Het CBP in 2013 Bijlage

Het CBP in 2013 Bijlage

Inhoud Organisatie 3 Personeel en formatie 3 Financiën 4 Productie 5 Communicatie en voorlichting 8 Organigram 12 College en directie 13 Agenda 2014

14

Raad van advies CBP

15

Wetgevingsadviezen 2013

16

CBP internationaal

18

Dit is de bijlage bij het jaarverslag 2013 van het College bescherming persoonsgegevens (CBP), dat online beschikbaar is via: www.cbpweb.nl/13/1. Daarnaast is er de samenvatting 2013 - Het CBP in vogelvlucht, te vinden via: www.cbpweb.nl/13/3.

CBP HET CBP IN 2013 BIJLAGE INHOUD | |

2

Organisatie In 2013 heeft het CBP zijn missie en visie vernieuwd en een strategie geformuleerd om die te realiseren. Ook zijn kernwaarden en kernkwaliteiten ontwikkeld die hierbij passen. Deze bieden samen met de andere beleidskaders een heldere focus voor de komende jaren. Deze focus is mede van belang in het licht van de toekomstige veranderingen rond de nieuwe Europese privacyregelgeving, de boetebevoegdheid en de meldplicht voor datalekken. Op alle drie de terreinen zijn in 2013 stappen gezet om de organisatie voor te bereiden op de nieuwe taken die deze veranderingen met zich meebrengen.

Personeel en formatie Formatie In de periode 2010-2013 is de feitelijke formatie van het CBP gedaald van 82,5 tot circa 75 fte. Sinds 2011 is een selectieve vacaturestop van kracht. Bij elke vacature bekijkt het CBP in eerste instantie of deze intern vervuld kan worden of dat de werkzaamheden kunnen worden opgevangen door bestaande formatie. Soms worden vacatures alleen op tijdelijke basis ingevuld. Bezetting 2011 m

2012 v

2013

m

v

m

v

In dienst

1

4

3

4

2

0

Uit dienst

1

8

2

3

1

3

62

21

63

22

Bezetting einde jaar m/v

20

Bezetting einde jaar totaal Vast dienstverband

82 20

84 55

18

60 82

56

19

59

Tijdelijk dienstverband

7

10

4

Totaal dienstverband

75

74

78

Gemiddelde bezetting jaar (fte’s)

78,30

75,80

74,90

Bezetting einde jaar totaal (fte’s)

76,10

76,70

75,20

2

1

1

2011

2012

2013

Uitzendkrachten (fte’s)

0,70

0,00

0,00

Stagiaires (fte’s)

2,11

3,00

2,28

Interim (fte’s)

0,00

0,20

0,79

Vacatures per einde jaar

Overzicht medewerkers buiten formatie

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

3

In 2013 is beperkt gebruikgemaakt van externe inhuur. Het CBP is een erkend leer-werkbedrijf van kenniscentrum ECABO. Het CBP faciliteert stageplaatsen voor leerlingen uit het middelbaar beroepsonderwijs. Ook biedt het CBP een stageplek op universitair niveau. Ziekteverzuim 2011

2012

2013

Totaal ziekte excl. zwangerschap

8,57%

5,70%

6,90%

Lang ziekteverzuim > 28 dagen

4,85%

3,12%

4,14%

Ouderschapsverlof

14

10

12

Verlof zwangerschap / bevalling

9

6

6

Seniorenregeling

5

4

5

Het verzuimpercentage lag in 2013 hoger dan in 2012. De oorzaak daarvan is grotendeels gelegen in een hoger langdurig ziekteverzuim. Het voorkomen van ziekteverzuim en bevorderen van een voorspoedige re-integratie zijn prioriteiten van het managementteam (MT) van het CBP. Uitgaven opleidingen (bedragen x € 1.000) 2011

In % t.o.v. personeelsbudget

2012

2013

229

161

163

3,71%

2,66%

2,68%

Het CBP is een kennisintensieve organisatie en investeert daarom veel in de ontwikkeling van medewerkers, onder meer door opleidingen. Daarbij wordt ingezet op het versterken van kennis en vaardigheden van zowel individuele medewerkers als van de hele organisatie.

Financiën Begroting (bedragen x € 1.000) 2011

2012

2013

7.737

7.679

7.586

Het financiële systeem Leonardo waartoe het CBP eind 2012 heeft moeten overgaan, werkte in 2013 nog niet naar behoren. Het beheer wordt voor het CBP uitgevoerd door het Landelijk Dienstencentrum voor de Rechtspraak. Daarbij ondervond het CBP veel problemen. Samen met andere organisaties heeft het CBP gedurende het jaar een deel van het beheer van het systeem noodzakelijkerwijs in eigen hand moeten nemen. Dat vergde extra inzet van mensen en middelen. Onder meer hierdoor heeft het CBP in 2013 te maken gehad met financiële tegenvallers. Het CBP heeft die deels kunnen opvangen binnen de begroting van 2013, maar ook moesten hierdoor geplande investeringen worden vooruitgeschoven naar 2014. Uitgaven (bedragen x € 1.000) 2011

2012

2013

Personele uitgaven

6.160

6.008

6.089

Materiële uitgaven

1.571

1.741

1.738

Totaal

7.731

7.749

7.827

Budget

7.737

7.679

7.586

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

4

Het CBP heeft in 2013 het budget op verantwoorde wijze uitgeput. De eerder gemaakte afspraak tussen het ministerie van Veiligheid en Justitie en het CBP dat het CBP het budgettair kader met 250.000 euro mag overschrijden om het voorzitterschap van de Artikel 29-werkgroep te financieren, was ook in 2013 van kracht. Het boekjaar 2013 is binnen die marges afgesloten.

