R e g i s t r a t i e k a m e r
C.G. Zandee
INHOUD
DOELBEWUST VOLGEN Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
Achtergrondstudies en Verkenningen
9
C.G. Zandee
DOELBEWUST VOLGEN Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
Achtergrondstudies & Verkenningen 9
Registratiekamer, april 1998 ISBN 90 74087 08 6
Publicaties in de serie Achtergrondstudies en Verkenningen zijn het resultaat van onderzoeken uitgevoerd door of in opdracht van de Registratiekamer. Met het uitbrengen van de publicaties beoogt de Registratiekamer de discussie en meningsvorming te stimuleren over ontwikkelingen in de samenleving waarin de persoonlijke levenssfeer van de burger in het geding is.
Doelbewust volgen – privacy-aspecten van clientvolgsystemen en andere vormen van gegevensuitwisseling Registratiekamer, Den Haag, 1998 Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van de Registratiekamer. ISBN 90 74087 08 6 Druk: Sdu Grafisch Bedrijf
Inhoud
1
Waarom deze notitie?
2
Wat is specifiek aan ‘volgsystemen’?
3
Probleemstelling 3.1 Bescherming van de privacy? 3.2 Voorbeelden 3.2.1 CVS 3.2.2 BEO
4
Toepasselijke (privacy)wetgeving 4.1 Persoonsgegevens 4.2 Persoonsregistratie 4.3 Verwerking 4.4 Houder en verantwoordelijke 4.5 Is een cliëntvolgsysteem een persoonsregistratie?
5
Uitgangspunten van privacybescherming 5.1 Doelbinding 5.1.1 Aanleg van een cliëntvolgsysteem 5.1.2 Opname van gegevens 5.1.3 Gebruik van gegevens 5.2 Beperkende bepalingen 5.2.1 Het beroepsgeheim 5.2.2 Gesloten regime van verstrekkingen 5.3 Bewaartermijnen 5.4 Rechten van geregistreerden 5.5 Kwaliteit 5.5.1 Algemeen 5.5.2 Het onderzoek op juistheid 5.5.3 Het ‘onderhoud’ 5.6 Beveiliging
6
Samenvatting en aandachtspunten 6.1 Algemeen 6.2 Aandachtspunten Geraadpleegde literatuur Lijst van afkortingen
< Registratiekamer
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
1
Waarom deze notitie?
Uitwisselen van gegevens is ‘in’. Op steeds meer terreinen worden gegevens vastgelegd over het gedrag van individuen in een bepaald maatschappelijk kader. De bedoeling daarvan is tweeledig: zowel om aan de hand daarvan de behandeling of benadering van een individu te bepalen, als om op basis van niet op individuen herleidbare, zogenaamde geaggregeerde gegevens beleid te ontwikkelen. Dergelijke ontwikkelingen zijn onder meer te zien binnen de gezondheidszorg en op het gebied van de sociale zekerheid en de aanpak van jeugdcriminaliteit. In het rapport ‘Met de neus op de feiten’ van de Commissie Jeugdcriminaliteit – veelal aangeduid als ‘de Commissie Van Montfrans’ – van maart 1994 wordt de ontwikkeling van een ‘cliëntvolgsysteem’ onder verantwoordelijkheid van het openbaar ministerie aanbevolen als één van de organisatorische randvoorwaarden die nodig zijn voor een snelle en consequente aanpak van jeugdcriminaliteit. De ontwikkeling van een dergelijk cliëntvolgsysteem staat niet op zichzelf. Zo is door het ministerie van VWS in 1992 een stimuleringsbeleid gestart, met name gericht op toepassing van informatietechnologie in de zorgsector. Projecten die worden ondersteund zijn onder meer de ontwikkeling van elektronische patiëntendossiers en cliëntvolgsystemen. Op het terrein van de geestelijke gezondheidszorg is in 1996 een groot aantal projecten uitgevoerd, gericht op geautomatiseerde ondersteuning van de hulpverlening. Ook op dit terrein worden cliëntvolgsystemen en elektronische patiëntendossiers ontwikkeld. Op het terrein van de sociale zekerheid wordt in het kader van het project Samenwerking Werk en Inkomen (SWI) een ‘Cliënt Volg Communicatie Stelsel’ ontwikkeld. Het is de bedoeling dat gegevens worden uitgewisseld tussen Arbeidsbureaus, Gemeentelijke Sociale Diensten en uitvoeringsinstellingen. Inmiddels vinden diverse pilots plaats. De Registratiekamer ziet het als haar taak, dergelijke ontwikkelingen vanuit het oogpunt van bescherming van de persoonlijke levenssfeer kritisch te volgen en om, waar nodig, de gedachtevorming en de ontwikkeling van normen te bevorderen. Voorbeelden daarvan zijn achtergrondstudies en rapporten over ‘privacy-enhancing technologies’1, chipcards2, video-registratie3, registratie van telefoongesprekken4 en, in voorbereiding, over data-mining. Deze notitie beoogt om een bijdrage te leveren aan de gedachtevorming over en de normering van gegevensuitwisseling. In de eerste plaats richt zij zich op de gegevensuitwisseling op het terrein van (jeugd)criminaliteit, (jeugd)hulpverlening en maatschappelijke dienstverlening. Kwesties die op deze terreinen spelen, kunnen ook buiten dit terrein van belang zijn. Naast een schets van de verschillende vormen waarin het ‘volgen’ van een individu kan plaatsvinden en een aanduiding van het toepasselijke wettelijk kader, zal de notitie met name aandacht besteden aan een aantal voor dit onderwerp relevante uitgangspunten van de regels ter bescherming van de persoonlijke levenssfeer. In het laatste hoofdstuk wordt een samenvatting gegeven van de belangrijkste aandachtspunten.
< Registratiekamer 1
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Noten: 1 H. van Rossum e.a., Privacy-enhancing technologies: the path to anonymity, volume I en II, A&V-5, Augustus 1995, ISBN 90 346 3202 4. 2 H.J.M. Gardeniers, Chipcards en privacy - regels voor een nieuw kaartspel, A&V-6, September 1995, ISBN 90 346 3223 7 3 In beeld gebracht - privacyregels voor het gebruik van videocamera’s voor toezicht en beveiliging. Registratiekamer, 1997 4 Als de telefoon wordt opgenomen - regels voor het registreren, meeluisteren en opnemen van telefoongesprekken van werknemers. Registratiekamer, 1996
Registratiekamer 2
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
2
Wat is specifiek aan ‘volgsystemen’?
Het ‘volgen’ van een individu binnen een bepaalde maatschappelijke context is ook zonder elektronische opslag van gegevens denkbaar. Ook schriftelijk en mondeling kunnen persoonsgegevens voor dat doel worden uitgewisseld. De huidige informatie- en telecommunicatietechnologie maakt het echter mogelijk dit op een snelle en eenvoudige manier en op grote schaal te doen. Bij het begrip ‘cliëntvolgsysteem’ kan men denken aan een bestand of data-base waarin over personen met betrekking tot een aantal onderwerpen gegevens worden opgenomen. Een dergelijke data-base kan worden aangelegd door één organisatie, bijvoorbeeld een personeelsinformatiesysteem binnen een bedrijf, door een groep van organisaties of door één organisatie ten behoeve van een aantal andere. Er kan ook voor een andere opzet gekozen worden. Zowel binnen één organisatie als binnen een groep van organisaties kan aan gebruikers van reeds bestaande bestanden of data-bases toegang worden gegeven tot de informatie die is opgenomen in de andere die zijn aangesloten, eventueel onder bepaalde voorwaarden. Die mogelijkheid kan worden aangewend om een persoon te ‘volgen’. Aard en omvang van de uitgewisselde informatie kunnen heel verschillend zijn. Het kan zijn dat deelnemers uitsluitend de informatie krijgen dat één of meer andere deelnemers aan het systeem beschikken over informatie over een bepaalde persoon: een zogenaamde verwijs-index. Specifiek voor een cliëntvolgsysteem is het gebruik en vooral de uitwisseling van persoonsgegevens, niet de vorm waarin die plaatsvinden. Achterliggend is de behoefte van organisaties om hun werkzaamheden op een bepaald terrein op elkaar af te stemmen. Om geen dubbel werk te doen, geen mensen tussen wal en schip te laten vallen, om waar mogelijk elkaars inspanningen te steunen en niet tegen te werken. Die behoefte bestaat niet alleen bij de bestrijding van jeugdcriminaliteit maar eigenlijk overal waar met inzet van schaarse middelen individuele of maatschappelijke problemen worden bestreden. Vormen van samenwerking, gericht op de individuele cliënt, brengen al snel met zich mee dat organisaties of instellingen graag willen beschikken over informatie die anderen over een cliënt hebben, om daarop mede hun benadering, hun aanbod of hun beslissingen te baseren, of om te controleren of de cliënt zich aan gemaakte afspraken houdt. Op hun beurt zijn zij ter wille van de samenwerking bereid – zij het misschien iets minder graag – om over die cliënt ook informatie aan anderen te verstrekken. Gegevens die een rol speelden in een bepaalde situatie of relatie – bijvoorbeeld een door de politie opgemaakt proces-verbaal of een onderzoek door de Raad voor de Kinderbescherming – krijgen door die uitwisseling belang in een andere context.
< Registratiekamer 3
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Zowel de geregistreerde of betrokkene, de cliënt, als de hulpverlener worden daardoor voor vragen gesteld: Is het geoorloofd om de gegevens die verschillende betrokken instellingen over een cliënt vastleggen, samen te voegen in één bestand? Mogen gegevens over een cliënt wel aan een cliëntvolgsysteem of een andere organisatie worden verstrekt? En zo ja, welke gegevens? En aan welke organisaties? Maakt het daarbij nog uit om wat voor reden dat gebeurt? Het achter de rug van de cliënt om gegevens verstrekken of daarvan kennis nemen zal niet snel als een juiste gang van zaken of als bevorderlijk voor de hulpverlening worden betiteld, maar: wat moet de cliënt precies weten? En wanneer? Is het van belang of hij toestemming geeft voor de gegevensuitwisseling of daar geen bezwaar tegen maakt? Kan de hulpverlener of politiefunctionaris de gegevens die hij van een andere organisatie ontvangen heeft naar eigen goeddunken gebruiken met betrekking tot de geregistreerde? En geldt dat ook voor de gegevens die hij zelf verstrekt? Wie is er eigenlijk verantwoordelijk voor de hele gang van zaken, wie kan aangesproken worden voor gemaakte fouten? Welke invloed kan de cliënt zelf eigenlijk nog op de gang van zaken uitoefenen? Deze vragen zijn niet nieuw en de antwoorden zijn dat evenmin. Nieuw is vooral dat de gegevensuitwisseling grootschalig, systematisch en zonder menselijke tussenkomst kan plaatsvinden. Het is die laatste ontwikkeling die de noodzaak onderstreept om deze vragen in een vroegtijdig stadium te stellen en bij de ontwikkeling van een cliëntvolgsysteem in technisch en organisatorisch opzicht te beantwoorden.
< Registratiekamer 4
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
3
Probleemstelling
3.1
Bescherming van de privacy? Zowel in de notitie Jeugdcriminaliteit1 als bijvoorbeeld in de berichtgeving over het stimuleringsprogramma ‘Transparant’ van het Ministerie van VWS2 wordt het belang van de bescherming van de privacy van cliënten/geregistreerden in het kader van automatiseringsprojecten genoemd. Een werkelijke bescherming van die privacy wordt echter niet gerealiseerd door het uitspreken van een intentie en zelfs niet het opstellen van een reglement. Die bescherming moet in de praktijk ‘handen en voeten’ krijgen. Met name bij het ontwerpen van informatiesystemen dient aan dit punt in een vroegtijdig stadium aandacht te worden besteed. Waar bescherming van de privacy te zien is als een voortdurende afweging van belangen, zal die afweging allereerst moeten worden gemaakt bij de vraag óf een cliëntvolgsysteem moet worden aangelegd. Dit punt zal, in het kader van het begrip ‘doelbinding’ verder worden uitgewerkt (paragraaf 5.1) In een cliëntvolgsysteem kunnen door vele deelnemers aangeleverde, gedetailleerde, diverse, eventueel ‘gevoelige’ gegevens zijn opgenomen. Of privacy nu wordt gedefinieerd in termen van ’met rust gelaten worden’ of als ‘het recht om zichzelf te bepalen’, duidelijk is dat degene wiens gegevens zijn opgenomen in een cliëntvolgsysteem niet ’met rust gelaten’ wordt en dat de kans niet denkbeeldig is dat zijn keuzemogelijkheden, dus de mogelijkheden om het eigen leven te bepalen, worden beperkt door anderen op basis van hun kennis van zijn ‘elektronische schaduw’. Met name de uitwisseling van gegevens tussen deelnemers met zeer verschillende taken of doelstellingen brengt risico‘s voor de privacybescherming met zich mee. Hoe groter hun aantal en hun diversiteit van maatschappelijke activiteiten, hoe sprekender bij uitwisseling van gegevens het beeld wordt van het individu dat in het kader van die activiteiten die gegevens heeft verstrekt of prijsgegeven, misschien zelfs zonder zich daarvan bewust te zijn. Hoe groter ook de kans wordt dat een deelnemer gegevens mede zal willen gebruiken voor taken of doeleinden die niet sporen met de doeleinden van andere deelnemers of die daar haaks op staan. Het samenstellen van een standaard of normaaltype, of van risico-of daderprofielen kan er toe leiden dat een individu wordt beoordeeld aan de hand van een typering waarin niet alleen het eigen gedrag maar ook dat van anderen is verdisconteerd. Het individu dat meent af te wijken van de standaard, kan aldus gedwongen worden hiervan “bewijs” te leveren. Vooral als aan dergelijke typeringen of profileringen ook recidive-verwachtingen zijn gekoppeld, kan dit vergaande consequenties hebben voor het maatschappelijk functioneren van de betrokkene. Het is echter ook zo dat dergelijke systemen, mits juist gebruikt, mogelijkheden bieden om schaarse middelen en zorg efficiënt en op maat aan de afnemers, de cliënten, aan te bieden. In die zin wordt in het kader van de sociaal-wetenschappelijke evaluatie van de Wet persoonsregistraties3 opgemerkt dat koppeling, het aanbrengen van verbanden tussen (bestanden van) persoonsgegevens, ook positieve aspecten kan hebben. De vraag of, en hoe, het mogelijk is cliëntvolgsystemen van zodanige waarborgen te voorzien dat de
< Registratiekamer 5
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
voornoemde nadelen worden ondervangen of gecompenseerd is dus, gezien de drang tot efficiency die bestaat op velerlei terreinen, in alle opzichten een uitdaging. De spanning tussen privacy en efficiency die het ontwikkelen van deze systemen kenmerkt maakt het, ook los van mogelijke oplossingen, noodzakelijk om stil te staan bij de vraag, in hoeverre de problematiek van een individu, waardoor hij een beroep doet op algemene middelen, inmenging in zijn privé-leven rechtvaardigt. Oftewel: wanneer wordt bemoeizorg bemoeizucht?
3.2
Voorbeelden Zoals gezegd moet privacybescherming in de opzet van een systeem en in de dagelijkse praktijk worden geincorporeerd. Om de knelpunten die zich daarbij kunnen voordoen inzichtelijk te maken zullen deze worden geillustreerd aan de hand van twee ’systemen’. Het landelijk Cliëntvolgsysteem Jeugdcriminaliteit (CVS-JC) dat nog in voorbereiding is en het Amsterdamse voorbeeld van een project Bestrijding Extreme Overlast (BEO) dat al functioneert.
