A utomatisering en de WPR / WBP H.J.M. Keller RI Beëdigd Informaticadeskundige, Makelaar Hard- en Software. december 1997, Utrecht
1
Inleiding 1.1 Algemeen 1.2 De controller
2
Opbouw artikel
3
Ontwikkelingen 3.1 Ontwikkelingen in de techniek 3.2 Consequenties van de technische ontwikkelingen
4
Wat valt onder de WPR 4.1 Algemeen 4.2 Geautomatiseerde gegevensverwerking a Besturingssystemen b Programmatuur gericht op datacollectie c Gegevensvastlegging van procesen/procedures d Pasjes- en controlesystemen 4.3 Koppelingen van bestaande gegevens / gegevensverzamelingen
5
Eisen vanwege de WPR 5.1 doelbinding 5.2 Het redelijk belang 5.3 Invalshoeken voor het "redelijk belang", de rollen/hoedanigheden van de organisatie 5.4 Wijzen van doelbepaling
6
Invulling door organisaties 6.1 Vraagstellingen voor de organisatie 6.2 Bijdrage softwareleveranciers
7
Overwegingen bij de feitelijke toepassing van eisen vanuit de WPR
Automatisering en de WPR
1.
Inleiding a.
Algemeen In bedrijven worden steeds meer gegevens elektronisch toegankelijk gemaakt. In het recente verleden werden met name administratieve processen geautomatiseerd en daarmee administratieve gegevens vastgelegd. De automatisering strekt zich echter hoe langer hoe meer uit over alle bedrijfsfuncties en hierdoor worden steeds meer en zeer uiteenlopende gegevens vastgelegd. Naast de al genoemde administratieve gegevens bestaat er inmiddels een zeer groot aantal geautomatiseerde registraties. Doordat de groei geleidelijk en steeds van onderwerp naar onderwerp is gegaan, is men zich doorgaans weinig bewust van de hoeveelheid gegevens over personen die een willekeurige organisatie inmiddels vastlegt. Bovendien is de leiding van een organisatie zich niet bewust van het feit dat bepaalde maatregelen gepaard gaan met vastlegging van gegevens, vaak van persoonlijke aard. Hierdoor zijn organisaties in een situatie terecht gekomen waarbij zij niet voldoen aan de eisen van de WPR en zij hiermee in strijd handelen.
b.
2.
De controller De controller is bij uitstek degene die de gegevens en informatie omtrent de bedrijfsproceessen beoordeelt. Hij is ook degene die beoordeelt of de AO/IC voldoet aan de daaraan te stellen eisen. Deze eisen betreffen ook wettelijke voorschriften en regelingen. In deze zin is de WPR van toenemend belang voor de controller. Controllers dienen goed inzicht te hebben in deze problematiek om geëigende maatregelen te kunnen nemen en het management adequaat te kunnen voorlichten.
Opbouw artikel Organisaties komen, als zij hierop niet bedacht zijn, ongemerkt in strijd met de WPR. Hier liggen twee oorzaken aan ten grondslag: (1) Er onstaan meer en vaak onbewust persoonsregistraties; en (2) Door de toenemende complexiteit van programmatuur en de daaraan ten grondslagliggende datastructuren, komen bedrijven in een situatie dat ze haast inherent met de WPR in strijd zijn. Om dit te illustreren twee voorbeelden:
Een voorbeeld hiervan is de beveiliging van gebouwen. Op het niveau van de leiding wordt beslist dat het gebouw en de belangrijkste ruimtes beveiligd moeten worden door middel van een pasjessysteem. Dit wordt binnen de organisatie overeenkomstig uitgevoerd. Deze maatregel gaat tegenwoordig echter, door toepassing van geautomatiseerde systemen, direct gepaard met de vastlegging van iedere actie en dus van wie, waar, wanneer in het gebouw was en hoe deze persoon van ruimte naar ruimte ging. Dit is registratie in de zin van WPR. Een ander voorbeeld zijn de telefooncentrales. De oude is aan vervanging toe, of de organisatie gaat verhuizen. De beslissing over een nieuwe centrale wordt veelal terloops genomen en hooguit op kosten beoordeeld. De moderne telefooncentrales bieden echter allerlei faciliteiten om gedetailleerd vast te leggen welke gesprekken door welke personen zijn gevoerd. Eventueel kunnen de gesprekken ook eenvoudig zelf worden vastgelegd. Hierdoor ontstaan opnieuw geautomatiseerde registraties. Met name de aandacht voor de gegevens van het eigen personeel wordt steeds belangrijker omdat: 1) de mogelijkheid om gegevens te verzamelen in hoog tempo toeneemt; 2) er registraties van personen ontstaan als "nevenprodukt" van andere bedrijfsprocessen; 3) systemen steeds verder geïntegreerd raken (doelbewust of niet). Om dit te illustreren kunnen de bovengenoemde voorbeelden als vervolgvoorbeeld dienen: De registratie, zowel van het pasjessysteem als van de telefooncentrale, vallen onder het regime van de WPR (dus: doelbepaling, beheerder, beveiliging etc). Dit komt echter in een nog ander perspectief te staan als we bedenken dat de gegevens van het beveiligingssysteem en van de telefooncentrale makkelijk samen te voegen zijn en dus een veel vollediger beeld geven van "het doen en laten" van een persoon. Bovendien werden en worden er reeds een aantal gegevens altijd bijgehouden: met uitzondering van de PC houdt bijna ieder besturingssysteem van computers gedetailleerd bij wie waarmee op welk tijdstip en hoelang bezig is geweest. Ditzelfde geldt voor de fax, e-mail, etc. Hierdoor is op eenvoudige wijze het beeld verder te detailleren en ontstaat er een volledig beeld waar iemand op een dag zoal mee bezig is geweest. Dit voorbeeld is zeker geen futuristisch beeld, de meeste organisaties bezitten reeds dit soort gegevens. In veel organisaties echter is het management hiervan (nog) niet op de hoogte, al was het maar omdat veel van deze registraties binnenkomen als "nevenprodukt" van andere functies. De Registratiekamer, als hoeder van de persoonsgegevens, heeft uitgebreid over de bovenstaande problematiek gepubliceerd. In dit artikel wordt onder meer uit deze publicaties geput.
