POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
BEZOEKADRES
E-MAIL
Bedrijf
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
8 juni 2005 z2004-0742
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
verzoeker / bedrijf Naar aanleiding van de klacht van verzoeker van 3 juni 2004 heeft het College bescherming persoonsgegevens (CBP) een onderzoek ingesteld. Per brief van 11 mei heeft het College bescherming persoonsgegevens (CBP) u zijn voorlopige bevindingen doen toekomen. U heeft hier op 25 mei 2005 j.l. op gereageerd. In uw brief van 25 mei 2005 j.l. geeft u aan dat u niet als verantwoordelijke kunt worden aangemerkt en dat op uw site duidelijk staat vermeld waarvoor de gegevens werden verzameld en een bezoeker van uw site daardoor uitdrukkelijke toestemming verleent indien deze haar gegevens via uw site verstrekt. Het CBP handhaaft echter zijn conclusies zoals neergelegd in zijn voorlopige bevindingen van 11 mei 2005. De onduidelijkheid met betrekking tot de precieze herkomst van de persoonsgegevens doet niet af aan de constatering dat voor deze persoonsgegevens geen uitdrukkelijke toestemming is verkregen. Wanneer een verantwoordelijke stelt dat hij uitdrukkelijke toestemming heeft verkregen om bijzondere persoonsgegevens te verwerken dient op deze tevens de plicht te liggen om aan te tonen dat hij deze uitdrukkelijke toestemming ook daadwerkelijk heeft verkregen. Uit niets is gebleken dat dit het geval was. Wat uitdrukkelijke toestemming precies inhoudt kunt u nalezen in de paragraaf “Uitdrukkelijke toestemming” van de conclusies van het onderzoek. Daar waar u het oneens bent met de constatering dat u tenminste mede verantwoordelijk bent voor het verwerken van persoonsgegevens heeft u geen nieuwe feiten of omstandigheden aangevoerd die het CBP tot herziening van het door het CBP ingenomen standpunt heeft doen besluiten. Het CBP verwijst dan ook naar de relevante passages in zijn conclusie met betrekking tot de onderdelen verantwoordelijke / bewerker. Hieronder volgen de conclusies van het onderzoek. Klacht Verzoeker heeft in haar klacht naar voren gebracht dat haar (bijzondere) persoonsgegevens zonder (uitdrukkelijke) toestemming worden verwerkt door Bedrijf. De klacht richt zich met name op het verwerken door Bedrijf van het gegeven dat verzoeker zwanger is terwijl verzoeker hiervoor geen uitdrukkelijke toestemming heeft verleend.
BIJLAGEN BLAD
1 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
Onderzoek Bij brieven van 7 oktober en 30 november 2004 heeft het CBP Bedrijf in de gelegenheid gesteld om op de klacht te reageren en daarnaast verzocht een aantal vragen te beantwoorden. Deze reacties werden op 26 oktober respectievelijk 17 december 2004 ontvangen. Bevindingen Het CBP richt zijn oordeel op het handelen van Bedrijf. De andere partijen die gedurende het onderzoek naar voren zijn gekomen worden buiten beschouwing gelaten omdat zij geen directe betrokkenheid bij de onderhavige klacht hebben. De bevindingen van het CBP luiden als volgt: Standpunt Bedrijf Bedrijf stelt dat zij belast is met het ontdubbelen en de verhuur van persoonsgegevens voor onder andere Digital Baby Care en niet is aan te merken als verantwoordelijke. Zij merkt hierbij tevens op dat voornoemde partijen uitdrukkelijke toestemming vragen bij betrokkenen voor commercieel gebruik en dat zij hun verwerkingen hebben gemeld bij het CBP. Bedrijf gaat in haar reactie tevens in op de herkomst van de persoongegevens van verzoeker. Ze geeft aan dat de betreffende gegevens zijn binnengekomen via de CD Baby op komst of via de site van Bedrijf. Wat de CD betreft geeft Bedrijf aan dat daarin duidelijk is omschreven waartoe de (bijzondere) persoonsgegevens worden vastgelegd en verstrekt. De gebruiker is volgens Bedrijf niet verplicht om haar persoonsgegevens in te vullen om de CD te kunnen gebruiken. Standpunt verzoeker Verzoeker stelt dat Bedrijf wel degelijk als verantwoordelijke voor de verwerking moet worden beschouwd. Zij stoelt haar stelling op het feit dat Bedrijf niet uitsluit dat de gegevens via de site van Bedrijf zijn verkregen en op de veronderstelling dat Bedrijf ten aanzien van de via die weg verkregen persoonsgegevens een rol heeft gehad die verder gaat dan die van listbroker. Hierbij haalt verzoeker het feit aan dat de directeur van Digital Baby Care in februari 2004 telefonisch heeft medegedeeld dat de persoonsgegevens van verzoeker niet voorkomen in het bestand van Digital Baby Care dat beheerd wordt door X. Verder is het volgens verzoeker om zowel praktische als applicatietechnische redenen niet aannemelijk dat Bedrijf haar persoonsgegevens heeft verkregen via de CD “Baby op komst” van Digital Baby Care.
