Jaarverslag 2001 - in vogelvlucht
jaarverslag 2004 INHOUD
C O L L E G E B ESC HERMING P E R S O O N S G E G E V E N S
IEDERE BURGER HEEFT RECHT OP BESCHERMING VAN ZIJN PERSOONLIJKE LEVENSSFEER. EEN ZORGVULDIGE OMGANG MET ZIJN PERSOONSGEGEVENS DOOR ANDEREN BEHOORT DAARTOE. HET COLLEGE BESCHERMING PERSOONSGEGEVENS HOUDT KRACHTENS DE WET TOEZICHT OP DE NALEVING VAN DE NORMEN EN REGELS VOOR HET GEBRUIK VAN PERSOONSGEGEVENS. ZO NODIG TREEDT HET CBP HANDHAVEND OP. DE TOEZICHTHOUDER VERRICHT ZIJN TAKEN IN ONAFHANKELIJKHEID, STIMULEERT ZELFREGULERING EN VERANTWOORDT ZICH IN EEN OPEN GEDACHTEWISSELING MET ALLE SECTOREN VAN DE SAMENLEVING.
de wens...
(door Jacob Kohnstamm)
pagina 2
“De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te gebruiken is toonaangevend in veel van de gevoerde maatschappelijke debatten.”
samenstelling college en raad van advies
pagina 6
Mr. Jacob Kohnstamm is per 1 augustus 2004 benoemd tot voorzitter van het CBP.
2004 in vogelvlucht
pagina 8
De strijd tegen het terrorisme is noodzakelijk maar er is geen enkele reden het inzicht los te aten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances: geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.
beleid van de toezichthouder
pagina 22
Opinieonderzoek laat zien dat burgers een direct verband leggen tussen de manier waarop (zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen dat zij in deze organisaties hebben.
activiteiten van het CBP
pagina 31
De toezichthouder is actief op een breed terein: openbaar bestuur, politie en justitie, arbeid en sociale zekerheid, zorg en welzijn, handel en diensten, telecommunicatie, technologie en op internationaal gebied.
organisatie
pagina 56
Veranderende tijden en een nieuwe voorzitter betekenden voor het CBP ook bezinning op rol en taakopvatting. Het CBP blijft welbewust een organisatie in verandering, ondanks de verhoogde extra belasting die dit met zich meebrengt.
bijlagen
pagina 69
Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelreglementen, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.
english summary
page 78
– Introduction by Jacob Kohnstamm, chairman of the Dutch DPA; – Summary of activities and results in 2004; statement of goals for 2005.
inhoud
1
INHOUD
VERDER >
DNA , HET ULTIEME PERSOONSGEGEVEN , IS VERWERKT IN HET LOGO VAN HET CBP
< TERUG
De wens... De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te gebruiken is toonaangevend in veel van de gevoerde maatschappelijke debatten. Zonder te pretenderen een begin van een volledig beeld te schetsen, mogen als voorbeelden dienen de discussie over de intensivering van de bestrijding van het terrorisme, de invoering van het burgerservicenummer en de ingrijpende wijziging van het ziektekostenstelsel waarbij marktwerking een grote rol moet spelen. Ook moet genoemd worden de wens om tot intensieve vormen van uitwisseling van persoonsgegevens te komen in het kader van de samenwerking tussen uiteenlopende instellingen en organisaties die steeds vaker al dan niet vanuit een publieke taak trachten te zamen een sluitend cliëntsysteem te vormen.
2
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Private ondernemingen dienen gegevens over handelstransacties beschikbaar te stellen voor overheidsdoelstellingen en klantgegevens worden als informatiegrondstof gedeeld binnen conglomeraten. Technische doorbraken of de massale toepassing van bestaande techniek openen de weg naar tot voor kort ongekende mogelijkheden om het doen en laten van individuen te volgen, te analyseren, te beoordelen en hen dienovereenkomstig ook te behandelen. Het veld waarop het CBP (College bescherming persoonsgegevens) toezicht houdt, is dus aan ingrijpende veranderingen onderhevig.
Bij de afweging tussen de wens of gevoelde noodzaak de persoonlijke levenssfeer ‘binnen te treden’ enerzijds en de krachtens de wettelijke bepalingen in acht te nemen zorgvuldigheid in de omgang met persoonsgegevens anderzijds, ontstaat als vanzelfsprekend spanning. Om die ‘strijd’ tot een vruchtbare synthese te brengen is de medewerking van de overheid, de private sector en het CBP nodig. Degenen die in de publieke en private sector vernieuwingen of veranderingen wensen te realiseren, zouden zich – beter dan thans veelal het geval is – rekenschap moeten geven van de uitgangspunten voor de bescherming van de persoonlijke levenssfeer om van daaruit te zoeken naar oplossingen voor eventuele dilemma’s. Voor het College bescherming persoonsgegevens geldt anderzijds dat het zich intensief rekenschap geeft of dient te geven van nieuwe maatschappelijke ontwikkelingen en eisen. Het kader waarin het CBP vervolgens optreedt, is in hoge mate begrensd door de relevante wettelijke bepalingen en de daaruit af te leiden opdracht, waarbij de Wet bescherming persoonsgegevens – meer nog dan enkele andere wetten – het doen en laten van de toezichthouder bepaalt. De geschiedenis van de totstandkoming van de WBP en de ontwikkelingen sindsdien, stellen ons daarbij voor lastige dilemma’s. Zoals altijd, als de wetgever tot codificatie overgaat van hetgeen in de praktijk is gegroeid dan wel in politiek-maatschappelijke zin als standaard wenselijk wordt geoordeeld, gaat de aandacht na verloop van tijd veeleer uit naar de technische uitwerking van de wet dan naar het achter die technische uitwerking schuilgaande te beschermen goed of te realiseren doel. De toepassing van de wet in de praktijk oogt dan bovenal formalistisch, terwijl het materiële belang aan het zicht wordt onttrokken. Anders gezegd: het CBP is in de ogen van sommigen eerder een ‘administratieve last’ dan de ‘privacywaakhond’. Mij treft verder als curieus dat het desbetreffende grondrecht uiteindelijk op grond van een Europese richtlijn die ten doel heeft om concurrentievervalsing tegen te gaan, in nationale wetgeving is omgezet. De bescherming van de consument lijkt meer nog dan de bescherming van de burger de drijfveer geweest te zijn om tot deze specifieke vorm van codificatie te komen. Dat is te meer opvallend omdat de centrale overheid in voorkomende gevallen, waarin de wettelijke bepalingen als te beperkend voor de te realiseren sectorspecifieke doelen worden gezien, nieuwe wetgeving tot stand kan brengen waardoor alsnog kan worden voldaan aan de eisen die de WBP stelt aan de wijze waarop met persoonsgegevens dient te worden omgesprongen. De WBP lijkt daardoor in de publieke sector een aanzienlijk minder dwingend karakter te hebben dan in de private sector. In het publieke debat is daarbij al enkele jaren sprake van een sterke erosie en politisering van de term privacy. De actieradius van het CBP wordt bepaald door de concreet beschreven opdracht in de WBP om een bijdrage te leveren aan de bescherming van persoonsgegevens. In de wandeling wordt dat vaak privacybescherming genoemd. In het
inleiding
3
< TERUG
INHOUD
VERDER >
maatschappelijke debat wordt veelal privacy in losse zin gebruikt zonder dat bij benadering wordt bepaald wat daar onder wordt verstaan. Sinds enkele jaren is ‘privacy’ voor velen bovendien een politieke steen des aanstoots geworden: een niet concreet gedefinieerd belang dat bestuurders en professionals ervan zou weerhouden om politiek en maatschappelijk gewenste doelen te realiseren. In uitlatingen van politici, bestuurders en andere ambtsdragers – bijvoorbeeld in de inmiddels traditioneel geworden verstrekkende nieuwjaarstoespraken van hoofdcommissarissen van politie – is kritiek op ‘privacy’ als obstakel voor optreden, op ‘privacy’ als schuilplaats voor wanbetalers, fraudeurs en andere kwaadwilligen een steeds terugkerende schaamlap voor het ontbreken van eigen daadkracht of succesvol optreden geworden. Het ergerniswekkende van deze uitlatingen is dat zij zelden of nooit worden voorzien van voorbeelden waaruit valt af te leiden waar de schoen precies wringt. Voor zover concrete situaties worden opgevoerd waaruit zou moeten blijken dat de WBP (of enige andere wettelijke bepaling die ziet op bescherming van persoonsgegevens) realisering van politiek of maatschappelijk gewenste doelen werkelijk in de weg staat, is doorgaans bij nader inzien gebleken dat er eerder sprake was van onprofessioneel gedrag van degene die zich over het obstakel beklaagde, of er was sprake van – soms zeer – gebrekkige kennis van de mogelijkheden die de wet wel degelijk biedt. Wat was en is de essentie van hetgeen met de WBP beschermd dient te worden? En langs welke weg dient een en ander gerealiseerd te worden? In de Nederlandse grondwet, het Europees Verdrag voor de Rechten van de Mens, het Dataverdrag van Straatsburg en in de conceptgrondwet voor de Europese Unie is de beschermwaardigheid van de persoonlijke levenssfeer en als sequeel daarvan de bescherming van persoonsgegevens verwoord. De eerste waarde is de bescherming van de persoonlijke levenssfeer, de vrijwaring tegen onfatsoenlijke of ongeoorloofde inmenging in het leven van burgers. Dit heeft primair tot doel de burger in staat te stellen tot een relatieve mate van vrijheid van handelen. Een ieder streeft daartoe naar enigerlei vorm van regie over wat anderen van hem of haar weten, over het beeld dat zij zich van hem of haar vormen. Iedereen heeft er recht op en potentieel belang bij om in zekere mate zelf te kunnen bepalen of en zo ja op welke wijze verspreiding plaats mag vinden van de over hem of haar gegenereerde en opgeslagen informatie. Zelfbeschikking, autonomie en optimale individuele ontplooiing – in een democratische rechtsstaat altijd relatief te duiden – zijn dus vanuit het gezichtspunt van de burger en de consument de kernwaarden die gemoeid zijn met de normen en de daaruit voortvloeiende regels voor de omgang met persoonsgegevens. Als macht en machtsuitoefening gekoppeld worden aan persoonsgegevens, kan een niet te rechtvaardigen beperking van de maatschappelijke mogelijkheden en ontplooiing van het individu daarvan het gevolg zijn. De technische vertaling naar de maatschappelijke praktijk die in de WBP is gemaakt, komt er op neer dat burgers en consumenten er recht op hebben en er op moeten kunnen vertrouwen dat overheid en private sector fatsoenlijk, respectvol en transparant met persoonsgegevens zullen omspringen.
4
jaarverslag 2004
< TERUG
INHOUD
VERDER >
In de hiernavolgende hoofdstukken van het jaarverslag 2004 passeren veel concrete casusposities en adviezen de revue, waarbij het CBP met de wet in de hand heeft getracht op hedendaagse wijze als toezichthouder zijn taak te vervullen. De zoektocht naar een aanvaardbare balans tussen ogenschijnlijk tegenstrijdige belangen van de bescherming van persoonsgegevens enerzijds en markt-, politieke of maatschappelijke noden anderzijds, is blijkens dit verslag een weerbarstige. Het is een legitieme vraag – die met regelmaat gesteld moet worden – of een enkele bepaling van de WBP ons in die zoektocht eerder in de weg staat dan behulpzaam is. Een intensivering van de zoektocht naar de aanvaardbare balans is geboden, zowel voor het CBP als voor ‘verantwoordelijken’ – overheid en private partijen – en, zo het kan, op basis van wederkerigheid. Vertrouwen tussen mensen en organisaties in de samenleving wordt immers mede bepaald door de wijze waarop de persoonlijke levenssfeer wordt gerespecteerd en door de wijze waarop in het bijzonder met persoonsgegevens wordt omgesprongen. Kan het individu ‘meekijken’ en bepalen of en zo ja welke informatie over hem of haar circuleert? Hoe zijn checks and balances gerealiseerd zodat een effectieve controle op het verzamelen, verwerken en het verspreiden van persoonsgegevens mogelijk is? Uiteindelijk staat het zoeken van de balans in dienst van de wijze waarop individuen vertrouwen kunnen geven aan de samenleving. Een samenleving die dat sociale kapitaal voor haar burgers weet te genereren, heeft een belangrijke randvoorwaarde geschapen voor welvaart en welzijn, voor een bloeiende civil society, voor een samenleving die kracht en veiligheid vindt in cohesie.
J. Kohnstamm voorzitter
inleiding
5
< TERUG
INHOUD
VERDER >
samenstelling college en raad van advies college 2004 mr. J. Kohnstamm
voorzitter mr. dr. U. van de Pol
collegelid drs. J.W. Broekema
collegelid
6
jaarverslag 2004
< TERUG
INHOUD
VERDER >
raad van advies 2004 R. Bandell
mw. mr. L. Gonçalves-Ho Kang You
burgemeester van Dordrecht
collegelid OPTA, voorzitter Amnesty International
prof. dr. T.M.A. Bemelmans
prof. mr. P.F. van der Heijden
hoogleraar bestuurlijke informatiesystemen Technische Universiteit Eindhoven
hoogleraar arbeidsrecht Universiteit van Amsterdam drs. A.I.M. Kool
mr. G.J.M. Corstens
oud-lid Verzekeringskamer
raadsheer Hoge Raad drs. R. van Ommeren prof. mr. E.J. Dommering
oud-lid Raad van Bestuur ABN-AMRO
hoogleraar informatierecht Universiteit van Amsterdam
drs. C.R. Rog
voorzitter commissie privacy VNO-NCW mw. drs. A. van Es
oud-lid van de Tweede Kamer
D. Westendorp
oud-directeur Consumentenbond prof. mr. H. Franken
hoogleraar informaticarecht Rijksuniversiteit Leiden prof. mr. J.K.M. Gevers
hoogleraar gezondheidsrecht Universiteit van Amsterdam U vindt het organogram van het CBP op pagina x >
buitengewone leden college 2004 drs. J.J. Borking
H. de Zwart RE RA RO
ICT; Privacy-Enhancing Technologies
privacyaudits
prof. A.W. Neisingh RE RA
privacyaudits
directie mw. C.E. Romanesko
directeur
samenstelling college en raad van advies
7
< TERUG
INHOUD
VERDER >
2004
in vogelvlucht De aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een intensivering van het streven naar een veilige samenleving en in het bijzonder de bestrijding van terrorisme. In hoog tempo werd verruiming van de bevoegdheden van politie en justitie gerealiseerd of aangekondigd die ertoe zal leiden dat meer en meer gegevens van onverdachte burgers in politieregisters terecht zullen komen. De roep om meer bevoegdheden klonk al jaren, maar de terrorismedreiging sinds september 2001 heeft ruim baan gemaakt voor de overtuiging dat deze uitbreiding ook noodzakelijk is. Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectieve maatregelen te nemen ter bestrijding van terrorisme. Internationale verdragen, Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat nieuwe bevoegdheden voldoen aan de maatstaf van nut en noodzaak. Ook moet voorzien zijn in rechtsbescherming. In de strijd tegen terrorisme is het wellicht nodig nieuwe wegen te bewandelen, maar er is geen enkele reden het inzicht los te laten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances: geen bevoegdheid zonder aantoonbare noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.
8
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Terrorisme en veiligheid Terrorismebestrijding
In de ‘terrorisme’-brief van 10 september 2004 aan de Tweede Kamer kondigden de ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties nieuwe maatregelen en bevoegdheden aan ter bestrijding van het terrorisme. Het kabinet zag onder meer uitgebreide verzameling, koppeling en analyse van informatie over groepen en personen als de sleutel tot het voorkomen van terrorisme. Daartoe achtte het kabinet uitbreiding van opsporingsbevoegdheden noodzakelijk. Het kondigde aan het wettelijk criterium - verdenking of redelijk vermoeden van betrokkenheid - voor toepassing van bevoegdheden als het aftappen van telefoons en het observeren af te zullen zwakken tot aanwijzingen. De informatie-uitwisseling tussen veiligheidsdiensten, politie, openbaar ministerie en IND zou geïntensiveerd worden via een informatieknooppunt, de Contra-Terrorisme-infobox, waar data zullen worden gecombineerd en geanalyseerd. Uit de brief blijkt dat voor de overheid voldoende is dat een burger haar argwaan opwekt, om hem te kunnen observeren teneinde vast te stellen of de argwaan gerechtvaardigd is of niet. In een publieke reactie op de voorstellen constateerde het CBP dat de noodzaak van uitbreiding van bevoegdheden tot het verzamelen van informatie niet was aangetoond. De nieuwe bevoegdheden komen bovenop de per 1 september 2004 in werking getreden antiterrorismewetgeving. De reikwijdte van het Wetboek van Strafrecht werd uitgebreid door nieuwe strafbaarstellingen en door verhoging van de strafmaat voor het plegen van misdrijven met een terroristisch oogmerk. Samenspanning (d.w.z. het maken van afspraken) tot terroristisch handelen is eveneens strafbaar gesteld. Met deze nieuwe wettelijke bepalingen voor informatieverwerking is nog geen enkele ervaring opgedaan die zicht geeft op nut en noodzaak van de voorgestelde maatregelen. Daarbij komen nog de reeds ingevoerde of nog in te voeren bevoegdheden voor het onderscheppen van telecommunicatie en de bevoegdheid tot het opeisen van informatie bij bedrijven en andere organisaties. Verder miskent de voorgenomen vergaande coördinatie van de informatieverzameling de gescheiden wettelijke taken en bevoegdheden van inlichtingendiensten en politie. De bescherming van de staatsveiligheid is primair een zaak van de inlichtingendiensten. Deze hebben zeer vergaande bevoegdheden om reeds bij het enkele vermoeden dat de staatsveiligheid in het geding is informatie te verzamelen. De politie dient pas informatie van met name de Algemene inlichtingen- en veiligheidsdienst te ontvangen als er sprake is van uitoefening van de politietaak. Het CBP waarschuwde daarom voor een ontwikkeling waarbij informatie over veel onverdachte burgers van de dossiers van de veiligheidsdiensten terecht komt in de politieregisters. In de geschetste plannen ontbrak ook een voorstel voor een adequate en structurele controle op het proces van het verzamelen en delen van informatie. Het zou een ernstige tekortkoming zijn als het kabinet hierin niet zou voorzien. Veel van de werkzaamheden zullen in het verborgene blijven, ook voor de personen die ten onrechte voorwerp van onderzoek zijn geweest. Des te noodzakelijker is het om controle op de uitoefening van deze vergaande overheidsmacht in te bouwen. De burger moet beschermd worden tegen terrorisme maar moet ook het vertrouwen kunnen behouden dat de overheid op rechtmatige wijze haar vergaande bevoegdheden uitoefent. Verkeersgegevens telecommunicatie
De al jaren in Europa spelende discussie over een bewaarplicht voor verkeersgegevens ten behoeve van de opsporing, kreeg een nieuwe wending door de terroristische aanslagen in Madrid. Naar aanleiding hiervan nam de Europese Raad op 25 maart 2004 de Verklaring betreffende de bestrijding van terrorisme aan. Daarin werd opgeroepen om voorstellen te doen voor het komen tot een bewaarplicht voor verkeersgegevens door in vogelvlucht
9
< TERUG
INHOUD
VERDER >
Resultaten 2004 IN HET VORIGE JAARVERSLAG IS AANGEKONDIGD DAT IN 2004 ZOU WORDEN GESTREEFD NAAR DE VOLGENDE RESULTATEN :
•
Het onderzoek naar de belangrijkste gegevensstromen omtrent de zieke werknemer en de daarbij behorende privacyregels heeft in mei 2004 geleid tot de publicatie van een naslagwerk met vuistregels voor de praktijk: De zieke werknemer en privacy. Regels voor de verwerking van persoonsgegevenscan zieke werknemers. Het naslagwerk is onder de aandacht gebracht van de diverse bij reïntegratie zieke werknemers betrokken partijen en behoort tot de meest bekeken publicaties op de website.
•
ring geheel aan marktpartijen over te laten. Het project is in februari 2005 afgesloten met de presentatie en publicatie van het document Contouren voor Compliance Handreiking voor de invulling van het Raamwerk Privacy Audit aan geïnteresseerde organisaties.
Zieke werknemer
Politieregisters
•
•
Onderzoek tapkamers Het CBP is – later dan voorzien – eind 2004 gestart met de voorbereidingen van een onderzoek naar de privacyaspecten van de gegevensverwerking in de tapkamers van de politie in vervolg op het Onderzoek naar de waarborging van de vertrouwelijke communicatie van advocaten bij de interceptie van telecommunicatie uit 2003. Het onderzoek zal pas in 2005 worden voltooid.
•
•
•
Certificering Het met NOREA en NIVRA uitgewerkte systeem van privacycertificering is in 2004 in de praktijk getoetst aan de hand van proefcertificeringen. Het CBP heeft bijgedragen aan de beoordeling van deze proefcertificeringen. Anders dan aanvankelijke beoogd en in nauw overleg met de partners is er uiteindelijk voor gekozen de eventuele opbouw van stelsels van certifice-
10
•
jaarverslag 2004
Organisatieontwikkeling In 2004 is de afdeling Onderzoek operationeel geworden. Er is een begin gemaakt met de ontwikkeling van gedifferentieerde onderzoeksvormen en van risicoanalyse als instrument voor beleidsvorming. De afdeling heeft een belangrijke rol gespeeld bij het Nipo-onderzoek naar privacybeleving en heeft de meldingenanalyse 2004 uitgevoerd.
Burgerservicenummer Het realiseren van de Nationale Vertrouwensfunctie, een organisatie die tot taak krijgt de burger inzicht te geven in alle gegevensstromen op basis van het burgerservicenummer heeft in 2004 vertraging opgelopen. Helaas is het CBP in 2004 nog niet in de gelegenheid gesteld te beginnen met het toetsen van bestaande en nieuwe gegevensverwerkingen en met de voorbereiding op de toekomstige ombudsfunctie. Deze voorbereiding zal nu in 2005 mogelijk worden.
Beleidsregels en 2e-lijnspositie Het CBP heeft een aantal beleidsregels gepubliceerd voor het in behandeling nemen van zaken en de publiciteit daarover. In het kader van het streven naar een 2e-lijnspositie heeft CBP met enkele sector-, branche-, koepel- en beroepsorganisaties afspraken kunnen maken over informatie-uitwisseling en taakverdeling bij voorlichting en klachtbehandeling.
Cameratoezicht Voortbouwend op het onderzoek Cameratoezicht in de openbare ruimte. Onderzoek naar de inzet van cameratoezicht in alle Nederlandse gemeenten (2003) is in december 2004 een studie gepubliceerd over de privacyaspecten van cameratoezicht op de openbare ruimte. Camera’s in het publieke domein. Privacynormen voor het cameratoezicht op de openbare orde biedt gemeenten vuistregels voor besluitvorming en invoering van cameratoezicht. De studie is een van de meest bekeken publicaties op de website.
Onderzoek privacybeleving Het CBP heeft in 2004 door TNS Nipo Consult een onderzoek laten uitvoeren naar privacybewustzijn en privacybehoeften bij de Nederlandse burger. Dergelijke onderzoeken zijn in verscheidene Europese landen reeds uitgevoerd. De resultaten zullen in 2005 worden gepubliceerd.
• •
Landelijke registraties in de zorg In 2003 heeft het CBP een oriënterend onderzoek afgerond naar vijf landelijke registraties in de zorg. Later dan voorzien zijn in 2004 op basis van het onderzoek algemene bevindingen en normen voor landelijke zorgregistraties geformuleerd. Het rapport zal in 2005 worden gepubliceerd.
Het in 2003 gestarte onderzoek naar de registers van de Criminele Inlichtingeneenheden bij acht regiokorpsen is in 2004 afgerond. De algemene bevindingen van het onderzoek zijn gepubliceerd.
•
Invoering DBC-systematiek Op het gebied van de zorg zal het CBP nauw betrokken blijven bij de ontwikkeling en invoering van de financieringssystematiek op basis van de Diagnose Behandeling Combinatie.
•
CBP-website Het CBP heeft eind oktober 2004 een nieuwe website online gebracht, gericht op een directere voorlichting aan betrokkenen en verantwoordelijken. Het materiaal op de website is meer vraaggericht ontsloten. Het bezoek aan de website is sindsdien duidelijk gestegen.
< TERUG
INHOUD
VERDER >
telecommunicatieaanbieders. Het CBP heeft hierop gereageerd en leverde een substantiële bijdrage aan een advies van de Artikel 29-werkgroep – het samenwerkingsverband van de privacytoezichthouders in de EU – over de bewaarplicht, dat ook werd aangeboden aan de betrokken vaste commissies van de Eerste en Tweede Kamer. Voortbouwend op eerdere opinies sinds de jaren ’90 en uitspraken van het Europese Hof van Justitie was de werkgroep van oordeel dat de voorstellen voor een bewaarplicht voor alle verkeersgegevens niet voldoen aan de vereisten van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM): voor het langdurig bewaren van alle verkeersgegevens van onverdachte personen is geen noodzaak aangetoond. Een dergelijke systematische opslag is disproportioneel. Passagiersgegevens
De uitkomst van de onderhandelingen tussen de Europese Commissie en de Verenigde Staten over de verstrekking van passagiersgegevens aan de VS bleef naar het oordeel van de Artikel 29-werkgroep op een aantal punten onder de maat. Desondanks heeft de Europese Commissie een positieve beslissing genomen over het beschermingsniveau in de VS. Het Europese Parlement bracht de kwestie voor het Europese Hof. De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd op een goede implementatie van de genomen besluiten. Daartoe werd een model gemaakt voor de informatievoorziening aan passagiers. Met de luchtvaartmaatschappijen is overleg gevoerd over de informatievoorziening aan passagiers. Ook heeft de werkgroep aangedrongen op een zo spoedig mogelijke overgang van pull naar push, dat wil zeggen van het openstellen van de reserveringssystemen voor de Amerikaanse autoriteiten zodat deze de benodigde gegevens kunnen verzamelen, naar de actieve aanlevering van de noodzakelijke gegevens door de maatschappijen zelf. Identificatieplicht
Begin 2004 heeft het CBP de minister van Justitie geadviseerd het Wetsvoorstel uitbreiding identificatieplicht niet in te dienen. Het belangrijkste argument hiervoor was dat het wetsontwerp een algemene identificatieplicht voor de burger in het leven riep zowel ten overstaan van de politie als van andere toezichthouders. De wetgever schoot echter tekort in de noodzakelijke onderbouwing en rechtvaardiging van een dergelijke verplichting. Nog maar enkele jaren geleden concludeerde het tweede kabinet Kok dat een algemene identificatieplicht te ver zou gaan. De toelichting op het wetsvoorstel gaf geen nieuwe argumenten en het kabinet voldeed daarmee niet aan de eis van het EVRM, artikel 8, lid 2 om de inbreuk op de persoonlijke levenssfeer voldoende te rechtvaardigen. Evenmin werd de mogelijkheid van discriminatoire en stigmatiserende effecten van het voorstel onderkend. De minister van Justitie heeft het advies van het CBP grotendeels gevolgd. Op 1 januari 2005 is de uitgebreide en feitelijk algemene identificatieplicht van kracht geworden. Camera's in het publieke domein
De belangstelling voor cameratoezicht is in de afgelopen jaren alleen maar toegenomen. Camera’s worden door het brede publiek ook geaccepteerd in de verwachting dat cameratoezicht effectief is. Cameratoezicht door de overheid nam vooral de laatste jaren toe. In 2003 heeft het CBP daarom onderzoek laten doen naar aard en omvang van het cameratoezicht door de Nederlandse gemeenten. Uit dit onderzoek bleek onder meer dat 20 procent van de gemeenten gebruik maakte van camera’s en dat in veel van die gemeenten de effectiviteit van het toezicht (nog) niet geëvalueerd was. In november 2004 is vervolgens Camera’s in het publieke domein gepubliceerd met vuistregels voor besluitvorming, uitgangspunten voor inrichting en uitvoering, rechten van betrokkenen, toezicht en evaluatie. in vogelvlucht
11
< TERUG
INHOUD
VERDER >
Reïntegratie
gegeven. Dit voelde hij als een grote inbreuk op zijn
Een zieke werknemer werd onverwacht door een reïntegra-
persoonlijke levenssfeer. Het gevolg was wantrouwen en
tiebedrijf gebeld met het verzoek om aan een reïntegratie-
irritatie jegens de werkgever. Een dergelijke misser kan een
traject deel te nemen. Zijn werkgever had het bedrijf in-
succesvolle reïntegratie in de weg staan.
geschakeld om de zieke werknemer te helpen weer aan het
Een ander kwestie is of deze werkgever de medische gege-
werk te gaan. Daarvoor had zijn werkgever ook persoons-
vens van zijn werknemer zonder diens toestemming aan
gegevens, waaronder een rapportage van de bedrijfsarts,
het reïntegratiebedrijf mag verstrekken. Op grond van de
aan het reïntegratiebedrijf verstrekt. De werknemer was
wet mag de werkgever gegevens van een zieke werknemer
van dit alles echter niet op de hoogte.
aan een reïntegratiebedrijf verstrekken voor zover die
De werkgever bleek inderdaad niet aan zijn informatie-
noodzakelijk zijn voor het reïntegratietraject. Onder nood-
verplichting op grond van de Wet bescherming persoons-
zakelijke gegevens vallen ook de visie van de bedrijfsarts,
gegevens te hebben voldaan. De werkgever moest zijn
zoals vastgelegd in het plan van aanpak en de algemene
zieke medewerker over de verstrekking van diens persoons-
conclusies van de probleemanalyse die de bedrijfsarts heeft
gegevens te informeren. De betreffende werknemer werd
gemaakt. Dergelijke gegevens mogen dus wel verstrekt
onverwacht geconfronteerd met het feit dat vertrouwelijke
worden. In dit geval moet de werkgever de werknemer
informatie waaronder ook medisch informatie, buiten zijn
informeren maar hij heeft niet zijn toestemming nodig ●
medeweten om door zijn werkgever aan anderen was door-
Informatiehuishouding De nieuwe WAO en de verzekeraars
Voor het nieuwe WAO-stelsel adviseerde het CBP meer duidelijkheid te scheppen over de posities die de verschillende partijen (werkgever, werknemer, UWV, reïntegratiebedrijven en verzekeraars) ten opzichte van elkaar innemen als het gaat om het gebruik van persoonsgegevens. De wijze waarop verzekeraars in het nieuwe stelsel om zullen gaan met persoonsgegevens is onduidelijk en dat is onwenselijk. Door de nieuwe taken op grond van de Wet werk en inkomen naar arbeidsvermogen, maar bijvoorbeeld ook door de nieuwe Zorgverzekeringswet, krijgen de financiële concerns waartoe de verzekeraars behoren, de beschikking over nog veel meer (medische) persoonsgegevens. Dat levert een potentieel machtige en invloedrijke informatiepositie op. Verzekeraars erkennen overigens het belang van een zorgvuldige verwerking van persoonsgegevens. Wanneer de overheid nalaat hiervoor regels te stellen, is dat tijdrovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft dan ook met klem bij de minister van Sociale Zaken en Werkgelegenheid bepleit dat in de betreffende wetgeving helderheid wordt verschaft over de bevoegdheden en de beperkingen bij de verwerking van persoonsgegevens. Diagnose Behandeling Combinaties
Naar aanleiding van het vaststellen van het privacyraamwerk door het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en Zorgverzekeraars Nederland, is met het CBP overeengekomen dat een vervolg zou worden gegeven aan de privacybewuste invoering van de Diagnose Behandeling Combinaties (DBC’s). Het delen van informatie tussen de verschillende partijen zal zo moeten gebeuren dat de persoonlijke levenssfeer van de patiënt en het medisch beroepsgeheim minder worden geschaad. Het CBP heeft een adviserende rol gespeeld voor verschillende werkgroepen. Daarbij heeft het CBP ook zeer kritisch gekeken naar de opzet van het DBC Informatie Systeem. Er zijn met het ministerie van VWS en andere betrokken partijen afspraken gemaakt over minimale waarborgen voor de komende periode. Dit periodieke overleg tussen CBP en partijen zal in 2005 worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven op het nakomen van toezeggingen door partijen.
12
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Nieuwe informatiehuishouding bij de politie
In de afgelopen jaren is bij de verschillende politiekorpsen een breed palet ontstaan van verschillende ICT-toepassingen voor de uitvoering van dezelfde taken. Uiteindelijk is besloten te komen tot landelijke uniformiteit op het gebied van de ICT. Als toezichthouder op de verwerking van gegevens door de politie heeft het CBP op verzoek geadviseerd over de wettelijke regels die van invloed zijn bij de keuze van nieuwe systemen. Daarnaast is ook de herziening van het wettelijk kader voor de informatiehuishouding van de politie ter hand genomen. In 2004 is advies uitgebracht aan de minister van Justitie over het conceptwetsvoorstel Wet politiegegevens. Het CBP kan zich vinden in de systematiek bij de verwerking van politiegegevens waarin de waarborgen toenemen naarmate de verwerking riskanter wordt voor betrokkenen. Er waren ook drie belangrijk punten van kritiek. Ten eerste zou er meer de nadruk moeten komen te liggen op de kwaliteit van gegevens die de politie verwerkt. In de tweede plaats heeft het CBP ernstig bezwaar tegen de invoering van zogenaamde themaregisters, grote verzamelingen van gegevens over burgers die niet ergens van verdacht worden. Ten derde zou er een duidelijke regeling moeten komen voor bewaartermijnen. Gegevens die niet meer nodig zijn, zouden vernietigd moeten worden en niet almaar bewaard worden voor het geval aan de gegevens behoefte mocht ontstaan. Nieuw Schengen Informatiesysteem
Het Schengen Informatiesysteem is bedoeld om de controle aan de buitengrenzen van de Europese Unie te versterken. Alleen al de toetreding van nieuwe lidstaten tot de EU maakt vernieuwing van dat systeem nodig. Ook kunnen in het systeem geen biometrische kenmerken worden opgenomen. De Gemeenschappelijke Controleautoriteit Schengen (GCA), onder voorzitterschap van het CBP, heeft in september 2004 een opinie uitgebracht over de ontwikkeling van het nieuwe Schengen Informatiesysteem (SIS II). De GCA vraagt aandacht voor de bescherming van persoonsgegevens al bij het ontwerpen van SIS II. De Europese Raad wordt opgeroepen het doel en de functies van het te bouwen systeem te verduidelijken zodat voldoende privacywaarborgen voor het systeem kunnen worden getroffen. Europees visa-informatiesysteem
Er zijn plannen voor één visa-informatiesysteem voor de hele Europese Unie met gebruik van biometrische gegevens. Hierover heeft de Artikel 29-werkgroep in augustus 2004 een officieel standpunt gepubliceerd. De werkgroep wijst erop dat de verwerking van biometrische gegevens aan een zeer nauwkeurige rechtmatigheidtoets moet voldoen, omdat de gevaren van misbruik van deze gegevens groot zijn. De werkgroep heeft grote bedenkingen tegen een routinematige en grootschalige opslag van biometrische gegevens en wil betrokken worden bij de verdere vormgeving van het visa-informatiesysteem. Burgerservicenummer
Het beleid voor een ‘elektronische overheid’, een overheid die optimaal gebruik maakt van informatietechnologie waaronder internet, is in 2004 neergelegd in het programma ‘Andere overheid’. De introductie van een Burgerservicenummer (BSN) is een absolute voorwaarde voor het welslagen van dit programma. Het programmabureau BSN werd opgericht met als opdracht het eind 2003 opgeleverde plan te verwezenlijken. Het kabinet nam onverwachts het besluit het Burgerservicenummer – in strijd met eerdere toezeggingen – ook in de zorgsector in te voeren. Zorginstellingen en zorgverzekeraars zullen verplicht worden ermee te werken. Het gebruik van een uniek identificerend persoonsnummer in de zorg brengt risico’s met zich mee. Grootschalige koppeling van (patiënten-)gegevens wordt makkelijker en misbruik daardoor eenin vogelvlucht
13
< TERUG
INHOUD
VERDER >
voudiger. Een apart zorgidentificatienummer – een waarborg tegen te gemakkelijke verspreiding van gegevens van patiënten en zorgbehoevenden – bleek echter in de politieke en maatschappelijke constellatie niet meer haalbaar. Het CBP is daarop akkoord gegaan met het gebruik van het BSN in de zorgsector, mits dit vergezeld zou gaan van compenserende waarborgen, waaronder betrouwbare autorisatieprocedures voor het gebruik van medische gegevens die met het nummer ontsloten worden. Het CBP zal in 2005 meewerken aan de voorbereiding van de zogeheten nationale vertrouwensfunctie die voorziet in structureel toezicht in de vorm van onder meer één loket waar burgers met vragen en klachten over het BSN terechtkunnen.