3.2.1 CVS-JC In het rapport van de Commissie Van Montfrans4 wordt aanbevolen om op jeugdcriminaliteit een zwaar beleidsaccent te leggen in preventief en repressief opzicht. Actuele cijfers lijken te wijzen op een toename, zowel qua omvang als qua ernst van de gepleegde feiten, vooral in grote en middelgrote gemeenten. Geconstateerd wordt dat een ruim voldoende arsenaal aan preventieve en repressieve reactiewijzen lijkt te bestaan maar dat de beschikbare instrumenten in onvoldoende mate worden ingezet. Als belangrijkste eisen die aan de aanpak van jeugdcriminaliteit gesteld moeten worden, formuleert de commissie: vroegtijdig, snel en consequent optreden. De notitie ‘Jeugdcriminaliteit’ van de Directie Beleid van het Ministerie van Justitie, waarin het advies van de Commissie Van Montfrans wordt uitgewerkt, noemt een cliëntvolgsysteem een belangrijk instrument voor vroegtijdige onderkenning van delinquent gedrag en voor de consequente reactie daarop. Het streven is om te starten met een in omvang en opzet bescheiden systeem, het cliëntvolgsysteem jeugdcriminaliteit waartoe aanvankelijk slechts de politie, het Openbaar Ministerie, de rechters en de Raad voor de Kinderbescherming toegang krijgen. Aanbevolen wordt, het cliëntvolgsysteem te richten op zowel strafrechtelijk minderjarigen (12- tot 18-jarigen) als op beneden 12-jarigen (12-minners). De (eerste) gebruikers van het CVS-JC zullen dus personen zijn die werkzaam zijn in opsporing, vervolging en berechting van jeugdigen en de jeugdbescherming. Het systeem zou daarnaast informatie op geaggregeerd niveau kunnen leveren voor het bijstellen of ontwikkelen van beleid. Opgenomen worden gegevens (datum en aanleiding) over het contact met één van de betrokken instanties, over de (afhandeling van de) genomen beslissing, over de afzender van de informatie, pleegdatum, aantal contacten met een bepaalde deelnemende instantie, en enige aanvullende informatie zoals de afloop van een taakstraf of gegevens over het verblijf in een residentiële setting.
< Registratiekamer 6
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
3.2.2 BEO In de grote steden, met name in de oude volksbuurten, zijn extreme burenoverlast en verstoring van de openbare orde een groot probleem.5 De oorzaak is vaak gelegen in een complex van factoren. De buurt, met vaak goedkope en slechte woningen en veel horecagelegenheden, trekt marginaal levende mensen aan: drugsgebruikers, -verslaafden en -handelaren, alcoholisten maar ook (ex)psychiatrische patiënten die vanuit een moderne behandelingsfilosofie vaker zelfstandig wonen dan vroeger het geval was. Eén of meerdere van deze problemen kunnen leiden tot gedrag dat zeer storend is voor buurtbewoners. Die kunnen of durven echter de overlastveroorzaker niet rechtstreeks te benaderen, bijvoorbeeld uit angst voor agressieve reacties. Zij wenden zich dan met klachten tot de politie of de verhuurder, vaak een woningbouwvereniging. Deze beschikken echter slechts over beperkte mogelijkheden om overlast tegen te gaan. Hulpverlenende instellingen stellen het ondernemen van actie vaak afhankelijk van de aanwezigheid van een hulpvraag bij de patiënt of cliënt. Juist bij overlastveroorzakers zal een dergelijke hulpvraag vaak niet bestaan of niet geuit worden. Een afzijdige opstelling van overheid en hulpverleners in situaties van ernstige overlast kan echter leiden tot eigen richting en escalerend geweld. Het Amsterdamse stadsdeel Westerpark heeft goede resultaten geboekt met een in 1991 ontwikkeld project ‘buurtmeldpunt Drugsoverlast’. In aansluiting hierop heeft het stadsdeel in 1994 het project Bestrijding Extreme Overlast (BEO) geinitieerd. Basis voor dit project is de registratie van personen over wie, niet-anoniem, werd geklaagd dat zij extreme overlast veroorzaakten en samenwerking en gegevensuitwisseling tussen de verschillende organisaties die bij de aanpak van het probleem betrokken zijn. In de eerste plaats zijn dat de Meldpuntmedewerkers: vanuit twee wijkteams van de politie ingezette agenten en sociaal psychiatrisch verpleegkundigen, ingezet door de GG&GD. Daarnaast kunnen ook andere organisaties die een intentieverklaring of convenant hebben ondertekend betrokken worden bij de aanpak van een overlastprobleem. De rol van BEO is die van bemiddelaar, coördinator en bewaker van de voortgang bij het aanbieden van hulp. Het hulpaanbod kan gegoten zijn in de vorm van een voorwaarde om huisuitzetting te voorkomen.
Noten: 1 Directie Beleid van het Ministerie van Justitie. (1995) Notitie Jeugdcriminaliteit, uitwerking van het advies Van Montfrans op het beleidsterrein van Justitie. p. 8. 2 Bijvoorbeeld: Stichting GGZ Nederland. (1996) Optimalisering van de GGZ-keten door toepassing van informatietechnologie. Een overzicht van initiatieven tot geautomatiseerde ondersteuning van de GGZ-hulpverlening pp. 30-32 3 Prins, J.E.J. e.a. (1995) In het licht van de Wet Persoonsregistraties: zon, maan of sterren. p. 134 4 Samenvatting uit: Commissie Jeugdcriminaliteit, veelal aangeduid als ‘de Commissie Van Montfrans’. (1994). Met de neus op de feiten . 5 Samenvatting uit: Ogtrop W. van. (1993), Project Bestrijding Extreme Overlast Stadsdeel Westerpark, Bunt P.G.C. (1995), Multidisciplinaire bestrijding van extreme overlast, waar ligt de grens? en: Bunt P.G.C. (1996), Geheimhoudingsplicht en multidisciplinaire bestrijding van extreme overlast
< Registratiekamer 7
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
4
Toepasselijkheid van privacywetgeving
Het algemene kader met betrekking tot de vastlegging en het gebruik van persoonsgegevens wordt gegeven in de Wpr en – waar het gaat om registraties aangelegd ten dienste van de uitvoering van de politietaak – de Wpolr en de op deze wetten berustende regelgeving, met name het Besluit Gevoelige gegevens (BGG) en het Besluit politieregisters (Bpolr). Daarnaast kan wetgeving van belang zijn die het specifieke terrein bestrijkt waarvoor de registratie is ingericht. Te denken valt aan de Wet op de jeugdhulpverlening (WJHV), als bij een cliëntvolgsysteem een instelling betrokken is waarop deze wet van toepassing is, de bepalingen over de geneeskundige behandelingsovereenkomst van Boek 7 BW (WGBO), de Wet bijzondere opnemingen in psychiatrische ziekenhuizen (Wet BOPZ) of de Wet op de justitiële documentatie als in het cliëntvolgsysteem gegevens worden opgenomen die krachtens die wet geregistreerd zijn in een strafregister of in het algemene documentatieregister. In 1995 is de Europese richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de Europese richtlijn) tot stand gekomen.1 Implementatie van de Europese richtlijn zal plaatsvinden middels de invoering van een nieuwe wet, de Wet bescherming persoonsgegevens, die de Wpr zal vervangen.
4.1
Persoonsgegevens Voor de toepasselijkheid van privacywetgeving op cliëntvolgsystemen is cruciaal of sprake is van registratie (Wpr/Wpolr) of verwerking (Europese richtlijn) van persoonsgegevens. In het Europees Dataverdrag2 worden persoonsgegevens – in artikel 2 – omschreven als “any information relating to an identified or identifiable individual”. Onderscheid dient dus te worden gemaakt tussen de vraag of een gegeven betrekking heeft op, onderscheidenlijk informatie verschaft over een bepaalde persoon (relating to) en de vraag of de identiteit van die persoon redelijkerwijs kan worden vastgesteld (identifiable). De aard van de informatie doet daarbij niet ter zake. Beide vereisten liggen besloten in de term herleidbaar. In artikel 2 van de Europese richtlijn wordt het begrip identificeerbaar nader omschreven. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geidentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.’ Om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs zijn in te zetten. Iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven. Sommige informatie is echter veelzeggender, privacy-gevoeliger dan andere. Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksualiteit of over het straf- of tuchtrechtelijk verleden nemen wat dat betreft een bijzondere plaats in. Met betrekking tot die categorieën van persoonsgegevens, meestal als gevoelige gegevens aangeduid, zijn bijzondere waarborgen gecreëerd. In het Besluit gevoelige gegevens (BGG, Stb. 1993, 158) zijn voor het opnemen van dergelijke gegevens in een persoonsregistratie extra strakke criteria geformuleerd.Ook onder de nieuwe wetgeving ingevolge de Europese richtlijn zullen extra waarborgen voor dergelijke bijzondere persoonsgegevens gelden.
< Registratiekamer 9
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
4.2
Persoonsregistratie Persoonsgegevens zijn opgenomen in een persoonsregistratie als zij deel uitmaken van een verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd. Deze definitie bevat verschillende kenmerken waaraan moet zijn voldaan voordat kan worden gesproken van een persoonsregistratie in de zin van de Wpr. In de eerste plaats moet het gaan om een samenhangende verzameling van persoonsgegevens. De Memorie van Toelichting*3* geeft aan dat hiermee een groep van persoonsgegevens wordt bedoeld die op grond van een of meer kenmerken een onderlinge samenhang vertoont. De samenhang kan echter ook blijken uit een gemeenschappelijke bestemming of uit het feit dat de verzameling in de praktijk als een geheel pleegt te worden beschouwd. Verder stelt de definitie het vereiste dat de verzameling op verschillende personen betrekking hebbende gegevens bevat.4 De uitdrukkelijke vermelding van het element automatisering in de omschrijving van het begrip «persoonsregistratie» heeft tot gevolg dat de wettelijke regeling op geautomatiseerde registraties steeds van toepassing is. De vraag kan rijzen, wanneer er nu sprake is van een “langs geautomatiseerde weg gevoerd” gegevensbestand. Volgens de omschrijving van het begrip “automated data file” in artikel 2 van het Europees Dataverdrag is dit reeds het geval, indien een verzameling van gegevens langs geautomatiseerde weg (“by automated means”) is opgeslagen. In de Wpr is hierbij aangesloten. Van een “langs geautomatiseerde weg gevoerd” gegevensbestand is dan ook sprake, indien bij het voeren van dat bestand gebruik wordt gemaakt van middelen en methoden van geautomatiseerde gegevensverwerking.5 Ook een handmatige gegevensverzameling, bijvoorbeeld een dossierverzameling, al dan niet in samenhang met een geautomatiseerd systeem, kan een persoonsregistratie zijn. Van belang daarbij of de verzameling systematisch is ingericht met het oog op doeltreffende raadpleging.
4.3
Verwerking In de Europese richtlijn staat niet langer het begrip persoonsregistratie centraal. De werkingssfeer van de richtlijn betreft ingevolge artikel 3 de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, deels ook de niet-geautomatiseerde verwerking in ‘bestanden’. ‘Verwerking’ betreft elke bewerking of elk geheel van bewerkingen zoals verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, wissen of vernietigen (artikel 2). Verwerking van persoonsgegevens zal dan ook in de komende nationale wetgeving, de Wet bescherming persoonsgegevens (WBP), het centrale begrip worden. Verzameling van persoonsgegevens zal slechts kunnen plaatsvinden voor doeleinden die welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn, dat wil zeggen: een specifiek, kenbaar gemaakt doel waarvoor een redelijk belang aanwezig is, en dat niet in strijd is met de wet, de openbare orde en de goede zeden. Verdere verwerking van persoonsgegevens moet verenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. In de wet zijn verder limitatief de gronden opgesomd op grond waarvan verwerking van gegevens kan plaatsvinden.
< Registratiekamer 10
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
4.4
Houder en verantwoordelijke Een persoonsregistratie ontstaat niet spontaan. Een beslissing van een natuurlijk persoon, rechtspersoon of overheidsorgaan, om voor een bepaald doel, met behulp van bepaalde middelen een verzameling persoonsgegevens aan te leggen, ligt daaraan ten grondslag. Degene die zeggenschap heeft over die registratie, die bevoegd is om doel, inhoud en gebruik van een persoonsregistratie te bepalen, die kan beslissen om de registratie aan te leggen of te beëindigen, is in de termen van de Wpr de houder van die persoonsregistratie. Voor de publieke en semi-publieke sector geldt dat de invulling van het houderschap aan moet sluiten bij de taak- en bevoegdheidstructuur. De houder is in de regel dan ook het orgaan waaraan taken en bevoegdheden zijn geattribueerd of gedelegeerd. Bij samenwerkingsverbanden doet zich de vraag voor of er sprake is van één of meerdere houders en wie voor welk deel verantwoordelijk is. Het kan voorkomen dat er een juridisch zelfstandige, gemeenschappelijke houder is terwijl de deelnemende organisaties toch elk voor een deel verantwoordelijk blijven voor de in de registratie op te nemen gegevens. Er kan echter, afhankelijk van de mogelijkheden, ook besloten worden tot zelfstandig houderschap per deelregistratie of tot een registratie met een gezamenlijk houderschap. De gekozen constructie dient tot uitdrukking te komen in een reglement of aanmeldingsformulier. In de Europese Richtlijn en de WBP gaat het om ‘de voor de verwerking verantwoordelijke’. Dit is de natuurlijke persoon of rechtspersoon, of de overheidsinstantie of dienst die het doel en de middelen voor de verwerking vaststelt.
4.5
Is een cliëntvolgsysteem een persoonsregistratie? Als een cliëntvolgsysteem wordt gevoerd in de vorm van een bestand of een database waarin persoonsgegevens als omschreven onder 4.1 zijn opgenomen dan is dit een persoonsregistratie zoals bedoeld in de Wpr. In de voorbeelden, CVS-JC en BEO, zijn de opgenomen gegevens aan te merken als een verzameling van persoonsgegevens die langs geautomatiseerde weg worden gevoerd. Dat deze registraties in deze vorm persoonsregistraties zijn, staat dan ook vast. Is een systeem ook nog een persoonsregistratie als de out-put uitsluitend bestaat uit geaggregeerde gegevens, en de gegevens over de cliënten door de deelnemers gecodeerd of ge-encrypteerd worden aangeleverd? Gecodeerde gegevens zijn in dit verband gegevens waarbij de NAW-gegevens zijn vervangen door codes, meestal getallen. Ge-encrypteerde gegevens verschillen van gecodeerde gegevens o.a. in die zin dat bij ge-encrypteerde gegevens de NAW-gegevens wel aanwezig kunnen blijven, maar herleiding slechts kan plaatsvinden door gebruikmaking van het decryptie algoritme (de decryptie sleutel). Of de gecodeerde of ge-encrypteerde gegevens persoonsgegevens zijn in de zin van de Wpr wordt bepaald door de mogelijkheden van de houder van de persoonsregistratie of de voor de verwerking van gegevens verantwoordelijke om deze tot individuen te herleiden. Dit kan of door gebruik te maken van de sleutel of op grond van indirecte identificatoren. Als de weg tot herleiding binnen diens invloedssfeer ligt, bevat de data-base persoonsgegevens, zij het dat deze tegen onbevoegde kennisneming zijn beveiligd. Als decryptie niet (meer) mogelijk is omdat er geen decryptie sleutel (meer) bestaat en deze evenmin, zonder onevenredige inspanningen, is te reproduceren, dan is doorgaans geen sprake van persoonsgegevens en vormt de verzameling van deze gegevens dus geen persoonsregistratie. Het bovenstaande betreft uitsluitend de vraag of een bepaalde gegevensverzameling is aan te merken als een persoonsregistratie. De vraag of persoonsgegevens die zijn verzameld en vastgelegd in het kader – en ten behoeve van hulpverlening of behandeling daarnaast kunnen worden
< Registratiekamer 11
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
aangewend voor wetenschappelijk of beleidsmatig onderzoek is een geheel andere. Daarbij is van belang of een dergelijk gebruik verenigbaar is met het doel van de persoonsregistratie waarin de gegevens zijn opgenomen (bij intern gebruik), dan wel of de verstrekking van die gegevens voor dat doel is toegelaten op grond van artikel 11, tweede lid, Wpr of op grond van bijzondere wetgeving zoals de WGBO (artikel 7:457 BW).