BLAD
2 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
Juridische context Ingevolge de artikelen 6, 8, 16, 21 jo. 23 Wet bescherming persoonsgegevens (WBP) worden persoonsgegevens op een behoorlijke en zorgvuldige wijze verwerkt op basis van één of meer in de wet genoemde verwerkingsgronden. Wanneer het gaat om bijzondere persoonsgegevens (zoals in dit geval het gegeven dat iemand zwanger is) kan naast de in de wet genoemde uitzonderingsgronden (welke hier niet van toepassing zijn) het verwerken van dergelijke gegevens alleen gerechtvaardigd zijn wanneer betrokkene uitdrukkelijk zijn of haar toestemming heeft verleend. Relevant zijn derhalve de begrippen verantwoordelijke, bewerker, uitdrukkelijke toestemming en bijzonder persoonsgegeven. Verantwoordelijke Bij de beantwoording van de vraag wie de verantwoordelijke is, dient enerzijds te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds - in aanvulling daarop - van een functionele inhoud van het begrip. Het laatste criterium speelt met name een rol als er verschillende actoren bij de gegevensverwerking betrokken zijn en de juridische bevoegdheid onvoldoende helder is geregeld om te kunnen bepalen wie van de betrokken actoren als verantwoordelijke in de zin van de wet moet worden aangemerkt. In dergelijke situaties zal aan de hand van algemeen in het maatschappelijk verkeer geldende maatstaven moeten worden bezien aan welke natuurlijke persoon, rechtspersoon of bestuursorgaan de betreffende verwerking moet worden toegerekend Bewerker De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid. Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat. De bewerker is een buiten de organisatie van de verantwoordelijke staande persoon of instelling. Het zal veelal gaan om een persoon of instelling die niet in een hiërarchische relatie tot de verantwoordelijke staat. Daar waar een hiërarchische relatie bestaat met de verantwoordelijke moet worden gesproken van (intern) beheer. De verantwoordelijke die gegevens te zijner behoeve buiten zijn rechtstreeks gezag verwerkt wil hebben is op grond van artikel 14, tweede lid, verplicht een overeenkomst met de bewerker aan te gaan. Voor de afgrenzing van het begrip “bewerker” ten opzichte van het begrip “verantwoordelijke” is de inhoud van de overeenkomst die de bewerker sluit met de verantwoordelijke van belang. Daarnaast is echter ook van belang hoe zich het één en ander vervolgens in de praktijk feitelijk ontwikkelt.