3.
Ontwikkelingen a.
Ontwikkelingen in de techniek De ontwikkeling van de informatietechnologie heeft het afgelopen decennium een hoge vlucht genomen op de terreinen waarop zij kan worden toegepast. Binnen organisaties raakt zij inmiddels bijna alle processen en het eind van de toepassingsmogelijkheden is nog niet in zicht. Uit oogpunt van rationalisatie, maar ook omdat de technologie “vanzelf” in huis komt (functionaliteit die gewoon wordt "meegeleverd") gaan op een zekere termijn alle organisaties mee in dit proces van automatisering. Vaak gebeurt dit op een niet duidelijk zichtbare manier omdat een reeds bestaand apparaat naar functie gelijk blijft, maar de onderliggende technologie geheel gewijzigd en geautomatiseerd wordt. Een voorbeeld hiervan zijn kassa’s in de winkels. De "kassafunctie" is nog steeds gelijk en ook de verschijningsvorm is niet wezenlijk veranderd; maar de technologie is totaal veranderd. Was de kassa eerst een uitgebreide telmachine, nu is het een computerterminal die rechtstreeks in verbinding staat met de andere geautomatiseerde bedrijfssystemen. Door deze verandering is de gegevensverwerkende en gegevensvastleggende functie fundamenteel veranderd: van een (papieren) telstrook naar een apparaat dat rechtreeks voeding geeft aan de financiële administratie, de voorraadadministratie, de personeelsadministratie, de verkoopadministratie en wellicht nog andere deelsystemen. Zo zijn er naast de bekende administratieve toepassingen een veelheid van toepassingen bijgekomen: tal van pasjessystemen, computergestuurde productiesystemen, kassa’s, tachografen, telefooncentrales, fax, e-mail, internet, klantvolgsystemen, personeelsvolgsystemen, betaal- en overboekingssystemen, electronische agenda’s etc. Tevens staan er nog vele in de stijgers: verkeersvolgsystemen, chipkaarten voor medische gegevens en bevolkingsgegevens.
b.
Consequenties van de technische ontwikkelingen Alle bovengenoemde systemen hebben één principe gemeen: ze leggen gegevens vast. Vaak naar inhoud, maar nagenoeg ook altijd wie, wat, waar en wanneer en ze zijn daarmee dus persoonsgerelateerd. Ook zijn al deze gegevens doorgaans op eenvoudige wijze aan elkaar te relateren, waaruit zodoende weer nieuwe gegevensverzamelingen ontstaan. Voor zover deze gegevens persoonsgerelateerd zijn, vallen deze registraties onder de WPR. Anders gezegd, door alleen al het volgen van de technische ontwikkelingen ontstaat er persoonsgerelateerde registraties. Organisaties realiseren zich niet dat ze hierdoor aan WPR-bepalingen moeten voldoen en komen dientengevolge hiermee in conflict of zijn nalatig, zonder dat ze dit zouden willen.
4.
Wat valt onder de WPR
a.
Algemeen Waarneming en registratie Aan registratie gaat waarneming vooraf. Waarneming is een uitgebreid terrein van dagelijkse toevallige waarneming tot en met het gericht observeren en conroleren van personen. Bovendien kan dit waarnemen plaatsvinden op vele verschillende terreinen; in de privésfeer, in de publieke omgeving, van klanten, van personeel etc. Niet alle waarneming is gerechtvaardigd. Bijvoorbeeld waarneming door derden in de privésfeer, of het permanent volgen van personeel met videocamara’s wordt in zijn algemeenheid als ongewenst aangemerkt. Hoewel wij in het kader van dit artikel de problematiek van de rechtmatigheid van waarnemen/observeren/controleren niet nader zullen uitwerken, moge het wel duidelijk zijn dat hierin een eerste restrictie ligt met betrekking tot.het registreren van persoonsgegevens. Immers, wat niet waargenomen behoort te worden behoort evenzeer niet geregistreerd te worden. Ook de WPR handelt niet over het waarnemen. Dus, het meeluisteren met een telefoongesprek (al dan niet rechtmatig) valt niet onder de WPR, echter zodra deze gesprekken worden vastgelegd vallen de resulterende gegeven (bestanden waarin het gesprek is opgeslagen) wel onder de WPR. Registratie van “tot een persoon herleidbare gegevens” Onder de Wet op de persoonsregistraties worden twee centrale definities gegeven voor hetgeen valt onder de wet: Persoonsgegeven: een gegeven dat herleidbaar is tot een individueel natuurlijk persoon. Persoonsregistratie: een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens is aangelegd. De twee belangrijkste elementen van de definitie van persoonsregistratie, samenhangende verzameling en doeltreffende raadpleging, zijn elementen die behoren tot het fundament van de automatisering en zijn dus feitelijk altijd van toepassing. Praktisch gesteld beslaat de WPR dus ieder geautomatiseerd gegeven betreffende perso(o)n(en). Belangrijk hierbij is om op te merken dat door de term "herleidbaar" in de definitie van het persoonsgegeven, uitdrukkelijk is inbegrepen de gegevens die tot stand kunnen komen door koppeling van bestanden. Met de huidige ontwikkelingen met betrekking tot de koppeling van computers en netwerken krijgt de term "herleidbaar" een toenemend belang. In de navolgende paragrafen zal een overzicht worden gegeven waar we persoonsgegevens kunnen vinden in concrete informatiesystemen.
b.
