Privacyregulering in theorie en praktijk Tweede druk
Onder redactie van Prof. mr. J.EJ. Prins en prof. mr. J.M.A. Berkvens
Met bijdragen van A.A.L. Beers J.M.A. Berkvens P. Blok G.P. van Duijvenvoorde B.M.A. van Eck R.E. van Esch B.M. Gamier R.J.M. van der Horst J.J.C. Kabel EA.M. van der Klaauw-Koops P.J.M. Kolkman R.W. van Kralingen
2000 Kluwer - Deventer
F. Kuitenbrouwer L.L.F.M. Mutsaers J. Nouwt J.E.J. Prins A.E. Schilder E. Schreuders A.J.J.T. Singewald J.H.J. Terstegge A.H. Vedder A.E.B.M. van der Ven D.W.F. Verkade G.J. Zwenne
Inhoud
Lijst van gebruikte afkortingen 1.
INLEIDING
XIX 1
Prof. mr. J.E.J. Prins en prof. mr. J.M.A. Berkvens 1.1. 1.2. 1.3. 1.4.
Regelgeving Informatietechnologie Maatschappelijke discussies Tweede druk
1 2 3 4
2.
PRIVACY IN ONTWIKKELING
5
Mr. P. Blok en mr. A. Vedder 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8.
Inleiding 5 De conceptuele kern van privacy 7 De conventionele invulling van het begrip 'persoonlijke levenssfeer' 11 Ontwikkelingen in de theorie 13 De uitbreiding van de persoonlijke levenssfeer 18 De relativering van de bescherming van de persoonlijke levenssfeer 20 Conclusie: twee uitwegen 23 Bibliografie 26
3.
PRIVACY: EEN HISTORISCH-VERGELIJKEND OVERZICHT
33
Mr. F. Kuitenbrouwer 3.1. 3.2. 3.3. 3.4. 3.5.
Inleiding De Staatscommissie-Koopmans Lijdensweg De ontwikkeling van privacywetgeving in Europa Internationale afspraken
33 33 35 37 42
INHOUD
3.6. 3.7. 3.8. 3.9. 3.10.
4.
De privacywet van 1988 Fraude en koppeling WPRenWbp De Registratiekamer Nieuwe uitdagingen
DE ONTWIKKELING VAN BESCHERMING VAN PERSOONSGEGEVENS IN DE RECHTSPRAAK
45 47 51 52 54
57
Prof. mr. D. WE Verkade 4.1. 4.2. 4.3.
57 60
4.5.1. 4.5.2. 4.5.3. 4.6. 4.7.
Inleiding Redelijk doel van de persoonsregistratie (art. 4 WPR; art. 7 Wbp) Opneming slechts van rechtmatig verkregen persoonsgegevens (art. 5 lid 1 WPR; art. 7 Wbp) Gebruik van de gegevens moet met het doel van de registratie verenigbaar zijn (art. 6 lid 1 WPR; art. 7 en 9 Wbp) Beperkingen op verstrekking aan derden (art. 11-14 en 18 WPR; art. 8 Wbp) Ad (1) Doelverband Ad (2) Aanwezigheid wettelijk voorschrift Ad (3) Afwezigheid van toestemming van de geregistreerde Inzage- en correctierecht (art. 29-31 WPR; art. 35 e.v. Wbp) Besluit
5.
DE WET BESCHERMING PERSOONSGEGEVENS
77
4.4. 4.5.
65 65 66 66 67 68 69 74
Prof. mr. J.E.J. Prins en prof. mr. J.M.A. Berkvens 5.1. 5.2. 5.3. 5.4. 5.4.1. 5.4.2. 5.5. 5.5.1. 5.5.2. 5.5.3. 5.6. 5.6.1. VI
Inleiding VanWPRnaarWbp Overzicht van de belangrijkste overeenkomsten en wijzigingen Reikwijdte Wbp en definities Reikwijdte De verantwoordelijke Materiele normen en verwerkingsgronden Algemeen Bijzondere gegevens Toestemmingsvereiste Rechten van betrokkenen Algemeen
77 77 80 83 83 87 90 90 91 92 93 93
INHOUD
5.6.2. 5.6.3. 5.6.4. 5.6.5. 5.6.6. 5.6.7. 5.7. 5.8. 5.9. 5.9.1. 5.9.2. 5.10.