Productie Taken van het CBP De taken van het CBP vallen uiteen in vier groepen: • • • •

toezicht op naleving van de wet; sancties; advisering; rechtsbescherming en openbaarheid van bestuur.

In onderstaande tabel staan de productiecijfers van het CBP binnen de vier genoemde taakgroepen. Een toelichting op de cijfers volgt na de tabel. Productietabel 2010

2011

2012

2013

Onderzoek

60

85

58

73

Richtsnoeren

0

0

1

1

Verzoek om een zienswijze

1

0

4

3

Toezicht en naleving

Gedragscodes Voorafgaand onderzoek Internationale zaken Wbp-meldingen Ontheffingen

8

6

4

4

642

170

93

86

71

57

57

67

3.720

3.939

5.966

3.523

1

1

3

1

Sancties Bestuursdwang en last onder dwangsom

35

6

12

19

Boete

0

0

0

0

Incasso/invorderingsbeschikking

2

0

3

0

Gegevensverwerkingen doorgifte derde landen

133

129

61

14

Wetgevingsadvies

42

37

41

30

Bezwaar

10

6

7

6

Beroep

10

3

8

3

Klachten over het CBP

17

9

17

20

WOB-verzoeken

19

8

14

16

Advisering

Rechtsbescherming en openbaarheid bestuur

Toezicht op naleving van de wet Onderzoeken Artikel 60 van de Wet bescherming persoonsgegevens (Wbp) geeft het CBP de bevoegdheid om uit eigen beweging een onderzoek in te stellen naar de naleving van de wet. Gezien de grotere nadruk op toezicht en structurele handhaving maakt het CBP in toenemende mate gebruik van deze bevoegdheid. Een groot deel van de capaciteit besteedt het CBP aan deze onderzoeken.

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

5

Het aantal onderzoeken dat jaarlijks kan worden uitgevoerd, is mede afhankelijk van de omvang en complexiteit van de betreffende onderzoeken. In 2013 zijn 73 onderzoeken afgerond, ruim 25% meer dan in het jaar ervoor. Richtsnoeren Onduidelijkheid over de wet- en regelgeving kan ten koste gaan van de bescherming van persoonsgegevens. Daarom zet het CBP in richtsnoeren uiteen welke uitleg van de wettelijke normen het CBP hanteert bij de uitoefening van zijn bevoegdheden. Het CBP legt richtsnoeren in de regel aan deskundigen voor. Na verwerking van opmerkingen en suggesties wordt de definitieve versie in de Staatscourant en op Cbpweb.nl gepubliceerd. In februari 2013 zijn de richtsnoeren Beveiliging van persoonsgegevens gepubliceerd. Verzoek om een zienswijze Verantwoordelijken voor de verwerking van persoonsgegevens kunnen een verzoek om een zienswijze indienen bij het CBP, waarin zij het CBP vragen een standpunt in te nemen over nieuwe rechtsvragen. De criteria voor het verzoek om een zienswijze zijn gepubliceerd in de Staatscourant van 11 april 2008, nr. 71 en op Cbpweb.nl. In 2013 heeft het CBP drie verzoeken om een zienswijze behandeld. Gedragscodes Op grond van artikel 25 Wbp is het CBP belast met de toetsing van gedragscodes die uitvoering geven aan de wettelijke bepalingen. In 2013 heeft het CBP vier gedragscodes behandeld en voor één daarvan een goedkeurende verklaring afgegeven. Dit is de Gedragscode Verwerking door elektriciteits- en gasleveranciers en door de onder hun verantwoordelijkheid handelende meetbedrijven van op Kleinverbruikers betrekking hebbende Persoonlijke Meetgegevens afkomstig uit Slimme Meters. De goedkeuring van het CBP is gepubliceerd in de Staatscourant van 16 januari 2013, nr. 891. Voorafgaand onderzoek Bepaalde categorieën van verwerkingen van persoonsgegevens waaraan bijzondere risico’s zijn verbonden, zijn krachtens artikel 31 van de Wbp onderworpen aan een voorafgaand onderzoek. Het aantal voorafgaande onderzoeken in 2013 bedroeg 86, iets lager dan in 2012. De eerdere verruiming van het Vrijstellingsbesluit, waardoor op minder gronden een voorafgaand onderzoek nodig is, werkt daarin door. Een van de verwerkingen waarvoor een voorafgaand onderzoek noodzakelijk kan zijn, is een zogeheten zwarte lijst. Dit is een waarschuwings- of signaleringslijst waarop personen staan vermeld met wie een bedrijf, organisatie of instelling (hierna: organisatie) (tijdelijk) geen zaken wil doen, of alleen onder nadere voorwaarden. Een organisatie die van plan is een zwarte lijst op te stellen, moet deze gegevensverwerking melden bij het CBP. Deelt de organisatie de gegevens van de zwarte lijst met derden, dan moet de organisatie daarnaast een voorafgaand onderzoek aanvragen bij het CBP en een protocol opstellen voor de verwerking van de persoonsgegevens. Het CBP kan vervolgens een goedkeurende verklaring afgeven voor de betreffende zwarte lijst. In 2013 heeft het CBP de volgende zwarte lijsten goedgekeurd: • • • •

