Jaarverslag / 31 december 2005Download PDFJaarverslag 2005Download



het vertrouwen...

“Vertrouwen bevordert de sociale cohesie in de samenleving, werkt als smeer- olie in de economische machine, is wezenlijk voor constructieve en creatieve menselijke relaties.”

samenstelling college en raad van advies

Aan drs. Jan Willem Broekema is per 14 november 2005 eervol ontslag verleend als collegelid.

2005 in vogelvlucht

“Het CBP heeft zich in 2005 nadrukkelijk de vraag gesteld wat de essentie was en is van hetgeen met de WBP beschermd dient te worden en langs welke weg een en ander gerealiseerd dient te worden.”

beleid van de toezichthouder

“Vanuit de heroriëntatie op de fundamentele waarden die met de bescherming van persoonsgegevens gemoeid zijn, heeft het CBP zich ook gecommitteerd aan het initiatief om tot een nationaal mensenrechteninstituut te komen.”

activiteiten van het CBP

De toezichthouder is actief op een breed terrein: openbaar bestuur, politie en justitie, arbeid en sociale zekerheid, zorg en welzijn, handel en diensten, telecommunicatie, tech- nologie en op internationaal gebied.

organisatie

“Het CBP blijft welbewust een organisatie in verandering in reactie op maatschappelijke eisen en ontwikkelingen, toenemende werkdruk en een te zeer achterblijvende groei van de capaciteit.”

bijlagen

Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelregle- menten, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.

english summary

– Introduction by Jacob Kohnstamm, chairman of the Dutch DPA;

– Summary of activities and results in 2005; statement of goals for 2006.

inhoud



Het vertrouwen...

Vertrouwen bevordert de sociale cohesie in de samenleving, werkt als smeerolie in de economische machine, is wezenlijk voor constructieve en creatieve menselijke relaties.

Vertrouwen maakt deel uit van het sociale kapitaal van de democratische rechtsstaat.

De Wet bescherming persoonsgegevens heeft tot doel een bijdrage te leveren aan het

vertrouwen dat burgers kunnen hebben in de wijze waarop in de samenleving met per-

soonsgegevens zal worden omgesprongen. Uit onderzoek in 004 en 005 verricht in

opdracht van het CBP blijkt dat dit vertrouwen bij de burgers te wensen overlaat en in

ieder geval duidelijk achterblijft bij het belang dat zij hechten aan een zorgvuldige

omgang met hun gegevens in de verschillende maatschappelijke domeinen.



inleiding

Onderling vertrouwen en vertrouwen in de samenleving ontstaan waar machtsuitoefening in een democratische samenleving voelbaar en zichtbaar in toom gehouden wordt. De Wet bescherming persoonsgegevens heeft in dat kader allereerst een afweerfunctie. Publiek en privaat vormgegeven macht, die mede uitgeoefend wordt op basis van het gebruik van persoonsgegevens en die ontplooiing van het individu in negatieve zin kan beïnvloeden, dient in toom gehouden worden. De wet verbiedt daarom het onnodig verwerken van persoonsgegevens ter bescherming van de persoonlijke levenssfeer en vraagt verder in essentie dat op nadenkende en fatsoenlijke wijze met verzamelde persoonsgegevens omgesprongen wordt.

In de huidige maatschappelijke context bestaat de tendens om de tot voor kort gebruike- lijke algemene houding van vertrouwen in deelnemers aan het maatschappelijke verkeer te verlaten. De afname van sociale controle, zoals die bijvoorbeeld nog bestond in de zuilen- maatschappij, vraagt om andere beheersingsmechanismen. Het op grote schaal automati- seren en koppelen van bestanden door overheid en bedrijfsleven houdt daarmee verband.

Hoog op de maatschappelijke en politieke agenda staan het op administratief-technische wijze voorkomen van misbruik van overheidsvoorzieningen, het vergroten van de klant- gerichtheid van overheid en bedrijfsleven en het bevorderen van veiligheid door verster- king van (de bevoegdheden van) justitie en politie. Optimale inzet van wat de technologie vermag, wordt daarbij nagestreefd.

Als gevolg daarvan komen evenwel belangrijke maatschappelijke noties onder druk te staan. Een bekende drieslag in ons rechtsstelsel is de proportionele toepassing van con- trole- en opsporingsbevoegdheden: uitgangspunt is vertrouwen, met vervolgens een alge- meen toezichtinstrumentarium ter controle en ten slotte opsporing van overtredingen in het geval er sprake is van redelijke verdenking. In toenemende mate worden echter in een vroegtijdig stadium bevoegdheden en middelen aangewend die oorspronkelijk gegeven waren om pas te worden ingezet bij op repressie gerichte activiteiten. De verplichting tot het bewaren van telecommunicatiegegevens ten behoeve van justitie en politie, preventief toezicht op wie de grote steden in- en uitgaan (de zogenaamde virtuele slotgracht), de acceptatie van uitvoerige klokkenluiders- en klikvoorzieningen en uitvoerige controle van allerhande gegevens alvorens tot het toekennen van een uitkering te besluiten zijn daarvan uitingen.

Ook buiten de sfeer van opsporing en vervolging leggen overheidsinstanties en particuliere bedrijven vroegtijdig bestanden aan en brengen zij koppelingen tot stand met het oog op het voorkomen van ieder denkbaar toekomstig misbruik. De ontwikkeling van de ‘andere overheid’ die op proactieve wijze burgers als klant wil ‘bedienen’, creëert daartoe nieuwe mogelijkheden en afhankelijkheden. Enigszins overdreven verwoord is een tendens zichtbaar waarin de voorheen op vertrouwen en op de veronderstelling van onschuld gefundeerde omgangsvormen in de samenleving, vervangen worden door op geïnsti- tutionaliseerd wantrouwen gebaseerde omgangsvormen. Als een steeds omvattender tech- nologie die ontwikkeling ondersteunt en ogenschijnlijk de – veelal voorlopige – grenzen dicteert, raakt dat de essentie van de positie van het individu in de moderne samenleving.

In bovenbedoeld maatschappelijk klimaat bestaat het risico van vermindering, zo niet van erosie van de gevoeligheid voor de noodzaak tot bescherming van persoonsgegevens.

Met de bescherming van persoonsgegevens worden echter achterliggende waarden gediend. Deze waarden zijn naast de bescherming van de persoonlijke levenssfeer onder meer het voorkomen van onrechtvaardigheid en schade, de gelijke behandeling en het voorkomen van discriminatie, de individuele autonomie binnen bepaalde grenzen en de informationele gelijkheid.

4

Deze waarden zijn niet steeds van gelijke orde. Sommige dienen een direct indi- vidueel belang. Andere achterliggende waarden zoals vertrouwen, gelijkheid, vrij- heid van communicatie of bescherming van lichamelijke integriteit, blijven ook in het huidige maatschappelijke klimaat van groot belang voor een vrije en demo- cratische samenleving die onze maatschappij is en wenst te blijven.

Het CBP heeft in 2005 geïnvesteerd in het opnieuw doordenken van het doel van de Wet bescherming persoonsgegevens, de onderliggende waarden bij de

bescherming van persoonsgegevens en de wijze waarop deze doelen en waarden het best gediend kunnen worden door de toezichthouder. Een dergelijke reflexie kan niet op een zinnige wijze in de splendid isolation van de eigen kring en bevoegdheden worden uitgevoerd. Het CBP heeft in 2005 bewust, regelmatig en met groot genoegen de gedachtewisseling en het debat met deskundigen en maatschappelijke partijen gezocht, soms in een meer beschouwelijke context, soms in directe relatie tot de noodzaak als toezichthouder een standpunt te kie- zen ten opzichte van maatschappelijke ontwikkelingen. Het CBP zal op deze weg doorgaan.

Voor 2006 is de formele evaluatie van de Wet bescherming persoonsgegevens voorzien. Deze evaluatie is zonder enige twijfel nuttig. Allerlei overwegingen zul- len uiteindelijk de praktische invulling van deze evaluatie bepalen. Het CBP wil voor een evaluatie in eerste instantie stilstaan bij de vraag welke waarden in het geding zijn. Daarna is de vraag actueel of de Wet bescherming persoonsgegevens aan de bescherming of aan de verdere uitbouw van die waarden een bijdrage heeft geleverd of zou kunnen leveren. En pas dan draait het om de vraag of inhoud en verwoording van de wet en de daarin geregelde bevoegdheden en ver- antwoordelijkheden wijziging behoeven tegen de achtergrond van de hierboven geschetste maatschappelijke tendensen. De Wet bescherming persoonsgegevens is een instrument. Het wezenlijke dilemma is de noodzaak van én controle én ver- trouwen.