BLAD
3 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz. Zou hij namelijk deze zeggenschap wel verwerven dan dient hij als verantwoordelijke te worden aangemerkt. Bijzondere persoonsgegevens Bij de verwerking van bijzondere persoonsgegevens gaat het om de verwerking van gevoelige informatie over personen. Verwerking van deze informatie en het daaruit voortvloeiende kennispotentieel met betrekking tot andere personen genereert macht en de mogelijkheid deze te misbruiken, wanneer niet voorzien is in adequate wettelijke waarborgen om een verkeerd gebruik tegen te gaan. Zonder dergelijke waarborgen kunnen burgers zich weerhouden voelen vrijelijk hun burgerlijke vrijheden, zoals de vrijheid van meningsuiting en politieke participatie, uit te oefenen. Voor de in artikel 16 genoemde soorten verwerkingen geldt dat sprake is van informatie die in het bijzonder ten nadele van betrokkene misbruikt kan worden. De verwerking ervan is verboden behoudens bijzondere wettelijke machtiging. Gegevens over gezondheid en het seksuele leven (welke begrippen elkaar kunnen overlappen) zijn bijzondere persoonsgegevens. Het begrip "gezondheid" moet ruim worden opgevat; het omvat niet alleen de gegevens die in het kader van een medisch onderzoek of een medische behandeling door een arts worden verwerkt, maar alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen. Bij gegevens met betrekking tot het seksuele leven voor zover dergelijke gegevens niet tevens de gezondheid van personen betreffen, gaat het om gegevens die iets zeggen over het intieme levensgedrag van betrokkene. Uitdrukkelijke toestemming Uitdrukkelijke toestemming vereist dat de betrokkene voldoende geïnformeerd is en dat de toestemming vrijwillig en specifiek is. Dit laatste betekent dat de reikwijdte van de toestemming nauwkeurig is omschreven en spoort met hetgeen de betrokkene in de gegeven omstandigheden verwacht en kan overzien. De betrokkene maakt op basis hiervan zelf de afweging tussen zijn belang om zijn persoonlijke levenssfeer te beschermen en de voordelen die het verstrekken van zijn gegevens hem biedt. Het verbod op de verwerking van bijzondere persoonsgegevens is niet van toepassing als de betrokkene hier uitdrukkelijk toestemming voor heeft gegeven (art. 23, eerste lid, onder a, WBP).
BLAD
4 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
Beoordeling In de gehele procedure is onvoldoende duidelijkheid ontstaan over hoe precies de verhoudingen zijn geregeld tussen de diverse partijen. Opmerkelijk was dat Bedrijf telkens namens Digital Baby Care optrad als inhoudelijk verantwoordelijke. Ook bij vragen die door verzoeker aan Digital Baby Care werden gesteld, werd doorverwezen naar Bedrijf. Verder is in het geval van verzoeker nimmer duidelijk geworden waar de gegevens van verzoeker precies vandaan kwamen. (Mede)verantwoordelijke / bewerker Vast is komen te staan dat in het geval van verzoeker door Bedrijf bijzondere persoonsgegevens zijn verwerkt zonder dat hiervoor de uitdrukkelijke toestemming van verzoeker was verkregen en zonder dat er sprake was van een ontheffing in de zin van art. 22 en 23 WBP. In situaties waarin meerdere natuurlijke personen of rechtspersonen betrokken zijn bij (een keten van) gegevensverwerkingen en in verband met de aard van die betrokkenheid in aanmerking komen om als verantwoordelijke in de zin van de wet te worden aangeduid kunnen zich onduidelijkheden voordoen. Deze onduidelijkheden kunnen zich met name voordoen als de juridische zeggenschap over de verwerking onvoldoende helder is, dan wel geen regeling voorhanden is op grond waarvan een bepaalde persoon of instantie daadwerkelijk door de betrokkene kan worden aangesproken. Betrokkenen mogen daarvan niet de dupe worden. In zodanige situaties behoort aan het begrip 'verantwoordelijke' een functionele invulling te worden gegeven. Aan de hand van in het maatschappelijk verkeer geldende maatstaven moet in dergelijke gevallen worden bezien aan welke natuurlijke persoon of rechtspersoon de betreffende verwerking moet worden toegerekend. Alhoewel Bedrijf in bepaalde opzichten mogelijk als bewerker kan worden beschouwd dient zij in het onderhavige geval echter tevens als (mede)verantwoordelijke te worden beschouwd. De bewerkerovereenkomsten die Bedrijf heeft overlegd duiden er weliswaar op dat er voor bepaalde delen van de (plaatsgevonden) verwerkingen mogelijk een dergelijke constructie bestond tussen Bedrijf, Digital Baby Care, Family Support en Baby Superstores en werd nageleefd, maar dit neemt echter niet weg dat tot voor kort Bedrijf ook zelf een actieve rol speelde in het vergaren van gegevens (via haar website). Daarbij dient nog te worden opgemerkt dat niet alle in de bewerkingsovereenkomsten genoemde partijen in het openbare meldingenregister van het CBP staan vermeld. Had Bedrijf zich daadwerkelijk alleen maar beperkt tot het ontdubbelen van gegevens ten behoeve van Digital Baby Care, dan had er evenwel sprake kunnen zijn van louter bewerkerschap en had Digital Baby Care als enige verantwoordelijke kunnen gelden.