Collectieve Winkelontzegging Rotterdam Centrum (11 januari 2013) Meldpunt Keurmerk Verhuurdersbelangen (25 april 2013) Waarschuwingsregister Hotel Waarschuwingsnetwerk (30 augustus 2013) Incidentenwaarschuwingssysteem Financiële Instellingen (wijziging bestaande zwarte lijst; 23 oktober 2013).

Internationale zaken Op grond van artikel 51, eerste lid Wbp houdt het CBP tevens toezicht op de verwerking van persoonsgegevens in Nederland wanneer deze verwerking plaatsvindt volgens het recht van een ander land van de Europese Unie. Ingevolge artikel 61, zesde lid Wbp is het CBP desgevraagd verplicht aan toezichthou-

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

6

dende autoriteiten van de andere lidstaten van de Europese Unie alle noodzakelijke medewerking te verlenen. Het aantal van 67 internationale zaken betreft zulke verzoeken om medewerking. Wbp-meldingen Ingevolge artikel 27 van de Wbp moeten verantwoordelijken geautomatiseerde verwerkingen van persoonsgegevens vooraf melden bij het CBP of een functionaris voor de gegevensbescherming, tenzij melden op grond van het Vrijstellingsbesluit niet verplicht is. Het CBP neemt alle meldingen na verwerking op in een openbaar register, dat in te zien is via Cbpweb.nl. In 2013 heeft het CBP 3.523 meldingen ontvangen. Daarmee lijkt het aantal terug op het gebruikelijke niveau, na een piek in het aantal meldingen in 2012 (5.966). Ontheffingen Artikel 16 Wbp bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag. Op grond van artikel 23, eerste lid, onder e Wbp, kan het CBP een ontheffing verlenen indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en passende privacywaarborgen worden geboden. In 2013 heeft het CBP één verzoek om een ontheffing behandeld. Sancties Bestuursdwang en last onder dwangsom Bij het niet naleven van wettelijke verplichtingen kan het CBP besluiten om gebruik te maken van de bevoegdheid (artikel 65 Wbp) bestuursdwang toe te passen of een dwangsom op te leggen. Deze mogelijkheid bestaat ook als het CBP medewerking vordert (artikel 61 lid 4 Wbp) aan een door het CBP ingesteld onderzoek maar deze medewerking niet wordt verleend. In 2013 is het voornemen een last onder dwangsom op te leggen negentien keer aan de orde geweest. Meestal is het echter zo dat onderzochte bedrijven en organisaties al maatregelen treffen om de geconstateerde overtredingen te beëindigen voordat het CBP daadwerkelijk een last onder dwangsom oplegt. In 2013 is het daarom uiteindelijk niet nodig geweest om een last onder dwangsom op te leggen. Het CBP heeft in 2013 twee zaken geschikt waarin het in 2012 een last onder dwangsom had opgelegd, met de vervoersbedrijven GVB en RET. Bestuurlijke boete De Wbp kent vooralsnog een zeer beperkte boetebevoegdheid. Alleen bij overtreding van de meldingsplicht kan een boete worden opgelegd. Het CBP is dan bevoegd (artikel 66 Wbp) om een bestuurlijke boete op te leggen van 4.500 euro per verwerking dan wel aangifte te doen bij het Openbaar Ministerie. Het CBP kan ook een bestuurlijke boete opleggen op grond van artikel 35 van de Wet politiegegevens als de verantwoordelijke in strijd met de protocolplicht handelt. In 2013 heeft het CBP, net als in voorgaande jaren, deze boete niet opgelegd. Advisering Wetgevingsadviezen Op grond van artikel 51, tweede lid Wbp dient het CBP om advies te worden gevraagd over wetsvoorstellen en ontwerpbesluiten die geheel of in belangrijke mate betrekking hebben op of gevolgen hebben voor de verwerking van persoonsgegevens. Daarnaast kan het CBP zich uit eigen beweging uitspreken over nieuwe wetsvoorstellen. Tot slot komt het regelmatig voor dat vaste Kamercommissies het CBP uitnodigen om te reageren op aanhangige voorstellen. In 2013 heeft het CBP dertig wetgevingsadviezen gegeven. Een overzicht van de adviezen staat op p. 16-17 van deze bijlage.