J. Kohnstamm voorzitter

5

inleiding

NRC Handelsblad, januari 2005



college 2005

mr. J. Kohnstamm voorzitter

mw. mr. dr. J. Beuving collegelid (per 1 mei 2005)

drs. J.W. Broekema

collegelid (tot 14 november 2005)

mr. dr. U. van de Pol

collegelid (tot 28 februari 2005)

samenstelling

college en raad van advies

 raad van advies 2005

mw. prof. mr. I.P. Asscher-Vonk (benoemd)

hoogleraar sociaal recht Radbout Universiteit Nijmegen

R. Bandell

burgemeester van Dordrecht

prof.dr. T.M.A. Bemelmans (afgetreden)

hoogleraar bestuurlijke informatiesystemen Technische Universiteit Eindhoven

prof. mr. E. Dommering

hoogleraar informatierecht Universiteit van Amsterdam

mw. drs. A. van Es oud-lid Tweede Kamer

prof. dr. E.J. Fischer (benoemd)

algemeen directeur Verbond van Verzekeraars

prof. mr. H. Franken (voorzitter)

hoogleraar informaticarecht Rijksuniversiteit Leiden

buitengewone leden college 2005

drs. J.J. Borking

ICT; Privacy-Enhancing Technologies

prof. A.W. Neisingh RE RA (afgetreden) privacyaudits

directie

prof. mr. J. Gevers

hoogleraar gezondheidsrecht Universiteit van Amsterdam

mw. mr. L. Gonçalves-Ho Kang You (afgetreden) collegelid OPTA, voorzitter Amnesty International

prof. mr. P.F. van der Heijden (afgetreden)

hoogleraar arbeidsrecht Universiteit van Amsterdam

mw. drs. K. de Jonge (benoemd) directeur Consumentenbond

drs. R. van Ommeren

oud-lid Raad van Bestuur ABN-AMRO

drs. C. Rog

voorzitter commissie privacy VNO-NCW

drs. L.J.E. Smits (benoemd) directeur Het Expertise Centrum

D. Westendorp (afgetreden) oud-directeur Consumentenbond

H. de Zwart RE RA RO privacyaudits

mr. dr. U. van de Pol (benoemd) ombudsman Amsterdam

mw. C.E. Romanesko directeur

U vindt het organogram van het CBP op pagina x >

samenstelling college en raad van advies

2005

in vogelvlucht



In de afgelopen jaren heeft de bescherming van de persoonlijke levenssfeer in

de publieke opinie haar vanzelfsprekendheid verloren. Zorgen om terrorisme,

onveiligheid en maatschappelijke misstanden bij burgers, bestuurders, politici

en beleidsmakers hebben ertoe geleid dat de regels voor de bescherming van

persoonsgegevens in het publieke debat als zondebok of als obstakel worden

afgedaan. Behalve het politiek-maatschappelijke klimaat is ook het toezichts-

domein aan ingrijpende veranderingen onderhevig.

Het CBP heeft zich daarom in 2005 nadrukkelijk de vraag gesteld wat de essentie was en is van hetgeen met de WBP beschermd dient te worden en langs welke weg een en ander gerealiseerd dient te worden. In veranderende tijden kan minder vertrouwd wor- den op de zeggingskracht van de wet en zal meer gebruik moeten worden gemaakt van de visies en bevindingen van anderen. Het CBP prijst zich gelukkig dat het in 2005 bij deze reflexie – ook in het kader van de aanstaande evaluatie van de Wet bescherming persoonsgegevens – een beroep kon doen op de bereidheid van vele gesprekspartners – academici, experts uit het veld, bedrijven en maatschappelijke organisaties – om mee te denken.

Controle op de naleving is wat de wetgever bij uitstek van de toezichthouder vraagt.

Effectief toezicht op de naleving van en zonodig handhaving van de regels voor de omgang met persoonsgegevens is noodzakelijk. Onvoldoende mensen en middelen zijn echter beschikbaar om deze opdracht naar de volle omvang te kunnen verwezenlijken.

Het CBP heeft in de afgelopen periode in allerlei kwesties zijn aandeel niet of slechts beperkt kunnen nemen. De maatschappelijk en politiek gewenste beleidsverschuiving naar meer onderzoek en handhaving kon slechts ten dele gerealiseerd worden. Het CBP heeft alle zeilen moeten bijzetten om althans op enkele grote dossiers te doen wat gezien de inherente risico’s voor de bescherming van de persoonlijke levenssfeer gedaan moest worden.

Zorgstelsel

De stelselwijziging in de zorg gaf het CBP reden tot intensieve bemoeienis. Na de advisering in 2004 over de Zorgverzekeringswet (Zvw), heeft het CBP in 2005 veel aandacht besteed aan de uitwerking van de stelselwijziging. Met de minister van Volksgezondheid, Welzijn en Sport (VWS) zijn afspraken gemaakt over hoe de tekort- komingen in de Zorgverzekeringswet met betrekking tot de verwerking van persoons- gegevens zoveel mogelijk opgelost konden worden. Daartoe is onder meer artikel 87 Zvw in nauw overleg met het CBP uitgewerkt in een ministeriële regeling, de Regeling Zorgverzekering. Verder is afgesproken dat de ‘prestatiebeschrijvingen’ die voor een belangrijk deel de inhoud van de informatiestroom tussen zorgverleners en zorgverzeke- raars vormen, in overleg met het CBP door de Zorgautoriteit zullen worden vastgesteld.

De prestatiebeschrijvingen geven op detailniveau aan welke persoonsgegevens dienen te worden verstrekt ten behoeve van de declaratie van verleende zorg.

Risicoverevening

Met de minister van VWS is verder overeengekomen dat voor risicoverevening geen per- soonsgegevens gebruikt zullen worden. Volstaan kan worden met gepseudonimiseerde gegevens, dat wil zeggen dat de gegevens gekoppeld worden aan een unieke maar anonieme code. Het CBP adviseerde ook een aantal randvoorwaarden vast te leggen in de ministeriële regeling ter uitwerking van artikel 35 Zvw, dat betrekking heeft op de verwerking van persoonsgegevens ten behoeve van de risicoverevening. Voor de over- gangssituatie naar het stelsel onder de Zvw waren tijdelijk (uitsluitend voor de ex-ante berekening 2006) wel persoonsgegevens noodzakelijk. Het tijdelijke karakter van deze verwerking is vastgelegd evenals een maximale bewaartermijn voor de benodigde gege- vens.



in vogelvlucht

0

Resultaten 2005

inhetvorigejaarverslagisaangekondigddatin2005zou wordengestreefdnaardevolgenderesultaten (hetjaarplan

2005 isgetemporiseerdtotmedio 2006):

• Veiligheid en privacy

In 2004 heeft het CBP geadviseerd over het concept wetsvoor- stel ter verruiming van de mogelijkheden ter opsporing van ter- roristische misdrijven. Dit advies is op veel punten niet gevolgd.

In 2005 heeft het CBP zijn advies onder de aandacht gebracht van de vaste commissie voor Justitie van de Tweede Kamer. Op verzoek van de Tweede Kamer heeft het CBP de opzet van de Contra-terrorisme-infobox (CT-infobox) geanalyseerd.

Verder heeft het CBP in samenwerking met de ministeries van BZK en Justitie de hoogleraren prof.mr. H.R.B.M. Kummeling en prof.mr.dr. E.R. Muller gevraagd onderzoek te doen naar de balans tussen veiligheid en privacy. In 2006 wordt het eindrap- port verwacht.

• Bijzondere politieregisters

In het kader van het structurele toezicht op de bijzondere poli- tieregisters, heeft het CBP in het najaar van 2005 onderzoek gedaan bij twee bijzondere opsporingsdiensten. De resultaten hiervan zullen in 2006 beschikbaar komen.

• Risicoselectie

In 2005 is een expertmeeting georganiseerd over risicoselectie.

In 2006 zal hierover worden gepubliceerd.

• Internet en privacy

In 2005 heeft een expertmeeting plaatsgevonden over internet en de bescherming van persoonsgegevens. In 2006 zal een ver- kenning op dit terrein worden gepubliceerd.

• Informatieplicht

De voorlichting over de informatieplicht is versterkt. Verder zijn in 2005 enkele onderzoeken naar de naleving van de informa- tieplicht gestart die in 2006 zullen worden gepubliceerd.

• Meldingsplichtonderzoek

In 2005 zijn de jaarlijkse meldingsplichtonderzoeken voorbereid maar uiteindelijk niet uitgevoerd. Temporisering van het jaar- plan leidde tot uitstel van de start van de onderzoeken. Na de uitspraak van de Raad van State (uitspraak van 21 september 2005, 200504372/1: geen grondslag voor boete voor het niet melden van verwerkingen gestart voor 1 september 2001) is de reeks meldingsplichtonderzoeken voor 2005 uiteindelijk afge- last. De WBP wordt op dit punt in 2006 gerepareerd.

