POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
Koninklijk Horeca Nederland
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
5 februari 2003 z2002-0796
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
Voorafgaand onderzoek; verklaring omtrent rechtmatigheid U heeft op 9 augustus 2002 een melding gedaan bij het College bescherming persoonsgegevens (CBP) van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (Waarschuwingsdienst [melding m1029642]). Naar aanleiding van deze melding heeft het CBP een voorafgaand onderzoek als bedoeld in artikel 31 van de Wet bescherming persoonsgegevens (WBP) ingesteld. Het door het CBP ingestelde vooronderzoek heeft geleid tot het besluit een nader onderzoek als bedoeld in artikel 32, vierde lid, WBP in te stellen. Uw melding is overeenkomstig artikel 3:12 Algemene wet bestuursrecht ter inzage gelegd bij het CBP. Van deze ter inzagelegging is kennis gegeven in de Staatscourant. Naar aanleiding daarvan zijn geen reacties ontvangen. In het kader van het nader onderzoek is u bij brief van 3 oktober 2002 een aantal vragen gesteld, met het verzoek om deze half oktober schriftelijk te beantwoorden. Uw antwoorden werden op 16 oktober jl. door het CBP ontvangen. Bij brief van 14 november 2002 heeft het CBP zijn voorlopige bevindingen aan u voorgelegd. Het CBP heeft aangegeven dat het op basis van de verkregen informatie van mening is dat de onderhavige verwerking niet rechtmatig is. U heeft hierop per brief van 29 november 2002 gereageerd. Door een misverstand heeft het CBP pas op 10 december 2002 kennisgenomen van deze brief waardoor het CBP in zijn verklaring omtrent de rechtmatigheid van 6 december 2002 de informatie uit deze brief en het aangepaste protocol dat was bijgevoegd niet heeft meegenomen. Zoals u is meegedeeld bij brief van 11 december 2002 heeft het CBP daarom de verklaring omtrent de rechtmatigheid van 6 december 2002 ingetrokken. Hierbij geeft het CBP – met inachtneming van uw reactie van 29 november 2002 - een nieuwe verklaring omtrent de rechtmatigheid ingevolge artikel 32, vijfde lid, WBP af. Het CBP neemt als uitgangspunt voor zijn beoordeling de door u met de melding verstrekte informatie en eerder genoemde correspondentie. Op basis daarvan komt het CBP tot de conclusie dat de door Koninklijk Horeca Nederland gemelde gegevensverwerking een verwerking is als bedoeld in artikel 31, eerste lid, onder c, WBP. Koninklijk Horeca Nederland verwerkt immers deels strafrechtelijke gegevens ten behoeve van derden. Koninklijk Horeca Nederland ontvangt van haar leden meldingen van incidenten die zij via het gesloten gedeelte van haar website toegankelijk maakt voor de andere leden van Koninklijk Horeca Nederland. De incidenten betreffen niet alleen het bewust gebruik maken van de diensten van een horecaonderneming met
BIJLAGEN BLAD
1
DATUM ONS KENMERK
5 februari 2003 z2002-0796
de intentie deze niet te betalen of andere schade te berokkenen, maar ook het onder valse voorwendselen proberen af te sluiten van een overeenkomst met horecaondernemers waardoor de horecaondernemers gedupeerd worden. Deze meldingen bevatten deels strafrechtelijke gegevens in de zin van artikel 22 van de WBP. In de melding geeft u tevens aan dat u een voorafgaand onderzoek aanvraagt vanwege het vastleggen van gegevens op grond van eigen waarneming zonder de betrokkene daarvan op de hoogte te stellen (art. 31, eerste lid, onder b, WBP). Het CBP heeft echter begrepen dat niet Koninklijk Horeca Nederland deze zg. heimelijke waarnemingen doet maar haar leden. Er is dus in de onderhavige situatie geen sprake van heimelijke waarneming door Koninklijk Horeca Nederland. Dit leidt tot de conclusie dat alleen artikel 31, eerste lid, onder c, WBP aan de orde is. Het voorafgaand onderzoek heeft betrekking op het geheel van de door u gemelde verwerking van persoonsgegevens. Bij het beoordelen van de rechtmatigheid van de verwerking betrekt het CBP dan ook alle aspecten van de melding. Het verwerken van strafrechtelijke gegevens ten behoeve van derden kan grote consequenties voor de betrokkene hebben. Zwaarwegend in het oordeel van het CBP omtrent de rechtmatigheid is daarom met name of het voorstel van de verantwoordelijke om de gegevensverwerking op een bepaalde manier te organiseren in de gegeven situatie voldoende passende en specifieke waarborgen biedt voor een zorgvuldige gegevensverwerking. Bedrijven en bedrijfstakken kunnen een gerechtvaardigd belang hebben bij het gebruik van een waarschuwingslijst. Het blijft echter een gevoelig instrument. Wanneer tot de inrichting van een waarschuwingslijst wordt overgegaan, moet het