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

7

Gegevensverkeer doorgifte derde landen Op grond van artikel 77 lid 2 Wbp heeft het CBP de taak om de minister van Veiligheid en Justitie te adviseren over het toekennen van vergunningen voor het doorgeven van persoonsgegevens naar zogeheten derde landen (landen buiten de Europese Unie). Doordat voor een bepaalde categorie doorgiften geen vergunning meer hoeft te worden aangevraagd, gaat het thans alleen nog om de meer complexe en arbeidsintensieve zaken. In 2013 zijn er daarvan veertien afgerond. Rechtsbescherming en openbaarheid van bestuur Bezwaar Tegen de beslissingen van het CBP die een besluit zijn in de zin van de Algemene wet bestuursrecht kan een bezwaarschrift worden ingediend. Het gaat hierbij onder meer om besluiten waarbij het CBP een sanctie oplegt, beslissingen over gevraagde ontheffingen, openbaarmakingsbesluiten en weigering van informatie op grond van de Wet openbaarheid van bestuur. In 2013 handelde het CBP zes bezwaarschriften af. Beroep Tegen de beslissing op een bezwaarschrift, de beoordeling van een conceptgedragscode en de verklaring na voorafgaand onderzoek kan beroep worden ingesteld bij de sector Bestuursrecht van de rechtbank. Tegen de beslissing van de rechtbank kan zowel door de belanghebbende als het CBP hoger beroep worden ingesteld bij de afdeling Bestuursrechtspraak van de Raad van State. In 2013 ging het om drie beroepszaken. Klachten over het CBP Klachten over het CBP worden afgehandeld volgens de klachtenprocedure uit de Algemene wet bestuursrecht. Indien mogelijk handelt het CBP klachten op een informele wijze af. Sinds 2011 is er een klachtencoördinator die de afhandeling van ingediende klachten coördineert. In de schriftelijke beslissingen op klachten wijst het CBP op de mogelijkheid om een klacht die reeds door het CBP zelf is afgedaan, voor te leggen aan de Nationale ombudsman. In onderstaande tabel staat per jaar vermeld hoe in dat jaar de klachten zijn afgedaan. 2010

2011

2012

2013

2

0

1

2

2

1

1

4

11

2

8

6

2

6

7

8

17

9

17

20

Klachten gegrond verklaard Klachten gedeeltelijk gegrond verklaard Klachten ongegrond verklaard Minnelijke regeling / geen oordeel / ingetrokken / andere wijze van afdoening Totaal aantal ingediende klachten

Openbaarheid van bestuur De Wet openbaarheid van bestuur (WOB) is mede van toepassing op het CBP. Op grond daarvan is het CBP verplicht – hetzij uit eigen beweging, hetzij op verzoek – informatie te verstrekken over zijn taakvervulling, tenzij dit door een wettelijke uitzondering niet is toegestaan. In 2013 ontving het CBP zestien WOB-verzoeken.

Communicatie en voorlichting Het CBP communiceert over zijn beleid en de uitvoering ervan om inzicht te geven in zijn werkzaamheden en om verantwoording af te leggen over de wijze waarop het van zijn bevoegdheden gebruikmaakt.

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

8

Via actief en reactief perswerk en via de websites Cbpweb.nl en Mijnprivacy.nl verstrekt het CBP informatie over (resultaten van) onderzoek, wetgevingsadviezen en overige werkzaamheden. De onderzoeken hebben mede door deze communicatie geregeld een uitstralende werking in de betreffende branche, waardoor het effect op het nalevingsniveau verder reikt dan de onderzochte bedrijven en organisaties. Het onderwerp privacy en de bescherming van persoonsgegevens stonden in 2013 volop in de publieke belangstelling en de media wisten het CBP nog meer dan in 2012 te vinden. Het aantal perscontacten is in 2013 met ruim 20% gestegen ten opzichte van voorgaande jaren. Het CBP werd om een reactie gevraagd over uiteenlopende onderwerpen, variërend van drones tot cameratoezicht en van het werk van inlichtingendiensten tot reisgegevens. Daarnaast zoekt het CBP zelf actief contact met media en maatschappelijke organisaties. Perscontacten Medium