• Administratieve lasten

In aansluiting op eind 2004 gedane voorstellen heeft het CBP verschillende malen overleg gevoerd met het ministerie van Justitie en het VNO/NCW, onder meer over verruiming van de vrijstelling van de meldingsplicht. Het is uiteindelijk aan de minister van Justitie om de Tweede Kamer voorstellen te doen.

Dit is in 2005 niet gebeurd.

• Binding Corporate Rules

Het CBP heeft actief bijgedragen aan een vereenvoudiging van de regels voor de doorgifte van persoonsgegevens naar verantwoordelijken buiten de Europese Unie. De Artikel 29- werkgroep heeft in 2005 Europese afspraken gemaakt over een uniforme procedure voor het aanvragen van vergunningen en over een gecoördineerde afhandeling van vergunningaanvragen gebaseerd op zogenaamde binding corporate rules (BCR’s).

• Samenwerkingsverbanden

Het CBP heeft in 2005 in diverse gevallen bijgedragen aan de verheldering van de regels voor de noodzakelijke uitwisseling van persoonsgegevens in samenwerkingsverbanden. In april 2005 heeft het CBP een symposium over dit onderwerp geor- ganiseerd. Speciale bijeenkomsten gericht op toezichthouders zijn niet georganiseerd.

• Toezicht en toezichthouders

Met de Commissie gelijke behandeling, de Nationale ombuds- man en het Studie- en informatiecentrum mensenrechten heeft het CBP in 2005 een advies aan de regering uitgebracht over de wenselijkheid van de oprichting van een nationaal mensen- rechteninstituut. Met OPTA en IWI zijn in 2005 samenwer- kingsovereenkomsten gesloten. Het aantal functionarissen voor de gegevensbescherming is in 2005 licht gegroeid.

• Zorg en zekerheid

In 2005 is veel aandacht besteed aan de Zorgverzekeringswet en alle veranderingen die deze met zich meebracht en aan de plannen voor invoering van het burgerservicenummer in de zorg. Verder is een verkennend onderzoek bij verzekeraars uitgevoerd naar gegevensstromen bij reïntegratie en de uitwis- seling van medische gegevens tussen concernonderdelen. De publicatie van een normatief kader voor de sociale diensten zal worden uitgebracht in 2006.

• Burgerservicenummer

Het CBP heeft in 2004 al geadviseerd over het Wetsvoorstel algemene bepalingen burgerservicenummer. In het wetsvoorstel zoals in 2005 bij de Tweede Kamer ingediend, is onvoldoende rekening gehouden met de bezwaren van het CBP. Het CBP heeft bij de Tweede Kamer zijn zorgen hierover geuit. De voor- genomen voorbereiding op de taken die het CBP zou krijgen in het kader van de Nationale ombudsfunctie, was door uitstel van de inwerkingstreding van de wet nog niet aan de orde.

• Evaluatie Wet bescherming persoons- gegevens

Het CBP heeft zich op verschillende manieren voorbereid op de evaluatie van de Wet bescherming persoonsgegevens die is voorzien voor 2006 (artikel 80 Wbp). Onder andere door een aantal bijeenkomsten met experts uit het veld en overleg met het ministerie van Justitie.

Addendum Zorgverzekeraars bij gedragscode

Het Addendum Zorgverzekeraars, opgesteld door Zorgverzekeraars Nederland (ZN), bevat gedragsregels voor de omgang met persoonsgegevens door ziekte-

kostenverzekeraars en is een aanvulling op de reeds bestaande Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Het addendum bevat onder meer regels met betrekking tot de omgang met declaratiegegevens en het uitvoeren van materiële con- trole op de declaraties.

Intensief overleg tussen ZN, het ministerie van VWS, de artsenfederatie KNMG en de Nederlandse Patiënten Consumenten Federatie (NPCF) en het CBP heeft eind 2005 geleid tot overeenstemming over de inhoud van dit addendum. In april 2006 is de goed- keurende verklaring van het CBP ex artikel 25 WBP voor het Addendum gegeven.

Diagnose behandeling combinatie en DBC-informatiesysteem

De afspraak met het ministerie van VWS en Zorgverzekeraars Nederland om de Diagnose Behandeling Combinaties (DBC’s) minder gedetailleerd en zo minder privacygevoelig te maken, bleek in 2005 helaas niet meer op de agenda te staan. Dit betekent dat vanaf 2006 DBC’s met gedetailleerde informatie die onder het medisch beroepsgeheim valt, door zorgverleners in ziekenhuizen aan zorgverzekeraars zullen worden verstrekt. Het ministerie heeft het CBP de toezegging gedaan om de komende jaren tot een vereenvoudiging van de DBC-systematiek te komen.

Met de minister van VWS zijn afspraken gemaakt over de inzet van Privacy Enhancing Technologies (PET) bij het gebruik van gegevens in het DBC-informatie- systeem (DIS). Het DIS is een grote databank, een landelijk knooppunt voor het ontvan- gen, verwerken en verstrekken van gegevens die worden aangeleverd door ziekenhuizen en medisch specialisten. Door deze technische oplossing in te zetten kan de identiteit van de individuen achter de gegevens onbekend blijven. Dit neemt niet weg dat het DIS wat betreft omvang, dekking en inhoud een van de meest risicovolle verwerkingen in Nederland zal zijn.

Geestelijke gezondheidszorg

Per 2007 zal een groot deel van de geestelijke gezondheidszorg (GGZ) worden vergoed via de Zorgverzekeringswet (Zvw). Nu valt de GGZ nog onder de Algemene wet bij- zondere ziektekosten (AWBZ). De bedoeling is om de 'op genezing gerichte' geestelijke gezondheidszorg onder de Zvw te brengen. Per 2007 zullen daarom ook DBC's worden ingevoerd in de GGZ. In overleg met de beroepsgroep heeft het CBP in 2005 nadrukke- lijk aandacht gevraagd voor het belang van de bescherming van persoonsgegevens op dit terrein.

Wet gebruik burgerservicenummer in de zorg

Het huidige sofinummer zal onder de naam burgerservicenummer (BSN) vanaf de inwerkingtreding van de Wet algemene bepalingen burgerservicenummer worden gebruikt door en voor alle communicatie met de (semi-)overheid. De Wet gebruik BSN in de zorg bepaalt dat zorgaanbieders, ziektekostenverzekeraars en indicatieorganen het BSN zullen moeten gebruiken in hun onderlinge communicatie over patiënten. Het BSN zal in de toekomst ook worden gebruikt om het Elektronisch Medicatiedossier en het Elektronisch Patiëntendossier mogelijk te maken. Het CBP was zeer kritisch over dit conceptwetsvoorstel. De invoering van een dergelijk uniek identificerend nummer brengt grote risico’s met zich mee, risico’s die in ieder geval beperkt moeten worden.

Het wetsvoorstel dat uiteindelijk aan de Tweede Kamer is voorgelegd, schiet op dit punt te kort.



in vogelvlucht

Terrorisme en veiligheid

Vanwege de toename van plannen en maatregelen op Europees niveau voor veiligheid en criminaliteits- en terrorismebestrijding, zal de uitwisseling van gegevens van ver- dachte en onverdachte personen tussen de lidstaten van de EU steeds groter worden.

Daarom neemt ook het belang toe van een geharmoniseerd en adequaat raamwerk voor de bescherming van persoonsgegevens voor de internationale uitwisseling van gegevens op het terrein van justitie en binnenlandse zaken, de zogenaamde derde pijler van de Europese Unie.

Toezichthouder voor de derde pijler

De voorjaarsconferentie van Europese privacytoezichthouders in Krakow in april 2005 betuigde zijn instemming met het plan van de Europese Commissie om een nieuw juri- disch kader voor gegevensbescherming in de derde pijler te ontwikkelen. Het hoge beschermingsniveau van de algemene privacyrichtlijn 95/46/EG zou daarbij het uit- gangspunt moeten zijn. Tevens werd gepleit voor een onafhankelijk toezicht- en advies- orgaan, waarin de privacytoezichthouders zouden samenwerken. Nu het Constitutioneel Verdrag niet is aangenomen, blijft de pijlerstructuur van de Europese Unie voorlopig bestaan. Daarom is naast de Artikel 29-werkgroep voor de eerste pijler ook voor de derde pijler een dergelijk orgaan noodzakelijk. In de loop van het 2005 hebben de Europese privacytoezichthouders een gedetailleerder advies opgesteld, dat begin 2006 aangeboden is aan de Europese Raad en de Europese Commissie.

