Samenvatting en conclusies

Op grond van de artikelen 33 en 34 Wbp dient de verantwoordelijke de betrokkene te informeren indien er persoonsgegevens van hem of haar worden verwerkt. Deze bepalingen zijn in de Wbp opgenomen ter implementatie van de artikelen 10 en 11 uit de Privacyrichtlijn. Ook de artikelen 35 en 41 lid 1 Wbp kennen een informatieplicht die de verantwoordelijke in voorkomende gevallen in acht dient te nemen. Op grond van de artikelen 33 en 34 Wbp dient de verantwoordelijke zijn identiteit bekend te maken alsmede de doeleinden van de verwerkingen waarvoor de gegevens bestemd zijn. Voor het overige moet de verantwoordelijke die informatie aan de betrokkene verstrekken, die nodig is gelet op de aard van de gegevens en/of de omstandigheden waaronder de gegevens worden

Kamerstukken II 1997-1998, 25892, nr. 3, p. 176.

271 Zie in dit kader EHRM, 17 juli 2008 (I v. Finland), nr. 20511/03, paragrafen 47 en 53, alwaar een vergoeding ter compensatie van geleden niet-geldelijke schade wordt toegekend. Voor een uitgebreide bespreking van dit arrest zie De Hert 2011, p. 47 e.v.

272 EHRM, 25 november 2008 (Armoniene v. Lithuania), nr. 36919/02, paragrafen 45 en 52. Vergelijk De Hert die op basis van dit arrest concludeert dat de vergoeding redelijk doch substantieel moet zijn. De Hert 2011, p. 51 e.v.

273

63

verkregen en/of het gebruik dat van de gegevens wordt gemaakt. Hiernaast is nog de nadere regelgeving voor cookies relevant. De regelgeving met betrekking tot het toepassen en uitlezen van cookies is vastgelegd in het Besluit universele dienstverlening en eindgebruikersbelangen, maar zal op termijn worden geïmplementeerd in de Telecommunicatiewet. Naar verwachting zal de Wbp in aanvulling onverkort van toepassing worden verklaard. Dit heeft tot gevolg dat de verantwoordelijke bij het gebruik van cookies behalve de specifieke regeling in de Telecommunicatiewet ook de artikelen 33 en 34 Wbp in acht moet nemen.

Uit de evaluatie van de Wbp uitgevoerd door Zwenne et al. kwam naar voren dat de informatieplicht niet of nauwelijks bekend is bij verantwoordelijken. Dit beeld lijkt enigszins te worden afgezwakt in het empirische vervolgonderzoek. Ook blijkt uit de studie van Zwenne et al. dat de open normen uit de artikelen 33 en 34 Wbp tot interpretatiemoeilijkheden leiden.

De verantwoordelijke moet de betrokkene informeren om de gegevensverwerking als rechtmatig aan te kunnen merken, maar ook omwille van de zorgvuldigheid die de verantwoordelijke ten opzichte van de betrokkene in acht heeft te nemen. De informatieplicht is immers een uitwerking van het in artikel 6 Wbp neergelegde ‘fair processing’ beginsel, alsook van het transparantiebeginsel. Dit transparantiebeginsel wordt benoemd in de overwegingen in de Privacyrichtlijn, maar is niet expliciet opgenomen in de bepalingen van de Privacyrichtlijn en de Wbp.

De adviescommissie Veiligheid en persoonlijke levenssfeer (Commissie Brouwer-Korf), het Cbp en de WRR benadrukken de noodzaak van transparantie. De betrokkene moet weten wie, waarom, waar en welke gegevens over hem verzamelt en gebruikt. De Commissie Brouwer-Korf concludeert dat, gezien de ontwikkelingen van technologie, de informatieplicht uit de Wbp niet langer een voldoende waarborg kan bieden, met als gevolg dat er slechts zicht bestaat op wat er in eerste instantie met de gegevens gebeurt maar niet wat opeenvolgende organisaties ermee doen. Op Europees niveau hebben zowel de Groep Gegevensbescherming Artikel 29, het EDPS als de Europese Commissie zich uitgelaten over transparantie. Het EDPS is onder meer van mening dat de artikelen 10 en 11 uit de Privacyrichtlijn moeten worden aangescherpt, en wel dusdanig dat de verantwoordelijke verplicht wordt om de informatie op een duidelijke, opvallende en begrijpelijke wijze te verstrekken. De Europese Commissie en de Groep Gegevensbescherming Artikel 29 expliciteren dat de bestaande bepalingen betreffende de aan de betrokkene te verstrekken informatie niet toereikend zijn. De Europese Commissie overweegt daarom een algemeen beginsel van transparante verwerking van persoonsgegevens op te nemen in de te herziene Privacyrichtlijn. Ook het kabinet heeft bij meerdere gelegenheden stilgestaan bij het belang van transparantie, maar ziet geen reden om de algemene formulering van de artikelen 33 en 34 Wbp te herzien. Dit geldt volgens het kabinet ook ten aanzien van de rechten van inzage, correctie en verzet. Wel is het kabinet voornemens om de verantwoordelijke te verplichten de vastgestelde bewaartermijnen bekend te maken en te verduidelijken wat er na afloop van

64

die termijn gebeurt met de verwerkte persoonsgegevens. Tevens overweegt het kabinet een afzonderlijke regeling te introduceren met specifieke transparantieverplichtingen bij het toepassen van profileringen, met inbegrip van een explicitering van het doel van de verwerking en de daarbij gehanteerde categoriseringen.