Noten: 1 Publicatieblad EG 23 november 1995, M.K 281/43 2 Verdrag tot bescherming van personen met betrekking tot de verwerking van persoonsgegevens, Straatsburg, 28 januari 1981, Trb. 1988, 7 3 Kamerstukken II 1984-1985, 19 095, nrs. 1-3, blz. 17 4 Kamerstukken II 1984 – 1985, 19 095, nrs. 1 -3, blz. 17 5 Kamerstukken I 1988 – 1989, 19 095, nr 36a, blz. 4
< Registratiekamer 12
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
5
Uitgangspunten van privacybescherming
De Wpr kent, evenals de Europese richtlijn, enkele belangrijke uitgangspunten die een dam opwerpen tegen ongebreidelde vastlegging en uitwisseling van persoonsgegevens. Het gaat daarbij met name om het beginsel dat voor aanleg van een persoonsregistratie een welbepaald doel moet bestaan dat gelegen is in een redelijk belang of een bepaalde taak van de houder. Dat doel is ook (mede) bepalend voor de rechtmatigheid van het opnemen van persoonsgegevens daarin en van het gebruik dat van die gegevens wordt gemaakt. Verder bevatten zowel de Wpr als de Europese richtlijn bepalingen die moeten waarborgen dat de wijze van omgaan met persoonsgegevens aan bepaalde eisen voldoet, dat voor geregistreerden kenbaar is wat er met hun gegevens gebeurt en dat zij over instrumenten beschikken om daar zelf invloed op uit te oefenen. De waarborgen hebben betrekking op de rechten van geregistreerden, transparantie, kwaliteit, en beveiliging. De hier genoemde onderwerpen worden in dit hoofdstuk uitgewerkt.
5.1
Doelbinding
In de Wpr speelt ‘het doel van de persoonsregistratie’ een rol bij de aanleg van de registratie, de opname van gegevens, het – interne – gebruik daarvan en de verstrekking daaruit. Voor de aanleg van persoonsregistraties in het algemeen geldt artikel 4 Wpr: ‘een persoonsregistratie mag slechts worden aangelegd voor een bepaald doel waartoe het belang van de houder redelijkerwijze aanleiding geeft. Dit doel mag niet in strijd zijn met de wet, de openbare orde of de goede zeden’
Artikel 4 schrijft dus enerzijds specificatie van de doelstelling voor (‘bepaald’), anderzijds een weging van belangen (‘redelijkerwijs’). Op de registraties van de (semi-)overheid en een groot aantal organisaties op het terrein van onderwijs, gezondheidszorg en maatschappelijke dienstverlening is paragraaf 5 van de Wpr van toepassing. Bij die persoonsregistraties wordt het doel in grote mate bepaald door de taken van de betreffende (overheids)organen of organisaties. Op dit moment geldt daarbij het ‘dubbele noodzakelijkheidscriterium’ van artikel 18, eerste en tweede lid, Wpr: 1. Een persoonsregistratie als bedoeld in artikel 17, wordt slechts aangelegd indien dit noodzakelijk is voor een goede vervulling van de taak van de houder. 2. Zodanige persoonsregistraties bevatten slechts persoonsgegevens die voor het doel van de registratie noodzakelijk zijn.
Gevoelige gegevens (zie onder 4.1) behoeven bijzondere bescherming. In het Besluit Gevoelige Gegevens (BGG, Stb. 1993, 158) zijn specifieke en aanvullende noodzakelijkheidscriteria voor opneming hiervan in een persoonsregistratie geformuleerd.
< Registratiekamer 13
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
De Wpolr hanteert eveneens het vereiste van een bepaald doel, gelegen in een goede uitvoering van de politietaak. Deze taak moet zowel tot aanleg van de registratie als tot het opnemen van bepaalde gegevens moet noodzaken. Het aangrijpingspunt van de Europese richtlijn en de toekomstige WBP is anders: Gegevens moeten worden verkregen voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde’ doeleinden en mogen vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden (artikel 6 van de Europese richtlijn).
5.1.1 Doelbinding bij aanleg van een cliëntvolgsysteem Een cliëntvolgsysteem kan worden opgezet als een database waarin persoonsgegevens van de cliënten worden opgenomen (zie hoofdstuk 2). Met andere woorden, er wordt een persoonsregistratie aangelegd. De bepalingen die hierover in Wpr en Wpolr zijn opgenomen zijn te vertalen in een aantal vereisten waaraan het doel van de registratie moet voldoen. De houder die een persoonsregistratie wil aanleggen dient het doel daarvan tevoren te formuleren en zich bij de omschrijving daarvan een aantal vragen te stellen: – Is het doel duidelijk en specifiek? – Welk (gerechtvaardigd) belang heb ik, of heeft mijn organisatie bij het aanleggen daarvan? – Vormen het aanleggen van de registratie en het opnemen van bepaalde gegevens, een geschikt middel om het gestelde doel te bereiken? – Is het ook een evenredig middel, gelet op het doel? – Kan dan toch niet met een minder vergaande methode worden volstaan? – Zijn er, gelet op het karakter van de gegevens of de wijze van verkrijging, geen nadere waarborgen nodig? De beantwoording van deze vragen impliceert afweging van belangen die bij de aanleg van een registratie een rol spelen. Het gebruik van de gegevens van een geregistreerde om die te ‘volgen’ kan diep ingrijpen in diens persoonlijke levenssfeer. De vraag of de aanleg van een daarvoor bedoelde persoonsregistratie een geschikt en evenredig middel is om het doel te bereiken, en het overwegen van minder vergaande alternatieven zijn in dat licht bezien van grote betekenis. Als een organisatie voor intern gebruik een volgsysteem aanlegt, is bij die beantwoording uitsluitend de eigen taak of doelstelling het uitgangspunt. Dat ligt anders als meerdere organisaties, elk met eigen taken en doelstellingen, gemeenschappelijk een dergelijk systeem willen aanleggen.
Duidelijk en specifiek Een cliëntvolgsysteem zal in het algemeen worden ontwikkeld omdat de deelnemers via het systeem willen kunnen beschikken over informatie over cliënten. Het gaat doorgaans om informatie die niet door de cliënten zelf wordt verstrekt of die deze moet aanvullen. Die informatie moet bijvoorbeeld snellere signalering van problematiek, betere afstemming van activiteiten of gelijke afhandeling van gelijke gevallen bevorderen. Zo geformuleerd, zullen deelnemers aan een cliëntvolgsysteem, ongeacht hun achtergrond, het doel van dat systeem wel kunnen onderschrijven. Het doel van het systeem kan echter niet los van de taken of doeleinden van de deelnemers worden gezien. Waar sprake is van gelijksoortige of gelijkgerichte taken van de deelnemers, kan de doelomschrijving van een gezamenlijk cliëntvolgsysteem in het verlengde liggen van de eigen doeleinden. “Snellere signalering van problematiek, betere afstemming van activiteiten of gelijke afhandeling van gelijke gevallen” hebben in dat geval een éénduidige betekenis.
< Registratiekamer 14
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Waar taken deels uiteenlopen of zelfs conflicteren is het moeilijker een doelstelling te formuleren die duidelijk en specifiek is. “Betere afstemming van activiteiten” zegt immers weinig als die activiteiten sterk uiteenlopen. Tegelijk is het van bijzonder belang, een doelstelling te formuleren waarin duidelijk en heel concreet tot uiting komt wat de gemeenschappelijke noemer is van de belangen of taken van de deelnemers en hoe het doel van de registratie zich daartoe verhoudt. Alleen zo kan getoetst worden of dat specifieke doel opname van bepaalde gegevens met zich mee kan brengen en wat het gebruik daarvan kan zijn.
Belang van de houder Bij de meeste registraties ligt het voor de hand het belang van de houder in de eerste plaats af te meten aan wat uit de onderliggende relatie tussen de houder en de geregistreerde voortvloeit. Voorbeelden van dergelijke relaties zijn die tussen koper en leverancier en tussen arts en patiënt. De gegevens die de geregistreerde van zijn kant beschikbaar stelt, worden verstrekt in het kader van die onderliggende relatie. Wanneer geen duidelijke relatie met de geregistreerde ten grondslag ligt aan de registratie dan zal een zodanig toetsbaar belang aanwijsbaar moeten zijn dat – bij een afweging tegen het belang van de geregistreerde bij de bescherming van zijn persoonlijke levenssfeer – de vastlegging gelegitimeerd is. In het bedrijfsleven worden wel waarschuwingssystemen aangelegd, soms ook “zwarte lijsten” genoemd, waarin gegevens worden opgenomen over wanbetalende klanten. Op dergelijke persoonsregistraties is artikel 13 Wpr van toepassing. Er is immers sprake van een stelselmatige en duurzame vastlegging van gegevens, gericht op verstrekking aan derden. Gezien het bijzondere karakter van een dergelijke persoonsregistratie zijn in artikel 13 Wpr de eisen waaraan moet worden voldaan in een aantal opzichten aangescherpt (zie ook hoofdstuk 5.5.1) Net als bij dergelijke waarschuwingssystemen kan onderlinge gegevensverstrekking besloten zijn in de aard van een als aparte registratie opgezet cliëntvolgsysteem. Een dergelijk systeem zal eveneens aan de criteria van artikel 13 Wpr moeten voldoen. Bij waarschuwingssystemen wordt het belang bij de aanleg bepaald door de gezamenlijke belangen van de deelnemers. Bij organisaties met (deels) uiteenlopende taken en doelstellingen kan er ook een gemeenschappelijk belang zijn. Een dergelijk gedeeld belang is de motor achter de samenwerking, net zoals in het bedrijfsleven zelfs concurrenten kunnen samenwerken om iets te bestrijden waar iedereen last van heeft, en dat alleen door gezamenlijk optreden kan worden aangepakt. Instellingen die actief zijn op het terrein van (jeugd)hulpverlening en de bestrijding van (jeugd)criminaliteit hebben naast het gezamelijk belang veelal andere, wellicht conflicterende, belangen of taken. Dat kan er toe leiden dat op voorhand al afspraken moeten worden gemaakt waardoor de deelnemers zich verplichten om de persoonsgegevens die zij verkrijgen in het kader van het cliëntvolgsysteem uitsluitend ten dienste van het gezamenlijke belang te gebruiken. Een vorm die daarvoor gekozen kan worden is het sluiten van een convenant waarin die afspraken worden vastgelegd en waarmee de deelnemers zichzelf binden.
Geschikt en evenredig Of de aanleg van het systeem een geschikt en evenredig middel is om het doel te bereiken wordt dus met name bepaald door de vraag of het voorgenomen gebruik de – gemeenschappelijke – doelstelling dient. Naarmate de gevolgen voor de geregistreerden ernstiger kunnen zijn, zal het belang van de deelnemer bij de aanleg van de registratie zwaarwegender moeten zijn en moeten meer waarborgen worden getroffen alvorens tot registratie kan worden overgegaan. ‘Evenredigheid’ kan zowel
< Registratiekamer 15
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
betrekking hebben op de aanleg zelf van een persoonsregistratie als op aard en omvang van de op te nemen gegevens. Het melden van politiecontacten van minderjarigen aan de Raad voor de Kinderbescherming kan een evenredig middel zijn om vroegtijdig de start van een criminele carrière te onderkennen. Dit betekent niet dat het toezenden van alle, en dan ook nog de volledige, processen-verbaal en alle mutaties evenredig is. Een cliëntvolgsysteem in de vorm van een verwijsindex zal slechts summiere gegevens bevatten over de cliënten van de deelnemende instellingen. Bij een dergelijke summiere registratie kunnen de opgenomen gegevens bestaan uit de enkele vermelding dat een cliënt contact heeft (gehad) met één van de deelnemers aan het systeem. Als de aanleg van een dergelijk systeem noodzakelijk is (subsidiariteitsvereiste) dan zal bij opname van slechts summiere gegevens in het algemeen al snel ook aan het vereiste van evenredigheid worden voldaan. Een dergelijk summier gegeven kan echter ook zeer veelzeggend zijn – afhankelijk van de aard van de instelling waarmee de cliënt contact heeft (gehad) -, en tegelijk zeer onbepaald, als over de aard van het contact niets wordt opgenomen. Juist die combinatie kan bijzonder privacy-bedreigend zijn. Een verwijs-index, of die nu een aparte persoonsregistratie is of de vorm heeft van een strikt beperkte verstrekking uit, of toegang tot, de eigen systemen van de deelnemers, dient met dezelfde waarborgen te zijn omgeven als cliëntvolgsystemen waarbij meer gegevens worden opgenomen of uitgewisseld. ‘Geschiktheid’ kan afhankelijk zijn van de vraag of ‘informatie’ ook kan worden omgezet in ‘actie’. Zijn de mogelijkheden en de capaciteit voorhanden om de via het systeem geconstateerde problematiek op de juiste manier aan te pakken? Is dat niet zo, dan kan het ’middel’ van het cliëntvolgsysteem voor de problematiek geen remedie bieden, en zal de informatie hooguit dienstig zijn om gewenste veranderingen in beleid te ondersteunen. Maar dan speelt weer de vraag van ‘evenredigheid’: rechtvaardigt de behoefte aan beleidsondersteunende informatie de aanleg van een databank waarin een grote hoeveelheid tot personen herleidbare informatie wordt opgenomen?
Is nog een minder vergaande oplossing mogelijk? Ook als het aanleggen van een persoonsregistratie – een cliëntvolgsysteem – een geschikt en evenredig middel is om het gestelde doel te bereiken, kan het zo zijn dat het niet het enige middel is. Andere methoden, die geen of minder registratie en/of uitwisseling van persoonsgegevens met zich meebrengen, dienen dan de voorkeur te krijgen. Instelling A kan gegevens over al haar cliënten ter beschikking stellen aan instellingen B en C om te beoordelen of bepaalde vormen van hulpverlening aangeboden moeten worden. Als het echter mogelijk is om in overleg criteria te ontwikkelen aan de hand waarvan instelling A zelf de noodzaak van verstrekking kan toetsen, kunnen veel selectiever, dus minder, persoonsgegevens worden verstrekt.
Waarborgen Bij het voorzien in waarborgen valt vooral te denken aan maatregelen die de transparantie en de kwaliteit van de gegevens, en de uitoefening door de geregistreerden van hun rechten kunnen bevorderen. Deze onderwerpen komen nog aan de orde.