Geautomatiseerde gegevensverwerking
In het bovenstaande zijn reeds een heel aantal voorbeelden gegeven van plaatsen waar persoonsgegevens geautomatiseerd worden geregistreerd. Om meer inzicht te krijgen waar geautomatiseerde gegevensverzamelingen aanwezig kunnen zijn is het goed om het volledige terrein op te splitsen in een aantal deelgebieden. Deze opsplitsing heeft slechts een pragmatisch karakter, bedoeld voor een beter overzicht. i. Besturingssystemen Besturingssystemen zijn in iedere computer, maar ook in netwerken of computercomponenten, aanwezig. Het besturingssysteem is programmatuur die een brugfunctie vervult tussen de programmatuur waar de gebruiker mee werkt en de fysieke componenten van de computer. Daarnaast heef het besturingssysteem ook een regelende taak: werken de interne componenten goed samen, maar ook wie doet wat en wanneer en waarmee. Met name deze laatste taak is in verband met de WPR interessant. Met name de computersysemen die ingericht zijn op gebruik door meerdere personen (al dan niet met behulp van een netwerk) leggen in een bepaalde mate persoonsgegevens vast. Automatiseerders spreken dan van "logging". De mate waarin dit gebeurt is voornamelijk afhankelijk van de instellingen die door het systeembeheer in het besturingssyteem worden aangebracht. Door het besturingssysteem worden twee typen gegevens vastgelegd: wie mag wat (de autorisatiestructuur) en wie doet wat, waneer en voor hoelang. Afhankelijk van de instelling in de computer kunnen deze gegevens grofmazig zijn (welk programma wordt door wie gestart) of zeer fijnmazig, (wie veranderde welke gegevens, op welk moment in welke andere gegevens). Deze gegevens zijn registraties in de zin van de WPR: het zijn systematische gegevensverzameling met tot personen herleidbare gegevens. Doordat deze gegevens zich bevinden op "het systeemniveau" en meestal (een tamelijk beperkte hoeveelheid) technische kennis nodig is om ze te gebruiken, treed de aanwezigheid van deze gegevens niet op de voorgrond. Menig personeelsmanager weet niet wat hij/zij die dienaangaande in huis heeft. In dit verband mag internet niet onvermeld blijven. Wat de gebruiker 'ziet' van internet is een tamelijk dunne gebruiksschil om een omvangrijk en complex 'besturingsmechanisme / besturingssysteem' heen. Binnen dit "besturingssyteem" wordt als vanzelfsprekend uitgebreid vastgelegd wie wat doet. ii. Programmatuur gericht op datacollectie Hieronder wordt begrepen alle programmatuur die rechtstreeks bedoeld is voor het vastleggen van (persoons)gegevens en dan ook duidelijk als zodanig herkenbaar is, al is het maar door de naamgeving: personeelssysteem, klantregistratiesysteem, verenigingsadministratie, mailingsysteem etc. Omdat deze systemen duidelijk gericht zijn op het vastleggen, verwerken en representeren van persoonsgegevens is van meet af aan onderkend dat ze onder de WPR vallen. Dit betekent echter niet dat ook direct duidelijk is welke gegevens(verzamelingen) deze systemen bevatten en nog minder hoe deze gegevensverzamelingen zich verhouden tot
de andere gegevens die op een computer aanwezig (kunnen) zijn. Door uitbouw van bestaande systemen naar andere (organisatie)functies kan een hoge mate van vervlechting optreden: (....) maar de ontwikkeling van de huidige personeelsinformatiesystemen neigt in de richting van toenemende vervlechting. Het Softwarejaarboek van 1994 biedt software voor dergelijke systemen aan, die steeds meer en ook niet tot het traditionele personeelswerk behorende functies ondersteunen, zoals tekstverwerking, planning, interne en externe communicatie (agenda's, afspraken, relaties en adressen, memo's, notities e.d.). Ook kunnen deze systemen steeds makkelijker worden gekoppeld aan andere informatiestromen, zoals bijvoorbeeld produktie-informatiesystemen. Een koppeling met de salarisadministratie ligt voor de hand, die met registraties voor bedrijfsbeveiliging minder en die met de kassaregistratie van de bedrijfskantine in het geheel niet. [box 1]
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
iii. Gegevensvastlegging van procesen/procedures Door de toenemende mate van automatisering worden steeds meer processen binnen organisaties geautomatiseerd. Veelal worden van deze processen gegevens vastgelegd over persoon, tijdstip en inhoud van het betreffende proces. Omdat deze gegevensverzamelingen als het ware steeds als "bijproduct" van het geautomatiseerde proces binnen zijn gekomen, is er ongemerkt een grote hoeveelheid van "geautomatiseerde persoonsregistraties" ontstaan. Voor technici is dit geen nieuw gegeven, zij wisten het al jaren, maar zij hebben hun hoofd (terecht) niet altijd bij de WPR. Hierdoor produceren bijna alle moderne geautomatiseerde processen "persoonsregistraties": de fax, de e-mail, de telefooncentrale, de kantine-pasjes, planningssytemen (w.o. electronische agenda’s), antwoordapparaten, etc. iv. Pasjes- en controlesystemen Een fenomeen dat de laatste jaren een hoge vlucht neemt zijn de systemen die gebaseerd zijn op pasjes (al dan niet uitgerust met een "chip"). Deze zijn reeds lang in gebruik bij beveiligingssystemen, daarna hebben ze hun intrede gedaan op tal van consumentensectoren, maar tegenwoordig zijn ze ook ruim in gebruik bij organisaties intern. Bij deze laatste moet naast de beveiligingspasjes gedacht worden aan systemen voor parkeren, kantine en koffiegebruik, om te tanken en/of de bedrijfsauto’s te kunnen gebruiken etc. Al deze vormen van pasjes hebben gemeen dat registraties aangelegd (kunnen) worden op basis van individuele en persoonsgebonden acties.