2011

2012

2013

Persbureaus

53

60

49

Landelijke dagbladen

120

104

143

Landelijke radio en televisie

192

163

192

Regionale kranten

34

39

43

Regionale radio en televisie

43

21

24

(Vak)bladen

44

46

68

Online media

65

80

103

-

12

26

47

62

65

598

587

713

Internationale dagbladen Overige Totaal

Nieuwe beleidsregels openbaarmaking Per 15 november 2013 zijn nieuwe beleidsregels actieve openbaarmaking door het CBP in werking getreden. De eerdere versie van deze beleidsregels, uit 2011, is met ingang van deze datum ingetrokken. Het belangrijkste verschil met de beleidsregels uit 2011 is dat het CBP voortaan de onderzoeksrapporten in zowel de publieke als de private sector openbaar maakt, tenzij het CBP op zwaarwichtige gronden anders beslist. De beleidsregels geven inzicht in het beleid van het CBP bij het actief openbaar maken van zijn onderzoeksbevindingen, handhavingsbesluiten, overige besluiten, wetgevingsadviezen en zienswijzen. Het openbaarmakingsbeleid heeft tot doel transparantie te bieden over het beleid van het CBP en de uitvoering daarvan, verantwoording af te leggen over de wijze waarop het CBP van zijn bevoegdheden gebruikmaakt en het beleid van het CBP te effectueren. Vragen en signalen aan het CBP Het frontoffice van het CBP beantwoordt vragen en behandelt signalen over (mogelijke) overtredingen van de privacywetgeving. In 2013 ging het om 6.879 vragen en signalen, een toename met bijna 14% ten opzichte van 2012, toen het er 6.042 waren. Het grootste deel kwam binnen via het telefonisch spreekuur van het CBP en via het speciale signaalformulier op de CBP-publiekswebsite Mijnprivacy.nl. Het frontoffice analyseert alle binnengekomen signalen. Op basis van signalen kan het CBP besluiten een onderzoek te starten. Ook kunnen signalen aanleiding zijn om de voorlichting op Mijnprivacy.nl uit te breiden. Daarnaast heeft het frontoffice naar aanleiding van signalen meerdere keren zelf actie ondernomen. Zo heeft het contact opgenomen met verschillende organisaties over de beveiligingsrisico’s van het gebruik van antwoordkaarten zonder envelop voor de inning van nota’s. Het frontoffice heeft ook diverse organisaties gewezen op beveiligingsrisico’s van hun websites, omdat er bijvoorbeeld sprake was van

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

9

onbeveiligde inlogpagina’s. Een ander voorbeeld is dat het frontoffice contact heeft opgenomen met organisaties die oneigenlijk gebruikmaakten van het burgerservicenummer (BSN), omdat zij voorschreven dat hun klanten of werknemers hun BSN moesten gebruiken als inlognaam. Wanneer mensen bij het CBP een klacht indienen over het gebruik van hun persoonsgegevens door een bedrijf of organisatie (artikel 60 Wbp) of het CBP vragen voor hen te bemiddelen (artikel 47 Wbp), hanteert het CBP prioriteitscriteria. Klachten of bemiddelingsverzoeken die niet voldoen aan deze criteria, neemt het CBP niet als individuele zaak in behandeling maar vat het op als signaal. Verdeling vragen en signalen over sectoren De meeste van de in totaal 6.879 vragen en signalen uit 2013 hebben betrekking op de sectoren handel & dienstverlening (30,6%), overheid (25,8%), arbeid (13,1%) en zorg & welzijn (11,0%). De minste vragen en signalen kwamen binnen over sociale zekerheid (1,0%) en internationale organisaties (0,3%). Zie tabel en figuur 1 voor een weergave van de vragen en signalen verdeeld over de verschillende sectoren. Tabel 1: Verdeling vragen en signalen over sectoren Toezicht en naleving

2013

Handel & dienstverlening

2103

Overheid

1776

Arbeid

900

Zorg & welzijn

755

Internet

315

Andere sector (zie tabel 2 voor een specificatie)

302

Betrokkene

289

Telecom

221

Politie & justitie

115

Sociale zekerheid

83

Internationale organisaties

20

Totaal

6879

Figuur 1: Verdeling vragen en signalen over sectoren

Handel & dienstverlening

2103

Overheid

1776

Arbeid

900



755

Zorg & welzijn

Internet

315



302

Andere sector

Betrokkene

289

Telecom

221



Politie & justitie

115



Sociale zekerheid

83



Internationale organisaties

20

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

10

Tabel 2: Verdeling vragen en signalen binnen categorie ‘Andere sector’ Andere sector

2013

Cultuur, sport en recreatie

110

Belangenorganisatie

89

Media

31

Overige

18

Toezichthouder

17

Onderzoeks- en researchinstituut

16

Religieuze instelling

15

Klachteninstantie Totaal

6 302

Verdeling vragen en signalen over subsectoren In de sector waarover de meeste vragen en signalen binnenkwamen, handel & dienstverlening, scoren detailhandel (14,1%) en banken (12,9%) het hoogst. In de sector overheid hebben de meeste vragen en signalen betrekking op de Belastingdienst (47,2%) en de gemeente (24,4%). Bij de sector arbeid springen de vragen en signalen over werkgevers eruit (82,2%). Het merendeel van de vragen en signalen binnen de sector zorg & welzijn gaat over de medische zorg (55,6%) en welzijnszorg (18,1%). Binnen de overige sectoren hebben de meeste vragen en signalen betrekking op telecomaanbieders, zoekmachines en sociale netwerksites, cultuur, sport & recreatie, politie en het UWV werkbedrijf. Meest voorkomende onderwerpen De meest voorkomende onderwerpen zijn zogeheten derdenverstrekking (het verstrekken van persoonsgegevens door een bedrijf of organisatie aan een ander bedrijf of een andere organisatie), identificatie, BSN en heimelijke waarneming, waaronder verborgen cameratoezicht. Deze onderwerpen zijn in bijna alle hoofdsectoren vertegenwoordigd. Per hoofdsector gaan de meeste vragen en signalen over de volgende onderwerpen: Handel & dienstverlening • identificatie; • gebruik BSN; • direct marketing. Overheid • derdenverstrekking; • identificatie; • paspoort; • gebruik BSN. Arbeid • (heimelijk) volgen van werknemers door bijvoorbeeld cameratoezicht of een personeelsvolgsysteem; • derdenverstrekking; • gebruik BSN. Zorg & welzijn • derdenverstrekking; • (medisch) dossier. Politie & justitie • derdenverstrekking; • inzagerecht.