gebruik ervan daarom met een hoge mate van zorgvuldigheid geschieden. Het aanleggen van een waarschuwingssysteem is pas te rechtvaardigen wanneer de schade een zodanige omvang heeft bereikt dat de daaraan verbonden beperking op het recht van de persoonlijke levenssfeer noodzakelijk is. Als men tot de conclusie komt dat het invoeren van een waarschuwingslijst in casu gerechtvaardigd is moet(en) de verantwoordelijke(n) er voor zorgen dat binnen de gegeven omstandigheden de rechten van de betrokkenen zo goed mogelijk beschermd worden. Ook met inachtneming van uw reactie van 29 november jongstleden is het CBP van oordeel dat niet is gebleken dat voldoende waarborgen voor een zorgvuldige verwerking van persoonsgegevens in het kader van het waarschuwingssysteem getroffen zijn. Het CBP is van oordeel dat nog geen voldoende heldere en consistente procedure voor het voeren van de waarschuwingslijst is opgesteld. Het CBP plaatst de volgende kanttekeningen bij de rechtmatigheid van de waarschuwingsdienst. Verantwoordelijke De verantwoordelijke in de zin van artikel 1, onder d van de WBP is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Het begrip verantwoordelijke knoopt in eerste instantie aan bij het vaststellen van het doel van de verwerking. De vraag is wie bepaalt of er gegevens verwerkt worden en zo ja, welke verwerking,
BLAD
2
DATUM ONS KENMERK
5 februari 2003 z2002-0796
van welke persoonsgegevens voor welk doel. Tevens is van belang wie beslist op welke wijze de gegevensverwerking zal plaatsvinden. Als deze bevoegdheden niet in dezelfde hand liggen is er sprake van gezamenlijke verantwoordelijkheid. De melding en het Protocol Waarschuwingsdienst geven onvoldoende helderheid over de verdeling van verantwoordelijkheden tussen Koninklijk Horeca Nederland en de deelnemende horecaondernemingen. In de melding wordt Koninklijk Horeca Nederland als verantwoordelijke in de zin van de WBP aangewezen en worden de deelnemende ondernemers als ontvangers aangemerkt. Het protocol geeft echter ook specifieke verantwoordelijkheden aan de horecaondernemingen. Zo is iedere horecaondernemer verantwoordelijk voor de melding die hij doorgeeft aan de waarschuwingsdienst, alhoewel Koninklijk Horeca Nederland uiteindelijk besluit of een melding al dan niet op de lijst geplaatst wordt. Ook zijn de Horecaondernemingen ingevolge het protocol zelf verplicht om de betrokkenen te informeren over opname op de lijst. Het protocol maakt niet inzichtelijk hoe Koninklijk Horeca Nederland er voor zal zorgdragen dat de horecaondernemers deze verantwoordelijkheden naar behoren zullen vervullen en hoe hierop wordt toegezien. Ook is onduidelijk welke sancties het niet naleven van het protocol tot gevolg heeft. Opname procedure Artikel 3.2 van het protocol geeft aan ‘De opname dient een preventief doel. Er dient derhalve naar mening van de betrokken horecaondernemer een gerede aanleiding te bestaan om te veronderstellen dat de betreffende persoon of bedrijf een substantieel afbreukrisico vormt voor andere horecaondernemingen. Of hier sprake van is, zal per geval beoordeeld moeten worden. Daarbij wordt onder meer rekening gehouden met de ernst van de geconstateerde feiten, de kans op herhaling, de omvang van de mogelijke schade en het belang van de horecaondernemer’. Een dergelijke formulering geeft onvoldoende inzicht in de vraag in welke gevallen een incident wel en in welke gevallen een incident niet wordt opgenomen. Het protocol legt bovendien de afwegingsverantwoordelijkheid bij de getroffen horecaondernemer terwijl Koninklijk Horeca Nederland uiteindelijk besluit om het incident wel of niet op te nemen. Onduidelijk is hoe de verschillende verantwoordelijkheden geregeld zijn. Bovendien wordt als één van de factoren die afgewogen moet worden ‘de omvang van de mogelijke schade’ genoemd. Dit suggereert dat er niet in alle gevallen sprake hoeft te zijn van financiële schade om een melding op de lijst op te nemen. Het is het CBP niet duidelijk hoe dit zich verhoudt tot het andere in artikel 3.2 van het protocol genoemde opnamecriterium dat stelt dat een incident alleen op de lijst wordt opgenomen als het bedrijf financiële schade heeft geleden. Beveiliging Ingevolge artikel 13 WBP moet de verantwoordelijke passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten er mede op zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Onvoldoende duidelijk is welke organisatorische en technische maatregelen door Koninklijk Horeca Nederland zijn getroffen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatig gebruik. Zo is onduidelijk hoe is geregeld dat alleen diegenen die vanuit hun