Limitering rechten Kennisgeving Kennisneming Correctie Verzet Geautomatiseerde beslissingen Zelfregulering Handhaving De internationale dimensie Export naar derde landen Toepasselijk recht Conclusie
93 94 95 96 96 97 98 98 100 100 101 103
6.
DE WET BESCHERMING PERSOONSGEGEVENS, GEVOLGEN VOOR DE ORGANISATIE EN DE AUTOMATISERING
105
R.J.M. van der Horst 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.6.1.
105 106 108 112 113 114
6.6.2.
Inleiding Begrippen Onderwerpen Organisatie en beveiliging Ethiekcommissie Tot slot Praktisch stappenplan uitvoering Wet bescherming persoonsgegevens Stappen
114 115
7.
PRIVACYREGULERING EN DE AWB
117
Mr. A.E. Schilder 7.1. 7.2. 7.3. 7.3.1. 7.3.2. 7.3.3. 7.3.4. 7.4.
Inleiding Privacy en rechtsbescherming Privacy en handhaving De positie van het College Bescherming Persoonsgegevens Toezichthoudende bevoegdheden van het College Sanctie-instrumenten van het College De functionaris voor de gegevensbescherming Slot
117 117 124 125 127 128 133 134 VII
INHOUD
8.
OVERZICHT WET POLITIEREGISTERS
135
Mr. drs. A.E.B.M. van der Veen 8.1. 8.2. 8.2.1. 8.2.2. 8.2.3. 8.2.4. 8.3. 8.3.1. 8.3.2. 8.3.3. 8.3.4. 8.3.4.1. 8.3.4.2. 8.3.4.3. 8.3.5. 8.3.6. 8.3.7. 8.3.8. 8.4. 8.4.1. 8.4.2. 8.4.2.1. 8.4.2.2. 8.5.
Inleiding Reikwijdte Persoonsgegevens en persoonsregistraties Politieregister: persoonsregistratie voor de politietaak Meldpunt ongebruikelijke transacties Bijzondere opsporingsdiensten Overzicht van de wet Aanleg van registers Inhoud van een register Reglementsplicht Bijzondere politieregisters Tijdelijke registers Register zware criminaliteit Voorlopig register Gesloten verstrekkingenregime Beveiliging Rechten van de geregistreerde College Bescherming Persoonsgegevens Betekenis van de Wbp voor de Wpolr Vervallen van de WPR Wbp naast de Wpolr Informatische relaties tussen politie en andere instanties Wbp en Wpolr binnen de politie Epiloog: de Wbp voor de politietaak?
135 136 136 136 137 138 140 140 141 142 143 143 145 146 147 148 149 150 151 151 154 154 155 157
9.
DE GEMEENTELIJKE BASISADMINISTRATIE PERSOONSGEGEVENS
161
Mr. drs. L.L.EM. Mutsaers 9.1. 9.2. 9.3. 9.3.1. 9.3.1.1. 9.3.1.2. 9.1.3.3 9.3.1.4. 9.3.1.5. VIII
Inleiding Geschiedenis Hoe zit het GBA-systeem in elkaar? Despelers De burger Degemeente Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties De gebruikers en het gebruikersoverleg Het College Bescherming Persoonsgegevens (CBP)
161 161 163 163 163 164 165 165 166
INHOUD
9.3.2. 9.3.3. 9.3.4. 9.4. 9.4.1. 9.4.2. 9.4.3. 9.4.4. 9.5. 9.5.1. 9.5.2. 9.5.2.1. 9.5.2.2. 9.5.2.3. 9.5.2.4. 9.5.3. 9.5.4. 9.5.5. 9.6. 9.6.1. 9.6.2. 9.6.3. 9.7. 9.8. 9.8.1. 9.8.2. 9.8.3. 9.8.4. 9.8.5. 9.9.