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

11

Internet • publicatie van persoonsgegevens op internet; • beveiliging van websites. Telecom • identificatie; • derdenverstrekking; • gebruik BSN. Sociale zekerheid • derdenverstrekking. Internationale organisaties • doorgifte van persoonsgegevens aan zogeheten derde landen (landen buiten de Europese Unie).

Organigram CBP College

Directeur

Communicatie

Juridische zaken

Bedrijfsvoering

Toezicht Publieke sector

Internationaal

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

Toezicht Private sector

12

College

Mr. J. Kohnstamm Voorzitter

Mr. W.B.M. Tomesen Collegelid, plv. voorzitter

Directie Collegelid mr. M.W. McLaggan is eind 2012 na overleg met de voorzitter van het CBP door de staatssecretaris van Veiligheid en Justitie gevraagd een onderzoeksrapport te schrijven over de ontwikkelingen op het raakvlak van bescherming van persoonsgegevens en mededinging. De bescherming van persoonsgegevens in de private sector interfereert steeds vaker met mededingingsrecht en de vraag is welke consequenties dit heeft voor de betreffende wetgeving en het toezicht daarop. Mevrouw McLaggan was bereid op dit verzoek in te gaan en is voor de duur van het onderzoek ontheven van haar reguliere taken als lid van het college.

Drs. P.J.J. Frencken Directeur

C B P H E T C B P I N 2 0 1 3 B I J L A G E O R G A N I S AT I E | |

13

Agenda 2014 Bij de selectie van onderzoeksgebieden en -objecten geeft het CBP prioriteit aan (vermoedens van) ernstige overtredingen van structurele aard die veel mensen treffen en waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken.

In 2014 geeft het CBP bijzondere aandacht aan de volgende principes uit de Wet bescherming persoonsgegevens: • toestemming; • transparantie; • beveiliging. Daarnaast hanteert het CBP in 2014 de volgende thematische speerpunten: • verwerking van persoonsgegevens binnen de arbeidsrelatie; • profilering; • decentralisatie; • verwerking van medische gegevens; • verwerking van persoonsgegevens door politie en justitie.

Toezicht De onderzoeksprioriteiten van het CBP voor 2014 zijn op thema vastgesteld en worden nader bepaald op basis van actuele ontwikkelingen. Voorbeelden van beoogde onderzoeksthema’s zijn: • verwerking van medische gegevens door zorgaanbieders; • verwerking en beveiliging van persoonsgegevens door lokale overheden; • verstrekking van personeelsgegevens aan derden; • volgen van gebruikers op internet of via draadloze verbindingen (tracking & tracing). Ook zal het CBP richtsnoeren uitbrengen over cameratoezicht in het publieke domein.

Bovenstaand overzicht is niet limitatief. Optreden in niet-genoemde sectoren of naar aanleiding van nieuwe aanwijzingen van overtredingen is uiteraard niet uitgesloten.

Internationaal Het CBP zoekt nadrukkelijk de internationale samenwerking op met andere toezichthouders om de effectiviteit van het onderzoek naar overtreding van de privacyregelgeving te versterken. Daarnaast besteedt het CBP op internationaal gebied in 2014 net als in 2013 veel aandacht aan de herziening van het wettelijk kader voor gegevensbescherming in de Europese Unie (EU). Na vier jaar voorzitter te zijn geweest van de Artikel 29-werkgroep, het samenwerkingsverband van Europese privacytoezichthouders, draagt Jacob Kohnstamm eind februari 2014 het stokje over aan zijn opvolger. Hij blijft niettemin zeer actief in dit samenwerkingsverband. Daarnaast blijft hij voorzitter van het uitvoerend comité van de International Conference for Data Protection and Privacy Commissioners. Wilbert Tomesen is voor het CBP actief op het gebied van de ‘derde pijler’ van de EU en is sinds 2013 lid van het permanent comité van het Gemeenschappelijk Controleorgaan Eurojust. De uitgangspunten op het gebied van dataprotectie in de EU en de VS inzake gegevensbescherming en daarmee de rechtsstelsels verschillen aanzienlijk van elkaar. We moeten ervan uitgaan dat deze verschillen blijven bestaan. De eerste gedachtevorming over de vraag in hoeverre deze trans-Atlantische verschillen op pragmatische wijze te overbruggen zijn, is het CBP in 2013 gestart. Dit initiatief zal in 2014 nader vorm krijgen.