Gedragscodes In 2004 konden vijf sectorale gedragscodes goedgekeurd worden. Na een jarenlang voortraject, waarin het CBP de branchevereniging heeft trachten te ondersteunen, kon begin 2004 de gedragscode voor de particuliere recherche worden goedgekeurd (zie ook hierna p.37). De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders ontwikkelde een gedragscode met regels voor de bijzondere situatie dat gerechtsdeurwaarders als openbaar ambtenaar optreden en daarnaast ook commerciële diensten (bijv. incasso) verlenen. Het is noodzakelijk dat zij de informatie verkregen uit hoofde van hun bijzondere wettelijke bevoegdheden als ambtenaar niet zondermeer gebruiken voor de niet-ambtelijke werkzaamheden. De brancheorganisatie voor Werving, Search en Selectie (OAWS) herzag en actualiseerde haar gedragscode die aangeeft voor welke doeleinden persoonsgegevens van potentiële kandidaten mogen worden verwerkt. Ook de Code Goed Gedrag, een gedragscode voor gezondheidsonderzoek, is herzien en werkt regels voor de omgang met patiëntgegevens in gezondheidsonderzoek uit. Nieuw is de Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek, die werd opgesteld door drie organisaties, de Vereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en de MarktOnderzoekAssociatie.nl.
Adrescontrole door Interpay Naar aanleiding van een klacht heeft het CBP onderzoek
charitatieve stichting de brieven met verzoeken om een bij-
gedaan naar de wijze waarop een charitatieve stichting en
drage onbesteld terug kreeg. De stichting kon zo het
Interpay BankGiroCentrale (Interpay) bleken samen te wer-
(potentiële) donateurbestand systematisch actualiseren.
ken voor direct marketing. Interpay verwerkt jaarlijks
Het uitvoeren van een dergelijke adrescontrole is in strijd
miljarden financiële transacties voor banken en financiële
met de gedragscode voor financiële instellingen, opgesteld
instellingen en beschikt daardoor over uitstekend bij-
door de sector en in februari 2003 goedgekeurd door het
gehouden gegevens van iedereen met een bankrekening.
CBP. Interpay heeft naar aanleiding van de uitspraak van
De stichting liet voor het versturen van donatieverzoeken
het CBP in oktober 2004 besloten alle zogenaamde
het eigen adressenbestand actualiseren door Interpay.
NAW-dienstverlening voor onbepaalde tijd stop te zetten.
Interpay verleende deze dienst tegen betaling. Het bedrijf
De banksector heeft inmiddels laten weten met deze
verstrekte – in feite namens de banken – daartoe de juiste
commerciële adressencontrole te stoppen ●
naam- en adresgegevens van de personen van wie de
14
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Zorgverzekeraars Nederland, branchevereniging voor zorgverzekeraars, is in 2004 gestart met het opstellen van gedragsregels voor onder meer het gebruik van de vele medische gegevens die de zorgverzekeraars ontvangen in het kader van het declareren van zorg. Ook zullen regels worden opgesteld voor het onderzoeken van fraude door een instelling, hulpverlener of verzekerde. Het gaat om een toevoeging op de Gedragscode Verwerking Persoonsgegevens van de financiële instellingen. De verwachting is dat deze gedragsregels in de zomer van 2005 van een goedkeurende verklaring kunnen worden voorzien.
Toezicht De jaarlijkse Voorjaarsconferentie van de privacytoezichthouders in de Europese Unie, die in 2004 door het CBP werd georganiseerd in Rotterdam, stond geheel in het teken van effectieve methoden en arrangementen van toezicht. De driedaagse conferentie werd op 22 april geopend door de minister van Justitie, mr. J.P.H. Donner, die opriep tot verdere samenwerking bij het toezicht op de rechtshandhaving in Europa binnen de zogenaamde derde pijler, het beleidsterrein van justitie en binnenlandse zaken. De Europese privacytoezichthouders hebben inmiddels hun samenwerking bij advisering en toezicht op het terrein van politie en justitie geïntensiveerd. Toezicht op de Europese samenwerking van politie en justitie
De nationale toezichthouders in de Europese Unie oefenen gezamenlijk toezicht uit op de instellingen waarin de nationale politie- en justitieautoriteiten in Europa samenwerken (o.a. Europol en Schengen). Zij doen dit via de zogenaamde Gemeenschappelijke Controleautoriteiten en -organen. In 2004 zijn deze toezichthoudende organen op de gegevensverwerkingen (Schengen, Europol, Douane en Eurojust) voor het eerst gezamenlijk bijeengekomen met het oog op een krachtiger advisering in de derde pijler. Zij gaven onder meer een reactie op de onderzoeksvragen van een commissie van het Britse Hogerhuis over terrorismebestrijding in de Europese Unie en de bescherming van de persoonlijke levenssfeer. De toezichthouders pleitten voor verbetering van de bescherming van de fundamentele rechten van het individu ten aanzien van zijn persoonsgegevens en van het toezicht daarop. De bestaande internationale wet- en regelgeving is daarvoor niet voldoende. Gelet op de toenemende schaal van de gegevensverwerkingen, vaak ook van gegevens van onverdachte personen, is er behoefte aan nieuwe specifieke regels voor de politiesector. Particuliere opsporing
Voor de sector van de particuliere opsporing is in 2004 een bijzonder toezichtarrangement geschapen. De Wet op de particuliere beveiligingsorganisaties en recherchebureaus normeert weliswaar de sector, maar het ontbrak aan regels voor de uitvoering van onderzoeken en de verdere verwerking van de verzamelde gegevens. De reikwijdte van de gedragscode van de Vereniging van Particuliere Beveiligingsorganisaties, die hierin voorziet, is verbreed doordat de minister van Justitie deze in een ministeriële regeling verplicht heeft gesteld voor alle recherchebureaus. Voor het toezicht op de naleving hebben het CBP en de minister van Justitie een samenwerkingsovereenkomst gesloten.
in vogelvlucht
15
< TERUG
INHOUD
VERDER >
Doelen 2005 IN 2005 ZULLEN MET NAME DE VOLGENDE RESULTATEN WORDEN NAGESTREEFD :
•
Veiligheid en privacy zijn niet noodzakelijk tegengesteld. Het streven van de overheid naar een veel sterkere informatiepositie ten aanzien van (veelal onverdachte) burgers stelt principiële vragen wel op scherp. Het toezicht op het gebruik van bevoegdheden en de over burgers verzamelde informatie is ten onrechte nog onvoldoende geregeld. Waar toezicht en controle wel zijn geregeld, is er soms sprake van een gebrekkige naleving van de regels. Het CBP zal in 2005 in aansluiting op de ontwikkelingen op het gebied van terrorismebestrijding en veiligheid zijn standpunten kenbaar maken en zich beraden op uit te voeren onderzoeken naar de naleving van privacyregels op dit gebied.
•
rechten kunnen uitoefenen met betrekking tot hun persoonsgegevens. Het CBP zal in 2005 extra aandacht besteden aan de informatieplicht, zowel in de voorlichting als door middel van onderzoek. De naleving van de informatieplicht zal worden onderzocht, in het bijzonder ook bij particuliere recherchebureaus en bij de bestrijding van fraude in de sociale zekerheid.
Veiligheid en privacy
Bijzondere politieregisters
•
•
Particuliere recherche In 2005 zal met een steekproef onderzoek worden gedaan naar naleving van de sectorale gedragscode door particuliere recherchebureaus.
• •
Risicoselectie
Internet en privacy Het internet confronteert gebruikers met vragen over hun privacy, de veiligheid van hun persoonsgegevens en het mogelijke misbruik daarvan. Het internet stelt ook het CBP voor nieuwe vragen over zijn bevoegdheid als toezichthouder en een effectief toezicht op internet. Het CBP zal zijn positie als toezichthouder ten aanzien van internet bepalen en publiceren. Daartoe behoort ook het formuleren van specifieke normen op enkele gebieden. De focus zal liggen op publicaties op websites, met als invalshoek de privacyproblemen die burgers in de alledaagse praktijk op het internet ondervinden.
•
Informatieplicht Overheden, bedrijven en andere organisaties hebben de wettelijke plicht om mensen van wie zij persoonsgegevens gebruiken, hiervan op de hoogte te stellen. Het naleven van deze informatieplicht is een belangrijke waarborg dat burgers hun
16
jaarverslag 2004
Binding Corporate Rules Het CBP zal actief bijdragen aan een vereenvoudiging van de regels voor de doorgifte van persoonsgegevens naar verantwoordelijken buiten de Europese Unie. Onder meer zal het CBP streven naar Europese afspraken over een uniforme procedure voor het aanvragen van vergunningen en over een gecoördineerde afhandeling van vergunningaanvragen gebaseerd op zogenaamde binding corporate rules (BCR’s): instrumenten van zelfregulering voor de verwerking van persoonsgegevens binnen internationaal werkende concerns.
Profilering is het beoordelen van individuen op basis van groepskenmerken. Het gaat om insluiting en uitsluiting van mensen op basis van een analyse aan de hand van een profiel. Profilering bergt het risico van oneerlijke behandeling in zich. Het CBP organiseert dit jaar een expert meeting over risicoselectie. Op basis van de uitkomsten hiervan zal het besluiten of het de privacyregels voor het gebruik van groepsprofielen bij risicoselectie uitwerkt in een publicatie.
•
Administratieve lasten Het CBP zal voorstellen doen ter vermindering van de administratieve lasten voor bedrijven (en overheden) met behoud van het huidige beschermingsniveau voor persoonsgegevens. In aansluiting op eind 2004 gedane voorstellen zal het CBP in overleg treden met de minister van Justitie, onder meer over verruiming van de vrijstelling van de meldingsplicht. Het CBP zal ook voorstellen de vergunningplicht voor doorgifte buiten de EU af te schaffen indien bedrijven gebruik maken van de door de Europese Commissie goedgekeurde modelcontracten.
Het CBP beschouwt het als zijn taak structureel toezicht uit te oefenen op de bijzondere politieregisters omdat deze niet of nauwelijks toegankelijk zijn voor burgers of de rechter. Het CBP zal in 2005 opnieuw onderzoek doen in enkele registers en een rapport met de algemene bevindingen publiceren.
•
Meldingsplichtonderzoek Ook in 2005 zal het CBP op basis van een analyse van het openbaar register van meldingen een steekproefsgewijs onderzoek in diverse sectoren uitvoeren naar de naleving van de meldingsplicht.
•
Samenwerkingsverbanden Samenwerkingsverbanden voor het aanpakken van maatschappelijke problemen (veiligheid, overlast in wijken, bemoeizorg, jeugdzorg) staan sterk in de belangstelling. Privacywetgeving wordt daarbij vaak – en vaak ten onrechte – als belemmering genoemd. Het CBP zal bijdragen aan de verheldering van de regels voor de noodzakelijke uitwisseling van persoonsgegevens in samenwerkingsverbanden. In april 2005 organiseert het CBP en symposium over privacy in samenwerkingsverbanden. Met de beroepsvereniging voor toezichthouders Vide zal het CBP een symposium organiseren voor inspecties over hun positie als deelnemer in samenwerkingsverbanden en als toezichthouder op organisaties die participeren in samenwerkingsverbanden.
< TERUG
•
INHOUD
Toezicht en toezichthouders Het CBP streeft naar efficiënt en effectief toezicht op de naleving van de regels voor de verwerking van persoonsgegevens. Koepel- en brancheorganisaties zullen worden aangesproken op hun verantwoordelijkheid voor zelfregulering, onder meer door de publicatie van een handreiking voor compliance-onderzoek. Het CBP stimuleert verder het aanstellen van functionarissen voor de gegevensbescherming en richt zich in 2005 op de kwaliteitsverbetering van dit interne toezicht. Het CBP zal adviezen aan de minister van Justitie uitbrengen gericht op het oplossen van knelpunten die voor andere toezichthouders voortvloeien uit de Wet bescherming persoonsgegevens. Met de OPTA zal een samenwerkingsovereenkomst worden gesloten. Met het oog op doelmatig toezicht zal samenwerking ook met diverse andere toezichthouders (o.a. IWI) worden onderzocht. Met de Commissie gelijke behandeling, de Nationale ombudsman en het Studie- en informatiecentrum mensenrechten streeft het CBP ernaar in 2005 een advies aan de regering uit te brengen over de wenselijkheid van een nationaal mensenrechteninstituut.
•
•
VERDER >
Burgerservicenummer De introductie van het burgerservicenummer (BSN) is nu het centrale punt in de ontwikkeling van de informatie-infrastructuur van de overheid. Het CBP is intensief betrokken geweest bij de voorbereiding van het stelsel. Door deelname in de stuurgroep BSN en in de werkgroep Nationale Vertrouwensfunctie (NVF) beoogt het CBP te verzekeren dat de overeengekomen privacywaarborgen ook daadwerkelijk gerealiseerd worden. Het CBP zal in het kader van de NVF zelf verantwoordelijk worden voor de nationale ombudsfunctie en de toetsing van gegevensuitwisseling op basis van het BSN. In 2005 zal het CBP de implementatie van deze taken voorbereiden.
•
Evaluatie Wet bescherming persoonsgegevens Het CBP zal zich voorbereiden op een bijdrage aan de evaluatie van de Wet bescherming persoonsgegevens die is voorzien voor 2006 (artikel 80 WBP).
Zorg en zekerheid Invoering van marktwerking en meer eigen verantwoordelijkheid staan centraal in beide sectoren. In beide stelsels krijgen verzekeraars een regiefunctie toebedeeld, die leidt tot een intensievere verzameling van vaak gevoelige gegevens over individuele burgers en uitwisseling ervan binnen conglomeraten. Heldere regels voor het gebruik van persoonsgegevens ontbreken echter. Het CBP zal de privacyrisico’s verbonden aan de gedeeltelijke privatisering van zorg- en zekerheidsstelsels aan de orde blijven stellen. De introductie van het Diagnose Behandeling Combinaties (DBC)-stelsel zal nauwlettend als toezichthouder gevolgd worden. Verder zal een verkennend onderzoek bij zorgverzekeraars worden verricht naar het gebruik van medische gegevens door een zorgverzekeraar. Zorgverzekeraars Nederland (ZN) zal in 2005 het addendum bij de gedragscode voor Financiële Instellingen herzien en uitbreiden met regels voor materiële controle en regels over het gebruik van declaratiegegevens. Het zal dit addendum ter goedkeuring aan het CBP voorleggen. Ook zal een normatief kader gepubliceerd worden voor de sociale diensten: een tiental uitgangspunten waaraan de sociale diensten zich dienen te houden bij het verwerken van persoonsgegevens.
in vogelvlucht
17
< TERUG
INHOUD
VERDER >
Wet werk en bijstand
Ten behoeve van het toezicht op de nieuwe Wet Werk en Bijstand hebben IWI en CBP het voornemen uitgesproken om in 2005 een samenwerkingsconvenant af te sluiten. Door samenwerking en kennisdelen zal effectiever en efficiënter toezicht kunnen worden gehouden. Samenwerking bevordert bovendien eenduidig toezicht omdat de normenkaders waar de toezichthouders mee werken op elkaar kunnen worden afgestemd. Ook de toezichtdruk voor de onder toezicht gestelde organisaties kan zo worden verminderd. In het convenant zullen bijvoorbeeld afspraken worden gemaakt over het delen van toezichtinformatie en het elkaar wederzijds informeren over de uitkomsten van onderzoeken. Zorgverzekeringswet
De nieuwe Zorgverzekeringswet voorziet in een verplichte standaardzorgverzekering voor alle inwoners van Nederland. Het CBP heeft in 2004 op het wetsvoorstel geadviseerd meer concrete normen te stellen voor gebruik en uitwisseling van persoonsgegevens in het kader van zorgverzekeringen. Het structurele toezicht op de zorgverzekeraars zal zich anders hoofdzakelijk beperken tot het signaleren van onrechtmatigheden op verzekeringstechnisch, financieel en administratief terrein. Toezicht op de verwerking van persoonsgegevens dient specifiek opgenomen te worden in het wetsvoorstel, omdat ook op de verwerking van persoonsgegevens door de zorgverzekeraars structureel toezicht noodzakelijk is. Daarnaast is aanpassing van het addendum van Zorgverzekeraars Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevens van de financiële instellingen nodig. Spam
Ongevraagde, in grote hoeveelheden verzonden e-mail, beter bekend als spam, is hinderlijk, lastig aan te pakken en jaagt Internet service providers – en daarmee hun klanten – op hoge kosten. Volgens recente schattingen is wereldwijd ongeveer driekwart van alle e-mail spam. De Europese Richtlijn Elektronische Communicatie (2002/58) verbiedt het versturen van ongevraagde commerciële berichten en de Europese toezichthouders op dit verbod werken samen in het zogenaamde Contact Network of Spam Authorities voor informatie-uitwisseling en het faciliteren van samenwerking bij de handhaving van het verbod in de EU. Hiertoe is ook een samenwerkingsovereenkomst opgesteld. In Nederland hebben de OPTA en het CBP op 19 oktober 2004 afspraken over samen-
Persoonsgegevens binnen multinationals
De evaluatie van de Europese privacyrichtlijn 95/46/EG in
BCRs opgesteld en tijdens de hoorzitting werden hun er-
2003 heeft geleid tot een werkprogramma voor de
varingen besproken. Ook werd besproken wat noodzakelijk
Europese privacytoezichthouders. Een belangrijk onderdeel
is om BCRs tot een Europees succes te maken. Het bedrijfs-
daarvan is een vereenvoudiging van de regels voor door-
leven bleek vooral behoefte te hebben aan een eenvoudige,
gifte van persoonsgegevens naar landen buiten Europa, met
snelle en duidelijke procedure om in de verschillende lan-
name voor multinationale bedrijven. Met enkele andere
den van de Europese Unie goedkeuring te krijgen van
toezichthouders streeft het CBP naar de introductie van
BCRs. Op grond van één BCR zouden vanuit de hele EU
zogenaamde Binding Corporate Rules (BCRs), bindende
gegevens moeten kunnen worden doorgeven naar ‘derde
gedragscodes voor de omgang met persoonsgegevens
landen’. In Nederland is de goedkeuring van enkele BCRs
binnen multinationale concerns.
in de afrondingsfase. Op Europees niveau werken de pri-
Op 24 november 2004 vond hierover in Den Haag een
vacytoezichthouders aan een samenwerkingsprocedure voor
publieke hoorzitting plaats. Enkele multinationals hadden
de behandeling van BCRs ●
18
jaarverslag 2004
< TERUG
INHOUD
VERDER >
werking ondertekend met betrekking tot het spamverbod, dat sinds 19 mei 2004 in Nederland van kracht is. Het CBP zal zich primair richten op het toezicht op het verzamelen en gebruiken van e-mailadressen. Individuele klachten over spam kunnen worden gericht tot de OPTA via www.spamklacht.nl. De werkafspraken over spam vormen de opmaat voor de uitwerking van een breder samenwerkingsprotocol in 2005.
Onderzoek en handhaving Criminele inlichtingeneenheden
In 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere politieregisters die gehouden worden door criminele inlichtingen eenheden (CIE) bij de regionale politiekorpsen. Het CBP is ingevolge de Wet politieregisters (Wpolr) toezichthouder op de werking van de politieregisters. In die positie heeft het CBP toegang tot de inhoud van de CIE-registers. Die informatie wordt, met recht, vanwege de gevoelige aard ervan grotendeels van betrokkenen en het toezicht door de rechter, afgeschermd. Daarin ziet het CBP een bijzondere opdracht inhoudelijk op de CIE-registers toe te zien. Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op controle aan de hand van de inhoud van de registers, daarnaast zijn ook enkele technische en organisatorische aspecten in beschouwing genomen. Het algemene beeld uit het onderzoek is overwegend positief te noemen. De onderzochte inhoudelijke aspecten bleken over het algemeen in orde. Wat betreft de onderzochte technische en organisatorische aspecten bleek dat op een aantal punten niet wordt voldaan aan de voorschriften die door de wet- en regelgeving worden gesteld. De korpsen geven aan dat zij, in afwachting van een landelijk in te voeren informatiesysteem, geen aanpassingen zullen uitvoeren ten aanzien van de huidige systemen en werkwijzen. Schengen Informatiesysteem
In 2004 heeft de Gemeenschappelijke Controleautoriteit Schengen aan de nationale controleautoriteiten van de lidstaten die aangesloten zijn op het Schengen Informatiesysteem (SIS), verzocht een onderzoek naar de gang van zaken bij het signaleren van vreemdelingen in het systeem. Eind juni 2004 en eind december 2004 is gerapporteerd aan de GCA Schengen. Een aantal signaleringen hebben bij het CBP vragen opgeroepen en deze signaleringen zullen nader worden onderzocht. Landelijke registraties in de zorg
Het CBP heeft in 2004 zijn onderzoek naar de werking van landelijke zorgregistraties afgerond met een onderzoeksrapportage die in april 2005 gepubliceerd is. Het verkennende onderzoek had als kernvragen wat de patiënt weet van de registratie van zijn gegevens in landelijke databanken, waarvoor deze registraties precies worden gebruikt, en of de gegevens in de registraties tot de persoon van de patiënt herleidbaar waren. Voor het verwerken van (indirect) herleidbare patiëntgegevens biedt de wet namelijk maar beperkte mogelijkheden, gezien de gevoeligheid van de gegevens en het voor artsen mede om die reden geldende beroepsgeheim. Uit het onderzoek bij vijf landelijke registraties heeft het CBP de indruk gekregen dat de onderzochte landelijke registraties over het algemeen redelijk tot goed omgaan met persoonsgegevens. Ook bleek dat verbeteringen in bijna alle gevallen mogelijk en noodzakelijk waren. De voornaamste te nemen maatregel is het beperken van de herleidbaarheid van de gegevens tot individuele patiënten. Een aantal aanbevelingen is inmiddels door de registraties overgenomen.
in vogelvlucht
19
< TERUG
INHOUD
VERDER >
Naleving van de meldingsplicht
Bedrijven, organisaties en instellingen zijn op grond van de WBP verplicht verwerkingen van persoonsgegevens te melden bij het CBP of de functionaris voor de gegevensbescherming tenzij er een vrijstelling geldt. Als een gegevensverwerking ten onrechte niet, onjuist of onvolledig gemeld is, kan het CBP een boete opleggen van maximaal 4500 Euro. Periodiek worden meldingen uit bepaalde sectoren of van bepaalde soorten verwerkingen aan een nader onderzoek onderworpen. Dit doet het CBP ook naar aanleiding van klachten van betrokkenen. Het jaarlijkse controleonderzoek is in 2004 uitgevoerd in drie sectoren, namelijk telecommunicatie, de geestelijke gezondheidszorg en de incassobranche. De onderzoeken zullen in 2005 afgerond worden, al dan niet met het opleggen van sancties. In vervolg op specifieke voorlichting aan telecomsector heeft het CBP bij een aantal aanbieders van telecommunicatiediensten (vaste en mobiele telefonie en internet) gecontroleerd of aan de meldingsplicht was voldaan. Het onderzoek richtte zich met name op de melding van de verwerking van verkeersgegevens. Bij enkele Geneeskundige gezondheidsdiensten (GGD’s) is onderzoek gedaan naar naar de melding van de verwerking van persoonsgegevens in het kader van de Openbare geestelijke gezondheidszorg (OGGZ). Deze verwerking houdt naar het oordeel van de wetgever een bijzonder risico in voor de persoonlijke levenssfeer van de betrokken burgers; bij de melding dient daarom ook een onderzoek naar de rechtmatigheid van de verwerking te worden aangevraagd bij het CBP, het zogenaamde voorafgaand onderzoek. Uit de analyse van het WBP-Meldingenregister bleek dat het aantal meldingen door incassobureaus sterk achterblijft. De controle in deze sector was er op gericht te onderzoeken in hoeverre incassobureaus persoonsgegevens verwerken en in hoeverre zij terecht verwerkingen van persoonsgegevens niet gemeld hebben.
GRAFIEK BEZOEKERS WWW. CBPWEB . NL
60.000 55.000 50.000 45.000 40.000 35.000 30.000 25.000 20.000 15.000 10.000 5.000 0 jan
feb
mrt
apr
2003
20
jaarverslag 2004
mei
jun
jul
aug
sep
okt
nov
dec
jan 2004
feb
mrt
apr
mei
jun
jul
aug
sep
okt
nov
dec
< TERUG
INHOUD
VERDER >
Boetes voor gemeenten en bedrijven
In 2003 voerde het CBP de eerste steekproefsgewijze controle uit naar de naleving van de WBP-meldingsplicht bij een aantal gemeenten, zorgverzekeraars, interne en externe arbodiensten en bij direct marketing bedrijven. Het aantal WBP-meldingen is na deze eerste controles sterk gestegen, niet alleen in de onderzochte sectoren maar ook bij de particuliere recherchebureaus, de politie en in de zorgsector. In totaal zijn voor deze eerste controle 50 onderzoeken verricht. In een aantal gevallen werd na het schriftelijke onderzoek aanvullend onderzoek ter plaatse gedaan ter vaststelling van de feiten. Eind 2003 leidde de controle tot de eerste boetes bij een gemeente en twee bedrijven. In de loop van 2004 heeft het CBP in totaal 29 boetes van € 3.000 tot € 15.000 opgelegd. In een aantal gevallen heeft het CBP gebruik gemaakt van zijn bevoegdheid om de boete te matigen, in het bijzonder als er sprake was - zoals bij gemeenten - van een groot aantal verwerkingen van persoonsgegevens. De voornaamste overweging hierbij was dat ook de gematigde boete zijn doel – de speciale en generale preventie – zou bereiken. De boetes zijn opgelegd aan 14 gemeenten, 3 direct marketing bedrijven, 3 zorgverzekeraars en 9 arbodiensten. De meeste gemeenten hebben een bezwaarschrift ingediend tegen de boete; enkele gemeenten hebben de boete inmiddels betaald. De private organisaties hebben op één na geen bezwaar gemaakt en hebben bijna allemaal betaald. Alle betrokken organisaties hebben inmiddels hun verwerkingen van persoonsgegevens bij het CBP gemeld.
Register van gestolen fietsen
De Stichting Aanpak Voertuigcriminaliteit vroeg om advies
ren van het register van gestolen fietsen een wettelijke taak
over het opzetten van een register van gestolen fietsen.
voor de Rijksdienst Wegverkeer wordt.
Met een register zou het gemakkelijker kunnen worden
Met het oog op de beheersbaarheid en effectiviteit van
voor de politie om de eigenaren van gestolen fietsen te
zo’n register verdient een landelijke aanpak de voorkeur
traceren. In de toekomst zouden op basis van het register
zowel voor het traceren van eigenaars door de politie als
ook fietsenhandelaren en consumenten via internet er
voor het voorkomen van heling. Een voor iedereen via
achter moeten kunnen komen of een bepaalde fiets gesto-
internet raadpleegbaar register waarin gegevens over
len is, dit om heling van gestolen fietsen te voorkomen.
gestolen fietsen worden vermeld, moet bovendien aan een
Zo’n register lijkt een goed idee maar er moet wel wat voor
paar eisen voldoen. Er moeten duidelijke afspraken
geregeld worden. Om in het register gegevens over diefstal
gemaakt worden over de verantwoordelijkheid voor de
– met andere woorden strafrechtelijk gegevens – te mogen
juistheid van de opgenomen gegevens en er mogen geen
verwerken en deze via internet openbaar te maken, is een
ongewenste effecten zijn voor burgers die te goeder trouw
wettelijke basis noodzakelijk. De Wegenverkeerswet zou
zijn ●
dus gewijzigd moeten worden zodat het opzetten en behe-
in vogelvlucht
21
< TERUG
INHOUD
VERDER >
Beleid van de toezichthouder De samenleving moet erop kunnen rekenen dat toezicht en toezichthouders gekenmerkt worden door onafhankelijkheid, transparantie en professionaliteit. De Ambtelijke Commissie Toezicht II, die in het kader van haar taak in 2004 ook een rapport over het CBP heeft opgesteld, onderscheidt in het algemeen een aantal samenhangende, kritische succesfactoren voor toezicht, waaronder: • een heldere en consistente strategie gebaseerd op inzicht in de praktijk van de naleving; • integriteit van het toezicht, gewaarborgd door een goede functiescheiding rond advisering en controle; • een zo klein mogelijke toezichtdruk voor bedrijven en organisaties onder meer door samenwerking met andere toezichthouders, en • een goede publieke verantwoording en goed contact met belanghebbende partijen.
22
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Op al deze punten zijn in 2004 door het CBP wezenlijke vorderingen gemaakt. In 2005 zal in de eerste plaats verder geïnvesteerd worden in het verzamelen van meer nalevinginformatie en verdieping van de risicoanalyse als basis voor onderzoek- en handhavingstrategie. Het CBP zag zich verder gesterkt in zijn overtuiging dat bescherming van de persoonlijke levenssfeer burgers wel degelijk interesseert, juist als zij voor feitelijke dilemma’s in hun directe belevingssfeer worden gesteld. Onderzoek in 2004 uitgevoerd door TNS NIPO Consult liet zien dat burgers een direct verband leggen tussen de manier waarop (zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen dat zij in deze organisaties hebben, in weerwil van het achteloze “Ik heb toch niets te verbergen” waarmee zij privacydilemma’s rond veiligheid vaak afdoen. Uit het onderzoek bleek een stevige vertrouwenskloof gerelateerd aan de bescherming van de persoonlijke levenssfeer. Burgers, overheden en bedrijven mogen verwachten dat het CBP wezenlijke normen en afgesproken regels handhaaft en zonodig stevig optreedt. Bedrijven die investeren in een integere omgang met persoonsgegevens, moeten kunnen rekenen op een level playing field. Burgers moeten kunnen rekenen op toezicht aangezien zij niet de middelen hebben om alleen de risico’s van fraude met of misbruik van hun gegevens te dragen. Het onderlinge vertrouwen in het maatschappelijk verkeer wordt zo versterkt door een behoorlijke, zorgvuldige en rechtmatige omgang met persoonsgegevens. Ook het vertrouwen in de overheid is direct gebaat bij de wijze waarop zij met de gegevens van haar burgers omgaat. De normen voor het gebruik van persoonsgegevens behoren tot de grondslagen van de democratische rechtsorde. Als spelregels zijn zij tevens uiterst bruikbaar voor een evenwichtige afweging van belangen bij het aanpakken van maatschappelijke problemen. GRAFIEK BELANG / VERTROUWEN OP BASIS VAN NIPO - RAPPORT
belang/vertrouwen belang vertrouwen
Belastingdienst Gemeenten Politie Uitkeringsinstanties Banken en financiële instellingen Werkgevers Verzekeraars Credit card maatschappijen Incassobureau’s Gerechtsdeurwaarders Marktonderzoekbureau’s Postorderbedrijven Goede doelenorganisaties Winkels 0
10 20 30 40 50 60 70 80 90 100
beleid van de toezichthouder
23
< TERUG
INHOUD
VERDER >
Transparantie
De samenleving verwacht doortastend én zorgvuldig optreden van het CBP. Er kunnen immers grote belangen op het spel staan voor organisaties wanneer het CBP eisen stelt aan de naleving van de regels voor de bescherming van persoongegevens. Kwaliteit en transparantie van het optreden van de toezichthouder dienen steeds bewaakt te worden en te voldoen aan maatschappelijke normen. Het CBP publiceerde daarom in 2004 in de Staatscourant en op de website een beleidsrichtlijn om inzicht te geven in de werkwijze van het College bescherming persoonsgegevens bij de uitvoering van taken en werkzaamheden. De beleidsrichtlijn Uitgangspunten en beleidsregels werkwijze CBP geeft de uitgangspunten voor onder meer het selectiebeleid bij een aantal taken. Om het brede werkterrein van de bescherming van persoonsgegevens met een kleine organisatie te kunnen dienen is een selectiebeleid noodzakelijk. De eerste versie van de beleidsregels bevat hoofdstukken over de afhandeling van verzoeken om voorlichting, klachtenbehandeling, bemiddeling en de toepassing van bestuursdwang. Beleidsregels over de bevoegdheid om een boete op te leggen bij niet-naleving van de meldingsplicht werden reeds in 2003 gepubliceerd en werden ongewijzigd in de beleidsrichtlijn opgenomen. Uitgangspunten en beleidsregels aangaande andere taken zullen aan deze publicatie worden toegevoegd. Administratieve lasten
Het CBP is zich bewust van de administratieve last die regelgeving veelal met zich meebrengt en onderschrijft het belang van het kabinetsbeleid om te komen tot administratieve lastenverlichting. Ook voor de maatschappelijke steun voor de bescherming van persoonsgegevens is het noodzakelijk dat ondernemers niet geconfronteerd worden met te grote lasten als gevolg van de WBP. De minister van Justitie streeft daarom naar het vereenvoudigen van de uitvoering van de wet voor de verantwoordelijken ter vermindering van de administratieve lasten. Het huidige beschermingsniveau voor de betrokkenen dient daarbij behouden te blijven en wijzigingen dienen te vallen binnen de marges van de Europese Richtlijn (95/46/EG). Het CBP heeft in december 2004 tien concrete voorstellen gedaan die leiden tot administratieve lastenverlichting. Als toezichthouder en ook als adviseur bij wetgeving zal het CBP het aspect van de administratieve lasten ook verder in zijn oordeelsvorming betrekken. Daarbij zal uitdrukkelijk worden nagegaan op welke wijze administratieve lasten kunnen worden beperkt of verminderd met behoud van het gewenste niveau van bescherming.