In de Nederlandse literatuur is meermaals opgemerkt dat de verantwoordelijke een privacyverklaring gebruikt om te voldoen aan zijn informatieplicht zoals die volgt uit de artikelen 33 en 34 Wbp. Daarbij kan de privacyverklaring ook een rol spelen bij het voldoen aan de informatieplichten die gelden voor de inzet van cookies. Relevant daarbij is dat de Groep Gegevensbescherming Artikel 29 van mening is dat cruciale informatie over het gebruik van cookies niet mag worden verstopt in een privacyverklaring.²⁷⁴ Dit betekent dat het enkele gebruik van een privacyverklaring niet afdoende zal zijn bij het informeren van de betrokkene over het gebruik van cookies.

De Groep Gegevensbescherming Artikel 29 heeft een lijst opgesteld van elementen die minimaal in een privacyverklaring aan de orde zouden moeten komen. Er is een aantal argumenten dat lijkt te pleiten voor het nader uitwerken van de open normen van artikel 33 en 34 Wbp zoals wordt gedaan door de Groep Gegevensbescherming Artikel 29. Ten eerste zou men zich op grond van het transparantiebeginsel op het standpunt kunnen stellen dat de door de verantwoordelijke nader te verstrekken informatie zo uitgebreid als mogelijk dient te zijn, en dat derhalve ten aanzien van de inhoud van een privacyverklaring niet kan worden volstaan met het eenvoudig herhalen van een aantal wettelijke bepalingen uit de Wbp of slechts kan worden volstaan met de mededeling dat de verwerking van de persoonsgegevens plaatsvindt conform de Wbp.²⁷⁵ Het voorgaande is te meer van belang nu er in de MvT op wordt gewezen dat de bedreiging van de persoonlijke levenssfeer in de informatiemaatschappij juist bestaat uit de vele mogelijkheden om persoonsgegevens buiten medeweten van de betrokkene om te verwerken.²⁷⁶ Door de opname van zoveel mogelijk relevante informatie omtrent de verwerking van de persoonsgegevens in een privacyverklaring wordt de in de MvT gesignaleerde bedreiging geadresseerd. Zwenne et al. stellen in dit kader dat de positie van de betrokkene ten opzichte van de verantwoordelijke afhangt van de bekendheid van de betrokkene met de gegevens die de verantwoordelijke over hem verwerkt.²⁷⁷ Ten tweede schept een lijst van op te nemen elementen meer duidelijkheid voor de verantwoordelijke. Hij hoeft in dat geval nagenoeg zijn hoofd niet meer ‘te breken’ over de vraag welke elementen hij in zijn privacyverklaring dient op te nemen en uit te werken ter waarborging van een behoorlijke en zorgvuldige verwerking jegens de

Groep Gegevensbescherming Artikel 29-2010 (I), p. 21.

275

Eenzelfde stelling wordt in de MvT gebezigd ten aanzien van gedragscodes die worden opgesteld op grond van artikel 25 Wbp. Kamerstukken II 1997-1998, 25892, nr. 3, p. 130.

276

Kamerstukken II 1997-1998, 25892, nr. 3, p. 18.

277

65

betrokkene.²⁷⁸ Ten derde wordt voor de betrokkene een meer transparante situatie gecreëerd waardoor hij een beter zicht krijgt op de verwerkingshandelingen, aan de hand waarvan hij weet welke persoonsgegevens van hem door de verantwoordelijke worden verwerkt alsook op welke wijze zijn persoonlijke levenssfeer door de verantwoordelijke al dan niet wordt beschermd en gewaarborgd.

Tevens spreekt de Groep een voorkeur uit voor het gebruik van gelaagde privacyverklaringen. Het advies van de Groep Gegevensbescherming Artikel 29 is overigens niet bindend, wat een relevante constatering is nu de lijst veel elementen bevat waarvan onduidelijk is of die op grond van de artikelen 33 en 34 Wbp wel verplicht moeten worden verstrekt. In de Richtsnoeren Persoonsgegevens op internet conformeert het Cbp zich aan de adviezen van de Groep Gegevensbescherming Artikel 29, en geeft een voorbeeld van een privacyverklaring. Ook in dezen is het niet duidelijk of die Richtsnoeren juridisch bindend zijn voor de verantwoordelijke. Het komt er in de praktijk derhalve op neer dat de verantwoordelijke zelf dient te beslissen of hij een privacyverklaring op zijn website plaatst, alsook over de vorm en inhoud van de privacyverklaring. Indien de verantwoordelijke lid is van een belangenorganisatie, kan het voorkomen dat de verantwoordelijke op grond van het lidmaatschap verplichtingen opgelegd krijgt ten aanzien van het gebruik van een privacyverklaring.

Op basis van het in dit hoofdstuk uitgevoerde literatuuronderzoek kan ten eerste worden geconcludeerd dat de roep om transparantie in relatie tot de verwerking van persoonsgegevens steeds luider wordt. Ten tweede kan worden vastgesteld dat, beredenerend vanuit het belang van transparantie, de huidige bepalingen in de Privacyrichtlijn en de Wbp betreffende de aan de betrokkene te verstrekken informatie niet toereikend zijn. Derhalve zal, naar verwachting, in de herziene Privacyrichtlijn het transparantiebeginsel worden geëxpliciteerd. Ten slotte kan worden geconcludeerd dat een privacyverklaring een instrument is met behulp waarvan de verantwoordelijke kan voldoen aan zijn informatieplicht, en waarvan de inhoud de uitwerking van die informatieplicht concretiseert.

De Groep Gegevensbescherming Artikel 29 wijst er mijns inziens terecht op dat met het

verstrekken van de minimale informatie, de verantwoordelijke niet wordt ontslagen van de voor de verwerking geldende verplichting om de rechtmatigheid van de verwerking te controleren en na te gaan of deze voldoet aan het volledige pakket aan eisen en voorwaarden dat de toepasselijke nationale wetgeving voorschrijft. Groep Gegevensbescherming Artikel 29-2001, p. 3.

67