“Door het open karakter van een ziekenhuis is criminaliteitsbestrijding een lastige opgave. (...) Verplicht dragen van een pas zou de herkenbaarheid van (on)bevoegden kunnen vergroten. Ervaringen elders hadden echter geleerd dat invoering van een identificatiepas zonder extra functies niet zinvol zou zijn, omdat de medewerkers geen gehoor zouden geven aan de verplichting tot het dragen van de pas. Daarom werd voor een optie gekozen, waarbij de pas nodig is voor diverse belangrijke verrichtingen in het ziekenhuis. Zo is het onmogelijk zonder pas in het restaurant iets te verkrijgen. Ook het gebruik van koffie-automaten is niet mogelijk. Tenslotte is de pas nodig om zich van dienstkleding te kunnen voorzien en om toegang tot bepaalde ruimtes te krijgen. Het is dus duidelijk dat medewerkers in hun dagelijkse activiteiten zeer gehandicapt zijn als ze de pas niet bij zich hebben.” [box 2]
c.
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Koppelingen van bestaande gegevens / gegevensverzamelingen Zoals opgemerkt valt ook het aan elkaar koppelen van verschillende gegevensbestanden onder de WPR. Onder het koppelen van gegevensbestanden wordt verstaan dat (onderdelen uit) twee of meer bestanden worden samengevoegd teneinde nieuwe inzichten of nieuwe informatie te verkrijgen. Zo wordt steeds vaker gebruik gemaakt van een pasjessysteem voor de kantine en koffie-automaten. De hieruit resulterende gegevens kunnen makkelijk gekoppeld/vergeleken worden met bijvoorbeeld urenstaten en/of productiviteitsgegevens. Hieruit kunnen nieuwe inzichten ontstaan veelal weer vastgelegd in nieuwe bestanden. In dit verband kunnen opnieuw de ontwikkelingen met internet niet onvermeld blijven. Door de omvang van deze ontwikkeling, mede door de opkomst van "intranet" (een intern internet met koppelingen met Internet) worden in hoog tempo koppelingen (interfases) ontwikkeld, die tal van verschillende systemen toegankelijk maken via internet. Dit betekend dat het steeds makkelijker wordt om vanuit iedere willekeurige locatie en eventueel voor ieder willekeurig persoon, om toegang tot deze zeer diverse systemen te verkrijgen. Hierbij dient gewezen te worden op ontwikkelingen die dit "koppelen" sterk in de hand werken. In het (automatiserings-)spraakgebruik gaat het dan meestal niet over "koppelen" maar over "integreren". Het streven naar integratie van systemen en gegevens. Uit oogpunt van efficiëntie is het voor opdrachtgevers en automatiseerders een belangrijke doelstelling om informatiesystemen te "integreren". Hiermee wordt dan bedoeld dat verschillende onderdelen van programmatuur en de onderliggende gegevensstructuur aan zodanige standaarden voldoen dat door deze standaardisatie het mogelijk is om snel nieuwe applicaties te maken op basis van een nieuwe dwarsdoorsnede van de gegevensverzameling. Maar ook nieuwe gegevens kunnen direct gebruikt worden in samenhang met de reeds aanwezige gegevens. Bovendien
kunnen "opvraagtalen" optimaal gebruik maken van de aanwezige gegevens en steeds andere "selecties" genereren. Een andere vorm van "integreren" is dat niet uitgegaan wordt van een gestandaardiseerde vorm van programmatuur en gegevens, maar dat er "interfaces" gemaakt worden. Hierbij worden dan alle bestaande technische en logische verschillen als een feitelijkheid genomen, maar worden vertaalprogramma’s geschreven die de gegevens over en weer beschikbaar maken tussen verschillende systemen. De koppelingen die op deze wijze ontstaan kunnen passief zijn (de resultaatgegevens worden niet automatisch aangepast als de brongegevens wijzigen) of actief/dynamisch (de resultaatgegevens worden wel automatisch aangepast als de brongegevens wijzigen) Gestreld kan worden dat dit streven naar integratie heel algemeen is en tot doel heeft alle bestaande gegevens snel en makkelijk toegankelijk te maken op gebruikersniveau, onafhankelijk van technische infrastructuur of locatie. Bij dit koppelen van gegevens moeten twee aspecten steeds bekeken worden: de rechtmatigheid van de koppeling als zodanig, maar vanzelfsprekend ook eventueel nieuwe bestanden die alsgevolg van deze koppeling (kunnen) ontstaan.