Beleidsplan 2005-2008 Om doeltreffend en resultaatgericht uitvoering te geven aan zijn taken, actualiseert het CBP na overleg met zijn Raad van Advies jaarlijks een meerjarig beleidsplan. In 2004 is het beleidsplan voor de periode 2005-2008 vastgesteld. Hieronder worden daaruit de visie van het college op de rol van het CBP en de te volgen strategie samengevat. Een specifieke handhavingstrategie zal in 2005 uitgewerkt worden. Positionering
De WBP legt de primaire verantwoordelijkheid voor een integer gebruik van persoonsgegevens bij overheden, bedrijven en andere maatschappelijke organisaties die persoonsgegevens verwerken. De wet schept daarom ook mogelijkheden tot zelfregulering via gedragscodes en intern toezicht door functionarissen voor de gegevensbescherming. De burger heeft rechten om zelf actief toe te kunnen zien op het gebruik van zijn gegevens door verantwoordelijken. Daarnaast voorziet de wet in een onafhankelijke
24
jaarverslag 2004
< TERUG
INHOUD
VERDER >
toezichthouder, het CBP. In het maatschappelijke krachtenveld is het CBP dus slechts één van de spelers, maar met een eigen rol die voortvloeit uit zijn bevoegdheden om de wettelijke normen zo nodig te handhaven. Het CBP-beleid zal in de periode 2005-2008 de strategische beweging naar meer handhaving doorzetten. Uitgangspunt voor het CBP-beleid is verantwoordelijkheden daar te laten waar zij horen en te stimuleren dat overheden, bedrijven en andere organisaties daaraan ook zelf actief invulling geven. In die zin geeft het CBP de voorkeur aan een tweedelijnspositie, aan een rol als metatoezichthouder op een stelsel van gegevensbescherming waarin alle betrokken partijen een actief aandeel nemen. Sectorale gedragscodes en door organisaties aangestelde functionarissen voor de gegevensbescherming ziet het CBP als belangrijke elementen van het toezichtarrangement. Vanuit deze tweedelijnspositie kan het CBP zich bij voorrang richten op de taken waarvoor het speciaal is toegerust. Waar mogelijk wordt daarbij samengewerkt met andere toezichthouders. Samenwerking met andere toezichthouders
Met diverse toezichthouders heeft het CBP overlappende bevoegdheden. Het CBP streeft er naar met deze toezichthouders samen te werken. In 2004 is met diverse toezichthouders (AFM, OPTA, IGZ, IWI) overleg gevoerd over samenwerking met het oog op een doelmatiger toezicht. Samenwerking is niet alleen efficiënt voor de toezichthouders. Daarnaast kan daardoor ook de toezichtdruk (administratieve lasten) verminderen voor de onder toezicht staande organisaties. Op 19 oktober 2004 hebben de voorzitters van de toezichthouders OPTA en CBP afspraken over samenwerking ondertekend met betrekking op het toezicht op de naleving van het spamverbod zoals dat sinds 19 mei 2004 in Nederland van kracht is. Deze werkafspraken zijn per 1 november 2004 in werking getreden en zullen in 2005 worden opgenomen in een bredere overeenkomst. In 2004 heeft het CBP overleg gevoerd met de Commissie gelijke behandeling, de Nationale ombudsman en het Studie- en informatiecentrum mensenrechten over de wenselijkheid van de instelling van een nationaal mensenrechteninstituut dat zal voldoen aan de Paris Principles (VN-resolutie 48/134 van 20 december 1993). De deelnemers aan dit overleg zullen in 2005 de instelling van een onafhankelijk nationaal mensenrechteninstituut nader onderzoeken en voor eind 2005 een advies uit te brengen aan de regering. De rol van de verschillende deelnemende organisaties zal in het advies aandacht krijgen.
HIV-mailing
Een zorgverzekeraar stuurde alle gebruikers van antiretrovi-
post kan bijvoorbeeld verkeerd bezorgd worden of huisge-
rale middelen in Amsterdam informatie over de vergoeding
noten zouden de brief kunnen openen. Een zorgverzekeraar
van deze geneesmiddelen onder de verzekeringspolis. In
zou dus bij voorkeur via de hulpverlener gebruikers van
deze brief werd aangekondigd dat per 1 april 2004 deze
antiretrovirale medicijnen moeten informeren over een wij-
middelen alleen nog vergoed worden indien ze worden
ziging in het voorschrijfbeleid. Als dit onmogelijk is moet
voorgeschreven door een behandelaar verbonden aan een
de zorgverzekeraar bij een dergelijke mailing aanvullende
erkend HIV-behandelcentrum. De brief liet er dus geen
maatregelen treffen. De inhoud van de brief moet zo alge-
twijfel over bestaan dat de geadresseerde medicatie in ver-
meen mogelijk gehouden worden en de verzekeraar kan bij
band met een Hiv-infectie kreeg.
de adressering ‘persoonlijk’ of ‘vertrouwelijk’ zetten om de
Door deze mailing bestond er dus een reëel risico dat deze
kans zo klein mogelijk te maken dat de brief door anderen
persoonlijke informatie bij anderen terecht zou komen. De
geopend wordt ●
beleid van de toezichthouder
25
< TERUG
INHOUD
VERDER >
Toezichtstrategie
De toezichtstrategie berust op het zogenaamde viersporenbeleid met aandacht zowel voor het bevorderen van bewustwording, de praktijkgerichte uitwerking van wettelijke normen en het onderzoek naar de implicaties en kansen van technologische ontwikkelingen voor de bescherming van persoonsgegevens, als voor het daadwerkelijk handhaven van de normen. De vier sporen vormen in onderlinge samenhang een beleidscyclus. Jaarlijks wordt een inschatting gemaakt van de risico’s op niet-naleving van de privacywetgeving en de gevolgen daarvan voor de samenleving. Vervolgens wordt voor de geconstateerde risico’s bepaald in welk spoor van de beleidscyclus inzet van het CBP het meest effectief is. Voor de rechtmatigheid van belastende onderzoeken en de houdbaarheid van sanctiebeslissingen is het van belang dat prioriteiten zo objectief en evenwichtig mogelijk worden vastgesteld om verwijt van onredelijkheid en willekeur bij het noodzakelijkerwijs selectieve karakter van het toezicht te vermijden. Het CBP spant zich in de systematiek voor de inschatting van risico’s verder te ontwikkelen. Onderzoekstrategie
De onderzoekstrategie van het CBP dient de onderbouwing van prioriteitenstellingen en in het bijzonder de handhavingstaak van het CBP. Het domein waarop het CBP toezicht houdt, is groot. Door systematisch gebruik te maken van verschillende onderzoeksmethoden beoogt het CBP de effectiviteit van zijn optreden voor de samenleving te vergroten. De afdeling onderzoek heeft daarom twee hoofdtaken: het doen van controlerende onderzoeken en het verzamelen en analyseren van nalevingsinformatie. De onderzoekstrategie voorziet in het jaarlijks uitvoeren van een analyse van de risico’s die ontstaan door het niet naleven van de normen en regels voor de bescherming van persoonsgegevens. Voor de inschatting van risico’s wordt gebruik gemaakt van kennis en informatie uit bijvoorbeeld klachten en voorlichtingscontacten die in de eigen organisatie aanwezig is. Daarnaast worden vanzelfsprekend onderzoeksresultaten van derden benut. Beleidsvoornemens van de overheid en andere signalen uit de samen-
Zwarte lijst frauderende werknemers
De Raad Nederlandse Detailhandel (RND) kwam in 2004
van een dergelijk register. Ondanks de maatregelen om
met een uitgewerkt voorstel voor een waarschuwings-
het probleem van de personeelsfraude aan te pakken,
register ter voorkoming en bestrijding van fraude in de
blijft er behoefte aan aanvullende maatregelen ten
hele detailhandel. Met het waarschuwingsregister kun-
behoeve van screening in de sollicitatiefase.
nen de deelnemende bedrijven voorkomen dat zij per-
Het CBP heeft de rechtmatigheid van het waar-
soneel in dienst nemen dat vanwege fraude door één
schuwingsregister getoetst en kwam tot het oordeel dat
van de andere deelnemende bedrijven is ontslagen.
het voorgestelde register rechtmatig is. Voor opname op
Volgens gegevens van de RND gaat het om een relatief
de lijst is de ernst van het incident belangrijk terwijl
kleine groep van 3 tot 4 duizend stelselmatige fraudeurs
ook aangifte bij de politie moet zijn gedaan. Het
op een totaal personeelsbestand in de detailhandel van
gebruik van het waarschuwingsregister is verder alleen
750.000 medewerkers (circa 0,5%).
te rechtvaardigen, als dit naast en niet in plaats van de
De RND heeft de ernst en omvang van het frau-
andere maatregelen van pre-employment screening
deprobleem, het aantal preventieve maatregelen dat de
komt. Sollicitanten kan bijvoorbeeld ook worden
sector reeds heeft getroffen en het snelle personeels-
gevraagd een verklaring omtrent het gedrag te over-
verloop als argumenten aangevoerd voor het opzetten
leggen ●
26
jaarverslag 2004
< TERUG
INHOUD
VERDER >
KPN en geheime telefoonnummers Koninklijke KPN NV verkocht sinds geruime tijd aan
om klanten actief te informeren over hun wettelijke
anderen de adresgegevens van abonnees met een
rechten. Inmiddels heeft KPN door het actief toezenden
geheim nummer voor direct marketing doeleinden. Het
van een bijsluiter aan abonnees met een geheim num-
aantal abonnees met een geheim nummer wordt geschat
mer en het aanpassen van de privacybrochure voldaan
op ongeveer 1 miljoen. Zij hebben doorgaans goede
aan de door het CBP gestelde eisen.
redenen om hun adresgegevens niet via bijvoorbeeld de
Met een bijsluiter bij de telefoonrekening heeft KPN de
telefoongids bekend te maken.
bestaande klanten met een geheim nummer geïnformeerd. De privacybrochure Hoe gaat KPN om met uw
Het gezamenlijke onderzoek van CBP en OPTA bracht in
persoonsgegevens? is eveneens aangepast. Alle nieuwe
2003 aan het licht dat KPN eerder klanten met een
klanten van KPN en alle abonnees die van een gewoon
geheim nummer had toegezegd hun adresgegevens niet
op een geheim nummer overstappen, zullen deze bro-
voor direct marketing te zullen doorgeven aan anderen.
chure ontvangen. Alle bestaande en nieuwe abonnees
Na verandering van dit beleid zijn deze klanten hierover
van KPN zijn of worden zo geïnformeerd over wat KPN
niet geïnformeerd.
met hun adresgegevens doet en hoe zij eventueel kun-
Begin 2004 sleepte de kwestie zich nog voort, terwijl
nen voorkomen dat deze voor direct marketing worden
het in de kern ging om een wettelijke plicht van KPN
gebruikt ●
leving vormen eveneens een bron van informatie over potentiële risico’s en kansen om deze risico’s in de toekomst te vermijden. Vast onderdeel van de onderzoeksstrategie is het jaarlijkse, steekproefsgewijze onderzoek naar de naleving van de meldingsplicht in verschillende sectoren. Verantwoordelijken worden daarbij gecontroleerd op kwantitatieve en kwalitatieve aspecten van de meldingsplicht. Dergelijk onderzoek bevordert de naleving van de regels voor de bescherming van persoongegevens (speciale en generale preventie), vergroot de sectorkennis en versterkt de functie van het openbaar register van meldingen (transparantie). Onderzoek en handhaving
Het toezicht op de naleving van de wettelijke normen vindt plaats door middel van controleonderzoeken. Dergelijke onderzoeken kunnen worden gestart naar aanleiding van een klacht of andere signalen. Controleonderzoeken vinden ook systematisch plaats op basis van vooraf vastgestelde beleidsdoelen en via de methode van steekproeven. Door actief optreden van de toezichthouder met onderzoeken en interventies wordt zichtbaar gemaakt dat niet-naleving van de privacywetgeving tot consequenties kan leiden. Hiermee is de generale preventie gediend. Bedrijven en instellingen moeten er op kunnen rekenen, dat hun inspanningen op dit punt niet door andere organisaties die in een vergelijkbare positie verkeren, worden ondergraven. Op terreinen waar sprake is van privacygevoelige dienstverlening én mededinging, zal dit aspect in toenemende mate een rol gaan spelen. De afgelopen jaren is meermalen gebruik gemaakt van de sanctiemogelijkheden waarover het CBP beschikt en ook in 2005 krijgen onderzoek en handhaving prioritair aandacht. De lijn van 2001-2004 wordt hiermee voortgezet. Communicatiestrategie
Communicatie is een wezenlijk instrument in de gehele cyclus van bewustwording via normontwikkeling naar handhaving. Een goed gerichte en wel overwogen algemene voorlichting kan de effectiviteit van het toezicht door het CBP sterk vergroten. Het CBP werkt systematisch aan ‘zichtbaar toezicht’. Zichtbaarheid als toezichthouder – ook voor de burger – draagt bij aan het respect voor en de effectiviteit van het CBP als adviseur op het gebied van normontwikkeling, zowel in het wetgevingstraject als bij de organisaties (publiek en privaat) in het veld. beleid van de toezichthouder
27
< TERUG
INHOUD
VERDER >
Zwarte lijst hypotheekfraude
vermoeden van fraude zou al voldoende zijn voor plaat-
Zwarte lijsten bleven ook in 2004 als hulpmiddel bij de
sing op de lijst. Dit voorstel kon niet door de beugel.
bestrijding van fraude en criminaliteit in de belang-
Het plaatsen van personen op een breed toegankelijke
stelling. De centrale vraag is hoe het belang van de
lijst op basis van niet meer dan vermoedens is ongeoor-
organisatie(s) zich verhoudt tot de consequenties van
loofd, zeker wanneer een dergelijke vermelding voor de
plaatsing op de lijst voor een individu. De Wet
betrokkene verstrekkende gevolgen kan hebben. Deze
bescherming persoonsgegevens laat ruimte voor het
zal immers niet meer of slechts onder zwaardere voor-
gerechtvaardigd belang dat bedrijven, organisaties en
waarden een hypotheek kunnen afsluiten. De branche
instellingen kunnen hebben bij het gebruik van zwarte
heeft er inmiddels voor gekozen zich aan te sluiten bij
lijsten. Zonder de juiste waarborgen voor de betrok-
het reeds bestaande en door het CBP in 2002 goed-
kenen zijn zwarte lijsten echter verboden.
gekeurde Incidentenwaarschuwingssysteem financiële
Aanbieders van hypothecaire financieringen wilden in
instellingen ●
2004 een zwarte lijst om fraude terug te dringen. Een
Het CBP zal zich in veranderende tijden als toezichthouder meer dan voorheen moeten bekommeren om (behoud van) het maatschappelijke en politieke draagvlak voor de bescherming van de persoonlijke levenssfeer. Het zal nodig zijn bij het formuleren en uitdragen van standpunten nauwer aan te sluiten bij de ervaringen van zowel betrokkenen (mensen in diverse maatschappelijk rollen en posities: burger, consument, patiënt, uitkeringsgerechtigde, etc.) als verantwoordelijken. Daartoe is het ook een voorwaarde dat het CBP nog meer ‘luistert’, minder vanzelfsprekend vertrouwt op de zeggingskracht van de wet, meer gebruik maakt van de visies en bevindingen van anderen, meer het open maatschappelijke debat zoekt. Juist met het oog op een effectieve uitvoering van zijn wettelijke taken – adviseur en toezichthouder – wil het CBP dus ook een stem in het maatschappelijke debat zijn. Deelname aan dat debat vergt een subtiele afstemming van deze drie rollen. In deze derde rol zal het CBP tegelijkertijd een actieve deelnemer en een bescheiden gesprekspartner moeten zijn. In deze dialoog zal de onafhankelijke toezichthouder mede invulling kunnen geven aan de gewenste horizontale verantwoording, de verantwoording jegens burger en belanghebbenden (stakeholders) over de uitvoering van zijn taken en de resultaten van zijn optreden.
Prioriteiten 2005 De breedte van het toezichtdomein en de onvermijdelijk beperkte capaciteit van de toezichthouder dwingen het CBP heldere prioriteiten te stellen. Voor 2005 liggen deze bij de informatieplicht, het thema van de veiligheid, risicoselectie en internet. Deze keuzes zijn voortgekomen uit een kwalitatieve analyse van de risico’s voor de naleving van de regels voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer. Informatieplicht
Aan de informatieplicht zal bijzondere aandacht worden besteed in de algemene voorlichting en bij onderzoeken. De stellige indruk bestaat dat de informatieplicht onvoldoende wordt nageleefd terwijl transparantie - iemand heeft zicht op wat er met zijn of haar gegevens gebeurt – een van de sleutels is tot de bescherming van de persoonlijke levenssfeer. De informatieplicht stelt burgers in staat hun rechten uit te oefenen en een onjuiste gegevensverwerking aan te vechten. Het CBP zal daarom de algemene voorlichting intensiveren en een breed onderzoek doen naar de naleving van de informatieplicht. Bijzondere aandacht zal worden besteed aan de naleving van de informatieplicht door het Openbaar Ministerie, de particuliere recherche en telecommunicatieaanbieders. Internationaal steunt het CBP de ontwikkeling van een uniform, gelaagd model voor informatieverstrekking aan betrokkenen, een soort ‘privacyetiket’.
28
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Veiligheid
In de strijd tegen het terrorisme zal het kabinet reeds aangekondigde maatregelen en nieuwe bevoegdheden invoeren. Uitgebreide verzameling, koppeling en analyse van informatie over (ook onverdachte) groepen en personen ziet het kabinet als de sleutel tot het voorkomen van terrorisme. Het CBP heeft in 2004 geconstateerd dat de noodzaak van uitbreiding van bevoegdheden tot het verzamelen van informatie niet is aangetoond. Ook was het CBP van mening dat structureel toezicht op de informatie die in het kader van deze nieuwe bevoegdheden wordt vergaard, geboden is. Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectieve maatregelen te nemen ter bestrijding van het terrorisme. Internationale verdragen, Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat de beoogde verwerking van informatie over grote groepen onverdachte burgers voldoet aan de maatstaf van nut en noodzaak en dat voorzien is in rechtsbescherming. Het CBP zal de veiligheidsdiscussie in 2005 op de voet volgen en adviseren over eventuele wetsvoorstellen en nieuwe plannen aan de hand van het geschetste normatieve kader. Risicoselectie
Het CBP zal in 2005 algemene spelregels voor risicoselectie op basis van groepsprofielen formuleren en deze uitwerken voor diverse sectoren waar profilering wordt gebruikt. Profilering en risicomanagement zijn legitiem maar het gaat om de grenzen. Bij risicoselectie worden individuen op basis van groepskenmerken beoordeeld. In essentie gaat het om in- en uitsluiting door middel van analyse van gegevens. Hierbij is niet alleen de persoonlijke levenssfeer in het geding, maar ook de maatschappelijke mogelijkheden van personen die beoordeeld worden op basis van profielen waar ze in lijken te passen.
Inzage bij Dexia Na het dalen van de koersen eind jaren ‘90 zijn nogal
bank zich mocht beperken tot een overzicht van
wat mensen die hebben belegd met geleend geld, in
beschikbare informatie.
financiële problemen geraakt. Een groot aantal personen
Het CBP was van oordeel dat in het algemeen niet vol-
– ruim 100.000 – had in 2004 over contracten voor
staan kon worden met een samenvatting van de gege-
zogeheten aandelenlease een geschil met Dexia Bank
vens. Voor de betrokkene cruciale informatie kan in een
Nederland NV. In rechtszaken werd uitgevochten of bij
samenvatting immers verloren raken. Een betrokkene
de verkoop van deze financiële producten de zorgplicht
heeft daarom in principe recht op volledige kennis-
jegens deze klanten voldoende is nagekomen.
neming van de over hem verwerkte gegevens. Dat bete-
In het geding was onder meer de vraag of de aanbieder
kent in de praktijk dat hij recht heeft op een afschrift.
zijn klanten voldoende over de risico’s had
Alleen zo kan een betrokkene opkomen voor zijn rech-
geïnformeerd. De klantdossiers bij Dexia zouden hierin
ten. Hierop kan alleen een uitzondering worden
meer inzicht kunnen bieden. Daarom vroegen veel
gemaakt voor zover dat noodzakelijk is om de rechten
betrokkenen op grond van de Wet bescherming per-
en vrijheden van – in dit geval – Dexia te beschermen.
soonsgegevens bij Dexia inzage in de over hen vast-
Op een dergelijke uitzondering kan niet op voorhand in
gelegde gegevens. De betrokken klanten stelden dat
alle geschillen een beroep worden gedaan ●
Dexia hen een afschrift zou moeten geven van de documenten die Dexia van hen had. Dexia stelde dat de
beleid van de toezichthouder
29
< TERUG
INHOUD
VERDER >
Internet
Vragen rond internet en privacy – met name rond publicatie van persoonsgegevens op websites – zijn in 2004 meer aandacht gaan vragen. Eind 2003 heeft het Europese Hof van Justitie in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van toepassing verklaard op internet. In 2004 heeft het CBP onderzocht wanneer uitingen op internet te beschouwen zijn als verwerkingen voor journalistieke doeleinden. Meer in het algemeen zullen in 2005 antwoorden geformuleerd worden op de vragen waar internetgebruikers zich in de dagelijkse praktijk vooral mee geconfronteerd zien. In twee fundamentele kwesties moet positie worden gekozen, namelijk in welke gevallen en in welke mate het CBP bevoegd is, en of het CBP als toezichthouder kan en wil optreden.
Organisatie In 2004 is de nieuwe afdeling onderzoek van start gegaan. Daarmee is de organisatieontwikkeling voorzien in het formatieplan 2003 ‘In beweging voor toezicht en handhaving’ voltooid. Dit formatieplan beoogde de voorwaarden (o.a. functiescheiding) te scheppen voor het uitoefenen van de taken en sanctiebevoegdheden die het CBP in de WBP heeft gekregen. Hoewel de structurele wijzigingen in 2004 hun beslag hebben gekregen, bleef het aantal formatieplaatsen echter zowel om budgettaire redenen als omwille van een zorgvuldige opbouw van de organisatie kleiner dan voorzien. De toezichthouder loopt daardoor op tegen de grenzen van het mogelijke voor de organisatie, hetgeen zal moeten leiden tot uitbreiding van het formatieplan of tot een marginalisering van het toezicht op de WBP.
30
jaarverslag 2004
< TERUG
INHOUD
VERDER >
activiteiten openbaar bestuur
pagina 32
“De overheid lijkt een terughoudende houding ten aanzien van het binnentreden van de persoonlijke levenssfeer meer en meer te verlaten onder brede verwijzing naar dringende maatschappelijke problemen of behoeften.”
politie en justitie
pagina 35
“Het CBP waarschuwde voor de gevolgen van een vermenging van de taken van veiligheidsdiensten en politie waardoor informatie over vele onverdachte burgers terecht lijkt te zullen komen in de politieregisters.”
arbeid en sociale zekerheid
pagina 38
“Door de nieuwe wettelijke taken, bijvoorbeeld door de nieuwe Zorgverzekeringswet, krijgen financiële concerns de beschikking over nog veel meer (medische) persoonsgegevens.”
zorg en welzijn
pagina 41
“In 2004 waarschuwde het CBP dat de combinatie van privatisering en deregulering nadelige gevolgen heeft, zowel voor de privatisering als voor de privacy.”
handel en diensten
pagina 44
“Het CBP onderschrijft de kabinetsdoelstelling om te komen administratieve lastenverlichting volledig. Deze lastenverlichting kan bovendien de maatschappelijke steun voor de bescherming van persoonsgegevens doen groeien.”
telecom
pagina 47
“In oktober 2004 hebben OPTA en CBP een samenwerkingsovereenkomst gesloten met betrekking tot het spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht is.”
technologie
pagina 50
“De Artikel 29-werkgroep wijst erop dat de verwerking van biometrische gegevens steeds een zeer nauwkeurige rechtmatigheidsanalyse vereist omdat de gevaren bij misbruik van deze gegevens groot zijn.”
internationaal
pagina 52
“In september 2004 hebben de privacytoezichthouders van de Europese lidstaten opgeroepen tot de vorming van een adviesorgaan voor de derde pijler, het terrein van de samenwerking van politie en justitie in Europa.”
activiteiten
31
DE BURGER IS STEEDS BETER BEKEND DOOR TOEZICHT EN IDENTIFICATIEPLICHT
< TERUG
INHOUD
VERDER >
Openbaar bestuur De overheid en met de overheid vervlochten sectoren verschaffen zich steeds meer mogelijkheden voor ‘gegevenssurveillance’: het op de voet volgen van de burger aan de hand van digitale sporen die deze gedwongen op steeds meer plaatsen dient achter te laten. De motieven achter het beleid zijn divers: het vergroten van de veiligheid, het verbeteren van de dienstverlening, fraudebestrijding of bemoeizorg. Met meer of minder instemming van de burger leidt deze ontwikkeling tot meer cameratoezicht op straat, een nationaal persoonsnummer (rond 1980 nog een schrikbeeld), algemene identificatieplicht en steeds meer dienstverlening door de overheid via internet. De overheid lijkt de terughoudende houding ten aanzien van het binnentreden van de persoonlijke levenssfeer ook buiten het terrein van de veiligheid meer en meer te verlaten onder brede verwijzing naar dringende maatschappelijke problemen of behoeften. Waarborgen voor de bescherming van persoonsgegevens die al bestonden – een beperkte identificatieplicht – of die gerealiseerd zouden worden – sectorale persoonsnummers – lijken zonder veel discussie opzij gezet te worden. Het CBP zag daardoor in langdurige samenwerking geboekte resultaten bij het burgerservicenummer in 2004 weer onzeker worden.
32
jaarverslag 2004
< TERUG
INHOUD
VERDER >
openbaar bestuur Camera's in het publieke domein Bedrijven en overheden zetten op grote schaal camera’s in voor de beveiliging van gebouwen, goederen en personen. De belangstelling voor cameratoezicht is in de afgelopen jaren sterk toegenomen. Cameratoezicht is min of meer vanzelfsprekend geworden in supermarkten, winkelcentra, het openbaar vervoer en uitgaansgebieden. Camera’s worden door het brede publiek ook geaccepteerd in de verwachting dat cameratoezicht effectief is. De Registratiekamer – de voorloper van het College bescherming persoonsgegevens (CBP) – publiceerde al in 1997 een studie over de mogelijkheden en grenzen van cameratoezicht. In beeld gebracht gaf privacyregels voor het toepassen van cameratoezicht zowel in het particuliere als het publieke domein. Doordat het cameratoezicht door de overheid in de laatste jaren sterk toenam, heeft het CBP in 2003 onderzoek laten doen naar aard en omvang van het cameratoezicht door de Nederlandse gemeenten. Uit dit onderzoek bleek onder meer dat 20 procent van de gemeenten gebruik maakte van camera’s en dat in veel van die gemeenten de effectiviteit van het toezicht (nog) niet geëvalueerd was. In december 2004 is vervolgens Camera’s in het publieke domein gepubliceerd met vuistregels voor besluitvorming, uitgangspunten voor inrichting en uitvoering, rechten van betrokkenen, toezicht en evaluatie. Deze praktische verheldering van de privacynormen kan door gemeenten benut worden bij de besluitvorming over de toepassing en inrichting van cameratoezicht ter handhaving van de openbare orde. Vanzelfsprekend zal het CBP deze normen ook hanteren bij het toezicht op de praktijk van het cameratoezicht in het publieke domein. Verder zal het CBP in samenwerking met belanghebbende partijen in 2005 een modelverordening cameratoezicht publiceren. Bij het parlement is een wetsvoorstel in behandeling om de Gemeentewet te wijzigen, opdat cameratoezicht ter handhaving van de openbare orde een expliciete wettelijke basis krijgt.
Identificatieplicht Begin 2004 heeft het CBP de minister van Justitie geadviseerd het Wetsvoorstel uitbreiding identificatieplicht niet in te dienen. Het belangrijkste argument hiervoor was dat het wetsontwerp zonder de noodzakelijke onderbouwing en rechtvaardiging van een dergelijke verplichting een algemene identificatieplicht voor de burger in het leven riep. Nog maar enkele jaren geleden concludeerde het tweede paarse kabinet dat een algemene identificatieplicht te ver zou gaan: een identificatieplicht werd slechts gerechtvaardigd geacht in een aantal specifieke situaties, waarin de overheid de burger als potentiële verdachte beschouwt, bijvoorbeeld bij de controle op ‘zwart rijden’ in het openbaar vervoer en bij optreden tegen voetbalvandalisme. De toelichting op het wetsvoorstel gaf geen nieuwe argumenten en het kabinet voldeed daarmee niet aan de eis van het EVRM (artikel 8, lid 2) om de inbreuk op de persoonlijke levenssfeer voldoende te rechtvaardigen. Evenmin werd de mogelijkheid van discriminatoire en stigmatiserende effecten van het voorstel onderkend. De uitoefening door de politie van de bevoegdheid die het wetsvoorstel in het leven riep, leek bovendien slechts controleerbaar op basis van een aanzienlijke uitbreiding van de registratie van het gedrag van onverdachte burgers. De minister van Justitie heeft het advies van het CBP grotendeels gevolgd. Er komt een evaluatie drie jaar na inwerkingtreding ten aanzien van de werking. Deze evaluatie is met name gericht op de handhaving van de leeftijdsgrens en op de
eventuele aanscherping van criteria voor bevoegdheidsverlening aan de politie en toezichthouders. Er komen geen stelselmatige controles, alleen controles die noodzakelijk zijn met het oog op een goede taakuitoefening. De leeftijdsgrens is opgetrokken van twaalf naar veertien jaar. Op 1 januari 2005 is de uitgebreide en feitelijk algemene identificatieplicht van kracht geworden.
Burgerservicenummer Het beleid voor een ‘elektronische overheid’, een overheid die optimaal gebruik maakt van informatietechnologie waaronder internet, is in 2004 neergelegd in het programma Andere overheid. De beoogde nationale authenticatievoorziening – een voorziening voor het online vaststellen van de elektronische identiteit van burgers – werd omgedoopt tot DigiD. In 2003 verklaarde het CBP zich te kunnen vinden in de uitgangspunten van de nationale authenticatievoorziening onder verwijzing naar een aantal voorwaarden. Het CBP blijft de ontwikkelingen op dit terrein volgen. De introductie van een Burgerservicenummer (BSN) is een bepalende voorwaarde voor het welslagen van het programma Andere overheid; 2004 was voor het ministerie van Binnenlandse Zaken en Koninkrijksrelaties het jaar van ‘geen woorden, maar daden’. Het programmabureau BSN dat opdracht kreeg het eind 2003 opgeleverde plan te verwezenlijken, werd opgericht. Onder druk van de minister Volksgezondheid, Welzijn en Sport nam het kabinet onverwachts het besluit om de toch al ambitieus geplande invoering van het BSN per 1 januari 2007 een jaar naar voren te halen en bovendien het BSN ook in de zorgsector te gaan gebruiken. Een apart zorgidentificatienummer – een waarborg tegen te gemakkelijke verspreiding van gegevens van patiënten en zorgbehoevenden – bleek in de politieke en maatschappelijke situatie geen haalbare kaart meer. Het CBP is daarop akkoord gegaan met het gebruik van het BSN in de zorgsector, mits dit gepaard gaat met compenserende waarborgen. Belangrijk onderdeel daarvan vormen betrouwbare autorisatieprocedures voor het gebruik van medische gegevens die met het BSN ontsloten worden. Vervolgens bleken in 2004 afspraken over het stelsel van vertrouwensfuncties vastgelegd in bijlagen bij het implementatieplan op losse schroeven te staan. Het overeengekomen stelsel van waarborgen voor de bescherming van persoonsgegevens begon af te brokkelen. Dit wettelijk te verankeren stelsel bestaat op nationaal niveau onder meer uit overkoepelend beleid en richtlijnen, een toetsingskader, een ‘landkaart’ voor transparantie en een ombudsfunctie, met vergelijkbare elementen op sectoraal en organisatieniveau. In de Wet algemene bepalingen burgerservicenummer was het stelsel niet terug te vinden. Daarnaast liep de voorbereiding van de zogeheten nationale vertrouwensfunctie vertraging op. Niettemin hoopt het CBP in 2005 een bijdrage te leveren aan de feitelijke ontwikkeling van de nationale vertrouwensfunctie. Daarin zal structureel toezicht verankerd zijn in de vorm van onder meer één loket waar burgers met vragen en klachten over het BSN terecht kunnen.
Toezicht op GBA-regelingen Het CBP heeft een toezichthoudende taak bij de uitvoering van de Wet Gemeentelijke basisadministratie persoonsgegevens (GBA). Gemeenten zijn op grond van deze wet verplicht hun zogeheten GBA-regelingen toe te sturen aan het CBP. Het gaat om de beheersregeling, de regeling met betrekking tot de binnengemeentelijke afnemers en de verstrekking van persoonsgegevens aan ‘vrije deropenbaar bestuur
33
< TERUG
INHOUD
VERDER >
activiteiten den’. In de zomer van 2003 bleek dat ruim 130 gemeenten hadden nagelaten afschriften van de regelingen aan het CBP te sturen. De gemeenten werden door het CBP in de gelegenheid gesteld om binnen vier weken alsnog deze afschriften in te sturen. Hoewel het soms aanzienlijk langer duurde, en er in enkele gevallen gewezen moest worden op de bevoegdheid tot bestuursdwang, hebben in 2004 uiteindelijk alle Nederlandse gemeenten aan deze wettelijke verplichting voldaan. Het CBP is tevreden over deze complete naleving, maar benadrukt dat nieuwe regelingen en wijzigingen in bestaande opnieuw aan het CBP gezonden moeten worden.
Gegevens van leerlingen: Digidoor Ook in de onderwijssector neemt de informatisering en de verwerking van leerlinggegevens toe, niet alleen ten behoeve van het onderwijs maar ook in het kader van samenwerkingsverbanden met andere organisaties. Het CBP heeft de indruk dat – meestal met de beste bedoelingen – erg veel gegevens van leerlingen worden vastgelegd en dat de regels voor vrijstelling van de meldingsplicht bij de toezichthouder al te ruim uitgelegd worden. In 2004 werd het CBP door verontruste ouders gewezen op DigiDoor. Deze internetdienst is in Almere in het leven geroepen voor het overdragen van informatie vanuit het primaire onderwijs naar het voortgezet onderwijs. De vraag van de ouders was erop gericht om invloed uit te kunnen oefenen op welke gegevens er aan wie werden doorgegeven. Volgens DigiDoor zelf gaat het om toetsgegevens uit het Leerlingvolgsysteem en opmerkingen over het niveau van rekenen, taal en lezen. Maar ook kan het formulier informatie bevatten over zaken die van invloed kunnen zijn op de prestaties op de vervolgschool, zoals faalangst, concentratieproblemen, gezondheidsproblemen en – in uitzonderlijke gevallen – problemen thuis. Het CBP is vervolgens een onderzoek gestart naar de manier waarop DigiDoor rekening houdt met de vereisten voor de bescherming van persoonsgegevens. Het onderzoek zal in 2005 worden afgerond.