< Registratiekamer 16
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Doelbinding bij CVS-JC en BEO Welke rol hebben deze vragen gespeeld in de aanloop van het CVS-JC en het project BEO? De deelnemers aan het CVS-JC, politie, Openbaar Ministerie en Raad voor de Kinderbescherming, hebben alle een taak in het kader van de strafrechtspleging met betrekking tot jeugdigen. Politie en Raad hebben daarnaast een hulpverlenende taak. Deze omvat met name signalering en doorverwijzing, en niet zozeer begeleiding. De vraag is of het doel van het CVS-JC, vroegtijdige onderkenning van delinquent gedrag en consequente afhandeling, naar hedendaagse inzichten te rekenen valt tot de taak van de deelnemende organisaties. De in het systeem op te nemen gegevens hebben betrekking op het opmaken van proces-verbaal, en de verdere afhandeling daarvan binnen de strafrechtsketen en op het instellen van een Raadsonderzoek, al dan niet gevolgd door het initiëren van een bepaald traject van hulpverlening. De op te nemen persoonsgegevens zijn zo beperkt tot die, welke direct aan het doel gerelateerd zijn. Maar is dit doel wel aanvaardbaar? De noodzaak voor de aanleg van het systeem, de geschiktheid en evenredigheid komen aan de orde in hoofdstuk 3 van de notitie Jeugdcriminaliteit (genoemd in hoofdstuk 3.2.1). Vroegtijdige herkenning en een consequente reactie lopen nogal eens mis, aldus de notitie, door het feit dat de betrokken organisaties niet beschikken over een informatiebron die inzicht geeft in de eventuele strafrechtelijke voorgeschiedenis van de jeugdige. Dat een cliëntvolgsysteem als oplossing voor dit probleem zowel geschikt, evenredig als noodzakelijk is lijkt bijna voorondersteld te worden. Vragen en afwegingen komen dan nauwelijks meer aan de orde: Is het opnemen (en uitwisselen) van gegevens over elk politiecontact van kinderen onder de leeftijd van 12 jaar (de ’12-minners’) wel een evenredig middel om delinquentie onder jeugdigen vroegtijdig te onderkennen als onduidelijk is of het wel om een substantieel aantal gevallen gaat? Biedt een optimaler gebruik van de registraties en registers van de verschillende actoren in de strafrechtketen – politie, Raad voor de Kinderbescherming en Openbaar Ministerie – een alternatief voor het CVS-JC en zo niet, waarom niet? Als de aanleg van het cliëntvolgsysteem eigenlijk bedoeld is om problemen op het punt van communicatie tussen deze organisaties te ondervangen, dan is het toch nog geen evenredig, laat staan noodzakelijk middel voor vroegtijdige onderkenning van delinquent gedrag van jeugdigen? Van gelijkgerichtheid van doelstellingen en belangen van de deelnemers is bij een project Bestrijding Extreme Overlast (BEO) veel minder sprake dan bij het CVS-JC. De GG en GD heeft uitsluitend hulpverlening als taak; de politie heeft een hulpverlenende taak naast de opsporing van strafbare feiten en de handhaving van de openbare orde; de verhuurder – als dit een woningbouwcorporatie is – heeft op basis van de Woningwet mede als doel het bij voorrang huisvesten van personen die door hun inkomen of andere omstandigheden moeilijkheden ondervinden bij het vinden van hun passende huisvesting. Gedeeltelijk is er dus sprake van met elkaar sporende doeleinden. De opsporingstaak van de politie en het doel van de woningbouwvereniging om het woningbezit commercieel verantwoord te exploiteren zijn echter van geheel andere aard. Basis voor het project is de erkenning dat er een problematiek is waarmee de betrokken organisatie elk vanuit haar eigen activiteiten wordt geconfronteerd, en die alleen in gezamenlijk optreden is aan te pakken. Vanuit die basis moet gezocht worden naar een projectdoel waarin doeleinden van de deelnemers echt samenvallen. Dat doel zal als het ware de gemene deler moeten zijn van de uiteenlopende taken en doelstellingen van de deelnemers, en juist niet het veelvoud van deze taken. In het projectplan van BEO en in het privacyreglement van dit project valt op dat het doel van registratie en de voorgenomen gegevensuitwisseling zo concreet mogelijk zijn omschreven.1 De noodzaak voor aanleg van de registratie, geschiktheid en evenredigheid en het gebrek aan alternatieven worden in het projectplan uitvoerig en vanuit de praktijk onderbouwd.
< Registratiekamer 17
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
5.1.2 Opname van gegevens: rechtmatigheid en doelbinding Niet alleen voor de aanleg van een persoonsregistratie vormt het doel een toetspunt, ook de vraag welke gegevens daarin mogen voorkomen moet in dat licht worden bezien. Artikel 5, eerste lid Wpr bepaalt: Een persoonsregistratie bevat slechts persoonsgegevens die rechtmatig zijn verkregen en in overeenstemming zijn met het doel waarvoor de registratie is aangelegd. De Wpolr bevat een soortgelijke bepaling met betrekking tot het politieregister. Bij verstrekking van gegevens door de geregistreerde zelf zal van onrechtmatigheid niet snel sprake zijn. Denkbaar is het wel, namelijk als het gebruik van een gegeven door zijn aard aan strakke regels is gebonden. Dat is bijvoorbeeld het geval bij persoonsnummers, zoals het sofi-nummer. Bij een cliëntvolgsysteem jeugdcriminaliteit zal de vrijwilligheid bij de verstrekking door de geregistreerde zelf vaak in mindere of meerdere mate ontbreken. Dit kan van invloed zijn op de rechtmatigheid van de verkrijging. Zo zou de vraag zich kunnen voordoen of bijvoorbeeld gegevens die zijn verkregen met toepassing van artikel 61a Sv (maatregelen ter identificatie) kunnen worden opgenomen. Bij een systeem gericht op uitwisseling van gegevens tussen de deelnemers, al dan niet middels een afzonderlijk data-bestand, zijn verkrijging en verstrekking van gegevens in veel gevallen onlosmakelijk aan elkaar verbonden. Voor rechtmatige verkrijging van gegevens zijn de voorschriften voor verstrekking dan van groot belang. Het ontbreken van een wettelijke grondslag voor verstrekking heeft immers een onrechtmatige verkrijging door de ontvanger tot gevolg. Doorverstrekking van deze gegevens is dus ook onrechtmatig. Is ten behoeve van de gegevensuitwisseling een zelfstandige registratie aangelegd dan dient niet alleen de verstrekking aan deze registratie maar ook de doorverstrekking aan andere deelnemers geoorloofd te zijn. Rechtstreekse raadpleging van elkaars systemen zal eveneens in overeenstemming moeten zijn met de wettelijke vereisten. Indien hieraan niet is voldaan is de verkrijging door de raadplegende deelnemers onrechtmatig. Een cliëntvolgsysteem dat zo is opgezet dat één of meer van de deelnemers informatie zou moeten verstrekken zonder dat voor die verstrekking een wettelijke basis bestaat of waar een geheimhoudingsplicht aan die verstrekking in de weg staat, komt daarmee onvermijdelijk in aanvaring met de bepalingen van de Wpr. Persoonsgegevens kunnen verder alleen in een persoonsregistratie worden opgenomen als zij in overeenstemming zijn met het doel daarvan. Als het gaat om een persoonsregistratie ten dienste van de (semi-)overheid, onderwijs of een instelling voor gezondheidszorg of maatschappelijke dienstverlening moeten de persoonsgegevens noodzakelijk zijn voor het doel daarvan. Evenredigheid en geschiktheid en – voor de laatst genoemde categorie – noodzaak zijn ook in dit verband kernbegrippen. Waar het gaat om ‘gevoelige’ gegevens zoals bedoeld in het Besluit Gevoelige Gegevens (BGG) moet daarnaast aan daar genoemde voorwaarden worden voldaan. In het algemeen gelden voor de verwerking van dergelijke gegevens verscherpte criteria voor opname in een registratie. Een systeem dat is opgezet met als achterliggend doel, de vroegtijdige herkenning en consequente afhandeling van delinquent gedrag van jeugdigen, zal dus alleen die persoonsgegevens mogen bevatten die voor dat doel noodzakelijk zijn. Noodzaakt dit doel bijvoorbeeld tot het opnemen van gegevens over weglopen, schoolverzuim, of over het feit dat een minderjarige zelf slachtoffer van bepaalde delicten is geweest? Het oorzakelijk verband tussen dergelijke feiten of gedragingen en de criminele carrière van jongeren zal dan wel aannemelijk moeten zijn.
< Registratiekamer 18
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
5.1.3 Gebruik van gegevens De doelstelling van een persoonsregistratie, ook van een cliëntvolgsysteem, heeft betekenis voor het gebruik van de gegevens binnen de organisatie. Verder is het doel medebepalend voor de mogelijkheid voor de deelnemers om kennis te nemen van de gegevens.
Gebruik binnen één organisatie Voor een volgsysteem binnen één organisatie is van belang of gegevens van cliënten, verkregen in het kader van zorg- of hulpverlening, gebruikt kunnen worden voor het ‘volgen’ van die cliënt. Artikel 6, eerste lid, Wpr bepaalt dat dit gebruik ‘verenigbaar’ moet zijn met het doel van de registratie. Zo kan binnen een school een leerlingvolgsysteem worden aangelegd dat het mogelijk maakt de prestaties van leerlingen gedurende langere perioden van hun school-loopbaan te meten. Een dergelijk doel ligt in het verlengde van het doel waarvoor gegevens over die prestaties worden vastgelegd en is in het algemeen als ‘verenigbaar gebruik’ te beschouwen. Bij een systeem dat slechts gericht is op uitwisseling van gegevens tussen de deelnemende instellingen zal het intern gebruik beperkt zijn. Een duidelijk voorbeeld daarvan is het CVS-JC dat met name een verwijs-functie zal hebben. In het geval dat de houder van het cliëntvolgsysteem de verkregen gegevens benut voor eigen activiteiten, zal dit gebruik eveneens verenigbaar moeten zijn met het doel van de registratie. Dit pleit er tegen dat het houderschap van een cliëntvolgsysteem komt te berusten bij een deelnemer met taken die sterk van het doel van het cliëntvolgsysteem afwijken. In de komende wetgeving ter implementatie van de Europese richtlijn zal het begrip ‘verenigbaar’ een sleutelbegrip worden. In de richtlijn is immers bepaald dat gegevens niet mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden waarvoor zij zijn verkregen (artikel 6 van de Europese richtlijn). Criteria als: verwantschap tussen de verschillende doeleinden waarvoor de gegevens worden gebruikt, de aard van de gegevens, de gevolgen van de beoogde verwerking voor betrokkene(n), de wijze van verkrijging en de mate waarin is voorzien in passende waarborgen zullen fungeren als meetpunten voor de vraag of sprake is van (on)verenigbaarheid.
Verstrekking aan derden Als een deelnemer aan een cliëntvolgsysteem kennis neemt van de gegevens die daarin zijn opgenomen, is dat in de zin van de Wpr een ‘verstrekking aan een derde’. Dat is ook het geval als deelnemers, al dan niet rechtstreeks, toegang hebben tot elkaars gegevens. De algemene regel voor het verstrekken van persoonsgegevens uit een persoonsregistratie aan derden wordt gegeven in artikel 11 Wpr: 1. Uit een persoonsregistratie worden slechts gegevens aan een derde verstrekt voor zover zulks voortvloeit uit het doel van de registratie, wordt vereist ingevolge een wettelijk voorschrift of geschiedt met toestemming van de geregistreerde. 2. Ten behoeve van wetenschappelijk onderzoek of statistiek dan wel op grond van een dringende en gewichtige reden, kunnen desgevraagd gegevens aan een derde worden verstrekt voor zover de persoonlijke levenssfeer van de geregistreerden daardoor niet onevenredig wordt geschaad. 3. De verstrekking van gegevens blijft achterwege voor zover uit hoofde van ambt, beroep of wettelijk voorschrift geheimhouding geboden is. 4. Indien de geregistreerde minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, of onder curatele is gesteld, is in plaats van de toestemming van de geregistreerde die van zijn wettelijke vertegenwoordiger vereist.
< Registratiekamer 19
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Voor registraties van (semi-)overheidsinstellingen, en van organisaties op het terrein van onderwijs, gezondheidszorg en maatschappelijke dienstverlening is verder een mogelijkheid tot verstrekking geschapen in artikel 18, derde lid Wpr: Uit deze persoonsregistraties kunnen desgevraagd gegevens worden verstrekt aan personen of instanties met een publiekrechtelijke taak, voor zover zij die gegevens behoeven voor de uitvoering van hun taak en de persoonlijke levenssfeer van de geregistreerden daardoor niet onevenredig wordt geschaad. Artikel 11, derde lid, is van overeenkomstige toepassing. De mogelijke verstrekkingen van persoonsgegevens uit politieregisters zijn aangegeven in de artikelen 15 tot en met 19 Wpolr of daarop gebaseerde regelgeving (het Besluit politieregisters, Bpolr). Rechtstreekse geautomatiseerde verstrekking van gegevens uit een politieregister wordt in de artikelen 14 Wpolr en 14 Bpolr beperkt tot, in grote lijnen, functionarissen binnen de politie of marechaussee. Voor zover het gaat om matching van persoonsgegevens bevat artikel 6 Wpolr bevat voorschriften, speciaal gericht op de koppeling van politieregisters. In de Wpr is ‘koppeling’ niet als zelfstandig begrip opgenomen. Wel dient een reglement of aanmeldingsformulier ‘verbanden met enige andere gegevensverzameling’ te vermelden. De toelaatbaarheid van de hieruit voortvloeiende gegevensverstrekking dient aan de hand van de criteria van artikel 11 en 18 Wpr beoordeeld te worden.
Wettelijke verplichting Dat een wettelijke verplichting om persoonsgegevens te verstrekken tegelijk de bevoegdheid daartoe geeft, is niet verbazingwekkend. Van belang is de invulling van het begrip wettelijk. Een dergelijke regeling moet voldoen aan de eisen van artikel 10, eerste lid, van de Grondwet en artikel 8 van het Europees verdrag voor de rechten van de mens en de fundamentele vrijheden (EVRM). Een verplichting tot gegevensverstrekking die het recht op eerbiediging van de persoonlijke levenssfeer beperkt, is daarom slechts mogelijk bij of krachtens een wet in formele zin en met inachtneming van de materiële criteria die het EVRM stelt.2 Zo zal het voorschrift voldoende nauwkeurig moeten zijn en adequate en effectieve waarborgen moeten bevatten tegen ongeoorloofde inbreuken. Dit betekent onder andere dat de beperking moet worden gerechtvaardigd door een “pressing social need” en in overeenstemming moet zijn met de beginselen van proportionaliteit (de beperking mag niet onevenredig zijn in verhouding tot het nagestreefde doel) en subsidiariteit (het nagestreefde doel moet niet op een voor de burger minder ingrijpende wijze kunnen worden bereikt). Het proportionaliteitsvereiste houdt in dat naarmate de inbreuk op de privacy groter is (bijvoorbeeld omdat het gaat om gevoelige gegevens of omdat er tussen de taken van het verstrekkende en ontvangende orgaan slechts een verwijderd verband bestaat), het belang van de gegevensverstrekking concreter zal moeten worden aangetoond. Het subsidiariteitsvereiste houdt in dat ook in concreto duidelijk moet zijn dat andere, minder in de persoonlijke levenssfeer van de burger ingrijpende maatregelen redelijkerwijs niet mogelijk of onvoldoende doeltreffend zouden zijn.