Den Haag-programma

Het zogenaamde Den Haag-programma, een meerjarig programma vastgesteld onder het Nederlandse voorzitterschap van de Europese Unie in de tweede helft van 2004, bevat voorstellen met het oog op de strijd tegen terrorisme en grensoverschrijdende crimi- naliteit, zowel op het terrein van de derde pijler, justitie en binnenlandse zaken, als de eerste pijler van de EU, de interne markt.

De belangrijkste voorstellen in 2005 behelsden het kaderbesluit gegevensbescherming in de derde pijler, de verdere ontwikkeling van bestaande Europese informatiesystemen, het zorgen voor betere interoperabiliteit en synergie tussen Europese databanken, introductie van biometrie in paspoorten en de centrale opslag van onder andere visuminformatie. Daarnaast kwam de richtlijn tot stand met de bewaarplicht voor ver- keersgegevens van telecommunicatie.

Verstrekkend was het voorstel voor een kaderbesluit over het principe van de beschikbaarheid van politiegegevens op grond waarvan meer gegevens van politie en justitie tussen lidstaten uitgewisseld kunnen worden. Handhavingsinformatie die beschikbaar is in één lidstaat zou zo direct beschikbaar worden voor de andere lid- staten. De Europese privacytoezichthouders hebben in 2005 in Wroclaw verklaard dat het principe van beschikbaarheid van handhavingsinformatie alleen zou mogen worden ingevoerd indien er ook een geharmoniseerd en adequaat kader voor gegevensbescher- ming in de gehele EU is.

Bevoegdheden opsporing terroristische misdrijven

In 2004 heeft het CBP geadviseerd over het conceptwetsvoorstel ter verruiming van de mogelijkheden ter opsporing van terroristische misdrijven. Dit advies is op veel punten niet gevolgd. In 2005 heeft het CBP zijn kritiek daarom onder de aandacht gebracht van de vaste commissie voor Justitie van de Tweede Kamer.

Het wetsvoorstel beoogt de politie in staat te stellen alle mogelijke aanwijzingen voor terrorisme te onderzoeken. Naar het oordeel van het CBP is dat de exclusieve taak van de AIVD, omdat de AIVD bij uitstek is toegerust voor die taak en omdat het





in vogelvlucht inlichtingenwerk van de AIVD sterk is afgeschermd. Als de politie dergelijke vergaande bevoegdheden al moet krijgen, zal ook voorzien moeten worden in passende waar- borgen. Het wetsvoorstel schiet daarin tekort omdat de klassieke strafvorderlijke waar- borgen als transparantie en rechterlijke controle vanuit het oogpunt van gegevens- bescherming niet effectief zijn. Aan de mogelijk negatieve effecten van het voorstel voor de maatschappelijke positie van onschuldige burgers is vrijwel geheel voorbijgegaan.

Het CBP heeft daarom geadviseerd een apart, sterk afgeschermd, eigen regime te creëren voor de verwerking van ‘zachte’ inlichtingen door de politie.

Contraterrorisme-Infobox

In 2005 heeft het CBP op verzoek van de Tweede Kamer de opzet van de

Contraterrorisme-Infobox (CT Infobox) geanalyseerd. Deze CT Infobox beoogt praktische uitvoering te geven aan bestaande wettelijke mogelijkheden tot uitwisseling van gege- vens over terrorisme. Een eerste analyse door het CBP heeft geleid tot verduidelijking door de minister. Nadere analyse hiervan liet zien dat in ieder geval de deelname van de IND niet conform de wet is. Ook dient de grens tussen inlichtingenwerk en opspo- ring te worden gerespecteerd. Het kan legitiem zijn die grens te overschrijden, maar daarbij dient duidelijk gemarkeerd te blijven waar het inlichtingenwerk overgaat in de opsporing en vervolging van strafbare feiten. Bovendien moet voorzien zijn in effectief toezicht.

Wetsvoorstel bevoegdheden vorderen gegevens

Op 1 januari 2006 is na een jaren durend voortraject de Wet bevoegdheden vorderen gegevens in werking getreden. Het wetsvoorstel is gebaseerd op de voorstellen van de Commissie strafvorderlijke gegevensvergaring (Commissie Mevis). De wet maakt het voor justitie en politie mogelijk om persoonsgegevens op te vragen bij maatschap- pelijke instellingen en bedrijven als dat voor de opsporing noodzakelijk is. Begin 2005 heeft de vaste commissie voor Justitie van de Eerste Kamer het CBP uitgenodigd voor een gesprek in het kader van de voorbereiding van de behandeling van het Wetsvoorstel bevoegdheden vorderen gegevens. Het CBP heeft gepleit voor twee structurele waar- borgen: de mogelijkheid van een voorafgaande toetsing van een vordering door de rech- ter en een systematische en regelmatige controle op de verwerking van gegevens in de politieregisters.

Bewaarplicht verkeersgegevens

Het CBP heeft zich in 2005 met kracht verzet tegen de introductie van een algemene bewaarplicht voor de zogenaamde verkeersgegevens van telecommunicatie. Nut noch noodzaak van een dergelijke massale, preventieve opslag van telecommunicatiegege- vens van alle 450 miljoen Europese burgers waren aangetoond. Specifieke waarborgen ontbraken. Zowel op nationaal als op Europees niveau was er breed gedragen politieke kritiek op het voornemen van de Europese ministers van Justitie en Binnenlandse Zaken de bewaarplicht in een kaderbesluit te regelen. Dit politieke verzet kalfde in de loop van het jaar af.

CIOT

Aanbieders van vaste en mobiele telefonie – en op termijn ook aanbieders van internet – zijn verplicht een supertelefoongids beschikbaar te houden voor raadpleging door politie, justitie en de inlichtingendiensten. Het Centraal Informatiepunt Opsporing Telecommunicatie (CIOT) in Zoetermeer valt onder het ministerie van Justitie en fun- geert als doorgeefluik tussen telefoniesector en de autoriteiten. Veel telecomaanbieders laten hun bestand ook beheren door het CIOT. Op aandrang van het CBP werd een bewerkersovereenkomst serieus ter hand genomen in onderhandelingen tussen tele- communicatieaanbieders en CIOT. Ook is een auditovereenkomst tot stand gebracht.

4

Periodiek zal nu daadwerkelijk gecontroleerd worden of politie en justitie uitsluitend gegevens verkrijgen die op rechtmatige wijze zijn gevorderd. Beide overeenkomsten waren in januari 2006 gereed voor ondertekening door overheid en telecombedrijven.

Fraudebestrijding

Zwarte lijsten

Waarschuwingslijsten als middel ter bestrijding van fraude en criminaliteit bleven in 2005 populair. Bij de beoordeling van de rechtmatigheid van een dergelijke lijst laat het CBP zwaar meewegen of het voorstel van de verantwoordelijke voldoende waarborgen biedt voor een zorgvuldige gegevensverwerking. Deze waarborgen vloeien voort uit de afweging van het belang van de organisatie en het privacybelang van de betrokkene.

De Kamers van Koophandel hebben in 2005 een waarschuwingslijst ter beoordeling voorgelegd die bedoeld is om fraude door advertentieverkoop, loterijen en ongevraagde leveringen te signaleren. De omvang van de fraude via spooknota’s en acquisitiefraude brachten het Steunpunt Acquisitiefraude (SAF) er toe een waarschuwingslijst in het leven te roepen. Het SAF verzamelt gegevens en geeft meldingen op het gebied van

Biometrie in het paspoort

Paspoorten moeten veilig zijn en betrouwbare identificatie van reizigers mogelijk maken. Wat ligt er dan meer voor de hand dan het paspoort te voorzien van unieke lichaamsken- merken van de drager? Biometrische kenmerken – een digi- tale gezichtsfoto en vingerafdrukken – kunnen het paspoort veilig maken, zo is de gedachte. Nadat er in EU-verband afspraken zijn gemaakt over het opslaan van biometrische gegevens op reisdocumenten, zijn er in 005 bovendien weer voorstellen gepresenteerd voor nationale centrale opslag van dergelijke gegevens.

De technologische aspecten van het op grote schaal toepas- sen van biometrie worden echter nauwelijks besproken. Bij het verzamelen en gebruiken van biometrische gegevens bestaan altijd foutmarges. Dat wil zeggen dat het techni- sche systeem aan de hand van het biometrisch kenmerk op het paspoort ten onrechte besluit dat document en reiziger niet of juist wel bij elkaar horen. De grootte van de fout is afhankelijk van de soort biometrie en van de kenmerken van de groep personen om wie het gaat. Wanneer het gaat om controle op vele miljoenen reizigers, leidt een foutmarge van enkele procenten al tot zeer veel probleemgevallen.