Kentekenregister en direct marketing De automobielbranche kent zogeheten belangenbehartigers: de stichting RDC, Stidenda, stichting New Motive, en SABN. Op basis van de ‘Regeling gegevensverstrekking Kentekenregister’ mogen deze wettelijk daartoe aangewezen belangenbehartigers persoonsgegevens uit het Kentekenregister ontvangen. Zij mogen deze onder meer voor direct-marketing activiteiten van derden zoals autobedrijven of -importeurs gebruiken. Zo kunnen autobedrijven gerichte mailings versturen aan een daartoe geselecteerde doelgroep autobezitters. De regeling schrijft voor dat de belangenbehartigers passende maatregelen nemen ter bescherming van de persoonlijke levenssfeer van degenen over wie gegevens worden verstrekt. Over de manier waarop dit moet gebeuren, bestond binnen de branche verschil van mening. Op verzoek van een belangenbehartiger heeft het CBP zich in september 2004 uitgesproken over hoe passende maatregelen kunnen worden genomen. Het ging daarbij vooral om de manier waarop autobezitters – de geregistreerden in het Kentekenregister – dienen te worden geïnformeerd over de verstrekking van hun gegevens aan de belangenbehartigers. Wanneer gegevens door een belangenbehartiger worden verkregen, dient deze de autobezitters hierover te informeren. Alleen in het geval de betrokkene al op een andere manier van deze vastlegging op de hoogte is, hoeft dat niet. De minister van Verkeer en Waterstaat oordeelde al in 2001 dat de verstrekking van gegevens voor commerciële doeleinden een te grote inbreuk vormde op de persoonlijke levenssfeer van de betrokkene. Deze verstrekking is uiteindelijk met ingang van 1 maart 2007 verboden. Het CBP heeft de minister van Verkeer en Waterstaat geadviseerd de belangenbehartigers te verplichten jaarlijks verantwoording af te leggen over de naleving van de informatieplicht ■
Almere vandaag, 09-04
34
jaarverslag 2004
INTENSIVERING VAN DE BESTRIJDING VAN TERRORISME
< TERUG
INHOUD
VERDER >
Politie en Justitie De aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een intensivering van het streven naar een veilige samenleving en in het bijzonder de bestrijding van terrorisme. In hoog tempo werd verruiming van de bevoegdheden van politie en justitie gerealiseerd of aangekondigd. De roep om meer bevoegdheden klonk overigens al jaren, maar de terrorismedreiging sinds september 2001 heeft ruim baan gemaakt voor de overtuiging dat deze uitbreiding ook noodzakelijk is. Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectieve maatregelen te nemen ter bestrijding van terrorisme. Internationale verdragen, Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat nieuwe bevoegdheden voldoen aan de maatstaf van nut en noodzaak. Ook moet voorzien zijn in rechtsbescherming. In de strijd tegen terrorisme is het wellicht nodig nieuwe wegen te bewandelen, maar er is geen enkele reden het inzicht los te laten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances: geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.
politie en justitie
35
< TERUG
INHOUD
VERDER >
activiteiten Terrorismebestrijding In de ‘terrorisme’-brief van 10 september 2004 aan de Tweede Kamer kondigden de ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties nieuwe maatregelen en bevoegdheden aan ter bestrijding van het terrorisme. Het kabinet zag onder meer uitgebreide verzameling, koppeling en analyse van informatie over groepen en personen als de sleutel tot het voorkomen van terrorisme. Daartoe achtte het kabinet uitbreiding van opsporingsbevoegdheden noodzakelijk. Het kondigde aan het wettelijk criterium voor toepassing van bevoegdheden als het aftappen van telefoons, internetgebruik en het observeren af te zullen zwakken tot aanwijzingen. Momenteel is een verdenking of een redelijk vermoeden van betrokkenheid vereist. De informatie-uitwisseling tussen veiligheidsdiensten, politie, openbaar ministerie en IND zou daarom geïntensiveerd worden via een informatieknooppunt, de Contra-Terrorisme-infobox, waar data zullen worden gecombineerd en geanalyseerd. In een publieke reactie op de voorstellen constateerde het CBP dat de noodzaak van uitbreiding van bevoegdheden tot het verzamelen van informatie niet is aangetoond. De nieuwe bevoegdheden komen bovenop de per 1 september 2004 in werking getreden antiterrorismewetgeving. Het ging hierbij om uitbreiding van de reikwijdte van het Wetboek van Strafrecht door nieuwe strafbaarstellingen en door verhoging van de strafmaat voor het plegen van misdrijven met een terroristisch oogmerk. Voorts is samenspanning (d.w.z. het maken van afspraken) tot terroristisch handelen strafbaar gesteld. Met deze nieuwe wettelijke bepalingen voor informatieverwerking is nog geen enkele ervaring opgedaan die zicht geeft op nut en noodzaak van de maatregelen. Daarbij komen nog de reeds ingevoerde of nog in te voeren bevoegdheden voor het onderscheppen van telecommunicatie en de bevoegdheid tot het opeisen van informatie bij bedrijven en andere organisaties. Het is, aldus de brief van de ministers, voor de overheid voldoende dat een burger haar argwaan opwekt om hem te kunnen observeren teneinde vast te stellen of de argwaan gerechtvaardigd is of niet. Verder miskent de voorgenomen vergaande coördinatie van de informatieverzameling de gescheiden wettelijke taken en bevoegdheden die inlichtingendiensten en politie hebben. Het CBP waarschuwde voor de gevolgen van een vermenging van de taken van veiligheidsdiensten en politie. Het kabinet introduceert met de Contra-Terrorisme-informatiebox een concept dat veel vragen oproept. Onderzoek op grond van losse vermoedens en aannames zal op grotere schaal gedeeld worden. Informatie over veel onverdachte burgers lijkt van de dossiers van de veiligheidsdiensten terecht te zullen komen in de politieregisters. De gevolgen van zo’n vermenging van functies kunnen zeer ingrijpend zijn. De bescherming van de staatsveiligheid is primair een zaak van de inlichtingendiensten. Deze hebben zeer vergaande bevoegdheden om reeds bij het enkele vermoeden dat de staatsveiligheid in het geding is, informatie te verzamelen. Het delen van deze veelal ‘zachte’ informatie met de opsporingsdiensten mag pas plaatsvinden, na zorgvuldige analyse en taxatie, indien sprake is van een begin van verdenking dat er strafbare feiten worden beraamd of gepleegd. Samenwerking is noodzakelijk voor terrorismebestrijding, maar de politie moet geïnformeerd worden op het moment dat er sprake is van uitoefening van de politietaak. Pas dan kan informatie van met name de Algemene inlichtingen- en veiligheidsdienst worden ingebracht in een gemeenschappelijke informatiebox.
36
jaarverslag 2004
In de geschetste plannen ontbrak ook een voorstel voor een adequate en structurele controle op het proces van het verzamelen en delen van informatie. Het zou een ernstige tekortkoming zijn als het kabinet hierin niet zou voorzien. Veel van de werkzaamheden zullen in het verborgene blijven, ook voor de personen die ten onrechte voorwerp van onderzoek zijn geweest. Des te noodzakelijker is het om controle op de uitoefening van deze vergaande overheidsmacht in te bouwen. De burger moet beschermd worden tegen terrorisme maar moet ook het vertrouwen kunnen behouden dat de overheid op rechtmatige wijze haar vergaande bevoegdheden uitoefent. Inmiddels heeft het CBP in 2005 zijn standpunt nader uitgewerkt in het advies over het conceptwetsvoorstel bijzondere opsporingsbevoegdheden ter opsporing van terroristische misdrijven. Omtrent de CT-infobox is het CBP niet nader geïnformeerd door de betrokken ministers. De minister van Justitie heeft de Tweede Kamer toegezegd de kamer schriftelijk nader te informeren.
Telefoontaps In 2003 rondde het CBP een onderzoek af naar aanleiding van een klacht van de Nederlandse Vereniging van Strafrechtadvocaten. Het onderzoek betrof de waarborging van het verschoningsrecht van advocaten bij de onderschepping van telecommunicatie. De minister van Justitie heeft de uitkomst van het onderzoek van de hand gewezen met een beroep op het Wetboek van strafvordering. Het CBP heeft de minister van Justitie naar aanleiding hiervan in 2004 geadviseerd het Wetboek van strafvordering te wijzigen omdat het verschoningsrecht van een hogere orde is. Ook startte het CBP een onderzoek naar de naleving van de vernietigingsplicht van gesprekken van zogenaamde geheimhouders in de tapkamers bij de politie.
Onderzoek criminele inlichtingeneenheden In 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere politieregisters die gehouden worden door criminele inlichtingen eenheden (CIE) bij de regionale politiekorpsen. Het CBP is ingevolge de Wet politieregisters (Wpolr) toezichthouder op de werking van de politieregisters. In die positie heeft het CBP toegang tot de inhoud van de CIE-registers. Die informatie wordt, met recht, vanwege de gevoelige aard ervan grotendeels van betrokkenen en het toezicht door de rechter, afgeschermd. Daarin ziet het CBP een bijzondere opdracht inhoudelijk op de CIE-registers toe te zien. Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op controle aan de hand van de inhoud van de registers, daarnaast zijn ook enkele technische en organisatorische aspecten in beschouwing genomen. Het CBP heeft bij een aantal CIE's in de registers zware criminaliteit en het voorlopig register en het informantenregister steekproefsgewijs onder meer gecontroleerd of de verplicht voorgeschreven codes waren opgenomen, en of de integriteit van de informatie behouden blijft gedurende de keten van vastlegging tot verstrekking. De uitkomsten van het onderzoek heeft het CBP ter kennis gebracht van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Justitie die beheers- c.q. gezagsverantwoordelijkheid dragen. Het algemene beeld uit het onderzoek is overwegend positief te noemen. De onderzochte inhoudelijke aspecten bleken over het algemeen in orde. Wat betreft de onderzochte technische en organisatorische aspecten bleek dat op een aantal punten niet wordt voldaan aan de voorschriften die door de wet- en regelgeving worden gesteld. De korpsen geven aan dat zij, in afwachting van een landelijk in te voeren informatiesysteem, geen aanpassingen
< TERUG
INHOUD
VERDER >
politie en justitie zullen uitvoeren ten aanzien van de huidige systemen en werkwijzen.
Nieuwe informatiehuishouding bij de politie Van oudsher heeft de politie een eigen wettelijk regime voor de verwerking van persoonsgegevens, de Wet politieregisters. Al geruime tijd werd gewerkt aan een visie op de herziening van dit regime en het CBP onderschreef de noodzaak om te komen tot herziening van de wet. Tegelijkertijd was bij de verschillende politiekorpsen een wild palet ontstaan van verschillende ICT-toepassingen voor de uitvoering van dezelfde taken. Uiteindelijk is door de politie besloten te komen tot landelijke uniformiteit op het gebied van de ICT. Ook de herziening van het wettelijk kader voor de informatiehuishouding van de politie is ter hand genomen. Het CBP heeft bijgedragen aan beide ontwikkelingen. Als toezichthouder op de verwerking van gegevens door de politie heeft het CBP over technologische ontwikkelingen desgevraagd geadviseerd over de wettelijke regels die van invloed waren bij het kiezen van richting voor nieuwe systemen. Complicerende factor daarbij was dat ook het wettelijk regime zich in een overgangsfase bevindt. Een periode van ruim anderhalf jaar was nodig voor het tot stand komen van een conceptwetsvoorstel voor herziening van de Wet politieregisters. Het CBP heeft deelgenomen aan uitgebreid vooroverleg met het ministerie van Justitie, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, verschillende politiediensten en de bouwers van de nieuwe informatietechnologische systemen voor de politie. In dat vooroverleg zijn ervaringen uitgewisseld, knelpunten besproken en is een visie gevormd op een nieuw wettelijk regime. Vervolgens heeft het CBP advies uitgebracht aan de minister van Justitie over het conceptwetsvoorstel Wet politiegegevens. Het CBP kan zich vinden in de opzet van een piramidale structuur voor de verwerking van politiegegevens: dichter bij de top van de piramide nemen de waarborgen toe naarmate de verwerking riskanter wordt voor betrokkenen. Deze systematiek dient in de meeste gevallen zowel de operationele behoefte van de politie om gevoelige gegevens af te kunnen schermen, als het belang van de burger dat zorgvuldig met zijn gegevens wordt omgegaan. Er waren drie belangrijke punten van kritiek. In de eerste plaats zou meer nadruk moeten komen te liggen op de kwaliteit van gegevens die de politie verwerkt. Omdat de politie tot taak heeft de waarheid te achterhalen, begint zij vaak te werken met gegevens waarvan de juistheid niet vaststaat. Dat draagt grote risico’s voor betrokken burgers in zich. In de tweede plaats heeft het CBP ernstig bezwaar tegen de invoering van zogenaamde themaregisters. In het voorstel worden grote verzamelingen van gegevens voorzien over burgers die niet ergens van verdacht worden. Het CBP kan zich weliswaar vinden in versoepeling van het principe dat geen gegevens over onverdachte personen worden verwerkt door de politie, maar in de themaregisters dreigt het omgekeerde te gebeuren. Tot slot heeft het CBP geadviseerd een duidelijke regeling op te nemen voor bewaartermijnen. Uitgangspunt dient te zijn dat gegevens die niet meer nodig zijn, vernietigd worden en niet almaar worden bewaard voor het geval in de toekomst aan de gegevens behoefte mocht ontstaan.
Particuliere recherche Veiligheid is in het huidige kabinetsbeleid niet alleen een taak van de overheid. Burgers en bedrijven hebben een eigen verantwoordelijkheid. Particuliere opsporing en de beveiligingsbranche hebben de afgelopen jaren een hoge vlucht genomen. Het CBP heeft geconstateerd dat de beveiligingsbranche nog weinig persoonsgegevens verwerkt. Op grond van de toenemende publiek-private samenwerking, bijvoorbeeld in het kader van terrorismebestrijding, valt echter aan te nemen dat dit snel zou kunnen veranderen. Het CBP zal hierop alert blijven. Particuliere opsporing bergt zeker gevaren in zich voor de bescherming van de persoonlijke levenssfeer. De Wet op de particuliere beveiligingsorganisaties en recherchebureaus (Wpbr) normeert de sector, maar het ontbreekt aan regels voor de uitvoering van onderzoeken en de verdere verwerking van de verzamelde gegevens. Na een jarenlang voortraject, waarin het CBP de branchevereniging heeft trachten te ondersteunen bij een verkenning van terrein en het formuleren van uitgangspunten, heeft de branchevereniging eind 2003 een gedragscode ingediend bij het CBP. Begin 2004 heeft het CBP hieraan een goedkeurende verklaring kunnen afgeven. Bijzonder is dat de minister van Justitie de gedragscode in een ministeriële regeling verplicht heeft gesteld voor alle recherchebureaus. De reikwijdte van de gedragscode is daardoor belangrijk uitgebreid. Recherchebureaus hoeven verder in het kader van hun vergunningaanvraag niet meer een onderzoek door het CBP af te wachten, wat leidt tot een aanmerkelijke verkorting van de doorlooptijd. Bureaus die zich niet houden aan de regels van de gedragscode kunnen door de minister van Justitie, die vergunningen verleent aan recherchebureaus, worden beboet. Uiteindelijk kan zelfs de vergunning worden ingetrokken. Het CBP en de minister van Justitie zijn inmiddels een samenwerkingsovereenkomst aangegaan voor het toezicht op de naleving. De gevoelige aard van de gegevens die in particulier onderzoek worden vergaard, de methoden waarmee dat gebeurt en de gevolgen die onzorgvuldige verwerking voor de onderzochte kunnen hebben, rechtvaardigen dat wordt voorzien in structureel toezicht op de naleving van de gedragscode. Het CBP heeft als lid van de begeleidingscommissie bij een onderzoek naar de mogelijkheden en onmogelijkheden van toezicht op de particuliere veiligheidssector hierop aangedrongen. De minister van Justitie ontving in 2004 het definitieve onderzoeksrapport ■
politie en justitie
37
INHOUD
VERDER >
Arbeid en sociale zekerheid
INTEGRALE KETEN VAN SOCIALE ZEKERHEID EN ZORG
< TERUG
Zowel het zorgstelsel als het sociale zekerheidsstelsel maken grote veranderingen door. Invoering van marktwerking en meer eigen verantwoordelijkheid van partijen staan in beide sectoren centraal. De grote nadruk die vanuit de sociale zekerheidssector op een spoedige reïntegratie van bijvoorbeeld de zieke werknemer wordt gelegd, vereist een directe betrokkenheid van de zorgsector bij dit doel. Het belang van een integrale keten van sociale zekerheid en zorg wordt breed onderschreven. Gesteld wordt dat een betere gegevensuitwisseling meer samenhang tussen beide sectoren zou kunnen bewerkstelligen. Privacyregels worden door direct betrokken partijen vaak gezien als een obstakel voor efficiënte gegevensuitwisseling. De stelselwijzigingen in de zorg en sociale zekerheid hebben daarom de aandacht van het CBP. In 2004 heeft het CBP verscheidene malen advies uitgebracht over nieuwe wetgeving op het terrein van de sociale zekerheid.
38
jaarverslag 2004
< TERUG
INHOUD
VERDER >
arbeid en sociale zekerheid Reïntegratie Gegevensverwerking in het kader van de reïntegratie van werknemers en uitkeringsgerechtigden wordt door het CBP al jaren intensief gevolgd. Vanuit de behoefte om als toezichthouder meer zicht te krijgen op de knelpunten in de uitvoeringspraktijk, werd in het voorjaar van 2004 een verkennend onderzoek uitgevoerd bij drie reïntegratiebedrijven die gespecialiseerd zijn in de reïntegratie van bijstandsgerechtigden. Naar verwachting zal het rapport in het voorjaar van 2005 gepubliceerd worden. Het onderzoek krijgt in 2005 een complement in een verkennend onderzoek bij een aantal reïntegratiebedrijven dat trajecten verzorgt voor zieke werknemers.
De zieke werknemer en privacy Het CBP heeft op 12 mei 2004 het eerste exemplaar van De zieke werknemer en privacy aan de staatssecretaris van Sociale Zaken en Werkgelegenheid aangeboden. Deze studie geeft informatie over de mogelijkheden en grenzen van het uitwisselen van gegevens van zieke werknemers. Privacyregels staan de reïntegratie van de zieke werknemer niet in de weg. De betrokken partijen mogen persoonsgegevens van zieke werknemers die noodzakelijk zijn voor de reïntegratie, met elkaar delen. Bij werkgevers, arbodiensten, reïntegratiebedrijven, Uitkeringsinstituut Werknemersverzekeringen (UWV) en (verzuim) verzekeraars bestaat een toenemende behoefte aan informatie over de zieke werknemer. Het gaat hierbij vaak om informatie over de gezondheid van een werknemer die in een kwetsbare positie zit. In De zieke werknemer en privacy zijn voor alle betrokken partijen praktische vuistregels opgenomen om een juiste en zorgvuldige omgang met gegevens van zieke werknemers te kunnen realiseren. Tevens worden knelpunten in wet- en regelgeving rondom de zieke werknemer gesignaleerd. In het gesprek met de staatssecretaris heeft het CBP aangedrongen op uitwerking van wet- en regelgeving om deze punten op te lossen. Na publicatie heeft het CBP het rapport onder de aandacht van de diverse belanghebbende partijen gebracht, zowel met presentaties op studiedagen en artikelen voor vaktijdschriften als ook door actieve aanwezigheid op de Reïntegratiebeurs. Sinds de verschijning is De zieke werknemer en privacy de meest geraadpleegde studie op de website (6200 maal in 2004).
De nieuwe WAO en de verzekeraars In zijn adviezen over het nieuwe WAO-stelsel heeft het CBP aangegeven dat er meer duidelijkheid moet komen over de posities die de verschillende partijen (werkgever, werknemer, UWV, reïntegratiebedrijven en verzekeraars) ten opzichte van elkaar innemen. Duidelijkheid hierover is van belang om te kunnen beoordelen op grond waarvan de verschillende partijen persoonsgegevens mogen verwerken en gerechtigd zijn om deze met elkaar uit te wisselen. Er bestaat met name onduidelijkheid over de rol die verzekeraars zullen spelen in het nieuwe stelsel. Dit is onwenselijk. De regiefunctie die verzekeraars is toegedacht, zal de komende jaren in de praktijk gebracht worden. Verzekeraars – veelal onderdeel van grote financiële concerns – beschikken al over zeer veel gegevens omdat ze behalve ziektekostenverzekeraar ook vaak schade-, levens- en pensioenverzekeraar zijn en financiële dienstverlening binnen het bankwezen leveren. Door de nieuwe taken op grond van de Wet werk en inkomen naar arbeidsvermogen, maar bijvoorbeeld ook door de nieuwe Zorgverzekeringswet, krijgen deze financiële
concerns de beschikking over nog veel meer (medische) persoonsgegevens. Dat levert een potentieel machtige en invloedrijke informatiepositie op waarvan tot op heden niet voldoende duidelijk is of en zo ja onder welke voorwaarden deze mag worden benut. Verzekeraars erkennen overigens het belang van een zorgvuldige verwerking van persoonsgegevens. Zij hebben het CBP al vaker laten weten ermee gediend te zijn indien duidelijke regels worden gesteld. Wanneer de overheid nalaat regels te stellen, is dat tijdrovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft dan ook met klem bij de minister van Sociale Zaken en Werkgelegenheid bepleit dat in de betreffende wetgeving helderheid wordt verschaft over de bevoegdheden en de beperkingen voor verzekeraars daar waar het gaat om de verwerking van persoonsgegevens.
Samenwerking tussen IWI en CBP Het CBP heeft in 2003 en in 2004 een discussie gevoerd met de minister van SZW en de Inspectie Werk en Inkomen (IWI) over de reikwijdte van het toezicht op de uitvoering van de nieuwe Wet Werk en Bijstand. Deze gesprekken waren onder andere van belang om te bezien of samenwerking tussen beide toezichthouders gewenst is en zo ja waaruit deze samenwerking zou kunnen bestaan. Inmiddels is zowel van de kant van IWI als CBP het voornemen uitgesproken om in 2005 een samenwerkingsconvenant af te sluiten. Door samenwerking en het delen van kennis kan effectiever en efficiënter toezicht worden gehouden op de uitvoeringspraktijk. Nu komt het voor dat beide toezichthouders, soms zonder dat ze het van elkaar weten, zich bezig houden met dezelfde problematiek. Samenwerking bevordert bovendien eenduidig toezicht omdat de normenkaders waar de toezichthouders mee werken op elkaar kunnen worden afgestemd. Daarbij kan door samenwerking ook de toezichtsdruk voor de onder toezicht gestelde organisaties worden verminderd. In het convenant zullen bijvoorbeeld afspraken worden gemaakt over het delen van toezichtinformatie en het elkaar wederzijds informeren over de uitkomsten van onderzoeken.
Zwarte lijst frauderende werknemers Zwarte lijsten verschenen in 2004 regelmatig in de media. De Raad Nederlandse Detailhandel (RND) kwam in 2004 met een nieuw voorstel voor een bedrijfstakbreed waarschuwingsregister ter voorkoming en bestrijding van fraude in de detailhandel. Met het waarschuwingsregister kunnen de deelnemende bedrijven voorkomen dat zij personeel in dienst nemen dat vanwege fraude door één van de andere deelnemende bedrijven is ontslagen. Voor opname op de lijst is de ernst van het incident een belangrijk criterium terwijl ook aangifte bij de politie moet zijn gedaan. De RND heeft de ernst en omvang van het fraudeprobleem, het aantal preventieve maatregelen dat de sector reeds heeft getroffen en het snelle personeelsverloop als argumenten aangevoerd voor het voeren van een dergelijk register. Ondanks de diverse maatregelen die de sector reeds getroffen heeft om het probleem van de personeelsfraude aan te pakken, blijft er behoefte aan aanvullende maatregelen voor screening in de sollicitatiefase. Het gebruik van het waarschuwingsregister is alleen te rechtvaardigen, als dit naast en niet in plaats van de andere maatregelen van preemployment screening (met name de verklaring omtrent het gedrag) wordt ingezet. Het CBP heeft opnieuw de rechtmatigheid
arbeid en sociale zekerheid
39
< TERUG
INHOUD
VERDER >
activiteiten van het waarschuwingsregister getoetst aan de normen van de WBP en kwam tot het oordeel dat het voorgestelde register rechtmatig is.
Gedragscode Werving, Search en Selectiebranche In juli 2004 keurde het CBP de privacygedragscode van de brancheorganisatie voor Werving, Search en Selectie (OAWS) goed. De gedragscode geeft aan voor welke doeleinden persoonsgegevens van potentiële kandidaten mogen worden verwerkt en stelt voorwaarden waaronder bepaalde persoonsgegevens van kandidaten verstrekt kunnen worden aan opdrachtgevers. Daarnaast geeft de gedragscode uitwerking aan de rechten van de betrokkenen en geeft aan op welk moment zij geïnformeerd moeten worden over de gegevens die van hen verwerkt worden. De OAWS was onder de Wet persoonsregistraties (Wpr), in 1990, één van de eerste organisaties die een privacygedragscode opstelde. Deze gedragcode is nu aangepast aan de WBP en heeft een geldigheidsduur van vijf jaar ■
NRC, 12-04
40
jaarverslag 2004
INHOUD
VERDER >
DE COMBINATIE VAN PRIVATISERING EN DEREGULERING HEEFT NADELIGE GEVOLGEN VOOR PRIVACY
< TERUG
Zorg en welzijn Het zorgstelsel wordt in hoog tempo veranderd. De informatisering gaat gestaag door en vraagt aandacht ter bescherming van het medisch beroepsgeheim. De belangrijkste ontwikkeling is echter de introductie van meer marktwerking. Privatisering gaat in de voorstellen voor het nieuwe zorgstelsel – net als bij de hervorming van de sociale zekerheid – hand in hand met deregulering. In 2004 waarschuwde het CBP echter dat de combinatie van privatisering en deregulering nadelige gevolgen heeft, zowel voor de privatisering als voor de privacy.
zorg en welzijn
41
< TERUG
INHOUD
VERDER >
activiteiten De verzekeraars krijgen in de kabinetsplannen een prominente rol in het sociale zekerheids- en zorgstelsel toegedacht. In de huidige wetsvoorstellen wordt echter niet duidelijk geregeld wat deze regisseurs eigenlijk mogen doen met de gegevens waarover zij straks op grond van onder meer de Zorgverzekeringswet zullen beschikken. Door de nieuwe taken krijgen de verzekeraars – veelal onderdeel van grote financiële concerns – nog veel meer (medische) persoonsgegevens. Of en hoe de verzekeraars deze informatiepositie mogen benutten is niet goed geregeld. Ook de zorgverzekeraars vinden deze onzekerheid onwenselijk. Het beleid van het CBP zal evenals in eerdere jaren gericht zijn op het beschermen van het medisch beroepsgeheim en maatvoering bij het verstrekken van medische persoonsgegevens. In 2004 heeft het CBP onder meer adviezen uitgebracht over de Zorgverzekeringswet, de invoering van de Diagnose Behandeling Combinaties (DBC’s), de AWBZ-brede zorgregistratie en gedragsregels voor zorgverzekeraars.
Gedragsregels voor zorgverzekeraars Zorgverzekeraars voeren een aantal (wettelijke) taken uit. Het is van belang dat deze taken efficiënt kunnen worden uitgevoerd. Hiertoe hebben zorgverzekeraars informatie over hun verzekerden nodig. Zorgverzekeraars Nederland, branchevereniging voor zorgverzekeraars, heeft in 2004 het initiatief genomen tot het opstellen van gedragsregels voor het gebruik van (medische) gegevens door zorgverzekeraars. Met deze gedragsregels geeft Zorgverzekeraars Nederland invulling aan de verantwoordelijkheid van zorgverzekeraars voor een zorgvuldige omgang met persoonsgegevens. Het op te stellen privacykader zal onder meer aandacht besteden aan het gebruik dat zorgverzekeraars mogen maken van de vele medische gegevens die zij in het kader van het declareren van zorg ontvangen. Ook zullen de zorgverzekeraars regels opstellen voor de wijze waarop een zorgverzekeraar bij het onderzoeken van fraude door een instelling, hulpverlener of cliënt te werk mag gaan. De verwachting is dat deze gedragsregels in de zomer van 2005 door het CBP van een goedkeurende verklaring kunnen worden voorzien.
De nieuwe Zorgverzekeringswet De nieuwe Zorgverzekeringswet voorziet in een verplichte standaard zorgverzekering die eigen verantwoordelijkheid en marktwerking in de zorgsector moet bevorderen. In het advies op het wetsvoorstel betoogt het CBP dat het noodzakelijk is om meer concrete normen te stellen voor gebruik en uitwisseling van persoonsgegevens in het kader van zorgverzekeringen. In de eerste plaats moet in de wetgeving zelf de basis voor het regime voor informatieverwerking worden gelegd. Daarnaast is aanpassing van het – concept – addendum van Zorgverzekeraars Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevens van de financiële instellingen nodig. Het is de bedoeling dat dit addendum voorziet in meer specifieke regels in de omgang met gezondheidsgegevens door zorgverzekeraars. Het voorziene structurele toezicht op de zorgverzekeraars zal zich hoofdzakelijk beperken tot het signaleren van onrechtmatigheden op verzekeringstechnisch, financieel en administratief terrein. Het CBP heeft geadviseerd om het toezicht op de verwerking van persoonsgegevens specifiek op te nemen in het wetsvoorstel omdat ook op de verwerking van persoonsgegevens door de zorgverzekeraars structureel toezicht noodzakelijk is.
Diagnose Behandeling Combinaties Naar aanleiding van het vaststellen van het privacyraamwerk door het ministerie van VWS en Zorgverzekeraars Nederland, is met het CBP overeengekomen dat een vervolg zou worden gegeven aan de privacybewuste invoering van de Diagnose Behandeling Combinaties (DBC’s). Daartoe is gewerkt aan het uitdenken van manieren om informatie te delen tussen de verschillende partijen op een wijze die de persoonlijke levenssfeer van de patiënt en het medisch beroepsgeheim minder schaadt en een betere beveiliging van gegevens oplevert. Het CBP heeft een adviserende rol gespeeld voor verschillende werkgroepen. Daarbij heeft het CBP ook zeer kritisch gekeken naar de opzet van het DBC Informatiesysteem. Er zijn met het ministerie van VWS en andere betrokken partijen afspraken gemaakt over minimum waarborgen voor de komende periode. Dit periodieke overleg tussen CBP en partijen zal in 2005 worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven op het nakomen van toezeggingen door partijen. (Zie ook het jaarverslag 2003, p. 38-39.)
42
jaarverslag 2004
ICT in de zorg ICT in de zorg is al jaren een actueel onderwerp. In 2004 zijn er allerlei ontwikkelingen geweest richting een gedigitaliseerd informatiebeheer en -verkeer in de zorg. Ziekenhuizen en huisartsenposten zijn bezig informatiesystemen op te zetten die tot doel hebben in zowel intramurale als extramurale informatiebehoefte te voorzien. Veel ICT-projecten hebben als uiteindelijk doel de basis te vormen voor een landelijk Elektronisch Patiënten Dossier. Bij het ontwerp van dergelijke systemen moet rekening gehouden worden met het medisch beroepsgeheim. Belangrijk is dat informatiesystemen op een veilige manier worden gebruikt en beheerd. Goede methoden om tot authenticatie en autorisatie van gebruikers te komen zijn daarvoor cruciaal.
Burgerservicenummer in de zorg Het burgerservicenummer zal naar alle waarschijnlijkheid per 1 januari 2006 ingevoerd worden in de zorg. Zorginstellingen en zorgverzekeraars zullen verplicht zijn met dit persoonsnummer te werken. Het gebruik van een uniek identificerend persoonsnummer in de zorg brengt risico’s met zich mee. Grootschalige koppeling van (patiënten-)gegevens wordt makkelijker en misbruik daardoor eenvoudiger. Het CBP heeft de minister van VWS geadviseerd over de noodzakelijke waarborgen rond de invoering van het burgerservicenummer in de zorg. Noodzakelijke waarborgen zijn onder meer het beperken van toegang tot personen die hierover mogen beschikken in verband met hun taken en het treffen van voorzieningen om ongeoorloofd nevengebruik tegen te gaan. Ook moet het toezicht op de verwerking van het persoonsnummer in de zorg goed geregeld zijn. Onder deze voorwaarden heeft het CBP zich akkoord verklaard met de invoering van het algemene burgerservicenummer in de zorgsector, een voorstel dat ingaat tegen eerdere afspraken over een apart persoonsnummer voor de zorgsector (zie ook p. 33).
Gedragscode voor gezondheidsonderzoek In 2004 heeft het CBP de Code Goed Gedrag, een gedragscode voor gezondheidsonderzoek van een goedkeurende verklaring kunnen voorzien. De oude code met dezelfde naam was aan herziening toe en de ook de termijn van goedkeuring daarvan was inmiddels
< TERUG
INHOUD
VERDER >
zorg en welzijn verstreken. De goedgekeurde code biedt nadere invulling van regels voor de omgang met patiëntgegevens in gezondheidsonderzoek. De code heeft betrekking op die gegevens waarop een medische geheimhoudingsplicht rust.
Onderzoek Landelijke Registraties Het CBP heeft zijn onderzoek naar de werking van landelijke zorgregistraties in 2004 afgerond met een onderzoeksrapportage die in april 2005 gepubliceerd is. Het verkennende onderzoek had als kernvragen wat de patiënt weet van de registratie van zijn gegevens in landelijke databanken, waarvoor deze registraties precies worden gebruikt, en of de gegevens in de registraties tot de persoon van de patiënt herleidbaar waren. Voor het verwerken van (indirect) herleidbare patiëntgegevens biedt de wet namelijk maar beperkte mogelijkheden, gezien de gevoeligheid van de gegevens en het voor artsen mede om die reden geldende beroepsgeheim. De vraag was dus ook of voor de verwerking van medische persoonsgegevens in deze registraties een rechtmatige grondslag bestond. Uit het onderzoek bij vijf landelijke registraties heeft het CBP de indruk gekregen dat de onderzochte landelijke registraties over het algemeen redelijk tot goed omgaan met persoonsgegevens. Uit het onderzoek bleek echter ook dat verbeteringen in bijna alle gevallen mogelijk en noodzakelijk waren. Het CBP achtte deze verbeteringen met relatief eenvoudige ingrepen mogelijk zonder dat daardoor de waarde van de gegevens voor onderzoek beperkt zou worden. De voornaamste te nemen maatregel is het zoveel mogelijk beperken van de herleidbaarheid van de gegevens tot individuele patiënten. Een aantal aanbevelingen is inmiddels door de registraties overgenomen.
Samenwerking: Operatie Jong Zes ministeries hebben hun krachten gebundeld in Operatie Jong met als doel meer samenhang in het jeugdbeleid te brengen. De leidraad is dat het kind centraal dient te staan in het jeugdbeleid, en niet de instellingen of de ministeries. Onderdeel van de nieuwe aanpak is het zogeheten doorlopende dossier, een volgsysteem met oog op een preventieve signalering van een mogelijk problematische levensloop. In het kader van Operatie Jong worden de mogelijkheden verkend voor een (landelijke) verwijsindex voor dossiers over risicojongeren. Samenwerking tussen allerlei instanties is daarbij nodig. In de praktijk blijkt dat samenwerking belemmerd wordt door onvoldoende kennis bij de partijen over de mogelijkheden die er zijn om gegevens in het kader van een samenwerkingsverband uit te wisselen. Het CBP is bereid rond Operatie Jong te adviseren en voorlichting te geven. In januari 2005 verscheen het informatieblad Informatie delen in samenwerkingsverbanden. De privacyregels die gelden bij samenwerkingsverbanden zijn hierin toegelicht ■
NRC, 11-04
zorg en welzijn
43
INZAGERECHT EN INFORMATIEPLICHT ZIJN ESSENTIEEL
< TERUG
INHOUD
VERDER >
Handel en diensten Reductie van administratieve lasten voor het bedrijfsleven is een van de toonaangevende doelstellingen van het kabinet. Het CBP onderschrijft die doelstelling volledig, omdat het realiseren hiervan in het belang is van het bedrijfsleven terwijl als neveneffect de maatschappelijke steun voor de bescherming van persoonsgegevens daardoor groter kan worden. In december 2004 heeft het CBP in een brief aan de minister van Justitie tien concrete voorstellen geformuleerd die leiden tot administratieve lastenverlichting zonder dat aan de door de minister gestelde randvoorwaarde, een vermindering van het huidig beschermingsniveau van persoonsgegevens, wordt getornd. VNO-NCW heeft de voorstellen onderschreven onder handhaving van de eigen suggesties. Voor het huidige beschermingsniveau zijn het inzagerecht voor burgers en de informatieplicht voor bedrijven en organisaties die persoonsgegevens verwerken, essentieel.
44
jaarverslag 2004
< TERUG
INHOUD
VERDER >
handel en diensten Het inzagerecht geeft individuen zicht op wat er in hun geval met de eigen gegevens gebeurd is. De informatieplicht vormt daarom een belangrijke waarborg in het evenwicht tussen het belang van bedrijven om persoonsgegevens te verwerken (bijvoorbeeld voor direct marketing of fraudebestrijding) en het belang van het individu bij bescherming van en respect voor zijn persoonlijke levenssfeer. Inzagerecht en informatieplicht dragen bij aan het vertrouwen tussen bedrijf en (potentiële) consumenten en vergen met het oog daarop een rendabele investering.
cliënten op commerciële basis. Het uitvoeren van een dergelijke adrescontrole is in strijd met de gedragscode voor financiële instellingen, opgesteld door de sector en in februari 2003 goedgekeurd door het CBP. Interpay heeft naar aanleiding van de uitspraak van het CBP in oktober 2004 besloten alle zogenaamde NAW-dienstverlening voor onbepaalde tijd stop te zetten. De banksector heeft inmiddels laten weten met deze commerciële adressencontrole te stoppen.