5.
Eisen vanwege de WPR a.
doelbinding Kern van de WPR is dat persoonsgegevens niet zomaar geregistreerd mogen worden. Er moet een redelijk belang zijn voor degene die wil registreren. Dit belang dient vastgelegd te zijn in een eenduidig doel van de registratie. Of, zoals de WPR het zelf verwoordt in art. 4: "Een persoonsregistratie wordt slechts aangelegd voor een bepaald doel waartoe het belang van de houder redelijkerwijs aanleiding geeft". Het belang van deze “doelbinding” is gelegen in het feit dat wanneer een registratie een duidelijk doel heeft, er een toetsingskader onstaat waarbinnen de rechtmatigheid van de registratie, de noodzaak en de kwaliteit van de ingezette middelen (aard en inhoud van de registratie zelf) en de overige omstandigheden toetsbaar worden. Binnen deze opzet zijn vooral de volgende toetsingsmogelijkheden aanwezig: < legitimiteit van de doelstelling en/of de registratie < bepaling of de registratie een redelijk belang dient (zie volgende paragraaf) < legitimiteit van de doelstelling en/of de registratie < toetsing van de legitimiteit van de voor de registratie noodzakelijk data-aquisitie < inherentie van doel en middelen: dienen de middelen (de registratie en de daaraan vorafgaande data-aquisitie) het doel < de redelijke verhouding tussen doel en middel (is het middel niet te zwaar / is een minder ingrijpende methode denkbaar) < toetsing van de mate waarin vorm wordt gegeven aan de overige randvoorwaarden, gerelateerd aan (het gewicht van) de doelstelling (is
bijvoorbeeld het beveiligingsniveau afdoende gezien de aard van de vastgelegde gegevens) Daarnaast worden verplichtingen opgelegd aangaande de kenbaarheid door geregistreerde en de integriteit (juistheid en volledigheid) van de gegevens. De overige onderwerpen die binnen de WPR behandeld worden hebben voornamelijk tot doel deze pijlers te schragen.
b.
Het redelijk belang De essentie van de bepaling van het belang zit vanzelfsprekend in het woord "redelijkerwijs”. Hierover het volgende: Allereerst dient opgemerkt te worden dat er een plicht is ontstaan om vooraf vast te stellen te stellen dat er "een redelijk belang" aanwezig is. Anders gezegd "je mag geen registratie aanleggen tenzij (..)”. Dit impliceert tevens dat alle registraties die "tot een persoon herleidbare" gegevens bevatten, gemotiveerd dienen te zijn. Als tweede kan opgemerkt worden dat voor organisaties in het algemeen zal gelden dat het belang om gegevens te verzamelen en vast te leggen, afgeleid zal moeten zijn van "het doel" van de organisatie zelf. Uit dit doel kunnen twee typen belangen voortkomen: 1) het belang om gegevens te verzamelen die direkt te maken hebben met het doel van de organisatie (zo zal een verkooporganisatie bijvoorbeeld gegevens willen vastleggen van klanten en van markten); 2) het belang dat voortkomt uit het functioneren van de organisatie zelf (diezelfde verkooporganisatie zal ook gegevens willen vastleggen in verband met haar taak als werkgever, maar ook over de activiteiten van haar werknemers, bijvoorbeeld de omzet per verkoper. Echter door de eis van "het redelijke belang" is het die verkooporganisatie niet zondermeer toegestaan om een registratie aan te leggen ....); Als derde tenslotte, zal de werking van het begrip "redelijk" verduidelijkt moeten worden. De term "redelijk" verondersteld een maatstaf. Door de open formulering van de wettekst wordt echter tegelijkertijd verondersteld dat er meerdere maatstaven zijn. Met andere woorden; wat in de ene situatie redelijk is, hoeft in een andere situatie niet zo te zijn. In het begrip 'redelijkerwijs' ligt een belangenafweging besloten: de aanleg van de persoonsregistratie moet een geschikt middel zijn om het daarmee beoogde doel te bereiken. Voorts moet de registratie in redelijke verhouding tot dat doel staan terwijl het doel ook niet met een minder ingrijpend middel kan worden bereikt, bijvoorbeeld door het bieden van nadere waarborgen. [box 3]
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Zo kan het vastleggen van telefoongesprekken soms wel en soms niet te rechtvaardigen zijn: In situaties van telefonische verkoop met een groot belang en een prompte uitvoering (bijvoorbeeld telefonische beursorders) kan het vastgelegde gesprek een noodzaakelijk bewijsmiddel zijn. Als de telefonische verkoop echter gevolgd wordt door een schriftelijke bevestiging is nagenoeg geen noodzaak tot het opnemen van dergelijke gesprekken. Aan de open formulering van het redelijk belang kleven voor- en nadelen. De voordelen zijn dat het goed mogelijk is om situatie-specifieke afwegingen te maken die bovendien extern toetsbaar zijn. Het nadeel is dat er vele malen opnieuw een afweging gemaakt moet worden. Immers, een organisatie heeft veel deelbelangen en langzamerhand worden alle deelbelangen geraakt door automatisering en de daarmee gepaard gaande (persoons)registraties. En ieder deelbelang kent zijn eigen doelstelling en daarmee zijn eigen normstelling. Daar komt nog bij dat de normstelling niet alleen beïnvloed wordt door het gestelde (interne) doel. Hier spelen ook externe invloeden een rol. Hierbij moet gedacht worden aan "wat men aanvaardbaar vindt" maar vooral ook door wetgeving op bepaalde terreinen. Het arbeidsrecht bijvoorbeeld legt eisen op aan organisaties die zowel de registratie als de verstrekking van gegevens betreffen. Om deze problematiek enigszins hanteerbaar te maken kan het aanbrengen van een ordening een hulpmiddel zijn. Hierbij is het bruikbaar om te kijken naar de verschillende "rollen" die een organisatie vervuld. Het zal dan blijken dat per rol aanzienlijk meer duidelijkheid te geven is. Dit zal in de volgende paragraaf worden uitgewerkt.