Bij invoering van biometrie op het paspoort zal dit pro- bleem zich direct doen gelden. Het gaat dus niet alleen om principiële of langetermijnkwesties. Nu geclaimd wordt dat de landelijke inzet van biometrie om zwaarwichtige redenen nodig is, dreigen er ernstige effecten voor burgers die niet voldoen aan de door machines gestelde eisen, hetzij door tekortkomingen in de omgang met biometrische gegevens, hetzij vanwege de foutmarges die eigen zijn aan biometrie.

De privacyaspecten van het grootschalige gebruik van bio- metrische gegevens zijn in 004 naar voren gebracht in adviezen van de Artikel -werkgroep over de ontwikkeling van visumsystemen waarin ook sprake is van een gecentra- liseerde opslag van biometrische gegevens. In 005 heeft de Artikel -werkgroep advies uitgebracht over de imple- mentatie van de Europese verordening om paspoorten te voorzien van vingerafdrukken. De werkgroep herhaalde haar bezwaar tegen de invoering van vingerafdrukken en tegen een eventuele Europese centrale database met de paspoort- gegevens. Verder werd gewaarschuwd voor de veiligheidsri- sico’s bij invoering van biometrie op een RFID-chip ^●

5

in vogelvlucht vermoedelijke acquisitiefraude en van verzenders van spooknota’s door aan opsporings- en vervolgingsinstanties. Het Centraal Bureau Levensmiddelenhandel (CBL) wilde voor deelnemende organisaties een winkelwaarschuwingsregister beheren. Hiermee zou moeten worden voorkomen dat deelnemende winkels eveneens de dupe worden van criminele incidenten die al bij andere deelnemers zijn voorgevallen.

Koppeling van bestanden bij fraudebestrijding

De grotere belangstelling voor uitkeringsfraude bij gemeenten weerspiegelt het gewij- zigde maatschappelijke klimaat rond uitkeringen en vloeit direct voort uit het financiële belang dat gemeenten hebben bij een effectieve controle op de uitvoering van de Wet werk en bijstand. Medio 2005 heeft de staatssecretaris de gemeenten geïnformeerd over de mogelijkheden om bestanden te koppelen voor fraudebestrijding.

Om recht te doen aan het belang van een effectieve fraudebestrijding en aan het belang van de bescherming van de persoonlijke levenssfeer van uitkeringsgerechtigden heeft het CBP in het najaar van 2005 de notitie Fraudebestrijding door bestands-

koppeling aan de staatssecretaris van Sociale Zaken en Werkgelegenheid gestuurd.

Controle via ontsluiting en koppeling van bestanden betekent veelal dat persoonsge- gevens gebruikt worden voor een ander doel dan waarvoor de burger mocht verwachten dat de gegevens gebruikt zouden worden. Al te gemakkelijke koppeling van bestanden met gegevens van grote groepen onverdachte burgers acht het CBP buiten verhouding en onwenselijk. Uitgangspunt voor fraudebestrijding door bestandsontsluiting en -kop- peling moet zijn dat de controlemogelijkheden ten aanzien van een individuele uitke- ringsgerechtigde mogen toenemen naarmate er een sterker vermoeden van fraude aan- wezig is, een methodiek die vergelijkbaar is met die van de Belastingdienst.

In december 2005 informeerde de staatssecretaris de Tweede Kamer over de elek- tronische ontsluiting van een aantal bestanden voor de gemeenten. De staatsecretaris heeft daarbij de visie van het CBP op bestandsontsluiting en -koppeling een “helder kader voor besluitvorming” door gemeenten genoemd.

Informatie-infrastructuur

De informatie-infrastructuur van de overheid ondergaat een ingrijpende verbouwing die de komende twee jaar zijn beslag zal krijgen. Zorgelijk is dat een overkoepelende visie op het persoonsinformatiebeleid ontbreekt. Een kamerdebat over het totale persoons- informatiebeleid heeft hierdoor nog niet kunnen plaatsvinden.

Burgerservicenummer

In 2005 is het Wetsvoorstel algemene bepalingen burgerservicenummer (Wabb) ingediend bij de Tweede Kamer. Het wetsvoorstel introduceert het gebruik van het burgerservicenummer (BSN) als algemeen persoonsnummer door de overheid. Het wets- voorstel gaat in op het genereren, distribueren, toekennen en beheren van de nummers.

Het voorstel voorziet echter niet in een regeling die ertoe bijdraagt dat in de praktijk zorgvuldig met het BSN wordt omgegaan. Het CBP wees hier al op in zijn advies over het wetsvoorstel uit 2004.

Aangezien in het wetsvoorstel naar het oordeel van het CBP onvoldoende met dit bezwaar rekening gehouden was, heeft het CBP in oktober 2005 bij de Tweede Kamer zijn zorgen hierover geuit. Het CBP waarschuwt dat het voorstel voor de Wet algemene bepalingen burgerservicenummer ernstig tekortschiet als het gaat om de beperking van de risico’s verbonden aan invoering en gebruik van een dergelijk nummer. De fracties in de Tweede Kamer hebben over de punten die door het CBP naar voren zijn gebracht, vragen gesteld aan de minister.



Doelen 2006

in2006zullenmetname devolgenderesultatenworden

nagestreefd:

• Zorgverzekeraars in heel Europa onderzocht Het CBP is in 2005 een van de initiatiefnemers geweest voor het uitvoeren van een gezamenlijke handhavingsactie door alle EU-privacytoezichthouders. In 2006 zullen gezamenlijk afgestemde handhavingsonderzoeken worden uitgevoerd bij zorgverzekeraars. De uitkomsten van de onderzoeken zullen worden gebundeld in een gezamenlijk uit te brengen rapport.

• Informatiebeveiliging van ziekenhuizen

In 2005 is veel publiciteit geweest over de informatiebeveiliging in ziekenhuizen. De Inspectie voor de Gezondheidszorg (IGZ) heeft in 2003 het onderzoek ‘ICT in ziekenhuizen’ uitgevoerd.

In 2006 zullen het CBP en de IGZ in vervolg hierop gezamenlijk een onderzoek uitvoeren naar de informatiebeveiliging in zie- kenhuizen.

• Elektronisch Kinddossier

Het voornemen bestaat om per 1 januari 2007 het elektronisch kinddossier in de jeugdgezondheidszorg in te voeren. Dit legt vanaf (voor) de geboorte de ontwikkeling van een kind en de kenmerken uit zijn omgeving vast. Het kinddossier zal worden gekoppeld aan het toekomstige burgerservicenummer. Het CBP zal in 2006 deze ontwikkeling intensief volgen en zo nodig adviseren.

• Interventieteams voor fraudebestrijding Er is een landelijk dekkend netwerk van interventieteams dat in heel Nederland zwart werk, illegale arbeid, sociale zeker- heidsfraude en fiscale fraude aanpakt. In deze teams wer- ken gemeenten, Belastingdienst, Sociale Verzekeringsbank, Arbeidsinspectie, Uitvoeringsinstituut Werknemersverzekeringen en het Openbaar Ministerie samen. In 2006 zal het CBP onder- zoek doen naar het naleven van de informatieplicht evenals naar de rechtmatigheid van het informatiedelen en het gebruik van politie-informatie door interventieteams.

• Fraudebestrijding in de sociale zekerheid Om fraude in de sociale zekerheid te bestrijden worden veel voorstellen gedaan die allemaal in meer of mindere mate een inbreuk maken op de persoonlijke levenssfeer van mensen die een uitkering ontvangen. Gemeenten vragen toegang tot steeds meer bestanden van uiteenlopende organisaties.

Het CBP zal in 2006 een expertmeeting organiseren over een duidelijker systematiek bij het bestrijden van deze fraude.

Uitkeringsgerechtigden dienen niet meer ‘verdacht’ te zijn dan andere burgers. Verder zal in 2006 de naleving van de informa- tieplicht door sociale recherche worden onderzocht.

• Administratieve lasten en privacy: Binding Corporate Rules

In 2006 zal het CBP de vergunningaanvragen behandelen en coördineren van enkele grote multinationals volgens de nieuwe uniforme procedure voor het aanvragen van vergunningen voor doorgifte van persoonsgegevens naar landen buiten de Europese Unie en voor de gecoördineerde Europese afhande- ling hiervan.

• De plicht om burgers te informeren

Eind 2005 is door TNS/NIPO in vijf branches een onderzoek uitgevoerd naar de naleving van de informatieplicht op grond van de WBP en een onderzoek naar de naleving van de infor- matieplicht zoals burgers die ervaren. De resultaten zullen begin 2006 gepubliceerd worden. In 2006 zal het onderzoek leiden tot actie in de verschillende branches gericht op bekendheid met en naleving van de informatieplicht.