Kentekenregister en benzinepiraten Inzage bij Dexia Na het dalen van de beurskoersen eind jaren ‘90 zijn nogal wat mensen die met geleend geld in aandelen hadden belegd, in financiële problemen geraakt. Een groot aantal personen heeft over contracten voor zogeheten aandelenlease een geschil met Dexia Bank Nederland NV. In rechtszaken wordt uitgevochten of bij de verkoop van deze financiële producten de zorgplicht jegens deze klanten voldoende is nagekomen. In het geding is de vraag of voldoende is beoordeeld of de potentiële klanten geen onverantwoorde risico’s liepen bij het aangaan van een dergelijke overeenkomst en of het bedrijf zijn klanten voldoende over de risico’s heeft geïnformeerd. De klantdossiers bij Dexia zouden hierin meer inzicht kunnen bieden. Daarom hebben veel betrokkenen op grond van de WBP bij Dexia inzage gevraagd in de over hen vastgelegde gegevens. De betrokken klanten stelden dat Dexia hen een afschrift zou moeten geven van de documenten die Dexia van hen had. Dexia stelde dat de bank zich mocht beperken tot een overzicht van beschikbare informatie. Ook de wet gebruikt de term ‘overzicht’. Het CBP heeft desgevraagd in deze kwestie een uitspraak gedaan over de wijze waarop het recht op kennisneming in deze situatie moest worden uitgelegd. Het standpunt van het CBP was dat in het algemeen niet volstaan kon worden met een samenvatting van de gegevens. In zo’n samenvatting kan immers cruciale informatie verloren gaan, terwijl detailgegevens, in de precieze context waarin deze zijn verwerkt, bepalend kunnen zijn. Een betrokkene heeft daarom in principe recht op volledige kennisneming van de over hem verwerkte gegevens. Dat betekent in de praktijk dat hij recht heeft op een afschrift. Alleen zo kan een betrokkene opkomen voor zijn rechten. Hierop kan echter een uitzondering worden gemaakt voor zover dat noodzakelijk is om de rechten en vrijheden van – in dit geval – Dexia te beschermen. Op een dergelijke uitzondering kan niet op voorhand in alle lopende geschillen een beroep worden gedaan. Dexia heeft geen reden gezien zijn werkwijze in het licht van de uitspraak van het CBP aan te passen. Uitspraken van de geschillencommissie bankzaken en van civiele rechters zullen nu in een oplossing moeten voorzien.
Adrescontrole door Interpay voor direct marketing Naar aanleiding van een klacht heeft het CBP onderzoek gedaan naar de wijze waarop een charitatieve stichting en Interpay BankGiroCentrale (Interpay) bleken samen te werken voor een vorm van direct marketing. De stichting bleek het eigen adressenbestand te actualiseren door het op systematische wijze opschonen en actualiseren van (potentiële) donateurgegevens. Interpay verstrekte daartoe namens de banken naam- en adresgegevens van hun
Het fenomeen van automobilisten die zonder te betalen doorrijden na het tanken – de zogenaamde benzinepiraten – heeft grote publieke aandacht getrokken. Tankstationhouders vroegen om toegang tot het kentekenregister om van benzinediefstal verdachte doorrijders te kunnen achterhalen. De minister van Verkeer en Waterstaat besloot dat deze personen tot betaling gemaand konden worden door gerechtsdeurwaarders, die daartoe de bevoegdheid kregen om de namen en adressen van benzinepiraten op basis van het kentekennummer op te vragen bij de Rijksdienst voor het wegverkeer. De gekozen oplossing is echter strijdig met eerder verwoord kabinetsbeleid. In 2001 heeft de toenmalige minister van Verkeer en Waterstaat immers aangegeven dat er geen gegevens meer mogen worden verstrekt uit publiekrechtelijke registers voor commerciële doeleinden. Het incasseren van vorderingen is echter een commerciële bedrijfsactiviteit en behoort niet tot de ambtelijke taakuitoefening van de gerechtsdeurwaarder. Het CBP adviseerde de minister een minder ingrijpende oplossing te kiezen waarmee al ervaring is opgedaan. In de regio Kennemerland geven gedupeerde pomphouders kentekens van doorrijders door aan de politie. Deze beschouwt dit als een aangifte van een strafbaar feit en verstrekt in het kader van slachtofferhulp (op grond van de zogenaamde Wet Terwee) naam en adresgegevens van de doorrijder aan de pomphouder. De pomphouder kan met deze gegevens de doorrijder schriftelijk verzoeken te betalen. Pas als dit niet gebeurt, onderneemt de politie actie en stelt een strafrechtelijk onderzoek in. De praktijk wijst uit dat de aangeschreven doorrijders in veel gevallen alsnog betalen. Dit advies is niet opgevolgd door de minister van Verkeer en Waterstaat, omdat de voorgestelde aanpak van benzinedieven volgens de minister in lijn is met het kabinetsbeleid, zowel op het gebied van de gegevensvertrekking als de ontlasting van het justitiële apparaat.
Chipkaart voor het openbaar vervoer Op 1 januari 2006 zullen volgens plan de eerste ‘echte’ chipkaarten voor het openbaar vervoer worden uitgereikt. Binnen een jaar dient dan de strippenkaart verleden tijd te zijn. Waar vervoersbedrijven nu niet op personen herleidbaar inzicht hebben in het reisgedrag van sommige reizigers (sterabonnementen, trajectkaarten) biedt de chipkaart in principe de mogelijkheid om in detail vast te leggen wie, waar en wanneer van het openbaar vervoer gebruik maken. Het CBP heeft de afgelopen jaren daarom meermalen overlegd met TransLink, de aanbesteder van de chipkaart, over een infrastructuur die rekening houdt met het privacybelang van miljoenen reizigers. De infrastructuur die nu wordt gebouwd, lijkt inderdaad zo te worden ingericht dat deze de bescherming van persoonsgegevens voldoende ondersteunt. Vervoersbedrijven beslissen echter zelf of en op welke wijze zij van deze mogelijkheden gebruik zullen maken. TransLink heeft het CBP voor de concretisering van een en ander
handel en diensten
45
< TERUG
INHOUD
VERDER >
activiteiten doorverwezen naar de vervoersorganisaties zelf. In 2004 heeft het CBP de NS, veruit de grootste vervoerder, herhaalde malen verzocht om overleg over het gebruik dat het bedrijf gaat maken van de persoonsgegevens waarover zij straks dankzij de chipkaart kunnen beschikken. De wettelijke normen schrijven immers voor dat niet meer gegevens worden verwerkt dan noodzakelijk is voor het beoogde doel: het betalen voor het gebruik van het openbaar vervoer. Anoniem reizen moet een reële mogelijkheid blijven. Ook dienen de gegevens goed beveiligd te worden. Begin 2005 heeft overleg met de NS plaatsgevonden.
Zwarte lijst hypotheekfraude Zwarte lijsten als hulpmiddel bij de bestrijding van fraude en criminaliteit stonden ook in 2004 in de belangstelling. De WBP laat ruimte voor het gerechtvaardigd belang dat bedrijven, organisaties en instellingen kunnen hebben bij het gebruik van zwarte lijsten. Zonder de juiste waarborgen voor de betrokkenen zijn zwarte lijsten echter verboden.
De centrale vraag is hoe het belang van de organisatie zich verhoudt tot de consequenties van plaatsing op de lijst voor een individu. Aanbieders van hypothecaire financieringen wilden in 2004 een zwarte lijst om fraude met hypotheken terug te dringen. Vermoeden van fraude zou voldoende zijn voor plaatsing op de lijst. Het CBP oordeelde dat zo’n handelwijze in strijd was met de WBP. Het plaatsen van betrokkenen op een breed toegankelijke lijst op basis van niet meer dan vermoedens is ongeoorloofd, zeker nu een dergelijke vermelding voor de betrokkene verstrekkende gevolgen kan hebben. Deze zal immers niet meer of slechts onder verzwaarde condities een hypotheek kunnen afsluiten. De branche heeft naar aanleiding van deze uitspraak ervoor gekozen zich aan te sluiten bij het reeds bestaande en door het CBP in 2002 goedgekeurde Incidentenwaarschuwingssysteem financiële instellingen ■
Volkskrant, 04-05
46
jaarverslag 2004
INHOUD
VERDER >
STEEDS MEER PARTIJEN IN TELECOMKETENS WERKEN SAMEN
< TERUG
Telecom De in telecommunicatiesystemen beschikbare informatie wordt steeds meer gebruikt voor het leveren van allerlei diensten en voor opsporingsdoeleinden. Doordat er steeds meer partijen in telecomketens samenwerken, raken de verantwoordelijkheden van telecommunicatieaanbieders, dienstenaanbieders en opsporingsinstanties meer en meer verstrengeld. Dit leidt bovendien tot ingewikkelder toezichtarrangementen. Het is daarom lastiger geworden vast te stellen welke wettelijke bepalingen op welke van de betrokken partijen van toepassing zijn, en welke toezichthouders daarop controle uitoefenen. Het CBP tracht hierop een antwoord te vinden door onder meer afspraken te maken met andere toezichthouders en voorlichting te geven aan de sector.
telecom
47
< TERUG
INHOUD
VERDER >
activiteiten Nummeridentificatie Met een voorlichtingsprogramma beoogt het CBP helderheid te verschaffen over de normering van belangrijke verwerkingen van persoonsgegevens in de telecommunicatiesector. Nummeridentificatie vormde het eerste onderwerp. De schriftelijke consultatie van de sector in het najaar van 2003 resulteerde mede dankzij de reacties van de sector over interpretatie en toepassing van de bestaande normering in een verduidelijking van de normen voor nummeridentificatie. Het document Nummeridentificatie en de bescherming van persoonsgegevens is gepubliceerd op de CBP-website en gaat onder meer in op de toepasselijkheid van bepalingen rondom nummeridentificatie voor verschillende diensten (ISDN, SMS, e-mail, internettelefonie), de vraag wie de verantwoordelijke in de zin van de WBP is, informatieverplichtingen en op de effectiviteit van blokkeringen. De komende jaren zal het CBP ook andere onderwerpen uitdiepen in directe samenspraak met belanghebbenden in de sector.
Strafvordering in de telecommunicatie Op het raakvlak van strafvordering en telecommunicatie is de afgelopen tijd zeer veel wet- en regelgeving tot stand gekomen of gewijzigd. Met het oog op de formulering van het (toezicht)beleid zijn in 2004 eerst de opsporingsbevoegdheden op dit terrein geïnventariseerd. Vervolgens is een beperkt aantal thema’s geselecteerd: – de mogelijkheden en grenzen voor telecommunicatieaanbieders om vrijwillig gegevens te bewaren en te verstrekken ten behoeve van strafvordering; – de verplichting om burgers die getapt zijn daarvan op de hoogte te stellen; – de toenemende overlap van opsporingsbevoegdheden op telecommunicatiegebied en het daarmee samenhangende risico van oneigenlijk gebruik; – de gevolgen van onrechtmatige verwerking van persoonsgegevens door telecommunicatieaanbieders voor hun mogelijkheden om mee te werken aan strafvordering; – de speciale positie van private (niet-openbare) telecommunicatienetwerken. Over deze thema’s is in november 2004 een expertmeeting gehouden waaraan deskundigen uit de telecommunicatiesector, wetenschap en advocatuur deelnamen. De uitkomsten hiervan vormen mede de basis voor het opstellen – in enkele gevallen samen met Opta – van op de CBP-website te publiceren voorlichtingsteksten.
Spam Op 19 oktober 2004 hebben OPTA en CBP afspraken over samenwerking ondertekend. De afspraken hebben betrekking op het spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht is. Ongevraagde, in grote hoeveelheden verzonden e-mail, beter bekend als spam, vormt een steeds groter maatschappelijk probleem. Spam is voor gebruikers hinderlijk en ongewenst, maar jaagt Internet service providers – en daarmee hun klanten – op hoge kosten door de enorme hoeveelheden spam die worden verzonden. Volgens recente schattingen is wereldwijd inmiddels ongeveer driekwart van alle verzonden e-mailberichten spam. Het internationale karakter van spam en de niet zomaar te wijzigen communicatieprotocollen die op internet gebruikt worden, maken het erg lastig om spam tegen te gaan.
48
jaarverslag 2004
Samenwerking is daarom geboden. De beide toezichthouders zullen elkaar informeren en bijstaan en beide colleges zullen zorg dragen voor een consistente uitleg van begrippen uit de Wet bescherming persoonsgegevens en de Telecommunicatiewet. Het CBP zal zich primair richten op het toezicht op het verzamelen en gebruiken van e-mailadressen. Mensen die last ondervinden van ongevraagde commerciële e-mailtjes kunnen daarover klagen bij OPTA via www.spamklacht.nl.
Samenwerking met OPTA De werkafspraken over spam vormden de opmaat voor de uitwerking van een breder samenwerkingsprotocol tussen CBP en OPTA. Deze samenwerking is ingegeven door het in werking treden van een vernieuwde Telecommunicatiewet in 2004, ter implementatie van de Europese richtlijn 2002/58 betreffende privacy en elektronische communicatie. Hoofdstuk 11 van de Telecommunicatiewet gaat over de bescherming van persoonsgegevens en de persoonlijke levenssfeer. Behalve het verbod op spam zijn hierin onder andere geregeld: nummeridentificatie, het gebruik van verkeers- en locatiegegevens, het doorgeven van nummers ten behoeve van telefoontjes naar alarmcentrales, het verbod op autodialers en spyware en de uitwisseling van persoonsgegevens voor telefoongidsen. De regels voor de omgang met persoonsgegevens uit de Telecommunicatiewet zijn niet uitputtend. Zij vormen een nadere uitwerking van en soms een aanvulling op de normen uit de WBP. OPTA ziet alleen toe op bepalingen uit de Telecommunicatiewet. De bevoegdheid van het CBP is ruimer: zowel de WBP als de Telecommunicatiewet als het om persoonsgegevens gaat. OPTA en CBP achten het daarom wenselijk om ten aanzien van alle in hoofdstuk 11 van de Telecommunicatiewet genoemde onderwerpen samen te gaan werken. Deze samenwerking zal worden vastgelegd in een algemeen protocol, waarin ook de werkafspraken over spam zullen worden opgenomen. Naar verwachting zal het samenwerkingsprotocol in mei 2005 worden vastgesteld.
KPN informeert klanten over geheime nummerbeleid Koninklijke KPN NV (KPN) verkocht sinds geruime tijd de adresgegevens van abonnees met een geheim nummer aan anderen voor direct marketing doeleinden. Het gezamenlijke onderzoek dat CBP en OPTA in 2003 naar deze praktijk instelden, bracht aan het licht dat KPN eerder klanten met een geheim nummer had toegezegd dit niet te zullen doen. Na de verandering van het beleid zijn bestaande klanten met een geheim nummer hierover niet geïnformeerd. In zijn jaarverslag over 2003 sprak het CBP zijn teleurstelling uit over het feit dat de kwestie zich begin 2004 nog voortsleepte, terwijl het in de kern gaat om een wettelijke plicht van KPN om klanten actief te informeren over hun wettelijke rechten. Inmiddels heeft KPN door het actief toezenden van een bijsluiter aan abonnees met een geheim nummer en het aanpassen van de privacybrochure voldaan aan de door het CBP gestelde eisen. Met een bijsluiter bij de telefoonrekening heeft KPN de bestaande klanten met een geheim nummer geïnformeerd en gewezen op de mogelijkheid hiertegen verzet aan te tekenen. De privacybrochure Hoe gaat KPN om met uw persoonsgegevens? is eveneens aangepast. Alle nieuwe klanten van KPN en alle abonnees die veranderen van een gids- en nummerinformatievermelding naar een geheim nummer, zullen deze brochure ontvangen. Alle bestaan-
< TERUG
INHOUD
VERDER >
telecom de en nieuwe abonnees van KPN zijn of worden zo geïnformeerd over wat KPN met hun adresgegevens doet en hoe zij eventueel kunnen voorkomen dat deze voor direct marketing worden gebruikt.
Websites en privacy Met regelmaat krijgt het CBP vragen over internet en privacy. De meeste daarvan gaan over de publicatie van persoonsgegevens op websites: – het plaatsen van gegevens op internet door werkgevers, scholen, en verenigingen; – registers, lijsten en gidsen op internet; – foto’s op internet; – genealogische informatie op internet. Daarnaast is een aantal fundamentele vraagstukken nog niet voldoende doordacht. Eind 2003 heeft het Europese Hof van Justitie zich in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van toepassing verklaard op internet. Bovendien bepaalde het hof dat het publiceren van persoonsgegevens op internet niet zonder meer neerkomt op het verstrekken van gegevens aan een land buiten de EU. Het CBP heeft in 2004 besloten om meer aandacht te geven aan vraagstukken rondom de bescherming van persoonsgegevens op internet. De focus zal daarbij in eerste instantie liggen op publicatie van persoonsgegevens op websites. In 2004 is een eerste aanzet geleverd door te kijken naar de vraag wanneer uitingen op internet te beschouwen zijn als verwerkingen voor journalistieke doeleinden; op zulke verwerkingen is de WBP weliswaar van toepassing, maar slechts in beperkte mate, wat onder meer inhoudt dat het CBP er geen toezicht op houdt. Doel van het project is om in 2005 duidelijkheid te bieden over twee vragen: in welke gevallen en in welke mate het CBP bevoegd is, en of het CBP dan als toezichthouder kan en wil optreden. Daarnaast zullen vuistregels worden opgesteld voor de onderwerpen waarover het CBP veel vragen ontvangt ■
Volkskrant, 04-05
telecom
49
TECHNOLOGIE IS VAN GROTE INVLOED OP DE OMGANG MET PERSOONSGEGEVENS
< TERUG
INHOUD
VERDER >
Technologie Technologische ontwikkelingen zijn van grote invloed op de omgang met persoonsgegevens en daarmee op de eerbiediging van de persoonlijke levenssfeer. Het toenemende gebruik van internet, locatiegebonden telecommunicatiediensten, elektronische bewaking van auteursrechten (Digital Rights Management) en mogelijkheden voor identificatie op afstand van personen bieden tal van voordelen voor bedrijven en consumenten, overheden en burgers. Deze ontwikkelingen roepen evenzeer de vraag op naar de mate waarin de persoonlijke levenssfeer om wille van die voordelen dreigt te worden aangetast. Tegelijkertijd biedt privacytechnologie mogelijkheden om persoonsgegevens beter te beschermen.
50
jaarverslag 2004
< TERUG
INHOUD
VERDER >
technologie Standaardisatie: ISO Privacy Framework Standaardisatie van privacytechnologieën speelt een belangrijke rol bij het bevorderen van deze technologieën. Het CBP is daarom voorstander van het ontwikkelen van wereldwijde standaards en specificaties die betrekking hebben op de bescherming van persoonsgegevens. De bescherming van persoonsgegevens is echter niet gebaat bij standaardisering die tot stand is gekomen zonder voldoende betrokkenheid van (Europese) privacytoezichthouders. Onder verantwoordelijkheid van de Internationale Organisatie voor Standaardisatie (ISO) is in 2004 een voorstel gedaan voor een wereldwijde privacystandaard en standaardisatie van privacytechnologieën, het Privacy Framework uit de ‘Draft International Standard ISO/IEC 20886’. Vanwege de onvolkomenheid hiervan riep de Internationale werkgroep voor gegevensbescherming en telecommunicatie (IWGDPT), waarvan het CBP deel uitmaakt, in 2004 alle nationale privacytoezichthouders op bij de nationale standaardisatie- en normalisatieorganisaties aan te dringen op een Framework dat in overeenstemming is met geldende privacywet- en regelgeving. Het CBP heeft vervolgens bij het Nederlands Normalisatie-instituut (NEN) aangedrongen op zorgvuldige bespreking van het Privacy Framework en gewezen op de noodzaak van overleg en afstemming voordat er op korte termijn mee ingestemd wordt. In september 2004 tijdens de internationale privacyconferentie in Wroclaw hebben de toezichthouders zich uitgesproken tegen het voorstel. Eind 2004 is het voorstel teruggetrokken, nadat ISSEA en ISTPA, internationale associaties voor standaardisatie, hadden vastgesteld dat het voorstel binnen ISO en de privacywereld controversieel was.
RFID: Radio Frequency Identification In 2004 heeft het CBP zich vooral gericht op het leveren van bijdragen aan het reglementeren van het intensiever gebruik van Radio Frequency Identification (RFID). Dit is een technologie waarmee allerhande voorwerpen (van voertuigen, dieren en consumentengoederen tot bankbiljetten, paspoorten of toegangspasjes) voorzien kunnen worden van kleine, uitleesbare zogenaamde tags (computerchips). Wat de chip aan informatie geeft over het voorwerp en wat de opvrager van de informatie (een RFID-lezer met bijbehorend informatiesysteem) vervolgens met die gegevens kan doen, hangt er van af. De technologie maakt het in ieder geval mogelijk voorwerpen per stuk op een goedkope wijze te voorzien van een uniek, gestandaardiseerd individueel nummer dat moeiteloos en vrijelijk uitgelezen kan worden. Dit kan enorme voordelen opleveren in logistieke processen. Of een pallet, bijvoorbeeld, nog steeds alle artikelen bevat die de verzender er op heeft geplaatst, kan automatisch door de ontvanger bepaald worden. De technologie kan ook gebruikt worden voor verbeterde toegangscontrole en het garanderen van de herkomst van bijvoorbeeld medicijnen, geld of paspoorten. Grootschalige toepassingen liggen in het verschiet omdat miniaturisering en standaardisering de technische en economische belemmeringen voor een brede inzet van RFID zullen wegnemen. Allerlei consumententoepassingen zijn denkbaar, waarvan sommige ook een potentiële bedreiging van de privacy van de burger vormen. Als bedrijven en andere organisaties ongemerkt informatie kunnen verzamelen over voorwerpen die in verband kunnen worden gebracht met een persoon, kan dat de weg openen naar grootschalige profilering, ongelijke behandeling of naar het monitoren van individuen en hun gedrag.
Alhoewel gebruik van RFID-technologie al gangbaar is voor toegangscontrole en in de logistieke keten, zal het nog enige tijd duren voordat het merendeel van de consumentenartikelen per item voorzien is van een tag waarin een unieke code is opgeslagen. Er lijkt dus nog voldoende tijd te zijn om te onderzoeken of technische aanvullingen ontwikkeld kunnen worden waarmee de voordelen van de technologie behouden blijven, terwijl de nadelen kunnen worden voorkomen of beperkt. De ontwikkelingen gaan echter snel. Met het oog hierop heeft het CBP in 2004 bijgedragen aan een nadere interpretatie van de privacyregels bij toepassing van RFID. Het CBP neemt deel aan de RFID-werkgroep van ECP.NL die onderzoekt in welke mate er nadere afspraken nodig zijn om het gebruik van RFID-tags in goede banen te leiden. Resultaten van de werkgroep kunnen een aanzet vormen voor zelfregulering in sectoren die gebruik willen maken van de technologie. Het CBP heeft ook bijgedragen aan rapportages in opdracht van de Artikel 29-werkgroep, het samenwerkingsverband van de privacytoezichthouders in de EU-lidstaten. Daarbij zijn ook voorstellen gedaan voor technische privacywaarborgen. De rapportages zijn een richtsnoer voor verantwoorde toepassing van RFID.
Biometrie De toenemende behoefte aan identificatiemogelijkheden heeft ook gezorgd voor een groeiende interesse voor biometrische applicaties. Op de plannen voor één visa-informatiesysteem voor de hele Europese Unie met gebruik van biometrische gegevens heeft de Artikel 29-werkgroep in augustus 2004 gereageerd met Opinie 7/2004. De werkgroep wijst erop dat de verwerking van biometrische gegevens steeds een zeer nauwkeurige rechtmatigheidsanalyse vereist omdat de gevaren van misbruik van deze gegevens groot zijn. Er zijn verder grote reserves bij oplossingen die leiden tot een routinematige en grootschalige opslag van biometrische gegevens. De werkgroep geeft nadrukkelijk aan betrokken te willen zijn bij de verdere vormgeving van het visa-informatiesysteem. Ook heeft het CBP bijgedragen aan het rapport over biometrie van de adviescommissie T-PD bij de Raad van Europa. Het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens – in 1981 tot stand gekomen in de Raad van Europa – was het eerste bindende internationale instrument op het gebied van gegevensbescherming. In het rapport van de adviescommissie worden behalve de implicaties van de verdragsprincipes voor biometrische toepassingen, ook de sterke en zwakke kanten van biometrie behandeld. Ook worden criteria voor het ontwerpen van de architectuur van biometrische systemen geformuleerd. Het rapport onderstreept het belang van maatregelen voor beveiliging en beheer alsook van dataminimalisatie en van maatregelen die doelbinding bevorderen. Voor burgers is vooral van belang dat zij worden geïnformeerd opdat zij eventueel hun rechten kunnen uitoefenen. Het CBP heeft overigens al in 1999, in de studie At face value, aanbevelingen gedaan voor een goede omgang met biometrische gegevens. Daarbij is er in het bijzonder op gewezen dat zowel opslag van de data als verificatieprocessen gedecentraliseerd plaats zouden moeten vinden ■
technologie
51
INHOUD
VERDER >
ROTTERDAM VORMDE HET TONEEL VOOR DE VOORJAARSCONFERENTIE
2004
< TERUG
Internationaal Op de Voorjaarsconferentie van Europese privacytoezichthouders in Rotterdam, georganiseerd door het CBP, werd onder de titel ‘the navigation of privacy’ een levendige discussie gevoerd over het meest geschikte toezichtarrangement voor de bescherming van de persoonlijke levenssfeer. Hoe kan de bescherming van privacy zo goed mogelijk gewaarborgd worden in een veranderende samenleving en welke rollen spelen toezichthouders daarbij? Het tweede thema was het toegenomen belang van bescherming van persoonsgegevens in de sfeer van de Europese samenwerking door politie en justitie. De conferentie werd op donderdag 22 april officieel geopend door de minister van Justitie, J.P.H. Donner. In zijn speech riep de minister op tot verdere samenwerking bij het toezicht op de rechtshandhaving in Europa binnen de zogenaamde derde pijler, het beleidsterrein van justitie en binnenlandse zaken. Door het ontbreken van een geharmoniseerd stelsel van wetten en regels op dit terrein en het bestaan van verschillende toezichthoudende autoriteiten, is het essentieel dat er goed wordt samengewerkt. Besloten werd een planninggroep in te stellen bestaande uit de voorzitters van de diverse internationale toezichthouders om deze samenwerking te starten. 52
jaarverslag 2004
< TERUG
INHOUD
VERDER >
internationaal In een speciaal programma voorafgaand aan de voorjaarsconferentie brachten de Europese privacytoezichthouders een bezoek aan Europol. Bij Europol stond het spanningsveld tussen de opsporing van georganiseerde misdaad en de bescherming van privacy centraal. Na afloop van de conferentie was een werkbezoek georganiseerd in samenwerking met het project Veilig Rotterdam.
Wroclaw: gegevensbescherming in de derde pijler Op de voorjaarsconferentie in Rotterdam is ook besloten tot het creëren van een platform voor discussie, dat immers voor de derde pijler ontbreekt. Tijdens de internationale najaarsconferentie van privacytoezichthouders in september 2004 in Wroclaw (Polen) hebben de toezichthouders van de Europese lidstaten de Europese Raad en de Europese Commissie opgeroepen tot de vorming van een adviesorgaan op het terrein van de samenwerking van politie en justitie in Europa. De versterking van justitiële en politiële samenwerking maakt het noodzakelijk deze advisering te verankeren in de structuur van de derde pijler. Het CBP heeft de resolutie vervolgens onder de aandacht gebracht van de Europese Commissie, het Europese Parlement en tevens -in het kader van het Nederlandse voorzitterschap van de Europese Unie- van de Nederlandse ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties. De Europese privacytoezichthouders hebben inmiddels hun samenwerking bij advisering en toezicht op het terrein van politie en justitie geïntensiveerd.
Toezichthouders in de derde pijler De nationale toezichthouders in de Europese Unie hebben een gezamenlijke verantwoordelijkheid voor het toezicht op de instellingen waarin de nationale politie- en justitieautoriteiten samenwerken in Europa (o.a. Europol en Schengen). Dit toezicht wordt uitgeoefend door de zogenaamde Gemeenschappelijke Controleautoriteiten en -organen (GCA’s). Gezien het belang van een krachtiger advisering in de derde pijler zijn de toezichthoudende organen voor Schengen, Europol, Douane en Eurojust in 2004 voor het eerst gezamenlijk bijeengekomen. Het betrof onder meer het opstellen van een gezamenlijke opinie op verzoek van het Britse Hogerhuis. De opinie gaat in op onderzoeksvragen van een House of Lords-commissie over terrorismebestrijding in de Europese Unie en de bescherming van de persoonlijke levenssfeer. De GCA’s pleiten voor verbetering van de bescherming van de fundamentele rechten van het individu ten aanzien van zijn persoonsgegevens en van het toezicht daarop. De bestaande internationale wet- en regelgeving is daarvoor niet voldoende. Gelet op de toenemende schaalvergroting van de gegevensverwerkingen, waarin vaak gegevens van onverdachte personen worden opgenomen, is er behoefte aan nieuwe specifieke regels voor de politiesector die een voldoende bescherming garanderen.
Ontwikkeling nieuw Schengen Informatiesysteem Het CBP levert sinds januari 2004 de voorzitter van de GCA Schengen. Tijdens het voorzitterschap van Nederland van de Europese Unie in de tweede helft van 2004 heeft het CBP bij het kabinet aangedrongen op politieke en juridische besluitvorming over het Schengen Informatiesysteem. Dat systeem is bedoeld om de
controle aan de buitengrenzen van de EU te versterken. Onder meer de toetreding van nieuwe lidstaten tot de Europese Unie maakt vernieuwing van dat systeem nodig. Ook kunnen in het systeem geen biometrische kenmerken worden opgenomen. In september 2004 heeft de GCA Schengen een opinie uitgebracht over de ontwikkeling van het nieuwe Schengen Informatiesysteem (SIS II). De GCA vraagt met nadruk aandacht voor de bescherming van persoonsgegevens bij het ontwerpen van SIS II en roept de Europese Raad op meer duidelijkheid te geven over het doel en de functies van het te bouwen systeem. Alleen dan kan er ook worden voorzien in een toereikend stelsel van waarborgen voor de verwerking van persoonsgegevens.
Onderzoek in het Schengen Informatiesysteem In 2004 heeft de GCA Schengen aan de nationale controleautoriteiten van de lidstaten die aangesloten zijn op het SIS, verzocht een onderzoek in te stellen naar de werking van artikel 96 van de Schengen Uitvoeringsovereenkomst. Dat artikel bepaalt onder welke voorwaarden vreemdelingen in het SIS kunnen worden gesignaleerd. Het Korps Landelijke Politiediensten en de Immigratie- en Naturalisatiedienst – gezamenlijk de nationale verantwoordelijke voor het Schengen Informatiesysteem – zijn door het CBP als nationale controleautoriteit voor Nederland verzocht hun medewerking te verlenen aan het onderzoek. Het CBP heeft eind juni 2004 en eind december 2004 gerapporteerd aan de GCA Schengen. Ten aanzien van een aantal signaleringen zijn bij het CBP vragen gerezen. Het CBP zal die signaleringen nader onderzoeken.
Verkeersgegevens telecommunicatie De al jaren in Europa spelende discussie over een bewaarplicht voor verkeersgegevens ten behoeve van de opsporing, kreeg een nieuwe wending door de terroristische aanslagen in Madrid. Naar aanleiding hiervan nam de Europese Raad op 25 maart 2004 de Verklaring betreffende de bestrijding van terrorisme aan. Daarin werd opgeroepen om voorstellen te doen voor het komen tot een bewaarplicht voor verkeersgegevens door telecommunicatieaanbieders. Een voorstel van vier EU-lidstaten was vervolgens aanleiding voor een consultatiedocument van de Europese Commissie. Het CBP heeft hierop gereageerd en leverde een substantiële bijdrage aan een advies van de Artikel 29-werkgroep over de bewaarplicht, dat ook werd aangeboden aan de betrokken vaste commissies van de Eerste en Tweede Kamer. Voortbouwend op eerdere opinies sinds de jaren ’90 en uitspraken van het Europese Hof van Justitie was de werkgroep van oordeel dat de voorstellen voor een bewaarplicht voor alle verkeersgegevens niet voldoen aan de vereisten van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM): voor het langdurig bewaren van alle verkeersgegevens van onverdachte personen is geen noodzaak aangetoond. Een dergelijke systematische opslag is disproportioneel.
Passagiersgegevens De uitkomst van de onderhandelingen tussen de Europese Commissie en de Verenigde Staten over de verstrekking van passagiersgegevens aan de VS bleef naar het oordeel van de Artikel 29-werkgroep op een aantal punten onder de maat. De werkgroep
internationaal
53
< TERUG
INHOUD
VERDER >
activiteiten Jaarverslag 2001 - in vogelvlucht
reageerde in haar Opinie 2/2004 op een verzoek van de Europese Commissie om beoordeling van het bereikte compromis met de Verenigde Staten. Desondanks heeft de Europese Commissie een positieve beslissing genomen over het beschermingsniveau in de VS. Het Europese Parlement bracht de kwestie voor het Europese Hof. De Europese Commissie is van mening dat er voldoende juridische basis bestaat voor doorgifte van passagiersgegevens naar de Verenigde Staten en acht het niveau van bescherming daar voldoende. Ondanks de geboekte vooruitgang in de onderhandelingen – bijvoorbeeld het terugdringen van de bewaartermijn tot 3,5 jaar – was de Artikel 29-werkgroep van oordeel dat de voorgestelde regeling nog onvoldoende in lijn is met de Europese normen. Daarbij stelt de werkgroep dat de bilaterale overeenkomst die de toegang regelt van de Amerikaanse autoriteiten tot de reserveringssystemen van de luchtvaartmaatschappijen, in overeenstemming zal moeten zijn met artikel 8 EVRM en artikel 13 van de Europese privacyrichtlijn. De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd op een goede implementatie van de genomen besluiten. Daartoe werd een model gemaakt voor de informatievoorziening aan passagiers. Met de luchtvaartmaatschappijen is overleg gevoerd over de informatievoorziening aan passagiers. Ook heeft de werkgroep aangedrongen op een zo spoedig mogelijke overgang van pull naar push, dat wil zeggen van het openstellen van de reserveringssystemen voor de Amerikaanse autoriteiten zodat deze de benodigde gegevens kunnen verzamelen, naar de actieve aanlevering van de noodzakelijke gegevens door de maatschappijen zelf.
BCR: doorgifte van gegevens binnen multinationals De evaluatie van de Europese privacyrichtlijn 95/46/EG door de Europese Commissie in 2003 heeft geresulteerd in een werkprogramma ter verdere verbetering van de geharmoniseerde implementatie van de richtlijn. Hierin speelt de Artikel 29-werkgroep een centrale rol. Een belangrijk onderdeel daarvan is een vereenvoudiging van de regels voor doorgifte van persoonsgegevens naar landen buiten Europa, met name voor multinationale bedrijven. Hiertoe heeft het CBP in 2004 samen met andere toezichthouders gewerkt aan de introductie van zogenaamde Binding Corporate Rules (BCRs), bindende gedragscodes voor de omgang met persoonsgegevens binnen multinationale concerns. Op 24 november 2004 organiseerde het CBP namens de werkgroep hierover in Den Haag een publieke hoorzitting. Enkele multinationals hadden BCRs opgesteld na het verschijnen van de opinie van de Artikel 29-werkgroep in juni 2003. Tijdens de hoorzitting werden de ervaringen van deze bedrijven besproken en werden best practices uitgewisseld. Ook werd in kaart gebracht wat noodzakelijk is om BCRs tot een Europees succes te maken. Het bedrijfsleven gaf aan dat er vooral behoefte is aan een eenvoudige, snelle en duidelijke procedure om in de verschillende landen van de Europese Unie goedkeuring te krijgen van BCRs. Op grond van één BCR zouden dan vanuit de hele EU gegevens kunnen worden doorgeven naar ‘derde landen’. In Nederland is de goedkeuring van enkele BCRs in de afrondingsfase. De Artikel 29werkgroep werkt aan een samenwerkingsprocedure voor de behandeling van BCRs en heeft inmiddels een checklist opgesteld voor bedrijven in de EU die BCRs willen opstellen. BCRs mogen geen
54
jaarverslag 2004
papieren tijger zijn, maar dienen te leiden tot een praktische, daadwerkelijke naleving van regels voor de bescherming van persoonsgegevens in de organisatie. Bij de hoorzitting waren 30 vertegenwoordigers van het bedrijfsleven aanwezig, evenals een consumentenorganisatie. De Artikel 29-werkgroep komt met deze eerste publieke hoorzitting ook tegemoet aan het verzoek om meer openheid, transparantie en dialoog over de activiteiten van de werkgroep. De hoorzitting werd afgesloten met het uitspreken van de verwachting dat in 2005 verschillende nationale toezichthouders gezamenlijk met een aantal BCRs kunnen instemmen.