BLAD
5 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
Bijzondere persoonsgegevens De verwerking van bijzondere gegevens genereert macht en de mogelijkheid deze te misbruiken. Zwangerschap is een gegeven dat iets zegt over de gezondheidstoestand van betrokkene. Dit blijkt bijvoorbeeld uit het feit dat een verzekeringnemer een duurdere verzekering krijgt als zij 1 van verzekering wisselt terwijl ze zwanger is. In de arbeidsrelatie mag de vrouw zelf beslissen wanneer (dus op welk moment) ze kenbaar maakt aan de werkgever of ze zwanger is. (zie ook het CBP rapport zieke werknemer blz. 63). Een potentiële werkgever zal graag willen weten of de kandidate voor de vacature zwanger is en die kandidate mogelijk niet aannemen. Potentieel misbruik dient te worden voorkomen en de WBP eist derhalve uitdrukkelijke toestemming voor een verwerking van bijzondere persoonsgegevens zoals in het onderhavige geval aan de orde. De uitdrukkelijke toestemming zorgt er voor dat een individu de afweging kan maken of deze verwerking - ondanks de risico's die daaraan verbonden zijn - wel of niet wenselijk is. Daar het belangrijk is dat zo’n beslissing bij de vrouw zelf ligt zou het ook niet mogelijk moeten zijn dat anderen iemand opgeven als deze zwanger is om wat voor reden (niet zijnde een zorg motief) dan ook. Voor Direct-Marketing kunnen medische gegevens dan ook alleen verwerkt worden als hiervoor uitdrukkelijke toestemming is verkregen (art. 23, eerste lid, onder a, WBP). Ook uit het rapport van de Registratiekamer over etnomarketing wordt duidelijk dat geen DM selectie hoort plaats te vinden op basis van bijzondere persoonsgegevens (behoudens uitdrukkelijke toestemming betrokkene). Uitdrukkelijke toestemming Zoals reeds hiervoor opgemerkt is het gegeven dat iemand zwanger is een bijzonder persoonsgegeven. Het is echter niet op voorhand verboden om bijzondere persoonsgegevens te verwerken indien men daar uitdrukkelijke toestemming voor heeft gekregen van de betrokkenen. Het verwerken van zwangerschapsgegevens door Bedrijf met het doel om de zwangere te kunnen benaderen met gerichte aanbiedingen e.d. dient de verantwoordelijke er voor de volle honderd procent er van te vergewissen de uitdrukkelijke toestemming van betrokkene is verkregen. Wanneer men de gegevens verkrijgt van een derde (bijvoorbeeld de buurvrouw van betrokkene) dient men deze aanmelding te verifiëren bij de betrokkene zelf. Pas als deze uitdrukkelijk toestemming is verleend voor de opname van haar gegevens is de verwerking rechtmatig. Opgemerkt dient te worden dat wanneer betrokkene gegevens met betrekking tot haar zwangerschap aan de zorgverzekeraar of kraamhulp verstrekt en voornoemde instanties deze gegevens weer verstrekken aan bedrijven die zich bezig houden met Direct-Marketing, er geen sprake kan zijn van uitdrukkelijke toestemming van betrokkene. Van uitdrukkelijke toestemming is pas sprake wanneer eerstgenoemde partijen uitdrukkelijke toestemming vragen voor opnamen 1
Zie ook Kantonrechter Emmen 20 december 2002, Hof van Justitie Eg 4 oktober 2001, C-438/99 / C109/00.