• Internetpublicaties en privacy

Het internet confronteert gebruikers met vragen over hun pri- vacy en de veiligheid van hun persoonsgegevens. Internet stelt het CBP voor vragen over zijn bevoegdheid als toezichthouder en de mogelijkheid van effectief toezicht op internet. In 2006 zal het CBP hierover een symposium organiseren en daarnaast een eerste position paper en enkele informatiebladen publice- ren.

• RFID en privacy

Radio Frequency Identification is een technologie waarmee allerhande voorwerpen voorzien kunnen worden van kleine, uitleesbare zogenaamde tags (miniscule radiochips). Wat de chip aan informatie geeft over het voorwerp en wat de opvra- ger van de informatie vervolgens met de gegevens kan en mag doen raakt ook de bescherming van persoonsgegevens. In 2006 zal hiervan een publieke consultatieronde worden gehouden uitmondend in een extern rapport.

• Biometrie in reisdocumenten

In 2006 wordt uitbreiding verwacht in het gebruik van biome- trie in reisdocumenten. Het CBP zal een expertmeeting organi- seren over de vraag naar nut, noodzaak en eventuele nadelen van grootschalige gecentraliseerde opslag van biometrische gegevens.



in vogelvlucht

• Burgerservicenummer (BSN)

De invoering van het burgerservicenummer en het gebruik van dit nummer in de zorg is uitgesteld. In vervolg op zijn brieven naar de Tweede Kamer over dit onderwerp van oktober 2005 en januari 2006 zal het CBP de invoering blijven volgen en waar nodig de ministers en/of de Kamers adviseren.

• Veiligheid en privacy

In samenwerking met de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Justitie heeft het CBP prof.mr. H.R.B.M. Kummeling en prof.mr.dr. E.R. Muller gevraagd onderzoek te doen naar een goede balans tussen

‘veiligheid’ en ‘privacy’. Het CBP zal in het voorjaar van 2006 hierover een congres organiseren.

Verpakkingsmanagement, augustus 2005

In het openbaar vervoer zal de OV-chipkaart worden geïn- troduceerd, één kaart voor het gehele openbaar vervoer.

Op de kaart kan een saldo in euro’s worden geladen, maar ook een enkele reis, retour of abonnement. De op afstand uitleesbare kaart met het formaat van een bankpas is voor- zien van een chip. De kaart moet het reizen gemakkelijker maken, zwartrijden tegengaan en de weg openen voor nieuwe diensten voor reizigers. Omdat de kaart bovendien dient als ‘toegangssleutel’ tot stations, kan de introductie ervan bijdragen aan het terugdringen van overlast op per- rons en in trein, tram, bus en metro.

Een mooie vinding, handig voor iedereen? Zeker, maar wel met een paar privacykanten om goed over na te denken.

Het CBP heeft zich in 005 uitgebreid laten informeren over de werking van het OV-chipkaartsysteem. Met de NS en TransLink Systems BV (TLS), de belangrijkste betrokken partijen, werd regelmatig overleg gevoerd over de effecten die gebruik van de kaart kan hebben voor de persoonlijke levenssfeer. In de gesprekken met de NS, TLS en ook in de twee bijeenkomsten die het CBP heeft belegd met de openbaarvervoerbedrijven, het ministerie van Verkeer en Waterstaat en organisaties zoals de Consumentenbond, de ANWB en ROVER zijn de zienswijzen van de diverse deel-

nemers uitgebreid aan bod gekomen. Besproken is onder meer hoe techniek, bedrijfsvoering en privacyaspecten met elkaar te verenigen zijn.

Begin 00 publicerde het CBP zijn standpunt inzake de voorgenomen implementatie van het OV-chipkaartsysteem.

Bij de realisatie van het OV-chipkaartsysteem moet reke- ning gehouden worden met de eisen die door de WBP gesteld worden. In het plan zouden tot dan toe de gege- vens over individuele gebruikers van een op naam gestelde OV-chipkaart en over hun reisgedrag ter beschikking komen van vervoerders, ook in gevallen waarin het gebruik van deze gegevens niet is toegestaan.

De bezwaren van het CBP spitsen zich toe op het gebruik van gedetailleerde, tot een persoon herleidbare reisgege- vens voor onder meer marketingdoelen. Voor een dergelijk gebruik dienen de betrokken reizigers toestemming te geven. Het CBP realiseert zich dat nog niet alle beslissin- gen rond de inrichting van het OV chipkaartsysteem defi- nitief zijn. Juist daarom wijst het tijdig op de noodzaak het systeem zó in te richten dat het functioneert in overeen- stemming met de eisen van de privacywetgeving ^●

OV-chipkaart



Het CBP acht het van groot belang voor de burger, de bescherming van diens per- soonsgegevens en de maatschappelijke aanvaardbaarheid van de invoering van het burgerservicenummer, dat duidelijk wettelijk geregeld wordt: a) onder welke voor- waarden het BSN gebruikt mag worden; b) welke overheidsinstanties (en eventueel bedrijven) gebruik mogen maken van het BSN; c) dat vastgestelde vergissingen en fouten aan de burger gemeld worden; d) dat er een effectieve ombudsfunctie voor de burger komt; en e) dat er eisen worden gesteld aan de ICT-beveiliging van bestanden, die gebruik maken van het BSN.

Stroomlijning basisgegevens

In het programma stroomlijning basisgegevens dat medio 2004 een herstart heeft gekregen, wordt de ontwikkeling van voorlopig zes basisregistraties (personen, gebouwen, adressen, Kadaster, topografie en bedrijven) beoogd. Daarnaast bestaat het voornemen om ook de zogenaamde polisadministratie (de administratie van de werknemersverzekeringen), het kentekenregister en de inkomensadministratie van de Belastingdienst aan te wijzen als basisadministraties. Kerngegevens in deze basis- registraties zullen verplicht door de overheid worden gebruikt en mogen niet meer wor- den opgevraagd van de burger of het bedrijf, het zogenaamde beginsel van eenmalige gegevensverstrekking en verplicht hergebruik. De invoering van het BSN en het daarbij behorende stelsel staat hiermee in nauwe relatie.

In 2005 heeft het CBP over drie wetsvoorstellen van dit programma geadviseerd, namelijk het Wetsvoorstel register van ondernemingen en instellingen (vervanging van de huidige Handelsregisterwet), het Wetsvoorstel basisregistratie kadaster en geografie



in vogelvlucht (een vernieuwde Kadasterwet) en een wijziging van de Wet gemeentelijke basis-

administratie persoonsgegevens. In deze wetsvoorstellen wordt het verplichte gebruik van bepaalde gegevens door de overheid voorgeschreven. Daarbij is nauw aangesloten bij het regime van de al bestaande regelgeving.

Informatiehuishouding politie

De huidige Wet politieregisters wordt integraal herzien. Het CBP heeft in 2004 de minister van Justitie geadviseerd over het conceptvoorstel Wet politiegegevens. Het CBP stemde in met de structuur voor de verwerking van politiegegevens binnen de politie maar kritiseerde het voorstel op onderdelen.

Eind 2005 heeft het CBP de vaste commissie voor Justitie van de Tweede Kamer geïnformeerd over zijn kritiek op het uiteindelijke wetsvoorstel omdat het advies op essentiële punten niet gevolgd is: a) gegevens worden niet voorzien van een code die de betrouwbaarheid (het onderscheid tussen zachte en harde informatie) en afbreuk- risico aangeeft, b) er zijn onvoldoende waarborgen aangebracht tegen derdenverstrek- kingen van gegevens met een geringe betrouwbaarheid, c) er zijn geen extra waarborgen geschapen bij gegevens over onverdachte personen en d) een te ruime verzameling van gegevens over onverdachte personen is mogelijk gemaakt. Verder is het noodzakelijk de auditverplichting voor de informatiehuishouding van de politie, waarin ook een ver- plichting tot zelfevaluatie is opgenomen, wettelijk te verankeren.

Schengen Informatiesysteem II

Het CBP was ook in 2005 voorzitter van de Gemeenschappelijke Controleautoriteit (GCA) Schengen. De belangrijkste ontwikkeling bleef de ontwikkeling van het Schengen Informatiesysteem (SIS) II. Het bestaande Schengen Informatiesysteem is ontoereikend voor uitbreiding naar de nieuwe lidstaten en kan geen biometrische gegevens bevatten.