Melding en gezamenlijke handhaving De Artkel 29-werkgroep streeft ook naar een vereenvoudiging van de meldingen van verwerkingen van persoonsgegevens bij de nationale toezichthouders. De werkgroep heeft een document opgesteld waarin de nationale best practices staan ten aanzien van de melding, de vrijstelling van melding en het interne toezicht door een functionaris voor de gegevensbescherming. Verder bevat het aanbevelingen voor een goed en eenvoudig nationaal meldingssysteem en een eerste aanzet voor een vereenvoudigd systeem van melding voor bedrijven met meerdere vestigingen in de EU. Deze voorstellen worden in 2005 verder uitgewerkt. De werkgroep ziet ook de noodzaak van handhaving als onderdeel van het toezichtarrangement. In 2004 zijn in de Complaints workshop best practices op het gebied van handhaving besproken. De Artikel 29-werkgroep kondigde publiekelijk aan dat in 2005 de terreinen zullen worden geïnventariseerd die geschikt zijn voor een gecoördineerde en gezamenlijke onderzoeks- en handhavingsactie.
Spam De Artikel 29-werkgroep heeft ook een opinie aangenomen over het verbod in de Richtlijn Elektronische Communicatie (2002/58) op het versturen van ongevraagde commerciële berichten. De Europese toezichthouders op dit verbod werken samen in het zogenaamde Contact Network of Spam Authorities, een forum voor informatieuitwisseling en faciliteren van samenwerking bij handhaving van het spamverbod in de EU. Hiertoe is ook een samenwerkingsovereenkomst opgesteld. (Zie voor meer informatie over spam en nationale samenwerking bij het tegengaan van spam p. 48.)
Biometrie Voornemens om te komen tot een EU-breed visa-informatiesysteem hebben er toe geleid dat de Artikel 29-werkgroep in augustus 2004 de opinie 7/2004 heeft geformuleerd over de aandachtspunten die gelden rond de opname van biometrische elementen in verblijfsvergunningen en visa. In die opinie wordt gewezen op het gevaar van misbruik van biometrische gegevens. Ook de adviescommissie bij de Raad van Europa voor kwesties rond de bescherming van persoonsgegevens (bekend als T-PD) heeft een opinie geformuleerd over de betekenis van de principes voor de bescherming van data voor toepassing van biometrie. (Zie voor meer informatie p. 51.) ■
< TERUG
INHOUD
VERDER >
internationaal
Volkskrant, 04-05
interationaal
55
< TERUG
INHOUD
VERDER >
Organisatie Met de benoeming van Jacob Kohnstamm per augustus 2004 tot voorzitter van het CBP is een nieuwe periode voor het CBP aangebroken. De benoeming valt samen met een natuurlijk moment – drie jaar na de invoering van de WBP en met een evaluatie in 2006 in het verschiet – voor reflexie op de werking van de wet en de koers van de toezichthouder. De nieuwe voorzitter heeft tijdens zijn inwerkperiode de tijd genomen om met velen binnen en buiten de organisatie van gedachten te wisselen over de rol en taak van het CBP. De organisatie is een spiegel voorgehouden over het eigen functioneren. Bezinning op de rol en taakopvatting van het college, het ambtelijk secretariaat en de onderlinge werkwijze is inmiddels uitgangspunt voor aanpassingen die in 2005 verder vorm zullen krijgen.
56
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Het CBP blijft daardoor welbewust een organisatie in verandering. College en directeur realiseren zich terdege dat dit voor de medewerkers niet alleen een uitdaging maar ook een verhoging van de belasting betekent. Het HRM-beleid houdt daarom de volle aandacht van de diverse verantwoordelijken De kwaliteit van het CBP is immers in hoge mate afhankelijk van inzet en kwaliteit van de medewerkers.
Personeel en formatie In 2004 is de nieuwe afdeling onderzoek van start gegaan en zijn de functieprofielen geactualiseerd en afgerond. Hiermee is de in het formatieplan 2003 ‘In beweging voor toezicht en handhaving’ gepresenteerde structuur ingevoerd. Het aantal beoogde formatieplaatsen is echter vanwege het beschikbare meerjarige budget niet haalbaar gebleken. Bovendien is in 2004 omwille van een zorgvuldige opbouw en aanpassing van de organisatie de personele ontwikkeling en de uitbreiding met fte’s vertraagd. Daardoor is niet volledig gebruik gemaakt van de beschikbare financiële ruimte.
2002
In dienst
2003
2004
m
v
m
v
m
v
6
9
5
6
2
3
Uit dienst
5
2
2
0
2
1
Bezetting einde jaar m / v
23
37
26
43
26
45
60
Bezetting einde jaar totaal
69
23%
Mobiliteit
71
3%
4%
In tijdelijke dienst
11
5
6
5
3
Fulltime in dienst
49
21
37
21
42
Gemiddelde bezetting (fte’s)
49,6
57,9
63,3
Bezetting einde jaar totaal (fte’s)
54,3
61,6
64,9
FORMATIE 2002-2004
2002
2003
2004
Fte’s
Fte’s
Fte’s
Uitzendkrachten
1,25
0,60
0,12
Stagiaires
0,75
0,80
1,80
OVERZICHT MEDEWERKERS BUITEN FORMATIE 2002-2004
organisatie
57
< TERUG
INHOUD
VERDER >
Ziekteverzuim
Het ziekteverzuim is in 2004 opnieuw iets toegenomen. In het Sociaal-Medisch-Team wordt periodiek afgestemd met de bedrijfsarts en de personeelsfunctionaris en zonodig gezocht naar passende oplossingen. Een aandachtspunt blijft de werkdruk en de werkdrukbeleving. De koers die het CBP hier kiest, is een duidelijker prioritering en een verscherpt selectiebeleid op basis van beleidsregels als het gaat om verzoeken om advisering, klachtbehandeling en bemiddeling. 2002
2003
2004
Totaal ziekteverzuim excl. zwangerschap
6,27%
6,35%
6,5%
Waarvan langdurig verzuim
0
2,74%
0
Ouderschapsverlof
3
3
4
Verlof zwangerschap/bevalling
0
2
3
Kinderopvangplaatsen
4
4
8
Opleiding (euro’s x 1000)
99
84
145
Opleiding in % t.o.v. personele budget
3,47%
2,53%
4,00%
ZIEKTEVERZUIM EN OVERIGE PERSONELE INFORMATIE 2002–2004
Productie
Door de arbeidsintensieve produktie van zaken en ondanks de tweedelijnspositie is de werkdruk onaanvaardbaar hoog opgelopen. 2001
2002
2003
2004
progn.*
Wetgevingsadviezen
43
26
25
34
30
Gedragscodes
1
5
3
5
10
Reglement WPR (tot 1 sept 2001) en WpolR
50
40
30
23
25
WBP-meldingen vanaf 1 sept 2001
591
7.863
13.083
4.028
8.000
Voorafgaand onderzoek
12
190
Voorlichtingsverzoeken
1.204
686
Internationale zaken
13
33
257 725 46
174 821 66
200 550 40
Bijzondere gegevens
0
0
1
3
2
Gegevensverkeer derde landen
0
10
12
21
30
Bemiddeling en klachten
290
282
316
409
300
Ambtshalve onderzoek
24
11
73
56
70
Boete
n.v.t.
0
3
35
25
Dwangsom
n.v.t
0
1
3
5
Bestuursdwang
n.v.t.
1
0
1
1
Beroep
n.v.t.
1
2
2
4
Bezwaar
0
4
2
19
8
Wet openbaarheid bestuur
0
19
0
11
4
Publieksvoorlichting (telefonisch spreekuur)
4.979
5.715
5.330
3.426
5.000
Vragen WBP-melding (telefonisch spreekuur)
0
2.500
2.070
1.440
1.500
Publieksvoorlichting (via e-mail)
291
1.890
2.045
1.957
2.000
Klachten over het CBP
0
9
5
6
10
OVERZICHT VAN DE PRODUCTIE 2001–2004 * De prognose 2004 is opgenomen in het bestedingsplan 2004 en de meerjarenraming 2005-2008.
58
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Toelichting op de productie Wetgevingsadvies
Het aantal wetgevingsadviezen, een arbeidsintensief proces, is hoger dan verwacht. Het betreft vooral nieuwe wetsvoorstellen in het kader van veiligheid en terrorismebestrijding en de wijzigingen in het zorgstelsel. WBP-meldingen
Het aantal nieuwe WBP-meldingen is lager dan verwacht. Dit kan enerzijds betekenen dat de inhaalslag, nodig vanwege de invoering van de WBP, is voltooid. Anderzijds kan het zijn dat de meldingsverplichting in bepaalde sectoren minder goed wordt nageleefd. Het CBP kiest op basis van een inschatting van de grootste nalevingrisico’s sectoren uit waarbinnen steekproefsgewijs verantwoordelijken worden geselecteerd voor een nalevingonderzoek (zie onderdeel ambtshalve onderzoek en boete).
2002
2003
2004
Meldingen WBP in openbaar register
8.454
21.537
25.565
Aangest. functionarissen voor de gegevensbesch.
97
148
170
Ingezonden gem. GBA-regelingen (WBP-aanpassing)
208
350
481
Wijze van melden
2002
2003
2004
Meldingsformulier
19%
24%
23%
Meldingsprogramma op diskette
47%
30%
25%
Meldingsprogramma via internet/email
33%
47%
52%
MELDINGEN WBP / FUNCTIONARISSEN / GBA - REGELINGEN 2002–2004
WIJZE VAN MELDEN ONDER MELDINGSBESLUIT WBP 2002–2004
Voorlichting, bemiddeling en klachtbehandeling
Om de capaciteit die voor voorlichting, bemiddeling en klachtbehandeling wordt ingezet te beheersen, wordt nadrukkelijk beleid gevoerd op het in behandeling nemen van dergelijke verzoeken. De positionering van het CBP als tweedelijnsorganisatie komt onder meer tot uitdrukking door een selectiebeleid ten aanzien van verzoeken van individuele organisaties en individuele burgers. De criteria voor het selectiebeleid zijn vastgelegd in De uitgangspunten en beleidsregels werkwijze CBP, gepubliceerd in de Staatscourant (Staatscourant nr. 190, van 4 oktober 2004) en op de website van het CBP. Een belangrijk criterium is of het onderwerp waarover specifieke voorlichting wordt gevraagd in het jaarplan prioriteit heeft. Indien een verzoek niet aan de criteria voldoet voor specifieke beantwoording, wordt het verzoek met redenen omkleed als niet-opportuun afgewezen of door het frontoffice beantwoord met behulp van algemene informatie. Ambtshalve onderzoek
Het aantal onderzoeken dat het CBP heeft kunnen instellen, is achtergebleven bij de gewenste verwachtingen. Door de toename van de wetgevingsadvisering, de verzoeken om voorlichting, en de verzoeken om bemiddeling en klachtbehandeling, is het aantal noodzakelijk geachte onderzoeken niet gehaald.
organisatie
59
< TERUG
INHOUD
VERDER >
Taken van het CBP •
Wetgevingsadviezen Op grond van artikel 51, tweede lid WBP dient het CBP om advies te worden gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of in belangrijke mate betrekking hebben op de verwerking van persoonsgegevens. Dit vloeit direct voort uit Richtlijn 95/46/EG en heeft ook betrekking op voorstellen die belangrijke gevolgen hebben voor de verwerking van persoonsgegevens. De uitvoering van deze adviestaak valt onder de bepalingen van de Kaderwet adviescolleges (Stb. 1996, 378). Dat neemt niet weg dat het CBP zich ook als toezichthouder kan wenden tot de regering, al dan niet onder toezending van een kopie aan een of beide Kamers van de Staten-Generaal. Ook maakt het CBP wel gebruik van de mogelijkheid om te reageren op bij de Tweede Kamer ingediende wetsvoorstellen. Ten slotte komt het regelmatig voor dat vaste commissies uit de Tweede of de Eerste Kamer het CBP uitnodigen om te reageren op aanhangige voorstellen.
•
60
•
jaarverslag 2004
Voorafgaand onderzoek Bepaalde categorieën van verwerkingen waaraan bijzondere risico’s zijn verbonden, zijn krachtens artikel 31 van de WBP onderworpen aan een voorafgaand onderzoek dat aan strakke termijnen is gebonden. De verantwoordelijke mag een dergelijke verwerking niet starten gedurende de looptijd van dit onderzoek. Het onderzoek resulteert meestal in een verklaring omtrent de rechtmatigheid van de verwerking, die vatbaar is voor rechtsbescherming op grond van de Algemene wet bestuursrecht.
•
Voorlichtingsverzoeken Het CBP wordt vaak benaderd met verzoeken om voorlichting of advies over de interpretatie van de WBP of een andere privacywet. De meest voorkomende verzoeken met een standaardkarakter worden behandeld door het frontoffice als deel van de publieksvoorlichting (telefonisch of via het e-mailpiket). Verzoeken om voorlichting kunnen ook aanleiding zijn voor verdergaande behandeling, diepgaande studie of een principieel standpunt. Hierbij valt te denken aan de ontwikkeling van privacykaders voor nieuwe ontwikkelingen of toetsingscriteria voor nieuwe producten en diensten. Dergelijke verzoeken worden door het CBP steeds beoordeeld op hun waarde in het kader van de toezichthoudende taak. Als zodanig vertegenwoordigen zij echter een aanzienlijke investering in maatschappelijke preventie van onrechtmatig gedrag. Omdat de beleidsvrijheid van het CBP in deze gevallen het grootst is, bestaat er alle ruimte om daarbij nadere invulling te geven aan het streven naar een tweedelijnspositie.
Reglementen De WBP voorziet, anders dan de WPR, niet meer in de verplichting om voor bepaalde verwerkingen van persoonsgegevens een reglement op te stellen. De opstelling van een reglement kan echter wel een goed middel zijn om de gegevensverwerking binnen organisaties te sturen of transparant te maken. Verzoeken om zulke reglementen te toetsen, neemt het CBP in principe slechts in behandeling als daarvoor een bijzondere reden bestaat. Ingevolge de Wet politieregisters zijn reglementen in bepaalde gevallen onderworpen aan een toetsing vooraf in het kader van een hoorprocedure. Tezamen met de portefeuillehouder privacy van de politie vanuit de Raad van hoofdcommissarissen heeft het CBP een werkwijze ontwikkeld voor de harmonisatie van de inhoud van de reglementen en het stroomlijnen van de procedure voor goedkeuring. Door deze werkwijze kan het aantal procedures voor goedkeuring en het aantal meldingen van tijdelijke registers worden beperkt.
WBP-Melding Ingevolge artikel 27 van de WBP moeten geautomatiseerde verwerkingen van persoonsgegevens vooraf worden gemeld bij het CBP of een functionaris voor de gegevensbescherming, tenzij het Vrijstellingsbesluit voorziet in een vrijstelling. Voor het verrichten van de melding kan gebruik worden gemaakt van een daartoe bestemd formulier, van een elektronisch meldingsprogramma op diskette, of van een speciaal voor verzending via e-mail geschikt programma. Alle meldingen worden na verwerking opgenomen in een openbaar register en zijn via de website van het CBP raadpleegbaar. Ook het overzicht van functionarissen voor de gegevensbescherming is op de website raadpleegbaar.
Gedragscodes Op grond van artikel 25 WBP is het CBP belast met de toetsing van gedragscodes die uitvoering geven aan de wettelijke bepalingen. In de WBP is dit een belangrijk instrument om zelfregulering te stimuleren en de kwaliteit daarvan te waarborgen. De goedkeuring van een gedragscode is meestal de afsluiting van een intensief gezamenlijk traject, waarin bewustwording en normering in een sector hand in hand gaan. In 2002 heeft het CBP daartoe een handleiding ontwikkeld. De WBP voorziet tevens in de mogelijkheid van bezwaar en beroep op de bestuursrechter.
•
•
•
Internationale zaken Op grond van artikel 51, eerste lid WBP houdt het CBP tevens toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt volgens het recht van een ander land van de Europese Unie. Ingevolge artikel 61, zesde lid WBP is het CBP desgevraagd verplicht aan toezichthoudende autoriteiten van de andere lidstaten van de Europese Unie alle noodzakelijke medewerking te verlenen. Het Verdrag van Straatsburg bevat vergelijkbare verplichtingen met betrekking tot landen die daarbij partij zijn.
< TERUG
•
Bijzondere gegevens
INHOUD
•
Artikel 16 WBP bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag. Op grond van artikel 23, eerste lid, onder de WBP, kan het CBP een ontheffing verlenen, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer. Ook hier is bezwaar en beroep (bestuursrechter) mogelijk.
•
•
Bemiddeling en klachtenbehandeling Het CBP is op grond van artikel 47 WBP belast met de behandeling van verzoeken om bemiddeling bij geschillen over de uitoefening van het recht op inzage of correctie van persoonsgegevens en over de uitoefening van het recht op verzet. Deze procedure is mede bedoeld om de rechter te ontlasten. Belanghebbenden kunnen er ook voor kiezen om hun zaak voor te leggen aan de civiele of administratieve rechter, of gebruik maken van een geschillenregeling in een goedgekeurde gedragscode. Als het CBP de bemiddeling heeft beëindigd, kan de zaak alsnog aan de rechter worden voorgelegd. De rechter kan besluiten om (opnieuw) het advies van het CBP in te winnen. Verder kan het CBP op grond van artikel 60 WBP op verzoek van een belanghebbende een onderzoek instellen naar de naleving van het bepaalde bij of krachtens de wet. Daartoe beschikt het CBP over de nodige onderzoeksbevoegdheden op grond van de WBP en de Algemene wet bestuursrecht. Bij het aannemen van dergelijke verzoeken voert het CBP een restrictief beleid. De mogelijkheid van toetsing door de Nationale Ombudsman stelt echter hoge eisen aan deze afweging.
Boetes Bij overtreding van de meldingsplicht is het CBP bevoegd (artikel 66 WBP) om een bestuurlijke boete op te leggen van 4.500 euro per verwerking, dan wel aangifte te doen bij het Openbaar Ministerie. Het CBP doet in eerste instantie door het uitvoeren van sectoranalyses op het meldingenbestand onderzoek naar de mate waarin een sector de meldingsverplichting naleeft. Hierop worden naar deze sector gerichte stappen ondernomen, voordat wordt overgegaan tot het beboeten van individuele verantwoordelijken. Echter, naar aanleiding van ter zake doende klachten, zal het CBP niet schromen individuele gevallen te beboeten of aan te geven bij het Openbaar Ministerie.
• •
Ambtshalve onderzoeken Artikel 60 WBP geeft het CBP de bevoegdheid om uit eigen beweging een onderzoek in te stellen naar de naleving van de wet. In de beoogde grotere nadruk op toezicht en handhaving past dat het CBP in toenemende mate gebruik zal maken van deze bevoegdheid. Aanpak en diepgang van het ambtshalve onderzoek dienen per geval bepaald te worden. Het onderzoek kan dus een briefwisseling met verzoek om informatie behelzen of een onderzoek ter plaatse inhouden, al dan niet in de vorm van een audit, of een steekproef op meer plaatsen in een sector, met de mogelijkheid van openbare rapportage over de bevindingen. Het kan ook gaan om systematische onderzoeken binnen bepaalde sectoren of om gerichte onderzoeken (al dan niet met een privacyaudit) binnen bepaalde overheidsorganisaties, instellingen of bedrijven.
Doorgifte naar derde landen Op grond van artikel 77 lid 2 WBP heeft het CBP de taak om de Minister van Justitie te adviseren over het toekennen van een vergunning voor het doorgeven van persoonsgegevens naar een land buiten de EU dat geen waarborgen voor een passend beschermingsniveau biedt. Het gezamenlijk beleid van de Minister en het CBP is eind vorig jaar bekend gemaakt. De verzoeken van bedrijven met internationale belangen om een vergunning beginnen nu goed op gang te komen. De behandeling van verzoeken door het CBP is er op gericht de Minister van Justitie van een gedegen advies te voorzien zodat besluitvorming snel kan plaatsvinden. Ook de samenwerking tussen de toezichthoudende autoriteiten wordt intensiever. Met zekere regelmaat bereiken het CBP dan ook verzoeken om bijstand van buitenlandse zusterinstellingen. Via een gemeenschappelijke, besloten website kunnen de eenvoudigste verzoeken snel worden afgewikkeld. In een aantal gevallen zijn nadere onderzoekshandelingen nodig.
VERDER >
Dwangsom en bestuursdwang Bij andere overtredingen is het CBP bevoegd om gebruik te maken van de bevoegdheid tot het opleggen van een dwangsom of het toepassen van bestuursdwang. In al deze gevallen is bezwaar en beroep mogelijk.
organisatie
61
< TERUG
INHOUD
VERDER >
Algemene voorlichting (telefonisch spreekuur)
Het CBP heeft minder telefonische vragen afgehandeld omdat de openingstijden voor telefonisch spreekuur zijn teruggebracht van 17,5 uur per week naar 12 uur per week, ten gunste van meer tijd voor het produceren van informatiemateriaal.
Klachten over het CBP en heroverwegingen Het CBP kan – gelet op de beperkte capaciteit – niet voldoen aan de verwachtingen van de individuele verantwoordelijke of burger. Daarom heeft het CBP in 2003 beleid ontwikkeld waarin het CBP de gekozen tweedelijnsstrategie met een belangrijke plaats voor zelfregulering heeft geconcretiseerd. Het CBP krijgt als gevolg daarvan ook steeds meer te maken met verzoeken om heroverweging, bezwaar- en beroepszaken. De gevolgen – een toename van het aantal klachten en verzoeken om heroverweging – zijn thans duidelijk voor het CBP zichtbaar. De individuele verantwoordelijke of burger legt zich niet zo maar neer bij deze aanscherping van de gekozen koers voor de behandeling van verzoeken. Medewerkers ervaren deze druk dagelijks, waardoor ook het ziekteverzuim licht toeneemt. Het aantal klachten en heroverwegingen is in 2004 toegenomen ten opzichte van 2003. De heroverwegingsverzoeken betroffen met name gevallen waarin het CBP weigerde om te bemiddelen of een klacht zelf te behandelen. Deze toename is vooral te verklaren uit de ontwikkeling van het CBP-beleid sinds de invoering van de WBP. In reactie op de in gang gezette beweging naar meer handhaving wordt ook meer gebruik gemaakt van de middelen van rechtsbescherming. Om klachten zo veel mogelijk te voorkomen voert het CBP nadrukkelijk beleid op een zorgvuldige afhandeling van heroverwegingsverzoeken. Klachten over het CBP
In de Algemene wet bestuursrecht is geregeld dat iedereen over de wijze waarop een bestuursorgaan zich tegenover hem of haar heeft gedragen, een klacht kan indienen bij dat orgaan. Deze klachten moeten op een zorgvuldige wijze worden behandeld. Verder moeten bestuursorganen zorgen voor registratie en publicatie van bij hem ingediende schriftelijke klachten. Onderstaand overzicht geeft het aantal ingediende schriftelijke klachten weer met de wijze van afdoening. Geen van de klachten heeft geleid tot een vervolgklacht bij de Nationale Ombudsman. 2003
2004
Klachten ongegrond verklaard
2
3
Klachten gegrond verklaard
2
10
andere wijze van afdoening/nog in behandeling
1
2
Nog in behandeling per einde van het jaar
0
2
Totaal aantal klachten
5
17
Minnelijke regeling/geen oordeel/ingetrokken/
KLACHTEN OVER HET CBP 2003-2004
Heroverwegingen
Verzoeken om heroverweging (en klachten over het CBP) worden vaak ingediend, omdat men het niet eens is met de weigering van het CBP om een onderzoek in te stellen op verzoek van belanghebbende. Men is het er niet mee eens dat de eigen klacht geen prioriteit krijgt of dat het CBP deze niet van voldoende zwaarwegend belang acht om over te gaan tot een controlerend onderzoek.
62
jaarverslag 2004
< TERUG
INHOUD
VERDER >
2003
2004
Heroverwegingen ongegrond verklaard
14
18
Heroverwegingen gegrond verklaard
6
3
Minnelijke regeling/geen oordeel/ingetrokken/overige
0
1
Nog in behandeling per einde van het jaar
0
6
Totaal aantal Heroverwegingen
20
28
HEROVERWEGINGEN 2003-2004
Financiën De personele kosten bleven 1,3 % onder het budget. Mede als gevolg van de wijziging in de samenstelling van het college is de vacatureruimte niet volledig benut. Voor wat betreft de materiële kosten zijn de uitgaven ten behoeve van de conferentie van de Europese toezichthouders in Rotterdam lager uitgevallen dan begroot. Daarnaast is de oplevering van het functioneel ontwerp voor het nieuwe document management systeem vertraagd met als gevolg dat de uitgaven deels zijn doorgeschoven naar 2005. 2004
2005
2006
2007
2008
5.094
5.752
5.445
5.369
5.370
2002
2003
2004
Personeel
2.853,4
3.319,9
3.604,8
Materieel*
1.762,1
1.255,8
1.266,0
Totaal
4.615,5
4.575,7
4.870,8
BEGROTING
( STAND
PER 9 MAART 2005 , BEDRAGEN X 1000 EURO )
BUDGETUITGAVEN 2002 - 2004
( BEDRAGEN
X 1000 EURO )
* De huurlasten zijn hierin niet opgenomen; het ministerie van Justitie stelt de huisvesting beschikbaar.
Bezoldiging collegeleden
Bij Besluit rechtspositie leden College bescherming persoonsgegevens (Staatsblad 2001, 382) is de bezoldiging van de voorzitter van het College vastgesteld op het maximum van salarisschaal 18 van bijlage B van het Bezoldigingsbesluit Burgerlijke Rijksambtenaren 1984. Voor de overige leden geldt het maximum van schaal 17. De voorzitter is op grond van artikel 22 a van het Bezoldigingsbesluit Rijksambtenaren 1984 een toeslag toegekend en een representatievergoeding op grond van het Besluit vergoeding representatiekosten rijkspersoneel. Personele kosten
De personele kosten zijn te verdelen in kosten voor het primaire proces, voor organisatieontwikkeling en voor de bedrijfsvoering. Voor een deel van de bedrijfsvoeringstaken (PIOFAH) maakt het CBP gebruik van de stafdienst van het Paleis van Justitie. Dit betreffen de P&O-taken, financiële administratie en facilitaire ondersteuning. Deze dienstverleningsovereenkomst is onderdeel van de materiële uitgaven.
organisatie
63
< TERUG
INHOUD
VERDER >
2004 Personele kosten primair proces
2.400,8
Overhead (management, ondersteuning, bedrijfsvoering)
721,2
Extern ingehuurde expertise (onderzoek, certificering, archivering, beveiligingsaudit)
482,8
PERSONELE KOSTEN 2004 ( UITGAVEN X 1000 EURO )
Uitgaven per beleidsterrein /sector
De keuzes voor inzet van de personele kosten zijn gemaakt op basis van het beleidsplan en de daarbij vastgestelde doelstellingen voor het jaar 2004. De tabel kosten per beleidsterrein/sector biedt inzicht in hoe het CBP zijn inspanningen heeft verdeeld over de verschillende aandachtsgebieden. Maatschappelijke sectoren
2003
2004
Politie en Justitie
549
538
Arbeid & Sociale Zekerheid
342
305
Zorg & Welzijn
317
216
Openbaar bestuur
452
491
Telecommunicatie
333
350
Handel & Diensten
299
301
Internationaal
113
117
Audits voor gemeenschappelijke controle-autoriteiten
20
?
Project PISA
90
–
517 (+ onderzoek)
199
–
805
376
323
Communicatie
413
440
Frontoffice voor de sectoren
327
309
353
432
Internationale activiteiten
Beleidsterrein technologie Technologie Beleidsterrein onderzoek Onderzoek Beheer van meldingen en openbaar register Bestandsbeheer Communicatie
Interventie, bezwaar en beroep Sancties en Rechtsbescherming
KOSTEN PER BELEIDSTERREIN / SECTOR 2003 - 2004 ( UITGAVEN X 1000 EURO )
Uitgaven internationale samenwerking
Het belangrijkste forum voor het CBP in de eerste pijler van de Europese Unie is de Werkgroep van nationale toezichthouders als bedoeld in artikel 29 van Richtlijn 95/46/EG, die optreedt als adviseur van de Europese Commissie en als forum voor afstemming van beleid tussen de betrokken toezichthouders. In het kader van de Raad van Europa neemt het CBP deel aan de werkzaamheden van de Adviescommissie (T-PD), bedoeld in artikel 18 van het Dataverdrag van Straatsburg, waarin ook niet-EU-lidstaten zijn vertegenwoordigd. Het CBP neemt verder deel aan de jaarlijkse Internationale en Europese Conferenties van privacytoezichthouders en aan de werkzaamheden van diverse subgroepen, zoals de internationale werkgroep telecom en media (Berlijn-groep), de Europese werkgroep Politie en de Europese Complaints workshops, waarin de Europese toezichthouders in concrete kwesties zoeken naar best practices en onderlinge afstemming. In 2004 was het CBP gastheer voor de jaarlijkse conferentie van Europese privacytoezichthouders. Deze conferentie is gehouden in Rotterdam.
64
jaarverslag 2004
< TERUG
INHOUD
VERDER >
2003
2004
Internationaal overleg Artikel 29-werkgroep (Richtlijn 95/46/EG)
55
48
Adviescommissie T-PD (artikel 18, Dataverdrag van Straatsburg
3
13
Berlijn-werkgroep
3
11
Europese Complaints workshop
33
12
Europese en mondiale Conferenties van privacytoezichthouders
97
49
Overig
50
36
OVERZICHT AANTAL REIS - EN VERGADERDAGEN INTERNATIONAAL OVERLEG * * voorbereidingstijd en inhoudelijke inbreng is hier niet bij in begrepen.
In de derde pijler van de Europese Unie maakt het CBP deel uit van de bij verdrag ingestelde gemeenschappelijke controleorganen voor Schengen, Europol, Douane, Eurojust, Eurodac en Interpol, die alle beschikken over adviserende en controlerende bevoegdheden. Geschillen over de uitoefening van het recht op inzage en correctie bij Europol worden in hoogste instantie beslist door een Beroepscomité waarin het CBP ook is vertegenwoordigd. In 2004 is het CBP opgetreden als voorzitter van de GCA voor het Schengen informatiesysteem. 2003
2004
GCA Schengen
21
14
GCO Europol*
30
26
Gemeenschappelijke controleorganen
Beroepscomité
5
5
GCA Douane
2
5
GCO Eurojust *
3
2
GCA Eurodac
1
11
GCO Interpol
6
0
OVERZICHT AANTAL REIS - EN VERGADERDAGEN
( AFSTEMMING
EN AUDITS )
* organisatie is in Nederland gevestigd.
Efficiencywinst Vermindering administratieve lasten
Het CBP heeft bij brief van 7 december 2004 de minister van Justitie voorstellen gedaan voor vermindering van de administratieve lasten, met name door verruiming van de vrijstellingen van melding. Indien de minister de voorstellen overneemt, zal naast een vermindering van administratieve lasten voor het bedrijfsleven ook de administratieve werklast bij het CBP verminderen. Invoering van modelreglementen
Korpsbeheerders zijn op grond van de WpolR verplicht de aanleg van tijdelijke registers te melden bij het CBP. Met de korpsbeheerders zijn afspraken gemaakt over het toepassen van een modelreglement voor de tijdelijke registers. Deze standaardisering betekent zowel voor de regiokorpsen als voor het CBP efficiencywinst. Voor het CBP bedraagt deze 0,5 fte administratief (€ 15.000).
organisatie
65
< TERUG
INHOUD
VERDER >
‘Stapelen’: collectieve afhandeling van dossiers
In 2003 en in 2004 heeft het CBP in kwesties die dezelfde problematiek betroffen, dossiers (voorafgaande onderzoeken, klachten en bemiddelingsverzoeken) 'gestapeld' met het oog op een efficiëntere werkwijze. Dit is onder andere gebeurd voor de vele voorafgaande onderzoeken naar verwerkingen van sociale diensten en incidentenregisters van banken. Bij klachtbehandeling en bemiddeling ging het bijvoorbeeld om verzoeken in zake KPN en Dexia (zie respectievelijk p. 48 en p 45). Selectiviteit bij voorlichtingsverzoeken
In 2004 is het selectiebeleid bij schriftelijke voorlichtingsverzoeken verscherpt. Zie ook hierboven in de toelichting op de productiecijfers. Hierdoor is een groter aantal verzoeken behandeld door het frontoffice. Sinds 1999 handelt het frontoffice vele vragen en eenvoudige klacht- en bemiddelingszaken zelfstandig af. Vanuit deze vragen wordt informatiemateriaal ontwikkeld dat via de website toegankelijk is. Website-statistieken laten zien dat deze aanpak succesvol is. Afhandeling van verzoeken om voorlichting via e-mail
Het frontoffice verzorgt ook het zogenaamde e-mailpiket. Veel verzoeken om voorlichting worden via e-mail gesteld. Sinds eind 2003 worden deze ook via e-mail afgehandeld. Hierdoor wordt structureel bespaard op de kosten van schriftelijke afhandeling en dossiervorming. Archivering geschiedt elektronisch volgens de richtlijnen van de archiefwet.
Organisatie In opdracht van het CBP heeft TNS NIPO Consult in 2004 onderzoek gedaan naar privacybewustzijn en privacybehoeften bij de Nederlandse burger, waaronder ook de bekendheid met de WBP en het CBP. Dergelijke onderzoeken zijn in verscheidene Europese landen reeds uitgevoerd. De resultaten zijn begin 2005 beschikbaar gekomen en zullen worden gebruikt bij het maken van beleidskeuzes. Onderzoek naar het CBP
Het CBP heeft op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties meegewerkt aan diverse onderzoeken. In het onderzoek naar het adviesstelsel werd gekeken naar de taken, de omvang ervan, de gevolgde werkwijze en naar de doorwerking van de advisering. Daarnaast werd afzonderlijk onderzoek verricht naar de beloning en rechtspositie van de ambtelijke en politieke topstructuur. Ook heeft het CBP samen met het ministerie van justitie een risicoanalyse voor de bedrijfsvoering opgesteld op basis waarvan afspraken zijn gemaakt met het departement in het kader van de planning en control-cyclus. Zelfevaluatie van het toezicht (ACT II)
Ten behoeve van de taakopdracht van de Ambtelijke Commissie Toezicht II (ACT II) heeft ook het CBP een zelfevaluatie uitgevoerd evenals het ministerie van Justitie. De minister van Justitie is immers verantwoordelijk voor de Wet bescherming persoonsgegevens en is toezichthouder op het CBP als zelfstandig bestuursorgaan. De Ambtelijke Commissie Toezicht II heeft vervolgens het conceptrapport van bevindingen met het CBP besproken. Na vaststelling door de commissie is het rapport ‘Toetsing zelfevaluatie toezichtarrangement’ begin 2005 aangeboden aan de minister van Justitie en het CBP. In 2005 zal het CBP met het ministerie van Justitie overleggen over de wijze waarop hieraan een vervolg kan worden gegeven.