c.
Invalshoeken voor het "redelijk belang", de rollen/hoedanigheden van de organisatie Een organisatie vervult verschillende, al dan niet zelf gekozen, rollen. Ieder van deze rollen kent een eigen handelingskader: In het volgende overzicht is een onderverdeling naar rollen gemaakt, dat als juridisch handvat kan dienen bij het toetsen van de rechtmatigheid van een registratie alsook van de noodzaak en de kwaliteit van ingezette middelen.
'verkoper'
werkgever
C
C
Hoedanigheid werkgever wordt voor een belangrijk deel bepaald door arbeidsovereenkomst met personeel en de hieruit voortvloeiende verplichtingen
C
Registraties komen voort uit aard van overeenkomst en uit wettelijke verplichtingen
C
In de hoedanigheid van werkgever is er een veel duidelijker kader voor de bepaling van "het redelijk belang". Immers, aan de verhouding tussen werkgever en werknemer ligt een overeenkomst ten grondslag en daarmee samenhangend wettelijke regelingen en cao’s. Hiermee zijn rechten en plichten vrij duidelijk en is er ook een kader aanwezig om te bepalen wat het redelijk belang van de werkgever vergt.
C
Bijna iedere organisatie heeft belang bij externe betrekkingen: klanten / doelgroepen / cliënten. De moeilijkheid hierbij is om te bepalen wanneer er sprake is van (redelijk belang van) registratie in de zin van WPR Er zijn hiertoe nog maar weinig algemene kaders voorhanden. Veel zal afhangen van jurisprudentie. De Registratiekamer schijnt hierop te wachten en geeft vooralsnog voorbeeldenderwijs voorlichting
C
Uitgangspunt is het grondwettelijk vastgelegde recht op privacy, dat zich echter moeilijk in algemene termen laat vangen
C
Daarom wordt de nadruk gelegd op ‘zorgvuldigheid’ en ‘beveiliging’
C
In de rol van 'verkoper' speelt dus met name de tegenstelling: het recht van organisaties om zich te profileren en belangen na te streven, versus het recht van het individu op eigen leefomgeving en bescherming tegen manipulatie
bestuurder
uitvoerder overheidsbeleid
C
In de hoedanigheid van bestuurder streeft men naar het doelgericht en efficiënt inzetten van mensen en middelen: noodzaak processturing en procescontrole
C
C
Belang van registratie en analyse van deze gegevns geldt met name voor grotere organisaties
C
Bescherming van bezit en/of belangen vereist ook registratie
Overheid legt organisaties in toenemende mate verplichtingen op die meer verband houden met overheids beleid dan de bedrijfsvoering van organisaties (ARBO-wet, terugdringing ziekteverzuim en arbeidsongeschiktheid, Wet op identificatieplicht, etc.). Hierdoor moeten gegevens verzameld worden die anders wellicht niet geregistreerd zouden worden. Maar deze gegevens komen daarmee ook binnen een organisatie beschikbaar
C
In deze situaties is het steeds de vraag hoever de organisatie kan/mag gaan in registreren van de gedragingen van personen. De WPR geeft hiervoor weinig handvatten. Dit betekent echter niet automatisch dat het meeste is toegestaan.