Toepasselijk recht De financiering Het vestigingsregister De inhoud van de GBA Welke gegevens worden opgenomen? Van wie worden de gegevens opgenomen? Hoe gescheidt de in- en uitschrijving? Wat zijn de bronnen van de persoonsgegevens? Het gebruik van de GBA Afnemers Derden Verplichte derden Bijzondere derden Vrije derden De basisadministraties in de Nederlandse Antillen en Aruba De ingeschrevene zelf Verplicht gebruik Grenzen aan het gebruik Toezicht, handhaving en rechtsbescherming Toezicht Periodieke audit Rechtsbescherming Andere registers Ontwikkelingen De kwaliteit Homohuwelijk en homoadoptie Een loket voor vreemdelingen Koppeling overheidsprestaties aan een juiste inschrijving in de GBA Toekomstdiscussie GBA Slotbeschouwing
10.
PRIVACY EN WET OPENBAARHEID VAN BESTUUR
166 167 167 168 168 170 170 172 175 176 177 179 180 181 182 183 184 185 187 187 187 188 190 191 191 191 192 193 194 194
197
Mr. A.A.L. Beers 10.1. 10.2. 10.2.1. 10.2.2. 10.2.3. 10.2.4.
Inleiding Privacybescherming als geheimhoudingsgrond Reikwijdte van persoonlijke levenssfeer Procedurele waarborgen Toegestane inbreuken op privacy Niet-toegestane inbreuken op privacy
197 199 201 202 204 207 IX
INHOUD
10.3. 10.3.1. 10.3.1.1. 10.3.1.2. 10.3.1.3. 10.3.2. 10.3.3. 10.3.4. 10.4.
Verhouding tot andere informatieverstrekkingsregels Wet bescherming persoonsgegevens Art. 8, onderc, Wbp Art. 8, onder e, Wbp Art. 35 Wbp Art. 67AWR Wet politieregisters Wet op de inlichtingen-en veiligheidsdiensten Conclusies
210 211 211 212 213 214 215 216 218
1 1.
PRIVACYREGULERING IN THEORIE EN PRAKTIJK: BELASTINGHEFFING
221
Mr. G.J. Zwenne 11.1. 11.2. 11.3. 11.3.1. 11.3.2. 11.3.3. 11.4. 11.5. 11.6. 11.7.
Belastingheffing De taken van de Belastingdienst Het verzamelen van informatie door de Belastingdienst Welke informatie mag de belastingdienst opvragen? Over wie mag de belastingdienst informatie opvragen? Informatieplichten op te leggen aan overheden Verschoningsrechten van informatieplichtigen De informatieverstrekking door de Belastingdienst Sofinummer Ter afsluiting
12.
PRIVACYREGULERING IN THEORIE EN PRAKTIJK: SOCIALE ZEKERHEID
221 221 223 224 227 228 228 230 232 232
235
Mr. B.M.A. van Eck 12.1. 12.2. 12.2.1. 12.2.2. 12.2.3. 12.2.4. 12.3. 12.3.1. 12.3.2. 12.4.
De sector sociale zekerheid Gemeenschappelijke privacybeginselen Rechtmatige gegevensverwerking Doelbinding Transparantie Rechten van de betrokkene Specifieke wetgeving Algemene bijstandswet Organisatiewet sociale verzekeringen 1997 Nieuwe ontwikkelingen
235 237 237 238 239 239 240 240 245 248
INHOUD
13.
PRIVACY EN MEDISCHE INFORMATIE
251
Mr. dr. J. Nouwt 13.1. 13.2. 13.3. 13.4. 13.4.1. 13.4.2. 13.4.3. 13.4.4. 13.4.5. 13.4.6. 13.4.7. 13.5. 13.5.1. 13.5.2. 13.5.3. 13.5.4. 13.5.5. 13.5.6. 13.5.7. 13.6.