66
jaarverslag 2004
< TERUG
INHOUD
VERDER >
Informatiebeveiliging en integriteit
Naar aanleiding van een externe audit naar de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit bij het CBP is in 2004 op onderdelen het beleid bijgesteld, zijn er maatregelen getroffen in de uitvoering en is een systeem voor periodieke controle geïmplementeerd. Het integriteitsbeleid van het CBP wordt actief uitgedragen onder de medewerkers. Met het ministerie van Justitie zijn afspraken gemaakt omtrent de aanwijzing van vertrouwensfuncties waarvoor de betrokken medewerkers aan een veiligheidsonderzoek worden onderworpen. Archivering
Naar aanleiding van het institutioneel onderzoek dat het CBP overeenkomstig de wettelijke bepalingen (Archiefwet 1995) in 2003 heeft laten uitvoeren, heeft het Nationaal Archief de goedkeuringsprocedure door de minister van Onderwijs, Cultuur en Wetenschap in gang gezet. De Raad voor Cultuur heeft daartoe op 7 december 2004 advies uitgebracht aan de minister over de ontwerp-selectielijst archiefbescheiden van het CBP over de periode vanaf 1989. Automatisering
In 2004 heeft het CBP een ICT-dienstverlener opdracht verleend voor de ontwikkeling van een functioneel ontwerp voor de inrichting van een nieuw document management systeem. Dit nieuwe systeem zal het bestaande systeem – een maatwerkpakket – vervangen. Communicatie
Communicatie is een wezenlijke factor in de gehele cyclus van bewustwording naar normontwikkeling – ook in technisch opzicht - en handhaving. Een goed gerichte en weloverwogen informatievoorziening vergroot de effectiviteit van het toezicht. Het CBP besteedt daarom veel aandacht aan de website en aan de persvoorlichting. www.cbpweb.nl
De website van het CBP neemt een prominente plaats in bij voorlichting naar zowel de betrokkene (degene van wie persoonsgegevens worden gebruikt) als de verantwoordelijke (degene die persoonsgegevens van anderen verwerkt). Het CBP heeft in 2004 de structuur van de website aangepast en opnieuw vormgegeven ter verbetering van de gebruiksvriendelijkheid voor de verschillende doelgroepen. De website is meer vraaggericht opgebouwd en daarmee toegankelijker gemaakt voor de verschillende doelgroepen. De website voldoet in grote mate aan de criteria van Drempels Weg. De website-statistieken laten een toenemend gebruik van het aangeboden informatiemateriaal zien. 2003
2004
Gemiddeld aantal bezoekers per maand
39.270
44.931
Aantal abonnees elektronische nieuwsbrief per 31 december
2.600
4.069
Aantal downloads van Achtergrondstudies en verkenningen
50.864
52.446
Aantal downloads van Auditinstrumenten*
51.660
15.453
Aantal downloads WBP-meldingsprogramma
11.214
5.195
WEBSITEBEZOEK
2003-2004
* De auditinstrumenten zijn drie documenten met behulp waarvan verantwoordelijken de naleving van de WBP in de eigen organisatie kunnen evalueren en verbeteren: Quickscan, WBP-Zelf-Evaluatie en het Raamwerk Privacy Audit (2001).
organisatie
67
< TERUG
INHOUD
VERDER >
Perscontacten
Het CBP heeft vrijwel dagelijks contact met landelijke media. Sinds juni 2003 wordt het aantal perscontacten bijgehouden. Het aantal contacten is in 2004 toegenomen met name als gevolg van de brede discussie over veiligheid en terrorisme.
Medium
vanaf juni 2003
2004
Persbureaus
17
43
Landelijke dagbladen
34
92
Landelijke radio en televisie
76
150
Regionale kranten
niet bekend
35
Regionale radio en televisie
niet bekend
23
Relevante vakbladen
18
73
Opiniebladen
niet bekend
9
Totaal
145
425
2003-2004
PERSCONTACTEN
O rganigram 2004 HET COLLEGE
(3 leden) DE DIRECTEUR
(1 fte)
MANAGEMENTONDERSTEUNING
STAF
(secretariaat - 2,5 fte)
(A&I,P&C,P&O - 4 fte)
COMMUNICATIE
BELEIDSAFDELING
ONDERZOEK
(7,5 fte)
(24 fte)
(7 fte)
publieksvoorlichting
openbaar bestuur
risico analyse frontoffice
politie en justitie
persvoorlichting
zorg & welzijn
webredactie en -beheer
arbeid & sociale zekerheid
publicaties
handel & diensten
kennismanagement
telecom
communicatie
technologie internationaal
68
jaarverslag 2004
INTERVENTIE ,
BEDRIJFSONDER-
BEZWAAR EN
STEUNENDE DIENST
BEROEP
meldingen onderzoek (handhavend)
(5 fte)
sector onderzoek (controlerend)
juridische kwaliteit sanctieoplegging
ambtshalve onderzoek (handhavend) model onderzoeksinstrumenten audit framework en certificering
bezwaar en beroep institutionele kwesties
(13,5 fte) receptie administratie primair proces bestandsbeheer meldingen administratieve bedrijfsvoering
< TERUG
INHOUD
VERDER >
bijlagen wetgevingsadviezen Wetsvoorstel bijzondere bevoegdheden tot opsporing
Doorgifte zwarte lijst van drugskoeriers met vervoers-
terroristische misdrijven 22 december 2004, z2004-1529
verbod (Wet bescherming persoonsgegevens, WBP) 8 april 2004, z2003-1323
Besluit informatievoorziening WPO/WEC in strijd met WBP 12 november 2004, z2004-1182
Circulaire gegevensuitwisseling SVB – gemeenten behoeft aanpassing 8 april 2004, z2004-0058
Wettelijke grondslag ontbreekt voor verstrekken medische gegevens aan DBC-Informatiesysteem
Voorstel aanpak doorrijders tanken strijdig met kabi-
11 november 2004, z2004-1492
netsbeleid (Regeling gegevensverstrekking Kentekenregister) 6 april 2004, z2003-1299
Inzet GPS op mesttransportvoertuigen (Meststoffenwet) 3 november 2004, z2004-1166
Algemene wet inkomensafhankelijke regelingen 1 april 2004, z2004-0304
Beroepsgeheim steviger verankeren in Wetboek van strafvordering (Wsv) 29 oktober 2004, z2002-0222
Wetsvoorstel Werk en Inkomen Kunstenaars 23 maart 2004, z2004-0030
Wet politiegegevens: uitbreiding bevoegdheden vereist ook waarborgen 1 september 2004, z2004-0467
Evaluatie DBC-stelsel moet in toekomst leiden tot verminderde privacygevoeligheid (wetsvoorstel Wijziging
Wetsvoorstel werk en inkomen naar arbeidsvermogen
Ziekenfondswet, ZFW, Algemene Wet Bijzondere
(WIA) 30 juni 2004, z2004-0417
Ziektekosten, AWBZ) 12 februari 2004, z2003-1433
Conceptbesluit Documentatie vennootschappen
Ontwerpnota verwerking van persoonsgegevens door
28 juni 2004, z2004-0400
de politie (Wet politieregisters, Wpolr) 28 januari 2004, z2002-1397
Besluit beleidsinformatie jeugdzorg (Wet op de Jeugdzorg) 27 juli 2004, z2004-0574
Wijziging ontwerpbesluit DNA-onderzoek in strafzaken 27 januari 2004, z2003-1603
Tijdelijk besluit nummergebruik overheidtoegangvoorziening 18 juni 2004, z2004-0694
Marechaussee verstrekt gegevens drugskoeriers aan luchtvaartmaatschappijen (Wet bescherming persoons-
Concept-Besluit sociale werkvoorziening en begeleid
gegevens, WBP) 12 januari 2004, z2003-1323
werken (Wet Sociale Werkvoorziening en Wet Structuur Uitvoering Werk en Inkomen) 3 juni 2004, z2004-0528 Dit overzicht bevat de voornaamste wetgevingsZorgverzekeringswet (Zvw): structureel toezicht op
adviezen van 2004. Vrijwel alle adviezen vanaf 1996
zorgverzekeraars noodzakelijk 12 mei 2004, z2004-0394
kunt u raadplegen op de website: www.cbpweb.nl. Adviezen uit de periode 1991-1996 zijn ook op-
Wetsvoorstel Aanpassing aan het Cybercrime Verdrag
genomen in de bundel Persoonsgegevens beschermd,
12 mei 2004, z2004-0287
van WPR naar WBP. Den Haag, Sdu uitgevers, 1999.
Wettelijke grondslag voor gegevensverwerkingen SIOD (SUWI) 26 april 2004, z2004-0341 Wetsvoorstel videoconferentie in het strafrecht 9 april 2004, z2003-1388
bijlagen
69
< TERUG
INHOUD
bijlagen gedragscodes Voor onderstaande gedragscodes is in 2004 een verklaring van overeenstemming verleend onder de WBP.
Privacygedragscode voor werving en selectiebranche; geldig tot 2 augustus 2009 (Staatscourant 2004, nr 144) Gedragscode voor gezondheidsonderzoek "Goed gedrag" (Stichting Federatie van Medisch Wetenschappelijke Verenigingen, FMWV); geldig tot 19 april 2009 (Staatscourant 2004, nr 82) Gedragscode voor verwerking van persoonsgegevens bij onderzoek en statistiek (Vereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en de MarktOnderzoekAssociatie.nl); geldig tot 24 maart 2009 (Staatscourant 2004, nr. 36) Gedragscode gerechtsdeurwaarders ter bescherming persoonsgegevens van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG); geldig tot 18 februari 2009 (Staatscourant 2004, nr. 33) Privacygedragscode sector particuliere onderzoeksbureaus van de Vereniging van Particuliere Beveiligingsorganisaties (VPB); geldig tot 13 januari 2009 (Staatscourant 2004, nr. 7) Alle gedragscodes zijn te vinden op www.cbpweb.nl
70
jaarverslag 2004
VERDER >
< TERUG
INHOUD
VERDER >
modelreglementen vastgesteld voor politieregisters Aandachtsvestigingen
(Stcrt. 2002, 243)
De politie werkt voor het uitoefenen van de politietaak
Arrestanten
(Stcrt. 2002, 243)
(artikel 1 en artikel 2 Politiewet) met politieregisters.
Arrestatiebevelen
(Stcrt. 2002, 243)
In artikel 12, eerste lid Wet politieregisters is de moge-
Bedrijfsprocessensysteem BPS
(Stcrt. 2002, 243)
lijkheid gecreëerd om een modelreglement voor een
Bedrijven informatiesysteem en
register vast te stellen, onder andere ter bevordering
waarschuwingsadressen
(Stcrt. 2002, 243)
van eenduidigheid en een efficiënte werkwijze. Degene
Bekeuringenafhandelingssysteem
(Stcrt. 2002, 243)
die een modelreglement heeft vastgesteld, kan het CBP
Beperkingen besturen motorrijtuigen (Stcrt. 2002, 243)
verzoeken te verklaren dat het model naar zijn oordeel
Bureau financiële ondersteuning
(Stcrt. 2002, 243)
in overeenstemming is met de Wet politieregisters.
Fraudebestrijding
(Stcrt. 2002, 243)
Beheerders van een register hoeven dan het CBP alleen
Gegevensuitwisseling milieucriminaliteit
te informeren over het bestaan van een register en van (Stcrt. 2002, 243)
het model dat daarop van toepassing is. Mochten er
Gevonden en verloren goederen
(Stcrt. 2002, 243)
afwijkingen van het model zijn, dan moet vermeld
Graffitibestrijding
(Stcrt. 2002, 243)
worden welke dat zijn. De modelreglementen zijn
Herkenningsdienstregister
(Stcrt. 2004, 124)
beschikbaar op de website van het CBP:
In beslag genomen goederen
(Stcrt. 2002, 243)
www.cbpweb.nl.
In bewaring genomen goederen
(Stcrt. 2002, 243)
Inbraakbestrijding
(Stcrt. 2002, 243)
Informantenregister
(Stcrt. 2002, 100)
Informantenregister openbare orde
(Stcrt. 2002, 238)
Internationale rechtshulp politie
(Stcrt. 2002, 243)
Jeugd- en zedenzaken
(Stcrt. 2002, 243)
Kabinetszaken
(Stcrt. 2002, 243)
Meldkamer
(Stcrt. 2002, 243)
Milieudelicten
(Stcrt. 2002, 243)
Multipol
(Stcrt. 2002, 243)
Openbare orde en informatie
(Stcrt. 2002, 238)
Openbare orde taken Regionale inlichtingendienst
(Stcrt. 2002, 243)
Opkopers en helingbestrijding
(Stcrt. 2002, 243)
Overvallenbestrijding
(Stcrt. 2002, 243)
Permanent autoteam
(Stcrt. 2002, 243)
Processen-verbaal en rapporten
(Stcrt. 2002, 243)
Recidive
(Stcrt. 2002, 243)
Rijverboden
(Stcrt. 2002, 243)
Schietwapen incidentenregistratieen informatiesysteem
(Stcrt. 2002, 243)
Signalen van mensenhandel
(Stcrt. 2002, 13)
Technische recherchezaken
(Stcrt. 2002, 243)
Tijdelijk Register
(Stcrt. 2003, 131)
Vakantiecontrolekaarten
(Stcrt. 2002, 243)
Vandalismebestrijding
(Stcrt. 2002, 243)
Verdovende middelen
(Stcrt. 2002, 243)
Voorlopig register
(Stcrt. 2000, 198)
Zware criminaliteit
(Stcrt. 2000, 198)
bijlagen
71
< TERUG
INHOUD
VERDER >
bijlagen documenten van de Werkgroep inzake de bescherming van persoonsgegevens (artikel 29 van Richtlijn 95/46/EG)
25 November 2004 Declaration of the Article 29
17 March 2004 - Work programme 2004 (Document
Working Party on Enforcement (WP 101)
10650/04, WP 92)
25 November 2004 - Opinion on More Harmonised
17 March 2004 - Working Document on Genetic Data
Information Provisions (WP 100)
(Document 12178/03, WP 91)
9 November 2004 - Opinion 9/2004 on a draft
27 February - Opinion 5/2004 on unsolicited commu-
Framework Decision on the storage of data processed
nications for marketing purposes under Article 13 of
and retained for the purpose of providing electronic
Directive 2002/58/EC (Document 11601/03, WP 90)
public communications services or data available in public communications networks with a view to the
11 February 2004 - Opinion 4/2004 on the Processing
prevention, investigation, detection and prosecution of
of Personal Data by means of Video Surveillance
criminal acts, including terrorism. [Proposal presented
(Document 11750/02, WP 89)
by France, Ireland, Sweden and Great Britain (Document of the Council 8958/04 of 28 April 2004)]
11 February 2004 - Opinion 3/2004 on the level of pro-
(WP 99)
tection ensured in Canada for the transmission of Passenger Name Records and Advanced Passenger
29 November 2004 – Strategy Document (WP 98)
Information from airlines (Document 10037/04, WP 88)
30 September 2004 - Opinion 8/2004 on the informa-
29 January 2004 - Opinion 2/2004 on the Adequate
tion for passengers concerning the transfer of PNR
Protection of Personal Data Contained in the PNR of
data on flights between the European Union and the
Air Passengers to Be Transferred to the United States'
United States of America (Document 11733/04, WP 97)
Bureau of Customs and Border Protection (US CBP) (Document 10019/04, WP 87)
11 August 2004 - Opinion 7/2004 on the inclusion of biometric elements in residence permits and visas
23 January 2004 - Working Document on Trusted
taking account of the establishment of the European
Computing Platforms and in particular on the work
information system on visas (VIS) (Document
done by the Trusted Computing Group (TCG group)
11487/04, WP 96)
(Document 11816/03, WP 86)
22 June 2004 - Opinion 6/2004 on the implementation
16 January 2004 - Opinion 1/2004 on the level of pro-
of the Commission decision of 14-V-2004 on the ade-
tection ensured in Australia for the transmission of
quate protection of personal data contained in the
Passenger Name Record data from airlines (Document
Passenger Name Records of air passengers transferred
10031/03, WP 85)
to the United States’ Bureau of Customs and Border Protection, and of the Agreement between the
Deze documenten zijn te vinden op http://www.euro-
European Community and the United States of America
pa.eu.int/comm/internal_market/privacy/workin-
on the processing and transfer of PNR data by air car-
group/wp2004/wpdocs04_en.htm
riers to the United States Department of Homeland Security, Bureau of Customs and Border Protection. (Document 11221/04, WP 95) 17 March 2004 - Joint Statement in response to the terrorist attacks in Madrid (Document 10649/04, WP 93)
72
jaarverslag 2004
< TERUG
INHOUD
VERDER >
onderzoeksrapporten 1996 - 2004 2004 • Algemene bevindingen, naar aanleiding van de onderzoeken door het CBP naar de bijzondere
Rapporten kunt u doorgaans raadplegen op de website: www.cbpweb.nl (onder publicaties).
politieregisters van criminele inlichtingen eenheden in 2003/2004, september 2004
2003 - 1996 • Cameratoezicht in de openbare ruimte: Onderzoek naar de inzet van cameratoezicht in alle Nederlandse gemeenten, november 2003. • KPN informeert abonnees met geheim nummer onvoldoende over direct marketing. Onderzoek naar beleid omtrent 'geheime' nummers; bevindingen, augustus 2003. • Onderzoek naar de waarborging van de vertrouwelijke communicatie van advocaten bij de interceptie van telecommunicatie, juli 2003. • Onrechtmatig, onbehoorlijk en onzorgvuldig. De verwerking van persoonsgegevens door een handels-
• Verstrekken van gegevens door deurwaarders, juni 1999. • Vastleggen en verstrekken van call detail records, juni 1999. • Verzekeringsmaatschappij verplicht Arbo-dienst tot registratie en rapportage gegevens, juni 1999. • Is Landelijk Alcohol en Drugs Informatiesysteem een persoonsregistratie?, november 1999. • Doorzenden voorlichtingsrapport reclassering na toestemming, december 1998. • Medicatiebewaking door centrale patiëntenregistratie, oktober 1998.
informatiebureau voor rapportage van verhaalsinfor-
• Beroepscode psychologen, juli 1998.
matie, april 2003.
• Reglementering en beveiliging persoonsregistraties
• Sociale diensten: bijstandsdossier en privacy, februari 2002. • Privacy bij wetenschappelijk onderzoek en statistiek. Kader voor een gedragscode, mei 2002. • Elektronische overheid en privacy, december 2001. • Onrechtmatige handelswijze van een handelsinformatiebureau, mei 2001. • Zorg voor gegevens bij indicatiestelling, augustus 2000. • Politiegegevens beschermd, juni 2000. • Verstrekken van gegevens door de Belastingdienst voor bijdrage thuiszorg, april 2000. • Screening van politiepersoneel moet volgens de regels, februari 2000. • Controle e-mailverkeer door werkgever, december
door ministeries, juli 1998. • Gegevens over honden en het verstrekken daarvan, juli 1998. • Gegevens uit controle door de Rijksverkeersinspectie, juni 1998. • Persoonsgebonden clubcard II, mei 1998. • Persoonsgebonden clubcard, februari 1998. • Meldpunt ongebruikelijke transacties, juli 1997. • Videocamera’s Wallen Amsterdam, mei 1997. • In beeld gebracht. Privacyregels voor het gebruik van videocamera’s voor toezicht en beveiliging, januari 1997. • Als de telefoon wordt opgenomen. regels voor het registreren, meeluisteren en opnemen van telefoongesprekken van werknemers, november 1996.
1999. • Onderzoek naar handelsinformatiebureau Goderie van Groen, november 1999. • Uitbesteden van taken Algemene bijstandswet, september 1999. • Bijstanddossiers en bescherming persoonsgegevens, juli 1999.
bijlagen
73
< TERUG
INHOUD
VERDER >
bijlagen achtergrondstudies en verkenningen (1994 – 2004) en brochures In de serie Achtergrondstudies en verkenningen zijn verschenen:
W.J. van Helden, Herkomst van de klant, privacyregels voor etnomarketing. A&V 19; Registratiekamer, Den Haag 2000.
A.H.C.M. Smeets, Camera's in het publieke domein. Privacynormen voor het cameratoezicht op de openbare
R.W.A. Wishaw, De gewaardeerde klant, privacyregels
orde, College bescherming persoonsgegevens. A&V 28,
voor credit scoring. A&V 18; Registratiekamer, Den
Den Haag, 2004
Haag 2000.
S. Lieon, mr. M. Th. van Munster-Frederiks, De zieke
M. Artz en M.M.M. van Eijk, Klant in het web.
werknemer en privacy. Regels voor de verwerking van
Privacywaarborgen voor internettoegang. A&V 17;
persoonsgegevens van zieke werknemers. A&V 27;
Registratiekamer, Den Haag 2000 (niet meer
College bescherming persoonsgegevens, Den Haag 2004.
beschikbaar).
T.F.M. Hooghiemstra, Privacy bij ICT in de zorg.
J. de Zeeuw, Informatieverstrekking. Ontheffing van
Bescherming van persoonsgegevens in de informatie-
de fiscale geheimhoudingsplicht in het licht van
infrastructuur voor de gezondheidszorg.
privacywetgeving. A&V 16; Registratiekamer,
A&V 26; College bescherming persoonsgegevens,
Den Haag 2000.
Den Haag 2002. R. Hes, J.J. Borking en T.F.M. Hooghiemstra, At face dr. J.A.G. Vermissen en mr. drs. A.C.M. de Heij,
value. On biometrical identification and privacy.
Elektronische overheid en privacy. Bescherming van
A&V 15; Registratiekamer, Den Haag 1999.
persoonsgegevens in de informatie-infrastructuur van de overheid. A&V 25; College bescherming persoonsge-
M.J.T. Artz, Koning Klant. Het gebruik van klantgege-
gevens, Den Haag 2002.
vens voor marketingdoeleinden. A&V 14; Registratiekamer, Den Haag 1999.
M.M.M. van Eijk en W.J. van Helden, Klant te koop, Privacyregels voor adressenhandel. A&V 24; College
J.J. Borking e.a., Intelligent software agents and
bescherming persoonsgegevens, Den Haag 2001.
privacy. A&V 13; Registratiekamer, Den Haag 1999 (niet meer beschikbaar).
G.W. van Blarkom, Beveiliging van persoonsgegevens. A&V 23; Registratiekamer, Den Haag 2001.
T.F.M. Hooghiemstra, Privacy & Managed care. A&V 12; Registratiekamer, Den Haag 1998.
J.A.G. Versmissen, Sleutels van vertrouwen, TTP’s, digitale certificaten en privacy. A&V 22; Registratiekamer,
R. Hes en J.J. Borking, Privacy-enhancing technologies:
Den Haag 2001.
the path to anonimity. A&V 11 revised edition; Registratiekamer, Den Haag 1998.
J.H.J. Terstegge, Goed werken in netwerken, regels voor controle op e-mail en internetgebruik van werknemers.
L. van Almelo e.a., Gouden bergen van gegevens. Over
A&V 21; tweede druk, herzien door drs. S. Lieon,
datawarehousing, datamining en privacy. A&V 10;
College bescherming persoonsgegevens, Den Haag
Registratiekamer, Den Haag 1998 (niet meer
2002.
beschikbaar).
R. Buitenhuis, N.G.M. van Campen, W.J. van Helden,
C. Zandee, Doelbewust volgen. Privacy-aspecten van
H.H. de Vries, Bankverzekeraars en privacy, gegevens-
cliëntvolgsystemen en andere vormen van gegevensuit-
verwerking in financiële conglomeraten. A&V 20;
wisseling. A&V 9; Registratiekamer, Den Haag 1998.
Registratiekamer, Den Haag 2000. J. de Zeeuw, Informatiegaring door de fiscus. Privacybescherming bij derdenonderzoeken. A&V 8; Registratiekamer, Den Haag 1998.
74
jaarverslag 2004
< TERUG
INHOUD
VERDER >
B.J.P. Hulsman en P.C. Ippel, Gegeven: de Genen.
A.F. Rommelse, Ziekteverzuim en privacy. Controle
Morele en juridische aspecten van het gebruik van
door de werkgever en verplichtingen van de werk-
genetische gegevens. A&V 7; Registratiekamer,
nemer. A&V 3; Registratiekamer, Rijswijk 1995. (niet
Den Haag 1996.
meer beschikbaar)
H.J.M. Gardeniers, Chipcards en privacy. Regels voor
J.P.M. van Casteren, Bevolkingsgegevens: Wie mag ze
een nieuw kaartspel. A&V 6; Registratiekamer,
hebben? Verstrekking van gegevens uit de GBA aan
Den Haag 1995.
vrije derden. A&V 2; Registratiekamer, Rijswijk 1995 (alleen elektronisch beschikbaar).
H. van Rossum e.a., Privacy-enhancing technologies: the path to anonymity, volume I and II. A&V 5;
B.J.P Hulsman en P.C. Ippel, Personeels-
Registratiekamer, Den Haag 1995. (niet meer beschik-
informatiesystemen - de Wet persoonsregistraties
baar)
toegepast. A&V 1; Registratiekamer, Rijswijk 1994 (alleen elektronisch beschikbaar).
A.F. Rommelse, Zwarte lijsten. Belangen en effecten van waarschuwingssystemen. A&V 4; Registratiekamer, Rijswijk 1995.
brochures Gedragscodes. Bescherming van persoonsgegevens
Wet bescherming persoonsgegevens. Over de bescher-
door zelfregulering
ming van uw persoonlijke gegevens
oktober 2002
augustus 2001
Third countries. Transfers of Personal Data to
Functionaris voor de gegevensbescherming. Een hand-
Countries outside the European Union
reiking
september 2002
augustus 2001
Derde landen. De doorgifte van persoonsgegevens
Mag het een bitje minder zijn? Over Privacy-Enhancing
naar landen buiten de Europese Unie/
Technologies
Third countries. Transfers of Personal Data to
april 2001
Countries outside the European Union september 2002
Doe het zelf met privacy. Een toelichting op de Audit Aanpak
Privacy: checklist voor de ondernemingsraad
2001
april 2002
bijlagen
75
< TERUG
INHOUD
VERDER >
bijlagen informatiebladen Informatiebladen voor de betrokkene, dat is degene
Informatiebladen voor de verantwoordelijke, dat is
van wie persoonsgegevens worden gebruikt:
degene die persoonsgegevens van anderen gebruikt
Als u gefilmd wordt met een videocamera, februari
voor eigen doeleinden:
2005
Cameratoezicht: als u mensen filmt februari 2005
Uw gegevens bij de politie, oktober 2004 (geactuali-
Informatie delen in samenwerkingsverbanden januari
seerd)
2005
Als de politie gegevens over u vraagt, oktober 2004
Als de politie u vraagt persoonsgegevens te verstrek-
Recht op infomatie, oktober 2004
ken oktober 2004 (geactualiseerd)
Uw recht van verzet bij direct marketing oktober 2004
Informatieplicht oktober 2004
Correctie van uw persoongegevens oktober 2004
Het recht van verzet bij direct marketing oktober 2004
Uw persoonsgegevens beveiligd september 2003 (geac-
Het bieden van correctie in persoongegevens
tualiseerd)
oktober 2004
Inzage in uw persoonsgegevens juni 2004
Het geven van inzage in persoongegevens juni 2004
Uw personeelsdossier juni 2004
Personeelsdossiers juni 2004 (geactualiseerd)
Verstrekken van uw persoonsgegevens juni 2004
Verstrekken van persoonsgegevens juni 2004
Opnemen van uw telefoongesprekken op de werkplek
Opnemen telefoongesprekken op de werkplek juni
juni 2004 (geactualiseerd)
2004 (geactualiseerd)
Uw gegevens op een zwarte lijst juni 2004
Zwarte lijsten juni 2004
Doorgifte van uw gegevens naar derde landen juni
Doorgifte naar Derde Landen inzake uw gegevensver-
2004 (geactualiseerd)
werkingen juni 2004 (geactualiseerd)
De functionaris voor de gegevensbescherming juni
De functionaris voor de gegevensbescherming juni
2004 (geactualiseerd)
2004 (geactualiseerd)
Verstrekken van uw personeelsgegevens
Camera's op de werkplek juni 2004 (geactualiseerd)
juni 2004 (geactualiseerd)
Verstrekken van personeelsgegevens aan derden
Geadresseerde reclame juni 2004 (geactualiseerd)
juni 2004 (geactualiseerd)
Verstrekken van uw gegevens uit ledenadministratie
Verstrekken gegevens uit uw ledenadministratie
maart 2004 (geactualiseerd)
maart 2004 (geactualiseerd)
Nummeridentificatie bij telefoonverkeer maart 2004
Melden en vrijstellingen maart 2004 (geactualiseerd)
Rechten van de betrokkene maart 2004 (geactualiseerd)
Bemiddeling door het CBP inzake uw verwerkingen
De sociale dienst en uw persoonsgegevens maart 2004
maart 2004 (geactualiseerd)
(geactualiseerd)
Klachtenbehandeling door het CBP april 2003 (geactua-
Uw klacht en het CBP maart 2004 (geactualiseerd)
liseerd)
Bemiddeling door het CBP maart 2004 (geactualiseerd)
Voorafgaand onderzoek september 2001
Het toetsen van uw kredietwaardigheid (creditscoring) maart 2004 (geactualiseerd) Het gebruik van kentekengegevens en uw privacy
Publicaties van het CBP kunt u inzien en/of downloaden
maart 2004 (geactualiseerd)
van de website www.cbpweb.nl. Voor het toezenden van
Camera's op de werkplek maart 2004 (geactualiseerd)
gedrukte publicaties kunnen verzend- en handlingkosten in
Bewaartermijnen juli 2002
rekening worden gebracht.
76
jaarverslag 2004
< TERUG
INHOUD
VERDER >
publicaties in kranten, tijdschriften en vakbladen 2004 Artz, mw. S.M., De reikwijdte van het begrip 'bestand', Privacy & Informatie, nr. 5 - 2004, p. 212-215 Artz, mw. S.M., Symposium ‘Privacy op zijn plaats’ Ter gelegenheid van het afscheid van mr. P.J. Hustinx als voorzitter van het College bescherming persoonsgegevens, Privacy en Informatie, nr. 3 - 2004, p. 114116 Artz, mw. S.M. en Lieon, mw. drs. S., Inzicht in de ondernemingsraad over privacy op de werkplek (SDU, juni 2004) Blarkom RE, G.W. van, Certificering. Het certificaat bescherming persoonsgegevens, Privacy & Informatie, nr. 4 - 2004, p. 150-154 Fontein, mw. drs. M.A.H., Doorgiften naar derde landen: Praktijkervaringen, Privacy & Informatie, nr. 5 2004, p. 206-211 Kohnstamm, mr. J., Is privacy een kabinetscrisis waard?, Idee, tijdschrift van het Kenniscentrum D66, nr. 6 - 2004, p. 20-21 Lieon, mw. drs. S. en Munster, mw. mr. M. Th., Privacyregels van de zieke werknemer in kaart gebracht, Beursmagazine, 25 mei 2004, p. 13 Munster, mw. mr. M.Th., Verwerken van persoonsgegevens in de arbeidsrelatie, HRM Handboek in de praktijk, aflevering 27, hoofdstuk 11/5- 4.4, 2004, p. 1-14 Munster, mw. mr. M.Th., Specifieke verwerkingen van persoonsgegevens in de arbeidsrelatie, HRM Handboek in de praktijk, aflevering 27, hoofdstuk 11/5 - 4.5, 2004, p. 1-24 Pol, mr. U. van de, Hoofdcommissarissen lokken eigenrichting uit, Algemeen Politieblad, nummer 2, 2004, p. 1 en p. 7 Pol, mr. U. van de en Seumeren, mw. drs. N.M. van, Sociale zekerheid: privatisering en deregulering gaan niet samen, NRC Handelsblad, 1 november 2004, p. 1 en 7
bijlagen
77
CONTENTS
NEXT >
DNA , THE ULTIMATE PERSONAL DATA , IS VISUALIZED IN THE CBP - LOGO
< BACK
The desire... The desire to use increasing amounts of personal data for a growing number of purposes is the prominent issue in many social debates. Without pretending to come even close to a complete picture, the discussion about intensifying the combating of terrorism, the introduction of the citizen’s personal identity number and the drastic change to the health insurance system to incorporate market forces can serve as examples. We must also mention the desire to arrive at more intensive exchange of information between different institutions and organisations that increasingly try to realise an interconnecting client system, for the fulfilment of a public task or otherwise. Private enterprises are required to make data about commercial transactions available for government purposes and customer data are shared within conglomerates as sources of information. Technological breakthroughs or the mass application of existing technology open the door to previously unheard-of ways for monitoring, analysing and assessing the actions of individuals and for treating them according to the information compiled. Thus, the field supervised by the Dutch DPA is currently changing drastically.
78
annual report 2004
< BACK
CONTENTS
NEXT >
Needless to say, tension arises in balancing the desire or perceived need for ‘invading’ someone’s privacy on the one hand and the statutory requirements for the careful handling of personal data on the other hand. In order to bring this ‘battle’ to a productive synthesis the cooperation of the government, the private sector and the Dutch DPA is needed. Those in the public and private sector who wish to realise innovations or changes should – more so than is currently the case in most instances – realise the principles of the protection of personal privacy in order to use them to find solutions for possible dilemmas. For the Dutch Data Protection Authority (DPA), on the other hand, the rule applies that it is intensely aware – or should be aware – of new social developments and needs. The framework within which the Dutch DPA then acts is, to a large extent, restricted by the relevant statutory stipulations and the instruction to be derived from these stipulations, whereby the Personal Data Protection Act (WBP) – more so than a number of other laws – determines the actions of the regulatory authority. The history of the realisation of the WBP, and the developments since then, provide us with complex dilemmas in this respect. As ever, if the legislator resorts to codification of that which has grown in everyday practice or which is deemed to be desirable as a standard in a political-social sense, over the course of time attention focuses more on the technical implementation of the law than on the matter to be protected or the objective to be realised which is hidden behind this technical implementation. In these cases the application of the law looks mostly formalistic, while the material interest is hidden from view. In other words: in the eyes of some parties the Dutch DPA is an ‘administrative burden’ rather than the ‘privacy watchdog’. It also strikes me as curious that the fundamental right in question was ultimately converted into national legislation on the basis of a European Directive that aims to combat unfair competition. More so than the protection of the citizen, it appears the protection of the consumer was the driving force to arrive at this specific form of codification. This is even more surprising because, in cases in which the statutory stipulations are considered too restrictive for the sector-specific objectives to be realised, the central government can introduce new legislation that can still make it possible for the requirements the WBP imposes on the way personal data is handled to be met. The WBP therefore appears to have a considerably less binding character in the public sector than in the private sector. In the public debate there has, for some years, been a strong erosion and politicisation of the term ‘privacy’. The action radius of the Dutch DPA is determined by the concretely described instruction in the WBP to make a contribution to the protection of personal data. This is generally referred to as privacy protection. In the social debate the term ‘privacy’ is also used in a casual sense without even a remote stipulation as to what this refers to. In recent years ‘privacy’ has, for many people, also become a political ‘bone of contention’: a vaguely defined interest that supposedly prevents administrators and professionals from realising politically and socially desirable objectives. In statements from politicians, administrators and other officials – for
introduction
79
< BACK
CONTENTS
NEXT >
instance the now traditional far-reaching New Year’s addresses of Chiefs of Police – criticism of ‘privacy’ as an obstacle to action and as a hiding place for defaulters, fraudsters and other malicious persons has become a recurring cover for the lack of decisiveness or successful action on the part of organisation in question. What is irritating about these statements is the fact that they are never or hardly ever accompanied by examples to demonstrate exactly what the problem is. Insofar as concrete situations are given as examples that are supposed to show that the WBP (or any other statutory stipulation that provides for the protection of personal data) actually obstructs the realisation of politically or socially desirable objectives it usually becomes clear on closer consideration that there was in fact unprofessional conduct on the part of the party complaining about the obstacle, or – sometimes very – limited knowledge of the possibilities the Act most certainly does provide. What was and is the essence of what the WBP is supposed to protect? And how must this protection be realised? The Dutch Constitution, the European Convention on Human Rights, the Strasbourg Data Convention and the draft Constitution for the European Union all document privacy protection and, consequently, the protection of personal data. The first value is the protection of personal privacy, guarantees against offensive or unwarranted intrusion into the life of citizens. The primary objective of this protection is to enable citizens to have a certain freedom of action. To this effect all individuals want some level of control over what others know about them, about the image others have of them. Everyone is entitled to and has an interest in being able to determine, to a certain extent, if, and if so in which way, distribution of information that is generated or stored about him or her is to take place. From the point of view of the citizen and consumer the right of self-determination, autonomy and individual development – always to be relatively interpreted in a democratic state under the rule of law – are therefore the key values with respect to the norms and the resulting rules for dealing with personal data. If power and the exercise of power are linked to personal data, an unjustifiable restriction of the social opportunities and development of the individual may result. The technical ‘translation’ into everyday social practice that has been made in the WBP means that citizens and consumers are entitled to and must be able to rely on the fact that the government and the private sector will deal with personal data in a decent, respectful and transparent manner. The following chapters of the 2004 annual report list many concrete stated cases and recommendations in which the Dutch DPA, with due observance of the law, has tried to fulfil its task as a regulatory authority in a contemporary manner. The search for an acceptable balance between the seemingly conflicting interests of protecting personal data on the one hand and market, political or
80
annual report 2004
< BACK
CONTENTS
NEXT >
social needs on the other is a recalcitrant one, as this report shows. It is a legitimate question – and one that must be asked frequently – whether any single stipulation in the WBP hinders us rather than helps us in this search. An intensification of the search for an acceptable balance is advisable, both for the Dutch DPA and for ‘those responsible’– the government and private parties – and, if possible, one that is based on reciprocity. After all, trust between people and organisations in society is, in part, determined by the way personal privacy is respected and more specifically the way in which personal data is handled. Can the individual ‘look over the shoulder’ and determine if, and if so what, information is being circulated about him or her? In what way have checks and balances been implemented so that effective control of the collection, processing and sharing of personal data is possible? Ultimately, finding a good balance benefits the way in which individuals are able to give their trust to society. A society that is able to generate this social capital for its citizens has created an important boundary condition for prosperity and well-being, for a blossoming civil society, for a society that finds strength and safety in cohesion.