In vervolg op het advies over SIS II van 2004 adviseerde de GCA Schengen in oktober 2005 over het door de Europese Commissie voorgestelde juridische kader voor het nieu- we informatiesysteem. De GCA heeft enkele fundamentele bezwaren tegen de voorge- stelde juridische grondslag. Het is niet duidelijk onder welke Europese juridische kaders SIS II zal komen te vallen en wie daarvoor bevoegd zal zijn. Het doel van de gegevens- verwerking wordt onvoldoende specifiek gedefinieerd waardoor de rechtsgrondslag niet voldoet aan de grondbeginselen van gegevensbescherming. Verder is het toezicht door de nationale en de Europese toezichthouders onvoldoende geregeld. De rol van de Europese Commissie, de European Data Protection Supervisor (EDPS) en de nationale privacytoezichthouders blijven in het voorstel onduidelijk. Alle huidige taken van de GCA dienen opnieuw belegd te worden in de nieuwe toezichtstructuur.

Europees visuminformatiesysteem

De Artikel 29-werkgroep heeft in 2005 een opinie uitgebracht over het voorstel om een Europees visuminformatiesysteem (VIS) op te zetten dat de uitwisseling van visumgegevens mogelijk maakt tussen lidstaten die de binnengrenscontroles hebben afgeschaft. Geen enkel Europees systeem is qua omvang en capaciteit met het VIS vergelijkbaar. Er zullen persoonsgegevens, waaronder biometrische gegevens, van mil- joenen mensen in een centrale gegevensbank worden opgeslagen en tussen staten wor- den uitgewisseld. Het voorstel maakt ruime toegang tot het VIS mogelijk voor brede doeleinden. De werkgroep heeft daarom geadviseerd het doel waarvoor gegevens wor- den verwerkt in het VIS nauwkeurig te omschrijven en te beperken tot wat nodig is om het gemeenschappelijke visumbeleid te verbeteren. De systematische toegang moet worden beperkt tot de autoriteiten die het visumbeleid uitvoeren. Het doel waarvoor de verschillende Europese systemen zijn ontwikkeld, mag niet uit het oog worden verloren.

Het streven de interoperabiliteit tussen Europese databanken als het VIS, het SIS II en

0

Eurodac te verbeteren, mag er niet toe leiden dat autoriteiten toch toegang hebben tot gegevens die zij niet mogen gebruiken.

Onderzoek en toezicht

De naleving van de informatieplicht door overheden, bedrijven en andere organisaties heeft in 2005 bijzondere aandacht gekregen. De voorlichting hierover is versterkt en er zijn enkele onderzoeken naar de naleving van de informatieplicht gestart die in 2006 zullen worden gepubliceerd. De informatieplicht is een essentiële voorwaarde voor burgers om hun recht van inzage en correctie te kunnen uitoefenen ter behartiging van hun belangen. TNS-NIPO Consult heeft in opdracht van het CBP onderzoek gedaan naar de informatieplicht in drie sectoren: bij huisartsen, onderwijsinstellingen en woning- bouwcorporaties. Ook is een representatieve enquête onder burgers gehouden naar hun opvattingen over de waarde van de informatieplicht en hun ervaringen met de manier waarop verantwoordelijken hen informeren over de verwerking van hun persoonsgege- vens. Opnieuw bleek een tekort in het vertrouwen van burgers in de wijze waarop met hun gegevens wordt omgegaan.

Particuliere recherche

In 2005 zijn twee onderzoeken gedaan bij particuliere recherchebureaus. Bij de beoor- deling van de naleving van de WBP is ook de Privacygedragscode voor particuliere onderzoeksbureaus betrokken, die sinds 13 januari 2004 van kracht is. De minister van Justitie stelde per 1 juni 2004 het naleven van deze gedragscode voor alle particuliere recherchebureaus verplicht als voorwaarde voor een vergunning. Het CBP-onderzoek is het eerste sinds de regulering van de branche.

Eén onderzoek betrof de naleving van de informatieplicht. Hiervoor zijn in een steek- proef dertig bureaus benaderd met een enquête om een beeld te krijgen van de mate en de wijze van naleving van de informatieplicht. Het tweede onderzoek bestond uit ver- diepende onderzoeken ter plaatse bij een drietal recherchebureaus. Hierbij werden naast de naleving van de informatieplicht ook diverse andere aspecten van de WBP getoetst, zoals het naleven van de bewaartermijn voor gegevens. De resultaten zullen in 2006 worden gepubliceerd.

Onderzoek bij zorgverzekeraars

In het voorjaar van 2005 heeft het CBP een onderzoek uitgevoerd bij een drietal zorgverzekeraars. Het doel was om een beeld te krijgen van de verwerkingen van per- soonsgegevens die bij zorgverzekeraars plaatsvinden en de eventuele problemen. Het onderzoek werd ook uitgevoerd met het oog op de beoordeling van het Addendum Zorgverzekeraars.

Het Europese werkprogramma ter verbetering van de implementatie van de

Privacyrichtlijn heeft onder meer als doel het versterken van de handhaving. De Artikel 29-werkgroep heeft in 2005 besloten dat het eerste gemeenschappelijke onderzoek van de nationale toezichthouders zich zal richten op de zorgverzekeraars. Het doel van het onderzoek is na te gaan of en hoe in de verschillende landen de privacyregels in deze sector worden nageleefd. Het onderzoek zal in 2006 van start gaan.

Onderzoek bij reïntegratiebedrijven

Bij zes reïntegratiebedrijven heeft het CBP een verkennend onderzoek uitgevoerd naar de uitvoeringspraktijk bij reïntegratie van bijstandsgerechtigden en zieke werk- nemers. De onderzoeksrapporten zijn op 12 december 2005 aangeboden aan Borea, de Brancheorganisatie Reïntegratiebedrijven.



in vogelvlucht De conclusie van het onderzoek naar reïntegratie van bijstandsgerechtigden was dat de manier waarop reïntegratiebedrijven persoonsgegevens verwerken voor een groot deel bepaald wordt door de opdrachtgevers, de gemeenten. Gemeenten lijken als opdrachtgever meer gegevens in de rapportages over bijstandsgerechtigden te verlangen dan noodzakelijk is.

Het onderzoek naar reïntegratie van zieke werknemers bevestigde de verwachting dat reïntegratiebedrijven ook in de praktijk last hebben van een lacune in de wetgeving voor arbeid. Er is onvoldoende wettelijke basis om te rapporteren over de mogelijk- heden van werkhervatting en de mate waarin zieke werknemers hieraan meewerken.

Binnen de huidige regelgeving hebben reïntegratiebedrijven geen mogelijkheid medische gegevens rechtmatig te rapporteren aan werkgever of arbodienst.

Onderzoek vernietiging van getapte advocatengesprekken

In 2005 is onderzoek gedaan naar de naleving van de regels voor de vernietiging van opgenomen telefoongesprekken van advocaten met hun cliënten. Op grond van het Wetboek van Strafvordering moeten deze gesprekken, die vallen onder het beroeps- geheim van advocaten, vernietigd worden. Het CBP heeft steekproefsgewijs onderzocht of gesprekken die vernietigd moesten worden, ook daadwerkelijk vernietigd zijn. Dit onderzoek zal in 2006 worden afgerond en gepubliceerd.

Onderzoek bij Europol

Het CBP heeft in 2005 de verwerking van persoonsgegevens door de Dutch Desk van Europol onderzocht. Europol is de Europese politiedienst voor bestrijding van grensoverschrijdende zware, georganiseerde criminaliteit. Elke bij de Europol-

overeenkomst aangesloten lidstaat beschikt over een nationaal contactpunt voor infor- matieuitwisseling met Europol en de andere aangesloten lidstaten. De Nederlandse afdeling, de Dutch Desk, is organisatorisch ondergebracht bij het Korps Landelijke Politiediensten (KLPD). Uit het onderzoek is een positief beeld naar voren gekomen van de wijze waarop de gegevensverwerking plaatsvindt.

Het CBP heeft in 2005 ook deelgenomen aan de jaarlijkse audit van de Europol- systemen door het Gemeenschappelijk Controleorgaan van Europol. Uit de jaarlijkse controles blijkt telkens weer het grote belang van een behoorlijke kwaliteit van de door de lidstaten aangeleverde gegevens. Bij de audit van 2005 is tevens het nieuw ontwik- kelde Informatie Systeem van Europol aan een onderzoek onderworpen.

Uitwisseling politiegegevens met de Antillen

Snelle en zorgvuldige uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland is belangrijk voor de bestrijding van criminaliteit. Om een dergelijke gegevensuitwisseling mogelijk te maken hebben de minister van Justitie, de minis- ter van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Justitie van de Nederlandse Antillen het Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland opgesteld en ondertekend. Het CBP houdt toezicht op de uitwisseling van gegevens vanuit Nederland met de Antillen en het gebruikte systeem. Met de betrokken ministers is destijds de afspraak gemaakt dat het CBP ter plaatse zou vaststellen hoe de uitwisseling van gegevens verloopt en of het protocol wordt nageleefd. Dit onderzoek heeft in het najaar van 2005 plaatsgevonden en wordt in 2006 gepubliceerd.