Inleiding Het medisch beroepsgeheim Verwerken van medische persoonsgegevens volgens de Wbp Medische privacy in het BW Reikwijdte (art. 7:446 BW) Het medisch dossier (art. 7:454 BW) Recht op vernietiging van gegevens (art. 7:455 BW) Recht op inzage en afschrift (art. 7:456 BW) Verstrekking van gegevens aan derden (art. 7:457 BW) Verstrekking van gegevens ten behoeve van wetenschappelijk onderzoek (art. 7:458 BW) Eenzijdig dwingend recht (art. 7:468 BW) WbpofBW? Overledenen Minderiarigen Medisch-wetenschappelijk onderzoek Bewaartermijnen Correctierecht Informatieplicht Duidelijkheid, eenvoud, rechtszekerheid Samenvatting
251 252 255 258 258 260 261 262 263 265 267 268 268 269 269 269 270 270 271 274
14.
PRIVACY EN WERKPLEK
275
Drs. J.H.J. Terstegge 14.1. 14.2. 14.2.1. 14.2.2. 14.3. 14.3.1. 14.3.2. 14.3.3. 14.4. 14.4.1. 14.4.2. 14.4.3.
Inleiding Verhouding tussen privacyrecht en arbeidsrecht De privacy-paradox Effectuering van het recht op privacy Grenzen aan de gezagsbevoegdheid Het recht op prive-leven Grensgebied prive en werk: controle aan huis Privacy op het werk Regels voor privacybescherming Interne zelfregulering Externe (zelf)regulering Collectieve arbeidsovereenkomsten
275 276 276 277 278 278 279 279 281 282 282 284
XI
INHOUD
14.4.4. 14.4.4.1. 14.4.4.2. 14.4.4.3. 14.5. 14.5.1. 14.5.2. 14.6. 14.7. 14.7.1. 14.7.2. 14.8.
Wettelijke regelingen Wet bescherming persoonsgegevens (Wbp) Ambtenarenwet (Aw) en ARAR Wet op de ondernemingsraden (WOR) Aanstellingskeuringen en ziekteverzuimbeleid Aanstellingskeuringen Ziekteverzuim Videocamera's Digitale telefooncentrales, call monitoring en Internet Digitale telefooncentrales en call monitoring E-mail en internet Slot en aanbevelingen
284 284 287 287 288 288 290 291 294 295 296 298
15.
PRIVACY EN DIRECT MARKETING
301
Mr. A.J.J.T. Singewald 15.1. 15.2. 15.3. 15.3.1. 15.3.2. 15.3.3. 15.4. 15.4.1. 15.4.2. 15.4.3. 15.4.4. 15.4.5. 15.4.6. 15.4.7. 15.5. 15.6. 15.6.1. 15.6.2. 15.7.
XII
Inleiding 301 Bedrijfssectoren 302 Gedragscode 302 Privacy-gedragscode DMSA, Nederlandse associatie voor directmarketing, distance selling en sales promotion 302 Mail & telephone preference service 304 Commissie van toezicht, bestandstoezichthouder 305 De Wet bescherming persoonsgegevens 306 Verenigbaar gebruik en graad van verwantschap 306 Informatieplichtjegens de betrokkene 309 Recht van verzet 310 Recht van verzet en het inserten van folders 312 Bijzondere gegevens 312 Grensoverschrijdend gegevensverkeer 313 Directmarketing van bedrijven gevestigd buiten de Europese Unie 314 DeBezemwet 314 Europese ontwikkelingen 315 Raad van Europa 315 Europese Unie 315 Ter afsluiting 316
INHOUD
16.
INFORMATIEBUREAUS EN BESCHERMING PERSOONSGEGEVENS
317
Prof. mr. J.J.C. Kabel 16.1. 16.2. 16.3. 16.4. 16.5. 16.6. 16.7. 16.8. 16.9. 16.10. 16.11.
16.13. 16.14.