J. Kohnstamm chairman
introduction
81
< BACK
CONTENTS
NEXT >
Review of 2004 The bombings in Madrid and the murder of Theo van Gogh have resulted in an intensification of the pursuit of a safe society and in particular of the fight against terrorism. In short order a number of extensions to the powers of the police and the Ministry of Justice were implemented or announced, which will result in more and more information on citizens who are not suspects ending up in police files. For years there have been calls for extended powers, but the increased threat of terrorism since September 11, 2001 has made way for a conviction that such an extension is in fact necessary. Needless to say, the Dutch DPA (Dutch Data Protection Authority) supports the need for the Government to take effective measures to combat terrorism. However, international treaties, European rules, the Dutch Constitution and other laws demand that new powers meet the joint criterion of usefulness and necessity. Legal protection must also be provided for. It may be necessary to venture out in different directions in the battle against the new terrorism, but there is no reason to give up the view that exercise of power and law enforcement must take place within a system of checks and balances: no powers without demonstrable necessity and no powers without the use of these powers being monitored.
82
annual report 2004
< BACK
CONTENTS
NEXT >
Terrorism and safety Combating terrorism
In their ‘terrorism’ memorandum to the Lower House on 10 September 2004, the Minister of Justice and the Minister of the Interior and Kingdom Relations announced new methods and powers for combating terrorism. Among other things, the Government envisaged comprehensive collection, linking and analysis of information about groups and persons as the key to preventing terrorism. For this purpose, the Government deemed an extension to detection powers to be necessary. It announced it would reduce the legal criterion – ‘suspicion or reasonable suspicion of involvement’ – for the authorisation of such actions as tapping telephones, monitoring Internet use and surveillance to ‘indications of involvement’. The information exchange between security services, the police, the Public Prosecution Service and the IND (Immigration and Nationalisation Service) was to be intensified by means of an information hub, the Counter-terrorism info box, where files would be combined and analysed. According to the Ministers’ memorandum, for the Government the mere fact that a citizen acts suspiciously is sufficient reason to put him under surveillance to assess whether the suspicion is justified or not. In a public response to the proposals the Dutch DPA came to the conclusion that the necessity for an expansion of the powers to collect information had not been demonstrated. The new powers would be an addition to the anti-terrorism legislation that came into effect on 1 September 2004. The scope of the Criminal Code was expanded with new penalisations and through increasing the sentences for criminal offences with terrorist objectives. Conspiracy (in other words making arrangements) to commit terrorist acts also became a criminal offence. No experience has yet been gained with these new legal stipulations for information processing that provides an insight into the usefulness and necessity of the proposed measures. Added to this there are the recently implemented or yet to be implemented powers to intercept telecommunications and the power to request information from companies and other organisations. Furthermore, the proposed far-reaching coordination of the gathering of information fails to recognise the separate legal responsibilities and powers of intelligence services and the police. Protecting the security of the state is primarily the business of the intelligence services. These services have far-reaching powers to collect information at the merest hint of suspicion that the security of the state is at risk. The police can only receive information from, particularly, the General Intelligence and Security Service if this aids them in their performance of police duties. The Dutch DPA therefore issued a warning against a development whereby information on a lot of citizens who are not suspects would leave the files of the security services to end up in the police files. The proposed plans also lacked a proposal for the adequate and structural control of the process of collecting and sharing information. It would be a serious shortcoming if the Government did not provide for this control. A lot of the work carried out would remain hidden, also to persons who were the unjustified subject of an investigation. It is therefore all the more necessary to build in controls for the exertion of these far-reaching Government powers. Citizens must be protected against terrorism, but must also be able to have confidence that the Government will exercise its far-reaching powers legitimately.
review of 2004
83
< BACK
CONTENTS
NEXT >
In 2005, meanwhile, the Dutch DPA has further defined its standpoint in the advice on the draft legislative proposal regarding special detection powers to track terrorist activities. The Dutch DPA has not received any further information from the Ministers in question regarding the CT info box. The Minister of Justice has promised the Lower House to provide further written information on this subject. Telecommunication records
The ongoing Europe-wide debate about a duty to retain telecommunication records for the purpose of criminal detection was given a new slant in the aftermath of the terrorist attacks in Madrid. As a result, the European Council adopted the Declaration on Combating Terrorism on 25 March 2004. This Declaration called for proposals for a mandatory traffic data retention for providers of telecommunication services. The Dutch DPA responded to this call and made a substantial contribution to the advice issued by the Article 29 Working Party – the collaboration of privacy regulators in the EU – in respect of the duty to retain records, which was also submitted to the relevant Standing Committees in the Upper and Lower House. Building on earlier opinions issued since the Nineties and decisions made by the European Court of Justice, the Working Party formulated the opinion that the proposals for a mandatory traffic data retention with regard to all telecommunication contravene the stipulations of Article 8 of the European Convention on Human Right (ECHR): no necessity for the long-term retention of all telecommunications traffic data of persons who are not suspects has been demonstrated. Such systematic storage of information is disproportional. Passenger data
In the opinion of the Article 29 Working Party the outcome of the negotiations between the European Commission and the United States regarding the transfer of passenger data to the US remained below par on a number of points. Nonetheless, the European Commission has made a positive decision in respect of the level of protection in the US. The European Parliament brought the matter before the European Court. The Article 29 Working Party subsequently focused on the proper implementation of the final decisions. To this effect a model was created for the provision of information to passengers. The airlines were consulted about the provision of information to passengers. The Working Party also urged the earliest possible transition from pull to push, in other words, from opening up the reservation system to the American authorities so that they can collect the information required, to the active supply of the necessary data by the companies themselves. Duty of identification
Early in 2004 the Dutch DPA advised the Minister of Justice against submitting the legislative proposal on the expansion of the duty of identification. The main argument for this advice was that the legislative proposal created a general duty of identification for citizens, both to the police and to other supervisory authorities. However, the legislator did not sufficiently substantiate and justify such a duty of identification. Only relatively few years ago the Kok Government concluded that a general duty of identification would be going too far. The clarification with the legislative proposal did not raise any new arguments and the Government therefore failed to meet the requirement in Article 8, paragraph 2, of the ECHR, which stipulates that infringements
84
annual report 2004
< BACK
CONTENTS
NEXT >
Results secured in 2004 WITH REGARD TO THE OBJECTIVES SET FOR 2004 THE FOLLOWING RESULTS HAVE BEEN ACHIEVED :
•
In May 2004 the investigation into the main data flows in relation to employee illness and the associated privacy rules resulted in the publication of a reference work with practical rules of thumb: Employee illness and privacy - rules for the processing of data on sick employees. The reference work was brought to the attention of the various parties involved in the reintegration of sick employees and is among the most viewed publications on the website.
•
•
Citizens Service Number The realisation of the Nationale Vertrouwensfunctie, an organisation that will be charged with providing citizens with insight into all the information flows based on the citizens service number, experienced a delay in 2004. Unfortunately in 2004 it was not yet made possible for the Dutch DPA to start verifying existing and new data processing procedures and preparing for the future Ombudsman function. This preparation will now be realised in 2005.
•
•
Certification The system of privacy certification devised in collaboration with NOREA (professional association of IT auditors) and NIVRA (Royal Dutch Institute of Registered Accountants) was tested in practice in 2004 using experimental certifications. Deviating from what was intended initially, and in close consultation with the partners, the choice was eventually made to leave the
National registers in the care sector In 2003 the Dutch DPA completed a preliminary investigation into five national registers in the care sector. Later than anticipated, general findings and standards for national care registers were formulated in 2004 on the basis of the study.
•
Investigation into the way privacy is experienced In 2004 the Dutch DPA instructed TNS Nipo consult (a market research agency) to carry out a study into the way Dutch citizens experience privacy and what their privacy requirements are. Similar studies have already been carried out in a number of European countries. The results will be published in 2005.
Camera surveillance Building on the investigation Camera surveillance in public spaces - an investigation into the deployment of camera surveillance in all Dutch municipalities (2003) a study was published in December 2004 on the privacy aspects of camera surveillance in public areas. Cameras in the public domain - privacy standards for camera monitoring of the public order offers municipalities rules of thumb for decision-making and implementation of camera surveillance. The study is one of the most viewed publications on the website.
Introduction of DBC system In the area of health care the Dutch DPA will remain closely involved in the development and implementation of the financing system based on the Diagnosis Treatment Combination.
Investigation into wire tapping rooms At the end of 2004 – later than anticipated – the Dutch DPA started the preparations for an investigation into the privacy aspects of data processing in police wiretapping rooms, in a follow-up to the 2003 Investigation into the safeguarding of confidential communications of solicitors in the interception of telecommunications. The investigation will not be completed until 2005.
•
•
Police files The investigation into the files of the Criminal Investigation units of eight regional police forces that was started in 2003 was finalised in 2004. The general findings of the investigation have been published.
•
ultimate construction of certification systems entirely to the market parties. The project was completed in February 2005 with a presentation and publication of the document entitled Contours for Compliance - a guide for the definition of standards within the Privacy Audit Framework to interested organisations.
Employee illness
•
Policy rules and 2nd line position The Dutch DPA has published a number of policy rules for the treatment of certain categories of cases and the associated publicity. In the context of the endeavour toward a 2nd line position the Dutch DPA was able to reach agreements with a number of sector, trade, umbrella and professional organisations regarding information exchange and distribution of tasks in the provision of information and processing of complaints.
•
Organisational development In 2004 the Investigations department became operational. A start was made on the development of differentiated research formats and risk analysis as a tool for policy formulation. The department played an important role in the Nipo study into the way citizens experience privacy and also performed the 2004 notifications analysis.
•
Dutch DPA website At the end of October 2004 the Dutch DPA went live with a new website aimed at providing more direct information to data subjects and data controllers. The material on the website has been made accessible in a more demand-focused way. Since the website has been upgraded the number of visitors has increased notably.
review of 2004
85
< BACK
CONTENTS
NEXT >
of privacy must be sufficiently justified. Neither were the possible discriminatory and stigmatising effects of the proposal acknowledged. On 1 January the extended and de facto general duty of identification came into force. Cameras in the public domain
The interest in video surveillance has only increased in recent years. The general public also accepts cameras, expecting video surveillance to be effective. Video surveillance, particularly on the part of the Government, has increased considerably in recent years. This is why, in 2003, the Dutch DPA initiated a study into the nature and scope of video surveillance by Dutch municipalities. Among other things this study showed that 20 percent of municipalities use video cameras and that in many of these municipalities the effectiveness of the video surveillance had not (yet) been evaluated. Subsequently, a study entitled Cameras in the public domain was published in November 2004 with rules of thumb for decision-making, starting points for the placement and use of cameras, the rights of data subjects, monitoring and evaluation. Administrative records
The new WAO (Occupational Disability Insurance Act) and the insurance companies In respect of the new WAO system the Dutch DPA advocated greater clarity about the positions the various parties (employer, employee, UWV [employed persons' insurance administration agency], reintegration agencies and insurance companies) take up in relation to each other when it comes to the use of personal data. The way in which insurance companies will deal with personal data in the new system is unclear, and this is not a desirable situation. As a result of the new tasks pursuant to the Work and Income based on Employment Capacity Act but also, for instance, the new Health Insurance Act, the corporate groups of which the insurance companies are a part will have access to even more (medical) personal data. This creates the potential for a powerful and influential information position. Insurance companies do, however, acknowledge the importance of the careful processing of personal data. If the Government fails to establish rules for this type of processing it will be time-consuming and inefficient for the parties involved in the processing. The Dutch DPA has therefore urgently advocated to the Minister of Social Affairs and Employment that clarity must be provided in the relevant legislation regarding the possibilities and limitations relating to the processing of personal data. Diagnosis Treatment Combinations
Further to the formulation of the privacy framework by the Ministry of Health, Welfare and Sport (VWS) and Zorgverzekeraars Nederland (Association of Dutch Health Insurers), it was agreed with the Dutch DPA that the privacy-conscious introduction of the Diagnosis Treatment Combinations (DBCs) would be given a follow-up. The sharing of information between the different parties must be done in such a way that there is less detriment to the patient’s privacy and to medical confidentiality. The Dutch DPA played an advisory role for a number of work groups. The Dutch DPA also took a critical look at the structure of the DBC Information System. Agreements were reached with the Ministry of Health, Welfare and Sport and other parties involved regarding minimum guarantees for the coming period. These periodic meetings between the Dutch DPA and
86
annual report 2004
< BACK
CONTENTS
NEXT >
the different parties will continue in 2005. As the supervisory authority, the Dutch DPA will remain very alert to the parties’ honouring of their promises. New police information system
In recent years the different police forces have developed a colourful range of ICT applications to perform the same tasks. Eventually the decision was made to try to achieve countrywide uniformity in the area of ICT. As the supervisory authority for the processing of data by the police, the Dutch DPA was asked to advise regarding the statutory rules that affect the choice of new systems. In addition, work also commenced on the revision of the statutory framework for a police information system. In 2004 the Minister of Justice received advice regarding the draft legislative proposal on the Police Data Act. The Dutch DPA is able to agree with a system for processing police data in which the guarantees increase as the processing constitutes a greater risk for the data subjects involved. There were also three important areas of criticism. Firstly, more emphasis is needed on the quality of data processed by the police. Secondly, the Dutch DPA seriously objects to the introduction of so-called theme files: large collections of data about citizens who are not suspected of anything. Thirdly, clear regulations are required in respect of retention periods. Data that is no longer required should be destroyed rather than retained indefinitely ‘just in case’ the information might be needed in future. New Schengen Information system
The purpose of the Schengen Information system is to reinforce control on the outer borders of the European Union. The simple fact that new member states have joined the EU makes it necessary to update this system. Neither can biometric characteristics be included in the system. In September 2004 the Joint Supervisory Authority (JSA) Schengen, under the presidency of the Dutch DPA, issued an opinion about the development of the new Schengen Information System (SIS II). The JSA requests attention for the protection of personal data even in the design stage of SIS II. The European Council is called upon to clarify the objective and functions of the new system so that sufficient privacy guarantees can be incorporated. European visa information system
Plans exist for one visa information system for the entire European Union, using biometric data. The Article 29 Working Party published an opinion on these plans in August 2004. The Work Group points out that the processing of biometric data must meet stringent lawfulness standards because the risk of abuse of such data is great. The Working Party has serious reservations about the routine, large-scale storage of biometric data and wants to be involved in the further structuring of the visa information system. Citizens Service Number
The policy for an ‘electronic Government’, a government that makes optimum use of information technology, including the Internet, was outlined in 2004 in the programme entitled ‘A different Government’. The introduction of the Citizens Service Number (BSN) is an absolute condition for the success of this programme. The BSN program agency was established with the instruction to implement the plan that was finalised at the end of 2003.
review of 2004
87
< BACK
CONTENTS
NEXT >
The Government unexpectedly made the decision – contrary to its earlier promises – to introduce the BSN in the health care sector as well. Health care institutions and health insurance companies will be obliged to use this number. The use of a unique personal identification number in the health care sector has inherent risks. Large-scale linking of (patient) data becomes easier and, therefore, so does abuse. However, a separate care identification number – a safeguard against the too-easy distribution of information on patients and health care recipients – no longer proved feasible in the political and social arena. The Dutch DPA subsequently approved the use of the BSN in the health care sector, provided it was accompanied with compensatory guarantees, including reliable authorisation procedures for the use of medical data that becomes accessible with the number. In 2005 the Dutch DPA will play a part in the preparation of the so-called Nationale Vertrouwensfunctie, an organisation that provides for structural monitoring in the form of, among other methods, one office where citizens can take their questions and complaints about the BSN.
Codes of conduct In 2004 it was possible to approve five sectoral codes of conduct. After a preparatory process spanning many years, in which the Dutch DPA tried to support the sector association, the code of conduct for private investigation agencies was approved early in 2004. The Royal Professional Association of Court Bailiffs developed a code of conduct comprising rules for the special situation whereby court bailiffs act as public functionaries and also provide commercial services (for instance debt collection). It is essential that they do not use the information obtained pursuant to their special legal status as a civil servant in the performance of their non-public activities. The sector organisation for Recruitment, Search and Selection (OAWS) revised and updated its code of conduct that indicates for which purposes personal data of potential candidates can be processed. The ‘Good Behaviour Code of Conduct’, a code of conduct for health research, was also revised and rules for the processing of patient data in health research have been incorporated. New is the code of conduct for the processing of personal data in research and statistics, which was formulated by three organisations: the Association for Policy Research, the Association for Statistics and Research and a professional association for market and policy researchers (MarktOnderzoekAssociatie.nl). In 2004 Zorgverzekeraars Nederland, the sector association for health insurance companies, started on the formulation of rules of conduct for, among other things, the use of the large quantities of medical data that health insurance companies receive in the context of healthcare claims. Rules will also be formulated for the investigation of fraud committed by an institution, care provider or insurant. This concerns an addition to the Code of Conduct for the Processing of Personal Data of the financial institutions. Expectations are that these rules of conduct can be furnished with an approval in the summer of 2005.
88
annual report 2004
< BACK
CONTENTS
NEXT >
Supervision
The annual Spring Conference of the Data Protection Authorities in the European Union, which in 2004 was organised in Rotterdam by the Dutch DPA, focused on effective supervision methods and arrangements. The three-day conference was opened on 22 April by Minister of Justice J.P.H. Donner, who called for further collaboration in supervising the enforcement of law and order in Europe within the so-called third pillar, the policy area of the Ministries of Justice and Internal Affairs. The European privacy regulators have now intensified their collaboration in monitoring and advising on the areas of responsibility of the police and the Ministry of Justice. Supervision of the European collaboration in law enforcement
The national Data Protection Authorities in the European Union jointly supervise the institutions in which the national police and Ministry of Justice authorities in Europe collaborate (among others Europol and Schengen), via the so-called Joint Supervisory Authorities and Bodies. In 2004 these supervisors of personal data processing (Schengen, Europol, Customs and Eurojust) met for the first time with a view to providing stronger advice regarding the third pillar. Among other things, they issued a response to the questions of a Commission of the British House of Lords regarding the combating of terrorism in the European Union and privacy protection. The regulators advocated improvements to the protection of the fundamental rights of the individual in respect of his personal data and the supervision thereof. Existing international legislation and regulations are not sufficient for this purpose. In view of the increasing scale of data processing, often including data on persons who are not suspects, there is a need for new specific rules for the police sector. Private investigation
In 2004 a special supervisory arrangement was created for the private investigation sector. The Act for Private Security Organisations and Detective Agencies does standardise the sector, but rules for the realisation of investigations and the further processing of the data collected in such investigations were lacking. The scope of the code of conduct of the Association of Private Security Organisations, which provides for this, was expanded because the Minister of Justice made this code of conduct mandatory for all private investigation agencies by Ministerial decree. The Dutch DPA and the Minister of Justice have entered into collaboration for the monitoring of compliance with this code of conduct. Work and Assistance Act
For the purpose of monitoring compliance with the new Work and Assistance Act the IWI (Work and Income Inspectorate) and Dutch DPA have expressed their intention to enter into a collaboration agreement in 2005. Through collaboration and the sharing of knowledge more effective and efficient supervision will be possible. Collaboration also promotes unambiguous supervision because the standards used by the regulators can be coordinated. This can also lessen the regulatory pressure for organisations under supervision. For example, the agreement will stipulate arrangements in respect of sharing supervisory information and the mutual provision of information regarding the results of investigations.
review of 2004
89
< BACK
CONTENTS
NEXT >
Objectives in 2005 IN 2005 THE FOLLOWING ISSUES AND OBJECTIVES WILL BE PRIORITISED :
•
Security and privacy are not necessarily mutually exclusive. The Government’s endeavour to achieve a much stronger information position with regard to citizens (who are mostly not suspected of anything) does however raise some essential questions. The supervision of the way certain powers are used and of the information gathered on citizens is, wrongly, not yet sufficiently regulated. Where supervision and control are regulated, there is sometimes poor compliance with the rules. In a response to the developments in the area of security and the combating of terrorism the Dutch DPA will, in 2005, publish its standpoints and consider the investigations that need to be carried out into compliance with privacy rules in this area.
•
The information obligation is being insufficiently complied with. The Dutch DPA will pay extra attention to this in 2004, both in its information provision and by means of investigations. Compliance with the information obligation will be investigated, particularly also among private detective agencies and in respect of combating Social Security fraud.
Security and privacy
•
•
Special police registers
Private investigation agencies In 2005 the Dutch DPA will investigate compliance with the sectoral code of conduct by private investigation agencies, by means of a random check.
•
•
Risk selection
• Internet and privacy The Internet confronts users with questions about their privacy, the security of their personal details and the possible abuse of these details. The Internet also confronts the Dutch DPA with new questions about its authority as a regulator and the effective supervision of the Internet. The Dutch DPA will determine and publish its position as a regulator in respect of the Internet. This also includes the formulation of specific standards in a number of areas. The focus will be on publications on websites, seen from the angle of the privacy problems that citizens experience on the Internet in everyday practice.
•
Information obligation Authorities, companies and other organisations have the statutory obligation to inform people whose personal data they use of this fact and its purposes. Compliance with this information obligation is an important guarantee that citizens are able to exercise their rights in respect of their personal data.
90
annual report 2004
Binding Corporate Rules The Dutch DPA will actively contribute to simplifying the rules for the transfer of personal data to data controllers outside the European Union. Among others the Dutch DPA will work toward European agreements in respect of a uniform procedure for applying for permits and in respect of co-ordinated processing of permit applications based on so-called binding corporate rules (BCRs): self-regulation tools for the processing of personal data within companies operating on an international basis.
Profiling is the assessment of individuals on the basis of group characteristics. This concerns inclusion and exclusion of people on the basis of an analysis using a profile. Profiling has the inherent risk of unfair treatment. This year the Dutch DPA will organise an expert meeting on risk selection. Based on the results of this meeting the Dutch DPA will decide whether it will further define, in a publication, the privacy rules for the use of group profiles in risk selection.
•
Administrative burden The Dutch DPA will formulate proposals for the reduction of the administrative burden experienced by companies (and authorities), whilst retaining the current level of protection of personal data. Further to proposals made toward the end of 2004, the Dutch DPA will enter into consultations with the Minister of Justice to discuss a broadening of the exemptions of the notification obligation. The Dutch DPA will also suggest that the permit obligation for the transfer of personal data outside the EU be abolished if companies use standard contracts approved by the European Commission.
The Dutch DPA considers it one of its tasks to provide structural supervision of the special police registers, as these are not or hardly accessible to citizens or to the courts. In 2005 the Dutch DPA will once again investigate a number of files from these registers and publish a report of its general findings.
•
Investigation of the notification obligation Also in 2005 the Dutch DPA will carry out a random check of compliance with the notification obligation in a number of sectors, based on an analysis of the public register of notifications.
Collaborations Collaborations aimed at dealing with social issues (safety, nuisance in neighbourhoods, outreach assistance, youth care) are receiving a lot of attention. In this context privacy legislation is often – and often wrongly – seen as an obstruction. The Dutch DPA will contribute to clarifying the rules for the necessary exchange of personal data in collaborations. In April 2005 the Dutch DPA is organising a symposium on privacy in collaborations. Together with Vide, the professional association for regulators, the Dutch DPA will organise a symposium for inspectorates etc. about their position as a participant in collaborations and as a regulator of organisations that participate in collaborations.
< BACK
•
CONTENTS
Supervision and regulators The Dutch DPA aims for efficient and effective supervision of compliance with the rules for processing of personal data. Umbrella and trade organisations will be contacted regarding their responsibility for self-regulation, among other means by the publication of a guide for compliance assessment. The Dutch DPA also stimulates the appointment of data protection functionaries and, in 2005, will focus on the qualitative improvement of this internal supervision. The Dutch DPA will issue advice to the Minister of Justice aimed at resolving obstacles the regulators are faced with as a result of the Personal Data Protection Act. The Dutch DPA will enter into a collaboration with the OPTA. With a view to effective supervision, collaborations with various other regulators (including the IWI) will also be assessed. Together with the Equal Treatment Commission, the National Ombudsman and the Study and Information Centre for Human Rights, the Dutch DPA aims to advise the Government on the desirability of a National Human Rights Institute.
•
Health Care and Social Security The introduction of market mechanisms and increased individual responsibility are focal points in both sectors. In both systems insurance companies are given a prominent role that will result in a more intensive collection of often sensitive data on individual citizens and the exchange of this information within conglomerates. However, clear rules for the use of personal data are lacking. The Dutch DPA will continue to highlight the privacy risks associated with the partial privatisation of health care and security systems. As a regulator the Dutch DPA will closely monitor the introduction of the Diagnosis Treatment Combinations (DBC) system. An exploratory investigation among health insurance companies into the use of medical data by health insurers will also be carried out. In 2005 the Association of Dutch Health Insurers (ZN) will revise the addendum to the Code of Conduct for financial institutions and expand its scope with rules for material controls and rules about the use of claim details. The Association will submit this addendum to the Dutch DPA for approval. A normative framework for the social services will also be published: ten basic principles the social services must comply with when processing personal data.
•
NEXT >
Citizens Service Number The introduction of the citizens service number (BSN) is currently the focal point in the development of the Government information infrastructure. The Dutch DPA was intensely involved in the preparation of this system. Through participation in the BSN steering committee and in the working party for the Nationale vertrouwensfunctie (an organisation that will be charged with providing citizens with insight into all the information flows based on the citizens service number), the Dutch DPA aims to ensure that the agreed privacy guarantees are in fact realised. In the context of the Nationale vertrouwensfunctie the Dutch DPA itself will be responsible for the National Ombudsman function and the verification of data exchange based on the BSN and will be preparing for the implementation of these tasks in 2005.
•
Evaluation of the Personal Data Protection Act The Dutch DPA will prepare to make a contribution to the evaluation of the Personal Data Protection Act, which is expected to take place in 2006 (Article 80 of the Personal Data Protection Act).
review of 2004
91
< BACK
CONTENTS
NEXT >
Health Insurance Act
The new Health Insurance Act provides for a mandatory standard of health insurance for all residents. In 2004 the Dutch DPA advised that, in respect of the legislative proposal, more concrete standards be set for the use and exchange of personal data in the context of health insurance. The structural supervision of health insurance companies would otherwise mainly be limited to highlighting unlawful situations in insurancerelated, financial and administrative areas. Supervision of the processing of personal data must also be specifically included in the legislative proposal because the processing of personal data by the health insurance companies also requires structural supervision. In addition the draft addendum of the Association of Dutch Health Insurers (ZN) with the Code of Conduct for the Processing of Personal Data for financial institutions must be adjusted. Spam
Unsolicited e-mails sent in large quantities, better known as spam, are a nuisance, are difficult to eliminate and incur high costs for Internet service providers, and therefore for their customers. According to recent estimates approximately three quarters of all e-mails sent worldwide are spam. The European Directive on Electronic Communications (2002/58) prohibits the sending of unsolicited commercial messages and the European regulators supervising compliance with this prohibition work together in the so-called Contact Network of Spam Authorities to exchange information and facilitate collaboration in the enforcement of the prohibition in the EU. A collaboration agreement has also been formulated for this purpose. In the Netherlands the OPTA (Independent Post and Telecommunications Authority) and the Dutch DPA signed, on 19 October 2004, agreements regarding collaboration in respect of the prohibition on spam, which in the Netherlands has been in force since 19 May 2004. The Dutch DPA will focus primarily on supervising the collection and use of e-mail addresses. Individual complaints regarding spam can be addressed to the OPTA via www.spamklacht.nl. The practical agreements about dealing with spam constitute a prelude toward a broader collaboration protocol in 2005.
Investigation and enforcement Criminal investigation units
In 2003 and 2004 the Dutch DPA carried out investigations into special police registers held by the criminal investigation units (CIE) of the regional police forces. Pursuant to the Police Files Act (Wpolr) the Dutch DPA is the regulator supervising the use of the police files. In this position the Dutch DPA has access to the content of the CIE files. Because of their sensitive nature these files are, quite rightly, largely protected from access by the registered persons involved and from supervision by the court. In this context the Dutch DPA considers it a special responsibility to substantively supervise the CIE files. In its investigations the Dutch DPA focused mainly on checks based on the content of the files, and a number of technical and organisational aspects were also taken into consideration. The general picture emerging from the investigation is mostly positive. The substantive aspects that were investigated generally proved to be in order. With regard
92
annual report 2004
< BACK
CONTENTS
NEXT >
to the investigated technical and organisational aspects it became clear that on a number of points the rules imposed by legislation and regulations are not being met. The police forces have indicated that, whilst awaiting an information system to be implemented on a national basis, they will not make any adjustments to the current systems and methods. Schengen Information system
In 2004 the JSA Schengen asked the national supervisory authorities of the member states linked to the Schengen Information System (SIS) for an investigation into the practice of registering foreign nationals in the system. JSA Schengen received reports at the end of June 2004 and the end of December 2004. A number of registrations have raised questions for the Dutch DPA and these registrations will be investigated further. National registers in the health care sector
In 2004 the Dutch DPA completed its investigation into the operation of national registers in the health care sector with a report that was published in April 2005. The key questions of the exploratory investigation were: what does the patient know about the registration of his data in national data banks, for what exact purposes are these registers used and can the information in these registers be traced back to the individual patients. In view of the sensitivity of the information and the professional secrecy that applies to physicians, partly in view of this sensitivity, the law currently only offers limited possibilities for the processing of (indirectly) traceable patient data. The investigation of five national registers gave the Dutch DPA the impression that the investigated national registers generally handle the personal data reasonably well. It also emerged that, in nearly all cases, improvements were possible and necessary. The main measure to be implemented is limiting the traceability of the data to individual patients. A number of recommendations have now been adopted by the registers. Compliance with the notification obligation
Pursuant to the Personal Data Protection Act (WBP) companies, organisations and institutions are obliged to notify the processing of personal data to the Dutch DPA or their Data Protection Officer, unless there is an exemption. If data processing has wrongly been notified incorrectly or incompletely, or has not been notified at all, the Dutch DPA can impose a penalty to a maximum of 4,500 Euro. Notifications from certain sectors or regarding certain types of processing are periodically subjected to a further investigation. The Dutch DPA also carries out such investigations as a result of complaints from data subjects. In 2004 the annual investigation focused on three sectors, namely telecommunications, mental health care and the debt collection sector. The investigations will be finalised in 2005 and sanctions may or may not be imposed. As a follow-up to specific information provided to the telecom sector the Dutch DPA checked whether a number of providers of telecommunications services (fixed and mobile telephony and Internet) complied with the notification obligation. This investigation focused specifically on the notification of the processing of telecommunication traffic data. In a number of Area Health Authorities (GGDs) the Dutch DPA investigated the notification of the processing of personal data in the context of the Public Mental Health
review of 2004
93
< BACK
CONTENTS
NEXT >
Care (OGGZ). It is the legislator ’s opinion that this processing carries specific risks for the privacy of the citizens involved; when notifying the Dutch DPA of the processing the data controller must therefore also request an investigation into the lawfulness of the processing, the so-called preliminary investigation. Analysis of the WBP notifications register showed that the number of notifications by debt collection agencies lags behind considerably. Supervision in this sector was aimed at investigating to what extent debt collection agencies process personal data and to what extent they rightly failed to notify the processing of personal data. Penalties for municipalities and companies
In 2003 the Dutch DPA performed the first random check on the compliance with the WBP notification obligation among a number of municipalities, health insurance companies, internal and external Occupational Health & Safety services (arbodiensten) and direct marketing companies. The number of WBP notifications increased strongly after these initial checks, not only in the investigated sectors but also among the private detective agencies, the police and in the health care sector. A total of 50 investigations were carried out in the context of this initial check. In a number of cases a supplementary check was carried out on site in order to establish the facts. At the end of 2003 the random check resulted in the first penalties for a municipality and two companies. In the course of 2004 the CPB imposed a total of 29 penalties ranging from € 3,000 to € 15,000. In a number of cases the Dutch DPA used its authority to reduce the penalty, especially if, as in the case of municipalities, there was a high level of processing of personal data. The main consideration was that even a reduced penalty would achieve its objective, namely a special and general preventative effect. The aforementioned penalties were imposed on 14 municipalities, 3 direct marketing companies, 3 health insurance companies and 9 Occupational Health & Safety services. Most municipalities submitted an objection against the penalty; a number of municipalities have now paid the penalty. None of the private organisations except one submitted an objection and nearly all have now paid. All the organisations involved have now notified the Dutch DPA of their processing of personal data.
94
annual report 2004
< TERUG
INHOUD
VERDER >
review of 2004
95
< TERUG
INHOUD
VERDER >
COLOFON
Jaarverslag 2004 © College bescherming persoonsgegevens, Den Haag, mei 2005. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens. Met medewerking van: J.H.M. Baart, R.R.A. Beugelsdijk, J.W. Broekema, M.A.H. Fontein, N.W. Groenhart, W.J. van Helden, G.O. van de Klashorst, J. Kohnstamm, P. Krul, S. Lieon, C.E. Romanesko, J.P. van Schoonhoven, N. van Seumeren, B. Schippers, B. den Uyl, J.A.G. Versmissen. Eindredactie: G.O. van de Klashorst Ontwerp: Proforma en De Stal, ontwerpers en adviseurs (Miriam Monster) Fotografie college: Mark Kohn Vertaling: Amstelveens Vertaalburo Druk: Deltahage B.V. (Den Haag)
96