Burgers hebben er recht op dat fatsoenlijk met hun persoonsgegevens wordt omgegaan. Een behoorlijk nalevingsniveau van de regels voor het gebruik van persoonsgegevens draagt direct bij aan het vertrouwen van burgers in het maatschappelijke verkeer en in de overheid. Onderzoek in 004 uitgevoerd door TNS NIPO Consult in opdracht van het CBP laat zien dat burgers een direct verband leggen tussen de manier waarop (zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen dat zij in deze organisaties hebben. Dit vertrouwen is een essentieel element in het sociale kapitaal van de samenleving. Voor het in stand houden en bevorderen van dit vertrouwen is effectief toezicht onontbeerlijk. De toezichthouder heeft daar- voor echter onvoldoende capaciteit.

Beleid van

de toezichthouder



denieuwelocatievanhetcbp: bruggebouwoost

Structureel tekort aan capaciteit

Het CBP heeft in de afgelopen periode in allerlei dossiers zijn aandeel niet of slechts beperkt kunnen nemen. De maatschappelijk en politiek gewenste beleidsverschuiving naar meer handhaving kon slechts ten dele gerealiseerd worden. Op essentiële punten zijn gaten gevallen in het voorwaardenscheppende werk.

Het CBP heeft alle zeilen moeten bijzetten om althans op enkele grote dossiers te doen wat, gezien de inherente risico’s voor de bescherming van de persoonlijke levenssfeer, gedaan moest worden. Het gaat om de stelselwijziging in de zorg, de implementatie van de Wet werk en inkomen naar arbeidsvermogen, de maatregelen in het kader van de bestrijding van terrorisme en criminaliteit en de bescherming van persoonsgegevens van Europese burgers in de VS. Belangrijke nieuwe kwesties - zoals het elektronisch patiënt- dossier, het kinddossier, fraudebestrijding in de sociale zekerheid, de OV-chipkaart en de introductie van het burgerservicenummer – tekenen zich al duidelijk af.

Nationale en internationale beleidsagenda’s en vele private initiatieven in reactie op maatschappelijke en politieke ontwikkelingen zetten de organisatie onder druk. Aan de toezichthouder worden hogere eisen gesteld, terwijl deze toename van de werklast onvoldoende kan worden opgevangen. Bij een te kleine formatie hebben de externe groei van de werkdruk, heroriëntatie, onderbezetting en organisatieontwikkeling tot gevolg gehad dat de thema’s van 2005 noodgedwongen ook in 2006 op de agenda zullen blijven.

Noodzaak tot reflectie

In de afgelopen jaren heeft de bescherming van de persoonlijke levenssfeer in de pu- blieke opinie haar vanzelfsprekendheid verloren. Zorgen om terrorisme, onveiligheid en maatschappelijke misstanden bij burgers, bestuurders, politici en beleidsmakers hebben ertoe geleid dat de regels voor de bescherming van persoonsgegevens in het publieke debat als zondebok of als obstakel worden afgedaan. Behalve het politiek-maatschap- pelijke klimaat is ook het toezichtsdomein aan ingrijpende veranderingen onderhevig.

In de Nederlandse grondwet, het Europese Verdrag voor de Rechten van de Mens, het Dataverdrag van Straatsburg en in de conceptgrondwet voor de Europese Unie is de beschermwaardigheid van de persoonlijke levenssfeer en als uitvloeisel daarvan de bescherming van persoonsgegevens verwoord. In het veranderde klimaat kan de toe- passing van de WBP in de praktijk echter formalistisch ogen. Het CBP heeft zich daarom in 2005 nadrukkelijk de vraag gesteld wat de essentie was en is van hetgeen met de WBP beschermd dient te worden en langs welke weg een en ander gerealiseerd dient te worden.

De eerste waarde is de bescherming van de persoonlijke levenssfeer, de vrijwaring tegen onfatsoenlijke of ongeoorloofde inmenging in het leven van burgers.

Zelfbeschikking, autonomie en optimale individuele ontplooiing zijn vanuit het

gezichtspunt van de burger en de consument de – in een democratische rechtsstaat altijd relatief te duiden – kernwaarden die gemoeid zijn met de normen en de daaruit voort- vloeiende regels voor de omgang met persoonsgegevens.

Het draagvlak voor bescherming van persoonsgegevens en de effectiviteit van de toe- zichthouder zijn er bij gebaat als het CBP zijn aandacht richt op kwesties waarin deze kernwaarden in het geding zijn. Dat zijn kwesties waarin machtsuitoefening, persoons- gegevens en maatschappelijke mogelijkheden van individuen samenkomen. De toezicht- houder dient waakzaam te zijn wanneer macht en machtsuitoefening met behulp van persoonsgegevens mogelijk leiden tot een niet te rechtvaardigen beperking van de maatschappelijke mogelijkheden en ontplooiing van het individu. Het CBP dient zich bij het kiezen van zijn prioriteiten door deze kernwaarde te laten leiden.



beleid van de toezichthouder

Nationaal Mensenrechteninstituut

Vanuit de heroriëntatie op de fundamentele waarden die met de bescherming van per- soonsgegevens gemoeid zijn, heeft het CBP zich ook gecommitteerd aan het initiatief om tot een nationaal mensenrechteninstituut te komen.

Vier organisaties, de Commissie Gelijke Behandeling, de Nationale ombudsman, het Studie- en Informatiecentrum voor de mensenrechten en het College bescherming per- soonsgegevens hebben in september 2005 een voorstel voor de oprichting van een natio- naal mensenrechteninstituut aangeboden aan de regering, het rapport De Daad bij het Woord. Het voorgestelde instituut dient zich volgens de opstellers van het voorstel onder meer bezig te houden met een loketfunctie, advisering, onderwijs en onderzoek.

De betrokken organisaties hebben geconstateerd dat het noodzakelijk kan zijn om maat- schappelijke ontwikkelingen tegemoet te treden vanuit een geïntegreerde visie op de mensenrechten. Zo kunnen de gevolgen van het verzamelen, gebruik en verstrekking of openbaarmaking van persoonsgegevens niet altijd beoordeeld worden door uitsluitend te toetsen aan praktische waarborgen voor de bescherming van persoonsgegevens.

Andere fundamentele rechten zijn evenzeer in het geding bij bijvoorbeeld de omvang- rijke verspreiding van persoonsgegevens via publicaties op internet: de vrijheid van meningsuiting, communicatievrijheid en het verbod van discriminatie. Het verzamelen van etnische gegevens kan zowel het gelijkheidsbeginsel dienen als discriminatie ver- oorzaken. De beleidsvoorstellen voor de bestrijding van terrorisme raken meerdere grondrechten. Het gebruik van biotechnologie en radio frequency identification (RFID) zijn eveneens voorbeelden van maatschappelijke ontwikkelingen waarbij persoons- gegevens een grote rol spelen en meerdere fundamentele rechten en vrijheden in het geding zijn: de waardigheid van de persoon, de vrijheidsrechten en het gelijkheids- beginsel.

Strategie en positionering

Strategie en positionering van het CBP zijn op hoofdlijnen ongewijzigd gebleven. Een belangrijke accentverschuiving is dat het CBP zich minder zal verlaten op formele advi- sering, maar meer het maatschappelijke debat zal zoeken en daarbij actief naar samen- werking zal zoeken. De verschuiving naar meer handhaving en het daarvoor noodzake- lijke onderzoek blijft essentieel. Meer dan voorheen zal aandacht worden geschonken aan de burger.

Uitgangspunt voor het CBP-beleid blijft verantwoordelijkheden daar te laten waar zij horen en te stimuleren dat overheden, bedrijven en andere organisaties daaraan ook zelf actief invulling geven. In die zin geeft het CBP de voorkeur aan een tweedelijnspositie, aan een rol als metatoezichthouder op een stelsel van gegevensbescherming waarin alle betrokken partijen een actief aandeel nemen.

Vanuit deze tweedelijnspositie kan het CBP zich bij voorrang richten op de taken waar- voor het speciaal is toegerust: advisering ten aanzien van wet- en regelgeving en toe- zicht op de naleving van de regels voor het gebruik van persoonsgegevens. Het CBP streeft er naar de effectiviteit van de advisering over wet-en regelgeving te versterken.

Daartoe zal het wetgevingsproces zo nodig actief gevolgd worden, al dan niet in samen- werking met betrokken partijen. Voor het toezicht zal waar mogelijk worden samen- gewerkt met andere toezichthouders.

Ten aanzien van de burger zal het CBP zich niet volledig instellen op een tweedelijns- positie. De wetgever heeft het CBP een directe taak gegeven bij de behandeling van

jaarverslag 005

4

Monitoren van callcenter-medewerkers