Inleiding Situatie voor de Wet persoonsregistraties Wetshistorie en andere (rechts)bronnen Ratio voor een afzonderlijke regeling Typische kenmerken van informatiebureaus Uitgezonderde verwerkingen Verwerking van losse gegevens Verwerking van gegevens over rechtspersonen Verwerking van objectgegevens Verwerking buiten medeweten van betrokkenen Toetsing van de doeleinden van de gegevensverwerking bij informatiebureaus Het regime van art. 13 WPR en de Wbp Verwatering van de onderzoeksplicht met betrekking tot de juistheid van de op te nemen gegevens Verval van de plicht alleen op verzoek te verstrekken Strengere controle op verenigbaarheid doeleinden van verstrekker en afnemer Plicht tot belangenafweging behouden Protocolplicht vervallen Informatieplichten afgezwakt, maar ogenschijnlijk minder uitzonderingen Verwerking van bijzondere gegevens Zwarte lijsten
334 336 338
17.
ELECTRONIC COMMERCE
339
16.12. 16.12.1. 16.12.2. 16.12.3. 16.12.4. 16.12.5. 16.12.6.
317 318 319 320 322 323 324 325 325 326 328 330 330 331 332 332 333
Prof. mr. R.E. van Esch 17.1. 17.2. 17.3. 17.4. 17.5. 17.5.1. 17.5.2. 17.5.3. 17.5.4.
Inleiding Persoonsgegeven: algemeen Persoonsgegevens: anonimiteit/pseudoniem Het begrip 'verwerking' Rechtmatigheid verwerking Toestemming Gerechtvaardigd belang verantwoordelijke Verwerking onverenigbaar met doeleinden Bijzondere gegevens
339 341 343 345 347 347 349 350 351 XIII
INHOUD
17.6. 17.7. 17.8. 17.9. 17.10. 17.11. 17.12.
Verantwoordelijke Informatieverstrekking aan de betrokkene Rechten van betrokkene Gegevensverkeer met landen buiten de Europese Unie Buitenwettelijke privacyinitiatieven e-commerce Conclusie Literatuur
352 354 355 356 357 359 359
18.
PRIVACY EN NIEUWE TECHNOLOGIE
363
Drs. P.J.M. Kolkman en dr. mr. R. W. van Kralingen 18.1. 18.2. 18.2.1. 18.2.2. 18.2.3. 18.3. 18.3.1. 18.3.1.1. 18.3.1.2. 18.3.1.3. 18.3.2. 18.3.3. 18.4. 18.5.
Inleiding Drie voorbeelden De klantenkaart: een voorbeeld van een loyalty toepassing Het gebruik van technieken voor identificatie op netwerken De asielzoekerskaart Privacybedreigende technieken? Datamining Data-warehousing Datamining Interpretatie Electronic monitoring op internet Biometrie Privacy enhancing technologies Tot slot
363 363 364 364 366 367 367 368 368 369 371 375 377 378
19.
TELECOMMUNICATE EN PRIVACY
379
Mr. G.P. van Duijvenvoorde 19.1. 19.2. 19.2.1. 19.3. 19.3.1. 19.3.2. 19.3.3. 19.4. 19.4.1. XIV
Inleiding Implementatie bijzondere privacyrichtlijn in Telecomrnunicatiewet Privacybescherming in de EG Implementatie in de Nederlandse wetgeving Geen geintegreerde implementatie Reikwijdte van de Wbp Reikwijdte van hoofdstuk 11 Tw Algemene verplichtingen van aanbieders van openbare netwerken of openbare diensten Een algemene zorgplicht
379 380 3 80 382 382 383 386 388 388
INHOUD
19.4.2. 19.5. 19.5.1. 19.5.2. 19.6. 19.6.1. 19.6.2. 19.6.3. 19.6.4. 19.7. 19.8. 19.9.
Beveiliging Verwerking van gegevens over often behoeve van de communicatie Verkeersgegevens Telefoongidsen en informatiediensten Faciliteiten voor abonnees Gespecificeerde nota's Verhindering van doorschakeling Automatische oproepsystemen Nummeridentificatie Toezicht Vooruitblik Enkele afsluitende opmerkingen
389 390 390 392 394 394 394 394 395 398 398 399
20.