Toestemming van geregistreerde De eisen die aan ’toestemming’ als grond voor verstrekking van gegevens conform artikel 11, eerste lid Wpr moeten worden gesteld, zijn geformuleerd in artikel 12. Deze toestemming dient schriftelijk te worden gegeven door de geregistreerde of diens wettelijke vertegenwoordiger. Zij kan steeds schriftelijk worden ingetrokken. De toestemming moet in vrijheid zijn gegeven en kan maar op één geval, of een beperkte categorie van gevallen, betrekking hebben. Onvrijwilligheid reeds bij de opname van gegevens (jeugdcriminaliteit) en afhankelijkheid in relatie tot de deelnemende instelling (hulp- of zorgverlening) vormen factoren die het ‘in vrijheid’ geven
< Registratiekamer 20
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
van toestemming onder druk zetten. Hoe ‘vrij’ is immers die toestemming, als het alternatief is dat men uit zijn huis wordt gezet? Onbekendheid met de aard en omvang van de gegevensverstrekkingen die mogelijk zullen gaan plaatsvinden kan er aan in de weg staan, dat aan het vereiste van ‘gerichte’ toestemming wordt voldaan. Duidelijkheid over de te verwachten gegevensverstrekkingen is in dat verband essentieel. De toestemming bedoeld in de artikelen 11 en 12 Wpr is qua inhoud en functie verschillend van de toestemming die de geheimhoudingsplicht van bijvoorbeeld de arts ter zijde kan stellen. Daarvoor is nodig dat het gaat om ‘informed consent’, dat wil zeggen overwogen toestemming die tot stand gekomen is op basis van verstrekte informatie. Deze toestemming is vormvrij.
Doelverstrekking Bij een verstrekking die “voortvloeit uit het doel van de registratie” is vereist dat het doel van deze registratie meebrengt dat de betrokken verstrekking aan de derde geschiedt. De aard van het doel en de betekenis daarvan in het maatschappelijk verkeer zal hierbij mede in aanmerking moeten worden genomen. De deelnemers aan een cliëntvolgsysteem leggen hun persoonsregistraties primair aan om te kunnen beschikken over de gegevens die nodig zijn in het contact met de cliënt. Afspraken tussen de houder van een cliëntvolgsysteem en een deelnemer, of tussen de deelnemers onderling, leveren op zich niet een doel dat legitimeert om gegevens over een cliënt te verstrekken aan een andere instelling. De cliënt staat immers buiten die afspraken. Er kunnen echter zwaarwegende belangen zijn, gelegen in de doelstelling, die met zich brengen dat de uitwisseling (verstrekking) van gegevens in het kader van een dergelijk systeem voortvloeit uit het doel van de registratie. Veelal ligt verstrekking van gegevens al dan niet impliciet vast in het doel van een ‘zelfstandig’ cliëntvolgsysteem besloten. Daarbij kan een parallel getrokken worden met waarschuwings- of signaleringssystemen in bepaalde bedrijfstakken. Daar zijn de ‘zwaarwegende belangen’ voor de aanleg te vinden in het belang van de branche of bedrijfstak.3 In het geval van cliëntvolgsystemen kunnen dergelijke zwaarwegende belangen gelegen zijn in door de deelnemers geformuleerde zwaarwegende belangen van de cliënt en/of in algemene maatschappelijke belangen zoals de bestrijding van overlast of criminaliteit. Het is ook mogelijk dat op basis van onderlinge afspraken aan een cliënt een hulpaanbod wordt gedaan, waarvan de uitwisseling van gegevens een essentieel bestanddeel vormt. Bij acceptatie van het aanbod door de cliënt kan de gegevensuitwisseling die daarvan het gevolg is als ‘voortvloeiend uit het doel van de registratie’ worden gezien. Verstrekt een instelling rechtstreeks gegevens over een cliënt aan een andere instelling dan kan de vraag zich voordoen of sprake is van een verstrekking die geoorloofd is omdat die voortvloeit uit het doel van de registratie. Diezelfde vraag, maar dan tweeledig, speelt bij verstrekking aan een cliëntvolgsysteem in de vorm van een zelfstandig gegevensbestand, bedoeld om gegevens verder te verstrekken. Zowel de verstrekking aan het cliëntvolgsysteem zelf als de verstrekking aan andere deelnemers, het uiteindelijk resultaat, moet geoorloofd zijn. De vraag dient te worden beantwoord vanuit de relatie die tussen de cliënt en de betrokken deelnemers aan het systeem bestaat. Hierbij spelen de aard van deze relatie een rol en hetgeen redelijkerwijs door de betrokken cliënt kan worden verwacht t.a.v. het gebruik van hem betreffende gegevens. Door de verkrijgende instelling dient de nodige aandacht te worden besteed aan het interne gebruik van de verkregen gegevens. Die verkrijging stond immers in het teken van een bepaald doel en daarom nam de instelling deel aan het cliëntvolgsysteem. Als diezelfde gegevens worden gebruikt ten behoeve van andere taken of doeleinden, is het de vraag of dat gebruik te zien is als ‘verenigbaar’ in de zin van artikel 6 Wpr. (Zie hiervoor over gebruik binnen één organisatie). Onverenigbaarheid kan allereerst voortvloeien uit de aard van de verschillende doeleinden.
< Registratiekamer 21
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Echter, ook het feit dat gebruik van bepaalde persoonsgegevens voor een nevendoel zou leiden tot verspreiding van die gegevens buiten de kring van deelnemers aan het cliëntvolgsysteem kan tot onverenigbaarheid (van dat gebruik) met het doel van verkrijging leiden. Als de Raad voor de Kinderbescherming ouders naar een RIAGG verwijst voor begeleiding bij een omgangsregeling behoort geen uitdraai uit het CVS-JC te worden meegezonden. Daaraan staat overigens ook in de weg dat artikel 30 Wpolr geheimhouding oplegt aan degenen die gegevens verstrekt hebben gekregen uit politieregisters. (zie blz. 35).
Verstrekking tussen ‘publieke’ registraties In aanvulling op de algemene regeling van artikel 11 Wpr geeft artikel 18, derde lid, Wpr voor de publieke en semi-publieke sector een bijzondere regeling voor het verstrekken van gegevens aan personen of instanties met een publiekrechtelijke taak. Uit registraties die onder hoofdstuk 5 van de Wpr vallen, kunnen desgevraagd persoonsgegevens worden verstrekt aan personen of instanties met een publiekrechtelijke taak. Er moet dan wel aan een aantal voorwaarden zijn voldaan: – De verstrekking vindt ‘desgevraagd’ plaats, dus niet op initiatief van de verstrekkende houder. – De verstrekking kan slechts plaatsvinden ‘voor zover’ de ontvanger de gegevens ‘behoeft voor de uitoefening van zijn taak’. – De verstrekking mag de persoonlijke levenssfeer van de geregistreerde niet onevenredig schaden. Blijkens de wetsgeschiedenis dient bij de in artikel 18, derde lid, Wpr bedoelde belangenafweging te worden gelet op de aard van de betrokken taken en de wijze waarop deze zich tot elkaar verhouden, de aard van de betrokken gegevens en de wijze waarop deze zijn verkregen en ten slotte op de vraag in hoeverre andere mogelijkheden aanwezig zijn om in de informatiebehoefte van de vragende instantie te voorzien.4 Uit deze voorwaarden valt af te leiden dat dit artikel in beginsel bedoeld is als grond voor meer incidentele verstrekkingen van persoonsgegevens. Als een cliëntvolgsysteem gebruik maakt van on-line bevragingen van een aparte data-base of van systemen van de deelnemers, zou de situatie kunnen ontstaan dat gegevens, direct of indirect afkomstig uit dergelijke registraties, worden verstrekt zonder dat kan worden getoetst of de bevrager/ontvanger die nodig heeft voor de uitvoering van zijn taak en zonder dat het belang van bescherming van de persoonlijke levenssfeer van geregistreerde kan worden meegewogen. Voor een dergelijke structurele verstrekking is dit artikel dus een te smalle basis. Het is mogelijk om de bevrager uitsluitend voor toegang tot bepaalde gegevens te autoriseren. Op die manier kan het systeem zeker stellen dat de bevrager/ontvanger van persoonsgegevens alleen die gegevens kan verkrijgen die nodig zijn voor de uitvoering van zijn taak en waarvan de verstrekking geen onevenredige inbreuk op de privacy van de geregistreerde vormt. Een andere mogelijkheid is, om de in het systeem opgenomen persoonsgegevens strikt te beperken tot die, welke aan deze criteria voldoen. Dat kan bijvoorbeeld betekenen dat het ’systeem’ slechts de functie heeft van een verwijsindex. Verdere informatie kan alleen worden verkregen via contact met een medewerker van een deelnemende instelling, die dan kan beoordelen of de gevraagde informatie aan de criteria voldoet.
5.2
Beperkende bepalingen Ook wanneer als basis voor een gegevensverstrekking één van de gronden van artikel 11, eerste lid Wpr of de grond van artikel 18, derde lid Wpr is aan te wijzen kan de beperking die is neergelegd in artikel 11, derde lid Wpr met zich mee brengen dat die verstrekking niet geoorloofd is. In artikel 11, derde lid Wpr is aangegeven dat een verplichting tot geheimhouding, verbonden aan bepaalde ambten en beroepen, of bij wettelijke bepaling opgelegd, met zich meebrengt dat verstrekking van gegevens achterwege blijft.5
< Registratiekamer 22
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
5.2.1 Het beroepsgeheim Het beroepsgeheim als zodanig is ouder dan de Wpr. Van oudsher wordt de vertrouwelijkheid van de contacten tussen de beoefenaars van bepaalde beroepen en hun cliënten beschermd door een geheimhoudings- of zwijgplicht. De geheimhoudingsplicht van de arts is het meest bekend. De informatie die een geneeskundige verzamelt in de uitoefening van zijn beroep of ambt valt onder het beroepsgeheim. Behalve het beroepsgeheim van de arts is in dit verband ook die van de maatschappelijk werker relevant. Het beroepsgeheim kent zowel een aspect van algemeen als van individueel belang. Een ieder moet zich zonder angst en reserve tot bepaalde hulpverleners of vertrouwenspersonen kunnen wenden. Men moet er op kunnen rekenen dat hetgeen dezen te weten komen geheim blijft (algemeen belangaspect). Daarnaast is de hulpverlener jegens de hulpzoekende patiënt/cliënt gehouden de hem of haar toevertrouwde gegevens niet te openbaren. Deze plicht dient tot bescherming van het recht op respect voor het privé-leven van de patiënt/cliënt. Het gaat immers om zeer persoonlijke gegevens (individueel belang-aspect). De plicht tot geheimhouding strekt zich uit tot al datgene wat de hulpverlener bij de uitoefening van zijn beroep als geheim is toevertrouwd, wat daarbij als geheim te zijner kennis is gekomen of wat daarbij te zijner kennis is gekomen en waarvan hij het vertrouwelijk karakter moet begrijpen. Hieronder moet al datgene worden begrepen dat de hulpverlener ter kennis komt vanwege het feit dat hij in een beroepsmatige relatie staat of heeft gestaan met de patiënt/cliënt, zoals de gegevens die blijken bij het opnemen van de anamnese, de diagnose of de therapie. De sanctie op het niet voorkomen van de geheimhoudingsverplichting is opgenomen in artikel 272 van het Wetboek van Strafrecht. De geheimhoudingsplicht op het terrein van de gezondheidszorg is in verschillende wettelijke bepalingen neergelegd. Bijvoorbeeld in het kader van de overeenkomst inzake geneeskundige behandeling in artikel 7: 457, eerste en tweede lid, BW (WGBO; Stb. 1994, 838).6 In een aantal wettelijke regelingen zijn bijzondere verplichtingen tot geheimhouding opgenomen zoals in artikel 43 van de WJHV. In het eerste lid is een geheimhoudingsplicht neergelegd, inhoudend dat aan anderen dan de jeugdige, behoudens met zijn of haar toestemming, geen inlichtingen worden verstrekt over de jeugdige. Die geheimhoudingsplicht geldt niet, zo bepaalt het tweede lid, tegenover degenen van wie beroepshalve de medewerking bij de hulpverlening noodzakelijk is en degene die is betrokken bij de uitvoering of voorbereiding van een maatregel van kinderbescherming. In het derde lid wordt verder een uitzondering gemaakt voor de wettelijke vertegenwoordiger(s), zij het alleen – als de jeugdige nog geen zestien jaar oud is, dan wel – als de jeugdige zestien jaar oud is maar niet in staat te achten tot een redelijke waardering van zijn belangen. Persoonsgegevens, opgenomen in een persoonsregistratie, die vallen onder een beroepsgeheim of een wettelijke plicht tot geheimhouding zullen in beginsel niet zonder toestemming van de betreffende geregistreerde aan derden kunnen worden verstrekt. Het beroepsgeheim is evenwel niet absoluut. Er zijn situaties dat de zwijgplicht van de hulpverlener wordt opgeheven of beperkt. Daarbij valt in de eerste plaats te denken aan de toestemming van de cliënt of een wettelijk voorschrift dat tot spreken verplicht. Daarnaast kan de zwijgplicht worden doorbroken doordat andere fundamentele rechten of hoogwaardige belangen zwaarder wegen dan het maatschappelijk
< Registratiekamer 23
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
belang van de hulpverlening door een instelling en het individuele belang van de cliënt. Zo’n ‘conflict van belangen’ kan doorbreking van de zwijgplicht rechtvaardigen. Hierbij gaat het om vragen als: – worden gegevens gevraagd of spontaan verstrekt? – om wat voor gegevens gaat het? – welke belangen, eventueel ook van de geregistreerde, worden met de verstrekking gediend? – is de verstrekking noodzakelijk en zo ja, van welke gegevens? – is geprobeerd om toestemming van de geregistreerde te verkrijgen? Het zal duidelijk zijn dat hierbij een afweging in het concrete geval wordt gemaakt en dat dit geen basis kan zijn voor een structurele verstrekking van gegevens door de hulpverlener. Een situatie waarin met veronderstelde toestemming van de patiënt of cliënt gegevens uitgewisseld kunnen worden is die, waarin anderen dan de hulpverlener rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst of optreden als vervanger. De constructie zoals is neergelegd in het tweede lid van artikel 43 WJHV vertoont daarmee overeenkomsten. Welke consequenties heeft het beroepsgeheim voor de gegevensverstrekking die verbonden is aan een cliëntvolgsysteem? Samenwerkende instellingen kunnen een patiënt of cliënt een geintegreerd hulpaanbod doen. Als deze het aanbod of hulpverleningsplan accepteert, kan de gegevensverstrekking die daarmee duidelijk verband houdt gezien worden als plaatsvindend binnen de uitvoering van behandeling of hulpverlening. De cliënt dient dan wel geinformeerd te zijn over het feit van, de aard en de omvang van de gegevensverstrekking als onderdeel van het hulpaanbod. Ook mag niet elke betrokken hulpverlener dan ook maar beschikken over alle persoonsgegevens van de cliënt. De gespecialiseerde thuiszorg bijvoorbeeld, heeft voor een goede hulpverlening wel gegevens nodig maar niet het volledige psychiatrisch dossier van de cliënt. Als bij de uitwisseling van gegevens gebruik wordt gemaakt van informatietechnologie, bijvoorbeeld een Elektronisch Patiëntendossier, dan kan dit onderscheid worden ingebouwd in het systeem. Zo wordt op technische wijze gegarandeerd dat niet meer gegevens worden uitgewisseld dan vereist is voor de taakuitoefening van de desbetreffende deelnemer aan het cliëntvolgsysteem.