BLAD
3
DATUM ONS KENMERK
5 februari 2003 z2002-0796
functie toegang moeten hebben tot de waarschuwingslijst de gegevens kunnen raadplegen. Met andere woorden, niet duidelijk is wat voor afspraken er gemaakt zijn met de betrokken horecaondernemers om er voor te zorgen dat de gegevens niet door alle personeelsleden te raadplegen zijn en dat met de informatie vertrouwelijk wordt omgegaan. Het CBP constateert dat op dit terrein geen instructies zijn gegeven of afspraken zijn gemaakt. Het feit dat dit niet geregeld is staat bovendien op gespannen voet met artikel 11 van het protocol dat aangeeft dat de gegevensbestanden als ‘strikt vertrouwelijk’ behandeld zullen worden. Dit artikel heeft geen betekenis zonder concrete uitwerking. Bewaartermijnen Persoonsgegevens mogen in gevolge artikel 10, eerste lid van de WBP niet langer bewaard worden in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Het CBP constateert dat artikel 9 van het protocol stelt dat gegevens uit het waarschuwingssysteem verwijderd zullen worden als opname niet langer gewenst is. Het criterium zou niet moeten zijn of de opname van de gegevens wenselijk is voor de horecaondernemers maar of opname noodzakelijk is voor het doel van de Waarschuwingsdienst. Rechten van de betrokkenen In artikel 8 van het protocol wordt gesproken over de rechten van de betrokkenen. Het geven van informatie aan de betrokkenen over het feit dat ze op de waarschuwingslijst zijn geplaatst is een belangrijke voorwaarde om deze rechten te kunnen effectueren. Uit de verkregen informatie wordt het aan het CBP onvoldoende duidelijk hoe Koninklijk Horeca Nederland als verantwoordelijke omgaat met de informatieplicht ingevolge artikel 33 en 34 van de WBP. In de melding wordt aangegeven dat betrokkenen niet worden geïnformeerd over opname op de lijst. In de laatste versie van het protocol is echter aangegeven dat Koninklijk Horeca Nederland de verplichting om te informeren neerlegt bij de betrokken horecaondernemers. Deze inconsistentie leidt er toe dat niet helder is geworden of en zo ja hoe aan deze verplichting voldaan wordt . Toezicht Niet is gebleken hoe er toezicht op wordt gehouden dat de deelnemers zich houden aan de regels die het protocol stelt. Ook is niet omschreven welke sancties er toegepast worden als blijkt dat men de regels in het protocol niet naleeft. Verstrekking aan Horeca Missets De melding geeft aan dat Koninklijk Horeca Nederland gegevens verstrekt aan het tijdschrift Horeca Missets. Het CBP heeft de vraag gesteld waarom Koninklijk Horeca Nederland van mening is dat de opmerkelijkste berichten op deze wijze openbaar gemaakt mogen worden. Koninklijk Horeca Nederland heeft hierop aangegeven dat de verantwoordelijkheid hiervoor bij de eindredactie van het tijdschrift ligt. Echter, Koninklijk Horeca Nederland is er als verantwoordelijke in de zin van de WBP verantwoordelijk voor dat persoonsgegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze verwerkt worden (artikel 6 WBP). Het CBP heeft ook in de brief van 29 november jongstleden geen toelichting
BLAD
4
DATUM ONS KENMERK
5 februari 2003 z2002-0796
gekregen op de vraag op grond waarvan deze gegevensverstrekking is toegestaan. In gevolge artikel 9 WBP is verdere verwerking van persoonsgegevens alleen toegestaan als deze verwerking verenigbaar is met het doel waarvoor de gegevens zijn verkregen. Bij de beoordeling of een verwerking verenigbaar houdt de verantwoordelijke in elk geval rekening met de in artikel 9, tweede lid, WBP genoemde factoren. Het is het CBP niet gebleken dat Koninklijk Horeca Nederland bij de verstrekking van informatie aan Horeca Missets deze afweging maakt. Het is daardoor onduidelijk op grond waarvan Koninklijk Horeca Nederland meent deze gegevens aan derden te mogen verstrekken. Bovendien is onduidelijk gebleven hoe deze verstrekkingen zich verhouden tot het bepaalde in artikel 11 van het protocol dat stelt dat alle onder het protocol begrepen bestanden als ‘strikt vertrouwelijk’ zullen worden behandeld. Conclusie Het CBP is van mening dat de verwerking van persoonsgegevens in het kader van de Waarschuwingsdienst door Koninklijk Horeca Nederland zoals omschreven in de melding 1029642 en het Protocol Waarschuwingsdienst in de huidige vorm onrechtmatig is. Het CBP adviseert u de geconstateerde tekortkomingen zo spoedig mogelijk te corrigeren. Indien u het niet eens bent met deze verklaring, kunt u hiertegen ingevolge de Algemene wet bestuursrecht binnen zes weken schriftelijk bezwaar maken bij het CBP. Ik vertrouw er op u hiermee voldoende te hebben geïnformeerd.
Hoogachtend,
drs. J.W. Broekema Collegelid
BLAD
5