PRIVACYREGELS EN DE WBP OP HET INTERNET
401
Mr. E. Schreuders en mr. P. Blok 20.1. 20.2. 20.2.1. 20.2.1.1. 20.2.1.2. 20.2.2. 20.3. 20.4. 20.5. 20.6. 20.6.1. 20.6.2. 20.6.2.1. 20.6.2.2. 20.6.3. 20.6.4. 20.7. 20.8. 20.9.
Inleiding De virtuele samenleving van en op het internet Kenmerken van het internet Kenbaarheid en automatisering Deterritorialisering De partijen op het internet Wat off line geldt, moet ook on line gelden Het recht op privacy als grondrecht De Internationale normen voor gegevensbescherming De Wet bescherming persoonsgegevens Doel en karakter van de Wbp Definities en toepasselijkheid Persoonsgegevens Verwerken, verantwoordelijke en doorvoer De reikwijdte Conclusie over definities en toepasselijkheid Materiele normen Conclusies ten aanzien van de Wbp op het Internet Slot
401 403 403 403 405 406 407 407 409 410 410 411 412 414 416 418 419 421 421
XV
INHOUD
21.
PRIVACY EN MEDEDINGING
425
Mr. G.P. van Duijvenvoorde 21.1. Inleiding 21.2. Gebrek aan harmonisatie belemmert de mededinging 21.2.1. Internationale richtsnoeren 21.2.2. Harmonisatie door EG-regelgeving 21.3. Toepassing van privacywetgeving beperkt de mededinging 21.4. Mededingingsregels en privacy 21.4.1. De mededingingsregels - algemeen 21.4.2. Afspraken inzake de uitwisseling van persoonsgegevens 21.4.2.1. Algemeen toetsingskader 21.4.2.2. Toetsing door de NMa 21.4.3. Misbruik van machtspositie 21.4.3.1. Algemeen toetsingskader 21.4.4. Toetsing door de NMa 21.4.5. Het mededingingsrecht als vangnet 21.5. Privacy van rechtspersonen 21.5.1. Een informationeel zelfbestemmingsrecht voor rechtspersonen? 21.5.2. Herleidbaarheid van gegevens over rechtspersonen 21.5.3. De toepassing van de mededingingsregels 21.6. Afsluiting
22.
425 426 426 427 430 431 431 433 433 435 438 438 439 440 441 441 443 446 447
INTERNATIONALE PRIVACYREGULERING: BELANGEN, PROBLEMEN EN MOGELIJKHEDEN
449
Mr. EA.M. van der Klaauw-Koops en prof mr. J.E.J. Prins 22 A. 22.2. 22.3. 22.4. 22.4.1. 22.4.1.1.
Inleiding Internationale aandacht voor privacy De OESO De Raad van Europa Het verdrag van Straatsburg Inhoud en belangrijkste kenmerken van het Verdrag van Straatsburg 22.4.1.2. De minimumgrondbeginselen 22.4.1.3. Grensoverschrijdend verkeer van gegevens 22.4.2. De aanbevelingen 22.4.3. De raad van Europa en internet 22.4.4. De Nederlandse situatie in relatie tot het verdrag 22.5. De Europese Unie XVI
449 450 451 453 453 455 456 457 458 459 460 460
INHOUD
22.6. 22.6.1. 22.6.2. 22.6.3. 22.6.4. 22.7.
De situatie in de Verenigde Staten De Amerikaanse visie op privacybescherming De positie van de VS ten opzichte van de Europese Unie De overeenkomst als instrument Techniek als instrument De toekomst van internationale privacybescherming
464 464 467 470 471 472
23.
ON LINE INFORMATIE OVER PRIVACY
475
B.M. Gamier
Bijlagen 1. Wet bescherming persoonsgegevens 2. Richtlijn 97/46/EG 3. Richtlijn 97/66/EG
483 503 525
Trefwoordenregister
535
XVII