5.2.2 Gesloten regime van verstrekkingen De Wet politieregisters kent in de artikelen 14 tot en met 16 en 18 een geheel eigen regime van verstrekkingen een zogenaamd gesloten verstrekkingenregime.7 Dit houdt in dat bij of krachtens deze wet aangegeven wordt aan wie in welke gevallen bepaalde gegevens verstrekt moeten of mogen worden. Bij de in politieregisters opgenomen gegevens gaat het meestal om gegevens die de geregistreerde niet vrijwillig heeft geleverd of die niet van hem zelf afkomstig zijn. Verder zijn het meestal nogal gevoelige gegevens. Omdat de in een politieregister opgenomen persoonsgegevens niet alleen ter beschikking van het eigen korps maar van de gehele politie staan, werd het nodig geacht bij of krachtens de Wet politieregisters nauwkeurig het verstrekkingenregime vast te leggen. De meeste uitvoeringsbepalingen zijn opgenomen in het Besluit politieregisters (Bpolr). Zo creëert artikel 10 Bpolr de mogelijkheid tot verstrekking van antecedenten8 aan ambtenaren van de Raad voor de Kinderbescherming. In artikel 14, lid 1 sub e Bpolr is bepaald dat gegevens uit een politieregister kunnen worden verstrekt aan personen werkzaam bij het bureau vertrouwensartsen, voor zover zij die behoeven voor een goede uitvoering van hun taak. Artikel 14 Bpolr lid 1 sub s9 creëert de mogelijkheid van verstrekking van gegevens die uitsluitend zijn vastgelegd met het oog op de hulpverlenende taak van de politie aan de Raad voor de Kinderbescherming ten behoeve van
< Registratiekamer 24
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
bepaalde taken. Rechtstreekse geautomatiseerde verstrekking uit politieregisters kan alleen worden verleend aan bepaalde daartoe geautoriseerde personen die deel uitmaken van de reguliere politie of van de Koninklijke marechaussee.10 De bepalingen van wet en besluit zijn van dwingend recht. Het gaat immers om publiekrecht met een waarborgend karakter. In een lagere regeling kan dan ook niet van de bepalingen en waarborgen van de wet of het besluit worden afgeweken. Als sluitstuk van het gesloten verstrekkingenregime is in artikel 3011 van de wet een bijzondere geheimhoudingsbepaling opgenomen. Deze betekent dat wanneer aan een persoon of instantie een gegeven uit een politieregister is verstrekt, deze dit gegeven in beginsel geheim dient te houden. Op basis van artikel 30 Wpolr zal verstrekking enkel kunnen plaatsvinden indien dit ter uitvoering van de politietaak als bedoeld in artikel 2 Politiewet 1993 noodzakelijk is. Dit betekent, dat het belang van de verstrekking dus (primair) een politiebelang moet zijn, en dat het belang van degene die het verzoek tot verstrekking doet geen voldoende grond voor een verstrekking op kan leveren. De invulling van het begrip ‘politietaak’ is onderhevig aan veranderingen in de rol die de politie, al dan niet in samenwerking met anderen, vervult in het maatschappelijk leven. De vraag of het politiebelang noodzaakt tot gegevensverstrekking, zal van geval tot geval dienen te worden afgewogen. Artikel 30 is bedoeld voor verstrekkingen in bijzondere gevallen, maar niet als basis voor systematische informatieuitwisseling en informatiestromen. Wel is onder omstandigheden verstrekking in zich herhaaldelijk voordoende en met elkaar vergelijkbare gevallen toegestaan. Het moet daarbij gaan om verstrekkingen die in individuele gevallen op grond van artikel 30 toelaatbaar zouden zijn, maar waarbij de omstandigheden die tot de verstrekking leiden zich (tijdelijk) niet of nauwelijks lenen voor een regeling in wet of besluit. Een en ander zo dat gelijke gevallen ook gelijk behandeld worden. Daartoe zullen ten minste de gevallen waarin verstrekking plaats kan vinden voldoende nauwkeurig omschreven moeten worden.
5.3
Bewaartermijnen In de Wpr en de Wpolr zijn niet, zoals bijvoorbeeld in de WGBO en de BOPZ wel het geval is, concrete termijnen voor het bewaren van (categorieën van) persoonsgegevens opgenomen. Daar waar bijzondere wetgeving specifieke termijnen voor het bewaren van persoonsgegevens stelt, gaan deze voor op de algemene, open norm. Bij de toepassing van die algemene norm vormt de doelbinding het toetspunt. Artikel 5, lid 1 Wpr vereist dat de gegevens in een registratie in overeenstemming zijn met het doel daarvan. Voor de (semi)publieke sector geldt dat het (verder) bewaren van gegevens noodzakelijk moet zijn voor het doel (artikel 18, lid 2 Wpr). Dit betekent dat gegevens ook niet langer mogen worden bewaard dan nodig is voor dat doel. Artikel 20 sub d Wpr schrijft voor dat het reglement van een reglementsplichtige registratie een beschrijving moet bevatten van ‘de gevallen waarin de opgenomen gegevens worden verwijderd’. In het aanmeldingsformulier voor de ‘particuliere’ sector is eveneens een vraag hierover opgenomen, terwijl in het privacyreglement van een politieregister naast verwijdering ook vernietiging moet worden geregeld. Via de algemene norm en de aanmeldings- of reglementsplicht is de houder van een registratie er dus toe gehouden om het algemene criterium dat voor die registratie van toepassing is te vertalen in concrete regels voor het verwijderen, eventueel vernietigen, van (categorieën van) daarin opgenomen persoonsgegevens. Daarbij kunnen verplichtingen een rol spelen die in andere wetgeving zijn opgenomen. Overigens zal ook hier een afweging van de betrokken belangen moeten worden gemaakt. Concreet betekent dit dat het bewaren na het meerderjarig worden van de geregistreerde van diens gegevens niet meer past in het doel van het CVS-JC. Maar al eerder dient onder ogen te worden gezien of en in welke gevallen deze ‘jeugdzonden’ bewaard moeten blijven tot de betrokkene volwassen is geworden. Dat
< Registratiekamer 25
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
geldt nog sterker als ook gegevens over 12-minners in het systeem worden opgenomen. Wat bijvoorbeeld te denken van de situatie dat de Raad voor de Kinderbescherming via het CVS-JC kennis zou kunnen nemen van strafbare feiten die meer dan vijf jaar geleden zijn gepleegd, terwijl voor eigen rapportage het uitgangspunt geldt dat deze na vijf jaar in beginsel niet meer wordt gebruikt? Voor zover het gaat om persoonsgegevens van minderjarigen kan verwijdering of vernietiging extra gecompliceerd zijn. Zolang zij nog geen 16 jaar zijn, hebben zij immers nog niet de mogelijkheid gehad om zelfstandig om inzage te verzoeken (zie verder onderdeel 5.4).
5.4
Rechten van geregistreerden Hoe men de effectiviteit van een dergelijk systeem ook beoordeelt. Kennis over opname in een registratie, mogelijkheid tot inzage van de gegevens en tot correctie van onjuiste gegevens zijn basisvoorwaarden voor een geregistreerde om zicht te kunnen houden op de gegevens die over hem zijn opgenomen en worden verspreid en op de beslissingen die eventueel op basis daarvan worden genomen. Het feit dat in een cliëntvolgsysteem (een deel van) de gegevensstromen zich aan de controle van de geregistreerde onttrekt, accentueert het belang van die rechten nog.
Transparantie Het inzichtelijk maken van de werking van een persoonsregistratie is één van de functies van de verplichting tot aanmelding of reglementering die krachtens artikel 19 Wpr, dan wel 24 Wpr op de houder van een persoonsregistratie rust. Artikel 28 Wpr schrijft voor dat in beginsel binnen vier weken na opname van gegevens in een registratie daarover aan de geregistreerde mededeling moet worden gedaan, met vermelding van naam, adres en woonplaats van de houder en een aanduiding van het doel van de registratie. Omdat zowel bij opname van gegevens als bij interne en externe verstrekking van gegevens het doel een toetspunt is, biedt dit laatste de geregistreerde enig inzicht in de aard van de gegevens die zijn opgenomen en het gebruik dat daarvan kan worden gemaakt. Via de houder is meer informatie (inzage in aanmeldingsformulier of reglement, overzicht van opgenomen gegevens, informatie over derdenverstrekkingen) te verkrijgen. De mededeling over opname in de registratie kan onder bepaalde voorwaarden achterwege gelaten worden: als betrokkene weet, of redelijkerwijs kan weten dat hij in de registratie is opgenomen, als een gewichtig belang van hem zich tegen het doen van die mededeling verzet, of als een van de weigeringsgronden van artikel 30 Wpr dit noodzakelijk maakt. Ook de Europese richtlijn schrijft voor dat de betrokkene over de verwerking van hem betreffende gegevens wordt geinformeerd. De richtlijn maakt onderscheid naar gelang de betreffende gegevens al dan niet zijn verkregen bij de betrokkene zelf. Deze voorschriften zijn strakker dan de Wpr. De mededeling kan slechts achterwege worden gelaten als betrokkene ‘op de hoogte is‘ (onder de Wpr: als hij ‘redelijkerwijze kan weten’ van de opname). Met andere woorden: de verantwoordelijke voor een verwerking zal zich er van moeten vergewissen dat bepaalde informatie is verstrekt.
< Registratiekamer 26
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Artikel 10: ‘De Lid-staten bepalen dat de voor verwerking verantwoordelijke of diens vertegenwoordiger aan degene bij wie hem betreffende gegevens worden verkregen,tenminste de hierna volgende informatie moet verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is: a) de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger, b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, c) verdere informatie zoals – de ontvangers of de categorieën ontvangers van de gegevens; – of men al dan niet verplicht is om te antwoorden en de eventuele gevolgen van niet-beantwoording, – het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens, voor zover die, met inachtneming van de specifieke omstandigheden waaronder de gegevens verkregen worden, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.’
Artikel 11:
a) b) c)
2.
‘De lidstaten bepalen dat, wanneer de gegevens niet bij de betrokkenen zijn verkregen, de voor de verwerking verantwoordelijke of diens vertegenwoordiger, op het moment van registratie van de gegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het moment van de eerste verstrekking van de gegevens tenminste de volgende informatie moet verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is: de identiteit van de voor de verwerking verantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger, de doeleinden van de verwerking, alle verdere informatie zoals – de betrokken gegevenscategorieën; – de ontvangers of de categorieën ontvangers; – het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens, voor zover die, met inachtneming van de specifieke omstandigheden waaronder de gegevens verzameld worden, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. Het bepaalde in lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, verstrekking van informatie onmogelijk blijkt of onevenredig veel moeite kost of indien de registratie of verstrekking bij wet is voorgeschreven. In deze gevallen zorgen de Lid-staten voor passende waarborgen.’
Eerder is al opgemerkt dat een belangrijke functie van een cliëntvolgsysteem is, dat informatie beschikbaar is zonder dat daarvoor steeds een beroep gedaan behoeft te worden op de cliënt. Een volgsysteem in de vorm van een aparte data-base zal persoonsgegevens bevatten die niet van de geregistreerde/betrokkene zelf afkomstig zijn. Deelnemers kunnen beschikken over gegevens die deels van geregistreerden, deels uit het systeem afkomstig zijn. Ook als sprake is van een rechtstreekse uitwisseling tussen deelnemers, zullen de deelnemers hun gegevens deels van anderen verkregen hebben. De geregisteerde kan daardoor moeilijk zicht houden op de gegevens die over hem zijn opgenomen en het gebruik daarvan. Het voldoen aan de reglementerings- of aanmeldingsplicht, een actieve opstelling bij het informeren van de geregistreerden hierover en een ruimhartige interpretatie van artikel 28 Wpr kunnen er toe bijdragen dit nadeel te ondervangen. Openheid biedt geregistreerde de mogelijkheid om te reageren als hij het met opgenomen informatie niet eens is. Die openheid zou betrekking moeten hebben op: – diens opname in het systeem; – de aard van de opgenomen gegevens; – gebruikers; – herkomst van de gegevens; – werking van het systeem; – wie verantwoordelijk is voor het systeem.
< Registratiekamer 27
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Juist bij een cliëntvolgsysteem is het zaak om de geregistreerde op het punt van openheid uitgebreide waarborgen te bieden. Beperking van de mededelingsplicht tot uitsluitend de eerste opname biedt daarvoor een te smalle basis. Herhaling van de informatie bij eerste contacten met andere deelnemers is daarom aangewezen. Dit biedt voorts een goede mogelijkheid om veranderingen/ fouten te constateren en kan zo ook de kwaliteit ten goede komen.
Recht op inzage, correctie en informatie over verstrekkingen In de Wpr is aan geregistreerden een aantal rechten toegekend om hen zelf de middelen in handen te geven om effectief hun persoonlijke levenssfeer te beschermen. Een geregistreerde heeft recht op kennisneming van de hem betreffende gegevens en van inlichtingen over de herkomst daarvan, op correctie van onjuiste, onvolledige of niet ter zake doende gegevens, en op informatie over de verstrekking aan derden van hem betreffende gegevens. De houder van een persoonsregistratie dient de nodige voorzieningen te treffen om de uitoefening door geregistreerden van hun rechten mogelijk is maken. De complexe structuur van een cliëntvolgsysteem, waarbij allerlei gegevensverstrekkingen plaatsvinden en, afhankelijk van de gekozen vorm, sprake kan zijn van meerdere houders, geeft aanleiding tot extra aandachtspunten. De geregistreerde zal voldoende gelegenheid moeten krijgen om, desgewenst, inzage of afschrift van de over hem opgenomen gegevens te verkrijgen. Het belang en de positie van de geregistreerde (cliënt) dient daarbij eerder maatgevend te zijn dan de vorm die voor juridische kwesties zoals het houderschap is gekozen. Een goede regeling voor de behandeling van verzoeken om verwijdering of correctie is ook van groot belang. De instelling die inzage verleent zal immers niet steeds de instelling zijn die de als onjuist betitelde gegevens in het systeem heeft ingevoerd. De herkomst van de gegevens zal daarom steeds duidelijk moeten zijn. Waar de opzet van het systeem zo is, dat het geregistreerden onvoldoende duidelijkheid biedt over de vraag tot wie een verzoek gericht dient te worden, is het gewenst als de deelnemende instellingen zich verplichten verzoeken om correctie door te zenden naar degene die de betreffende gegevens in eerste instantie heeft vastgelegd.