C
Op deze informatie zijn weliswaar alle verplichtingen vanuit de WPR van toepassing, maar een ruimer gebruik dan het in de wet bedoelde is daarmee niet uitgesloten
C
Redelijk belang is door overheid bepaald, echter voor zover het gebruik zich beperkt tot het door de wet bepaalde
C
Doelen en middelen vertalen zich in praktijk naar concrete taken. Hiervan is het beter te beoordelen of een bepaalde (vorm van) registratie een geëigend middel is, of dat er minder zware middelen ingezet kunnen worden
Alhoewel de WPR in veel gevallen maar weinig concrete handvatten biedt ter beoordeling van het redelijk belang, geeft zij wel richtlijnen aan. Met de invoering van
het Nieuw Burgerlijk Wetboek zijn rechtspersonen namelijk minder gebonden aan het dwingend recht, maar laat wetgever bewust meer ruimte open aan rechtspersonen om hun onderlinge rechtsbetrekkingen naar eigen inzicht te regelen. Daarbij dienen de zogenoemde “open normen” in acht te worden genomen. Deze beginselen zoals “redelijkheid en billikheid” en “hetgeen in het maatschappelijk verkeer betaamt”, zijn onder meer van toepassing op de rechtsbetrekking tussen een rechtspersoon en het betrokken personeel. Toegepast op de WPR betekent dit dus dat, waar de WPR niet of nauwelijks voorziet in handvatten ter beoordeling van het redelijk belang van persoonsregistratie, er toch uitspraak kan worden gedaan over de rechtmatigheid van bijvoorbeeld waarneming voorafgaand aan registratie: Voor waarnemingen door de werkgever of het prijsgeven van informatie door de werknemer zonder dat verkregen gegevens worden vastgelegd in een persoonsregistratie, geeft het algemene grondwettelijke kader aanknopingspunten voor toetsing. Feiten en gedragingen die behoren tot de ruimtelijke of relationele prive-sfeer van de werknemer behoren niet te worden waargenomen door de werkgever, tenzij daartoe een noodzaak bestaat en zo ja, dan dient te worden afgewogen of het gekozen middel niet te zwaar is gelet op die noodzaak en of geen minder indringende methode voorhanden is. Op grond van het geldende recht kunnen dergelijke inbreuken onrechtmatig zijn. [box 4]
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Als ilustratie de volgende voorbeelden: In de KOMA-zaak 12 bepaalde de rechter, dat het zonder duidelijke noodzaak blootstellen van werknemers aan een mogelijke langdurige en gerichte observatie met videocamera's uit oogpunt van normale menselijke bejegening niet aanvaardbaar is. Door een videobewakingssysteem in gebruik te nemen zonder dat de noodzaak daartoe aannemelijk kon worden gemaakt handelde KOMA in strijd met de verplichting om zich als een goed werkgever te gedragen (1638z BW). [box 5]
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Een school die een leraar tijdens diens ziekteverlof liet observeren door een privé-detective had dit als goed werkgever moeten nalaten: het doen controleren van de werknemer buiten diens weten door een detectivebureau was een onevenredige en ongepaste maatregel, die slechts aanvaardbaar zou zijn onder zeer bijzondere omstandigheden. Daarvan was in casu geen sprake. [box 6]
d.
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Wijzen van doelbepaling Omdat het doel voort dient te komen uit /gerelateerd is aan het belang dat de registratie moet vertegenwoordigen is de onderverdeling uit de vorige paragraaf ook
een typologie van soorten doelen die onderkend kunnen worden binnen de organisatie. Registraties die in éénzelfde categorie vallen, zullen ook een bepaalde mate van overeenstemming hebben. In principe gaat de WPR uit van doelbepaling per registratie. Voor verschillende soorten registraties zijn door de Registratiekamer verschillende voorbeelden gemaakt. Gezien de (toenemende) complexiteit van programma’s of stelsels van programma’s, zal zich vaak de vraag voordoen of er sprake is van één of van meerdere registraties in de zin van de wet. Als voorbeeld kan hier aangehaald worden wat de Registratiekamer hierover zegt m.b.t. personeelsinformatiesystemen. (...) De werkgever heeft op grond van de WPR tot op zekere hoogte zelf in de hand hoe hij zijn gegevensbestanden wil inrichten, mits wordt voldaan aan de eisen die de WPR stelt. Het benoemen van persoonsregistraties, moet wel in overeenstemming zijn met de werkelijkheid. De feitelijke situatie moet juist worden weergegeven. Twee benaderingsmogelijkheden lijken daarbij mogelijk: 1
Binnen het personeelsinformatiesysteem of daarbuiten worden verschillende registraties met een enkelvoudige doelstelling onderscheiden, zoals bijvoorbeeld de loonadministratie, de ziekteverzuimregistratie, toegangsregistratie, de ARBO-ongevallenregistratie e.d. In bijlage 2 is een voorbeeld opgenomen van een inventarisatie van afzonderlijke persoonsregistraties bij een grote industriële werkgever.
2
Het personeelsinformatiesysteem wordt beschouwd als één registratie met een 'koepeldoelstelling'. Het doel van het systeem is dan multifunctioneel. In dat geval dient te worden getoetst aan de hand van de subdoelstellingen, dat wil zeggen aan de hand van de concrete taken of functies die met een bepaalde verzameling gegevens worden ondersteund. Welke benadering de werkgever ook kiest, het mag niet leiden tot een situatie waarin in strijd wordt gehandeld met de materiële normen van de wet.
[box 7]
uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
Voor de volledigheid moet hierbij aangevuld worden dat m.b.t. personeelsinformatiesystemen in de geciteerde nota de voorkeur uitgaat naar meerdere enkelvoudige doelstellingen. 6.
Invulling door organisaties a.
