eilanden en de nieuwe landen Curaçao en Sint Maarten met elkaar blijven sa-
menwerken en zullen dus gegevens moeten worden uitgewisseld. Zoals de memorie van toelichting ook vermeldt zal ‘door de nabijheid van en verwevenheid met Curaçao en Sint Maarten […] gegevensuitwisseling tussen de BES en de genoemde landen onvermijdelijk zijn.’46 Dit betekent dat, net als vanuit het Europese deel van Nederland vaak het geval is, gegevensuitwisseling zal plaatsvinden met zogenoemde ‘derde landen’. Van belang is daarom dat, conform artikel 42 Wbp BES, er op Sint Maarten en Curaçao een passend niveau van gegevensbescherming bestaat. 5
Curaçao
Artikel 12 van de Staatsregeling van het Land Curaçao47 bevat het recht op eerbiediging van de persoonlijke levenssfeer. Hieraan is vormgegeven door de invoering van de Landsverordening bescherming persoonsgegevens.48 Een inhoudelijke behandeling van deze Landsverordening gaat de reikwijdte van dit artikel te buiten. In het licht van de gegevensuitwisseling met de BES-eilanden zijn met name de artikelen 51 en 52 van de Landsverordening van belang. Curaçao heeft ervoor gekozen om de andere landen binnen het Koninkrijk, niet aan te merken als derde land, waardoor de gegevensuitwisseling met deze landen zonder nadere formaliteiten kan plaatsvinden.49 Zoals vermeld, wordt Curaçao in de Wbp BES wel als een derde land in de zin van de Wbp BES aangemerkt. De Landsverordening bescherming persoonsgegevens vertoont echter grote overeenkomsten met de Wbp BES, waardoor het aannemelijk is dat de Commissie zal bepalen dat op Curaçao een passend niveau van gegevensbescherming wordt gewaarborgd. 6
Sint Maarten
Op Sint Maarten is eveneens in de Staatsregeling opgenomen dat er een Landsverordening bescherming persoonsgegevens zal komen waarin regels worden gesteld over de verwerking van persoonsgegevens.50 Artikel 5 van de Staatsregeling is gebaseerd op artikel 10 van de Grondwet, maar voegt daar nog aan toe dat de gegevens ‘eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de landsverordening voorziet’. Dit is volgens de memorie van toelichting bij de Staatsregeling gedaan om de internationale basisnormen voor het gebruik van persoonsgegevens constitutioneel te verankeren, waarbij deze normen zijn overgenomen uit artikel 8 lid 2 ontwerp-Handvest van de grondrechten
43 Zie art. 82 van de Veiligheidswet BES (Wet van 30 september 2010, houdende bepalingen over de politie en over de brandweerzorg, de rampenbestrijding en de crisisbeheersing op Bonaire, Sint Eustatius en Saba (Veiligheidswet BES), Stb. 2010, 362) dat bepalingen bevat die aan de Wet politiegegevens zullen worden toegevoegd. 44 Kamerstukken II 2009/10, 32 428, nr. 3, p. 8. Via de Invoeringswet BES wordt de Eilandsverordening basisadministratie persoonsgegevens van het eilandgebied Bonaire verheven tot de Wet basisadministratie persoonsgegevens BES, waarin in art. 30 de toezichthoudende bevoegdheid aan de Commissie wordt toegekend. 45 Supra noot 31, p. 5. 46 Supra noot 17, p. 4. 47 Staatsregeling van Curaçao, zoals vastgesteld bij de eilandsverordening van de eilandsraad van 4 september 2010, A.B. 2010, 86. 48 Landsverordening bescherming persoonsgegevens, P.B. 2010, 17. 49 Landsverordening bescherming persoonsgegevens, P.B. 2010, 17, nr. 3, p. 9 (memorie van toelichting). 50 Staatsregeling van Sint Maarten, zoals vastgesteld bij de eilandsverordening van de eilandsraad van 21 juli 2010, art. 5, A.B. 2010, 25.
294
Afl. 6 – december 2010
P&I
PRIVACYBESCHERMING OP DE VOORMALIGE NEDERLANDSE ANTILLEN: DE WBP BES
van de Europese Unie.51 Op het moment van afsluiting van dit artikel was de Landsverordening nog niet gepubliceerd. In de memorie van toelichting is aangegeven dat bij de ontwerp-landsverordening rekening zal worden gehouden met de evaluatie van de Wbp in Nederland.52 Het zal derhalve interessant zijn om te zien welke gevolgen dit zal hebben voor de inhoud van de Landsverordening bescherming persoonsgegevens zoals deze op Sint Maarten zal worden ingevoerd. 7
Tot slot
De benodigde juridische stappen voor privacybescherming op de BES-eilanden zijn gezet. De vraag is echter of de Wbp BES in de praktijk ook de benodigde privacybescherming kan bieden. Het antwoord op deze vraag zal mede afhangen van de omstandigheid of de Commissie op de BES-eilanden een proactieve houding aan zal nemen om ervoor zorg te dragen dat bedrijven en de publieke sector zich bewust worden van de noodzaak om bewust met de verwerking van persoonsgegevens om te gaan. De toekomst zal uit moeten wijzen of de Wbp BES op een degelijke wijze kan worden ‘gehandhaafd’ of dat aan de Commissie na evaluatie meer bevoegdheden moeten worden toegekend. Daarnaast zullen de ontwikkelingen op Curaçao en Sint Maarten en de rol die de lokale toezichthouders aldaar gaan spelen, een belangrijke factor zijn voor het succes van niet alleen de Wbp BES, maar van een succesvolle privacybescherming op de gehele voormalige Nederlandse Antillen.
51 Memorie van toelichting bij de Staatsregeling van Sint Maarten, A.B. 2010-25, p. 11. 52 Ibid.
P&I
Afl. 6 – december 2010
295