Raad van advies CBP De raad van advies heeft als taak het college te adviseren over de hoofdlijnen van het beleid van het CBP en andere algemene aspecten van de bescherming van persoonsgegevens. In 2013 waren de leden van de raad van advies:

Mevrouw drs. T.A. Maas-de Brouwer Voorzitter, lid raad van commissarissen van onder meer PEN, Schiphol Groep, Arbo Unie en Van Leer Group Foundation, voormalig senator PvdA

Mevrouw prof. dr. M.M.M. van Eechoud Lid met ingang van 1 november 2013 Hoogleraar Informatierecht aan de Universiteit van Amsterdam/Instituut voor Informatierecht

De heer drs. H.G.M. Blocks Adviseur/bestuurder, oud-directeur Nederlandse Vereniging van Banken

De heer mr. T.H.J. Joustra Voorzitter Onderzoeksraad voor Veiligheid, voorheen Nationaal Coördinator Terrorismebestrijding

De heer H.W. Broeders Adviseur/bestuurder, voormalig lid van de raad van bestuur van Capgemini S.A.

De heer prof. mr. J. Legemaate Hoogleraar gezondheidsrecht, AMC/Universiteit van Amsterdam

Mevrouw H.C.J. van den Burg Commissaris ASML en APG, lid Monitoring Commissie Corporate Governance, voorheen lid Europees Parlement en federatiebestuur FNV

De heer mr. R.J. Manschot Oud-hoofdofficier van Justitie, oud-vicevoorzitter Eurojust

De heer drs. B.R. Combée Directeur Consumentenbond De heer prof. mr. E.J. Dommering Lid tot 7 juni 2013 Emeritus hoogleraar informatierecht Universiteit van Amsterdam, lid Commissie Mensenrechten van de Adviesraad Internationale Vraagstukken Mevrouw prof. dr. H.M. Dupuis Lid van de Eerste Kamer voor de VVD, voorzitter van de brancheorganisatie Vereniging Gehandicaptenzorg Nederland, voorzitter van twee raden van toezicht in de gezondheidszorg, emeritus hoogleraar medische ethiek Universiteit Leiden

De heer drs. L.J.E. Smits Algemeen directeur PBLQ De heer mr. A.A. Westerlaken Voorzitter raad van bestuur Maasstadziekenhuis De heer mr. A. Wolfsen Burgemeester van Utrecht De heer drs. L.J. Wijngaarden Beroepscommissaris, voorheen CEO Postbank en CEO Nationale Nederlanden

CBP HET CBP IN 2013 BIJLAGE RAAD VAN ADVIES CBP | |

15

Wetgevingsadviezen 2013 Dit overzicht bevat de wetgevingsadviezen van het CBP uit 2013. Vrijwel alle adviezen zijn te vinden op Cbpweb.nl via het vermelde zaaknummer (z2013-…..). Het CBP publiceert een advies in principe pas als het betreffende wetsvoorstel is aangeboden aan de Tweede Kamer of anderszins openbaar is gemaakt, tenzij er een zwaarwegende reden is om het advies eerder te publiceren.

Verstrekking politiegegevens aan Kansspelautoriteit 8 februari 2013 z2012-00848 Brief- en telecommunicatiegeheim in Grondwet 11 februari 2013 z2012-00746 Decentralisatie jeugdzorg naar gemeenten 5 maart 2013 z2013-00048 Toetsmodel Privacy Impact Assessment 5 maart 2013 z2012-00847 Gebruik biometrische kenmerken in vreemdelingenketen 7 maart 2013 z2013-00022

Uitwisseling financiële gegevens met VS (FATCA) 30 mei 2013 z2013-00189 Gebruik BSN bij bevolkingsonderzoeken 20 juni 2013 z2013-00361 Aanpassingsbesluiten basisregistratie personen 20 juni 2013 z2013-00545 Wetsvoorstel maatschappelijke ondersteuning 2015 29 juli 2013 z2013-00534 Nadere uitwerking basisregistratie personen 1 augustus 2013 z2013-00339

Verstrekking strafvorderlijke gegevens door OM 12 maart 2013 z2013-00015

Registratie vakbekwaamheid financieel adviseurs 20 augustus 2013 z2013-00597

Afscherming persoonsgegevens in registraties Kadaster 8 april 2013 z2013-00063

Versterking kwaliteitswaarborgen hoger onderwijs 20 augustus 2013 z2013-00601

Informatiesysteem beroepskwalificaties financiële dienstverleners 14 mei 2013 z2013-00278

Wijziging Besluit justitiële en strafvorderlijke gegevens 22 augustus 2013 z2013-00594

CBP HET CBP IN 2013 BIJLAGE WETGEVINGSADVIEZEN 2013 | |

16

Uitbreiding verstrekking medische gegevens ggz aan zorgverzekeraars 4 september 2013 z2013-00498 Elektronische gegevensuitwisseling door en tussen zorgaanbieders 17 september 2013 z2013-00675 Verbetering toezicht en opsporing Wet marktordening gezondheidszorg 2 oktober 2013 z2013-00603 Aanpassing cookiebepaling 7 oktober 2013 z2013-00718 Gebruik BSN in de jeugdzorg 8 oktober 2013 z2013-00690 Veteranenbesluit 16 oktober 2013 z2013-00732 Verwerking DNA-gegevens en vingerafdrukken vrijgesprokenen 23 oktober 2013 z2013-00733