Vraagstellingen voor de organisatie In het kader van de bovengeschetste ontwikkelingen dienen zich voor de meeste organisaties als eerste de vraag aan:"wat hebben we allemaal in huis". Uit de
bovengenoemde voorbeelden zal duidelijk zijn geworden dat dit al gauw vele malen meer is dan op het eerste gezicht het geval lijkt te zijn. Als deze inventarisatie is uitgevoerd stelt zich als eerste de vraag naar de rechtmatigheid van de registraties. De gegevens dienen rechtmatig verkregen te zijn, waarbij betrokken moet worden dat niet iedere "waarneming" gerechtvaardigd is. Hierna zijn een aantal vragen te beantwoorden die de Registratiekamer als volgt weergeeft: (1) (2) (3) (4) (5) (6) [box 8]
Is het doel van de gegevensverzameling voldoende duidelijk en specifiek? Heeft de werkgever een voldoende gerechtvaardigd belang bij het aanleggen daarvan? Is het aanleggen van de gegevensverzameling een geschikt middel om het gestelde doel te bereiken? Is het een evenredig middel, gelet op het doel? Kan met een minder vergaande methode worden volstaan? Zijn er nadere waarborgen nodig? uit Personeelsinformatiesystemen; B.J.P. Hulsman en P.C. Ippel - Registratiekamer juni 1994
De WPR schrijft bovendien voor dat voor elke registratie een op de concrete situatie toegesneden privacyregeling dient te worden vastgesteld, in de vorm van een reglement bij de overheid dan wel in een aanmeldingsformulier bij de Registratiekamer voor met name het bedrijfsleven. Vrijstelling van de verplichting tot aanmelding dan wel reglementering is mogelijk indien ten aanzien van een persoonsregistratie wordt voldaan aan de normering van het Besluit genormeerde vrijstelling. In haar nota Personeelsregistratiesystemen worden de bovengenoemde vragen in een bijlage nader uitgewerkt m.b.t. personeelsinformatiesystemen. Omdat deze vragen m.m. ook voor andere registraties gesteld kunnen worden is deze bijlage in de vorm van een checklist aan dit artikel toegevoegd. b.
Bijdrage softwareleveranciers Zoals eerder opgemerkt is het voor organisaties erg lastig om bij te houden welke registraties er in huis zijn. Deels is dit een gevolg van het feit dat persoonsregistraties binnen komen als "bijproduct" van bepaalde software (besturingssystemen, communicatievoorzieningen, etc) maar anderzijds ook omdat bij omvangrijker software toepassingen die als "pakket" worden aangeschaft, hier meestal niet rechtreeeks zicht op is. Software leveranciers kunnen hier een belangrijke en voor organisaties een zeer tijdsbesparende rol in spelen. Eerste en meest eenvoudige mogelijkheid zou zijn dat softwareleveranciers eenvoudigweg bij de documentatie aangeven dat er persoonsgegevens worden vastgehouden, en waar deze gegevens worden bijgehouden.
Als tweede, en dat geldt dan vooral voor de omvangrijker pakketten die gericht zijn op persoonsgegevens (klantsystemen, personeelssystemen, etc), zou de leverancier een sterk faciliterende rol kunnen spelen. Dit geldt op de volgende punten: < Aangeven welke (logische) registraties binnen hun pakket onderscheiden kunnen worden. Een echt vriendelijke leverancier zou hierbij ook al een voorbeeld van een doeldefinitie kunnen geven. Voor organisaties zou dit een groot voordeel zijn. Het attendeert hun erop dat bij de aanschaf van dit type pakketten rekening gehouden moet worden met de WPR en daarnaast scheelt het een berg werk. Ook zal het de leverancier op zekere termijn werk besparen. De koper van pakketten zal immers, als hij e.e.a. gaat uitzoeken toch vaak ook bij de leverancier uitkomen. Daarbij is het voor de leverancier een eenmalige activiteit, die via de interne ontwikkelsystematiek verder onderhouden kan worden. < Een tweede punt, wellicht nog belangrijker dan het eerste is, dat de leverancier aan kan geven hoe de beveiligingsstructuur van zijn programmatuur aansluit op de diverse registraties. Immers, iedere (deel)registratie dient appart van verschillende autorisaties voorzien te kunnen worden. Wanneer dit niet al binnen een pakket voorzien is, kan het een zeer lastig karwei zijn om dit alsnog te realiseren. 7.
Overwegingen bij de feitelijke toepassing van eisen vanuit de WPR Als de eisen die de WPR stelt afzonderlijk bezien worden, lijkt het een zware extra belasting voor organisaties om deze in te voeren. Wanneer de WPR echter bezien wordt in samenhang met andere vereisten voor een organisatie zoals verantwoord bedrijfsbeheer, wet computercriminaliteit, bedrijfsbeveiliging, dan vormt de WPR slechts een beperkte toevoeging aan de reeds bestaande eisen omtrent zorgvuldigheid en beveiliging. Bijvoorbeeld doelbepaling: In een operationeel systeem is het een "zoekplaatje" om erachter te komen welke gegevens er allemaal zijn, waar ze zich bevinden, en waarom ze "ook al weer" worden vastgelegd. Echter, ieder programma kent een begin binnen een organisatie. Soms is dit bij de applicatie-ontwikkeling zelf, als men deze in eigen beheer ontwikkelt. In deze situatie zijn concrete momenten aan te wijzen dat bepaald wordt welke gegevens verzameld en vastgelegd moeten gaan worden en waarom juist deze gegevens. Het kost bijna geen extra werk om op dit moment tevens het doel van de gegevens verzameling vast te stellen in de zin van de WPR. Maar ook als applicaties aangeschaft worden, doet dit moment zich voor. Ook bij een nieuw aangekochte applicatie dienen zich de vragen aan: welke gegevens (kunnen) worden vastgelegd, hoe worden ze gerepresenteerd, etc. Ook hier komt feitelijk de "doelbepaling" aan de orde. Uit dit voorbeeld mag blijken dat het voldoen aan de WPR meer een kwestie is van de juiste aandacht op het juiste moment dan "extra werk". Niet iedere registratie hoeft te worden aangemeld. De uit de wet voortvloeiende verplichtingen blijven onverminderd van kracht.
De moderne personeelsinformatiesystemen zijn haast op voorhand in strijd met de WPR: < geen doelbepaling < koppeling gegevens < Besluit genormeerde vrijstelling (BGV) de WOR