5.5
Kwaliteit 5.5.1 Algemeen Het tweede lid van artikel 5 Wpr legt aan de houder van een persoonsregistratie een zorgplicht op met betrekking tot de juistheid en volledigheid van de persoonsgegevens in die registratie. Deze zorgplicht loopt deels samen met de verplichting tot beveiliging die ook op de houder rust op grond van artikel 8 Wpr. Op grond daarvan dient hij te waken tegen verlies en aantasting van de gegevens. De verplichting van artikel 5 gaat echter verder. De houder dient activiteiten te ontplooien gericht op kwaliteit en integriteit van de opgenomen gegevens. Daar waar de doelstelling van een registratie gericht is op het ‘bedrijfsmatig’ verzamelen en verstrekken van persoonsgegevens zonder toestemming van betrokkenen is, in artikel 13 Wpr, de zorgplicht zelfs nog verder aangescherpt. De houder van zo’n registratie dient de op te nemen gegevens te onderzoeken op juistheid, maar hoeft niet in te staan voor de juistheid.*12* Onder omstandigheden kunnen op dit punt ook werkafspraken met derden aanvaardbaar zijn.*13* Voor het creëren van die zwaardere zorgplicht is een aantal redenen aan te geven. Zo worden persoonsgegevens opgenomen zonder toestemming van geregistreerden, en zijn de algemene normen voor gegevensverstrekking bij dergelijke registraties
< Registratiekamer 28
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
niet goed bruikbaar omdat het doel nu juist op de verstrekking van gegevens is gericht. Ook kunnen aan de verstrekking van gegevens voor de geregistreerde ingrijpende gevolgen verbonden zijn. Het voorgaande is soms ook van toepassing op cliëntvolgsystemen, als deze in de vorm van een zelfstandige persoonsregistratie zijn opgezet. Waar het ingrijpende karakter van zo’n systeem met zich meebrengt dat extra waarborgen voor de geregistreerde dienen te worden gecreëerd, dient dan ook te worden uitgegaan van de aangescherpte zorgplicht die is verwoord in artikel 13 Wpr. Om inhoud te geven aan deze zorgplicht voor juistheid en volledigheid, voor kwaliteit en integriteit, is een continue onderhoud van het ’systeem’, en van de gegevens die daarin omgaan, noodzakelijk. Hoe complexer de aard van de gegevens, en hoe groter het aantal aanleveraars van gegevens, hoe moeilijker het proces van het onderhoud aan te sturen is. Juist bij cliëntvolgsystemen is investeren in het onderhoud van het grootste belang, niet alleen voor de geregistreerde maar ook voor de deelnemende instellingen. Voor de geregistreerde omdat de gegevens die over hem zijn opgenomen van invloed kunnen zijn op beslissingen die ten aanzien van hem zullen worden genomen. Voor de deelnemers omdat zij voor het uit te zetten beleid, zowel in algemene zin als in het individuele geval, moeten kunnen vertrouwen op door het systeem geleverde informatie.
5.5.2 Het onderzoek op juistheid De uitdrukking: ‘garbage in ‘arbage out’ is bij iedereen die met informatiesystemen werkt inmiddels wel bekend. De eerste slag in het proces om te komen tot out-put van niet-vervuilde informatie is dan ook gewonnen als juiste informatie wordt ingevoerd. ‘Juist’ dient hier niet alleen als ‘feitelijk juist’ te worden gelezen maar ook als ‘juist in relatie tot het doel van opname’. Dat wil zeggen dat de gegevens ook toereikend moeten zijn, ter zake dienend en niet overmatig in relatie tot het doel van de registratie, in de termen van artikel 6 van de Europese richtlijn. Waar de houder van een registratie de op te nemen gegevens van de geregistreerde verkrijgt, is regelmatige verificatie bij de bron, de geregistreerde zelf, meestal op eenvoudige wijze mogelijk. Een systeem dat persoonsgegevens aangeleverd krijgt van deelnemende organisaties, beschikt in veel mindere mate over die mogelijkheid en is in dit opzicht afhankelijk van de leveranciers van de persoonsgegevens. De zorg voor juistheid en volledigheid zal daardoor grotendeels komen te liggen bij de leveranciers. De houder kan aan zijn zorgplicht inhoud geven door met de gegevens aanleverende instellingen maatregelen af te spreken die in dit opzicht zoveel mogelijk steun geven. Een aantal mogelijke maatregelen: – eenheid van taal: het gebruik van standaardbegrippen die niet voor meerdere uitleg vatbaar zijn; – duidelijke afspraken over de wijze waarop de identiteit van de geregistreerde wordt vastgesteld en over de gegevens die daarover worden opgenomen; – vastleggen van de herkomst van de gegevens zodat bij geconstateerde fouten terugkoppeling mogelijk is; – duidelijke instructies met betrekking tot de manier waarop, en de vorm waarin, de gegevens dienen te worden aangeleverd; – een help-desk waar bij twijfel advies kan worden gevraagd; – periodieke, steekproefsgewijze controles van de aangeleverde gegevens aan de hand van de bij de deelnemers aanwezige achterliggende registraties;
< Registratiekamer 29
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
– afspraken over wijziging van gegevens (bijvoorbeeld: uitsluitend in overleg met de instelling die ze heeft aangeleverd); – afspraken over het doorgeven van correcties aan de afnemers; – een vorm van toezicht, bijvoorbeeld door een onafhankelijke klachtencommissie.
5.5.3 Het ‘onderhoud’ Persoonsgegevens hebben in beginsel, in de tijd gezien, een beperkte waarde. Zij betreffen immers een persoon in wiens leven zich veranderingen voordoen. Gegevens over die persoon verliezen na verloop van tijd, zo al niet hun juistheid, dan toch veel van hun relevantie. Voor gegevens over jeugdige personen, die nog volop in ontwikkeling zijn, geldt dit nog sterker. Een tweede belangrijke stap om een systeem relevante informatie te laten leveren is dan ook, er zorg voor te dragen dat gegevens regelmatig worden verwijderd en/of aangevuld. Verwijdering van gegevens is deels een kwestie van een goede regeling van bewaartermijnen. Dit onderwerp is aan de orde gekomen in hoofdstuk 5.3. Ook binnen de bewaartermijn kan bepaalde vastgelegde informatie echter door de realiteit worden achterhaald. Een ambulante begeleiding kan bijvoorbeeld worden afgesloten of juist overgaan in een uithuisplaatsing, de politie kan proces-verbaal opmaken terzake van een delict waarvan de jeugdige uiteindelijk wordt vrijgesproken of een verwijzing is wel ingevoerd maar blijkt achteraf niet tot stand te zijn gekomen. Voor de aanvoer van dergelijke gegevens is het cliëntvolgsysteem afhankelijk van de deelnemers. Ondersteunende maatregelen kunnen ook hier hun nut hebben, bijvoorbeeld: – periodieke ‘ingebouwde’ controle op de consistentie van gegevens. Hierbij kan gebruikt mogelijk gemaakt worden van procedurele regels: het gegeven dat de politie proces-verbaal heeft opgemaakt behoort te worden gevolgd door een beslissing: sepôt of vervolging, het gegeven van opname van een cliënt door de beëindiging van die opname. M.a.w.: de invoer van bepaalde gegevens veronderstelt de opname van andere; – duidelijke regels voor bewaartermijnen en schoning. Bij de opzet van een systeem is het goed te bedenken dat ’meer gegevens’ niet automatisch ’meer informatie’ betekent maar wel ’meer onderhoud’. Dat de opgenomen gegevens ’ter zake dienend en niet overmatig’ behoren te zijn is een wettelijke norm maar kan daarnaast een praktische handleiding zijn voor een beheer(s)baar systeem.
5.6
Beveiliging De verschillende verdragsrechtelijke en wettelijke regelingen op het terrein van de informationele privacy bevatten bepalingen op het punt van beveiliging van persoonsgegevens. In de Wpr bevat daarover een bepaling in artikel 8. In artikel 17 van de Europese richtlijn is dit onderwerp het meest uitgewerkt: 1. De Lid-staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig verlies, vervalsing, niet toegelaten verspreiding of toegang, met name wanneer de verwerking betrekking heeft op de doorzending van gegevens in een netwerk, dan wel tegen enige andere vorm van onwettige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico‘s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
< Registratiekamer 30
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
2. De Lid-staten bepalen dat de voor de verwerking verantwoordelijke, in geval van verwerking te zijnen behoeve, een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen en moet toezien op de naleving van die maatregelen.
Vereist is een ‘passend’ niveau van beveiliging. Wat ‘passend’ geacht kan worden, is afhankelijk van twee factoren, de risico‘s die aan de verwerking kleven en de aard van de te beschermen gegevens. De invulling van ‘passend’ is verder afhankelijk van de stand van de techniek en de kosten die aan de beveiligingsmaatregelen verbonden zijn. De te nemen maatregelen kunnen variëren van uiterst simpel (beeldschermen niet in het zicht van bezoekers plaatsen, gebruik van wachtwoorden) tot een verfijnder stelsel (gebruik van privacy-enhancing technologies).*14* Hierbij gaat het om het gebruik van technische methoden die de identiteit van de betrokken geregistreerde afschermen en er aldus voor zorgen dat persoonsgegevens niet verder worden gebruikt dan noodzakelijk is voor het doel. Daarbij dient te worden bedacht dat in het systeem ingebouwde vormen van beveiliging in het algemeen minder eenvoudig te omzeilen zijn dan organisatorische maatregelen. Een ‘robuust’ systeem, waarin bij het ontwerpen al de nodige beveiligingsmaatregelen zijn voorzien, zal daarom eerder een passend niveau van beveiliging bieden. Met name bij cliëntvolgsystemen waar de deelnemers elkaar toegang geven tot eigen, al bestaande systemen, zal de nodige aandacht moeten worden besteed aan de afscherming van delen van het eigen systeem tegen onbevoegde kennisneming door andere deelnemers. Een passende beveiliging zal dus steeds het resultaat (moeten) zijn van een besluitvormingsproces waarin achtereenvolgens een analyse van de risico‘s van gegevens en de verwerking ervan, een verkenning van de mogelijkheden van beveiliging, zowel technisch als organisatorisch, en de daaraan verbonden kosten, en een afweging van deze verschillende factoren dient plaats te vinden. Het eerste onderdeel van lid 1 geeft, in negatieve vorm, een aantal doeleinden van beveiliging weer: beschikbaarheid, integriteit en exclusiviteit. Daar waar een belang of noodzaak bestaat dat aanleg van een persoonsregistratie rechtvaardigt, spreekt eigenlijk vanzelf dat de betreffende gegevens aanwezig en beschikbaar moeten zijn, dat bij raadpleging van de betrouwbaarheid van de gegevens moet kunnen worden uitgegaan, en dat uitsluitend degenen die daartoe gerechtigd zijn, toegang tot die gegevens kunnen verkrijgen. Beveiliging is dan ook niet alleen een verplichting maar ook een eigen belang van de houder van een registratie of van degene die voor de verwerking van de persoonsgegevens verantwoordelijk is.
Noten: 1 Bijvoorbeeld artikel 2 van het privacyreglement – doel van de registratie: “De registratie heeft tot doel: a. het registreren van klachten over extreme overlast teneinde de projectgroep in staat te stellen de openbare-orde-problemen die uit die overlast voortkomen op te lossen; b. informatie verschaffen ten behoeve van de coördinatie en controle van de afspraken die met het oog op de afhandeling van de klachten zijn gemaakt; c. het administratief bijhouden van de afhandeling van de klachten over extreme overlast; d. informatie verschaffen ten behoeve van de evaluatie van het project.” 2 Artikel 8, tweede lid EVRM: Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. 3 A.F. Rommelse, ‘Zwarte lijsten – belangen en effecten van waarschuwingssystemen’, Registratiekamer maart 1995, ISBN 90 346 3183 4, blz. 24 4 Kamerstukken I 1987-1988, 19 095, nr. 2b, blz. 20 5 Kamerstukken II 1984-1985, 19 095, nrs. 1-3, blz. 40
< Registratiekamer 31
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
6 ’1. Onverminderd het in artikel 448, lid 3, tweede volzin, bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht. 2. Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden.’ 7 Mr. E. Schreuders, ‘Het gesloten verstrekkingenregime van de Wet Politieregisters’, juli 1995 8 Artikel 2 Bpolr De volgende persoonsgegevens zijn antecedenten: a. het feit dat een proces-verbaal is opgemaakt van het verhoor van een bepaald persoon ter zake van een strafbaar feit waarvoor deze als verdachte is gehoord, daaronder begrepen de aanduiding van de aard van dat strafbare feit; b. het feit of al dan niet een proces-verbaal als bedoeld onder a, is verzonden aan het openbaar ministerie, en zo ja, de datum van verzending en het nummer waarmee het proces-verbaal aldaar kan worden geïdentificeerd en c. de beslissing van het openbaar ministerie of de rechter over de aangelegenheid waarop het proces-verbaal betrekking heeft. 9 Besluit van 5 juli 1997, houdende wijziging van het Besluit politieregisters (Stb. 1997, 326) 10 Artikel 17 Bpolr juncto artikelen 14, sub a en b, Wpolr en artikel 14, eerste lid, Bpolr 11 ‘Een ieder die krachtens deze wet de beschikking krijgt over gegevens met betrekking tot een derde, is verplicht tot geheimhouding daarvan, behoudens voor zover een bij of krachtens deze wet gegeven voorschrift mededelingen toelaat, dan wel de uitvoering van de taak met het oog waarop de gegevens zijn verstrekt tot het ter kennis brengen daarvan noodzaakt.’ 12 Kamerstukken II 1984-1985, 19 095, nrs. 1-3, blz. 41. 13 Handelingen II 1986-1987, 19 095, blz. 96-5010, kolom: 3. 14 H. van Rossum e.a., Privacy-enhancing technologies: the path to anonymity, volume I en II, A&V-5, Augustus 1995.
< Registratiekamer 32
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
6
Samenvatting en aandachtspunten
6.1
Algemeen De tijd is voorbij dat oom agent, die zijn vaste klantjes wel kent, regelmatig een praatje maakt met de dames van de Voogdijraad of van ‘Pro Juventute’, die bij de ouders van die klantjes over de vloer komen. De organisaties waar zij voor werkten zijn in alle opzichten veranderd en ook het maatschappelijk kader waarin dat werk plaats vindt is nauwelijks te vergelijken. De behoefte om activiteiten op elkaar af te stemmen en geïnformeerd te zijn over elkaars doen en laten met betrekking tot een cliënt is gebleven. In hoeverre staat de bescherming van de persoonlijke levenssfeer van die cliënt daaraan in de weg? Beantwoording van die vraag brengt afweging van verschillende belangen met zich mee waarvan de bescherming van de persoonlijke levenssfeer er één is. In de Wpr, de Wpolr en de daarop gebaseerde besluiten zijn regels gegeven voor de manier waarop die afweging van belangen moet plaatsvinden. Algemene regels die voor de praktijk moeten worden geconcretiseerd. Soms zal er voor een bepaald terrein specifieke wetgeving van toepassing zijn, of moet die in samenhang met de Wpr of Wpolr worden toegepast. Van belang is om daarnaast steeds in het oog te houden wat de uitgangspunten zijn die aan de regels ten grondslag liggen. De verschillende aandachtspunten die daarbij aan de orde kunnen zijn, en die in de voorgaande hoofdstukken uitvoerig aan de orde zijn gekomen worden hierna in kort bestek weergegeven. Daarbij wordt verwezen naar het onderdeel van het rapport waar dit onderwerp is behandeld.