Instelling register voor mediators 24 oktober 2013 z2013-00332 Online kansspelen 5 november 2013 z2013-00759 Gebruik BSN door beheerder elektronisch uitwisselingssysteem 5 december 2013 z2013-00821 Consultatie Wet Langdurige Intensieve Zorg 9 december 2013 z2013-00742 Bekendmakingen aan personen zonder vaste woon-verblijfplaats 17 december 2013 z2013-00876 Implementatie EU-richtlijnen energieefficiëntie 17 december 2013 z2013-00758 Registratie ontwikkelingsperspectief in BRON 19 december 2013 z2013-00872

CBP HET CBP IN 2013 BIJLAGE WETGEVINGSADVIEZEN 2013 | |

17

CBP Internationaal Hieronder volgt een overzicht van de internationale gremia waaraan het CBP deelneemt. Op de volgende pagina staat een overzicht van de in 2013 uitgebrachte documenten van de Artikel 29-werkgroep en van de Berlijnwerkgroep voor Telecommunicatie.

Artikel 29-werkgroep • Plenaire vergadering (voorzitter) • Subgroep Ad Hoc (onder meer WADA) • Subgroep Borders, Travel and Law Enforcement (coördinator) • Subgroep eGovernment • Subgroep Financial Matters • Subgroep Future of Privacy (coördinator) • Subgroep International Transfers • Subgroep Key Provisions • Subgroep Technology Internationale Conferentie van Privacy- en Dataprotectietoezichthouders • • • •

Uitvoerend Comité (voorzitter) Berlijnwerkgroep voor Telecommunicatie Werkgroep Internationale handhaving Werkgroep Strategische richting van de conferentie

Europese Conferentie van Privacy- en Dataprotectietoezichthouders • Case handling workshop (speciaal bedoeld voor uitwisseling van best practices door medewerkers van de privacytoezichthouders) Gemeenschappelijk toezicht op Europese diensten en informatiesystemen • Gemeenschappelijk Controleorgaan Europol • Gemeenschappelijk Controleorgaan Eurojust • Gemeenschappelijk Controleorgaan Schengen (tot 9 april 2013) / Groep voor Gecoördineerd Toezicht Schengen (vanaf 9 april 2013) • Gemeenschappelijk Controleorgaan Douane • Groep voor Gecoördineerd Toezicht Douane • Groep voor Gecoördineerd Toezicht Eurodac • Groep voor Gecoördineerd Toezicht Visum Informatie Systeem (VIS) Global Privacy Enforcement Network

C B P H E T C B P I N 2 0 1 3 B I J L A G E C B P I N T E R N AT I O N A A L | |

18

Documenten in 2013 uitgebracht door de Artikel 29-werkgroep Deze documenten zijn te vinden op http:// ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/ index_en.htm 1. Working Document 01/2013 - Input on the proposes implementing acts 22 januari 2013 WP 200 2. Opinion 01/2013 providing further input into the discussions on the draft Police and Criminal Justice Data Protection Directive 26 februari 2013 WP 201 3. Opinion 02/2013 on apps on smart devices 27 februari 2013 WP 202 4. Opinion 03/2013 on purpose limitation 2 april 2013 WP 203 5. Explanatory Document on the Processor Binding Corporate Rules 19 april 2013 WP 204 6. Opinion 04/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’) prepared by Expert Group 2 of the Commission’s Smart Grid Task Force 22 april 2013 WP 205 7. Opinion 05/2013 on Smart Borders 6 juni 2013 WP 206 8. Opinion 06/2013 on open data and public sector information 5 juni 2013 WP 207

9. Working Document 02/2013 providing guidance on obtaining consent for cookies 2 oktober 2013 WP 208 10. Opinion 07/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’) prepared by Expert Group 2 of the Commission’s Smart Grid Task Force 4 december 2013 WP 209 11. Work programme 2014-2015 3 december 2013 WP 210

Documenten in 2013 uitgebracht door de Berlijnwerkgroep voor Telecommunicatie Deze documenten zijn te vinden op http://www.datenschutz-berlin.de/content/ europa-international/international-workinggroup-on-data-protection-in-telecommunicationsiwgdpt 1. Working Paper and Recommendations on the Publication of Personal Data on the Web, Website Contents Indexing and the Protection of Privacy 15/16 april 2013 2. Working Paper on Web Tracking and Privacy: Respect for context, transparency and control remains essential 15/16 april 2013 3. Working Paper on Privacy and Aerial Surveillance 2/3 september 2013 4. Working Paper on the Human Right to Telecommunications Secrecy 2/3 september 2013

C B P H E T C B P I N 2 0 1 3 B I J L A G E C B P I N T E R N AT I O N A A L | |

19

BEZOEKADRES

P O S TA D R E S

TELEFOON FAX TELEFONISCH SPREEKUUR

Juliana van Stolberglaan 4-10 2595 CL Den Haag Postbus 93374 2509 AJ Den Haag 070 8888 500 070 8888 501 0900 2001 201 (5 ct per minuut) www.cbpweb.nl www.mijnprivacy.nl