BLAD
6 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
in hun bestand en voor de verdere verstrekking hiervan aan bepaalde derden voor DMdoeleinden. Het opnemen van een bezwaarmogelijkheid bij een CD levert nog geen uitdrukkelijke toestemming op. Het verbod op de verwerking van bijzondere persoonsgegevens is in het onderhavige geval niet van toepassing als de betrokkene hier uitdrukkelijk toestemming voor heeft gegeven (art. 23, eerste lid, onder a, WBP). Uitdrukkelijke toestemming vereist dat de betrokkene voldoende geïnformeerd is en dat de toestemming vrijwillig en specifiek is. Dit laatste betekent dat de reikwijdte van de toestemming nauwkeurig is omschreven en spoort met hetgeen de betrokkene in de gegeven omstandigheden verwacht en kan overzien. De betrokkene maakt op basis hiervan zelf de afweging tussen zijn belang om zijn persoonlijke levenssfeer te beschermen en de voordelen die het verstrekken van zijn gegevens hem biedt. Opgemerkt dient te worden dat het bieden van een “opt-out” optie kan niet worden opgevat als uitdrukkelijke toestemming zoals dat bij “opt-in” wel mogelijk is. CD “Baby op komst” In tegenstelling tot hetgeen Bedrijf stelt, wordt bij het gebruik van de CD “Baby op komst” welke een uitgave is van Digital Baby Care, niet precies duidelijk waartoe de bijzondere persoonsgegevens worden vastgelegd. Bovendien gaat het om twee elektronische formulieren waarvan er één voor de kraamverzorgster en een voor de aanbieder van de CD is bestemd. Tevens kan de gebruiker niet aanvinken dat deze gegevens niet worden verwerkt. Zij kan alleen aanvinken dat zij geen nieuwsbrief of informatie met betrekking tot kortingsacties wenst te ontvangen. Bij het testen van de CD was het niet mogelijk om verder te gaan met de CD wanneer niet NAW gegevens en bevallingsdatum werden ingevuld. Verder slaat de CD de ingevulde velden op zodat wanneer de gebruiker tijdens het invullen van de CD niet online is, de gegevens alsnog automatisch worden verstuurd wanneer de gebruiker wel online is. Vanwege de manier waarop deze CD is ingericht, kan bezwaarlijk worden aangenomen dat hierbij sprake is van uitdrukkelijke toestemming van betrokkene. Zoals reeds eerder opgemerkt levert de optie van een bezwaarmogelijkheid nog geen uitdrukkelijke toestemming van betrokkene op. Slotoverweging In het specifieke geval van verzoeker, wordt door Bedrijf niet ontkend dat (mede) door haar bijzondere persoonsgegevens zijn verwerkt zonder toestemming van verzoeker. Bedrijf heeft aangegeven de gebeurtenissen te betreuren en heeft niet alleen de gegevens van verzoeker op non actief gesteld, maar ook toegezegd haar verwerking van (bijzondere) persoonsgegevens in de
BLAD
7 van 8
DATUM ONS KENMERK
8 juni 2005 z2004-0742
toekomst zorgvuldiger in te richten. Hiermee is zij naar het oordeel van het CBP in dit geval voldoende aan het verzoek van verzoeker tegemoetgekomen. Conclusie Zoals uit het voorgaande blijkt, is de manier waarop de bijzondere persoonsgegevens worden verwerkt en verstrekt door Bedrijf ten behoeve van Direct-Marketing activiteiten niet conform de WBP. Doordat Bedrijf naast Digital Baby Care ook zelf gegevens heeft verzameld en hiervoor tevens een eigen project had op haar site is er sprake van tenminste medeverantwoordelijkheid van Bedrijf. Het CBP is derhalve van oordeel dat Bedrijf in strijd heeft gehandeld met artikel 16 WBP. Bedrijf heeft inmiddels de nodige stappen ondernomen om aan de grieven van verzoeker tegemoet te komen. Daar de CD “Baby op komst” een uitgave is van Digital Baby Care verwacht het CBP ook van Digital Baby Care dat zij haar werkprocessen aanpast aan de vereisten die voortvloeien uit de WBP. Een kopie van deze brief zal worden gestuurd aan Digital Baby Care. Afsluiting Met deze brief beschouwt het CBP de zaak als afgedaan. Het besluit van het CBP om het onderzoek te beëindigen is geen besluit in de zin van de Algemene wet bestuursrecht. U kunt derhalve hiertegen geen bezwaarschrift indienen. U kunt het CBP alleen verzoeken om terug te komen op zijn besluit wanneer u nieuwe feiten en omstandigheden kunt aangeven die kunnen leiden tot een andere beslissing. Het CBP vertrouwt erop u hiermee voldoende te hebben geïnformeerd.
Hoogachtend,
drs. J.W. Broekema Collegelid
BLAD
8 van 8