6.2
Aandachtspunten Mogen de gegevens van verschillende betrokken instellingen over een cliënt worden samengevoegd in één bestand? Of persoonsgegevens in een persoonsregistratie mogen worden opgenomen en hoe ze mogen worden gebruikt, is gebonden aan het doel van die registratie. Omdat het doel zo bepalend is voor de aanleg en het gebruik van een registratie, is het belangrijk dat het goed en duidelijk omschreven is. De doelstelling bepaalt welke persoonsgegevens een instelling of organisatie in zijn persoonsregistratie kan opnemen: de persoonsgegevens die noodzakelijk of van belang zijn om de eigen doelstelling te bereiken. ‘Noodzakelijk’ en ‘van belang’ zijn rekbare begrippen die moeten worden ingevuld. Proportionaliteit en subsidiariteit zijn bij die invulling kernbegrippen. Als een organisatie overweegt om gegevens over cliënten uit te wisselen met, of beschikbaar te stellen aan, andere organisaties en daarbij de vraag rijst of dat geoorloofd is, zal allereerst de eigen taak maatgevend moeten zijn. Inhoud en reikwijdte van die taak bepalen de doelstellingen van de instelling. Daaraan is af te meten of die doelstellingen samenlopen met die van andere instellingen, of voor het bereiken van die doelstellingen gezamenlijk moet worden opgetreden, en of, en in hoeverre, het uitwisselen van gegevens over cliënten daarvoor noodzakelijk en geoorloofd is. (hoofdstuk 5.1) De gegevens die in een persoonsregistratie worden opgenomen moeten rechtmatig verkregen zijn. Niet-rechtmatige verkrijging is meestal een gevolg van niet-rechtmatige verstrekking, een verstrekking waartoe geen bevoegdheid bestond.
< Registratiekamer 33
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Mogen gegevens over een cliënt wel aan een cliëntvolgsysteem of een andere organisatie worden verstrekt? En zo ja, welke gegevens? En aan welke organisaties? Maakt het daarbij nog uit om wat voor reden dat gebeurt? In artikel 11, eerste lid Wpr zijn een drietal gronden voor verstrekking van persoonsgegevens uit een persoonsregistratie geformuleerd (hoofdstuk 5.1.3).
Wettelijke verplichting Het zou kunnen zijn dat in een wet de verplichting om bepaalde gegevens te verstrekken is opgenomen. Zo’n wettelijke regel moet wel aan een aantal voorwaarden voldoen.
Toestemming Het is ook mogelijk dat de cliënt toestemming geeft om bepaalde gegevens over zichzelf aan een derde te verstrekken. De toestemming voor verstrekking van persoonsgegevens moet aan bepaalde eisen voldoen.
Doelverstrekking Als er geen toestemming en geen wettelijke plicht is om gegevens te verstrekken, kan er toch een bevoegdheid zijn om dat te doen als dat voortvloeit uit het doel van de registratie. Het doel van een persoonsregistratie is dus ook van belang voor de vraag of daaruit gegevens aan een andere organisatie kunnen worden verstrekt. “Voortvloeien uit het doel van de registratie” betekent dat het doel van een bepaalde registratie met zich meebrengt dat een concrete verstrekking van gegevens aan de derde plaats vindt. In de aanmelding of het reglement van een persoonsregistratie is een omschrijving van het doel opgenomen. De vraag of een bepaalde gegevensverstrekking uit dat doel voortvloeit is daarmee vaak nog niet beantwoord. Het doel kan in heel ruime en algemene termen omschreven zijn. In dat geval moet het doel van de registratie verder gepreciseerd worden. De verhouding tot de geregistreerde en de aard van de registratie kunnen het doel inkleuren. Is er bijvoorbeeld sprake van een bepaalde afhankelijkheid? Was de geregistreerde vrij om al dan niet de gegevens te verstrekken, of bestond er juist een verplichting, of zijn de gegevens bij derden ingewonnen? Kon de geregistreerde verwachten dat een dergelijke gegevensverstrekking zou plaatsvinden, of is in die bepaalde verhouding, bij die bepaalde soort van gegevens of voor die bepaalde categorie van houders juist een zekere vertrouwelijkheid normaal? De betekenis die het doel van een registratie in de maatschappij heeft, en de verhouding van een geregistreerde ten opzichte van de houder van een persoonsregistratie kunnen na verloop van tijd of door omstandigheden veranderen. Dat geldt ook voor het antwoord op de vraag of een concrete verstrekking ‘hoort bij’ het doel van een registratie. Dat antwoord is vaak afhankelijk van een meerdere factoren. In bepaalde gevallen zullen daarbij ook de opvattingen binnen een bepaalde branche of beroepsgroep of het verwachtingspatroon dat een geregistreerde heeft opgebouwd een rol kunnen spelen. Het belang van de geregistreerde (bij de bescherming van zijn persoonlijke levenssfeer) moet bij de verstrekking in voldoende mate in acht worden genomen. Dat kan met zich meebrengen dat de geregistreerde de mogelijkheid moet hebben om tegen die verstrekking bezwaar te maken of om daarvan in ieder geval op de hoogte te zijn. Ook kan de verstrekking niet beschouwd worden als voortvloeiend uit het doel als de ontvanger meer gegevens zal ontvangen dan hij nodig heeft. De verstrekking van meer gegevens dan noodzakelijk zijn, is dan onrechtmatig.
< Registratiekamer 34
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Verstrekking aan andere (semi-)overheidsorganen Voor registraties op het terrein van de overheid en de semi-overheid in artikel 18, derde lid van de Wpr een mogelijkheid geschapen om naar aanleiding van een verzoek persoonsgegevens te verstrekken aan een andere (semi-)overheidsorgaan dat die gegevens nodig heeft om zijn taak goed te kunnen vervullen. Wel moet daarbij worden getoetst of de verstrekking in het geval waarom het gaat geen onevenredige schade toebrengt aan de persoonlijke levenssfeer van de geregistreerde.
Beroepsgeheim en gesloten verstrekkingenregime Ook als er op grond van artikel 11, eerste lid of artikel 18 derde lid Wpr in principe een bevoegdheid is om persoonsgegevens te verstrekken, kan het zijn dat de wet of de beroepsregels voorschrijven dat de hulpverlener de plicht heeft tegenover de cliënt om die gegevens vertrouwelijk te behandelen en niet zonder diens toestemming aan derden te verstrekken: de wettelijke geheimhoudingsplicht of het beroepsgeheim. De gegevensverstrekking is dan alleen mogelijk als die heel duidelijk is ingekaderd in een behandelingsovereenkomst en/of als betrokkene er in toestemt (5.2.1). De verstrekking van persoonsgegevens kan ook aan zeer strikte regels gebonden zijn. Dat is met name het geval bij gegevensverstrekkingen door de politie (5.2.2).
Kan de hulpverlener of politiefunctionaris de gegevens die hij van een andere organisatie ontvangen heeft naar eigen goeddunken gebruiken met betrekking tot de geregistreerde? En geldt dat ook voor de gegevens die hij zelf verstrekt? Het gebruik van persoonsgegevens binnen de organisatie van de houder moet ‘verenigbaar’ zijn met het doel van de registratie (zie ook paragraaf 5.1.3). Dat betekent niet dat die gegevens alleen voor dat aangegeven doel gebruikt kunnen worden. Er is een zekere ruimte maar die heeft zijn grenzen. Het begrip ‘verenigbaar’ geeft die grenzen aan. Die grenzen zijn er ook als de houder van een persoonsregistratie voor meerdere doeleinden persoonsgegevens vastlegt. Die doeleinden moeten onderling verenigbaar zijn. Bij een (semi-)overheidsinstelling zijn de doeleinden gerelateerd aan de opgedragen taken. Als een organisatie ter uitvoering van één van zijn taken deelneemt aan een cliëntvolgsysteem of een andere vorm van gegevensuitwisseling, verkrijgt zij persoonsgegevens ten behoeve van dat doel. Gebruik ten behoeve van andere taken is alleen geoorloofd als dat gebruik, en die taken, verenigbaar zijn met het doel waarvoor de gegevens oorspronkelijk zijn vastgelegd. Wat als ‘verenigbaar’ kan worden gezien is afhankelijk van verschillende factoren. In de voorgestelde Wet bescherming persoonsgegevens worden in dit verband genoemd: de onderlinge verwantschap tussen het doel waarvoor de gegevens zijn verkregen en de (verdere) verwerking die men op het oog heeft, de aard van de gegevens, de wijze waarop ze zijn verkregen, de gevolgen die de beoogde verwerking voor de betrokkenen (geregistreerde) heeft en de waarborgen waarin al dan niet is voorzien.
Wie is er eigenlijk verantwoordelijk voor de hele gang van zaken, wie kan aangesproken worden voor gemaakte fouten? De Wpr, en ook komende regelgeving, bevat normen die moeten worden nageleefd, voorschriften en verplichtingen. Dat veronderstelt dat iemand, natuurlijk persoon of rechtspersoon, bepaalde beslissingen neemt, daarvoor verantwoordelijk is en daarop bij tekortschieten kan worden aangesproken. Als instellingen gegevens uitwisselen, is elke instelling als houder afzonderlijk verantwoordelijk voor het vastleggen van gegevens, het verstrekken aan een andere instelling, en het gebruik van ontvangen gegevens binnen de eigen instelling. Voor elk van die gegevensverwerkingen moet een grond of bevoegdheid aan te wijzen zijn. Dat blijft zo als de uitwisseling plaatsvindt middels een zelfstandige database of anderssoortige persoonsregistratie. Maar ook voor die aparte registratie moet de verantwoordelijkheid geregeld zijn. Hetzij doordat een afzonderlijke
< Registratiekamer 35
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
rechtspersoon of één van de deelnemers als houder verantwoordelijk is, hetzij doordat de deelnemers elk voor hun ‘eigen’ deel van die registratie verantwoordelijk zijn. (hoofdstuk 4.4)
Verplichtingen van de houder De houder van een persoonsregistratie, of verantwoordelijke voor de verwerking, heeft de plicht om die registratie, c.q. die verwerking, aan te melden bij de Registratiekamer. Als meerdere houders van persoonsregistraties structureel gegevens gaan uitwisselen, dan zullen de verstrekkingen en verkrijgingen die daarvan het gevolg zijn, in een aanmelding of reglement vermeld moeten zijn. De houder dient er ook zorg voor te dragen dat de gegevensverzameling die hij aanlegt aan bepaalde kwaliteitseisen kan voldoen. Hij hoeft weliswaar niet te garanderen dat elk gegeven dat in de registratie wordt opgenomen juist is, maar hij hoort er wel zorg voor te dragen dat de gegevens zo juist mogelijk zijn. ‘Juist’ omvat in dit verband meer dan alleen ’niet onjuist’. Het gaat er ook om dat de gegevens toereikend, ter zake dienend en niet overmatig zijn in relatie tot het doel waarvoor ze worden verwerkt. De gegevens dienen tevens nauwkeurig te zijn en, zo nodig, te worden bijgewerkt. In dit verband dienen alle redelijke maatregelen te worden getroffen om gegevens die onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren. Verder moet de houder er het nodige aan doen om te zorgen dat de gegevens niet verloren gaan of verminkt raken of worden ingezien door onbevoegden. Hoe groter het daarbij betrokken belang is en hoe groter de risico‘s die het gebruik van bepaalde gegevens oplevert, des te groter de inspanning die van de houder kan worden gevergd om de gegevens goed te beveiligen.
Welke invloed kan de cliënt zelf eigenlijk nog op de gang van zaken uitoefenen? Wat moet de cliënt precies weten? En wanneer? Degene die er het meeste belang bij heeft dat de materiële normen en verplichtingen van de Wpr worden nageleefd, is de geregistreerde of betrokkene. Aan hem zijn dan ook in de Wpr een aantal rechten toegekend. Hij moet kunnen weten wie welke gegevens over hem vastlegt, met welk doel en aan wie ze worden verstrekt. Die informatie zal de houder of verantwoordelijke hem moeten geven, hetzij bij het opnemen van de gegevens in de registratie, hetzij later, als de registreerde daarom vraagt. De geregistreerde heeft ook het recht om te vragen om correctie, eventueel vernietiging, als de gegevens niet juist zijn. Wil de geregistreerde deze rechten te kunnen uitoefenen, moet wel duidelijk zijn aan wie hij zijn vragen kan voorleggen. Als organisaties gegevens over cliënten uitwisselen, zijn goede afspraken hierover dan ook belangrijk. Het kan immers niet de bedoeling zijn dat de cliënt in zijn rechten wordt gefrustreerd door initiatieven die bedoeld zijn om zijn belangen te dienen (hoofdstuk 5.4).
< Registratiekamer 36
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Literatuurlijst
– – – –
– – – – – – –
Commissie Jeugdcriminaliteit, veelal aangeduid als ‘de Commissie Van Montfrans’. (1994). Met de neus op de feiten . Den Haag: Ministerie van Justitie. Directie Beleid van het Ministerie van Justitie. (1995) Notitie ‘Jeugdcriminaliteit, uitwerking van het advies Van Montfrans op het beleidsterrein van Justitie. Den Haag: Ministerie van Justitie. Projectgroep Straftaken.(1994) Rapport ‘Tot de kern van de zaak. Z.pl: Raad voor de kinderbescherming. Stichting GGZ Nederland.(1996) Optimalisering van de GGZ-keten door toepassing van informatietechnologie.Een overzicht van initiatieven tot geautomatiseerde ondersteuning van de GGZ-hulpverlening Utrecht: Stichting GGZ Nederland. Prins, J.E.J. e.a. (1995) In het licht van de Wet Persoonsregistraties: zon, maan of sterren. Alphen aan den Rijn: Samson Bedrijfsinformatie. Hulsman B.J.P. & Ippel P.C. (1994). Personeelsinformatiesystemen-de Wet persoonsregistraties toegepast. Rijswijk: Registratiekamer Rommelse A.F. (1995) Zwarte lijsten – belangen en effecten van waarschuwingssystemen. Rijswijk: Registratiekamer. Schreuders E. (1995). Het gesloten verstrekkingenregime van de Wet Politieregisters. Staatscommissie-Koopmans. (1976) Privacy en persoonsregistratie. Tien jaar ‘Samenleving en Criminaliteit’. (1995). Justitiële Verkenningen 95, nr. 3. WODC/Gouda Quint. Preventief ingrijpen in het gezin. (1996). Justitiële Verkenningen 96, nr. 6; WODC/Gouda Quint.
< Registratiekamer 37
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Lijst van afkortingen
BEO BGG BOPZ Bpolr BW CVS-JC EDI EVRM NAW Stb. Trb. WGBO WJHV WBP Wpolr Wpr
project Bestrijding Extreme Overlast Besluit Gevoelige Gegevens (Stb. 1993, 158) Wet Bijzondere Opnemingen in Psychiatrische Ziekenhuizen (Stb. 1995, 290 en Stb. 1995, 592) Besluit politieregisters (Stb. 1991, 56) Burgerlijk Wetboek Cliëntvolgsysteem Jeugdcriminaliteit Electronic Data Interchange Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154; 1990, 156) Naam, Adres, Woonplaats Staatsblad Tractatenblad Wet op de Geneeskundige Behandelingsovereenkomst (Boek 7, titel 7, afdeling 5 BW) Wet op de jeugdhulpverlening (Stb. 1989, 358) (toekomstige) Wet Bescherming Persoonsgegevens Wet politieregisters (Stb. 1990, 414) Wet persoonsregistraties (Stb. 1988, 665)
< Registratiekamer 38
VORIGE
INHOUD
Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling
VOLGENDE
>
Postbus 93374 2509 AJ ’s-Gravenhage tel. (070) 381 13 00 fax (070) 381 13 01 Bezoekadres: Prins Clauslaan 20 2595 AJ ’s-Gravenhage
<
VORIGE
INHOUD
VOLGENDE
>